Compliance Management System: Implementierungsleitfaden 2025

Sie möchten sicherstellen, dass Ihr Compliance Management System (kurz CMS)  allen Gesetzen und Vorgaben gerecht wird – und gleichzeitig effizient bleibt? Dann sind Sie hier richtig. In einem dynamischen Rechtsumfeld, das vom Lieferkettensorgfaltspflichtengesetz, dem Hinweisgeberschutzgesetz und internationalen Normen wie ISO 37301 geprägt ist, entscheidet ein belastbares Compliance Management über Haftungsrisiko und Reputation Ihres Unternehmens. Laut Bundesgerichtshof kann ein wirksames CMS Geldbußen deutlich senken (BGH Urteil 1 StR 265/16).

Aktuelle Entwicklungen zeigen die Dringlichkeit: So verpflichtet das 2023 in Kraft getretene Hinweisgeberschutzgesetz alle Unternehmen mit mehr als 50 Mitarbeitern, interne Meldestellen für Whistleblower einzurichten. Gleichzeitig empfehlen internationale Standards wie ISO 37301:2021 ein ganzheitliches Compliance-Management nach dem PDCA (Plan-Do-Check-Act)-Zyklus .

Doch wie gelingt der Aufbau eines Systems, das sowohl regulatorische Anforderungen erfüllt als auch gelebte Praxis bleibt? 

In diesem Leitfaden 2025 erfahren Sie Schritt für Schritt, wie Sie ein effektives CMS erfolgreich implementieren – von der Risikoanalyse über Richtlinien und Schulungen bis zur kontinuierlichen Überwachung, aktuelle Gesetzesänderungen (z.B. Lieferkettengesetz, Hinweisgeberschutzgesetz) einhalten und internationale Standards (ISO 37301) erfüllen.

Key Takeaways

Die wichtigsten Erkenntnisse auf einen Blick:

• Ein effektives CMS ist unverzichtbar, um Haftungsrisiken zu minimieren: Deutsche Gerichte erkennen ein funktionierendes Compliance-Programm als bußgeldmindernd an – der Bundesgerichtshof urteilte 2017, dass ein wirksames CMS bei Unternehmenssanktionen strafmildernd wirkt.
• Ein funktionsfähiges CMS senkt Bußgelder nachweislich und schützt die Unternehmensführung vor persönlicher Haftung.
• Gesetzliche Anforderungen verschärfen sich: Neue Regeln wie das Lieferkettengesetz (LkSG) und das Hinweisgeberschutzgesetz zwingen Unternehmen (≥ 50 Mitarbeiterinnen) , Compliance-Strukturen auszubauen. Finanzinstitute und Versicherer sind bereits gesetzlich zum CMS verpflichtet; für andere Branchen ergibt sich eine pflichtähnliche Erwartung aus der Sorgfaltspflicht der Geschäftsleitung.
• Sieben Kern-Elemente nach IDW PS 980 bilden das Gerüst eines CMS: Von Compliance-Kultur über Risikomanagement, Richtlinien und Organisation bis zu Überwachung & Verbesserung – diese Elemente greifen ineinander und dienen als Checkliste für den Aufbau.
• Implementierung Schritt für Schritt: Beginnend mit einer detaillierten Compliance-Risikoanalyse, folgen das Festlegen von Compliance-Zielen, das Erstellen eines maßgeschneiderten Compliance-Programms (inkl. Verhaltenskodex, Schulungen, Hinweisgebersystem) und die Benennung verantwortlicher Compliance-Beauftragter.
• Ein risikobasierter PDCA - Ansatz minimiert Compliance Risiken und sichert fortlaufende Einhaltung aller Bestimmungen.
• Nutzen überwiegt Kosten deutlich: Studien zeigen, dass Unternehmen mit CMS signifikant weniger Regelverstöße verzeichnen. „If you think compliance is expensive, try non-compliance" – dieses oft zitierte Motto des US-Justizministeriums unterstreicht, dass Nicht-Beachtung viel teurer kommt.

Was ist ein Compliance Management System (CMS)?

In der heutigen, von Regulierung geprägten Unternehmenswelt hat Compliance oberste Priorität. Gesetzesverstöße – ob Korruption, Datenschutzverletzungen oder Verstöße gegen neue Regeln wie das Lieferkettensorgfaltspflichtengesetz (LkSG) – ziehen hohe Bußgelder und Reputationsschäden nach sich. Ein Compliance Management System (CMS) bietet den strukturierten Rahmen, um solche Risiken systematisch zu beherrschen. Es umfasst alle Maßnahmen, Prozesse und Kontrollen, mit denen ein Unternehmen sicherstellt, dass Gesetze, Branchenstandards und interne Regeln eingehalten werden.

