77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Compliance Management System aufbauen: Architektur, Rollen, Nachweise
Governance & Compliance

Compliance Management System aufbauen: Architektur, Rollen, Nachweise

9. Juli 202613 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Ein Compliance Management System ist mehr als eine Richtlinien-Sammlung. Erfahren Sie, welche sieben Bausteine ISO 37301:2021 fordert, wo deutsche Mittelständler scheitern und wie ein moderner Workspace Bestellurkunden, Audit-Vorlagen und Berichtslinien revisionssicher zusammenführt.

Ein Compliance Management System (CMS) ist nach ISO 37301:2021 ein dokumentierter, geführter und überprüfbarer Rahmen, mit dem eine Organisation ihre rechtlichen und ethischen Pflichten steuert. Seit der Veröffentlichung der Norm im April 2021 hat sich der Standard in Deutschland als Referenz etabliert, weil er das ältere IDW PS 980 Prüfungskonzept um zertifizierungsfähige Anforderungen ergänzt. Wer heute ein CMS aufbaut, hat zwei Adressaten gleichzeitig im Blick: den externen Auditor und die Staatsanwaltschaft, die im Ernstfall nach § 130 OWiG fragt, ob die Geschäftsleitung ihre Aufsichtspflicht erfüllt hat. Die Anforderungen sind in den letzten Jahren deutlich gestiegen, weil NIS-2, das LkSG und der EU AI Act zusätzliche Pflichten in den bestehenden Compliance-Rahmen schieben.

Dieser Leitfaden zeigt, welche sieben Bausteine ein belastbares CMS enthält, wo der Mittelstand typischerweise scheitert und wie sich Bestellurkunden, Audit-Vorlagen und Berichtslinien in einem Workspace bündeln lassen. Sie erhalten konkrete Reifegrad-Indikatoren, eine Übersicht der wichtigsten Pflichtenfelder und einen Plan, mit dem Sie das System in zwölf Wochen produktiv setzen, ohne dass die Bestellung eines externen Compliance-Beauftragten zur Sackgasse wird. Am Ende wissen Sie, welche Nachweise Sie heute brauchen, welche Sie morgen brauchen und an welchen Stellen ein Workspace mit EU-Datenresidenz die manuelle Pflege ablöst.

Auf einen Blick

  • ISO 37301:2021 verlangt sieben Bausteine, von der Kontextanalyse bis zur kontinuierlichen Verbesserung, und ist seit 2021 die zertifizierbare Referenz für ein CMS in Deutschland.
  • Ein CMS ohne dokumentierte Bestellurkunde, Berichtslinie und Bußgeldkatalog hält weder § 130 OWiG noch einem IDW PS 980 Audit stand.
  • Die Plattform-Logik ersetzt den Aktenschrank: Audit-Vorlagen, Fristen, Vorfälle und Rollen liegen in einem Workspace, der EU-Datenresidenz und Versionierung mitbringt.

Was ein Compliance Management System nach ISO 37301:2021 leisten muss

ISO 37301:2021 löste im April 2021 die nicht-zertifizierbare ISO 19600:2014 ab und folgt der High-Level-Structure aller modernen Managementsystem-Normen. Sieben Bausteine bilden den Rahmen: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung und Verbesserung. Jeder Baustein enthält konkrete Anforderungen, die in einer dokumentierten Compliance-Policy, einem Pflichtenregister, einer Risikoanalyse und einem Berichtswesen an die oberste Leitung münden. Die Norm verlangt ausdrücklich eine unabhängige Compliance-Funktion mit definierter Berichtslinie, ausreichend Ressourcen und Zugang zu allen Bereichen. Sie ist damit deutlich präziser als die alte ISO 19600, die lediglich Empfehlungen ausgesprochen hat.

