Compliance-Tool für Konzerne mit Tochtergesellschaften: Mandantenfähig, Audit-fest, EU-souverän

§ 130 OWiG verpflichtet die Geschäftsleitung jedes selbstständigen Unternehmens, die Aufsichtsmaßnahmen zu treffen, die zur Verhinderung von Zuwiderhandlungen erforderlich sind. In einem Konzern mit Tochtergesellschaften gilt die Pflicht je rechtlicher Einheit, nicht je Konzern. Die Holding wird mithaftbar, wenn sie die Aufsicht über die Töchter strukturell unterlässt. Daraus ergibt sich der Bedarf an einem Compliance-Tool, das pro Mandant trennt und gleichzeitig auf Konzernebene konsolidiert: gleiche Vorlagen, gleiche Berichtslinien, getrennte Beweise, ein einziges Dashboard für die Geschäftsleitung der Holding, und ein einziger Ansprechpartner für die Konzernrevision sowie für jede Aufsichtsbehörde, ohne Brüche zwischen den Mandanten und ohne parallele Werkzeuge je Tochter.

Dieser Beitrag erklärt die regulatorische Anforderung im Detail, vergleicht die drei marktüblichen Architekturen (Excel-Konsolidierung, Einzel-Tools je Tochter, mandantenfähige Plattform), benennt die zwölf Kernfunktionen, die ein Konzern-Tool tatsächlich braucht, und zeigt, wie CIVAC als Compliance-Plattform und Officer-as-a-Service genau diese Funktionen abdeckt. Im Vordergrund stehen die operative Trennung der Mandanten, die rechtssichere Konsolidierung auf Konzernebene, die Audit-Festigkeit der Berichtslinie nach Art. 38 DSGVO und ISO/IEC 27001:2022 sowie die praktische Einführung in 30 Tagen ohne Vakanzen bei den Beauftragten. Der Beitrag schließt mit einer konkreten Reihenfolge der Schritte und einem Aufruf, das Konzern-Mapping als Vorlage anzufordern.

§ 130 OWiG (Ordnungswidrigkeitengesetz) verpflichtet die Inhaberinnen und Inhaber jedes Betriebs oder Unternehmens zu den Aufsichtsmaßnahmen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die das Unternehmen treffen. Die Norm gilt rechtsformunabhängig und betrifft jede selbstständige Einheit im Konzern. Wird die Aufsicht unterlassen, drohen Geldbußen bis zu 10 Millionen Euro je Verstoß nach § 30 OWiG, in Verbindung mit der jeweiligen Anlasstat. In der Holding-Tochter-Konstellation greift die Aufsichtspflicht zusätzlich auf der Ebene der Holding, sobald diese die Aufsicht über die Töchter strukturell organisiert oder eben unterlässt. Die Rechtsprechung legt die Pflicht in den letzten Jahren konsequent restriktiv aus.

Art. 26 DSGVO regelt die gemeinsame Verantwortlichkeit, sobald zwei Konzerngesellschaften gemeinsam Zwecke und Mittel der Verarbeitung festlegen, was bei zentralen HR-Systemen, zentralen CRMs oder zentralen Marketing-Stacks praktisch immer der Fall ist. Die Vereinbarung muss transparent regeln, wer welche Pflicht trägt, und sie muss den Betroffenen in den wesentlichen Auszügen zugänglich sein. Ohne dokumentierte Vereinbarung haftet jede Gesellschaft auch für die Pflichtverletzung der anderen, und die Aufsichtsbehörde adressiert beide gemeinsam.