Ein Compliance-Management-System per Definition bezeichnet die Gesamtheit sämtlicher Strukturen, Richtlinien Prozesse und Maßnahmen in einer Organisation, die darauf abzielen, die Einhaltung externer Vorschriften und interner Regeln sicherstellt. sicherzustellen. Das System umfasst eine kontinuierliche Compliance Risikoanalyse, ein strukturiertes Risikomanagement, klare Verantwortlichkeiten sowie präventive und reaktive Compliance Maßnahmen. Ziel ist es, Regelverstöße zu vermeiden, Haftungsrisiko zu reduzieren und das Image des Unternehmens zu schützen.

Wichtig: Ein CMS ist keine reine Bürokratie, sondern ein lebendiges System, das hilft, Risiken früh zu erkennen und zu steuern. Unternehmen aller Größen profitieren davon – nicht nur Konzerne. Gerade auch mittelständische Firmen können mit einem CMS ihre Prozesse systematisieren und Haftungsrisiken reduzieren.

Ein gut konzipiertes CMS wirkt wie ein „Innenprüfer": Es identifiziert Compliance-Verpflichtungen (z.B. Branchenauflagen, Arbeits- und Umweltschutz), weist Verantwortlichkeiten zu und verfolgt die Umsetzung. Bei Abweichungen sorgen feste Verfahren dafür, dass Korrekturmaßnahmen ergriffen werden. In der Praxis ist ein CMS häufig integraler Bestandteil eines ganzheitlichen Governance, Risk & Compliance (GRC)-Ansatzes, der Compliance mit Risikomanagement und Unternehmensführung verzahnt.

Kurz gesagt: Das CMS ist der „Schutzschild" des Unternehmens – es hilft, Rechtsverstöße zu vermeiden, und bildet im Ernstfall einen wichtigen Nachweis, dass das Management seiner Sorgfaltspflicht nachgekommen ist.

Warum ist ein Compliance Management System 2025 wichtiger denn je?

Steigende regulatorische Anforderungen

In den letzten Jahren hat die Regulierungsdichte stark zugenommen. Beispiele sind die EU-Datenschutzgrundverordnung (DSGVO) seit 2018, das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) seit 2023, sowie die Umsetzung der EU-Whistleblower-Richtlinie im 2023 in Kraft getretenen Hinweisgeberschutzgesetz.

Behörden greifen heute deutlich härter durch: Das Bundeskartellamt verhängte allein 2021 Bußgelder von über 105 Mio. € für Kartellverstöße. Die DSGVO-Strafen erreichen neue Dimensionen – ein deutsches Möbelhaus zahlte 2021 beispielsweise 14,5 Mio. €. Unternehmen ohne Hinweisgebersystem riskieren Bußgelder laut § 40 HinSchG bis 50.000 €.

Auch global steigt der Druck – etwa durch den U.S. Foreign Corrupt Practices Act (FCPA) und den UK Bribery Act, die weltweit für Unternehmen gelten und hohe Strafen bei Korruption vorsehen.

Bußgeld- und Haftungsminderung durch wirksames CMS

Deutsche Gerichte betonen die Verantwortung der Unternehmensleitung. Der Bundesgerichtshof stellte 2017 klar, dass Geschäftsleiter verpflichtet sind, "organisatorische Vorkehrungen zur Verhinderung von Rechtsverstößen" zu treffen – praktisch eine Pflicht, ein angemessenes CMS einzurichten. Kommt es dennoch zu Verstößen, kann ein vorhandenes CMS als mildernder Umstand gelten. Umgekehrt musste bereits 2013 ein DAX-Finanzvorstand persönlich Schadenersatz zahlen, weil Compliance-Mängel (fehlende interne Kontrollen) zu Rechtsverstößen führten.

Reputations- und Wettbewerbsvorteile

In Zeiten schneller Informationsverbreitung sind Compliance-Skandale brandgefährlich für den Ruf. Unternehmen mit nachweislich effektivem Compliance-System genießen höheres Vertrauen bei Stakeholdern wie Geschäftspartnern, Investoren und der Öffentlichkeit, und werden in Ausschreibungen bevorzugt. Gerade Nachhaltigkeitsbewertung und ESG-Ratings berücksichtigen heute auch Governance-Aspekte wie Compliance.

