Compliance-Verstöße entstehen selten im luftleeren Raum. Sie sind häufig Ausdruck struktureller Defizite – und entwickeln sich innerhalb kürzester Zeit zu unternehmensweiten Krisen. Für Geschäftsleitung und Aufsichtsgremien stellt sich dann nicht nur die Frage nach der Aufklärung, sondern vor allem nach der richtigen Steuerung: Wie lässt sich weiterer Schaden begrenzen? Welche Kommunikation ist rechtlich geboten – und welche riskant? Gerade im Spannungsfeld von Krisenkommunikation, Verteidigungsstrategie und Reputationsmanagement entscheidet sich, ob ein Compliance-Vorfall beherrschbar bleibt oder zur unternehmensweiten Krise wird.
Die Tragweite einer Compliance-Krise wird nicht allein durch den ihr zugrundeliegenden Verstoß bestimmt, sondern wesentlich durch die Qualität des Krisenmanagements, das Aufklärung, Kommunikation und Verteidigung aufeinander abstimmt.
1. Rechtlicher Rahmen
Das Krisenmanagement bei Compliance-Verstößen ist eng mit den Organpflichten der Unternehmensleitung verknüpft. Geschäftsführer und Vorstände sind verpflichtet, für die Einhaltung der gesetzlichen Vorgaben im Unternehmen zu sorgen und bei Verdachtsfällen unverzüglich tätig zu werden. Diese Pflicht umfasst sowohl die sachgerechte Aufklärung als auch die Steuerung der weiteren Maßnahmen im Rahmen eines funktionsfähigen Compliance-Management-Systems.
Besondere Sensibilität erfordert die in einer solchen Situation erforderliche Kommunikation: Unabgestimmte oder vorschnelle Aussagen gegenüber Behörden, Geschäftspartnern oder der Öffentlichkeit können rechtliche Positionen nachhaltig verschlechtern. Gleichzeitig können Informationspflichten bestehen, etwa gegenüber Aufsichtsorganen oder – je nach Konstellation – auch gegenüber Investoren und anderen Stakeholdern.
Krisenkommunikation ist damit nie reine PR, sondern Teil der Gesamtverteidigung. Sie muss den Verfahrens- und Prozessphasen folgen – von ersten Prüfungen über Ermittlungsverfahren bis hin zu möglichen gerichtlichen oder behördlichen Entscheidungen. Jede öffentliche Äußerung kann in einem späteren Verfahren aufgegriffen werden.
2. Risikolage und typische Fehler
In der Praxis zeigt sich, dass sich Compliance-Krisen oft weniger aus dem Ausgangssachverhalt als aus dem Umgang damit entwickeln. Häufig werden unter Zeitdruck Entscheidungen getroffen, die später erhebliche rechtliche und wirtschaftliche Folgen nach sich ziehen.
Typisch dabei ist ein Zögern bei der umfassenden Aufklärung. Unternehmen versuchen, Sachverhalte intern „vorzuklären“, ohne belastbare Prozesse aufzusetzen. Auch vor einer eDiscovery scheuen viele Geschäftsleitungen noch zurück. Dadurch gehen wertvolle Zeit und Steuerungs- und Kontrollmöglichkeiten verloren. Parallel entstehen Informationslücken, die eine konsistente Kommunikation erschweren.
Ein weiterer kritischer Punkt ist die häufig fehlende Abstimmung zwischen interner Untersuchung und externer Kommunikation. Dies betrifft nicht nur die Kommunikation gegenüber der Öffentlichkeit, sondern auch die Kommunikation mit Ermittlungs- und Aufsichtsbehörden.
Besonders problematisch ist es, wenn Kommunikationslinien nicht mit der Unternehmensverteidigung und der individuellen Strafverteidigung abgestimmt sind. Vorschnelle und vermeintlich gut gemeinte oder gar „umfassende“ Aussagen in Pressemitteilungen, Townhalls oder gegenüber Geschäftspartnern können die spätere Verteidigung nachhaltig belasten.
