77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
CMS-Pflicht: Wann ein Compliance-Management-System rechtlich verpflichtend wird
Governance & Compliance

CMS-Pflicht: Wann ein Compliance-Management-System rechtlich verpflichtend wird

10. Juli 202613 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Ein Compliance-Management-System ist nicht in einem einzigen Gesetz vorgeschrieben, ergibt sich aber aus § 130 OWiG, der BGH-Rechtsprechung und einer Vielzahl von Spezialgesetzen. Dieser Beitrag ordnet ein, ab welcher Größe und in welchen Branchen die Pflicht greift.

Ein gesetzlich ausdrücklich definiertes Pflicht-CMS für alle Unternehmen existiert in Deutschland nicht. Faktisch ist ein Compliance-Management-System (CMS) jedoch über § 130 OWiG, die ständige BGH-Rechtsprechung (etwa BGH 1 StR 265/16 vom 9. Mai 2017) sowie zahlreiche Spezialgesetze (GwG, KWG, MaRisk, LkSG, NIS2UmsuCG, EU-AI-Act) für einen großen Teil der mittelständischen und großen Unternehmen unausweichlich geworden. Die Aufsichtspflicht der Geschäftsleitung lässt sich ohne dokumentierte Prozesse, Verantwortlichkeiten und Kontrollen praktisch nicht erfüllen. Versicherer knüpfen die D&O-Deckung zunehmend an den Nachweis eines wirksamen Systems, sodass die Pflicht auch wirtschaftlich abgesichert wird.

Dieser Beitrag ordnet die Rechtsgrundlagen ein, beschreibt die wesentlichen Trigger für eine konkrete CMS-Pflicht und erläutert, welche Mindestbestandteile ein prüfungsfestes System aufweisen muss. Sie erfahren, wie die sieben Bausteine nach IDW PS 980 zusammenwirken, welche Rolle der Compliance-Beauftragte spielt, wann die persönliche Haftung von Geschäftsführern nach § 43 GmbHG, § 91 Abs. 2 AktG und § 130 OWiG greift und wie CIVAC als Compliance-Plattform und Officer-as-a-Service den Aufbau eines belastbaren CMS in Wochen statt Monaten ermöglicht. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer früh strukturiert, vermeidet spätere Nachforderungen, Bußgelder und persönliche Haftungsrisiken und sichert sich zugleich die Verhandlungsposition gegenüber Kunden, Versicherern und Aufsichtsbehörden.

Auf einen Blick

  • Eine explizite, allgemein gefasste CMS-Pflicht existiert nicht, aus § 130 OWiG und Spezialgesetzen ergibt sich aber eine faktische Verpflichtung für die meisten Mittelständler.
  • Der BGH erkennt ein dokumentiertes CMS bußgeldmindernd an (BGH 1 StR 265/16); umgekehrt verschärft sein Fehlen die Sanktionen erheblich.
  • Ein prüfungsfestes CMS folgt den sieben Bausteinen nach IDW PS 980 und sollte mindestens jährlich auf Wirksamkeit getestet werden.

Rechtsgrundlagen: § 130 OWiG, § 30 OWiG und die Aufsichtspflicht der Leitung

§ 130 Abs. 1 OWiG verpflichtet die Inhaber eines Betriebs oder Unternehmens, diejenigen Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um Zuwiderhandlungen gegen betriebsbezogene Pflichten zu verhindern. Wer diese Maßnahmen vorsätzlich oder fahrlässig unterlässt, handelt selbst ordnungswidrig, mit einem möglichen Bußgeld bis zu 1 Mio. Euro (§ 130 Abs. 3 OWiG). Ergänzend sieht § 30 OWiG eine Verbandsgeldbuße gegen das Unternehmen vor, in vorsätzlichen Fällen bis zu 10 Mio. Euro, in fahrlässigen Fällen bis zu 5 Mio. Euro, jeweils ohne Begrenzung auf den wirtschaftlichen Vorteil aus der Tat.