Die sieben Kernelemente nach IDW PS 980 eines Compliance Management Systems

Ein effizientes CMS besteht aus mehreren Kernelementen, die nahtlos ineinandergreifen. Der deutsche Prüfungsstandard IDW PS 980 definiert sieben wesentliche Elemente eines CMS:

1. Compliance-Kultur

Ton der Führung ("Tone from the Top") und gelebte Integrität im Unternehmen. Das Management muss Werte vorleben, beispielsweise mit einem klar kommunizierten Verhaltenskodex (Code of Conduct) und einer Null-Toleranz-Politik bei Verstößen.

Beispiel: Die Siemens AG etablierte nach ihrem Korruptionsskandal 2006 eine weltweite Integrity Initiative – ein Kulturwandel, der vom Vorstand ausging.

2. Compliance-Ziele

Konkrete, messbare Ziele setzen den Rahmen (z.B. "100% Schulungsabdeckung" oder "Reduktion von Verstößen um 50%"). Sie müssen im Einklang mit den gesetzlichen Anforderungen und Unternehmenswerten stehen.

Tipp: Ziele schriftlich fixieren und regelmäßig auf Fortschritt prüfen.

3. Compliance-Risiken

Systematische Risikoanalyse aller Geschäftsbereiche, um die größten Gefahren zu identifizieren (z.B. Korruptionsrisiken im Vertrieb, Datenschutzrisiken bei Kundendaten).

Methoden: Risiko-Workshops, Audits, Überwachung regulatorischer Änderungen. Priorisieren Sie Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe (Risikomatrix).

4. Compliance-Programm

Bündel aller Maßnahmen zur Risiko-Minimierung. Dazu gehören:

• Interne Richtlinien (z.B. Antikorruptions-Policy, Datenschutzrichtlinie)
• Prozesse zur Einhaltung externer Vorschriften
• Kontrollmechanismen (Vier-Augen-Prinzip, Finanzkontrollen)
• Reaktionsprozesse für Verstöße (interne Untersuchungen, Sanktionierung)
• Digitale Tools wie Whistleblowing-Systeme oder Software zur Transaktionsüberwachung

5. Compliance-Organisation

Festlegung von Verantwortlichkeiten und Ressourcen. Meist wird ein Compliance Officer bzw. Compliance-Beauftragter ernannt, der direkt der Geschäftsführung berichtet. In kleineren Unternehmen übernimmt das häufig der Geschäftsführer selbst oder der Leiter Recht.

Wichtig: Genügend Budget und Personal für Compliance vorsehen und die Einbindung anderer Funktionen (HR, IT, Datenschutz) regeln.

6. Compliance-Kommunikation & Schulung

Sensibilisierung aller Mitarbeiter durch regelmäßige Schulungen, E-Learnings und Hinweise im Arbeitsalltag. Mitarbeiter müssen wissen, welche Regeln gelten und warum Compliance wichtig ist. Ein Vertraulichkeitskanal (Hinweisgebersystem) ermöglicht es Mitarbeitern, Fehlverhalten ohne Angst vor Repressalien zu melden.

7. Compliance-Überwachung & Verbesserung

Etablieren Sie laufendes Monitoring:

• Interne Audits und regelmäßige Überprüfung von Kontrollen
• Reporting an die Leitung
• Key-Performance-Indikatoren (KPIs) wie Anzahl Schulungen, Meldungen oder Audit-Feststellungen

Aus den Ergebnissen werden Verbesserungsmaßnahmen abgeleitet – der CMS-Prozess folgt dem PDCA-Zyklus (Plan – Do – Check – Act) für kontinuierliche Optimierung.

Gesetzliche Rahmenwerke & Standards in Deutschland

In Deutschland ist ein Compliance-Management-System bisher nicht flächendeckend gesetzlich vorgeschrieben – aber es gibt branchenspezifische Pflichten und starke Empfehlungen:

Finanz- und Versicherungssektor

Hier schreiben Aufsichtsrecht und Verbände ein CMS faktisch vor. Kreditinstitute müssen nach MaRisk (BAFin) über ein angemessenes internes Kontroll- und Compliance-System verfügen. Versicherer unterliegen ähnlich § 23 VAG.

Fakt: Seit 2021 prüfen die Aufsichtsbehörden verstärkt, ob Institute ein wirksames CMS und eine Compliance-Funktion etabliert haben.

