Warum Compliance im Mittelstand oft falsch verstanden wird
Compliance wird häufig mit Größe verwechselt. Man denkt an Konzerne, Compliance-Abteilungen und sehr viele PDFs, die niemand freiwillig öffnet.
Compliance wird häufig mit Größe verwechselt. Man denkt an Konzerne, Compliance-Abteilungen, internationale Richtlinien, interne Untersuchungen, Ombudsstellen, Kartellschulungen, Exportkontrolle und sehr viele PDFs, die niemand freiwillig öffnet.
Für viele mittelständische Unternehmen wirkt das fremd.
Das Problem: Aus dieser Fremdheit entsteht manchmal die falsche Schlussfolgerung, Compliance sei kein Thema.
Aber Compliance beginnt nicht erst bei Konzernstrukturen. Compliance beginnt überall dort, wo rechtliche Anforderungen, interne Regeln, Verantwortung und tatsächliches Verhalten auseinanderfallen können.
Im Mittelstand ist Compliance oft weniger formal. Dafür ist sie persönlicher. Entscheidungen laufen schneller. Zuständigkeiten sind enger. Führung ist direkter. Genau deshalb braucht es nicht mehr Papier, sondern bessere Ordnung.
1. Compliance ist Führungsaufgabe
Compliance ist nicht nur Aufgabe von Recht, HR, Datenschutz oder IT. Die Geschäftsführung muss dafür sorgen, dass wesentliche Risiken erkannt und angemessene Maßnahmen ergriffen werden.
Diese Funktionen können vorbereiten, prüfen und umsetzen. Aber die Geschäftsführung muss dafür sorgen, dass wesentliche Risiken erkannt, Zuständigkeiten festgelegt und angemessene Maßnahmen ergriffen werden.
GmbHG Paragraph 43 regelt die Sorgfaltspflicht und Haftung von GmbH-Geschäftsführern. AktG Paragraph 93 regelt die Sorgfaltspflicht und Verantwortlichkeit von Vorstandsmitgliedern. Je nach Unternehmensform, Risiko und Entscheidung können diese Normen als Bezugspunkte für Organisation, Informationsgrundlage und Dokumentation relevant werden.
- Welche Compliance-Risiken sind wesentlich?
- Wer ist verantwortlich?
- Welche Zuständigkeiten bestehen?
- Welche Regeln gibt es bereits?
- Welche Regeln fehlen?
- Wie werden Hinweise gemeldet?
- Wie werden Verstöße geprüft?
- Wie wird dokumentiert?
- Wann wird an die Geschäftsführung eskaliert?
- Wie wird Wirksamkeit überprüft?
Geschäftsführung muss nicht jede Regel selbst schreiben. Aber sie sollte wissen, ob das Unternehmen überhaupt Regeln hat, die im Ernstfall tragen.
Quellen: GmbHG Paragraph 43, AktG Paragraph 93
2. Risikobild vor Regelwerk
Eine gute Compliance-Struktur beginnt nicht mit einer Richtlinie. Sie beginnt mit einem Risikobild.
Welche Risiken hat das Unternehmen tatsächlich? Datenschutz? Beschäftigtendaten? Lieferkette? Korruption? Interessenkonflikte? Geldwäsche? Export? Geschäftsgeheimnisse? KI? Arbeitsrecht? Kartellrecht? Produkthaftung? Vergaberecht? Umweltrecht? Branchenregulierung?
Nicht jedes Unternehmen braucht dieselbe Tiefe. Nicht jedes Risiko ist gleich relevant. Aber jedes Unternehmen sollte wissen, welche Risiken wesentlich sind.
- Welche Branche?
- Welche Kunden?
- Welche öffentlichen Auftraggeber?
- Welche Auslandsgeschäfte?
- Welche Lieferanten?
- Welche Daten?
- Welche Beschäftigtengruppen?
- Welche sensiblen Informationen?
- Welche Produkte oder Dienstleistungen?
- Welche Zahlungsströme?
- Welche regulatorischen Anforderungen?
- Welche mittelbaren Kundenanforderungen?
Wer Compliance ohne Risikobild aufbaut, baut gern an der falschen Stelle sehr sorgfältig. Das sieht ordentlich aus. Hilft aber wenig.
3. Hinweisgeberschutz und interne Meldestelle
Das Hinweisgeberschutzgesetz kann für Unternehmen ein zentraler Compliance-Baustein sein.
