Handlungsbedarf für Firmengruppen mit Bezug zu UK

Themen

31. Januar 2025

Neuer Compliance-Straftatbestand tritt im September 2025 in Kraft

Mit dem Erlass des „Economic Crime and Corporate Transparency Act 2023” (kurz: ECCTA) wird das Regelwerk zur Bekämpfung von Wirtschafts- und Finanzkriminalität in Großbritannien grundlegend verändert. Kern der Neuerung ist ein neuer gegen Unternehmen gerichteter Straftatbestand, der das Unterlassen von Betrugsprävention unter Strafe stellt. Die weitreichenden Änderungen erweitern die Möglichkeiten der britischen Behörden im Ausland ansässige Unternehmen für Wirtschaftsdelikte mit UK-Bezug zur Rechenschaft zu ziehen.

Aus deutscher Sicht interessant: Die neuen Regelungen des ECCTA weisen Parallelen zu den Regelungen der §§ 30, 130 OWiG auf. Beide ermöglichen es Behörden, Unternehmen zur Verantwortung zu ziehen, die durch mangelnde Kontrolle ihrer Beschäftigten oder unzureichende Compliance-Maßnahmen die Begehung von Straftaten oder Ordnungswidrigkeiten begünstigt haben.

Wer ist betroffen?

Der ECCTA richtet sich zunächst an so genannte „large organisations” (große Unternehmen) unabhängig von ihrem Sitz. Von dieser Begrifflichkeit sollte man sich jedoch nicht täuschen lassen, da die vom englischen Gesetzgeber definierten Schwellenwerte werden sehr schnell auch bereits von kleinen bzw. mittelständischen Unternehmen erreicht.

Als „large organisation“ zählt demnach ein Unternehmen, das im Wirtschafts- oder Kalenderjahr vor dem Compliance-Vorfall mindestens zwei der folgenden Kriterien erfüllt hat:

Umsatz von über 36 Millionen Pfund (ca. 42,5 Millionen Euro)
Bilanzsumme von mehr als 18 Millionen Pfund (ca. 21 Millionen Euro)
mehr als 250 Beschäftigte

Allerdings können auch Unternehmen, die unterhalb dieser Schwellenwerte liegen, als sogenannte “verbundene Personen” (“associated person”) erfasst sein, wenn diese für oder im Namen eines großen Unternehmens handeln. Erfasst sind Angestellte, Vertreter, Tochtergesellschaften samt ihrer Angestellten und alle Personen, die anderweitig Dienstleistungen für oder im Namen des Unternehmens erbringen.

Aus diesem Grund sollten sich Unternehmen unabhängig von ihrer Größe mit dem ECCTA auseinandersetzen und ihre internen Mechanismen betreffend Compliance- und Betrugsbekämpfung überprüfen und soweit erforderlich überarbeiten.

Warum sind die Neuerungen für deutsche Unternehmen relevant?

Um in den Anwendungsbereich des ECCTA zu fallen, genügt ein UK-Bezug, wobei die Schwelle hierfür recht niedrig gesetzt wird. Liegt ein solcher UK-Bezug vor, können auch deutsche Unternehmen durch UK-Behörden sanktioniert werden, dies insbesondere aufgrund von Fehlverhalten seitens lokaler Tochtergesellschaften, Betriebsstätten, Handelsvertreter sowie sogar eigener Lieferanten bzw. in die Leistungserbringung eingebundener Dienstleister.

Ausweislich der im November 2024 veröffentlichten Guidance, liegt inbesondere dann eine UK-Bezug vor, wenn

eine im Vereinigten Königreich ansässige Person eine relevante Tathandlung begeht, kann das Unternehmen, das ihn beschäftigt, sanktioniert werden, unabhängig davon, wo es seinen Sitz hat;
wenn eine im Ausland ansässige Person eine relevante Tathandlung im Vereinigten Königreich begeht oder die Tat sich gegen Opfer im Vereinigten Königreich richtet, kann das Unternehmen sanktioniert werden.

Was sind die konkreten Neuerungen?

Mit Inkrafttreten des ECCTA wurde der Straftatbestand der „failure to prevent fraud“ (Unterlassen der Betrugsprävention) neu eingeführt. Gemäß dieser Norm tritt Strafbarkeit ein, wenn ein großes Unternehmen es versäumt, Betrugs-, Untreue-, Diebstahls- und Unterschlagungsdelikte zu verhindern, (1) welche eine “associated person” (mit dem Unternehmen verbundene Person) (2) mit dem Vorsatz begeht, dem Unternehmen oder einer mit dem Unternehmen verbundenen Person einen unmittelbaren oder mittelbaren Vorteil zu verschaffen. Die Haftungsnorm greift dabei verschuldensunabhängig – eine Exkulpation ist nur bei aktivem Nachweis angemessener Compliance-Maßnahmen möglich.

