Compliance-Beratung 2026: Wann der Workshop reicht und wann ein Beauftragter ran muss

Compliance-Beratung wird in Deutschland selten als Pflicht bestellt, sondern als Reaktion: Ein Audit steht an, ein Vorfall ist passiert, ein Großkunde verlangt ISO/IEC 27001:2022 als Lieferantenkriterium. Der Markt antwortet darauf mit drei sehr unterschiedlichen Lieferformen, die im Vertrieb oft synonym verwendet werden. Klassische Berater liefern Strategie und Konzepte. Software-Anbieter liefern Tools. Officer-as-a-Service-Modelle liefern eine bestellte Person mit Bestellurkunde, Berichtslinie und Haftungsabdeckung. Wer diese drei Lieferformen verwechselt, kauft Beratung, wenn ein Beauftragter gefragt ist, oder umgekehrt. Das Ergebnis ist regelmäßig ein doppelter Einkauf, eine offene Pflicht und ein Bußgeldrisiko nach § 130 OWiG, das im Konzernverbund schnell zweistellig wird.

Dieser Beitrag sortiert den Markt entlang der Pflichten, die hinter dem Stichwort Compliance liegen. Sie erfahren, welche Lieferform welche Anforderung aus DSGVO, NIS-2, GwG, HinSchG, LkSG, AGG, ISO/IEC 27001:2022 und § 130 OWiG abdeckt, wie Sie ein Angebot inhaltlich prüfen und woran Sie erkennen, ob die Leistung im Audit überhaupt belegbar ist. Die Antwort lautet selten Entweder-oder. Sie lautet meistens: Konzeptphase als Beratung, Dauerbetrieb über Plattform oder externen Beauftragten. Sie lesen hier, wann welche Mischung sinnvoll ist, welche Kostenposten ehrlich kalkuliert gehören und wo der Übergang in CIVAC als Compliance-Plattform und Officer-as-a-Service genau liegt. Am Ende steht ein praxistauglicher Entscheidungsrahmen, den Sie einem Angebot direkt gegenüberstellen können.

Der Begriff Compliance-Beratung deckt in der deutschen Praxis drei sehr unterschiedliche Leistungen ab. Die erste ist die strategische Beratung, in der ein externer Anbieter eine Bestandsaufnahme erstellt, Lücken identifiziert und eine Roadmap entwirft. Diese Phase endet in der Regel mit einer schriftlichen Risikoanalyse, einer Maßnahmenliste und einer Gap-Auswertung gegenüber konkreten Normen wie ISO/IEC 27001:2022, der DSGVO oder dem GwG. Die zweite Leistung ist die Umsetzungsbegleitung, in der Richtlinien geschrieben, Prozesse modelliert und Schulungen aufgesetzt werden. Die dritte Leistung ist der laufende Betrieb mit benanntem Beauftragten, Berichtslinie an die Geschäftsführung und Pflicht zur Dokumentation. In vielen Angeboten werden diese drei Leistungen unter einem einheitlichen Begriff verkauft, ohne dass im Vertrag steht, welche davon tatsächlich Bestandteil ist.

Nur die dritte Stufe deckt die Anforderungen aus § 38 BDSG, § 7 GwG, § 12 HinSchG oder § 130 OWiG materiell ab. Ein Beratungsprojekt allein erfüllt keine Bestellpflicht, weil keine Person formal benannt ist und keine Berichtslinie etabliert wurde. Wer ein Beratungsmandat als Compliance-Officer-Ersatz verkauft bekommt, sollte prüfen, ob im Vertrag eine Bestellung samt Bestellurkunde vereinbart ist. Bei CIVAC läuft die Trennung explizit: Strategieberatung ist Projektarbeit, der externe Compliance-Beauftragte ist ein laufendes Mandat mit Bestellung, Berichtslinie und Auditpfad. Beide Bausteine können kombiniert werden, sie sind aber nicht austauschbar. Diese Unterscheidung verhindert, dass Sie Konzeptarbeit doppelt einkaufen und Pflichten weiterhin offen lassen. In jeder Angebotsprüfung sollte deshalb die erste Frage lauten, welche der drei Leistungen mit welcher Stundenzahl, welcher Person und welchem dokumentierten Ergebnis tatsächlich enthalten ist und welche optional als Zusatzmodul angeboten wird.

