Compliance ist kein Modewort, sondern existenzielle Notwendigkeit. Verstöße gegen Gesetze, Vorschriften und interne Regeln können Unternehmen ruinieren — durch Bußgelder, Auftragsausschlüsse, Reputationsverluste und persönliche Haftung der Geschäftsführung. Die ISO 37301:2021 bietet den internationalen Rahmen für ein Compliance-Managementsystem (CMS), das Compliance-Risiken systematisch identifiziert, bewertet und steuert. Für Unternehmen in Anlagenbau, Industrieservice und Energietechnik, die auf Großbaustellen und bei internationalen Konzernen als Kontraktoren arbeiten, ist ein nachweisbares CMS zunehmend Geschäftsvoraussetzung. NovoCert begleitet Sie vom Compliance-Risiko-Assessment bis zur Zertifizierung — praxisnah, branchenspezifisch und mit dem Ziel, Compliance nicht als Bürokratie, sondern als Wettbewerbsvorteil zu etablieren.
Was regelt ISO 37301:2021?
Die ISO 37301 ersetzt die ISO 19600:2014 und macht Compliance-Management erstmals zertifizierbar. Während die Vorgängernorm nur ein Leitfaden war, enthält die ISO 37301 verbindliche Anforderungen (SHALL-Statements), die von Zertifizierungsgesellschaften geprüft werden können. Die Norm folgt der High Level Structure (HLS) und lässt sich daher nahtlos in bestehende Managementsysteme integrieren.
Compliance-Verpflichtungen verstehen
Die Norm fordert zunächst die systematische Ermittlung aller Compliance-Verpflichtungen — also aller Gesetze, Verordnungen, behördlichen Auflagen, vertraglichen Pflichten, Branchenstandards und freiwilligen Selbstverpflichtungen, die für Ihr Unternehmen gelten. Für Unternehmen in unserer Kernbranche umfasst das unter anderem: Arbeitsschutzrecht (ArbSchG, BetrSichV, GefStoffV), Umweltrecht (BImSchG, KrWG), Gewerberecht, Vergaberecht, Steuerrecht, Sozialversicherungsrecht, DSGVO, Arbeitnehmerüberlassungsgesetz, Mindestlohngesetz und branchenspezifische Vorschriften wie die DGUV-Vorschriften.
Compliance-Risikobewertung
Das Herzstück der ISO 37301 ist die Compliance-Risikobewertung. Sie müssen systematisch analysieren, welche Risiken für Verstöße gegen Ihre Compliance-Verpflichtungen bestehen — unter Berücksichtigung von Eintrittswahrscheinlichkeit und Auswirkungen. Typische Compliance-Risiken in Anlagenbau und Industrieservice sind: Arbeitssicherheitsverstöße auf Baustellen, illegale Arbeitnehmerüberlassung bei Subunternehmer-Einsätzen, Mindestlohnverstöße in der Lieferkette, Korruption und unzulässige Vorteilsgewährung bei der Auftragsvergabe, Kartellrechtsverstöße bei Preisabsprachen, Umweltverstöße bei Gefahrstoff-Handhabung und Datenschutzverstöße bei der Verarbeitung von Mitarbeiter- und Kundendaten.
Compliance-Kultur und Führungsverantwortung
Die ISO 37301 legt besonderen Wert auf die Compliance-Kultur. Die oberste Leitung muss nicht nur eine Compliance-Politik festlegen, sondern durch ihr eigenes Verhalten eine Kultur der Integrität und Regelkonformität vorleben — der sogenannte Tone from the Top. Die Norm fordert, dass die Geschäftsführung die Compliance-Funktion aktiv unterstützt, ausreichend Ressourcen bereitstellt und sicherstellt, dass Compliance-Bedenken ohne Angst vor Vergeltung gemeldet werden können.
Compliance-Funktion und Compliance Officer
Die Norm fordert die Einrichtung einer Compliance-Funktion, die unabhängig und mit ausreichender Autorität ausgestattet ist. Der Compliance Officer muss direkten Zugang zur Geschäftsleitung haben, darf nicht in Interessenkonflikte geraten und muss über ausreichende Kompetenzen und Ressourcen verfügen. In kleineren Unternehmen kann die Compliance-Funktion auch durch einen externen Compliance-Beauftragten wahrgenommen oder von einer bestehenden Funktion (z.B. Qualitätsmanagement) mitübernommen werden — vorausgesetzt, die Unabhängigkeit ist gewährleistet.
