Complianceregeln im Unternehmen: Pflichten, Strukturen und Nachweise

Nach § 130 OWiG haftet die Unternehmensleitung für die Verletzung von Aufsichtspflichten mit Bußgeldern bis zu 10 Mio. Euro je Verstoß. Complianceregeln sind damit kein freiwilliger Standard, sondern die dokumentierte Antwort auf diese Pflicht. Sie übersetzen gesetzliche Vorgaben in Verfahren, Zuständigkeiten und Belege, die ein externer Prüfer in einer Akte vorfindet.

Dieser Beitrag zeigt, welche Regelwerke nach deutschem und europäischem Recht erwartet werden, wie Sie die Rollen Geschäftsführung, Compliance-Beauftragter und Fachbeauftragte sauber abgrenzen, und welche Nachweise eine Behörde im Ernstfall sehen will. Der Fokus liegt auf der operativen Umsetzung: Bestellurkunde, Berichtslinie, Kontrollintervalle, dokumentierte Schulungen. Wer diese Strukturen einmal sauber aufsetzt, reduziert Haftungsrisiken messbar und kann auf Audit-Anfragen in Tagen statt Wochen reagieren.

Complianceregeln sind die schriftlich fixierte Übersetzung gesetzlicher Pflichten in unternehmensinterne Verfahren. Die zentrale Norm ist § 130 OWiG: Wer Inhaber eines Betriebs ist und vorsätzlich oder fahrlässig die erforderlichen Aufsichtsmaßnahmen unterlässt, haftet für Verstöße seiner Mitarbeitenden. Für Aktiengesellschaften ergänzt § 91 Abs. 2 AktG die Pflicht, ein Überwachungssystem einzurichten, das bestandsgefährdende Entwicklungen früh erkennt.

Hinzu treten bereichsspezifische Pflichten. Das Geldwäschegesetz verlangt in § 7 GwG einen Geldwäschebeauftragten für Verpflichtete nach § 2 GwG. Das Lieferkettensorgfaltspflichtengesetz verlangt nach § 4 LkSG ein Risikomanagement und eine Berichterstattung an das BAFA. Die DSGVO verlangt nach Art. 37 einen Datenschutzbeauftragten bei umfangreicher Verarbeitung besonderer Kategorien. NIS-2 verlangt nach §§ 30 ff. BSIG-E ein Informationssicherheitsmanagement mit dokumentierten Verfahren und einem 24/72-Stunden-Meldepfad.

Ein verbreitetes Missverständnis: Complianceregeln entstehen nicht durch das Verabschieden eines Code of Conduct. Sie entstehen erst, wenn jede Pflicht einer Rolle, jede Rolle einem Verfahren und jedes Verfahren einem Nachweis zugeordnet ist. Genau hier setzt die Arbeit eines Compliance-Beauftragten an: Er führt das Regelwerk operativ und macht es prüfbar.

Ein Compliance-Regelwerk hat in der Praxis vier Schichten, die aufeinander aufbauen. Wer eine Schicht überspringt, erzeugt Lücken, die im Prüfungsfall sichtbar werden.

Schicht eins ist der Code of Conduct. Er fasst Grundprinzipien zusammen: Integrität, Antikorruption, Datenschutz, Diskriminierungsverbot, Umgang mit Geschenken. Üblich sind sechs bis zwölf Seiten, von der Geschäftsführung unterzeichnet, mit jährlicher Kenntnisnahme aller Mitarbeitenden.

Schicht zwei sind die Richtlinien. Sie konkretisieren den Code für definierte Themen: Antikorruptionsrichtlinie, Datenschutzrichtlinie, IT-Sicherheitsrichtlinie, Beschwerderichtlinie nach HinSchG. Jede Richtlinie nennt verantwortliche Rolle, Geltungsbereich, Verfahren bei Verstößen und Revisionszyklus.

Schicht drei sind die Verfahrensanweisungen. Sie beschreiben konkrete Abläufe: Wie wird ein Geldwäscheverdacht gemeldet? Wer prüft Geschenkangebote über 50 Euro? Wie läuft die Bearbeitung eines Datenpannenfalls innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO? Verfahrensanweisungen sind die Schicht, in der Theorie zu Praxis wird.

