Compliance-Risk-Assessment

# Rolle
Du bist Compliance-Strukturierungs-Assistenz mit Spezialisierung auf
Compliance-Management-Systeme nach IDW PS 980 und ISO 37301.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
Anwendbares Recht: §§ 130, 30 OWiG (Aufsichtspflichten); §§ 299, 331 ff.
StGB (Korruption); § 1 GWB / Art. 101 AEUV (Kartellrecht); GwG
(Geldwäsche); DSGVO/BDSG (Datenschutz); EU-Sanktions-VOen; sektorspezifisch:
LkSG, NIS2-RL, BAFA-Außenwirtschaft, AML-RL.
Standards: IDW PS 980 (Compliance-Management-Systeme — Grundsätze),
ISO 37301 (Compliance management systems — Requirements).
Assessment-Anlass: [Erstaufbau / turnusmäßige Überprüfung / Anlass nach
Vorfall / Pre-IPO / Post-Akquisition] — einfügen.

# Aufgabe
Erstelle ein vollständiges Compliance-Risk-Assessment in den nachstehenden
Abschnitten. Liefere zusätzlich eine **Bewertungs-Matrix (5×5)**, einen
**Maßnahmen-Katalog je Risiko** und einen **CMS-Säulen-Abdeckungs-Check
nach IDW PS 980 / ISO 37301** als getrennte Blöcke.

# Assessment-Struktur

## 1. Risiko-Inventar je Domäne

### 1.1 Korruption (§§ 299, 331 ff. StGB; UK Bribery Act; FCPA bei US-Bezug)
- Risiko-Treiber: Geographie (TI-CPI), Drittparteien (Berater, Vertrieb,
  Vermittler), öffentliche Aufträge, Genehmigungs-Prozesse, Spenden und
  Sponsoring
- Typische Schwachstellen: fehlende Drittpartei-Due-Diligence,
  unzureichende Geschenke-/Einladungs-Policies, fehlende Schulung der
  Vertriebs-Drittparteien

### 1.2 Kartellrecht (§ 1 GWB; Art. 101 AEUV; Vertikal-GVO 2022/720;
Horizontal-Leitlinien)
- Risiko-Treiber: Wettbewerber-Kontakte (Verbände, Messen), Vertriebs-
  Vereinbarungen mit RPM- oder Gebiets-Klauseln, Informations-Austausch
  über Preise/Mengen
- Typische Schwachstellen: fehlende Verbands-Spielregeln, fehlende
  RPM-Sensibilisierung im Vertrieb, fehlende Dawn-Raid-Bereitschaft

### 1.3 Geldwäsche (GwG; § 261 StGB)
- Risiko-Treiber: Hochrisiko-Drittländer nach EU-Liste (Anlage I GwG),
  Bar-Geschäfte, anonyme Strukturen (Treuhand, Offshore), politisch
  exponierte Personen (PEP), unklare wirtschaftliche Berechtigte
- Typische Schwachstellen: fehlende KYC-Prozesse, fehlende laufende
  Überwachung, fehlende Verdachtsmeldungen an FIU

### 1.4 Datenschutz (DSGVO; BDSG)
- Risiko-Treiber: Verarbeitung besonderer Kategorien (Art. 9 DSGVO),
  Drittland-Transfer, Profiling, automatisierte Einzelentscheidungen,
  Beschäftigten-Daten
- Typische Schwachstellen: fehlende AVV mit Dienstleistern, unzureichende
  TOM, fehlende Meldewege bei Datenpannen

### 1.5 Sanktionen (EU-Sanktions-VOen; OFAC bei US-Bezug; UN-Listen)
- Risiko-Treiber: Geo-Exposure (Russland, Iran, Nordkorea, Syrien, etc.),
  Endkunden-Verifizierung, Dual-Use-Güter, Finanz-Transaktionen
  mit gelisteten Personen/Entitäten
- Typische Schwachstellen: fehlende Sanktions-Listen-Prüfung, fehlende
  Endkunden-Verifizierung, unklare Eskalations-Wege

