Wirtschaftlichkeit von CMS

In Deutschland existieren zahlreiche unternehmensbezogene Rechtspflichten, deren Verletzung zu zivilrechtlicher, verwaltungsrechtlicher oder gar strafrechtlicher Haftung führen kann. Die Haftung von Unternehmensorganen (Vorstände, Geschäftsführer) setzt in der Regel einen Verstoß gegen eine Rechtspflicht des Unternehmens voraus – und genau hier setzt die Pflicht der Organmitglieder an, solche Verstöße durch geeignete Organisation zu verhindern. Mit anderen Worten: Die Geschäftsleitung muss durch eine angemessene Aufbau- und Ablauforganisation sicherstellen, dass das Unternehmen seinen gesetzlichen Pflichten nachkommt. Unterlässt sie dies, droht im Schadensfall eine persönliche Haftung der Verantwortlichen. Dieses Prinzip wurde durch die höchstrichterliche Rechtsprechung (insbesondere zur sogenannten Organisationspflicht der Unternehmensleitung) untermauert und bedeutet, dass Compliance nicht freiwillig, sondern rechtlich geboten ist.

Organisationspflichten sind konkret diejenigen Pflichten, die die Organisation eines Unternehmens so ausgestalten sollen, dass Gesetzesverstöße verhindert werden.

• Pflicht zur sorgfältigen Auswahl (Auswahlpflicht) der mit der Aufgabenerfüllung betrauten Personen: Die Unternehmensleitung muss geeignetes Personal auswählen, vor allem bei der Delegation von verantwortungsvollen Aufgaben. Das bedeutet z. B., nur hinreichend fachkundige und zuverlässige Personen in Positionen einzusetzen, in denen sie für die Einhaltung von Rechtsvorschriften verantwortlich sind. Wird die falsche Person ausgewählt, kann dem Unternehmen ein Auswahlverschulden angelastet werden.

• Pflicht zur Anleitung und Instruktion (Instruktionspflicht): Beauftragte und Mitarbeiter müssen über ihre rechtlichen Pflichten und die einzuhaltenden Verfahren unterrichtet und geschult werden. Keine Person kann ihre Compliance-Verantwortung wahrnehmen, wenn sie nicht weiß, was zu tun ist und wie es zu tun ist. Daher umfasst diese Pflicht auch das Etablieren von Schulungen, Arbeitsanweisungen und Richtlinien, um sicherzustellen, dass alle auf dem aktuellen Stand sind.

• Pflicht zur Überwachung (Überwachungspflicht): Die Geschäftsleitung muss dafür Sorge tragen, dass die Einhaltung der delegierten Pflichten kontrolliert wird. Es reicht nicht, Aufgaben zu übertragen; es muss auch überprüft werden, ob diese tatsächlich erfüllt werden. Aus Erfahrung weiß man, dass man sich nicht allein auf das Pflichtbewusstsein aller Mitarbeiter verlassen kann. Effektive Kontrollmechanismen (z. B. regelmäßige Reporting-Pflichten, Audits, Stichprobenprüfungen) sind notwendig, um Verstöße frühzeitig zu erkennen. Gesetzliche Vorgaben betonen diesen Aspekt: So wird etwa im Umweltrecht durch § 6 Abs. 4 Umwelthaftungsgesetz ein Unternehmen privilegiert, das seine Betriebspflichten durch regelmäßige Kontrollen überwacht – es wird dann gesetzlich vermutet, dass die Pflichten eingehalten wurden.

• Pflicht zur Delegation (Delegationspflicht): Angesichts der Vielzahl an Einzelpflichten können Vorstände und Geschäftsführer nicht persönlich jede Pflicht erfüllen. Sie sind aber verpflichtet, Aufgaben so zu verteilen, dass jede Pflicht einen verantwortlichen Aufgabenträger hat. Keine Rechtsvorschrift darf organisatorisch „herrenlos“ bleiben. Wird eine Pflicht nicht wirksam delegiert, besteht das Risiko, dass sie unerfüllt bleibt – und in diesem Fall haftet das Organ unter Umständen persönlich für die Pflichtverletzung. Die Delegationspflicht erfordert also eine klare Zuständigkeitszuweisung innerhalb der Organisation (wer ist für welche Rechtsanforderung verantwortlich?), typischerweise dokumentiert in Stellenbeschreibungen, Pflichtenkatastern oder Organigrammen.

• Pflicht zur Aktualisierung und Anpassung: Ein Unternehmen muss seine Rechtspflichten laufend beobachten und aktualisieren. Die Rechtslage ändert sich stetig – Gesetze und Verordnungen werden novelliert, neue Regelungen treten in Kraft, Gerichte präzisieren in Urteilen die Anforderungen. Ebenso ändern sich betriebliche Gegebenheiten (neue Produkte, Verfahren, Technologien, Standorte), was neue Pflichten auslösen kann. Die Organisationspflicht umfasst daher ein Rechtsmonitoring: ein Verfahren, um Änderungen der Rechtslage zu erfassen und betroffene interne Vorgaben rechtzeitig anzupassen. Unterlässt man dies, kann es passieren, dass das Unternehmen nach veränderten Gesetzen „weiterfährt wie bisher“ und so unbeabsichtigt rechtswidrig handelt. Ein effizientes CMS stellt sicher, dass relevante Rechtsänderungen identifiziert und umgesetzt werden.

• Pflicht zur Dokumentation (Dokumentationspflicht): Schließlich müssen die Erfüllung der Pflichten und die Funktionsfähigkeit der Organisation nachweisbar sein. Im Fall eines Ermittlungsverfahrens oder einer Haftungsprüfung ist es entscheidend, lückenlos belegen zu können, welche Maßnahmen ergriffen wurden. Daher sollten alle Vorgänge – von der Ermittlung der Pflichten über deren Aktualisierung, Delegation, Erfüllung bis zur Kontrolle – dokumentiert und protokolliert werden. Diese Dokumentation dient als Beweissicherung für den Fall der Fälle und schützt die Verantwortlichen vor dem Risiko einer Beweisnot. Mit ordentlich geführten Protokollen kann ein Unternehmen jederzeit darlegen, welcher Mitarbeiter welche Pflicht zu erfüllen hatte und wann bzw. durch wen die Erfüllung kontrolliert wurde. Kommt es also zu einem Vorwurf, kann man sich entlasten, indem man die Einhaltung der Organisationspflichten belegt.

