AUF EINEN BLICK
Compliance Officer, Datenschutzbeauftragter und Geldwäschebeauftragter unterscheiden sich in Rechtsgrundlage (keine gesetzliche Grundlage vs. DSGVO vs. GwG), Weisungsfreiheit, Abberufungsschutz und Haftungsrahmen. Der Compliance Officer hat die weitestgehende Garantenstellung, der Datenschutzbeauftragte den stärksten gesetzlichen Kündigungsschutz, der Geldwäschebeauftragte die schärfsten externen Meldepflichten. Personalunion ist zulässig, aber interessenkonfliktanfällig.
Inhaltsverzeichnis
- Gesamt-Vergleichstabelle: Drei Rollen auf einen Blick
- Rechtsgrundlage und Bestellungspflicht
- Weisungsfreiheit, Abberufungs- und Kündigungsschutz
- Meldepflichten nach außen
- Haftungsrahmen im Vergleich
- Personalunion: zulässige und gefährliche Konstellationen
- Rollenkonflikte in der Praxis
- FAQ
1. Gesamt-Vergleichstabelle: Drei Rollen auf einen Blick
| Merkmal | Compliance Officer | Datenschutzbeauftragter | Geldwäschebeauftragter |
|---|---|---|---|
| Rechtsgrundlage | Keine gesetzliche Grundlage; abgeleitet aus § 43 GmbHG, § 93 AktG, § 130 OWiG, BGH 5 StR 394/08 | Art. 37 ff. DSGVO, §§ 38 f. BDSG | § 7 GwG |
| Bestellungspflicht | Mittelbar (aus Legalitätspflicht) | Obligatorisch bei ≥ 20 Personen mit automatisierter Verarbeitung oder bei Kernprozessen nach Art. 37 Abs. 1 DSGVO | Obligatorisch bei Verpflichteten nach § 2 GwG (Finanzsektor, Immobilienmakler, Güterhändler ab Schwellenwerten) |
| Weisungsfreiheit | Faktisch erforderlich, aber nicht gesetzlich garantiert | Gesetzlich garantiert, Art. 38 Abs. 3 DSGVO | Gesetzlich garantiert, § 7 Abs. 5 GwG |
| Kündigungsschutz | Kein gesetzlicher Sonderschutz | Abberufungsschutz § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG; Kündigungsschutz nachwirkend ein Jahr | Abberufungs- und Kündigungsschutz § 7 Abs. 7 GwG |
| Fachkundeanforderung | Nicht normiert; Rechtsprechung verlangt Angemessenheit | Art. 37 Abs. 5 DSGVO: „berufliche Qualifikation“ | § 7 Abs. 4 GwG: „Zuverlässigkeit“ und „Fachkunde“ |
| Meldepflicht extern | Nur in Ausnahmen (§ 138 StGB, spezialgesetzlich) | Keine generelle externe Meldepflicht; Unterstützung bei Art. 33 DSGVO-Meldungen | Verdachtsmeldung § 43 GwG an FIU, unverzüglich |
| Haftungsrahmen | Garantenstellung nach § 13 StGB; Organhaftung § 43 GmbHG / § 93 AktG; § 130 OWiG | Arbeitsrechtliche Haftung nach § 280 BGB; DSGVO-Bußgelder treffen regelmäßig den Verantwortlichen, nicht den DSB persönlich | Individuelle Bußgelder nach § 56 GwG; strafrechtliche Haftung bei Vorsatz |
| D&O-Üblichkeit | Standard, vertraglich gefordert | Teilweise | Im Finanzsektor üblich |
2. Rechtsgrundlage und Bestellungspflicht
Die drei Funktionen unterscheiden sich bereits in ihrer normativen Verankerung grundlegend.
Compliance Officer. Es gibt im deutschen Recht keine unmittelbare gesetzliche Grundlage für die Position des Compliance Officers. Die Pflicht zu ihrer Einrichtung ergibt sich mittelbar aus der Legalitätspflicht nach § 43 Abs. 1 GmbHG bzw. § 93 Abs. 1 AktG, aus der Aufsichtspflicht nach § 130 OWiG und — seit dem Urteil OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19 — als obergerichtlich bestätigte CMS-Pflicht auch für die GmbH. Die Rechtsprechung des Bundesgerichtshofs hat die strafrechtliche Garantenstellung des Compliance Officers in BGH, Urt. v. 17.07.2009 – 5 StR 394/08 (BGHSt 54, 44) etabliert. Die konkrete Ausgestaltung der Funktion ist dem Unternehmen überlassen, die Grundlinien sind rechtsprechungsgeprägt.