Hinzu kommt die Fehleinschätzung, dass sich sensible Sachverhalte intern halten lassen. In Zeiten digitaler Kommunikation und Hinweisgebersysteme gelangen Informationen regelmäßig schneller nach außen als erwartet. Whistleblower, soziale Medien und internationale Kooperationen von Behörden erhöhen den Druck zusätzlich.
Schließlich werden ESG-Risiken immer noch vielfach unterschätzt. Verstöße mit Bezug zu Lieferketten, Umwelt- oder Governance-Themen entfalten eine besondere Reputationswirkung und ziehen zusätzliche regulatorische Aufmerksamkeit nach sich. Der Umgang mit solchen Vorfällen wird zunehmend als Indikator für die Qualität von Corporate Governance gewertet.
Die Folge ist häufig eine doppelte Eskalation: rechtlich durch unzureichende Maßnahmen – und strategisch durch Kontrollverlust über die Wahrnehmung der Krise.
3. Strategische Einordnung
Compliance-Krisen sind aus Governance-Sicht ein Belastungstest für die Unternehmensorganisation. Sie zeigen, ob bestehende Strukturen nicht nur formal existieren, sondern in kritischen Situationen tatsächlich tragen.
Für die Unternehmensleitung bedeutet dies einmal mehr, Entscheidungen schnell und unter Unsicherheit treffen zu müssen. Zu Beginn liegen häufig nur fragmentarische Informationen vor, während gleichzeitig externe Erwartungen (Behörden, Öffentlichkeit, Investoren) entstehen. In dieser Situation ist ein klar definierter Steuerungsrahmen entscheidend, um handlungsfähig zu bleiben und Haftungsrisiken zu begrenzen.
Dieser Rahmen umfasst:
- ein belastbares Compliance-Management-System als strukturelle Basis,
- klare Vorgaben und Prozesse zu internen Untersuchungen,
- eine gut abgestimmte Krisenkommunikation und
- eine konsistente Verteidigungsstrategie für Unternehmen und Organe.
Die Öffentlichkeit und Aufsichtsbehörden bewerten nicht nur den Verstoß selbst, sondern insbesondere den Umgang damit. Ein transparentes, strukturiertes und verantwortungsvolles Krisenmanagement gilt als Bestandteil guter Unternehmensführung.
Krisenmanagement ist damit nicht nur reaktive Schadensbegrenzung, sondern Teil strategischer Unternehmenssteuerung. Es verbindet rechtliche Absicherung mit Reputationssteuerung und operativer Stabilität. Ein integrierter Ansatz versteht Prävention (z.B. Compliance-Schulungen, klare Prozesse zum Umgang mit Compliance-Verstößen, funktionierende interne Meldesysteme) und Reaktion (z.B. gut gesteuerte interne Untersuchungen, Incident Management, Krisenkommunikation) als zusammenhängenden Prozess.
4. Handlungsempfehlungen
Ein wirksames Krisenmanagement erfordert ein koordiniertes Vorgehen, das Aufklärung, Steuerung und Kommunikation eng verzahnt. Entscheidend ist, nicht erst im Krisenfall Strukturen zu schaffen.
a. Strukturierte Aufklärung
Zentral ist vor allem eine zügige und belastbare Aufklärung des Sachverhalts. Sie sollte nicht informell erfolgen, sondern in einem unabhängigen Rahmen, der rechtlichen Anforderungen und späterer Nachvollziehbarkeit gerecht wird. Dazu gehören:
- Sicherung relevanter Daten und Dokumente,
- klare Untersuchungsaufträge und Befugnisse,
- dokumentierte Entscheidungswege.
Je nach Schwere des Vorwurfs sollten frühzeitig forensische und strafrechtliche Expertise eingebunden werden, um Ermittlungsrisiken, mögliche Bußgelder und individuelle Strafbarkeitsfragen angemessen zu berücksichtigen.
b. Klare Entscheidungsstrukturen
Ein definierter Krisenstab, der Geschäftsleitung, relevante Fachbereiche und externe Berater einbindet, sorgt für die erforderliche Koordination. Gerade an den Schnittstellen zwischen Recht, Kommunikation und operativem Geschäft entstehen sonst Reibungsverluste.
