Compliance Management: Vom Aktenschrank zum auditfesten Betriebssystem

§ 130 Absatz 1 OWiG verpflichtet die Inhaberin oder den Inhaber eines Betriebs zur Aufsicht über die Einhaltung der betriebsbezogenen Pflichten. Wer diese Aufsicht vorsätzlich oder fahrlässig unterlässt und es deshalb zu einer Zuwiderhandlung kommt, haftet mit einem Bußgeld bis zu einer Million Euro, in Verbindung mit § 30 OWiG bis zu zehn Millionen Euro. Der Bundesgerichtshof hat in mehreren Entscheidungen zwischen 2017 und 2024 klargestellt, dass ein wirksames Compliance-Management-System sowohl die Bußgeldhöhe mindern als auch die persönliche Haftung der Geschäftsleitung begrenzen kann. Compliance Management ist damit keine Kür, sondern eine Organisationspflicht, deren Nichterfüllung konkrete finanzielle und strafrechtliche Folgen hat.

Dieser Beitrag richtet sich an Geschäftsleitungen, Vorstände, kaufmännische Leitungen und Compliance-Verantwortliche in mittelständischen Unternehmen mit 50 bis 5.000 Beschäftigten. Sie erfahren, welche sieben Grundelemente ein Compliance-Management-System nach IDW PS 980 enthalten muss, wie die Bestellung einzelner Beauftragter rechtssicher dokumentiert wird, wie sich Risikoanalyse, Code of Conduct und Berichtslinie praktisch verzahnen, und wie sich der jährliche Pflegeaufwand mit der CIVAC Compliance-Plattform und Officer-as-a-Service auf zwei Werktage pro Beauftragten-Bestellung reduzieren lässt. Der Text ersetzt keine Rechtsberatung im Einzelfall, sondern liefert ein belastbares Gerüst für das Gespräch mit Aufsichtsrat, Wirtschaftsprüfer und Aufsichtsbehörde.

Der Begriff Compliance-Management-System hat keine gesetzliche Legaldefinition. Maßgeblich ist der Prüfungsstandard IDW PS 980 des Instituts der Wirtschaftsprüfer, der seit 2011 als de-facto-Maßstab gilt und 2022 in einer überarbeiteten Fassung erschienen ist. Er beschreibt sieben Grundelemente: Compliance-Kultur, Compliance-Ziele, Compliance-Organisation, Compliance-Risiken, Compliance-Programm, Compliance-Kommunikation sowie Compliance-Überwachung und -Verbesserung. Jedes Element muss konzeptionell beschrieben, in der Aufbau- und Ablauforganisation verankert und in seiner Wirksamkeit überprüfbar sein.

Die Geschäftsleitung trägt die Letztverantwortung. Sie kann Aufgaben an einen Chief Compliance Officer oder mehrere Fachbeauftragte delegieren, jedoch nicht die Aufsichtspflicht selbst. Genau hier setzt § 130 OWiG an: Bei einer Zuwiderhandlung wird im Bußgeldverfahren geprüft, ob die Aufsicht im Rahmen des Zumutbaren erfolgt ist. Dazu gehört nachweislich, dass eine Risikoanalyse erstellt, geeignete Kontrollen eingerichtet, Verantwortliche bestellt und Schulungen durchgeführt wurden. Wer das nicht belegen kann, hat im Verfahren faktisch keine Verteidigung.

Der Compliance-Beauftragte ist der zentrale Hebel zur Erfüllung dieser Pflicht. Seine Bestellung muss schriftlich erfolgen, die Berichtslinie zur Geschäftsleitung muss frei von Weisungen in Compliance-Fragen sein, und die Ressourcen müssen der Risikoexposition entsprechen. Eine Bestellung ohne Bestellurkunde, ohne Aufgabenbeschreibung und ohne dokumentierte Berichtslinie ist eine Bestellung, die im Audit nicht trägt. Das Bundesfinanzministerium hat im Anwendungserlass zu § 153 AO bestätigt, dass ein dokumentiertes innerbetriebliches Kontrollsystem die Annahme einer steuerlichen Berichtigungsanzeige stützt und damit den Vorwurf einer Steuerhinterziehung entkräften kann. Diese Entlastungswirkung erstreckt sich auf zivilrechtliche Innenhaftung der Geschäftsleitung nach § 93 AktG und § 43 GmbHG, sofern das CMS dokumentiert, gelebt und überprüft wird. Ein CMS auf Papier reicht nicht, gefordert ist eine nachweisbare Wirksamkeit über mehrere Geschäftsjahre.