## 2. Bewertungs-Matrix (5×5)

Bewerte je identifiziertes Risiko:
- **Eintrittswahrscheinlichkeit:** 1 (sehr selten) bis 5 (sehr wahrscheinlich)
- **Schadenshöhe:** 1 (gering) bis 5 (existenzbedrohend)
- **Risiko-Score:** Eintrittswahrscheinlichkeit × Schadenshöhe (1–25)

Klassifikation:
- Score 1–5: niedrig (Standard-Maßnahmen)
- Score 6–10: mittel (zusätzliche Kontrollen)
- Score 11–15: hoch (gezielte Maßnahmen)
- Score 16–25: kritisch (sofortige Eskalation, strukturelle Anpassung)

## 3. Maßnahmen-Katalog (je Risiko)

Je Risiko mindestens drei Maßnahmen-Ebenen:
- **Prävention:** Policy, Schulung, Prozess-Definition
- **Detektion:** Monitoring, Auditing, Whistleblowing
- **Reaktion:** Eskalations-Pfad, Untersuchungs-Prozess, Sanktionierung
  intern, externe Meldung sofern erforderlich

## 4. Schnittstellen zwischen Domänen
- Korruption ↔ Geldwäsche (Subunternehmer-Strukturen)
- Sanktionen ↔ Geldwäsche (PEP-Sanktionierung)
- Kartellrecht ↔ Korruption (Bietergemeinschafts-Konstellationen)
- Datenschutz ↔ Whistleblowing (Hinweisgeber-Schutz)

## 5. CMS-Säulen nach IDW PS 980 / ISO 37301

| Säule | IDW PS 980 | ISO 37301 | Mandanten-Status |
|---|---|---|---|
| Compliance-Kultur | A.1 | 5.1 | [ist / Lücke / Maßnahme] |
| Compliance-Ziele | A.2 | 6.2 | [ist / Lücke / Maßnahme] |
| Compliance-Organisation | A.3 | 5.3 | [ist / Lücke / Maßnahme] |
| Compliance-Risiken | A.4 | 6.1 | [ist / Lücke / Maßnahme] |
| Compliance-Programm | A.5 | 8 | [ist / Lücke / Maßnahme] |
| Compliance-Kommunikation | A.6 | 7.4 | [ist / Lücke / Maßnahme] |
| Compliance-Überwachung und Verbesserung | A.7 | 9, 10 | [ist / Lücke / Maßnahme] |

# Ausgabe-Format
Vollständiges Assessment als Markdown, Abschnitte 1 bis 5 jeweils
separat. Bewertungs-Matrix, Maßnahmen-Katalog und CMS-Säulen-Tabelle als
eigene Blöcke. Alle Platzhalter im Format [[Kategorie-Hash]] wörtlich
übernehmen.

# Verbote
KEINE konkrete Risiko-Score-Festsetzung für den Mandanten ohne
ausreichende Datenbasis — wenn die Briefing-Information dünn ist,
ausdrücklich "Datenlage unzureichend, Workshop-Klärung empfohlen"
markieren.
KEINE konkrete Bußgeld-Prognose für hypothetische Verstöße.
KEINE BGH-/OLG-Aktenzeichen ohne explizite Angabe; bei Unsicherheit
"verifikations-bedürftig" markieren.
KEINE strafrechtliche Würdigung etwaiger Vorfälle — das ist gesondertes
Mandat.
KEINE rechtsverbindliche Aussage zur CMS-Angemessenheit i. S. v.
§ 130 OWiG — die Angemessenheits-Würdigung bleibt anwaltliche
Eigenleistung im Einzelfall.

MANDANTEN-BRIEFING — COMPLIANCE-RISK-ASSESSMENT

Mandant: [[Unternehmensname-f11b]] GmbH,
  Sitz [[Adresse-b2e7]] (Mittelstands-Konzern Maschinenbau).
Geschäftsmodell: Hersteller und Vertrieb von [[Produktname-e8a2]]
  (industrielle Pumpensysteme) für B2B-Kunden in Energie, Chemie
  und Wasserversorgung.

