Compliance im Unternehmen: rechtliche Pflichten, Organisationsstruktur und operative Umsetzung

Compliance bezeichnet im rechtlichen Sinne die Gesamtheit der Maßnahmen, die sicherstellen, dass ein Unternehmen und seine Mitarbeiter gesetzliche Vorschriften, behördliche Auflagen und interne Regeln einhalten. § 130 Abs. 1 OWiG verpflichtet die Unternehmensleitung, die zur Verhinderung von Zuwiderhandlungen erforderlichen Aufsichtsmaßnahmen zu treffen. Wird diese Pflicht verletzt und kommt es dadurch zu einer betriebsbezogenen Straftat oder Ordnungswidrigkeit, können gegen das Unternehmen Bußgelder bis zu einer Million Euro verhängt werden, unabhängig von den strafrechtlichen Folgen für handelnde Personen nach § 30 OWiG.

Dieser Artikel erklärt, welche organisatorischen Anforderungen an ein Compliance-System gestellt werden, welche Rolle der Compliance-Beauftragte einnimmt, wie IDW PS 980 als anerkannter Implementierungsrahmen funktioniert und welche Umsetzungsoptionen der Mittelstand hat. Konkrete Zahlen, gesetzliche Referenzen und operative Ableitungen für Unternehmen zwischen 50 und 2.000 Mitarbeitern, die ihre Compliance-Organisation auf einen prüfungsfesten Stand bringen möchten.

Die rechtliche Verpflichtung zur Compliance-Organisation ergibt sich in Deutschland aus mehreren Quellen. § 130 Abs. 1 OWiG normiert die Aufsichtspflicht des Inhabers eines Unternehmens oder Betriebs: Wer vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich gewesen wären, um eine Zuwiderhandlung gegen betriebsbezogene Pflichten zu verhindern, handelt selbst ordnungswidrig. Die Geldbuße nach § 130 Abs. 3 OWiG beträgt bis zu einer Million Euro. Die Norm trifft nicht nur Kapitalgesellschaften, sondern auch Einzelunternehmen und Personengesellschaften.

§ 30 OWiG ermöglicht es darüber hinaus, gegen das Unternehmen selbst eine Geldbuße von bis zu 10 Mio. Euro zu verhängen, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat und das Unternehmen daraus einen wirtschaftlichen Vorteil zog oder hätte ziehen können. Das Verbandssanktionengesetz (VerSanG) wurde politisch diskutiert, aber nicht verabschiedet; die OWiG-Sanktionen bleiben das primäre Instrument der deutschen Unternehmenshaftung.

IDW PS 980 (Institut der Wirtschaftsprüfer, Prüfungsstandard 980) definiert sieben Grundelemente eines Compliance-Management-Systems: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation und Compliance-Überwachung. Diese Elemente bilden den anerkannten Referenzrahmen für die Wirksamkeitsprüfung durch externe Wirtschaftsprüfer und für die interne Selbstbewertung. Der Compliance-Beauftragte ist dabei das operative Herzstück der Compliance-Organisation, der alle sieben Elemente koordiniert und die Berichtslinie zur Geschäftsleitung sicherstellt. Fehlt diese Rolle, fehlt in der Regel auch die Wirksamkeit des CMS in der Praxis.

Mittelständische Unternehmen sind Compliance-Risiken ausgesetzt, die sich aus Größe, Branche und Organisationsstruktur ergeben. Eine strukturierte Risikolandkarte ist der Ausgangspunkt für ein proportioniertes Compliance-Programm. Nicht jedes Unternehmen braucht eine vollständige Compliance-Abteilung; aber jedes Unternehmen ab 50 Mitarbeitern braucht eine dokumentierte Risikobewertung und ein Programm, das die wesentlichen Risiken adressiert.

