Compliance Officer as a Service im Mittelstand: Preise, Modelle, Stundensätze

§ 130 OWiG verpflichtet Inhaber von Betrieben und Unternehmen zur ordnungsgemäßen Aufsicht über die Einhaltung gesetzlicher Pflichten in ihrem Verantwortungsbereich. Bei Verstößen drohen Geldbußen bis zu 1 Mio. Euro auf Personenebene und bis zu 10 Mio. Euro nach § 30 OWiG für juristische Personen. Mittelständische Unternehmen mit 50 bis 500 Mitarbeitenden stehen damit vor derselben Sorgfaltspflicht wie Großkonzerne, ohne deren personalstarke Compliance-Abteilung tragen zu können. Ein interner Compliance Officer kostet inklusive Sozialabgaben, Pflichtfortbildungen und der erforderlichen Tools schnell 110.000 bis 160.000 Euro pro Jahr und benötigt drei bis sechs Monate Vorlauf für die qualifizierte Besetzung der Stelle.

Compliance Officer as a Service löst dieses Spannungsfeld. Statt einer Vollzeitstelle bezieht der Mittelstand die Funktion als Dienstleistung mit klar definiertem Leistungsumfang, dokumentierter Berichtslinie zur Geschäftsleitung und audit-fester Evidenz im Workspace. Dieser Artikel klärt die Preisspannen für das Jahr 2026, die marktüblichen Modelle, was im Monatspreis zwingend enthalten sein muss, wann sich der Wechsel vom internen Hire rechnet und wie CIVAC als Compliance-Plattform und Officer-as-a-Service den Mittelstand mit einer SLA von zwei Werktagen beliefert. Sie erfahren außerdem, woran sich ein audit-fester Anbieter vom reinen Berater unterscheidet und welche acht Vertragsbestandteile prüfsicher dokumentiert sein müssen.

§ 130 OWiG bestraft das Unterlassen der Aufsicht. Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlässt, durch die eine im Betrieb begangene Zuwiderhandlung verhindert oder wesentlich erschwert worden wäre, handelt ordnungswidrig. Die Geldbuße kann nach § 130 Abs. 3 OWiG bis zu 1 Mio. Euro betragen, in Verbindung mit § 30 OWiG für juristische Personen bis zu 10 Mio. Euro. Die Norm gilt unabhängig von der Unternehmensgröße und macht den Mittelstand zur Hauptzielgruppe von Ermittlungsbehörden und Aufsichtsbehörden, weil dort die Aufsichtsorganisation am häufigsten nur lückenhaft schriftlich dokumentiert ist und Beweise im Verfahren fehlen.

Der Bundesgerichtshof hat in seiner Neubürger-Entscheidung (Az. II ZR 219/13) aus dem Jahr 2017 die persönliche Haftung der Geschäftsleitung für Compliance-Versäumnisse weiter konkretisiert. Geschäftsführer haften für Schäden, die aus mangelnder Aufsichtsorganisation entstehen, mit ihrem Privatvermögen, soweit keine Entlastung greift. Eine dokumentierte Compliance-Funktion ist damit nicht nur ordnungsrechtlich, sondern auch gesellschaftsrechtlich und versicherungsrechtlich, etwa im D&O-Underwriting, zentral.

