Compliance-Blog #6: Externer Compliance Officer – eine unterschätze, strategische Ressource

Vor allem wachstumsstarke und mittelständische Unternehmen, die bislang keine eigenständige Compliance-Funktion aufgebaut haben, aber regulatorisch zunehmend exponiert sind, stehen zunehmend vor der Frage, ob und in welcher Form eine Compliance-Funktion aufzubauen ist. Ein externer Compliance Officer kann in einer solchen Situation ein sowohl aus wirtschaftlicher Sicht sinnvolles wie auch aus Governance-Sicht hochwirksames Instrument sein – vorausgesetzt, die Rolle des externen Compliance-Officers ist klar definiert, strukturell verankert und haftungsbewusst ausgestaltet.

1. Rechtlicher Rahmen: Keine Pflicht zur Bestellung – aber Pflicht zur wirksamen Organisation

Eine ausdrückliche gesetzliche Pflicht zur Benennung eines internen oder externen Compliance Officers besteht im deutschen Recht grundsätzlich nicht. Unabhängig davon treffen Geschäftsleitung und Vorstand weitreichende Legalitäts- und Organisationspflichten. Diese Pflichten wurzeln in den gesellschaftsrechtlichen Anforderungen an eine ordnungsgemäße Unternehmensleitung, in den Überwachungs- und Organisationspflichten der Organe sowie in haftungs- und strafrechtlichen Maßstäben, die an das Vorliegen oder Fehlen wirksamer Organisationsstrukturen anknüpfen.

Haftungsrechtliche Anknüpfungspunkte sind dabei insbesondere § 130 OWiG (Aufsichtspflichtverletzung), der bei unzureichender organisatorischer Absicherung eine Bebußung der Organe selbst ermöglicht, sowie § 30 OWiG (Verbandsgeldbuße) auf Unternehmensebene. Zu den maßgeblichen Referenzpunkten in der Rechtsprechung zählen der BGH-Beschluss vom 17.07.2009 (5StR 394/08 („Berliner Stadtwerke-Entscheidung“) zur Garantenstellung des Compliance-Beauftragten sowie der Neubürger-Beschluss des LG München I (5HK O 1387/10) aus dem Jahr 2013 zur Organhaftung für unzureichende Compliance-Organisation.

Standards und Anforderungen an die Umsetzung

Professionelle Compliance-Management-Systeme orientieren sich dabei an den anerkannten Prüf- und Implementierungsstandards IDW PS 980 und ISO 37301. Für mittelständische Unternehmen bietet die DIN SPEC 91524:2025-05 („Leitfaden für Compliance-Management-Systeme in kleinen und mittleren Unternehmen“) einen guten Orientierungsrahmen.

Entscheidend ist bei der Implementierung eines Compliance-Managements dabei nicht, ob ein bestimmter Funktionsinhaber bestellt wurde, sondern ob die Compliance-Organisation insgesamt geeignet ist, die wesentlichen Rechts- und Reputationsrisiken des Unternehmens zu steuern.

Die Rechtsprechung verlangt hierfür kein bestimmtes Compliance-Modell. Sie fordert jedoch eine angemessene, am Risikoprofil des Unternehmens ausgerichtete Compliance-Organisation.

Maßgeblich sind dabei insbesondere:

• Größe und Komplexität des Unternehmens
• Branche und regulatorisches Umfeld
• Internationalität, Konzernverflechtungen
• die konkrete Risikolage etwa in den Bereichen Korruptionsprävention, Kartellrecht, Datenschutz, Exportkontrolle, IT- und KI-Compliance sowie
• die ESG-Exponierung entlang der Wertschöpfungskette.

Vor diesem Hintergrund kann die Einbindung eines externen Compliance Officers ein sachgerechtes und effizientes Mittel zur Erfüllung organisatorischer Pflichten sein, insbesondere wenn internes Fachwissen, personelle Ressourcen fehlen. Die Organisationsverantwortung der Unternehmensleitung bleibt hiervon jedoch unberührt.

2. Einsatzfelder: Wann externe Expertise sinnvoll sein kann

Die Entscheidung für einen externen Compliance Officer muss sich daher am konkreten Risiko- und Organisationsprofil ausrichten.