Es bildet die ordnungsgemäße Organisation ein Schutzschild für Unternehmen und Management: Einerseits werden dadurch tatsächliche Rechtsverstöße möglichst vermieden; andererseits wird im Ernstfall die Position des Unternehmens z. B. gegenüber Aufsichtsbehörden oder Gerichten verbessert, weil man nachweisen kann, alles Zumutbare getan zu haben. Viele dieser Organisationspflichten wurden ursprünglich in einzelnen Rechtsbereichen entwickelt – etwa im Arbeitsschutz (für Sicherheitsunterweisungen und Gefährdungsbeurteilungen), im Umweltrecht (für Überwachungs- und Bestellungspflichten von Immissionsschutz- oder Störfallbeauftragten) oder im Produktsicherheitsrecht (für Dokumentation der Produktprüfungen). Heute jedoch werden sie als allgemeine Prinzipien guter Unternehmensführung angesehen.

Dieses breite Spektrum an Betreiberverantwortung bedeutet, dass ein Industrieunternehmen umfassende Maßnahmen treffen muss, um den sicheren und rechtskonformen Betrieb seiner Anlagen und Standorte zu gewährleisten. Betreiberverantwortung bezeichnet die Verantwortlichkeit des Unternehmens (bzw. des Anlagenbetreibers) für die Sicherheit und Rechtskonformität seiner technischen Einrichtungen, Gebäude und Prozesse. Konkret gehören dazu z. B. die regelmäßige Wartung und Prüfung von Anlagen, die Qualifikation und Schulung des technischen Personals, die Einhaltung aller einschlägigen Vorschriften (z. B. Prüffristen für Druckbehälter, Brandschutzauflagen, Arbeitszeitregelungen, Umweltauflagen für Emissionen, Entsorgung von Abfällen usw.). Das Unternehmen muss also alle diese Verantwortlichkeiten kennen und organisatorisch so abbilden, dass Risiken minimiert werden – etwa durch Wartungspläne, Prüfintervalle, Bestellungen von verantwortlichen Personen (Sicherheitsfachkräfte, Immissionsschutzbeauftragte etc.) und entsprechende Weisungen.

Betreiberverantwortung wird von vielen Unternehmen zunächst als Belastung wahrgenommen – sie erfordert Ressourcen und scheint primär Pflichten aufzuerlegen. Allerdings kann ein systematisches Herangehen an diese Verantwortung auch als Chance gesehen werden: Durch proaktive Übernahme von Betreiberpflichten verbessern Unternehmen die Qualität, Effizienz und Nachhaltigkeit ihrer betrieblichen Abläufe. Ein gut organisiertes Betreiberpflichten-Management führt zu kontinuierlicher Verbesserung und Innovation, stärkt eine Kultur der Verantwortlichkeit und Rechenschaft, verbessert den Ruf des Unternehmens und schafft Vertrauen bei Kunden und Behörden. Somit zahlt sich Compliance in diesem Bereich nicht nur durch Vermeidung von Rechtsrisiken aus, sondern kann sogar Wettbewerbsvorteile generieren (z. B. durch weniger Störfälle, stabilere Produktion, besseren Ruf als verlässlicher Geschäftspartner).

Ein weiterer wichtiger Aspekt des rechtlichen Rahmens ist die Haftung und Sanktionierung von Compliance-Verstößen. In Deutschland können Unternehmen zwar (noch) nicht strafrechtlich verurteilt werden, wohl aber mit Bußgeldern nach dem Ordnungswidrigkeitengesetz (OWiG) belegt werden, wenn z.B. Führungspersonen Aufsichtspflichten verletzt haben (§ 130 OWiG). Solche Unternehmensgeldbußen können bis zu 10 Millionen Euro betragen (und in Sondergesetzen oder künftig erwarteten Regelungen sogar noch deutlich höher). Außerdem gibt es Bestrebungen (Stichwort: Verbandssanktionengesetz-Entwurf), die Sanktionierung von Unternehmen bei Regelverstößen zu verschärfen und dabei Compliance-Programme als möglichen Milderungsgrund anzuerkennen. Schon heute werden bei der Zumessung von Bußgeldern durch Behörden vorhandene CMS oft als faktorMildernd berücksichtigt – ein weiterer Anreiz, in Compliance zu investieren, um im Ernstfall nicht „den vollen Strafrahmen“ ausgeschöpft zu bekommen.

Es stellt der rechtliche Rahmen hohe Anforderungen: Das Unternehmen muss eine angemessene Organisation als Präventivmaßnahme etablieren, welche die genannten Organisationspflichten erfüllt. Dabei greifen nationale Gesetze, branchenspezifische Vorschriften und auch internationale Regelungen ineinander. Für international tätige Konzerne kommen beispielsweise Anti-Korruptions- und Sanktionsgesetze aus anderen Jurisdiktionen hinzu (z. B. US Foreign Corrupt Practices Act, UK Bribery Act), europäische Vorgaben (z. B. Datenschutzgrundverordnung – DSGVO) sowie branchenspezifische internationale Standards. Das Compliance-Management muss also ganzheitlich aufgesetzt sein, um dieser Vielfalt gerecht zu werden. In der Praxis helfen dabei verschiedene Normen und Standards, die einen Ordnungsrahmen für CMS bieten – diese werden im nächsten Abschnitt betrachtet.

Angesichts der dargestellten Pflichten und Risiken benötigt ein Unternehmen ein systematisches Compliance-Management-System (CMS), um die Einhaltung aller relevanten Anforderungen sicherzustellen. Ein CMS kann definiert werden als die Gesamtheit aller Grundsätze, Verfahren, Maßnahmen und Kontrollen, die ein Unternehmen einführt, um regelkonform zu handeln. Ziel ist es, Compliance-Verstöße zu vermeiden, frühzeitig zu erkennen oder zumindest zu verhindern, dass sie sich wiederholen. Ein wirksames CMS ist integraler Bestandteil guter Corporate Governance und unterstützt Geschäftsleitung sowie Aufsichtsorgane dabei, ihre Überwachungs- und Sorgfaltspflichten zu erfüllen.

Nationale und internationale Standards bieten Unternehmen Leitlinien, um ein CMS aufzubauen und zu bewerten.

