Compliance-Management: Vom gesetzlichen Zwang zur Haftungsabwehr

Das OLG Nürnberg macht Compliance zur Chefsache

Am 30. März 2022 fällte das Oberlandesgericht Nürnberg ein Urteil, das die rechtlichen Anforderungen an Geschäftsführer fundamental veränderte. Das Gericht stellte unmissverständlich fest: Die Pflicht zur Implementierung eines Compliance-Management-Systems besteht unabhängig von der Unternehmensgröße. Es gibt keine Bagatellgrenze, keinen Freibetrag für kleine Betriebe, keine Ausnahme für Start-ups. Jeder Geschäftsführer einer GmbH, jedes Vorstandsmitglied einer Aktiengesellschaft ist verpflichtet, ein funktionierendes System zur Verhinderung von Rechtsverstößen zu etablieren. Die Nichterfüllung dieser Pflicht begründet eine persönliche Haftung, die unbegrenzt ist und das gesamte Privatvermögen umfasst.

Das Urteil kam nicht überraschend. Es steht in einer Reihe von Entscheidungen, die seit dem spektakulären Siemens-Fall im Jahr 2007 die Managerhaftung kontinuierlich verschärft haben. Damals verurteilte das Landgericht München zwei ehemalige Siemens-Vorstände zur Zahlung von fünfzehn Millionen Euro Schadensersatz. Der Vorwurf: Sie hatten keine ausreichenden Kontrollsysteme gegen Korruption implementiert. Bestechungszahlungen in dreistelliger Millionenhöhe waren jahrelang unentdeckt geblieben. Das Gericht sah darin eine schuldhafte Verletzung der Organisationspflicht. Die Vorstände hätten wissen müssen, dass ohne wirksame Kontrollen Rechtsverstöße wahrscheinlich sind.

Diese Rechtsprechung gewinnt im Kontext nordkoreanischer IT-Scams explosive Relevanz. Die systematische Infiltration deutscher Unternehmen durch IT-Arbeiter unter falschen Identitäten ist keine theoretische Gefahr mehr. Das Bundesamt für Verfassungsschutz warnt seit dem 1. Oktober 2024 offiziell. Mindestens zwei deutsche Fälle sind dokumentiert. Ein Berliner Software-Unternehmer beschäftigte unwissentlich anderthalb Jahre lang nordkoreanische Entwickler. Der Rüstungskonzern Diehl Defence wurde gezielt mit Fake-Jobangeboten attackiert. Die Dunkelziffer dürfte erheblich höher liegen. Google Threat Intelligence dokumentiert einen Anstieg von zweihundertzwanzig Prozent in Europa zwischen 2024 und 2025.

Manager, die jetzt nicht handeln, riskieren nicht nur Sanktionsverstöße nach dem Außenwirtschaftsgesetz mit bis zu zehn Jahren Freiheitsstrafe. Sie riskieren auch zivilrechtliche Haftungsansprüche in Millionenhöhe wegen Organisationsverschuldens. Die Argumentation liegt auf der Hand: Nach der offiziellen BfV-Warnung kann sich kein Geschäftsführer mehr auf Unkenntnis der Bedrohung berufen. Wer nach dem 1. Oktober 2024 weiterhin Remote-Mitarbeiter ohne angemessene Compliance-Strukturen einstellt, handelt schuldhaft. Die Beweislastumkehr zwingt ihn, im Schadensfall nachzuweisen, dass er ein funktionierendes Compliance-System hatte. Ohne diesen Nachweis steht die persönliche Haftung fest.

Die vier Säulen der Organisationspflicht

Das Oberlandesgericht Nürnberg konkretisiert in seinem Urteil vom 30. März 2022 vier zentrale Pflichten, die aus der allgemeinen Legalitätspflicht der Geschäftsleitung folgen. Diese vier Pflichten bilden das Fundament jedes Compliance-Management-Systems und müssen kumulativ erfüllt werden. Die Verletzung auch nur einer dieser Pflichten begründet die persönliche Haftung.

