Warum Compliance-Richtlinien das Rückgrat Ihres CMS sind
Ohne Richtlinien gibt es kein Compliance Management System. So einfach ist das. IDW PS 980 definiert das Compliance-Programm – also das Regelwerk aus Richtlinien, Verfahrensanweisungen und Prozessen – als Grundelement 4 eines wirksamen CMS. Und ISO 37301 fordert dokumentierte Verfahren für alle wesentlichen Compliance-Bereiche.
In der Praxis heißt das: Ihre Mitarbeiter brauchen klare, schriftliche Regeln. Nicht weil Compliance-Regeln Spaß machen, sondern weil mündliche Absprachen und „das haben wir schon immer so gemacht“ vor keinem Prüfer und keinem Richter standhalten.
Die gute Nachricht: Sie müssen nicht jede Richtlinie von Grund auf neu erfinden. Die Struktur ist überall dieselbe. Die Themen sind bekannt. Was Sie brauchen, ist ein professionelles Grundgerüst, das Sie an Ihr Unternehmen anpassen – nicht ein leeres Blatt Papier und drei Wochen Recherchezeit.
Wie Richtlinien in das Gesamtbild eines Compliance Management Systems passen und warum sie erst nach der Risikoanalyse kommen sollten, erklären die beiden Pillar-Artikel im Detail.
Die 10 Richtlinien, die jedes CMS braucht
Nicht jedes Unternehmen braucht 50 Compliance-Richtlinien. Die meisten KMU im DACH-Raum kommen mit 8–12 Kernrichtlinien aus. Welche das sind, hängt von Ihrer Risikoanalyse ab. Aber es gibt einen Kernbestand, der branchenunabhängig relevant ist:
Nr. | Richtlinie | Kernstandard | Priorität |
|---|---|---|---|
1 | ISO 37001, StGB | Hoch | |
2 | Geschenke & Einladungen | IDW PS 980 | Hoch |
3 | Interessenkonflikte | IDW PS 980 | Hoch |
4 | Hinweisgeberschutz | HinSchG | Pflicht |
5 | Datenschutz | DSGVO, BDSG | Pflicht |
6 | Kartellrecht | GWB, AEUV | Mittel–Hoch |
7 | IT-Sicherheit | BSI, ISO 27001 | Hoch |
8 | Exportkontrolle & Sanktionen | AWG, EU-VO | Branchenabhängig |
9 | Kommunikation & Social Media | IDW PS 980 | Mittel |
10 | Schulungsverpflichtung | IDW PS 980 | Mittel |
Die Prioritäten sind Richtwerte. Ein Exportunternehmen wird Exportkontrolle auf „Hoch“ setzen. Ein reiner Inlandsdienstleister kann sie streichen. Entscheidend ist: Die Risikoanalyse bestimmt die Reihenfolge – nicht der alphabetische Index.
Praxis-Tipp: Starten Sie nicht mit allen 10 Richtlinien gleichzeitig. Nehmen Sie die 3–4 mit der höchsten Risikopriorität und setzen Sie diese zuerst um. Qualität und Implementierung schlagen Quantität.
Die einheitliche Struktur: 7 Abschnitte für jede Richtlinie
Jede Compliance-Richtlinie folgt derselben Gliederung. Das hat drei Vorteile: Mitarbeiter finden sich schnell zurecht, weil die Navigation identisch ist. Prüfer erkennen sofort die Vollständigkeit. Und Sie sparen bei jeder neuen Richtlinie Strukturierungsaufwand, weil das Grundgerüst steht.
Abschnitt 1: Zweck und Geltungsbereich
Warum gibt es diese Richtlinie? Für wen gilt sie? Diese beiden Fragen müssen auf der ersten Seite beantwortet sein. Der Zweck verbindet die Richtlinie mit dem übergeordneten Code of Conduct und den Compliance-Zielen. Der Geltungsbereich definiert, ob die Richtlinie für alle Mitarbeiter gilt, nur für bestimmte Funktionen oder auch für externe Geschäftspartner.
Abschnitt 2: Begriffsdefinitionen
Fachbegriffe müssen erklärt werden – nicht für Juristen, sondern für die Mitarbeiter, die die Richtlinie täglich anwenden. Was ist ein „Vorteil“ im Sinne des Anti-Korruptionsrechts? Was zählt als „personenbezogene Daten“ im Datenschutz? Ohne klare Definitionen sind Regeln nicht anwendbar, weil jeder etwas anderes darunter versteht.
