Antikorruptionsrichtlinie als Vorlage: Was Unternehmen 2026 wirklich brauchen

Nach § 130 OWiG haftet die Unternehmensleitung für Aufsichtspflichtverletzungen, wenn aus dem Betrieb heraus Straftaten begangen werden, die durch zumutbare Kontrolle hätten verhindert werden können. Bei Korruptionsfällen droht laut § 30 OWiG eine Verbandsgeldbuße von bis zu 10 Mio. Euro, in Konzernfällen auch deutlich darüber. Eine Antikorruptionsrichtlinie als Vorlage ist daher kein Schmuckstück für den Compliance-Ordner, sondern eines der zentralen Beweismittel, mit denen Sie zeigen, dass Ihr Unternehmen die Aufsichtspflicht tatsächlich erfüllt hat. Sie ist die schriftliche Festlegung dessen, was im Unternehmen erlaubt ist, was untersagt ist und wie im Zweifel zu reagieren ist.

Dieser Beitrag erklärt, welche Kapitel eine belastbare Richtlinie zwingend enthält, wie Sie Schwellenwerte für Geschenke und Einladungen sauber definieren und warum die schönste Vorlage wertlos ist, wenn Schulung, Annahme und Aktualisierung nicht dokumentiert sind. Außerdem zeigen wir, wie sich die Richtlinie in eine durchgängige Compliance-Architektur einbettet, in der Bestellurkunde, Berichtslinie und Audit-Vorlagen zusammenspielen. Ergänzend gehen wir auf die häufigsten Fehler ein, die wir in der Praxis sehen, und auf die wenigen Stellschrauben, mit denen aus einem Standard-Muster ein audit-festes Dokument wird. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Die rechtliche Grundlage ergibt sich aus dem Zusammenspiel mehrerer Normen. § 130 OWiG verpflichtet Inhaber und Leitungspersonen, durch geeignete Aufsichtsmaßnahmen Zuwiderhandlungen aus dem Betrieb heraus zu verhindern. § 30 OWiG erlaubt Geldbußen gegen das Unternehmen selbst, wenn solche Pflichten verletzt wurden. Die §§ 331 bis 335a StGB sowie § 299 StGB definieren die einschlägigen Korruptionsdelikte, von Vorteilsnahme über Bestechung im geschäftlichen Verkehr bis hin zur Bestechung von Amtsträgern. Hinzu kommen branchenspezifische Normen wie § 7 HWG für das Heilwesen oder das Vergaberecht für Geschäfte mit der öffentlichen Hand. Auch das Geldwäschegesetz (GwG) berührt mit seinen Sorgfaltspflichten und der Pflicht zur Identifizierung wirtschaftlich Berechtigter angrenzende Themen.

In der Praxis bedeutet das: Wenn ein Mitarbeiter einem Einkäufer einen Wochenendtrip schenkt und Ihr Unternehmen weder Richtlinie noch Schulung nachweisen kann, fragt die Staatsanwaltschaft genau diese Aufsichtskette ab. Die Verteidigung lautet dann nicht mehr 'wir wussten das nicht', sondern muss zeigen, was konkret unternommen wurde, um genau das zu verhindern. Eine schriftliche Antikorruptionsrichtlinie liefert hier den ersten Baustein, ist aber ohne Schulungsnachweis und Annahmeerklärung nur die halbe Miete. Auch die Frage, ob die Richtlinie überhaupt zum aktuellen Risikoprofil des Unternehmens passt, entscheidet über ihre Wirkung.