In der Praxis lassen sich drei typische Konstellationen unterscheiden, die jeweils unterschiedliche Anforderungen an den konkreten Zuschnitt der Rolle und deren strukturelle Einbindung unterscheiden:

Konstellation 1 – Struktureller Bedarf: Keine interne Compliance-Funktion vorhanden

Mittelständische Unternehmen, die bislang keine eigenständige Compliance-Funktion aufgebaut haben, aber regulatorisch zunehmend exponiert sind – etwa durch das Hinweisgeberschutzgesetz (HinSchG), Lieferkettenanforderungen nach dem LkSG oder den EU AI Act – stehen vor der Frage, ob und in welcher Form eine Compliance-Funktion aufzubauen ist. In diesen Konstellationen ist der externe Compliance Officer keine Übergangslösung, sondern kann bei entsprechendem Zuschnitt der Funktion ein dauerhaftes und wirtschaftlich effizientes Compliance-Organisationsmodell darstellen.

Konstellation 2 – Situativer Bedarf: Interne Funktion vorhanden, aber nicht ausreichend

Eine interne Compliance-Funktion existiert, stößt aber in bestimmten Bereichen an ihre Grenzen – fachlich (z.B. KI-Compliance, Exportkontrolle, Kartellrecht), personell (Vakanz, Krankheit, Überlastung) oder strukturell (interner Rollenverflechtungen die zu einer fehlenden Unabhängigkeit führen). Hier kann externe Expertise ergänzend und zeitlich begrenzt eingebunden werden – allerdings mit besonders sorgfältiger Rollenabgrenzung.

Konstellation 3 – Bedarf in der Krise: Akuter Governance- oder Untersuchungsbedarf

Behördliche Ermittlungen, die interne Untersuchung von Verdachtsfällen im Rahmen von Internal Investigations oder wesentliche regulatorische Veränderungen können die vorhandene Compliance-Organisation kurzfristig so sehr beanspruchen, das relevante Themen parallel intern nicht mehr darstellbar sind. In diesen Situationen ist der externe Compliance Officer häufig die einzige Option, den Beratungsbedarf an die Compliance-Funktion abzubilden und die Reaktionsschnelligkeit und Fachtiefe gleichzeitig sicherzustellen. Der Bedarf ist zeitlich begrenzt, stellt aber besonders hohe Anforderungen an Qualifikation und strukturelle Einbindung.

Entscheidungskriterien

Die Entscheidung für einen externen Compliance Officer ist insbesondere dann sachgerecht, wenn:

• das erforderliche Fachwissen intern nicht verfügbar ist oder nicht dauerhaft vorgehalten werden kann
• eine funktionale Unabhängigkeit intern nicht glaubwürdig darstellbar ist (z.B. bei enger personeller Verflechtung mit Rechtsabteilung oder Geschäftsführung)
• der regulatorische Handlungsdruck eine kurzfristige Reaktion erfordert
• die Unternehmensgröße den Aufbau einer eigenen Compliance-Abteilung wirtschaftlich nicht rechtfertigt, oder
• eine dokumentierbare Außenperspektive im Hinblick auf Organhaftung oder behördliche Glaubwürdigkeit strategisch geboten ist.

Kritisch zu prüfen ist die externe Bestellung allerdings dann, wenn sie primär der haftungsrechtlichen Absicherung dienen soll ohne substanzielle organisatorische Einbindung, oder wenn keine klare Abgrenzung zu internen Zuständigkeiten definiert ist.

Hybridmodell als Praxislösung

In der Praxis bietet sich häufig auch ein hybrides Modell an:

Eine interne Funktion – etwa als Teilzeitstelle oder in Personalunion mit einer verwandten Governance-Funktion – übernimmt die operative Verankerung im Unternehmen, während ein externer Compliance Officer fachliche Spezialisierung, unabhängige Berichtswege und übergeordnete Governance-Steuerung beisteuert. Dieses Modell setzt jedoch eine besonders sorgfältige Rollenabgrenzung voraus.