Größe und Struktur:
  - Mitarbeiter: 850 (davon 620 in Deutschland, 230 international).
  - Umsatz: [[Geldbetrag-90f1]] € (Konzern).
  - Standorte: Hauptsitz [[Adresse-b2e7]]; Produktion [[Ort-0ee8]];
    Vertriebs-Niederlassungen in [[Ort-Land1]], [[Ort-Land2]],
    [[Ort-Land3]], [[Ort-Land4]].

Geo-Exposure (Vertriebsgebiete in Top-5):
  - DACH-Region: 45 % Umsatz.
  - EU außer DACH: 22 %.
  - Nordamerika (USA, Kanada): 15 %.
  - Mittlerer Osten (Saudi-Arabien, VAE, Qatar): 10 %.
  - Sonstige (Asien, Afrika): 8 %.

Drittpartei-Risiko:
  - 35 unabhängige Vertriebs-Handelsvertreter weltweit
    (insbesondere Mittlerer Osten).
  - 15 strategische Lieferanten (davon 4 in China).

Anlass des Assessments: Turnusmäßige Überprüfung
  (alle 3 Jahre, letzte 2023).

Vorfalls-Historie der letzten 5 Jahre:
  - 2022: Datenschutzaufsichtsbehörde [[Behörde-Name]] hat formales
    Verfahren wegen einer Datenpanne (Mitarbeiter-Daten) eingeleitet;
    keine Geldbuße, aber Abmahnung und Auflagen.
  - 2023: Anonymer Hinweisgeber meldet Verdacht auf "Bezahlte
    Geschenke" bei einem [[Ort-Land2]]-Handelsvertreter; interne
    Untersuchung ergab Bagatellfall (Geschenk im Wert von
    [[Geldbetrag-Geschenk]] €, dokumentiert in Genehmigung).
  - 2024: BaFin-Anfrage zur Sanktions-Compliance wegen einer Lieferung
    nach [[Ort-Land4]]; geklärt, kein Verstoß.

Bestehende Compliance-Funktion:
  - Compliance-Officer (Vollzeit) seit 2021.
  - Compliance-Policies: Korruptions-Policy (2022), Datenschutz-
    Erklärung (2024), Sanktions-Policy (2023).
  - Schulungs-System: E-Learning für alle MA jährlich; zusätzlich
    Präsenz für Vertrieb (alle 2 Jahre).
  - Whistleblowing-System: Web-Tool seit 2023 (extern gehostet,
    Hinweisgeber-Schutz-G konform).

Branchen-Code: NACE 28.13 (Herstellung von Pumpen und Kompressoren).

Besondere Anforderungen:
  - LkSG-Pflicht seit 2024 (Schwellenwert überschritten).
  - Mandant erwägt 2027 Börsengang — Pre-IPO-Compliance-Aufbau soll
    durch dieses Assessment vorbereitet werden.
  - Frage des Vorstands: Reicht das bestehende CMS aus, oder müssen
    wir strukturell nachsteuern?

# Compliance-Risk-Assessment — [[Unternehmensname-f11b]] GmbH

**Assessment-Anlass:** Turnusmäßige Überprüfung (Pre-IPO-Vorbereitung)
**Erstellung:** [[Datum-Erstellung]]
**Gesamt-Reife-Status:** mittel bis hoch (operativer Mittelstands-CMS
mit Lücken bei Drittpartei-Due-Diligence und LkSG-Integration)

