Unternehmensführung

Compliance im Unternehmen: Worauf es ankommt

Große Unternehmen müssen es haben und immer mehr mittelständische Unternehmen richten es freiwillig ein: ein Compliance-Management-System (CMS). Die Geschäftsführung muss nämlich sicherstellen, dass im Unternehmen Recht und Gesetze eingehalten werden. Und zwar nicht nur als Lippenbekenntnis, sondern in Form von klaren und eindeutigen Handlungsanweisungen für die Mitarbeiter.

Zuletzt aktualisiert am 10.07.2025
Von Lothar Volkelt
© Nitat Termmee - gettyimages.com

Definition

Was genau bedeutet Compliance?

Der Begriff "Compliance" bedeutet im Unternehmenskontext einfach ausgedrückt, dass sich das Unternehmen und seine Mitarbeiter in ihren Handlungen an Recht, Gesetz und interne Unternehmensregeln halten. Oft werden unter dem Begriff "Compliance" auch die Maßnahmen im Unternehmen verstanden, die dafür sorgen sollen, dass die Geschäfte rechtskonform und redlich geführt werden.

Diese Compliance-Maßnahmen können z. B. Regeln und Richtlinien (Compliance Guidelines) sein, die einerseits verhindern, dass es zu Pflichtverletzungen, Schadens- oder Haftungsfällen kommt, und die das Unternehmen andererseits in die Lage versetzen, bereits eingetretene Pflichtverstöße zeitnah aufzudecken. Auf diese Weise senken Compliance-Maßnahmen die rechtlichen Risiken für das Unternehmen.

So stellen Unternehmen sicher, dass sie 
die eigenen Aktivitäten mit geltenden Gesetzen und der aktuellen Rechtslage sowie konform sind und ethische Standards einhalten.

Wer ist für die Einhaltung der Compliance-Regeln im Unternehmen verantwortlich?

Verantwortlich für die Einhaltung der Compliance im Unternehmen ist die Unternehmensleitung, also die Geschäftsführung oder der Vorstand. „Als Leitungsorgan haben Sie die Pflicht, geeignete Maßnahmen und organisatorische Vorkehrungen dafür zu treffen“ (§ 91 Abs. 2 AktG). 

Ist Ihr Compliance Management mangelhaft oder unzureichend oder geht der Geschäftsführer Hinweisen auf Verstöße gegen Compliance-Pflichten durch Mitarbeiter (z. B. Korruption) nicht nach, ist das eine Pflichtverletzung – mit entsprechenden rechtlichen Folgen (so z.  B. LG München, Urteil vom 10.12.2013, 5 HKO 1387/110). Für einen daraus entstandenen Schaden (Gerichts- und Anwaltskosten des Unternehmens) muss er Schadensersatz zahlen. Haben Sie im Betrieb aber entsprechende verbindliche Vorgaben eingeführt, wird das bei einem Verstoß der Mitarbeiter gegen diese Vorgaben als schuldmindernd für den Geschäftsführer gewertet.

In größeren Unternehmen gibt es meist auch spezielle Compliance Officer, die dafür verantwortlich sind, dass die Prozesse und Abläufe innerhalb des Unternehmens rechtskonform ausgestaltet sind. Jeder Mitarbeiter hat aber auch selbst dafür Sorge zu tragen, dass er oder sie durch seine Handlungen nicht gegen die Compliance-Vorgaben des Unternehmens verstößt. 

Info

Deutscher Corporate Governance Kodex (DCGK)

“Der Deutsche Corporate Governance Kodex stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dar und enthält in Form von Empfehlungen und Anregungen international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung. […] Da der Kodex Ausdruck einer Selbstverpflichtung der Wirtschaft zu guter Corporate Governance ist, findet die Überprüfung nicht nur innerhalb der Kommission statt, sondern im Dialog mit den Unternehmen und ihren Stakeholdern, der Politik und der Öffentlichkeit.“ https://www.dcgk.de/de/ 

Doch auch kleinere und mittelständische Firmen, die nicht zur Einhaltung gesetzlicher Compliance-Regelungen verpflichtet sind wie besagte börsennotierte Firmen, profitieren von verbindlichen Richtlinien.