Datenschutzbeauftragter. Die DSGVO ordnet in Art. 37 Abs. 1 die Bestellung eines DSB in drei Fallgruppen an: bei öffentlichen Stellen, bei Kernprozessen mit umfangreicher regelmäßiger und systematischer Überwachung Betroffener und bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten. § 38 BDSG erweitert die Bestellungspflicht für Deutschland: bei mindestens 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten befasst sind. Art. 39 DSGVO regelt die Aufgaben; Art. 38 die Stellung.
Geldwäschebeauftragter. § 7 GwG verpflichtet Verpflichtete nach § 2 GwG zur Bestellung eines Geldwäschebeauftragten. Der Kreis der Verpflichteten ist breit — Kreditinstitute, Versicherungen, Zahlungsdienstleister, Güterhändler ab bestimmten Bargeldschwellen, Immobilienmakler, Dienstleister im Finanzsektor. Die Funktion ist in § 7 GwG explizit geregelt, einschließlich der Anforderungen an Unabhängigkeit, Fachkunde und Zuverlässigkeit.
Die praktische Konsequenz: Während DSB und GwB klar normierte Funktionen mit gesetzlich festgelegten Aufgaben sind, ist der Compliance Officer eine Funktion der Unternehmensorganisation, deren Pflichtenkreis primär durch den Arbeitsvertrag — und sekundär durch die Rechtsprechung — konturiert wird.
3. Weisungsfreiheit, Abberufungs- und Kündigungsschutz
Der unterschiedliche normative Status spiegelt sich besonders deutlich im Kündigungsschutz.
Datenschutzbeauftragter. § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 BDSG gewährt dem DSB einen weitreichenden Abberufungsschutz: Die Abberufung ist nur aus wichtigem Grund nach § 626 BGB zulässig. Die ordentliche Kündigung des Arbeitsverhältnisses ist grundsätzlich unzulässig; sie steht für ein Jahr nach dem Ende der DSB-Bestellung weiter unter Schutz (§ 6 Abs. 4 S. 2 BDSG). Die Regelung korrespondiert mit der europarechtlich verankerten Unabhängigkeit nach Art. 38 Abs. 3 DSGVO („Der Datenschutzbeauftragte erhält keine Anweisungen bezüglich der Ausübung dieser Aufgaben.“).
Geldwäschebeauftragter. § 7 Abs. 7 GwG schützt den Geldwäschebeauftragten ebenfalls: Die Kündigung des Arbeitsverhältnisses ist nur zulässig, wenn Tatsachen vorliegen, die den Verpflichteten zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Der Schutz wirkt auch ein Jahr nach dem Ende der Bestellung nach. Die Unabhängigkeit ist in § 7 Abs. 5 GwG ausdrücklich verankert.
Compliance Officer. Eine vergleichbare gesetzliche Regelung fehlt. Der Compliance Officer genießt arbeitsrechtlich nur den allgemeinen Kündigungsschutz nach dem Kündigungsschutzgesetz; eine Sonderstellung wird nicht gewährt. Das macht den Compliance Officer zur am schwächsten geschützten der drei Rollen — obwohl er die strafrechtlich weitreichendste Garantenstellung trägt. Die praktische Folge: Der Kündigungsschutz muss im Arbeitsvertrag individuell verhandelt werden. Verlängerte Kündigungsfristen, Abfindungszusagen und Versetzungsausschlüsse sind die üblichen Instrumente (siehe dazu den separaten Beitrag zum CO-Arbeitsvertrag).
4. Meldepflichten nach außen
Die externen Meldepflichten prägen den Arbeitsalltag der drei Rollen deutlich unterschiedlich.
| Rolle | Externe Meldepflicht | Rechtsgrundlage | Adressat |
|---|---|---|---|
| Geldwäschebeauftragter | Unverzügliche Verdachtsmeldung | § 43 GwG | Zentralstelle für Finanztransaktionsuntersuchungen (FIU) |
| Datenschutzbeauftragter | Keine eigenständige; Unterstützung bei Meldung durch Verantwortlichen | Art. 33 DSGVO (Verantwortlicher) | Aufsichtsbehörde |
| Compliance Officer | Keine generelle; ausnahmsweise bei Katalogtaten oder spezialgesetzlich | § 138 StGB, § 10 GwG (bei GwB-Funktion), § 153 AO u.a. | Je nach Norm |
Der Geldwäschebeauftragte ist die Rolle mit der schärfsten direkten Meldeverpflichtung gegenüber staatlichen Stellen. Die Meldung an die FIU nach § 43 GwG erfolgt ohne vorherige Information des von der Meldung betroffenen Kunden und unter Straffreistellung nach § 48 GwG. Für den Compliance Officer besteht eine vergleichbare Direktpflicht nicht; die Eskalation erfolgt zunächst intern. Nur in Katalogtaten des § 138 StGB (etwa Mord, Geldfälschung, bestimmte Bandenbestandsverbrechen) und in spezialgesetzlich geregelten Fällen besteht externe Anzeigepflicht.