## 1. Risiko-Inventar je Domäne

### 1.1 Korruption (§§ 299, 331 ff. StGB; UK Bribery Act bei UK-Bezug)

| Risiko | Treiber | Score (E × S) | Klassifikation |
|---|---|---|---|
| Schmiergeld an öffentliche Beschaffer im Mittleren Osten | 35 Drittpartei-Handelsvertreter; Geo-Profil (Saudi-Arabien, VAE, Qatar TI-CPI mittel bis schlecht) | 4 × 5 = 20 | KRITISCH |
| Spenden / Sponsoring ohne klare Policy | bisher keine separate Sponsoring-Policy | 2 × 3 = 6 | mittel |
| Geschenke ohne Genehmigung | Genehmigung existiert (2023-Vorfall), aber Verfahren noch lückenhaft | 3 × 3 = 9 | mittel |
| Vertriebs-Drittparteien ohne ABC-DD | 35 HV weltweit, dokumentierte ABC-DD nur sporadisch | 4 × 4 = 16 | KRITISCH |

### 1.2 Kartellrecht (§ 1 GWB; Art. 101 AEUV)

| Risiko | Treiber | Score (E × S) | Klassifikation |
|---|---|---|---|
| Verbands-Treffen mit Informationsaustausch | Branchen-Verband Maschinenbau (üblicher Verbands-Kontakt) | 2 × 4 = 8 | mittel |
| RPM-Klauseln in Vertriebs-Vereinbarungen | 35 HV-Verträge — Stichproben-Check empfohlen | 3 × 4 = 12 | hoch |
| Bietergemeinschaften bei öffentlichen Ausschreibungen | bei [[Produktname-e8a2]]-Großprojekten gelegentlich | 2 × 4 = 8 | mittel |

### 1.3 Geldwäsche (GwG)

| Risiko | Treiber | Score (E × S) | Klassifikation |
|---|---|---|---|
| Bar-Geschäfte und anonyme Strukturen | B2B-Kunden, Banküberweisung Standard — niedriges Profil | 1 × 3 = 3 | niedrig |
| PEP-Kontakte im Mittleren Osten | Energie-Sektor, staatliche Auftraggeber — relevant | 3 × 4 = 12 | hoch |
| Wirtschaftlicher Berechtigte bei Vertriebs-DP unklar | KYC-Prozess für DP noch nicht systematisch | 3 × 4 = 12 | hoch |

### 1.4 Datenschutz (DSGVO / BDSG)

| Risiko | Treiber | Score (E × S) | Klassifikation |
|---|---|---|---|
| Drittland-Transfer (USA, Mittlerer Osten) | Vertriebs-CRM auf US-Cloud; Schrems-II-Folgen | 4 × 3 = 12 | hoch |
| Beschäftigten-Daten ohne ausreichende TOM | 2022-Vorfall (Mitarbeiter-Daten) — verbessert, aber Audit-Tracking offen | 2 × 3 = 6 | mittel |
| Profiling bei Vertriebs-CRM | Standard-CRM-Score-Funktionen genutzt — DSGVO-Konformität? | 2 × 3 = 6 | mittel |

### 1.5 Sanktionen (EU-VOen; OFAC bei US-Bezug)

| Risiko | Treiber | Score (E × S) | Klassifikation |
|---|---|---|---|
| Lieferungen in EU-sanktionierte Drittländer | Geo-Profil Mittlerer Osten — Saudi-Arabien, VAE, Qatar in der Regel unkritisch; aber Iran-Nähe in Lieferketten möglich | 3 × 5 = 15 | hoch |
| Endkunden-Verifikation gegen Sanktions-Listen | Sanktions-Policy 2023 vorhanden, Listen-Update-Prozess prüfen | 3 × 4 = 12 | hoch |
| Dual-Use-Güter (Pumpen für Energie/Chemie) | BAFA-Genehmigungs-Erfordernis bei manchen Spezifikationen | 3 × 4 = 12 | hoch |
| Beihilfe-Risiko via Vertriebs-DP | bei Re-Export-Trail durch HV in Drittländer | 3 × 5 = 15 | hoch |

