77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Compliance im Unternehmen: Pflichten, Rollen und der operative Aufbau
Governance & Compliance

Compliance im Unternehmen: Pflichten, Rollen und der operative Aufbau

10. Juli 202613 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Compliance ist in Deutschland keine Empfehlung, sondern Pflicht: § 130 OWiG, § 91 Abs. 2 AktG, § 43 GmbHG und das LkSG regeln die Sorgfaltspflichten der Geschäftsführung. Dieser Beitrag zeigt, welche Pflichten gelten, welche Rollen entstehen und wie ein Compliance-System operativ aufgebaut wird.

Compliance ist in Deutschland keine freiwillige Initiative, sondern eine Pflicht, die sich aus mehreren Gesetzen ableitet. § 130 OWiG verlangt von Unternehmen die gehörige Aufsicht zur Verhinderung von Pflichtverletzungen, § 91 Abs. 2 AktG fordert von Vorständen ein Überwachungssystem zur Früherkennung bestandsgefährdender Entwicklungen, § 43 GmbHG normiert die Sorgfaltspflicht des Geschäftsführers. Hinzu kommen spezialgesetzliche Pflichten aus DSGVO, GwG, HinSchG, LkSG, NIS2UmsuCG und branchenspezifischen Regelwerken wie KWG, MaRisk, Medizinprodukterecht oder Lebensmittelhygiene. Wer als Geschäftsführung diese Pflichten verletzt, haftet persönlich, oft mit dem Privatvermögen, und das Unternehmen riskiert Verbandsgeldbußen bis 10 Mio. Euro nach NIS-2 oder bis 4 Prozent des Konzernumsatzes nach DSGVO. Reputationsschäden, Auftragsverluste und Vertragskündigungen kommen hinzu.

Dieser Beitrag erklärt, welche Pflichten konkret gelten, welche Rollen für welche Themen zwingend zu benennen sind, wie eine Compliance-Risikoanalyse als Fundament dient, wie ein Compliance-Management-System nach IDW PS 980 oder ISO 37301 operativ aufgebaut wird, welche Audit-Erwartungen Wirtschaftsprüfer und Behörden haben und welche Werkzeuge die CIVAC-Compliance-Plattform für mittelständische und große Unternehmen bereitstellt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Aufbau folgt einer praxisorientierten Reihenfolge von Rechtsrahmen über Rollenkonzept bis hin zum laufenden Audit-Betrieb und schließt mit konkreten Schritten zur Mandatierung.

Auf einen Blick

  • Compliance-Pflichten in Deutschland ergeben sich aus § 130 OWiG, § 91 AktG, § 43 GmbHG plus Spezialgesetzen wie DSGVO, LkSG und NIS2UmsuCG.
  • Ein Compliance-Management-System nach IDW PS 980 oder ISO 37301 besteht aus sieben Bausteinen von Kultur bis Verbesserung.
  • CIVAC kombiniert eine Compliance-Plattform mit Officer-as-a-Service und bestellt benannte Beauftragte innerhalb von 2 Werktagen.

Gesetzliche Pflichten: Was § 130 OWiG, § 91 AktG und § 43 GmbHG verlangen

Der Kern der unternehmerischen Compliance-Pflicht in Deutschland liegt in drei Normen. § 130 OWiG verpflichtet den Inhaber eines Betriebs oder Unternehmens, die Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Unterlässt der Inhaber dies vorsätzlich oder fahrlässig, droht eine Geldbuße bis 1 Mio. Euro persönlich. § 30 OWiG ergänzt die Verbandsgeldbuße gegen die juristische Person, gekoppelt an die Tat einer Leitungsperson, mit einem Rahmen bis 10 Mio. Euro im Vorsatzfall.