• IDW PS 980 (Deutschland): Der Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer (IDW) mit dem Titel “Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen” (verabschiedet 2011, aktualisiert 2021) ist ein in Deutschland anerkannter Rahmen, um Aufbau und Wirksamkeit eines CMS zu beurteilen. IDW PS 980 definiert sieben Grundelemente eines effektiven CMS: (1) Compliance-Kultur (die werteorientierte Grundeinstellung von Führung und Beschäftigten, „Tone from the Top“), (2) Compliance-Ziele (klare Ziele des Unternehmens bezüglich Regelkonformität, abgeleitet aus den Unternehmenszielen und Risikofeldern), (3) Compliance-Organisation (geeignete Aufbauorganisation, Rollen, Verantwortlichkeiten und Ressourcen für Compliance), (4) Compliance-Risiken (Prozess zur Identifikation und Analyse der wesentlichen Compliance-Risiken), (5) Compliance-Programm (umfassende Maßnahmen und Kontrollen zur Risikobegrenzung und Verhinderung von Verstößen, wie z. B. Verhaltenskodex, Richtlinien, Schulungen), (6) Compliance-Kommunikation (internes Bekanntmachen des Compliance-Programms, Schulungen sowie Schaffung von Meldewegen für Hinweise) und (7) Compliance-Überwachung und -Verbesserung (laufendes Monitoring der Angemessenheit und Wirksamkeit des CMS, internes Audit, Berichterstattung über Schwachstellen sowie kontinuierliche Verbesserung des Systems). Diese Elemente bilden ein strukturiertes Referenzmodell. Ein Unternehmen kann sein CMS daran ausrichten und es ggf. von externen Prüfern nach PS 980 zertifizieren lassen (in Form einer Konzeptions-, Angemessenheits- und Wirksamkeitsprüfung). Für die hiesige Betrachtung liefern die sieben Elemente vor allem einen Benchmark, welche Anforderungen ein „angemessenes“ CMS erfüllen sollte – etwa, dass ohne eine gelebte Compliance-Kultur oder ohne Risikoanalyse ein CMS unvollständig wäre.

• ISO 37301 (international): Die ISO-Norm 37301:2021 ist ein internationaler Standard für Compliance-Management-Systeme. Sie wurde im April 2021 veröffentlicht und löste die bisherige ISO 19600 ab, welche seit 2014 nur ein Leitfaden (Guideline) war. ISO 37301 ist im Gegensatz zur alten Norm zertifizierbar (Typ-A-MSS-Standard), d. h. Organisationen können durch akkreditierte Zertifizierer ein entsprechendes Zertifikat erlangen, dass ihr CMS den Anforderungen der ISO 37301 entspricht. Inhaltlich legt ISO 37301 fest, wie ein CMS aufzubauen, umzusetzen, aufrechtzuerhalten und fortlaufend zu verbessern ist, um die Einhaltung der anwendbaren Verpflichtungen (Gesetze, regulatorische Anforderungen, aber auch freiwillige Kodizes) sicherzustellen. Die Norm folgt dabei – wie alle modernen ISO-Managementsystemnormen – dem High Level Structure Ansatz, der z. B. im Qualitäts- oder Umweltmanagement genutzt wird. Das bedeutet, sie umfasst Elemente wie den Organisationskontext (Verständnis der relevanten externen und internen Anforderungen), Führungsrolle (Verantwortlichkeit der obersten Leitung für Compliance, Ressourcenbereitstellung), Planung (Risikoanalyse, Compliance-Ziele), Unterstützung (Schulung, Bewusstsein, Kommunikation, Dokumentation), Durchführung (Operation: Umsetzung der Compliance-Maßnahmen), Leistungsevaluation (Monitoring, Messung, interne Audits) und Verbesserung (Korrektur- und Verbesserungsmaßnahmen). ISO 37301 betont zudem bestimmte Aspekte stärker als früher, z.B. die Wichtigkeit von Whistleblowing-Systemen (Meldesystemen) als Teil eines wirksamen CMS. Insgesamt bietet ISO 37301 einen globalen Maßstab für Best Practices im Compliance-Management. Die Norm ist branchen- und größenunabhängig anwendbar und betont die Flexibilität: Jedes Unternehmen muss ein CMS seinem Kontext anpassen – ein Mittelständler in einer Branche mit wenigen Regelungen braucht ein weniger umfangreiches System als ein diversifizierter Großkonzern. ISO 37301 ermutigt Organisationen zu einer organisationweiten, systematischen Implementierung von Compliance als kontinuierlichen Verbesserungsprozess. Für die Wirtschaftlichkeitsbetrachtung ist ISO 37301 insofern relevant, als ein formell nach ISO zertifiziertes CMS von Stakeholdern (Geschäftspartnern, Behörden) als Vertrauenssignal gewertet werden kann, was indirekt zum Nutzen beitragen könnte (dazu später mehr).

• ISO 19600 (historisch): Wie erwähnt, war ISO 19600:2014 der Vorläufer der ISO 37301. Sie war ein reiner Leitfaden (nicht zertifizierbar) und basierte noch nicht auf der High Level Structure. Sie enthielt jedoch schon die wesentlichen Bestandteile eines CMS und war international weit verbreitet als Good-Practice-Orientierung. Mit Veröffentlichung der ISO 37301 wurde ISO 19600 für obsolet erklärt. In der Praxis ist ISO 19600 heute nur noch von historischem Interesse; wer bereits danach gearbeitet hat, hat meist den Übergang zur ISO 37301 vollzogen.

• ISO 9001 / 14001 / 45001 (Managementsystem-Normen für Qualität, Umwelt, Arbeitsschutz): Diese internationalen Normen seien hier erwähnt, weil viele Großunternehmen bereits über solche Managementsysteme verfügen und sich ein CMS idealerweise in bestehende Strukturen integriert. ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement) und ISO 45001 (Arbeits- und Gesundheitsschutzmanagement) folgen alle dem PDCA-Zyklus (Plan-Do-Check-Act) und verlangen unter anderem, dass das Unternehmen bindende Verpflichtungen identifiziert und einhält. So fordert ISO 14001 ausdrücklich die Einhaltung aller geltenden rechtlichen Verpflichtungen im Umweltbereich, und ISO 45001 ähnliches für den Arbeitsschutz. Zwar fokussieren diese Normen auf jeweils spezielle Themenbereiche, doch viele ihrer Elemente – z. B. Dokumentationsanforderungen, interne Audits, Management-Reviews – unterstützen auch die allgemeine Compliance. Ein Unternehmen kann Synergien nutzen: Beispielsweise könnten Risiken im Umwelt- und Arbeitsschutzbereich innerhalb des CMS gleich mitbehandelt werden oder bestehende Auditprozesse erweitert werden, um Compliance-Checks durchzuführen. Effizienz lässt sich gewinnen, indem man kein paralleles Inselsystem für Compliance aufbaut, sondern Anknüpfungspunkte an vorhandene Systeme nutzt.

