Wenn Nichtwissen nicht schützt: Die persönliche Haftung von Geschäftsführern bei nordkoreanischen IT-Scams

Sie dachten, Sie haben einen qualifizierten Remote-Developer eingestellt. In Wahrheit haben Sie gerade Ihr gesamtes Privatvermögen aufs Spiel gesetzt.

Nordkoreas Digitale Schattenarmee

Die unwissentliche Beschäftigung nordkoreanischer IT-Worker ist nicht nur ein betriebliches Risiko – sie ist eine existenzielle Bedrohung für jeden Geschäftsführer und Vorstand persönlich. Denn während die GmbH mit beschränkter Haftung arbeitet, haften Sie bei Compliance-Verstößen unbeschränkt mit Haus, Auto und Altersvorsorge. Und die Rechtsprechung macht unmissverständlich klar: „Ich habe es nicht gewusst“ ist keine Verteidigung mehr.

Die Rechtslage verschärft sich dramatisch. Mit der AWG-Novelle 2025 werden selbst fahrlässige Sanktionsverstöße strafbar, Unternehmensbußgelder steigen auf bis zu 40 Millionen Euro, und deutsche Gerichte haben erstmals konkrete Compliance-Pflichten definiert, deren Verletzung automatisch zur persönlichen Haftung führt. Gleichzeitig belegen US-Fälle wie der von Christina Chapman – 102 Monate Gefängnis für die Ermöglichung eines nordkoreanischen IT-Netzwerks – dass Strafverfolgungsbehörden weltweit diese Bedrohung ernst nehmen.

Dieser Artikel beleuchtet die strafrechtlichen und zivilrechtlichen Haftungsrisiken deutscher Geschäftsführer und Vorstände im Detail. Denn in einer Zeit, in der nordkoreanische IT-Worker systematisch europäische Unternehmen infiltrieren und das BfV öffentlich vor dieser Gefahr warnt, ist persönliche Haftung keine theoretische Möglichkeit mehr – sie ist eine reale und gegenwärtige Bedrohung.

Strafrechtliche Haftung: Bis zu 10 Jahre Haft für Sanktionsverstöße

Die rechtliche Grundlage: AWG §17 und §18

Die Beschäftigung nordkoreanischer IT-Worker verstößt direkt gegen die EU-Sanktionsverordnung 2017/1509, die seit Dezember 2019 jegliche Arbeitsgenehmigungen für nordkoreanische Staatsangehörige verbietet. Diese Verordnung ist unmittelbar geltendes Recht in Deutschland – keine Ausreden, keine Unwissenheit schützt vor ihrer Anwendung.

Das Außenwirtschaftsgesetz (AWG) setzt diese Sanktionen mit drastischen Strafen durch. Nach §18 AWG droht für Verstöße gegen EU-Sanktionsbestimmungen eine Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Kein Geldbußgeld als Alternative, keine Bewährung bei schweren Fällen – reale Haftstrafen. Bei besonders schweren Fällen, etwa wenn der Verstoß gewerbsmäßig erfolgte oder besondere Verschleierungshandlungen vorgenommen wurden, erhöht sich der Strafrahmen auf sechs Monate bis zehn Jahre Freiheitsstrafe (§18 Abs. 6 AWG).

Der verschärfte §17 AWG greift bei Verstößen gegen UN-Sanktionen mit Bezug zu militärischen Gütern und sieht ein bis zehn Jahre Haft vor. Auch wenn IT-Dienstleistungen nicht immer direkt unter die schwersten Kategorien fallen, zeigt der Strafrahmen die Ernsthaftigkeit: Der Gesetzgeber behandelt Sanktionsverstöße als Bedrohung der äußeren Sicherheit.

Geldwäsche: §261 StGB als zusätzliche Falle

Hier wird es besonders gefährlich: Jede Gehaltszahlung an einen nordkoreanischen IT-Worker kann Geldwäsche nach §261 StGB sein. Warum? Weil die Zahlung selbst bereits gegen das AWG verstößt und damit aus einer „rechtswidrigen Tat“ herrührt. Das reformierte Geldwäscherecht seit 2021 erfasst jede rechtswidrige Tat als Vortat – nicht mehr nur Katalogstraftaten.

Die Konsequenz: Wenn Sie als Geschäftsführer Gehälter an einen nordkoreanischen IT-Worker überweisen oder überweisen lassen, erfüllen Sie potenziell den Tatbestand der Geldwäsche. Bis zu fünf Jahre Haft drohen nach §261 Abs. 1 StGB. Bei besonders schweren Fällen, etwa wenn dies gewerbsmäßig geschieht oder im Rahmen einer Bande, erhöht sich die Strafe auf sechs Monate bis zehn Jahre (§261 Abs. 5 StGB).

Besonders perfide: Da etwa 90 Prozent der Gehälter nordkoreanischer IT-Worker direkt an das Regime in Pjöngjang fließen und dort das Atomwaffenprogramm finanzieren, sprechen Ermittler von Proliferationsfinanzierung – der Finanzierung von Massenvernichtungswaffen. Das verschärft die Bewertung erheblich.

Vorsatz oder Fahrlässigkeit: Wann haften Sie strafrechtlich?

Die entscheidende Frage für jeden Geschäftsführer lautet: Muss ich es gewusst haben, oder reicht schon Nachlässigkeit?

Grundregel: Das AWG verlangt bei §17 und §18 grundsätzlich vorsätzliches Handeln (außer bei §17 Abs. 5 für Militärgüter, wo Leichtfertigkeit ausreicht). Das heißt: Sie müssen wissen oder zumindest billigend in Kauf nehmen, dass Sie gegen Sanktionsbestimmungen verstoßen.

Aber Achtung: „Vorsatz“ bedeutet im Strafrecht nicht, dass Sie es sicher wissen mussten. Es reicht dolus eventualis – bedingter Vorsatz. Das bedeutet: Wenn Sie die Möglichkeit erkennen, dass der IT-Worker nordkoreanisch sein könnte oder gegen Sanktionen verstoßen wird, und Sie dies billigend in Kauf nehmen, liegt Vorsatz vor.

Konkret für nordkoreanische IT-Worker bedeutet das:

• Wenn mehrere Red Flags vorliegen (keine Videokonferenzen, inkonsistente Identität, ungewöhnliche Zahlungsmodalitäten, Remote-Desktop-Nutzung), und Sie diese ignorieren oder nicht weiter prüfen, kann das bereits als bedingter Vorsatz gewertet werden.
• Die öffentlichen Warnungen des BfV und die extensive Medienberichterstattung über nordkoreanische IT-Worker-Schemes bedeuten: Das Risiko ist Ihnen bekannt oder hätte Ihnen bekannt sein müssen.
• Wenn Sie keinerlei Sanktionsprüfungen durchführen, obwohl dies in Ihrer Branche Standard ist, sprechen Gerichte von „bewusstem Wegschauen“ – das ist dolus eventualis.

