Code of Conduct Vorlage für den Mittelstand: Aufbau, Pflichten, Audit-Spur

Seit der Reform des § 130 OWiG verlangen Aufsichtsbehörden und Versicherer von mittelständischen Unternehmen ein dokumentiertes Compliance-Management-System. Der Code of Conduct ist dabei das oberste Bezugsdokument, an dem sich Richtlinien, Schulungen und Sanktionen ausrichten. Wer eine generische Vorlage aus dem Netz übernimmt, riskiert formale Mängel bei Audits, Lieferantenanfragen nach § 4 LkSG oder ISO 27001:2022-Zertifizierungen.

Diese Anleitung beschreibt Aufbau, Inkraftsetzung und Dokumentation eines mittelstandstauglichen Verhaltenskodex. Sie erhalten eine Strukturübersicht mit zwölf Pflichtbausteinen, eine Empfehlung zur formalen Verabschiedung durch die Geschäftsführung sowie Hinweise zur revisionssicheren Ablage. Der Beitrag richtet sich an Geschäftsführer, Compliance-Verantwortliche und Personalleitungen in Unternehmen zwischen 50 und 1.500 Mitarbeitenden.

Eine PDF-Vorlage aus dem Netz erfüllt drei Anforderungen nicht: Sie ist nicht auf das Risikoprofil des Unternehmens zugeschnitten, sie ist nicht formal in Kraft gesetzt, und sie ist nicht mit Schulungen, Meldekanal und Sanktionsraster verzahnt. Aufsichtsbehörden bewerten nach § 130 OWiG, ob das Unternehmen die nach den Umständen gebotenen Aufsichtsmaßnahmen ergriffen hat. Ein nicht gelebter Verhaltenskodex wirkt im Bußgeldverfahren eher belastend als entlastend.

Mittelständische Unternehmen unterschätzen zudem die Lieferanten-Perspektive. Wer als Zulieferer für DAX-Konzerne oder öffentliche Auftraggeber arbeitet, erhält Fragebögen zur Compliance-Reife. Diese Fragebögen prüfen nicht nur, ob ein Code of Conduct existiert, sondern auch dessen Versionierung, Inkraftsetzung, Schulungsquote und Verzahnung mit der Lieferkettensorgfaltspflicht nach LkSG. Eine generische Vorlage scheitert hier regelmäßig.

Der Verhaltenskodex ist daher als operatives Dokument zu behandeln, nicht als Imagebroschüre. Die Aufgabe eines Compliance-Beauftragten besteht darin, den Kodex jährlich zu überprüfen, Vorfälle in Sanktionsentscheidungen zu übersetzen und die Schulungspflicht für neue Mitarbeitende durchzusetzen. Ohne diese Pflege bleibt der Kodex ein Schriftstück ohne Beweiskraft.

Ein mittelstandstauglicher Code of Conduct enthält zwölf Abschnitte. Der erste Baustein ist der Geltungsbereich. Dort wird festgelegt, für welche Gesellschaften, Standorte, Beschäftigtengruppen und Geschäftspartner der Kodex bindend ist. Tochtergesellschaften im Ausland sind explizit zu nennen, ebenso Leiharbeitnehmer und Praktikanten.

Der zweite Baustein ist die Wertegrundlage. Hier werden Integrität, Rechtstreue und Respekt knapp formuliert. Es folgen die fachlichen Pflichtenkapitel: Antikorruption mit Bezug auf §§ 299, 331 StGB, Kartellrecht nach GWB, Datenschutz nach DSGVO, Informationssicherheit nach ISO/IEC 27001:2022, Lieferkettensorgfalt nach LkSG, Antidiskriminierung nach AGG und Arbeitsschutz.

Der neunte Baustein ist der Hinweisgeberkanal nach HinSchG mit Verweis auf die interne Meldestelle. Es folgt ein Sanktionsraster, das von der mündlichen Ermahnung bis zur fristlosen Kündigung reicht und die Schritte mit Beispielfällen unterlegt. Der elfte Baustein ist die Inkraftsetzung durch die Geschäftsführung mit Datum und Unterschrift. Der zwölfte Baustein ist die Revisionsklausel, in der die jährliche Überprüfung verankert wird.