Compliance-Beratung beginnt mit der Frage, welche Norm konkret welche Pflicht auslöst. § 38 BDSG verlangt einen Datenschutzbeauftragten bei mindestens 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Art. 37 DSGVO ergänzt dies um die Pflicht bei regelmäßiger systematischer Überwachung oder umfangreicher Verarbeitung besonderer Kategorien. NIS-2 verpflichtet rund 29.500 Unternehmen in Deutschland zur Bestellung einer für Informationssicherheit verantwortlichen Stelle, zur Risikoanalyse und zur 24h-Frühwarnung mit 72h-Folgemeldung. § 7 GwG fordert bei Verpflichteten einen Geldwäschebeauftragten samt Stellvertretung. § 12 HinSchG verlangt eine interne Meldestelle ab 50 Beschäftigten, mit dokumentierter Vertraulichkeit und Reaktionsfristen. Bei Verstößen drohen Bußgelder gestaffelt nach Konzernumsatz.

Das LkSG bindet Unternehmen ab 1.000 Mitarbeitenden in eine Risikoanalyse der Lieferkette mit Beauftragten für Menschenrechte. Die EU-CSDDD weitet diese Pflicht ab 2027 auf mehr Unternehmen aus. § 130 OWiG sanktioniert Aufsichtspflichtverletzungen mit Bußgeldern bis 10 Mio. Euro. Jede dieser Vorschriften hat einen eigenen Auslöser, einen eigenen Bestellpfad und eine eigene Berichtspflicht. Eine seriöse Compliance-Beratung listet diese Pflichten zuerst auf, gleicht sie mit Ihrer Mitarbeiterzahl, Branche und Verarbeitungstiefe ab und benennt erst dann konkrete Rollen. Wer ohne diese Matrix arbeitet, verkauft Aufwand, der nicht zur Pflicht passt. CIVAC stellt die Matrix in Form von 25 Beauftragten-Rollen und 37 Audit-Vorlagen bereit, die im Workspace direkt zugeordnet werden. Ein Anwalt-Briefing zur DSGVO ersetzt diese strukturierte Zuordnung nicht. Die Matrix ist gleichzeitig die Grundlage für die Budgetplanung, weil sie zeigt, welche Pflicht intern, extern oder durch eine Plattform abgedeckt wird und wo Doppelarbeit liegt. Erst nach dieser Klärung beginnt die Auswahl der Lieferform sinnvoll.

Der Markt bietet drei Lieferformen, die unterschiedlich abgerechnet werden und unterschiedliche Pflichten abdecken. Klassische Compliance-Beratung wird auf Tagessatzbasis erbracht, üblicherweise zwischen 1.200 und 2.400 Euro pro Beratertag. Ein vollständiges ISMS-Aufbauprojekt nach ISO/IEC 27001:2022 bewegt sich oft zwischen 40 und 120 Beratertagen über 9 bis 18 Monate. Software-Lizenzen für Compliance-Plattformen kosten in der DACH-Region zwischen 6.000 und 60.000 Euro pro Jahr, abhängig von Modulumfang, Nutzeranzahl und Audit-Anbindung. Officer-as-a-Service wird in der Regel als monatliche Mandatsgebühr abgerechnet, oft zwischen 600 und 2.800 Euro pro Monat je Rolle, mit klarer Stundenuntergrenze und einer dokumentierten Erreichbarkeit innerhalb fest vereinbarter Reaktionsfenster.

Die entscheidende Frage ist nicht der Preis, sondern die Auditfähigkeit. Eine Beratung allein produziert Empfehlungen, aber keine Bestellurkunde. Eine Software allein liefert Vorlagen, aber keine bestellte Person. Officer-as-a-Service liefert beides: Bestellung, Berichtslinie und laufende Tätigkeit. CIVAC arbeitet konsequent mit der dualen Logik: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Varianten laufen im selben System, mit denselben 37 Audit-Vorlagen und derselben EU-Datenresidenz. Die SLA für die Übernahme eines Mandats liegt bei 2 Werktagen statt der klassischen 2 bis 6 Wochen, die ein Auswahlprozess für externe Berater typischerweise braucht. Dieser Zeitunterschied entscheidet bei einem Vorfall, ob die 72h-Frist eingehalten wird. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer beim Vergleich nur auf die Tagessätze schaut, übersieht die Folgekosten aus Tool-Lock, fehlender Stellvertretung und nicht übergebbaren Nachweisen, die beim nächsten Anbieterwechsel anfallen. Ein belastbarer Vergleich stellt deshalb nicht den Listenpreis gegenüber, sondern den Total Cost of Compliance pro Pflicht über mindestens zwei Vertragsjahre.

