Wer braucht einen Compliance Officer im Unternehmen: Pflicht, Schwellen, Risiko

Eine ausdrückliche gesetzliche Pflicht zur Bestellung eines Compliance Officers existiert in Deutschland nur in wenigen, klar abgegrenzten Branchen, etwa nach § 25a KWG für Kreditinstitute, nach § 80 WpHG für Wertpapierdienstleister und nach § 7 GwG für Verpflichtete der Geldwäscheprävention. Außerhalb dieser Spezialgesetze entsteht die Pflicht faktisch über § 130 OWiG, der die Geschäftsleitung zur Aufsicht über die Einhaltung von Pflichten verpflichtet. Wer diese Aufsicht nicht organisiert, haftet persönlich für Bußgelder bis 10 Mio. Euro und mehr. Versicherer reduzieren die D&O-Deckung, Banken die Kreditlinien, Auditoren verweigern das Testat.

Die Frage „Wer braucht einen Compliance Officer?" ist deshalb selten mit „nur große Konzerne" zu beantworten. Sobald ein Unternehmen regulierte Tätigkeiten ausübt, sensible Daten verarbeitet, im Ausland Geschäfte macht oder Lieferketten verantwortet, wird die Funktion praktisch unverzichtbar. Dieser Beitrag ordnet die acht zentralen Pflichtquellen, benennt typische Schwellenwerte zwischen 50 und 1.000 Beschäftigten, beschreibt Aufgaben, Bestellurkunde und Berichtslinie und zeigt, wie die Compliance-Plattform und Officer-as-a-Service von CIVAC die Rolle entweder als interne Lizenz oder als externe Bestellung abbildet. Im Anschluss erhalten Sie eine Entscheidungshilfe für interne versus externe Besetzung, einen Überblick zur Haftung der Geschäftsleitung sowie sechs FAQ zur Bestellpraxis. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Eine ausdrückliche Bestellpflicht für einen Compliance Officer ergibt sich aus mehreren Spezialgesetzen. § 25a Abs. 1 Satz 3 Nr. 3 KWG verlangt von Kreditinstituten eine ordnungsgemäße Geschäftsorganisation, die ausdrücklich eine Compliance-Funktion einschließt. § 80 Abs. 1 WpHG i.V.m. MaComp BT 1.1.1 schreibt für Wertpapierdienstleister eine dauerhafte, unabhängige Compliance-Funktion mit eigenem Compliance-Beauftragten vor. § 7 GwG verpflichtet alle GwG-Verpflichteten ab dem ersten Mitarbeiter zur Bestellung eines Geldwäschebeauftragten, der zugleich Compliance-Aufgaben wahrnimmt. § 29 VAG schreibt für Versicherungsunternehmen die Compliance-Funktion als eine der vier Schlüsselfunktionen unter Solvency II vor.

Hinzu kommen branchenspezifische Anforderungen. § 9 Abs. 2 ApoG verlangt von Apotheken eine compliance-strukturierte Aufsicht über Betäubungsmittel. § 11 MPDG fordert von Medizinproduktherstellern eine Person mit Verantwortung für regulatorische Compliance. § 14 AMG fordert für Pharmaunternehmen einen Stufenplanbeauftragten, der Pharmakovigilanz-Compliance verantwortet. § 4 HinSchG verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung einer internen Meldestelle, die regelmäßig dem Compliance Officer angegliedert wird. Wer in einer dieser Branchen tätig ist, hat keine Wahl: Die Bestellung ist Pflicht, die Bestellurkunde des Compliance-Beauftragten muss dokumentiert und der Geschäftsleitung gegenüber belegbar sein. Verstöße werden nicht nur mit Bußgeld, sondern auch mit aufsichtsrechtlicher Verwarnung, Tätigkeitsuntersagung und im Ernstfall mit Lizenzentzug sanktioniert. Die Bundesanstalt für Finanzdienstleistungsaufsicht prüft regelmäßig, ob Funktion, Ressourcenausstattung und Unabhängigkeit der Beauftragten den aufsichtsrechtlichen Mindeststandards entsprechen. Eine fehlende oder lückenhafte Bestellurkunde gilt aufsichtsrechtlich als nicht eingerichtete Funktion und löst die volle Sanktionskaskade aus. Auch die Stellvertreterregelung wird geprüft: Wer in Urlaubs- oder Krankheitsphasen keine benannte Stellvertretung vorweist, riskiert eine Beanstandung mit Auflage zur Nachbestellung binnen vier Wochen.