Die gute Nachricht: Rein fahrlässige Verstöße gegen das AWG sind bislang nur Ordnungswidrigkeiten nach §19 AWG mit Bußgeldern bis zu 500.000 Euro pro Verstoß. Aber die AWG-Novelle 2025 ändert das: Leichtfertige (also grob fahrlässige) Verstöße bei Dual-Use-Gütern werden strafbar (§18 Abs. 8a AWG-E) mit bis zu drei Jahren Haft oder Geldstrafe.

Die schlechte Nachricht: Bei §261 StGB (Geldwäsche) reicht für die Strafbarkeit bereits Leichtfertigkeit aus (§261 Abs. 6 StGB) – grobe Fahrlässigkeit bezüglich der illegalen Herkunft der Gelder. Bis zu zwei Jahre Haft sind hier möglich. Und „Leichtfertigkeit“ ist schnell erfüllt, wenn sich die illegale Herkunft „aufdrängt“ – etwa bei offensichtlichen Identitätsproblemen des Workers.

Kann ich mich auf „Nichtwissen“ berufen?

Die ehrliche Antwort: Kaum noch. Juristisch unterscheidet man zwischen Tatbestandsirrtum (§16 StGB) und Verbotsirrtum (§17 StGB):

Tatbestandsirrtum: Wenn Sie wirklich nicht wussten, dass der Worker nordkoreanisch ist, liegt kein Vorsatz vor. Aber: Das müssen Sie beweisen können. Und bei den typischen Red Flags (gefälschte Identität, VPN-Nutzung, Laptop-Farms, Zahlungsumwege) werden Gerichte sehr skeptisch sein.

Verbotsirrtum: „Ich wusste nicht, dass es illegal ist“ schützt nicht. Die EU-Sanktionsverordnungen sind öffentlich bekannt, das BfV hat gewarnt, die Medien berichten extensiv. Ein Verbotsirrtum ist „vermeidbar“ und führt trotzdem zur Bestrafung (ggf. mildere Strafe).

Praktische Realität: Deutsche Staatsanwaltschaften und Gerichte behandeln Sanktionsverstöße seit dem Ukraine-Konflikt 2022 mit verschärfter Aufmerksamkeit. Rund 2.000 Ermittlungsverfahren liefen allein in Deutschland seit Anfang 2022. Die Botschaft ist klar: Unternehmen werden erwartet, Sanktions-Compliance ernst zu nehmen. „Ich wusste es nicht“ wird als grobe Pflichtverletzung gewertet, nicht als Entschuldigung.

Konkrete Strafrahmen und Straferwartung

Um es konkret zu machen: Was droht Ihnen wirklich?

Bei vorsätzlichem Verstoß gegen §18 AWG:

• Mindestens drei Monate, maximal fünf Jahre Freiheitsstrafe
• Bei besonders schweren Fällen: sechs Monate bis zehn Jahre
• Keine Geldstrafe als Alternative – nur Haft
• Bewährung möglich bei Erstverurteilung unter zwei Jahren

Bei Geldwäsche §261 StGB:

• Bis zu fünf Jahre oder Geldstrafe (Grundtatbestand)
• Sechs Monate bis zehn Jahre bei besonders schweren Fällen
• Auch hier: Bewährung bei Ersttätern möglich

Unternehmensbußgelder zusätzlich:

• Aktuell: Bis zu 10 Millionen Euro
• Ab 2025 (AWG-Novelle): Bis zu 40 Millionen Euro
• Diese zahlt die GmbH/AG – aber Sie haften zivilrechtlich für den Schaden

Beispiel aus den USA (Christina Chapman, Juli 2025):

• 102 Monate Haft (8,5 Jahre) für die Betreiberin einer „Laptop Farm“
• Ermöglichte Beschäftigung nordkoreanischer IT-Worker bei 300+ US-Firmen
• Zusätzlich: $284.555 Vermögenseinziehung plus $176.850 Schadensersatz
• Das Gericht betonte: „Milde Strafen würden das falsche Signal senden“

Praxistipp: Die meisten deutschen Ermittlungsverfahren (über 50 Prozent) werden eingestellt – aber nur bei Kooperation, Ersttätern und sofortiger Abhilfe. Bei Ignorieren von Warnungen oder systematischen Verstößen wird durchprosekutiert. Nordkorea-Sanktionen sind aufgrund des Massenvernichtungswaffenbezugs besonders sensibel.

Zivilrechtliche Haftung: Ihr Privatvermögen steht auf dem Spiel

Die unbeschränkte persönliche Haftung nach §43 GmbHG und §93 AktG

Während das Strafrecht Sie ins Gefängnis bringen kann, vernichtet das Zivilrecht Ihr Vermögen. Und hier gibt es keine Beschränkung auf das Gesellschaftsvermögen – Sie haften persönlich, unbeschränkt und mit Ihrem gesamten Privatvermögen.

§43 Abs. 1 GmbHG verpflichtet Geschäftsführer, „die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“. §43 Abs. 2 GmbHG stellt klar: „Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.“

§93 Abs. 1 AktG setzt für Vorstände einen noch höheren Standard: „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“. Der Unterschied klingt klein, hat aber Gewicht: Vorstände tragen Verantwortung für fremde Vermögensinteressen in besonderer Weise und werden noch strenger beurteilt.

Was bedeutet „unbeschränkt mit Privatvermögen“?

• Ihr Haus, Ihre Wohnung: kann gepfändet und zwangsversteigert werden
• Ihr Auto, Wertgegenstände: können beschlagnahmt werden
• Ihre Altersvorsorge, Kapitallebensversicherungen: können verwertet werden
• Ihr Bankkonto: kann gepfändet werden bis auf das Existenzminimum
• Ihre Erbschaft, Schenkungen: können angefochten werden (Gläubigeranfechtung)

Die GmbH-Haftungsbeschränkung schützt Sie als Organ nicht. Sie schützt nur die Gesellschafter. Als Geschäftsführer stehen Sie außerhalb dieses Schutzschilds.

Die Sorgfaltspflichten im Detail: Was wird von Ihnen erwartet?

