Compliance Officer ab wie vielen Mitarbeitern Pflicht? Die Rechtslage 2026
Eine starre Mitarbeiterzahl gibt es im Gesetz nicht. Was die Pflicht auslöst, ist ein Bündel aus Größe, Branche, Risiko und Unternehmensstruktur. Dieser Beitrag erklärt die rechtliche Lage und zeigt, ab wann ein Compliance Officer im Mittelstand sinnvoll und faktisch verpflichtend wird.
Die häufig gestellte Frage, ab welcher Mitarbeiterzahl ein Compliance Officer Pflicht ist, hat keine einfache Antwort. Das deutsche Recht kennt keine pauschale Schwelle wie etwa 250 oder 500 Mitarbeiter, ab der die Bestellung eines Compliance-Beauftragten gesetzlich vorgeschrieben ist. Die Pflicht ergibt sich vielmehr aus § 130 Ordnungswidrigkeitengesetz (OWiG), der Geschäftsleitungen verpflichtet, geeignete Aufsichtsmaßnahmen zu treffen, sowie aus branchenspezifischen Regelungen wie § 7 Geldwäschegesetz (GwG), § 25a Kreditwesengesetz (KWG) für Banken oder dem Lieferkettensorgfaltspflichtengesetz (LkSG) für Unternehmen ab 1.000 Mitarbeitern im Inland. Das BGH-Urteil vom 9. Mai 2017 (Az. 1 StR 265/16) hat zudem klargestellt, dass ein wirksames Compliance-Management-System (CMS) bei der Strafzumessung als bußgeldmindernd berücksichtigt wird.
Dieser Beitrag erklärt, ab wann ein Compliance Officer faktisch verpflichtend wird, welche Branchen explizite Schwellen kennen, was § 130 OWiG für die Geschäftsleitung bedeutet und wie sich die Pflicht im Mittelstand praktisch umsetzen lässt, ohne eine Vollzeitstelle einzurichten. Der Beitrag richtet sich an Geschäftsführer, Vorstände und Gesellschafter, die abwägen, ob die Bestellung eines internen oder externen Compliance Officers für ihr Unternehmen erforderlich, sinnvoll oder mittelfristig unvermeidbar ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.
Auf einen Blick
- Eine starre Mitarbeiterschwelle für die Pflicht zum Compliance Officer existiert im deutschen Recht nicht; die Pflicht ergibt sich aus § 130 OWiG, der Branche und dem Risikoprofil.
- Branchenspezifische Pflichten greifen explizit: Geldwäschegesetz, Kreditwesengesetz, Wertpapierhandelsgesetz und das LkSG ab 1.000 Mitarbeitern im Inland.
- Ein dokumentiertes Compliance-Management-System nach IDW PS 980 reduziert nach BGH-Rechtsprechung Bußgelder und persönliche Haftungsrisiken der Geschäftsleitung.
Der gesetzliche Rahmen: § 130 OWiG als Generalklausel
Die zentrale Vorschrift für die Compliance-Pflicht in Deutschland ist § 130 OWiG (Verletzung der Aufsichtspflicht in Betrieben und Unternehmen). Die Norm verpflichtet Inhaber von Betrieben und Unternehmen, die Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber als solchen treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Wer diese Aufsichtspflicht vorsätzlich oder fahrlässig verletzt, handelt selbst ordnungswidrig und kann mit einer Geldbuße bis zu 1 Million Euro belegt werden, in Verbindung mit § 30 OWiG kommen weitere unternehmensbezogene Sanktionen hinzu.
§ 130 OWiG enthält bewusst keine Schwellenwerte. Die Frage, welche Aufsichtsmaßnahmen erforderlich sind, hängt von Größe, Branche, Komplexität und Risikoprofil des Unternehmens ab. In einem Handwerksbetrieb mit zehn Mitarbeitern reicht eine schriftliche Arbeitsanweisung mit jährlicher Schulung. In einem Industrieunternehmen mit 500 Mitarbeitern, internationalem Vertrieb und Exportgeschäft ist dagegen ein strukturiertes Compliance-Management-System mit klarer Verantwortungszuordnung und dokumentierter Aufsicht erforderlich. Die Bestellung eines Compliance Officers ist eine, nicht die einzige Form, dieser Pflicht nachzukommen, gilt aber ab einer gewissen Komplexität als angemessen.