Aktiengesellschaften / Großunternehmen

Der Deutsche Corporate Governance Kodex (DCGK) empfiehlt börsennotierten Unternehmen ausdrücklich die Einrichtung eines CMS. Zudem ergibt sich aus der Legalitätspflicht der Geschäftsführer (GmbHG § 43, AktG § 93) indirekt die Pflicht, für ordnungsgemäße Organisation zu sorgen.

Lieferkettengesetz (LkSG)

Seit 2023 müssen große Unternehmen (ab 3.000 MA, ab 2024 auch ab 1.000 MA) ein Risikomanagement für Menschenrechte und Umwelt in ihren Lieferketten einführen. Das LkSG verlangt de facto Elemente eines CMS: Risikoanalyse, Präventionsmaßnahmen, Beschwerdeverfahren und Berichterstattung. Bußgelder bis 8 Millionen € oder 2% des Umsatzes drohen bei Verstößen.

EU-Whistleblower-Richtlinie / Hinweisgeberschutzgesetz

Unternehmen ≥ 50 Beschäftigten müssen seit 2023 interne Meldestellen für Hinweisgeber einrichten. Dieses Hinweisgebersystem ist Kern eines CMS. Das deutsche HinSchG sieht Bußgelder bis 50.000 € vor, wenn keine Meldestelle eingerichtet wird.

Steuer-Compliance

Das Bundesfinanzministerium hat 2016 einen Anwendungserlass veröffentlicht, wonach ein steuerliches Tax Compliance Management System als Indiz gegen Vorsatz/Leichtfertigkeit bei Steuervoranmeldungen gewertet werden kann.

Standards & Zertifizierung

International gibt es Normen zur Zertifizierung eines CMS:

• ISO 37301:2021 ist der aktuelle Standard für Compliance-Management-Systeme (zertifizierbar)
• ISO 37001 fokussiert Anti-Korruptions-Compliance
• IDW PS 980 bietet in Deutschland den Prüfungsstandard für die Angemessenheit des CMS

‍

‍

Schritt-für-Schritt: Implementierung eines Compliance Management Systems

1. Vorbereitung, Management‑Commitment & Projektstart

Erfolgreiche Implementierung beginnt top-down: Die Unternehmensleitung muss das Projekt initiieren, Budget bereitstellen und einen Chief Compliance Officer oder Compliance Beauftragten ernennen. Ohne klare Rückendeckung ist jede Umsetzung zum Scheitern verurteilt.

Praxis-Tipp: Ernennen Sie einen Projektverantwortlichen (z.B. künftigen Compliance Officer) und stellen Sie ein interdisziplinäres Team zusammen (Rechtsabteilung, Internes Kontrollwesen, HR). Definieren Sie den Scope: Soll das CMS das ganze Unternehmen abdecken oder zunächst Kernbereiche? Erstellen Sie eine Projekt-Roadmap mit Meilensteinen.

2. Compliance-Risikoanalyse durchführen

Führen Sie eine strukturierte Compliance Risikoanalyse durch: Identifizieren Sie Compliance Risiken, bewerten Sie Eintrittswahrscheinlichkeit und Schadenshöhe, priorisieren Sie Themen und legen Sie Maßnahmen fest. Excel‑Matrix oder GRC‑Software helfen, Daten zentral zu sammeln.

Nutzen Sie vorhandene Risiko-Workshops oder erstellen Sie einen Fragenkatalog:

• Welche Gesetze gelten in unserem Geschäftsmodell?
• Wo hatten wir in der Vergangenheit Beinahe-Verstöße?

Das Ergebnis ist ein Risikoprofil des Unternehmens, das zeigt, welche Themen im CMS prioritär behandelt werden müssen.

Benchmark: Vergleichen Sie Ihr Risikoprofil mit ähnlichen Unternehmen – BDO bietet beispielsweise Benchmark-Daten an.

3. Soll-Konzept & Maßnahmenplan (CMS-Design)

Auf Basis der Risikoanalyse legen Sie fest, welche Compliance-Maßnahmen erforderlich sind. Orientieren Sie sich an bewährten Rahmenkonzepten wie den sieben Elementen oder direkt an ISO 37301-Anforderungen.

