Compliance-Beauftragten bestellen: Pflicht, Aufgaben, Haftung und Bestellweg

Die Aufsichtspflicht der Geschäftsleitung ergibt sich aus § 130 OWiG und kann bei Verletzung mit Geldbußen bis 10 Mio. Euro je Tat geahndet werden. Ein Compliance-Beauftragter ist in vielen Branchen zwar nicht ausdrücklich gesetzlich vorgeschrieben, der BGH hat jedoch in seiner Entscheidung vom 17. Juli 2009 (Az. 5 StR 394/08) klargestellt, dass ein bestellter Compliance-Beauftragter eine strafrechtliche Garantenstellung innehat. Wer das Amt nicht besetzt, trägt die Pflicht selbst, und zwar als Vorstand oder Geschäftsführer persönlich. Die Frage ist damit nicht, ob ein Beauftragter sinnvoll ist, sondern in welcher Form und mit welcher Berichtslinie die Funktion eingerichtet wird. Hinzu kommen branchenspezifische Anforderungen aus § 25a KWG, § 23 VAG oder § 80 WpHG, die die Funktion in regulierten Sektoren ausdrücklich vorschreiben.

Dieser Beitrag beantwortet die fünf Kernfragen, die Geschäftsleiter, Aufsichtsräte und HR-Verantwortliche zur Bestellung eines Compliance-Beauftragten haben: Wann besteht eine faktische Pflicht, welche Aufgaben gehören in den Bestellkatalog, wie wird die Berichtslinie audit-fest aufgesetzt, wie verteilt sich die Haftung und welcher Bestellweg führt schneller zum belastbaren Nachweis. Sie erhalten konkrete Paragrafen, einen Aufgabenkatalog, einen Eskalationspfad und einen Bestellweg, der über die CIVAC Compliance-Plattform und Officer-as-a-Service in zwei Werktagen abgeschlossen sein kann. Frist läuft ab Kenntnis. Audit-fest, dokumentiert, § 130-fest. Das Ziel ist nicht die abstrakte Konformität, sondern der jederzeit belastbare Nachweis gegenüber Behörden, Wirtschaftsprüfern und Geschäftspartnern.

Eine ausdrückliche Bestellpflicht für einen Compliance-Beauftragten kennt das deutsche Recht nur für einzelne regulierte Branchen. Nach § 25a Abs. 1 KWG müssen Kreditinstitute eine angemessene Compliance-Funktion einrichten, nach § 23 VAG gilt dies für Versicherer und nach § 80 Abs. 1 WpHG für Wertpapierdienstleister. Die MaComp der BaFin konkretisiert die Anforderungen in den Modulen AT 4.4.2 und BT 1, einschließlich Unabhängigkeit, Berichtslinie und Ressourcen. Für die Mehrheit der Unternehmen außerhalb dieser Branchen gilt jedoch § 130 OWiG: Die Geschäftsleitung muss eine Aufsichtsorganisation einrichten, die geeignet ist, betriebsbezogene Pflichten zu sichern.

Verletzt sie diese Aufsichtspflicht und kommt es zu einer betriebsbezogenen Tat, droht eine Geldbuße bis 10 Mio. Euro je Tat sowie die Abschöpfung des wirtschaftlichen Vorteils nach § 17 Abs. 4 OWiG. Der BGH hat in seiner Entscheidung vom 17. Juli 2009 die strafrechtliche Garantenstellung eines bestellten Compliance-Beauftragten ausdrücklich bestätigt. Wer keinen Beauftragten bestellt, bleibt selbst Garant. Diese Linie hat sich in weiteren Entscheidungen verfestigt und gilt heute als gesicherte Rechtsprechung.