ISO/IEC 27001:2022 verlangt in Klausel 4.3 die Festlegung des Geltungsbereichs (scope) je Organisation. Wer ein Konzernzertifikat anstrebt, definiert den Scope einmal sauber und führt die 93 Controls in jeder einbezogenen Tochter nachvollziehbar fort. Der Informationssicherheitsbeauftragte jeder Tochter berichtet an die ISMS-Leitung der Holding; die Plattform muss die Berichtslinie technisch abbilden und im Audit-Trail nachweisen. Wer den Scope-Wechsel zur Version 2022 noch vor sich hat, plant die Migration je Tochter mit Datum und Verantwortlichkeit, statt zentral pauschal anzukündigen. Die drei Normen greifen ineinander, und ein Konzern-Tool muss diese Verzahnung in einem Datenmodell tragen.

Architektur 1: Excel-Konsolidierung. Jede Tochter pflegt ihre Compliance in Tabellen, die Holding sammelt einmal im Quartal per Mail. Vorteile: niedrige Lizenzkosten, sofort einsetzbar, vertraute Werkzeuge. Nachteile: keine Versionierung, keine Audit-Spur, keine Aktualität, kein Rollen-Konzept, keine Beweiskraft im Streit, kein automatisches Fristen-Monitoring. Bei drei Töchtern noch handhabbar, ab fünf zerfällt das Modell, ab zehn ist es ein Risiko, das in der nächsten Konzernprüfung als systemischer Mangel auftaucht. Der manuelle Aufwand für die Konsolidierung übersteigt nach ein bis zwei Jahren regelmäßig die Lizenzkosten einer professionellen Plattform.

Architektur 2: Einzel-Tools je Tochter. Jede Tochter beschafft ihre eigene Lösung, oft historisch gewachsen durch Akquisitionen oder durch lokale Beauftragten-Empfehlungen. Vorteile: lokale Verantwortung, schnelle Einführung pro Einheit. Nachteile: n-fache Schulung, n-fache Wartung, n unterschiedliche Datenmodelle, n separate Audit-Prozesse, keine konsolidierte Sicht auf Konzernebene, keine einheitliche Vorlagen-Basis. Die Holding muss aus n Datenexports einen Bericht zusammenstellen, ohne dass die Vorlagen oder Definitionen übereinstimmen. Konzernprüfungen werden teuer und langsam, und die Aufsichtsbehörden bemerken die Inkonsistenz spätestens bei der ersten Querverbindung.

Architektur 3: Mandantenfähige Plattform. Eine technische Instanz, getrennte Datenräume je Tochter, gemeinsame Vorlagen und Konsolidierung auf Konzernebene. Vorteile: einheitliche Berichtslinie, einmalige Schulung, einmalige Wartung, geprüfte EU-Datenresidenz, ein einziger Ansprechpartner für den Konzernprüfer und eine einheitliche Rollenbibliothek. Voraussetzung ist eine technische Architektur, die echte Datentrennung sicherstellt und die Konsolidierungssichten rollenbasiert freischaltet. CIVAC ist als Compliance-Plattform und Officer-as-a-Service genau auf diese dritte Architektur ausgelegt, mit 25 vorkonfigurierten Beauftragten-Rollen über alle Mandanten hinweg und einer einheitlichen Konsolidierungssicht für die Konzern-Compliance. Die Entscheidung für Architektur 3 ist kein Technologie-Projekt, sondern eine organisatorische Entscheidung; die Technologie folgt der Entscheidung, nicht umgekehrt. In der Praxis amortisiert sich der Wechsel binnen zwölf bis achtzehn Monaten.

Erstens, Mandantentrennung mit eigenem Datenraum je Tochter und rollenbasierter Konsolidierung auf Konzernebene. Zweitens, einheitliche Rollenbibliothek für alle Beauftragten (DSB, ISB, Compliance, Geldwäsche, ESG, Hygiene, Brandschutz, Gefahrgut, Gefahrstoff, SiFa und weitere), damit Bestellurkunde, Rollenbeschreibung und Berichtslinie über alle Töchter identisch sind. Drittens, Audit-Vorlagen mit Versionsstand und Freigabeworkflow, der eine Konzernrevision ohne Rückfragen akzeptiert. Viertens, ein Meldepfad für Sicherheitsvorfälle mit den NIS-2-Fristen von 24 Stunden Frühwarnung und 72 Stunden Folgemeldung, vorkonfiguriert je Bundesland-Aufsicht.

