§ 299 StGB greift bei Pharma-Außendienst — diese 4 HR-Pflichten oft übersehen

Situation: Pharma-Unternehmen in Deutschland, der Schweiz und EU-weit haben ihre Compliance-Programme in den letzten zehn Jahren signifikant ausgebaut — getrieben durch das Antikorruptionsgesetz im Gesundheitswesen, AKG-Kodex-Selbstverpflichtungen und FCPA-Drohkulissen aus US-Konzernzentralen. Komplikation: Die Investitionen flossen überwiegend in Schulung, Code of Conduct und Anti-Bribery-Policies. Die personalseitige Eintrittskontrolle — also die Frage, wen man überhaupt für korruptionsexponierte Rollen einstellt — blieb in vielen Häusern ein blinder Fleck. Die Bundesanwaltschaft hat zwischen 2017 und 2024 nach Recherchen der Tagesschau zu § 299a/b StGB-Verfahren im Gesundheitssektor eine zweistellige Zahl Ermittlungen geführt — die meisten gegen Mitarbeiter, deren Vorbeschäftigungsmuster im Einstellungsprozess nicht systematisch geprüft wurden. Resolution: Pharma-HR muss Personnel-Vetting als § 299 StGB-Compliance-Layer behandeln — nicht als optionale Hygienemaßnahme. Wir zeigen vier HR-Pflichten, die in deutschen, schweizerischen und österreichischen Pharma-Häusern systematisch unterbelichtet sind, plus ein BfArM-Inspection-festes Dokumentationsmodell. Hauptbehauptung: Ohne strukturiertes, dokumentiertes Personnel-Vetting für korruptionsexponierte Pharma-Rollen ist § 299 StGB-Compliance auf Papier-Niveau — und kein belastbarer Schutz gegen Geschäftsleitungsverantwortung nach § 130 OWiG.

1. § 299a/b StGB trifft Pharma-Außendienst direkter als Sales-Manager glauben

§ 299a StGB (Bestechlichkeit im Gesundheitswesen) und § 299b StGB (Bestechung im Gesundheitswesen) wurden 2016 als Reaktion auf den BGH-Großen-Senat-Beschluss von 2012 eingeführt, der niedergelassene Vertragsärzte aus dem Anwendungsbereich der klassischen Amtsträgerkorruption ausgenommen hatte. Der Gesetzestext ist über das amtliche Portal des Bundesministeriums der Justiz zugänglich: § 299a StGB — Bestechlichkeit im Gesundheitswesen und § 299b StGB — Bestechung im Gesundheitswesen.

Die HR-relevante Pointe: Strafbar macht sich nicht nur der Arzt, der einen Vorteil annimmt — sondern auch der Pharma-Mitarbeiter, der ihn gewährt oder verspricht. Pharma-Außendienst, Medical Science Liaisons, Key-Account-Manager Krankenhaus, Health-Economics-Berater und R&D-Studienkoordinatoren operieren strukturell in der § 299b-Kontaktzone. Ein einzelner Außendienstmitarbeiter mit unsauberem Vorbeschäftigungsmuster — etwa Disziplinarverfahren beim vorherigen Arbeitgeber wegen verdeckter Vorteilszuwendungen — kann das Unternehmen über § 130 OWiG (Verletzung der Aufsichtspflicht) und § 30 OWiG (Geldbuße gegen juristische Personen, bis 10 Mio. Euro vorsätzlich, bis 5 Mio. Euro fahrlässig) in Mithaftung ziehen.

Die So-What-Frage für CHRO und Compliance-Officer: Wenn der Bewerbungsprozess für einen Außendienstmitarbeiter im Onkologie-Segment dieselben Vetting-Tiefen kennt wie der für einen Office-Manager, ist die Aufsichtspflicht nicht erfüllt. Der Maßstab muss risikoabhängig sein — und das Risiko ist im Außendienst Onkologie, Hämatologie, seltene Erkrankungen und Hospital-Sales nachweislich höher als in unkritischen Office-Funktionen.

