Um der zivil- und strafrechtlichen Inanspruchnahme wirksam vorzubeugen und die Exkulpationsmöglichkeit (Entlastungsbeweis) des Managements zu sichern, empfehlen sich folgende vordringliche Maßnahmen:
1. Durchführung integrierter Risiko-Audits (Silos aufbrechen)
Die isolierte Betrachtung von Risiken reicht nicht mehr aus. Es muss zwingend ein interdisziplinäres Risk-Assessment etabliert werden, das IT-Sicherheit, Umweltschutz und rechtliche Compliance verknüpft. Konkret sollten regelmäßige Audits prüfen, ob beispielsweise Cyber-Bedrohungen (Hacking, Systemausfälle) zu physischen Umweltschäden oder Datenschutzverstößen führen können. Diese Szenarien müssen dokumentiert und in entsprechende Notfallpläne aufgenommen werden.
2. Saubere Delegation und Definition der Verantwortlichkeiten
Die Geschäftsleitung kann und muss Aufgaben delegieren, bleibt aber in der Aufsichtspflicht. Um sich hier abzusichern, müssen die Berichtswege, Zuständigkeiten und Eskalationsstufen schriftlich und hinreichend bestimmt definiert werden (z. B. durch eine RACI-Matrix). Nur wenn das C-Level nachweisen kann, dass Aufgaben an sorgfältig ausgewählte, fachlich qualifizierte Personen (wie den Compliance-Officer oder CISO) übergeben und diese regelmäßig überwacht wurden, greift der Haftungsschutz. Dementsprechend gelingt den verantwortlich handelnden Personen der Entlastungsbeweis.
3. Implementierung eines beweissicheren "Incident Response Plans"
Ein Hinweisgebersystem allein genügt nicht; entscheidend ist der prozessuale Umgang mit den Meldungen. Es bedarf eines vorab klar ausgestalteten Notfallplans (Incident Response), der exakt regelt, wer im Falle eines Compliance-Verstoßes (Verdachtsmoments) in Kenntnis gesetzt wird, wie die interne Untersuchung ("Internal Investigation") abläuft und ab wann externe Rechtsbeistände oder Behörden eingeschaltet werden müssen. Dies ist der Kern einer funktionierenden Nachtat-Compliance.
4. Revisionssichere Dokumentation und Zertifizierung
Um die Beweislastumkehr bei der zivilrechtlichen Innenhaftung abzuwenden, muss das Compliance-Management-System (CMS) jederzeit lückenlos nachweisbar sein. Dies gelingt am besten durch die Einführung von Systemen, die gängigen Standards entsprechen (wie beispielsweise der ISO 37301 für Compliance-Management oder ISO 27001 für Informationssicherheit). Sämtliche Schulungen, Richtlinien-Updates und Kontrollmaßnahmen des C-Levels müssen mit Datum, Teilnehmern und Inhalten gerichtsfest protokolliert werden.
5. Aktive Überprüfung der D&O-Versicherungsbedingungen
In Anbetracht der drohenden Deckungslücken bei "grobem Verschulden" sollte die bestehende Manager-Haftpflichtversicherung (D&O) zwingend juristisch geprüft werden. Verträge sollten im besten Fall entsprechende Klauseln enthalten, die den Versicherungsschutz nicht sofort entfallen lassen, wenn erste Vorwürfe einer Aufsichtspflichtverletzung im Raum stehen (z. B. durch vorläufigen Rechtsschutz für die Abwehr von Organhaftungsansprüchen).
Die regulatorische Verdichtung durch NIS-2, DORA sowie die anstehenden StGB- und OWiG-Novellen zwingt das Management zum sofortigen Handeln. Ein Abwarten bis zum Verstreichen von Übergangsfristen begründet bereits ein eigenständiges Haftungsrisiko. Wer die Implementierung eines wirksamen, interdisziplinären Compliance-Management-Systems (CMS) verzögert, beraubt sich im Schadensfall jeglicher Exkulpationsmöglichkeit und riskiert die persönliche Inanspruchnahme wegen grob fahrlässiger Aufsichtspflichtverletzung (§ 130 OWiG i. V. m. § 93 AktG bzw. § 43 GmbHG).
Aufgrund der strengen Beweislastumkehr bei der zivilrechtlichen Innenhaftung ist ein proaktives Handeln ex ante unerlässlich. Nur ein zeitnah etabliertes, revisionssicheres CMS schützt das Privatvermögen des C-Levels und sichert den D&O-Versicherungsschutz. Die Erfüllung dieser unabdingbaren Legalitätspflicht duldet daher keinen rechtlichen Aufschub.