Welche Maßnahmen erforderlich sind, hängt von Art, Größe und Risikoprofil des Unternehmens ab. Der BGH hat in der Entscheidung 1 StR 265/16 ausdrücklich klargestellt, dass die Einrichtung eines wirksamen Compliance-Management-Systems geeignet ist, das Bußgeld zu reduzieren oder ganz entfallen zu lassen. Umgekehrt führt das Fehlen eines CMS regelmäßig zu einer Verschärfung der Sanktion, weil die Aufsichtspflichtverletzung dann offenkundig wird. Auch in der späteren Rechtsprechung wurde dies bestätigt und um konkrete Anforderungen ergänzt, insbesondere zur Wirksamkeitsprüfung und zur Verantwortungszuweisung an die Geschäftsleitung.

Die Pflichten der Leitungsorgane sind in § 43 GmbHG, § 91 Abs. 2 AktG sowie § 76 Abs. 1 AktG verankert. Der Compliance-Beauftragte als operative Funktion ist zwar gesetzlich nicht zwingend, faktisch aber kaum noch verzichtbar, weil die Geschäftsleitung die Aufsichtspflicht delegieren, aber nicht vollständig abgeben kann. Wer keinen internen Kandidaten hat, kann diese Rolle als Officer-as-a-Service extern bestellen und sich damit eine erfahrene Funktion mit Bestellurkunde, Berichtslinie und nachweisbarer Branchenkenntnis ins Haus holen.

Spezialgesetzliche CMS-Pflichten: Wo das Gesetz konkret wird

Zahlreiche Spezialgesetze enthalten explizite oder implizite CMS-Pflichten. Im Geldwäschegesetz (GwG) verlangt § 4 von Verpflichteten ein wirksames Risikomanagement, das Risikoanalyse, interne Sicherungsmaßnahmen und einen Geldwäschebeauftragten umfasst. Im Kreditwesengesetz (KWG) konkretisiert § 25a die Pflicht zu einer ordnungsgemäßen Geschäftsorganisation, ausdifferenziert in den Mindestanforderungen an das Risikomanagement (MaRisk). Im Wertpapierhandelsgesetz (WpHG) folgt eine Pflicht zur Compliance-Funktion aus § 80. Auch das Versicherungsaufsichtsgesetz (§ 23 VAG) verlangt eine entsprechende Compliance-Funktion.

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verlangt seit 2023 für Unternehmen ab 1.000 Beschäftigten ein Risikomanagement entlang der Lieferkette, inklusive Beschwerdeverfahren, Risikoanalyse und Berichtspflicht gegenüber dem BAFA. Das NIS2UmsuCG, das die NIS-2-Richtlinie in deutsches Recht umsetzt, etabliert ein verpflichtendes Cybersecurity-Risikomanagement nach § 30 BSIG für rund 29.500 Unternehmen, inklusive 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung an das BSI. Der EU-AI-Act verlangt für Hochrisiko-KI-Systeme ab August 2026 ein Qualitäts- und Risikomanagementsystem, das ein dokumentiertes Compliance-System voraussetzt. Verstöße werden mit Bußgeldern bis 35 Mio. Euro oder 7 % des Konzernumsatzes sanktioniert.

Im Datenschutz folgt die Pflicht zur Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und zur Implementierung geeigneter technischer und organisatorischer Maßnahmen aus Art. 32 DSGVO. Die 72-Stunden-Meldefrist bei Datenpannen nach Art. 33 DSGVO ist ohne CMS-Strukturen praktisch nicht einzuhalten. Damit ist die Bandbreite der spezialgesetzlichen Pflichten breit genug, dass nahezu jedes mittelständische Unternehmen mindestens drei einschlägige Rechtsgebiete kombinieren muss, was wiederum nur über ein zentrales CMS effizient steuerbar ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer als Mittelständler über mehrere Regime parallel berichten muss, profitiert besonders, weil Doppelarbeit zwischen GwG, NIS-2 und LkSG entfällt und Belege nur einmal hinterlegt werden.

Rechtsprechung: BGH 1 StR 265/16 und die Folgeurteile

Die BGH-Entscheidung 1 StR 265/16 vom 9. Mai 2017 (sog. AUB-Urteil) gilt als Wendepunkt. Der BGH stellte fest, dass die Einrichtung eines effektiven Compliance-Management-Systems sowie nachträgliche Verbesserungen nach Aufdeckung eines Verstoßes bei der Bemessung der Verbandsgeldbuße zu berücksichtigen sind. Konkret: Ein wirksames CMS kann die Geldbuße um bis zu 50 % reduzieren. Voraussetzung ist allerdings, dass das System tatsächlich gelebt wird, nicht nur formal existiert. Der BGH verlangt insbesondere Risikoanalyse, Schulungen, klare Verantwortlichkeiten, Hinweisgebersystem und turnusmäßige Wirksamkeitsprüfung. Der Nachweis erfolgt regelmäßig über Schulungsregister, Audit-Reports und Berichtslinien.

