• 1000

Ab 1. September 2025 können sich deutsche Unternehmen nach britischem Recht strafbar machen, wenn sie keine angemessenen Vorkehrungen zur Betrugsprävention getroffen haben. Zur Orientierung, welche Maßnahmen von Unternehmen diesbezüglich erwartet werden, hat das britische Innenministerium am 6. November 2024 umfangreiche Leitlinien veröffentlicht, die als Good Practice eines effektiven Compliance Managements auch dann von Unternehmen beachtet werden sollten, wenn diese nicht unmittelbar von dem neuen Straftatbestand erfasst sind.

Der neue Straftatbestand „Unterlassen der Betrugsprävention“

Um Unternehmen wirksamer für das Begehen schwerer Straftaten zur Verantwortung ziehen zu können, wurde im britischen Gesetz über Wirtschaftskriminalität und Unternehmenstransparenz (Economic Crime and Corporate Transparency Act 2023, ECCTA) in Section 199 ein neuer Unternehmensstraftatbestand eingeführt: Wegen „Unterlassen der Betrugsprävention“ (Failure to prevent fraud) kann sich ein Unternehmen ab 1. September 2025 in Großbritannien strafbar machen, wenn zu seinem Vorteil bestimmte Wirtschaftsstraftaten begangen wurden und es keine angemessenen Vorkehrungen getroffen hatte, um solche Taten zu verhindern. 

Das Grundprinzip ist auch aus dem deutschen Recht bekannt. Zwar gibt es hierzulande kein Unternehmensstrafrecht, jedoch kann Unternehmen nach §§ 30, 130 Ordnungswidrigkeitengesetz (OWiG) eine signifikante Geldbuße auferlegt werden, wenn sie Straftaten ihrer Beschäftigten nicht durch angemessene Aufsichtsmaßnahmen verhindert haben. Die enorme praktische Relevanz der §§ 30, 130 OWiG bei der Verfolgung von Wirtschaftskriminalität in Deutschland verdeutlichen die großen Fälle der letzten Jahre, in denen entsprechende Unternehmensgeldbußen jeweils im (hohen) mehrstelligen Millionenbereich und sogar bis zu einer Milliarde Euro verhängt wurden.

Wenngleich vom Grundprinzip her vergleichbar, gibt es jedoch auch klare Besonderheiten und Unterschiede der zukünftigen britischen Rechtslage.

Wann sich Unternehmen nach der neuen Norm in Großbritannien strafbar machen

Nach Section 199 ECCTA kann sich ein Unternehmen nur dann strafbar machen, wenn es entweder selbst oder sein Mutterunternehmen als „große Organisation“ (Large organisation) gilt. Als solche gilt jede juristische Person oder Personengesellschaft, die  - einschließlich ihrer Tochtergesellschaften  - mindestens zwei der folgenden Kriterien erfüllt:

  • mehr als 250 Beschäftigte,
  • mehr als 36 Millionen Pfund Umsatz,
  • eine Bilanzsumme von mehr als 18 Millionen Pfund.

Sofern nur die Muttergesellschaft des betreffenden Unternehmens als große Organisation gilt, wird diesem Tochterunternehmen zukünftig jede Betrugsstraftat („Fraud“) zugerechnet, die von dessen Angestellten zum Vorteil des Unternehmens begangen wurde. Gilt hingegen das betreffende Unternehmen selbst als große Organisation, so werden ihm nicht nur die Taten der eigenen Angestellten, sondern darüber hinaus auch noch die aller anderen „verbundenen Personen“ (beispielsweise Agenturen, Vertreter, Tochterunternehmen und Dienstleister, die im Auftrag oder im Namen des Unternehmens tätig sind) zugerechnet. Das ist dann der Fall, wenn diese zum Vorteil des Unternehmens oder auch nur zum Vorteil seiner Kunden begangen wurden  - letzteres jedoch nur dann, wenn das betreffende Unternehmen nicht selbst das Opfer des Betrugs war. Dabei kommt es in keinem der Fälle darauf an, ob die Unternehmensleitung die Straftat angeordnet hat oder davon wusste.