HinSchG Paragraph 12 verpflichtet Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten zur Einrichtung interner Meldestellen. Details, Sonderregelungen und Anwendungsbereich müssen im Einzelfall geprüft werden.
Eine Meldestelle ist aber nicht nur ein technisches System. Entscheidend ist, ob Hinweise vertraulich, strukturiert und ohne Benachteiligung bearbeitet werden.
- Ist das Unternehmen zur internen Meldestelle verpflichtet?
- Wie viele Beschäftigte sind zu berücksichtigen?
- Wer betreibt die Meldestelle?
- Ist externe Unterstützung sinnvoll?
- Wie wird Vertraulichkeit gewahrt?
- Wie werden Meldungen dokumentiert?
- Wer prüft Hinweise?
- Wer entscheidet über Folgemaßnahmen?
- Wie werden Hinweisgeber geschützt?
- Wie wird an die Geschäftsführung berichtet?
Eine Meldestelle ist kein Briefkasten für schlechtes Gewissen. Sie ist ein Verfahren. Und Verfahren brauchen Zuständigkeit, Fristen, Vertraulichkeit und Ernsthaftigkeit.
Quelle: HinSchG Paragraph 12
4. Datenschutz und Beschäftigtendaten
Datenschutz ist im Mittelstand häufig eines der sichtbarsten Compliance-Felder.
Kundendaten, Lieferantendaten, Beschäftigtendaten, Bewerbungen, Zeiterfassung, HR-Software, CRM, Newsletter, Cloud-Tools, Auftragsverarbeitung, Video, E-Mail, Messenger, KI und Datenräume können betroffen sein.
DSGVO Art. 5 regelt Grundsätze der Verarbeitung. Art. 6 betrifft Rechtsgrundlagen. Art. 28 kann bei Auftragsverarbeitung relevant werden. Art. 32 betrifft Sicherheit der Verarbeitung. Art. 33 und Art. 34 können bei Datenschutzverletzungen relevant werden. Art. 35 kann eine Datenschutz-Folgenabschätzung betreffen. Art. 88 DSGVO und BDSG Paragraph 26 können bei Beschäftigtendaten relevant werden.
- Welche personenbezogenen Daten werden verarbeitet?
- Zu welchem Zweck?
- Auf welcher Rechtsgrundlage?
- Wer hat Zugriff?
- Welche Dienstleister verarbeiten Daten?
- Liegt Auftragsverarbeitung vor?
- Gibt es Löschkonzepte?
- Gibt es Berechtigungskonzepte?
- Gibt es Prozesse für Datenschutzverletzungen?
- Sind Beschäftigtendaten betroffen?
Datenschutz scheitert selten an der abstrakten Rechtslage. Er scheitert im Alltag: an Zugriffen, Tools, Gewohnheiten und dem Satz "Das haben wir immer so gemacht."
Quellen: DSGVO Art. 5, 6, 28, 32, 33, 34, 35, 88, BDSG Paragraph 26
5. Geschäftsgeheimnisse und vertrauliche Informationen
Geschäftsgeheimnisse sind oft der unterschätzte Teil von Compliance.
Preise, Kalkulationen, Kundenlisten, technische Unterlagen, Quellcode, Produktideen, Strategien, M&A-Unterlagen, interne Auswertungen, Vertragsentwürfe, Lieferanteninformationen und Prozesswissen können wirtschaftlich wertvoll sein.
GeschGehG Paragraph 2 definiert Geschäftsgeheimnisse unter anderem als Informationen, die geheim sind, von wirtschaftlichem Wert sind und Gegenstand angemessener Geheimhaltungsmaßnahmen sind.
- Welche Informationen sind vertraulich?
- Welche Informationen sind Geschäftsgeheimnisse?
- Welche Schutzmaßnahmen bestehen?
- Wer hat Zugriff?
- Gibt es Vertraulichkeitsvereinbarungen?
- Sind Mitarbeitende geschult?
- Sind externe Dienstleister gebunden?
- Wie werden Informationen in KI-Tools behandelt?
- Wie werden Datenräume geschützt?
- Was passiert bei Ausscheiden von Mitarbeitenden?
Geschäftsgeheimnisse schützen sich nicht durch stilles Hoffen. Sie brauchen erkennbare Maßnahmen. Sonst bleibt im Streit oft nur die Behauptung, dass etwas wichtig war.
Quelle: GeschGehG Paragraph 2
6. KI, AI Act und neue Regulierung
KI ist ein neues Compliance-Feld, weil sie an viele bestehende Themen andockt.