• IDW PS 980 (Neufassung 2021): Eine kurze Anmerkung zur 2021 aktualisierten Fassung dieses Standards (IDW EPS 980 n.F.): Die sieben Elemente bleiben bestehen, allerdings wurden gewisse Anforderungen präzisiert (z. B. stärkere Betonung einer angemessenen Compliance-Kultur und -Kommunikation). Für unsere Zwecke – die Wirtschaftlichkeitsbetrachtung – sind diese Details weniger ausschlaggebend als die generelle Vorgabe: Ein CMS muss alle genannten Dimensionen abdecken, um als vollständig zu gelten. Besonders wichtig ist, dass Top-Management-Committment (Kultur) und fortlaufende Verbesserung (Überwachung) als Daueraufgaben verstanden werden – was wiederum bedeutet, dass entsprechende Ressourcen langfristig bereitgestellt werden müssen.

• DIN EN 15221-2 / ISO 41012(Facility Management, Teil 2): Diese europäische Norm (deutsche Fassung 2007 als DIN EN 15221-2 veröffentlicht) mag auf den ersten Blick fachfremd wirken, ist aber im Kontext von Betreiberverantwortung relevant. Ihr Titel lautet „Facility Management – Leitfaden zur Ausarbeitung von FM-Vereinbarungen“. Im Kern bietet sie Hilfestellung, wie Dienstleistungsvereinbarungen im Facility Management gestaltet werden sollten. Für ein CMS ist das insofern von Interesse, als Unternehmen viele Betreiberpflichten an externe Dienstleister oder interne Serviceeinheiten delegieren (z. B. Wartung, Prüfung technischer Anlagen, Gebäudemanagement). DIN EN 15221-2 hilft, in solchen Verträgen klar zu regeln, wer welche Pflichten übernimmt, wie Nachweise zu führen sind etc. Somit trägt sie indirekt zur Compliance bei, indem sie eine saubere Schnittstelle zwischen Unternehmen und Outsourcing-Partnern schafft. Beispielsweise könnte ein Industrieunternehmen, das den Betrieb seiner Gebäude an einen Facility-Manager auslagert, in der FM-Vereinbarung festhalten, dass der Dienstleister für die Einhaltung aller gesetzlichen Prüf- und Instandhaltungspflichten verantwortlich ist, und entsprechende Berichtspflichten einbauen. Solche klaren Regelungen vermeiden Lücken in der Pflichtenübertragung und entlasten das Unternehmen nur dann von der Verantwortung, wenn die Kontrolle und Dokumentation dieser übertragenen Pflichten ebenfalls geregelt sind. Hier schließt sich der Kreis zur Delegations- und Überwachungspflicht: Delegieren heißt nicht abwälzen – der Betreiber (Auftraggeber) muss überwachen, dass der Dienstleister seine vertraglich übernommenen Betreiberpflichten erfüllt.

Produktneutralität: Bei der Umsetzung eines CMS gibt es am Markt zahlreiche Softwarelösungen und Beratungsangebote (Stichwort Compliance-Management-Tools, Rechtskataster etc.). Diese Arbeit erwähnt keine konkreten Produkte, sondern betrachtet die Anforderungen allgemein. Gleichwohl sei angemerkt, dass gerade für Aufgaben wie das Rechtsmonitoring (Aktualisieren von Vorschriften) oder das Pflichtenkataster (Dokumentation aller anwendbaren Rechtspflichten und Zuständigkeiten) spezialisierte digitale Werkzeuge erhebliche Effizienz bringen können. Moderne CMS-Software bietet z. B. die Möglichkeit, alle geltenden Pflichten standort- und abteilungsbezogen zuzuordnen und den verantwortlichen Personen zuzuweisen. Im Idealfall ist für jeden Mitarbeiter klar ersichtlich – etwa über das firmeninterne Intranet – welche Rechtspflichten in seinem Verantwortungsbereich existieren und was konkret zu tun ist. Dies erhöht die Transparenz und verringert die Wahrscheinlichkeit, dass sich jemand auf Unkenntnis herausreden kann. Auch Automatisierung (z. B. automatische Erinnerungen an Prüftermine, Generatoren für rechtliche Updates) und Workflow-Management (Nachverfolgung von Maßnahmen bei Feststellung eines Verstoßes) sind Funktionen, die ein CMS effizienter und effektiver machen. Obwohl solche technischen Umsetzungen hier nicht im Detail dargestellt werden, fließen die Prinzipien (Transparenz, Nachvollziehbarkeit, zentrale Dokumentation, Auswertung von Daten) implizit in die Nutzenbetrachtung mit ein.

Es lässt sich aus den Standards ableiten, dass ein CMS ein kontinuierlicher Prozess ist, kein einmaliges Projekt. Es bedarf anfänglich einer gründlichen Konzeption (Risk Assessment, Richtlinien, Schulungen etc.), dann aber fortlaufend Pflege und Verbesserung. Genau diese Kontinuität verursacht laufende Kosten – stellt aber sicher, dass das CMS lebt und mit den Veränderungen Schritt hält. In der nächsten Sektion werden wir betrachten, mit welchen methodischen Ansätzen man eine solche Investition in Compliance wirtschaftlich bewerten kann.

Die Bewertung der Wirtschaftlichkeit eines Compliance-Management-Systems stellt eine Herausforderung dar, da viele Nutzenaspekte qualitativer Natur sind. Klassische betriebswirtschaftliche Investitionsrechnungen (wie z. B. Kapitalwert- oder Amortisationsrechnungen) stoßen an Grenzen, wenn es darum geht, vermeidbare Schäden oder Reputationsgewinne zu quantifizieren. Daher ist ein Mix aus quantitativen und qualitativen Methoden erforderlich, um die Wirtschaftlichkeit abzubilden.

Ein Ausgangspunkt ist die Kosten-Nutzen-Analyse (KNA), ein Verfahren, bei dem den erwarteten Kosten eines Projekts der Nutzen gegenübergestellt wird. Dabei werden explizit auch nicht-monetäre Faktoren berücksichtigt. Die KNA eignet sich besonders, um Vorhaben zu bewerten, deren Nutzen nicht allein in direkten Geldeinnahmen besteht. Im Kontext eines CMS bedeutet dies, dass man beispielsweise den Nutzen verbesserter Rechtssicherheit oder eines besseren Unternehmensimages mit in die Waagschale wirft, obwohl hierfür kein Marktpreis existiert. Typischerweise muss man in solchen Fällen mit Schätzungen und Szenarien arbeiten. Beispielsweise kann man den erwarteten Schaden ohne CMS (etwa die statistisch zu erwartenden Kosten aus Rechtsverstößen pro Jahr) mit dem erwarteten Schaden mit CMS vergleichen, um die Risikoreduktion in Geldeinheiten zu fassen – auch wenn diese Werte mit Unsicherheit behaftet sind.
Für eine systematische Wirtschaftlichkeitsbetrachtung eines CMS bieten sich folgende methodische Schritte und Ansätze an:

• Einmalige Einführungskosten: z. B. Kosten für die anfängliche Konzeption und Implementierung des CMS. Dazu zählen Beratungsleistungen (juristische Analyse der Pflichten, Aufbau von Prozessen), Anschaffung oder Entwicklung von IT-Systemen (etwa einer Compliance-Software oder Datenbank für Rechtsvorschriften), Schulung der Mitarbeiter beim Roll-out, interne Projektressourcen etc. Einführungskosten fallen i. d. R. in den ersten 1–2 Jahren der CMS-Einführung konzentriert an.