Der Begriff „Betrugsstraftat“ ist in diesem Zusammenhang übrigens nicht auf das deutsche Verständnis von Betrug im Sinne des § 263 StGB beschränkt, sondern deutlich weiter zu verstehen. Anhang 13 des ECCTA listet die hiervon umfassten Delikte auf  - unter anderem verschiedene Formen des Betrugs, Veruntreuung, Unterschlagung, falsche Buchführung und falsche Angaben von Unternehmensleitenden  - und könnte künftig noch um Straftaten mit „ähnlichem Charakter“ erweitert werden. Dazu zählen auch Geldwäschedelikte. Zudem fallen Beihilfe und Anstiftung zu den vorgenannten Taten unter den Fraud-Begriff. Insgesamt deckt der Begriff damit eine breite Palette an Wirtschaftsstraftaten ab. Die handelnde Person kann hierfür neben dem Unternehmen individuell für die Tat verfolgt werden. Dies ist allerdings keine zwingende Voraussetzung, um das Unternehmen dafür zur Verantwortung zu ziehen, die Tat nicht verhindert zu haben.

Eine Strafbarkeit des Unternehmens ist jedoch dann ausgeschlossen, wenn es nachweist, dass es zum Zeitpunkt, als die Betrugsstraftat begangen wurde

(1) über angemessene Vorkehrungen verfügt hat, um solche Taten zu verhindern (siehe unten), oder

(2) wenn es unter allen Umstanden nicht zumutbar war, von ihm solche Vorkehrungen zu erwarten.

Für die betroffenen Unternehmen folgt daraus letztlich eine Quasi-Verpflichtung, „angemessene Vorkehrungen“ zur Betrugsprävention (siehe unten) vorzuhalten. Deren Fehlen kann nicht unmittelbar sanktioniert werden. Kommt es jedoch zu einer Betrugsstraftat, wird das Unternehmen dafür bestraft, diese nicht mit angemessenen Vorkehrungen verhindert zu haben.

Auch deutsche Unternehmen können sich strafbar machen

Der Straftatbestand gilt nicht nur für Unternehmen mit Sitz in Großbritannien, sondern erfasst auch ausländische Gesellschaften. Voraussetzung der Strafbarkeit ist lediglich, dass die zugrundeliegende Betrugsstraftat  - deren Nichtverhinderung den Grund für die Unternehmensstrafbarkeit bildet  - einen UK-Bezug hat. Von einem solchen Bezug wird immer dann ausgegangen, wenn

  • eine Handlung, die Teil der Betrugsstraftat war, in Großbritannien stattgefunden hat,
  • der Vorteil aus der Betrugsstraftat in Großbritannien entstanden ist oder
  • der durch die Betrugsstraftat verursachte Verlust in Großbritannien entstanden ist.

Ein Unternehmen mit Sitz in Deutschland  - oder anderswo außerhalb des Vereinigten Königreichs  -, das selbst oder dessen Muttergesellschaft die Kriterien einer großen Organisation erfüllt, kann sich  also künftig nach britischem Recht beispielsweise dann strafbar machen, wenn 

  • ein in Großbritannien ansässiger Mitarbeitender (oder gegebenenfalls eine andere verbundene Person) eine Betrugsstraftat begeht oder 
  • wenn eine Betrugsstraftat von Deutschland aus begangen wird, deren Opfer (auch) in Großbritannien sind und das betreffende Unternehmen keine angemessenen Vorkehrungen zur Verhinderung solcher Taten vorgehalten hat. 

Unternehmen, deren Geschäft einen UK-Bezug hat  - und sei es auch nur dadurch, dass deren Kunden, Lieferanten oder sonstige Geschäftspartner in Großbritannien sitzen  - sollten daher entsprechende Präventionsvorkehrungen (siehe unten) treffen, um das Risiko einer Strafbarkeit hinreichend zu reduzieren. 