In Deutschland wirkt parallel das IDW PS 980, der Prüfungsstandard des Instituts der Wirtschaftsprüfer für Compliance Management Systeme. Beide Standards überlappen in den Grundelementen Compliance-Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation und Überwachung. Wer ISO 37301 zertifiziert, erfüllt die meisten IDW PS 980 Anforderungen automatisch. Umgekehrt gilt das nicht. Für den Aufbau ist die Reihenfolge entscheidend: erst Pflichtenregister und Risikoanalyse, dann Programm und Organisation, zuletzt Kommunikation und Überwachung. Wer mit Schulungen beginnt, ohne die Pflichten zu kennen, produziert teure Aktivität ohne Wirkung. Detaillierte Rollenbeschreibungen finden Sie unter Compliance-Beauftragter, wo die Aufgabentrennung zur Geschäftsleitung sauber abgebildet ist. Ergänzend lohnt der Blick auf die Rollenübersicht, weil ein CMS in der Praxis fast immer mit Datenschutz, Informationssicherheit und Geldwäscheprävention verzahnt ist und sich Dokumente, Risiken und Audits zwischen den Beauftragten teilen lassen, statt in jeder Disziplin separate Aktenschränke zu pflegen. Eine sauber abgebildete Aufgabentrennung schützt zusätzlich vor Interessenkonflikten und stellt sicher, dass die Compliance-Funktion ihre Unabhängigkeit gegenüber der operativen Linie tatsächlich behält, was im Audit zu den ersten Fragen gehört.

Die sieben Bausteine in der Praxis: vom Pflichtenregister zur Berichtslinie

Baustein eins ist die Kontextanalyse. Sie listen interne und externe Anspruchsgruppen, dokumentieren rechtliche Pflichten je Land und Geschäftsbereich und bewerten Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe. Ein deutscher Maschinenbauer mit Tochter in Polen führt typischerweise zwischen 180 und 240 Pflichten in seinem Register, vom Geldwäschegesetz über das LkSG bis zur DSGVO. Baustein zwei, die Führung, verlangt eine schriftliche Compliance-Policy, signiert von der obersten Leitung, plus eine dokumentierte Bestellurkunde des Compliance-Beauftragten mit Kündigungsschutz, Berichtsweg und Ressourcen. Diese beiden Bausteine sind das Fundament, weil sie zeigen, dass die Geschäftsleitung Compliance ernst meint und ihre Aufsichtspflicht aktiv wahrnimmt.

Baustein drei bis fünf, Planung, Unterstützung und Betrieb, enthalten Schulungen, Hinweisgebersystem nach HinSchG, Lieferanten-Due-Diligence und Vorfallmanagement. Baustein sechs verlangt interne Audits in geplanter Frequenz, mindestens einmal jährlich pro Risikobereich, und ein dokumentiertes Management Review. Baustein sieben schließt mit Korrekturmaßnahmen und kontinuierlicher Verbesserung. CIVAC bündelt diese Bausteine in einem Workspace, der 490 einsatzbereite Audit-Vorlagen, Bestellurkunden-Muster und ein Vorfallregister mit Fristenwächter mitbringt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer die Bausteine in Excel und SharePoint führt, verliert bei der ersten Prüfung Zeit für die Suche nach Versionen, statt Inhalte zu verteidigen. Praktisch heißt das: Jeder Baustein bekommt einen verantwortlichen Owner, einen Reifegrad-Status und ein dokumentiertes Review-Datum. Die Plattform protokolliert jede Änderung mit Zeitstempel und Versionsstand, sodass im Audit die Frage nach dem Stand zum Stichtag innerhalb von Minuten beantwortet wird, nicht erst nach tagelanger Aktensuche im SharePoint. Ergänzend hilft ein vordefiniertes Reporting-Set, das auf Knopfdruck die Lage je Baustein an die Geschäftsleitung übermittelt, mit Ampel-Status, offenen Maßnahmen und Fristenüberblick, sodass das Management Review nicht in der Aufbereitung der Daten versinkt.