In nachfolgenden Entscheidungen (u. a. BGH 1 StR 19/19 vom 11. Juni 2020) wurde die Bedeutung der Dokumentation präzisiert. Nicht das Vorhandensein eines Aktenordners ist entscheidend, sondern die Verankerung des Systems in den realen Geschäftsprozessen. Bloße Compliance-Richtlinien ohne Schulung, ohne Hinweisgebersystem und ohne Berichtslinien an die Geschäftsleitung erfüllen die Anforderungen nicht. Der BGH spricht in diesem Zusammenhang von einer Compliance-Kultur, die nachweisbar gefördert werden muss. Indikatoren sind etwa regelmäßige Botschaften der Geschäftsleitung, ein dokumentiertes Tone-from-the-Top und nachvollziehbare Sanktionen bei Verstößen.

Die Anwaltspraxis hat darauf reagiert: Ein CMS gilt nur dann als wirksam, wenn es einer Wirksamkeitsprüfung nach IDW PS 980 standhält, die seit 2011 als Marktstandard etabliert ist. Versicherer knüpfen die D&O-Deckung zunehmend an den Nachweis eines solchen Systems. Wer auf einem Aktenschrank-CMS steht, riskiert sowohl die Sanktion als auch die Haftungsdeckung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Anforderungen lassen sich in einem Aktenschrank-CMS kaum erfüllen, weil die Aktualität der Belege nicht systematisch nachgewiesen werden kann und der Wirksamkeitsnachweis dann an Stichproben scheitert, die der Prüfer nicht abnimmt. Im Ergebnis wird der Compliance-Aufwand höher, ohne dass die rechtliche Sicherheit oder die Versicherbarkeit gegenüber dem D&O-Anbieter messbar steigt.

IDW PS 980: Die sieben Bausteine eines prüfungsfesten CMS

Der IDW Prüfungsstandard 980 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen) ist seit 2011 der etablierte Bewertungsrahmen für CMS in Deutschland. Er beschreibt sieben Bausteine, die aufeinander aufbauen. Erstens: Compliance-Kultur, also die durch Geschäftsleitung gelebte Grundhaltung. Zweitens: Compliance-Ziele, abgeleitet aus Geschäftsmodell und Risikoprofil. Drittens: Compliance-Risiken, identifiziert durch eine systematische Risikoanalyse, mindestens jährlich aktualisiert und auf wesentliche Geschäftsereignisse anlassbezogen anzupassen.

Viertens: Compliance-Programm, also die konkreten Maßnahmen zur Verhinderung und Erkennung von Verstößen, inklusive Richtlinien, Schulungen und Kontrollen. Fünftens: Compliance-Organisation, mit klarer Aufbauorganisation, Bestellurkunden, Berichtslinien und Eskalationspfaden. Sechstens: Compliance-Kommunikation, also der Informationsfluss zwischen operativen Einheiten, Compliance-Funktion, Geschäftsleitung und Aufsichtsrat, ergänzt durch ein Hinweisgebersystem nach HinSchG. Siebtens: Compliance-Überwachung und -Verbesserung, mit dokumentierten Kontrollen, Wirksamkeitsprüfungen und Anpassungen aufgrund interner Erkenntnisse und externer Entwicklungen.