Außerhalb der Spezialgesetze entsteht die Pflicht zur Compliance-Organisation faktisch aus § 130 OWiG. Die Norm sanktioniert die Verletzung von Aufsichtspflichten in Betrieben und Unternehmen. Wer als Inhaber oder Geschäftsführer Aufsichtsmaßnahmen unterlässt, durch die eine Zuwiderhandlung gegen Pflichten verhindert oder wesentlich erschwert worden wäre, handelt ordnungswidrig. Das Bußgeld kann nach § 30 OWiG i.V.m. § 130 OWiG bei vorsätzlichem Anlassdelikt bis zu 10 Mio. Euro betragen, bei fahrlässigem Anlassdelikt bis zu 5 Mio. Euro. Bei Kartellverstößen, Korruption und Verstößen gegen das Außenwirtschaftsrecht kommen Sondernormen mit deutlich höheren Bußgeldrahmen hinzu.

Die Rechtsprechung des BGH (Urteil vom 09.05.2017 – 1 StR 265/16, „Siemens-Neubürger") hat klargestellt: Eine ordnungsgemäße Compliance-Organisation kann Bußgelder reduzieren und die persönliche Haftung der Geschäftsleitung mindern. Was eine „ordnungsgemäße" Organisation ist, hängt von Größe, Branche, Risikoprofil und internationaler Ausrichtung ab. Ab einer bestimmten Komplexität ist die Bestellung eines dedizierten Compliance Officers nicht mehr empfehlenswert, sondern de facto erforderlich. CIVAC bildet diese Funktion in einem strukturierten Workspace ab: Aufgabenkatalog, Berichtslinie, Audit-Vorlagen, Schulungsnachweise und die Bestellurkunde liegen in einem System. Der Prüfer ruft an, der Nachweis liegt bereit. Die Geschäftsleitung kann jederzeit gegenüber Aufsichtsbehörden, Versicherern und Auditoren belegen, welche Aufsichtsmaßnahmen ergriffen wurden und wer sie verantwortet. Ohne diese Dokumentationsbasis bleibt die Verteidigung im OWi-Verfahren auf mündliche Beteuerungen reduziert, was die Staatsanwaltschaft in der Praxis selten überzeugt. Audit-fest, dokumentiert, § 130 OWiG-fest. Die Bußgeldstellen der Länder, die Generalstaatsanwaltschaften und die Sektor-Aufsichten (BaFin, BNetzA, BSI) verlangen einen konsistenten Nachweis über mehrere Jahre. Wer die Dokumentation erst im Verfahren rekonstruiert, hat die Beweislast effektiv verloren.

Die Frage nach dem „Ab wann" lässt sich nur über mehrere parallele Schwellen beantworten. Im Hinweisgeberschutz greift § 12 HinSchG ab 50 Beschäftigten, in besonders sensiblen Branchen wie Finanzdienstleistung, Versicherung und Wertpapierhandel bereits ab dem ersten Mitarbeiter. Im Lieferkettensorgfaltspflichtengesetz (LkSG) liegt die Schwelle 2024 bei 1.000 Beschäftigten, der Anwendungsbereich wird durch die CSDDD ab 2027 schrittweise auf kleinere Unternehmen erweitert. Im Geldwäscherecht ist die Bestellung des Geldwäschebeauftragten ab dem ersten Verpflichteten Pflicht, unabhängig von der Größe.