§ 130 OWiG: Warum die Geschäftsleitung das CMS persönlich verantwortet

§ 130 Ordnungswidrigkeitengesetz verpflichtet Inhaber eines Betriebs oder Unternehmens, die Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um Zuwiderhandlungen zu verhindern. Verletzt die Geschäftsleitung diese Aufsichtspflicht, kann ein Bußgeld bis zu 1 Mio. Euro gegen die natürliche Person und nach § 30 OWiG bis zu 10 Mio. Euro gegen das Unternehmen verhängt werden. Hinzu kommt die Abschöpfung wirtschaftlicher Vorteile, die das Bußgeld in der Praxis um ein Vielfaches übersteigt. Der Bundesgerichtshof hat 2017 im sogenannten Neubürger-Urteil klargestellt, dass ein wirksames CMS bußgeldmindernd berücksichtigt werden muss und dass die Geschäftsleitung die organisatorische Verantwortung dafür persönlich trägt.

Praktisch bedeutet das: Die Geschäftsleitung muss zeigen können, welche Risiken sie identifiziert hat, welche Kontrollen sie implementiert hat und wie sie deren Wirksamkeit überprüft. Eine reine Policy-Sammlung reicht nicht. Es braucht Nachweise über Schulungsteilnahme, Audit-Ergebnisse, Vorfallmeldungen und Korrekturmaßnahmen, idealerweise mit Zeitstempel und Versionsstand. CIVAC führt diese Nachweise im Workspace, sodass die Geschäftsleitung im Krisenfall innerhalb von 24 Stunden eine vollständige Dokumentation an die Verteidigung übergeben kann. Wer Compliance als Beauftragtenrollen-Verbund versteht, reduziert das Haftungsrisiko der Geschäftsleitung, weil Verantwortung delegiert und dokumentiert ist. Wichtig: Die Delegation entlastet die Geschäftsleitung nicht vollständig, sondern verschiebt die Pflicht zur Auswahl, Anweisung und Überwachung der Beauftragten. Genau diese drei Schritte werden im Workspace dokumentiert, mit Auswahlbegründung, Bestellurkunde, Berichtspflicht und nachweisbarem Management Review. So entsteht aus einer abstrakten Norm ein konkreter Schutzschild gegen persönliche Haftung, der auch in einem strafrechtlichen Ermittlungsverfahren standhält. Die Beweislast liegt im Zweifel beim Unternehmen, nicht bei der Behörde, und genau deshalb ist die belegbare Dokumentation kein Selbstzweck, sondern der entscheidende Unterschied zwischen einer milden Bewertung und einem Bußgeld im zweistelligen Millionenbereich.

Risikoanalyse: Heatmap, Pflichtenregister und der Brückenkopf zu NIS-2 und DSGVO

Die Risikoanalyse ist das Herz jedes CMS. Sie verbindet die abstrakte Pflicht mit dem konkreten Prozess. Pro Pflicht dokumentieren Sie die zuständige Rolle, die Eintrittswahrscheinlichkeit, die Schadenshöhe und die implementierte Kontrolle. Eine typische Heatmap nutzt fünf Stufen je Achse, sodass 25 Risikoklassen entstehen. Rot gefärbte Felder erfordern eine sofortige Maßnahme, gelbe eine geplante, grüne werden überwacht. Wichtig ist die Verknüpfung zu anderen Managementsystemen: Eine DSGVO-Pflicht aus Art. 32 DSGVO ist oft identisch mit einer Anforderung aus Anhang A der ISO/IEC 27001:2022, etwa zu Zugriffsrechten oder Verschlüsselung. Wer beide Welten getrennt dokumentiert, verdoppelt den Aufwand und produziert Inkonsistenzen, die im Audit auffallen.