Die erste Pflicht ist die Einrichtung eines Compliance-Management-Systems als solchem. Das Gericht fordert eine organisatorische Struktur, die Rechtsverstöße systematisch verhindert. Diese Struktur muss dokumentiert sein. Es genügt nicht, dass der Geschäftsführer behauptet, er achte auf Rechtstreue. Er muss nachweisen können, welche konkreten Prozesse, Verantwortlichkeiten und Kontrollen existieren. Das System muss der Größe und Risikolage des Unternehmens angemessen sein, aber selbst Kleinstunternehmen müssen grundlegende Strukturen vorweisen.

Die zweite Pflicht betrifft die Gewährleistung der Legalität. Der Geschäftsführer muss sicherstellen, dass die Geschäftstätigkeit den gesetzlichen Vorgaben entspricht. Dies erfordert zunächst die Kenntnis der relevanten Rechtsnormen. Im Kontext von Remote-Einstellungen bedeutet dies: Der Geschäftsführer muss wissen, dass das Außenwirtschaftsgesetz Geschäfte mit Nordkorea verbietet. Er muss wissen, dass die EU-Verordnung 2017/1509 wirtschaftliche Beziehungen zu nordkoreanischen Staatsangehörigen untersagt. Er muss wissen, dass Geldtransfers über fünfzehntausend Euro genehmigungspflichtig sind.

Die bloße Kenntnis genügt jedoch nicht. Der Geschäftsführer muss auch praktische Maßnahmen ergreifen, um Verstöße zu verhindern. Bei Personaleinstellungen bedeutet dies konkret: Einführung standardisierter Prüfverfahren für alle Remote-Bewerber. Video-Interviews mit Ausweis-Check werden verpflichtend. Sanktionslisten-Screenings werden vor jedem Vertragsabschluss durchgeführt. Diese Maßnahmen müssen nicht nur beschlossen, sondern auch tatsächlich umgesetzt und überwacht werden.

Die dritte Pflicht ist die Einrichtung präventiver Kontrollen. Compliance erschöpft sich nicht in der Reaktion auf bekannt gewordene Verstöße. Der Geschäftsführer muss proaktiv Mechanismen schaffen, die Rechtsverstöße frühzeitig erkennen und verhindern. Im IT-Scam-Kontext gehören dazu technische Kontrollsysteme wie Endpoint Detection and Response Software auf allen Unternehmensgeräten. Netzwerk-Monitoring-Systeme, die anomale Zugriffsmuster erkennen. Vier-Augen-Prinzipien bei kritischen Zahlungen über festgelegte Schwellenwerte.

Präventive Kontrollen umfassen auch organisatorische Maßnahmen. Schulungen für Personalverantwortliche zu Red Flags bei Online-Bewerbungen. Regelmäßige Audits der Einstellungsprozesse durch die Compliance-Abteilung oder externe Prüfer. Anonyme Hinweisgebersysteme, über die Mitarbeiter Verdachtsfälle melden können. Diese Systeme müssen nach dem Hinweisgeberschutzgesetz ausgestaltet sein, das seit dem 2. Juli 2023 für Unternehmen ab fünfzig Mitarbeitern gilt, aber auch kleineren Unternehmen als Orientierung dienen sollte.

Die vierte Pflicht betrifft die Oberaufsicht und Aktualisierung. Der Geschäftsführer kann die Compliance-Aufgaben delegieren, etwa an einen Compliance-Officer oder die Rechtsabteilung. Die Oberverantwortung verbleibt jedoch bei ihm. Er muss sich regelmäßig über die Funktionsfähigkeit des Systems berichten lassen. Mindestens einmal jährlich sollte ein umfassender Compliance-Bericht erstellt werden, der die Wirksamkeit der Maßnahmen evaluiert, aufgetretene Verstöße analysiert und Verbesserungsvorschläge unterbreitet.

Entscheidend ist die kontinuierliche Anpassung des Systems an neue Bedrohungen. Die BfV-Warnung vom 1. Oktober 2024 zu nordkoreanischen IT-Scams ist ein klassisches Beispiel: Sobald eine neue Bedrohung bekannt wird, muss das Compliance-System entsprechend nachjustiert werden. Geschäftsführer, die die BfV-Warnung ignorieren und ihre Einstellungsprozesse nicht anpassen, verletzen ihre Oberaufsichtspflicht. Im Schadensfall werden sie nicht argumentieren können, sie hätten von der Gefahr nichts gewusst. Die offizielle Warnung einer Bundesbehörde eliminiert jede Berufung auf Unkenntnis.