In der Praxis bedeutet das: Ab einer Mitarbeiterzahl von 50, bei internationaler Geschäftstätigkeit, bei öffentlichen Aufträgen oder bei Tätigkeiten in sanktionsrelevanten Märkten ist die Bestellung eines Compliance-Beauftragten der saubere Weg, die Aufsichtspflicht zu delegieren und gleichzeitig nachzuweisen. Über die CIVAC Compliance-Plattform und Officer-as-a-Service erhalten Geschäftsleiter eine Bestellurkunde, eine Berichtslinie und einen Aufgabenkatalog in einem Vorgang. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Vorteil gegenüber einer reinen Selbstverpflichtung der Geschäftsleitung liegt in der dokumentierten Delegation, die im Streitfall vor Gericht oder Behörde nachweisbar ist und bei Veränderungen der Geschäftsleitung Bestand hat.

Ein Compliance-Beauftragter ist kein Generalist, sondern wird durch seinen Aufgabenkatalog definiert. Die Bestellurkunde regelt, welche Pflichten konkret übertragen werden. Üblich sind sieben Aufgabenfelder: Risikoanalyse, Richtlinienarchitektur, Schulung, Hinweisbearbeitung, Drittparteien-Prüfung, Vorfallmanagement und Berichterstattung. Jedes Feld wird mit messbaren Pflichten unterlegt, etwa der jährlichen Risikoanalyse, der quartalsweisen Schulungsdokumentation, der Sieben-Tage-Frist für die Aufnahme eines Hinweises nach § 13 HinSchG oder der Drei-Monats-Frist für die Rückmeldung an den Hinweisgeber.

Der Beauftragte berät die Geschäftsleitung, prüft Geschäftsprozesse auf Compliance-Risiken, dokumentiert die Aufsichtsmaßnahmen und schult die Belegschaft. Er ersetzt nicht die Verantwortung des Vorstands, sondern entlastet sie nachweisbar. Die Risikoanalyse folgt typischerweise einer Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe in einer Matrix, ergänzt um eine Bewertung der Kontrollwirksamkeit. Die Richtlinienarchitektur umfasst Code of Conduct, Antikorruptionsrichtlinie, Geschenkerichtlinie, Sanktionsrichtlinie und branchenspezifische Ergänzungen. Schulungen werden nach Risikorollen differenziert, damit Vertrieb, Einkauf und Geschäftsleitung passgenaue Module mit dokumentierter Lernkontrolle erhalten.

Wichtig ist die Abgrenzung zur internen Meldestelle nach HinSchG: Eine Personalunion ist möglich, aber die Funktionen müssen sauber getrennt dokumentiert werden, weil die Meldestelle eine eigene Vertraulichkeitspflicht nach § 8 HinSchG hat. Die CIVAC Audit-Vorlagen umfassen 37 einsatzbereite Dokumente, vom Aufgabenkatalog über das Schulungsprotokoll bis zum Vorfallbericht und der Drittparteien-Checkliste. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Damit lassen sich Aufgaben nicht nur definieren, sondern auch wiederkehrend planen, eskalieren und belegen, und zwar mit klarem Versionsstand und Eigentümer pro Vorgang. Die Plattform sortiert Aufgaben nach Frist, Risikoindikator und Verantwortlichem, sodass Engpässe sichtbar werden, bevor sie zum Vorfall werden.

Wer eine Bestellung nachweisen will, braucht drei Dokumente, die jede Aufsichtsbehörde und jeder Wirtschaftsprüfer in dieser Reihenfolge sehen will. Erstens die Bestellurkunde mit Datum, Geltungsbereich, Vergütungsregelung, Versicherungsschutz und Beendigungsklausel. Zweitens die Berichtslinie, die regelt, dass der Beauftragte unmittelbar an die Geschäftsleitung berichtet, und zwar ohne Zwischenhierarchien, damit die Garantenstellung nicht durch operative Weisungsketten verwässert wird. Drittens der Aufgabenkatalog, der die delegierten Pflichten konkret und messbar beschreibt, idealerweise mit Frequenz, Verantwortlichem und Nachweisart pro Pflicht.