NIS-2 bringt seit Oktober 2024 für rund 29.500 deutsche Unternehmen zusätzliche Pflichten zur Risikobehandlung, zu Meldewegen mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung und zur Geschäftsleitungshaftung. Wer sein CMS mit der ISMS-Welt nach Informationssicherheitsbeauftragter verzahnt, vermeidet doppelte Pflicht-Bewertungen. CIVAC mappt die 93 Controls aus ISO/IEC 27001:2022 Anhang A automatisch auf die NIS-2 Anforderungen und auf die DSGVO-TOMs, sodass eine Kontrolle nur einmal dokumentiert wird und in drei Managementsystemen wirkt. Frist läuft ab Kenntnis. Das spart bei mittelständischen Strukturen zwischen 40 und 60 Prozent Dokumentationsaufwand. In der Praxis heißt das: Sie pflegen ein konsolidiertes Pflichtenregister, ein konsolidiertes Risikoinventar und ein konsolidiertes Kontrollverzeichnis, aus dem sich jede Norm-Sicht per Filter erzeugen lässt, statt drei parallele Akten zu führen, die früher oder später auseinanderlaufen und damit die Prüfersicherheit zerstören. Wer Risiken sauber priorisiert, kann zudem die Geschäftsleitung mit einer kompakten Top-10-Liste briefen, die im Quartalsrhythmus aktualisiert wird und die Aufmerksamkeit auf die wenigen Risiken lenkt, die tatsächlich existenzbedrohend sind, statt sich in Mikrodetails zu verlieren.

Bestellung des Compliance-Beauftragten: Urkunde, Kündigungsschutz, Berichtsweg

Die Bestellung eines Compliance-Beauftragten ist gesetzlich nicht zwingend, faktisch aber unverzichtbar, sobald ein Unternehmen über 250 Mitarbeitende beschäftigt oder in regulierten Sektoren tätig ist. Die Bestellurkunde regelt Aufgabenumfang, Befugnisse, Berichtsweg an die oberste Leitung, Ressourcen und Kündigungsschutz. Anders als beim Datenschutzbeauftragten oder Hinweisgeberschutz-Beauftragten gibt es keine gesetzliche Norm, die Form und Inhalt vorgibt. Genau deshalb wird die Urkunde im Streitfall häufig als unzureichend bewertet. Mindestens enthalten sein müssen: Bezeichnung der Rolle, sachliche und örtliche Zuständigkeit, Weisungsfreiheit in fachlichen Fragen, direkter Berichtsweg an die Geschäftsleitung, Ressourcenzusage und Schutz vor Benachteiligung. Empfehlenswert sind außerdem eine Regelung zur Vertretung im Urlaubs- und Krankheitsfall sowie eine klare Aussage zum Umgang mit Interessenkonflikten.

Ein häufiger Fehler ist die Doppelfunktion: Der Leiter Recht oder Finanzen wird zum Compliance-Beauftragten ernannt und gerät in Interessenkonflikte, wenn er eigene Bereiche prüfen muss. ISO 37301:2021 verlangt explizit die Trennung. Wer die Funktion intern nicht unabhängig besetzen kann, lagert sie an einen externen Compliance-Beauftragten aus. CIVAC bietet beides: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Bestellurkunde wird in beiden Modellen als rechtsgeprüfte Vorlage geliefert, mit klarer Berichtslinie und integrierter Vertretungsregelung für Urlaub und Krankheit. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Vorteil liegt nicht nur in der Form, sondern in der Wiederholbarkeit: Wechselt der Beauftragte, übernimmt der Nachfolger eine vollständig dokumentierte Historie aus Aufgaben, Risiken und Korrekturmaßnahmen und kann am nächsten Tag arbeitsfähig sein, ohne dass die Geschäftsleitung Wissen verliert.

Hinweisgebersystem nach HinSchG: vom Meldekanal zum Fallmanagement

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und verpflichtet Unternehmen ab 50 Mitarbeitenden zu einer internen Meldestelle mit unabhängiger, vertraulicher Bearbeitung. Die Meldestelle muss schriftliche, mündliche und auf Wunsch persönliche Meldungen entgegennehmen, dem Hinweisgeber innerhalb von sieben Tagen eine Eingangsbestätigung schicken und innerhalb von drei Monaten eine Rückmeldung über ergriffene Folgemaßnahmen geben. Die Identität des Hinweisgebers und betroffener Personen ist streng vertraulich zu behandeln, mit klar geregelten Ausnahmen für Strafverfolgungsbehörden. Verstöße gegen die Schutzpflicht können mit Bußgeldern bis 50.000 Euro je Einzelfall sanktioniert werden, und die Reputationsfolgen einer öffentlichen Eskalation sind oft schwerer als das Bußgeld selbst.

