Die Kosten der Nichteinhaltung: Was die Bilanz der Durchsetzungsmaßnahmen auf Bundesebene über die Programmverteidigung aussagt

Die „Abwartehaltung“ in Sachen Compliance erscheint zunächst vernünftig, bis man sich die Bilanz der Durchsetzungsmaßnahmen ansieht. So sehen die Kosten des Abwartens in der Praxis tatsächlich aus.

Dekoratives Bild

Unternehmen, die einen nachlassenden Druck durch die Aufsichtsbehörden als Zeichen für ein geringeres Risiko gewertet haben, müssen bei einer späteren Überprüfung deutlich höhere Kosten tragen – in manchen Fällen ein Vielfaches dessen, was eine frühzeitige Abhilfe gekostet hätte. Die Durchsetzungsbilanz der letzten Jahre bestätigt dies durchweg.

  1. Sechs Jahre Verhaltensweise: Der Fall Cadence
  2. Was das Rahmenwerk des US-Justizministeriums vom März 2026 vorschreibt
  3. Mitarbeiter als Risikoinformationen
  4. Das 120-Tage-Fenster und was es auslöst
  5. Was proaktive Compliance-Programme bewirken
  6. Häufig gestellte Fragen

Haftungsrisiken entstehen in dem Zeitraum, in dem das Programm nicht darauf ausgerichtet ist, diese zu erkennen. Für jeden Compliance-Verantwortlichen lautet die entscheidende Frage: Wie hoch ist das Haftungsrisiko, das sich angesammelt hat, während das Programm nicht darauf ausgelegt war, es zu erkennen?

Sechs Jahre Verhaltensweise: Der Fall Cadence

Der im Juli 2025 abgeschlossene Vergleich mit Cadence Design Systems verdeutlicht das Ausmaß. Das Unternehmen zahlte Netto-Strafen in Höhe von insgesamt mehr als 140 Millionen US-Dollar: eine zivilrechtliche Geldstrafe in Höhe von 95 Millionen US-Dollar an das Bureau of Industry and Security sowie strafrechtliche Sanktionen in Höhe von fast 118 Millionen US-Dollar (bestehend aus einer Geldstrafe und einer Einziehung) an das Justizministerium, die zwischen den beiden Behörden so koordiniert wurden, dass sich der Gesamtnettobetrag durch gegenseitige Anrechnung auf über 140 Millionen US-Dollar belief.

Exportkontrollen standen während eines Großteils dieses Zeitraums weniger im Fokus der Strafverfolgungsbehörden als Verstöße gegen den FCPA oder Finanzbetrug, und das Haftungsrisiko wuchs in dieser Zeit stetig an. Die Verjährungsfristen sind so lang, dass Verhaltensweisen aus einer Zeit mit geringerer Strafverfolgungsaktivität auch dann noch vollumfänglich strafbar sind, wenn die Aufmerksamkeit der Behörden wieder auf sie gerichtet ist. Das Risiko für ein Unternehmen baut sich bereits in den Jahren auf, bevor die Aufsichtsbehörden tätig werden.

Was das Rahmenwerk des US-Justizministeriums vom März 2026 vorschreibt

Im März 2026 veröffentlichte das Justizministerium seine erste ressortweite Richtlinie zur Durchsetzung von Unternehmensvorschriften und zur freiwilligen Selbstanzeige. Organisationen, die freiwillig Informationen offenlegen und durch umfassende Abhilfemaßnahmen kooperieren, können Anspruch auf eine erhebliche Strafminderung und in einigen Fällen sogar auf einen vollständigen Verzicht auf die Strafverfolgung haben.

Die Einigung mit Balt SAS aus demselben Monat bietet einen Vergleich. Das französische Medizintechnikunternehmen legte Verstöße gegen den FCPA offen, während seine interne Untersuchung noch lief, kooperierte uneingeschränkt und ergriff Abhilfemaßnahmen; das Justizministerium verzichtete auf eine Strafverfolgung, und Balt SAS zahlte Gewinne in Höhe von rund 1,2 Millionen US-Dollar aus dem zugrunde liegenden Verhalten zurück.