§ 91 Abs. 2 AktG verlangt vom Vorstand einer Aktiengesellschaft die Einrichtung eines Überwachungssystems, das bestandsgefährdende Entwicklungen früh erkennt. Diese Pflicht wird in Rechtsprechung und Kommentarliteratur als Pflicht zur Einrichtung eines Compliance-Management-Systems ausgelegt, jedenfalls wenn das Risikoprofil des Unternehmens entsprechende Maßnahmen erfordert. § 43 Abs. 1 GmbHG normiert für GmbH-Geschäftsführer die Sorgfaltspflicht eines ordentlichen Geschäftsmanns, Verletzungen führen zur persönlichen Haftung nach § 43 Abs. 2 GmbHG. Die Rechtsprechung hat in mehreren Entscheidungen, etwa BGH II ZR 234/09 (Siemens-Neubürger), die Pflicht zur Einrichtung eines Compliance-Systems aus diesen allgemeinen Sorgfaltspflichten abgeleitet. Für die Compliance-Beauftragten in Unternehmen bedeutet das: Die Pflicht ist da, die konkrete Ausgestaltung ist risikobasiert zu bestimmen. Ergänzend wirkt § 130 OWiG über die Geschäftsführungsebene hinaus: Inhaberbegriff umfasst auch Personen mit Leitungsfunktion, sodass Bereichsleiter und Werksleiter eigene Aufsichtspflichten tragen können. Bei mehrstufigen Konzernen muss die Aufsicht über Tochtergesellschaften vertraglich und organisatorisch geregelt sein, sonst entstehen Haftungslücken. Auch das Aufsichtsrat-Risiko nach § 116 AktG (Sorgfaltspflicht des Aufsichtsrats) ist im Compliance-Konzept zu adressieren, weil Aufsichtsräte zunehmend selbst in Anspruch genommen werden. Diese Mehrebenenstruktur ist im CIVAC-Workspace als Konzern-Compliance-Modell abbildbar.

Spezialgesetze: DSGVO, GwG, HinSchG, LkSG, NIS2UmsuCG

Neben den allgemeinen Sorgfaltspflichten greifen Spezialgesetze, die jeweils eigene Benennungspflichten und Bußgeldrahmen mitbringen. Die DSGVO verlangt in Art. 37 die Benennung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen, ergänzt durch § 38 BDSG mit der 20-Personen-Schwelle in Deutschland. Bußgelder nach Art. 83 DSGVO reichen bis 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes, je nachdem welcher Betrag höher ist. Die Frist zur Meldung von Datenpannen beträgt 72 Stunden nach Art. 33 DSGVO und beginnt mit Kenntnis. Frist läuft ab Kenntnis.

Das Geldwäschegesetz (GwG) verpflichtet bestimmte Verpflichtete zur Benennung eines Geldwäschebeauftragten nach § 7 GwG mit Bußgeldrahmen bis 5 Mio. Euro. Das Hinweisgeberschutzgesetz (HinSchG) verlangt seit 2023 die Einrichtung interner Meldestellen für Unternehmen mit mindestens 50 Beschäftigten, Bußgelder bis 50.000 Euro. Das Lieferkettensorgfaltspflichtengesetz (LkSG) erfasst seit 2024 Unternehmen ab 1.000 Beschäftigten und verlangt Risikomanagement, einen Menschenrechtsbeauftragten oder vergleichbare Funktion und jährliche Berichterstattung an das BAFA mit Bußgeldern bis 800.000 Euro. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bringt für rund 29.500 deutsche Unternehmen Pflichten zur Risikomanagement-Implementierung, Meldepflichten mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung sowie Bußgeldrahmen bis 10 Mio. Euro oder 2 Prozent Konzernumsatz für wesentliche Einrichtungen. CIVAC bündelt die Benennung dieser Spezialbeauftragten in einem Workspace mit EU-Datenresidenz und liefert je Rolle eine Bestellurkunde plus Berichtslinie. Branchenspezifische Regelwerke ergänzen den Katalog: KWG und MaRisk für Banken, VAG und MaGo für Versicherer, MDR für Medizinprodukte, REACH und CLP für Chemie, BImSchG für Anlagenbetreiber. Jede dieser Vorschriften kann eigene Beauftragten-Rollen erzwingen, etwa den Immissionsschutzbeauftragten, den Strahlenschutzbeauftragten oder den Störfallbeauftragten. Die Pflichtenanalyse vor Mandatierung listet alle einschlägigen Vorschriften und ordnet sie den 25 CIVAC-Rollen zu, sodass keine gesetzliche Pflicht unbesetzt bleibt.

Compliance-Management-System nach IDW PS 980 und ISO 37301

Wer Compliance systematisch aufbauen will, orientiert sich an etablierten Rahmenwerken. Der IDW Prüfungsstandard 980 beschreibt die Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen und definiert sieben Elemente: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation und Compliance-Überwachung. Diese Struktur ist Industriestandard und wird von Wirtschaftsprüfern bei Prüfungen nach § 317 HGB sowie bei Sonderuntersuchungen zur Compliance-Wirksamkeit angewandt.