NIS-2 erfasst nach § 28 BSIG-neu „wesentliche" Einrichtungen mit mindestens 250 Beschäftigten oder 50 Mio. Euro Umsatz und „wichtige" Einrichtungen ab 50 Beschäftigten oder 10 Mio. Euro Umsatz in 18 Sektoren. Etwa 29.500 Unternehmen in Deutschland sind betroffen. Die Geschäftsleitung haftet persönlich, eine Delegation entlastet nicht. Bei multinationaler Tätigkeit kommen US-FCPA-Anforderungen, UK Bribery Act und seit 2023 die EU-Sanktionsregime hinzu. Mittelständische Unternehmen mit Exportgeschäft, Bankenbeziehungen oder Lieferkettenrisiko erreichen diese kumulative Schwelle regelmäßig zwischen 50 und 250 Mitarbeitern. Ab dieser Größe ist die Bestellung eines dedizierten Compliance Officers selten verhandelbar, sondern aus Haftungssicht zwingend. Wer die Funktion nicht intern abbilden kann, lässt sie über einen externen Beauftragten besetzen und dokumentiert die Auslagerung über eine schriftliche Vereinbarung mit klarer Aufgabenverteilung. CIVAC liefert für jede Schwelle die zugehörige Audit-Vorlage und prüft im Onboarding, welche Pflichtquellen im konkreten Unternehmen greifen. Die Risiko-Heatmap aus dem Workspace zeigt, an welchen Stellen die Schwellen überschritten und welche Funktionen entsprechend zu besetzen sind. Frist läuft ab Kenntnis, das System hinterlegt jede Schwellenüberschreitung mit Zeitstempel und löst die zugehörige Bestellaufforderung an die Geschäftsleitung aus. Wer wachsen will, sollte die nächste Schwelle nicht im Geschäftsbericht entdecken, sondern in einem Quartals-Review mit dem Compliance Officer.

Die Aufgaben eines Compliance Officers lassen sich in fünf Kernbereiche gliedern: Risikoidentifikation, Regelwerk, Schulung, Überwachung und Berichtswesen. Bei der Risikoidentifikation kartiert der Beauftragte Geschäftsprozesse, Drittparteien, Märkte und Rechtsgebiete. Das Regelwerk umfasst Richtlinien zu Korruption, Kartellrecht, Datenschutz, Sanktionen, Geldwäsche, Geschenken, Interessenkonflikten und Whistleblowing. Die Schulung dokumentiert verpflichtende Online-Module mit Teilnahmebestätigung, üblicherweise jährlich, in Hochrisikofunktionen halbjährlich. In regulierten Branchen kommen zusätzliche Spezialschulungen zu MaRisk, MaComp, MAR oder zur Pharmakovigilanz hinzu.

Die Überwachung erfolgt über Stichprobenprüfungen, Lieferanten-Due-Diligence, Transaktionsmonitoring, KYC/AML-Screening und IT-gestützte Auswertungen. Das Berichtswesen verlangt eine direkte Berichtslinie an die Geschäftsleitung, in Konzernen häufig zusätzlich an den Aufsichtsrat oder Prüfungsausschuss. § 25c Abs. 5 KWG schreibt für die GwG-Funktion eine direkte Berichtslinie an die Geschäftsleitung vor. Die Funktion muss mit ausreichend Ressourcen, fachlicher Qualifikation und Weisungsunabhängigkeit ausgestattet sein. CIVAC stellt für jede dieser fünf Säulen Audit-Vorlagen bereit, insgesamt 37 einsatzbereite Templates, von der Risiko-Heatmap über die Schulungs-Compliance bis zum quartalsweisen Compliance-Bericht an die Geschäftsleitung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen bleibt der Aufgabenkatalog identisch, dokumentiert und § 130 OWiG-fest. Die Berichtslinie ist im System hinterlegt, jede Eskalation, jeder Quartalsbericht und jede Verdachtsmeldung wird mit Zeitstempel und Empfänger archiviert. Die Geschäftsleitung sieht im Dashboard, welche Pflichten offen, welche erledigt und welche im roten Bereich sind, ohne dass der Beauftragte täglich Bericht erstatten muss. Ad-hoc-Eskalationen werden über einen vordefinierten Workflow ausgelöst, der Geschäftsleitung, Justiziar und gegebenenfalls Aufsichtsrat zeitgleich informiert. Diese Multi-Empfänger-Logik verhindert die typische Schwachstelle, dass eine Eskalation auf dem Schreibtisch eines einzelnen Adressaten liegen bleibt und im Schadensfall niemand reagiert hat.