## 2. Bewertungs-Matrix (Übersicht)

| Score | Anzahl Risiken | Klassifikation |
|---|---|---|
| 16–25 (KRITISCH) | 2 (Schmiergeld ME, Vertriebs-DP-ABC) | sofortige Eskalation |
| 11–15 (hoch) | 7 | gezielte Maßnahmen |
| 6–10 (mittel) | 6 | zusätzliche Kontrollen |
| 1–5 (niedrig) | 1 | Standard-Maßnahmen |

## 3. Maßnahmen-Katalog (Top-Risiken)

### Maßnahme M-001: ABC-Drittpartei-Due-Diligence-Programm
**Ziel-Risiken:** Korruption Schmiergeld ME (R-1.1.1), Vertriebs-DP ohne ABC-DD (R-1.1.4), Beihilfe Sanktionen (R-1.5.4)
- **Prävention:** ABC-DD-Fragebogen für alle 35 HV; risiko-orientierte Vertiefung bei TI-CPI < 40 oder Geo-Exposure auf sanktionsrelevante Länder.
- **Detektion:** Jährliche Re-Zertifizierung der HV; automatisierte Sanktions-Listen-Prüfung (täglich).
- **Reaktion:** Eskalations-Pfad zum Compliance-Officer; Vertrags-Terminierungs-Klausel bei Verstoß.
- **Verantwortlich:** Compliance-Officer + Vertriebsleitung.
- **Zeitschiene:** 6 Monate (Roll-out für Top-10-HV in 3 Monaten, restliche 25 in 6 Monaten).
- **Budget-Indikation:** [[Geldbetrag-Budget-M001]] €.

### Maßnahme M-002: Sanktions-Compliance-Aufrüstung
**Ziel-Risiken:** Lieferungen sanktionierte Drittländer (R-1.5.1), Endkunden-Verifikation (R-1.5.2), Dual-Use-BAFA (R-1.5.3)
- **Prävention:** Sanktions-Screening-Tool (Plattform mit täglichem Listen-Update); BAFA-Genehmigungs-Workflow für Dual-Use-Spezifikationen.
- **Detektion:** Quartals-Audit der letzten 100 Aufträge auf Sanktions-Konformität.
- **Reaktion:** Self-Disclosure-Vorprüfung bei Verdachtsfall; Eskalation zur Geschäftsleitung.
- **Verantwortlich:** Compliance-Officer + Export-Kontrolle.
- **Zeitschiene:** 4 Monate.

### Maßnahme M-003: KYC und PEP-Screening
**Ziel-Risiken:** PEP-Kontakte ME (R-1.3.2), wirtschaftlich Berechtigte unklar (R-1.3.3)
- **Prävention:** KYC-Prozess für alle Vertriebs-DP und für Kunden mit Umsatz über [[Geldbetrag-KYC-Schwelle]] €; PEP-Datenbank mit täglichem Update.
- **Detektion:** Laufende Überwachung Geld-Strom; Quartals-Review der Top-20-Vertriebs-DP.
- **Reaktion:** Verdachtsmeldung an FIU bei begründetem Verdacht.
- **Verantwortlich:** Compliance-Officer + Finance.
- **Zeitschiene:** 6 Monate.

### Maßnahme M-004: Drittland-Transfer-Audit (DSGVO)
**Ziel-Risiken:** Drittland-Transfer USA/ME (R-1.4.1), Profiling im CRM (R-1.4.3)
- **Prävention:** Bestandsaufnahme aller Drittland-Transfers; SCCs nach EU-DSK-Standardvertragsklauseln; Schrems-II-TIA für US-Cloud-Anbieter.
- **Detektion:** Jährliches Datenschutz-Audit.
- **Reaktion:** Meldewege bei Datenpannen; Art. 33 DSGVO-Meldungs-Prozess.
- **Verantwortlich:** Datenschutzbeauftragte + IT-Leitung.
- **Zeitschiene:** 4 Monate.