Auch kleinere Unternehmen, die nicht unmittelbar in den Anwendungsbereich der Strafnorm fallen, könnten mittelbar zu vergleichbaren Präventionsvorkehrungen verpflichtet werden. Dies insbesondere dann, wenn sie selbst als verbundene Person einer großen Organisation gelten, etwa weil sie Dienstleistungen in deren Auftrag oder in deren Namen erbringen. Insofern ist zu erwarten, dass die großen Unternehmen als Teil ihrer eigenen Betrugsprävention auch den mit ihnen verbundenen Personen bestimmte Anforderungen, beispielsweise auf vertraglicher Basis, auferlegen, die diese dann gegebenenfalls wiederum ihren eigenen Unterauftragnehmern auferlegen müssen.

Was sind „angemessene Vorkehrungen“ zur Betrugsprävention?

Kommt es zu einer relevanten Betrugsstraftat, für die ein Unternehmen nach der neuen Strafnorm in Großbritannien verfolgt werden könnte, weil es diese nicht verhindert hat, steht zunächst die Frage im Raum, ob überhaupt ein diesbezügliches Strafverfahren gegen das Unternehmen eingeleitet wird. Hierbei kann ein proaktives Zugehen auf die Strafverfolgungsbehörden und eine umfassende Kooperation mit diesen dazu führen, dass bereits von der Einleitung eines solchen Verfahrens abgesehen wird. Wird ein Strafverfahren gegen das Unternehmen eingeleitet, kommt es entscheidend darauf an, ob dieses den Nachweis dafür erbringen kann, dass es zum Zeitpunkt der Tat über angemessene Vorkehrungen verfügt hat, um ebensolche Taten zu verhindern. Die hierzu vom britischen Innenministerium veröffentlichten Leitlinien sind dazu bestimmt, Unternehmen eine Orientierung zu geben, welche Vorkehrungen diesbezüglich von ihnen erwartet werden. Da es letztlich von den Gerichten in jedem Einzelfall zu beurteilen ist, ob die konkreten Präventionsmaßnahmen angemessen waren, müssen Abweichungen von den genannten Leitlinien nicht automatisch dazu führen, dass die Angemessenheit verneint wird. Umgekehrt weist das britische Innenministerium aber auch ausdrücklich darauf hin, dass das Befolgen der Leitlinien nicht zwangsläufig einen sicheren Hafen bietet, da es je nach Einzelfall auch besondere Risiken geben kann, die durch die Leitlinien nicht berücksichtigt wurden. 

Die Leitlinien geben dabei die aktuelle Good Practice eines wirksamen Compliance Management Systems (CMS) wieder und verdeutlichen diese anhand zahlreicher Beispiele. Sie zeigen zudem auf, welche Fragen sich Unternehmen stellen sollten, um zu prüfen, ob die konkret durch die neue Strafnorm geschaffene Verantwortlichkeit und die diesbezüglich erfassten Straftaten hinreichend durch das eigene CMS abgedeckt sind. Unternehmen, die bereits über ein CMS verfügen, das den Vorgaben etablierter Standards, etwa dem IDW PS 980, entspricht, befinden sich bereits in einer sehr guten Ausgangslage, da auch die Leitlinien viele der daraus bereits bekannten Elemente aufgreifen. Allerdings ist zu berücksichtigten, dass bestehende CMS häufig vordergründig auf die eigene Belegschaft ausgerichtet sind und die Betrugsrisiken durch Drittparteien, die beispielsweise im Auftrag des Unternehmens tätig werden, mitunter nur unzureichend abdecken. Vor allem bei großen Unternehmen, die sich Straftaten dieser Drittparteien nach britischem Recht künftig zurechnen lassen müssen, könnte es daher entsprechende Anpassungsbedarfe in Bezug auf das bestehende CMS geben.