Die Bestellurkunde ist das zentrale Dokument der Compliance-Funktion. Sie enthält den Aufgabenkatalog, die Ressourcenausstattung, die direkte Berichtslinie an die Geschäftsleitung, das Weisungsrecht im Compliance-relevanten Bereich, das Kündigungsschutzregime und den Geltungszeitraum. Ohne unterschriebene Bestellurkunde gilt die Funktion aufsichtsrechtlich als nicht eingerichtet. Im Verfahren nach § 30 OWiG ist die fehlende Bestellurkunde regelmäßig der Punkt, an dem die Verteidigung gegen einen Vorwurf der Aufsichtspflichtverletzung zusammenbricht. Die Staatsanwaltschaft prüft im Ermittlungsverfahren als Erstes, ob eine schriftliche Bestellung mit Datum und Unterschrift vorliegt.

Die Berichtslinie ist das zweite Schlüsseldokument. Sie regelt, an wen der Beauftragte berichtet, in welcher Frequenz, in welchem Format und mit welchem Eskalationspfad bei Verdachtsfällen. § 25h KWG, § 81 WpHG und § 7 GwG verlangen ausdrücklich eine direkte Berichtslinie an die Geschäftsleitung. Diese darf nicht über Zwischenstufen abgeschwächt werden. Die Berichtslinie des Geldwäschebeauftragten ist ein Sonderfall: Sie ist an die Geschäftsleitung adressiert und parallel an die Aufsichtsbehörden zu spiegeln. CIVAC liefert beide Dokumente als Audit-Vorlage. Die Bestellurkunde wird im Workspace hinterlegt, mit qualifizierter elektronischer Signatur versehen und an die Personalakte des Beauftragten angeknüpft. Die Berichtslinie ist im Aufgabenkatalog hart kodiert, jede Quartalsmeldung läuft über einen vordefinierten Workflow. Bestellurkunde, unterschrieben, abgelegt, belegbar. Audit-fest, dokumentiert, § 130 OWiG-fest. Ändert sich die Geschäftsleitung, wird die Bestellurkunde durch eine Anschlussbestellung ergänzt, der Workspace dokumentiert den Wechsel revisionssicher. Auch der Wechsel der Berichtslinie (etwa von Geschäftsführer A zu Geschäftsführer B) wird in einer Anschlussurkunde abgebildet, ohne dass die Funktionalität für eine Übergangszeit lückenhaft wird. Im M&A-Fall, etwa bei Carve-out oder Integration, sind beide Dokumente die zentralen Übergabeartefakte gegenüber Käufer, Verkäufer und Aufsicht.

Unternehmen können einen Compliance Officer intern bestellen, etwa als Stabsstelle des Vorstands, oder einen externen Beauftragten beauftragen. Beide Modelle sind aufsichtsrechtlich zulässig, solange die Anforderungen an Qualifikation, Unabhängigkeit und Ressourcenausstattung erfüllt sind. Die interne Bestellung bietet kurze Wege, tiefes Geschäftsverständnis und unmittelbare Verfügbarkeit. Sie erfordert allerdings volle Personalkosten, kontinuierliche Fortbildung und im Krankheits- oder Urlaubsfall eine Stellvertretungsregelung. Bei Vakanz droht eine aufsichtsrechtliche Lücke, die im Worst Case zur Beanstandung in der nächsten Sonderprüfung führt.