Schicht vier ist die Nachweisakte. Sie enthält Bestellurkunden der Beauftragten, Schulungsprotokolle mit Teilnehmerlisten, Sitzungsprotokolle des Compliance-Boards, Audit-Berichte, Korrekturmaßnahmenpläne. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese Akte ist das, was der Prüfer als Erstes verlangt.

Complianceregeln scheitern selten an fehlenden Dokumenten, sondern an unklaren Zuständigkeiten. Die deutsche Rechtsordnung kennt eine klare Hierarchie der Verantwortung.

Die Geschäftsführung trägt die Letztverantwortung nach § 130 OWiG. Sie kann Aufgaben delegieren, nicht aber die Verantwortung. Delegation entlastet nur, wenn sie schriftlich, mit klarem Aufgabenkatalog und mit Ressourcen erfolgt, und wenn die Geschäftsführung die Wahrnehmung kontrolliert.

Der Compliance-Beauftragte koordiniert das Gesamtsystem. Er berichtet direkt an die Geschäftsführung oder den Aufsichtsrat, mindestens jährlich, nach gesonderten Vorfällen unverzüglich. Seine Bestellurkunde nennt Aufgaben, Befugnisse, Ressourcen, Zugriffsrechte und Kündigungsschutz, soweit gesetzlich vorgesehen.

Daneben stehen Fachbeauftragte für Spezialgebiete: Datenschutzbeauftragter nach Art. 37 DSGVO, Geldwäschebeauftragter nach § 7 GwG, Informationssicherheitsbeauftragter im Kontext NIS-2, Hinweisgeber-Meldestelle nach HinSchG. Jede Rolle hat eine eigene Bestellurkunde, eine eigene Berichtslinie und eigene Kontrollpflichten.

In der Praxis arbeiten diese Rollen über einen gemeinsamen Compliance-Workspace: gemeinsame Risikomatrix, gemeinsame Maßnahmenliste, getrennte Akten für rechtlich getrennte Pflichten. Wer hier sauber strukturiert, vermeidet doppelte Arbeit und schließt die Lücken, in denen Risiken sonst übersehen werden.

Die Pflicht zu einem formalen Compliance-System hängt von Branche, Größe und Tätigkeit ab. Ein Überblick:

Finanzunternehmen und Versicherer unterliegen MaRisk und VAIT. Hier ist ein Compliance-Officer mit unabhängiger Berichtslinie an den Vorstand verpflichtend, ergänzt um Geldwäschebeauftragten, Datenschutzbeauftragten und Informationssicherheitsbeauftragten. Prüfintensität durch BaFin ist hoch.

Industrie und Handel mit mehr als 1.000 Beschäftigten fallen ab 2024 unter das LkSG, ab 2027 sukzessive unter die EU-Lieferkettenrichtlinie. Pflicht ist ein dokumentiertes Risikomanagement entlang der Lieferkette, eine Beschwerdeprozedur und eine jährliche Berichterstattung an das BAFA.

Unternehmen, die unter NIS-2 fallen (Energie, Gesundheit, Verkehr, digitale Dienste, öffentliche Verwaltung und weitere Sektoren), brauchen ein Informationssicherheitsmanagement mit klarem 24/72-Stunden-Meldepfad an das BSI. Die EU-Kommission schätzt rund 29.500 betroffene Unternehmen in Deutschland.

Gesundheits- und Pflegeeinrichtungen brauchen zusätzlich einen Hygienebeauftragten nach IfSG und MPDG-Pflichten, abhängig vom Versorgungsumfang. Bauunternehmen brauchen Sicherheits- und Gesundheitsschutzkoordinatoren nach BaustellV. Chemieunternehmen brauchen Störfall-, Gefahrgut- und Gefahrstoffbeauftragte. In jeder Konstellation gilt: Die Bestellurkunde ist der erste Nachweis, dass die Pflicht erkannt und erfüllt wurde.