Externe Compliance-Beratung lohnt sich in vier klar abgrenzbaren Konstellationen. Erstens bei einer Neugründung oder dem Eintritt in einen regulierten Markt, wenn die Grundstruktur fehlt und intern weder Erfahrung noch Kapazität vorhanden ist. Zweitens bei der Vorbereitung auf eine erstmalige Zertifizierung, etwa ISO/IEC 27001:2022 oder TISAX, in der die Lücken systematisch geschlossen werden müssen. Drittens nach einem konkreten Vorfall, der eine forensische Aufarbeitung und gleichzeitig die Härtung der Prozesse verlangt. Viertens bei einer Transaktion, in der Due Diligence die Compliance-Reife im Datenraum belegen muss. In allen vier Fällen ist die Beratung zeitlich begrenzt, hat einen definierten Endzustand und endet mit einer dokumentierten Übergabe an den Dauerbetrieb.

In allen anderen Fällen ist eine externe Beratung als Dauerlösung selten effizient. Der wiederkehrende Betrieb, also Meldungen, Schulungen, jährliche Risikoanalyse, Lieferantenprüfung, Audit-Vorbereitung, ist Routine und gehört in eine Plattform oder zu einem benannten Beauftragten. Wer hier weiterhin auf Tagessatz arbeitet, zahlt für Wartezeiten und Übergabeaufwand. Die Faustregel lautet: Konzeptphase als Beratung, Dauerbetrieb als Lizenz oder Mandat. CIVAC trennt diese Phasen sauber. Die Auswahl der relevanten Rollen erfolgt im Onboarding, danach übernimmt entweder ein interner Beauftragter mit Lizenzzugriff oder ein externer Datenschutzbeauftragter mit Bestellurkunde. Die Tagessätze für punktuelle Beratung bleiben verfügbar, sind aber nicht der Standardmodus. Diese Trennung senkt die Gesamtkosten in der Regel um 30 bis 50 Prozent gegenüber einem rein beraterischen Modell mit gleichem Pflichtumfang. Genauso wichtig: Der Übergang von der Konzept- in die Betriebsphase findet ohne Datenmigration statt, weil dasselbe Workspace-System weiter genutzt wird.

Wer einen externen Anbieter prüft, sollte sieben Kriterien systematisch abfragen. Erstens: Welche konkrete Rolle wird besetzt, mit welcher Bestellurkunde, mit welcher Berichtslinie zur Geschäftsführung? Zweitens: Welche Qualifikation liegt formal vor, etwa ISO/IEC 27001 Lead Auditor, Fachkunde Datenschutz nach Art. 37 DSGVO, GwG-Sachkunde gemäß § 7 Abs. 5 GwG? Drittens: Welche Haftung übernimmt der Anbieter, in welcher Höhe, mit welcher Vermögensschadenhaftpflicht? Viertens: Wo werden Daten verarbeitet, und greift dabei das EU-Datenresidenzprinzip? Fünftens: Wie ist die Reaktionszeit bei einem Vorfall, gibt es ein dokumentiertes SLA für die 24h-Frühwarnung nach NIS-2 oder die 72h-Meldung nach Art. 33 DSGVO? Diese fünf Kriterien klären die Pflichtebene und unterscheiden ein belastbares Mandat von einem reinen Beratungsangebot.

Sechstens: Welche Vorlagen und Nachweise werden mitgeliefert, sind sie versioniert, und liegen sie im Klartext im Workspace, nicht in einem Berater-eigenen Tool, das nach Vertragsende verschwindet? Siebtens: Welche Übergabelogik gilt am Ende des Mandats, lassen sich Bestellung, Berichte und Audit-Spuren ohne Datenmigration weiterführen? CIVAC beantwortet diese Fragen in der Bestellurkunde und im Mandatsvertrag explizit. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die 37 Audit-Vorlagen sind versioniert, die Berichtslinie ist im System abgebildet, und der Workspace bleibt auch bei Wechsel des operativen Beauftragten unter der Kontrolle des Mandanten. Ein Anbieter, der eines dieser sieben Kriterien nicht schriftlich zusichern kann, gehört nicht in die Endrunde der Auswahl. Ergänzend lohnt der Blick auf Referenzen aus vergleichbaren Branchen sowie auf die Reichweite der Stellvertreterregelung, weil ein einzelner externer Beauftragter ohne Backup im Krankheitsfall die 24h-Frühwarnung nicht halten kann.