Die finanziellen Unterschiede zwischen der Entscheidung im Fall Balt SAS und dem Fall Cadence zeigen, dass Unternehmen, die ihre eigenen Probleme offenlegen, unterschiedlich bestraft werden: Eine Rückzahlung in Höhe von 1,2 Millionen Dollar liegt in einer ganz anderen Größenordnung als die 140 Millionen Dollar, zu deren Zahlung Cadence verpflichtet wurde. Die Kluft zwischen diesen beiden Ergebnissen spiegelt wider, wozu das jeweilige Programm der beiden Unternehmen konzipiert wurde.

Das Rahmenwerk des DOJ legt die Bewertungskriterien klar fest: Die Staatsanwälte prüfen, ob ein Compliance-Programm gut konzipiert und in gutem Glauben umgesetzt wurde. Diese Bewertung wirkt sich unmittelbar darauf aus, wie die Ergebnisse berechnet werden.

Dasselbe Prinzip zieht sich auch durch Artikel 16 der EU-Antikorruptionsrichtlinie. Hat eine juristische Person wirksame interne Kontrollmechanismen sowie Programme zur Förderung des ethischen Bewusstseins und zur Einhaltung von Vorschriften eingeführt, wird dies bei der Strafzumessung als mildernder Umstand gewertet. Eine nachweisbare Reife der Programme, die bereits vor dem Auftreten eines Vorfalls aufgebaut und dokumentiert wurde, beeinflusst die Ergebnisse in allen Durchsetzungssystemen.

Mitarbeiter als Risikoinformationen

Die Kosten für die Nichteinhaltung steigen. 27.000 Hinweise von Whistleblowern bei der SECDie Durchsetzungsstatistik gibt zwar Aufschluss über die Höhe der Geldbußen und Vergleichszahlungen, erfasst jedoch nicht, ob Mitarbeiter innerhalb der Organisation eine glaubwürdiger interner Kanal die sie nutzen sollen, wenn sie ein Problem bemerken. Führungskräfte im Bereich Compliance neigen dazu, die tatsächliche Glaubwürdigkeit ihrer internen Kanäle zu überschätzen.

Die finanziellen Anreize für externe Meldungen wurden ausgeweitet. Das US-Justizministerium (DOJ) startete im August 2024 sein Pilotprogramm für Whistleblower-Prämien in Unternehmen und erweiterte dessen Geltungsbereich im Mai 2025 um Verstöße gegen Sanktionen, Handels- und Zollbetrug, Beschaffungsbetrug sowie Kartellaktivitäten. Die SEC erhielt im Geschäftsjahr 2025 rund 27.000 Hinweise, was einem Anstieg von 8 % gegenüber dem Vorjahr entspricht, und hat seit dem Start ihres Programms im Jahr 2011 mehr als 2,2 Milliarden US-Dollar an Belohnungen an 444 Personen ausgezahlt.

Mary Inman, Partnerin bei Whistleblower Partners, vertritt seit drei Jahrzehnten Whistleblower in US-amerikanischen Durchsetzungsverfahren. Ihre Einschätzung dazu, wie sich dies auf Unternehmen auswirkt: „Es scheint, als gäbe es jeden Tag ein neues Regierungsprogramm, das Anreize für Whistleblower schafft. Wenn Sie eine reaktive, abwartende Haltung einnehmen und darauf warten, dass die SEC und das DOJ tätig werden, haben Sie möglicherweise nicht bedacht, dass es da draußen eine Unbekannte gibt: die so genannten „angereizten Whistleblower“, die möglicherweise in Ihrer eigenen Organisation sitzen und bereit sind, ihre Bedenken extern zu melden, wenn diese nicht ernst genommen werden.“