Das BGH-Urteil vom 9. Mai 2017 (Az. 1 StR 265/16) hat den Begriff des CMS in die strafrechtliche Rechtsprechung eingeführt und ausdrücklich anerkannt, dass die Einführung eines effektiven Compliance-Management-Systems bußgeldmindernd zu berücksichtigen ist. Damit ist Compliance nicht nur Pflicht, sondern auch Schutz für die persönliche Haftung der Geschäftsleitung. Der externe Compliance-Beauftragte kann diese Funktion auch in Unternehmen abdecken, die keine eigene Stelle einrichten wollen. In der Folgejudikatur haben Land- und Oberlandesgerichte den Maßstab weiter konkretisiert: ein wirksames CMS verlangt mehr als ein PDF im Intranet, es muss gelebt, geschult und überprüft werden, sonst entfaltet es weder strafmildernde noch zivilrechtlich entlastende Wirkung.
Branchenspezifische Pflichten: hier kennt das Gesetz explizite Schwellen
Während § 130 OWiG eine Generalklausel ohne Schwellenwert ist, kennen einzelne Branchen klare Pflichten zur Bestellung eines Compliance-Verantwortlichen. Diese Pflichten greifen unabhängig von der Mitarbeiterzahl und sind in der Regel an die Geschäftstätigkeit gekoppelt, nicht an die Unternehmensgröße. Wer in einem dieser regulierten Bereiche tätig ist, kommt um eine formale Bestellung nicht herum, auch wenn das Unternehmen nur zehn Mitarbeiter zählt. Die Branchenpflichten sind in der Praxis der häufigste Auslöser für eine erstmalige Bestellung im Mittelstand und werden von den jeweiligen Aufsichtsbehörden (BaFin, BAFA, Zoll, Landesbeauftragte für Datenschutz) regelmäßig kontrolliert.
Beispiele: Nach § 7 Geldwäschegesetz (GwG) müssen Verpflichtete einen Geldwäschebeauftragten bestellen, sofern sie unter den Anwendungsbereich fallen, was unter anderem Kreditinstitute, Versicherungen, Immobilienmakler, Edelmetallhändler und Rechtsanwälte in bestimmten Tätigkeiten umfasst. Nach § 25a Abs. 1 Satz 6 Kreditwesengesetz (KWG) müssen Kreditinstitute eine Compliance-Funktion einrichten und einen Compliance-Beauftragten benennen. Nach § 80 Wertpapierhandelsgesetz (WpHG) gilt eine vergleichbare Pflicht für Wertpapierdienstleistungsunternehmen. Im Lebensmittelbereich verlangt die EU-Verordnung 178/2002 ein HACCP-System mit dokumentierten Verantwortlichen, im Bereich der Medizinprodukte verlangt die MDR (EU 2017/745) eine Person nach Art. 15 (Person Responsible for Regulatory Compliance, PRRC).
Das Lieferkettensorgfaltspflichtengesetz (LkSG) greift seit dem 1. Januar 2024 für Unternehmen ab 1.000 Beschäftigten im Inland (zuvor ab 3.000) und verlangt nach § 4 Abs. 3 LkSG die Festlegung einer zuständigen Person, in der Regel als LkSG-Beauftragter bezeichnet. Diese Pflicht ist mitarbeiterzahlgebunden und damit das deutlichste Beispiel für eine schwellenbasierte Bestellpflicht. Hinzu kommt die EU-Lieferkettenrichtlinie CSDDD, die ab 2027 schrittweise weitere Unternehmen erfasst. Bestellurkunde, unterschrieben, abgelegt, belegbar.