Ein Compliance-Management-System nach IDW PS 980 oder vergleichbaren Standards besteht aus sieben Elementen: Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung. Eine seriöse Compliance-Beratung verankert diese sieben Elemente in dokumentierter Form, nicht als Schaubild. Die Risikoanalyse erfolgt branchenspezifisch, etwa mit Fokus auf Korruption nach § 299 StGB für Vertriebsorganisationen, Datenschutz bei Verarbeitungstätigkeiten, Geldwäsche bei Verpflichteten im Sinne des § 2 GwG, Sanktionen im Außenwirtschaftsverkehr. Die Organisation legt fest, wer Beauftragter ist, wer stellvertretend agiert, wie die Berichtslinie aufgebaut ist und wie das Aufsichtsorgan informiert wird. Ergänzend kommt eine klare Eskalationsmatrix, damit Vorfälle nicht in Mailpostfächern stecken bleiben.

Das Programm besteht aus Richtlinien, Schulungen, Hinweisgeberkanal, Lieferantenprüfung und Sanktionslistenabgleich. Die Überwachung erfolgt über interne Audits, Kennzahlen und ein dokumentiertes Folgemaßnahmen-Register. Wer hier mit PowerPoint-Folien beginnt und endet, bekommt im Prüffall ein Problem. Audit-fest, dokumentiert, § 130-fest. Im CIVAC-Workspace sind die sieben Elemente als Modulstruktur abgebildet, mit den 37 Vorlagen, den 93 Controls nach ISO/IEC 27001:2022 und einer Versionshistorie, die jede Änderung protokolliert. Der Prüfer ruft an, der Nachweis liegt bereit. Der Aufbau eines CMS dauert in dieser Struktur typischerweise 8 bis 14 Wochen statt der klassischen 9 bis 18 Monate, weil Vorlagen, Rollen und Berichtslinie nicht jedes Mal neu erfunden werden müssen. Wer ein bestehendes CMS nachschärft, profitiert zusätzlich davon, dass die Plattform Lücken gegenüber den 93 Controls automatisch anzeigt und die Maßnahmen mit Verantwortlichen und Fristen verknüpft. Diese Logik ersetzt die typische Excel-Tabelle zur Maßnahmenverfolgung und liefert gleichzeitig die Datenbasis für den Bericht an Geschäftsführung und Aufsichtsorgan.

Eine ehrliche Kostenrechnung berücksichtigt sechs Posten. Erstens die einmaligen Konzeptkosten für Gap-Analyse, Risikoanalyse und Roadmap, je nach Umfang 8 bis 40 Beratertage. Zweitens die laufenden Personalkosten für den Beauftragten, intern oder extern. Ein interner Datenschutzbeauftragter in Vollzeit kostet inklusive Lohnnebenkosten 75.000 bis 110.000 Euro pro Jahr, eine externe Bestellung liegt je nach Unternehmensgröße zwischen 7.200 und 33.600 Euro pro Jahr. Drittens die Schulungskosten für die Belegschaft, üblicherweise 25 bis 80 Euro pro Person und Jahr. Viertens die Audit-Kosten für externe Zertifizierungen, etwa 8.000 bis 25.000 Euro für eine ISO/IEC 27001-Erstzertifizierung. Diese vier Posten lassen sich für jede Pflicht einzeln aufschreiben.

Fünftens die Tool-Kosten für die Compliance-Plattform, in der DACH-Region zwischen 6.000 und 60.000 Euro pro Jahr. Sechstens die internen Kosten für Steuerung, Workshops und Berichtslinie, die oft unterschätzt werden. Diese sechs Posten ergeben den Total Cost of Compliance pro Pflicht. Bei der dualen CIVAC-Logik werden Posten 2 und 5 in einem Vertrag zusammengeführt: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Fällen entfällt der separate Tool-Einkauf, und die SLA-Übernahme erfolgt in 2 Werktagen. Posten 1 lässt sich häufig um 40 bis 60 Prozent reduzieren, weil die 37 Vorlagen die Konzeptphase verkürzen. Diese Rechnung lässt sich vor Vertragsabschluss anhand der konkreten Beauftragten-Rollen Ihres Unternehmens verifizieren. Wer den Total Cost of Compliance einmal sauber aufgeschrieben hat, erkennt schnell, an welcher Stelle ein klassisches Beratungsmandat überfinanziert ist und wo eine Plattformlogik mit Officer-as-a-Service strukturell günstiger wird.