KI berührt Datenschutz, Beschäftigtendaten, Betriebsrat, Geschäftsgeheimnisse, Urheberrecht, Anbieterbedingungen, Ergebnisprüfung, Diskriminierung, Kundenkommunikation und Dokumentation.
Der AI Act ist seit 1. August 2024 in Kraft und wird grundsätzlich ab 2. August 2026 anwendbar, mit gestaffelten Ausnahmen. Art. 4 AI Act zu KI-Kompetenz gilt nach Angaben der EU-Kommission seit 2. Februar 2025.
- Welche KI-Systeme werden genutzt?
- Welche Rolle hat das Unternehmen?
- Welche Daten werden verarbeitet?
- Sind Beschäftigtendaten betroffen?
- Besteht ein Betriebsrat?
- Gibt es eine KI-Richtlinie?
- Gibt es Freigabeprozesse?
- Sind Mitarbeitende geschult?
- Wer prüft KI-Ergebnisse?
- Wie wird dokumentiert?
KI-Compliance bedeutet nicht, Innovation in Formularen zu ertränken. Sie bedeutet, dass ein Unternehmen weiß, wo Experiment endet und Verantwortung beginnt.
Quellen: AI Act, Art. 4 AI Act, BetrVG Paragraph 87
7. Lieferkette, Kundenanforderungen und LkSG
Lieferketten-Compliance trifft den Mittelstand oft direkter über Kundenanforderungen als über unmittelbare gesetzliche Pflichten.
Das LkSG gilt seit 2023 für Unternehmen ab 3.000 Arbeitnehmern im Inland und seit 2024 für Unternehmen ab 1.000 Arbeitnehmern im Inland. Unternehmen außerhalb des unmittelbaren Anwendungsbereichs können mittelbar betroffen sein, etwa als Zulieferer eines verpflichteten Unternehmens.
- Fällt das Unternehmen selbst unter das LkSG?
- Ist das Unternehmen Zulieferer verpflichteter Kunden?
- Welche Kundenanforderungen bestehen?
- Welche Lieferanteninformationen werden verlangt?
- Welche Verhaltenskodizes sollen akzeptiert werden?
- Welche Auditrechte werden verlangt?
- Welche Vertragsklauseln werden vorgelegt?
- Welche Nachweise kann das Unternehmen liefern?
- Welche Risiken bestehen in der eigenen Lieferkette?
- Welche Dokumentation ist praktikabel?
Mittelbare Betroffenheit ist der elegante Name für: Der Kunde verlangt es trotzdem. Auch das ist Compliance. Nicht immer aus dem Gesetz heraus. Manchmal aus der Lieferbeziehung.
Quelle: LkSG und Bundesregierung FAQ zum Lieferkettengesetz
8. Geldwäscheprävention, wenn Unternehmen verpflichtet sind
Geldwäscheprävention betrifft nicht jedes mittelständische Unternehmen gleichermaßen.
Ob ein Unternehmen Verpflichteter im Sinne des Geldwäschegesetzes ist, muss konkret geprüft werden. Für Verpflichtete kann GwG Paragraph 4 ein wirksames Risikomanagement verlangen. GwG Paragraph 5 betrifft die Risikoanalyse.
- Ist das Unternehmen Verpflichteter nach dem GwG?
- Welche Produkte oder Leistungen sind betroffen?
- Welche Kundenstruktur besteht?
- Gibt es Bargeldbezug?
- Gibt es Immobilien-, Finanz-, Kunst-, Güter- oder Vermittlungsbezug?
- Welche Sorgfaltspflichten bestehen?
- Gibt es eine Risikoanalyse?
- Gibt es interne Sicherungsmaßnahmen?
- Wie werden Verdachtsfälle behandelt?
- Wer ist intern zuständig?
Geldwäscheprävention ist kein Thema, das man mit Gefühl entscheidet. Entweder ist man verpflichtet oder nicht. Und wenn man verpflichtet ist, reicht Ungefähr nicht aus.
Quellen: GwG Paragraphen 4 und 5
9. Verträge, Lieferanten und Geschäftspartnerprüfung
Compliance wirkt auch über Verträge.
Kunden verlangen Verhaltenskodizes. Lieferanten sollen Datenschutz, Vertraulichkeit, Antikorruption, Sanktionen, Nachhaltigkeit, Informationssicherheit oder Menschenrechte zusichern. Dienstleister verarbeiten Daten. Partner erhalten Geschäftsgeheimnisse. Vertriebspartner handeln im Markt.