Der Begriff „ordentlicher Geschäftsmann“ bzw. „ordentlicher und gewissenhafter Geschäftsleiter“ umfasst fünf zentrale Pflichten:

1. Legalitätspflicht: Die absolute, nicht verhandelbare Pflicht zur Gesetzestreue. Sie dürfen nicht gegen Gesetze verstoßen – Punkt. Sanktionsvorschriften fallen vollumfänglich hierunter. Es gibt keinen unternehmerischen Ermessensspielraum bei der Frage, ob Sie Gesetze einhalten.

2. Treuepflicht: Sie müssen im Interesse der Gesellschaft handeln, nicht in Ihrem eigenen oder dem von Dritten. Persönliche Interessenkonflikte sind zu vermeiden.

3. Sorgfaltspflicht im engeren Sinne: Sie müssen sich informieren, Entscheidungen vorbereiten, Risiken bewerten und dokumentieren. Blindes Handeln oder Nichthandeln ist Pflichtverletzung.

4. Überwachungspflicht: Sie müssen Ihre Mitarbeiter, Kollegen in der Geschäftsführung und alle Geschäftsvorgänge überwachen. Das schließt HR-Prozesse, IT-Sicherheit und Compliance-Strukturen ein.

5. Compliance-Pflicht: Seit dem wegweisenden OLG Nürnberg-Urteil vom 30.03.2022 (Az. 12 U 1520/19) ist klar: Sie müssen ein funktionierendes Compliance Management System (CMS) einrichten. Dieses muss Rechtsverstöße der Gesellschaft und ihrer Mitarbeiter aktiv verhindern.

OLG Nürnberg: Compliance ist keine Option, sondern Pflicht

Dieses Urteil ist ein Meilenstein. Erstmals hat ein deutsches Obergericht detailliert festgelegt, was Geschäftsführer tun müssen:

Der Fall: Ein Mineralölhandelsunternehmen erlitt einen sechsstelligen Schaden, weil ein Prokurist das Tankkartensystem manipulierte und Kundenkreditlimits überschritt. Der Geschäftsführer hatte kein Vier-Augen-Prinzip implementiert. Das Gericht verurteilte ihn zu einem hohen sechsstelligen Schadensersatz (geschätzt 500.000–900.000 Euro).

Die Grundsätze:

1. CMS ist Pflicht: „Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.“
2. Vier-Augen-Prinzip bei riskanten Tätigkeiten: Für „schadensträchtige Tätigkeiten“ – und dazu gehören zweifellos Einstellungen von Remote-IT-Workern aus Hochrisikogebieten – müssen Sie ein Vier-Augen-Prinzip einführen.
3. Aktive Überwachung: Es reicht nicht, das System einzurichten. Sie müssen es aktiv überwachen, stichprobenartig kontrollieren und bei Unregelmäßigkeiten sofort eingreifen.
4. Meta-Überwachung: Auch wenn Sie Compliance-Aufgaben delegieren (z.B. an HR oder einen Compliance Officer), behalten Sie die „Oberaufsicht“. Sie müssen das System der Delegation selbst überwachen.

Bedeutung für nordkoreanische IT-Worker:

Sanktionsverstöße fallen unter die Legalitätspflicht und sind hochriskant. Das OLG Nürnberg-Urteil bedeutet konkret:

• Sie müssen Sanktionslisten-Screenings implementieren
• Sie müssen Identitätsprüfungen bei Remote-Einstellungen durchführen (Video-Calls mit klarer Sicht, Dokumentenverifikation)
• Sie müssen ein Vier-Augen-Prinzip bei IT-Einstellungen einrichten
• Sie müssen regelmäßige Kontrollen durchführen
• Sie müssen dokumentieren, dass diese Prozesse laufen

Wenn Sie das nicht tun und es kommt zu einem Sanktionsverstoß, haften Sie persönlich – selbst wenn Sie vom konkreten Verstoß nichts wussten.

Business Judgment Rule: Gilt sie bei Compliance?

Die Business Judgment Rule (§93 Abs. 1 S. 2 AktG) schützt Vorstände bei unternehmerischen Entscheidungen vor Haftung, wenn sie auf angemessener Informationsgrundlage zum Wohl der Gesellschaft handelten. Analog wird sie auch für GmbH-Geschäftsführer angewendet.

Aber: Sie gilt nicht für Compliance- und Rechtsfragen. Der BGH hat in seiner ISION-Entscheidung (20.09.2011, II ZR 234/09) klargestellt: Es gibt keine „Legal Judgment Rule“.

Bei Rechtsfragen müssen Sie sich rechtlich korrekt verhalten. Sie haben keinen Ermessensspielraum, ob Sie Sanktionen einhalten. Die Business Judgment Rule schützt Sie nicht, wenn Sie:

• Keine Sanktionsprüfungen durchführen
• Keine Compliance-Strukturen einrichten
• Bewusst auf Due Diligence verzichten
• Rechtsunsicherheiten ignorieren statt Rechtsrat einzuholen

Fazit: Bei der Frage „Beschäftige ich einen nordkoreanischen IT-Worker?“ gibt es keine unternehmerische Abwägung. Es ist eine rechtliche Pflicht, dies zu verhindern. Punkt.

Beweislastumkehr: Sie müssen beweisen, dass Sie nichts falsch gemacht haben

Hier wird es richtig unangenehm. Nach §93 Abs. 2 S. 2 AktG gilt ausdrücklich: „Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.“

Für GmbH-Geschäftsführer gilt diese Beweislastumkehr analog (BGH, 04.11.2002 – II ZR 224/00), auch wenn §43 GmbHG sie nicht ausdrücklich nennt.

Was bedeutet das?

Normalerweise muss derjenige beweisen, der etwas behauptet. Aber bei Organpflichtverletzungen ist es umgekehrt:

Die Gesellschaft (bzw. der Insolvenzverwalter) muss nur beweisen:

• Es ist ein Schaden entstanden (und dessen Höhe – mit Erleichterungen nach §287 ZPO)
• Der Schaden fällt in Ihren Verantwortungsbereich
• Ihr Verhalten war möglicherweise pflichtwidrig
• Es besteht ein Kausalzusammenhang

Sie als Geschäftsführer müssen beweisen:

• Dass Sie Ihre Sorgfaltspflichten erfüllt haben
• Dass Sie kein Verschulden trifft
• Dass der Schaden auch bei pflichtgemäßem Verhalten eingetreten wäre

Konkret bei nordkoreanischen IT-Workern:

Wenn die Gesellschaft von den Behörden sanktioniert wird, weil Sie unwissentlich einen nordkoreanischen IT-Worker beschäftigt haben, müssen Sie beweisen:

• Dass Sie ein Sanktions-Screening-System eingerichtet hatten
• Dass Sie Identitätsprüfungen durchgeführt haben
• Dass Sie Video-Calls gemacht haben
• Dass Sie ein Vier-Augen-Prinzip etabliert hatten
• Dass Sie Dokumentation führten
• Dass Sie trotz allem getäuscht wurden

Haben Sie das nicht, verlieren Sie automatisch. Keine Dokumentation = keine Beweismittel = Sie haften.