In Krisen mit strafrechtlichem Bezug sollte der Krisenstab sowohl Compliance- als auch Verteidigungsexpertise einbeziehen. So wird sichergestellt, dass Maßnahmen zur Aufklärung, zur Kooperation mit Behörden und zur Kommunikation mit der Öffentlichkeit konsistent bleiben.
c. Verzahnte Krisenkommunikation und Verteidigung
Die Kommunikationsstrategie bildet in einer Compliance-Krise das verbindende Element: Sie muss interne und externe Perspektiven berücksichtigen und rechtlich abgestimmt sein. Ziel ist nicht maximale Offenlegung, sondern eine transparente, konsistente und belastbare Kommunikation.
Ganz entscheidend ist dabei, dass die Krisenkommunikation den Prozessphasen folgt: Vom Timing der ersten vorsichtigen internen Kommunikation und einem „Holding Statement“ über abgestufte Informationspakete bei fortschreitender Aufklärung bis hin zur Begleitung möglicher Gerichtsverfahren. Jede Äußerung nach außen sollte vorher aus Sicht der Unternehmensverteidigung und der individuellen Strafverteidigung bewertet werden.
Damit wird Krisenkommunikation zum integralen Bestandteil der Verteidigungsstrategie – und umgekehrt.
5. Strategische Positionierung unserer Beratung
Unsere Erfahrung aus der Beratungspraxis zeigt, dass Compliance-Krisen selten isoliert gelöst werden können. Sie erfordern einen integrierten Krisenmanagement- und Kommunikations-Ansatz, der rechtliche Bewertung, interne Untersuchungen, Krisenkommunikation und strategische Steuerung bündelt.
Komplexe Sachverhalte müssen zügig geordnet, Unsicherheiten rechtlich belastbar mitbedacht werden können, parallel sind handlungsfähige Lösungen zu entwickeln – ohne dabei Verteidigungsoptionen zu beeinträchtigen.
In der Praxis bewährt sich eine enge Verzahnung von Aufklärung und Entscheidungsfindung: Interne Untersuchungen liefern nicht nur Fakten, sondern bilden die Grundlage für strategische Entscheidungen zur Steuerung der Compliance-Krise. Gleichzeitig muss jede wesentliche Kommunikationsentscheidung aus dem Blickwinkel der Gesamtverteidigung geprüft werden. Kommunikation, Unternehmensverteidigung, individuelle Strafverteidigung und Compliance-Steuerung dürfen nicht nebeneinanderherlaufen, sondern sollten aus einer Hand geplant werden.
6. Doppelaufstellung als Mehrwert im Krisenfall
Die Beratungspraxis von Pragal Rechtsanwälte ist speziell auf diese Konstellationen ausgerichtet: strukturierte Aufarbeitung komplexer Sachverhalte, rechtssichere Begleitung interner Untersuchungen und strategische Unterstützung von Geschäftsleitung und Aufsicht in kritischen Entscheidungsphasen.
Ein besonderer Mehrwert liegt dabei in der besonderen Doppelaufstellung unseres Teams:
- Dr. Oliver Pragal, LL.M., als erfahrener Unternehmens- und Strafverteidiger mit ausgewiesener Expertise im Wirtschafts- und Unternehmensstrafrecht, der Unternehmen und Organmitglieder in Compliance-Krisen verteidigt und strategisch begleitet,
- Kristina Konrad als zertifizierte Compliance-Officerin mit langjähriger Inhouse-Erfahrung in Compliance, Corporate Governance und Internal Investigations in großen und mittelständischen Unternehmen.
Mit dieser Aufstellung lassen sich in Compliance-Krisen Krisenkommunikation, interne Untersuchungen, Unternehmensverteidigung und individuelle Strafverteidigung über beide „Flanken“ koordinieren – von der ersten Risikoeinschätzung über behördliche Verfahren bis hin zu Verhandlungen mit Aufsichtsbehörden oder Gerichten.
Die Verbindung aus juristischer Präzision, investigativer Erfahrung und Governance-Verständnis ermöglicht es uns, auch unter erheblichem Zeitdruck konsistente und tragfähige Lösungen zu entwickeln. Anwaltliche Beratung wird für unsere Mandanten im Krisenfall so nicht nur zum rechtlichen Sicherungsinstrument, sondern zu einem zentralen Bestandteil wirksamer Unternehmenssteuerung.