Wer die Rolle des Compliance-Beauftragten klar besetzt und mit Berichtspflichten ausstattet, hat den zweiten Baustein. Der dritte ist die laufende Pflege: Schwellenwerte, Hochrisikoländer und Geschenkkategorien verändern sich, und eine Richtlinie aus 2021 ist 2026 selten noch passgenau. Das ist genau der Punkt, an dem klassische Word-Vorlagen scheitern und an dem eine plattformgetragene Lösung Vorteile ausspielt. CIVAC ist Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Eine Antikorruptionsrichtlinie sollte mindestens acht Kapitel enthalten, damit sie sowohl rechtlich tragfähig als auch praktisch nutzbar ist. Erstens den Geltungsbereich: persönlich, sachlich, geografisch, inklusive Konzerngesellschaften, Joint Ventures und Vertriebspartner. Wer diesen Bereich zu eng zieht, läuft Gefahr, ausgerechnet die risikoreichsten Beziehungen außerhalb der Regel zu lassen. Zweitens die Definitionen: was zählt als Vorteil, was als Drittvorteil, was als Amtsträger nach § 11 StGB, was als ausländischer Amtsträger nach § 335a StGB. Eine saubere Begriffsdefinition verhindert spätere Auseinandersetzungen darüber, ob ein konkreter Vorgang überhaupt unter die Regelung fällt.

Drittens das Verbot mit klaren, möglichst konkreten Beispielen aus der eigenen Branche. Viertens die Schwellenwerte und Genehmigungsverfahren für Geschenke, Einladungen, Spenden, Sponsoring und politische Zuwendungen. Fünftens die Dokumentations- und Meldepflichten inklusive Berichtslinie zum Compliance-Beauftragten oder zur Meldestelle nach HinSchG. Sechstens die Schulungspflicht mit Turnus, Zielgruppen und Nachweisform. Siebtens die Sanktionen bei Verstoß, abgestuft nach Schwere und Wiederholung. Achtens die Inkraftsetzung, Verantwortlichkeit, Review-Zyklus und Versionskontrolle mit nachvollziehbarem Änderungsverlauf. Optional ergänzend: ein Glossar, FAQ-Abschnitte und Verweise auf zugehörige Richtlinien wie Geschenke-, Reise- oder Spendenrichtlinie.

Vorlagen, die im Netz kursieren, decken meist nur Kapitel eins bis vier und Teile von fünf ab. Schulung, Sanktionierung und Versionsführung fehlen häufig oder bleiben unverbindlich. Genau dort entscheidet sich im Ernstfall die Aufsichtspflichtfrage. Die CIVAC-Beauftragten-Übersicht zeigt, wie sich diese Rollen sauber im Organigramm verankern lassen. Wer 25 Rollen ohne Reibung orchestrieren will, kann das mit Word-Dokumenten nicht leisten. CIVAC betreibt diese Architektur als Compliance-Plattform und Officer-as-a-Service, mit 490 einsatzbereiten Audit-Vorlagen, die den Übergang von der Vorlage zur Praxis abbilden.

Die häufigste Schwachstelle in Vorlagen ist der Umgang mit Schwellenwerten. Viele Muster nennen pauschal 35 oder 50 Euro pro Person und Jahr. Das mag für Werbegeschenke an Privatkunden ausreichen, ist aber im B2B-Kontext mit öffentlichen Auftraggebern, Pharmavertrieb oder Heilberufen viel zu grob. Der Berufsverband der Heilberufe etwa kennt eigene Werteempfehlungen, das Heilmittelwerbegesetz (§ 7 HWG) verbietet Zuwendungen weitgehend, und im öffentlichen Sektor gelten oft 25 Euro oder weniger pro Person und Jahr. Auch das Steuerrecht spielt mit: Geschenke an Geschäftspartner sind nach § 4 Abs. 5 EStG nur bis 50 Euro netto pro Empfänger und Jahr als Betriebsausgaben abziehbar.

Eine belastbare Richtlinie definiert Schwellen daher kategorienbasiert: ein Wert für Privatkunden, ein zweiter für gewerbliche Geschäftspartner, ein dritter für Amtsträger nach § 11 StGB, ein vierter für Heilberufe und einer für Hochrisikoländer nach dem Corruption Perceptions Index. Jede Annahme oder Vergabe über der Bagatellschwelle muss dokumentiert werden, alles über der Genehmigungsschwelle braucht eine Vorabfreigabe durch den Vorgesetzten und den Compliance-Beauftragten. Genehmigungen erfolgen nicht per Zuruf, sondern über ein Ticketsystem mit Zeitstempel, Begründung und Vier-Augen-Prinzip. Auch Einladungen zu Sport- und Kulturveranstaltungen, Reisen, Schulungen und Fortbildungen sind sauber abzubilden, weil sie betragsmäßig oft über klassischen Geschenken liegen.