Compliance-Kultur ist das erste und am häufigsten unterschätzte Element. Sie beschreibt das tone-from-the-top, also die nachweisbare Haltung der Geschäftsleitung zur Einhaltung von Recht und ethischen Grundsätzen. Belege sind Vorstandsbeschlüsse, eine Code-of-Conduct-Unterzeichnung durch alle Führungskräfte, die Auswahlkriterien bei der Personalbesetzung und das Sanktionsverhalten bei festgestellten Verstößen. Eine Compliance-Kultur ohne dokumentierte Konsequenz ist eine Behauptung, keine Tatsache.

Compliance-Ziele werden aus den Compliance-Risiken abgeleitet, nicht umgekehrt. Typische Risikofelder sind Korruption, Kartellrecht, Datenschutz, Geldwäsche, Sanktionsrecht, Arbeitsschutz, Steuerrecht und Lieferkettensorgfalt. Die Compliance-Organisation legt Rollen, Berichtslinien und Eskalationswege fest. Das Compliance-Programm umfasst Richtlinien, Schulungen, Beratungs- und Kontrollmaßnahmen. Die Compliance-Kommunikation regelt, wie Mitarbeitende über Pflichten informiert werden und wie sie Verstöße melden können. Die Compliance-Überwachung schließt den Kreis durch interne Audits, Kennzahlen und externe Prüfungen.

In der Praxis scheitern Unternehmen weniger an der konzeptionellen Beschreibung als an der Verzahnung. Eine Risikoanalyse, die nicht in das Schulungsprogramm einfließt, ist eine Liste. Ein Code of Conduct, der nicht in der Personalakte abgelegt ist, ist ein Papier. Eine Berichtslinie, die nicht im Krisenfall genutzt wird, ist eine Organigramm-Linie. Das CIVAC-Workspace verbindet diese Elemente als zusammenhängendes Datenmodell mit 93 Controls nach ISO/IEC 27001:2022, ergänzt um spezifische Compliance-Risiken aus § 130 OWiG, dem Hinweisgeberschutzgesetz und dem Lieferkettensorgfaltspflichtengesetz. So entsteht aus sieben Grundelementen ein Betriebssystem statt einer Ordner-Sammlung. Die Verzahnung über ein gemeinsames Datenmodell ist der eigentliche Hebel: Eine Risikoposition mit zugeordneter Kontrolle, zugewiesener Schulung und versioniertem Berichtsdokument bildet die nachweisbare Aufsicht ab, die § 130 OWiG verlangt. Wer diese Verzahnung nicht aufbaut, betreibt parallele Insellösungen, deren Wirksamkeit im Bußgeldverfahren weder belegt noch widerlegt werden kann.

Die Compliance-Risikoanalyse ist das Fundament jedes CMS. Ohne sie sind alle weiteren Elemente unbegründet. Methodisch empfiehlt sich ein dreistufiges Vorgehen. Erstens: Inventarisierung der relevanten Rechtsbereiche entlang des Geschäftsmodells und der Wertschöpfungskette. Zweitens: Bewertung jedes Risikos nach Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe, sowohl finanziell als auch reputativ. Drittens: Ableitung priorisierter Kontrollen, die das Risiko auf ein akzeptables Restniveau senken.