Vier Risiken treten in klassischen Compliance-Beratungsprojekten regelmäßig auf. Erstens das Konzept-Risiko: Die Roadmap liegt nach 6 Monaten vor, die Umsetzung wartet auf interne Kapazität, die zweite Phase startet nicht. Die investierten Tage sind versenkt, weil Vorlagen veralten und Regulierungsstände sich ändern. Zweitens das Tool-Lock-Risiko: Berater nutzen eigene Werkzeuge, die nach Mandatsende nicht übergeben werden können, der Mandant beginnt mit dem nächsten Anbieter wieder von vorne. Drittens das Personalrisiko: Der Beauftragte verlässt das Unternehmen oder den Berater, das Mandat steht still, die 72h-Frist nach Art. 33 DSGVO läuft trotzdem. Diese drei Risiken treffen sich oft in einem einzigen Vorfall, in dem mehrere Schwachstellen gleichzeitig sichtbar werden.

Viertens das Haftungsrisiko: Im Vertrag ist die Haftung des Beraters gedeckelt, im Schadensfall bleibt die Geschäftsführung nach § 130 OWiG persönlich verantwortlich. Diese vier Risiken lassen sich strukturell entschärfen. Wenn das Konzept im selben System läuft, in dem später der Dauerbetrieb stattfindet, gibt es keine Übergabelücke. Wenn der externe Beauftragte über eine Plattform mit Stellvertreterregelung organisiert ist, fällt das Mandat bei Personalwechsel nicht aus. Wenn die Vorlagen versioniert im Workspace liegen, übersteht das Audit auch einen Anbieterwechsel. Frist läuft ab Kenntnis. CIVAC nutzt diese Logik konsequent über die EU-Datenresidenz und die Berichtslinie im System. Ein zusätzlicher Anbieterwechsel bedeutet keinen Reset. Die Bestellurkunde wird neu unterschrieben, die Vorlagen, Risikoanalysen und Audit-Spuren bleiben. Damit verschiebt sich die Risikolage weg vom individuellen Berater hin zu einer institutionalisierten Struktur, die auch beim nächsten Wechsel der operativen Person tragfähig bleibt.

Compliance-Beratung endet entweder in einem Konzept oder in einer Bestellung. Beide Wege haben ihre Berechtigung, aber sie haben unterschiedliche Folgen für Pflichten, Kosten und Auditfähigkeit. Wer ein Konzept einkauft, kauft Orientierung. Wer eine Bestellung einkauft, kauft eine Pflicht-Erfüllung mit Berichtslinie und Haftungsabdeckung. CIVAC ist als Compliance-Plattform und Officer-as-a-Service so aufgebaut, dass beide Wege in einem System enden. Die Konzeptphase nutzt dieselben 37 Audit-Vorlagen, dieselben 25 Beauftragten-Rollen und dieselbe EU-Datenresidenz, die später im Dauerbetrieb relevant bleiben. Die Übergabe von der Beratung in den Dauerbetrieb dauert nicht 8 Wochen, sondern erfolgt im selben Workspace mit denselben Daten. Damit fällt der häufigste Bruchpunkt klassischer Beratungsprojekte weg.

Die duale Logik bleibt erhalten: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die SLA für eine erstmalige Mandatsübernahme liegt bei 2 Werktagen. Die Bestellurkunde wird im Workspace erzeugt, unterzeichnet und abgelegt. Die Berichtslinie an die Geschäftsführung ist Bestandteil des Standards. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wenn Sie eine konkrete Pflicht auf den Tisch legen, etwa NIS-2-Vorbereitung, DSGVO-Bestellung oder LkSG-Risikoanalyse, lässt sich in einem ersten Gespräch klären, welche Lieferform passt. Aus dem Lesen einen Auftrag machen: info@civac.de oder das Kontaktformular auf civac.de. Beauftragt wird die Rolle, nicht der Berater-Tag. Das ändert die Rechnung, die Geschwindigkeit und die Belegbarkeit im nächsten Audit. Eine schriftliche Indikation aller monatlichen Kosten erhalten Sie nach Klärung von Mitarbeiterzahl, Branche und betroffenen Pflichtenkreisen. Im selben Termin lässt sich entscheiden, ob die Konzeptphase als separates Beratungsmandat aufgesetzt oder direkt mit der Bestellung verbunden wird, damit die Lieferform vom ersten Tag an zur Pflicht passt.