Fünftens, der DSGVO-Meldepfad nach Art. 33 für die 72-Stunden-Frist mit automatisch erzeugter Aufsichtsbehörden-Adressierung je Bundesland und je Tochter. Sechstens, ein Verzeichnis der Verarbeitungstätigkeiten je Tochter, das auf Konzernebene aggregiert und für gemeinsame Verantwortlichkeit nach Art. 26 DSGVO verknüpft werden kann. Siebtens, eine Schulungs- und Awareness-Funktion, die zentral verwaltet, lokal verteilt und in jeder Tochter individuell dokumentiert wird, mit Nachweis je Mitarbeitenden und je Pflichtschulung.

Achtens, ein Hinweisgeberkanal nach Hinweisgeberschutzgesetz mit getrenntem Eingang je Mandant und konzernweiter zweiter Instanz für Eskalationen. Neuntens, ein Lieferantenmodul mit DSGVO-Auftragsverarbeitungsverträgen und LkSG-Risikoanalysen, konsolidiert auf Konzernebene. Zehntens, EU-Datenresidenz und ISO/IEC 27001:2022-Hosting für die Plattform selbst. Elftens, ein Audit-Trail mit Tamper-Evidence-Mechanik, damit jeder Klick und jede Unterschrift unveränderlich protokolliert ist und im Streitfall vor Gericht standhält. Zwölftens, eine Berichtslinie an die Konzernrevision in maschinenlesbarer Form. CIVAC deckt alle zwölf Funktionen aus einer Hand ab. Wer eine kürzere Liste sucht, verschiebt das Problem in spätere Audits; jede der zwölf Funktionen ist regelmäßig in mindestens einer Aufsichtsprüfung relevant. Die Kürze der Liste ist Ergebnis vieler Konzern-Audits, nicht Marketing-Vereinfachung.

Technische Trennung bedeutet, dass jede Tochter einen eigenen logischen Datenraum erhält, dass die Berechtigungen je Mandant getrennt vergeben werden, und dass eine Sicht auf Konzernebene nur rollenbasiert über eine Konsolidierungsfunktion freigeschaltet wird. Mitarbeitende einer Tochter sehen ausschließlich Daten ihrer eigenen Tochter. Der Konzern-Compliance-Officer sieht aggregierte Kennzahlen über alle Mandanten, aber keine personenbezogenen Einzeldatensätze ohne expliziten lokalen Zugang. Diese Trennung wird vor jeder Konzern-Auditierung durch ein Berechtigungs-Audit nachgewiesen und im Audit-Trail protokolliert.

Organisatorische Trennung bedeutet, dass jede Tochter eine eigene Bestellurkunde je Beauftragten-Rolle führt, mit eigenem Datum, eigener Berichtslinie und eigener Unterschrift der Tochter-Geschäftsführung. Auch wenn die gleiche Person als Beauftragte über mehrere Töchter bestellt ist, gibt es n Bestellurkunden, n Rollenbeschreibungen und n separate Meldungen an die jeweils zuständigen Aufsichtsbehörden. Andernfalls greift die Aufsicht bei einer Tochter ins Leere, sobald die zentrale Bestellung formal angegriffen wird, und die Haftung fällt auf die Geschäftsführung der jeweiligen Tochter zurück.

