KonTraG – Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Jürgen Günther | 29. April 2025
Legal compliance

Das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) ist ein deutsches Artikelgesetz, das am 1. Mai 1998 in Kraft trat. Es brachte umfassende Änderungen im Handels- und Gesellschaftsrecht mit sich und zielte auf eine bessere Corporate Governance, mehr Transparenz und eine strengere Kontrolle von Unternehmen. Das Gesetz verpflichtet Vorstände, Aufsichtsräte und Wirtschaftsprüfer zu erweiterten Pflichten und stärkt die Haftung. Eine zentrale Neuerung war die Einführung eines verpflichtenden Risikofrüherkennungssystems, um Risiken frühzeitig zu erkennen und Gegenmaßnahmen zu treffen.

Was ist das KonTraG? Ziele und Inhalt des Gesetzes

Das KonTraG ist ein umfassendes Reformpaket im Unternehmensrecht. Es hatte zwei grundlegende Ziele: Zum einen sollten Schwächen im Kontrollsystem des deutschen Aktienrechts korrigiert werden, zum anderen sollte der wachsenden Bedeutung internationaler Investoren durch mehr Transparenz im Unternehmensbereich Rechnung getragen werden. Als Artikelgesetz war das KonTraG in mehrere Teile gegliedert, die verschiedene Gesetze änderten – vor allem das Handelsgesetzbuch (HGB) und das Aktiengesetz (AktG).

Ein Kernpunkt des KonTraG ist eine neue Bestimmung im Aktiengesetz, die Unternehmensleitungen dazu verpflichtet, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und risikorelevante Angaben im Lagebericht zu machen. Darüber hinaus zielte das Gesetz auf eine Verbesserung der Kontrollmechanismen in der Corporate Governance ab: Die Haftung von Vorständen, Aufsichtsräten und Wirtschaftsprüfern wurde verschärft und deren Verantwortlichkeiten erweitert. Durch diese Änderungen sollten Kontrolle und Transparenz im Unternehmensbereich gestärkt und das Vertrauen in das Management und die Aufsichtsorgane der Gesellschaften zurückgewonnen werden.

Geltungsbereich – Für wen gilt das KonTraG?

Das Gesetz gilt primär für große Kapitalgesellschaften. Entgegen einem verbreiteten Irrglauben betrifft das KonTraG nicht ausschließlich Aktiengesellschaften (AG). Auch die Kommanditgesellschaft auf Aktien (KGaA) und viele Gesellschaften mit beschränkter Haftung (GmbH) – z. B. bestimmte GmbH mit einem fakultativen oder mitbestimmten Aufsichtsrat – fallen unter die neuen Vorschriften (dies geschieht durch sogenannte Ausstrahlungswirkung). Die sogenannte kleine AG (nicht börsennotierte, kleinere Aktiengesellschaft) wurde hingegen weitgehend von der Einhaltung der neu eingeführten Vorschriften des Aktienrechts befreit.

Risikomanagement nach KonTraG – Pflichten nach § 91 Abs. 2 AktG

Die wohl bedeutendste Neuerung des KonTraG ist die explizite Verpflichtung zur Einrichtung eines Risikomanagementsystems. § 91 Abs. 2 AktG (teilweise auch als § 91 II AktG zitiert) fordert vom Vorstand einer Aktiengesellschaft, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Anders ausgedrückt: Das Management muss ein System zur frühen Erkennung und zur besseren Kontrolle wesentlicher Risiken implementieren. Dieses Überwachungssystem dient dazu, frühzeitig Alarm zu schlagen, wenn sich für die Gesellschaft bestandsgefährdende Entwicklungen abzeichnen. Durch geeignete Maßnahmen soll sichergestellt werden, dass Risiken rechtzeitig erkannt und Gegenmaßnahmen eingeleitet werden können.

In der Praxis spricht man hierbei von einem Risikofrüherkennungssystem im Unternehmen. Ein solches System umfasst typischerweise Prozesse zur Risikoidentifikation, Risikoanalyse, Überwachung und Kommunikation. Im Lagebericht (Teil des Jahresabschlusses) müssen nun auch Angaben über die Risiken und die Risikostruktur des Unternehmens gemacht werden. Diese erhöhte Transparenz im Unternehmensbereich ermöglicht es Aktionären, Gläubigern und anderen Stakeholdern, einen besseren Einblick in die Risikosituation der Gesellschaft zu erhalten.

Ist Risikomanagement eine gesetzliche Pflicht für GmbHs?