Wo lauern Compliance-Risiken in Unternehmen?

In jedem Unternehmen gibt es verschiedene Bereiche, in denen Compliance-Verstöße auftreten können. Diese stehen in Zusammenhang mit Arbeitnehmerregelungen wie Arbeitszeitgesetz, Mindestlohn, Scheinselbständigkeit, dem Antidiskriminierungsgesetz, Korruptionsstraftaten, Vertraulichkeit, Geheimhaltung und Datenschutz, unlauterem Wettbewerb, Diskriminierung, Steuerhinterziehung, der Einhaltung von Umweltstandards. Verstößen in diesen Bereichen möchten Unternehmen entgegenwirken, indem sie sich Compliance Vorgaben, Vorschriften, Bestimmungen und Regeln geben, die zusammengefasst als Compliance Richtlinien oder Guidelines bezeichnet werden. Beispiele für Compliance Guidelines sind u. a.:

  • Die Einhaltung der Arbeitszeitvorschriften durch Führungskräfte
  • Vorgaben für Arbeitsschutz und Arbeitssicherheit
  • Die Beachtung der Rechte des Betriebsrates
  • Die Einhaltung der Datenschutzvorschriften
  • Regeln zur Korruptionsbekämpfung
  • Vorgaben für Geschenke an Geschäftspartner
  • Schutz der Persönlichkeitsrechte der Mitarbeiter und Kunden
  • Sicherung der Geschäftsgeheimnisse und des Firmen-Knowhows
  • Verhaltenskodex, auch Code of Conduct genannt
  • Grundsätze zur Gleichbehandlung z. B. nach dem AGG

Warum ist Compliance für Unternehmen wichtig?

Compliance Regelungen sind deshalb für Unternehmen in allen Größen und allen Branchen so bedeutsam, weil sie vor schwerwiegenden Regelverstößen auf nationaler und internationaler Gesetzesebene schützen.

Da sich nicht jede Person allen gesetzlichen Regeln bewusst ist und selbst Arbeitgeber:innen nicht alle Vorschriften kennen können, die überall beschlossen und in unregelmäßigen Abständen abgeändert oder erneuert werden, dient Compliance im Unternehmen dazu, alle wichtigen Vorschriften unter einen Hut zu bringen.

Dazu gehören beispielsweise Regelungen zur Gleichbehandlung, dem Umweltschutz oder dem Arbeitsschutz, die bei einem Verstoß nicht nur Imageschäden einbringen, sondern sehr teuer werden können.

Compliance bietet deshalb einige Vorteile:

  • Das vorzeitige Erkennen von Verstößen und deren Verhinderung
  • Die Einhaltung der Gesetze
  • Schutz vor Strafzahlungen
  • Verhinderung von Reputationsverlust
  • Attraktivität für Bewerber:innen, Geschäftspartner:innen und Investor:innen
     

Tipp

Geben Sie allgemeine und spezielle Compliance-Leitlinien vor

Für den vorausschauenden Geschäftsführer einer mittelgroßen, aber auch der kleineren GmbH besteht Handlungsbedarf – und zwar in fast allen unternehmerischen Bereichen. Das betrifft: 

  • Allgemeine Vorgaben für alle Mitarbeiter
  • Vorgaben zum Umgang mit den Mitarbeitern und unter den Mitarbeitern
  • Speziellere Vorgaben für die einzelnen Fachabteilungen (Marketing, IT, Produktion usw.).