In der Praxis scheitern viele Meldestellen nicht am Eingangskanal, sondern am Fallmanagement. Wer einen Hinweis erhält, muss eine Erstprüfung dokumentieren, gegebenenfalls Maßnahmen einleiten, Beweise sichern und mit Personalabteilung, Recht und Geschäftsleitung kommunizieren, ohne den Schutz des Hinweisgebers zu verletzen. Ein dokumentierter Workflow mit Fristenkontrolle, Vier-Augen-Prinzip und revisionssicherer Ablage ist deshalb Pflicht. Die Funktion Interne Meldestelle (HinSchG) bringt einen anonymen Meldekanal, ein Fallmanagement-Modul und automatische Fristenerinnerungen mit. Damit ist die Meldestelle nicht nur eine E-Mail-Adresse, sondern ein nachweisbarer Prozess, der die gesetzlichen Pflichten erfüllt und gleichzeitig die Geschäftsleitung über Compliance-Risiken zeitnah informiert. Im Workspace lassen sich Fälle anonymisiert auswerten, sodass Muster erkannt werden, ohne dass die Vertraulichkeit der einzelnen Meldung gefährdet wird, und die Berichtslinie zum Compliance-Beauftragten bleibt eindeutig dokumentiert. Wer die Meldestelle extern an einen unabhängigen Ombudsdienst auslagert, dokumentiert die Beauftragung im Workspace mit Vertrag, SLA und Vertretungsregelung, sodass die Geschäftsleitung auch hier einen lückenlosen Nachweis über Auswahl, Anweisung und Überwachung des externen Dienstleisters führen kann.

Schulung, Kommunikation, Nachweisführung: das oft unterschätzte Drittel

ISO 37301:2021 widmet der Schulung und Kommunikation einen eigenen Baustein. Mitarbeitende müssen ihre Pflichten kennen, die Compliance-Policy verstehen und wissen, wo sie Hinweise melden können. Die Schulungspflicht ist nicht erfüllt mit einer einmaligen Onboarding-E-Mail. Erforderlich sind risikobasierte Module, je Rolle und Geschäftsbereich differenziert, mit dokumentierter Teilnahme und Wiederholungsfrequenz. Vertrieb, Einkauf und Geschäftsleitung haben andere Risiken als Buchhaltung oder Produktion. Eine jährliche Pflichtschulung mit Test ist Mindeststandard. Hochrisikobereiche wie Exportkontrolle, Korruptionsprävention oder Sanktionen erfordern halbjährliche oder anlassbezogene Auffrischung, gegebenenfalls auch eine spezifische Schulung für die Geschäftsleitung selbst, deren Kenntnisstand im Krisenfall geprüft wird.

Die Nachweisführung ist der häufigste Stolperstein in Audits. Wer Schulungslisten in Excel führt und Teilnahmebestätigungen per E-Mail ablegt, verliert bei jeder Personalveränderung Spuren. Ein modernes CMS koppelt die Schulungsteilnahme an das Mitarbeiterstammdatensystem, dokumentiert Lernerfolg und Bestätigung mit Zeitstempel und macht im Audit-Modus auf Knopfdruck eine Liste aller Teilnehmer einer Schulung in einem Stichtagsbereich verfügbar. Der Prüfer ruft an, der Nachweis liegt bereit. CIVAC bringt diese Funktionen im Workspace mit, inklusive Versionierung der Schulungsinhalte, sodass nachträgliche Änderungen einer Schulung den Nachweis der historischen Teilnahme nicht entwerten. Audit-fest, dokumentiert, § 130 OWiG-fest. Ergänzend lassen sich Kommunikationsereignisse wie All-Hands-Meetings, Newsletter und Pflichtmitteilungen zentral protokollieren, sodass im Audit auch der Nachweis erbracht wird, dass relevante Informationen tatsächlich verteilt wurden und nicht nur in einer Schublade lagen. Wer Schulungspflichten in das Onboarding-Verfahren integriert, vermeidet Lücken bei Neueinstellungen, und wer Wechselereignisse wie Beförderungen oder Abteilungswechsel automatisch mit einer Pflichtschulung verknüpft, schließt eine der häufigsten Audit-Schwachstellen.