Diese zwölf Bausteine bilden das Gerüst. Je nach Branche kommen Erweiterungen hinzu, etwa Exportkontrolle, Sanktionslistenprüfung oder Geldwäscheprävention. Maßgeblich ist, dass jede Pflicht mit einer konkreten Verhaltensregel und einem Eskalationspfad hinterlegt ist.

Der Geltungsbereich ist der häufigste Schwachpunkt in mittelständischen Verhaltenskodizes. Wer nur die Muttergesellschaft adressiert, erzeugt Lücken bei Tochtergesellschaften, Joint Ventures und Beteiligungen. Die Empfehlung lautet, alle konsolidierten Gesellschaften namentlich aufzuführen und für nicht konsolidierte Beteiligungen eine Selbstverpflichtungsklausel zu ergänzen.

Sprache und Adressatenkreis sind ebenfalls präzise zu definieren. Der Kodex ist in der Arbeitssprache der jeweiligen Belegschaft bereitzustellen. Bei internationalen Standorten reicht eine deutsche Fassung nicht aus. Englisch ist Mindeststandard, weitere Übersetzungen ergeben sich aus der Belegschaftsstruktur. Wichtig ist, dass alle Sprachfassungen versioniert sind und auf dieselbe deutsche Master-Version verweisen.

Adressaten sind nicht nur Festangestellte. Der Kodex bindet auch Geschäftsführung, Aufsichtsrat, Werkstudenten, Praktikanten, Leiharbeitnehmer und in abgestufter Form Lieferanten. Für Lieferanten existiert in der Regel ein eigener Supplier Code of Conduct, der inhaltlich vom internen Kodex abgeleitet ist. Die Verzahnung ist wichtig: Wer im internen Kodex Antikorruption verlangt, muss dieselbe Anforderung im Supplier Code spiegeln und in der LkSG-Lieferantenbewertung abfragen.

Die Geschäftsführung sollte schriftlich erklären, dass sie sich selbst und alle Führungskräfte an den Kodex bindet. Diese Selbstbindungsklausel erhöht die Glaubwürdigkeit und ist im Bußgeldverfahren ein Entlastungsindiz.

Die formale Inkraftsetzung trennt einen wirksamen Verhaltenskodex von einem unverbindlichen Entwurf. Drei Elemente sind zwingend: Datum, Versionsnummer und Unterschrift der Geschäftsführung. Bei Mehrpersonen-Geschäftsführungen unterschreiben alle Geschäftsführer, mindestens jedoch die nach Geschäftsverteilungsplan für Compliance verantwortliche Person.

Versionierung erfolgt nach einem nachvollziehbaren Schema, etwa v1.0 (Erstausgabe 01.03.2026) oder v1.1 (Ergänzung HinSchG 01.07.2026). Jede neue Version ersetzt die vorherige, die ältere Fassung wird jedoch nicht gelöscht, sondern revisionssicher archiviert. Im Audit muss nachvollziehbar bleiben, welche Version zu welchem Zeitpunkt galt und welche Vorfälle unter welcher Fassung bearbeitet wurden.

Die Archivierung erfolgt in einem System mit Zugriffsschutz, Versionshistorie und Löschsperre. Ein gewöhnliches Netzlaufwerk reicht nicht, da Änderungen dort ohne Spur möglich sind. Die CIVAC Compliance-Plattform und Officer-as-a-Service bietet einen Workspace mit revisionssicherer Ablage, Versionsverwaltung und Auditlog. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Aufbewahrungsfrist beträgt mindestens zehn Jahre, in regulierten Branchen entsprechend länger.

Die Inkraftsetzung ist außerdem an die Belegschaft zu kommunizieren. Eine reine Veröffentlichung im Intranet genügt nicht. Empfohlen wird eine kombinierte Kommunikation aus E-Mail an alle Mitarbeitenden, Auslage in den Personalakten und obligatorischer Erstschulung innerhalb von vier Wochen nach Inkrafttreten.