2. Die vier HR-Pflichten, die deutsche Pharma-Häuser systematisch unterbelichten

Aus der Praxis von Indicium mit deutschsprachigen Pharma-Mandanten (Generika, Spezialpharma, Biologics, MedTech-Devices) zeichnen sich vier Pflichten ab, die in Compliance-Audits regelmäßig als Lücke identifiziert werden:

Pflicht 1: Risikobasierte Rollenklassifikation vor Recruiting-Start. Jede Position muss vor Stellenausschreibung in eine Risikoklasse eingeordnet sein — etwa „§ 299b-exponiert hoch" (Außendienst, MSL, KAM Krankenhaus), „§ 299b-exponiert mittel" (Health Economics, Market Access, Studienkoordination), „§ 299b-exponiert niedrig" (interne Funktionen ohne HCP-Kontakt). Aus der Klassifikation folgt die Vetting-Tiefe. Ohne dokumentierte Klassifikation ist jede spätere Verteidigungslinie schwach: „Wir haben das nicht für nötig gehalten" ist im OWiG-Verfahren keine taugliche Verteidigung. Pflicht 2: Strafregisterauszug nicht als Endpunkt, sondern als Startpunkt. Das Bundeszentralregistergesetz (BZRG) regelt den Strafregisterauszug — das amtliche Führungszeugnis ist nach § 30 BZRG durch den Bewerber selbst beantragbar, der erweiterte Auszug nach § 30a BZRG nur für bestimmte Tätigkeiten. Aber: Tilgungsfristen nach § 46 BZRG bedeuten, dass relevante Vorbeschäftigungsmuster — etwa Disziplinarverfahren wegen Vorteilszuwendung — nach drei bis fünf Jahren nicht mehr im Auszug erscheinen. Pharma-HR braucht daher Mehrebenen-Vetting: Strafregister plus arbeitsrechtliche Referenzprüfung plus berufsverbandliche Recherche (etwa Apothekerkammer-Disziplinarregister bei Hires aus dem Apothekenumfeld). Pflicht 3: Sanktionslisten-Abgleich auch für interne Hires. EU-Verordnungen (z.B. EU 2580/2001, EU 881/2002) und OFAC-Listen sind im internationalen Kontext längst Standard für Vendor-Onboarding — aber nicht für Personnel. Bei Pharma-Hires mit internationaler Vorerfahrung (insbesondere aus Russland, Belarus, Iran, China-Joint-Ventures) ist der EU-Sanktionsabgleich Pflicht, nicht Kür. Die offizielle EU-Konsolidierte-Sanktionsliste ist abrufbar über das EU-Financial-Sanctions-Portal: EU Consolidated Financial Sanctions List. Pflicht 4: Adverse-Media-Screening dokumentiert, nicht improvisiert. Recruiting-Manager googeln Kandidaten — das ist Realität. Aber es ist DSGVO-rechtlich heikel (Art. 6 Abs. 1 DSGVO, Erforderlichkeitsprinzip) und compliance-rechtlich wertlos, weil nicht reproduzierbar. Strukturiertes Adverse-Media-Screening durch externen, spezialisierten Provider mit dokumentierter Suchmethodik, dokumentierten Suchquellen und dokumentierter Aufbewahrung ist BfArM- und PEI-Inspection-fest — Google-Suchen des Hiring-Managers sind es nicht.

3. § 130 OWiG als HR-Hebel: warum die Geschäftsleitung persönlich haftet

§ 130 OWiG verpflichtet den „Inhaber eines Betriebes oder Unternehmens" zu Aufsichtsmaßnahmen, die zur Verhinderung von Zuwiderhandlungen erforderlich sind, an deren Vermeidung durch Aufsichtsmaßnahmen gedacht ist. Der Gesetzestext: § 130 OWiG — Verletzung der Aufsichtspflicht in Betrieben und Unternehmen.