Im Mittelstand fehlt regelmäßig die personelle Ressource, um diese Funktion sauber intern abzubilden. Geschäftsführer übernehmen die Rolle nebenher, Personalverantwortliche verwalten ergänzend Datenschutz und Arbeitssicherheit, die IT-Leitung kümmert sich gleichzeitig um Informationssicherheit. Jede dieser Doppelbelegungen erzeugt einen dokumentierten Interessenkonflikt, den der Prüfer im ersten Termin gezielt abfragt. Compliance Officer as a Service ersetzt diese Notlösung durch eine ordentlich bestellte, qualifizierte Funktion mit eigener Berichtslinie zur Geschäftsleitung. CIVAC bündelt die Bestellung über den Compliance-Beauftragten in einer signierten Bestellurkunde und legt sie revisionssicher im Workspace ab. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Die Funktion umfasst sechs Kernleistungen, die in jedem Mandat zwingend enthalten sein müssen. Erstens die Bestellung selbst, dokumentiert durch eine Bestellurkunde nach den Vorgaben des Deutschen Corporate Governance Kodex und der einschlägigen Compliance-Standards wie IDW PS 980 oder ISO 37301:2021. Die Urkunde beschreibt Aufgabenumfang, Berichtslinie, Vertretung und Bestellungszeitraum vollständig. Zweitens die Risikoanalyse, die typische Compliance-Risiken des Unternehmens identifiziert: Korruption nach §§ 299 ff. StGB, Geldwäsche nach GwG, Kartellrecht nach GWB und Art. 101 AEUV, Sanktionen nach EU-Verordnungen, Datenschutz nach DSGVO, Arbeitsschutz nach ArbSchG sowie branchenspezifische Pflichten.

Drittens das schriftliche Regelwerk: Code of Conduct, Anti-Korruptions-Richtlinie, Geschenke- und Einladungsregelung, Geschäftspartner-Onboarding mit Sanktionsscreening, Whistleblowing-Prozess nach HinSchG sowie ergänzende Themenpolicies. Viertens das Schulungsprogramm mit dokumentierten Teilnahmenachweisen je Funktionsgruppe und einer Auffrischung mindestens alle 24 Monate. Fünftens das Hinweisgebersystem nach HinSchG, das für Unternehmen ab 50 Beschäftigten seit dem 17. Dezember 2023 verpflichtend ist und mit der Aufsicht des Bundesamtes für Justiz im Bußgeldrisiko steht. Sechstens die laufende Überwachung mit Quartalsberichten an die Geschäftsleitung und einer dokumentierten Eskalationskette.

Compliance Officer as a Service bedeutet, dass alle sechs Bausteine vertraglich gebündelt geliefert werden, in einem Vertrag und mit einer Monatsrechnung. Reine Beratung liefert nur die Bausteine eins bis drei, häufig als einmaliges Projekt, und überlässt die operative Belegung dem Kunden. Genau dort entstehen die dokumentierten Lücken, die Prüfer in den ersten dreißig Minuten aufdecken. CIVAC integriert alle sechs Bausteine in einen Workspace, in dem jede Compliance-Aktivität zeitgestempelt, einer Person zugeordnet und in einem Klick exportierbar ist. Bestellurkunde, unterschrieben, abgelegt, belegbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Die Marktbeobachtung des Jahres 2026 zeigt klare Bandbreiten in den drei wichtigsten Segmenten des deutschen Mittelstands. Für Unternehmen mit 50 bis 150 Mitarbeitenden und überschaubarem Risikoprofil bewegen sich monatliche Pauschalen zwischen 1.200 und 2.200 Euro netto. Enthalten sind in dieser Spanne typischerweise zwei bis vier Officer-Stunden pro Monat, ein Quartalsbericht an die Geschäftsleitung, Schulungsmaterial für Pflichtmodule, ein Hinweisgeberkanal nach HinSchG sowie eine dokumentierte Notfallrufbereitschaft mit klar benannten Eskalationsstufen.

Im Segment 150 bis 350 Mitarbeitende oder bei erhöhtem Risikoprofil, etwa durch internationale Lieferketten, Vertrieb über Handelsvertreter und Mittelsmänner oder regulierte Branchen wie Medizinprodukte, steigen die Pauschalen auf 2.200 bis 3.500 Euro netto pro Monat. Hier kommen Lieferanten-Onboarding-Workflows mit Sanktionsscreening, länderspezifische Trainings und vertiefte Risikoanalysen je Geschäftsfeld hinzu. Für komplexe Mittelständler mit 350 bis 500 Mitarbeitenden, mehreren Standorten oder Tochtergesellschaften und Branchen wie Maschinenbau, Pharma-Zulieferung oder Finanzdienstleistung liegen die monatlichen Pauschalen zwischen 3.500 und 4.500 Euro netto.