Ein Verhaltenskodex entfaltet nur dann Wirkung, wenn die Adressaten ihn kennen. Die Schulungspflicht ist daher fester Bestandteil der Inkraftsetzung. Empfohlen wird eine Erstschulung von 30 bis 45 Minuten, die in den Onboarding-Prozess integriert wird, sowie eine jährliche Auffrischung im Umfang von 15 bis 20 Minuten.

Die Schulung muss dokumentiert werden. Jeder Mitarbeitende bestätigt schriftlich oder digital die Kenntnisnahme des Kodex und der wesentlichen Pflichten. Diese Bestätigung wird in der Personalakte oder im Compliance-Workspace abgelegt. Ohne Bestätigung gilt der Kodex im Streitfall als nicht zugegangen, was Sanktionen erschwert.

Die Schulungsquote ist die zentrale Kennzahl. Sie wird quartalsweise erhoben und der Geschäftsführung berichtet. Eine Quote unter 95 Prozent bei der Jahresschulung ist im Audit erklärungsbedürftig. Neueintritte müssen innerhalb der Probezeit geschult sein, spätestens jedoch nach 90 Tagen. Für Führungskräfte ist eine vertiefte Schulung von 90 Minuten sinnvoll, die zusätzlich Antikorruption, Kartellrecht und Aufsichtspflichten nach § 130 OWiG behandelt.

Die Schulungsinhalte sollten mit Fallbeispielen aus dem eigenen Geschäft arbeiten. Generische E-Learning-Module ohne Branchenbezug erzeugen Klickmüdigkeit und keine Verhaltensänderung. Die Auswertung erfolgt durch eine Lernerfolgskontrolle mit mindestens fünf Fragen, deren Bestehensquote dokumentiert wird.

Der Code of Conduct steht nicht isoliert. Er ist mit der internen Meldestelle nach HinSchG, dem Informationssicherheits-Managementsystem nach ISO 27001:2022 und der Lieferantenbewertung nach LkSG verknüpft. Diese drei Verzahnungen sind im Audit die häufigsten Prüfpunkte.

Die interne Meldestelle nach HinSchG ist im Kodex explizit zu nennen, inklusive der Kontaktwege und der Schutzgarantien für Hinweisgebende. Verstöße gegen den Kodex sind ein typischer Meldegegenstand. Wer den Meldekanal im Kodex verschweigt, riskiert, dass Hinweise extern an Behörden gehen, weil die interne Anlaufstelle unbekannt ist.

Die Verzahnung mit dem ISMS betrifft die Kapitel Datenschutz und Informationssicherheit. Der Kodex verweist auf die Informationssicherheitsleitlinie und die 93 Controls nach ISO/IEC 27001:2022. Konkrete Vorgaben zu Passwörtern, mobilen Endgeräten und Cloud-Nutzung gehören jedoch nicht in den Kodex, sondern in die untergeordneten Richtlinien.

Die Verzahnung mit der Lieferantenbewertung erfolgt über den Supplier Code of Conduct und die Risikoanalyse nach § 5 LkSG. Lieferanten unterschreiben den Supplier Code, ihre Selbstauskunft fließt in die jährliche Risikoanalyse. Auffälligkeiten werden über denselben Meldekanal gemeldet, der auch internen Hinweisen offensteht. So entsteht eine durchgängige Spur vom Wertepapier bis zur operativen Lieferantensteuerung.

Ein Verhaltenskodex ohne Sanktionsraster ist nicht durchsetzbar. Das Raster muss die Bandbreite möglicher Verstöße und deren Konsequenzen beschreiben. Empfohlen wird ein vierstufiges Modell: mündliche Ermahnung, schriftliche Abmahnung, Versetzung oder Funktionsentzug, fristlose Kündigung. Bei strafrechtlich relevanten Verstößen kommt die Strafanzeige hinzu.

