Als dritte Voraussetzung für eine ausreichende Selbstreinigung führt Artikel 57 Absatz 6 Unterabsatz 2 der Richtlinie 2014/24/EU an, dass das Unternehmen konkrete technische, organisatorische und personelle Maßnahmen ergriffen hat, die geeignet sind, weitere Straftaten oder Fehlverhalten zu vermeiden. Welche aus dem breiten Spektrum von infrage kommenden Maßnahmen dabei im Einzelnen erforderlich sind, hängt vom jeweiligen Einzelfall ab. Die ergriffenen technischen, organisatorischen und personellen Maßnahmen müssen jedenfalls konkreter
Art und dazu geeignet sein, das Ziel der Vermeidung weiterer Straftaten oder Fehlverhalten zu erreichen. Dabei müssen die Maßnahmen nicht nur generell der Begehung von Straftaten entgegenwirken, sondern auch konkret geeignet sein, eine erneute Begehung der gleichen Straftat zu vermeiden bzw. ausreichende Garantien bieten, dass ein derartiges Fehlverhalten nicht erneut vorkommt. Hierbei handelt es sich um eine Prognoseentscheidung des jeweiligen öffentlichen Auftraggebers.
Rechtsprechung und Literatur haben Fallgruppen und Hinweise für derartige Selbstreinigungsmaßnahmen erarbeitet.
Dabei handelt es sich um sogenannte Compliance-Maßnahmen im weitesten Sinne. Erwägungsgrund 102 der Richtlinie 2014/24/EU erläutert die infrage kommenden Compliance-Maßnahmen: „Bei diesen Maßnahmen kann es sich insbesondere um Personal- und Organisationsmaßnahmen handeln, wie den Abbruch aller Verbindungen zu an dem Fehlverhalten beteiligten Personen oder Organisationen, geeignete Personalreorganisationsmaßnahmen, die Einführung von Berichts- und Kontrollsystemen, die Schaffung einer internen Audit-Struktur
zur Überwachung der Compliance oder die Einführung interner Haftungs- und Entschädigungsregelungen. Soweit derartige Maßnahmen ausreichende Garantien bieten, sollte das jeweilige Unternehmen nicht länger alleine aus diesen Gründen ausgeschlossen werden.“ Diese Auflistung möglicher Maßnahmen ist beispielhaft und weder verbindlich noch abschließend.
Für die Selbstreinigung einer juristischen Person ist es in jedem Fall erforderlich, dass auch personelle Maßnahmen ergriffen werden, da diese für die erfolgreiche Wiederherstellung der Zuverlässigkeit von herausragender Bedeutung sind. Welche personellen Konsequenzen jeweils erforderlich sind, hängt von den Umständen des Einzelfalls ab, wozu es eine umfassende Rechtsprechung gibt.
Das Unternehmen muss außerdem strukturelle und organisatorische Maßnahmen ergreifen, die geeignet sind, weitere Straftaten oder Fehlverhalten wirksam zu verhindern. Die Einführung eines sogenannten Compliance Management Systems (bzw. die Veränderung eines bereits bestehenden Systems) kann diese technischen und organisatorischen Maßnahmen umfassen. Faktoren wie Größe, Struktur und Tätigkeitsbereich des Unternehmens, die Art des Delikts oder Fehlverhaltens und die Funktion der verurteilten Personen spielen eine wesentliche Rolle
bei der Beurteilung der im Einzelfall erforderlichen Selbstreinigungsmaßnahmen.
§ 125 Absatz 1 Satz 2 stellt klar, dass der in § 123 Absatz 4 Satz 2 geregelte spezielle Selbstreinigungstatbestand für den zwingenden Ausschlussgrund der Nichtzahlung von Steuern oder Sozialversicherungsbeiträgen dem allgemeinen Selbstreinigungstatbestand nach § 125 vorgeht.