Compliance in sozialen Organisationen: Zwischen Vertrauen und Kontrolle

„Compliance“ – die Einhaltung von Gesetzen, Vorschriften und Richtlinien – ist heute ein unverzichtbarer Bestandteil verantwortungsvoller Organisationsführung. Auch Organisationen der Sozialwirtschaft sollten es ganz oben auf ihre Agenda setzen, denn an sie werden oft deutlich höhere Ansprüche in Bezug auf Transparenz, Integrität und ethisches Verhalten gestellt. Kommt es zu Verstößen durch die Führungsebene, Mitarbeiter*innen oder Gremien, sind die Folgen oft gravierend. In diesem Beitrag erklären wir, warum Compliance kein bürokratischer Selbstzweck ist, sondern Organisationen hilft, Risiken zu minimieren und für einen sicheren Rahmen zu sorgen.

Ein einzelner Compliance-Verstoß kann das Vertrauen in die gesamte Organisation erschüttern

Compliance-Verstöße können auf den verschiedensten Ebenen einer Organisation entstehen. Sie reichen von Datenschutzverletzungen über verdeckte Interessenkonflikte bis hin zu diskriminierendem Verhalten gegenüber Mitarbeiter*innen oder Klient*innen.

Auch im Rahmen der Mittelverwendung lassen sich in der Praxis immer wieder Verstöße unterschiedlichen Ausmaßes beobachten. Dazu gehören beispielsweise die unzureichende Beachtung geltender Zuwendungsbescheide, eine mangelhafte Dokumentation der Verwendung von Fördermitteln oder unzulässige Querfinanzierungen. Mögliche Folgen sind strafrechtliche Ermittlungen, hohe Bußgelder oder die persönliche Haftung von Verantwortlichen. Hinzu kommen Risiken wie der

Gelangen entsprechende Verstöße an die Öffentlichkeit, so können sowohl Mittelfehlverwendungen als auch der vermeintlich kleinste Compliance Verstoß zu einem ausgewachsenen und langfristigen Reputationsschaden führen. Denn gerät eine Organisation in die Schlagzeilen, schwindet das Vertrauen von Spender*innen, Fördermittelgeber*innen und öffentlichen Stellen. Ein solcher Vertrauensverlust lässt sich nur schwer revidieren – und gefährdet schlimmstenfalls die Existenzgrundlage der gesamten Organisation.

Compliance-Management-System als Schutzfaktor

Damit es erst gar nicht so weit kommt und alle Beteiligten – von den haupt- und ehrenamtlichen Mitarbeiter*innen über die Gremien bis hin zu den Menschen, für die Verantwortung übernommen wird – sich in einem sicheren Rahmen bewegen, empfiehlt sich der Aufbau eines Compliance-Management-System (CMS). Darunter zu versehen ist ein strukturiertes Maßnahmenpaket, mit dem alle Akteur*innen in die Lage versetzt werden, interne und externe Vorgaben zu erfüllen und sich regelkonform zu verhalten. Ein CMS besteht idealerweise aus mehreren Komponenten, die ineinandergreifen:

• eine gelebte Compliance-Kultur
• verbindliche Richtlinien und Prozesse
• eine lückenlose Dokumentation
• Kontrollmaßnahmen
• Meldesysteme
• Schulungs- und Kommunikationsangebote.

Schritt für Schritt zu einem wirksamen Compliance-Management-System

Wichtig vorweg: Es gibt keine „One-fits all“-Lösung. Aufgrund der differenzierten Anforderungen werden starre, vorgefertigte Compliance-Konzepte nicht funktionieren. Je nach Größe, Rechtsform, Aufgabengebiet sind jeweils andere Anforderungen an das CMS zu stellen. Dennoch weisen die meisten Systeme ähnliche Grundstrukturen und Vorgehensweisen auf.

1.) Eine Compliance-Kultur etablieren

Compliance ist mehr als Rechts- und Regelkonformität, sie ist eine Haltung. Entscheidend ist eine Unternehmenskultur, die Integrität, Transparenz und Verantwortung fördert. Der Führungsebene kommt dabei eine zentrale Rolle zu: Sie muss die geltenden Vorschriften nicht nur kennen, sondern auch die Compliance-Kultur glaubwürdig vorleben. Wenn Vorgesetzte die Richtlinien ernst nehmen und Compliance vorleben, ist es wahrscheinlich, dass auch die Mitarbeiter*innen diese Haltung wie selbstverständlich in ihren Alltag übernehmen. Eine offene Kommunikation, ein respektvoller Umgang wie auch eine positive Fehlerkultur stärken diese Kultur. Wer über Fehler spricht, anstatt sie zu verschweigen oder zu vertuschen, kann lernen und somit die Organisation sukzessive weiterentwickeln.

2.) Ziele festlegen und Zuständigkeiten klären

Nicht jede Organisation braucht ein umfangreiches CMS. Für kleinere Träger sind eher schlanke, maßgeschneiderte Ansätze sinnvoll. Zunächst sollte eine Verständigung darüber erfolgen, welche externen Vorgaben gelten. Weitere richtungsgebende Fragen sind: Wo bestehen organisationsspezifische Risiken? Welche Ziele sollen erreicht werden? Jede Organisation hat eigene Schwerpunkte – für die eine hat eine rechtssichere Mittelverwendung höchste Priorität, für andere stehen der Schutz sensibler Daten im Fokus.

Zusätzlich müssen in dieser Phase Zuständigkeiten festgelegt und die erforderlichen personellen und finanziellen Ressourcen bereitgestellt werden.

3.) Risiken analysieren und bewerten

Eine Risikoanalyse schafft Klarheit darüber, wo Handlungsbedarf besteht. Wer die bestehenden vertraglichen und rechtlichen Vorgaben, Prozesse, Zuständigkeiten und Dokumentationen prüft und bewertet, kann Lücken erkennen und diese gezielt schließen. Daraus lassen sich dann priorisierte Maßnahmen zur Risikominimierung ableiten.

4.) Klare Regeln und Richtlinien festlegen

Ein Code of Conduct (Verhaltenskodex) legt verbindliche Regeln fest, die für alle gelten. Ergänzt wird dieser durch Richtlinien und Prozessbeschreibungen, etwa zur Mittelverwendung und -dokumentation, zum Datenschutz oder zur Korruptionsprävention. So entsteht ein „Werkzeugkoffer“, der Mitarbeiter*innen Orientierung und Sicherheit im Arbeitsalltag bietet.

5.) Mitarbeiter*innen informieren und schulen

Ein CMS ist nur wirksam, wenn alle Mitarbeitenden die Vorgaben und Inhalte kennen und diese entsprechend anwenden können. Regelmäßige Schulungen vermitteln Grundlagenwissen und fördern die individuelle Handlungskompetenz. Ob Workshops oder E-Learning: Die Angebote sollten niedrigschwellig, praxisnah und auf die Zielgruppe zugeschnitten sein.

Offene Kommunikationskanäle für Rückfragen, Unsicherheiten und Hinweise tragen zusätzlich zum Verständnis bei und schaffen Vertrauen. Nur wer die Regeln kennt, sie versteht und jederzeit darauf zugreifen kann, kann sich adäquat verhalten.

6.) Kontrollmechanismen einführen

Compliance ist kein einmaliges Projekt und somit nie „fertig“. Interne und externe Audits sowie regelmäßige Reviews stellen sicher, dass das System aktuell bleibt. Maßnahmen wie das Vier-Augen-Prinzip, Funktionstrennung und ein Transparenzsystem sind weitere sinnvolle Kontrollmethoden im operativen Alltag.

Ein anonymes Hinweisgebersystem bietet Mitarbeiter*innen darüber hinaus die Möglichkeit, vertraulich auf Missstände aufmerksam zu machen und schützt gleichzeitig Hinweisgeber*innen wie Beschuldigte. Dies ist nicht nur gesetzlich gefordert (s. Hinweisschutzgesetz), sondern auch Ausdruck von Verantwortung.

7.) CMS weiterentwickeln

Gesetze und Vorschriften ändern sich, interne Prozesse und Risiken erfahren Anpassungen und damit auch die Anforderungen an das CMS. Deshalb sollte das System regelmäßig überprüft und weiterentwickelt werden. Vorfälle und Rückmeldungen aus der Mitarbeiter*innenschaft liefern wertvolle Impulse für Verbesserungen. 

Fazit: Compliance stärkt Organisationen – von innen und außen

Organisationen der Sozialwirtschaft wirtschaften heutzutage in einem hohen Maße mit öffentlichen Geldern und Steuervergünstigungen, Spenden und Mitgliedsbeiträgen. Zusätzlich stehen sie immer komplexeren Anforderungen gegenüber. Ein durchdachtes Compliance-Management-System schützt vor rechtlichen und finanziellen Risiken. Es sorgt für klare Strukturen und gibt allen Beteiligten Sicherheit. Gerade in einem sensiblen Umfeld wie der Sozialwirtschaft ist Compliance kein Nice-to-have, sondern eine wichtige Investition in Qualität und Glaubwürdigkeit. Es wird damit signalisiert, dass Geschäftsführung, Mitarbeiter*innen und Aufsichtsgremien Verantwortung übernehmen und für die Integrität der Organisation einstehen. Das schafft Vertrauen und zeugt von hoher Professionalität.

Text: Hanna Eggert | Saskia Strangfeld & Annette Borgstedt
Bild: © Shutterstock – Ground Picture