Im Einzelnen:

Associated Person

Als mit dem Unternehmen verbundene Personen gelten Angestellte, Vertreter oder Tochterunternehmen des betroffenen Unternehmens oder natürliche und juristische Personen, die anderweitig Dienstleistungen für das betroffene Unternehmen oder in dessen Auftrag erbringen.

Weite Definition der Betrugstat

Der Begriff „Betrugsstraftat“ ist dabei nicht wörtlich zu lesen, sondern dient als Oberbegriff. Die neue Regelung hat ein weites Anwendungsfeld und ist umfassender als der deutsche § 263 StGB. Anhang 13 des ECCTA definiert eine Vielzahl von Delikten, die in den Anwendungsbereich der Regelung fallen, wie z.B. Betrug, Veruntreuung, Unterschlagung, falsche Buchführung und falsche Angaben von Unternehmensleitenden, sowie Geldwäsche und „ähnlich geartete“ Straftaten. Auch Beihilfe und Anstiftung zu diesen Taten fallen darunter. Eine Sanktionierung des Unternehmens kann dabei unabhängig davon erfolgen, ob der eigentliche Täter verfolgt wird.

Zurechenbarkeit: Erweiterung des Personenkreises

Der Kreis der Personen, deren Fehlverhalten dem Unternehmen zugerechnet werden kann wird zudem erweitert. So wurde bislang lediglich auf das Verhalten des „directing mind and will“ abgestellt. Es kam somit auf die zur Letztentscheidung befugte Person an, was in der Praxis zu Beweisschwierigkeiten der Behörden führte.

Mit dem ECCTA wird der sog. “senior manager test” eingeführt: demnach gilt diejenige Person als relevante Führungskraft,

die eine wesentliche Rolle bei den Unternehmensentscheidungen bezüglich Leitung und Organisation innehat oder
die gesamte oder teilweise tatsächliche Leitung der Unternehmenstätigkeit übernimmt.

Es soll dabei auf die tatsächliche Entscheidungsmacht ankommen, die konkrete Stellenbezeichnung ist nachrangig. Der relevante Personenkreis wird somit ggf. bis ins mittlere (lokale) Management ausgedehnt.

Was sind die Rechtsfolgen bei Verstößen?

Wird ein Unternehmen für einen Verstoß gegen das Gesetz haftbar gemacht, kann eine der Höhe nach unbegrenzte Geldstrafe verhängt werden. Insbesondere können Erträge aus den betroffenen Transaktionen abgeschöpft werden.

Was tun – Handlungsmöglichkeiten zur Enthaftung

Wird gegen Unternehmen ein Strafverfahren nach ECCTA eingeleitet, besteht die Möglichkeit sich durch den Nachweis angemessener Compliance-Maßnahmen zu enthaften („proportionate risk-based fraud prevention procedures“). Die Beweislast liegt dabei beim Unternehmen.

Grundsätzliche Erwägungen

Die Guidance der englischen Behörden sieht dabei sechs Grundprinzipien vor, deren Einhaltung und Dokumentation für ein angemessenes Compliance-System sprechen:

Commitment der Unternehmensleitung
Die Verantwortung für die Verhinderung und Aufdeckung von Betrug liegt bei den gesetzlichen Vertretern. Diese muss sich dafür einsetzen, dass von verbundenen Personen im Sinne des ECCTA keinen relevanter Straftaten begangen werden. Insbesondere besteht die Verpflichtung eine Kultur fördern, in der strafbares Verhalten nicht akzeptabel ist, und Gewinne, die auf Straftaten basieren abgelehnt werden.
Kommunikation und Training
Ein Top Level Commitment erfordert zudem eine angemessene Kommunikation der Haltung des Unternehmens zur Betrugsprävention („tone from the top“) inklusive regelmäßiger bzw. anlassbezogener Schulungen relevanter Personengruppen zu Compliance und zur Vermeidung von Straftaten.
Risikoanalyse
Unternehmen sind gehalten die Art und das Ausmaß des Risikos zu bewerten, dass Mitarbeiter, Vertreter und andere verbundene Personen relevante Tathandlungen begehen. Die Risikoanalyse soll dokumentiert und fortlaufend bzw. anlassbezogen auf Aktualität überprüft werden.
Angemessene, risikobasierte Präventivmaßnahmen
Präventivmaßnahmen müssen in einem angemessenen Verhältnis zu den Betrugsrisiken stehen, denen das jeweilige Unternehmen ausgesetzt ist. Sie müssen an Art, Umfang und Komplexität der Aktivitäten des Unternehmens ausgerichtet sein sowie inhaltlich klar, handhabbar und in der Praxis gelebt sein.
Due Diligence
Unternehmen sind gehalten in Bezug auf Personen, die Dienstleistungen für oder im Namen des Unternehmens erbringen oder erbringen werden, angemessene und risikobasierte Prüfprozesse anzuwenden, um im Rahmen der Risikoanalyse festgestellte Rechtsrisiken zu mindern.
Fortlaufende Überwachung
Unternehmen sind gehalten die Maßnahme zur Aufdeckung und Verhinderung von Straftaten fortlaufend zu überwachen und bei Bedarf zu überarbeiten. Dazu gehört, Erkenntnisse aus Investigations, Hinweisgeber-Meldungen sowie Entwicklungen im eigenen Marktsegment zu berücksichtigen.