Unternehmen sollten sich jedoch bewusst sein, dass eine Zunahme interner Meldungen nicht zwangsläufig zu höheren Strafen führt. Tatsächlich ist oft das Gegenteil der Fall. Eine von Stubben und Welch durchgeführte Studie, die im „Journal of Accounting Research“ veröffentlicht wurde und auf fast zwei Millionen internen Meldungen von mehr als 1.000 börsennotierten Unternehmen basiert, ergab, dass ein Anstieg des Volumens interner Whistleblower-Meldungen um 10 % mit einem Rückgang der staatlichen Bußgelder um 2 % und einer Senkung der Kosten für gerichtliche Vergleiche um 1 % in den Folgejahren einherging. Mitarbeiter entscheiden sich selten zuerst für eine externe Meldung; externe Kanäle werden erst dann zur Standardlösung, wenn interne Kanäle nicht glaubwürdig genug sind, um sie zu nutzen.

Mary Inman beleuchtet die kulturelle Dimension. Die Unternehmen, die am besten abschneiden, so sagte sie, seien diejenigen, die es ihren Mitarbeitern ermöglicht haben, Bedenken zu äußern, bevor diese sich anderweitig Luft machen. „Nutzen Sie Whistleblower als Instrument des Risikomanagements“, sagte sie. „Sie sind oft die loyalsten Mitarbeiter eines Unternehmens – diejenigen, die den Mut haben, ihre Meinung zu sagen, wenn alle anderen einfach mitlaufen.“

Das sagt ein Anwalt für Whistleblower:

Aufsicht vor Regulierung: SEC, DOJ und die Kosten des Abwartens

Das Webinar ansehen

Unternehmen mit gut genutzten internen Kanälen können Bedenken aufgreifen, bevor die Mitarbeiter andere Wege suchen. Inmans Beobachtung gilt über alle Rechtsordnungen hinweg: Ein Mitarbeiter, der Bedenken intern äußert, ist oft das nützlichste Risikosignal für das Unternehmen. Ob dieses Signal das Programm erreicht, hängt davon ab, ob es sich lohnt, den Kanal zu nutzen.

Das 120-Tage-Fenster und was es auslöst

Gemäß den Richtlinien des DOJ vom März 2026 kann ein Unternehmen eine vollständige Einstellung des Verfahrens erreichen, selbst wenn ein Hinweisgeber bereits sowohl intern als auch beim DOJ Meldung erstattet hat, vorausgesetzt, das Unternehmen legt den Sachverhalt innerhalb von 120 Tagen nach Erhalt der internen Meldung von sich aus offen.

Dieses 120-tägige Zeitfenster bedeutet, dass das DOJ interne Meldungen erwartet und unterstützt. Wenn Unternehmen ihre Hinweisgeber als Teil ihres internen Compliance-Programms behandeln, können sie eng mit dem DOJ zusammenarbeiten. Ohne eine Struktur für interne Meldungen ist das Zeitfenster bereits abgelaufen, bevor das Unternehmen überhaupt bemerkt, dass ein Problem vorliegt.

Was proaktive Compliance-Programme bewirken

Die meisten Unternehmen, die sich mit dieser Frage beschäftigen, fragen: Halten wir die Vorschriften ein? Die sinnvollere Frage – und die, die Staatsanwälte und Aufsichtsbehörden zunehmend ebenfalls stellen – lautet jedoch: Lässt sich heute gegenüber einem Prüfer nachweisen, dass das Programm funktioniert? Die Richtlinien dokumentieren, was das Programm leisten soll. Prüfer wollen jedoch Nachweise dafür, was es tatsächlich leistet.

Die Kosten einer Nichteinhaltung gehen über die in den Schlagzeilen genannte Geldbuße hinaus. Die gegen Cadence verhängte Geldbuße in Höhe von 140 Millionen US-Dollar überstieg bereits die Gewinne, die durch das zugrunde liegende Verhalten erzielt wurden; Durchsetzungsentscheidungen beinhalten in der Regel Auflagen zur Abhilfe sowie Verpflichtungen zur Überwachung der Einhaltung der Vorschriften, die diesen Betrag über Jahre hinweg weiter in die Höhe treiben.