Der Leitfaden beschreibt sechs Grundprinzipien, an denen Unternehmen „angemessene Vorkehrungen“ zur Betrugsprävention ausrichten sollten:

Die Unternehmensleitung, bzw. der „Tone at the top“, spielt eine entscheidende Rolle bei der Bekämpfung von Wirtschaftskriminalität, weshalb es nicht verwunderlich ist, dass die Leitlinien diesen Aspekt an erste Stelle setzen. Gefordert wird ein Bekenntnis der Leitungs- und Aufsichtsorgane zur Betrugsbekämpfung, dem auch durch eine entsprechend geförderte Unternehmenskultur Ausdruck verliehen wird, in der Betrugstaten nicht akzeptiert und hierdurch erzielte Gewinne abgelehnt werden. Praktisch und nachweisbar umgesetzt werden sollte dies sowohl im Rahmen der internen Kommunikation als auch in der schriftlich fixierten Ordnung (Schulungspflichten, klare Richtlinien, Meldewege, geregelte Zuständigkeiten für die Betrugsprävention mit Berichterstattung an die Leitung etc.) sowie bei der initialen und langfristigen Bereitstellung der hierfür nötigen Ressourcen.

Unternehmen sollen die Risiken, dass Beschäftigte oder gegebenenfalls andere verbundene Personen relevante Betrugsstraftaten begehen, nach Art und Umfang bewerten, diese Bewertung dokumentieren sowie sie regelmäßig und anlassbezogen überprüfen. In der Praxis werden viele Unternehmen dafür auf bereits bestehende Risikoanalysen und die hierfür bereits genutzten Methoden und Ressourcen zurückgreifen können. Gleichwohl dürften auch in diesen Fällen in aller Regel noch Erweiterungen und Anpassungen vorzunehmen sein, um die von der Strafnorm erfassten Delikte und Szenarien vollständig abzudecken. Vor allem Unternehmen, die als große Organisation gelten und daher auch für die Verhinderung von Betrugsstraftaten sonstiger verbundener Personen verantwortlich sind, kann dies vor Herausforderungen stellen. Durch die weit gefasste Definition von „verbundenen Personen“ wird der erste Schritt des durchzuführenden Fraud Risk Assessments vielfach darin bestehen, zunächst Typologien zu erstellen. Diese sollten alle Dritten erfassen, die für das Unternehmen oder in dessen Namen Dienstleistungen erbringen. Je nach Unternehmen und konkretem Geschäft kann dies eine Vielzahl von Geschäftspartnern umfassen, die folglich auch in die Risikobewertung einzubeziehen sind. Dabei können von den zu berücksichtigenden Parteien jeweils ganz unterschiedliche Risiken ausgehen, die  - da unmöglich jedes denkbare Szenario antizipiert werden kann  - ebenfalls anhand von zu entwickelnden Typologien hinreichend abzubilden und zu klassifizieren sind. 

Für die Zwecke der Risikoanalyse sollte auf unterschiedliche Informationsquellen zurückgegriffen werden. Dabei heben die Leitlinien neben Erkenntnissen aus früheren Prüfungen und sektorspezifischen Informationen von Verbänden und Behörden insbesondere den Bereich Data Analytics hervor. Durch die gezielte Analyse von Datenbeständen können Anzeichen für kriminelle Handlungen sowie Prozess- und Kontrollschwächen identifiziert werden. Neue technische Möglichkeiten und Methoden, gerade im Bereich künstliche Intelligenz und Machine Learning, können die Effizienz und Effektivität des Vorgehens noch einmal signifikant steigern.

Die Verfahren und Maßnahmen, die zum Management der identifizierten Fraud Risiken ergriffen werden, sollten in einem angemessenen Verhältnis zu den Risiken selbst sowie zu Art, Umfang und Komplexität der Tätigkeiten des Unternehmens stehen sowie dem Grad an Kontrolle und Überwachung Rechnung tragen, den das Unternehmen auf die jeweiligen verbundenen Personen ausüben kann. Die Verfahren und Maßnahmen sollten zudem klar, praktisch und zugänglich sein sowie wirksam umgesetzt und durchgesetzt werden. Ihnen sollte ferner ein aus der Risikoanalyse abgeleiteter Präventionsplan zugrunde liegen, der auch von unabhängiger Seite auf seine Wirksamkeit überprüft wurde  - beispielsweise intern von einem nicht mit der Erstellung befassten Team oder durch externe Spezialisten.