Konkretisierung des Handlungsbedarfs für deutsche Unternehmen

Welcher konkrete Handlungsbedarf entsteht für deutsche Unternehmen, die im Vereinigten Königreich tätig sind oder mit britischen Unternehmen interagieren?

Grundsätzlich unterhalten die meisten Unternehmen heute – ggf. unterschiedlich ausgeprägte – Compliance-Systeme. Somit ist in der Regel kein Start von Null erforderlich. Gleichwohl sollten bestehende Maßnahmen risikobasiert an die neue Gesetzgebung angepasst werden. Dies kann z.B. beinhalten

Risikoanalyse für Tochtergesellschaften im Vereinigten Königreich
a. Überprüfung der internen Strukturen:
Tochtergesellschaften müssen ihre internen Compliance-Mechanismen und Verfahren überprüfen und an die neuen Anforderungen der ECCTA anpassen.
– Sind die bestehenden Compliance-Richtlinien und Prozesse auf den Schutz vor Betrugsstraftaten ausgerichtet?
– Wird die Rolle von „Senior Managern“ eindeutig definiert, und sind deren Verantwortlichkeiten hinsichtlich Präventionsmaßnahmen klar geregelt?
Etablierung oder Anpassung eines CMS:
Falls Tochtergesellschaften noch kein eigenständiges CMS haben, sollte dies eingeführt oder, falls vorhanden, erweitert werden. Besonderes Augenmerk sollte auf die Prävention von Straftaten durch Führungskräfte und Mitarbeitende gelegt werden.
Kontrolle und Einbindung von Vertragspartnern und Drittparteien
a. Due Diligence:
Vertragspartner, Subunternehmer und andere Drittparteien, die im Auftrag des Unternehmens tätig sind, sollten einer umfassenden Überprüfung unterzogen werden. Zu prüfen sind:
– Die Integrität und Bonität des Partners.
– Deren eigene Compliance-Standards und deren Umsetzung.
b. Vertragliche Absicherungen:
Es sollten klare Compliance-Klauseln in Verträge aufgenommen werden, z. B.:
– Verpflichtung zur Einhaltung von Anti-Fraud-Richtlinien.
– Regelmäßige Audits und/oder Berichtsanforderungen.
– Sanktionen bei Verstößen (z. B. Kündigung des Vertrags).
Schulung und Sensibilisierung
Mitarbeiter und relevante Vertragspartner sollten mit Hinblick auf ein Bewusstsein für die neuen Anforderungen geschult werden. Insbesondere sollte über die Relevanz und Konsequenzen der ECCTA informiert werden, um Compliance-Aktivitäten auch dort zu stärken, wo ein UK-Bezug denkbar erscheint.
Dokumentation zur Sicherstellung der Nachweisfähigkeit
Die getroffenen Compliance-Maßnahmen sind ausreichend zu dokumentieren, um im Fall einer behördlichen Untersuchung den Nachweis angemessener Maßnahmen zur Betrugsprävention führen zu können.

Fazit

Deutsche Unternehmen sollten mit Blick auf das in Kraft treten am 1. September 2025 dringend prüfen, ob Sie in den Anwendungsbereich der neuen Regelungen fallen.

Falls ja, sind nicht nur internen Prozesse ggf. anzupassen, sondern auch die Einbindung von Tochtergesellschaften und Vertragspartnern in zentrale Compliance- und Überwachungsprozesse zu vertiefen. Insbesondere die Ausweitung der Haftung auf Drittparteien erfordert eine systematische Prüfung und Anpassung bestehender Compliance-Strategien.

Unternehmen, die frühzeitig handeln, minimieren nicht nur rechtliche Risiken, sondern schützen auch ihre Reputation und Geschäftstätigkeit. Die Compliance Experten von ARQIS unterstützen Sie gerne.

Autor:
Christian Judis

Wie können wir Ihnen weiterhelfen?

Wenn Sie Fragen haben, schreiben Sie uns. Wir melden uns umgehend bei Ihnen.

Jetzt Kontakt aufnehmen