Die ISO 37301:2021 ist die internationale Norm für Compliance-Management-Systeme und folgt der High-Level-Structure aller ISO-Managementsystemnormen. Sie kann nach Aufbau einer ISMS-Struktur effizient integriert werden, weil viele Anforderungen (Dokumentation, Auditprogramm, Managementbewertung, Korrekturmaßnahmen) identisch sind. Die Norm ist zertifizierbar, eine Zertifizierung ist marktseitig noch nicht standard, gewinnt aber bei großen Unternehmen und im internationalen Geschäft an Bedeutung. Der Aufbau eines Compliance-Management-Systems folgt einer Reihenfolge: Risikoanalyse, Definition der Compliance-Felder (Kartellrecht, Korruption, Datenschutz, Arbeitsrecht, Steuerrecht, Lieferkette), Festlegung der Verantwortlichkeiten in einer RACI-Matrix, Erstellung der Richtlinien und Verfahrensanweisungen, Aufbau der Kommunikations- und Schulungsstruktur, Implementierung eines Hinweisgebersystems und Etablierung des Auditprogramms. CIVAC stellt für jeden Schritt Vorlagen bereit, die mit dem Workspace verbunden sind. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die operative Umsetzung ist nicht primär juristisch, sondern organisatorisch. Wer ein CMS einführt, definiert zuerst die Governance: Wer berichtet an wen, mit welcher Frequenz, in welchem Format. Erst danach kommen Inhalte, Vorlagen und Schulungen. Diese Reihenfolge wird in der Praxis häufig vertauscht, mit der Folge, dass Dokumente entstehen, die keine klare Verantwortlichkeit haben und im Audit nicht überzeugen. Die ISO 37301 macht die Governance ausdrücklich zum ersten zu klärenden Punkt und legt damit eine konsistente Struktur fest, die Auditoren und Prüfer wiedererkennen. Eine sauber dokumentierte Governance reduziert Audit-Aufwand und Bußgeldrisiko erheblich.

Rollenkonzept: Welche Beauftragten welche Pflichten tragen

Compliance ist keine Aufgabe einer einzelnen Person, sondern verteilt sich auf benannte Rollen. CIVAC unterstützt 25 Beauftragten-Rollen, die in mittelständischen und großen Unternehmen typischerweise zu besetzen sind. Die Kernrollen sind: Compliance-Beauftragter (CO) als Koordinator des CMS, Datenschutzbeauftragter (DSB) für die DSGVO-Themen, Informationssicherheitsbeauftragter (ISB) für ISO 27001 und NIS-2, Geldwäschebeauftragter (GwB) für das GwG, interne Meldestelle (IMB) für das HinSchG und LkSG-Beauftragter für die Lieferkette.

Ergänzend kommen branchenspezifische Beauftragte hinzu: Hygienebeauftragter (HB) im Gesundheits- und Lebensmittelbereich, Gefahrgut- und Gefahrstoffbeauftragte in Chemie und Logistik, Fachkraft für Arbeitssicherheit (SiFa) und Brandschutzbeauftragter (BSB) im Arbeitsschutz, Qualitätsmanagementbeauftragter (QMB) für ISO 9001, ESG-Beauftragter für Nachhaltigkeitsberichterstattung nach CSRD, AGG-Beschwerdestelle für Gleichbehandlung. Die Rollen sind teilweise gesetzlich zwingend (DSB ab 20 MA mit ständiger Datenverarbeitung, IMB ab 50 MA), teilweise vertraglich oder normativ erwartet (QMB im Zertifizierungssystem). Die Bestellung erfolgt durch die Geschäftsführung, dokumentiert in einer Bestellurkunde mit Pflichtenkatalog, Berichtslinie und Befugnissen. CIVAC bietet das duale Modell: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege erzeugen denselben Audit-Nachweis und dieselbe Dokumentationslage, der Unterschied liegt im Bereitstellungspfad. Die Mandatsstruktur lässt sich nach 6 oder 12 Monaten ohne Bruch umstellen, weil der Workspace und die Vorlagen identisch sind. Wichtig ist die Trennung der Berichtslinien: Spezialbeauftragte wie DSB und IMB berichten direkt an die Geschäftsführung, ohne Zwischenschaltung anderer Funktionen, um Unabhängigkeit und Vertraulichkeit zu wahren. Diese Berichtslinien sind in jeder Bestellurkunde explizit benannt. Bei Konzernstrukturen ist zusätzlich die Schnittstelle zur Konzern-Compliance-Funktion zu regeln, damit lokale Beauftragte gleichzeitig an die operative Geschäftsführung und an die Konzern-Compliance berichten können, ohne dass Loyalitätskonflikte entstehen.