Im CIVAC-Workspace wird genau dieser Prozess als Workflow abgebildet, mit Bestellurkunde für den Beauftragten, Berichtslinie und automatischer Aktenführung. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. So wird aus einer abstrakten Schwelle ein nachvollziehbarer Entscheidungspfad, der auch zwei Jahre später noch rekonstruierbar ist.

Eine Richtlinie ohne Schulungsnachweis ist im Ernstfall ein Stück Papier. Aufsichtsbehörden und Staatsanwaltschaften fragen regelmäßig nicht nach dem Text, sondern nach dem Schulungsregister. Wer wurde wann zu welchen Inhalten geschult, wer hat verstanden und schriftlich bestätigt, wer ist überfällig. Wer hier nichts vorlegen kann, hat im § 130-OWiG-Verfahren ein erhebliches Beweisproblem, unabhängig davon, wie elegant der Richtlinientext formuliert ist. Auch die ISO 37001 (Anti-Bribery Management Systems) verlangt explizit nachweisbare Schulung und Awareness als Kernanforderung.

In der Praxis empfiehlt sich ein dreigliedriges Modell. Erstens eine verpflichtende Onboarding-Schulung für alle neuen Mitarbeitenden in den ersten 30 Tagen, mit Test und schriftlicher Annahmeerklärung. Zweitens eine jährliche Wiederholung für alle Mitarbeitenden in risikoexponierten Funktionen wie Einkauf, Vertrieb, öffentliche Aufträge, Forschung und Geschäftsführung. Drittens eine anlassbezogene Schulung nach Vorfällen, Gesetzesänderungen oder Fusionen. Jede Schulung wird mit Datum, Inhalt, Teilnehmer und Testergebnis archiviert. Externe Dienstleister, Sales Agents und Vertriebspartner werden über Vertragsklauseln in das Schulungsregime einbezogen. Für die Geschäftsleitung empfiehlt sich zusätzlich ein spezifisches Briefing mit Fokus auf persönliche Haftungsrisiken.

Die Annahmeerklärung sollte nicht in der Personalakte versickern, sondern Teil eines durchsuchbaren Compliance-Registers sein, das im Audit binnen Sekunden auswertbar ist. Vorlagen aus dem Netz liefern dafür keine Infrastruktur. Eine Compliance-Plattform liefert sie als Standard. Audit-fest, dokumentiert, § 130-fest. Wer hier seriös aufstellt, reduziert nicht nur Bußgeldrisiken, sondern verkürzt auch die Antwortzeit auf Anfragen von Wirtschaftsprüfern und Lieferanten-Audits erheblich. Aus mehreren Wochen werden wenige Tage, weil die Datenlage nicht erst zusammengesucht werden muss. Auch tarifvertragliche Regelungen und mitbestimmungsrechtliche Aspekte nach § 87 BetrVG sind beim Aufbau eines Schulungsregimes zu beachten, insbesondere wenn elektronische Lernsysteme zum Einsatz kommen. Mitarbeitende mit besonders schützenswerten Funktionen wie Innenrevision, interne Untersuchungen oder Vertrieb in Risikoländern sollten zusätzliche Pflichtmodule absolvieren.

Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) im Juli 2023 müssen Unternehmen ab 50 Beschäftigten eine interne Meldestelle einrichten. Korruptionsverdacht ist einer der zentralen Anwendungsfälle. Die Antikorruptionsrichtlinie muss daher klar regeln, an wen Verdachtsmeldungen gehen, wie der Hinweisgeberschutz gewahrt wird und welche Untersuchungspflichten ausgelöst werden. Frist läuft ab Kenntnis, und Kenntnis löst Handlungspflicht aus. Wer eine Meldung erhält und nicht reagiert, riskiert nicht nur Bußgelder gegen das Unternehmen, sondern auch persönliche Haftung der Verantwortlichen.