Die Prüfung eines CMS nach IDW PS 980 erfolgt in drei Stufen: Konzeptionsprüfung (Konsistenz und Vollständigkeit), Angemessenheitsprüfung (Eignung für Risiken) und Wirksamkeitsprüfung (tatsächliche Funktionsweise über einen Zeitraum von typischerweise sechs bis zwölf Monaten). Ein vollständiges Zertifikat nach allen drei Stufen ist nicht zwingend, in regulierten Branchen aber zunehmend Marktstandard. CIVAC stellt die für jede Stufe nötigen Vorlagen, Kontrollen und Berichte als integrierte Plattform bereit, mit 490 Audit-Vorlagen und einem ISMS nach ISO/IEC 27001:2022 mit 93 Controls. Die EU-Datenresidenz sichert die Vertraulichkeit der prüfungsrelevanten Dokumente und entlastet die IT-Abteilung von eigenen Hosting-Entscheidungen. Auch das schrittweise Erreichen der drei Prüfstufen wird durch die Plattform unterstützt, weil Lücken zwischen Konzeption und Wirksamkeit automatisch aufgezeigt werden und die Berichtsstruktur die Bestandteile der IDW-PS-980-Prüfung sauber spiegelt, von der Konzeption bis zur dokumentierten und im Audit nachvollziehbaren Wirksamkeit nach IDW PS 980.

CMS-Pflicht nach Größe und Branche: Wer ist konkret betroffen

Eine pauschale Aussage zur CMS-Pflicht nach Mitarbeiterzahl ist nicht möglich, aber Faustregeln helfen. Kapitalgesellschaften ab ca. 250 Beschäftigten oder ab 50 Mio. Euro Umsatz sind nach herrschender Meinung verpflichtet, ein dokumentiertes CMS zu führen. Gleiches gilt für Konzerntöchter, die in einen konsolidierten Risikomanagementbericht nach § 91 Abs. 2 AktG einbezogen sind. Bei börsennotierten Unternehmen ist das CMS aus § 76 Abs. 1 AktG und dem Deutschen Corporate Governance Kodex (Grundsatz 5) ohnehin verpflichtend, ebenso bei Unternehmen mit Anleihe-Emissionen oder Schuldverschreibungen am organisierten Kapitalmarkt.

Branchenseitig sind Banken (§ 25a KWG, MaRisk), Versicherungen (§ 23 VAG), Wertpapierdienstleister (§ 80 WpHG), GwG-Verpflichtete (§ 4 GwG, insbesondere Notare, Rechtsanwälte, Immobilienmakler, Güterhändler ab 10.000 Euro Schwelle), KRITIS-Betreiber und NIS-2-betroffene Unternehmen (rund 29.500 in Deutschland nach § 28 BSIG), LkSG-betroffene Unternehmen (ab 1.000 Beschäftigten) sowie Hochrisiko-KI-Anbieter (EU-AI-Act ab August 2026) explizit verpflichtet, ein wirksames CMS oder funktional vergleichbares Risikomanagementsystem zu betreiben. Auch öffentliche Auftraggeber prüfen zunehmend CMS-Nachweise vor Vergabeentscheidungen.

Auch kleinere Unternehmen können in die Pflicht kommen, wenn sie Teil einer Lieferkette zu einem LkSG-pflichtigen Unternehmen sind oder als Auftragsverarbeiter für einen DSGVO-Verantwortlichen mit hohem Risikoprofil tätig werden. Praktisch sind damit auch 100-Mitarbeiter-Betriebe häufig in der mittelbaren CMS-Pflicht, vermittelt über Vertragsketten und Auditrechte ihrer Auftraggeber. Wer als Lieferant nicht nachweisen kann, dass er die Pflichten seiner Kunden mittragen kann, verliert Aufträge. Hinzu kommt der Reputationsfaktor: Eine sichtbare Compliance-Struktur ist mittlerweile Bestandteil der Due Diligence bei M&A-Transaktionen und Finanzierungsrunden, in denen institutionelle Investoren Compliance-Nachweise explizit anfordern und ihre Bewertung daran ausrichten.

Rolle des Compliance-Beauftragten: Bestellurkunde, Berichtslinie, Schutz

Der Compliance-Beauftragte ist die operative Schaltstelle eines CMS. Er koordiniert Risikoanalyse, Schulungen, Kontrollen und die Berichterstattung an die Geschäftsleitung. Eine gesetzliche Pflicht zur Bestellung gibt es außerhalb der genannten Spezialgesetze (GwG, KWG, WpHG, BSIG) nicht, faktisch ist die Funktion aber unausweichlich. Wichtig ist die schriftliche Bestellung mittels Bestellurkunde, die Aufgaben, Befugnisse, Berichtslinie und Ressourcen klar definiert. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ohne ausreichende Ressourcen lässt sich die Funktion in der Praxis nicht wirksam ausüben.