- Welche Compliance-Klauseln enthält der Vertrag?
- Welche Pflichten übernimmt das Unternehmen?
- Sind Pflichten praktisch erfüllbar?
- Welche Nachweise werden verlangt?
- Gibt es Auditrechte?
- Gibt es Vertragsstrafen?
- Gibt es Kündigungsrechte bei Compliance-Verstößen?
- Wer prüft Geschäftspartner?
- Welche Daten und Informationen werden geteilt?
- Wie wird bei Verstößen reagiert?
Compliance-Klauseln sind schnell unterschrieben. Die Frage ist nur, ob das Unternehmen auch erfüllen kann, was es dort verspricht.
10. Richtlinien, Schulung und gelebte Praxis
Richtlinien sind nur dann sinnvoll, wenn sie im Alltag verstanden werden.
Eine Compliance-Richtlinie, die niemand liest, ist kein Schutz. Eine Schulung, die nur durchgeklickt wird, ist keine Kultur. Ein Verhaltenskodex, der alles sagt und nichts entscheidet, hilft im Ernstfall wenig.
- Welche Richtlinien sind wirklich erforderlich?
- Wer muss sie verstehen?
- Sind sie verständlich geschrieben?
- Gibt es konkrete Beispiele?
- Wie werden Mitarbeitende geschult?
- Wie werden Führungskräfte eingebunden?
- Wie wird Einhaltung überprüft?
- Wie werden Verstöße behandelt?
- Wie werden Richtlinien aktualisiert?
- Wer ist verantwortlich?
Eine gute Richtlinie muss nicht dick sein. Sie muss im Moment der Entscheidung helfen. Sonst ist sie nur ein sehr ordentlich abgelegtes Versäumnis.
11. Dokumentation, Eskalation und Kontrolle
Compliance braucht Dokumentation. Nicht als Selbstzweck, sondern als Nachweis geordneter Organisation.
Wichtig ist vor allem, dass Zuständigkeiten, Hinweise, Prüfungen, Entscheidungen und Maßnahmen nachvollziehbar bleiben.
- Welche Vorgänge müssen dokumentiert werden?
- Wer dokumentiert?
- Wo wird dokumentiert?
- Wer hat Zugriff?
- Welche Fristen gelten?
- Welche Hinweise werden eskaliert?
- Wann wird die Geschäftsführung informiert?
- Welche Maßnahmen werden nachverfolgt?
- Wie wird Wirksamkeit überprüft?
- Wie wird aus Fehlern gelernt?
Compliance ohne Dokumentation ist manchmal nur eine gute Absicht mit schlechtem Gedächtnis.
12. Geschäftsleiterpflichten und Organisation
Geschäftsführung muss nicht jedes Detail selbst bearbeiten. Aber sie muss dafür sorgen, dass das Unternehmen angemessen organisiert ist.
Je nach Risikolage kann dazu gehören, Zuständigkeiten zu definieren, Regelungen zu schaffen, Hinweise zu ermöglichen, Datenschutz zu ordnen, Risiken zu dokumentieren, Dienstleister zu prüfen, Führungskräfte zu schulen und Eskalationswege einzurichten.
StaRUG Paragraph 1 betrifft bei haftungsbeschränkten Unternehmensträgern Krisenfrüherkennung und Krisenmanagement. In angespannten Lagen können Compliance, Dokumentation, Risikomanagement und Geschäftsleiterpflichten besonders eng zusammenrücken.
- Kennt die Geschäftsführung die wesentlichen Compliance-Risiken?
- Gibt es klare Verantwortlichkeiten?
- Gibt es ein Risikobild?
- Gibt es interne Regeln?
- Gibt es Meldewege?
- Gibt es Dokumentation?
- Gibt es Schulung?
- Gibt es Kontrolle?
- Gibt es Eskalation?
- Gibt es regelmäßige Überprüfung?
Organisation ist nicht Papier. Organisation zeigt sich, wenn etwas schiefgeht und alle wissen, was zu tun ist.
Quellen: GmbHG Paragraph 43, AktG Paragraph 93, StaRUG Paragraph 1
Typische Fehler bei Compliance im Mittelstand
Aus anwaltlicher Sicht wiederholen sich bestimmte Muster.
Compliance wird als Konzernproblem abgetan.
Regeln werden geschrieben, ohne vorher Risiken zu klären.
