Compliance meint die Konformität mit allen relevanten Regeln. Inzwischen ist Compliance ein Sammelbegriff für verschiedene Themen geworden, etwa Datenschutz, Informationssicherheit, Arbeitssicherheit, Standards in der Organisation, aber auch die Gleichbehandlung aller Mitarbeiter und Bewerber (Maßnahmen gegen die Diskriminierung) sowie die Einhaltung von Mindestlohngrenzen und Equal Pay. Einige Unternehmen gehen hier noch einen Schritt weiter und verpflichten sich darüber hinaus zur Einhaltung von weiteren Regeln, etwa ethische Standards, Corporate Social Responsibility sowie Klimaschutz bzw. Umweltschutz durch Nachhaltigkeit. Die Liste lässt sich inzwischen beliebig fortsetzen, die gängigen Punkte sind aber hiermit erwähnt.

Sofern die Regelungen gesetzlich verankert sind, gibt es bei der Umsetzung meistens nur wenig Spielraum, Ist die Umsetzung nur unzureichend oder gar nicht erfolgt, handelt es sich nicht nur um einen Regelverstoß, sondern im Zweifel um einen Gesetzesverstoß. Die persönliche Haftung trägt am Ende die Geschäftsführung. 

Ab einer bestimmten Unternehmensgröße empfiehlt es sich, für bestimmte Themen einen Beauftragten zu benennen, der im Idealfall nicht der Geschäftsführung angehört. Die Tätigkeit als Beauftragter muss nicht immer einer Vollzeitstelle entsprechen; sie wird dann als zusätzliche Funktion an jemanden übertragen, der ausreichend qualifiziert und erfahren ist. Größere Organisationen haben unter Umständen für mehrere Themen einen Beauftragten zu benennen. Werden diese verschiedenen Rollen auf eine Person konzentriert, spricht man i. d. R. vom Compliance Beauftragten, oder vom Chief Compliance Officer.

Dabei kann es passieren, dass nationale Gesetzgebung von europäischen Richtlinien tangiert werden, wodurch es zu Änderungen in der nationalen Gesetzgebung kommen kann. Da die Anpassung der nationalen Gesetzgebung an neue europäische Richtlinien meistens mit Verzögerung stattfindet, bleibt in der Regel ausreichend Zeit zur Vorbereitung. So wurde z. B. die Europäische Datenschutz Grundverordnung (EU DS-GVO) bereits im Mai 2016 verabschiedet, trat dann aber erst im Mai 2018 in Kraft.

Um die Compliance des Unternehmens sicherzustellen, empfiehlt sich der Aufbau eines Compliance Management Systems (CMS). Zuerst wird der inhaltliche und organisatorische Rahmen des CMS abgesteckt, also welche Gesetze, Regeln und Werte überwacht werden sollen, und wie weit das CMS greifen soll; so kann ein CMS zum Beispiel nur intern gelten, oder auch auf Lieferanten ausgedehnt werden.

Darüber hinaus müssen konkrete Compliance-Ziele definiert werden (z. B. Einführung eines Datenschutz-Management bis Datum D1, Abschluss eines Vertrages zur Auftragsdatenverarbeitung mit allen Lieferanten bis zum Datum D2, und Durchführung einer Mitarbeiterschulung zum Datenschutz bis zum Datum D3).

Ein weiterer Schritt ist die Darstellung aller bekannten Compliance-Risiken, also alle schadhafte Konsequenzen, die sich aus etwaigen Regelverstößen ergeben könnten. Diese Risiken sind zu gewichten und mit den Compliance-Zielen abzugleichen. Geht die Abdeckung aller Risiken aus den Compliance-Zielen nicht hervor, so sind die Ziele zu erweitern oder zu korrigieren.

Stehen alle Compliance-Ziele und Risiken fest, so muss eine adäquate Compliance-Organisationsstruktur geschaffen werden, um die Risiken und die Ziele zu beobachten und die Einhaltung der Regeln und Standards im Unternehmen zu implementieren und zu unterstützen. 

Zu den Aufgaben der Compliance-Organisation gehört also die Kommunikation der Compliance-Risiken und -Ziele im gesamten Unternehmen, bzw. die Sicherstellung einer zentralen Compliance-Information für alle Mitarbeitenden. Zu dieser Aufgabe gehört auch die Durchführung von Mitarbeiterschulungen und sog. Awareness-Kampagnen. Das Awareness-Training stellen wir für Sie online bereit, so dass sich Ihre Mitarbeiter lediglich einloggen müssen und sofort mit der Schulung beginnen können.

Interessant wird es für Unternehmen, welche kurz davor sind, eine Schwelle zu überschreiten, wodurch sie erstmalig unter eine gesetzliche Regelung fallen, von der sie bisher nicht betroffen waren. Nun sollte rechtzeitig Klarheit darüber herrschen, ob die Kompetenz zur Erarbeitung und Einführung der entsprechenden Compliance-Maßnahmen intern aufgebaut, oder extern zugekauft wird. In beiden Fällen können wir Sie durch entsprechendes Know-how unterstützen.

Prüfen Sie Ihre Datenschutz-Organisation mittels einer Analyse nach BDSG und EU-DSGVO. Zusätzlich führen Sie eine Risikobewertung für Ihren Betrieb durch und leiten die entsprechenden Maßnahmen daraus ab, die Sie in praxisorientierten Handlungsempfehlungen konkretisieren. Erstellen Sie abschließend einen Datenschutzbericht inklusive einer Datenschutz-Folgeabschätzung. Sie entscheiden dann, ob Sie einen internen Datenschutzbeauftragten (DSB), oder einen externen DSB bestellen.

Im zweiten Schritt entscheiden Sie, ob die Implementation eines Datenschutzmanagementsystems (DSMS) erforderlich ist und welche Tools dafür geeignet sind. Bei einem DSMS handelt es sich um ein strukturiertes Vorgehen bei der Anpassung aller Prozesse, bei denen personenbezogene Daten verarbeitet werden.

Darüber hinaus schulen Sie Ihre Mitarbeiter im Datenschutz und in der Informationssicherheit, etwa via E-Learning-System. Ziel der Schulung ist es, das Verständnis für diese Themen zu fördern und den Umgang mit Fragestellungen zu trainieren. Solche Trainings sind auch unter dem Begriff "Awareness-Training" bekannt.