Für GmbHs besteht keine ausdrücklich durch Gesetz vorgeschriebene Pflicht zur Einrichtung eines Risikofrüherkennungssystems wie in § 91 Abs. 2 AktG. Das KonTraG hat die Pflicht zum Risikomanagement insbesondere für börsennotierte Aktiengesellschaften eingeführt. Dennoch hat die Regelung eine starke Ausstrahlungswirkung: Auch viele GmbH-Geschäftsführer sehen sich im Rahmen einer ordnungsgemäßen Geschäftsführung gehalten, ein geeignetes Überwachungssystem und Maßnahmen zur Risikoüberwachung einzurichten. Die allgemeinen Sorgfaltspflichten (vgl. § 93 Abs. 1 AktG für Vorstände, entsprechend anwendbar auch auf Geschäftsführer) legen nahe, Risiken systematisch zu beobachten. Darüber hinaus erwarten Kreditgeber und Banken zunehmend auch von Mittelstandsunternehmen ein professionelles Risikomanagement. Spätestens seit Basel II verlangen Banken im Rating-Prozess Nachweise über ein funktionierendes Risikomanagementsystem, was faktisch dazu führt, dass auch GmbHs ein solches System vorweisen müssen, um Kredite zu fairen Konditionen zu erhalten. Kurz gesagt: Gesetzlich zwingend ist ein Risikomanagement für GmbHs zwar nicht, doch inhaltlich wird es heute auch dort als wichtiger Bestandteil guter Corporate Governance angesehen und oft freiwillig implementiert.

Insgesamt sorgt ein systematisches Risikomanagement – ob vorgeschrieben oder freiwillig – für deutlich mehr Kontrolle und Transparenz im Umgang mit Risiken.

Weitere Änderungen durch das KonTraG – Auswirkungen auf Corporate Governance

Neben der Einführung des Risikomanagements brachte das KonTraG (das Artikelgesetz von 1998) noch weitere Maßnahmen zur Stärkung von Kontrolle und Transparenz. So wurde zum Beispiel die Rolle des Aufsichtsrats gestärkt: Künftig erteilt der Aufsichtsrat den Auftrag für die Abschlussprüfung des Jahresabschlusses und nimmt den Prüfungsbericht offiziell entgegen. Zudem muss der Abschlussprüfer (Wirtschaftsprüfer) an der Bilanzsitzung des Aufsichtsrats teilnehmen, in der der Jahresabschluss festgestellt wird. Damit wurde sichergestellt, dass der Aufsichtsrat direkt in den Prüfungsprozess eingebunden ist und seine Überwachungs- und Kontrollfunktion besser wahrnehmen kann.

Die Wirtschaftsprüfer wurden ebenfalls in die Pflicht genommen: Bei börsennotierten Unternehmen müssen sie nun im Rahmen der Abschlussprüfung explizit prüfen und bestätigen, dass ein Risikomanagementsystem eingerichtet und in Betrieb ist, und sie müssen die Wirksamkeit der ergriffenen Maßnahmen beurteilen. Festgestellte Risiken und Schwächen im internen Kontroll- bzw. Überwachungssystem sind im Prüfungsbericht hervorzuheben. Diese neuen Bestimmungen und Vorschriften zielen darauf ab, das Berichtswesen und die Transparenz im Unternehmensbereich weiter zu verbessern. Allen Mitgliedern des Aufsichtsrats sind die Prüfungsberichte auszuhändigen, sodass jeder im Gremium über den gleichen Informationsstand verfügt.

Auch die Haftung der Organe wurde verschärft. Versäumnisse im Risikomanagement oder bei der Überwachung können nun eher zu persönlichen Haftungsfällen von Vorstand und Aufsichtsrat führen. Insgesamt führte das KonTraG zu einer Erweiterung der Verantwortlichkeiten: Vorstände und Geschäftsführer müssen proaktiver Risiken managen, Aufsichtsräte müssen die Überwachung des Risikomanagements sicherstellen, und Wirtschaftsprüfer müssen diese Prozesse kontrollieren und überprüfen. All diese Änderungen dienen dem Ziel, das Vertrauen in die Unternehmensführung zu stärken und sicherzustellen, dass gefährdende Entwicklungen früh erkannt und rechtzeitig kommuniziert werden.

KonTraG in der Praxis – So setzen Unternehmen die Anforderungen um

Die Anforderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gehen weit über reine Theorie hinaus: Unternehmen müssen ein funktionierendes Risikomanagement- und Überwachungssystem etablieren, das Risiken frühzeitig erkennt, bewertet und steuert – und dies lückenlos dokumentiert. § 91 Abs. 2 AktG fordert explizit, dass der Vorstand geeignete Maßnahmen trifft, damit „entwicklungen, die den Fortbestand der Gesellschaft gefährden könnten, früh erkannt werden“.

In der betrieblichen Praxis heißt das konkret:

Risiken systematisch identifizieren:
Risiken müssen in allen relevanten Unternehmensbereichen erfasst werden – vom operativen Geschäft über Compliance-Themen bis hin zu IT oder Lieferketten. Dies basiert häufig auf etablierten Standards wie dem COSO- oder ISO-Risikomanagement-Rahmen, die eine einheitliche Risikoidentifikation unterstützen.

Risikobewertung und -frühwarnung:
Wesentliche Risiken sollten quantifiziert und bewertet werden, damit Steuerungsmaßnahmen zeitgerecht eingeleitet werden können. Konzepte wie Frühwarnindikatoren sind hier zentral, um Entwicklungen zu erkennen, bevor es zu Schäden kommt.