Vom Standard zum gelebten System

Die Implementierung eines Compliance-Management-Systems folgt idealerweise international anerkannten Standards. Die ISO 37301, veröffentlicht im April 2021, löste die frühere ISO 19600 ab und gilt heute als weltweiter Referenzstandard. Die Norm beschreibt detailliert, welche Elemente ein wirksames Compliance-System enthalten muss und wie diese zusammenwirken. Eine Zertifizierung nach ISO 37301 ist nicht gesetzlich vorgeschrieben, bietet aber erhebliche Vorteile: Sie dokumentiert nach außen die Ernsthaftigkeit der Compliance-Bemühungen. Sie schafft Vertrauen bei Geschäftspartnern, Investoren und Behörden. Und sie dient im Haftungsfall als gewichtiges Indiz dafür, dass der Geschäftsführer seine Organisationspflicht erfüllt hat.

Die ISO 37301 strukturiert Compliance-Systeme nach sieben Kernelementen. Das erste Element ist das Commitment der Geschäftsleitung. Compliance muss Chefsache sein. Der Geschäftsführer muss durch sichtbare Handlungen demonstrieren, dass Regelkonformität oberste Priorität hat. Dies beginnt mit einer schriftlichen Compliance-Policy, die der Geschäftsführer persönlich unterzeichnet und an alle Mitarbeiter kommuniziert. Die Policy enthält klare Aussagen zur Nulltoleranz gegenüber Rechtsverstößen. Sie benennt Compliance als Unternehmenswert. Sie verpflichtet jeden Mitarbeiter zur Einhaltung aller relevanten Gesetze und internen Richtlinien.

Das zweite Element ist die Compliance-Risikoanalyse. Das Unternehmen identifiziert systematisch alle Bereiche, in denen Rechtsverstöße drohen. Bei einem IT-Dienstleister mit Remote-Workforce gehören Personaleinstellungen zu den Hochrisikobereichen. Die Analyse bewertet für jeden Risikobereich die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmaß. Nordkoreanische IT-Scams haben nach der BfV-Warnung eine hohe Eintrittswahrscheinlichkeit. Das Schadensausmaß ist existenzbedrohend: Strafrechtliche Verfahren, zivilrechtliche Millionenhaftung, Reputationsverlust.

Aus der Risikoanalyse leiten sich konkrete Compliance-Ziele ab. Für den Bereich Remote-Hiring könnte ein Ziel lauten: Hundertprozentige Vermeidung von Einstellungen unter falschen Identitäten. Ein weiteres Ziel: Null Sanktionsverstöße bei Zahlungen an Freelancer. Diese Ziele müssen messbar formuliert sein, damit ihre Erreichung überprüft werden kann. Key Performance Indicators könnten sein: Anzahl durchgeführter Video-Interviews mit Ausweis-Check, Anzahl durchgeführter Sanktionslisten-Screenings, Anzahl aufgedeckter verdächtiger Bewerbungen.

Das dritte Element umfasst die Compliance-Organisation. Es muss klar definiert sein, wer für Compliance verantwortlich ist. In größeren Unternehmen wird ein Compliance-Officer in Vollzeit bestellt. In kleineren Unternehmen kann diese Funktion in Teilzeit oder als Zusatzaufgabe wahrgenommen werden. Entscheidend ist: Der Compliance-Officer muss unabhängig sein. Er berichtet direkt an die Geschäftsführung. Er darf nicht in operative Entscheidungen eingebunden sein, die er später kontrollieren soll. Er benötigt uneingeschränkten Zugang zu allen relevanten Informationen und Personen.

Bei Remote-Einstellungen bedeutet dies: Der Compliance-Officer erhält Einblick in alle laufenden Bewerbungsverfahren. Er prüft stichprobenartig, ob die festgelegten Prozesse eingehalten werden. Er hat ein Vetorecht bei Einstellungen, wenn Compliance-Bedenken bestehen. Die HR-Abteilung ist verpflichtet, verdächtige Bewerbungen sofort an den Compliance-Officer zu melden. Diese organisatorische Trennung zwischen operativer HR-Arbeit und Compliance-Kontrolle ist essenziell für die Wirksamkeit des Systems.