Die Zuordnung von Verstoß zu Sanktion ist exemplarisch zu beschreiben, nicht abschließend. Ein leichter Verstoß gegen die Geschenkrichtlinie zieht eine Ermahnung nach sich, eine bewusst falsche Zeiterfassung über mehrere Monate rechtfertigt die fristlose Kündigung. Wichtig ist, dass das Raster konsistent angewandt wird. Ungleichbehandlung untergräbt die Glaubwürdigkeit des gesamten Compliance-Systems.

Die Sanktionsentscheidung wird dokumentiert. Wer entschieden hat, auf welcher Grundlage, mit welchem Ergebnis. Diese Entscheidungen sind im Compliance-Workspace abzulegen und mit der ursprünglichen Meldung zu verknüpfen. Im Audit zeigt die Sanktionsstatistik, ob das Unternehmen Verstöße tatsächlich verfolgt. Eine Statistik ohne einen einzigen Vorfall in drei Jahren ist erklärungsbedürftig, weil sie eher auf eine schwache Meldekultur als auf eine saubere Belegschaft hindeutet.

Die Geschäftsführung darf vom Sanktionsraster nicht ausgenommen werden. Verstöße der Geschäftsleitung sind durch den Aufsichtsrat oder einen externen Prüfer zu behandeln. Diese Klausel ist im Mittelstand ungewöhnlich, aber im Audit ein deutliches Glaubwürdigkeitssignal.

Ein Verhaltenskodex ist kein einmaliges Projekt, sondern ein lebendes Dokument. Die jährliche Überprüfung ist in der Revisionsklausel verankert und wird vom Compliance-Beauftragten verantwortet. Sie umfasst drei Schritte: Abgleich mit neuen Gesetzen, Auswertung der Vorfälle des Vorjahres und Anpassung an Geschäftsmodell-Änderungen.

Neue Gesetze des Vorjahres sind systematisch zu prüfen. 2026 betrifft das insbesondere die Umsetzung der NIS-2-Richtlinie, den Übergang auf ISO 27001:2022 sowie die ersten Pflichten aus dem EU AI Act. Wo neue Pflichten den Kodex berühren, ist eine Ergänzung erforderlich. Wo bestehende Pflichten geschärft werden, reicht oft eine Klarstellung in der untergeordneten Richtlinie.

Die Vorfallsauswertung liefert die wichtigsten Hinweise auf Lücken. Wenn drei Vorfälle desselben Typs aufgetreten sind, fehlt entweder eine Regel, eine Schulung oder ein Kontrollpunkt. Die Auswertung wird der Geschäftsführung berichtet und mündet in konkrete Maßnahmen.

Geschäftsmodell-Änderungen sind der dritte Anlass für Anpassungen. Ein neues Auslandsgeschäft erfordert eine Sanktionslistenprüfung, ein neuer Vertriebskanal kann neue Korruptionsrisiken auslösen, eine Akquisition bringt fremde Kulturen und Altlasten mit. Die Überprüfung wird protokolliert, das Protokoll mit Datum und Unterschrift abgelegt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Ein Code of Conduct ist die sichtbare Spitze eines Compliance-Systems. Die Tragfähigkeit entsteht erst durch die Verzahnung mit Schulung, Meldekanal, Sanktionsraster und Lieferantensteuerung. Mittelständische Unternehmen scheitern selten am Wollen, sondern an der Kapazität, all diese Bausteine parallel zu pflegen und revisionssicher zu dokumentieren.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz. Der Workspace bündelt 37 einsatzbereite Audit-Vorlagen, ein versioniertes Richtlinienarchiv, einen integrierten Meldekanal nach HinSchG und die Berichtslinie an die Geschäftsführung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im zweiten Modell übernimmt CIVAC die Rolle des externen Compliance-Beauftragten mit Bestellurkunde, Berichtslinie und einer Reaktionszeit von zwei Werktagen.

Der Prüfer ruft an, der Nachweis liegt bereit. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Im Erstgespräch klären wir, ob die Lizenzlösung oder die Officer-Bestellung zu Ihrer Organisationsgröße passt, und stellen Ihnen die Verhaltenskodex-Vorlage als Ausgangspunkt zur Verfügung.