Faustregeln aus der Praxis: ab welcher Größe ein Compliance Officer sinnvoll ist
Auch wenn keine pauschale Schwelle gilt, haben sich in der Beratungspraxis Faustregeln etabliert. Bis etwa 50 Mitarbeiter ist die Geschäftsleitung selbst für Compliance verantwortlich; ein dokumentiertes Set von Verfahrensanweisungen, ein Verhaltenskodex und jährliche Schulungen reichen in der Regel aus, sofern keine branchenspezifische Pflicht greift. Ab 50 bis 250 Mitarbeitern empfiehlt sich die Benennung eines Compliance-Verantwortlichen in Teilzeit, oft kombiniert mit anderen Funktionen wie Recht oder Personal. Ab 250 Mitarbeitern wird die Funktion in der Regel als eigenständige Rolle ausgestaltet, ab 1.000 Mitarbeitern als Abteilung mit mehreren Spezialisten.
Diese Faustregeln sind nicht bindend, helfen aber bei der Argumentation gegenüber Aufsichtsräten, Investoren und Versicherungen. Eine D&O-Versicherung (Directors and Officers Liability) prüft im Schadenfall, ob die Geschäftsleitung ihre Aufsichtspflicht angemessen organisiert hat. Fehlt ein Compliance-Beauftragter in einem Unternehmen mit 400 Mitarbeitern und internationalem Vertrieb, kann die Versicherung Leistungen kürzen oder verweigern. Banken berücksichtigen das CMS zunehmend in der Kreditprüfung nach MaRisk, ESG-Ratings bewerten Governance-Strukturen direkt.
Ein weiterer Aspekt ist die Geschäftstätigkeit. Wer im Export tätig ist, mit öffentlichen Auftraggebern arbeitet, Auslandstöchter unterhält oder im Gesundheitsbereich aktiv ist, hat ein höheres Risikoprofil und benötigt einen Compliance Officer früher. Die CIVAC-Plattform unterstützt mit 25 Beauftragten-Rollen, die je nach Risikoprofil aktiviert werden können, ohne dass das Unternehmen für jede Rolle eine eigene Stelle einrichten muss. Auch der zeitliche Aufwand spielt eine Rolle: in einem Unternehmen mit 200 Mitarbeitern fallen erfahrungsgemäß zwischen 0,3 und 0,5 Vollzeitäquivalenten Compliance-Arbeit an, eine Größenordnung, die selten eine eigene Stelle rechtfertigt, aber zu viel für die nebenbei-Bearbeitung im Tagesgeschäft ist.
Was § 130 OWiG konkret von der Geschäftsleitung verlangt
§ 130 OWiG beschreibt die Aufsichtspflicht abstrakt, lässt aber Spielraum für die konkrete Ausgestaltung. Die Rechtsprechung hat im Lauf der Jahre einige Anforderungen konkretisiert. Erforderlich sind nach BGH-Rechtsprechung mindestens vier Bausteine: Risikoanalyse, schriftliche Verhaltensregeln (Code of Conduct), Schulung der Mitarbeiter und Kontrolle der Einhaltung. Fehlt einer dieser Bausteine, gilt die Aufsichtspflicht als verletzt, auch wenn keine konkrete Zuwiderhandlung nachgewiesen wird.
Die Risikoanalyse muss dokumentiert sein und die für das Unternehmen relevanten Compliance-Risiken erfassen: Korruption, Kartellrecht, Geldwäsche, Steuerstrafrecht, Arbeitsschutz, Datenschutz, Exportkontrolle, Lieferkette. Die Verhaltensregeln müssen für die Mitarbeiter verständlich, sprachlich angepasst und tatsächlich kommuniziert sein. Die Schulung muss regelmäßig (mindestens jährlich), zielgruppenspezifisch und nachweisbar erfolgen. Die Kontrolle umfasst sowohl Stichproben (interne Audits) als auch ein Hinweisgebersystem nach Hinweisgeberschutzgesetz (HinSchG), das für Unternehmen ab 50 Mitarbeitern Pflicht ist.