2. Abgrenzung zu internen Funktionen: Wo externe Compliance beginnt und endet

Die Bestellung eines externen Compliance Officers ersetzt nicht automatisch bestehende interne Governance- und Kontrollfunktionen. Vielmehr bedarf es einer klaren Abgrenzung zu internen Zuständigkeiten, um Überschneidungen, Verantwortungsdiffusion und Rollenkonflikte zu vermeiden.

Insbesondere die Schnittstellen zu Rechtsabteilung, Internal Audit, Risikomanagement, HR und Fachbereichen sind organisatorisch sauber zu definieren.

Während die Rechtsabteilung typischerweise rechtlich berät, übernimmt der externe Compliance Officer regelmäßig eine fortlaufende Governance-, Steuerungs- und Überwachungsfunktion innerhalb der Compliance-Organisation.

Internal Audit wiederum prüft grundsätzlich ex post die Wirksamkeit interner Kontroll- und Governance-Systeme. Eine Personalunion beider Funktionen birgt erhebliche Rollenkonfliktpotenziale und ist aus Governance-Sicht strikt zu vermeiden.

Ein weiterer typischer Fehler liegt darin, externe Compliance Officer mit einem Bündel heterogener Aufgaben zu betrauen, ohne die jeweilige Funktion trennscharf einzuordnen. Ohne klare Abgrenzung zwischen Beratung, Kontrolle und operativer Umsetzung entstehen Rollenkonflikte, ineffiziente Entscheidungsprozesse und im Krisenfall unklare Verantwortlichkeiten.

4. Haftungsfragen: Warum Auslagerung nicht enthaftet

In der Praxis zeigt sich häufig, dass Unternehmen die Bestellung eines externen Compliance Officers als haftungsrechtliche Absicherung missverstehen. Die Vorstellung, durch externe Besetzung der Funktion verlagere sich die Verantwortung für Compliance weitgehend auf den Beauftragten, hält einer juristischen Analyse nicht stand.

Die Unternehmensleitung bleibt verpflichtet,

• den externen Compliance Officer sorgfältig auszuwählen
• seinen Aufgabenbereich präzise zu definieren
• angemessene Berichtslinien und Eskalationswege zu etablieren sowie
• seine Tätigkeit fortlaufend zu überwachen.

Auswahlverschulden und Auswirkungen auf den Versicherungsschutz

Darüber hinaus haftet die Unternehmensleitung nicht nur für mangelnde Überwachung, sondern auch für eine fehlerhafte Auswahl des externen Compliance Officers (Auswahlverschulden). Wer eine Person mit unzureichender Fachqualifikation oder ohne die für die Branche relevante regulatorische Expertise bestellt, handelt gegenüber dem Unternehmen pflichtwidrig. Zugleich ist zu beachten, dass eine unzureichend strukturierte externe Compliance-Funktion den D&O-Versicherungsschutz der Organmitglieder gefährden kann – ein Gesichtspunkt, der in der Praxis häufig unterschätzt wird.

Haftungsrechtlich maßgeblich ist nicht die formale Anbindung oder Auslagerung der Funktion, sondern die tatsächliche Wirksamkeit der gewählten Organisationsstruktur. Eine nur symbolische oder unzureichend eingebundene externe Compliance-Funktion kann Organisationsverschulden begründen und Organhaftungsrisiken sogar verschärfen.

Auch ein externer Compliance Officer kann nur dann wirksam arbeiten, wenn er unmittelbaren Zugang zur Geschäftsführung oder zum Vorstand hat, seine Berichtslinien belastbar ausgestaltet sind, er frühzeitig in strategisch relevante Projekte eingebunden wird und die notwendigen Informationen tatsächlich erhält.

5. Handlungsempfehlungen: Externe Compliance-Funktion wirksam gestalten

Unternehmen sollten vor der Einbindung eines externen Compliance Officers zunächst ihr konkretes Risiko- und Geschäftsprofil analysieren und definieren, ob und in welchem Umfang externe Compliance-Expertise tatsächlich erforderlich ist.