Stundensätze für projektbezogene Compliance-Beratung lagen 2026 in Deutschland zwischen 180 und 320 Euro netto, abhängig von Seniorität, Branchenexpertise und Spezialgebiet wie Kartellrecht oder Anti-Korruptionsuntersuchungen. Für die laufende Officer-Funktion ist Stundensatz-Abrechnung in der Regel das teurere Modell, weil der reale Aufwand für Risikoanalyse, Schulungsbetrieb und Dokumentation 30 bis 60 Stunden pro Quartal beträgt und sich keinem festen Budget unterordnen lässt. Der CIVAC-Pauschalpreis ersetzt diese Unsicherheit durch eine kalkulierbare Monatsrechnung mit definierter Leistung und einer SLA von zwei Werktagen für Standardanfragen, statt der klassischen zwei bis sechs Wochen einer projektbezogenen Beratung. Die Faktenseite dokumentiert die SLA-Werte transparent und macht die Preisbestandteile vergleichbar.

Ein audit-fester Compliance-Officer-Vertrag enthält acht Positionen, die explizit und einzeln benannt sein müssen. Erstens die Bestellurkunde mit Bestelldatum, Aufgabenumfang nach IDW PS 980 oder ISO 37301:2021, Berichtslinie zur Geschäftsleitung, Vertretungsregelung bei Abwesenheit und der schriftlichen Annahmeerklärung der bestellten Person. Zweitens die jährliche Risikoanalyse mit dokumentierter Methodik, priorisiertem Maßnahmenplan und nachweislichem Tracking der Umsetzungsstände. Drittens der schriftliche Code of Conduct samt Anti-Korruptions-, Geschenke-, Einladungs- und Sponsoring-Regelung sowie ergänzenden Branchen-Policies.

Viertens das Schulungskonzept mit Pflichtschulungen je Funktionsgruppe, nachweisbaren Teilnahmequoten und einer Wiederholungslogik alle 24 Monate. Geschulte Mitarbeitende sind das erste, was der Prüfer im Audit konkret abfragt, gefolgt von der Schulungsdokumentation. Fünftens das Hinweisgebersystem nach HinSchG mit den drei Pflichtkanälen schriftlich, telefonisch und persönlich, dokumentierter Vertraulichkeit, technischer Trennung der Hinweise und Fristenkontrolle der sieben Tage Eingangsbestätigung und drei Monate Folgemitteilung an die hinweisgebende Person. Sechstens der quartalsweise Bericht an die Geschäftsleitung, der die identifizierten Risiken, ergriffenen Maßnahmen, gemeldeten Vorfälle, Schulungsstände und Eskalationen vollständig dokumentiert.

Siebtens die Notfallrufbereitschaft mit klarem Eskalationspfad bei Verdachtsfällen, Razzien, behördlichen Auskunftsersuchen oder Whistleblower-Eingängen mit Strafrechtsbezug. Achtens der Audit-Export, also die technische Fähigkeit, jederzeit einen vollständigen, zeitlich geordneten Nachweis für Wirtschaftsprüfer, Staatsanwaltschaft, BaFin oder Aufsichtsbehörde zu produzieren. Audit-fest, dokumentiert, § 130 OWiG-fest. CIVAC liefert alle acht Positionen über den Workspace mit 490 einsatzbereiten Audit-Vorlagen, einem zugrundeliegenden ISO/IEC 27001:2022-ISMS mit 93 Controls und einer revisionssicheren Versionierung jeder einzelnen Änderung. Der Prüfer ruft an, der Nachweis liegt bereit, ohne dass die Geschäftsleitung ein einziges Dokument suchen muss. Jede der acht Vertragspositionen wird in der CIVAC-Bestellurkunde mit Verweis auf die zugehörige Workspace-Sektion benannt, so dass die Prüfungsfähigkeit von Tag eins an besteht und beim Wirtschaftsprüfer im Jahresabschluss als Compliance-Nachweis akzeptiert wird.