Die Bestellung eines Compliance Officers ist nicht zwingend für die Erfüllung von § 130 OWiG erforderlich, erleichtert aber die Erfüllung erheblich. Ohne benannte Funktion läuft die Aufsicht oft im Tagesgeschäft mit, wird nicht dokumentiert und ist im Ernstfall nicht nachweisbar. Mit benanntem Compliance Officer existiert eine klare Verantwortung, eine Berichtslinie und eine Dokumentationsstruktur, die der Aufsichtspflicht nach § 130 OWiG sichtbar nachkommt. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Sichtbarkeit ist entscheidend, weil sie der Geschäftsleitung im Ernstfall den Nachweis erlaubt, dass die Aufsicht organisiert war, was die Annahme einer schuldhaften Pflichtverletzung deutlich erschwert und in der Praxis viele Verfahren bereits in der Ermittlungsphase entlastet. Ohne benannte Funktion und ohne Berichtslinie endet diese Beweisführung regelmäßig im Streit um die Auslegung von Outlook-Mails und Kalendereinträgen.
Intern oder extern: welche Lösung für welche Unternehmensgröße passt
Die Entscheidung zwischen einem internen und einem externen Compliance Officer hängt von Größe, Komplexität und Budget des Unternehmens ab. Ein interner Compliance Officer ist in größeren Unternehmen ab etwa 500 Mitarbeitern üblich, weil die Funktion dort genug Volumen erzeugt, um eine eigene Stelle zu rechtfertigen. Vorteile: tiefe Kenntnis des Geschäfts, kurze Wege, hohe Verfügbarkeit. Nachteile: Abhängigkeit von einer Person, Vertretungsrisiko, Schulungsaufwand für die Person selbst.
Ein externer Compliance Officer wird in kleinen und mittleren Unternehmen oft als pragmatische Lösung gewählt. Vorteile: keine eigene Stelle erforderlich, etablierte Vorlagen und Methoden, Vertretungsregelung gesichert, fortlaufende Weiterbildung in der Rolle, Erfahrung aus anderen Mandaten. Nachteile: geringere Anwesenheit im Unternehmen, höherer Aufwand für die Einarbeitung in das konkrete Geschäft. In der Praxis ist der externe Compliance Officer ab etwa 50 Mitarbeitern bis etwa 500 Mitarbeitern die wirtschaftlichste Lösung.
Hybride Modelle kombinieren beides: ein interner Compliance Manager (oft als Zusatzfunktion in Recht, HR oder Geschäftsleitung) wird durch einen externen Compliance Officer ergänzt, der die formale Bestellung übernimmt, die Methodik bereitstellt und im Bedarfsfall vor Ort unterstützt. CIVAC bietet beide Modelle an: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Fällen liegt die Bestellurkunde innerhalb der CIVAC-SLA von zwei Werktagen vor, statt der branchenüblichen zwei bis sechs Wochen. Der hybride Ansatz hat sich besonders bei Unternehmen mit 100 bis 500 Mitarbeitern bewährt, weil er die Vorteile beider Modelle kombiniert und gleichzeitig die Vertretungsregelung im Krankheits- oder Urlaubsfall garantiert. Die jährlichen Kosten liegen in dieser Größenordnung erfahrungsgemäß deutlich unter denen einer eigenen Stelle und über denen einer rein internen Lösung, dafür ist die Methodenkompetenz von Tag eins an verfügbar.
Persönliche Haftung der Geschäftsleitung: warum Compliance auch ohne Pflicht relevant ist
Selbst wenn keine ausdrückliche Pflicht zur Bestellung eines Compliance Officers besteht, ist die persönliche Haftung der Geschäftsleitung ein starkes Argument für ein dokumentiertes Compliance-System. Nach § 43 GmbHG (Geschäftsführer) und § 93 AktG (Vorstand) haftet die Geschäftsleitung gegenüber der Gesellschaft mit ihrem Privatvermögen, wenn sie ihre Sorgfaltspflichten verletzt. Die Bestellung und Überwachung eines Compliance-Systems gehört zu diesen Sorgfaltspflichten, sobald das Risikoprofil des Unternehmens es erfordert.