Die Aufsichtspflicht erstreckt sich nach BGH-Rechtsprechung (1 StR 94/10) ausdrücklich auf die Auswahl von Mitarbeitern in korruptionsexponierten Funktionen — nicht nur auf deren Schulung nach Eintritt. Übersetzt: Wer einen Außendienstmitarbeiter ohne dokumentiertes Vetting in den Markt schickt und dieser begeht eine § 299b-Tat, dem droht persönliche Bußgeldhaftung der verantwortlichen Geschäftsleitung — mit Höchstbeträgen bis 1 Mio. Euro je Person nach § 130 Abs. 3 OWiG.

Für CHRO und Compliance-Officer bedeutet das eine konkrete Konsequenz: Personnel-Vetting ist nicht delegierbar an „den Recruiter" oder „die Personalabteilung allgemein". Die Verantwortlichkeit muss benannt, dokumentiert und mit Eskalationspflicht verbunden sein. Indicium dokumentiert diese Verantwortlichkeitsketten in jedem Vetting-Bericht — explizit für die spätere § 130 OWiG-Verteidigung. Mehr zur Methodik unter Indicium Pre-Employment-Background-Check für Pharma.

4. AKG-Kodex und FSA-Verhaltenscodex liefern den materiellen Maßstab

Der Verein Arzneimittel und Kooperation im Gesundheitswesen e.V. (AKG) und die Freiwillige Selbstkontrolle für die Arzneimittelindustrie (FSA) haben Verhaltenscodizes etabliert, die für die Pharma-Antikorruption-Compliance den materiellen Maßstab liefern — auch arbeitsrechtlich. Der FSA-Kodex Fachkreise ist abrufbar über FSA — Freiwillige Selbstkontrolle für die Arzneimittelindustrie, der AKG-Kodex über AKG e.V. Kodex Verhaltensstandards.

Beide Kodizes verlangen vom AMG-Unternehmen die Sicherstellung, dass Mitarbeiter, die mit Fachkreisen interagieren, kodexkonform handeln. „Sicherstellung" wird im Inspections-Kontext durch nachgewiesene Eintrittskontrolle und nachgewiesene Schulung gemeinsam verlangt — nicht alternativ. Pharma-Häuser, die nur Schulung dokumentieren, aber keine strukturierte Eintrittskontrolle, erfüllen den Standard formal nicht.

Zusätzlich relevant: die OECD-Anti-Bribery-Convention (Konvention gegen Bestechung ausländischer Amtsträger im internationalen Geschäftsverkehr), die Deutschland 1999 ratifiziert hat. Die OECD-Working-Group-on-Bribery überprüft regelmäßig die deutsche Umsetzung; im aktuellen Phase-4-Bericht (2018, mit Follow-up-Berichten) wurden Personnel-Compliance-Aspekte explizit adressiert. Quelle: OECD Anti-Bribery Convention — Country Reports Germany.

5. DSGVO-Konformität ist Voraussetzung, kein Zielkonflikt

Pharma-HR-Direktoren formulieren regelmäßig den Einwand, intensives Personnel-Vetting kollidiere mit Art. 88 DSGVO und § 26 BDSG — der Beschäftigtendatenschutz setze Grenzen. Der Einwand ist halb richtig und halb gefährlich.

Halb richtig: Vetting muss erforderlich, verhältnismäßig und transparent sein. Pauschale Tiefenrecherche bei jedem Bewerber ist unzulässig. Dokumentierte risikobasierte Klassifikation (Pflicht 1 oben) ist die DSGVO-Verteidigungslinie. Halb gefährlich: Wer aus Datenschutz-Vorsicht gar nicht vettet, verletzt die Aufsichtspflicht nach § 130 OWiG. Der Konflikt ist nur scheinbar — er löst sich durch dokumentierte Erforderlichkeit auf. Die Erforderlichkeit ergibt sich aus der § 299b-Risikoklassifikation; die Verhältnismäßigkeit aus der differenzierten Vetting-Tiefe je Risikoklasse; die Transparenz aus der Bewerber-Information nach Art. 13 DSGVO.

Die EU-DSGVO-Volltextquelle: EU 2016/679 — Datenschutz-Grundverordnung (EUR-Lex). Das BDSG (Bundesdatenschutzgesetz, neu 2018): BDSG — Bundesdatenschutzgesetz.

