Compliance-Training: Wirksamkeit messen und im Audit lückenlos nachweisen

Nach § 130 OWiG haftet die Unternehmensleitung für unterlassene Aufsichtsmaßnahmen, zu denen ausdrücklich auch Schulung und Wirksamkeitskontrolle gehören. ISO 37301:2021 verlangt in Klausel 7.2 und 7.3 nicht nur die Durchführung von Schulungen, sondern den Nachweis ihrer Wirksamkeit, einschließlich Bewusstsein, Kompetenz und dokumentierter Information. Wer im Audit lediglich Teilnahmelisten vorlegt, riskiert eine Feststellung, weil reine Anwesenheit kein Indikator für Verhaltensänderung ist. Die Bußgeldrahmen reichen je nach Spezialgesetz von 50.000 Euro bis 10 Millionen Euro, im Datenschutz darüber hinaus bis 4 Prozent des weltweiten Konzernumsatzes, und sie treffen das Unternehmen unabhängig von der individuellen Schuld der Geschäftsführung.

Dieser Beitrag zeigt, wie Sie Compliance-Training so aufsetzen, dass Sie im Audit drei Dinge belegen können: Erstens, dass die richtigen Personen das richtige Wissen erhalten haben. Zweitens, dass dieses Wissen geprüft und verstanden wurde. Drittens, dass das Training nachweislich auf das Verhalten und auf Compliance-Kennzahlen wirkt. Sie erhalten konkrete KPI, eine Dokumentationsstruktur, einen Vorschlag, wie die Berichtslinie an die Geschäftsführung aussehen sollte, sowie eine Übersicht typischer Audit-Feststellungen samt vermeidender Maßnahmen. CIVAC stellt dafür eine Compliance-Plattform und Officer-as-a-Service bereit, die genau dieses Zusammenspiel aus Software, Bestellurkunde und Audit-Vorlagen abbildet und die Berichtslinie quartalsweise automatisch erzeugt.

Die häufigste Feststellung in Compliance-Audits lautet sinngemäß: Schulungen wurden durchgeführt, ein Nachweis der Wirksamkeit liegt jedoch nicht vor. Prüfer berufen sich dabei auf ISO 37301:2021, Klausel 7.3, die ausdrücklich Awareness, Kompetenz und dokumentierte Information verlangt, sowie auf § 130 OWiG, der von der Leitung erforderliche Aufsichtsmaßnahmen einfordert. Eine reine Teilnahmeliste belegt lediglich Anwesenheit, weder Verstehen noch Anwenden, weder Transfer in den Arbeitsalltag noch Reaktion auf konkrete Risikoszenarien. Selbst eine 100-Prozent-Abdeckung bleibt für sich allein ohne Aussagekraft, solange die Verständnisebene und die Verhaltensebene nicht ergänzend erhoben werden.

In der Praxis bedeutet das: Wer 95 Prozent Abdeckung meldet, aber keinen Test-Score, kein Stichprobeninterview und keinen Verhaltensindikator zeigt, hat ein Wirksamkeitsproblem, sobald die Aufsichtsbehörde oder ein interner Auditor genauer hinsieht. Besonders kritisch wird es, wenn ein Vorfall eintritt und die Geschäftsführung im Nachgang erklären muss, warum die Schulung den Verstoß nicht verhindert hat. In Schadensersatzprozessen und in Bußgeldverfahren prüfen Gerichte regelmäßig, ob das Unternehmen ein wirksames Schulungssystem unterhielt, nicht ob es ein lediglich formales führte. Wer hier nur Listen vorlegt, verliert die Möglichkeit der Bußgeldreduktion nach § 30 OWiG und schwächt die eigene Verteidigungsposition.

Hier hilft nur ein dreistufiges Modell aus Abdeckung, Verständnis und Verhalten. CIVAC strukturiert genau diese Drei-Ebenen-Logik im Workspace. Schulungen werden über die Compliance-Plattform und Officer-as-a-Service zugewiesen, Lernerfolge automatisch protokolliert und in den Quartalsbericht an die Geschäftsführung gespiegelt. Wer eine externe Verantwortlichkeit braucht, kann den Compliance-Beauftragten bei CIVAC bestellen, statt eine interne Stelle aufzubauen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

§ 130 OWiG ist die zentrale Norm im deutschen Ordnungswidrigkeitenrecht für die sogenannte Aufsichtspflichtverletzung. Die Leitung eines Unternehmens muss Aufsichtsmaßnahmen ergreifen, die erforderlich sind, um Zuwiderhandlungen zu verhindern. Die Rechtsprechung interpretiert das auch als organisatorische Pflicht zur Schulung und zur Wirksamkeitskontrolle, und zwar nicht als einmalige, sondern als kontinuierliche Anforderung. Bußgelder können bis zu 10 Millionen Euro betragen, bei vorsätzlichen Verstößen auch ein Mehrfaches, und sie werden in der Regel zusätzlich zur Geldbuße gegen das Unternehmen nach § 30 OWiG verhängt. Hinzu kommt die persönliche Haftung von Organen.