• Laufende Betriebskosten: Hierzu gehören personelle Ressourcen (z. B. Gehalt eines Compliance Officers, Anteil der Zeit anderer Funktionen wie Rechtsabteilung, Internes Audit, Datenschutzbeauftragter, die in Compliance-Aktivitäten fließt), regelmäßige Schulungen und Weiterbildung der Mitarbeiter, Kosten für Abonnements (z. B. für Rechtsdatenbanken, Update-Dienste), Lizenz- und Wartungskosten für Compliance-Software, externe Audits oder Zertifizierungen (z. B. Kosten eines ISO 37301 Zertifizierungsaudits oder einer IDW PS 980 Prüfung) sowie sonstige Betriebskosten (Reisekosten für Compliance-Schulungen an Standorten, Veranstaltungen zur Sensibilisierung etc.).

• Opportunitätskosten: Dies sind weniger offensichtliche Kosten, die dadurch entstehen können, dass Mitarbeiter Zeit für Compliance verwenden, die andernfalls produktiv für andere Zwecke genutzt würde. Beispielsweise bedeutet die Teilnahme an Schulungen oder das Durchführen interner Kontrollen einen Zeitaufwand. Zwar sind solche Aufwände schon in Personalkosten enthalten, doch der entgangene Nutzen alternativer Verwendung (z. B. Vertriebsmitarbeiter könnten in der Zeit keine Kunden besuchen) sollte zumindest qualitativ reflektiert werden.

• Eventuelle Effizienzverluste: Manche argumentieren, umfangreiche Compliance könne Prozesse verlangsamen oder Entscheidungen bürokratisieren (z. B. zusätzliche Genehmigungsschritte, Dokumentationspflichten). Während ein gut gestaltetes CMS versucht, Mehrarbeit gering zu halten, ist es fair in der Analyse zu erwähnen, ob gewisse Reibungsverluste eintreten könnten (z. B. längere Entwicklungszeiten wegen umfassenderer Produktkonformitätsprüfungen).

• Vermeidung von Haftung und Sanktionen: Dies ist oft der primäre Treiber. Hier versucht man abzuschätzen, welche potenziellen Rechtsverstöße ohne CMS eintreten könnten und welche Kosten damit verbunden wären (Bußgelder, Strafzahlungen, Gewinnabschöpfungen, Schadensersatzforderungen, Gerichts- und Anwaltskosten). Diese sind unsicher, können aber mit Wahrscheinlichkeiten gewichtet als Erwartungswert modelliert werden. Auch die Vermeidung persönlicher Haftungsrisiken für Leitungspersonen ist ein wichtiger Nutzen – schwer in Geld zu messen, aber von großer Tragweite (kein Geschäftsführer möchte aufgrund Organisationsverschulden vor Gericht stehen).

• Risikominimierung bei Unfällen und Zwischenfällen: In industriellen Betrieben kann Non-Compliance auch zu Unfällen (z. B. Arbeitsunfälle, Umweltzwischenfälle) führen. Ein CMS im technischen Bereich stellt sicher, dass Prüfungen und Wartungen ordnungsgemäß erfolgen, was das Risiko von Störfällen reduziert. Dadurch vermeidet man Kosten aus Betriebsunterbrechungen, Produktionsausfällen oder Aufräum- und Sanierungskosten. Hier kann man ggf. historische Daten oder Branchenstatistiken nutzen, um den erwarteten Schaden pro Jahr abzuschätzen und den durch CMS erzielten Rückgang des Risikos zu quantifizieren.

• Effizienzgewinne: Interessanterweise kann ein CMS auch operative Effizienz steigern. Durch Standardisierung und klare Prozesse werden Doppelarbeiten vermieden und Abläufe optimiert. Beispiel: Wenn bisher jeder Standort eigenständig Gesetzesänderungen verfolgte, kostet dies viel Mehrfacharbeit – eine zentrale CMS-Stelle kann das effizient bündeln und den Standorten aufbereitete Informationen liefern. Oder: Elektronische Workflows für Genehmigungen sparen Zeit gegenüber papierbasierten Ad-hoc-Prozessen. Zudem können z. B. Integritäts- und Compliance-Schulungen zu einer Sensibilisierung führen, die Fehler reduziert (etwa in der Vertragsprüfung, was Folgekosten spart). All diese Effekte können zumindest teilweise in Kostenersparnisse umgemünzt werden (Zeitersparnis = Personalkosteneinsparung oder mehr Output; Vermeidung von Qualitätsmängeln = weniger Ausschuss, usw.). Es ist wichtig, diese prozessualen Nutzen mit einzubeziehen, auch wenn sie oft indirekt sind.

• Reputationsgewinn und “License to Operate”: Ein oft genannter Vorteil ist der Schutz bzw. Verbesserung des Unternehmensrufs. Unternehmen mit einer starken Compliance-Kultur genießen Vertrauen bei Kunden, Investoren, Behörden und der Öffentlichkeit. Dies kann z. B. dazu führen, dass man bei öffentlichen Ausschreibungen eher berücksichtigt wird (da man als verlässlicher Vertragspartner gilt), Investoren Kapital zu günstigeren Konditionen bereitstellen (geringerer Risikoaufschlag) oder gute Mitarbeiter vom positiven Image angezogen werden. Im negativen Fall: Ein öffentlicher Skandal (z. B. Korruptionsaffäre, Kartellstrafe, Umweltdelikt) kann massive Einbrüche in Umsatz und Börsenwert verursachen – dieser Schaden bleibt bei funktionierender Compliance aus. Zwar ist Reputation schwer in Euro auszudrücken, aber in die Entscheidung sollte einfließen, dass ein CMS im Erfolgsfall dazu beiträgt, Geschäftserhalt und Wachstum zu sichern. In einer Zeit, in der Nachhaltigkeit und Governance (ESG-Kriterien) an Bedeutung gewinnen, kann ein nachgewiesenes CMS auch Wettbewerbsvorteile bringen.