Das vierte Element sind die Compliance-Richtlinien und -Prozesse. Abstrakte Compliance-Ziele müssen in konkrete Handlungsanweisungen übersetzt werden. Für Remote-Einstellungen bedeutet dies eine detaillierte Richtlinie, die jeden Schritt des Bewerbungsprozesses regelt. Die Richtlinie legt fest: Jede Remote-Bewerbung durchläuft einen standardisierten Fünf-Stufen-Prozess.

Stufe eins ist die Vorselektion. HR prüft Bewerbungsunterlagen auf offensichtliche Red Flags. LinkedIn-Profile unter sechs Monaten führen zur sofortigen Ablehnung. Fehlende physische Adressen sind Ausschlusskriterium. Bewerbungen, die ausschließlich Kryptowährungen als Zahlungsmittel akzeptieren, werden nicht weiterverfolgt. Diese Vorselektion reduziert die Anzahl verdächtiger Bewerbungen, die in tiefere Prüfungen gehen.

Stufe zwei ist das obligatorische Video-Interview. Die Richtlinie definiert präzise, wie das Interview abläuft. Der Kandidat erhält im Vorfeld keine Fragen, um die Vorbereitung von Deepfake-Antworten zu erschweren. Während des Interviews führt der Interviewer standardisierte Tests durch: Hand vor das Gesicht bewegen, schnelle Kopfdrehungen, Präsentation eines physischen Objekts. Technische Probleme mit der Kamera führen zur Absage, keine Ausnahmen. Das Interview wird mit Einwilligung aufgezeichnet und archiviert.

Stufe drei ist die Identitätsprüfung. Der Kandidat hält seinen amtlichen Ausweis in die Kamera, sodass alle Details lesbar sind. Der HR-Mitarbeiter erstellt Screenshots. Ein zweiter Mitarbeiter prüft unabhängig die Ausweiskopie auf Fälschungsmerkmale. Bei Unsicherheit wird ein spezialisierter Forensik-Dienstleister eingeschaltet. Zusätzlich wird ein aktueller Adressnachweis angefordert, nicht älter als drei Monate. Die ausstellende Stelle wird kontaktiert, um die Echtheit zu verifizieren.

Stufe vier ist das Sanktionslisten-Screening. Der Name des Kandidaten, sein Geburtsdatum und alle bekannten Aliasnamen werden gegen internationale Sanktionslisten geprüft. Die Prüfung erfolgt mit zertifizierten Tools, die mehrere hundert Listen durchsuchen. Das Screening-Ergebnis wird als PDF gespeichert und zur Compliance-Akte genommen. Bei auch nur teilweisen Treffern wird die Bewerbung abgelehnt, ohne Ausnahme. Die rechtlichen Risiken eines False Negative sind zu hoch.

Stufe fünf ist die Referenzprüfung. Mindestens zwei Referenzen werden telefonisch kontaktiert. Die Telefonnummern werden über öffentliche Quellen verifiziert, nicht aus den Bewerbungsunterlagen übernommen. Das Gespräch muss spezifische Details zur Zusammenarbeit liefern. Vage Aussagen oder ausweichende Antworten sind Red Flags. Die Referenzgespräche werden dokumentiert mit Datum, Gesprächspartner, gestellten Fragen und erhaltenen Antworten.

Das fünfte Element der ISO 37301 ist die Kommunikation und Schulung. Compliance funktioniert nur, wenn alle Mitarbeiter die Regeln kennen und verstehen. Jeder neue Mitarbeiter erhält im Onboarding eine Compliance-Schulung. Personalverantwortliche durchlaufen zusätzlich spezialisierte Trainings zu Red Flags bei Remote-Bewerbungen. Diese Schulungen werden mindestens jährlich wiederholt, um neue Bedrohungen zu adressieren. Nach der BfV-Warnung vom 1. Oktober 2024 sollten alle Unternehmen mit Remote-Hiring umgehend Ad-hoc-Schulungen zu nordkoreanischen IT-Scams durchführen.