ISO 37301:2021 systematisiert das gleiche Anliegen international. Klausel 7.2 fordert, dass Beschäftigte über die erforderliche Kompetenz verfügen, Klausel 7.3 verlangt Bewusstsein für die Compliance-Politik und für die Konsequenzen von Verstößen, Klausel 7.5 fordert dokumentierte Information. Klausel 9.1 ergänzt die Pflicht zur Überwachung, Messung, Analyse und Bewertung. Diese vier Klauseln zusammen bilden den Wirksamkeitsnachweis im engeren Sinne, weil sie verlangen, dass das Unternehmen nicht nur schult, sondern den Erfolg dieser Schulung methodisch erhebt und bewertet.

Branchenspezifisch ergänzen weitere Pflichten den Rahmen: § 6 GwG für Geldwäscheprävention, § 12 AGG für die Beschäftigtenschulung, Art. 39 DSGVO für die Beratung durch den Datenschutzbeauftragten, § 9 HinSchG für die interne Meldestelle. Wer einen Geldwäschebeauftragten oder eine interne Meldestelle betreibt, muss die Schulungen nach den jeweils einschlägigen Spezialgesetzen führen und dabei zusätzlich die ISO-Anforderungen erfüllen. CIVAC bündelt diese Schichten in einem Vorlagensystem mit 490 einsatzbereiten Audit-Vorlagen, sodass Sie nicht jede Schulung von Grund auf neu konzipieren müssen und dennoch alle Spezialgesetze sauber abdecken.

Belastbare Wirksamkeitsmessung baut auf drei Ebenen auf. Die erste Ebene ist die Abdeckung: Welcher Anteil der Zielgruppe hat die Schulung innerhalb der vorgegebenen Frist abgeschlossen? Sinnvolle Zielmarken liegen bei 95 Prozent für allgemeine Pflichtschulungen und 100 Prozent für sicherheitskritische Rollen, etwa Geldwäschebeauftragter, Datenschutzbeauftragter oder Informationssicherheitsbeauftragter. Die Kennzahl wird nach Bereich, Standort, Rolle und Eintrittsdatum aufgeschlüsselt, damit Lücken sichtbar werden, bevor der Auditor sie findet. Eine reine Gesamtquote verbirgt Schwachstellen und ist als alleiniger Indikator nicht aussagekräftig.

Die zweite Ebene ist das Verständnis. Hier eignen sich Abschlusstests mit zufällig wechselnden Fragenpools, Mindest-Score in der Regel 80 Prozent, bei sicherheitskritischen Rollen 90 Prozent, sowie stichprobenartige Vertiefungsinterviews durch den Compliance-Beauftragten. Ergänzend hilft eine kurze Awareness-Befragung sechs bis acht Wochen nach der Schulung, die misst, was tatsächlich im Gedächtnis geblieben ist. Wer auf diesen Ebenen unter 70 Prozent fällt, sollte das Modul didaktisch überarbeiten, nicht einfach die Wiederholung erzwingen, denn ein schlechtes Modul wiederholt zu absolvieren bringt keinen Erkenntnisgewinn.

Die dritte Ebene ist Verhalten und damit die anspruchsvollste. Hier zählen Indikatoren wie die Zahl der Hinweise an die interne Meldestelle je 1.000 Mitarbeitende, die Quote selbst gemeldeter Beinaheverstöße, die Treffer in stichprobenartigen Mystery-Checks oder die Reaktionszeit auf simulierte Phishing-Kampagnen. Eine moderate Steigerung von Meldungen nach Schulungsroll-out gilt in der Praxis als positives Signal, weil sie Sensibilisierung anzeigt, nicht mehr Verstöße. Diese Verhaltens-KPI müssen mit dem Datenschutzbeauftragten abgestimmt werden, damit die Erhebung personenbezogener Indikatoren rechtlich sauber bleibt und keine unzulässige Verhaltenskontrolle nach § 26 BDSG entsteht.