Kontrollen und Überwachungsprozesse implementieren:
Aufbau und Dokumentation interner Kontrollen, regelmäßige Reviews und ein klarer Maßnahmen-Controlling-Prozess sind nötig, um den gesetzlichen Nachweis der Funktionsfähigkeit zu erbringen.

Dokumentation und Berichterstattung:
Alle Schritte – von der Risikoidentifikation über Maßnahmen bis zur Wirksamkeitsprüfung – müssen nachvollziehbar dokumentiert werden, insbesondere für Prüfungs- und Berichtszwecke.

Wie lässt sich das technisch unterstützen?

Gerade in wachsenden oder komplexen Organisationen kann die praktische Umsetzung dieser Anforderungen ohne Unterstützung durch geeignete Tools schnell unübersichtlich werden. Viele Unternehmen greifen daher auf softwaregestützte Systeme zurück, um die Prozesse effizient, transparent und revisionssicher zu gestalten.

Ein zentrales Beispiel dafür ist antares RiMIS® Risikomanagement‑Software:

  • Zentrale Risikodatenbank: Statt verstreuter Excel-Listen werden Risiken strukturiert erfasst und unternehmensweit synchron gehalten – ein wesentlicher Baustein für die KonTraG-konforme Risikoidentifikation.
  • Frühwarn- und Bewertungsmechanismen: Funktionen wie automatisierte Risikoanalysen, Szenariobetrachtungen und ein integriertes Frühwarnsystem helfen dabei, Risiken frühzeitig zu erkennen und im Sinne des Gesetzes kontinuierlich zu überwachen.
  • Kontrollen & Maßnahmenmanagement: Workflows zur Dokumentation von Kontrollen, Verantwortlichkeiten und Maßnahmen gewährleisten, dass gesetzliche Nachweispflichten zuverlässig erfüllt werden.
  • Berichtswesen & Audit-Ready-Dokumentation: Standardisierte Reports und revisionssichere Protokolle schaffen Transparenz für Vorstand, Aufsichtsrat oder Wirtschaftsprüfer.

Dadurch ermöglicht eine integrierte Risikomanagementlösung nicht nur die Einführung eines KonTraG-konformen Überwachungssystems, sondern entlastet auch die Verantwortlichen durch effiziente Automatisierung, bessere Datenqualität und eine klare Nachvollziehbarkeit aller Vorgänge.

Fazit

Das KonTraG setzte Ende der 1990er Jahre einen entscheidenden Impuls zur Modernisierung der Corporate Governance in Deutschland. Durch die neuen Vorschriften – insbesondere die Pflicht zur Einrichtung eines Risikofrüherkennungssystems nach § 91 Abs. 2 AktG – wurden Unternehmen gezwungen, sich systematisch mit ihren Risiken auseinanderzusetzen und diese besser unter Kontrolle zu halten. Die Auswirkungen waren nachhaltig: Das Thema Risikomanagement etablierte sich als fester Bestandteil guter Unternehmensführung. Obwohl GmbHs nicht direkt vom Gesetzgeber verpflichtet wurden, strahlt der Geist des KonTraG in Form von Best Practice auf nahezu alle bedeutenden Gesellschaften aus (Stichwort Ausstrahlungswirkung).

Rund 25 Jahre nach seinem Inkrafttreten ist dieses Artikelgesetz immer noch von hoher Relevanz. Spätere Gesetze haben die im KonTraG eingeführten Vorschriften weiterentwickelt – etwa das UMAG und das MoMiG, sowie jüngst das StaRUG 2021, welches die Pflicht zur vorausschauenden Krisenfrüherkennung auf alle haftungsbeschränkten Unternehmensträger (also praktisch alle Kapitalgesellschaften) ausdehnt. Die durch das KonTraG geschaffene Kontrolle und Transparenz im Unternehmensbereich bleiben jedoch ein grundlegender Maßstab für gute Corporate Governance im deutschen Handels-, Aktien- und Gesellschaftsrecht. Für Unternehmer, Juristen und wirtschaftlich Interessierte gilt: Das KonTraG war ein Meilenstein. Der Begriff KonTraG steht bis heute synonym für die Bedeutung von organisiertem Risikomanagement und verlässlicher Kontrolle in Unternehmen.

Weitere Informationen

unter Risikomanagemt Software antares RiMIS®.

Kostenlose Produkt-Demo vereinbaren

Wählen Sie Ihre gewünschte Option aus und vereinbaren Sie ein unverbindliches und kostenfreies Gespräch mit unserem Geschäftsführer Jochen Brühl.

Wir gehen auf Ihre Fragen ein und sorgen dafür, dass Sie unsere Software genau kennenlernen. Gerne zeigen wir Ihnen den Lösungsweg zu Ihren individuellen Anforderungen. Im Anschluss präsentieren wir Ihnen auf Wunsch das Leistungsspektrum unserer Software, live und direkt, per Web-Session oder persönlich bei Ihnen vor Ort.

Jürgen Günther
Jürgen Günther
Geschäftsführung | Ansprechpartner für GRC Management Software & technische Spezifikation
LinkedIn