Nur wenn das Programm aufgebaut wird, bevor der Druck entsteht, bleibt die gesamte Bandbreite an möglichen Ergebnissen erhalten. Die Fälle von Cadence und Balt SAS lassen sich direkt miteinander vergleichen: Das eine Unternehmen hat sein eigenes Problem erkannt, das andere nicht. Der Unterschied im Ergebnis zeigt, welchen Wert die Reife eines Programms hat.

Die wirtschaftlichen Argumente für eine Compliance-Kultur liegen auf der Hand

Planen Sie eine Demo

Häufig gestellte Fragen

Wie hoch sind die finanziellen Kosten, die Organisationen durch die Nichteinhaltung von Vorschriften entstehen?
Die Kosten für die Nichteinhaltung übersteigen regelmäßig den Wert des zugrunde liegenden Verhaltens. Cadence Design Systems zahlte insgesamt 140 Millionen US-Dollar an straf- und zivilrechtlichen Geldbußen für Verstöße gegen Exportkontrollvorschriften im Zeitraum von 2015 bis 2021. Über die in den Schlagzeilen genannte Geldbuße hinaus beinhalten Durchsetzungsentscheidungen in der Regel Auflagen zur Abhilfe und zur Überwachung der Einhaltung der Vorschriften, die die Gesamtkosten in den Folgejahren weiter in die Höhe treiben.

Verringert ein proaktives Compliance-Programm rechtliche und finanzielle Risiken?
Eine von Stubben und Welch durchgeführte Studie, die im „Journal of Accounting Research“ veröffentlicht wurde und auf fast zwei Millionen internen Meldungen von mehr als 1.100 börsennotierten Unternehmen basiert, ergab, dass ein Anstieg des Volumens interner Whistleblower-Meldungen um 10 % mit einem Rückgang der behördlichen Bußgelder um 2 % und einer Senkung der Kosten für gerichtliche Vergleiche um 1 % in den Folgejahren einherging. Der Zusammenhang ist eher direktional als kausal, aber konsistent: Unternehmen mit einer aktiveren internen Meldekultur erzielen bessere rechtliche Ergebnisse als solche mit unzureichend genutzten Systemen.

Kann eine Organisation auch dann noch für eine Strafverfolgungsaussetzung in Frage kommen, wenn ein Mitarbeiter bereits beim DOJ Meldung erstattet hat?
Ja, unter bestimmten Voraussetzungen. Die aktuellen Rahmenbedingungen des DOJ ermöglichen es einer Organisation, eine vollständige Strafverfolgungsaussetzung zu erhalten, selbst wenn ein Hinweisgeber sowohl intern als auch beim DOJ Meldung erstattet hat – vorausgesetzt, die Organisation legt den Sachverhalt innerhalb von 120 Tagen nach Erhalt der internen Meldung von sich aus offen. Ein funktionierendes internes Meldesystem ist die operative Voraussetzung dafür, dass dieses Zeitfenster überhaupt besteht.

Wie sollten Compliance-Verantwortliche vorgehen, wenn für einen bestimmten Risikobereich noch keine offiziellen behördlichen Leitlinien vorliegen?
Das Fehlen offizieller Leitlinien mindert das rechtliche Risiko nicht. Verhaltensweisen, die gegen geltendes Recht verstoßen, können unter künftigen Regierungen mit anderen Durchsetzungsprioritäten strafrechtlich verfolgt werden, und die Verjährungsfristen sind so lang, dass Verstöße aus früheren Jahren weiterhin geahndet werden können. Die am besten vertretbare Compliance-Strategie ist eine, die auf internen Erkennungsmechanismen basiert: Probleme müssen aufgedeckt werden, bevor sie die Aufsichtsbehörden erreichen – unabhängig von den aktuellen Durchsetzungsprioritäten.