Aufbau und Optimierung von Compliance-Management-Systemen (CMS)

Compliance Management System (CMS)

Kurzüberblick: Ein Compliance Management System (CMS) umfasst alle Grundsätze, Prozesse und Kontrollen, die regelkonformes Verhalten im Unternehmen sicherstellen. Grundlage ist u. a. der IDW PS 980, der sieben Kernelemente eines CMS beschreibt. Mit der DS-GVO ist Datenschutz-Compliance samt Rechenschafts- und Nachweispflichten (Accountability) zum Pflichtprogramm geworden. Für Steuer- und Geldwäschethemen gewinnen TCMS (Tax Compliance) und CMS nach dem GwG an Bedeutung. Dieser Leitfaden bündelt die wichtigsten Anforderungen, Aufbau-Elemente, Best Practices und typische Fehler – von Produkt-Compliance (z. B. nach der „Dieselaffäre“) bis Datenschutz-Management.

Was ist ein Compliance Management System (CMS)?

Unter einem CMS versteht man die Gesamtheit der Grundsätze und Maßnahmen, die – ausgehend von Zielen der Unternehmensleitung – regelkonformes Verhalten von Organen, Mitarbeitenden und ggf. Dritten sicherstellen. Es gibt kein „One-Size-Fits-All“: Das CMS muss risikobasiert zur Branche, Größe, Struktur und Internationalität des Unternehmens passen. Es ist kein Einmal-Projekt, sondern ein organisatorischer Lernprozess.

Die 7 Grundelemente nach IDW PS 980 (Kurzfassung)

  1. Compliance-Kultur (Tone from the Top, Integrität, Vorbildfunktion)
  2. Compliance-Ziele (messbar, risikoorientiert, geschäftsmodellspezifisch)
  3. Compliance-Risiken (Identifikation, Bewertung, Behandlung)
  4. Compliance-Programm (Richtlinien, Prozesse, Kontrollen)
  5. Compliance-Organisation (Rollen, CCO, Zuständigkeiten, Ressourcen)
  6. Compliance-Kommunikation (Schulungen, Awareness, Reporting)
  7. Compliance-Überwachung & Verbesserung (Monitoring, Audit, PDCA)

Produkt-Compliance & „Lehren“ aus der Dieselaffäre

Klassische CMS fokussierten lange auf Korruption, Kartell-, Außenwirtschafts-, Datenschutz- oder Geldwäscherecht. Fälle wie die Diesel-/Abgas-Thematik zeigen: Produkt-Compliance gehört systematisch ins CMS – also präventive Kontrollen, damit Produkte keine gesetzlichen Vorgaben (z. B. Umweltstandards, Sicherheit) unterschreiten. Optionen:

  • Integration in bestehendes Safety-/Sicherheits-Monitoring (um inhaltliche Kontrollen zu Straftatenrisiken erweitern),
  • Erweiterung des CMS um produktbezogene Prüf- und Freigabeprozesse,
  • Eigenständiger Produkt-Compliance-Bereich mit klaren Gate-Kontrollen.

Praxisbeispiel: Nach der Siemens-Korruptionsaffäre wurden u. a. eine globale Compliance-Organisation und ein Chief Compliance Officer mit Durchgriffsrechten etabliert – entscheidend ist die unabhängige Kontrolle und Berichtslinie.

Datenschutz-Compliance (DS-GVO): Accountability & DSMS

Die DS-GVO verlangt Rechenschaft: Verantwortliche müssen Einhaltung nachweisen können (Art. 5 Abs. 2 i. V. m. Art. 24). Ein Datenschutz-Managementsystem (DSMS) ist deshalb faktisch Pflicht, um:

  • Verarbeitungen strukturiert zu erfassen (Art. 30 Verzeichnis),
  • TOMs risikobasiert festzulegen,
  • Informationspflichten, Betroffenenrechte, Löschkonzept, DPIA (Folgenabschätzung) sauber zu steuern,
  • Schulungen & Audits zu dokumentieren.

Wichtig: Der Datenschutzbeauftragte (DSB) überwacht und berät – er ersetzt kein DSMS und übernimmt nicht die Verantwortlichkeit des Unternehmens.

GwG-Transparenzregister: CMS-Pflichten für Geschäftsleiter

Bei den Transparenzpflichten (wirtschaftlich Berechtigte) handelt es sich um Compliance-Pflichten der Geschäftsleitung. Erforderlich sind u. a.:

  • Klare Verantwortlichkeiten & Berichtswege,
  • Effektives internes Überwachungs- und Meldewesen,
  • Jährliche Aktualitätsprüfungen (mindestens),
  • Dokumentation sämtlicher Maßnahmen (Leitlinien, Protokolle, Prüfberichte),
  • Rechtsbeobachtung (Gesetzesänderungen zeitnah erkennen und umsetzen).

Tax Compliance (TCMS): Wirksamkeit & Strafbarkeitsreduktion

Ein Tax Compliance Management System (TCMS) schützt vor steuerlichen Pflichtverstößen, erleichtert die Abgrenzung zwischen § 153 AO (Berichtigung) und § 371 AO (Selbstanzeige) und kann strafrechtliche Verantwortlichkeiten der Unternehmensleitung relativieren. Voraussetzungen:

  • Schriftlich definierte steuerrelevante Prozesse & Verantwortlichkeiten,
  • Ressourcen & Informationen für „compliantes“ Handeln,
  • Dokumentiertes Monitoring (Wirksamkeit, Fehlerbehebung, kontinuierliche Verbesserung),
  • Gelebte Kultur der Steuerehrlichkeit.