• Mitarbeitervertrauen und -bindung: Intern schafft eine gelebte Compliance-Kultur ein Gefühl von Stolz und Sicherheit bei Mitarbeitern. Niemand möchte für einen skandalträchtigen Arbeitgeber arbeiten. Umgekehrt fördert ein ethisches, regelkonformes Umfeld die Mitarbeiterzufriedenheit. Dies kann zu geringerer Fluktuation führen oder dazu, dass sich Mitarbeiter stärker engagieren – Effekte, die zwar diffus sind, aber letztlich positiven Einfluss auf die Produktivität haben.

• Return on Investment (ROI): Verhältnis aus monetärem Nutzen zu Kosten. Hierfür müssten die Nutzenaspekte in Geldeinheiten geschätzt werden. Etwa: "Durch CMS verringert sich die erwartete Summe aus Bußgeldern und Schäden pro Jahr von 500.000 € auf 100.000 €; bei jährlichen Betriebskosten des CMS von 200.000 € ergibt sich ein positiver Erwartungswert/Nettonutzen von 200.000 € pro Jahr." Solche Überschlagsrechnungen können einen gefühlten ROI liefern. Allerdings sollte man ROI nicht überbewerten, da zentrale Nutzenaspekte wie 0 € Strafe vs. hohe Strafe eher diskontinuierlich sind – es ist eben kein gewöhnliches Investment mit laufendem Rückfluss, sondern eher eine Versicherung gegen seltene Großschäden.

• Break-Even-Analyse: Diese fragt, unter welchen Bedingungen sich das CMS "bezahlt macht". Z.B.: Wie hoch dürften die potentiellen Strafzahlungen maximal sein, damit sich das CMS lohnt? Oder umgekehrt: Nach wie vielen Jahren ohne größeren Zwischenfall könnte man argumentieren, die investierten Mittel haben sich amortisiert durch Summe X an verhinderten Schäden.

• Wahrscheinlichkeitsbasierte Simulation (Monte Carlo): In größeren Projekten kann man mittels Zufallssimulation eine Verteilung möglicher Gesamtkosten über einen Planungszeitraum ermitteln – mit und ohne CMS. Daraus ließe sich z. B. die Wahrscheinlichkeit abschätzen, dass das CMS nach 5 Jahren wirtschaftlich vorteilhaft war. Für eine grobe Habilitations-begleitende Betrachtung ist dies eventuell zu granular, aber der Vollständigkeit halber erwähnt.

Neben oder statt harter Zahlen kann eine Nutzwertanalyse eingesetzt werden. Dabei werden verschiedenene Kriterien (z. B. Verhinderung finanzieller Schäden, Verbesserung der Rechtskonformität, Steigerung der Prozesseffizienz, Verbesserung der Reputation, Erfüllung regulatorischer Erwartungen) definiert und in einem Scoring-System bewertet. Die Kriterien können gewichtet und das CMS (bzw. Alternativen: z.B. “CMS ja oder nein” oder unterschiedliche Ausgestaltungen) hinsichtlich der Erfüllung der Kriterien beurteilt werden. Das Ergebnis ist ein Nutzwert-Score, der einen Gesamtvergleich ermöglicht, auch wenn nicht alle Kriterien monetär sind. Ein solches Vorgehen ist in wissenschaftlichen Untersuchungen hilfreich, um Transparenz in die meist multidimensionale Entscheidung zu bringen.

Wichtig ist die Erkenntnis, dass nicht alles in Euro beziffert werden kann – und auch nicht muss. Entscheider (insbesondere Geschäftsleitungen) verstehen in der Regel die gravierenden qualitativen Implikationen von Compliance. So lässt sich der Imageschaden eines Compliance-Skandals zwar nicht exakt berechnen, doch Beispiele aus der Realität (Skandale, die Milliarden an Börsenwert vernichtet haben) sprechen eine deutliche Sprache. Dennoch sollte man versuchen, zumindest eine Bandbreite aufzuzeigen: z. B. “Im Worst-Case drohen Strafzahlungen in zweistelliger Millionenhöhe; dem stehen jährliche CMS-Kosten von deutlich unter 1 Mio. € gegenüber – die Investition in Compliance erscheint daher wie eine “Versicherungsprämie” gegen existenzbedrohende Risiken.”

Eine systematische Wirtschaftlichkeitsanalyse wird üblicherweise in einem Bericht oder Business Case Dokument festgehalten, der alle Annahmen, Berechnungen und Bewertungen transparent macht. Darin sollten auch Sensitivitätsanalysen enthalten sein (was, wenn z. B. die Häufigkeit von Gesetzesverstößen halb so groß ist wie geschätzt? Was, wenn das CMS teurer wird als geplant? usw.), um die Robustheit der Empfehlung zu prüfen.

Im Ergebnis liefert die Methodik einen entscheidungsorientierten Vergleich: Sie zeigt auf, ob und wie ein CMS wertschöpfend ist, auch wenn diese Wertschöpfung primär in Form von Risikovermeidung statt Gewinnsteigerung daherkommt. Im nächsten Abschnitt wenden wir diese Überlegungen exemplarisch auf ein typisches Industrieunternehmen mit mehreren Standorten an, um greifbar zu machen, wie die Nutzen-Kosten-Abwägung konkret aussehen kann.

Unternehmensprofil: Als Fallbeispiel betrachten wir die fiktive “Beispiel AG”, ein deutsches Industrie-Großunternehmen mit bundesweit fünf Produktionsstandorten. Die Firma ist in der Maschinenbau-Branche tätig und beschäftigt insgesamt ca. 5.000 Mitarbeiter. Die Standorte liegen in verschiedenen Bundesländern und umfassen jeweils große Fertigungshallen mit Maschinenparks, Lager für Materialien und Gefahrstoffe sowie Verwaltungsgebäude. Die Produkte der Beispiel AG sind komplexe Maschinen, die weltweit vertrieben werden. Damit ist das Unternehmen neben den nationalen Vorschriften auch mit Exportkontrollregularien und ausländischen Produkthaftungsregeln konfrontiert. Bislang wurde Compliance in der Beispiel AG eher dezentral und reaktiv gehandhabt: Jede Produktionsstätte kümmerte sich selbst um Arbeitssicherheit und Umweltschutzbelange, die Rechtsabteilung am Hauptsitz prüfte Verträge und behielt Gesetzesänderungen im Blick, und bei Bedarf wurden externe Anwälte konsultiert. Ein unternehmensweites, systematisches CMS existiert in der Ausgangslage nicht – man stellt jedoch zunehmenden Druck fest (von Seiten der Konzernrevision und auch des Aufsichtsrats), hier professionalisierter vorzugehen.

Identifikation der Pflichten und Risiken: In einem ersten Schritt erfasst die Beispiel AG mithilfe ihrer Rechtsabteilung und externer Experten sämtliche relevanten Rechtsgebiete und Pflichten, die für ihr Geschäft einschlägig sind.