Besonders exponiert sind fünf Bereiche: Erstens Korruptionsprävention und Kartellrecht, wobei § 81 GWB Absprachen mit bis zu 10 % des Konzernumsatzes sanktioniert. Zweitens Datenschutz nach Art. 83 DSGVO mit Bußgeldern bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen. Drittens Arbeitsrecht und Arbeitssicherheit, wobei Verstöße gegen das ArbSchG, die ArbStättV oder DGUV-Vorschriften neben Bußgeldern auch Betriebsunterbrechungen auslösen können. Viertens Geldwäscheprävention: § 7 GwG verpflichtet bestimmte Unternehmen zur Bestellung eines Geldwäschebeauftragten; fehlt dieser, droht nach § 56 GwG eine Geldbuße bis zu 150.000 Euro. Fünftens Lieferkettensorgfaltspflichten nach dem LkSG, das ab 1.000 Mitarbeitern gilt und eine BAFA-Berichtspflicht nach § 10 LkSG begründet.

Die Risikolandkarte ist nicht statisch. Neue Gesetze, neue Geschäftsfelder und neue Gerichtsurteile können das Risikoprofil eines Unternehmens innerhalb weniger Monate verändern. Die Einführung eines KI-Systems, der Einstieg in einen neuen Exportmarkt oder der Abschluss eines Großauftrags mit einem öffentlichen Auftraggeber können ganz neue Compliance-Pflichten auslösen. Ein aktives Compliance-Risikomonitoring ist daher keine Einmalmaßnahme, sondern ein laufender Prozess, den der Compliance-Beauftragte mindestens jährlich neu bewertet und dokumentiert.

IDW PS 980 beschreibt ein Compliance-Management-System als Gesamtheit der in einem Unternehmen eingeführten Grundsätze und Maßnahmen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter abzielen. Die sieben Grundelemente konkretisieren, was ein wirksames CMS leisten muss:

1. Compliance-Kultur: Der Tone from the Top. Ohne glaubwürdige Haltung der Unternehmensleitung bleibt jedes Programm wirkungslos. Die Kultur zeigt sich nicht in Leitbildern, sondern in konkreten Entscheidungen, die Compliance-Anforderungen über kurzfristige Geschäftsinteressen stellen.
2. Compliance-Ziele: Welche Regelkonformität wird angestrebt? Branchenspezifische Gesetze, interne Richtlinien, internationale Standards wie ISO 37301:2021.
3. Compliance-Risiken: Risikoanalyse und -bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe. Die Risikolandkarte ist Grundlage für das Compliance-Programm und muss regelmäßig aktualisiert werden.
4. Compliance-Programm: Maßnahmen zur Risikovermeidung: Richtlinien, Schulungen, Kontrollen, Hinweisgebersystem, prozessintegrierte Prüfschritte.
5. Compliance-Organisation: Verantwortlichkeiten, Berichtslinie, Ressourcen. Der Compliance-Beauftragte als zentraler Koordinator mit direkter Berichtslinie zur Geschäftsleitung.
6. Compliance-Kommunikation: Interne Kommunikation von Regeln und Ereignissen; externe Berichterstattung im ESG-Kontext nach CSRD oder im Rahmen von IDW-PS-980-Prüfungen.
7. Compliance-Überwachung: Laufende Prüfung der Programmwirksamkeit, ggf. durch interne Revision oder externe Wirtschaftsprüfer nach IDW PS 980.

Für den Mittelstand empfiehlt sich ein proportionierter Ansatz, der alle sieben Elemente adressiert, ohne den administrativen Aufwand einer Konzernstruktur zu replizieren. Die CIVAC-Plattform liefert für jedes der sieben Elemente strukturierte Vorlagen, Checklisten und Dokumentationspfade, die direkt einsatzbereit sind und keine monatelange Aufbauzeit erfordern.