Der Compliance-Beauftragte berichtet typischerweise direkt an die Geschäftsleitung und hat eine sogenannte Eskalationspflicht: Bei wesentlichen Verstößen muss er die Geschäftsleitung und gegebenenfalls den Aufsichtsrat informieren. Aus dem BGH-Urteil 5 StR 394/08 vom 17. Juli 2009 (sog. BSR-Urteil) ergibt sich, dass der Compliance-Beauftragte selbst eine sogenannte Garantenstellung nach § 13 StGB einnimmt, also strafrechtlich für unterlassene Verhinderung von Straftaten haften kann, soweit er Kenntnis erlangt. Diese Haftung lässt sich nur durch eine klare Aufgabenverteilung, dokumentierte Eskalation und angemessene Ressourcen begrenzen. Eine D&O-Versicherung für den Compliance-Beauftragten ist deshalb in der Praxis empfehlenswert.

Wer keine geeignete interne Person hat, kann die Funktion extern besetzen. CIVAC stellt im Officer-as-a-Service-Modell erfahrene Compliance-Beauftragte mit Bestellurkunde, Berichtslinie und nachweisbarer Branchenerfahrung bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Bestell-SLA liegt bei 2 Werktagen statt der branchenüblichen 2 bis 6 Wochen. Der externe Beauftragte arbeitet integriert mit den weiteren 25 Beauftragten-Rollen, die CIVAC live führt, sodass Schnittstellen zwischen Datenschutz, Informationssicherheit, Geldwäsche und Lieferkette in einer einzigen Plattform abgebildet werden.

Aufbau eines CMS in zwölf Wochen: Eine pragmatische Sequenz

Der Aufbau eines prüfungsfesten CMS gliedert sich praxisbewährt in vier Phasen zu je drei Wochen. Phase 1 (Wochen 1 bis 3): Bestandsaufnahme. Erfassung aller bereits vorhandenen Richtlinien, Schulungen, Kontrollen, Beauftragten und Risikoanalysen. Erstellung einer Gap-Analyse zwischen Ist-Zustand und den sieben Bausteinen nach IDW PS 980. Definition der CMS-Ziele in Abstimmung mit Geschäftsleitung und Aufsichtsrat. Festlegung der Scope-Grenzen, etwa hinsichtlich Tochtergesellschaften, Auslandsstandorten und Joint Ventures.

Phase 2 (Wochen 4 bis 6): Risikoanalyse und Konzeption. Strukturierte Erhebung der wesentlichen Compliance-Risiken in den Geschäftsbereichen, Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe. Ableitung des Compliance-Programms (Richtlinien, Schulungen, Kontrollen). Definition der Compliance-Organisation, Bestellung der Beauftragten mit Bestellurkunden. Phase 3 (Wochen 7 bis 9): Implementierung. Rollout der Richtlinien, Schulung der Mitarbeitenden, Einrichtung des Hinweisgebersystems nach HinSchG, Aufbau der Berichtslinien und Dashboards. Test-E-Mails und Pilot-Meldungen prüfen die Funktionsfähigkeit der Eskalationspfade.

Phase 4 (Wochen 10 bis 12): Tests und Validierung. Durchführung der ersten Wirksamkeitstests, Korrektur erkannter Schwachstellen, Erstellung der Compliance-Berichterstattung und Vorbereitung der externen Wirksamkeitsprüfung nach IDW PS 980. Der CIVAC-Workspace verkürzt diese Sequenz erheblich, weil 490 Audit-Vorlagen, vorkonfigurierte Berichtslinien, ein integriertes Hinweisgebersystem und das ISMS nach ISO/IEC 27001:2022 bereits enthalten sind. Der Prüfer ruft an, der Nachweis liegt bereit. So entsteht aus zwölf Wochen Projektarbeit ein dauerhaft funktionsfähiges System, das anschließend nur noch in turnusmäßigen Reviews fortgeschrieben werden muss. Die mit dem CIVAC-Workspace erzeugten Berichte sind bereits formatkonform für die Vorlage bei DPM-Prüfern, BAFA, BSI oder BaFin, sodass Doppelarbeit für externe Reporting-Pflichten entfällt und die Berichtslinie schon im Audit-Format steht.