Compliance-Regeln für kleinere Unternehmen

Hinsichtlich der Compliance sollten Sie sich für die unterschiedlichen Bereiche Ihres Unternehmens Gedanken machen. Folgende Überlegungen sind hier sinnvoll:

Compliance im HR-Bereich

Hier sind einige Überlegungen im Bereich HR: 

  • Compliance-Verpflichtung: Sind alle Mitarbeiter deutlich darauf hingewiesen, dass sie Rechte und Gesetze einhalten müssen und die Unternehmens-Leitlinien jederzeit beachten müssen (Formulierungen in den Arbeitsverträgen, Androhung von Konsequenzen)?
  • Gleichbehandlungsgrundsatz/Gendergerechtigkeit: Beachten Sie die gesetzlichen Vorgaben zur gendergerechten Besetzung von Gremien (z.B. § 36 GmbH-Gesetz, Zielgrößen und Fristen zur gleichberechtigten Teilhabe von Frauen und Männern)?
  • Geschenke: Gibt es verbindliche Vorgaben für die Ausgabe und Entgegennahme von Zuwendungen und Geschenken von Dritten und an Dritte?
  • Anzeige-Pflichten: Gibt es klare Vorgaben, wie sich Mitarbeiter verhalten (sollten), wenn sie von Verstößen gegen Gesetze, Vorschriften oder die Unternehmens-Leitlinien erfahren?
  • Mobbing: Gibt es ein Meldesystem, dass es ermöglicht, Mobbing-Fälle anzuzeigen?

Compliance im Bereich Datenschutz und IT-Sicherheit

Folgende Überlegungen in Bezug auf die Compliance gibt es zum Thema Datenschutz und IT-Sicherheit: 

  • Zugangskontrolle: Gibt es ein System, das sicherstellt, dass nur Befugte die Firmenräume betreten dürfen (Code, Chip, Schlüssel)?
  • Kontrolle: Gibt es ein Überwachungssystem, mit dem nicht Zutrittsberechtigte ermittelt und ggf. ausgeschlossen werden können (Videoerfassung, Besucherausweis)?
  • Dokumentation: Wer hat Zugang zu vertraulichen Unterlagen? Sind alle Geschäftsinformationen zusätzlich „extern“ gesichert?
  • Alarm: Gibt es ein Informationssystem, mit dem die Mitarbeiter informiert werden, wenn sich unbefugte Personen in der Firma aufhalten?
  • Sicherheitsbeauftragte: Ist ein Sicherheitsbeauftragter bestellt, der die Umsetzung aller Sicherheitsmaßnahmen regelmäßig prüft?
  • Verbindliche Richtlinien: Gibt es für alle Mitarbeiter klare Handlungsanweisungen, für den Umgang mit IT/Notebook/Internet und dem Mobil-Telefon?
  • Zugriffsbeschränkungen: Ist sichergestellt, dass nur berechtigte Mitarbeiter Zugriff auf Daten und Dokumente haben?
  • Passwort/Passwortwechsel: Werden die Passwörter (8 bis 10 Stellen) in regelmäßigen zeitlichen Abständen erneuert? Ist sichergestellt, dass ausscheidende Mitarbeiter keinen externen Zugriff mehr auf die Firmendaten haben?
  • Dokumentation: Sind Unterlagen und Datenträger mit personenbezogenen Daten ausreichend gesichert (Tresor)?
  • Sperrfunktion: Ist sichergestellt, dass beim Verlust des Geräts kein unbefugter Dritter auf die Daten zugreifen kann?
  • USB-Stick: Sind die Daten ausreichend gesichert bzw. verschlüsselt?
  • WLAN: Sollte nur während der Nutzung eingeschaltet werden
  • Apps: Verwenden Sie ausschließlich geprüfte Apps Ihres Anbieters? Nutzen Sie zusätzliche Schutzprogramme?
  • Verschlüsselung: Werden vertrauliche Inhalte und personenbezogene Daten automatisch verschlüsselt?
  • Sicherheits-Checks: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Sicherheits-Checks an, mit denen Sie feststellen können, ob Ihre E-Mail-Adressen gefährdet sind oder von fremden Diensten missbraucht werden können.
  • Soziale Medien: Ist sichergestellt, dass die Mitarbeiter keine betrieblichen Informationen in den sozialen Medien (Facebook, Instagram, TikTok, WhatsApp, LinkedIn, YouTube, X) verwenden? 