Der Compliance-Beauftragte (CO) ist die operative Schlüsselfigur im Compliance-System. Er überwacht die Einhaltung von Gesetzen, Richtlinien und internen Regeln, identifiziert Risiken, koordiniert Schulungen und ist erste Anlaufstelle für Mitarbeiter bei Compliance-Fragen oder Hinweisen auf Verstöße. Er erstattet der Geschäftsleitung regelmäßig und mindestens vierteljährlich Bericht und eskaliert bei konkreten Verstößen oder strukturellen Risiken unverzüglich. Jeder Eskalationsschritt wird mit Datum, Inhalt und Reaktion der Geschäftsleitung dokumentiert und revisionssicher abgelegt.

Eine gesetzliche Bestellpflicht für einen Compliance-Beauftragten im allgemeinen Unternehmensrecht existiert im deutschen Recht nicht für alle Unternehmen. Die Pflicht entsteht jedoch faktisch aus § 130 OWiG: Wer kein Compliance-System und keine verantwortliche Person benennt, kann die Aufsichtspflicht im Schadensfall kaum nachweisen. Für regulierte Branchen wie Banken (§ 25a KWG), Versicherungen, Wertpapierdienstleister (§ 80 WpHG) und Geldwäscheverpflichtete (§ 7 GwG) bestehen ausdrückliche Bestellpflichten, die von Fachaufsichtsbehörden wie der BaFin kontrolliert werden. Fehlt die Bestellung, kann das zur Geschäftsführerhaftung führen.

Interne COs benötigen eine Berichtslinie zur Geschäftsleitung, die ihre Unabhängigkeit von operativen Einheiten gewährleistet, sowie ausreichend Ressourcen und aktuellen Zugang zu Fachinformationen, Gesetzesdatenbanken und Branchenleitlinien. Externe COs liefern sofort einsatzbereites Fachwissen ohne Einarbeitungszeit. Der externe Compliance-Beauftragte über CIVAC wird formal bestellt, erhält eine schriftliche Bestellurkunde und berichtet direkt an die Geschäftsleitung. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Das Compliance-Programm ist der operative Kern des CMS. Es umfasst drei Hauptelemente: Richtlinien, Schulungen und ein Hinweisgebersystem. Jedes Element muss nicht nur existieren, sondern nachweisbar eingeführt, kommuniziert und in der Praxis gelebt sein. Ein Programm auf dem Papier ist kein Compliance-Element; ein Programm, das gelebt, dokumentiert, mindestens jährlich auf Wirksamkeit überprüft und bei Bedarf nachgesteuert wird, erfüllt die Anforderungen des IDW PS 980.

Richtlinien definieren das erwartete Verhalten in konkreten Risikofeldern: Antikorruption, Kartell, Datenschutz, Interessenkonflikte, Geschenke und Zuwendungen, Umgang mit Betriebs- und Geschäftsgeheimnissen sowie Verhalten bei Behördenanfragen und Durchsuchungen. Für die Wirksamkeit ist entscheidend, dass Richtlinien für Mitarbeiter zugänglich, verständlich und nachweisbar kommuniziert werden. Eine Richtlinie im Ordner ist kein Compliance-Element; eine Richtlinie, deren Kenntnisnahme mit Datum und digitaler Bestätigung dokumentiert ist und deren Inhalt in einer Schulung vermittelt wurde, schon.

Schulungen stellen sicher, dass Mitarbeiter Risiken erkennen und wissen, wie sie zu handeln haben. Prüfungsfeste Schulungsnachweise sind ein zentrales Beweismittel im Bußgeldverfahren. Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen ab 50 Mitarbeitern seit dem 2. Juli 2023 zur Einrichtung einer internen Meldestelle. Der Compliance-Beauftragte verantwortet typischerweise die Meldestelle oder koordiniert sie mit einem spezialisierten Beauftragten für Hinweisgeberschutz, der die Vertraulichkeit und die gesetzlichen Fristen nach § 17 HinSchG sicherstellt. Schulungen nach IDW PS 980 erfordern zudem eine nachweisbare Wirksamkeitskontrolle: Wissenstests mit dokumentiertem Ergebnis sind das Mindestmittel. Ohne Testergebnis und Zertifikat ist eine Schulung im Prüfungsfall kaum belastbar, da keine Aussage über die tatsächliche Wissensaufnahme gemacht werden kann.

