Compliance-Schulung: Pflichten, Nachweise und Wiederholungsintervalle nach § 130 OWiG

Nach § 130 OWiG haftet die Geschäftsleitung persönlich, wenn Aufsichtsmaßnahmen unterbleiben und dadurch Pflichtverletzungen ermöglicht werden. Eine dokumentierte Compliance-Schulung gehört zum Kern dieser Aufsichtspflichten und ist damit keine freiwillige Kulturmaßnahme, sondern ein Baustein der Enthaftung. Bußgelder nach § 30 OWiG erreichen bei vorsätzlichen Anknüpfungstaten bis zu zehn Millionen Euro, hinzu treten Gewinnabschöpfung und Reputationsschäden.

Der Beitrag ordnet Compliance-Schulungen entlang der einschlägigen Rechtsquellen ein: DSGVO, HinSchG, GwG, LkSG, AGG, ArbSchG und sektorale Regelwerke wie NIS2UmsuCG. Sie erfahren, welche Themen Pflichtinhalt sind, welche Intervalle die Aufsichtspraxis erwartet, welche Nachweise im Audit Bestand haben und wie Schulungen zu einem belegbaren Compliance-Management-System verzahnt werden. Im Mittelpunkt steht die Frage, was am Tag der Prüfung tatsächlich vorliegen muss.

Die zentrale Norm ist § 130 OWiG. Sie verpflichtet Inhaber von Unternehmen, die Aufsichtsmaßnahmen zu ergreifen, die erforderlich sind, um Zuwiderhandlungen gegen betriebsbezogene Pflichten zu verhindern. Schulung der Belegschaft ist nach gefestigter Aufsichts- und Rechtsprechungspraxis ein Kernbestandteil dieser Maßnahmen. Wer schult nicht, riskiert eine eigenständige Ordnungswidrigkeit, unabhängig von der Anknüpfungstat des Mitarbeiters.

Hinzu treten spezialgesetzliche Schulungspflichten. Art. 39 Abs. 1 lit. b DSGVO verlangt vom Datenschutzbeauftragten die Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter. § 6 GwG fordert in geldwäscherelevanten Sektoren regelmäßige Unterrichtung. Das HinSchG setzt voraus, dass interne Meldewege bekannt gemacht werden. Das LkSG verlangt nach § 6 Abs. 4 risikobezogene Schulungen der eigenen Beschäftigten und gegebenenfalls von Lieferanten.

Für die Geschäftsleitung folgt daraus ein doppelter Maßstab. Erstens muss ein Schulungskonzept existieren, das Pflichtthemen, Zielgruppen, Frequenz und Nachweisführung regelt. Zweitens muss die Umsetzung belegbar sein. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ohne diese Dokumentationslinie greifen Enthaftungsargumente im Bußgeldverfahren ins Leere. CIVAC verzahnt diese Pflichten in einer externen Compliance-Beauftragung oder im Workspace für interne Beauftragte.

Das Schulungsprogramm muss am Risikoprofil des Unternehmens ausgerichtet sein. Generische Foliensätze ohne Bezug zur tatsächlichen Tätigkeit erfüllen die Aufsichtspflicht nicht. Folgende Themen gelten in den meisten mittelständischen Unternehmen als Pflichtinhalt.

• Datenschutz und Informationssicherheit: DSGVO-Grundsätze, Meldepflicht nach Art. 33 DSGVO mit 72-Stunden-Frist, Auftragsverarbeitung nach Art. 28 DSGVO, technische und organisatorische Maßnahmen.
• Antikorruption: § 299 StGB, Zuwendungen, Einladungen, Drittparteien, Vier-Augen-Prinzip.
• Kartellrecht: Verhalten in Verbänden, Informationsaustausch mit Wettbewerbern, Marktabsprachen.
• Geldwäscheprävention: §§ 10 ff. GwG, Risikoanalyse, Sorgfaltspflichten, Verdachtsmeldungen.
• Hinweisgeberschutz: Meldewege nach HinSchG, Schutz vor Repressalien, Vertraulichkeit.
• Arbeitsrecht und AGG: Diskriminierungsverbote, Beschwerdestelle nach § 13 AGG.
• Lieferkette: menschenrechtliche und umweltbezogene Risiken nach LkSG, Beschwerdeverfahren nach § 8 LkSG.

Sektorale Ergänzungen sind verpflichtend, sobald das Unternehmen unter NIS-2, KritisDachG, MaRisk, MDR oder vergleichbare Regelwerke fällt. Die Rolle des Informationssicherheitsbeauftragten umfasst dabei eigene, technisch geprägte Schulungsmodule, die nicht durch eine allgemeine Compliance-Unterweisung ersetzt werden können.

Eine einheitliche gesetzliche Frequenz existiert nicht. Die Aufsichtspraxis und einschlägige Branchenstandards geben jedoch klare Bänder vor, an denen sich Geschäftsleitungen orientieren sollten. Wer darunter bleibt, muss die Abweichung im Compliance-Management-System begründen können.

