Compliance: Alle 12 Beauftragten-Rollen strukturiert abdecken

Das deutsche Recht kennt mehr als 25 formell bestellbare Beauftragten-Rollen, von denen für einen typischen Mittelständler zwischen acht und zwölf gleichzeitig pflichtig sein können. § 130 OWiG verankert die persönliche Haftung der Geschäftsleitung, wenn Aufsichtspflichten verletzt werden, weil Mandate nicht besetzt oder nicht mit einem Nachweis hinterlegt sind. Das Bußgeldrisiko reicht je nach Norm von mehreren Tausend Euro bis zu 10 Mio. Euro bei NIS-2-Verstößen.

Dieser Artikel gibt Ihnen einen strukturierten Überblick: welche Rollen üblicherweise pflichtig sind, wie Sie die Bestellpflicht für Ihr Unternehmen bewerten, wo Koordinationslücken entstehen und wie eine zentrale Plattform die Lücken schließt, ohne für jede Rolle eine separate Lösung zu kaufen. Alle Rollenangaben beziehen sich auf die im Mai 2026 geltenden Rechtsgrundlagen.

Die Bestellpflicht hängt von Branche, Betriebsgröße und konkreter Tätigkeit ab. Dennoch lassen sich für den Mittelstand elf Rollen identifizieren, die branchenübergreifend häufig verpflichtend sind.

Den breitesten Anwendungsbereich hat der Datenschutzbeauftragte (DSB) nach Art. 37 DSGVO, § 38 BDSG: ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ist die Bestellung Pflicht. Der Compliance-Beauftragte (CO) nach § 130 OWiG, IDW PS 980 ist formal nicht immer gesetzlich vorgeschrieben, jedoch de facto Pflicht in jedem Unternehmen mit mehr als 50 Mitarbeitenden, da die Aufsichtspflicht der Geschäftsleitung andernfalls strukturell nicht erfüllbar ist.

Der Informationssicherheitsbeauftragte (ISB/CISO) nach §§ 30, 38 BSIG sowie ISO/IEC 27001:2022 wird durch NIS-2 ab Oktober 2024 für rund 29.500 Unternehmen in Deutschland verpflichtend. Die Fachkraft für Arbeitssicherheit (SiFa) nach § 5 ASiG ist ab dem ersten Beschäftigten vorgeschrieben, sobald Gefährdungsbeurteilungen nach § 5 ArbSchG anfallen. Der Brandschutzbeauftragte (BSB) nach DGUV I 205-023 und DIN 14095 wird durch die Baugenehmigung oder eine Betriebs-Arbeitsschutzanforderung ausgelöst.

Der Geldwäschebeauftragte (GwB) nach § 7 GwG trifft Finanzdienstleister, Immobilienmakler, Steuerberater und weitere Verpflichtete nach § 2 GwG. Der Qualitätsmanagementbeauftragte (QMB) nach DIN EN ISO 9001:2015 ist bei zertifizierten Lieferketten faktisch Pflicht. Der Lieferketten-Beauftragte (LkSG) nach § 4 LkSG ist ab 1.000 Mitarbeitenden gesetzlich vorgeschrieben. Dazu kommen branchenabhängig Gefahrstoffbeauftragte, Umweltbeauftragte und weitere. Die vollständige Checkliste finden Sie auf der Rollen-Übersichtsseite von CIVAC.

Die Bestellpflicht ergibt sich nicht pauschal, sondern aus drei Prüfkriterien: der Rechtsform des Unternehmens, der Anzahl der Beschäftigten und der konkreten Tätigkeit. Prüfen Sie diese Kriterien für jede Rolle separat, nicht einmalig für das Gesamtunternehmen.

Für den DSB gilt: Entscheidend ist nicht die Gesamtzahl der Mitarbeitenden, sondern die Anzahl der Personen, die regelmäßig personenbezogene Daten verarbeiten. Art. 37 Abs. 1 lit. b DSGVO fordert die Bestellung unabhängig von der Beschäftigtenzahl, wenn die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten besteht.

Für die SiFa richtet sich der Umfang der arbeitsmedizinischen Betreuung nach DGUV V2 (Anhang 2) und der Betriebsart. Betriebe mit besonderer Gefährdung – z. B. Lager, Produktion, Baustellen – haben höhere Betreuungszeiten als Bürobetriebe.

Für den Geldwäschebeauftragten nach § 7 GwG gilt: Die Pflicht beginnt nicht bei einer Mindestgröße, sondern bei der Eigenschaft als Verpflichteter nach § 2 GwG. Bereits eine GmbH, die Immobilien vermittelt, kann pflichtig sein.