Compliance-Risikoanalyse als Fundament

Das Compliance-Management-System steht auf dem Fundament einer dokumentierten Risikoanalyse. Ohne diese Analyse fehlt die Begründung, warum bestimmte Compliance-Felder priorisiert werden und welche Kontrollen angemessen sind. IDW PS 980 fordert die Risikoanalyse als zweites Element nach der Compliance-Kultur. Die Analyse identifiziert Compliance-Risiken systematisch nach Eintrittswahrscheinlichkeit und Schadenshöhe, ergänzt um Reputations- und Bußgeldrisiken.

In der Praxis arbeitet ein gut geführtes Risikoregister mit fünf Spalten: Compliance-Feld, konkretes Risiko, Bewertung (z. B. niedrig, mittel, hoch, kritisch), bestehende Kontrollen, Maßnahmen mit Verantwortlichem und Frist. Die Bewertung erfolgt jährlich, bei wesentlichen Änderungen anlassbezogen. Wichtige Datenquellen sind interne Hinweise, externe Vorfälle in vergleichbaren Unternehmen, Behördenrundschreiben und Branchenstandards. CIVAC liefert ein Risikoregister-Template, das die 25 Beauftragten-Rollen mit den jeweiligen Pflichtkatalogen verknüpft. Bei jeder Pflichtenänderung, etwa durch das NIS2UmsuCG oder die CSRD, wird die Risikoanalyse im Workspace mit Versionierung und Verantwortlichen aktualisiert. Die Risikoanalyse ist nicht nur Pflicht, sondern Steuerungsinstrument. Sie bestimmt, welche Schulungen Vorrang haben, wo Audits ansetzen, welche Lieferanten näher geprüft werden und wo das Hinweisgebersystem besondere Aufmerksamkeit braucht. Im Audit wird die Risikoanalyse vom Prüfer regelmäßig als erstes Dokument verlangt, weil sie die Logik des gesamten CMS offenlegt. Der Prüfer ruft an, der Nachweis liegt bereit. Eine fehlende oder veraltete Risikoanalyse führt zur Hauptabweichung im IDW-PS-980-Audit. Im Bußgeldverfahren wertet die Behörde eine dokumentierte, aktuelle Risikoanalyse als Beleg für eine ordnungsgemäße Organisation und mildert die Sanktion. Umgekehrt führt das Fehlen der Risikoanalyse regelmäßig zur Annahme eines Organisationsverschuldens. Eine gut geführte Risikoanalyse ist gleichzeitig die Grundlage für die Versicherbarkeit über D&O-Policen, weil Versicherer im Schadenfall die Existenz dokumentierter Risikoanalysen prüfen.

Richtlinien, Schulung, Kommunikation

Compliance funktioniert nur, wenn Pflichten in Richtlinien gegossen, an die Mitarbeitenden kommuniziert und durch Schulungen verankert werden. Ein typisches Richtlinienportfolio umfasst Verhaltenskodex, Antikorruptionsrichtlinie, Geschenke- und Einladungsrichtlinie, Datenschutzrichtlinie, IT-Sicherheitsrichtlinie, Hinweisgeberrichtlinie, Lieferantenkodex und Reise- und Spesenrichtlinie. Jede Richtlinie hat einen Inhaber (zumeist der jeweilige Beauftragte), eine Versionsnummer, ein Inkrafttretens-Datum und einen Genehmigungspfad zur Geschäftsführung.

