Compliance-Management-System aufbauen
In den bisherigen Beiträgen dieser Serie haben wir viele einzelne Regulierungsbereiche behandelt -- vom Gewerberecht über Verbraucherschutz bis zur Exportkontrolle. Jetzt wird es Zeit, all diese Fäden zusammenzuführen: mit einem Compliance-Management-System (CMS).
Ein CMS ist kein bürokratisches Monster, sondern ein strukturierter Ansatz, um sicherzustellen, dass dein Startup die relevanten Gesetze und Vorschriften einhält. Und ja -- auch für kleine Startups macht ein CMS Sinn.
Warum ein CMS für Startups?
1. Risikominimierung
Ein CMS hilft dir, Compliance-Risiken frühzeitig zu erkennen und zu adressieren, bevor sie zu Problemen werden. Das spart langfristig Geld und Nerven.
2. Investoren-Erwartungen
Investoren -- besonders in späteren Finanzierungsrunden -- erwarten, dass Startups Compliance ernst nehmen. Ein funktionierendes CMS signalisiert Professionalität und Reife.
3. Haftungsreduzierung
Ein nachweislich funktionierendes CMS kann im Falle eines Compliance-Verstosses strafmildernd wirken. Es zeigt, dass du als Geschäftsführerin oder Geschäftsführer deiner Sorgfaltspflicht nachgekommen bist.
4. Skalierbarkeit
Wenn du von Anfang an Compliance-Strukturen aufbaust, kannst du sie mit dem Wachstum deines Startups mitwachsen lassen. Nachträgliche Implementierung ist deutlich aufwändiger und teurer.
5. Wettbewerbsvorteil
Immer mehr Kunden und Partner achten auf Compliance. Ein gut aufgestelltes Startup hat einen Wettbewerbsvorteil gegenüber Unternehmen, die das Thema vernachlässigen.
Die sieben Elemente eines CMS
Ein Compliance-Management-System basiert auf sieben zentralen Elementen. Diese orientieren sich am IDW-Prüfungsstandard PS 980, der auch in Österreich als Referenz dient:
1. Compliance-Kultur (Tone from the Top)
Die Compliance-Kultur ist das Fundament deines CMS. Sie beschreibt die Haltung der Geschäftsführung und des gesamten Teams zum Thema Compliance.
Was das in der Praxis bedeutet:
- Die Geschäftsführung lebt Compliance vor
- Compliance wird nicht als Hindernis, sondern als Wert kommuniziert
- Verstösse werden konsequent adressiert, unabhängig von der Position der betroffenen Person
- Es gibt eine offene Fehlerkultur, in der Mitarbeiterinnen und Mitarbeiter Bedenken äussern können
Für Startups: In einem kleinen Team prägst du als Gründerin oder Gründer die Kultur massgeblich. Wenn du Compliance ernst nimmst und das auch zeigst, wird dein Team folgen.
2. Compliance-Ziele
Definiere klare Compliance-Ziele für dein Startup. Diese leiten sich aus deiner Geschäftstätigkeit und den damit verbundenen Risiken ab.
Beispiele:
- "Wir halten alle datenschutzrechtlichen Anforderungen der DSGVO ein"
- "Wir betreiben kein Gewerbe ohne die erforderliche Berechtigung"
- "Wir prüfen alle Geschäftspartner gegen Sanktionslisten"
- "Wir tolerieren keine Form von Korruption oder Bestechung"
3. Compliance-Risiken
Die Risikoanalyse ist das Herzstuck deines CMS. Du musst die für dein Startup relevanten Compliance-Risiken identifizieren, bewerten und priorisieren.
Schritt-für-Schritt-Anleitung:
Risiken identifizieren
Gehe alle Geschäftsbereiche durch und frage dich:
- Welche Gesetze und Vorschriften sind für diesen Bereich relevant?
- Was kann schiefgehen?
- Welche Konsequenzen drohen bei einem Verstoss?