Abschnitt 3: Verhaltensanforderungen und Regeln
Das Herzstück jeder Richtlinie. Hier stehen die konkreten Regeln: Was ist erlaubt, was ist verboten, welche Grenzen gelten? Dieser Abschnitt muss so konkret sein, dass ein Mitarbeiter daraus direkt Handlungsentscheidungen ableiten kann. Abstrakte Formulierungen wie „handeln Sie stets gesetzeskonform“ helfen niemandem.
Konkret heißt: Wertgrenzen in der Geschenke-Richtlinie, Verbotstatbestände in der Anti-Korruptions-Richtlinie, Löschfristen in der Datenschutzrichtlinie. Ergänzt durch Do’s & Don’ts und Praxisbeispiele, die typische Alltagssituationen abdecken.
Abschnitt 4: Verantwortlichkeiten und Rollen
Wer ist wofür zuständig? Die Richtlinie muss klar benennen: Wer genehmigt, wer prüft, wer meldet, wer eskaliert. Ohne klare Rollenverteilung verwischen Verantwortlichkeiten – und im Ernstfall zeigt jeder auf den anderen.
Typische Rollen: Geschäftsführung (Gesamtverantwortung), Compliance-Funktion (fachliche Steuerung), Führungskräfte (operative Umsetzung im Team), alle Mitarbeiter (Einhaltung und Meldepflicht).
Abschnitt 5: Meldewege und Konsequenzen
Wohin mit Fragen und Verdachtsmomenten? Und was passiert bei Verstößen? Dieser Abschnitt benennt alle Meldekanäle und definiert die Konsequenzen – von der Ermahnung bis zur fristlosen Kündigung. Gleichzeitig wird der Hinweisgeberschutz nach HinSchG verankert.
Abschnitt 6: Schulungspflichten
Welche Mitarbeitergruppen müssen geschult werden? Wie oft? In welchem Format? Schulungspflichten gehören in jede Richtlinie, weil sie themenspezifisch sind. Die Anti-Korruptions-Richtlinie hat andere Schulungszielgruppen als die Datenschutzrichtlinie.
Abschnitt 7: Inkrafttreten und Revisionshistorie
Wann tritt die Richtlinie in Kraft? Wer hat sie freigegeben? Wann wird sie überprüft? Die Dokumentenhistorie ist nicht nur für Prüfer relevant – sie gibt auch intern Orientierung, ob die Richtlinie noch aktuell ist oder seit drei Jahren nicht mehr angepasst wurde.
Von der Richtlinie zur gelebten Compliance
Die beste Richtlinie ist wertlos, wenn sie niemand kennt. Die Implementierung ist mindestens genauso wichtig wie der Inhalt. Drei Schritte machen den Unterschied:
Schritt 1: Kommunikation. Neue Richtlinien werden aktiv kommuniziert – nicht nur per E-Mail verschickt. Ein kurzes Management-Statement, eine FAQ-Seite im Intranet und eine Zusammenfassung der wichtigsten Änderungen senken die Hürde.
Schritt 2: Schulung. Jede neue Richtlinie braucht eine Einführungsschulung. Nicht 90 Minuten Frontalbeschallung, sondern interaktive Formate mit Fallbeispielen. Mitarbeiter müssen die Richtlinie nicht auswendig kennen – aber sie müssen wissen, wo die Regeln stehen und an wen sie sich bei Fragen wenden können.
Schritt 3: Integration in den Arbeitsalltag. Richtlinien müssen dort verfügbar sein, wo sie gebraucht werden. Nicht im Compliance-Ordner auf dem Server, sondern im Intranet, als Quick-Reference-Card am Arbeitsplatz, als Checkliste im relevanten Prozess.
Wie Compliance-Kultur entsteht und warum Richtlinien allein nicht ausreichen, beschreibt der Artikel zur Compliance-Kultur im Detail.
Reihenfolge: Welche Richtlinien zuerst?
Die Versuchung ist groß, alle Richtlinien gleichzeitig zu erstellen. Das funktioniert nicht. Parallele Einführung von 10 Richtlinien überfordert die Organisation, verwischt die Kommunikation und führt dazu, dass keine einzelne Richtlinie richtig ankommt.
Die bessere Strategie: Priorisierung nach Risikoanalyse. Die drei bis vier Richtlinien mit der höchsten Risikopriorität kommen zuerst. Für die meisten Unternehmen sind das Anti-Korruption, Datenschutz und Hinweisgeberschutz. Dann folgen die nächsten drei bis vier im Quartalstakt.
Darüber liegt der Code of Conduct als übergeordneter Verhaltenskodex. Er fasst alle Themen kompakt zusammen und verweist für Details auf die Einzelrichtlinien. Die Hierarchie ist klar: Code of Conduct → Einzelrichtlinien → Verfahrensanweisungen.
Diese Hierarchie ist im CMS-Handbuch als Dachdokument verankert. Dort steht, welche Richtlinien existieren, wie sie zusammenhängen und wer für ihre Pflege verantwortlich ist.
Richtlinien pflegen: Der unterschätzte Erfolgsfaktor
Die Erstellung einer Richtlinie ist der Anfang – nicht das Ende. Compliance-Richtlinien sind lebende Dokumente. Gesetze ändern sich, Geschäftsmodelle entwickeln sich weiter, neue Risiken entstehen. Eine Richtlinie, die seit drei Jahren nicht überarbeitet wurde, ist im besten Fall veraltet – im schlimmsten Fall gefährlich, weil sie Mitarbeitern falsche Sicherheit gibt.
Jede Richtlinie braucht einen definierten Review-Zyklus: mindestens einmal jährlich, zusätzlich anlassbezogen nach Gesetzesänderungen, Compliance-Vorfällen oder wesentlichen organisatorischen Veränderungen. Der Review-Termin steht in der Richtlinie selbst – und wird von einem benannten Verantwortlichen überwacht.
Was bei einem Review geprüft wird: Sind die Rechtsgrundlagen noch aktuell? Stimmen die Verantwortlichkeiten noch? Sind die Prozesse noch praxistauglich? Gibt es neue Risiken, die zusätzliche Regeln erfordern? Wurde die Richtlinie in der Praxis tatsächlich angewandt – oder ist sie nur ein Papiertiger?
Die Revisionshistorie am Ende jeder Richtlinie dokumentiert alle Änderungen: Was wurde geändert, wann, warum und von wem freigegeben. Das schafft Nachvollziehbarkeit für Prüfer und zeigt intern, dass Compliance keine einmalige Aktion ist, sondern ein kontinuierlicher Prozess.
Die Regelwerk-Hierarchie: Vom Code of Conduct zur Arbeitsanweisung
Ein CMS-Regelwerk besteht nicht aus einzelnen Dokumenten in einem Ordner. Es ist eine Hierarchie, in der jede Ebene eine andere Funktion erfüllt. Das Verständnis dieser Hierarchie ist entscheidend – sowohl für die Erstellung als auch für die tägliche Anwendung.
Ebene 1: Code of Conduct. Der Verhaltenskodex steht an der Spitze. Er definiert die Werte und Grundprinzipien – kompakt, verständlich, für alle Mitarbeiter. Er ist das Dokument, das jeder kennen muss.
Ebene 2: Compliance-Richtlinien. Die 10 Richtlinien konkretisieren die Grundsätze des Code of Conduct für einzelne Themenbereiche. Sie definieren Regeln, Wertgrenzen, Prozesse und Verantwortlichkeiten. Sie sind verbindlich und gelten für die jeweils definierten Zielgruppen.
Ebene 3: Verfahrensanweisungen und Checklisten. Die operative Ebene: Wie wird eine Genehmigung beantragt? Wie funktioniert die Sanktionslistenprüfung im Einkauf? Diese Dokumente übersetzen die Richtlinien in konkrete Arbeitsschritte für spezifische Funktionen.
Diese Hierarchie vermeidet Redundanz. Der Code of Conduct muss nicht die Wertgrenzen für Geschenke enthalten – das steht in der Geschenke-Richtlinie. Die Geschenke-Richtlinie muss nicht den genauen Workflow im Einkaufssystem beschreiben – das steht in der Verfahrensanweisung. Jedes Dokument hat seinen Platz und seine Funktion.
Im CMS-Handbuch wird diese Hierarchie dokumentiert: Welche Dokumente existieren, wie sie zusammenhängen und wer für die Pflege verantwortlich ist. Das Handbuch ist die Landkarte Ihres gesamten Compliance-Regelwerks.
Richtlinien für besondere Zielgruppen
Nicht jeder Mitarbeiter braucht jede Richtlinie. Aber jeder Mitarbeiter braucht die richtigen Richtlinien. Die Zuordnung von Richtlinien zu Zielgruppen ist ein oft übersehener Schritt, der über die praktische Wirksamkeit entscheidet.
Alle Mitarbeiter müssen den Code of Conduct, die Datenschutzrichtlinie und die Hinweisgeberschutz-Richtlinie kennen. Diese drei Dokumente gelten ausnahmslos für jeden im Unternehmen – vom Auszubildenden bis zum Geschäftsführer.
Vertrieb und Einkauf sind die Hauptzielgruppe für Anti-Korruption, Geschenke und Einladungen sowie Kartellrecht. Diese Funktionen haben den häufigsten Kontakt zu externen Stakeholdern und die höchste Exposition gegenüber Korruptions- und Wettbewerbsrisiken. Die Schulungsfrequenz sollte hier höher sein als im Rest des Unternehmens.
Führungskräfte tragen besondere Verantwortung: Sie müssen die Interessenkonflikt-Richtlinie kennen und vorleben, Meldungen entgegennehmen und eskalieren können und als Vorbild für die Einhaltung aller Richtlinien dienen. Führungskräfteschulungen gehen deshalb über das reine Wissen hinaus – sie trainieren auch die Reaktion in konkreten Eskalationssituationen.
IT-Abteilung ist die natürliche Zielgruppe für die IT-Sicherheitsrichtlinie, aber auch für den Datenschutz, da sie technische und organisatorische Maßnahmen implementiert und überwacht. Export und Logistik benötigen die Exportkontroll-Richtlinie, während Marketing und Unternehmenskommunikation die Social-Media-Richtlinie als Hauptreferenz nutzen.
Diese Zuordnung sollte in einer Matrix dokumentiert werden: Welche Richtlinie gilt für welche Funktion? Wann wird geschult? Wie wird die Kenntnisnahme dokumentiert? Diese Matrix wird Teil des CMS-Handbuchs und dient als Steuerungsinstrument für das Compliance-Schulungsprogramm.
Die 5 häufigsten Fehler bei Compliance-Richtlinien
Fehler 1: Zu juristisch formuliert. Richtlinien werden von Mitarbeitern gelesen, nicht von Anwälten. Fachbegriffe müssen erklärt werden. Sätze sollten maximal 20 Wörter lang sein. Testen Sie jeden Text an jemandem ohne juristische Vorbildung.
Fehler 2: Keine konkreten Handlungsanweisungen. „Handeln Sie stets gesetzeskonform“ ist keine Handlungsanweisung. „Geschenke über 35 Euro müssen vor Annahme durch den Vorgesetzten genehmigt werden“ ist eine. Der Unterschied entscheidet darüber, ob die Richtlinie im Alltag funktioniert oder nur im Regal steht.
Fehler 3: Kein Update-Prozess definiert. Richtlinien ohne regelmäßige Überprüfung veralten. Gesetzgebung ändert sich, Geschäftsmodelle entwickeln sich weiter, neue Risiken entstehen. Jede Richtlinie braucht einen festen Review-Zyklus – mindestens jährlich – und einen benannten Verantwortlichen für die Aktualisierung.
Fehler 4: Richtlinien ohne Risikoanalyse. Wer Richtlinien schreibt, ohne vorher die Risiken zu analysieren, läuft Gefahr, die falschen Prioritäten zu setzen. Vielleicht investieren Sie Wochen in eine Exportkontrollrichtlinie, obwohl Ihr Hauptrisiko im Datenschutz liegt. Die Risikoanalyse bestimmt die Reihenfolge.
Fehler 5: Kein einheitliches Format. Jede Richtlinie hat ein anderes Layout, eine andere Struktur, andere Begriffe für dieselben Sachverhalte. Das verwirrt Mitarbeiter und erschwert die Pflege. Einheitliche Struktur – wie die 7 Abschnitte oben – ist kein Selbstzweck, sondern Voraussetzung für Akzeptanz und Wartbarkeit.
Nächster Schritt: Richtlinien professionell aufsetzen
Das Compliance Richtlinien Set liefert Ihnen alle 10 Muster-Richtlinien in einheitlicher Struktur. Jede Richtlinie enthält die 7 Standardabschnitte, konkrete Verhaltensregeln, Do’s & Don’ts und gelbe Platzhalter für schnelle Anpassung. Basierend auf IDW PS 980, ISO 37301 und den jeweiligen Fachstandards.
Jede Richtlinie ist auch einzeln für 29 Euro erhältlich.
Alles in einem Paket: Alle 10 Richtlinien sind auch Teil des CMS Aufbau Bundles – das Komplettpaket für Ihr Compliance Management System (499 Euro).