Ein belastbares Modell verbindet drei Kanäle. Erstens die direkte Linie zum Vorgesetzten oder zur Geschäftsführung. Zweitens die anonyme Meldung an die interne Meldestelle nach § 12 HinSchG. Drittens den externen Kanal zur Bundesanstalt für Finanzdienstleistungsaufsicht oder dem Bundesamt für Justiz, wo gesetzlich vorgesehen. Die Richtlinie nennt diese Kanäle explizit, beschreibt die Reaktionsfristen (sieben Tage Eingangsbestätigung, drei Monate Rückmeldung) und garantiert Schutz vor Repressalien gemäß § 36 HinSchG. Auch der Umgang mit anonymen Meldungen ist zu regeln, weil anonyme Hinweise weder ignoriert noch ohne Plausibilitätsprüfung weitergegeben werden dürfen. Eine technische Lösung mit Verschlüsselung und Wahlmöglichkeit zwischen offener und anonymer Meldung ist nahezu Standard.

Im Untersuchungsverfahren ist Trennschärfe entscheidend: Wer ermittelt, wer dokumentiert, wer entscheidet, wer informiert. Eine Vorlage aus dem Netz beschreibt das selten. Eine integrierte interne Meldestelle nach HinSchG mit Compliance-Beauftragtem in Personalunion oder klarer Eskalationsmatrix löst das Problem strukturell. CIVAC verknüpft beide Rollen über eine durchgängige Berichtslinie und eine EU-Datenresidenz, damit auch der Datenschutz nach Art. 33 DSGVO bei einem Whistleblower-Fall mit Personenbezug gewahrt bleibt. Auch die Aufbewahrungsfrist für Meldungen und Untersuchungsunterlagen gehört geregelt: das HinSchG fordert eine angemessene Frist, in der Praxis sind drei Jahre nach Abschluss des Verfahrens üblich, mit längerer Frist bei rechtlich relevanten Vorgängen.

Korruption ist kein binäres Risiko. Sie skaliert mit Geografie, Branche und Partnerstruktur. Der Corruption Perceptions Index von Transparency International liefert eine seriöse Grundlage, um Länder zu kategorisieren. Geschäfte in Ländern mit Index unter 40 sollten in der Richtlinie als Hochrisiko markiert sein, mit verschärften Freigabe-, Dokumentations- und Audit-Pflichten. Branchen wie Bau, Rohstoffe, Verteidigung und Pharma tragen zusätzliche Risikoprofile, die in der Richtlinie und in den Genehmigungsprozessen abzubilden sind. Auch Sektoren mit hoher Genehmigungsdichte, etwa Medizinprodukte, Energieversorgung oder kritische Infrastrukturen, gehören in die erhöhte Risikoklasse.

Drittparteien sind die häufigste Achillesferse. Sales Agents, Distributoren, Zollagenten, Lobbying-Firmen und Joint-Venture-Partner stehen in 80 Prozent der internationalen Korruptionsverfahren im Zentrum. Die Richtlinie muss daher ein Drittparteien-Due-Diligence-Verfahren beschreiben, abgestuft nach Risiko, mit Background-Checks, Vertragsklauseln zu Antikorruption, Audit-Rechten und Kündigungsmöglichkeiten bei Verstoß. Erfolgsabhängige Provisionsmodelle, Bargeldzahlungen und Beraterhonorare ohne nachvollziehbare Leistungsbeschreibung sind dabei besonders kritisch zu prüfen. Auch politisch exponierte Personen (PEPs) erfordern eine vertiefte Prüfung, vergleichbar den Anforderungen aus dem Geldwäschegesetz.

Mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) verschärft sich das Bild. Korruption ist zwar nicht originär LkSG-Pflicht, aber die LkSG-Risikoanalyse, die Beschwerdemechanismen und die Berichtspflicht an das BAFA überlappen erheblich mit Antikorruptionsstrukturen. Wer beides getrennt aufbaut, dupliziert Arbeit. Wer es zusammen denkt, spart Aufwand und gewinnt Transparenz. Die Rolle des LkSG-Beauftragten und die des Compliance-Beauftragten sollten sich in einem Workspace begegnen, nicht in zwei Excel-Dateien. Auch das Land der Niederlassung des Vertragspartners, nicht nur der Sitz des Konzernmutterunternehmens, ist für die Risikobewertung relevant. Wer hier nur auf das Briefkopf-Land schaut, übersieht häufig die tatsächlichen Risiken in der operativen Geschäftsabwicklung.

Eine Antikorruptionsrichtlinie ohne Sanktionsteil ist zahnlos. Aufsichtsbehörden lesen genau hier, ob das Unternehmen seine eigenen Regeln ernst nimmt. Sanktionen müssen abgestuft und verhältnismäßig sein, von der mündlichen Ermahnung über die schriftliche Abmahnung bis zur außerordentlichen Kündigung nach § 626 BGB. Bei Führungskräften und Geschäftsführern gelten zusätzlich Regressmöglichkeiten nach §§ 43 GmbHG, 93 AktG und Bestellungsentzug. Auch arbeitsrechtliche Schadensersatzansprüche und der Verlust variabler Vergütung gehören zum Katalog möglicher Konsequenzen. Strafanzeige und Anzeige bei der Bundesanstalt für Finanzdienstleistungsaufsicht können bei einschlägigen Sachverhalten ebenfalls verpflichtend sein.

Wichtig ist die Konsistenz. Wenn ein Sachbearbeiter wegen 200 Euro abgemahnt wird, ein Vertriebsleiter wegen 5.000 Euro aber nur eine Aktennotiz bekommt, kollabiert die Glaubwürdigkeit der Richtlinie. Sanktionsentscheidungen sollten daher dokumentiert, in einem Sanktionsregister geführt und vom Compliance-Beauftragten gegengezeichnet werden. Das Register dient gleichzeitig als Lerngrundlage, um wiederkehrende Muster zu erkennen und Prävention zu verbessern. Ein anonymisierter Auszug eignet sich für Schulungen und macht die Konsequenzen für alle Mitarbeitenden greifbar.

Der schwierigste Teil ist der Umgang mit Führungskräften. Hier braucht die Richtlinie eine klare Eskalationskette an den Aufsichtsrat oder Beirat, damit nicht der mutmaßlich befangene Vorgesetzte über den eigenen Fall entscheidet. Auch das gehört in die Vorlage, wird aber in 90 Prozent der frei verfügbaren Muster ausgespart. Wer hier sauber arbeitet, schützt nicht nur das Unternehmen, sondern auch den Compliance-Beauftragten persönlich vor dem Vorwurf, Verstöße geduldet zu haben. Audit-fest, dokumentiert, § 130-fest. Wichtig ist außerdem die Frage der Selbstanzeige: in welchen Fällen, gegenüber welcher Stelle und mit welchen Konsequenzen für den meldenden Mitarbeiter. Eine sauber formulierte Self-Reporting-Regel kann Bußgelder mindern und ist Bestandteil einer reifen Compliance-Kultur.

Eine Antikorruptionsrichtlinie ist kein einmaliges Dokument, sondern ein lebendes Regelwerk. Mindestens einmal jährlich sollte sie auf Aktualität geprüft, bei Bedarf angepasst und neu in Kraft gesetzt werden. Anlässe außerhalb des Turnus sind Gesetzesänderungen, Vorfälle, M&A-Transaktionen, neue Märkte und Audit-Feststellungen. Auch Erkenntnisse aus Branchenfällen, etwa rechtskräftige Bußgeldbescheide gegen Wettbewerber, sind Anlass für eine Review. Die Review-Pflicht sollte ausdrücklich in der Richtlinie selbst verankert sein, mit Verantwortlichem, Frequenz und Eskalationsweg.