Typische Maßnahmen:

• Policies & Verhaltenskodex: Erstellen oder aktualisieren Sie einen Code of Conduct und spezifische Richtlinien (z.B. Anti-Korruption, Geschenke, Wettbewerbsrecht)
• Genehmigungsprozesse & interne Kontrollen: Definieren Sie Prozesse zur Einhaltung – z.B. Business Partner Due Diligence, Vier-Augen-Prüfung bei Zahlungen
• Aufbauorganisation: Definieren Sie Rollen und erstellen Sie Organigramme und Stellenbeschreibungen
• Compliance Schulungen für alle Mitarbeiter
• Meldewege: Richten Sie ein Hinweisgebersystem ein – ab 17.12.2023 müssen selbst 50-Mann-Betriebe einen Meldekanal vorhalten

4. Umsetzung (Implementierung in die Praxis)

Starten Sie die Roll-out Phase, schulen Sie zunächst Führungskräfte, dann alle Mitarbeiter. E‑Learning spart Ressourcen und ermöglicht laufenden Wissensnachweis. 

• Kommunizieren Sie das neue Compliance-Programm an alle Mitarbeiter
• Führen Sie Schulungen durch – zunächst Basis-Schulungen zu Code of Conduct für alle, dann vertiefende Trainings für Risikobereiche
• Etablieren Sie ein Melderegister für Verstöße und Anfragen
• Implementieren Sie technische Tools, falls geplant

5. Überwachung & PDCA‑Zyklus

Lassen Sie das frisch implementierte CMS in einem Pilotlauf erproben. Führen Sie nach etwa 6 Monaten einen internen Audit-Check durch: Entspricht das gelebte Programm dem Konzept? Nutzen Sie gegebenenfalls externe Berater oder Prüfer für einen "Friendly Audit".  Nutzen Sie KPIs wie „Verstöße pro Quartal“ oder „Schulungsquote“. Audits prüfen Wirksamkeit und stoßen Verbesserung an – exakt wie der PDCA Zyklus es verlangt.

Passen Sie das CMS basierend auf Befunden an – Compliance ist nie statisch, sondern ein kontinuierlicher Verbesserungsprozess.

6. Dokumentation & Kommunikation nach außen

Ein ordentlich geführtes System liefert im Ernstfall Belege für die Einhaltung der Compliance Regeln. Halten Sie alle Elemente schriftlich fest:

• Risikoanalyse-Bericht
• Compliance-Handbuch mit allen Richtlinien
• Schulungspläne
• Meldestellen-Prozess

Eine vollständige Dokumentation ist wichtig, um im Ernstfall gegenüber Behörden die Wirksamkeit des CMS zu belegen. Viele Unternehmen veröffentlichen einen jährlichen Compliance‑Bericht.

Typische Herausforderungen bei der CMS-Einführung

• Buy-in & Kulturwandel: Widerstände im Management oder bei Mitarbeitern („Bürokratie, braucht man das?") sind häufig.
  Lösung: Früh sensibilisieren, Nutzen kommunizieren (z.B. Beispiele von Strafen bei Konkurrenz) und Quick Wins zeigen.
• Ressourcenknappheit: Mittelständler haben oft keine Vollzeit-Compliance-Teams.
  Lösung: Rollen kombinieren (Compliance als Teilzeitaufgabe), externe Hilfe punktuell nutzen und auf digitale Tools setzen, die Routineaufgaben abnehmen.
• Überfrachtung vs. Pragmatismus: Die Kunst ist, ein CMS angemessen zum Risiko zu gestalten. Zu viel Bürokratie lähmt.
  Best Practice: Am Anfang klein starten, Kernrichtlinien und wichtigstes Training priorisieren. Später kann man das CMS modular erweitern. Der Bitkom-Leitfaden rät: "CMS nicht mit der Gießkanne einführen, sondern risikobasiert, sonst sinkt Akzeptanz".
• Internationalität: Unternehmen mit Auslandsstandorten kämpfen mit unterschiedlichen Rechtskulturen und Sprachen.
  Lösung: Lokale Compliance-Ansprechpartner ernennen, globale Mindeststandards definieren, aber lokales Training anpassen.

Praxisbeispiele und Fallstudien

• Positivbeispiel: SAP SE:  Nach Korruptionsvorwürfen 2015 implementierte SAP ein verschärftes Partner‑Due‑Diligence‑Programm und erhielt 2018 ein Prüfungs‑Testat nach IDW PS 980. Das Beispiel zeigt: Ein lernendes CMS kann das Vertrauen der Behörden zurückgewinnen.
• Negativbeispiel: Wirecard AG: Trotz DAX-Listung versagte das Compliance-System des Zahlungsdienstleisters vollständig. Befund des Untersuchungsausschusses 2020: Es gab keinen eigenständigen Compliance-Bereich, Warnungen von Hinweisgebern wurden ignoriert. Dies trug mit dazu bei, dass Milliardenschäden unentdeckt blieben. Der Wirecard‑Skandal zeigte 2020, was passiert, wenn Compliance Organisation und interne Kontrollen fehlen (EU Parl. Studie 2020).  Der Fall Wirecard wirkte wie ein Weckruf in Deutschland: Regulatoren fordern seither spürbar stärkere Compliance-Kontrollen im Finanzsektor.
• KMU-Fall:  Eine Maschinenbau‑GmbH (150 Mitarbeiter) deckte 2024 durch ihr neues Hinweisgebersystem jährlich 50.000 € Fehlbuchungen auf.