Innenhaftung vs. Außenhaftung: Wer kann Sie verklagen?

Innenhaftung (§43 Abs. 2 GmbHG, §93 Abs. 2 AktG):

Die Haupthaftung läuft über Ansprüche der Gesellschaft gegen Sie. Die GmbH oder AG verklagt Sie auf Schadensersatz. In der Praxis geschieht das typischerweise durch:

• Den Insolvenzverwalter (wenn die Gesellschaft insolvent wird – und über 90 Prozent der deutschen D&O-Fälle sind Insolvenzhaftung)
• Die Gesellschafterversammlung (bei noch solventen Gesellschaften)
• Einen abberufenen Nachfolger-Geschäftsführer

Außenhaftung:

Direktansprüche von außen sind begrenzt, aber möglich:

• Finanzbehörden: Persönliche Haftung für nicht abgeführte Steuern (§§34, 69 AO) – hier gibt es keine Haftungsbeschränkung
• Sozialversicherungsträger: Persönliche Haftung für nicht abgeführte Sozialversicherungsbeiträge
• Gläubiger: Nach §93 Abs. 5 AktG bei grober Pflichtverletzung und wenn die Gesellschaft die Forderung nicht begleichen kann
• Deliktsansprüche: Nach §823 BGB bei vorsätzlicher sittenwidriger Schädigung

Bei Sanktionsverstößen drohen zusätzlich:

• Strafverfolgung: Staatsanwaltschaft kann Sie persönlich strafrechtlich verfolgen
• Bußgelder: Gegen Sie persönlich nach §130 OWiG (Aufsichtspflichtverletzung) bis zu 1 Million Euro
• Unternehmensbußgelder: Gegen die Gesellschaft bis zu 40 Millionen Euro (ab 2025) – wofür Sie dann wiederum der Gesellschaft haften

Gesamtschuldnerische Haftung: Alle Geschäftsführer haften gemeinsam

Wenn mehrere Geschäftsführer vorhanden sind, haften sie nach §43 Abs. 2 GmbHG „solidarisch“ bzw. nach §93 Abs. 2 S. 1 AktG als „Gesamtschuldner“. Das bedeutet:

• Die Gesellschaft kann von jedem einzelnen Geschäftsführer den gesamten Schaden verlangen
• Sie sucht sich strategisch denjenigen mit dem „dicksten Geldbeutel“ aus
• Intern können Sie sich dann untereinander ausgleichen (§426 BGB) – aber das ist Ihr Problem

Auch bei Ressortverteilung (einer ist für HR zuständig, einer für Finanzen) gilt:

Sie tragen Gesamtverantwortung. Jeder Geschäftsführer muss das Gesamtunternehmen im Blick haben und haftet auch für Pflichtverletzungen in anderen Ressorts, wenn er davon wusste oder hätte wissen müssen. Gegenseitige Überwachungspflicht!

Beispiel: Der kaufmännische Geschäftsführer stellt den IT-Worker ein. Der technische Geschäftsführer bekommt mit, dass merkwürdige Remote-Desktop-Software läuft und Identitätsprobleme bestehen, sagt aber nichts. Beide haften gesamtschuldnerisch.

Konkrete Haftungsszenarien: Was kostet es Sie?

Szenario 1: Unwissentliche Beschäftigung über 6 Monate (leichte Fahrlässigkeit)

Sachverhalt:

• Einstellung eines angeblich tschechischen IT-Developers im Remote-Modell
• Kein Video-Call durchgeführt (nur E-Mail-Kommunikation)
• Keine Sanktionslisten-Prüfung
• Zahlung von monatlich 6.000 Euro über 6 Monate = 36.000 Euro Gesamtzahlung
• Nach BfV-Hinweis wird entdeckt: Worker ist nordkoreanisch
• Sofortige Kündigung und Meldung an Behörden

Strafrechtlich:

• Wahrscheinlich keine Strafverfolgung (fehlender Vorsatz, da sofort gemeldet)
• Möglicherweise Bußgeld gegen die Gesellschaft (§19 AWG): 30.000–100.000 Euro

Zivilrechtlich:

• Die Gesellschaft verlangt von Ihnen Schadensersatz
• Zahlung an nordkoreanischen Worker: 36.000 Euro (war illegal, Gesellschaft hat „Schaden“)
• Bußgeld: 30.000–100.000 Euro
• Anwaltskosten: 20.000–50.000 Euro
• Reputationsschaden, Untersuchungskosten: 50.000 Euro
• Gesamtschaden: ca. 136.000–236.000 Euro

Ihre persönliche Haftung: Wahrscheinlich 50–100 Prozent, da Sie einfache bis mittlere Fahrlässigkeit trifft (kein CMS, keine Screenings). Erwartung: 70.000–200.000 Euro persönlich.

D&O-Versicherung: Zahlt möglicherweise (einfache Fahrlässigkeit), aber prüft sehr genau, ob „wissentliche Pflichtverletzung“ vorlag (Ausschlussgrund). Bei fehlenden Compliance-Strukturen wird Zahlung oft verweigert oder auf 30–50 Prozent reduziert.

Szenario 2: Fortgesetzte Beschäftigung nach BfV-Warnung (grobe Fahrlässigkeit/bedingter Vorsatz)

Sachverhalt:

• Wie Szenario 1, aber: Sie haben die BfV-Warnung zu nordkoreanischen IT-Workern gelesen
• Sie haben interne Bedenken von IT-Mitarbeitern ignoriert (Remote-Desktop-Software, IP-Adressen in China)
• Weiterbeschäftigung über 12 Monate = 72.000 Euro Gesamtzahlung
• Erst nach Zollfahndungs-Razzia wird Beschäftigung beendet

Strafrechtlich:

• Hohe Wahrscheinlichkeit strafrechtlicher Verfolgung (dolus eventualis)
• §18 AWG: 3 Monate bis 5 Jahre Freiheitsstrafe
• §261 Abs. 6 StGB (leichtfertige Geldwäsche): bis 2 Jahre
• Realistisch bei Ersttäter und Kooperation: 12–24 Monate auf Bewährung
• Geldauflage: 20.000–50.000 Euro

Zivilrechtlich:

• Zahlungen: 72.000 Euro
• Unternehmensbußgeld: 200.000–500.000 Euro (Sie haften der Gesellschaft hierfür)
• Anwalts- und Verteidigungskosten: 80.000–150.000 Euro
• Interne Untersuchung (Forensik, Anwälte): 100.000–200.000 Euro
• Reputationsschaden, Kundenabwanderung: 200.000–500.000 Euro
• Gesamtschaden: ca. 650.000–1.422.000 Euro

Ihre persönliche Haftung: Bei grober Fahrlässigkeit/dolus eventualis: 100 Prozent. Erwartung: 650.000–1,4 Millionen Euro persönlich.