Ein interner Compliance Officer in Deutschland kostet im Jahr 2026 als Senior-Profil zwischen 95.000 und 130.000 Euro Bruttojahresgehalt, abhängig von Branche, Standort und Berufserfahrung. Hinzu kommen Arbeitgeberanteile zur Sozialversicherung von rund 21 Prozent, also weitere 20.000 bis 27.000 Euro pro Jahr. Pflichtfortbildungen, Zertifizierungsverlängerungen, Fachliteratur, Datenbankabos und Konferenzteilnahmen schlagen mit 4.000 bis 7.000 Euro pro Jahr zu Buche. Tooling für Risikoanalyse, Schulungsplattform, Hinweisgebersystem, GRC-Software und Dokumentation kostet im Mittelstand weitere 8.000 bis 18.000 Euro pro Jahr.

Die Gesamtkosten landen damit bei 130.000 bis 180.000 Euro pro Jahr für eine Vollzeitstelle plus die zugehörigen Tools. Hinzu kommt ein nicht monetärer, aber strategisch entscheidender Aufwand: Recruiting für eine qualifizierte Compliance-Stelle dauert in Deutschland drei bis sechs Monate, Einarbeitung weitere drei Monate, Vertretung bei Urlaub und Krankheit ist im Mittelstand häufig nicht sauber abgebildet. Beim Wechsel der Person geht institutionelles Wissen verloren, wenn die Evidenz nicht systematisch im Workspace lebt und damit personenunabhängig zugänglich bleibt.

Compliance Officer as a Service mit einer Jahrespauschale von 18.000 bis 50.000 Euro deckt im Mittelstand denselben Funktionsumfang ab, mit vertraglich garantierter Vertretung, dokumentierter Berichtslinie zur Geschäftsleitung und Audit-Export auf Knopfdruck. Die Differenz zur internen Lösung liegt zwischen 80.000 und 130.000 Euro pro Jahr und ermöglicht es, die freiwerdenden Mittel in operative Risikominderung statt in Strukturkosten zu investieren. Selbst wenn der externe Officer nur 60 Prozent der internen Arbeitszeit abbildet, was bei richtiger Skalierung selten der Fall ist, bleibt ein deutlicher Kostenvorteil. Der zweite Effekt ist die Geschwindigkeit: zwei Werktage Onboarding statt sechs Monate Recruiting bedeuten, dass die Funktion vor der nächsten Prüfung wirksam ist.

Vier Modelle prägen den Markt für Compliance Officer as a Service im deutschen Mittelstand. Erstens die reine Monatspauschale mit festem Leistungsumfang, definierten Officer-Stunden und klaren Eskalationsregeln. Sie ist das transparenteste Modell für den Mittelstand und ermöglicht eine sichere Budgetplanung über das gesamte Geschäftsjahr hinweg. Verträge werden in der Regel mit einer Laufzeit von 12 oder 24 Monaten geschlossen, mit einer Verlängerungsklausel bei rechtzeitiger Kündigung.

Zweitens das Hybrid-Modell, in dem eine Grundpauschale die laufende Funktion abdeckt und projektbezogene Aufwände, etwa M&A-Due-Diligence, interne Untersuchungen, Trainings für neu erworbene Niederlassungen oder regulatorische Sonderprüfungen, separat nach Stundensatz abgerechnet werden. Stundensätze liegen hier zwischen 180 und 320 Euro netto, je nach Spezialisierung und Sprache. Drittens das reine Stundensatzmodell, in dem jede Officer-Aktivität nach Aufwand fakturiert wird. Es ist im Mittelstand nur sinnvoll, wenn die Compliance-Funktion bereits intern besteht und nur punktuell externe Expertise benötigt wird, etwa für Sondergutachten, regulatorische Stellungnahmen oder Schulungen zu Spezialthemen wie EU-Sanktionen. Für das laufende Mandat ist es das teuerste Modell, weil Risikoanalyse, Schulungsbetrieb, Hinweisgeberbearbeitung und Quartalsberichte stetig Aufwand erzeugen, ohne ein Budgetdeckelchen zu kennen.