Die Schulungen müssen interaktiv sein und realistische Szenarien durchspielen. Mitarbeiter lernen, wie Deepfakes erkannt werden. Sie üben, verdächtige Bewerbungen zu identifizieren. Sie verstehen die rechtlichen Konsequenzen von Compliance-Verstößen, nicht nur für das Unternehmen, sondern auch für sich persönlich. Die Teilnahme an Schulungen wird dokumentiert. Mitarbeiter unterschreiben, dass sie die Inhalte verstanden haben und sich zur Einhaltung verpflichten.

Das sechste Element umfasst Monitoring und Audits. Die Wirksamkeit des Compliance-Systems muss kontinuierlich überprüft werden. Der Compliance-Officer führt regelmäßige Stichproben durch. Er prüft zufällig ausgewählte Einstellungsvorgänge darauf, ob alle Prozessschritte dokumentiert sind. Er interviewt HR-Mitarbeiter, um sicherzustellen, dass die Richtlinien verstanden und angewendet werden. Systematische Abweichungen vom Soll-Prozess werden identifiziert und abgestellt.

Zusätzlich zu den internen Kontrollen empfehlen sich externe Audits. Unabhängige Wirtschaftsprüfer oder spezialisierte Compliance-Berater bewerten das System aus Außensicht. Sie identifizieren blinde Flecken, die internen Prüfern entgehen. Ein positives externes Audit-Ergebnis stärkt die Position des Geschäftsführers im Haftungsfall erheblich. Es dokumentiert, dass nicht nur ein System existiert, sondern dass dieses System auch objektiven Qualitätsstandards genügt.

Das siebte Element ist die kontinuierliche Verbesserung. Compliance ist kein statisches Projekt, sondern ein dynamischer Prozess. Neue Bedrohungen erfordern neue Maßnahmen. Erkannte Schwachstellen müssen behoben werden. Der Compliance-Officer erstellt jährlich einen Bericht an die Geschäftsführung, der die Compliance-Performance analysiert. Der Bericht enthält Kennzahlen zur Zielerreichung, eine Übersicht aufgetretener Verstöße, eine Bewertung der Systemwirksamkeit und konkrete Empfehlungen für Verbesserungen.

Die Geschäftsführung diskutiert den Bericht und beschließt notwendige Anpassungen. Diese Beschlüsse werden dokumentiert und umgesetzt. Der Zyklus aus Analyse, Anpassung und Kontrolle wiederholt sich kontinuierlich. Nur so bleibt das Compliance-System effektiv gegenüber sich wandelnden Bedrohungen. Die nordkoreanischen IT-Operationen werden ihre Taktiken weiterentwickeln. Deepfake-Technologie wird besser. Neue Verschleierungsmethoden werden entstehen. Das Compliance-System muss mitwachsen.

Wenn der Ernstfall eintritt

Trotz aller Präventivmaßnahmen kann es passieren: Ein Verdachtsfall tritt auf. Ein Mitarbeiter verhält sich anomal. Die IT-Sicherheit entdeckt verdächtige Netzwerkaktivitäten. Ein anonymer Hinweis geht ein. In diesem Moment entscheidet sich, ob das Compliance-System nicht nur auf dem Papier existiert, sondern tatsächlich funktioniert. Ein Incident Response Plan definiert präzise, wer was wann zu tun hat. Improvisation ist der Feind strukturierter Krisenbewältigung.

Die erste Phase ist die Sofortreaktion, die innerhalb der ersten Stunde erfolgen muss. Sobald ein Verdacht substantiiert erscheint, wird ein vordefiniertes Krisenteam alarmiert. Dieses Team besteht aus Geschäftsführung, Compliance-Officer, IT-Sicherheitsverantwortlichem, Rechtsabteilung und HR-Leitung. Das Team trifft sich virtuell oder physisch innerhalb von sechzig Minuten. Die erste Entscheidung: Werden Sofortmaßnahmen zur Schadensbegrenzung ergriffen?