Eine strukturierte Bestandsaufnahme empfiehlt sich mindestens einmal jährlich, da sich Gesetzgebung und Unternehmensgröße verändern. Frist läuft ab Kenntnis: wenn ein Prüfer bei der Begehung fragt, muss der Nachweis vorliegen, nicht angekündigt werden.

Die folgende Übersicht bündelt die zwölf Rollen, die im deutschen Mittelstand am häufigsten gleichzeitig pflichtig sind. Für jede Rolle ist die primäre Rechtsgrundlage angegeben.

• Datenschutzbeauftragter (DSB): Art. 37 DSGVO · § 38 BDSG
• Compliance-Beauftragter (CO): § 130 OWiG · IDW PS 980
• Informationssicherheitsbeauftragter (ISB/CISO): §§ 30, 38 BSIG · ISO/IEC 27001:2022 · NIS-2
• Fachkraft für Arbeitssicherheit (SiFa): § 5 ASiG · DGUV V2 · § 6 ArbSchG
• Brandschutzbeauftragter (BSB): DGUV I 205-023 · DIN 14095 · ASR A2.2
• Gefahrstoffbeauftragter (GSB): § 6 GefStoffV · TRGS 400 · TRGS 510
• Umweltbeauftragter (UsB): BImSchG · WHG · KrWG · ISO 14001
• Geldwäschebeauftragter (GwB): § 7 GwG · FIU-Meldepflicht
• Qualitätsmanagementbeauftragter (QMB): DIN EN ISO 9001:2015
• Lieferketten-Beauftragter (LkSG): § 4 LkSG · BAFA-Bericht
• Gleichstellungsbeauftragter (AGG): § 13 AGG · BGleiG
• Beauftragter Interne Meldestelle: § 12 HinSchG · EU-Hinweisgeberrichtlinie 2019/1937

Hinzu kommen branchenspezifische Rollen, etwa der Betriebsarzt nach § 3 ASiG, der Gefahrgutbeauftragte nach § 3 GbV und ADR sowie der Hygienebeauftragte nach § 36 IfSG. Unternehmen in der Industrie, Logistik oder im Gesundheitswesen können so auf 15 bis 18 gleichzeitig pflichtige Mandate kommen.

Das eigentliche Risiko liegt selten in der fehlenden Bestellung selbst. Es liegt in der fehlenden Koordination zwischen bestellten Beauftragten und der Geschäftsleitung sowie im fehlenden gemeinsamen Nachweis. Mehrere Strukturprobleme treten regelmäßig auf.

Problem 1: Isolierte Dokumentation. Jeder Beauftragte führt seine eigene Ablage, oft in unterschiedlichen Systemen. Bei einer externen Prüfung durch die Datenschutzbehörde, den Gewerbeaufsichtsdienst oder einen ISO-Auditor muss die Geschäftsleitung aus mehreren Quellen zusammenstellen, was in einem einheitlichen Audit-Log verfügbar sein sollte.

Problem 2: Unterschiedliche Meldelinien. Der DSB berichtet direkt der Geschäftsleitung (Art. 38 Abs. 3 DSGVO), der Geldwäschebeauftragte der Geschäftsleitung nach § 7 Abs. 6 GwG, der ISB der Unternehmensleitung nach §§ 30, 38 BSIG. Ohne ein zentrales Berichtsliniensystem weiß die Geschäftsleitung nicht, welche Meldungen offen sind.

Problem 3: Schulungsnachweise fragmentiert. Pflichtschulungen gelten für unterschiedliche Gruppen: DSGVO-Schulung für alle Mitarbeitenden, Gefahrstoffunterweisung für exponierte Beschäftigte, Brandschutzunterweisung für Evakuierungshelfer. Ein Prüfer, der Schulungsnachweise anfordert, erwartet einen konsolidierten Überblick, nicht zehn verschiedene Excel-Listen.

Problem 4: Keine gemeinsame Fristenkontrolle. Unterschiedliche Normen sehen unterschiedliche Wiederholungsintervalle vor: jährlich nach DGUV V2, alle drei Jahre nach manchen ISO-Anforderungen, anlassbezogen nach § 5 ArbSchG. Ohne Zentralisierung geraten Fristen in Vergessenheit.

Jede der zwölf Rollen kann intern oder extern besetzt werden. Die Wahl hat rechtliche und organisatorische Konsequenzen, die vorab geprüft werden sollten.

Externe Beauftragung ist explizit erlaubt für den DSB (Art. 37 Abs. 6 DSGVO), den Geldwäschebeauftragten (§ 7 Abs. 2 GwG mit BaFin-Zustimmungsvorbehalt für Institute), den Compliance-Beauftragten, den Gefahrstoffbeauftragten und weitere. Für die SiFa regelt § 19 ASiG die externe Betreuung über überbetriebliche Dienste ausdrücklich. Für den ISB nach BSIG enthält das Gesetz keine Einschränkung; die externe Lösung ist verbreitet.