Um Doppelaufwände zu vermeiden, sollten auch solche Maßnahmen berücksichtigt werden, die das Unternehmen gegebenenfalls bereits aus anderen Gründen implementiert hat, beispielsweise zum Umsetzen sektorspezifischer Vorgaben, sofern diese auch geeignet sind, bestimmten Betrugsrisiken entgegenzuwirken. Es sollte jedoch geprüft werden, inwieweit diese bestehenden Maßnahmen tatsächlich zur Betrugsprävention geeignet und wirksam sind. Denn es gibt keinen Automatismus dahingehend, dass „angemessene Vorkehrungen zur Betrugsprävention“ pauschal bejaht werden, nur weil das betreffende Unternehmen beispielsweise aufgrund des Sektors besonders reguliert ist. Kommt es zu einer relevanten Betrugsstraftat, prüft das zuständige Gericht vielmehr, ob die vorhandenen Maßnahmen als angemessen anzusehen sind, um entsprechende Taten zu verhindern. Welche Vorkehrungen und Maßnahmen konkret zu treffen sind, ist den Unternehmen dabei nicht  - auch nicht durch die Leitlinien  - vorgegeben, sondern dies ist individuell mit Blick auf das jeweilige Unternehmen und seine spezifische Risikosituation zu bestimmen.

Von Unternehmen wird erwartet, dass sie in Bezug auf die relevanten verbundenen Personen, von denen ein Betrugsrisiko ausgeht, Verfahren zum Erfüllen von risikobasierten Sorgfaltspflichten (Due Diligence) anwenden. Dies gilt für die eigenen Beschäftigten, wobei es beispielsweise auch darum gehen kann, übermäßigen Stress und unrealistische Zielvorgaben als kriminalitätsfördernde Faktoren einzudämmen. Aber auch und gerade im Hinblick auf Dritte, wie (potenzielle) Geschäftspartner oder im Rahmen von M&A-Transaktionen, sollten Überprüfungen erfolgen, die technisch unterstützt sein können, und das Einhalten von Vorgaben unter anderem durch vertragliche Vereinbarungen absichern. Sofern diese zum Reduzieren der konkret identifizierten Risiken geeignet sind, kann hierbei auch auf bereits bestehende Due-Diligence-Verfahren zurückgegriffen werden. Die Maßnahmen sollten zudem regelmäßig und in dokumentierter Form auf ihre Wirksamkeit und mögliche Anpassungsbedarfe überprüft werden.

Damit die eingerichteten Präventionsstrategien und -verfahren allen relevanten internen und gegebenenfalls externen verbundenen Personen hinreichend bekannt sind sowie von diesen verstanden und beachtet werden, sind regelmäßige und bei Bedarf anlassbezogene betrugsspezifische Schulungs- und Sensibilisierungsmaßnahmen von zentraler Bedeutung. Diese sollten in einem angemessenen Verhältnis zum jeweiligen Risiko stehen und sich inhaltlich sowohl auf die zu verhindernden Verhaltensweisen selbst als auch auf die Verfahren zu ihrer Bekämpfung beziehen. Wirksamkeit und Aktualität der Schulungsprogramme sollten regelmäßig überprüft werden. Dazu gehört auch, sicherzustellen, dass die Kommunikation auf allen Ebenen erfolgt. Denn der beste „tone at the top“ nutzt wenig, wenn gleichzeitig die mittlere Führungsebene illegales Verhalten von Beschäftigten aktiv ignoriert oder diese sogar dazu ermutigt, die Präventionsmaßnahmen des Unternehmens zu umgehen.

Um Betrug wirksam vorzubeugen, sollten Unternehmen über geeignete Regelungen und Strukturen zum Melden von Missständen, das heißt über ein funktionierendes und unabhängiges Hinweisgeber-System, verfügen und für eine Unternehmenskultur sorgen, in der Beschäftigte ihre Bedenken zu kommunizieren können. Dazu gehört auch, dass geäußerte Bedenken und gemeldete Hinweise auf Fehlverhalten nicht ignoriert, sondern angemessen und zeitnah untersucht werden und auf festgestellte Verstöße auch reagiert wird.