Whistleblowing und Hinweisgeberschutz
Die ISO 37301 fordert Mechanismen, durch die Mitarbeiter und externe Personen Compliance-Verstöße melden können, ohne Vergeltung befürchten zu müssen. Dies steht in direktem Zusammenhang mit dem deutschen Hinweisgeberschutzgesetz (HinSchG), das seit Juli 2023 Unternehmen ab 50 Mitarbeitern zur Einrichtung interner Meldekanäle verpflichtet. Anonyme Meldungen müssen bearbeitet, Hinweisgeber vor Repressalien geschützt und gemeldete Verstöße innerhalb festgelegter Fristen untersucht und beantwortet werden.
Anforderungen im Überblick
- Compliance-Politik: Dokumentierte Verpflichtung der Geschäftsleitung zu gesetzeskonformem und ethischem Handeln
- Compliance-Verpflichtungen: Vollständiges Register aller anwendbaren Gesetze, Vorschriften und vertraglichen Pflichten
- Compliance-Risikobewertung: Systematische Analyse der Compliance-Risiken nach Eintrittswahrscheinlichkeit und Auswirkung
- Compliance-Ziele und -Programme: Messbare Ziele zur Risikominderung mit Maßnahmen, Verantwortlichkeiten und Zeitrahmen
- Compliance-Funktion: Unabhängige Funktion mit direktem Zugang zur Geschäftsleitung und ausreichenden Ressourcen
- Compliance Officer: Benennung eines qualifizierten Compliance-Verantwortlichen (intern oder extern)
- Schulung und Bewusstsein: Regelmäßige Compliance-Schulungen für alle Mitarbeiter, zielgruppenspezifisch differenziert
- Meldekanäle (Whistleblowing): Einrichtung vertraulicher interner Meldekanäle gemäß HinSchG
- Hinweisgeberschutz: Schutz vor Vergeltung für Personen, die Compliance-Verstöße melden
- Untersuchungsprozess: Dokumentierter Prozess zur Untersuchung gemeldeter oder erkannter Verstöße
- Überwachung und Messung: Monitoring der Compliance-Leistung durch KPIs, Audits und Selbstbewertungen
- Managementbewertung: Jährliche Bewertung der CMS-Wirksamkeit durch die Geschäftsleitung
- Konsequenzenmanagement: Klare und konsistente Sanktionen bei Compliance-Verstößen
- Kontinuierliche Verbesserung: Lessons Learned aus Verstößen, Near-Misses und externen Entwicklungen
Was wir für Sie tun
NovoCert versteht Compliance nicht als juristische Pflichtübung, sondern als Management-Disziplin, die Unternehmen schützt und stärkt. Unser Ansatz ist branchenspezifisch, praxisnah und auf Integration in Ihr bestehendes Managementsystem ausgelegt.
- Compliance-Risiko-Assessment: Wir analysieren Ihre Compliance-Risiken branchenspezifisch — Arbeitsschutz auf Baustellen, Subunternehmer-Management, Arbeitnehmerüberlassung, Anti-Korruption bei Auftragsvergaben. Ergebnis ist eine priorisierte Risikokarte.
- Rechtskataster und Pflichtenverwaltung: Unser digitales Rechtskataster mit 9 KI-Agenten identifiziert alle für Ihr Unternehmen relevanten Compliance-Verpflichtungen und überwacht Rechtsänderungen automatisch. Neue oder geänderte Pflichten werden zeitnah analysiert und kommuniziert.
- CMS-Dokumentation: Wir erstellen praxistaugliche Compliance-Richtlinien — Verhaltenskodex, Anti-Korruptionsrichtlinie, Geschenke- und Einladungspolitik, Richtlinie zur Vermeidung von Interessenkonflikten, Umgang mit Subunternehmern.
- HinSchG-konforme Meldekanäle: Wir unterstützen Sie bei der Einrichtung interner Meldekanäle gemäß HinSchG — digital, vertraulich und mit dokumentiertem Bearbeitungsprozess.
- Schulungsprogramm: Wir entwickeln und führen zielgruppenspezifische Compliance-Schulungen durch — für die Geschäftsleitung, für Einkauf und Vertrieb, für Bauleiter und Projektleiter, für alle Mitarbeiter.
- Compliance Officer-Funktion: Wir übernehmen die Funktion des externen Compliance Officers oder qualifizieren Ihren internen Compliance-Beauftragten.
- Zertifizierungsbegleitung: Wir begleiten die ISO 37301-Zertifizierung von der Auditvorbereitung bis zur Nachbereitung.
Integration mit anderen Standards
Compliance ist ein Querschnittsthema, das alle Managementsystembereiche durchdringt. Die ISO 37301 lässt sich hervorragend in ein IMS integrieren.