Indicium dokumentiert für jeden Pharma-Mandanten die DSGVO-Rechtsgrundlage je Vetting-Schritt — Art. 6 Abs. 1 lit. b (Vertragsanbahnung), Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung aus AMG-Inspections-Pflichten), Art. 6 Abs. 1 lit. f (berechtigtes Interesse aus § 130 OWiG-Aufsichtspflicht). Drei dokumentierte Rechtsgrundlagen pro Vetting-Schritt — das ist die Tiefe, die einer Datenschutzbehörden-Prüfung standhält.

6. BfArM-Inspections-Readiness — was im Audit gefragt wird

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) inspiziert AMG-Unternehmen risikobasiert; das Paul-Ehrlich-Institut (PEI) übernimmt für Sera, Impfstoffe und Blutprodukte. Im Inspection-Workflow sind Personnel-Compliance-Themen seit etwa 2020 verstärkt im Fokus, unter anderem getrieben durch EU-GMP-Richtlinie Annex 1 (Sterile Manufacturing) und ICH-Q10-Pharmaceutical-Quality-System-Anforderungen. Quelle: BfArM — Aufgaben und Inspektionen.

Drei Fragen, die in BfArM- und PEI-Inspections regelmäßig gestellt werden:

1. „Wie ist sichergestellt, dass HCP-exponierte Mitarbeiter vor Eintritt § 299a/b-konform geprüft sind?" — Antwort muss dokumentierte Vetting-Methodik plus Stichprobe von Vetting-Berichten umfassen.

2. „Wie reagiert das Unternehmen auf neu auftretende Adverse-Media-Hits bei bestehenden Mitarbeitern?" — Antwort verlangt dokumentierten Continuous-Monitoring-Prozess, nicht nur Eintrittsprüfung.

3. „Wie ist die DSGVO-Rechtsgrundlage je Vetting-Schritt dokumentiert?" — Antwort verlangt Nachweis je Schritt, nicht globalen Datenschutzhinweis.

Pharma-Häuser, die diese drei Fragen ohne strukturiertes Vetting nicht beantworten können, riskieren Inspections-Beanstandungen mit Folgewirkung auf AMG-Erlaubnisse und Marktzugang.

7. Internationale Konzernperspektive — wie EU-Pharma mit US-Mutter operiert

DACH-Pharma-Häuser mit US-Konzernmutter (typisch Deutsche Töchter US-amerikanischer Big Pharma) stehen unter zwei Compliance-Regimen zugleich: deutscher § 299 StGB plus US-Foreign-Corrupt-Practices-Act (FCPA). Der FCPA ist über die SEC zugänglich: SEC — Foreign Corrupt Practices Act. DOJ-Statistiken zeigen, dass FCPA-Enforcement-Cases im Pharma-Sektor zwischen 2010 und 2024 zweistellige Millionenbeträge an Settlements regelmäßig überschritten haben — die berühmtesten DACH-relevanten Cases umfassen Konzernmuter-Settlements mit Tochter-Implikation.

Die HR-relevante Konsequenz: US-Konzernzentralen verlangen von DACH-Töchtern „Personnel-Vetting documentation that meets US compliance standards" — also dokumentierte Pre-Employment-Checks für korruptions-exponierte Rollen. Die Schwierigkeit: US-Standards sind teils mit DSGVO und § 26 BDSG inkompatibel (etwa US-typische Reference-Dig-Tiefen, Credit-Checks). DACH-Pharma-Compliance muss eine Brücken-Methodik führen, die beiden Regimen zugleich genügt.

Indicium operiert genau in diesem Spannungsfeld: EU-konforme Datenverarbeitung mit US-akzeptierten Findings-Reports. Der Bericht dokumentiert in einem Methodik-Anhang die DSGVO-Rechtsgrundlagen je Vetting-Schritt — was US-Konzernzentralen als „documented home-jurisdiction compliance" anerkennen, ohne dass DACH-Tochter unter US-Methodik operieren müsste.