Fazit: Compliance-Management als kontinuierlicher Erfolgsfaktor

Ein ganzheitliches Compliance Management ist 2025 Pflicht und Chance zugleich. Erfüllen Sie alle regulatorischen Anforderungen, stärken Sie Ihre Reputation und verschaffen Sie sich einen echten Wettbewerbsvorteil. Beginnen Sie mit einer soliden Compliance Risikoanalyse, etablieren Sie klare Richtlinien und leben Sie den PDCA Zyklus der stetigen Verbesserung.

Wichtig ist, dass das CMS gelebt wird: Es braucht Rückendeckung von oben, Einbindung aller Mitarbeiter und Anpassungsfähigkeit an neue Risiken. Wenn das gelingt, wird Compliance vom lästigen Pflichtprogramm zum echten Wettbewerbsvorteil: Es schützt vor Skandalen, stärkt Vertrauen und kann sogar betriebliche Abläufe effizienter machen.

Sie möchten ein rechtssicheres Compliance Management System in Ihrem Unternehmen etablieren?

Als erfahrene Rechtsexperten unterstützen wir von ODC Legal Sie bei der maßgeschneiderten Implementierung Ihres CMS – von der Risikoanalyse bis zur Zertifizierung.

Handlungsempfehlung: Vereinbaren Sie jetzt einen Compliance‑Quick‑Check mit unserem Compliance Experten bei ODC Legal.

Unternehmen, die heute in Compliance investieren, sind morgen resilienter – und vermeiden das böse Erwachen, das fehlende Compliance mit sich bringen kann. Mit einem zukunftssicheren CMS sichern Sie nicht nur die Legalität, sondern auch die Nachhaltigkeit Ihres Geschäftserfolgs.

Häufig gestellte Fragen (FAQ) zum Compliance Management System

Was macht ein Compliance-Management?

Ein Compliance-Management-System (CMS) umfasst alle Prozesse und Maßnahmen, mit denen ein Unternehmen sicherstellt, dass Gesetze und interne Regeln eingehalten werden. Es bildet einen organisatorischen Rahmen – einschließlich Risikoanalyse, Richtlinien, Schulungen und Überwachung – um Regelverstöße zu verhindern. Ziel ist es, Haftungsrisiken zu minimieren und eine Kultur der Integrität zu fördern.

Ist ein Compliance Management System gesetzlich vorgeschrieben?

Eine allgemeine gesetzliche Pflicht zum CMS gibt es in Deutschland nicht – außer für bestimmte Branchen wie Finanz- und Versicherungsunternehmen. Allerdings verlangen einzelne Gesetze indirekt ein CMS, z.B. Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen ab 3.000 Beschäftigten (seit 2023) und ab 1.000 Beschäftigten (seit 2024) zur Einrichtung eines CMS. Das Hinweisgeberschutzgesetz verpflichtet seit 17. Dezember 2023 alle Unternehmen ab 50 Mitarbeitern zur Einrichtung eines internen Hinweisgebersystems, was ein Baustein eines CMS ist. Zusätzlich zeigt die Rechtsprechung, dass Geschäftsführer aufgrund ihrer Sorgfaltspflicht verpflichtet sind, ein CMS einzurichten – dies wurde sogar für mittelständische Betriebe mit nur 13 Mitarbeitern bestätig.

Was fällt alles unter Compliance?

Unter Compliance fällt das Einhalten aller relevanten Vorschriften: Dazu zählen Gesetze (z.B. Arbeitsrecht, Datenschutz, Wettbewerbsrecht), branchenrelevante Regulierung (z.B. Finanzaufsicht, Umweltauflagen) und interne Regeln (Code of Conduct, Unternehmensrichtlinien). Auch freiwillige Selbstverpflichtungen und ethische Standards gehören dazu. Je nach Geschäftsmodell umfasst Compliance oft Anti-Korruption, Kartellrecht, Geldwäscheprävention, Datenschutz, Arbeitsschutz und mehr.

‍