Damit ein Schulungsnachweis im Audit standhält, müssen vier Bausteine vorliegen: das Schulungskonzept mit definierten Zielgruppen, Lernzielen und Wiederholungszyklen, die Teilnahmedokumentation pro Person mit Datum und Abschluss-Score, die Wirksamkeitsmessung auf den drei beschriebenen Ebenen sowie der Quartalsbericht an die Geschäftsführung. Fehlt einer dieser Bausteine, ist der Nachweis lückenhaft. Besonders häufig fehlt der vierte Baustein, weil interne Compliance-Funktionen ihre Berichte mündlich oder per E-Mail abgeben, ohne dass die Geschäftsführung formal Kenntnis nimmt und schriftlich gegenzeichnet.

Die Berichtslinie an die Geschäftsführung ist kein Formalismus, sondern eine harte Anforderung aus ISO 37301 Klausel 5.1.1 sowie aus § 130 OWiG. Die Leitung muss nachweislich Kenntnis von der Compliance-Wirksamkeit haben und auf Schwachstellen reagieren. In der Praxis bedeutet das einen schriftlichen Quartalsbericht mit Ampelstatus, Trendanalyse, Maßnahmenvorschlägen und einem konkreten Eskalationspfad bei roten Indikatoren. Der Bericht wird vom Compliance-Beauftragten gegengezeichnet, von der Geschäftsführung zur Kenntnis genommen, mit Datum versehen und in der Bestellurkunde-Akte abgelegt, sodass jede spätere Prüfung den Informationsfluss vollständig nachvollziehen kann.

CIVAC bildet diese Berichtslinie im Workspace nativ ab. Aus Teilnahmedaten, Test-Scores, Awareness-Befragungen und Verhaltensindikatoren entsteht automatisch ein Quartalsbericht, der unterschrieben in der Bestellurkunde-Akte abgelegt wird. Der Prüfer ruft an, der Nachweis liegt bereit. Wer dieses Setup mit einer externen Bestellung kombinieren möchte, findet weitere Informationen in den CIVAC-FAQ. Die Lösung erfüllt sowohl die deutschen Spezialgesetze als auch die ISO-Anforderungen mit derselben Datengrundlage, was Doppelarbeit vermeidet und konsistente Datenstände sicherstellt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Wirksamkeit entsteht nicht durch ein einzelnes Jahrestraining, sondern durch einen Methodenmix aus Pflichtmodulen, Microlearning und Szenario-Trainings. Pflichtmodule decken Grundwissen ab, dauern in der Regel 30 bis 60 Minuten und werden jährlich wiederholt. Sie behandeln Themen wie Antikorruption, Datenschutz, Hinweisgeberschutz, Geldwäscheprävention oder ESG-Pflichten je nach Branche und Risikoprofil. Pflichtmodule sind der notwendige, aber nicht hinreichende Anteil eines wirksamen Programms, weil sie zwar die rechtliche Mindestabdeckung sicherstellen, ohne den Transfer in den Arbeitsalltag aktiv zu fördern oder Verhalten zu trainieren.

Microlearning ergänzt das Pflichtmodul durch kurze Lerneinheiten von drei bis sieben Minuten, die unterjährig ausgespielt werden. Sie greifen aktuelle Themen auf, etwa eine neue BaFin-Auslegung, einen Rechtsprechungswechsel oder einen internen Vorfall, der zur Lessons-Learned-Schulung führt. Microlearning erhöht die Erinnerungsleistung deutlich gegenüber dem reinen Jahrestraining, weil es die Spacing-Effekte der Lernforschung nutzt und Wissen genau dann auffrischt, wenn es im Begriff ist zu verblassen. Idealerweise werden Microlearning-Einheiten in den Arbeitsalltag integriert, etwa als kurze Pflichtmodule im Intranet-Login oder als wöchentlicher Impuls per Unternehmenskommunikation.

Szenario-Trainings sind die wirksamste, zugleich aber aufwendigste Methode. Hier werden realistische Situationen simuliert, etwa ein Bestechungsversuch durch einen Lieferanten, eine verdächtige Transaktion in der Buchhaltung, eine Phishing-Mail oder eine diskriminierende Bemerkung am Arbeitsplatz. Die Teilnehmenden müssen entscheiden und erhalten anschließend differenziertes Feedback inklusive der rechtlichen Konsequenzen einer Fehlentscheidung. In sicherheitskritischen Branchen, etwa bei Banken oder in der Pharmaindustrie, sind Szenario-Trainings inzwischen Marktstandard. Der externe Datenschutzbeauftragte kann hierfür reale, aber anonymisierte Fälle aus der Mandantenpraxis einbringen, was Schulungen deutlich konkreter macht als jedes Standardvideo und Teilnehmende emotional bindet.

