Compliance-Management

Compliance Management bezeichnet die systematische Organisation, Steuerung und Überwachung regelkonformen Verhaltens in einem Unternehmen. Ziel ist es, die Einhaltung gesetzlicher, behördlicher und interner Vorgaben sicherzustellen und Verstöße zu verhindern, bevor sie Schaden verursachen. Der Begriff leitet sich vom englischen to comply ab, also „einhalten“ oder „befolgen“.

Ein Compliance-Management-System (CMS) bündelt dafür Prozesse, Zuständigkeiten und Werkzeuge. In Deutschland gilt der IDW Prüfungsstandard 980, 2011 vom Institut der Wirtschaftsprüfer veröffentlicht, als de-facto-Referenz für die Ausgestaltung und Prüfung eines CMS. International setzt die ISO 37301 seit 2021 den Rahmen, sie hat die ältere ISO 19600 abgelöst und ist erstmals zertifizierbar. Juristisch verankert ist die Pflicht zur Compliance unter anderem in §91 Abs. 2 AktG (Überwachungssystem), in der BGH-Neubürger-Entscheidung von 2011 (Az. 5 StR 229/11) sowie in branchenspezifischen Gesetzen.

Der Compliance-Management-Kreislauf Fünfstufiger Regelkreis mit den Phasen Identifizieren, Bewerten, Kontrollieren, Berichten und Verbessern rund um ein zentrales CMS-Element. Der Compliance-Management-Kreislauf Fünf Phasen nach ISO 37301 und IDW PS 980 CMS Kreislauf 1.Identifizieren 2.Bewerten 3.Kontrollieren 4.Berichten 5.Verbessern Prinzip: kontinuierliche Verbesserung nach Plan-Do-Check-Act
Der Compliance-Kreislauf wiederholt sich fortlaufend, neue Risiken fließen in die nächste Identifikationsphase ein.

Die sieben Grundelemente eines CMS:

Der IDW PS 980 definiert sieben Bausteine, die ein funktionierendes Compliance-Management-System ausmachen. Jedes Element greift in das nächste, fehlt eines davon, verliert das System an Wirksamkeit.

Compliance-Kultur: Die Grundhaltung der Geschäftsführung und der Belegschaft zu regelkonformem Verhalten. Ohne gelebte Kultur („Tone from the Top“) bleibt jedes System Papier.

Compliance-Ziele: Klar formulierte, dokumentierte Vorgaben, welche Regeln eingehalten werden müssen und welche Risiken vermieden werden sollen.

Compliance-Organisation: Rollen und Verantwortlichkeiten, typischerweise mit einem Compliance Officer, bei größeren Unternehmen einem Chief Compliance Officer (CCO) und einer Stabsabteilung.

Compliance-Risiken: Systematische Identifikation und Bewertung aller Risiken, die aus Regelverstößen entstehen könnten, einschließlich rechtlicher und finanzieller Folgen.

Compliance-Programm: Richtlinien, Prozesse und Kontrollen, die das Eintreten von Regelverstößen verhindern, zum Beispiel Vier-Augen-Prinzipien, Freigabeworkflows oder Whistleblowing-Systeme.

Compliance-Kommunikation: Schulungen, Leitfäden und laufende Information der Mitarbeiter. Ohne regelmäßiges Training bleibt das Programm theoretisch.

Compliance-Überwachung und Verbesserung: Audits, interne Kontrollen und Lessons Learned nach Vorfällen. Die Ergebnisse fließen zurück in die Risikobewertung.

Zentrale Rechtsquellen in Deutschland:

Compliance Management ist in Deutschland kein eigenes Gesetz, sondern eine Querschnittsaufgabe aus einer Vielzahl von Einzelregelungen. Die wichtigsten Pflichten im Überblick:

Zentrale Rechtsquellen für Compliance in Deutschland Fünf wichtige Gesetze und Pflichten, die deutsche Unternehmen im Rahmen ihres Compliance-Managements beachten müssen. Pflichten für deutsche Unternehmen Zentrale Rechtsquellen DSGVO (seit 2018) Datenschutz, Auftragsverarbeitung, Meldepflichten bei Pannen HinSchG (seit Juli 2023) Interne Meldestelle für Unternehmen ab 50 Beschäftigten LkSG (seit 2023) Sorgfaltspflichten in Lieferketten ab 1.000 Mitarbeitern GwG Geldwäscheprävention, Identifizierungs- und Dokumentationspflichten §91 Abs. 2 AktG Pflicht zur Einrichtung eines Überwachungssystems für Risiken Hinzu kommen branchenspezifische Normen (KWG, MaRisk, HGB, ArbSchG)
Die fünf wichtigsten Compliance-Pflichten in Deutschland, ergänzt um branchenspezifische Regelwerke.

Abgrenzung zu Risikomanagement und Governance:

Compliance Management wird oft mit Risikomanagement und Corporate Governance in einen Topf geworfen. Die Felder überlappen, unterscheiden sich aber im Fokus.

Risikomanagement deckt alle unternehmerischen Risiken ab, also auch Marktrisiken, Liquiditätsrisiken oder operative Risiken. Compliance-Risiken sind eine Teilmenge davon.