Die externe Bestellung über einen spezialisierten Dienstleister bietet sofortige Verfügbarkeit, breite Branchenerfahrung, eine Stellvertretung im Team und planbare Kosten. § 25h Abs. 7 KWG erlaubt die Auslagerung ausdrücklich, sofern die Steuerung und Verantwortung im Haus bleiben. Für mittelständische Unternehmen mit 50 bis 500 Mitarbeitern ist die externe Lösung oft wirtschaftlicher, weil die Funktion mehrere Disziplinen abdecken muss (Datenschutz, Korruption, Geldwäsche, Sanktionen) und keine Vollzeitstelle rechtfertigt. CIVAC bietet beide Modelle in einem System. Die interne Variante lizenziert den Workspace, der externe Beauftragte arbeitet im selben Workspace, sodass der Übergang fließend ist. Die SLA für die externe Bestellung beträgt 2 Werktage, statt der klassischen 2 bis 6 Wochen über Anwaltskanzleien. Aufgabenkatalog, Bestellurkunde, Berichtslinie und Audit-Vorlagen werden mit der Bestellung freigeschaltet. Die Geschäftsleitung sieht im Dashboard, welche Aufgaben offen, welche erledigt und welche eskaliert sind. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, die Wahl bleibt Ihnen, das System trägt beide Modelle. Wechselt ein Unternehmen vom externen Modell ins interne, verbleibt die gesamte Dokumentation im Workspace und der Übergang erfolgt ohne Datenmigration.

Wer als Geschäftsführer keine Compliance-Organisation einrichtet, haftet persönlich. § 43 GmbHG und § 93 AktG verpflichten zur Sorgfalt eines ordentlichen Kaufmanns. Verletzt der Geschäftsführer diese Pflicht, kann er gegenüber der Gesellschaft auf Schadensersatz haften. § 130 OWiG kommt für persönliche Bußgelder hinzu, § 30 OWiG für Verbandsgeldbußen gegen das Unternehmen. Bei vorsätzlichen Anlassdelikten beträgt der Höchstrahmen 10 Mio. Euro, in Sonderfällen wie der Verletzung von EU-Sanktionsverordnungen deutlich darüber hinaus. Bei Kartellverstößen kommen Bußgelder bis 10 Prozent des Konzernumsatzes hinzu, was bei größeren Unternehmen schnell dreistellige Millionenbeträge erreicht.

Die zivilrechtliche Innenhaftung wird zunehmend von D&O-Versicherern restriktiv behandelt. Wer keine dokumentierte Compliance-Organisation nachweisen kann, riskiert Deckungsverweigerung im Schadenfall. Im Insolvenzfall droht zudem die Haftung des Geschäftsführers gegenüber der Insolvenzmasse, wenn Compliance-Pflichtverletzungen zu Bußgeldern oder Schadensersatzansprüchen geführt haben. Strafrechtlich kann § 14 StGB die Verantwortlichkeit des Vertreters für unterlassene Aufsichtsmaßnahmen begründen. Bei Korruptionsdelikten, Geldwäsche, Steuerhinterziehung oder Verstößen gegen das Außenwirtschaftsgesetz kommen Freiheitsstrafen in Betracht. Die Bestellung eines Compliance Officers ist deshalb nicht nur regulatorische Pflicht, sondern persönliche Risikoabsicherung der Geschäftsleitung. Sie verlagert die Aufsichtspflicht in eine dedizierte Funktion, dokumentiert die Ressourcenausstattung und belegt im Verfahren die Sorgfalt der Geschäftsleitung. CIVAC strukturiert diese Risikoabsicherung über den Workspace, mit Bestellurkunde, Berichtslinie und revisionssicherer Dokumentation aller Aufsichtsmaßnahmen. Frist läuft ab Kenntnis, der Workspace hält Eingang, Bewertung und Reaktion zeitgestempelt fest, damit die Geschäftsleitung im Verfahren nachweisen kann, wann sie was wusste und wie reagiert wurde. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Verlagerung der Aufsichtspflicht in eine dokumentierte Funktion ist der Kernbeitrag einer ordnungsgemäßen Compliance-Organisation.

Banken und Sparkassen unterliegen § 25a KWG, MaRisk AT 9 und MaComp BT 1. Sie benötigen eine Compliance-Funktion mit Compliance-Beauftragtem und stellvertretendem Compliance-Beauftragtem, zusätzlich einen Geldwäschebeauftragten und einen WpHG-Compliance-Officer. Die BaFin prüft die Funktion in regelmäßigen Sonderprüfungen. Wertpapierdienstleister fallen zusätzlich unter § 80 WpHG und MiFID II. Versicherungsunternehmen unterliegen § 29 VAG und MaGo, sie benötigen eine unabhängige Compliance-Funktion als eine der vier Schlüsselfunktionen unter Solvency II. Pensionskassen und Versorgungswerke folgen einem an Solvency II angelehnten Regime mit eigenen Berichtspflichten.