Schulungen werden nach Zielgruppe geplant. Verbindliche Pflichtschulungen für alle Beschäftigten betreffen Datenschutz, IT-Sicherheit, Antikorruption und das Hinweisgebersystem. Vertiefende Schulungen erhalten Fach- und Führungskräfte mit erhöhter Compliance-Exposition (Einkauf, Vertrieb, Personal, Finanzen). Die Schulungsteilnahme wird dokumentiert, üblich ist eine Schulungsmatrix mit Mitarbeitenden, Themen, letztem Schulungsdatum und nächstem Termin. Die Aufbewahrungsdauer der Schulungsnachweise liegt bei mindestens drei Jahren, im Bußgeldverfahren oft länger. CIVAC integriert die Schulungsmatrix in den Workspace und verbindet sie mit den Compliance-Richtlinien, sodass Änderungen an einer Richtlinie automatisch eine Schulungsempfehlung erzeugen. Kommunikation umfasst neben Schulungen auch das Compliance-Intranet, regelmäßige Newsletter, Townhall-Briefings durch die Geschäftsführung und das aktive Bekenntnis der Leitung zum CMS (tone from the top). Dieser kommunikative Rahmen ist Element 1 nach IDW PS 980 und wird im Audit über Mitarbeiterinterviews und Stichproben überprüft. Wer hier nur Dokumente vorhält, ohne dass Beschäftigte die zentralen Compliance-Themen kennen, scheitert in der Wirksamkeitsprüfung. Eine bewährte Praxis ist die jährliche Compliance-Erklärung, in der Mitarbeitende die Kenntnis der Schlüsselrichtlinien bestätigen und konkrete Interessenkonflikte offenlegen. Diese Erklärungen werden im Workspace versioniert verwaltet und bei Audits stichprobenweise vorgelegt. Die Erklärung enthält drei Pflichtfelder: Bestätigung der Richtlinienkenntnis, Offenlegung von Nebentätigkeiten und Erklärung zur Geschenke-Annahme im Schwellenrahmen.

Hinweisgebersystem und Untersuchungen

Das Hinweisgeberschutzgesetz (HinSchG) verlangt seit Dezember 2023 für Unternehmen ab 50 Beschäftigten die Einrichtung einer internen Meldestelle, ab Dezember 2023 unmittelbar, für die Übergangsregelung ab 50 bis 249 Beschäftigten galt eine Frist bis Dezember 2023. Die Meldestelle muss anonyme Meldungen ermöglichen, eingehende Meldungen innerhalb von 7 Tagen bestätigen und innerhalb von 3 Monaten Rückmeldung über getroffene Maßnahmen geben. Verstöße werden nach § 40 HinSchG mit Bußgeldern bis 50.000 Euro geahndet.

Die Einrichtung kann intern (durch eigene Compliance-Funktion) oder extern (durch Anwaltskanzlei, Ombudsperson oder spezialisierten Dienstleister) erfolgen. Externe Lösungen senken die Hemmschwelle für Hinweisgeber, weil die Vertraulichkeit gegenüber dem eigenen Arbeitgeber gewahrt wird. CIVAC bietet die externe interne Hinweisgeberschutz-Meldestelle als Officer-as-a-Service mit dokumentiertem Eingangs- und Bearbeitungsprozess, Fristenkontrolle nach § 17 HinSchG und Berichtslinie zur Geschäftsführung. Jede Meldung wird im Workspace mit anonymem Fallcode geführt, der den Hinweisgeber schützt und gleichzeitig die nach § 11 HinSchG geforderte Dokumentation sicherstellt. Aufbewahrungsdauer: drei Jahre nach Abschluss des Verfahrens. Bei substanziellen Hinweisen schließt sich eine interne Untersuchung an, die in einem strukturierten Vorgehen Beweise sammelt, Interviews führt, Sachverhalte prüft und einen Untersuchungsbericht erstellt. Dieser Bericht ist die Grundlage für arbeitsrechtliche, zivilrechtliche oder strafrechtliche Folgemaßnahmen und für die Information der Geschäftsführung. Die Dokumentation der Untersuchung ist auditkritisch, weil sie im Zweifel beweist, dass das Unternehmen seiner Aufsichtspflicht nach § 130 OWiG nachgekommen ist. Bei strafrechtlich relevanten Hinweisen ist die Geschäftsführung in der Pflicht, externe Berater einzubeziehen und gegebenenfalls Anzeige zu erstatten. Die Schwelle, ab der eine Anzeige geboten ist, ergibt sich aus dem Verdachtsgrad und dem Schutzgut, sie sollte in der Untersuchungsrichtlinie vorab definiert sein.

Audit, Berichterstattung, Wirksamkeitsprüfung

Ein Compliance-Management-System wird erst durch Audit und Wirksamkeitsprüfung belastbar. IDW PS 980 unterscheidet drei Prüfungsarten: Konzeptionsprüfung (sind die Elemente angemessen aufgesetzt), Angemessenheitsprüfung (sind die getroffenen Maßnahmen geeignet, die identifizierten Risiken zu adressieren) und Wirksamkeitsprüfung (funktioniert das CMS in der Praxis). Die Wirksamkeitsprüfung ist die anspruchsvollste Stufe und wird typischerweise erst nach 12 bis 18 Monaten Betrieb durchgeführt.