Bei Verdacht auf einen nordkoreanischen IT-Worker sind diese Maßnahmen klar: Alle Systemzugänge der verdächtigen Person werden sofort gesperrt. Dies umfasst E-Mail-Konten, Netzwerkzugänge, Cloud-Dienste, interne Tools. Der verwendete Laptop wird aus der Ferne gesperrt und darf nicht mehr verwendet werden. Falls der Mitarbeiter im Büro arbeitet, wird das Gerät physisch sichergestellt. Die IT-Abteilung isoliert die betroffenen Systeme vom restlichen Netzwerk, um die Ausbreitung möglicher Malware zu verhindern. Alle ausgehenden Zahlungen an die verdächtige Person werden gestoppt.

Diese Sofortmaßnahmen erscheinen drastisch, sind aber notwendig. Die Erfahrung aus dem KnowBe4-Fall in Deutschland zeigt: Nordkoreanische IT-Arbeiter versuchen unmittelbar nach Erhalt des Systemzugangs, Malware zu installieren. Jede Verzögerung vergrößert den Schaden. Die rechtliche Bewertung ist eindeutig: Sofortmaßnahmen bei substantiiertem Verdacht sind nicht nur zulässig, sondern geboten. Sie dienen dem Schutz des Unternehmens und erfüllen die Schadenminderungspflicht des Geschäftsführers.

Die zweite Phase ist die Analysephase, die sich über die folgenden vierundzwanzig Stunden erstreckt. Das IT-Security-Team führt eine forensische Untersuchung durch. Welche Daten hat die verdächtige Person zugegriffen? Welche Dateien wurden kopiert oder heruntergeladen? Wurden Schadsoftware oder Backdoors installiert? Von welchen IP-Adressen erfolgten die Zugriffe? Zu welchen Uhrzeiten war die Person aktiv? Diese Analyse erfordert spezialisierte Forensik-Software und geschultes Personal.

Parallel recherchiert das Compliance-Team die Identität der Person. Sämtliche Bewerbungsunterlagen werden erneut geprüft. Die angegebene Adresse wird physisch verifiziert, etwa durch lokale Ermittler oder spezialisierte Dienstleister. Das LinkedIn-Profil wird analysiert: Wann wurde es erstellt? Wie aktiv ist es? Wer sind die Kontakte? Die angegebenen Referenzen werden erneut kontaktiert. Die Bankverbindung wird überprüft: Wo ist das Konto registriert? Auf wessen Namen läuft es? Gab es Kontowechsel während der Beschäftigung?

Die Rechtsabteilung bewertet die rechtlichen Implikationen. Liegt ein Verstoß gegen das Außenwirtschaftsgesetz vor? Wurden Sanktionslisten verletzt? Sind personenbezogene Daten abgeflossen, sodass eine DSGVO-Verletzung vorliegt? Besteht Meldepflicht gegenüber der Datenschutzbehörde? Müssen betroffene Kunden informiert werden? Diese Bewertung erfolgt idealerweise unter Einbeziehung externer Anwälte, die auf Sanktionsrecht und Datenschutz spezialisiert sind.

Die dritte Phase umfasst die Meldungen und erfolgt zwischen vierundzwanzig und zweiundsiebzig Stunden nach Entdeckung des Verdachts. Mehrere Behörden und Institutionen müssen informiert werden. Das Bundesamt für Verfassungsschutz sollte unverzüglich kontaktiert werden. Der BfV bittet um Meldungen verdächtiger Fälle, um das Gesamtbild der nordkoreanischen Operationen zu vervollständigen. Die Meldung erfolgt über die Kontaktstelle für Wirtschaftsschutz des jeweiligen Landesamts für Verfassungsschutz.

Bei Datenschutzverletzungen besteht Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde. Die DSGVO fordert Meldungen binnen zweiundsiebzig Stunden, wenn die Verletzung voraussichtlich ein Risiko für die Rechte der Betroffenen darstellt. Die Meldung muss die Art der Verletzung, die Kategorien betroffener Daten, die wahrscheinlichen Folgen und die ergriffenen Gegenmaßnahmen enthalten. Verspätete oder unterlassene Meldungen können zusätzliche Bußgelder auslösen.

Eine Strafanzeige bei der Polizei oder Staatsanwaltschaft sollte erwogen werden. Der Verdacht auf Sanktionsverstöße, Betrug oder Identitätsdiebstahl rechtfertigt eine Anzeige. Die Strafanzeige dokumentiert, dass das Unternehmen selbst Opfer ist und nicht Mittäter. Sie kann im späteren Verfahren die Position des Geschäftsführers stärken. Die D&O-Versicherung und die Cyber-Versicherung müssen umgehend informiert werden. Versicherungsbedingungen enthalten typischerweise Meldefristen, deren Nichteinhaltung den Versicherungsschutz gefährdet.