8. Anwendungsfall: Außendienst-Hire im Onkologie-Segment

Zur Illustration der oben dargestellten Methodik ein konkretisierter Anwendungsfall: Ein DACH-Pharma-Hersteller hire einen erfahrenen Außendienstmitarbeiter im Onkologie-Segment, mit Vorbeschäftigung bei Wettbewerbern und Klinik-Beratungs-Erfahrung. Risikoklassifikation: § 299b-exponiert hoch.

Vetting-Tiefe nach Indicium-Methodik:

• Strafregisterauszug nach § 30 BZRG (Selbst-Beschaffung durch Bewerber).

• Lebenslauf-Verifikation mit Direkt-Bestätigung der Vorarbeitgeber (mit Konsens nach Art. 6 Abs. 1 lit. a DSGVO).

• Strukturierte Vorbeschäftigungs-Referenzen mit standardisiertem Frageset zu Compliance-Verhalten.

• Adverse-Media-Recherche über drei Sprachräume (DE, EN, FR) mit dokumentierter Suchquellen-Liste.

• Sanktions-Abgleich (EU, OFAC, UK-OFSI, UN).

• DSGVO-Information-Note an Bewerber vor Vetting-Start.

Findings-Beispiel (anonymisiert aus Indicium-Praxis): In rund 7–10 Prozent der Onkologie-Außendienst-Profile zeichnet sich bei strukturiertem Vetting mindestens eine erläuterungsbedürftige Inkonsistenz ab — meist Lebenslauf-Lücken oder Vorbeschäftigungs-Diskrepanzen, in Einzelfällen substanzielle Compliance-Findings. Die Findings sind nicht regelmäßig disqualifizierend; sie verlagern aber die Entscheidung von „Bauchgefühl" zu „dokumentierter Bewertung", und das ist der Compliance-Wert. Audit-Trail: Der Vetting-Bericht plus DSGVO-Dokumentation plus Risikoklassifikations-Nachweis bilden eine geschlossene Audit-Kette, die im BfArM- oder PEI-Inspektionsfall, im AKG-Audit und im DOJ-/SEC-FCPA-Verfahren als „documented care in selection" verteidigungsfähig ist.

9. Pflichten-Synthese und nächste Schritte für CHRO und Compliance-Officer

Aus den vier Pflichten und den drei Inspections-Fragen folgt ein konkretes Pflichtenheft für Pharma-HR und Compliance-Funktion:

• Risikoklassifikation aller Rollen mit § 299b-Exposition, dokumentiert in Stellenbeschreibungen und Vetting-Policy.

• Dreistufiges Vetting-Modell (basic/enhanced/deep), je Risikoklasse, mit definierten Mindestquellen je Stufe.

• Externe Vetting-Provider-Auswahl mit dokumentierter DSGVO-Auftragsverarbeitung nach Art. 28 DSGVO.

• Continuous-Monitoring-Komponente für korruptionsexponierte Mitarbeiter, nicht nur Eintrittsprüfung — etwa quartalsweiser Re-Check Adverse Media und Sanktionslisten.

• Verantwortlichkeitskette CHRO → Compliance-Officer → Geschäftsleitung mit Eskalationsregel, dokumentiert in Compliance-Management-System.

• Dokumentations-Aufbewahrung mindestens für Dauer der Beschäftigung plus drei Jahre nach § 257 HGB-Analog-Argumentation, mit DSGVO-Löschkonzept.

Pharma-Compliance-Officer und CHRO, die diese sechs Punkte in einem dokumentierten Compliance-Management-System gemäß IDW PS 980 verankern, liegen über dem Marktstandard und unter dem Aufsichtspflicht-Risiko. Mehr zur Methodik unter Indicium DSGVO-konformer Pre-Employment-Background-Check.

Indicium für Pharma-Personnel-Compliance

Indicium dokumentiert § 299 StGB-konformes Personnel-Vetting für Außendienst, R&D und C-Suite — automatisch und BfArM-Inspection-ready. Discovery-Call mit Co-Founder Mabon Hein: https://meetings-eu1.hubspot.com/mabonh/indicium-discovery-30-min.