Compliance Officer

Funktionsträger zur Sicherstellung der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben innerhalb einer Gesellschaft.

Definition

In regulierten Branchen wie Banken, Versicherungen oder Pharma ist die Funktion zwingend vorgeschrieben. In nicht regulierten KMU wird sie freiwillig oder aufgrund vertraglicher Anforderungen von Geschäftspartnern, Investoren oder Auftraggebern eingerichtet. Die Bedeutung der Funktion wächst durch zunehmende Regulierung, internationale Sanktionsregime und verschärfte Erwartungen an Corporate Governance.

Aufgaben und Rechtsgrundlage

Im OR ist der Compliance Officer nicht explizit geregelt. Die Pflichten zur sorgfältigen Unternehmensführung nach OR Art. 716a (Oberaufsicht) und OR Art. 717 (Sorgfalts- und Treuepflicht) verlangen in der Praxis ab einer gewissen Grösse eine eigenständige Funktion.

Branchenspezifische Grundlagen:

Finanzindustrie: FINMA-Rundschreiben 2017/1 (Corporate Governance Banken), Geldwäschereigesetz GwG, Bankengesetz BankG.
Versicherungen: Versicherungsaufsichtsgesetz VAG, FINMA-Rundschreiben 2016/1 (ICS).
Pharma und Medtech: Heilmittelgesetz HMG, internationale Standards (FCPA, UK Bribery Act).
Lebensmittel: Lebensmittelgesetz LMG, branchenspezifische Standards.

Die Kernaufgaben umfassen:

Compliance-Risiken identifizieren und bewerten (Risikoinventar, Risiko-Heatmap).
Compliance-Programm aufbauen (Verhaltenskodex, Richtlinien, Prozesse).
Kontrollen implementieren und überwachen.
Whistleblower-Meldungen entgegennehmen und untersuchen.
Schulungen für Mitarbeitende und Führungskräfte durchführen.
Compliance-Reporting an Geschäftsleitung und Verwaltungsrat verantworten.
Schnittstelle zu Aufsichtsbehörden bilden.
Untersuchung von Compliance-Vorfällen koordinieren.

Praxis Schweiz

In Schweizer Konzernen ist der Compliance Officer typischerweise auf Stufe direkt unter Geschäftsleitung angesiedelt, oft mit einer fachlichen Berichtslinie an das Audit Committee. Eine duale Berichtslinie zu CEO und VR ist Best Practice, um die Unabhängigkeit zu sichern. In Banken und Versicherungen ist diese Struktur durch FINMA-Vorgaben konkretisiert.

In KMU ist die Funktion oft kombiniert mit anderen Rollen wie General Counsel, CFO oder Head Risk. Eine ressourcenschwache Compliance-Funktion ist allerdings ein klassisches Risiko: ohne Zeit und Mandat bleibt sie Papier. Externe Compliance-Mandate (Outsourcing an spezialisierte Kanzleien) sind eine pragmatische Lösung für mittelgrosse Strukturen.

Der VR muss sicherstellen, dass die Compliance-Funktion drei Kriterien erfüllt: ausreichende Ressourcen, organisatorische Unabhängigkeit und ein direkter Berichtszugang zum VR oder zum Audit Committee. Eine jährliche Effektivitätsprüfung der Compliance-Funktion ist Standard in regulierten Branchen und wird zunehmend auch in nicht regulierten Konzernen eingeführt.

Die typische Sitzungsfrequenz für Compliance-Reporting im VR oder Audit Committee liegt bei vier bis sechs Mal jährlich, mit Ad-hoc-Reporting bei kritischen Vorfällen.

Häufige Fehler

Klassische Schwächen in der Praxis:

Compliance als Pflichtübung ohne echte Einbettung in die Unternehmenskultur.
Unzureichende Ressourcen, der Compliance Officer ist überlastet.
Fehlende Unabhängigkeit, der Compliance Officer berichtet ausschliesslich an operative Vorgesetzte.
Kein direkter Zugang zum VR oder Audit Committee.
Schulungen werden formal durchgeführt, ohne echte Verhaltensänderung.
Whistleblower-Hinweise werden nicht ernsthaft untersucht oder bleiben folgenlos.
Compliance-Reporting ohne klare Eskalations-Kriterien.
Kombination mit Funktionen, die Interessenkonflikte erzeugen (z.B. Compliance Officer ist gleichzeitig Sales Director).
Fehlende periodische Effektivitätsprüfung.