Neben der initialen Einführung oder Anpassungen von Präventionsmaßnahmen gilt es, dafür zu sorgen, dass diese laufend überwacht, überprüft und gegebenenfalls verbessert werden. Die Leitlinien benennen in Bezug auf das Monitoring ausdrücklich drei hiervon umfasste Elemente: Das Aufdecken von (versuchtem) Betrug, das Durchführen von Ermittlungen und das Überwachen der Wirksamkeit bestehender Präventionsmaßnahmen. In Bezug auf Letzteres sollte unter anderem geprüft werden, ob bestehende Maßnahmen vordergründig darauf ausgerichtet sind, Straftaten zu verhindern, die sich gegen das Unternehmen selbst richten, oder ob sie auch solche Taten wirksam abdecken, die zum vermeintlichen Nutzen des Unternehmens oder seiner Kunden begangen werden. Die über die Zeit gesammelten Erfahrungen und Erkenntnisse sollten genutzt werden, um mögliche Schwachstellen und Anpassungsbedarfe zu identifizieren und notwendige Änderungen vorzunehmen, etwa in Bezug auf bestehende Verfahren, Zuständigkeiten, Ressourcen, Berichtswege und Dokumentationsvorgaben. Hierbei sollte auch berücksichtigt werden, ob es neue Möglichkeiten zur technischen Unterstützung gibt, etwa durch den Einsatz von KI-Lösungen zum Erkennen potenzieller Betrugsfälle. Die bestehenden Verfahren sollten zudem regelmäßig und gegebenenfalls anlassbezogen dahingehend überprüft werden, ob sie auf eine eventuell veränderte Risikolage des Unternehmens anzupassen sind. 

Ausblick

Unternehmen sollten die Zeit bis zum Inkrafttreten der neuen Strafnorm nutzen, um ihre diesbezügliche Betroffenheit zu prüfen und geeignete Verfahren zur Betrugsprävention zu entwickeln, oder anzupassen und entsprechend umzusetzen. Der Straftatbestand wird es britischen Strafverfolgungsbehörden zukünftig leichter machen, Unternehmen, bzw. die Verantwortlichen in Unternehmen, für wirtschaftskriminelle Handlungen zur Rechenschaft zu ziehen, sofern ein irgendwie gearteter UK-Bezug der Taten gegeben ist. Das gilt auch, wenn die Straftat von Beschäftigten des Unternehmens oder von mit diesen verbundenen Dritten begangen wurde. Deutsche Unternehmen mit Kunden oder Geschäftspartnern im Vereinigten Königreich sollten sich dieses Risikos bewusst sein und entsprechend gegensteuern, insbesondere, wenn sie die Kriterien für die Geltung als große Organisation erfüllen. Doch auch kleinere Unternehmen könnten von der neuen britischen Rechtslage betroffen sein  - entweder unmittelbar, weil sie eine Muttergesellschaft haben, die als große Organisation gilt, oder mittelbar, weil ihnen von ihren Geschäftspartnern bestimmte Anforderungen zur Betrugsprävention auferlegt werden.

Die Expertinnen und Experten von KPMG verfügen über umfangreiche und langjährige Erfahrung bei der Durchführung von Fraud Risk Assessments im internationalen Kontext sowie bei der maßgeschneiderten Entwicklung und Optimierung von Fraud Management Systemen  - sowohl in Bezug auf die interne Compliance-Organisation als auch im Bereich Third-Party Risk Management. Mit unseren Corporate-Intelligence- und Forensic-Due-Diligence-Lösungen sowie unseren Leistungen im Bereich Data Analytics bieten wir zudem umfangreiche Unterstützung beim Überprüfen von (potenziellen) Geschäftspartnern, im Rahmen von M&A-Transaktionen und bei der zielgerichteten Analyse von unternehmenseigenen Datenbeständen. Sollte es zu Hinweisen auf Straftaten oder sonstige Compliance-Verstöße kommen, können Sie mit unserer Hilfe Sachverhalte umfassend und gerichtsfest aufklären, einschließlich der passgenauen Ableitung wirksamer Folgemaßnahmen, um Wiederholungen bestmöglich zu verhindern. 

Sprechen Sie uns gerne an.