Corporate Governance beschreibt den Rahmen, in dem ein Unternehmen geführt und überwacht wird, inklusive Aufsichtsrat, Vorstand und Aktionärsrechten. Compliance ist ein Baustein darin.

Interne Revision prüft unabhängig, ob Compliance-Maßnahmen wirken. Sie ist das dritte Glied im international verbreiteten Three-Lines-Modell des Institute of Internal Auditors (IIA).

Compliance im kleinen und mittleren Unternehmen:

Große Konzerne unterhalten ganze Compliance-Abteilungen mit dreistelliger Mitarbeiterzahl. Ein mittelständischer Betrieb mit 40 Mitarbeitern kann das nicht leisten, er muss es aber auch nicht. Entscheidend ist, dass die Pflichten erfüllt werden, nicht wie groß der Apparat ist.

In der Praxis übernehmen in KMU oft die Geschäftsführung, der Steuerberater und externe Datenschutzbeauftragte die Compliance-Funktionen gemeinsam. Typische Problemfelder:

  • Fehlende oder veraltete Datenschutzdokumentation (Verarbeitungsverzeichnis nach Art. 30 DSGVO)
  • Unklare Zuständigkeiten bei Arbeitssicherheit und ASR-Vorgaben
  • Nicht dokumentierte Freigabeprozesse bei Einkauf und Zahlungsverkehr
  • Keine interne Meldestelle trotz HinSchG-Pflicht ab 50 Beschäftigten
  • Unvollständige Aufbewahrung von Handels- und Geschäftsbriefen (6 bzw. 10 Jahre nach HGB §257)

Pragmatisch und ressourcenschonend funktioniert Compliance in KMU, wenn drei Dinge geklärt sind: Wer hat das Thema auf dem Tisch, welche Risiken sind wirklich relevant und welche Prozesse werden regelmäßig überprüft. Eine Compliance-Kultur entsteht nicht durch Richtlinien allein, sie wächst durch klare Ansagen der Geschäftsführung und konsistentes Handeln.

Digitalisierung und Compliance-Tools:

Compliance-Management lässt sich ohne IT-Unterstützung kaum noch sauber führen. Die Menge an Dokumenten, Fristen und Nachweisen ist zu groß. Typische Werkzeuge sind Governance-Risk-Compliance-Plattformen (GRC), Vertragsmanagement-Software, digitale Hinweisgebersysteme und Dokumentenmanagement-Systeme. Bekannte Anbieter im deutschen Mittelstand sind EQS, OneTrust und SAP GRC.

Entscheidend ist nicht das teuerste Tool, sondern ein System, das zu Größe und Komplexität der Organisation passt. Wer die IT-Seite sauber aufsetzen will, ist mit einem kompetenten IT-Dienstleister wie oneserv gut beraten, etwa für die sichere Ablage von Compliance-Dokumenten, Zugriffsrechte und Audit-Trails.

Relevanz im Arbeitsalltag:

Compliance berührt fast jeden Arbeitsplatz, ohne dass es den Mitarbeitern immer bewusst ist. Vom korrekten Umgang mit Kundendaten über die Aufbewahrung von Belegen bis zur richtigen Freigabe einer Rechnung greifen Regeln ineinander. Fehler kosten schnell Geld, im Extremfall auch die Geschäftslizenz.

Auch die Büroumgebung selbst ist Teil des Compliance-Bilds. Ein sauber strukturierter Arbeitsplatz mit verschließbaren Rollcontainern, abschließbaren Aktenschränken und getrennten Bereichen für vertrauliche Gespräche ist keine Kosmetik, sondern eine Voraussetzung für DSGVO-Konformität und den Schutz von Geschäftsgeheimnissen. Wer das Thema von Grund auf mitdenken möchte, profitiert von einer professionellen Büroplanung, die Datenschutz, Akustik und Zugriffssicherheit zusammen denkt.

Synonyme:

  • Compliance-Management-System (CMS)
  • Regelkonformitätsmanagement
  • Regelwerksmanagement
  • Integritätsmanagement

Abgrenzung zu:

  • Risikomanagement: Deckt alle unternehmerischen Risiken ab, Compliance ist ein Teilbereich davon.
  • Qualitätsmanagement: Zielt auf die Einhaltung von Produkt- und Prozessstandards, nicht primär auf Rechtskonformität.
  • Corporate Governance: Rahmenordnung der Unternehmensführung, Compliance ist ein Baustein.
  • Interne Revision: Prüft unabhängig, ob Compliance-Maßnahmen tatsächlich wirken.

Siehe auch:

Literaturhinweise:

  • Institut der Wirtschaftsprüfer (IDW): Prüfungsstandard PS 980 „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“, 2011.
  • ISO 37301:2021 „Compliance management systems, Requirements with guidance for use“, International Organization for Standardization.
  • Bundesgerichtshof, Urteil vom 10.11.2011, Az. 5 StR 229/11 („Neubürger-Entscheidung“) zur Legalitätspflicht des Vorstands.
  • Institute of Internal Auditors (IIA): The IIA’s Three Lines Model, 2020.
« Alle Begriffe im Unternehmenslexikon anzeigen