Reifegrad-Modell: wo Ihr CMS heute steht und wo es hin muss

Reifegrad-Modelle helfen, den Ist-Zustand objektiv zu bewerten und einen Roadmap-Plan abzuleiten. Bewährt hat sich ein fünfstufiges Modell: Stufe 1 reaktiv, Stufe 2 dokumentiert, Stufe 3 strukturiert, Stufe 4 gesteuert, Stufe 5 optimiert. Auf Stufe 1 existieren keine schriftlichen Policies, Compliance wird ad hoc gemanagt. Auf Stufe 2 sind die Pflichten dokumentiert, aber nicht systematisch überwacht. Auf Stufe 3 gibt es Rollen, Berichtswege und regelmäßige Audits. Auf Stufe 4 ist das CMS in die Geschäftsprozesse integriert, mit KPIs und Management Review. Auf Stufe 5 wird das CMS kontinuierlich an Risikoveränderungen angepasst, mit datengetriebener Steuerung und einer eigenen Compliance-Analytik, die auch externe Signale wie Gesetzesänderungen oder Markttrends automatisch in das Pflichtenregister überträgt.

Der deutsche Mittelstand liegt nach Studien des DICO und Bitkom typischerweise zwischen Stufe 2 und 3. Konzerne in regulierten Sektoren erreichen Stufe 4. Stufe 5 ist selten, weil sie eine integrierte Datenplattform und gelebte Compliance-Kultur erfordert. Der Sprung von Stufe 2 auf Stufe 3 ist erfahrungsgemäß der wirtschaftlichste, weil er die Haftung der Geschäftsleitung am stärksten reduziert. CIVAC begleitet diesen Sprung mit einem strukturierten Onboarding in vier bis acht Wochen, abhängig von Mitarbeiterzahl und Risikoprofil. Eine konkrete Reifegradbewertung ist Teil des Erstgesprächs und führt zu einer priorisierten Maßnahmenliste, statt zu einer abstrakten Norm-Lektüre. So entsteht in den ersten 90 Tagen ein sichtbarer Fortschritt: dokumentierte Bestellurkunden, ein konsolidiertes Pflichtenregister und ein erstes internes Audit mit dokumentierten Korrekturmaßnahmen. Erst danach folgt der Schritt zur Zertifizierung, die ohne vorhandene Reife nur Kosten produziert. Reifegrad heißt nicht Perfektion, sondern Wiederholbarkeit, und genau diese Wiederholbarkeit ist das, was der Prüfer am Ende sieht und was die Geschäftsleitung vor persönlicher Haftung schützt.

Aus dem CMS-Konzept ein laufendes System machen

Ein Compliance Management System lebt von der Wiederholbarkeit. Bestellurkunde, Pflichtenregister, Schulungsnachweise, Audit-Berichte und Vorfallakten müssen jeden Tag verfügbar sein, nicht nur in der Audit-Woche. Genau deshalb haben wir CIVAC als Compliance-Plattform und Officer-as-a-Service gebaut: einen Workspace mit 490 Audit-Vorlagen, 93 Controls nach ISO/IEC 27001:2022, Fristen- und Vorfallmodul, Bestellurkunden-Generator, NIS-2 24/72-Meldepfad und EU-Datenresidenz. Sie entscheiden selbst, wie tief Sie einsteigen: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen dasselbe System, mit identischer Nachweisführung, und sie lassen sich jederzeit zwischen interner und externer Besetzung wechseln, ohne dass die Dokumentationshistorie verloren geht.