Ein Hersteller von Maschinenbauteilen mit Exporten in die Schweiz, die USA und nach Saudi-Arabien hat ein anderes Risikoprofil als ein lokaler Bäckereibetrieb. Im Maschinenbau-Beispiel dominieren Exportkontrolle nach EU-Dual-Use-VO 2021/821, US-Sanktionen unter EAR und OFAC sowie Korruptionsrisiken nach UK Bribery Act und FCPA. In der Bäckerei dominieren Lebensmittelhygiene nach VO (EG) 852/2004, Allergenkennzeichnung nach LMIV und Arbeitsschutz nach DGUV-Vorschrift 1. Die Risikoanalyse bestimmt, welche Beauftragten bestellt werden müssen.

Im Maschinenbau-Beispiel kommen mindestens Datenschutzbeauftragter, Exportkontrollbeauftragter, Geldwäschebeauftragter bei Bargeld-Transaktionen, Compliance-Beauftragter und Hinweisgeberschutz-Stelle in Betracht. Die CIVAC-Rollenübersicht listet 25 live geführte Beauftragten-Rollen und beschreibt für jede den Bestellanlass, die rechtliche Grundlage und die typische Berichtslinie. Eine Risikoanalyse ohne diese Rollen-Zuordnung bleibt abstrakt, eine Rollen-Zuordnung ohne Risikoanalyse wird im Audit als nicht nachvollziehbar zurückgewiesen. Beides gehört in dasselbe Dokument, mit Versionierung und Freigabe durch die Geschäftsleitung. Wer die Analyse jährlich überprüft, erkennt Verschiebungen rechtzeitig und vermeidet das klassische Muster, dass eine neue Tochtergesellschaft in einem Risikoland erst nach drei Jahren erstmals in den Compliance-Scope aufgenommen wird. Eine versionierte Risikoanalyse mit Datum, Autor und Freigabevermerk ist im Audit die erste Frage des Prüfers, noch vor den Richtlinien. Wer hier nichts vorlegen kann, beginnt das Gespräch mit einer strukturellen Schwäche.

Die Bestellung eines Beauftragten ist ein einseitiger Akt der Geschäftsleitung mit konstitutivem Charakter. Sie erfolgt schriftlich, benennt Person, Aufgaben, Befugnisse, Ressourcen und Berichtslinie. Bei einigen Rollen ist die Schriftform gesetzlich vorgeschrieben, etwa beim Datenschutzbeauftragten nach Art. 37 DSGVO, beim Gefahrgutbeauftragten nach § 1 Abs. 1 GbV oder bei der Fachkraft für Arbeitssicherheit nach § 5 ASiG. Bei anderen Rollen ergibt sich die Schriftform aus den Sorgfaltspflichten der Geschäftsleitung.

Die Bestellurkunde dokumentiert die Übernahme und ist im Audit der erste Beleg. Fehlt sie, gilt der vermeintliche Beauftragte als nicht bestellt, und die Verantwortlichkeit fällt auf die Geschäftsleitung zurück. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Aufgabenbeschreibung ergänzt die Bestellurkunde um die operativen Pflichten, etwa Schulungen, Audits, Berichte und Schnittstellen zu anderen Funktionen. Die Berichtslinie regelt, in welcher Frequenz und über welchen Kanal der Beauftragte an die Geschäftsleitung berichtet, in der Regel mindestens einmal jährlich und anlassbezogen bei wesentlichen Vorkommnissen.

Die Praxis zeigt drei wiederkehrende Fehler. Erstens: Die Bestellurkunde ist undatiert oder nicht von einer vertretungsberechtigten Person unterschrieben. Zweitens: Die Aufgabenbeschreibung fehlt oder verweist pauschal auf das Gesetz. Drittens: Die Berichtslinie ist im Organigramm, aber nicht in einem konkreten Verfahren beschrieben, sodass keine nachweisbaren Berichte vorliegen. Die CIVAC-Plattform hält für jede der 25 Rollen eine Vorlage für Bestellurkunde, Aufgabenbeschreibung und Berichtslinie bereit, prüft die Vollständigkeit beim Anlegen und erinnert die Geschäftsleitung an die jährliche Aktualisierung. Der Bestellprozess endet damit nicht mit dem Unterschriftsdatum, sondern mit dem Beleg über die erste Berichtsschleife. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Eine Berichtslinie ist mehr als eine Linie im Organigramm. Sie definiert, wer in welcher Frequenz worüber an die Geschäftsleitung berichtet und welche Befugnisse im Eskalationsfall greifen. Der Bundesgerichtshof hat in seinem Beschluss vom 9. Mai 2017 (Az. 1 StR 265/16) entschieden, dass die Wirksamkeit eines CMS auch davon abhängt, ob die Berichtslinie im Krisenfall tatsächlich genutzt wird. Eine Berichtslinie, die ausschließlich in Schönwetterzeiten besteht, ist im Audit wertlos.