Interne Beauftragung schützt vor Interessenkonflikten beim DSB nur bedingt, da Art. 38 Abs. 6 DSGVO dem internen DSB keine anderen Aufgaben erlaubt, die zu einem Interessenkonflikt führen. Geschäftsführer, Prokuristen und IT-Leiter scheiden damit oft als interne DSB aus.

Bei der externen Beauftragung gilt: Die Bestellurkunde muss schriftlich ausgestellt sein und die wesentlichen Mandate klar benennen. Auditorische Prüfungen zeigen, dass mündliche oder per E-Mail ausgetauschte Beauftragungen nicht ausreichen. Bestellurkunde, unterschrieben, abgelegt, belegbar – das ist die Mindestanforderung jeder Aufsichtsbehörde.

Für Unternehmen, die mehrere Rollen extern vergeben, empfiehlt sich ein Rahmenvertrag, der Berichtslinie, Erreichbarkeit, Reaktionszeit und Übergabeverfahren einheitlich regelt. Andernfalls entsteht ein Flickenteppich aus Einzelverträgen, der die Koordination erschwert und den Nachweis gegenüber Prüfern aufwendiger macht.

Eine Plattform, die alle Beauftragten-Rollen abdeckt, muss mehr leisten als eine Aufgabenliste. Sie muss die Strukturlogik der einzelnen Rollen abbilden, also wissen, dass ein DSB-Audit andere Schritte hat als ein Gefahrstoff-Assessment, und dass eine NIS-2-Meldepflicht andere Fristen auslöst als eine datenschutzrechtliche Auskunftspflicht nach Art. 12 DSGVO.

Konkret bedeutet das: Für jede Rolle braucht es rollenspezifische Aufgaben-Templates, die die wiederkehrenden Tätigkeiten vorstrukturieren. Ein Datenschutzbeauftragter führt regelmäßig Verzeichnisse von Verarbeitungstätigkeiten (Art. 30 DSGVO), prüft Datenschutz-Folgeabschätzungen (Art. 35 DSGVO) und dokumentiert Datenpannen (Art. 33 DSGVO). Ein Geldwäschebeauftragter führt Risikoanalysen nach § 5 GwG, überwacht verdächtige Transaktionen und erstattet FIU-Meldungen. Diese Workflows müssen vorkonfiguriert sein, nicht jedes Mal neu aufgebaut werden.

Daneben braucht es ein gemeinsames Audit-Log, auf das die Geschäftsleitung rollenübergreifend zugreift. Prüfbehörden fragen nicht nach einzelnen Rollen; sie fragen, ob das Unternehmen strukturell compliant ist. Ein Audit-Log, das DSB-Aktivitäten, ISB-Maßnahmen und LkSG-Berichte in einem Exportformat bündelt, ist deshalb kein Komfort, sondern eine funktionale Anforderung.

Schließlich muss die Plattform Schulungsnachweise zentral verwalten. Der Auditor der DGUV fragt Brandschutzunterweisungen ab; der ISO-Auditor fragt ISMS-Schulungen ab; der Datenschutzaufsicht liegt Wert auf DSGVO-Schulungszertifikate. Alle Nachweise müssen aus einer Quelle abrufbar sein.

Die Koordination mehrerer Beauftragter ist eine Führungsaufgabe, die in der Unternehmenspraxis häufig unterschätzt wird. Der Gesetzgeber adressiert dies nur indirekt: § 130 OWiG verlangt von der Unternehmensleitung, Aufsichtspflichten zu erfüllen, was das Sicherstellen von Bestellungen, Berichtswegen und Nachweisen einschließt.

In der Praxis bedeutet das: Die Geschäftsleitung muss jederzeit beantworten können, wer aktuell als welcher Beauftragter bestellt ist, seit wann, auf welcher Vertragsgrundlage, mit welcher Berichtslinie und mit welchem Nachweis der letzten Schulung oder Auditmaßnahme. Diese Anforderung übersteigt eine Excel-Tabelle regelmäßig dann, wenn mehr als vier Rollen gleichzeitig besetzt sind.

Koordinationsbedarf entsteht auch an den Schnittstellen zwischen Rollen. Ein Datenschutzvorfall nach Art. 33 DSGVO kann gleichzeitig ein NIS-2-Sicherheitsvorfall nach § 32 BSIG sein, der eine 24-Stunden-Erstmeldung an das BSI auslöst. Die 72-Stunden-Frist der DSGVO läuft parallel. Wenn DSB und ISB nicht koordiniert agieren, können Fristen gerissen werden.