Im Gesundheitssektor verlangt § 11 MPDG für Medizinproduktehersteller eine Person mit Verantwortung für regulatorische Compliance, die unmittelbar an die Geschäftsleitung berichtet. § 14 AMG fordert für Pharmaunternehmen einen Stufenplanbeauftragten, der Compliance-Aufgaben in der Pharmakovigilanz übernimmt. In der Industrie ergibt sich die Pflicht häufig aus Exportkontrolle (§ 22 AWV), Kartellrecht (§ 81 GWB) und Korruptionsprävention (§ 299 StGB). Wer als Maschinenbauer oder Chemieunternehmen Geschäfte in den USA, China oder dem Mittleren Osten macht, fällt zusätzlich unter FCPA, UK Bribery Act und EU-Sanktionsregime. CIVAC bildet diese Branchenregeln in spezialisierten Workspace-Konfigurationen ab. Banken erhalten MaComp-konforme Vorlagen, Versicherer Solvency-II-konforme Templates, Pharmaunternehmen MPDG-/AMG-Workflows. Die Übersicht aller 25 Beauftragten-Rollen zeigt, welche Konfiguration pro Branche zum Einsatz kommt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Branchen-Konfiguration wird im Onboarding aktiviert, Aufgabenkatalog und Audit-Vorlagen passen sich automatisch an. Wer mehrere Branchen gleichzeitig abdeckt, etwa ein Versicherungs-Asset-Manager mit Bankenlizenz, kombiniert die Konfigurationen in einem Workspace, ohne dass Aufgabenkataloge oder Berichtslinien getrennt werden müssen.

Die Antwort auf „Wer braucht einen Compliance Officer?" lässt sich für die meisten mittelständischen und größeren Unternehmen mit „Sie" beantworten. Ob aus § 25a KWG, § 80 WpHG, § 7 GwG oder aus § 130 OWiG abgeleitet, die Funktion ist im aufsichtsrechtlichen Alltag selten verzichtbar. Die Frage ist nicht ob, sondern wie schnell und in welchem Modell die Bestellung erfolgt. CIVAC bietet zwei Wege: die interne Lizenz des Compliance-Workspace oder die externe Bestellung über Officer-as-a-Service. Beide Wege führen zum selben Ergebnis: eine unterschriebene Bestellurkunde, eine dokumentierte Berichtslinie, ein revisionssicheres Audit-Archiv.

Die interne Lizenz richtet sich an Unternehmen, die bereits einen Compliance-Verantwortlichen im Haus haben oder einstellen, ihm aber das System, die Audit-Vorlagen und die Berichtsstrukturen abnehmen wollen. Der Workspace umfasst Bestellurkunde, Berichtslinie, 37 Audit-Vorlagen, Risikoregister, Schulungsmodul und revisionssichere Dokumentation. Die externe Bestellung richtet sich an Unternehmen, die die Funktion sofort besetzen müssen oder über keine eigene Ressource verfügen. CIVAC-Beauftragte übernehmen die Rolle mit einer SLA von 2 Werktagen, der Workspace bleibt im Unternehmen, die Berichtslinie geht an die Geschäftsleitung. Beide Modelle laufen mit EU-Datenresidenz, ISO/IEC 27001:2022-zertifiziertem ISMS und revisionssicherer Archivierung. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Der nächste Schritt ist ein 30-minütiges Erstgespräch, in dem wir den Risikoradius, die Pflichtquellen und das passende Bestellmodell bestimmen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Innerhalb von zwei Werktagen liegt die unterzeichnete Urkunde vor, der Workspace ist aktiviert, der Beauftragte ist berichtspflichtig. Bei komplexeren Konfigurationen, etwa konzernweiter Bestellung mit Tochtergesellschaften in mehreren Sektoren, planen wir das Setup im Erstgespräch und legen einen festen Aktivierungstermin fest.