In der Praxis scheitern viele Bestellungen nicht an den Inhalten, sondern an der Form. Wir sehen regelmäßig E-Mail-Bestellungen ohne Datum, mündlich vereinbarte Berichtslinien oder Aufgabenkataloge, die aus einer Stellenbeschreibung kopiert wurden. Der Prüfer ruft an, der Nachweis liegt bereit, oder eben nicht. Eine Bestellurkunde ohne Datum ist im Streit so wertlos wie ein nicht unterzeichneter Vertrag, weil sich die Garantenstellung nicht zeitlich verorten lässt. Auch eine Bestellung ohne Beendigungsklausel führt zu Streit über Übergabezeitpunkte und Nachhaftung.

Im CIVAC Workspace werden die drei Bausteine als zusammenhängender Vorgang erzeugt, digital unterschrieben und mit Versionsstand abgelegt. Die EU-Datenresidenz ist gesichert, die ISO/IEC 27001:2022 ISMS-Kontrollen sind im Hintergrund aktiv, alle 93 Controls dokumentiert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen erhalten Sie denselben Aktenstand. Eine spätere Übernahme von externer zu interner Funktion ist im Workspace möglich, ohne den Nachweispfad zu unterbrechen, weil alle Dokumente versioniert und unter klarer Berechtigung verbleiben. Wechsel der Geschäftsführung oder des Beauftragten werden mit Übergabeprotokoll abgebildet.

Die Frage nach intern oder extern ist keine ideologische, sondern eine betriebswirtschaftliche. Ein interner Beauftragter kennt die Prozesse, ist verfügbar und kann kulturell verankern. Er bringt jedoch das Risiko der Befangenheit mit, wenn er gleichzeitig operative Verantwortung trägt, und er benötigt Schulung, Vertretung und Budget für externe Audits. Eine Vollzeitstelle ist in kleineren Mittelständlern selten ausgelastet, eine Teilzeitstelle kollidiert oft mit anderen Funktionen wie HR, Recht oder Finanzen. Die Unabhängigkeit nach MaComp BT 1 ist in diesen Konstellationen schwer aufrechtzuerhalten.

Ein externer Beauftragter ist sofort einsatzbereit, hat methodische Distanz und bringt branchenübergreifende Erfahrung. Er ist allerdings auf eine saubere Schnittstelle in das Unternehmen angewiesen, sonst bleibt er Berater statt Garant. Verfügbarkeit, Reaktionszeiten und Vertretungsregelungen gehören in die Bestellurkunde, ebenso die Pflicht zur Teilnahme an Geschäftsleitungssitzungen. Eine vertraglich vereinbarte Berichtskadenz und ein definierter Eskalationsweg sind unverzichtbar, weil nur sie die Garantenstellung operationalisieren.

Die Kostenfrage ist konkret beantwortbar: Ein interner Compliance-Beauftragter kostet als Vollzeitkraft inklusive Schulung, Software und Vertretung typischerweise 110.000 bis 160.000 Euro pro Jahr. Ein externer Beauftragter im Officer-as-a-Service-Modell startet bei etwa 1.200 Euro pro Monat für KMU und skaliert nach Unternehmensgröße und Risikolage. Für viele Mittelständler ist ein hybrides Modell sinnvoll: extern bestellter Compliance-Beauftragter plus intern verantwortliche Schnittstelle, etwa eine Compliance-Koordination im Rechtsbereich. Die CIVAC Compliance-Plattform unterstützt beide Modelle und den Wechsel zwischen ihnen, die FAQ-Seite beantwortet die häufigsten Detailfragen zu Vertretung, Urlaubsregelung und Übergabe bei Mandatsende. Auch die Frage der Auswahl wird oft unterschätzt: Auswahlentscheidung, Eignungsprüfung und Vertragsdokumente bilden die cura in eligendo und müssen ebenfalls dokumentiert vorliegen, um die Entlastungswirkung zu sichern.