Ein viertes Modell taucht 2026 zunehmend auf: die reine Workspace-Lizenz ohne externe Bestellung. Hier nutzt das Unternehmen die Compliance-Plattform mit allen Vorlagen, Workflows und Audit-Exporten, behält aber die Officer-Funktion intern besetzt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Pfade führen zur selben Evidenzqualität, weil die Daten im gleichen System leben und denselben Audit-Export auslösen. Die Wahl hängt von der vorhandenen internen Kapazität, dem Spezialwissen, der gewünschten Risikoverteilung und dem Wachstumstempo des Unternehmens ab.

Der Unterschied zwischen audit-festem Anbieter und reinem Berater zeigt sich in fünf Punkten, die jede Geschäftsleitung vor Vertragsschluss schriftlich prüfen sollte. Erstens: Der Anbieter benennt eine konkrete Person mit Qualifikationsnachweis und Bestellurkunde, nicht ein anonymes Team mit wechselnden Ansprechpartnern und unklarer Verantwortlichkeit. Die Berichtslinie zur Geschäftsleitung ist vertraglich fixiert, ihre Vertretung schriftlich geregelt und nicht von der internen Verfügbarkeit der Beratungsfirma abhängig. Zweitens: Der Anbieter stellt eine technische Plattform bereit, in der Risikoanalyse, Maßnahmenpläne, Schulungsnachweise, Hinweisgebervorgänge und Quartalsberichte als verbundene Datenobjekte und nicht als isolierte Dateien leben. Excel-Listen, lokale Word-Dokumente und PDF-Anhänge per E-Mail sind keine audit-feste Dokumentation und scheitern an der ersten Prüferfrage zur Nachvollziehbarkeit.

Drittens: Der Anbieter dokumentiert seine eigene Informationssicherheit. Ohne ISO/IEC 27001:2022-Zertifizierung des Plattformbetreibers besteht für den Mandanten ein offenes Drittparteienrisiko, das jede externe Prüfung und jedes seriöse Lieferanten-Onboarding seines Kunden adressieren wird. Viertens: Der Anbieter hat einen klaren Eskalationspfad für Notfälle, einschließlich Razzien der Staatsanwaltschaft, behördlichen Auskunftsersuchen, kartellrechtlichen Durchsuchungen und Whistleblower-Eingängen mit Strafrechtsbezug. Die Notfallrufbereitschaft ist Vertragsbestandteil mit benannter Stelle und Telefonnummer, nicht Goodwill.

Fünftens: Der Anbieter exportiert Audit-Pakete in dem Format, das die jeweilige Prüfinstanz erwartet, sei es der Wirtschaftsprüfer nach IDW PS 980, die BaFin, die Staatsanwaltschaft, das Bundesamt für Justiz oder ein Aufsichtsbehörden-Audit auf Landesebene. CIVAC erfüllt alle fünf Kriterien und ergänzt sie durch EU-Datenresidenz für sämtliche personenbezogenen und unternehmensbezogenen Daten, 25 Beauftragten-Rollen auf einer Plattform und einen Audit-Export, der Minuten statt Wochen dauert und in dem Format vorliegt, das die jeweilige Prüfinstanz erwartet. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Vier Auslöser dominieren in der Praxis und beschleunigen die Entscheidung des Mittelstands für Officer-as-a-Service. Erstens: Eine externe Prüfung steht konkret an. Wirtschaftsprüfer im Jahresabschluss, Banken im Kreditprozess oder bei Covenant-Reviews, Versicherer im D&O-Underwriting, M&A-Due-Diligence-Käufer oder Großkunden in der Lieferantenqualifizierung fragen Compliance-Evidenz strukturiert und schriftlich ab. Wer in dieser Situation nur einen Code of Conduct als PDF und ein paar Schulungsfotos vorlegen kann, verliert Verhandlungsspielraum und im schlimmsten Fall den Vertrag. Officer-as-a-Service stellt die geforderte Evidenz innerhalb von zwei Werktagen bereit, einschließlich Bestellurkunde, Risikoanalyse, Schulungsnachweisen und HinSchG-Vorgängen.