## 4. Schnittstellen zwischen Domänen

- **Korruption ↔ Geldwäsche:** Drittpartei-Vertrieb im ME — Provisions-Zahlungen an HV könnten Geldwäsche-Trail sein. ABC-DD und KYC verbinden.
- **Sanktionen ↔ Geldwäsche:** PEP-Kontakte im ME — Sanktions-Screening und PEP-Screening parallel.
- **Sanktionen ↔ Korruption:** Beihilfe-Re-Export-Risiko via HV — wenn HV Pumpen weiterleitet in sanktionierte Länder, ist das zugleich Sanktions-Verstoß und potenziell Geldwäsche.
- **Datenschutz ↔ Whistleblowing:** Hinweisgeber-Schutz nach HinSchG — Datenschutz der gemeldeten Person und der hinweisgebenden Person harmonisieren.
- **LkSG ↔ Korruption / Menschenrechte:** Schwellenwert seit 2024 überschritten — LkSG-Risikoanalyse muss mit Korruptions-Drittpartei-DD synchronisiert werden.

## 5. CMS-Säulen-Abdeckungs-Check

| Säule | IDW PS 980 | ISO 37301 | Status [[Unternehmensname-f11b]] | Lücke / Maßnahme |
|---|---|---|---|---|
| Compliance-Kultur | A.1 | 5.1 | mittel | Tone-from-the-Top-Statement aktualisieren, Vorstand-Kommunikation regelmäßiger |
| Compliance-Ziele | A.2 | 6.2 | hoch | bisher KPI nur intern; Pre-IPO-Reporting-Mechanik einrichten |
| Compliance-Organisation | A.3 | 5.3 | hoch | CO-Funktion etabliert; Tochtergesellschaften-CO-Netz fehlt teilweise |
| Compliance-Risiken | A.4 | 6.1 | mittel | dieses Assessment schließt die Lücke; jährliches Update einplanen |
| Compliance-Programm | A.5 | 8 | mittel bis hoch | ABC-DD (M-001), Sanktionen (M-002), KYC (M-003), DSGVO-Drittland (M-004) sind die Programm-Erweiterungen |
| Compliance-Kommunikation | A.6 | 7.4 | hoch | E-Learning + Präsenz funktioniert; HinSchG-Integration nachgeschärft 2023 |
| Compliance-Überwachung und Verbesserung | A.7 | 9, 10 | mittel | Internal-Audit-Plan für Compliance erweitern; jährlicher Compliance-Report an Vorstand und (geplanter) Aufsichtsrat |

## Hoch-Risiko-Befunde (Eskalations-Empfehlung an die Geschäftsleitung)

1. **R-1.1.1 (Schmiergeld ME) und R-1.1.4 (Vertriebs-DP-ABC):** Score 20 und 16 — strukturelles Drittpartei-Risiko. Sofortige Roll-out-Priorität für M-001 (ABC-DD-Programm). Ohne diese Maßnahme bleibt ein erhöhtes Risiko für § 130 OWiG-Aufsichtspflichtverletzung gegen die Geschäftsleitung.

2. **R-1.5.1 (sanktionierte Drittländer) und R-1.5.4 (Beihilfe via DP):** Score je 15 — pre-IPO sind diese Risiken besonders kritisch. M-002 (Sanktions-Compliance-Aufrüstung) parallel zu M-001.

3. **LkSG-Integration:** Schwellenwert seit 2024 überschritten — Risikoanalyse nach § 5 LkSG muss mit diesem Assessment synchronisiert werden (separates Mandat empfohlen).

[ANWALT-WERTUNG] Die Risiko-Scores in diesem Assessment basieren auf
Briefing-Information und Branchen-Erfahrung. Eine rechtsverbindliche
Aussage zur CMS-Angemessenheit i. S. v. § 130 OWiG verlangt vertiefte
Einzelfall-Würdigung und ggf. externe Audits (IDW PS 980 oder
ISO 37301). Bei Pre-IPO-Aufbau sollte das CMS durch eine
unabhängige Prüfung testiert werden.