Betroffene Kunden müssen informiert werden, wenn deren Daten kompromittiert wurden. Die DSGVO verlangt unter bestimmten Umständen auch die direkte Benachrichtigung der betroffenen Personen. Diese Kommunikation muss sorgfältig vorbereitet werden. Sie sollte transparent über den Vorfall informieren, die ergriffenen Maßnahmen erläutern und Empfehlungen für die Betroffenen aussprechen. Rechtlich ist es ratsam, diese Kommunikation vor Versendung durch Anwälte prüfen zu lassen.

Die vierte Phase ist die Nachbereitung und erfolgt in den Wochen und Monaten nach dem Vorfall. Das Krisenteam erstellt einen detaillierten Abschlussbericht. Dieser dokumentiert die Chronologie des Vorfalls, die ergriffenen Maßnahmen, die entstandenen Schäden und die gewonnenen Erkenntnisse. Der Bericht identifiziert Schwachstellen im Compliance-System, die den Vorfall ermöglicht haben. Er enthält konkrete Empfehlungen zur Systemverbesserung.

Die Geschäftsführung beschließt Korrekturmaßnahmen. Dies können verschärfte Prüfprozesse bei Einstellungen sein, zusätzliche technische Kontrollen oder intensivere Schulungen. Die Umsetzung der Maßnahmen wird vom Compliance-Officer überwacht und dokumentiert. Lessons Learned werden im gesamten Unternehmen kommuniziert. Mitarbeiter lernen aus dem Vorfall, ohne dass Schuldige an den Pranger gestellt werden. Die Kultur des Lernens ist wichtiger als die Kultur der Bestrafung.

Die forensische Untersuchung wird abgeschlossen. Alle betroffenen Systeme werden bereinigt oder neu aufgesetzt. Passwörter werden geändert. Verschlüsselungsschlüssel werden erneuert. Die IT-Sicherheit implementiert zusätzliche Überwachungsmaßnahmen, um ähnliche Vorfälle künftig früher zu erkennen. Ein externer Penetrationstest überprüft, ob alle Schwachstellen beseitigt wurden.

Ihre Compliance-Selbstbewertung

Die folgende Checkliste ermöglicht Geschäftsführern eine schnelle Selbstbewertung ihres Compliance-Systems im Hinblick auf nordkoreanische IT-Scams. Jede Frage sollte ehrlich beantwortet werden. Jedes Nein ist eine Schwachstelle, die persönliche Haftungsrisiken schafft.

Organisatorische Grundlagen:

• Existiert eine schriftliche Compliance-Policy, die vom Geschäftsführer unterzeichnet ist?
• Ist ein Compliance-Officer benannt mit klaren Verantwortlichkeiten und Berichtswegen?
• Wurde eine Compliance-Risikoanalyse durchgeführt, die Remote-Einstellungen als Hochrisikobereich identifiziert?
• Gibt es messbare Compliance-Ziele für den Bereich Personaleinstellungen?
• Werden diese Ziele regelmäßig überprüft und der Geschäftsführung berichtet?

Einstellungsprozesse:

• Existiert eine schriftliche Richtlinie für Remote-Einstellungen, die alle Prüfschritte definiert?
• Sind Video-Interviews mit Kamera für alle Remote-Bewerber verpflichtend ohne Ausnahmen?
• Werden standardisierte Deepfake-Tests während der Video-Interviews durchgeführt?
• Erfolgt eine Ausweis-Prüfung im Video-Interview mit Dokumentation durch Screenshots?
• Wird ein aktueller Adressnachweis angefordert und dessen Echtheit verifiziert?
• Werden alle Bewerber vor Vertragsabschluss gegen Sanktionslisten gescreent?
• Erfolgt dies mit zertifizierten Tools, die internationale Listen abdecken?
• Werden Referenzen ausschließlich telefonisch über verifizierte Nummern geprüft?
• Wird die Bankverbindung auf Plausibilität geprüft?
• Sind Kryptowährungen als alleiniges Zahlungsmittel ausgeschlossen?