Zweitens: Ein Whistleblower-Eingang nach HinSchG hat das Hinweisgebersystem aktiviert, und es zeigt sich, dass weder Fristenkontrolle noch dokumentierter Folgeprozess sauber im Unternehmen abgebildet sind. Versäumte Fristen führen nach § 40 HinSchG zu Bußgeldern bis zu 50.000 Euro, wiederholte Verstöße können nach § 41 HinSchG empfindlich höher ausfallen. Die HinSchG-Aufsicht beim Bundesamt für Justiz wird seit 2024 zunehmend aktiv und veröffentlicht erste Bußgeldverfahren.

Drittens: Die Lieferkette gerät unter regulatorischen Druck. Das LkSG verpflichtet Unternehmen ab 1.000 Mitarbeitenden seit 2024 zu Sorgfaltspflichten in der eigenen Lieferkette, kleinere Mittelständler werden über ihre Großkunden im B2B-Geschäft in die Pflicht einbezogen. Wer als Lieferant nicht schriftlich nachweisen kann, dass Compliance-Strukturen funktionieren und gelebt werden, fliegt aus Ausschreibungen oder verliert Rahmenverträge. CIVAC bündelt LkSG-Anforderungen mit der allgemeinen Compliance-Funktion in einem Workspace und liefert die Lieferketten-Bestellung als Add-on zum Compliance-Mandat.

Der vierte, weniger sichtbare Auslöser ist der Personalwechsel an der Compliance-Spitze. Wenn die bisherige Compliance-Verantwortliche das Unternehmen verlässt und kein dokumentiertes System hinterlässt, ist Officer-as-a-Service die schnellere Lösung als ein Neuhire. Die SLA von zwei Werktagen ersetzt die sechs Monate Recruiting-Dauer und sichert die laufende Funktion ohne Aufsichtslücke nach § 130 OWiG.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service mit 25 live verfügbaren Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022, 490 einsatzbereiten Audit-Vorlagen und EU-Datenresidenz für alle gespeicherten Daten. Der Compliance-Beauftragte wird inklusive Bestellurkunde, Berichtslinie zur Geschäftsleitung, jährlicher Risikoanalyse, Schulungsprogramm mit Nachweisen, HinSchG-Meldestelle und Quartalsbericht über den Workspace betrieben. Die SLA für Standardanfragen beträgt zwei Werktage statt der klassischen zwei bis sechs Wochen externer Beratung.

Das Preismodell folgt der oben skizzierten Segmentlogik: 1.200 bis 2.200 Euro pro Monat für Unternehmen mit 50 bis 150 Mitarbeitenden, 2.200 bis 3.500 Euro für 150 bis 350 Mitarbeitende, 3.500 bis 4.500 Euro für 350 bis 500 Mitarbeitende mit komplexem internationalem oder branchenspezifischem Risikoprofil. Die Pauschale enthält die Officer-Funktion, die Workspace-Lizenz, Pflichtschulungen, den HinSchG-Kanal, Quartalsberichte, die Notfallrufbereitschaft und den Audit-Export. Zusatzleistungen wie M&A-Due-Diligence, interne Untersuchungen, länderspezifische Trainings oder kartellrechtliche Sondergutachten werden projektbezogen mit einem festen Stundensatz abgerechnet.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Pfade führen zu derselben Evidenzqualität, weil die Daten im gleichen System leben und denselben Audit-Export speisen. Konzernstrukturen mit mehreren Gesellschaften werden über einen einzigen Konzern-Vertrag mit gesellschaftsspezifischer Evidenz im Workspace abgebildet, was Doppelarbeit beim Audit-Export eliminiert und konsolidierte Berichte für die Konzernmutter ermöglicht.

Aus dem Lesen einen Auftrag machen. Mittelständler mit konkretem Bedarf erreichen das CIVAC-Delivery-Team unter info@civac.de oder über das Kontaktformular auf civac.de. Das Erstgespräch klärt Mitarbeitendenzahl, Risikoprofil, regulatorische Reichweite und den Migrationspfad in den Workspace. Eine indikative Pauschale steht innerhalb eines Werktags fest, die Bestellurkunde innerhalb von 48 Stunden nach Vertragsschluss, der erste Quartalsbericht innerhalb von 90 Tagen.