D&O-Versicherung: Zahlt nicht (Ausschluss „wissentliche Pflichtverletzung“). Selbst bei Deckungszusage: Nach BGH-Rechtsprechung kann Versicherer nachweisen, dass Sie die Pflichten kannten und bewusst verletzten → Deckungsausschluss.

Szenario 3: Systematische Nichtimplementierung von Compliance (schwere Pflichtverletzung)

Sachverhalt:

• Mittelständisches Unternehmen, 50 Mitarbeiter, 10 Remote-IT-Worker
• Keinerlei Compliance-Management-System trotz riskanter IT-Auslagerung
• Keine Sanktionslisten-Checks, keine Videokonferenzen, keine IP-Überprüfungen
• Drei nordkoreanische IT-Worker über 18 Monate beschäftigt
• Gesamtzahlungen: 324.000 Euro (3 × 6.000 Euro × 18 Monate)
• Worker hatten Zugang zu sensiblen Kundendaten und technischen Designs
• Entdeckung erst durch FBI-Hinweis (internationaler Fall)

Strafrechtlich:

• Bundesanwaltschaft übernimmt (Fall berührt äußere Sicherheit, internationaler Bezug)
• §18 AWG: 3 Monate bis 5 Jahre, wahrscheinlich als besonders schwerer Fall: 6 Monate bis 10 Jahre
• §261 StGB (Geldwäsche): bis 10 Jahre bei besonders schwerem Fall
• Kombination mit §130 OWiG (Aufsichtspflichtverletzung)
• Realistisch: 2–4 Jahre Freiheitsstrafe, möglicherweise ohne Bewährung

Zivilrechtlich:

• Zahlungen: 324.000 Euro
• Unternehmensbußgeld: 5–10 Millionen Euro (neuer Strafrahmen ab 2025)
• Datenabfluss, Geheimnisverrat: Schadensersatzforderungen von Kunden: 500.000–2 Millionen Euro
• Anwaltskosten, Forensik, Krisenmanagement: 300.000–500.000 Euro
• Existenzvernichtung der Gesellschaft durch Reputationsverlust: Geschätzt 2–5 Millionen Euro
• Gesamtschaden: ca. 8–18 Millionen Euro

Ihre persönliche Haftung: Volle 100 Prozent. Da aber Ihr Privatvermögen begrenzt ist: Pfändung aller Assets, Privatinsolvenz. Erwartung: Totalverlust Ihres Privatvermögens + Gefängnisstrafe.

D&O-Versicherung: Zahlt nicht (Vorsatz/wissentliche Pflichtverletzung, Kardinalpflichtverletzung). Selbst bei Versicherungssumme von 10 Millionen Euro: vollständige Leistungsverweigerung. Sie stehen persönlich gerade.

Szenario 4: Delegation an HR ohne Überwachung

Sachverhalt:

• Sie haben die Einstellungen formal an die HR-Leiterin delegiert
• HR-Leiterin ist nicht geschult in Sanktionsthemen
• Keine Vorgaben zu Sanktionsprüfungen
• Keine Überwachung der HR-Prozesse
• Keine Stichproben, keine Berichte
• HR stellt nordkoreanischen Worker ein, da sie es „nicht wusste“

Ihre Haftung:

• Unverändert 100 Prozent
• Delegation entlastet Sie nicht, wenn Sie:
  • Unqualifizierte Person ausgewählt haben (HR-Leiter ist kein Sanctions-Compliance-Experte)
  • Keine Anweisung und Schulung gegeben haben
  • Keine Überwachung durchgeführt haben

Das OLG Nürnberg-Urteil ist hier glasklar: Meta-Überwachungspflicht. Sie können nicht sagen „HR war zuständig“. Sie bleiben verantwortlich für das System.

Strafrechtlich: §130 OWiG (Aufsichtspflichtverletzung) – persönliche Geldbuße bis zu 1 Million Euro. Plus eventuell Strafbarkeit nach AWG, wenn Sie die Risiken kannten.

Wann liegt eine Pflichtverletzung vor? Die praktische Checkliste

Gerichte und Staatsanwaltschaften bewerten folgende Unterlassungen als Pflichtverletzungen im Zusammenhang mit Remote-IT-Worker-Einstellungen:

Kritische Versäumnisse (= fast immer Pflichtverletzung):

1. Keine Identitätsprüfung:

• Keine Live-Video-Verifizierung mit eingeschalteter Kamera
• Keine Überprüfung der Ausweisdokumente (ID, Pass)
• Keine Abgleich von Foto und tatsächlicher Person
• Keine Überprüfung der Adresse (Abgleich mit Geräteversendeadresse)

2. Keine Sanktionslisten-Checks:

• Kein Screening gegen EU-Sanktionslisten, OFAC-Listen, UN-Listen
• Keine regelmäßigen Re-Screenings (mindestens quartalsweise)
• Keine automatisierte Screening-Software bei mehr als 10 Mitarbeitern

3. Keine Video-Verifizierung:

• Nur E-Mail- oder Chat-Kommunikation
• Kameraausreden akzeptiert („defekte Kamera“, „Datenschutzbedenken“)
• Unterschiedliche Personen in verschiedenen Video-Calls
• Offensichtlich manipulierte Hintergründe (Greenscreen, virtueller Hintergrund bei kritischen Prozessen)

4. Keine IP-Adress-Überprüfung:

• Keine Überprüfung der Login-IP-Adressen
• VPN-Nutzung ohne Erklärung akzeptiert
• IP-Adressen in Hochrisikoländern (China, Russland, Pakistan) nicht hinterfragt
• Zeitzone-Inkonsistenzen nicht untersucht