Das interne Auditprogramm folgt einer Mehrjahresplanung, die alle Compliance-Felder mindestens einmal pro Zertifizierungszyklus abdeckt, kritische Felder häufiger. Jedes Audit erzeugt einen Bericht mit Feststellungen, Maßnahmen und Fristen. Maßnahmen werden im Workspace bis zur Erledigung verfolgt. Die jährliche Managementbewertung fasst Auditergebnisse, Risiken, Vorfälle, Schulungsstand und Verbesserungen zusammen und wird der Geschäftsführung zur Bewertung vorgelegt. Dieses Dokument ist im Audit zentral, weil es die kontinuierliche Verbesserung nach IDW PS 980 Element 7 belegt. Externe Wirksamkeitsprüfungen werden bei größeren Unternehmen häufig durch Wirtschaftsprüfungsgesellschaften durchgeführt und enden mit einem Prüfungsurteil nach § 322 HGB-Analogie. Im Bußgeldverfahren oder bei Sanktionsfällen wird ein wirksames CMS strafmildernd berücksichtigt, weshalb die Dokumentation der Wirksamkeit von hoher Bedeutung ist. CIVAC unterstützt den gesamten Audit-Zyklus mit 490 Audit-Vorlagen, einem Maßnahmenmodul und einer Managementbewertungs-Vorlage, die alle Element-1-bis-7-Anforderungen nach IDW PS 980 abdeckt. Audit-fest, dokumentiert, § 130-OWiG-fest. Die Berichtslinie zur Geschäftsführung ist im Workspace fest hinterlegt. Bei behördlichen Sonderprüfungen, etwa durch BaFin, BAFA oder Landesdatenschutzbehörden, lassen sich relevante Nachweise binnen Stunden zusammenstellen, weil die Verknüpfung zwischen Pflicht, Maßnahme und Nachweis im Workspace gespeichert ist. Diese Reaktionsgeschwindigkeit ist im Behördenkontakt ein signifikanter Vorteil und reduziert Eskalationsrisiken bei laufenden Ermittlungen.

CIVAC als Compliance-Plattform und Officer-as-a-Service

Die Pflichten sind klar, die Rollen sind vielfältig, die Dokumentation ist umfangreich. Was Unternehmen brauchen, ist eine operative Infrastruktur, in der Bestellungen, Richtlinien, Audits, Hinweise und Berichte zusammenlaufen. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die genau dieses Zusammenspiel liefert. Die Plattform bündelt Bestellurkunden, 490 Audit-Vorlagen, Richtlinien, Schulungsmatrix, Risikoregister, Hinweiseingang, Maßnahmensteuerung und Managementbewertung in einem Workspace mit EU-Datenresidenz und ISO/IEC-27001:2022-zertifiziertem Betrieb (93 Controls).

Der zweite Pfad ist die externe Bestellung: 25 Beauftragten-Rollen, alle live, Bestellurkunde innerhalb von 2 Werktagen statt branchenüblich 2 bis 6 Wochen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Pfade lassen sich kombinieren: typisch ist die externe Besetzung der spezialisierten Rollen (DSB, GwB, IMB, ESG, ISB) und die interne Besetzung des Compliance-Koordinators, der das CMS auf Geschäftsführungs-Ebene steuert. Der Workspace ist für beide Wege identisch, sodass ein späterer Wechsel ohne Datenverlust und ohne Reorganisation möglich ist. Aus dem Lesen einen Auftrag machen. Kontakt: info@civac.de oder das Kontaktformular auf civac.de. Wir empfehlen ein 45-minütiges Bestandsaufnahmegespräch, in dem wir die Pflichtenlage Ihres Unternehmens nach Größe, Branche und internationaler Aufstellung mit den verfügbaren Rollen und Modulen abgleichen. Anschließend erhalten Sie eine Roadmap mit den nächsten 90 Tagen, den ersten Bestellungen und der Workspace-Konfiguration. Audit-fest, dokumentiert, belegbar. Die Roadmap priorisiert nach gesetzlichem Druck (Fristen, Bußgeldhöhe, Häufigkeit von Behördenprüfungen) und nach operativem Aufwand. In den ersten 30 Tagen werden in der Regel die zwingenden Spezialrollen besetzt und die Risikoanalyse aufgesetzt, in Tag 31 bis 60 entstehen Richtlinien und Schulungsmatrix, in Tag 61 bis 90 startet das interne Auditprogramm und die erste Managementbewertung.

