Unternehmensführung

Compliance im Unternehmen: Worauf es ankommt

Große Unternehmen müssen es haben und immer mehr mittelständische Unternehmen richten es freiwillig ein: ein Compliance-Management-System (CMS). Die Geschäftsführung muss nämlich sicherstellen, dass im Unternehmen Recht und Gesetze eingehalten werden. Und zwar nicht nur als Lippenbekenntnis, sondern in Form von klaren und eindeutigen Handlungsanweisungen für die Mitarbeiter.

Zuletzt aktualisiert am 12.05.2025
Von Lothar Volkelt
© Nitat Termmee - gettyimages.com

Definition

Was genau bedeutet Compliance?

Der Begriff "Compliance" bedeutet im Unternehmenskontext einfach ausgedrückt, dass sich das Unternehmen und seine Mitarbeiter in ihren Handlungen an Recht, Gesetz und interne Unternehmensregeln halten. Oft werden unter dem Begriff "Compliance" auch die Maßnahmen im Unternehmen verstanden, die dafür sorgen sollen, dass die Geschäfte rechtskonform und redlich geführt werden.

Diese Compliance-Maßnahmen können z. B. Regeln und Richtlinien sein, die einerseits verhindern, dass es zu Pflichtverletzungen, Schadens- oder Haftungsfällen kommt, und die das Unternehmen andererseits in die Lage versetzen, bereits eingetretene Pflichtverstöße zeitnah aufzudecken. Auf diese Weise senken Compliance-Maßnahmen die rechtlichen Risiken für das Unternehmen.

Wer ist für die Einhaltung der Compliance-Regeln im Unternehmen verantwortlich?

Verantwortlich für die Einhaltung der Compliance im Unternehmen ist die Unternehmensleitung, also die Geschäftsführung oder der Vorstand. „Als Leitungsorgan haben Sie die Pflicht, geeignete Maßnahmen und organisatorische Vorkehrungen dafür zu treffen“ (§ 91 Abs. 2 AktG). 

Ist Ihr Compliance Management mangelhaft oder unzureichend oder geht der Geschäftsführer Hinweisen auf Verstöße gegen Compliance-Pflichten durch Mitarbeiter (z. B. Korruption) nicht nach, ist das eine Pflichtverletzung – mit entsprechenden rechtlichen Folgen (so z.  B. LG München, Urteil vom 10.12.2013, 5 HKO 1387/110). Für einen daraus entstandenen Schaden (Gerichts- und Anwaltskosten des Unternehmens) muss er Schadensersatz zahlen. Haben Sie im Betrieb aber entsprechende verbindliche Vorgaben eingeführt, wird das bei einem Verstoß der Mitarbeiter gegen diese Vorgaben als schuldmindernd für den Geschäftsführer gewertet.

In größeren Unternehmen gibt es meist auch spezielle Compliance-Officer, die dafür verantwortlich sind, dass die Prozesse und Abläufe innerhalb des Unternehmens rechtskonform ausgestaltet sind. Jeder Mitarbeiter hat aber auch selbst dafür Sorge zu tragen, dass er oder sie durch seine Handlungen nicht gegen die Compliance-Vorgaben des Unternehmens verstößt. 

Wo lauern Compliance-Risiken in Unternehmen?

In jedem Unternehmen gibt es verschiedene Bereiche, in denen Compliance-Verstöße auftreten können. Beispiele für Bereiche, in denen es zu Compliance-Verstößen kommen kann, sind u. a.:

Tipp

Geben Sie allgemeine und spezielle Compliance-Leitlinien vor

Für den vorausschauenden Geschäftsführer einer mittelgroßen, aber auch der kleineren GmbH besteht Handlungsbedarf – und zwar in fast allen unternehmerischen Bereichen. Das betrifft: 

  • Allgemeine Vorgaben für alle Mitarbeiter
  • Vorgaben zum Umgang mit den Mitarbeitern und unter den Mitarbeitern
  • Speziellere Vorgaben für die einzelnen Fachabteilungen (Marketing, IT, Produktion usw.).