Ein weiteres Schnittstellenthema ist der Lieferketten-Beauftragte: Seine Risikoanalyse nach § 5 LkSG greift auf Daten zurück, die auch der Umweltbeauftragte (CO2-Emissionen, Abfallmanagement) und der Qualitätsmanagementbeauftragte (Lieferantenaudits nach ISO 9001) verwalten. Ohne koordinierten Datenzugriff entstehen Doppelarbeiten und Widersprüche im BAFA-Bericht.

Andere führen Compliance wie einen Aktenschrank. Koordination dieser Qualität erfordert eine Strukturlösung, nicht mehr Besprechungen.

Bei der Besetzung mehrerer Beauftragten-Rollen treten wiederkehrende Fehler auf, die bei externen Prüfungen zu Beanstandungen führen.

Fehler 1: Bestellurkunde fehlt oder ist unvollständig. Für den DSB verlangt Art. 37 Abs. 5 DSGVO eine förmliche Benennung. Für den Geldwäschebeauftragten sieht § 7 Abs. 6 GwG eine schriftliche Benennung gegenüber der Aufsichtsbehörde vor. Eine formlose E-Mail genügt nicht. Lösung: Jede Bestellung mit einer strukturierten Urkunde dokumentieren, die Name, Funktion, Rechtsgrundlage und Berichtslinie ausweist.

Fehler 2: Interessenkonflikt nicht geprüft. Beim DSB greift das Verbot aus Art. 38 Abs. 6 DSGVO direkt. Beim Compliance-Beauftragten und beim Geldwäschebeauftragten ist Unabhängigkeit zwar nicht explizit gesetzlich gefordert, aber behördlich erwartet. Wer den IT-Leiter gleichzeitig als ISB und als Entscheider über IT-Investitionen einsetzt, schafft einen strukturellen Interessenkonflikt.

Fehler 3: Schulungsnachweise für den Beauftragten selbst fehlen. Der Beauftragte muss selbst geschult und qualifiziert sein. Für die SiFa legt § 7 ASiG Mindestqualifikationen fest. Für den Gefahrstoffbeauftragten empfiehlt TRGS 400 spezifische Sachkenntnis. Fehlende Qualifikationsnachweise für den Beauftragten selbst werden im Audit häufiger gerügt als fehlende Mitarbeiterschulungen.

Fehler 4: Keine Vertretungsregelung. Ist der alleinige DSB im Urlaub und eine Datenpanne tritt auf, läuft die 72-Stunden-Frist nach Art. 33 DSGVO dennoch. Eine dokumentierte Vertretungsregelung ist für alle zeitkritischen Rollen Pflicht. Prüfen Sie die Vertretung für DSB, ISB und Geldwäschebeauftragten mindestens halbjährlich.

Die Frage, ob ein Unternehmen alle Beauftragten-Rollen auf einer Plattform führen soll, stellt sich ab dem Moment, in dem mehr als vier Mandate gleichzeitig aktiv sind. Ab dieser Schwelle übersteigt der Koordinationsaufwand den Implementierungsaufwand einer zentralen Lösung.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die heute alle 25 Beauftragten-Rollen abdeckt. Das umfasst die elf üblicherweise pflichtigen Rollen sowie 14 branchenspezifische Mandate. Für jede Rolle stehen rollenspezifische Aufgaben-Templates, Audit-Vorlagen und Schulungsmodule bereit. Der gemeinsame Workspace sichert den einheitlichen Audit-Log über alle Rollen hinweg.

Das Modell ist flexibel: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Beide Wege nutzen denselben Workspace, dieselbe Dokumentenstruktur und denselben Audit-Log. Viele Unternehmen kombinieren beides: der interne Datenschutzbeauftragte arbeitet auf dem lizenzierten Workspace, während der Informationssicherheitsbeauftragte extern über CIVAC bestellt wird.

Der Prüfer ruft an, der Nachweis liegt bereit. Mit 37 einsatzbereiten Audit-Vorlagen und einem strukturierten Berichtsliniensystem schafft CIVAC die strukturellen Voraussetzungen dafür, dass alle Mandate – ob intern oder extern besetzt – prüfungsbereit geführt werden. CIVAC liefert Vertrag, Person und Urkunde bei externer Beauftragung in zwei Werktagen, gegenüber klassisch zwei bis sechs Wochen.

Aus dem Lesen einen Auftrag machen. Wenn Sie prüfen möchten, welche der zwölf Rollen für Ihr Unternehmen pflichtig sind und wie eine koordinierte Lösung aussehen kann, schreiben Sie an info@civac.de.