KontaktFAQ: Häufig gestellte Fragen zu Kommunikationsstrategie und Schadensbegrenzung in Compliance-Krisen
Zu Beginn steht die strukturierte und umfassende Aufklärung des Sachverhalts. Parallel sollten Verantwortlichkeiten festgelegt und erste Kommunikationslinien abgestimmt werden, um unkoordinierte Maßnahmen zu vermeiden. Dazu gehört insbesondere die Einleitung einer Internal Investigation mit einem hierfür bekannten Team, das sodann die weiteren Aufklärungsschritte koordiniert und der Geschäftsleitung hierzu berichtet. die Sicherung relevanter Daten, eine erste Compliance-Risikoanalyse und die Abstimmung eines vorläufigen Kommunikations- und Verteidigungsrahmens.
Die Kommunikation beeinflusst sowohl die rechtliche Bewertung als auch die öffentliche Wahrnehmung einer Compliance-Krise. Unabgestimmte Aussagen können Ermittlungen erschweren und zusätzliche Risiken begründen. Da jede Kommunikationsäußerung später in Straf-, Ordnungswidrigkeiten- oder Zivilverfahren relevant werden kann, muss die Krisenkommunikation den Prozessphasen folgen und eng mit der Verteidigungsstrategie verzahnt sein.
Accordion content.
Unterlassenes oder fehlerhaftes Compliance-Krisenmanagement kann als eigenständige Pflichtverletzung gewertet werden und persönliche Haftungsrisiken begründen. Dies gilt insbesondere, wenn erkennbar keine angemessenen Compliance-Strukturen existieren, interne Untersuchungen unzureichend sind oder die Unternehmensleitung trotz Hinweis auf Verstöße nicht angemessen reagiert.
Verstöße mit ESG-Bezug führen häufig zu erhöhter regulatorischer und öffentlicher Aufmerksamkeit. Der Umgang damit wird zunehmend als Maßstab für verantwortungsvolle Unternehmensführung herangezogen. ESG-Compliance – einschließlich Lieferkettensorgfaltspflichten und Governance-Anforderungen – bestimmt daher maßgeblich, wie Aufsichtsbehörden, Investoren und Öffentlichkeit eine Compliance-Krise bewerten.
Sobald der Sachverhalt komplex ist oder erhebliche Risiken bestehen, ist externe rechtliche Unterstützung sinnvoll, um eine unabhängige und rechtssichere Bewertung und eigene Rechtsinteressen wahrende Krisenkommunikation zu gewährleisten. Dies gilt insbesondere, wenn strafrechtliche Ermittlungen drohen, eine interne Untersuchung erforderlich ist oder die Krisenkommunikation mit einer Unternehmens- und Strafverteidigungsstrategie abgestimmt werden muss.
Eine sorgfältige Dokumentation ist zentral für die rechtliche Absicherung der Unternehmensleitung. Sie ermöglicht es, Entscheidungen und deren Grundlage im Nachhinein nachvollziehbar darzustellen und kann im Fall behördlicher oder gerichtlicher Prüfungen erheblich entlastend wirken. Zugleich bildet sie die Basis für spätere Optimierungen des Compliance-Management-Systems und des Krisenmanagements.
Hinweisgeber sollten stets ernst genommen und ihre Rolle und Wissen in die Krisenkommunikation einbezogen werden, ohne dabei vorschnelle Bewertungen vorzunehmen. Ein funktionierendes Hinweisgebersystem und klare Prozesse für den Umgang mit Meldungen sind wesentlicher Bestandteil eines wirksamen Compliance- und Krisenmanagements.
Die Zusammenarbeit mit Behörden kann sinnvoll sein, sollte jedoch nicht schematisch erfolgen. Unternehmen müssen sorgfältig abwägen, in welchem Umfang Kommunikation zur Risikominimierung beiträgt und wo sie eigene rechtliche Positionen beeinträchtigen könnte. Die Kommunikationsstrategie sollte immer mit Blick auf die Gesamtverteidigungsstrategie, die Interessen des Unternehmens und der betroffenen Organmitglieder getroffen werden.