Interne und externe Auditoren stoßen immer wieder auf dieselben Schwachstellen. Erstens: Zielgruppen sind nicht trennscharf definiert. Schulungen werden pauschal an alle ausgespielt, obwohl Vertrieb, Einkauf und IT unterschiedliche Risiken tragen. Hier hilft eine Schulungsmatrix, in der pro Rolle die Pflichtmodule, die Auffrischungszyklen und die Mindest-Scores definiert sind. Die Matrix wird jährlich überprüft und an organisatorische Veränderungen angepasst. Zweitens: Wiederholungsfristen werden nicht überwacht. Eine Schulung gilt nur so lange als wirksam, wie sie aktuell ist, bei den meisten Pflichtthemen 12 Monate, bei Geldwäscheprävention nach BaFin-Auslegung jährlich.

Drittens: Neueintritte werden nicht systematisch erfasst. Wer im Onboarding keine Compliance-Schulung absolviert, fällt durch das Raster, bis der nächste Jahreszyklus startet. Eine automatisierte Zuweisung über das HR-System, ausgelöst beim Vertragsbeginn, schließt diese Lücke. Viertens: Externe Mitarbeitende und Leiharbeitnehmende werden vergessen. Diese Gruppe taucht in vielen Schulungssystemen nicht auf, ist aber rechtlich gleich behandlungspflichtig, soweit sie weisungsgebunden tätig ist. Auch Werkstudierende, Praktikanten und befristet Beschäftigte fallen in diesen Personenkreis.

Fünftens: Es fehlt die Verbindung zwischen Vorfall und Schulung. Wenn ein Datenschutzvorfall, ein Geldwäscheverdacht oder ein Arbeitsunfall geschieht, sollte die Lessons-Learned-Schulung innerhalb von 30 Tagen rollen, sonst verliert sich der Lerneffekt. CIVAC verbindet das Vorfallmodul direkt mit dem Schulungsmodul: Aus einer dokumentierten Meldung entsteht automatisch ein Trainingsvorschlag inklusive Zielgruppe, der vom Compliance-Beauftragten freigegeben wird. Audit-fest, dokumentiert, § 130-OWiG-fest. Sechstens schließlich: Sprachvarianten fehlen. Wer Standorte in Polen, Tschechien oder Frankreich betreibt, muss Schulungen in der jeweiligen Landessprache anbieten, sonst greift das Wirksamkeitsargument nicht und der Auditor stellt dies regelmäßig zuerst fest.

Viele Unternehmen stehen vor der Entscheidung, ob sie einen internen Compliance-Beauftragten aufbauen oder eine externe Bestellung wählen. Beide Wege sind rechtlich zulässig, der Unterschied liegt in Geschwindigkeit, Kosten, Spezialwissen und Verfügbarkeit der Vertretung. Eine interne Stelle dauert in der Regel sechs bis neun Monate von Stellenausschreibung bis Einarbeitung, häufig länger im aktuellen Fachkräftemarkt. Eine externe Bestellung über CIVAC erfolgt mit einer SLA von 2 Werktagen statt 2 bis 6 Wochen klassisch. Die Wahl zwischen beiden Modellen ist nicht endgültig, viele Unternehmen starten extern und überführen die Funktion später nach intern, sobald die Strukturen tragfähig sind.

Das Officer-Modell eignet sich besonders für Unternehmen mit weniger als 500 Mitarbeitenden, für Tochtergesellschaften internationaler Konzerne ohne eigene deutsche Compliance-Infrastruktur sowie für regulierte Branchen mit besonders hohem Spezialwissen, etwa Finanzdienstleister oder Pharmaproduktion. Hier übernimmt ein zertifizierter Beauftragter die Funktion mit Bestellurkunde, fester Berichtslinie und definierter Erreichbarkeit. Vorteil: Spezialwissen ist sofort verfügbar, Vertretungsregelungen sind vertraglich eingebaut, und der Beauftragte bringt Vorlagen sowie Benchmarks aus anderen Mandaten mit, was den Aufwand für das Unternehmen deutlich reduziert.

Die Plattform-Variante hingegen lizenziert den Workspace an die bestehenden internen Beauftragten und ergänzt damit Audit-Vorlagen, Berichtslinien, Schulungsmodule und Meldepfade. Beide Wege sind kombinierbar: Manche Unternehmen lizenzieren den Workspace für Datenschutz und Informationssicherheit, lassen aber zusätzlich den Compliance-Beauftragten extern bestellen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die EU-Datenresidenz und das nach ISO/IEC 27001:2022 zertifizierte ISMS sind in beiden Varianten enthalten, sodass auch besonders schützenswerte Schulungsdaten dort verarbeitet werden können.