5. Unzureichende Dokumentation:

• Keine schriftlichen Aufzeichnungen über Einstellungsprozesse
• Keine Dokumentation von Compliance-Checks
• Keine Nachweise über Videokonferenzen
• Keine Audit-Trails für Sanktionsprüfungen

6. Keine Compliance-Struktur:

• Kein Compliance Management System (CMS)
• Keine Compliance-Richtlinien
• Keine Schulungen für HR-Mitarbeiter
• Kein Vier-Augen-Prinzip bei Remote-Einstellungen (seit OLG Nürnberg obligatorisch)

7. Ignorieren von Red Flags:

• Ungewöhnliche Zahlungsmodalitäten (Kryptowährung, Drittkonten)
• Mehrfache Änderungen von Kontaktdaten
• Widersprüchliche Angaben zu Aufenthaltsort/Staatsangehörigkeit
• Remote-Desktop-Software ohne klare Begründung
• „Mouse Jiggler“-Software oder andere Täuschungssoftware
• Geräte an abweichende Adressen versenden lassen
• Unrealistische Qualifikationen/Lebensläufe
• LinkedIn-Profile mit wenigen Kontakten oder kürzlich erstellt

Was wird von Ihnen konkret erwartet?

Nach aktueller Rechtsprechung und Behördenguidance (BfV, BaFin, Zollfahndung):

Minimum-Standard für Remote-IT-Einstellungen:

1. Live-Video-Interview (mindestens 30 Minuten, Kamera an)
2. Ausweisdokument-Check (Original-Scan + Video-Verifizierung)
3. Sanktionslisten-Screening (automatisiert gegen alle relevanten Listen)
4. Referenzprüfung (telefonisch, nicht nur per E-Mail)
5. Adressverifikation (Gerätesendung nur an verifizierte Adresse)
6. IP-Monitoring (laufende Überwachung der Login-Standorte)
7. Technische Kontrollen: Verbot von Remote-Desktop-Software ohne Genehmigung, Monitoring von Daten-Uploads
8. Dokumentation: Alles schriftlich festhalten
9. Vier-Augen-Prinzip: Zwei Personen müssen Einstellung genehmigen
10. Regelmäßige Re-Prüfungen (alle 6–12 Monate)

Verstärkte Anforderungen ab 2025:

• Schriftliche Compliance-Policies zu Sanktionsthemen
• Jährliche Schulungen für HR und Management
• Externe Compliance-Audits bei mehr als 50 Mitarbeitern oder kritischen Branchen (Rüstung, Technologie, Finanzen)
• Sofortige Meldepflicht bei Verdachtsfällen an Zollfahndung/BfV

Besondere Risiken und Haftungskonstellationen

Geschäftsführer-Innenhaftung vs. Außenhaftung

Wie bereits erwähnt: Die Innenhaftung (Ansprüche der Gesellschaft gegen Sie) ist der Regelfall und macht über 90 Prozent der deutschen D&O-Fälle aus. Wenn die Gesellschaft insolvent wird – und das passiert oft nach großen Sanktionsverstößen – wird der Insolvenzverwalter Sie routinemäßig verklagen. Er ist dazu gesetzlich verpflichtet, Haftungsansprüche zu prüfen und durchzusetzen.

Die Außenhaftung kommt hinzu:

• Steuerliche Haftung: Wenn die Gesellschaft wegen der Sanktionsverstöße Probleme bekommt und Steuern nicht mehr zahlen kann, haften Sie persönlich nach §§34, 69 AO
• Sozialversicherung: Gleiches Prinzip bei Sozialversicherungsbeiträgen
• Strafrecht: Staatsanwaltschaft kann parallel zivilrechtliche Verfahren führen

Haftung bei Delegation an HR

Wie in Szenario 4 gezeigt: Delegation schützt nicht. Sie können Aufgaben delegieren, aber die Verantwortung bleibt. Das OLG Nürnberg hat das mit dem Begriff „Meta-Überwachung“ klargestellt.

Was Sie tun müssen, wenn Sie delegieren:

1. Auswahl: Wählen Sie qualifizierte Personen (bei Sanctions-Compliance eventuell externe Experten)
2. Anleitung: Geben Sie klare, schriftliche Anweisungen
3. Ausstattung: Stellen Sie Ressourcen bereit (Screening-Software, Schulungen, Budget)
4. Überwachung: Führen Sie regelmäßige Stichproben durch, verlangen Sie Berichte
5. Eingreifen: Bei Problemen sofort handeln

Selbst bei perfekter Delegation: Wenn Sie Hinweise auf Probleme erhalten und nicht handeln, haften Sie trotzdem.

Mehrere Geschäftsführer: Gesamtschuldnerische Haftung

Bei mehreren Geschäftsführern sucht sich die Gesellschaft/der Insolvenzverwalter oft denjenigen mit dem größten Privatvermögen aus. Das ist strategisch und legal. Sie können dann versuchen, von den anderen Geschäftsführern Ausgleich zu verlangen (§426 BGB), aber:

• Das ist Ihr Problem
• Wenn die anderen mittellos sind, bleiben Sie auf dem Schaden sitzen
• Die Beweislast für unterschiedliche Verschuldensgrade liegt bei Ihnen

Tipp: Bei mehreren Geschäftsführern sollten Sie intern dokumentieren, wer für was zuständig ist, wer welche Bedenken geäußert hat, und wer welche Entscheidungen getroffen hat. Das kann im Ausgleichsprozess entscheidend sein.

Prokuristen und ihre Haftungsrisiken

Prokuristen haben nicht die Organstellung eines Geschäftsführers, haften also nicht nach §43 GmbHG. Aber:

• Sie können deliktisch haften (§823 BGB) bei vorsätzlichen Pflichtverletzungen
• Sie können strafrechtlich haften (AWG, StGB) wie jede andere Person
• Sie können arbeitsrechtlich gekündigt werden und Schadenersatzforderungen aus dem Arbeitsvertrag/Dienstvertrag erhalten

Bei Prokuristen ist das Haftungsrisiko geringer, aber nicht Null. Wenn ein Prokurist bewusst gegen Sanktionen verstößt, kann er strafrechtlich und deliktisch verfolgt werden.

D&O-Versicherung: Wann zahlt sie – und wann nicht?

Die Illusion der Vollkasko

Viele Geschäftsführer verlassen sich auf ihre D&O-Versicherung (Directors & Officers Liability Insurance). Das ist gefährlich. Die D&O-Versicherung ist kein Freifahrtschein, sondern ein Versicherungsvertrag mit erheblichen Ausschlüssen.