ISO 27001 — Informationssicherheit: Informationssicherheits-Compliance ist ein wesentlicher Teilbereich des CMS. Die ISO 27001 fordert die Einhaltung gesetzlicher und vertraglicher Anforderungen an die Informationssicherheit (Control A.5.31 bis A.5.36). Ein integriertes CMS/ISMS vermeidet doppelte Rechtsregister und synchronisiert die Compliance-Überwachung. Insbesondere mit Blick auf NIS-2 wird die Integration von IT-Compliance in das Gesamt-CMS immer wichtiger.
EcoVadis — Nachhaltigkeitsbewertung: Der EcoVadis-Fragebogen bewertet explizit den Bereich "Ethik" — Anti-Korruption, Wettbewerbspraktiken, Informationssicherheit und Datenschutz. Ein zertifiziertes CMS nach ISO 37301 liefert die dokumentierten Nachweise, um im EcoVadis-Rating Spitzenwerte im Ethik-Bereich zu erreichen.
ISO 37001 — Anti-Korruptionsmanagement: Die ISO 37001 ist der spezifische Standard für Anti-Korruptions-Managementsysteme und ergänzt die ISO 37301 im Bereich Bestechungsprävention. Für Unternehmen, die international tätig sind oder auf Großbaustellen von Konzernen arbeiten, kann die zusätzliche ISO 37001-Zertifizierung ein Differenzierungsmerkmal sein.
IMS-Integration: Über die High Level Structure teilt sich die ISO 37301 die Kernstruktur mit ISO 9001, ISO 14001 und ISO 45001. Dokumentenlenkung, Managementbewertung, interne Audits und Kompetenzmanagement werden nur einmal aufgesetzt und decken alle Normen ab. Unser IMS-Konzept "Mission Zero" integriert Compliance nahtlos in das Qualitäts-, Umwelt- und Arbeitsschutzmanagement.
Hinweisgeberschutzgesetz (HinSchG): Seit Juli 2023 müssen Unternehmen ab 50 Mitarbeitern interne Meldekanäle betreiben. Die ISO 37301 fordert Whistleblowing-Mechanismen, die über die HinSchG-Anforderungen hinausgehen — aber wer ISO 37301 umsetzt, erfüllt automatisch auch das HinSchG. Die Integration spart Doppelstrukturen.
Häufige Fragen zur ISO 37301
Was ist der Unterschied zwischen ISO 37301 und ISO 19600?
Die ISO 19600:2014 war ein Leitfaden (Guidance Document) mit Empfehlungscharakter. Die ISO 37301:2021 enthält verbindliche Anforderungen (SHALL-Statements) und ist damit zertifizierbar. Inhaltlich baut die ISO 37301 auf der ISO 19600 auf, verschärft aber die Anforderungen an Risikobewertung, Unabhängigkeit der Compliance-Funktion und Konsequenzenmanagement.
Brauchen wir als mittelständisches Unternehmen wirklich ein CMS?
Ja, und zwar aus mehreren Gründen: (1) Haftungsminderung — ein funktionierendes CMS kann die persönliche Haftung der Geschäftsführung bei Compliance-Verstößen mildern (BGH-Rechtsprechung). (2) Auftragsvergabe — Großkunden und insbesondere Konzerne im Energiesektor verlangen zunehmend den Nachweis eines CMS von ihren Kontraktoren. (3) Versicherung — D&O-Versicherungen und Betriebshaftpflichtversicherungen honorieren nachweisbare Compliance-Strukturen. (4) Reputation — ein öffentlich bekannter Compliance-Verstoß kann das Unternehmen existenziell gefährden. Die ISO 37301-Zertifizierung formalisiert, was gute Unternehmensführung ohnehin verlangt.
Was kostet ein Compliance-Verstoß?
Die Kosten eines Compliance-Verstoßes gehen weit über Bußgelder hinaus. Direkte Kosten: Bußgelder (z.B. DSGVO bis 4 % des Jahresumsatzes, GWB bis 10 % des Jahresumsatzes, ArbSchG bis 25.000 EUR pro Verstoß), Schadensersatzforderungen, Anwaltskosten, Gerichtskosten. Indirekte Kosten: Auftragsausschlüsse bei öffentlichen Vergaben (§ 124 GWB), Kündigung von Kontrakten durch Großkunden, Reputationsschäden, Abwanderung von Mitarbeitern, erhöhte Versicherungsprämien. Persönliche Konsequenzen: Geschäftsführerhaftung mit Privatvermögen (§ 43 GmbHG), strafrechtliche Konsequenzen bei vorsätzlichen Verstößen.