• Arbeitsschutz und Arbeitssicherheit: Pflichten aus dem Arbeitsschutzgesetz, der Betriebssicherheitsverordnung (für Arbeitsmittel, Maschinen), Unfallverhütungsvorschriften der Berufsgenossenschaften, Gefahrstoffverordnung (Umgang mit Chemikalien), ArbZG (Arbeitszeitdokumentation) usw. An jedem Standort müssen z. B. regelmäßige Unterweisungen der Mitarbeiter erfolgen, Arbeitszeiten überwacht, Maschinenprüfungen durchgeführt und dokumentiert werden. Versäumnisse können zu Arbeitsunfällen führen – mit Haftung des Unternehmens und gar Strafbarkeit von Verantwortlichen nach §§ 222, 229 StGB (Verletzung der Aufsichtspflicht bei fahrlässiger Tötung/Körperverletzung).

• Umweltrecht: Jeder Produktionsstandort hat umweltrelevante Anlagen (Lackiererei mit Lösemittel-Emissionen, eigene Heizanlagen, etc.), die unter das Bundes-Immissionsschutzgesetz (BImSchG) fallen und genehmigungspflichtig sind. Es gibt Emissionsgrenzwerte einzuhalten, regelmäßige Messberichte an die Behörden zu senden. Zudem fallen Abfälle an (Kreislaufwirtschaftsgesetz, Nachweispflichten), möglicherweise wird Abwasser eingeleitet (Wasserhaushaltsgesetz, Indirekteinleitererlaubnis). Die Beispiel AG muss für jeden Standort einen Betriebsbeauftragten für Immissionsschutz und für Gewässerschutz bestellen (wie gesetzlich gefordert), die überwachen, dass alle Auflagen erfüllt werden. Bei umweltrechtlichen Verstößen drohen Bußgelder und im Ernstfall sogar die vorübergehende Stilllegung von Anlagenteilen durch die Behörde.

• Produkthaftung und -sicherheit: Als Maschinenhersteller unterliegt die Beispiel AG europäischen Richtlinien (z. B. Maschinenrichtlinie, die in Deutschland durch die 9. ProdSV umgesetzt ist), die vorschreiben, wie Maschinen sicher zu konstruieren und zu dokumentieren sind. Es müssen Konformitätsbewertungsverfahren durchgeführt und CE-Kennzeichen angebracht werden. Die Technical Compliance im Produktbereich erfordert Prozesse für Risikobeurteilungen, Konformitätserklärungen und Qualitätskontrollen. Ein mangelhafter Prozess könnte dazu führen, dass unsichere Maschinen in Verkehr gelangen – mit Rückrufaktionen, Produkthaftpflichtfällen oder Untersagungsverfügungen als Folge.

• Exportkontrolle und Zoll: Da das Unternehmen auch außerhalb der EU liefert, müssen exportkontrollrechtliche Vorschriften (AWG/AWV, Dual-Use VO) eingehalten werden. Es braucht z. B. einen Exportkontrollbeauftragten, der Endverwendungen und Ländervorgaben prüft. Verstöße (wie die Lieferung ohne Genehmigung) können zu erheblichen Geldstrafen und Ausschluss von öffentlichen Aufträgen führen.

• Korruptionsprävention, Kartellrecht und allgemeine Compliance: Auch wenn der Fokus auf technischen und organisatorischen Pflichten liegt, darf man Querschnittsthemen nicht vergessen. Die Beispiel AG muss sicherstellen, dass ihre Mitarbeitenden sich an Antikorruptionsregeln halten (insb. im Vertrieb und Einkauf), dass Wettbewerbsregeln beachtet werden (kein illegaler Informationsaustausch, keine Preisabsprachen) und dass Datenschutz (DSGVO) gewahrt ist. Hier stehen weniger spezifische Einzelpflichten pro Standort im Vordergrund, als vielmehr Verhaltensgrundsätze, Schulungen und Kontrollen (z. B. Vier-Augen-Prinzip bei bestimmten Entscheidungen, Richtlinien zu Geschenken und Einladungen, Einrichtung einer Hinweisgeberstelle gemäß HinSchG etc.).

• Betreiberpflichten / Verkehrssicherung: Übergreifend für alle Standorte gilt die bereits erwähnte Betreiberverantwortung. Gebäude und Anlagen müssen technisch sicher sein: von der regelmäßigen Prüfung der Feuerlöscher und Sprinkleranlagen, über das Wartungsintervall der Aufzugsanlagen (Technische Überwachungsverordnung), bis hin zur Einhaltung der Verkehrssicherungspflicht auf dem Betriebsgelände (Schnee- und Eisbeseitigung, Absicherung von Gefahrenstellen). Solche Pflichten sind teils gesetzlich normiert, teils ergeben sie sich aus allgemeinen zivilrechtlichen Sorgfaltsanforderungen. Hier hat die Beispiel AG bisher vieles an lokale Facility-Manager delegiert, aber ohne zentrales Register – ein Risikopunkt, da die Zentrale kaum Überblick hat, ob z.B. an allen Standorten die Prüfungen der elektrischen Anlagen nach DGUV V3 erfolgt sind.

Diese Aufzählung ist nicht abschließend, zeigt aber: Ohne eine systematische Herangehensweise verliert ein Großunternehmen schnell die Übersicht. Tatsächlich war eine der ersten Feststellungen im Projekt der Beispiel AG, dass man überhaupt erst alle Pflichten zusammentragen muss. Es wurden knapp 1000 einschlägige Einzelnormen identifiziert (Paragraphen aus Gesetzen, Verordnungen, Regeln), aus denen sich weit über 3000 konkrete Pflichten für das Unternehmen ergeben. Diese Zahl mag hoch klingen, liegt aber im Rahmen dessen, was in Literatur und Praxis berichtet wird – es gibt Compliance-Dienstleister, die allein in den Bereichen Umwelt, Arbeitssicherheit und Anlagensicherheit tausende Betriebsanforderungen pro Standort erfassen. Zudem ändern sich diese Vorgaben ständig: Im Jahr 2013 etwa wurden über 1.100 Gesetzesänderungen und 1.100 neue relevante Regelwerke in Deutschland gezählt – ein Unternehmen muss also praktisch täglich mit Änderungen rechnen.

• Eine Compliance-Organisation wird aufgebaut: Es wird ein Chief Compliance Officer (CCO) ernannt, angesiedelt bei der Geschäftsführung. An jedem Standort wird ein Compliance-Beauftragter benannt (meist in Doppelfunktion, z. B. der dortige Werksleiter oder EHS-Manager), der als Bindeglied zur Zentrale fungiert. Zudem gibt es Themenverantwortliche, etwa für Datenschutz, Exportkontrolle usw., die fachlich dem CCO zuarbeiten.