Der wichtigste Ausschluss: „Wissentliche Pflichtverletzung“

Der GDV-Standard AVB D&O (Allgemeine Versicherungsbedingungen) enthält in Ziffer A-7.1 den folgenden Ausschluss:

„Vom Versicherungsschutz ausgeschlossen sind Haftpflichtansprüche wegen vorsätzlicher Schadenverursachung oder durch wissentliches Abweichen von Gesetz, Vorschrift, Beschluss, Vollmacht oder Weisung oder durch sonstige wissentliche Pflichtverletzung.“

Was bedeutet das?

• Wissentliche Pflichtverletzung ist ein niedrigerer Standard als „Vorsatz“ im strafrechtlichen Sinne
• Es reicht, dass Sie wussten, dass eine Pflicht besteht, und Sie wussten, dass Sie dagegen verstoßen
• Sie müssen nicht gewollt haben, dass ein Schaden entsteht
• Auch dolus eventualis (bedingter Vorsatz) fällt hierunter

Praktisch bedeutet das:

Wenn Sie die BfV-Warnung zu nordkoreanischen IT-Workern gelesen haben, Red Flags bei einem Worker gesehen haben und trotzdem keine Maßnahmen ergriffen haben, liegt wissentliche Pflichtverletzung vor. Die D&O zahlt nicht.

Grobe Fahrlässigkeit vs. leichte Fahrlässigkeit

Einfache (leichte) Fahrlässigkeit: Die D&O-Versicherung zahlt. Beispiel: Sie haben ein Screening-System, aber ein Mitarbeiter hat einen Fehler gemacht, und der nordkoreanische Worker ist durchgerutscht.

Grobe Fahrlässigkeit: In der Regel noch gedeckt, sofern nicht ausdrücklich ausgeschlossen. Grobe Fahrlässigkeit liegt vor, wenn Sie „die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt haben“. Beispiel: Nur sporadische Screenings, kein systematischer Prozess.

Wissentliche Pflichtverletzung/Vorsatz: Nicht gedeckt. Beispiel: Sie wissen, dass Sie Sanktionsprüfungen machen müssen, tun es aber bewusst nicht.

Was ist versicherbar, was nicht?

NICHT versicherbar:

1. Strafen und Bußgelder (A-7.10 GDV): „Vertragsstrafen, Bußgelder und Entschädigungen mit Strafcharakter“ sind ausgeschlossen. Das heißt:
   • Geldstrafen nach AWG/StGB: nicht versichert
   • Unternehmensbußgelder nach §30 OWiG: umstritten, meist nicht versichert
   • Strafschadenersatz: nicht versichert
2. Sanktionsverstöße direkt (B4-7 Embargoklausel GDV): „Es besteht Versicherungsschutz nur, soweit und solange dem keine auf die Vertragsparteien direkt anwendbaren Wirtschafts-, Handels- oder Finanzsanktionen bzw. Embargos der Europäischen Union oder der Bundesrepublik Deutschland entgegenstehen.“
   • Wenn die Versicherungsleistung selbst gegen Sanktionen verstoßen würde, zahlt die D&O nicht
3. Korruption (A-7.12 GDV): „im Zusammenhang mit Bestechung, Bestechlichkeit, Vorteilsannahme, Vorteilsgewährung“ – auch das wird oft mit Sanktionsverstößen verknüpft

POTENZIELL versicherbar:

1. Zivilrechtliche Schadenersatzforderungen: Wenn die Gesellschaft Sie auf Ersatz des Schadens verklagt, der durch den Sanktionsverstoß entstanden ist (Bußgelder, die die Gesellschaft zahlen musste, Reputationsschäden, entgangene Geschäfte), und Sie nur fahrlässig gehandelt haben (nicht wissentlich).
2. Verteidigungskosten: Auch wenn der Hauptanspruch ausgeschlossen ist, werden die Kosten für Ihre Verteidigung oft übernommen – bis feststeht, dass wissentliche Pflichtverletzung oder Vorsatz vorlag.
3. Untersuchungskosten: Manche modernen D&O-Policen decken interne Untersuchungskosten (mit Sublimits von 250.000–1 Million Euro).

Ausschlussklauseln bei Sanktionsverstößen

Die Embargoklausel (B4-7) ist Standard in allen deutschen D&O-Policen. Sie besagt im Wesentlichen: Wenn die Zahlung der Versicherungsleistung an Sie selbst gegen EU- oder deutsche Sanktionen verstoßen würde, gibt es keinen Versicherungsschutz.

Praktisch relevant: Wenn Sie nachweislich systematisch gegen Sanktionen verstoßen haben, könnte die Versicherung argumentieren, dass jede Zahlung an Sie die Sanktionsumgehung belohnt und daher selbst sanktionswidrig wäre.

Die Beweislast bei D&O-Ansprüchen

Nach dem BGH-Urteil vom 17.12.2014 (IV ZR 90/13) gilt:

• Der Versicherer muss zunächst Tatsachen vortragen, die auf eine wissentliche Pflichtverletzung hindeuten
• Bei „Kardinalpflichten“ (grundlegende Pflichten wie Insolvenzantragspflicht, Steuerabführungspflicht, Sanktionscompliance) wird die Wissentlichkeit vermutet
• Sie müssen dann beweisen, dass Sie nicht wissentlich gehandelt haben

Kardinalpflichten bei Sanktionen:

Deutsche Gerichte behandeln die Einhaltung von Sanktionen als Kardinalpflicht. Das bedeutet: Wenn Sie gegen Sanktionen verstoßen haben, wird vermutet, dass Sie es wussten. Sie müssen das Gegenteil beweisen.

Ohne Dokumentation verlieren Sie: Wenn Sie nicht nachweisen können, dass Sie ein Compliance-System hatten, Checks durchgeführt haben und trotzdem getäuscht wurden, geht die Versicherung davon aus, dass Sie wissentlich gehandelt haben. Kein Versicherungsschutz.

Realistische Erwartungen: Wann zahlt die D&O wirklich?

Versicherung zahlt wahrscheinlich:

• Ersttäterverstöße ohne Vorsatz
• Trotz funktionierendem CMS ist ein Worker durchgerutscht
• Schnelle Selbstanzeige und Kooperation
• Dokumentation aller Compliance-Maßnahmen vorhanden
• Nur einfache Fahrlässigkeit

Versicherung zahlt wahrscheinlich nicht:

• Systematische Verstöße
• Ignorieren von Warnungen
• Keine Compliance-Struktur
• Red Flags nicht verfolgt
• Grobe Fahrlässigkeit oder wissentliche Pflichtverletzung

Grauzone (Streit, eventuell Teilzahlung):

• Compliance-System vorhanden, aber nicht optimal
• Erste Verstöße, aber keine Systematik
• Teilweise Dokumentation
• Grobe Fahrlässigkeit, aber kein Vorsatz

Marktpraxis: Viele D&O-Versicherer bieten bei Haftungsfällen zunächst Vergleiche an (30–50 Prozent der Forderung). Vollständige Deckung ist selten. Bei Sanktionsverstößen sind Versicherer besonders restriktiv.