Praktisch heißt das: Jeder Beauftragte hat einen Jahresbericht an die Geschäftsleitung mit standardisierten Inhalten. Risikoexposition, durchgeführte Kontrollen, festgestellte Verstöße, eingeleitete Maßnahmen, Ausblick. Ergänzend gibt es anlassbezogene Berichte bei wesentlichen Vorkommnissen, etwa Datenpannen mit Meldepflicht nach Art. 33 DSGVO innerhalb von 72 Stunden, NIS-2-relevante Sicherheitsvorfälle mit der 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung oder Korruptionshinweise über die interne Meldestelle nach HinSchG.

Frist läuft ab Kenntnis. Diese Faustregel gilt für nahezu alle anlassbezogenen Meldungen und macht die Echtzeit-Verfügbarkeit der Berichtslinie kritisch. Eine E-Mail-Adresse, die nur einmal wöchentlich gelesen wird, erfüllt die Frist-Anforderungen nicht. Im CIVAC-Workspace ist die Berichtslinie als technisches Routing-Objekt umgesetzt: Bei Auslösung eines meldepflichtigen Ereignisses wird automatisch ein Vorgang an die zuständigen Funktionen geöffnet, mit Fristen, Vorlagen und Audit-Log. Der Prüfer ruft an, der Nachweis liegt bereit. Diese strukturelle Sicherheit reduziert die persönliche Haftung der Geschäftsleitung erheblich, weil die Aufsichtsmaßnahmen nicht von der Aufmerksamkeit eines einzelnen Postfachs abhängen. Wer Officer-as-a-Service nutzt, erhält die Berichtslinie samt 24-Stunden-Verfügbarkeit als Teil der Leistung. Die Berichtslinie umfasst eine dokumentierte Vertretungsregelung für Urlaub und Krankheit, sodass keine Frist allein an einer Einzelperson hängt.

Schulungen sind die operative Seite des Compliance-Programms. Sie müssen rollenbezogen geplant, durchgeführt und dokumentiert werden. Eine pauschale Jahresunterweisung reicht nicht aus, wenn die Risikoanalyse spezifische Rollen mit besonderen Pflichten identifiziert. Der Vertrieb braucht eine Schulung zu Kartellrecht und Antikorruption, die Buchhaltung zu Geldwäscheprävention nach GwG, die IT zu Datenschutz und Informationssicherheit. Die Dokumentation umfasst Schulungsinhalt, Teilnehmerliste, Datum und einen Wirksamkeitsbeleg, etwa eine Lernkontrolle.

Der Code of Conduct ist die schriftliche Verhaltenserwartung des Unternehmens an seine Beschäftigten und Geschäftspartner. Er muss aktuell, verständlich und in den relevanten Sprachen verfügbar sein. Eine Unterzeichnung durch alle Beschäftigten ist in der Praxis Standard, bei Geschäftspartnern wird häufig auf Code-of-Conduct-Klauseln im Lieferantenvertrag oder einen separaten Supplier Code zurückgegriffen. Das Lieferkettensorgfaltspflichtengesetz hat seit 2026 die Anforderungen an die Lieferantenseite verschärft, ein LkSG-Beauftragter ist für betroffene Unternehmen Pflicht.