• Ein zentrales Compliance-Risikomanagement wird etabliert: Die identifizierten Pflichten werden bewertet nach Risiko (Eintrittswahrscheinlichkeit eines Verstoßes * Schadenshöhe). Daraus leitet man ab, auf welche Bereiche das Hauptaugenmerk gelegt wird.

• Die bestehenden Maßnahmen werden zu einem konsistenten Compliance-Programm gebündelt: Es gibt nun einen Verhaltenskodex für alle Mitarbeiter, konkrete Richtlinien (z. B. “Umgang mit Geschenken”, “EHS-Policy”, “Verfahren bei Rechtsverstößen”), regelmäßige Schulungen (Pflichtschulungen jährlich zu Arbeitssicherheit und Ethik, spezifische Trainings bei Bedarf), sowie definierte Kontrollprozesse (z. B. Self-Assessments der Standortleiter quartalsweise, internes Auditprogramm über alle Standorte binnen 3 Jahren). Darüber hinaus richtet die Beispiel AG ein internes Meldesystem ein (Whistleblower-Hotline gem. HinSchG), damit Mitarbeiter anonym mögliche Verstöße melden können.

• Alle Compliance-Aktivitäten werden lückenlos dokumentiert: Man führt ein Rechtskataster, in dem für jede identifizierte Pflicht ein Verantwortlicher und Umsetzungsstatus hinterlegt ist. Hierfür wird eine Software-Lösung verwendet, in die die Standort-Beauftragten ihre Nachweise (z. B. Prüfberichte, Schulungsdokumentationen) hochladen. Das System erzeugt Compliance-Reports für die Geschäftsleitung und den Aufsichtsrat, um Transparenz herzustellen.

• Schließlich wird ein Mechanismus zur Überwachung und Verbesserung fest etabliert: Jährlich findet eine Compliance-Review-Sitzung im Vorstand statt, wo Kennzahlen (z. B. Anzahl der Vorfälle, Ergebnisse der Audits, Fortschritt von Maßnahmen) diskutiert und Verbesserungen angestoßen werden. Zudem plant die AG, nach 2 Jahren eine externe Wirksamkeitsprüfung (Audit nach IDW PS 980) durchführen zu lassen, um eine unabhängige Bestätigung und eventuell weitere Hinweise zu erhalten.

• Haftungsvermeidung: Basierend auf Branchenerfahrungen schätzt man, dass ohne CMS im nächsten Jahrzehnt mit einer gewissen Wahrscheinlichkeit ein größeres Compliance-Vorkommnis eingetreten wäre (z. B. ein tödlicher Arbeitsunfall wegen Organisationsverschulden oder eine sechsstellige Umweltbuße wegen Verstoßes gegen Auflagen). Der erwartete finanzielle Schaden pro Jahr wurde konservativ mit ca. 300.000 € beziffert (eine gemittelte Größe aus unterschiedlichen Szenarien von seltenen Großschäden bis häufigeren kleinen Verstößen). Durch das CMS rechnet man damit, dieses Risiko um rund 80 % zu reduzieren (vollständig eliminieren lässt es sich nie). Das entspricht einem vermiedenen Erwartungswert von 240.000 € pro Jahr.

• Risikominimierung von Betriebsstörungen: Es gab in der Vergangenheit pro Jahr im Schnitt ~2 arbeitsbedingte schwere Unfälle und ~1 umweltrelevanten Zwischenfall an allen Standorten zusammen, die glimpflich verliefen, aber leicht teurer hätten sein können. Durch systematisch bessere Prävention soll die Zahl der Zwischenfälle sinken (Ziel: <1 Unfall/Jahr, 0 Umweltvorfälle). Jeder vermiedene Unfall spart nicht nur direkte Kosten (z. B. 50.000 € Unfallkosten), sondern verhindert Produktionsausfall. Ein Tag Stillstand in einer Fertigungshalle wird auf 100.000 € geschätzt. Rechnet man, dass im Worst Case ein Unfall einen Stillstand verursachen könnte, ist allein dies ein starkes Argument pro Prävention.

• Effizienzgewinne: Die Zentralisierung des Rechtsmonitorings spart Arbeitszeit an den Standorten. Vorher hatte jeder Standort einen Ingenieur, der ~5% seiner Zeit Rechtsänderungen verfolgte. Nun macht das zentral ein Jurist und informiert alle – geschätzte Einsparung: 5 Personen * 0,05 * Personalkosten (80.000 €/Jahr) = 20.000 € pro Jahr und entlastetes Ingenieurs-Know-how, das produktiv eingesetzt werden kann. Weiterhin erwartet man effizientere Auditierungen: Früher prüften verschiedene Kunden oder Zertifizierer fragmentiert Compliance-Aspekte; mit dem CMS kann man Nachweise zentral bereitstellen und Doppelprüfungen vermeiden. Geschätzt könnten dadurch pro Jahr ~50.000 € an internen Aufwänden entfallen.

• Reputations- und Marktnutzen: Hier verzichtet man auf eine Monetarisierung, hält aber qualitativ fest: Die Beispiel AG sieht sich zunehmend Nachfragen von Großkunden gegenüber, ob sie über Compliance-Zertifizierungen verfügt (insb. in der Automobilzulieferkette). Mit einem zertifizierten CMS erhöht das Unternehmen seine Wettbewerbsfähigkeit, vermeidet eventuell den Verlust von Aufträgen und verbessert seine Bewertung in Nachhaltigkeitsrankings (was z. B. bei Investoren positiv ankommt). Diese Effekte lassen sich nicht in Euro fassen, werden aber als strategisch bedeutsam im Entscheidungspapier hervorgehoben.

• Einführungskosten: z. B. externer Beratungsauftrag für CMS-Design 5.000 € (einmalig), IT-System-Lizenz und Anpassung 50.000 € (einmalig) plus 6.000 € jährlich Wartung, Schulung initial 20.000 €, interne Projektpersonalkosten ~50.000 € (über 2 Jahre verteilt).

• Laufende Kosten: Vollzeitstelle CCO ~24.000 €/Jahr (inkl. Nebenkosten), Anteil anderer Mitarbeiter (Compliance-Beauftragte an Standorten je 0,2 FTE) ~5 * 0,2 * 80.000 = 80.000 €/Jahr, laufende Schulungen 20.000 €/Jahr, externe Audit (z.B. IDW PS 980 alle 3 Jahre 30.000 €, umgelegt ~10.000 €/Jahr).