Ereignisbezogene Schulungen kommen hinzu: nach einer Datenpanne, einem internen Vorfall, einer Gesetzesänderung oder einer wesentlichen Reorganisation. Diese ad-hoc-Module sind kein Ersatz für die Regelfrequenz, sondern eine Pflicht zusätzlich. Der Prüfer ruft an, der Nachweis liegt bereit.

Pauschale Schulungen für die gesamte Belegschaft sind notwendig, aber nicht hinreichend. Die Aufsicht erwartet eine differenzierte Adressatenanalyse. Drei Ebenen sind zu unterscheiden.

Erste Ebene: alle Beschäftigten. Grundunterweisungen zu Datenschutz, IT-Sicherheit, Meldewegen, Diskriminierungsschutz. Onboarding innerhalb der ersten 30 Tage, dann jährliche Auffrischung. Auch befristet Beschäftigte, Werkstudierende und Praktikanten gehören in diese Gruppe.

Zweite Ebene: Risikogruppen. Vertrieb, Einkauf, Personalwesen, Finance, IT-Administration. Hier kommen vertiefte Module hinzu, etwa zu Antikorruption, Kartellrecht, Sanktionen, Auftragsverarbeitung. Externe Dienstleister mit Zugang zu personenbezogenen Daten sind nach Art. 28 DSGVO ebenfalls einzubinden, mindestens vertraglich.

Dritte Ebene: Beauftragte und Leitungspersonen. Datenschutzbeauftragte, Compliance-Beauftragte, Informationssicherheitsbeauftragte, Geldwäschebeauftragte, LkSG-Beauftragte. Für sie gelten eigene Fortbildungspflichten, die durch Fachkonferenzen, Zertifizierungen oder strukturierte Selbststudienprogramme erfüllt werden. Auch die Geschäftsleitung ist Adressat: § 4 Abs. 3 LkSG verpflichtet sie ausdrücklich zur Befassung mit dem Risikomanagement.

CIVAC bildet diese Adressatenmatrix im Workspace ab und ordnet Pflichten, Teilnehmerlisten und Nachweise automatisch der jeweiligen Rolle zu. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Das Format ist rechtlich frei wählbar, solange die Wirksamkeit nachweisbar ist. In der Praxis haben sich drei Säulen etabliert, die häufig kombiniert werden.

E-Learning deckt skalierbar die Pflichtthemen für große Belegschaften ab. Voraussetzung sind Lernkontrollen mit Bestehensgrenze, Wiederholungslogik bei Nichtbestehen und ein revisionssicheres Lernmanagementsystem. Reine Klick-Strecken ohne Tests gelten als Indiz für unzureichende Aufsicht.

Präsenz- oder Live-Online-Schulungen sind für Risikogruppen und Beauftragte angezeigt. Sie ermöglichen Fallarbeit, Diskussion und das Stellen offener Fragen. Aufsichtsbehörden bewerten interaktive Formate bei Hochrisikothemen wie Geldwäsche oder Kartellrecht regelmäßig höher als reines Selbststudium.

Hybride Modelle verbinden E-Learning-Grundlagen mit Vertiefungs-Workshops. Sie sind effizient und gleichzeitig auditfähig, wenn die Übergabepunkte sauber dokumentiert sind.

Unabhängig vom Format gilt der gleiche Maßstab: nachvollziehbares Curriculum, datierter Teilnehmerkreis, bestätigte Anwesenheit, dokumentierte Lernkontrolle, archivierter Nachweis. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer Schulungen in Outlook-Einladungen und PowerPoint-Anhängen verwaltet, scheitert in der Prüfung an der Beweisführung, nicht an den Inhalten.

Im Verfahren nach § 30 OWiG, in einer DSGVO-Prüfung oder bei einem ISO/IEC 27001:2022-Audit zählt nicht, was geschult wurde, sondern was nachgewiesen werden kann. Sechs Dokumentationsbausteine sind Pflicht.

1. Curriculum: schriftliches Schulungskonzept mit Pflichtthemen, Zielgruppen, Intervallen, Verantwortlichkeiten.
2. Teilnehmerliste: namentlich, mit Funktion und Datum.
3. Inhaltsnachweis: Foliensatz, E-Learning-Modul-ID oder Skript in der Fassung des Schulungstages.
4. Lernkontrolle: Testergebnisse mit Bestehensgrenze, Wiederholungen bei Nichtbestehen.
5. Bestätigung: Unterschrift, Klick-Confirm oder Single-Sign-On-Bestätigung mit Zeitstempel.
6. Aufbewahrung: Aufbewahrungsfrist je nach Norm zwischen drei und zehn Jahren, revisionssicher.