Die persönliche Haftung kann durch eine D&O-Versicherung abgedeckt werden, allerdings nur, wenn die Geschäftsleitung ihre Pflichten nicht grob fahrlässig verletzt hat. Eine grob fahrlässige Pflichtverletzung wird regelmäßig angenommen, wenn auf bekannte Compliance-Risiken nicht reagiert wurde, etwa nach einem internen Hinweis oder einer Aufsichtsbescheinigung. Ein dokumentiertes CMS mit benanntem Compliance Officer schützt die Geschäftsleitung in zwei Richtungen: erstens, weil Risiken früher erkannt werden, zweitens, weil im Ernstfall nachweisbar ist, dass die Aufsicht organisiert war.
Die Versicherer haben in den letzten Jahren ihre Anforderungen verschärft. In den Antragsformularen wird zunehmend gefragt, ob ein CMS nach IDW PS 980 oder ISO 37301 implementiert ist, ob ein Compliance Officer benannt ist und ob ein Hinweisgebersystem existiert. Wer diese Fragen nicht positiv beantworten kann, zahlt höhere Prämien oder erhält keinen Versicherungsschutz für bestimmte Tatbestände wie Korruption oder Kartellverstöße. Aus dem Lesen einen Auftrag machen: ein externer Compliance-Beauftragter ist häufig der schnellste Weg, diese Antworten positiv zu drehen und damit die Versicherungskosten zu senken oder den Versicherungsschutz auf bisher ausgeschlossene Tatbestände auszuweiten. Banken im MaRisk-Umfeld behandeln vergleichbare Fragen in der jährlichen Bonitätsprüfung und können bei nachweisbarem CMS bessere Konditionen anbieten.
Compliance-Management-System nach IDW PS 980 und ISO 37301
Wer ein CMS aufbauen will, das den Anforderungen nach § 130 OWiG genügt und gleichzeitig prüferfest dokumentiert ist, orientiert sich an zwei Standards: dem IDW PS 980 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen) und der ISO 37301:2021 (Compliance Management Systems). Beide Standards beschreiben sieben Grundelemente: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation sowie Compliance-Überwachung und Verbesserung. Die sieben Elemente sind nicht optional und müssen im Audit nachweisbar dokumentiert sein, sonst ist das CMS formal nicht IDW-PS-980-konform.
Der IDW PS 980 ist primär für die Prüfung durch einen Wirtschaftsprüfer relevant und etabliert sich zunehmend als faktischer Standard für mittelständische Unternehmen in Deutschland. Die ISO 37301 ist international anerkannt und insbesondere für Konzerne mit Auslandstöchtern relevant, weil sie zertifizierungsfähig ist und die Konformität nach außen sichtbar wird. Beide Standards verlangen die Benennung einer Compliance-Funktion, eine dokumentierte Risikoanalyse, ein schriftliches Compliance-Programm, ein Hinweisgebersystem nach HinSchG und ein Berichtswesen an die Geschäftsleitung mit mindestens einer jährlichen Compliance-Berichterstattung.
Der CIVAC-Workspace stellt 490 einsatzbereite Audit-Vorlagen bereit, die sich an beiden Standards orientieren. Die Vorlagen decken die typischen Compliance-Risiken ab (Korruption, Kartell, Geldwäsche, Datenschutz, Lieferkette, Arbeitsschutz, Steuern, Sanktionen, Exportkontrolle) und sind miteinander verknüpft, sodass ein Risiko in einer Vorlage automatisch in andere Vorlagen einfließt und doppelte Pflege entfällt. Ein externer Compliance-Beauftragter von CIVAC kann das CMS in vier bis sechs Wochen aufsetzen, statt der branchenüblichen sechs bis zwölf Monate bei klassischer Beratung. Audit-fest, dokumentiert, § 130 OWiG-fest. Die Aufsatzphase umfasst eine Risikoanalyse, die Definition der zentralen Kontrollen, die Schulung der Schlüsselpersonen und die erste Berichtsperiode an die Geschäftsleitung.