Abgrenzung

Datenschutzbeauftragter: spezialisiert auf Datenschutz nach DSG und DSGVO, Compliance Officer hat ein breiteres Mandat.
General Counsel: rechtliche Beratung in allen Geschäftsfeldern, der Compliance Officer fokussiert auf systemische Einhaltung von Regeln.
Risk Manager: bewertet alle Risiken (operationell, strategisch, finanziell), Compliance Officer fokussiert auf Compliance-Risiken.
Internal Audit: prüft auch die Wirksamkeit der Compliance-Funktion, ist aber unabhängig davon.
Audit Committee: Aufsichtsorgan, der Compliance Officer ist operativer Funktionsträger.

Häufige Fragen

Was ist ein Compliance Officer?

Der Compliance Officer ist der Funktionsträger einer Gesellschaft, der für die Sicherstellung der Einhaltung sämtlicher gesetzlicher, regulatorischer und interner Vorgaben verantwortlich ist. Er identifiziert Compliance-Risiken, baut Kontrollen auf, schult die Mitarbeitenden und berichtet an die Geschäftsleitung und an den Verwaltungsrat. In regulierten Branchen (Banken, Versicherungen, Pharma) ist die Funktion oft zwingend, in anderen Branchen wird sie freiwillig oder vertraglich eingerichtet.

Ist ein Compliance Officer in der Schweiz gesetzlich vorgeschrieben?

Im OR ist der Compliance Officer nicht explizit geregelt, die Pflichten zur sorgfältigen Unternehmensführung (OR Art. 716a, 717) verlangen aber in der Praxis ab einer gewissen Grösse eine eigenständige Funktion. In der Finanzindustrie ist die Funktion zwingend (FINMA-Rundschreiben 2017/1, Geldwäschereigesetz), in der Pharma-, Medtech- und Lebensmittelindustrie ergibt sie sich aus branchenspezifischen Regularien. In nicht regulierten KMU ist sie freiwillig, aber zunehmend erwartet.

Welche Aufgaben hat ein Compliance Officer?

Kernaufgaben sind: Compliance-Risiken identifizieren und bewerten, ein Compliance-Programm aufbauen (Richtlinien, Verhaltenskodex, Schulungen), Kontrollen implementieren, Whistleblower-Meldungen entgegennehmen und untersuchen, Schulungen durchführen, das Compliance-Reporting an Geschäftsleitung und Verwaltungsrat verantworten und die Schnittstelle zu Aufsichtsbehörden bilden. Er ist Sparringpartner für Management und Recht.

Wie ist der Compliance Officer organisatorisch eingebettet?

In grösseren Gesellschaften berichtet er direkt an den CEO oder den General Counsel, in regulierten Branchen zusätzlich an das Audit Committee oder ein eigenes Risk and Compliance Committee. Wichtig ist die organisatorische Unabhängigkeit von operativen Bereichen, um Interessenkonflikte zu vermeiden. In KMU wird die Funktion oft mit dem General Counsel, dem CFO oder dem Risk Manager kombiniert.

Was unterscheidet Compliance Officer und Datenschutzbeauftragten?

Der Compliance Officer verantwortet das gesamte Compliance-Spektrum (Korruption, Geldwäscherei, Sanktionen, Kartellrecht, Arbeitsrecht). Der Datenschutzbeauftragte hat eine fokussierte Funktion auf Datenschutz nach revidiertem DSG und allenfalls DSGVO. In kleineren Strukturen werden beide Rollen oft kombiniert, bei grösseren Gesellschaften und in regulierten Branchen sind sie getrennt.

Welche Verantwortung hat der VR für Compliance?

Der VR trägt die Oberaufsicht über das Compliance-System (OR Art. 716a Abs. 1 Ziff. 5). Er muss sicherstellen, dass ein angemessenes Compliance-Programm besteht, dass die Compliance-Funktion ausreichend ausgestattet ist und dass das Reporting funktioniert. Bei Versagen haftet der VR persönlich und solidarisch nach OR Art. 754, die Delegation an einen Compliance Officer entlastet nicht von der Aufsichtspflicht.

Wie wird die Wirksamkeit gemessen?

Typische Indikatoren sind: Anzahl und Schwere der Compliance-Vorfälle, Bearbeitungsdauer von Meldungen, Schulungsabdeckung, IKS-Testergebnisse, regulatorische Feststellungen, externes Benchmarking. Eine periodische externe Wirksamkeitsprüfung (Compliance Effectiveness Review) ist Best Practice. Quantitative und qualitative Metriken werden kombiniert.

Wer haftet bei Compliance-Versagen?

Primär haftet die Gesellschaft (OR Art. 102 StGB, strafrechtliche Verantwortlichkeit des Unternehmens). Persönlich haften die Geschäftsleitung und der VR nach OR Art. 754. Der Compliance Officer haftet als Funktionsträger nach arbeitsrechtlichen Grundsätzen, bei grober Fahrlässigkeit auch zivilrechtlich. Strafrechtliche Verantwortung kann ihn treffen, wenn er Vorgesetzten gegenüber pflichtwidrig schweigt.