DIN SPEC 91524 – Leitfaden für Compliance-Management-Systeme in kleinen und mittleren Unternehmen

DIN SPEC 91524: Compliance-Management im Mittelstand – Leitfaden, Bewertung und Praxis-Fahrplan

Kurzüberblick: Die DIN SPEC 91524 richtet sich an kleine und mittlere Unternehmen. Kern ist ein Self-Check entlang typischer Unternehmensprozesse, um Compliance-Risiken sichtbar zu machen und passende Maßnahmen zu priorisieren. Der Leitfaden hilft beim Einstieg, ersetzt aber kein vollwertiges Compliance-Management-System (CMS) und keine fortlaufende Rechtsbeobachtung. Nachfolgend fassen wir Inhalt und Nutzen zusammen, ordnen rechtlich ein und geben einen sofort umsetzbaren Praxis-Fahrplan für KMU.

Benötigen Sie Unterstützung bei Aufbau, Prüfung oder Verteidigung rund um Compliance im Unternehmen? Unsere Kanzlei vertritt bundesweit im Wirtschafts- und Unternehmensstrafrecht und berät zur Einrichtung wirksamer CMS.
Kontakt: 069 710 33 330 · kanzlei@dr-buchert.de

1. Worum geht es bei der DIN SPEC 91524?

Die DIN SPEC 91524 ist ein praxisnaher Leitfaden, der speziell KMU adressiert. Ziel ist, Verantwortliche für wesentliche Risiken zu sensibilisieren und mit schlanken Mitteln konkrete Verbesserungsschritte anzustoßen. Der Leitfaden trennt Wertschöpfungs-, Unterstützungs- und Steuerungsprozesse und verknüpft diese mit typischen Risiko-Feldern. Ergebnis sind priorisierte Handlungsempfehlungen, die dem Ressourcenprofil mittelständischer Betriebe gerecht werden.

2. Aufbau in Kürze

  • Anwendungsbereich, Begriffe, Verweisungen: Anlehnung an anerkannte Normen, u. a. ISO-Terminologie.
  • Allgemeiner Teil: Ziele, Grundsätze und Durchführungsvorgaben für den Self-Check.
  • Self-Check: Fragen zu übergreifenden und prozessspezifischen Themen mit Bewertungsskala von 1 bis 10 und passgenauen Maßnahmen-Hinweisen.
  • Risiko-Kapitel: u. a. Arbeitsrecht, Datenschutz, Geheimnisschutz, Geldwäsche, Cyber-Strafrecht, Korruption, Lieferkette, Umwelt, Wettbewerbs-/Kartellrecht.
  • Maßnahmen-Katalog: Prävention, Detektion, Reaktion – kompakt formuliert und mit Umsetzungstipps hinterlegt.

3. Was leistet der Self-Check – und was nicht?

Der Self-Check liefert eine schnelle Standortbestimmung: Wo entstehen Risiken in meinen Prozessen, welche Maßnahmen fehlen, wo brennt es zuerst? Für den Mittelstand ist dieser Einstieg ideal. Grenzen bestehen dort, wo konkrete, rechtssichere Ausgestaltung eines CMS, ein dokumentiertes Rechtsmonitoring oder spezialisierte Prüfmechanismen erforderlich sind. Hier braucht es ergänzende Governance-Bausteine und – je nach Risikolage – externe Expertise.

4. Rechtliche Einordnung und Pflichtenkern

Die Verantwortung der Geschäftsleitung umfasst Legalitätskontrolle, Organisation und Information. Daraus folgt die Pflicht, Compliance strukturiert zu managen, Risiken zu analysieren, geeignete Maßnahmen festzulegen und deren Wirksamkeit zu überwachen. Mindestbestandteile in der Praxis sind regelmäßig:

  • Tone from the top und klare Verhaltensmaßstäbe (z. B. Kodex, Richtlinien).
  • Risikoanalyse als wiederkehrender, dokumentierter Prozess (horizontal: Relevanz; vertikal: Szenarien, Brutto/Netto-Risiko).
  • Organisationsfestlegung inkl. Zuständigkeiten, Vier-Augen-Prinzip in kritischen Prozessen, Berichtswege.
  • Schulung, Kontrolle, Hinweisgebersystem und dokumentierte Sanktionierung bei Verstößen.
  • Rechtsmonitoring (laufende Beobachtung relevanter Rechtsänderungen), das ein Self-Check allein nicht ersetzt.

Hinweis: Für Gesundheits- und Abrechnungsbezüge finden Sie ergänzend unser Rechtslexikon zum Medizin- und Wirtschaftsstrafrecht sowie den Eintrag zu Abrechnungsbetrug (§ 263 StGB).

5. Praxis-Fahrplan für KMU (sofort umsetzbar)

  1. Scoping & Relevanzanalyse: Prozesse und Standorte aufnehmen; Umfeldfaktoren je Thema prüfen (z. B. Drittvertrieb, Behördenkontakte, Bargeld, Ausland, Ausschreibungen).
  2. Self-Check nach DIN SPEC 91524 durchführen: Bewertung 1–10 je Themenblock, Dokumentation der Antworten und Belege.
  3. Vertikale Risikoanalyse für Hotspots: Szenarien definieren, bestehende Kontrollen abgleichen, Brutto-/Netto-Risiken bewerten.
  4. Maßnahmenplan priorisieren: Hohe Risiken zuerst; wer macht was bis wann, Meilensteine, KPIs.
  5. Kern-Controls implementieren: Vier-Augen-Prinzip, Budget-Kontrollen, Funktionstrennung, Hinweisgebersystem, Schulungspfad.
  6. Rechtsmonitoring aufsetzen: Verantwortlichkeiten, Quellen, Aktualisierungs- und Informationsroutine festlegen.
  7. Wirksamkeitskontrolle: Quartalsweiser CMS-Status, jährliches Management-Review, Audit/Spot-Checks.
  8. Forensik & Response: Incident-Prozess, Beweissicherung, externe Meldelinien, Sanktionssystem.

6. Stärken und Lücken des Leitfadens

  • Stärken: Niedrige Einstiegshürde, Prozessfokus, klare To-dos, gute Strukturierung in Prävention/Detektion/Reaktion.
  • Typische Lücken im KMU-Kontext: Rechtsmonitoring wird oft nicht ausreichend geregelt; Themenabdeckung ist elementar, aber nicht vollständig; Priorisierung muss unternehmensspezifisch nachgesteuert werden.

7. FAQs

Ist die DIN SPEC 91524 verpflichtend?

Nein. Sie ist ein technischer Leitfaden. Rechtlich verpflichtend bleiben die Organisations- und Überwachungspflichten der Geschäftsleitung. Die SPEC kann helfen, diese effizient zu erfüllen.

Worin unterscheidet sich die DIN SPEC 91524 von ISO 37301?

ISO 37301 ist eine umfassende CMS-Norm für Organisationen aller Größen. Die DIN SPEC 91524 zielt auf KMU und setzt bei einem pragmatischen Self-Check und konkreten Maßnahmen an.

Reicht der Self-Check als Risikoanalyse?

Als Start ja. Für belastbare Entscheidungen empfehlen wir nachgelagert vertikale Analysen mit Szenarien, Brutto/Netto-Bewertung und dokumentierter Priorisierung.

Welche Controls sind in KMU erfahrungsgemäß „Pflicht“?

Tone from the top, definierte Verantwortlichkeiten, Vier-Augen-Prinzip in kritischen Prozessen, Richtlinien/Kodex, Schulungen, Kontrollen, Hinweisgebersystem, Sanktionierung, Rechtsmonitoring.

Wie priorisiere ich Maßnahmen richtig?

Nach Risiko-Höhe: je höher das Risiko, desto schneller umsetzen, desto breiter und tiefer absichern (Kontrollen, Überwachung, Schulung).

Hilft die SPEC bei Verteidigung in Ermittlungsverfahren?

Sie belegt ein systematisches Vorgehen und kann als Entlastungsindiz dienen. Entscheidend ist jedoch die tatsächliche Wirksamkeit der getroffenen Maßnahmen und saubere Dokumentation.

8. Siehe auch

zurück zur Übersicht

Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.

Kontaktieren Sie uns