Der Hinweisgeberschutz ist seit dem Hinweisgeberschutzgesetz vom 31. Mai 2023 in Deutschland verbindlich für Unternehmen ab 50 Beschäftigten. Die interne Meldestelle muss vertrauliche Meldungen entgegennehmen, innerhalb von sieben Tagen eine Eingangsbestätigung versenden und innerhalb von drei Monaten eine Rückmeldung über ergriffene Folgemaßnahmen geben. Verstöße gegen das HinSchG werden mit Bußgeld bis 50.000 Euro pro Fall geahndet. Die CIVAC-Plattform stellt die Meldestelle technisch bereit, mit verschlüsselter Kommunikation, EU-Datenresidenz und revisionssicherer Protokollierung. Auf Wunsch übernimmt CIVAC die Meldestelle vollständig als externer Officer-as-a-Service. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die Verknüpfung der Meldestelle mit der Berichtslinie erlaubt der Geschäftsleitung jederzeit Einblick in laufende Vorgänge ohne Verletzung des Vertraulichkeitsschutzes.

Ein CMS ist nicht durch seine Existenz wirksam, sondern durch seine messbare Wirkung. Geeignete Kennzahlen sind die Anzahl durchgeführter Schulungen mit Teilnahmequote, die Anzahl bearbeiteter Hinweisgeber-Meldungen mit durchschnittlicher Bearbeitungsdauer, die Quote auditierter Lieferanten, die Quote bestätigter Verstöße mit eingeleiteten Sanktionen und die Quote rechtzeitig erfüllter Meldepflichten an Aufsichtsbehörden. Diese Kennzahlen gehören in den Jahresbericht der Geschäftsleitung und sind Gegenstand der internen Revision.

Interne Audits prüfen die Wirksamkeit einzelner Elemente. Das Compliance-Programm wird beispielsweise auf Aktualität der Richtlinien, Schulungsabdeckung und Sanktionspraxis geprüft. Die Compliance-Organisation wird auf Vollständigkeit der Bestellungen, Funktionsfähigkeit der Berichtslinie und Konflikte mit anderen Funktionen geprüft. Interne Audits sollten in einem Jahresplan geführt werden, der die sieben Grundelemente über drei Jahre vollständig abdeckt.

Externe Prüfungen sind keine Pflicht, aber ein starker Beleg. Eine Zertifizierung nach IDW PS 980 durch einen Wirtschaftsprüfer erfolgt in zwei Stufen: Konzeptionsprüfung und Wirksamkeitsprüfung. Die Wirksamkeitsprüfung verlangt einen Beobachtungszeitraum von typischerweise sechs bis zwölf Monaten. Eine erfolgreiche Prüfung mindert nach den Leitlinien des BMJ und der ständigen Rechtsprechung das Bußgeldrisiko erheblich und ist im Verfahren ein bedeutender Strafzumessungsfaktor. Audit-fest, dokumentiert, § 130 OWiG-fest. Wer den CIVAC-Workspace nutzt, verfügt über die 490 einsatzbereiten Audit-Vorlagen, die für eine PS 980-Prüfung typischerweise verlangt werden, und über die Audit-Logs, die der Wirtschaftsprüfer für die Wirksamkeitsprüfung benötigt. Die Vorbereitungszeit reduziert sich damit von typischerweise zwei bis drei Monaten auf wenige Wochen. Das ist kein Marketing-Vorteil, sondern eine direkte Konsequenz aus der einheitlichen Datenhaltung über alle Beauftragten-Rollen hinweg, die ohne Plattform üblicherweise in getrennten Systemen liegt.

Die Kosten eines wirksamen CMS hängen von Größe, Risikoprofil und Internationalität ab. Eine grobe Orientierung liefert die Anzahl der Pflichtbeauftragten und der Schulungsumfang. Für ein mittelständisches Unternehmen mit 250 Beschäftigten und nationaler Tätigkeit sind in der Regel mindestens sechs bis acht Beauftragten-Rollen zu besetzen: Datenschutz, Compliance, IT-Sicherheit, Arbeitssicherheit, Brandschutz, Betriebsarzt sowie nach Branche Geldwäsche, Gefahrgut oder Hygiene. Bei einer klassischen Besetzung mit internen Mitarbeitenden, externen Dienstleistern und Schulungen liegen die Vollkosten häufig im sechsstelligen Bereich pro Jahr.