Bei externen Schulungen kommen Anbieterverträge, Qualifikationsnachweise der Dozenten und Curriculum-Versionen hinzu. Für E-Learning ist ein Audit-Log erforderlich, das nachträgliche Manipulation ausschließt. CIVAC ergänzt diese Linie um die 37 einsatzbereiten Audit-Vorlagen und einen revisionssicheren Ablagepfad in der EU-Datenresidenz. Audit-fest, dokumentiert, § 130-fest.

Die Letztverantwortung trägt die Geschäftsleitung. Sie kann operativ delegieren, nicht jedoch enthaften. § 130 OWiG verlangt eine sorgfältige Auswahl, Unterweisung und Überwachung der mit Aufsicht betrauten Personen. Wer eine Rolle ohne Ressourcen besetzt, hat die Pflicht nicht erfüllt.

In der Regel liegt die Schulungsorganisation beim Compliance-Beauftragten, in größeren Häusern beim Chief Compliance Officer. Themenfelder werden an Fachverantwortliche delegiert: Datenschutz an den DSB, Informationssicherheit an den ISB, Geldwäsche an den GwB, Arbeitssicherheit an die SiFa. Wichtig ist eine schriftlich fixierte Aufgabenverteilung, idealerweise als Bestellurkunde mit definierter Berichtslinie an die Geschäftsleitung.

Externe Beauftragte sind eine wirksame Option, wenn intern Kapazität oder Qualifikation fehlt. Sie erfüllen die gleichen gesetzlichen Anforderungen, müssen aber unabhängig sein, Zugang zu allen relevanten Informationen erhalten und unmittelbar an die Geschäftsleitung berichten können. CIVAC stellt diese Funktion als Officer-as-a-Service bereit, inklusive Bestellurkunde, Berichtslinie und Schulungsorganisation.

Wichtig ist die saubere Trennung von Schulungsorganisation und Schulungskontrolle. Wer schult, prüft nicht den Erfolg der eigenen Schulung. Diese Funktionentrennung gehört zu den Pflichtcontrols nach ISO/IEC 27001:2022 und ist auch außerhalb zertifizierter Umgebungen gute Praxis.

Die finanziellen Risiken sind erheblich. § 30 OWiG erlaubt bei vorsätzlichen Anknüpfungstaten Geldbußen bis zu zehn Millionen Euro, bei fahrlässigen Taten bis fünf Millionen Euro. Bei DSGVO-Verstößen erreichen Bußgelder nach Art. 83 DSGVO bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes. Unter NIS-2 sind wesentliche Einrichtungen mit bis zu zehn Millionen Euro oder zwei Prozent Konzernumsatz bedroht, wichtige Einrichtungen mit bis zu sieben Millionen Euro oder 1,4 Prozent.

Hinzu treten Gewinnabschöpfung nach § 17 Abs. 4 OWiG, zivilrechtliche Schadensersatzansprüche, der Eintrag im Wettbewerbsregister sowie reputationsrelevante Veröffentlichungen durch Aufsichtsbehörden. Bei Vergaberecht und ESG-Reporting ist ein dokumentierter Schulungsstand zunehmend Eignungskriterium. Frist läuft ab Kenntnis.

Die häufigste Schwachstelle in Bußgeldverfahren ist nicht das Fehlen der Schulung, sondern das Fehlen des Nachweises. Unternehmen, die schulen, aber nicht dokumentieren, stehen im Verfahren so da wie Unternehmen, die nicht geschult haben. Eine strukturierte Schulungsdokumentation ist damit der wichtigste Hebel, um aus einer faktisch erfüllten Pflicht eine rechtlich anerkannte Enthaftung zu machen. Genau hier setzt der CIVAC-Workspace an und macht aus Trainings einen prüffähigen Bestand.

Compliance-Schulung ist eine Aufsichtspflicht, kein Kulturprogramm. Wer sie sauber organisiert, schützt die Geschäftsleitung vor persönlicher Haftung, das Unternehmen vor Bußgeldern und die Belegschaft vor unklaren Erwartungen. Wer sie als Pflichtfolie verwaltet, verliert im Audit die Beweisführung.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Im Workspace verzahnen wir Pflichtthemen, Zielgruppen, Intervalle, Audit-Vorlagen, Lernkontrollen und Nachweise mit der Bestellurkunde des jeweiligen Beauftragten. Für mittelständische Häuser, die intern keine eigene Compliance-Abteilung aufbauen wollen, übernehmen unsere externen Beauftragten die Funktion, inklusive Berichtslinie an die Geschäftsleitung und EU-Datenresidenz für sämtliche Nachweise. Die 37 einsatzbereiten Audit-Vorlagen decken die häufigsten Schulungs- und Prüfsituationen ab und werden laufend an Änderungen der Aufsichtspraxis angepasst.

Aus dem Lesen einen Auftrag machen. Wenn Sie Ihre Schulungspflichten nach § 130 OWiG, DSGVO, HinSchG, GwG und LkSG in einer Linie führen möchten, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir beantworten innerhalb von zwei Werktagen, ob ein Workspace-Setup oder eine externe Bestellung der geeignete Weg ist.