Ein Compliance-Management-System, das nicht überwacht wird, ist keine wirksame Compliance-Organisation, sondern eine Dokumentationssammlung. Die Überwachung der Wirksamkeit ist das siebte Grundelement nach IDW PS 980 und der entscheidende Unterschied zwischen einem funktionierenden CMS und einem Papierprogramm. Behörden und Wirtschaftsprüfer prüfen nicht das bloße Vorhandensein von Dokumenten, sondern die nachweisbare Wirksamkeit der Maßnahmen im Alltag des Unternehmens, insbesondere ob Verstöße erkannt, gemeldet und abgestellt wurden.

Wirksamkeitsüberwachung umfasst drei Ebenen. Erstens die laufende operative Überwachung durch den Compliance-Beauftragten selbst, etwa durch Stichprobenprüfungen, Auswertung des Hinweisgebersystems, Analyse von Eskalationen und regelmäßige quartalsweise Berichte an die Geschäftsleitung. Zweitens die interne Revision, die das CMS mindestens jährlich auf Strukturkonformität und Wirksamkeit prüft und Mängel dokumentiert, damit konkrete Maßnahmen eingeleitet und nachverfolgt werden können. Drittens die externe Prüfung, entweder durch einen Wirtschaftsprüfer nach IDW PS 980 oder im Rahmen einer ISO-Zertifizierung nach ISO 37301:2021.

ISO 37301:2021 hat ISO 19600 abgelöst und definiert Anforderungen an ein wirksames und zertifizierbares CMS. In Branchen wie Pharma, Medizintechnik oder Finanzdienstleistungen wird ISO-37301-Konformität zunehmend von Geschäftspartnern und Aufsichtsbehörden erwartet und in Ausschreibungen als Mindestvoraussetzung vorausgesetzt. Die Dokumentation der Überwachungsmaßnahmen ist der Prüfungsfokus: Wer keine Belege hat, kann die Wirksamkeit nicht nachweisen. Wer sie hat, steht im Bußgeldverfahren deutlich besser da. Der Prüfer ruft an, der Nachweis liegt bereit.

Die Entscheidung zwischen einem internen und einem externen Compliance-Beauftragten ist eine unternehmerische Abwägung, die Kosten, Verfügbarkeit, Fachtiefe und Unabhängigkeit berücksichtigt. Für viele Mittelständler zwischen 50 und 500 Mitarbeitern ist ein externer CO die wirtschaftlichere Lösung, solange kein dediziertes Compliance-Team benötigt wird. Die Entscheidung hat direkte Auswirkungen auf die Qualität der Aufsichtsnachweise nach § 130 OWiG und auf die Glaubwürdigkeit der Compliance-Funktion gegenüber Behörden und Geschäftspartnern.

Die CIVAC-Plattform ermöglicht außerdem eine hybride Lösung: Ein interner Mitarbeiter lizenziert den Workspace und erhält Zugang zu 37 einsatzbereiten Audit-Vorlagen sowie dem KI-Assistenten mit Confidence-Score und Quellennachweis, während ein externer CIVAC-Beauftragter die formale Bestellung und die Berichtslinie zur Geschäftsleitung übernimmt. So verbinden sich interne Branchenkenntnisse mit externer Compliance-Fachtiefe in einem gemeinsamen Workspace. Beide Modelle teilen denselben Audit-Log und dieselbe Evidenzbasis, die bei Behördenanfragen exportiert werden kann. Diese Transparenz schützt das Unternehmen bei Behördenanfragen: Der Prüfer sieht nicht nur, dass ein CO bestellt wurde, sondern auch, dass dieser regelmäßig tätig war, Berichte erstellt hat und die Geschäftsleitung informiert hat.

