Externer Compliance Officer für den DACH-Mittelstand: Mandat, Kosten und Aufbau

§ 130 OWiG macht Geschäftsführer persönlich haftbar, wenn sie es unterlassen, betriebliche Aufsichtspflichten zu erfüllen, die Compliance-Verstöße verhindert hätten. In Verbindung mit dem IDW PS 980, der die Grundsätze für ein ordnungsgemäßes Compliance Management System (CMS) definiert, ergibt sich für den Mittelstand ein klares Anforderungsbild: Eine Compliance-Funktion ist nicht optional, sondern Teil des haftungsrechtlichen Mindeststandards.

Für Unternehmen mit 50 bis 2.000 Mitarbeitern im DACH-Raum – Deutschland, Österreich, Schweiz – ist die Einrichtung einer Vollzeitstelle für einen internen Compliance Officer häufig nicht wirtschaftlich. Der externe Compliance Officer löst dieses Problem: Er übernimmt das Mandat auf Basis eines Dienstleistungsvertrags, bringt sofort einsatzbereites Fachwissen mit und dokumentiert seine Tätigkeit auf einem Standard, der im Prüfungsfall trägt. Dieser Beitrag legt dar, was das Mandat umfasst, was es kostet und wie die Zusammenarbeit im DACH-Mittelstand strukturiert wird.

Die Compliance-Pflicht für Unternehmen ergibt sich im deutschen Recht primär aus § 130 OWiG. Danach handelt ordnungswidrig, wer als Inhaber eines Betriebs oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen zu verhindern. Das Bußgeldrisiko reicht bis zu 10 Millionen Euro; bei Unternehmen kann nach § 30 OWiG zusätzlich eine Verbandsgeldbuße festgesetzt werden.

Ergänzend schreibt der IDW PS 980 als anerkannter Wirtschaftsprüfungsstandard vor, was ein ordnungsgemäßes Compliance Management System (CMS) umfassen muss: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation und Compliance-Überwachung. Dieses siebenteilige Rahmenwerk ist der Maßstab, an dem externe Prüfer und Gerichte die Qualität eines CMS messen.

In Österreich greift das Unternehmensgesetzbuch (UGB) in Verbindung mit dem GmbHG und dem Wirtschaftsstrafrecht. In der Schweiz setzen das Obligationenrecht (OR) und das Verwaltungsstrafrecht (VStrR) ähnliche Impulse. Ein externer Compliance Officer, der im DACH-Raum tätig ist, muss diese Unterschiede kennen und in seiner Arbeit berücksichtigen. Einzelheiten zu den Aufgaben des Compliance-Beauftragten finden Sie auf der entsprechenden CIVAC-Seite.

Der Compliance Officer ist kein Kontrolleur, sondern ein Architekt und Betreiber des Compliance Management Systems. Zu seinen Kernaufgaben zählen:

• Compliance-Risikoanalyse: Identifikation der für das Unternehmen relevanten Compliance-Risiken – branchenspezifisch, geografisch und nach internem Kontrollstatus. Grundlage ist eine strukturierte Bestandsaufnahme der anwendbaren Gesetze, Verordnungen und Standards.
• Compliance-Programm: Richtlinien, Verhaltenskodex (Code of Conduct), Genehmigungsverfahren für kritische Transaktionen (Spenden, Sponsoring, Beraterverträge), Vieraugenprinzip-Regelungen.
• Schulung und Kommunikation: Mitarbeiterschulungen zu Korruptionsprävention, Kartellrecht, Geldwäscheprävention, Lieferkettenanforderungen nach LkSG. Dokumentation mit Zertifikat und Protokoll.
• Hinweisgebersystem: Einrichtung und Betrieb der Internen Meldestelle nach HinSchG (in Deutschland ab 50 Mitarbeiter) und EU-Hinweisgeberrichtlinie.
• Compliance-Berichterstattung: Regelmäßiger Bericht an die Geschäftsleitung nach IDW PS 980. Dokumentation von Compliance-Fällen, Risikomaßnahmen und Systemverbesserungen.
• Behördenkommunikation: Unterstützung bei Ermittlungen, Durchsuchungen oder Anfragen der Staatsanwaltschaft, der BAFA (LkSG) oder anderer Behörden.

Ein externer Compliance Officer, der für Unternehmen im DACH-Raum tätig wird, muss mehr als deutsches Recht beherrschen. Die relevanten Unterschiede in Österreich und der Schweiz sind nicht trivial:

Österreich: Das Geldwäschegesetz (FM-GwG) und das Wirtschaftliche Eigentümer Registergesetz (WiEReG) haben eigene Anforderungen, die vom deutschen GwG abweichen. Die Bestellung eines Compliance-Beauftragten ist im österreichischen Bankwesengesetz (BWG) und im Wertpapieraufsichtsgesetz (WAG) für regulierte Unternehmen ausdrücklich vorgesehen. Für den nicht regulierten Mittelstand gelten die allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten.

Schweiz: Das Obligationenrecht (OR) schreibt für Aktiengesellschaften ab bestimmten Schwellenwerten eine interne Revision und ein internes Kontrollsystem (IKS) vor. Das VStrR ist bei Wirtschaftsdelikten relevant. Schweizer Unternehmen, die in der EU tätig sind, müssen dennoch DSGVO und LkSG beachten, wenn sie bestimmte Schwellenwerte überschreiten.

Ein professioneller externer CO für den DACH-Mittelstand verfügt über Netzwerke in allen drei Ländern und koordiniert bei grenzüberschreitenden Sachverhalten mit lokalen Spezialisten. Stichprobenartige Kenntnisse reichen hier nicht aus. Ergänzend zur CO-Funktion sind häufig weitere Beauftragte relevant, etwa der Datenschutzbeauftragte und der Beauftragte für die Interne Meldestelle.

Die Kosten für einen externen Compliance Officer variieren je nach Unternehmensklasse, Branche und Mandatsumfang. Als Orientierung für den DACH-Mittelstand:

Im Vergleich dazu: Ein interner Compliance Officer im Mittelstand mit Vollzeit-Stelle kostet inklusive Arbeitgeberkosten, Weiterbildung und Infrastruktur mindestens 90.000 bis 130.000 Euro jährlich. Die externe Lösung ist in nahezu allen Mittelstandsklassen deutlich günstiger – und bringt sofortige Einsatzfähigkeit ohne Anlaufzeit.

Bei branchen-regulierten Unternehmen (Finanzdienstleister, Pharmaunternehmen, KRITIS-Betreiber) sind Aufschläge von 30 bis 60 Prozent realistisch, weil der Mandatsumfang und die erforderliche Spezialisierung erheblich steigen.

Ein professionelles Compliance-Mandat beginnt nicht mit allgemeinen Empfehlungen, sondern mit einer strukturierten Bestandsaufnahme. Die ersten drei Monate folgen in der Regel einem klaren Ablauf:

1. Monat 1 – Compliance-Risikoanalyse: Identifikation der relevanten Gesetze und Verordnungen für das jeweilige Unternehmen (Branche, Größe, Märkte). Bewertung bestehender Maßnahmen nach IDW PS 980. Identifikation von Lücken.
2. Monat 2 – Programm-Design: Entwurf von Richtlinien, Verhaltenskodex, Genehmigungsverfahren. Festlegung der Berichtswege. Konzeption des Schulungsprogramms für Mitarbeiter und Führungskräfte.
3. Monat 3 – Implementierung und Schulung: Roll-out des Compliance-Programms, erste Schulungsrunde mit Dokumentation. Einrichtung oder Überprüfung des Hinweisgebersystems nach HinSchG. Erster Compliance-Bericht an die Geschäftsführung.

Nach diesem initialen Aufbau folgt der Regelbetrieb: quartalsweise oder halbjährliche Berichte, laufende Überwachung von Rechtsänderungen, Schulungswiederholungen, Begleitung von Sonderprojekten und Behördenanfragen.

Die Qualität dieser ersten drei Monate ist entscheidend – sowohl für die spätere Auditfestigkeit des Systems als auch dafür, dass die Geschäftsführung das Mandat als nützlich erlebt und nicht als Bürokratie. Audit-fest, dokumentiert, § 130-OWiG-fest.

Der Compliance Officer ist in der Praxis selten die einzige Beauftragten-Funktion, die ein Mittelständler besetzen muss. § 130 OWiG und IDW PS 980 betreffen die übergreifende Compliance-Funktion; daneben bestehen zahlreiche spezifische Bestellpflichten, die je nach Branche und Unternehmensgröße greifen:

• Datenschutzbeauftragter nach Art. 37 DSGVO und § 38 BDSG
• Informationssicherheitsbeauftragter nach §§ 30, 38 BSIG (NIS-2)
• Geldwäschebeauftragter nach § 7 GwG für regulierte Unternehmen
• Lieferketten-Beauftragter nach § 4 LkSG für Unternehmen mit mehr als 1.000 Mitarbeitern ab 2024
• Beauftragter Interne Meldestelle nach HinSchG für Unternehmen ab 50 Mitarbeitern

Die Koordination zwischen diesen Rollen ist operativ anspruchsvoll. Ein Compliance Officer, der auf einer Plattform arbeitet, die alle Beauftragten-Rollen integriert, vermeidet Doppeldokumentation und schafft einen konsistenten Nachweis über alle Funktionen hinweg. CIVAC bietet genau diese Integration: Alle 25 Beauftragten-Rollen in einem Workspace, einem Audit-Log, einer Dokumentationsstruktur.

Der Vertrag mit dem externen Compliance Officer unterscheidet sich vom Standard-Beratervertrag in wesentlichen Punkten. Er muss regeln:

• Mandatsumfang: Expliziter Leistungskatalog – welche der IDW-PS-980-Elemente werden abgedeckt, welche bleiben Eigenverantwortung des Unternehmens?
• Berichtspflicht: An wen und in welchem Rhythmus berichtet der CO? Direkte Berichtslinie zur Geschäftsleitung ist Standard. Wöchentlicher E-Mail-Austausch ersetzt keinen formalisierten Compliance-Bericht.
• Vertraulichkeit: Der CO erhält Zugang zu sensiblen Unternehmens- und Personaldaten. Eine klare Vertraulichkeitsvereinbarung ist unabdingbar, insbesondere wenn der CO gleichzeitig andere Mandate betreut.
• Haftungsregelung: In welchem Umfang haftet der externe CO für fehlerhafte Beratung? Die Berufshaftpflicht sollte die Deckungssumme klar benennen.
• Kündigungsfristen und Übergabe: Wie wird bei Mandatsende sichergestellt, dass Dokumentation vollständig übergeben wird und keine Lücke entsteht?
• Interessenkonflikt-Regelung: Offenlegungspflicht bei neuen Mandaten, die Interessenkonflikte begründen könnten.

Bestellurkunde, unterschrieben, abgelegt, belegbar. Auch beim CO gilt: Die formale Dokumentation des Mandats ist der Ausgangspunkt für jeden Nachweis gegenüber Behörden und Gerichten.

Der Markt für externe Compliance Officer ist weniger reguliert als der für externe Datenschutzbeauftragte – es gibt keine gesetzliche Qualifikationspflicht vergleichbar mit Art. 37 Abs. 5 DSGVO. Das macht die Qualitätsprüfung wichtiger, nicht einfacher.

Folgende Signale sind aussagekräftig:

• Zertifizierungen: Certified Compliance Professional (CCP) der Compliance Academy, CCEP (Certified Compliance and Ethics Professional) der SCCE, Fachanwalt für Straf- oder Handels- und Gesellschaftsrecht mit CMS-Schwerpunkt.
• Branchenerfahrung: Ein CO für die Pharmaindustrie muss die AMG- und AMVV-Compliance kennen; ein CO für den Finanzbereich die MaRisk und BAIT. Generalist-COs ohne Branchenkenntnis stoßen bei regulierten Unternehmen schnell an Grenzen.
• Nachweisbare CMS-Implementierungen: Hat der Anbieter CMS nach IDW PS 980 für vergleichbare Unternehmen aufgebaut und diese erfolgreich auditiert?
• Berichtsmuster: Ein seriöser CO kann Beispiel-Compliance-Berichte (anonymisiert) vorlegen. Wer keine strukturierten Berichte kennt, arbeitet nicht nach IDW-Standard.
• Haftpflichtversicherung: Deckungssummen unter 500.000 Euro sind für Mandate mit signifikantem Haftungsrisiko unzureichend.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für den deutschen, österreichischen und schweizerischen Mittelstand. Das CIVAC-Modell verbindet den externen Compliance Officer mit einem strukturierten Workspace: Aufgabenmanagement, Projektmodul für Audits und Assessments nach IDW PS 980, Schulungsmodul mit Zertifikat, Dokumentationsmodul und KI-Assistent mit Konfidenz-Score und Quellenangabe.

Die Bestellung erfolgt innerhalb von zwei Werktagen: Vertrag, Bestellurkunde, erste Berichtslinie. Das CIVAC-Netzwerk deckt alle relevanten DACH-Märkte ab und koordiniert bei grenzüberschreitenden Compliance-Anforderungen zwischen deutschen, österreichischen und schweizerischen Spezialisten.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten bestellen. Beides ist auf derselben Plattform dokumentierbar, mit einheitlichem Audit-Log und abgestimmten Berichtslinien für alle Beauftragten-Rollen, die Ihr Unternehmen benötigt.

Wenn Sie Ihren konkreten Compliance-Bedarf im DACH-Raum klären möchten, sprechen Sie mit uns. Aus dem Lesen einen Auftrag machen: info@civac.de oder über das Kontaktformular auf civac.de.