Technische Kontrollen:

• Erhalten Remote-Mitarbeiter ausschließlich firmeneigene Hardware?
• Ist auf allen Geräten EDR-Software installiert und aktiv?
• Existiert Netzwerk-Monitoring, das anomale Zugriffsmuster erkennt?
• Sind private VPN-Dienste auf Netzwerkebene blockiert?
• Ist Multi-Faktor-Authentifizierung für alle Systemzugänge verpflichtend?
• Existiert ein SIEM-System, das Sicherheitsvorfälle zentral erfasst?
• Werden alle Systemzugriffe mit IP-Adressen und Zeitstempeln geloggt?
• Werden diese Logs regelmäßig auf Impossible Travel und andere Anomalien geprüft?

Schulung und Kommunikation:

• Haben alle Personalverantwortlichen eine Schulung zu Red Flags bei Online-Bewerbungen erhalten?
• Wurde nach der BfV-Warnung vom 1. Oktober 2024 eine Ad-hoc-Schulung durchgeführt?
• Kennen alle relevanten Mitarbeiter die Konsequenzen von Sanktionsverstößen?
• Existiert ein anonymes Hinweisgebersystem für Compliance-Verdachtsfälle?
• Werden Compliance-Themen in regelmäßigen Team-Meetings besprochen?

Monitoring und Verbesserung:

• Führt der Compliance-Officer regelmäßige Stichproben bei Einstellungsvorgängen durch?
• Wird die Einhaltung der Einstellungsrichtlinie systematisch überprüft?
• Wurde das Compliance-System in den letzten zwölf Monaten extern auditiert?
• Erstellt der Compliance-Officer einen jährlichen Bericht an die Geschäftsführung?
• Existiert ein Prozess zur kontinuierlichen Verbesserung des Systems?

Incident Response:

• Existiert ein schriftlicher Incident Response Plan für Verdachtsfälle?
• Ist ein Krisenteam mit klaren Rollen definiert?
• Sind die Sofortmaßnahmen bei Verdacht dokumentiert?
• Kennen alle Teammitglieder ihre Aufgaben im Ernstfall?
• Wurde der Incident Response Plan in den letzten zwölf Monaten getestet?
• Sind die Kontaktdaten relevanter Behörden und Dienstleister hinterlegt?
• Existieren Vorlagen für notwendige Meldungen an Behörden?

Dokumentation:

• Wird jede Remote-Einstellung mit allen Prüfschritten lückenlos dokumentiert?
• Werden Video-Interviews mit Einwilligung aufgezeichnet und archiviert?
• Werden Ausweiskopien verschlüsselt gespeichert?
• Werden Sanktionslisten-Screenings mit Zeitstempel dokumentiert?
• Sind alle Compliance-Schulungen mit Teilnehmerlisten nachgewiesen?
• Existiert eine zentrale Compliance-Akte für jeden Mitarbeiter?

Versicherung:

• Wurde die D&O-Versicherung auf Deckung von Sanktionsverstößen geprüft?
• Existiert eine Cyber-Versicherung, die auch Managerhaftung abdeckt?
• Sind die Voraussetzungen der Versicherungen bekannt und werden sie erfüllt?
• Wurden die Versicherungen über die BfV-Warnung informiert?

Jede dieser Fragen, die mit Nein beantwortet werden muss, stellt ein konkretes Haftungsrisiko dar. Im Schadensfall wird der Geschäftsführer zu jeder Frage Stellung nehmen müssen. Er wird erklären müssen, warum er diese Maßnahme nicht ergriffen hat, obwohl sie dem Stand der Technik und der Rechtsprechung entspricht. Er wird darlegen müssen, welche alternativen Schutzmaßnahmen er stattdessen implementiert hat. Ohne überzeugende Antworten steht die persönliche Haftung fest.

---

Der abschließende Teil dieser Serie behandelt Versicherungsstrategien für Manager. Sie erfahren, welche Policen tatsächlich Schutz bieten, wo Deckungslücken bestehen und wie Sie persönliche Absicherung mit unternehmerischer Risikotragung kombinieren.