Haftung der Geschäftsleitung: § 130 OWiG, § 43 GmbHG, § 91 AktG

Die persönliche Haftung der Geschäftsführer und Vorstände speist sich aus mehreren Normen. § 43 Abs. 2 GmbHG verpflichtet Geschäftsführer zur Sorgfalt eines ordentlichen Geschäftsmanns; bei Sorgfaltspflichtverletzungen haften sie der Gesellschaft persönlich. § 91 Abs. 2 AktG verlangt vom Vorstand geeignete Maßnahmen, insbesondere ein Überwachungssystem, um bestandsgefährdende Entwicklungen früh zu erkennen. § 93 AktG normiert die persönliche Haftung des Vorstands. § 130 OWiG begründet zusätzlich die Sanktionierbarkeit der Aufsichtspflichtverletzung. Auch im Insolvenzfall greift die Haftung nach § 64 GmbHG bzw. § 15b InsO.

In der Rechtsprechung hat sich die sogenannte Business Judgement Rule (§ 93 Abs. 1 Satz 2 AktG, analog für GmbH) als Schutzraum etabliert: Wer auf Basis angemessener Information und im wohlverstandenen Interesse des Unternehmens handelt, haftet nicht für unternehmerische Fehlentscheidungen. Bei Compliance-Verstößen versagt dieser Schutz jedoch, weil Rechtspflichten nicht zur Disposition stehen. Ein dokumentiertes CMS ist daher das beste Beweismittel, dass die Aufsichtspflicht angemessen wahrgenommen wurde. Insbesondere im Schadensersatzprozess der Gesellschaft gegen den ehemaligen Geschäftsführer kommt der Dokumentation entscheidende Bedeutung zu.

Versicherer verlangen für die D&O-Deckung zunehmend den Nachweis eines wirksamen CMS, oft konkret mit Wirksamkeitsbestätigung nach IDW PS 980. Wer kein solches System nachweisen kann, riskiert nicht nur Bußgelder und persönliche Haftung, sondern verliert auch den Versicherungsschutz im Schadensfall. Das Risiko, im Innenverhältnis durch die eigene Gesellschaft auf Schadensersatz in Anspruch genommen zu werden, ist gegenüber dem Außenrisiko regelmäßig der größere Hebel. Audit-fest, dokumentiert, § 130-fest. Wer den Schutz aktiv pflegt, sichert nicht nur die eigene berufliche Zukunft, sondern auch die Verhandlungsposition gegenüber Versicherern und Aufsichtsbehörden.

CMS mit CIVAC aufbauen: Plattform oder externe Beauftragte

CIVAC fasst Compliance-Plattform und Officer-as-a-Service in einem Angebot zusammen. Der Workspace stellt die sieben Bausteine nach IDW PS 980 als integrierte Module bereit: Risikoanalyse, Richtlinien, Schulungen, Hinweisgebersystem nach HinSchG, Bestellurkunden, Berichtslinien, Wirksamkeitsprüfung. 490 Audit-Vorlagen, vorkonfigurierte Reports und ein nach ISO/IEC 27001:2022 mit 93 Controls zertifiziertes ISMS bilden die technische Basis. EU-Datenresidenz gewährleistet die DSGVO-Konformität, dokumentierte Bestellurkunden und Berichtslinien die § 130 OWiG-Konformität. Die Plattform deckt zudem den 24h-72h-Meldepfad nach NIS-2 ab.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Modell behält Ihr Unternehmen die operative Verantwortung, profitiert aber vom kompletten Werkzeugkasten und den standardisierten Workflows. Im zweiten Modell übernehmen CIVAC-Beauftragte die Rolle des Compliance-Beauftragten und ggf. weiterer 25 Beauftragten-Funktionen aus einer Hand, inklusive Berichtspflichten gegenüber Geschäftsleitung und Aufsichtsrat. Der Bestell-SLA beträgt 2 Werktage statt der branchenüblichen 2 bis 6 Wochen, sodass auch akute Lücken nach Abgang eines internen Beauftragten kurzfristig geschlossen werden können.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Sie erhalten innerhalb von zwei Werktagen einen ersten Befund Ihrer aktuellen CMS-Reife, eine priorisierte Roadmap zur § 130 OWiG-Konformität und auf Wunsch einen externen Compliance-Beauftragten mit Bestellurkunde, Berichtslinie und nachweisbarer Erfahrung in IDW PS 980-Prüfungen. So wird die CMS-Pflicht von der Aktenschrank-Übung zur Software-gestützten Routine. Falls Sie zusätzlich Datenschutz, Informationssicherheit oder Hinweisgeberschutz aus einer Hand abdecken möchten, bündelt CIVAC diese Mandate in einer einzigen Berichtslinie an die Geschäftsleitung, ergänzt um die NIS-2-Meldepfade mit 24h-Frühwarnung und 72h-Folgemeldung.