Die Versionsführung muss nachvollziehbar sein: wer hat wann was geändert, wer hat freigegeben, ab wann ist die neue Fassung verbindlich, welche Schulung wurde nachgezogen. In Word-Dokumenten mit Dateinamenssuffix funktioniert das selten zuverlässig, weil Versionen parallel existieren und unklar bleibt, welche Fassung im fraglichen Zeitraum galt. Eine Compliance-Plattform mit Versionshistorie, Audit-Trail und automatischer Re-Schulungs-Aufforderung löst das strukturell. Auch alte Fassungen müssen archiviert bleiben, damit im Streitfall die zum Vorfallszeitpunkt geltende Version belegt werden kann.

Audit-Bereitschaft bedeutet, dass Sie auf eine ISO-19600-Frage oder eine ISO-37001-Zertifizierung in 24 Stunden mit Dokumentenlage und Schulungsregister antworten können, nicht in 24 Tagen. Wirtschaftsprüfer, BAFA-Prüfer und Lieferanten-Auditoren erwarten genau diese Reaktionsgeschwindigkeit. CIVAC liefert die Infrastruktur dafür mit 490 einsatzbereiten Audit-Vorlagen, 93 Controls nach ISO/IEC 27001:2022 für die IT-Begleitung und einer Berichtslinie, die jeden Schritt protokolliert. Eine Vorlage allein liefert das nicht. Eine Plattform schon. Der Prüfer ruft an, der Nachweis liegt bereit. Eine ergänzende Empfehlung: jährlich einen Compliance-Bericht an die Geschäftsführung und gegebenenfalls den Aufsichtsrat, der die Wirksamkeit der Richtlinie, Auffälligkeiten, Sanktionen und Schulungsstand zusammenfasst. Dieser Bericht ist im Audit ein hochwertiges Beweisstück.

Wenn Sie heute eine Antikorruptionsrichtlinie als Vorlage suchen, stehen Sie vor zwei Wegen. Der eine ist der schnelle: ein Muster aus dem Netz herunterladen, den Firmennamen austauschen, ins Intranet hochladen, fertig. Dieser Weg trägt im Audit nicht und schützt im Ernstfall die Geschäftsführung nicht vor § 130 OWiG. Er erzeugt einen Beleg, aber keine Aufsichtskette. Im Audit fällt das spätestens bei der Frage nach Schulungsregister, Versionshistorie und Sanktionspraxis auf.

Der andere Weg ist der belastbare: eine Richtlinie, die in eine Compliance-Architektur eingebettet ist, mit Bestellurkunde für den Compliance-Beauftragten, dokumentierter Berichtslinie, jährlicher Schulung mit Annahmeerklärung, Sanktionsregister, Versionshistorie und Audit-Bereitschaft. Genau das liefert CIVAC als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Aus dem Lesen einen Auftrag machen. Wenn Sie wissen wollen, wie sich Ihre vorhandene Richtlinie in eine plattformgetragene Struktur überführen lässt, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. CIVAC-SLA: zwei Werktage statt zwei bis sechs Wochen klassisch. Sie erhalten eine Erstbewertung Ihrer aktuellen Vorlage, eine Lücken-Analyse gegen § 130 OWiG, § 30 OWiG und HinSchG sowie einen konkreten Pfad zur Audit-Bereitschaft. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer die Diskussion sucht, kann zudem ein 30-minütiges Sondierungsgespräch buchen, in dem wir Ihre Ausgangslage skizzieren, Lücken benennen und einen realistischen Zeitplan zur Umsetzung vorschlagen. Auch eine Übersicht der typischen Stolperstellen, die wir in vergleichbaren Mandaten sehen, gehört zum Erstgespräch, sodass Sie eine realistische Erwartung an Zeit und Aufwand entwickeln. Bestellurkunde, unterschrieben, abgelegt, belegbar.