Der Datenschutzbeauftragte hat keine eigenständige externe Meldepflicht. Art. 33 DSGVO verpflichtet den Verantwortlichen, Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden; der DSB unterstützt diesen Prozess und berät den Verantwortlichen, handelt aber nicht selbst als Meldeperson.
5. Haftungsrahmen im Vergleich
Compliance Officer. Die Haftungsexposition umfasst drei Ebenen. Strafrechtlich begründet die Garantenstellung aus § 13 StGB nach BGH 5 StR 394/08 eine Unterlassungshaftung für Straftaten aus dem Unternehmen. Zivilrechtlich greifen § 280 BGB (bei angestelltem CO mit arbeitsrechtlichen Haftungsprivilegien), § 43 GmbHG und § 93 AktG (bei organschaftlicher Stellung). Bußgeldrechtlich ist der CO potenzieller Adressat von § 130 OWiG mit einem Rahmen bis 1 Million Euro.
Datenschutzbeauftragter. Die DSGVO adressiert Bußgelder primär an den Verantwortlichen, nicht an den DSB persönlich. Die praktische Haftung des DSB beschränkt sich regelmäßig auf die arbeitsrechtliche Ebene: Schadensersatz gegenüber dem eigenen Arbeitgeber bei Pflichtverletzungen nach § 280 BGB, begrenzt durch die Grundsätze des innerbetrieblichen Schadensausgleichs. Eine strafrechtliche Garantenstellung des DSB wird in der Literatur diskutiert, ist aber durch die Rechtsprechung nicht in vergleichbarer Weise etabliert wie beim Compliance Officer.
Geldwäschebeauftragter. § 56 GwG sieht Bußgelder vor, die den GwB persönlich treffen können — etwa bei Verletzung der Verdachtsmeldepflicht, bei unzureichender Risikoanalyse oder bei Verletzung der Aufzeichnungspflichten. Der Rahmen reicht bei Vorsatz bis zu 150.000 Euro, bei schwerwiegenden Fällen darüber hinaus. Strafrechtlich greift bei Vorsatz § 261 StGB (Geldwäsche) oder Beihilfe dazu; für den Verpflichteten selbst bestehen zusätzliche Sanktionen.
Die Zusammenfassung: Der Compliance Officer trägt die breiteste Haftungslast (strafrechtlich, zivilrechtlich, bußgeldrechtlich), der Geldwäschebeauftragte die konkretesten persönlichen Bußgeldrisiken, der Datenschutzbeauftragte die am stärksten arbeitsrechtlich gefilterte Haftung.
6. Personalunion: zulässige und gefährliche Konstellationen
In mittelständischen Unternehmen werden die drei Rollen häufig personell vereinigt. Die Rechtslage unterscheidet sich je nach Kombination.
Compliance Officer und Datenschutzbeauftragter. Die Kombination ist aufsichtsbehördlich grundsätzlich geduldet, aber risikobehaftet. Art. 38 Abs. 6 DSGVO verlangt die Konfliktfreiheit der DSB-Funktion; das Bayerische Landesamt für Datenschutzaufsicht und andere Aufsichten haben sich mehrfach kritisch zur Doppelrolle geäußert. Konfliktauslöser sind typischerweise interne Untersuchungen: Der CO will personenbezogene Daten sichten, der DSB mahnt Zweckbindung und Datenminimierung an. In Unternehmen mit erhöhter Compliance-Risikolage ist die Trennung der Rollen empfehlenswert.
Compliance Officer und Geldwäschebeauftragter. Im Finanzsektor ist die Personalunion regelmäßig ausgeschlossen. Die BaFin-Praxis verlangt eine strenge Trennung: Der Geldwäschebeauftragte muss von der operativen Compliance-Funktion so getrennt sein, dass Weisungsfreiheit und Meldepflicht gegenüber der FIU nicht durch Unternehmensinteressen überlagert werden. Außerhalb des Finanzsektors ist die Kombination denkbar, aber bei größeren Unternehmen ebenfalls kritisch zu prüfen.
Datenschutzbeauftragter und Geldwäschebeauftragter. Die Kombination erzeugt strukturelle Konflikte, insbesondere bei der Verdachtsmeldung nach § 43 GwG: Diese erfolgt ohne Information des Kunden und kann mit dem Transparenzgebot der DSGVO kollidieren. § 49 GwG löst den Konflikt zugunsten der Meldepflicht, die Kombination der Rollen führt aber zu fortlaufenden Abwägungssituationen, die die Unabhängigkeit beider Funktionen belasten.