FAQ

Gibt es eine allgemeine gesetzliche CMS-Pflicht in Deutschland?

Eine ausdrücklich für alle Unternehmen formulierte Pflicht existiert nicht. Aus § 130 OWiG, der BGH-Rechtsprechung (insb. 1 StR 265/16) und einer Vielzahl von Spezialgesetzen wie GwG, KWG, LkSG, BSIG (NIS-2) und EU-AI-Act ergibt sich aber für nahezu alle mittelständischen und großen Unternehmen eine faktische Verpflichtung, ein wirksames CMS zu betreiben.

Welche Bußgelder drohen ohne wirksames CMS?

§ 130 Abs. 3 OWiG sieht Bußgelder bis zu 1 Mio. Euro für die verantwortliche natürliche Person vor. § 30 OWiG ergänzt Verbandsgeldbußen bis zu 10 Mio. Euro (vorsätzlich) bzw. 5 Mio. Euro (fahrlässig). Hinzu kommen Sanktionen aus den jeweiligen Spezialgesetzen, etwa bis zu 10 Mio. Euro oder 2 % des Konzernumsatzes nach NIS-2.

Reicht eine Compliance-Richtlinie aus, um die Pflicht zu erfüllen?

Nein. Der BGH verlangt ein gelebtes System mit Risikoanalyse, Schulungen, Hinweisgebersystem, klaren Verantwortlichkeiten, dokumentierten Kontrollen und einer turnusmäßigen Wirksamkeitsprüfung. Eine reine Richtlinie ohne diese flankierenden Strukturen erfüllt die Anforderungen nicht und führt im Sanktionsfall zu einer Verschärfung der Geldbuße statt zu einer Milderung. Der Aufwand für Richtlinien ohne System lohnt sich daher kaum, weder rechtlich noch versicherungstechnisch.

Was leistet die Prüfung nach IDW PS 980 konkret?

IDW PS 980 ist der Marktstandard für die externe Prüfung von Compliance-Management-Systemen. Die Prüfung erfolgt in drei Stufen: Konzeptionsprüfung, Angemessenheitsprüfung und Wirksamkeitsprüfung. Ein vollständiges Testat zur Wirksamkeit über mindestens sechs Monate gilt als belastbarer Nachweis und wird von D&O-Versicherern, Geschäftspartnern und Aufsichtsbehörden zunehmend erwartet. In regulierten Branchen ist es faktisch verpflichtend.

Muss ein Compliance-Beauftragter bestellt werden?

Eine gesetzliche Pflicht zur Bestellung besteht nur in den genannten Spezialgesetzen wie GwG, KWG, WpHG und BSIG. Faktisch ist die Funktion aber kaum verzichtbar, weil die Geschäftsleitung ihre Aufsichtspflicht delegieren, aber nicht vollständig abgeben kann. Die Bestellung erfolgt schriftlich per Bestellurkunde mit klaren Aufgaben, Befugnissen, Berichtslinie und Ressourcen. Ohne Bestellurkunde gilt der Beauftragte im Konfliktfall als nicht wirksam eingesetzt.

Wie schnell lässt sich ein prüfungsfestes CMS aufbauen?

Mit standardisierten Vorlagen und einer klaren Sequenz sind zwölf Wochen realistisch, gegliedert in Bestandsaufnahme, Risikoanalyse, Implementierung und Test. Die CIVAC-Plattform bündelt 37 Audit-Vorlagen, vorkonfigurierte Berichtslinien und ein ISMS nach ISO/IEC 27001:2022 mit 93 Controls, sodass die Vorbereitungszeit gegenüber einem Eigenbau deutlich sinkt. Im Eigenbau sind Projekte unter sechs Monaten selten realistisch.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge