Compliance ist längst mehr als nur die Einhaltung gesetzlicher Vorgaben – sie ist ein zentraler Bestandteil verantwortungsvoller Unternehmensführung, insbesondere in international agierenden Konzernen. Während die Konzernmutter zentrale Standards und Richtlinien vorgibt, stehen Tochtergesellschaften häufig vor der Herausforderung, diese unter lokalen rechtlichen, kulturellen und operativen Rahmenbedingungen wirksam umzusetzen. Im Interview erläutern Carola Stark, Corporate Counsel & Compliance Officer bei FUCHS SE, und Dr. Ines Marin, Head of Legal & Compliance bei der TÜV SÜD Product Service GmbH, wo typische Reibungspunkte liegen, warum der „One-size-fits-all“-Ansatz oft nicht greift und welche Wege sich in der Praxis bewährt haben.
DB: Welche typischen Herausforderungen gibt es bei der Umsetzung konzernweiter Compliance-Vorgaben für Tochterunternehmen?
Marin: Eine zentrale Herausforderung ist der in Konzernen typische „One-size-fits-all“-Ansatz, bei dem zentrale Compliance Vorgaben nicht ausreichend auf lokale, rechtliche, kulturelle und operative Besonderheiten eingehen können. Zudem sind in Tochtergesellschaften häufig Ressourcen wie Personal und Budget begrenzt, was bisweilen die lokale Implementierung umfangreicher bzw. komplexer Vorgaben erschwert. Unklare Zuständigkeiten und fehlende Delegationskonzepte tun ein Übriges. Schließlich können auch technische Fragen wie die Verwendung von IT-Systemen und Stammdatenmanagement in der Praxis Herausforderungen mit sich bringen. Dabei können Matrixstrukturen in Konzernen Herausforderung und Lösung zugleich sein.
DB: Wo entstehen aktuell die größten Reibungspunkte zwischen Konzernzentrale und Tochtergesellschaft in Bezug auf Compliance – organisatorisch oder kulturell?
Stark: Organisatorisch können Reibungspunkte durch unklare Rollendefinitionen und fehlende Kommunikation zwischen Konzernzentrale und Tochtergesellschaften entstehen. Kulturell können unterschiedliche Auffassungen von Compliance zu Missverständnissen führen. Beispielsweise kann ein zentral vorgegebenes Whistleblowing-System in bestimmten Ländern auf Skepsis stoßen, wenn dort eine Kultur des direkten Austauschs bevorzugt wird oder vormals ein eigenes ausschließlich lokales System implementiert war.
Marin: Zusätzlich zu kulturellen Missverständnissen kann Konfliktpotential in der Unklarheit oder dem Fehlen von Eskalationspfaden und Freigabeprozesse liegen. Wenn z. B. lokale Compliance Officer bei kritischen Entscheidungen keine Entscheidungsbefugnis haben, aber dennoch haftungsrechtlich mitverantwortlich sind, entsteht ein strukturelles Dilemma.
DB: Was sind aus Ihrer Sicht die gefährlichsten Missverständnisse der Konzernmutter bei der Entwicklung von Compliance-Vorgaben für Töchter?
Stark: Ein häufiges Missverständnis ist die Annahme, dass zentrale Vorgaben universell anwendbar sind. Dabei wird oft übersehen, dass lokale Gesetze und kulturelle Besonderheiten Anpassungen erfordern.
Beispielsweise können global ausgerollte Anti-Korruptionsrichtlinien in Tochtergesellschaften zu Missverständnissen führen – etwa wenn lokale Gesetze strengere Vorgaben machen, z. B. strafbewährte Verbote von Zuwendungen an Amtsträger oder Einschränkungen auf bestimmte Anlässe wie Hochzeiten oder Beerdigungen. Auch branchenspezifische Regelungen, etwa im Gesundheitswesen, spielen eine Rolle. Umgekehrt kann die globale Richtlinie als zu restriktiv wahrgenommen werden, wenn sie mit kulturell üblichen Praktiken wie Geschenken oder Bewirtung kollidiert. Hier besteht oft Unsicherheit darüber, welche Ausnahmen zulässig sind und wie flexibel die Vorgaben ausgelegt werden dürfen.
Ein weiteres Beispiel sind deutsche Tochtergesellschaften von US-amerikanischen Konzernmüttern, die bei der Implementierung von Konzernrichtlinien oftmals auf Schwierigkeiten stoßen, weil diese die Besonderheiten der Mitbestimmung nach dem deutschen Betriebsverfassungsgesetz nicht ausreichend berücksichtigen.
Ein weiterer blinder Fleck ist die Vernachlässigung der praktischen Umsetzbarkeit vor Ort, insbesondere wenn Ressourcen knapp sind. Überträgt z.B. die Konzernmutter Aufgaben pauschal top-down, ohne klare Zuständigkeiten, ausreichende Ressourcen oder die nötige Entscheidungskompetenz an ihre Tochtergesellschaften, in denen Mitarbeiter Compliance-Aufgaben zusätzlich zu ihrer eigentlichen Tätigkeit übernehmen – meist ohne die nötige Zeit oder fachliche Qualifikation – sind Konflikte und Haftungsrisiken vorprogrammiert.
Regelmäßig führt auch unzureichende fehlende IT-Infrastruktur zu Konflikten zwischen der Konzernmutter und ihren Tochtergesellschaften. Etabliert die Konzernmutter konzernweit digitale Tools, ohne zuvor die Systemlandschaften in den Tochtergesellschaften zu berücksichtigen, beispielsweise ein zentrales Tool zur Sanktionsprüfung, dass technisch nicht an lokale Systeme anschließbar ist, entsteht nicht nur ein Compliance-Risiko, sondern auch Frustration auf operativer Ebene.
Marin: Neben einer ausreichende Ressourcenausstattung empfiehlt sich daher ein klares Delegationskonzept mit definierten Eskalationsgrenzen, kombiniert mit Rollenkatalogen und Funktionsbeschreibungen für Local Compliance Officer, etwa im Rahmen eines konzernweiten Compliance Governance Frameworks. Dies sollte sowohl auf organisatorischer als auch auf individueller Ebene erfolgen. Um Missverständnissen und Risiken insgesamt wirksam vorzubeugen, bedarf es einer vertrauensvollen Kommunikation mit den richtigen Ansprechpartnern, die es zu kennen und zu verstehen gilt. Top-down-Kommunikation ohne Dialogbereitschaft unterminiert die Wirksamkeit jeder Maßnahme.
DB: Wie erleben Sie die Implementierung konzernweiter Hinweisgebersysteme unter nationalen Gesetzgebungen?
Marin: Die Implementierung konzernweiter Hinweisgebersysteme ist komplex, da nationale Gesetzgebungen unterschiedliche Anforderungen stellen. So hat die zugrunde liegende EU-Richtlinie nicht zu einer echten Vereinheitlichung geführt, aufgrund der divergierenden Umsetzungen in den Ländern. Was in einem Land zulässig ist (z. B. zentrale Konzernmeldestelle), kann in einem anderen Land rechtlich problematisch sein oder zusätzliche Anforderungen mit sich bringen. Zudem kann die kulturelle Akzeptanz solcher Systeme variieren. Eine erfolgreiche Implementierung erfordert daher eine sorgfältige Anpassung an lokale Gegebenheiten und eine transparente Kommunikation.
Stark: Viele Konzerne nutzen heute zentral gesteuerte Systeme, häufig mit SAP-Integration oder extern gehostet (z. B. durch Legal-Tech-Anbieter). Technisch ergeben sich Probleme bei der Schnittstellenfähigkeit mit lokalen Systemen, datenschutzrechtlich durch unterschiedliche nationale Anforderungen an Anonymität, Speicherorte und Rückmeldepflichten. Gerade hier ist eine abgestimmte Governance entscheidend, z. B. über gemeinsame Mindeststandards für alle Konzerngesellschaften.
DB: Datenschutz ist ein sensibles Thema, gerade bei grenzüberschreitender Compliance. Wie geht man in Tochterunternehmen mit widersprüchlichen oder unvereinbaren Datenschutzvorgaben um?
Stark: Das Wichtigste ist, potenzielle Konflikte frühzeitig zu erkennen. Die Datenschutzvorgaben in allen relevanten Ländern sollten regelmäßig analysiert und systematisch dokumentiert werden, und wo es Unterschiede oder sogar Widersprüche gibt, zum Beispiel zwischen der DSGVO und Gesetzen wie dem U.S. CLOUD Act oder chinesischen Cybersicherheitsvorgaben.
Festgestellte Konflikte werden anschließend im Rahmen einer Legal Gap Analysis bewertet. Dabei geht es nicht nur um die Frage, was rechtlich unvereinbar ist, sondern auch darum, welche Anforderungen sich durch organisatorische oder technische Maßnahmen überbrücken lassen, etwa durch Verschlüsselung, Zugriffsbeschränkungen oder Datenlokalisierung. Besonders wichtig ist eine klare Priorisierung: In welchem Land hat welche Regel Vorrang? Viele Vorschriften gelten extraterritorial, was zu echten Zielkonflikten führen kann. Diesbezügliche Risiken sollten gezielt abgewägt und Entscheidungen nachvollziehbar dokumentiert werden, auch als Schutz gegenüber Aufsichtsbehörden. Auf dieser Basis können konzernweite Datenschutzrichtlinien entwickelt werden, die lokal anpassbar sind. So werden den Tochtergesellschaften klare Leitlinien an die Hand gegeben, ohne sie in rechtlich problematische Situationen zu bringen. Und nicht zuletzt ist die interne Abstimmung entscheidend: Eine enge Zusammenarbeit zwischen der Konzernzentrale und den lokalen Datenschutzbeauftragten durch regelmäßige Schulungen, Abstimmungsrunden und ein funktionierendes DPO-Netzwerk ist unerlässlich.
DB: Beim Thema Business Partner Due Diligence stoßen viele Töchter auf mangelnde Datenqualität oder schlechte Systemintegration. Was sind hier Ihre praktischen Lösungsansätze?
Marin: Um die Herausforderungen bei der Business Partner Due Diligence zu bewältigen, hat es sich bewährt auf die Einführung zentraler Datenbanken mit standardisierten Prozessen zur Datenerfassung und -pflege zu setzen. Zudem fördern wir die Integration von IT-Systemen zwischen Konzernzentrale und Tochtergesellschaften, um einen reibungslosen Informationsfluss zu gewährleisten.
Eine zentrale Maßnahme wäre zudem der Aufbau eines konzernweiten, aber lokal anpassbaren Third-Party-Risikoregisters. In der Praxis empfiehlt sich die Integration mit bereits genutzten ERP-Systemen (Enterprise Resource Planning Systeme), um Redundanzen zu vermeiden. Zudem setzen einige Unternehmen auf KI-gestützte Lösungen, die automatisch öffentliche Risikodatenbanken (z. B. Dow Jones, WorldCheck) abgleichen. Wichtig ist zudem, lokale Ansprechpartner für Datenvalidierung in einer Rolle zu definieren, die lokalen Verantwortlichen zu benennen und regelmäßig zu schulen.
DB: Konzernvorgaben kommen häufig mit einem One-size-fits-all-Ansatz. Wie schaffen Tochterunternehmen es, lokale Risikobewertungen gegenüber der Konzernmutter geltend zu machen?
Marin: Tochterunternehmen können lokale Risikobewertungen durch regelmäßige Berichterstattung und den Aufbau von Kommunikationskanälen zur Konzernzentrale einbringen. Die Einrichtung von lokalen Compliance-Teams, die eng mit der Konzernzentrale zusammenarbeiten, ermöglicht es, spezifische Risiken und Anforderungen zu identifizieren und entsprechende Anpassungen der Konzernvorgaben zu veranlassen. Ein bewährter Weg ist die Einrichtung von konzernweiten Steuerungsgremien – wie Compliance Steering Committees –, in denen Töchter mit Sitz und Stimme vertreten sind. Dort können konkrete lokale Risikoprofile eingebracht und Maßnahmen „co-designed“ werden. Zusätzlich helfen lokale Risiko-Assessments mit quantitativer Bewertung („Scoring“), um den Konzern von der Relevanz zu überzeugen.
DB: Wie geht man mit widersprüchlichen Richtlinien um, die aus verschiedenen Konzernabteilungen kommen? Gibt es Mechanismen zur Harmonisierung oder Eskalation?
Stark: Für den Fall von widersprüchlichen Richtlinien ist es entscheidend, einen klaren Eskalationsprozess zu etablieren. Dies kann durch die Einrichtung eines zentralen Compliance-Gremiums erfolgen, das Richtlinien prüft und harmonisiert. Zudem sollten regelmäßige Abstimmungen zwischen den Konzernabteilungen stattfinden, um Konflikte frühzeitig zu erkennen und zu lösen („Stakeholdermanagement“).
Marin: Es hat sich als ein effektives Mittel erwiesen, konzernweite Richtlinienkataloge mit einem übergeordneten Regelungshierarchie-System zu implementieren (z. B. Group Policies > Bereichsrichtlinien > lokale Arbeitsanweisungen). Unterstützend wirken zudem digitale Compliance-Management-Systeme (CMS), die ein Policy-Tracking ermöglichen. Wichtig wäre auch die Implementierung einer zentralen Koordinierungsstelle (häufig in Corporate QM integriert oder als eigenes Policy / Governance Office), die alle Konzernvorgaben vor Veröffentlich auf Konsistenz und Harmonisierung prüft und ggf. auch den Prozess (vorübergehend) stoppt.
DB: Was würde konkret helfen, Zuständigkeiten eindeutiger zu gestalten, gerade in Matrixorganisationen mit horizontalen Delegationen?
Marin: In Matrixorganisationen ist es hilfreich, klare Kommunikations- und Berichtswege zu etablieren. Die Erstellung von RACI-Matrizen (Responsible, Accountable, Consulted, Informed) kann dabei unterstützen, Verantwortlichkeiten transparent zu machen. Zudem sollten regelmäßige Meetings zwischen den verschiedenen Funktionseinheiten stattfinden, um Abstimmungen zu erleichtern.
Stark: Neben der RACI-Matrix ist der Einsatz eines „Compliance Responsibility Matrix Tools“ sinnvoll, in dem Verantwortlichkeiten für jede Regelungsart und Prozessphase (z. B. Umsetzung, Überwachung, Eskalation) systematisch dokumentiert werden. Auch die Einführung eines gruppenweiten Governance Committees, das regelmäßig Zuständigkeitskonflikte adressiert, kann sich als zielführend erweisen.
DB: Wie erleben Sie in der Praxis die Kommunikation von Compliance-Themen aus Konzernzentralen? Ist sie in der Regel eher Top-down oder partnerschaftlich?
Marin: Die Kommunikation von Compliance-Themen erfolgt oftmals aus nachvollziehbaren Gründen top-down, was jedoch zu einem Mangel an lokalem Engagement führen kann. Eine partnerschaftliche Kommunikation, die den Austausch von Erfahrungen und Best Practices fördert, hat sich als effizient bewährt. Fortschrittliche Unternehmen etablieren zunehmend sogenannte „Compliance Dialog Formate“ (z. B. Round Tables oder „Lessons Learned“ oder „Best Practice“-Foren) für einen Austausch auf Augenhöhe. Dabei ist besonders der Einsatz interaktiver Plattformen (z. B. SharePoint-Lösungen oder interne Compliance-Netzwerke), Verfolgung gemeinsamer Projekte und Workshops als auch offene Feedback-Kanäle zwischen dem lokalen Compliance Officer und der Konzernzentrale ein Erfolgsfaktor.
DB: Wären regelmäßige Austauschformate wie Compliance Committees oder Steering Groups hilfreich?
Marin: Ja, unbedingt. Regelmäßige Austauschformate wie Compliance Committees oder Steering Groups sind äußerst hilfreich und haben sich bewiesen. Sie fördern den Dialog zwischen Konzernzentrale und Tochtergesellschaften, ermöglichen den Austausch von Erfahrungen und tragen zur Harmonisierung von Compliance-Standards bei. Empfehlenswert ist, diese interdisziplinär zu besetzen (z.B. Compliance, Recht, QM, IT, Audit, Datenschutz) und regional zu untergliedern – etwa als EMEA- oder APAC-Compliance-Boards. Solche Gremien ermöglichen nicht nur frühzeitige Risikodetektion, sondern schaffen auch Ownership in den Einheiten. Wichtig ist, dass diese Foren auch Entscheidungs- und Eskalationsbefugnisse haben, nicht nur beratende Funktion.
DB: Welche Formate oder Tools empfehlen Sie, um den Wissenstransfer und Erfahrungsaustausch konzernweit zu stärken?
Stark: Zur Stärkung des Wissenstransfers empfehlen sich digitale Plattformen für den Austausch von Dokumenten und Best Practices, regelmäßige Webinare und Schulungen sowie die Einrichtung von Mentoring-Programmen. Zudem können interne Newsletter und Foren den kontinuierlichen Informationsfluss unterstützen. Neben digitalen Knowledge-Plattformen setzen sich auch „Compliance Community Days“, interne Learning Circles und digitale Best-Practice-Datenbanken durch. Einige Unternehmen nutzen auch AI-basierte Chatbots für Compliance-Fragen oder bieten interaktive Trainingsformate über Microlearning-Apps an. Entscheidend ist, dass der Zugang niedrigschwellig und mehrsprachig ist.
DB: Welche Rolle spielt Legal Tech oder KI-basiertes Monitoring bereits heute und wo sehen Sie Potenziale für die Zukunft?
Marin: Legal Tech und KI-basiertes Monitoring spielen eine zunehmend wichtige Rolle im Compliance-Management. Sie ermöglichen die Automatisierung von Routineaufgaben, die frühzeitige Erkennung von Risiken und die effiziente Analyse großer Datenmengen. In Zukunft könnten diese Technologien noch stärker in Entscheidungsprozesse integriert werden und proaktive Compliance-Strategien unterstützen. Bereits heute werden Tools zur Automatisierung von Rechtsmonitoring, Vertragsprüfung oder Transaktionsscreening eingesetzt. Zukünftig wird KI verstärkt zur Analyse von Verhaltensdaten (z. B. E-Mail- oder Chatverhalten) eingesetzt, um „Red Flags“ frühzeitig zu erkennen oder Hinweise auf Verstöße zu untersuchen. Wichtig ist dabei eine transparente Governance, um Datenschutz und ethische Grenzen zu wahren, etwa durch konzernweite KI-Ethikrichtlinien.
DB: Gibt es Fälle, in denen technische Hürden zu rechtlichen Risiken geführt haben, etwa beim Sanktionslistenscreening oder bei ESG-Reporting-Pflichten?
Stark: Ja, technische Limitierungen können in der Praxis erhebliche rechtliche Risiken nach sich ziehen, insbesondere dann, wenn sie zentrale Compliance-Prozesse wie das Sanktionslistenscreening oder ESG-Berichtspflichten betreffen. Ein klassisches Beispiel ist die mangelnde Systemintegration: Wenn etwa ein ERP-System – wie SAP – nicht oder nur unvollständig mit einer aktuellen Sanktionsdatenbank verknüpft ist, besteht die konkrete Gefahr, dass Transaktionen mit sanktionierten Personen oder Organisationen nicht rechtzeitig erkannt und gestoppt werden. In einem solchen Fall kann sich eine Tochtergesellschaft trotz interner Sensibilisierung einer Mitverantwortung nicht entziehen, insbesondere bei faktischer oder wirtschaftlicher Kontrolle durch die Konzernmutter.
Auch im Bereich ESG zeigt sich, wie sehr Compliance inzwischen von belastbaren Datenstrukturen abhängt: Für ein rechtssicheres ESG-Reporting müssen Informationen aus unterschiedlichen operativen Bereichen – etwa Umweltkennzahlen, HR-Daten oder Lieferantenscreenings – systematisch zusammengeführt werden. In vielen Tochtergesellschaften fehlt es jedoch an einem konsolidierten Reporting-Framework oder an klar definierten Verantwortlichkeiten für die Datenqualität. Die Folge sind Inkonsistenzen, die im Rahmen von Nachhaltigkeitsaudits, Berichterstattungspflichten nach der CSRD oder in Vertragsverhältnissen mit Geschäftspartnern haftungsrechtlich relevant werden können. Um diese Risiken zu adressieren, setzen einige Unternehmen inzwischen auf zentrale ESG-Datenplattformen mit automatisierten Risikoanalysen und Schnittstellen zu bestehenden Tools.
Marin: In der Abwägung gilt: Trotz der technischen Komplexität ist der Einsatz solcher IT-Systeme und -Tools langfristig ein Risiko mindernder Faktor. Entscheidend ist allerdings, dass Implementierung, Pflege und Governance auch auf Tochterebene mitgedacht und mitgetragen werden.
DB: Frau Strak, Frau Dr. Marin, vielen Dank für das spannende Interview!
Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.
Dr. Ines Marin ist Head of Legal & Compliance (Syndikusrechtsanwältin) sowie Local Compliance Officer bei der TÜV SÜD Product Service GmbH mit Sitz in München. Zuvor war sie mehrere Jahre als Senior Corporate Compliance Officer bei der TÜV SÜD AG tätig. Die in diesem Interview vertretenen Ansichten geben ausschließlich ihre persönliche Auffassung wieder.
Carola Stark ist Fachanwältin für Handels- und Gesellschaftsrecht und Corporate Counsel & Compliance Officer bei der FUCHS SE in Mannheim. Das Interview erfolgte während ihrer vorherigen Tätigkeit als Counsel bei Pohlmann & Company. Die in diesem Interview vertretenen Ansichten geben ausschließlich ihre persönliche Auffassung wieder.