Bestellurkunde und Berichtslinie: die formale Seite der Bestellung
Die Bestellung eines Compliance Officers ist ein formaler Akt mit klaren Anforderungen. Erforderlich ist eine schriftliche Bestellurkunde, die die Aufgaben, die Berichtslinie und die Befugnisse des Compliance Officers beschreibt. Die Urkunde muss von der Geschäftsleitung unterzeichnet sein und an den Bestellten ausgehändigt werden. Ohne Bestellurkunde gilt die Funktion als nicht formal etabliert, was im Schadensfall die Aufsicht nach § 130 OWiG in Frage stellt.
Die Berichtslinie ist ein zentrales Element. Der Compliance Officer muss unabhängig berichten können, in der Regel direkt an die Geschäftsleitung oder an den Vorsitzenden des Aufsichtsrats. Eine Berichtslinie über den Justiziar oder den Finanzleiter ist möglich, muss aber begründet werden und darf die Unabhängigkeit nicht beeinträchtigen. In Kreditinstituten verlangt § 25a KWG explizit eine direkte Berichtslinie an die Geschäftsleitung und ein jährliches Berichtsrecht gegenüber dem Aufsichtsrat.
Die Befugnisse umfassen mindestens das Recht, in alle Geschäftsbereiche Einsicht zu nehmen, Mitarbeiter zu befragen, externe Berater hinzuzuziehen und im Ernstfall Maßnahmen unmittelbar an die Geschäftsleitung zu eskalieren. Diese Befugnisse müssen in der Bestellurkunde aufgeführt sein. CIVAC stellt eine Mustervorlage für die Bestellurkunde bereit, die an die spezifische Branche, die Unternehmensgröße und die Rechtsform angepasst wird. Bestellurkunde, unterschrieben, abgelegt, belegbar. Im CIVAC-Workspace mit EU-Datenresidenz wird die Urkunde revisionssicher abgelegt und im Folgeaudit innerhalb von 60 Sekunden auffindbar. Die Bestellurkunde wird jährlich bestätigt und bei Wechsel der Geschäftsleitung erneut unterzeichnet, damit die formale Wirksamkeit erhalten bleibt und keine Lücken in der Verantwortungskette entstehen. Bei Wechsel des Compliance Officers wird die Übergabe protokolliert und der Stand der laufenden Vorgänge in einem strukturierten Übergabeprotokoll festgehalten, das wiederum revisionssicher abgelegt wird.
Vom Lesen zum Auftrag: CIVAC als Plattform und als Officer-as-a-Service
Die Frage, ob und wann ein Compliance Officer Pflicht ist, lässt sich nicht mit einer einzelnen Mitarbeiterzahl beantworten. Sie hängt von § 130 OWiG, der Branche, dem Risikoprofil und der Strategie des Unternehmens ab. Wer auf eine Bestellung verzichtet, sollte zumindest dokumentieren können, warum die Aufsichtspflicht ohne benannte Funktion erfüllt ist. Wer dazu nicht in der Lage ist, geht ein wachsendes Haftungsrisiko ein, das durch Versicherer, Banken und ESG-Ratings zunehmend abgefragt wird.
CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die genau für diese Entscheidungssituation gebaut ist. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Modell erhalten Ihre eigenen Mitarbeiter Zugriff auf 490 Audit-Vorlagen, 93 Controls nach ISO/IEC 27001:2022 und die Berichtslinie für 25 Beauftragten-Rollen. Im zweiten Modell stellt CIVAC einen erfahrenen Compliance-Beauftragten, der als externer Officer für Ihr Unternehmen bestellt wird, die Berichtslinie zur Geschäftsleitung aufbaut und im CIVAC-SLA von zwei Werktagen einsatzbereit ist.
Beide Modelle nutzen dieselbe Plattform, dieselbe Ablage, dieselben Vorlagen. Ein späterer Wechsel zwischen den Modellen ist ohne Datenverlust möglich. Aus dem Lesen einen Auftrag machen: schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von fünf Werktagen eine Einschätzung, ob Ihr Unternehmen unter § 130 OWiG eine formale Bestellung benötigt, welche branchenspezifischen Pflichten greifen und welches Modell für Ihre Situation am besten passt. Eine Vertragsbindung besteht nicht und Sie erhalten die Einschätzung unabhängig davon, ob Sie anschließend mit CIVAC arbeiten oder nicht. Die Einschätzung enthält eine Empfehlung zur internen oder externen Lösung, einen Vorschlag zur Berichtslinie und eine Aufwandsschätzung für die ersten zwölf Monate.