Die externe Bestellung über einen Officer-as-a-Service-Anbieter wie CIVAC verändert die Kostenstruktur. Statt einer Vollzeit-Stelle für jeden Bereich wird die Rolle in einem Bündel aus Plattform, Vorlagen und persönlicher Beauftragten-Bestellung abgebildet. Die CIVAC-SLA garantiert die Bestellung innerhalb von zwei Werktagen nach Auftragserteilung statt der klassischen zwei bis sechs Wochen Vorlaufzeit bei Einzelbestellungen. Die Kosten skalieren mit der Anzahl der Rollen, nicht mit der Anzahl der Vollzeit-Stellen.

Wirtschaftlich bedeutet das für viele mittelständische Unternehmen eine Kostenreduktion von dreißig bis sechzig Prozent gegenüber dem klassischen Modell, bei gleichzeitig höherer Audit-Sicherheit durch die einheitliche Plattform-Dokumentation. Wer den Kostenvergleich für sein Unternehmen sauber führen möchte, listet die aktuelle Besetzung der Beauftragten-Rollen, die Vollkosten pro Rolle inklusive Urlaubsvertretung und die jährliche Dokumentationsleistung. Dieser Vergleich legt typischerweise Doppelbesetzungen, ungeklärte Verantwortlichkeiten und nicht-besetzte Pflichtrollen offen, bevor überhaupt über CIVAC entschieden wird. Eine ehrliche Bestandsaufnahme spart in den meisten Fällen mehr als der spätere Wechsel zum externen Modell. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Wer den Beitrag bis hierhin gelesen hat, kennt die sieben Grundelemente nach IDW PS 980, die Pflicht zur Bestellung von Beauftragten, die Anforderungen an Risikoanalyse, Berichtslinie und Schulungen sowie die Kennzahlen für Wirksamkeit. Der nächste Schritt ist nicht ein weiteres Whitepaper, sondern eine geordnete Bestandsaufnahme. Welche Beauftragten sind aktuell bestellt? Liegen Bestellurkunde, Aufgabenbeschreibung und Berichtslinie vollständig vor? Wann wurde zuletzt eine Risikoanalyse aktualisiert? Welche Schulungen sind in den letzten zwölf Monaten dokumentiert worden?

CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service. Die Plattform führt die Bestellurkunden, Aufgabenbeschreibungen, Berichtslinien, Risikoanalysen, Schulungsnachweise und Audit-Vorlagen aller 25 Beauftragten-Rollen in einem gemeinsamen Workspace mit EU-Datenresidenz und ISO/IEC 27001:2022-Controls. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In der Variante Officer-as-a-Service übernehmen unsere externen Beauftragten die Bestellung, die jährliche Berichtslinie und die Vorbereitung externer Audits, regelmäßig innerhalb von zwei Werktagen nach Auftragserteilung.

Aus dem Lesen einen Auftrag machen. Eine kurze Mail an info@civac.de mit Branche, Mitarbeiterzahl und vorhandener Compliance-Struktur reicht für den ersten Termin. Wer lieber das Kontaktformular nutzt, findet es über die FAQ-Seite verlinkt. Was Sie nicht bekommen: ein generisches Beratungsangebot ohne klare Leistung. Was Sie bekommen: eine konkrete Rückmeldung, welche Beauftragten-Rollen in Ihrer Organisation fehlen oder lückenhaft besetzt sind, mit einer priorisierten Liste der ersten drei Bestellungen und der dafür benötigten Unterlagen. Belegbar, dokumentiert, mit Bestellurkunde, sobald die Auftragsgrundlage steht. Wer den Termin nicht direkt buchen möchte, erhält auf Wunsch vorab die Checkliste zur Bestandsaufnahme als PDF mit der Übersicht aller Pflichtrollen nach Branchenzuordnung.