Ein Regelwerk ohne Risikoanalyse ist Beschäftigungstherapie. Die Risikoanalyse identifiziert, welche Pflichtverletzungen wahrscheinlich sind, welche Schadenshöhe sie auslösen, und welche Kontrollen sie auf ein akzeptables Restrisiko reduzieren.

Methodisch bewährt hat sich die Kombination aus Top-Down und Bottom-Up. Top-Down: Die Geschäftsführung benennt strategische Risiken aus Geschäftsmodell, Geografie und Branche. Bottom-Up: Die Fachbereiche melden operative Risiken über strukturierte Fragebögen. Beide Stränge fließen in eine Risikomatrix mit Eintrittswahrscheinlichkeit und Auswirkung.

Für jedes wesentliche Risiko wird eine Kontrolle definiert: präventiv (z. B. Vier-Augen-Prinzip bei Zahlungen über 25.000 Euro), detektiv (z. B. monatlicher Abgleich Lieferantenstamm gegen Sanktionslisten), korrektiv (z. B. interne Untersuchung bei Hinweisen).

Die Kontrolle ist nur wirksam, wenn sie regelmäßig getestet wird. Ein typischer Zyklus: jährliche Selbsteinschätzung durch den Fachbereich, zweijährliches Audit durch die interne Revision oder einen externen Prüfer. Ergebnisse fließen in einen Maßnahmenplan mit Fristen und Verantwortlichen. Eine offene Maßnahme über mehr als zwölf Monate ist ein Signal für strukturelles Versagen und wird in jedem Audit kritisch hinterfragt.

Diese Risikoanalyse ist auch die Grundlage, auf der Sie entscheiden, welche Regeln Sie überhaupt brauchen. Wer ohne Analyse Regeln aufsetzt, produziert Papier ohne Wirkung.

Ein Regelwerk wirkt nur, wenn die Belegschaft es kennt. Schulungen sind keine Pflichtübung, sondern ein eigenständiger Nachweisbaustein. Behörden fragen im Ernstfall nach Teilnehmerlisten, Inhalten und Nachweisen der Wissensprüfung.

Bewährt hat sich ein Drei-Ebenen-Konzept. Ebene eins: jährliche Pflichtschulung für alle Mitarbeitenden zu Code of Conduct, Datenschutz, Informationssicherheit und Hinweisgebersystem. Ebene zwei: rollenspezifische Vertiefung für Einkauf (Antikorruption, LkSG), Vertrieb (Wettbewerbsrecht, Geschenkrichtlinie), IT (NIS-2, Incident Response), Finanzen (GwG, Sanktionslisten). Ebene drei: anlassbezogene Schulungen nach Gesetzesänderungen oder Vorfällen.

Jede Schulung wird dokumentiert: Datum, Inhalt, Dauer, Teilnehmer, Ergebnis der Wissensprüfung. Bei E-Learning genügt ein systemgestütztes Protokoll, bei Präsenz eine unterschriebene Teilnehmerliste. Die Akte landet im Compliance-Workspace und ist über mindestens drei Jahre vorzuhalten.

Wirksamkeit lässt sich messen. Übliche Kennzahlen: Schulungsabdeckung pro Bereich (Ziel: 100 % der Pflichtschulungen abgeschlossen innerhalb von 60 Tagen nach Eintritt), Wissensquote in Stichproben, Trend der eingehenden Hinweisgeber-Meldungen (ein Anstieg ist meist ein Vertrauenssignal, kein Alarm). Diese Kennzahlen gehören in den jährlichen Compliance-Bericht an die Geschäftsführung und sind ein häufiges Thema in Aufsichtsratssitzungen.

Die Sanktionslandschaft hat sich in den letzten Jahren deutlich verschärft. Wer Complianceregeln nicht oder nur formal pflegt, riskiert in mehreren Dimensionen.

Bußgeld nach § 130 OWiG: bis zu 10 Mio. Euro je Verstoß bei vorsätzlicher Unterlassung von Aufsichtsmaßnahmen. Bei Vorteilen aus dem Verstoß tritt eine Vermögensabschöpfung nach § 73 StGB hinzu.