Risiken bewerten
Bewerte jedes identifizierte Risiko nach:
- Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist ein Verstoss?
- Schwere der Konsequenzen: Was passiert, wenn es zum Verstoss kommt?
Risiken priorisieren
Erstelle eine Risikomatrix und fokussiere dich auf die Risiken mit hoher Eintrittswahrscheinlichkeit und schweren Konsequenzen.
Typische Compliance-Risiken für Startups in Österreich:
| Risikobereich | Typisches Risiko | Konsequenz |
|---|---|---|
| Datenschutz | Unerlaubte Datenverarbeitung | Bussgelder bis 20 Mio. EUR oder 4% Jahresumsatz |
| Gewerberecht | Fehlende Gewerbeberechtigung | Verwaltungsstrafe bis 3.600 EUR |
| Arbeitsrecht | Falsche Einstufung von Mitarbeitern | Nachzahlungen, Strafen |
| Steuerrecht | Fehlerhafte Umsatzsteuererklärung | Nachzahlungen, Zinsen, Strafen |
| Verbraucherschutz | Fehlende Widerrufsbelehrung | Abmahnungen, Verbandsklage |
| Exportkontrolle | Export ohne Genehmigung | Freiheitsstrafe bis 5 Jahre |
4. Compliance-Programm
Das Compliance-Programm umfasst alle Massnahmen, die du ergreifst, um die identifizierten Risiken zu adressieren:
Richtlinien und Verfahren
Erstelle schriftliche Richtlinien für die wichtigsten Compliance-Bereiche:
- Verhaltenskodex (Code of Conduct): Grundlegende Verhaltensregeln für alle Teammitglieder
- Datenschutzrichtlinie: Umgang mit personenbezogenen Daten
- Anti-Korruptions-Richtlinie: Umgang mit Geschenken, Einladungen und Zuwendungen
- IT-Sicherheitsrichtlinie: Umgang mit IT-Systemen und Daten
- Social-Media-Richtlinie: Regeln für die Kommunikation in sozialen Medien
Für Startups: Du brauchst nicht sofort ein 100-seitiges Compliance-Handbuch. Starte mit den wichtigsten Bereichen und erweitere die Dokumentation, wenn dein Startup wächst. Ein schlanker Verhaltenskodex auf 2-3 Seiten ist ein guter Anfang.
Prozesse
Definiere klare Prozesse für:
- Onboarding neuer Mitarbeiterinnen und Mitarbeiter (inklusive Compliance-Schulung)
- Genehmigung von Verträgen und Geschäftsbeziehungen
- Meldung von Compliance-Bedenken
- Umgang mit Compliance-Verstössen
Kontrollen
Implementiere Kontrollen, um sicherzustellen, dass Richtlinien und Prozesse eingehalten werden:
- Vier-Augen-Prinzip bei wichtigen Entscheidungen
- Regelmässige Stichproben
- Automatisierte Prüfungen (z.B. Sanktionslisten-Screening)
5. Compliance-Organisation
Auch in einem kleinen Startup braucht Compliance eine klare Zuordnung:
Verantwortlichkeiten
- Geschäftsführung: Trägt die Gesamtverantwortung für Compliance
- Compliance-Verantwortlicher: Kann in der Anfangsphase die Geschäftsführung selbst sein; später eine dedizierte Person oder externe Beratung
- Alle Mitarbeiterinnen und Mitarbeiter: Sind verpflichtet, sich an die Compliance-Richtlinien zu halten und Verstösse zu melden
Wann brauche ich einen Compliance Officer?
Für die meisten Startups reicht es anfangs, wenn die Geschäftsführung die Compliance-Verantwortung übernimmt. Ab einer bestimmten Grösse (ca. 30-50 Mitarbeiter) oder bei besonders regulierungintensiven Geschäftsmodellen solltest du eine dedizierte Compliance-Funktion einrichten.
Alternativen für kleine Startups:
- Externer Compliance-Berater (ab ca. 500 EUR/Monat)
- Teilzeit-Compliance-Officer (interner Mitarbeiter, der Compliance neben seiner Haupttätigkeit betreut)
- Compliance-as-a-Service-Anbieter
6. Compliance-Kommunikation
Compliance funktioniert nur, wenn alle im Team davon wissen und es verstehen:
Schulungen
- Einführungsschulung: Für alle neuen Teammitglieder
- Regelmässige Auffrischungen: Jährlich oder bei wichtigen Änderungen
- Anlassbezogene Schulungen: Wenn neue Regelungen in Kraft treten
Tipp: Mach Schulungen kurz und praxisnah. 30-minütige Sessions mit konkreten Beispielen sind effektiver als ganztägige Frontalvorträge.
Kommunikationskanäle
- Intranet oder interne Wissensdatenbank mit Compliance-Informationen
- Regelmässige Updates zu regulatorischen Änderungen (z.B. monatlicher Newsletter)
- Offene Tür für Compliance-Fragen
Meldekanal
Stelle sicher, dass Mitarbeiterinnen und Mitarbeiter Compliance-Bedenken melden können, ohne Repressalien befürchten zu müssen. Mehr dazu im nächsten Beitrag zum Thema Whistleblowing.
7. Compliance-Überwachung und Verbesserung
Ein CMS ist kein einmaliges Projekt, sondern ein fortlaufender Prozess:
Monitoring
- Überwache die Einhaltung der Compliance-Richtlinien
- Verfolge regulatorische Änderungen
- Analysiere Compliance-Vorfälle
Audits
- Führe regelmässige interne Audits durch (mindestens jährlich)
- Erwäge externe Audits bei kritischen Bereichen
Berichterstattung
- Erstelle regelmässige Compliance-Berichte für die Geschäftsführung
- Bei börsennotierten Unternehmen: Berichterstattung an den Aufsichtsrat
Kontinuierliche Verbesserung
- Lerne aus Compliance-Vorfällen
- Passe Richtlinien und Prozesse an neue Risiken und Anforderungen an
- Benchmarke dein CMS mit Branchenstandards
CMS-Aufbau in der Praxis -- ein Fahrplan für Startups
Phase 1: Quick Wins (Monat 1-2)
- Risikoanalyse durchführen (einfache Matrix genügt)
- Verhaltenskodex erstellen (2-3 Seiten)
- Compliance-Verantwortung zuordnen
- Grundlegende DSGVO-Compliance sicherstellen
- Impressum und AGB prüfen
Geschätzte Kosten: 1.000-3.000 EUR (inklusive rechtlicher Beratung)
Phase 2: Strukturen schaffen (Monat 3-6)
- Wichtigste Richtlinien erstellen (Datenschutz, Anti-Korruption, IT-Sicherheit)
- Onboarding-Prozess mit Compliance-Schulung aufsetzen
- Meldekanal einrichten
- Vertragsprüfungsprozess etablieren
- Sanktionslisten-Screening implementieren
Geschätzte Kosten: 3.000-8.000 EUR
Phase 3: Professionalisierung (Monat 7-12)
- Erstes internes Audit durchführen
- Schulungsprogramm formalisieren
- Compliance-Berichterstattung einführen
- Regulatorisches Monitoring aufsetzen
- Prozesse dokumentieren
Geschätzte Kosten: 5.000-15.000 EUR
Phase 4: Reife (ab Jahr 2)
- Dedizierte Compliance-Funktion einrichten (wenn nötig)
- Externes Audit erwägen
- CMS an Wachstum anpassen
- Branchenspezifische Zertifizierungen anstreben
- Compliance in die Unternehmensstrategie integrieren
Tools und Software
Es gibt zahlreiche Tools, die dir beim Aufbau deines CMS helfen:
Compliance-Management-Software
- Spezialisierte Lösungen: z.B. SAP GRC, NAVEX Global, Compliance.ai
- Für Startups geeignet: Leichtgewichtige Tools wie EthicsPoint, ComplianceQuest oder sogar angepasste Projekt-Management-Tools (Notion, Asana)
Schulungsplattformen
- Online-Schulungsplattformen mit vorgefertigten Compliance-Kursen
- LMS-Systeme (Learning Management Systems) für eigene Inhalte
Screening-Tools
- Sanctions-Screening-Software für Geschäftspartner-Prüfungen
- KYC-Tools (Know Your Customer)
Dokumentenmanagement
- Versionierte Ablage für Richtlinien und Verfahrensdokumente
- Nachverfolgung von Änderungen und Genehmigungen
Tipp für Startups: Du brauchst nicht sofort teure Spezial-Software. Ein gut strukturiertes Google Drive oder Notion-Workspace mit klaren Ordnerstrukturen und Zugriffsrechten reicht für den Anfang völlig aus.
Österreichische Besonderheiten
ONR 192050
In Österreich gibt es mit der ONR 192050 eine Norm für Compliance-Management-Systeme, die speziell auf österreichische Verhältnisse zugeschnitten ist. Sie kann als Leitfaden für den Aufbau deines CMS dienen.
Verbandsverantwortlichkeitsgesetz (VbVG)
Das VbVG regelt die strafrechtliche Verantwortlichkeit von Unternehmen in Österreich. Ein funktionierendes CMS kann als Entlastungsbeweis dienen und Strafen mildern.
WKO-Angebote
Die WKO bietet verschiedene Unterstützungsangebote für Compliance:
- Muster-Verhaltenskodizes für verschiedene Branchen
- Webinare und Workshops
- Branchenspezifische Leitfäden
Förderungen
Beratungsleistungen für den Aufbau eines CMS können in Österreich gefördert werden. Das AWS bietet Beratungsförderungen an, und auch die Wirtschaftsagentur Burgenland hat entsprechende Programme.
Häufige Fehler vermeiden
Fehler 1: Zu komplex starten
Starte einfach und erweitere das CMS schrittweise. Ein Startup mit fünf Mitarbeitern braucht kein CMS auf Konzern-Niveau.
Fehler 2: Papier statt Praxis
Ein CMS, das nur auf dem Papier existiert, ist wertlos. Sorge dafür, dass die Richtlinien auch gelebt werden.
Fehler 3: Keine Aktualisierung
Gesetze ändern sich, dein Geschäftsmodell entwickelt sich weiter. Dein CMS muss mitwachsen.
Fehler 4: Compliance als Strafaktion
Compliance sollte positiv besetzt sein -- als Schutz für das Unternehmen und seine Mitarbeiter, nicht als Kontrollinstrument.
Fehler 5: Fehlende Unterstützung der Geschäftsführung
Wenn die Geschäftsführung Compliance nicht ernst nimmt, wird es auch der Rest des Teams nicht tun.
Fazit
Ein Compliance-Management-System muss nicht kompliziert oder teuer sein, um wirksam zu sein. Für Startups reicht ein pragmatischer, risikoorientierter Ansatz völlig aus. Beginne mit den grössten Risiken, schaffe klare Verantwortlichkeiten und baue das System schrittweise aus.
Die Investition lohnt sich: Ein gutes CMS schützt dein Startup vor rechtlichen Risiken, schafft Vertrauen bei Investoren und Kunden und legt die Grundlage für nachhaltiges Wachstum.
Du willst ein Compliance-Management-System für dein Startup aufbauen, weisst aber nicht, wo du anfangen sollst? Bei Startup Burgenland helfen wir dir mit praktischen Leitfäden und vernetzen dich mit Compliance-Experten. Starte jetzt und sichere dein Startup ab!
Dieser Beitrag ist Teil der Serie "Regulierung und Compliance" auf dem Startup Burgenland Blog. Die Serie behandelt alle wesentlichen regulatorischen Themen, die für österreichische Startups relevant sind -- praxisnah, verständlich und mit konkreten Handlungsempfehlungen.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.