CIVAC führt jede Tochter als eigenen Mandanten mit eigenem Vertrag, eigener Bestellurkunde-Serie, eigener URL und eigenem Audit-Trail. Die Konsolidierungssicht für die Konzern-Compliance ist eine zusätzliche Rolle mit Read-only-Zugriff auf Kennzahlen, Dokumenten-Status und Fristen aller verknüpften Mandanten. Der Rollenkatalog zeigt für jede der 25 Beauftragten-Rollen die Standard-Berichtslinie, die auf Wunsch je Tochter angepasst werden kann. Bestellurkunde, unterschrieben, abgelegt, belegbar, in jeder Tochter, ohne Ausnahme. Diese doppelte Trennung wird in jedem ISO-Audit, in jeder DSGVO-Prüfung und in jeder Konzernrevision getrennt nachgewiesen, und sie spart in den nachfolgenden Audits die wiederkehrende Klärungsschleife. Die Konfiguration der Mandanten erfolgt einmalig beim Onboarding und wird danach nur bei Änderungen der Konzernstruktur angepasst.

Die Konzern-Compliance braucht weniger Kennzahlen, als die meisten Tools anbieten. Sechs sind in der Praxis genug. Erstens: Anzahl bestellter Beauftragter je Rolle und je Tochter mit Status (aktiv, vakant, in Vertretung). Zweitens: Anzahl offener Audit-Funde je Tochter, gegliedert nach Schweregrad (kritisch, mittel, gering) mit mittlerer Bearbeitungsdauer und ältestem offenen Fund. Drittens: Anzahl meldepflichtiger Vorfälle in den letzten zwölf Monaten je Tochter, je Meldepfad (NIS-2 BSI, DSGVO Aufsichtsbehörde, HinSchG interne Meldestelle, ESG-Beschwerden), jeweils mit Status der Bearbeitung.

Viertens: Schulungsabdeckung je Pflichtschulung und je Tochter in Prozent, mit Stichtag und nächster Wiederholungspflicht. Fünftens: Stand der Verzeichnisse der Verarbeitungstätigkeiten je Tochter, mit letztem Review-Datum und Anzahl offener Aktualisierungen. Sechstens: Lieferantenrisiko je Tochter aus den LkSG- und DSGVO-AVV-Bewertungen, mit Anzahl Hochrisiko-Lieferanten und nächstem fälligen Reassessment. Diese sechs Kennzahlen passen auf eine A4-Seite und genügen einer Konzernrevision für die Quartalssitzung des Audit Committee.

Die Plattform muss die sechs Kennzahlen tagesaktuell aus den operativen Daten der Mandanten ableiten, ohne dass die Töchter manuell zuarbeiten oder Excel-Vorlagen ausfüllen. Sobald eine Tochter eine Bestellurkunde signiert oder einen Audit-Fund schließt, aktualisiert sich die Konzernsicht in Echtzeit. CIVAC liefert diese Konsolidierung als Standard-Funktion mit, gemeinsam mit einer maschinenlesbaren Schnittstelle für ERP- oder GRC-Konnektoren. Der Prüfer ruft an, der Nachweis liegt bereit, je Tochter und je Konzern, ohne Vorbereitungstag. Die sechs Kennzahlen werden zusätzlich in einer historischen Zeitreihe geführt, damit Trends sichtbar werden und nicht erst beim Jahresvergleich auffallen. Negative Entwicklungen lösen automatisch einen Hinweis an die Konzern-Compliance aus, mit Vorschlag zur Eskalation an die betroffene Tochter-Geschäftsführung.

In Konzernen mischen sich Modelle. Eine Tochter hat einen internen DSB; die nächste hat keine geeignete interne Ressource und nutzt einen externen DSB; die dritte ist eine GmbH-Akquisition mit Altvertrag, der gekündigt werden soll. Ein Konzern-Tool muss beide Modelle parallel tragen, ohne dass die Berichtslinie zur Holding bricht und ohne dass die Vorlagen pro Tochter neu erfunden werden. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, je Tochter individuell konfiguriert und im selben Audit-Trail dokumentiert.