Zuständigkeiten bleiben unklar.
Hinweisgeberschutz wird nur technisch umgesetzt.
Datenschutz wird als einmaliges Projekt behandelt.
Geschäftsgeheimnisse werden nicht aktiv geschützt.
KI wird genutzt, bevor Freigaben und Regeln bestehen.
Lieferkettenanforderungen von Kunden werden unterschrieben, ohne Umsetzbarkeit zu prüfen.
Geldwäschepflichten werden nicht geprüft, obwohl das Geschäftsmodell betroffen sein könnte.
Richtlinien sind zu lang und zu wenig praktisch.
Führungskräfte werden nicht eingebunden.
Dokumentation beginnt erst, wenn ein Problem sichtbar ist.
Der letzte Fehler ist vertraut. Man nennt es Pragmatismus, bis jemand fragt, was wann geprüft, entschieden und dokumentiert wurde.
Einordnung von
Lutz Färber
Rechtsanwalt und Senior Legal Advisor
Aus meiner Sicht wird Compliance im Mittelstand oft falsch erzählt.
Entweder als Schreckgespenst. Oder als Konzernritual. Beides führt dazu, dass Unternehmer innerlich abschalten.
Dabei ist Compliance im Kern etwas sehr Einfaches: Ein Unternehmen muss wissen, welche Regeln für seine wesentlichen Risiken gelten und wer dafür sorgt, dass sie beachtet werden.
Das ist keine Bürokratiefrage. Das ist eine Führungsfrage.
Natürlich braucht ein mittelständisches Unternehmen nicht für jedes Thema eine Abteilung, ein Handbuch und drei Kontrollschleifen. Aber es braucht Klarheit. Wer nimmt Hinweise entgegen? Wer prüft Datenschutz? Wer schützt Geschäftsgeheimnisse? Wer gibt KI-Tools frei? Wer prüft Lieferantenanforderungen? Wer entscheidet bei Verstößen? Wer informiert die Geschäftsführung?
Ich halte wenig von Compliance, die nur gut aussieht.
Compliance muss funktionieren, wenn der Hinweis eingeht, der Kunde Nachweise verlangt, ein Tool Daten verarbeitet, ein Mitarbeiter vertrauliche Informationen teilt oder ein Vertrag eine Pflicht enthält, die niemand erfüllen kann.
Dann zeigt sich, ob Regeln gelebt werden. Oder ob sie nur da sind.
Checkliste für Unternehmer, Geschäftsführer und Leitungsorgane
Häufig gestellte Fragen
Compliance im Mittelstand bedeutet, wesentliche rechtliche Risiken, interne Regeln, Zuständigkeiten, Meldewege, Datenschutz, Geschäftsgeheimnisse, KI, Lieferkette, Verträge und Dokumentation so zu ordnen, dass das Unternehmen handlungsfähig bleibt. Es geht nicht darum, Konzernstrukturen zu kopieren.
Quellen und fachliche Bezugspunkte
- 1. Gesetze im Internet - HinSchG Paragraph 12 Pflicht zur Einrichtung interner Meldestellen
- 2. EUR-Lex - Datenschutz-Grundverordnung EU 2016/679
- 3. Gesetze im Internet - BDSG Paragraph 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
- 4. Gesetze im Internet - GeschGehG Paragraph 2 Begriffsbestimmungen
- 5. CSR in Deutschland - Fragen und Antworten zum Lieferkettensorgfaltspflichtengesetz
- 6. Gesetze im Internet - GwG Paragraph 4 Risikomanagement
- 7. European Commission - AI Act regulatory framework
- 8. Gesetze im Internet - BetrVG Paragraph 87 Mitbestimmungsrechte
- 9. Gesetze im Internet - GmbHG Paragraph 43 Haftung der Geschäftsführer
- 10. Gesetze im Internet - AktG Paragraph 93 Sorgfaltspflicht und Verantwortlichkeit
- 11. Gesetze im Internet - StaRUG Paragraph 1 Krisenfrüherkennung und Krisenmanagement
Über den Autor
Lutz Färber
Rechtsanwalt und Senior Legal Advisor
Lutz Färber begleitet Unternehmer, Unternehmen, Gesellschafter, Geschäftsführer und Leitungsorgane in rechtlichen und strategischen Fragen. Sein Schwerpunkt liegt an der Schnittstelle von Wirtschaftsrecht, Compliance, Governance, neuer Regulierung und unternehmerischer Verantwortung.