FAQ

Welche Compliance-Pflichten gelten für ein Unternehmen mit 100 Beschäftigten?

Ab 50 Beschäftigten greift die Pflicht zur internen Meldestelle nach HinSchG. Ab 20 Beschäftigten mit ständiger Datenverarbeitung ist nach § 38 BDSG ein Datenschutzbeauftragter zu benennen. Hinzu kommen § 130 OWiG (Aufsichtspflicht), GwG bei Verpflichtetenstatus, NIS2UmsuCG je nach Sektor und Größe, Arbeitsschutzpflichten mit SiFa und Brandschutzbeauftragtem. Welche Rollen konkret zwingend sind, ergibt eine Pflichtenanalyse.

Was unterscheidet IDW PS 980 von ISO 37301?

IDW PS 980 ist ein deutscher Prüfungsstandard des Instituts der Wirtschaftsprüfer und beschreibt die Grundsätze ordnungsmäßiger Prüfung von CMS, ISO 37301 ist eine internationale, zertifizierbare Managementsystemnorm nach High-Level-Structure. Beide haben sieben bzw. zehn Kernelemente, sind weitgehend kompatibel und werden in der Praxis kombiniert. ISO 37301 erleichtert die internationale Anerkennung, IDW PS 980 prägt die Prüfungspraxis in Deutschland.

Kann ein einzelner Compliance-Beauftragter alle Spezialthemen abdecken?

Nein, gesetzliche Spezialrollen verlangen eigene Qualifikation und Bestellung. Datenschutz, Geldwäsche, NIS-2, Lieferkette und HinSchG erfordern jeweils einen benannten Beauftragten mit fachlicher Eignung. Der Compliance-Beauftragte koordiniert das Gesamtsystem und berichtet konsolidiert an die Geschäftsführung, die Spezialbeauftragten tragen die fachliche Verantwortung für ihre Domäne. In kleineren Unternehmen kann eine Person mehrere Mandate halten, sofern Qualifikation und Kapazität für jedes Mandat dokumentiert sind.

Welche Bußgelder drohen bei Compliance-Verstößen?

Die Spanne ist breit: DSGVO bis 20 Mio. Euro oder 4 Prozent Konzernumsatz, NIS2UmsuCG bis 10 Mio. Euro oder 2 Prozent Konzernumsatz für wesentliche Einrichtungen, GwG bis 5 Mio. Euro, LkSG bis 800.000 Euro, HinSchG bis 50.000 Euro. Hinzu kommen Verbandsgeldbußen nach § 30 OWiG bis 10 Mio. Euro und persönliche Geldbußen gegen Geschäftsführer nach § 130 OWiG bis 1 Mio. Euro.

Wie schnell kann CIVAC eine Compliance-Struktur aufsetzen?

Bestellungen einzelner Beauftragter laufen innerhalb von 2 Werktagen über die CIVAC-SLA. Der vollständige Aufbau eines CMS nach IDW PS 980 mit Risikoanalyse, Richtlinien, Schulungen, Hinweisgebersystem und Auditprogramm braucht je nach Unternehmensgröße zwischen 90 und 180 Tagen. CIVAC stellt für jeden Schritt Vorlagen bereit und begleitet die Einführung mit klaren Meilensteinen und einer Roadmap.

Wo liegen die Daten und Nachweise im CIVAC-Workspace?

Der CIVAC-Workspace wird in einem Rechenzentrum mit EU-Datenresidenz betrieben und folgt einem nach ISO/IEC 27001:2022 ausgerichteten Informationssicherheits-Managementsystem mit 93 Controls. Daten werden verschlüsselt gespeichert, Zugriffe protokolliert, Aufbewahrungsfristen sind konfigurierbar nach gesetzlichen Vorgaben. Bei Mandatsende werden Daten gemäß vertraglicher Regelung an den Auftraggeber zurückgegeben oder revisionssicher gelöscht, dokumentiert in einem Löschprotokoll, das im Audit als Nachweis der Datenrückführung dient.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge