Integrierte Compliance-Dokumentation: Alle Beauftragten-Rollen, ein Nachweis-Pfad

§ 130 OWiG hält die Unternehmensleitung dazu an, die für Compliance erforderlichen Aufsichtspflichten zu organisieren und deren Erfüllung zu dokumentieren. Art. 5 Abs. 2 DSGVO verankert das Rechenschaftsprinzip: Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze nicht nur sicherstellen, sondern auch nachweisen können. ISO/IEC 27001:2022 fordert in Kapitel 7.5 eine dokumentierte Information als Nachweis für die Wirksamkeit des ISMS.

Drei Normen, drei Nachweis-Anforderungen – und in der Praxis drei getrennte Systeme, drei Ablagestrukturen, drei verschiedene Export-Formate. Dieser Artikel zeigt, warum integrierte Compliance-Dokumentation über alle Beauftragten-Rollen hinweg nicht nur effizienter ist, sondern auch strukturell sicherer – und wie CIVAC diesen Ansatz in einem einzigen monatlichen Dokumentations-Workflow umsetzt.

Das Rechenschaftsprinzip der DSGVO (Art. 5 Abs. 2) ist die weitreichendste Nachweis-Pflicht im europäischen Datenschutzrecht. Der Verantwortliche muss nachweisen können, dass alle Grundsätze der Datenverarbeitung eingehalten werden – proaktiv, nicht erst auf Nachfrage. Aufsichtsbehörden können jederzeit um Vorlage von Nachweisen bitten; die 72-Stunden-Frist bei Datenpannen nach Art. 33 DSGVO setzt den zeitlichen Rahmen für die Reaktionsfähigkeit.

ISO/IEC 27001:2022 fordert in Kapitel 7.5 eine systematische Verwaltung dokumentierter Information: Erstellung, Aktualisierung und Kontrolle von Dokumenten, die als Nachweis für die Wirksamkeit des ISMS dienen. Bei einem externen Audit durch eine Zertifizierungsstelle werden diese Dokumente stichprobenhaft geprüft.

§ 130 OWiG verlangt keine spezifische Dokumentationsform, aber die Rechtsprechung und die IDW-Prüfungsstandards (IDW PS 980) erwarten, dass die Unternehmensleitung auf Nachfrage nachweisen kann, wie die Aufsichtspflichten organisiert und überwacht wurden. Das Verzeichnis der bestellten Beauftragten, der Schulungsnachweise und der durchgeführten Audits ist die Grundlage dieses Nachweises. Mehr zu den Anforderungen an den Compliance-Beauftragten: Compliance-Beauftragter.

Betriebe, die für jede Beauftragten-Rolle ein eigenes Ablagesystem verwenden, produzieren strukturell Dokumentationslücken. Nicht aus Nachlässigkeit, sondern weil die Systeme nicht integriert sind.

Typische Lücken: Der Schulungsnachweis für den Brandschutzbeauftragten liegt in einer anderen Plattform als das Schulungsprotokoll des DSB. Das Audit-Ergebnis des Qualitätsmanagementbeauftragten ist im ERP-System abgelegt, während die DSFA des Datenschutzbeauftragten in einer Ordner-Struktur liegt. Die Bestellurkunde des Geldwäschebeauftragten wurde per E-Mail zugestellt und ist nicht systematisch archiviert.

Bei einer Prüfung durch die Datenschutzaufsicht, das BSI oder eine FIU-Kontrolle werden diese Lücken sichtbar – nicht weil die Compliance-Arbeit nicht geleistet wurde, sondern weil der Nachweis fehlt oder nicht auffindbar ist. Ein fehlender Nachweis wird in der Prüfungspraxis häufig wie eine fehlende Maßnahme behandelt.

Integrierte Dokumentation löst dieses Problem strukturell: Alle Beauftragten-Mandate nutzen dieselbe Ablagelogik, dieselben Exportformate und denselben Audit-Log. Die Geschäftsleitung kann auf eine einzige Anfrage hin Nachweise über alle Rollen liefern – nicht nach stundenlanger Suche in verschiedenen Systemen.

CIVAC strukturiert den Compliance-Betrieb in sechs Arbeitsflächen, die in einem monatlichen Dokumentations-Workflow konvergieren.

Aufgaben bildet das Tagesgeschäft ab: template-gestützte Tätigkeiten, E-Mail-Intake, wiederkehrende Kadenzen. Jede erledigte Aufgabe wird mit Zeitstempel protokolliert.

Schulungen verwaltet Pflichtschulungen mit Test, Zertifikat und Abschluss-Tracking. Schulungs-Abschlüsse sind maschinenlesbar und werden im monatlichen Export erfasst.

Projekte strukturiert Audits, Assessments und Berichte in fünf Schritten. Jeder abgeschlossene Audit-Bericht wird automatisch dem zugehörigen Beauftragten-Mandat zugeordnet.

Dokumentation ist der Konsolidierungs-Workflow: Monatlich werden alle erledigten Aufgaben, Schulungs-Abschlüsse und Audit-Ergebnisse aller aktiven Beauftragten-Mandate zu einem einzigen exportfähigen Nachweis-Paket zusammengefasst. Format: PDF-Bericht für Aufsichtsbehörden und interne Revision; maschinenlesbarer Export für weitere Verarbeitung.

Fragen protokolliert alle KI-Anfragen und Berater-Eskalationen im Audit-Log. Templates stellt 37 einsatzbereite Audit-Vorlagen bereit. Der Prüfer ruft an, der Nachweis liegt bereit.

Jede Compliance-Dokumentation beginnt mit der Bestellurkunde. Ohne formale, schriftliche Bestellung ist kein Beauftragter rechtswirksam eingesetzt – und alle nachfolgenden Tätigkeiten, Schulungen und Audits hätten keinen formalen Auftraggeber.

CIVAC verwaltet Bestellurkunden für alle 25 Beauftragten-Rollen im Workspace. Die Urkunde enthält: Name und Funktion des Beauftragten, rechtliche Grundlage der Bestellung, Datum des Amtsantritts, Berichtslinie, Unterschriften des Unternehmens und des Beauftragten.

Ablauffristen werden automatisch überwacht: Wenn eine Bestellung ein definiertes Ablaufdatum hat oder wenn der Beauftragte das Unternehmen verlässt, löst der Workspace automatisch eine Aufgabe aus: Verlängerung oder Neubestellung. So entsteht keine Lücke in der Amtskontinuität.

Im monatlichen Dokumentations-Export wird der Status aller Bestellurkunden mitgeliefert: Welche Rollen sind aktiv bestellt? Welche Urkunden sind aktuell? Welche Fristverlängerungen stehen an? Die Geschäftsleitung sieht auf einen Blick, ob alle Mandate formal in Ordnung sind. Bestellurkunde, unterschrieben, abgelegt, belegbar. Mehr zu den Mandaten: Datenschutzbeauftragter und Compliance-Beauftragter.

Schulungsnachweise sind bei fast allen Beauftragten-Rollen Pflicht. Die Fachkraft für Arbeitssicherheit (§ 5 ASiG, DGUV V2) muss regelmäßig fortgebildet werden. Der Datenschutzbeauftragte muss nach Art. 39 Abs. 1 lit. b DSGVO seine Fachkenntnisse erhalten und ausbauen. Der Geldwäschebeauftragte nach § 7 GwG muss über aktuelle Typologien und Methoden informiert sein.

Wenn jede Rolle ihre Schulungsnachweise in einem anderen System verwaltet, entsteht eine fragmentierte Schulungs-Übersicht. Wer prüfen will, ob alle Beauftragten aktuell geschult sind, muss in mehrere Systeme schauen – ohne Gewissheit, ob die Daten vollständig sind.

Im CIVAC-Schulungs-Modul werden alle Pflichtschulungen für alle Beauftragten-Rollen verwaltet. Tests, Zertifikate und Abschluss-Tracking sind für jede Rolle vorgefertigt. Der monatliche Dokumentations-Export enthält den Schulungs-Status aller aktiven Mandate: abgeschlossen, überfällig, geplant. Die Geschäftsleitung sieht, welche Schulungen fällig sind – bevor eine Aufsichtsbehörde fragt.

Ein Audit-Trail ist eine lückenlose, unveränderliche Protokollierung aller Aktionen in einem System: Wer hat wann was getan? Welche Dokumente wurden erstellt, geändert, freigegeben? Welche Entscheidungen wurden getroffen?

Für Compliance-Dokumentation hat der Audit-Trail mehrere Funktionen. Erstens: Integrität. Ein Audit-Trail verhindert nachträgliche Veränderungen an Dokumenten und schützt damit die Beweiskraft. Zweitens: Nachvollziehbarkeit. Bei einer Prüfung kann der Auditor sehen, wie eine Risikoentscheidung zustande kam – nicht nur das Ergebnis, sondern den Prozess. Drittens: Verantwortlichkeit. Der Audit-Trail weist jede Aktion einer Person zu, was im Haftungsfall relevant sein kann.

CIVAC implementiert den Audit-Trail als unveränderlichen Log auf Plattform-Ebene. Jede Aufgabe, jede Schulung, jede Audit-Entscheidung, jede Dokument-Änderung wird mit Zeitstempel und Nutzer-ID protokolliert. Der Log ist nicht editierbar und wird für die gesetzlich vorgeschriebene Aufbewahrungsfrist gespeichert. ISO/IEC 27001:2022-konformes ISMS und jährlicher externer Penetrationstest gewährleisten die technische Integrität. Mehr unter Informationssicherheitsbeauftragter.

Der monatliche Compliance-Report ist das zentrale Nachweisdokument gegenüber der Unternehmensleitung. Er sollte alle aktiven Beauftragten-Mandate abdecken und in einem standardisierten Format vorliegen, das ohne zusätzliche Erläuterung verständlich ist.

CIVAC-Dokumentations-Export enthält strukturiert: Status aller Bestellurkunden (aktiv/abgelaufen/ausstehend), erledigte Aufgaben des Monats pro Mandat, abgeschlossene Schulungen und Zertifikate, laufende und abgeschlossene Audit-Projekte mit Status, offene Risiken und beschlossene Maßnahmen, ausstehende Fristen (Meldepflichten, Revisionen, Verlängerungen).

Das Format ist zweistufig: eine Executive Summary für die Geschäftsleitung (eine Seite, Traffic-Light-Status pro Rolle) und ein detaillierter Anhang für den Prüfer oder die interne Revision. Beide Teile entstehen aus derselben Datenbasis – kein manuelles Aufbereiten, kein Formatieren in Textverarbeitung.

Für Betriebe mit mehreren Tochtergesellschaften ermöglicht der konsolidierte Export eine Übersicht über alle Mandate in allen Einheiten – ein wesentlicher Vorteil für Konzern-Compliance-Funktionen, die einen Überblick über ihre Töchter benötigen.

Compliance-Dokumentation hat unterschiedliche gesetzliche Aufbewahrungsfristen, die je nach Norm variieren.

Datenschutz: Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist ohne gesetzliche Mindestfrist aufzubewahren, muss aber jederzeit aktuell und vorzeigbar sein. Datenpannen-Dokumentation nach Art. 33 DSGVO: mindestens drei Jahre, empfohlen fünf Jahre.

Handelsrecht und Steuerrecht: Geschäftliche Korrespondenz 6 Jahre (§ 147 AO), Buchungsbelege 10 Jahre. Das umfasst auch Compliance-Verträge und Bestellurkunden.

Arbeitssicherheit: Gefährdungsbeurteilungen nach § 5 ArbSchG haben keine explizite Aufbewahrungsfrist, sollten aber für die Dauer der relevanten Arbeitsverhältnisse aufbewahrt werden. DGUV-Prüfprotokolle typischerweise 5 Jahre.

CIVAC verwaltet die Aufbewahrungsfristen automatisch: Dokumente werden mit ihrer Rollenklasse und der zugehörigen gesetzlichen Aufbewahrungspflicht verknüpft. Ablaufende Aufbewahrungsfristen werden als Aufgabe angezeigt; eine manuelle Löschentscheidung ist erforderlich, um sicherzustellen, dass kein Dokument irrtümlich zu früh gelöscht wird.

Compliance-Dokumentation ist kein Selbstzweck. Sie ist das strukturelle Fundament, auf dem alle Beauftragten-Tätigkeiten nachweisbar werden. Eine Plattform, die dieses Fundament für alle Rollen gleichzeitig liefert, ist kein Luxus – sie ist die Voraussetzung für eine skalierbare Compliance-Funktion im Mittelstand.

CIVAC bietet den Workspace für interne Beauftragte und das Officer-as-a-Service-Modell für extern bestellte Mandate. Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten bestellen. Alle teilen dieselbe Dokumentations-Logik, denselben Audit-Log, denselben monatlichen Export.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular – CIVAC bewertet Ihren aktuellen Dokumentations-Pfad und zeigt konkrete Lücken auf.