Die Haftungslandschaft besteht aus drei Schichten. Die erste Schicht ist § 130 OWiG: Verletzt die Geschäftsleitung ihre Aufsichtspflicht und kommt es zu einer betriebsbezogenen Tat, droht eine Geldbuße bis 10 Mio. Euro je Tat, zuzüglich Abschöpfung des wirtschaftlichen Vorteils nach § 17 Abs. 4 OWiG. Die Geldbuße trifft natürliche Personen, also Geschäftsführer und Vorstandsmitglieder persönlich. Eine D&O-Versicherung kann nach § 81 Abs. 2 VVG die Bußgeldzahlung nicht ersetzen, weil dies ein Verstoß gegen die Privatstrafzwecke wäre. Auch eine Freistellungserklärung der Gesellschaft ist hier rechtlich begrenzt.

Die zweite Schicht ist § 30 OWiG: Die juristische Person selbst kann mit bis zu 10 Mio. Euro belegt werden, in Verbindung mit § 17 Abs. 4 OWiG kann der wirtschaftliche Vorteil zusätzlich abgeschöpft werden. Die dritte Schicht ist § 43 Abs. 2 GmbHG beziehungsweise § 93 Abs. 2 AktG: persönliche Haftung des Geschäftsführers oder Vorstands gegenüber der Gesellschaft für Schäden aus Pflichtverletzung, mit Beweislastumkehr. Wer nicht beweisen kann, sorgfältig gehandelt zu haben, haftet.

Die Bestellung eines Compliance-Beauftragten entlastet die Geschäftsleitung, sofern Auswahl, Anleitung und Überwachung des Beauftragten ordnungsgemäß dokumentiert sind. Der BGH spricht hier von einer dreistufigen Sorgfalt: cura in eligendo, cura in instruendo, cura in custodiendo. Wer einen Beauftragten bestellt, aber keine Schulungsnachweise, kein Berichtswesen und keine Vorgabe von Risikoindikatoren vorweisen kann, hat keine Entlastung. Die CIVAC Berichtslinie dokumentiert genau diese drei Stufen mit Datum, Adressat und Inhalt. Audit-fest, dokumentiert, § 130-fest. Das ist nicht nur Verteidigungslinie, sondern auch operative Disziplin im Tagesgeschäft, weil sie Versäumnisse früh sichtbar macht und damit aktiv steuerbar.

Die Berichtslinie ist das tägliche Werkzeug des Compliance-Beauftragten. Sie definiert, wann, wie und an wen berichtet wird. Der Standard sieht drei Frequenzen vor: einen Jahresbericht an die Geschäftsleitung und gegebenenfalls den Aufsichtsrat, einen Quartalsbericht über laufende Maßnahmen und Risiken, sowie eine Ad-hoc-Eskalation bei Vorfällen, die eine wesentliche Pflichtverletzung darstellen könnten. Frist läuft ab Kenntnis. Eine Eskalation, die erst Wochen nach Kenntnis erfolgt, ist im Streit kaum noch zu rechtfertigen und kann die eigene Garantenstellung in Frage stellen.

In der Eskalation kommt es auf die Kette an. Der Beauftragte informiert die Geschäftsleitung schriftlich, dokumentiert die Information, schlägt Maßnahmen vor und überwacht deren Umsetzung. Wenn die Geschäftsleitung die Maßnahme verzögert oder ablehnt, dokumentiert der Beauftragte den Vorgang und kann in Extremfällen sein Mandat niederlegen. Eine schriftliche, datierte Eskalation ist die wichtigste Verteidigung des Beauftragten gegen eigene Haftungsrisiken, weil die Garantenstellung mit erfolgter Information an den Vorstand auf die Geschäftsleitung zurückfällt.