Integriertes Managementsystem: Datenschutz, Informationssicherheit & Compliance

Ein integriertes System nutzt Synergien (z. B. DS-GVO, Informationssicherheit, Compliance, Geldwäsche, Exportkontrolle). Orientierung geben u. a.:

  • IDW PS 980 (CMS-Rahmen),
  • ISO-27001/27005 (ISMS/Risikomanagement) als Andockpunkte,
  • ISO-/BSI-Grundschutz-Bausteine für „Stand der Technik“.

Achtung: Datenschutz bewertet Betroffenenrisiken, Informationssicherheit eher Unternehmensrisiken – deshalb Mapping und klare Rollen definieren.

Richtlinien, Schulungen & Audits: Das Herzstück des CMS

  • Leitlinie (Policy Framework): Dachdokument (Ziele, Rollen – CCO/DSB, Berichtswesen, z. B. Meldung von Datenschutzvorfällen, DPIA-Regeln).
  • Richtlinien: Konkrete Vorgaben (z. B. Info-Pflichten, AV-Verträge, Third-Party-Due-Diligence, Hinweisgebersystem, Löschkonzept).
  • Arbeitsanweisungen: Schritt-für-Schritt-Vorgaben für die Praxis.
  • Schulungen & Awareness: Rollenspezifisch, dokumentiert, regelmäßig.
  • Audit & Monitoring (PDCA): Nachweis, dass Richtlinien gelebt werden; kontinuierliche Verbesserung.

Typische Fehler – und wie Sie sie vermeiden

  • „Papier-CMS“ ohne gelebte Praxis: Früh Pilotbereiche einbinden, KPIs festlegen.
  • Unklare Verantwortlichkeiten: Rollen & Eskalationswege schriftlich fixieren.
  • Keine Risikoorientierung: Risikoanalyse jährlich aktualisieren und Maßnahmen priorisieren.
  • Fehlende Dokumentation:Nicht dokumentiert = nicht gemacht“ – Nachweise sichern.
  • Überfrachtete Vorgaben: Praxisnahe, verständliche Richtlinien statt „Regel-Monolith“.

90-Tage-Fahrplan zum (bzw. fürs Upgrade Ihres) CMS

Tage 1–30 (Plan): Quick-Scan, Risiko-Workshop, Zielbild, Verantwortlichkeiten, Roadmap.
Tage 31–60 (Do): Kern-Policies (Datenschutz, Hinweisgebersystem, Drittparteien, Steuer), Schulungskonzept, Verzeichnis/Prozesslandkarte.
Tage 61–90 (Check/Act): Internes Audit (Stichproben), Abstellmaßnahmen, KPI-Dashboard, Jahresplan 1. Runde.

FAQ zum CMS, DSMS & Co.

Was ist der Unterschied zwischen CMS und DSMS?
CMS ist der Überbau für Regelkonformität insgesamt. DSMS ist das datenschutzspezifische Managementsystem zur Erfüllung der DS-GVO-Pflichten (Accountability).

Brauche ich neben dem DSMS einen Datenschutzbeauftragten?
Wenn die Bestellung gesetzlich erforderlich ist: Ja. Der DSB überwacht/berät, er führt das DSMS nicht operativ.

Wie oft muss ich Compliance prüfen?
Mindestens jährlich (z. B. beim Transparenzregister) – praxisgerecht sind laufendes Monitoring plus jährliches Audit.

Welche Rolle spielt der IDW PS 980?
Er bietet einen anerkannten Rahmen zur Einrichtung, Prüfung und Verbesserung von CMS – hilfreich für Wirksamkeitsnachweise.

Was bedeutet „Accountability“ konkret?
Sie müssen jederzeit belegen können, dass Sie rechtskonform arbeiten: Prozesse, Entscheidungen, Schulungen und Kontrollen dokumentieren.

Ist ein TCMS wirklich nötig?
Es ist Best Practice. Ein wirksames TCMS reduziert Risiken (inkl. straf-/bußgeldrechtlich) und sichert richtige Berichtigungsprozesse.

Wie binde ich Produkt-Compliance ein?
Entweder integrieren Sie produktbezogene Prüfungen in bestehende Freigabe-/QM-Gates oder schaffen einen eigenen Produkt-Compliance-Track mit klaren Eskalationen.

Was verlangt das GwG zum Transparenzregister?
Ein effektives internes Überwachungs- und Meldewesen, klare Verantwortlichkeiten, jährliche Aktualitätsprüfung und vollständige Dokumentation.

Welche Dokumente sind „Pflichtprogramm“?
Leitlinie, Kern-Richtlinien (Datenschutz, Third Parties, Hinweisgeber, Steuer), Arbeitsanweisungen, Schulungsplan/-nachweise, Verarbeitungsverzeichnis, Löschkonzept, DPIA-Register, Auditberichte.

Wie starte ich pragmatisch?
Mit einem Risikoworkshop, Rollenfestlegung, 3–5 Kern-Richtlinien, Schulungs-Kickoff – und einem 90-Tage-PDCA-Plan.

Kontaktieren Sie uns – Ihre Fachanwälte und Anwälte für Strafrecht in Frankfurt am Main und bundesweit

Telefon: 069 710 33 330
E-Mail: kanzlei@dr-buchert.de

Haben Sie Fragen zu unseren Leistungen?
Nehmen Sie bitte Kontakt mit unseren Experten in Frankfurt am Main auf. Wir helfen Ihnen gerne weiter.

Kontaktieren Sie uns