Compliance im Bereich Gebäude- und Unfallschutz

  • Brandschutz: Gibt es Rauchmelder? Sind die Fluchtwege frei? Finden regelmäßig Übungen statt?
  • Unfallschutz: Gibt es Schulungen, ständig einsehbare Sicherheitsanweisungen und schnell verfügbare Notfall-Telefon-Listen (Aushang)? Gibt es Mitarbeiter, die in Erster Hilfe ausgebildet sind?
  • Versicherungen: Prüfen Sie regelmäßig, ob für Ihre Firma/Branche ein schlüssiges und vollständiges Versicherungskonzept besteht und alle Verträge den möglichen Schadensumfang abdecken?
  • Melde-System: Wo können Mitarbeiter, denen Schäden (in der Elektrik, verklemmte Türen) oder Mängel (Kanten, verstellte Fluchtwege) auffallen, diese melden und so dazu angeleitet werden, in Sicherheitsfragen mitzudenken.

Compliance bei Geschenken: Darauf sollten Sie achten

Kleine Geschenke erhalten die Freundschaft, große die Kundenbeziehung. So war es vielleicht früher, heute ist das nicht mehr der Fall. Auch bei Geschenken gibt es Compliance-Richtlinien.  

Die gute Nachricht vorneweg: Werbegeschenke, die den üblichen Rahmen eines Give-aways nicht sprengen, sind nicht verboten. Aufpassen müssen Sie allerdings bei teuren Werbegeschenken. Die könnten durchaus als Bestechung ausgelegt werden. 

Hochpreisige Geschenke sind nicht verboten

Sind kostspielige Werbegeschenke also verboten? Nein, hochwertige Werbegeschenke verstoßen nicht automatisch gegen geltende Compliance-Regeln. Ziel von Werbeartikeln ist es, positive Assoziationen mit Ihrem Unternehmen zu wecken und die Empfänger für Ihre Angebote einzunehmen. Aber: Geschenke dürfen nicht dazu dienen, Entscheidungen zu beeinflussen.  

Gemäß den Richtlinien des Arbeitskreises Corporate Compliance gelten Werbegeschenke als zulässige Werbemaßnahmen. Verboten sind dagegen Zuwendungen, die einen konkreten, materiellen Vorteil bieten und somit die Entscheidungsfreiheit beeinträchtigen könnten.  

Es wäre also problematisch, wenn Sie zum Beispiel Ihre Ferienwohnung kostenlos anbieten würden, kostenlose Dienstleistungen erbringen oder ähnliche Vorteile gewähren, die über übliche Werbegeschenke hinausgehen und die Entscheidungsträger persönlich bereichern könnten. Typische Werbegeschenke fallen hier nicht darunter und stellen somit keine Verstöße dar. 

Info

Keine festgelegte Wertobergrenze für Geschenke

Für den Steuerberater liegt die Grenze für Werbeartikel bei 10 Euro. Bis zu diesem Wert sind Artikel steuerlich absetzbar und Sie müssen keine Namensliste der Empfänger führen.

Unternehmen setzen wiederum individuell in ihren Compliance-Richtlinien für Geschenke fest, wie teuer ein Werbegeschenk sein darf. Der Arbeitskreis Corporate Compliance zieht die Grenze für Geschenke bei 50 Euro pro Artikel. Bis zu diesem Wert lässt sich in der Praxis klar zwischen einem akzeptablen Werbegeschenk und einer unzulässigen Zuwendung unterscheiden. 

Im Zweifelsfall fragen

Kugelschreiber, Kekse und diverse praktische Gadgets dürften in den meisten Fällen unbedenklich sein. Sollten Sie eine großartige Idee für ein Kundengeschenk haben, aber unsicher sein, ob dieses angemessen ist, fragen Sie vorher einfach nach.

So vermeiden Sie unangenehme Überraschungen sowohl für Sie als auch für Ihre Ansprechpartner und zeigen, dass Sie die internen Vorgaben auf Kundenseite ernst nehmen. Selbst wenn die Compliance-Richtlinien Ihr Vorhaben letztlich nicht zulassen, bleibt Ihre kreative Idee dennoch positiv in Erinnerung.