DSGVO: bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes nach Art. 83 Abs. 5 DSGVO. Die Datenschutzaufsichten haben 2024 mehr als 2,1 Mrd. Euro Bußgelder verhängt, mit deutlichem Trend nach oben.

NIS-2: bis zu 10 Mio. Euro oder 2 % Konzernumsatz für wesentliche Einrichtungen, bis zu 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen. Persönliche Haftung der Geschäftsleitung ist im BSIG-E ausdrücklich vorgesehen.

GwG: bis zu 5 Mio. Euro oder 10 % Jahresumsatz nach § 56 GwG. LkSG: bis zu 8 Mio. Euro oder 2 % Konzernumsatz nach § 24 LkSG, ergänzt durch Ausschluss von öffentlichen Aufträgen.

Neben Bußgeldern wirken Reputationsschäden, Vertragsverlust mit großen Kunden, die Compliance-Klauseln verlangen, und Verlust von Versicherungsschutz. Eine D&O-Versicherung schließt grobe Pflichtverletzungen regelmäßig aus. Wer auf einen sauberen Prozess setzt, schützt nicht nur die Kasse, sondern auch persönliche Vermögen der Geschäftsleitung.

Viele Unternehmen führen Compliance heute noch wie einen Aktenschrank: Word-Vorlagen auf einem Sharepoint, Excel-Listen für offene Maßnahmen, eine Bestellurkunde im Personalakte-Ordner. Das funktioniert, solange nichts passiert. Sobald ein Prüfer anruft, beginnt die Suche.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Praktisch bedeutet das: eine zentrale Plattform mit definierten Datenstrukturen für Rollen, Pflichten, Risiken, Kontrollen, Vorfälle und Nachweise. Versionierte Dokumente, geprüfte Schulungsstände, automatische Fristen, durchsuchbare Vorfallsakten.

Ein konkreter Anwendungsfall: Eine Datenpanne nach Art. 33 DSGVO. Die 72-Stunden-Frist läuft ab Kenntnis. In einer Software-geführten Compliance wird der Vorfall im Workspace erfasst, der Datenschutzbeauftragte automatisch benachrichtigt, eine vorbefüllte Meldung an die Aufsichtsbehörde generiert, die Berichtslinie an die Geschäftsführung dokumentiert, ein Korrekturmaßnahmenplan eröffnet. Der gesamte Ablauf ist nachvollziehbar und prüfbar.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Der Workspace umfasst 37 einsatzbereite Audit-Vorlagen, 25 Beauftragten-Rollen mit hinterlegten Aufgabenkatalogen und einen integrierten 24/72-Stunden-Meldepfad nach NIS-2. Daten liegen ausschließlich in der EU. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle liefern dieselbe Nachweistiefe, unterscheiden sich aber in Verantwortung und Aufwand.

Die Praxis der letzten zwei Jahre zeigt: Unternehmen scheitern selten am fehlenden Willen zur Compliance, sondern an fehlender Struktur. Regelwerke wachsen ad hoc, Verantwortlichkeiten verschwimmen, Nachweise liegen verstreut. Wenn ein Prüfer dann anruft, ist die Frage nicht, ob die Pflichten erfüllt wurden, sondern ob sich das im Aktenstand zeigen lässt. Der Prüfer ruft an, der Nachweis liegt bereit. Dieses Ziel ist erreichbar, wenn Compliance als operatives System aufgesetzt wird, nicht als Sammlung von Richtlinien.

Wenn Ihr Unternehmen vor einem Audit steht, eine neue Pflicht aus NIS-2, LkSG oder dem AI Act erfüllen muss, oder das bestehende Regelwerk konsolidieren will, sprechen Sie mit uns. CIVAC stellt Workspace und Beauftragte in einem Modell: Plattform plus Officer-as-a-Service. Bestellung in zwei Werktagen, statt der branchenüblichen zwei bis sechs Wochen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von 48 Stunden eine Einschätzung Ihres Compliance-Reifegrads und einen konkreten Vorschlag, welche Rollen, Vorlagen und Fristen für Ihre Situation relevant sind.