Compliance-Regeln für kleinere Unternehmen

Hinsichtlich der Compliance sollten Sie sich für die unterschiedlichen Bereiche Ihres Unternehmens Gedanken machen. Folgende Überlegungen sind hier sinnvoll:

Compliance im HR-Bereich

Hier sind einige Überlegungen im Bereich HR: 

  • Compliance-Verpflichtung: Sind alle Mitarbeiter deutlich darauf hingewiesen, dass sie Rechte und Gesetze einhalten müssen und die Unternehmens-Leitlinien jederzeit beachten müssen (Formulierungen in den Arbeitsverträgen, Androhung von Konsequenzen)?
  • Gleichbehandlungsgrundsatz/Gendergerechtigkeit: Beachten Sie die gesetzlichen Vorgaben zur gendergerechten Besetzung von Gremien (z.B. § 36 GmbH-Gesetz, Zielgrößen und Fristen zur gleichberechtigten Teilhabe von Frauen und Männern)?
  • Geschenke: Gibt es verbindliche Vorgaben für die Ausgabe und Entgegennahme von Zuwendungen und Geschenken von Dritten und an Dritte?
  • Anzeige-Pflichten: Gibt es klare Vorgaben, wie sich Mitarbeiter verhalten (sollten), wenn sie von Verstößen gegen Gesetze, Vorschriften oder die Unternehmens-Leitlinien erfahren?
  • Mobbing: Gibt es ein Meldesystem, dass es ermöglicht, Mobbing-Fälle anzuzeigen?

Compliance im Bereich Datenschutz und IT-Sicherheit

Folgende Überlegungen in Bezug auf die Compliance gibt es zum Thema Datenschutz und IT-Sicherheit: 

  • Zugangskontrolle: Gibt es ein System, das sicherstellt, dass nur Befugte die Firmenräume betreten dürfen (Code, Chip, Schlüssel)?
  • Kontrolle: Gibt es ein Überwachungssystem, mit dem nicht Zutrittsberechtigte ermittelt und ggf. ausgeschlossen werden können (Videoerfassung, Besucherausweis)?
  • Dokumentation: Wer hat Zugang zu vertraulichen Unterlagen? Sind alle Geschäftsinformationen zusätzlich „extern“ gesichert?
  • Alarm: Gibt es ein Informationssystem, mit dem die Mitarbeiter informiert werden, wenn sich unbefugte Personen in der Firma aufhalten?
  • Sicherheitsbeauftragte: Ist ein Sicherheitsbeauftragter bestellt, der die Umsetzung aller Sicherheitsmaßnahmen regelmäßig prüft?
  • Verbindliche Richtlinien: Gibt es für alle Mitarbeiter klare Handlungsanweisungen, für den Umgang mit IT/Notebook/Internet und dem Mobil-Telefon?
  • Zugriffsbeschränkungen: Ist sichergestellt, dass nur berechtigte Mitarbeiter Zugriff auf Daten und Dokumente haben?
  • Passwort/Passwortwechsel: Werden die Passwörter (8 bis 10 Stellen) in regelmäßigen zeitlichen Abständen erneuert? Ist sichergestellt, dass ausscheidende Mitarbeiter keinen externen Zugriff mehr auf die Firmendaten haben?
  • Dokumentation: Sind Unterlagen und Datenträger mit personenbezogenen Daten ausreichend gesichert (Tresor)?
  • Sperrfunktion: Ist sichergestellt, dass beim Verlust des Geräts kein unbefugter Dritter auf die Daten zugreifen kann?
  • USB-Stick: Sind die Daten ausreichend gesichert bzw. verschlüsselt?
  • WLAN: Sollte nur während der Nutzung eingeschaltet werden
  • Apps: Verwenden Sie ausschließlich geprüfte Apps Ihres Anbieters? Nutzen Sie zusätzliche Schutzprogramme?
  • Verschlüsselung: Werden vertrauliche Inhalte und personenbezogene Daten automatisch verschlüsselt?
  • Sicherheits-Checks: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Sicherheits-Checks an, mit denen Sie feststellen können, ob Ihre E-Mail-Adressen gefährdet sind oder von fremden Diensten missbraucht werden können.
  • Soziale Medien: Ist sichergestellt, dass die Mitarbeiter keine betrieblichen Informationen in den sozialen Medien (Facebook, Instagram, TikTok, WhatsApp, LinkedIn, YouTube, X) verwenden? 