Zentral ist zudem eine klare organisatorische Verankerung. Die Rolle des externen Compliance Officers sollte schriftlich und eindeutig beschrieben werden. Hierzu gehören insbesondere:

• Aufgaben, Kompetenzen und Befugnisse
• Berichtspflichten und Eskalationswege
• die Einbindung in Entscheidungsprozesse sowie
• die Schnittstellen zu internen Governance- und Kontrollfunktionen.

Besondere Aufmerksamkeit verdient daher auch die Vertragsgestaltung: Ein pauschales Beratungsmandat genügt den Anforderungen an eine belastbare Organisationsstruktur regelmäßig nicht. Die Mandatsvereinbarung sollte detailliert regeln, welche Aufgaben übernommen werden, welche Informationen zur Verfügung gestellt werden, wie Berichtspflichten ausgestaltet sind und wie mit Interessenkonflikten umzugehen ist.

Im laufenden Betrieb ist zudem eine regelmäßige Evaluation der Wirksamkeit unverzichtbar. Die Tätigkeit des externen Compliance Officers sollte dokumentiert, anhand definierter Ziele überprüft und an veränderte Risikolagen oder regulatorische Entwicklungen angepasst werden.

6. Integrierte Beratung: Compliance, Investigations und Governance zusammen betrachten

Die Ausgestaltung externer Compliance-Funktionen erfordert ein Organisationsmodell, das zum Risiko- und Geschäftsprofil des Unternehmens passt, interne Zuständigkeiten sauber abgrenzt und haftungsrechtlichen Anforderungen standhält. Gerade hier zeigt sich der Unterschied zwischen bloßer administrativer Unterstützung und strategischer Compliance-Beratung.

Das Dezernat für Compliance, Internal Investigations und ESG von Pragal Rechtsanwälte setzt genau an dieser Schnittstelle an.

Rechtsanwältin Kristina Konrad ist zertifizierte Compliance Officerin (Univ.) und zertifizierte KI-Compliance Beauftragte (bitkom) und verfügt über langjährige Inhouse-Erfahrung in Rechts-, Compliance- und Corporate-Governance-Abteilungen großer und mittelständischer Unternehmen.

Ihre Spezialisierung umfasst den Aufbau, die Implementierung und Weiterentwicklung von Compliance-Management-Systemen, die Steuerung komplexer Organisationsstrukturen in regulierten Branchen, die Durchführung interner Untersuchungen sowie das Etablieren von Maßnahmen zur Korruptionsprävention.

Ergänzend bringt Dr. Oliver Pragal als Fachanwalt für Strafrecht Erfahrung in der Verteidigung und Beratung von Unternehmen in Compliance-Krisen, Internal Investigations und behördlichen Verfahren ein.

Auf diese Weise werden Governance-Erfahrung, strafrechtliche Präventions– und Krisenperspektive sowie ESG- und KI-Compliance-Expertise zu einem integrierten Beratungsansatz mit Blick für unternehmerische Entscheidungen, Effizienz und Wirtschaftlichkeit verbunden.

7. Fazit: Delegierbare Funktion, nicht delegierbare Organisationsverantwortung

Ein externer Compliance Officer kann ein hochwirksames Instrument professioneller Unternehmensorganisation sein. Er ermöglicht es, spezialisierte Expertise flexibel zu nutzen, unabhängige Kontrollstrukturen aufzubauen und interne Ressourcen gezielt zu entlasten.

Entscheidend ist jedoch, dass externe Expertise gezielt dort eingesetzt wird, wo interne Strukturen fachlich, personell oder organisatorisch an ihre Grenzen stoßen.

Voraussetzung bleibt eine belastbare Einbindung in die Corporate Governance des Unternehmens. Wer Compliance lediglich auslagert, ohne Verantwortlichkeiten, Schnittstellen und Überwachung klar zu regeln, schafft neue Risiken, statt bestehende zu reduzieren.

Ein Grundsatz bleibt dabei leitend: Die Wahrnehmung von Compliance-Aufgaben lässt sich delegieren – die Verantwortung der Organe für eine wirksame Organisation nicht.

Kontakt

FAQ: Häufig gestellte Fragen zum externen Compliance Officer