Im CIVAC Workspace werden Eskalationen mit Zeitstempel, Adressat und Reaktion erfasst. Die Berichtslinie ist verbindlich konfiguriert, die Nachweise liegen jederzeit auf Knopfdruck bereit. Berichte können als PDF mit digitaler Signatur exportiert werden, mit Inhaltsverzeichnis, Quellen und Anlagen. Wer mehr zur operativen Einbindung wissen will, findet auf der Rollenseite Compliance-Beauftragter Aufgabenkatalog, Berichtspflichten und Bestellweg im Detail. Eine saubere Berichtslinie ist auch der wichtigste Hebel, um Compliance vom Kostenfaktor zum Steuerungsinstrument zu machen, weil Vorstände konkrete Risikoindikatoren in der laufenden Geschäftsplanung berücksichtigen können. Wer den Bericht standardisiert, gewinnt Vergleichbarkeit über Quartale hinweg und kann Trendveränderungen frühzeitig erkennen.

Ein Compliance-Beauftragter arbeitet nicht im Vakuum, sondern an mindestens vier Schnittstellen. Erstens der Datenschutzbeauftragte: Nach Art. 38 Abs. 6 DSGVO darf der DSB keine Aufgaben wahrnehmen, die zu einem Interessenkonflikt führen. Eine Personalunion ist möglich, muss aber dokumentiert begründet werden. Praktisch bedeutet das, dass der Compliance-Beauftragte zwar DSGVO-Themen mitdenkt, die formale Beauftragung jedoch beim DSB bleibt. Die Berichtslinien laufen idealerweise parallel an die Geschäftsleitung, mit gemeinsamen Punkten bei der Drittparteien-Prüfung und Schulung.

Zweitens der Informationssicherheitsbeauftragte: ISB und Compliance-Beauftragter teilen sich Themen wie Risikoanalyse und Schulung, die Verantwortung wird in der Bestellurkunde abgegrenzt. Der ISB verantwortet ISO/IEC 27001:2022 ISMS, der Compliance-Beauftragte das übergreifende Compliance Management System. Drittens die interne Meldestelle nach § 14 HinSchG: Der Compliance-Beauftragte kann die Meldestelle leiten, muss aber die besonderen Vertraulichkeitspflichten nach § 8 HinSchG einhalten und Vorgänge separat dokumentieren. Eine getrennte Aktenführung mit eigenen Berechtigungen ist hier Standard.

Viertens der LkSG-Beauftragte: Seit 2024 gilt das Lieferkettensorgfaltspflichtengesetz auch für Unternehmen ab 1.000 Mitarbeitern. Der LkSG-Beauftragte führt die Risikoanalyse in der Lieferkette, dokumentiert die Maßnahmen und berichtet jährlich. Compliance- und LkSG-Beauftragter arbeiten eng zusammen, weil sich Schnittstellen bei Sanktionsprüfung, Korruptionsprävention und Sorgfaltspflichten überlappen. Die CIVAC Compliance-Plattform verwaltet alle Rollen in einem Workspace und stellt die Schnittstellen über gemeinsame Risiko- und Maßnahmenregister her. Die Rollenübersicht zeigt alle 25 Beauftragten-Rollen mit ihren jeweiligen Schnittstellen, Berichtslinien und Aufgabenkatalogen, sodass Doppelarbeit und Lücken vermieden werden und Synergien sichtbar werden. Auch der Übergang zur NIS-2-Pflicht für betroffene Unternehmen wird über die Plattform abgebildet, weil sich Vorfallmanagement und 24h-Frühwarnung sauber an die bestehende Compliance-Berichtslinie anschließen.

Wirtschaftsprüfer, externe Auditoren und Aufsichtsbehörden prüfen Compliance-Funktionen nach einem wiederkehrenden Muster. Erstens: Existenznachweis, also Bestellurkunde mit Datum, Unterschrift und Bestellumfang. Zweitens: Eignungsnachweis, also Qualifikationsnachweise des Beauftragten und Schulungsdokumentation. Drittens: Tätigkeitsnachweis, also Risikoanalyse, Maßnahmenkatalog, Berichte an die Geschäftsleitung und Schulungsnachweise der Belegschaft. Viertens: Vorfallnachweis, also dokumentierte Eskalationen, Untersuchungen und Maßnahmen mit Datum und Verantwortlichem. Dieses Vier-Schichten-Modell deckt rund 90 Prozent typischer Prüfungsfragen ab.