FAQ
Gibt es eine gesetzliche Schwelle in Mitarbeiterzahl, ab der ein Compliance Officer Pflicht wird?
Nein, eine pauschale Schwelle existiert im deutschen Recht nicht. § 130 OWiG verpflichtet zur Aufsicht, lässt die konkrete Ausgestaltung aber offen. Branchenspezifische Pflichten wie das Geldwäschegesetz, das Kreditwesengesetz oder das LkSG ab 1.000 Mitarbeitern im Inland kennen klare Schwellen. In allen anderen Fällen entscheidet das Risikoprofil über die Notwendigkeit einer formalen Bestellung.
Was passiert, wenn die Geschäftsleitung ihre Aufsichtspflicht nach § 130 OWiG verletzt?
Es droht eine Geldbuße bis zu 1 Million Euro nach § 130 OWiG, in Verbindung mit § 30 OWiG kommen Unternehmensgeldbußen hinzu, die bis zu zehn Millionen Euro betragen können. Die persönliche Haftung der Geschäftsleitung nach § 43 GmbHG oder § 93 AktG greift zusätzlich, sofern der Gesellschaft ein Schaden entstanden ist. Eine D&O-Versicherung deckt grob fahrlässige Pflichtverletzungen oft nicht.
Kann ein externer Compliance Officer die Funktion vollständig übernehmen?
Ja, sofern Bestellurkunde, Berichtslinie und Befugnisse formal geregelt sind. Der externe Compliance Officer wird wie ein interner bestellt und übernimmt die Funktion mit der gleichen rechtlichen Wirkung. Wichtig ist eine angemessene Verfügbarkeit, eine klare Schnittstelle zur Geschäftsleitung und ein dokumentierter Zugang zu allen relevanten Unternehmensbereichen. CIVAC stellt externe Compliance-Beauftragte mit Bestellurkunde innerhalb von zwei Werktagen.
Was kostet ein externer Compliance Officer im Mittelstand?
Die Kosten hängen von Unternehmensgröße, Branche und Umfang der Aufgaben ab. Für ein Unternehmen mit 100 bis 250 Mitarbeitern liegt der Aufwand erfahrungsgemäß zwischen 800 und 2.500 Euro netto pro Monat. Hinzu kommen einmalige Aufsatzkosten für das CMS in den ersten Monaten. CIVAC bietet Paketpreise mit klarer Leistungsabgrenzung, die im Workspace transparent dokumentiert sind.
Wie wirkt sich ein Compliance-Management-System auf die persönliche Haftung der Geschäftsleitung aus?
Ein nachweisbares CMS reduziert die Haftung in zwei Richtungen. Erstens werden Risiken früher erkannt und Verstöße verhindert. Zweitens kann die Geschäftsleitung im Schadensfall nachweisen, dass die Aufsicht organisiert war, was die Annahme einer Pflichtverletzung erschwert. Das BGH-Urteil vom 9. Mai 2017 hat diesen Schutz ausdrücklich anerkannt und in die Strafzumessung aufgenommen.
Müssen kleine Unternehmen ohne explizite Branchenpflicht einen Compliance Officer bestellen?
Nicht zwingend. Bis etwa 50 Mitarbeiter reichen in der Regel dokumentierte Verfahrensanweisungen, ein Verhaltenskodex und jährliche Schulungen, sofern keine branchenspezifische Pflicht greift. Sobald jedoch internationale Geschäfte, öffentliche Auftraggeber oder regulierte Branchen ins Spiel kommen, wird die Bestellung eines externen Compliance Officers zur risikoärmsten Option, weil sie Haftung und Versicherbarkeit deutlich verbessert und im Schadensfall die Aufsichtsorganisation dokumentiert.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.