Was jetzt zu tun ist: Ihre persönliche Haftungs-Checkliste

Nach allem, was Sie jetzt wissen: Handeln Sie jetzt. Hier ist Ihre Checkliste zur sofortigen Risikominimierung:

Sofort (innerhalb von 7 Tagen):

☐ Notfallprüfung aller aktuellen Remote-IT-Worker:

• Listen Sie alle Remote-Worker der letzten 3 Jahre auf
• Prüfen Sie, ob Live-Video-Calls stattgefunden haben
• Überprüfen Sie, ob IP-Adressen/Standorte konsistent sind
• Untersuchen Sie Auffälligkeiten (Remote-Desktop-Software, VPN-Nutzung)

☐ Sanktionslisten-Screening:

• Laden Sie aktuelle EU-, UN- und OFAC-Sanktionslisten herunter
• Gleichen Sie alle Mitarbeiter gegen diese Listen ab
• Dokumentieren Sie das Ergebnis

☐ Krisenplan bei Verdacht:

• Definieren Sie sofort, an wen Sie sich wenden (Anwalt, BfV, Zollfahndung)
• Legen Sie fest, wer intern informiert wird
• Bereiten Sie Kommunikationsstrategie vor (intern, extern, Behörden)

Innerhalb von 30 Tagen:

☐ Compliance Management System (CMS) aufbauen:

• Erstellen Sie eine schriftliche Sanktions-Compliance-Policy
• Definieren Sie Prozesse für Remote-Einstellungen (Video, ID-Check, Sanktionsscreening)
• Implementieren Sie Vier-Augen-Prinzip (zwei Personen müssen zustimmen)

☐ Technische Maßnahmen:

• Beschaffen Sie Sanktions-Screening-Software (z.B. Dow Jones Risk & Compliance, LexisNexis, Refinitiv World-Check)
• Richten Sie IP-Monitoring ein (Login-Standorte überwachen)
• Blockieren Sie Remote-Desktop-Software ohne explizite Genehmigung

☐ Schulungen:

• Schulen Sie HR-Mitarbeiter zu nordkoreanischen IT-Worker-Schemes (BfV-Material nutzen)
• Schulen Sie IT-Abteilung zu Red Flags (Remote-Desktop, VPN-Muster, Daten-Exfiltration)
• Dokumentieren Sie alle Schulungen (Teilnehmerlisten, Inhalte)

Innerhalb von 90 Tagen:

☐ Compliance-Dokumentation:

• Erstellen Sie Aktenvermerke über alle Einstellungsentscheidungen
• Implementieren Sie Dokumentationspflicht für Video-Calls, ID-Checks, Sanktionsscreenings
• Legen Sie Audit-Trail-System an (wer hat wann was geprüft?)

☐ Governance:

• Bringen Sie Sanktions-Compliance auf die Geschäftsführungs-/Vorstandsagenda (quartalsweise Berichte)
• Definieren Sie Eskalationsprozesse (ab wann muss Geschäftsführung informiert werden?)
• Implementieren Sie Whistleblower-Kanal (Hinweisgeberschutzgesetz-konform)

☐ Externe Absicherung:

• Prüfen Sie D&O-Versicherung auf Sanctions-Compliance-Deckung (lassen Sie sich schriftlich bestätigen, was gedeckt ist)
• Erwägen Sie zusätzliche Strafrechtsschutzversicherung
• Beauftragen Sie externen Compliance-Audit (kann als Nachweis der Sorgfalt dienen)

☐ Rechtliche Beratung:

• Mandatieren Sie Fachanwalt für Außenwirtschaftsrecht/Sanktionsrecht
• Lassen Sie sich Notfallplan erstellen (was tun bei Verdacht/Razzia?)
• Klären Sie Selbstanzeige-Optionen (falls bereits Verdachtsfälle bestehen)

Dauerhaft (laufend):

☐ Regelmäßige Re-Screenings: Alle 6 Monate gegen Sanktionslisten ☐ Stichprobenkontrollen: Quartalsweise IP-Checks, Video-Call-Stichproben ☐ Policy-Updates: Bei neuen Sanktionen oder BfV-Warnungen sofort Policy anpassen ☐ Schulungsrefresher: Jährlich für alle relevanten Mitarbeiter ☐ Compliance-Reporting: Quartalsweise Berichte an Geschäftsführung/Vorstand

Ausblick auf Teil 3: Due Diligence konkret

Wir haben jetzt die rechtlichen Risiken und Ihre persönliche Haftung im Detail beleuchtet. Die Botschaft ist klar: Nichtwissen schützt nicht, und die Haftung ist existenziell.

Im dritten und letzten Teil dieser Serie werden wir konkret: Wie erkennen Sie nordkoreanische IT-Worker? Welche Due-Diligence-Maßnahmen funktionieren wirklich? Welche technischen Tools helfen? Was tun bei Verdacht?

Wir werden Schritt für Schritt durch den gesamten Einstellungs- und Überwachungsprozess gehen – von der Job-Ausschreibung über das Interview bis zum laufenden Monitoring. Mit Checklisten, Red-Flag-Katalogen und konkreten Handlungsanweisungen, die Sie sofort umsetzen können.

Denn eines ist sicher: Die nordkoreanische Bedrohung wird nicht verschwinden. Im Gegenteil – mit KI-gestützten Deepfakes und zunehmend professionellen Tarnidentitäten wird sie noch gefährlicher. Aber mit den richtigen Prozessen können Sie sich und Ihr Unternehmen schützen.

Jetzt handeln. Denn vor Gericht und gegenüber Insolvenzverwaltern gilt nur eines: Haben Sie es dokumentiert? Haben Sie Maßnahmen ergriffen? Wenn nicht, zahlen Sie – mit Ihrem gesamten Privatvermögen.

---

Haben Sie Fragen zu Ihrer persönlichen Haftungssituation? Benötigen Sie Unterstützung beim Aufbau eines Compliance-Systems? Kontaktieren Sie uns für eine vertrauliche Erstberatung. Die Investition in Compliance heute ist der Schutz Ihres Vermögens morgen.