Der Übergang vom Konzept zum laufenden System dauert in einem strukturierten Vorgehen vier bis zwölf Wochen, je nach Ausgangslage. Aus dem Lesen einen Auftrag machen. Schreiben Sie uns an info@civac.de oder buchen Sie ein Erstgespräch über das Kontaktformular auf civac.de. Sie erhalten eine ehrliche Reifegradeinschätzung, einen Maßnahmenplan und ein klares Angebot, ob Sie den Workspace lizenzieren oder Officer-as-a-Service ergänzen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer den Schritt heute geht, verschiebt nicht nur ein Projekt um drei Monate, sondern gewinnt drei Monate Audit-Sicherheit, drei Monate dokumentierter Aufsichtspflicht und drei Monate weniger Haftungsrisiko auf Ebene der Geschäftsleitung. Wir empfehlen, vor dem Gespräch eine kurze Bestandsaufnahme zu machen: Welche Beauftragten sind aktuell bestellt, wo liegen die Bestellurkunden, gibt es ein Pflichtenregister und wann fand das letzte interne Audit statt. Mit diesen vier Antworten lässt sich in einem 45-Minuten-Erstgespräch eine belastbare Reifegradeinschätzung erstellen, eine grobe Zeit- und Aufwandschätzung ableiten und entscheiden, welches Modell aus Workspace-Lizenz und Officer-as-a-Service für Ihre Organisation tragfähig ist. Der Prüfer ruft an, der Nachweis liegt bereit. Dieser Satz ist kein Slogan, sondern das Ergebnis einer Architektur, die Compliance vom Aktenschrank in den Workspace verlegt und damit aus einer Pflicht ein steuerbares System macht.

FAQ

Welche Norm ist heute der Standard für ein Compliance Management System?

ISO 37301:2021 ist seit April 2021 der zertifizierbare internationale Standard und hat die nicht-zertifizierbare ISO 19600:2014 abgelöst. In Deutschland wirkt parallel der Prüfungsstandard IDW PS 980 des Instituts der Wirtschaftsprüfer. Wer ISO 37301 erfüllt, deckt die meisten IDW PS 980 Anforderungen automatisch ab.

Muss jedes Unternehmen einen Compliance-Beauftragten bestellen?

Eine generelle gesetzliche Pflicht besteht nicht. Ab etwa 250 Mitarbeitenden, in regulierten Sektoren wie Finanzen, Pharma oder Energie und bei internationalem Geschäft ist eine Bestellung faktisch unverzichtbar, um die Aufsichtspflicht nach § 130 OWiG zu erfüllen und die Geschäftsleitung gegen persönliche Haftung abzusichern.

Wie hoch sind die Bußgelder bei einem unzureichenden CMS?

Nach § 130 OWiG drohen bis zu 1 Mio. Euro gegen die natürliche Person und nach § 30 OWiG bis zu 10 Mio. Euro gegen das Unternehmen. Hinzu kommt die Abschöpfung wirtschaftlicher Vorteile, die das Bußgeld in der Praxis oft um ein Vielfaches übersteigt, und Reputationsfolgen, die nicht in Euro messbar sind.

Wie lange dauert der Aufbau eines CMS in einem mittelständischen Unternehmen?

Bei strukturiertem Vorgehen und vorhandenen Grundlagen vier bis zwölf Wochen bis zur Produktivsetzung. Eine Zertifizierung nach ISO 37301 erfordert zusätzlich mindestens drei Monate Betriebszeit, damit Auditoren die Wirksamkeit der Prozesse anhand realer Vorgänge belegen können.

Kann ein CMS gleichzeitig DSGVO, NIS-2 und ISO 27001 abdecken?

Ja, wenn die Risikoanalyse und die Kontrollen so dokumentiert werden, dass sie für alle drei Regelwerke wirken. Die 93 Controls aus ISO/IEC 27001:2022 Anhang A überlappen weitgehend mit den DSGVO-TOMs und den NIS-2 Anforderungen. Eine integrierte Plattform spart 40 bis 60 Prozent Dokumentationsaufwand.

Was unterscheidet Officer-as-a-Service vom Workspace-Lizenzmodell?

Beim Workspace-Lizenzmodell betreiben Ihre internen Beauftragten das System selbst. Bei Officer-as-a-Service stellt CIVAC den externen Beauftragten mit Bestellurkunde, Berichtspflicht und Vertretung. Beide Modelle nutzen denselben Workspace und liefern identische Nachweise.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge