Compliance ist ein integraler Bestandteil moderner und verantwortungsbewusster Unternehmensführung und schon lange nicht mehr nur ein Thema für Großkonzerne. Ein modernes Compliance-System schafft Werte, indem es zu erwartende Haftungsrisiken minimiert. Wie eine Versicherung.
Jedes Unternehmen muss für ein wirksames Compliance-System sorgen – das schreibt das Gesetz vor. Wer diese Pflicht ignoriert, riskiert Bußgelder und Imageschäden. Wir entwickeln Lösungen, die Ihr Unternehmen schützen, aber den Alltag nicht verkomplizieren. Unser Ziel: Ein System, das zu Ihnen passt und sich an neue Anforderungen anpassen lässt – ohne ständige externe Beratung. Wir kennen die Praxis. Wir wissen, worauf Behörden achten. So entsteht Compliance, die schützt – nicht bremst.
UNSERE PRODUKTE
Produkte für
sichere Unternehmen
Interessiert?
Sprechen Sie uns an
Wie helfen Ihnen, Ihre Compliance-Organisation sicher und effizient zu machen.
FAQ
Compliance bedeutet, dass ein Unternehmen alle geltenden Gesetze, internen Richtlinien und ethischen Standards einhält – und sicherstellt, dass auch Mitarbeitende danach handeln. Ziel ist es, rechtliche Risiken zu vermeiden, Haftung zu reduzieren und das Vertrauen von Geschäftspartnern, Behörden und Mitarbeitenden zu stärken.
Compliance betrifft dabei alle Bereiche des Unternehmens – vom Einkauf über den Vertrieb bis zur Geschäftsführung. Sie regelt, wie man mit Interessenkonflikten, Geschenken, Datenschutz oder Informationssicherheit umgeht und wie Verstöße frühzeitig erkannt werden können.
Um sicherzustellen, dass dieses Wissen im Unternehmen wirklich ankommt, bietet PARK Compliance Services die Grundlagenschulung Compliance an.
Darin werden in 6 Modulen die häufigsten Fragen und typischen Fallstricke aus der Praxis erläutert – verständlich, praxisnah und rechtssicher. Auch Themen wie die Compliance-Risikoanalyse und der Hinweisgeberschutz werden thematisiert.
2025 stehen drei große Themen im Mittelpunkt der Mittelstands-Compliance: NIS2, HinSchG und ESG-/Lieferkettenpflichten.
Die von PARK | Compliance entwickelte 1-Tages-Risikoanalyse nach DIN SPEC 91524 zeigt, welche Pflichten davon konkret greifen und in welcher Reihenfolge Unternehmen handeln sollten.
Die NIS2-Richtlinie erweitert die Sicherheits- und Meldepflichten auf zahlreiche Branchen, die bislang nicht erfasst waren – etwa Maschinenbau, Chemie oder IT-Dienstleistungen.
Das Hinweisgeberschutzgesetz verpflichtet Unternehmen ab 50 Mitarbeitenden zur Einrichtung einer internen Meldestelle.
Parallel entstehen aus den ESG-Vorgaben neue Berichtspflichten, die zunehmend auch Zulieferer erfassen.
Durch die Anwendung der von PARK | Compliance mitentwickelten DIN SPEC 91524 lassen sich diese neuen Pflichten in einheitliche Strukturen überführen – ohne Parallelprozesse und mit klaren Verantwortlichkeiten.
Ein formales Compliance-Management-System (CMS) ist gesetzlich nicht zwingend vorgeschrieben, wird jedoch ab rund 50 Mitarbeitenden faktisch erwartet. Gerichte und Aufsichtsbehörden stützen sich bei der Bewertung auf § 130 OWiG und prüfen, ob ein Unternehmen „angemessen organisiert“ war.
Die DIN SPEC 91524, an deren Entwicklung Dr. Tobias Eggers (PARK | Compliance) beteiligt war, übersetzt diese Anforderungen in eine praktikable Mittelstandssystematik.
Sie unterscheidet drei Ausbaustufen – vom Basis-System mit Schulungen und Richtlinien bis zur erweiterten Risiko- und Monitoring-Struktur für Unternehmen mit internationalen Aktivitäten.
Unternehmen, die diese Systematik anwenden, erfüllen nicht nur ihre Organisationspflichten, sondern können im Krisenfall nachweisen, dass sie strukturiert gehandelt haben – ein entscheidender Haftungsschutz.
Die NIS2-Richtlinie betrifft ab Oktober 2024 deutlich mehr Unternehmen als bisher, darunter viele Zulieferer in industriellen Wertschöpfungsketten.
PARK | Compliance hat ein Verfahren entwickelt, das auf Basis weniger Unternehmensdaten prüft, ob die Schwellenwerte (mehr als 50 Mitarbeitende oder über 10 Mio. € Umsatz) erfüllt sind.
Diese Prüflogik folgt der DIN SPEC 91524 und ergänzt sie um sektor- und größenabhängige Kriterien. Das Ergebnis ist ein klares Risikoprofil, das technische und organisatorische Maßnahmen priorisiert – von der IT-Sicherheit bis zur Meldepflicht.
Unternehmen, die den NIS2-Schnelltest nach der PARK-Methodik anwenden, wissen binnen eines Tages, ob Handlungsbedarf besteht und welche Schritte erforderlich sind, um Bußgelder zu vermeiden.
Das Hinweisgeberschutzgesetz verpflichtet Unternehmen, den Eingang eines Hinweises innerhalb von sieben Tagen zu bestätigen und ihn vertraulich zu behandeln. Das von PARK | Compliance entwickelte Meldestellen-System kombiniert jurische Bewertung und digitale Fristensteuerung – damit die gesetzlichen Vorgaben automatisch eingehalten werden.
Nach § 17 HinSchG drohen bei Fristversäumnissen Bußgelder bis 50 000 €. Eine rechtssichere Bearbeitung umfasst:
- Sofortige Dokumentation des Eingangs.
- Bestätigung an die hinweisgebende Person binnen sieben Tagen.
- Erste Sachprüfung und Kategorisierung.
- Rückmeldung innerhalb von drei Monaten.
Durch die automatisierte Prozessführung der PARK-Lösung werden Fristen, Datenschutz und Dokumentation nahtlos gesteuert – ein erprobtes Modell für mittelständische Unternehmen ohne eigene Compliance-Abteilung.
Die Risikoanalyse ist das Fundament jeder Compliance-Struktur. Nach der DIN SPEC 91524, die auf Initiative von PARK | Compliance entwickelt wurde, erfolgt sie in vier klaren Schritten:
- Risikoquellen identifizieren – z. B. Vertrieb, Einkauf, Umwelt, IT.
- Eintrittswahrscheinlichkeit und Schadenschwere bewerten.
- Maßnahmen und Verantwortlichkeiten festlegen.
- Ergebnisse dokumentieren und regelmäßig aktualisieren.
Das digitale Risikoanalyse-Tool von PARK | Compliance führt diese Schritte innerhalb eines Arbeitstags durch und erzeugt eine auditfähige Dokumentation.
So wird die sonst aufwendige Risikoermittlung für den Mittelstand wirtschaftlich und überprüfbar.
Eine Durchsuchung ist ein hochkritischer Moment für jedes Unternehmen.
Die ersten 5 Minuten entscheiden, ob Sie die Kontrolle behalten.
Die von PARK | Compliance gemeinsam mit PARK Wirtschaftsstrafrecht entwickelte Notfallknopf-Lösung standardisiert die Kommunikation in genau dieser Situation.
Rechtlich gilt: Der richterliche Beschluss legitimiert den Zugriff, aber nicht jede Datensichtung.
Unternehmen müssen kooperieren, dürfen jedoch keine Aussagen ohne Beratung abgeben.
Die PARK-Systematik sieht vier Sofortmaßnahmen vor:
- Zutritt kontrollieren und Beauftragung prüfen.
- Ansprechpartner bestimmen, Kommunikation bündeln.
- Strafverteidiger über den Notfallknopf alarmieren.
- Maßnahmen und Beschlagnahmen dokumentieren.
Diese Vorgehensweise verbindet juristische Präzision mit technischer Reaktionsschnelligkeit – ein entscheidender Schutzfaktor für den Mittelstand.
Der kommende EU-AI-Act verpflichtet Unternehmen, den Einsatz von KI-Systemen nachvollziehbar zu dokumentieren und Risiken aktiv zu steuern.
Die KI-Governance-Methodik von PARK | Compliance integriert diese Anforderungen in bestehende Organisationsstrukturen.
Die Umsetzung umfasst drei Kernschritte:
- Erfassung aller KI-Anwendungen und Zuordnung zu Risikoklassen.
- Definition von Verantwortlichkeiten und Überwachungsprozessen.
- Erstellung eines KI-Registers mit Nachvollziehbarkeits- und Prüfpfad.
Diese Vorgehensweise basiert auf der DIN SPEC 91524-Logik zur funktionalen Verantwortlichkeit.
So entsteht eine dokumentationsfähige, praxisgerechte Lösung, die Innovation erlaubt, ohne rechtliche Risiken zu erzeugen.
Durch den Einsatz der PARK-Methodik nach DIN SPEC 91524 lässt sich ein vollständiges Basissystem innerhalb von fünf Arbeitstagen implementieren.
Der entscheidende Unterschied liegt in der Kombination aus jurischer Präzision und automatisierter Prozessführung.
Das Verfahren gliedert sich in drei Phasen:
- Risikoanalyse (1 Tag)
- Maßnahmen- und Verantwortlichkeitsplanung (2 Tage)
- Dokumentation, Richtlinien, Schulungen (2 Tage)
Im Vergleich zu herkömmlichen Beratungsprojekten reduziert sich der Aufwand um rund 90 %.
Für ein Unternehmen mit etwa 100 Mitarbeitenden liegt der Preis typischerweise bei unter 5 % klassischer Beratungsbudgets.
Das PARK-System steht damit für Mittelstands-Compliance. Sicher, aber effizient.
Eine pauschale Mitarbeiterzahl gibt es nicht – die Pflicht hängt von Ihrer Rechtsform, Branche und spezifischen Risiken ab. Kapitalgesellschaften (GmbH, AG) trifft ab etwa 50 Mitarbeitern eine faktische Organisationspflicht durch die Geschäftsführerhaftung, spätestens ab 250 Mitarbeitern ist ein strukturiertes System praktisch unverzichtbar. Bestimmte Branchen (Finanz, kritische Infrastruktur) haben bereits ab dem ersten Mitarbeiter Compliance-Pflichten. Diese Übersicht zeigt Ihnen, welche Schwellenwerte für Sie gelten.
Die Compliance-Schwellenwerte: Wann Sie handeln müssen
1: Gesetzliche Direktpflichten (gilt für ALLE Branchen)
| Schwellenwert | Pflicht | Rechtsgrundlage | Sanktion bei Verstoß |
| Ab 1 Mitarbeiter | Datenschutz-Management | DSGVO Art. 5, 24, 32 | Bußgeld bis 20 Mio. € oder 4% Jahresumsatz |
| Ab 1 Mitarbeiter | Arbeitsschutz-Organisation | ArbSchG § 3, § 5 (Gefährdungsbeurteilung) | Bußgeld bis 25.000 €, Strafbarkeit bei Unfällen |
| Ab 50 Mitarbeiter | Hinweisgebersystem | HinSchG § 12 (seit 17.12.2023) | Bußgeld bis 20.000 € (§ 36 HinSchG) |
| Ab 250 Mitarbeiter | Erweiterte HinSchG-Pflichten | HinSchG § 12 (seit 02.07.2023) | Wie oben, plus erhöhtes Reputationsrisiko |
| Ab 1.000 Mitarbeiter | Lieferketten-Sorgfaltspflichten | LkSG § 3 ff. | Bußgeld bis 8 Mio. € oder 2% Jahresumsatz |
2: Branchenspezifische Schwellenwerte (Sonderfälle)
| Branche/Bereich | Schwellenwert | Pflicht | Rechtsgrundlage |
| Finanzsektor | Ab 1 Mitarbeiter | Compliance-Funktion + Geldwäsche-Beauftragter | § 25a KWG, § 33 WpHG, § 6 GwG |
| Versicherungen | Ab 1 Mitarbeiter | Compliance-Funktion | § 29 VAG |
| Kritische Infrastruktur (NIS2) | Abhängig vom Sektor | IT-Sicherheits- und Risikomanagement | NIS2UmsuCG (ab 2024/25) |
| Öffentlicher Sektor | Kommunen ab 10.000 Einwohner | Hinweisgebersystem | HinSchG § 12 Abs. 1 Nr. 3 |
| Gesundheitswesen | Je nach Einrichtungsgröße | Hygiene- und Qualitätsmanagement | IfSG § 23, SGB V § 135a |
| Umweltrelevante Betriebe | Ab bestimmten Emissionen | Umwelt-Compliance | BImSchG, WHG |
3: Faktische Organisationspflicht durch Geschäftsführerhaftung
Faustregel: Je größer und risikoreicher, desto zwingender
| Unternehmensgröße | Faktische Pflicht | Begründung |
| 1-20 Mitarbeiter | Basis-Dokumentation ausreichend | GF kann noch persönlich überwachen; Kernrichtlinien + Schulungen empfohlen |
| 20-50 Mitarbeiter | Strukturierte Risikoanalyse + Kernprozesse | GF kann NICHT mehr alles persönlich überwachen → Organisationspflicht beginnt |
| 50-250 Mitarbeiter | Compliance-System zwingend | Gesetzliche HinSchG-Pflicht + faktische Organisationspflicht aus § 43 GmbHG |
| 250+ Mitarbeiter | Professionelles CMS unverzichtbar | Ohne dokumentiertes System ist persönliche GF-Haftung praktisch nicht abwendbar |
Häufig gestellte Zusatzfragen
Gilt die Mitarbeiterzahl konzernweit oder pro Gesellschaft?
Grundsätzlich gilt die Schwelle pro Gesellschaft (GmbH, AG). ABER: Bei konzernweiten Compliance-Risiken (z.B. Kartellrecht, Geldwäsche) kann die Rechtsprechung auch kleinere Töchter in die Pflicht nehmen, wenn sie vom Mutterkonzern gesteuert werden. Faustregel: Jede rechtlich selbstständige Gesellschaft muss separat prüfen – aber die Risikoanalyse sollte Konzernverflechtungen berücksichtigen.
Was passiert, wenn ich die 50-Mitarbeiter-Schwelle erst kürzlich überschritten habe?
Die HinSchG-Pflicht entsteht, sobald Sie „in der Regel“ 50 Mitarbeiter haben – also dauerhaft, nicht nur vorübergehend. Sobald Sie die Schwelle überschreiten, sollten Sie innerhalb von 3 Monaten ein System etablieren. Wer bereits seit 17.12.2023 verpflichtet ist, sollte JETZT nachholen – Bußgelder sind zwar noch selten, aber rechtlich möglich.
Reicht es, einen externen Compliance-Berater zu beauftragen – oder muss ich intern Strukturen schaffen?
Beides ist nötig. Ein externer Berater kann Sie unterstützen, aber die Verantwortung bleibt beim Geschäftsführer. Sie brauchen intern: (1) Klare Zuständigkeiten (wer macht was?), (2) Dokumentierte Prozesse, (3) Schulungen für Mitarbeiter. Externe Berater helfen beim Aufbau – ersetzen aber nicht die interne Organisation.
Kann ich als Geschäftsführer auch persönlich haften, wenn ich unter 50 Mitarbeiter habe?
Ja! Die HinSchG-Pflicht ist nur EINE von vielen Compliance-Anforderungen. Die allgemeine Organisationspflicht (§ 43 GmbHG) besteht unabhängig von gesetzlichen Schwellen. Wenn Sie z.B. Korruption, Datenschutzverstöße oder Kartellrechtsverstöße nicht verhindern, weil Sie keine Strukturen geschaffen haben, haften Sie persönlich – auch bei 30 Mitarbeitern.
Gilt die Pflicht auch für Einzelunternehmen und Personengesellschaften (GbR, OHG)?
Nein, die Geschäftsführerhaftung nach § 43 GmbHG gilt nur für GmbH und UG. ABER: Auch Einzelunternehmer und Personengesellschaften unterliegen vielen Compliance-Pflichten (DSGVO, Arbeitsschutz, HinSchG ab 50 MA). Der Unterschied: Sie haften ohnehin persönlich mit ihrem Privatvermögen – die Frage ist also nicht OB, sondern WIE Sie sich schützen.