In regulierten Branchen ergeben sich Compliance-Pflichten nicht nur aus dem allgemeinen Ordnungswidrigkeitenrecht, sondern aus sektorspezifischen Normen, die eigenständige Compliance-Strukturen vorschreiben und von Fachaufsichtsbehörden laufend kontrolliert werden. Die Anforderungen sind erheblich schärfer als im allgemeinen Mittelstand, und die Behörden prüfen aktiv, proaktiv und anlassbezogen.

Im Bereich Finanzdienstleistungen verlangen KWG (§ 25a), WpHG (§ 80), MaComp sowie MiFID II für Banken, Fondsgesellschaften und Wertpapierdienstleister einen formalisierten Compliance-Beauftragten mit direkter Berichtslinie zur Geschäftsführung und BaFin-kompatibler Dokumentation. Verstöße können neben Bußgeldern auch zum Lizenzentzug führen. In Pharma und Medizintechnik schaffen AMG-Compliance-Anforderungen, EU-GMP-Leitlinien und bei US-Geschäftstätigkeit der FCPA (Foreign Corrupt Practices Act) ein dichtes Regelwerk; die ABDA-Hinweise zur Antikorruption im Gesundheitswesen (§ 299a/b StGB) betreffen auch Pharmaunternehmen ohne eigene Banklizenz.

Betreiber kritischer Infrastruktur nach § 2 BSIG und Unternehmen im Anwendungsbereich der NIS-2-Richtlinie (rund 29.500 Unternehmen in Deutschland) müssen nach dem reformierten BSIG Risikomanagementmaßnahmen nachweisen, die faktisch eine Compliance-Funktion für IT-Sicherheit voraussetzen. Die Bußgelder für wesentliche Einrichtungen betragen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Für alle regulierten Branchen gilt: Die Compliance-Dokumentation muss jederzeit auf Behördenanforderung vollständig vorgelegt werden können, und fehlende Nachweise führen zu verschärften Maßnahmen. Bei Finanzdienstleistern sind Compliance-Verstöße außerdem im Jahresabschlussbericht offenzulegen, wenn sie wesentlich sind. Dies macht eine lückenlose Compliance-Dokumentation zur Voraussetzung für ordnungsgemäße Finanzberichterstattung.

Compliance ist keine Frage der Unternehmensgröße, sondern der Organisationsstruktur. § 130 OWiG macht keine Ausnahme für Mittelständler: Wer Mitarbeiter beschäftigt, wer Verträge abschließt, wer in regulierten Bereichen tätig ist, hat Aufsichtspflichten. Die Frage ist nicht ob, sondern wie diese Pflichten organisiert und dokumentiert werden, damit sie im Prüfungsfall belastbar sind und das Bußgeldrisiko strukturell reduziert wird.

Andere führen Compliance wie einen Aktenschrank. CIVAC führt sie wie Software. Der CIVAC-Workspace strukturiert die Kernaufgaben des Compliance-Beauftragten: wiederkehrende Aufgaben nach vorgefertigter Vorlage, Schulungen mit Nachweisdokumentation und Zertifikat, Audit-Projekte in fünf festen Schritten (Scope, Uploads, Rückfragen, Risiken, Bericht) sowie monatliche Evidenzberichte. 37 einsatzbereite Audit-Vorlagen decken die wesentlichen Compliance-Felder ab. Das Audit-Log ist lückenlos, mit Zeitstempel und exportierbar auf Knopfdruck. Hinzu kommen die monatlichen Evidenzberichte, die den Fortschritt des CMS und offene Maßnahmen dokumentieren und der Geschäftsleitung eine belastbare Entscheidungsgrundlage liefern.

CIVAC liefert diesen Prozess als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten: formal ernannt mit schriftlicher Bestellurkunde, berichtend direkt an die Geschäftsleitung, einsatzbereit in zwei Werktagen statt nach zwei bis sechs Wochen klassischer Rekrutierung. Wenn Sie Ihr Compliance-System auf einen dokumentierten, bußgeldfesten Stand bringen möchten, schreiben Sie uns: info@civac.de. Aus dem Lesen einen Auftrag machen.