Praktisch bedeutet das: in den Töchtern mit interner Besetzung erhält die jeweilige interne Beauftragte vollen Zugriff auf den Mandanten-Workspace, mit den 490 Audit-Vorlagen, den 93 ISO-Controls und den Meldepfaden. In den Töchtern ohne interne Besetzung übernimmt eine CIVAC-Beauftragte oder ein CIVAC-Beauftragter die Bestellung, arbeitet im gleichen Workspace und berichtet entlang derselben Linie an die Konzern-Compliance. Die SLA für die externe Bestellung beträgt zwei Werktage, gemessen ab unterzeichnetem Vertrag, und die Bestellurkunde liegt am dritten Werktag im Audit-Trail.

Die Misch-Konfiguration ist die Regel, nicht die Ausnahme. Sie spiegelt die Wirklichkeit nach Zukäufen, Umstrukturierungen und Reifegradunterschieden zwischen den Töchtern. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das duale Modell ist das einzige, das in einer Konzernrealität ohne Brüche funktioniert, und es ist im Standardvertrag von CIVAC bereits abgebildet, ohne Zusatzklauseln. Ein Wechsel zwischen Modellen ist je Tochter jederzeit möglich, ohne Datenmigration und ohne erneute Schulung der Konzern-Compliance. Diese Flexibilität ist wesentlich, weil sich Personalsituationen in Töchtern schneller ändern, als ein klassischer Anbieterwechsel umsetzbar wäre.

Konzerne mit europäischen Aufsichtsbehörden, mit Pharmazulassungen, mit öffentlichen Auftraggebern oder mit US-Cloud-Vermeidungsklauseln in den Kundenverträgen brauchen eine dokumentierte EU-Datenresidenz für jedes Compliance-Werkzeug. Schrems II (EuGH, C-311/18, 16. Juli 2020) hat die Anforderungen an internationale Datentransfers verschärft. Ein Compliance-Tool, das in den USA gehostet wird oder dort administriert wird, erzeugt einen Datentransfer, der eigenständig gerechtfertigt werden muss, mit Standardvertragsklauseln und ergänzenden Maßnahmen je Verarbeitungstätigkeit. In vielen Konzern-Compliance-Reviews wird dieser Punkt zum K.O.-Kriterium der Anbieterauswahl.

CIVAC ist in der EU gehostet, die Administration erfolgt durch europäische Mitarbeitende, die zugrundeliegende Infrastruktur ist nach ISO/IEC 27001:2022 zertifiziert. Die 93 Controls dieser Norm sind nicht nur Compliance-Inhalt der Plattform, sondern Anforderung an die Plattform selbst, regelmäßig auditiert und nachweisbar gepflegt. Damit erfüllt die Plattform die Anforderungen, die sie an die Mandanten stellt, und kann eine entsprechende Bestätigung in die Auftragsverarbeitungsverträge schreiben, ohne Klauseln nachverhandeln zu müssen.

Für Konzerne mit Tochtergesellschaften außerhalb der EU bleibt der Mandant der EU-Mutter weiterhin in der EU; für eine US- oder UK-Tochter wird ein separater Datentransfer-Folgenabschätzungs-Block geführt. Die Trennung ist sauber und überprüfbar, jede Verarbeitungstätigkeit ist je Mandant einer Datenkategorie und einem Rechtsraum zugeordnet. Frist laeuft ab Kenntnis, das Tool darf nicht selbst zum Anlass werden, eine Meldung an eine Aufsichtsbehörde zu schreiben. Die jährliche Aktualisierung der Transfer-Folgenabschätzung ist im Workspace als wiederkehrende Aufgabe hinterlegt und wird automatisch eskaliert. Damit erfüllt die Plattform die Sorgfaltspflicht der Holding gegenüber den Datenschutzbehörden, ohne dass die Tochter-Beauftragten zusätzliche Termine im Kalender führen müssen.

Tag 1 bis 5: Konzern-Mapping. Alle Töchter werden gelistet, je Tochter wird der aktuelle Stand der Beauftragten-Bestellungen erhoben, je Rolle und je Tochter wird das Soll definiert. Verantwortlich ist die Konzern-Compliance, unterstützt durch die HR- und Legal-Funktionen der Töchter. Das Mapping wird in einer einzigen Tabelle dokumentiert, die später ins Tool importiert wird, und es wird durch den Konzernvorstand schriftlich freigegeben, mit Datum und Unterschrift. Die freigegebene Tabelle ist die Grundlage für die Mandantenanlage.