Compliance im Bereich Gebäude- und Unfallschutz

  • Brandschutz: Gibt es Rauchmelder? Sind die Fluchtwege frei? Finden regelmäßig Übungen statt?
  • Unfallschutz: Gibt es Schulungen, ständig einsehbare Sicherheitsanweisungen und schnell verfügbare Notfall-Telefon-Listen (Aushang)? Gibt es Mitarbeiter, die in Erster Hilfe ausgebildet sind?
  • Versicherungen: Prüfen Sie regelmäßig, ob für Ihre Firma/Branche ein schlüssiges und vollständiges Versicherungskonzept besteht und alle Verträge den möglichen Schadensumfang abdecken?
  • Melde-System: Wo können Mitarbeiter, denen Schäden (in der Elektrik, verklemmte Türen) oder Mängel (Kanten, verstellte Fluchtwege) auffallen, diese melden und so dazu angeleitet werden, in Sicherheitsfragen mitzudenken.

Compliance bei Geschenken: Darauf sollten Sie achten

Kleine Geschenke erhalten die Freundschaft, große die Kundenbeziehung. So war es vielleicht früher, heute ist das nicht mehr der Fall. Auch bei Geschenken gibt es Compliance-Richtlinien.  

Die gute Nachricht vorneweg: Werbegeschenke, die den üblichen Rahmen eines Give-aways nicht sprengen, sind nicht verboten. Aufpassen müssen Sie allerdings bei teuren Werbegeschenken. Die könnten durchaus als Bestechung ausgelegt werden. 

Hochpreisige Geschenke sind nicht verboten

Sind kostspielige Werbegeschenke also verboten? Nein, hochwertige Werbegeschenke verstoßen nicht automatisch gegen geltende Compliance-Regeln. Ziel von Werbeartikeln ist es, positive Assoziationen mit Ihrem Unternehmen zu wecken und die Empfänger für Ihre Angebote einzunehmen. Aber: Geschenke dürfen nicht dazu dienen, Entscheidungen zu beeinflussen.  

Gemäß den Richtlinien des Arbeitskreises Corporate Compliance gelten Werbegeschenke als zulässige Werbemaßnahmen. Verboten sind dagegen Zuwendungen, die einen konkreten, materiellen Vorteil bieten und somit die Entscheidungsfreiheit beeinträchtigen könnten.  

Es wäre also problematisch, wenn Sie zum Beispiel Ihre Ferienwohnung kostenlos anbieten würden, kostenlose Dienstleistungen erbringen oder ähnliche Vorteile gewähren, die über übliche Werbegeschenke hinausgehen und die Entscheidungsträger persönlich bereichern könnten. Typische Werbegeschenke fallen hier nicht darunter und stellen somit keine Verstöße dar. 

Info

Keine festgelegte Wertobergrenze für Geschenke

Für den Steuerberater liegt die Grenze für Werbeartikel bei 10 Euro. Bis zu diesem Wert sind Artikel steuerlich absetzbar und Sie müssen keine Namensliste der Empfänger führen.

Unternehmen setzen wiederum individuell in ihren Compliance-Richtlinien für Geschenke fest, wie teuer ein Werbegeschenk sein darf. Der Arbeitskreis Corporate Compliance zieht die Grenze für Geschenke bei 50 Euro pro Artikel. Bis zu diesem Wert lässt sich in der Praxis klar zwischen einem akzeptablen Werbegeschenk und einer unzulässigen Zuwendung unterscheiden. 

Im Zweifelsfall fragen

Kugelschreiber, Kekse und diverse praktische Gadgets dürften in den meisten Fällen unbedenklich sein. Sollten Sie eine großartige Idee für ein Kundengeschenk haben, aber unsicher sein, ob dieses angemessen ist, fragen Sie vorher einfach nach.

So vermeiden Sie unangenehme Überraschungen sowohl für Sie als auch für Ihre Ansprechpartner und zeigen, dass Sie die internen Vorgaben auf Kundenseite ernst nehmen. Selbst wenn die Compliance-Richtlinien Ihr Vorhaben letztlich nicht zulassen, bleibt Ihre kreative Idee dennoch positiv in Erinnerung.