Wie setzen wir das Hinweisgeberschutzgesetz um?
Das HinSchG fordert von Unternehmen ab 50 Mitarbeitern die Einrichtung einer internen Meldestelle. Meldungen müssen vertraulich entgegengenommen, innerhalb von 7 Tagen bestätigt und innerhalb von 3 Monaten bearbeitet werden. Der Hinweisgeber muss vor Repressalien geschützt werden. Technisch kann die Meldestelle als digitales Portal, telefonische Hotline oder physischer Briefkasten eingerichtet werden. Wir empfehlen eine digitale Lösung, die Anonymität ermöglicht und den Bearbeitungsprozess dokumentiert. Die Meldestelle kann intern betrieben oder an einen externen Dienstleister (z.B. Rechtsanwalt oder spezialisierten Anbieter) ausgelagert werden.
Wie lange dauert die CMS-Einführung?
Für ein mittelständisches Unternehmen mit 50 bis 200 Mitarbeitern rechnen wir mit 6 bis 10 Monaten von der Compliance-Risikobewertung bis zur Zertifizierungsreife. Der Zeitbedarf hängt von der Komplexität Ihres Geschäfts, der Anzahl der relevanten Compliance-Bereiche und dem Reifegrad bestehender Strukturen ab. Wenn Sie bereits ein QMS nach ISO 9001 betreiben, können Sie die gemeinsamen HLS-Elemente übernehmen und so 2 bis 3 Monate sparen.
Kann der Compliance Officer auch andere Funktionen wahrnehmen?
Ja, insbesondere in kleineren Unternehmen ist eine Personalunion üblich — z.B. mit dem Qualitätsmanagement-Beauftragten oder dem Datenschutzbeauftragten. Die ISO 37301 fordert jedoch, dass keine Interessenkonflikte bestehen. Ein Vertriebsleiter als Compliance Officer wäre problematisch, weil er Umsatzziele und Compliance-Regeln abwägen müsste. Wir empfehlen für kleinere Unternehmen die Lösung eines externen Compliance Officers, der Unabhängigkeit garantiert und gleichzeitig kosteneffizient ist.
Referenzen
Unsere Compliance-Kompetenz in der Industriepraxis:
- Altrad Group (42.000 Mitarbeiter weltweit): Beratung zum CMS-Aufbau mit Fokus auf Anti-Korruption, Subunternehmer-Compliance und internationale Compliance-Anforderungen über europäische Standorte
- ETABO Energietechnik und Anlagenservice GmbH / PSS Group (1.200 Mitarbeiter): Compliance-Management als integraler Bestandteil des IMS "Mission Zero" — besonderer Fokus auf Arbeitsschutz-Compliance und Subunternehmer-Management
- IAB Group: CMS-Beratung für Industriemontage mit Schwerpunkt auf Arbeitnehmerüberlassung und Mindestlohn-Compliance in der Lieferkette
- Industrieservice Peeters GmbH: Compliance-Risikobewertung und HinSchG-Umsetzung für den Industrieservice-Bereich
Unsere Zahlen
| Kennzahl | Wert |
|---|---|
| Betreute Kunden | 559 |
| Erstellte Gefährdungsbeurteilungen | 967 |
| Compliance-Quote im Erstaudit | 97,9 % |
| Betreute Normen und Standards | 17 |
| KI-gestützte Compliance-Agenten | 9 |
| Standorte | 4 (Troisdorf, Wesseling, Ludwigshafen, Hagen) |
Jetzt Beratung anfragen
Sie möchten Ihre Compliance systematisch aufstellen oder brauchen Unterstützung bei der HinSchG-Umsetzung? Wir bieten Ihnen ein kostenloses Erstgespräch mit Compliance-Quick-Check.
NovoCert by WS Anlagentechnik GmbH Königsberger Str. 23 | 53840 Troisdorf Tel: +49 152 57877899 E-Mail: Consulting@ws-anlagentechnik.de
Standorte für Vor-Ort-Beratung: - Troisdorf (Zentrale) - Wesseling (Chemiepark-Region) - Ludwigshafen (SIEGEL Akademie) - Hagen (SE Bildung)
Compliance ist kein Kostenfaktor — sie ist Ihr Schutzschild gegen existenzielle Risiken.
Verwandte Themen: ISO 27001 — Informationssicherheit | EcoVadis — Nachhaltigkeitsbewertung | ISO 9001 — Qualitätsmanagement