Tag 6 bis 15: Mandantenanlage und Migration. Jede Tochter wird im Tool als eigener Mandant angelegt, die bestehenden Bestellurkunden werden in den jeweiligen Mandanten hochgeladen, die Berichtslinie wird konfiguriert. Verantwortlich ist die Tochter-Geschäftsführung gemeinsam mit dem CIVAC-Onboarding. Risiken in dieser Phase sind unklare Altverträge externer Beauftragter, die parallel laufen; diese werden in einem Übergangsplan geordnet auslaufen, ohne Vakanzen zu erzeugen oder Aufsichtsmeldungen zu blockieren. Ein klar dokumentiertes Übergabeprotokoll je Beauftragter ist Pflicht.

Tag 16 bis 30: Konsolidierung und erste Konzernsicht. Die sechs Kennzahlen der Konzernsicht werden aktiviert, die erste Quartalsmeldung an die Konzernrevision wird vorbereitet, die offenen Audit-Funde werden je Tochter priorisiert und mit Fristen versehen. Spätestens am Tag 30 liegt eine konsolidierte A4-Seite vor, die der Konzernvorstand abzeichnet. Ab diesem Tag arbeitet der Konzern in einer Plattform statt in n Aktenschränken, und der nächste Konzern-Audit findet eine einheitliche Datenbasis vor, was die Auditkosten und die Audit-Dauer messbar senkt. Die Erfahrungswerte aus früheren Konzerneinführungen zeigen eine Reduktion der Auditvorbereitungszeit um sechzig Prozent ab dem zweiten Audit-Zyklus.

Wenn Ihr Konzern aus drei oder mehr Tochtergesellschaften besteht und die Aufsichtspflicht nach § 130 OWiG, die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO und die ISO/IEC 27001:2022-Anforderungen aktuell auf Excel, n Einzel-Tools oder eine improvisierte Mischung verteilt sind, ist der nächste Schritt eine Bestandsaufnahme entlang der zwölf Kernfunktionen dieses Beitrags. CIVAC liefert die Bestandsaufnahme als zweiseitige Vorlage und das Konzern-Mapping als Excel-Template, beides ohne Vertragsbindung und ohne kostenpflichtige Workshops im Vorfeld.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service so gebaut, dass die Holding und alle Töchter im selben Werkzeug arbeiten, ohne Mandantengrenzen zu verletzen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, je Tochter individuell. Die SLA für die externe Bestellung liegt bei zwei Werktagen statt zwei bis sechs Wochen, die EU-Datenresidenz ist im Standardvertrag dokumentiert, die 25 Beauftragten-Rollen sind über alle Mandanten hinweg identisch vorkonfiguriert. Eine Konzernrevision findet damit eine einheitliche Datenbasis statt n verschiedener Tabellen, was die Audit-Dauer messbar verkürzt.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de mit der Anzahl Ihrer Töchter, den betroffenen Beauftragten-Rollen und Ihrem Wunschstartdatum, oder nutzen Sie das Kontaktformular auf civac.de. Die erste Rückmeldung enthält ein Konzern-Mapping-Template, eine Kostenindikation für die Mandantenanzahl und einen Vorschlag für den 30-Tage-Einführungsplan, schriftlich, innerhalb von zwei Werktagen, gezeichnet durch die verantwortliche Beauftragte. Eine telefonische Rücksprache ist nicht erforderlich, kann aber jederzeit angefordert werden, und ein Pilotbetrieb mit einer ausgewählten Tochter ist Standardoption. Der Pilot wird in der Regel mit der Tochter gestartet, deren nächster Audit am nächsten ansteht; so wird der erste Wert sichtbar, bevor der Konzernrollout abgeschlossen ist.