Ein mittelständischer Maschinenbauer mit 850 Mitarbeitenden an drei Standorten in Deutschland und Polen führte 2024 eine vollständige Überarbeitung seines Compliance-Trainings durch. Anlass war eine externe ISO-37301-Vorbereitung, in der die Auditorin feststellte, dass Schulungen zwar dokumentiert, Wirksamkeit aber nicht belegt war. Die Geschäftsführung gab sechs Monate Frist und benannte den kaufmännischen Leiter als verantwortlich. Das Budget umfasste die Anbindung an die bestehende HR-Suite, die Lizenzierung einer Compliance-Plattform sowie eine Tagessatz-basierte Begleitung durch den externen Compliance-Beauftragten über zwölf Monate.

Schritt eins war die Definition einer Schulungsmatrix mit elf Pflichtmodulen und vier rollenspezifischen Zusatzmodulen für Vertrieb, Einkauf, IT und Werkleitung. Schritt zwei war die Einführung von Abschlusstests mit 80-Prozent-Mindest-Score sowie einer Awareness-Befragung sechs Wochen nach Abschluss. Schritt drei war die Verknüpfung mit Verhaltensindikatoren, im konkreten Fall Hinweisgeber-Eingänge und stichprobenartige Mystery-Anrufe beim Einkauf, durchgeführt durch den externen Compliance-Beauftragten unter Wahrung des Beschäftigtendatenschutzes. Schritt vier war die Einführung eines schriftlichen Quartalsberichts mit Ampelstatus, der von der Geschäftsführung in der Aufsichtsratssitzung referenziert und im Beschlussprotokoll vermerkt wurde.

Das Ergebnis nach zwei Quartalen: Die Abdeckung lag bei 97 Prozent, der durchschnittliche Test-Score bei 86 Prozent, die Hinweise an die Meldestelle stiegen von 3 auf 14 pro 1.000 Mitarbeitende, davon 11 mit konstruktivem Inhalt ohne Bezug zu Verstößen, etwa Verbesserungsvorschläge zu Prozessen. Das nachfolgende ISO-37301-Audit stellte keine Feststellung zur Schulungswirksamkeit mehr fest. Der Geschäftsführer erhielt einen Quartalsbericht von acht Seiten mit Ampelstatus, Trendanalyse und konkreten Maßnahmenvorschlägen und konnte ihn in der Aufsichtsratssitzung referenzieren. Bestellurkunde, unterschrieben, abgelegt, belegbar, jederzeit prüfbar.

CIVAC bündelt Compliance-Plattform und Officer-as-a-Service in einem System. Im Workspace verwalten Sie 25 Beauftragten-Rollen, hinterlegen die 93 Controls nach ISO/IEC 27001:2022, ziehen aus 490 einsatzbereiten Audit-Vorlagen und führen die Berichtslinie automatisch an die Geschäftsführung. Schulungsnachweise, Wirksamkeitsmessung und Vorfallhistorie liegen in einem System, mit EU-Datenresidenz und nachweisbar getrennter Mandantenführung. Das System ist auf den deutschen Rechtsrahmen ausgelegt und bildet zugleich die ISO-Klauseln 7 und 9 mit derselben Datengrundlage ab, ohne dass Doppeldokumentation erforderlich wird.

Wer keinen internen Compliance-Beauftragten besetzen möchte oder kurzfristig eine Vakanz überbrücken muss, nutzt das Officer-Modell mit einer SLA von 2 Werktagen statt 2 bis 6 Wochen klassisch. Die Bestellurkunde ist innerhalb dieser Frist unterschrieben, die Berichtslinie etabliert, die Audit-Vorlagen sind im Workspace freigeschaltet. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege erfüllen § 130 OWiG und ISO 37301 und sind im laufenden Betrieb wechselseitig konvertierbar, falls sich die organisatorische Lage durch Wachstum, M&A-Aktivitäten oder regulatorische Veränderungen verschiebt.

Wenn Sie konkret prüfen möchten, ob Ihr aktuelles Schulungssystem im Audit standhält, vereinbaren Sie ein 30-minütiges Gespräch mit einem CIVAC-Beauftragten. Sie erhalten eine erste Einschätzung zu Schulungsmatrix, KPI-Set und Berichtslinie sowie eine Empfehlung, welche der drei Ebenen in Ihrem Fall zuerst geschlossen werden sollte. Sie erhalten außerdem einen Auszug aus den Audit-Vorlagen, der die typische Struktur eines Quartalsberichts illustriert, und können bereits vor der Beauftragung prüfen, ob die Formate zu Ihrer internen Governance passen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.