In der Praxis scheitern Audits selten an fehlenden Inhalten, sondern an fehlender Auffindbarkeit. Ein Beauftragter, der drei Tage braucht, um die Risikoanalyse vom Vorjahr zu finden, verliert das Vertrauen der Prüfer in die gesamte Funktion. Auch eine fehlende Schulungsmatrix, die nicht zwischen Pflicht- und Wahlmodulen unterscheidet, führt zu Folgefragen, die das Audit verlängern. Versionierung, Quellverweise und ein klarer Verantwortlicher pro Dokument sind die unauffälligen Details, die Prüfer von einer Funktion überzeugen.

Im CIVAC Workspace sind alle 490 Audit-Vorlagen versioniert abgelegt, mit Suchfunktion und Exportprotokoll. Bei einer Anfrage erhält der Prüfer innerhalb von 24 Stunden den vollständigen Nachweispfad mit Quellverweis, Versionsstand und Verantwortlichem. Der Prüfer ruft an, der Nachweis liegt bereit. Das ist der operative Standard, den eine moderne Compliance-Plattform liefern muss, und nicht eine Anhäufung von PDF-Dateien auf einem Netzlaufwerk. Bei jährlich wiederkehrenden Audits sinkt der Vorbereitungsaufwand typischerweise von mehreren Personenwochen auf wenige Tage, weil die Nachweise nicht für das Audit gesammelt, sondern im laufenden Betrieb dokumentiert wurden. Damit verschiebt sich der Aufwand vom Krisenmodus zur Routine, und der Beauftragte gewinnt Zeit für die eigentliche Risikosteuerung statt für die Aktenrekonstruktion.

Wenn Sie bis hier gelesen haben, kennen Sie die rechtliche Lage, die drei Mindestbausteine und die Schnittstellen zu DSB, ISB, Meldestelle und LkSG. Der nächste Schritt ist operativ. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit zwei Bezugsmodellen. Im ersten Modell lizenzieren Sie den Workspace für Ihre internen Beauftragten und nutzen die 490 Audit-Vorlagen, die Berichtslinie, das Risikoregister und die digitale Bestellurkunde. Im zweiten Modell bestellen unsere Beauftragten Ihre Funktion und arbeiten innerhalb des Workspace, den Ihre Geschäftsleitung jederzeit einsehen kann. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Die SLA für eine Bestellung beträgt 2 Werktage, statt der klassischen 2 bis 6 Wochen. Sie erhalten Bestellurkunde, Berichtslinie und Aufgabenkatalog in einem Vorgang, EU-Datenresidenz, ISO/IEC 27001:2022 ISMS im Hintergrund und 93 Controls aktiv. Eine Risikoanalyse, eine Schulungsmatrix und ein Erstbericht an die Geschäftsleitung sind im Onboarding enthalten, sodass die Funktion ab dem ersten Monat einen messbaren Stand erreicht. Ein laufender Berichtsrhythmus mit Quartals- und Jahresberichten ist im Service enthalten und in den Audit-Vorlagen abgebildet.

Wenn Sie konkret prüfen möchten, ob Ihr Unternehmen einen Compliance-Beauftragten benötigt, welcher Bestellumfang sinnvoll ist und welches Modell passt, schreiben Sie an info@civac.de oder nutzen das Kontaktformular auf civac.de. Sie erhalten innerhalb von 24 Stunden eine erste Einschätzung mit Bestellweg, Aufgabenkatalog-Entwurf und Kostenrahmen. Auf Wunsch erhalten Sie zusätzlich eine Übersicht der relevanten Schnittstellen zu DSB, ISB, Meldestelle und LkSG, damit die Rollenarchitektur in Ihrem Unternehmen sauber aufgesetzt werden kann. Aus dem Lesen einen Auftrag machen.