Alle drei Rollen in Personalunion. In kleinen Unternehmen anzutreffen, aus Governance-Sicht problematisch. Die Kumulation mehrfacher Unabhängigkeitsanforderungen, mehrfacher Meldepflichten und mehrfacher Haftungsadressierungen überfordert regelmäßig die einzelne Person. In Unternehmen mit nennenswerter Risikoexposition sollte mindestens eine der drei Rollen ausgelagert oder separat besetzt werden.
§ 15 Abs. 1 HinSchG schließlich verbietet Interessenkonflikte bei Meldestellen-Beauftragten. Wer alle drei Rollen bündelt und zusätzlich die HinSchG-Meldestelle betreibt, verstößt regelmäßig gegen dieses Verbot.
7. Rollenkonflikte in der Praxis
Interne Untersuchung mit personenbezogenen Daten. Der Compliance Officer will Mitarbeiter-E-Mails sichten, um einem Korruptionsverdacht nachzugehen. Der Datenschutzbeauftragte verweist auf Zweckbindung, Datenminimierung und Betriebsvereinbarungen. Auflösung: gemeinsame Risikoanalyse, abgestufte Sichtung (zunächst Metadaten, dann Inhalte nur bei konkretem Anlass), Protokollierung der Zugriffe, ggf. Einbindung einer externen Kanzlei. In der Personalunion löst sich der Konflikt nicht, sondern verlagert sich ins Gewissen einer einzelnen Person.
Geldwäscheverdacht mit Mitarbeiterbezug. Der Geldwäschebeauftragte muss nach § 43 GwG unverzüglich melden. Der Datenschutzbeauftragte mahnt die Minimierung der in die Meldung aufgenommenen Daten. § 49 GwG löst den Konflikt rechtlich zugunsten der Meldung, die operative Abstimmung der konkreten Datenauswahl bleibt aber Abwägungssache. Gerade im Finanzsektor haben Kreditinstitute dafür eigene Prozesse etabliert; mittelständische Verpflichtete stehen häufig ohne klare Regel da.
Meldung an Aufsichtsbehörde bei Datenschutzverletzung mit Compliance-Relevanz. Eine Cyber-Attacke auf personenbezogene Daten kann zugleich Korruption verbergen oder offenlegen. Der DSB meldet nach Art. 33 DSGVO an die Aufsichtsbehörde; der CO eskaliert intern und prüft strafrechtliche Relevanz; die Geschäftsleitung entscheidet über Kooperation mit der Staatsanwaltschaft. Diese Prozesse müssen prozedural entflechtet sein, um wechselseitige Blockaden zu vermeiden.
HinSchG-Meldestelle mit Konflikt zur DSB-Funktion. § 15 Abs. 1 HinSchG verlangt Interessenkonfliktfreiheit der Meldestellen-Beauftragten. Der DSB kann als Betreiber der Meldestelle grundsätzlich geeignet sein, gerät aber in Konflikt, wenn sich Meldungen gegen ihn selbst oder gegen Entscheidungen richten, die unter seiner DSB-Aufsicht getroffen wurden. Eine saubere Trennung zwischen DSB und Meldestellen-Beauftragtem ist hier funktional vorzugswürdig.
Für den haftungsrechtlichen Gesamtrahmen siehe den Pillar-Beitrag zu Haftung und Pflichten des Compliance Officers; zum Pflichten-Detail des Geldwäschebeauftragten den Beitrag zum Geldwäschebeauftragten; zum Hinweisgebersystem mit Interessenkonflikt-Aspekten den Beitrag zum Hinweisgebersystem-Aufbau.
8. FAQ
Häufige Fragen
Worin unterscheiden sich Compliance Officer, Datenschutzbeauftragter und Geldwäschebeauftragter?
In Rechtsgrundlage, Weisungsfreiheit, Kündigungsschutz, Meldepflichten und Haftungsrahmen. Der Compliance Officer hat keine direkte gesetzliche Grundlage, aber die weitreichendste Garantenstellung nach BGH-Rechtsprechung. Der Datenschutzbeauftragte ist durch DSGVO und BDSG mit dem stärksten gesetzlichen Kündigungsschutz ausgestattet. Der Geldwäschebeauftragte trägt die direkten Verdachtsmeldepflichten nach § 43 GwG und das damit verbundene persönliche Bußgeldrisiko nach § 56 GwG.
Darf eine Person Compliance Officer und Datenschutzbeauftragter gleichzeitig sein?
Rechtlich möglich, praktisch risikobehaftet. Art. 38 Abs. 6 DSGVO verlangt Interessenkonfliktfreiheit des DSB. In internen Untersuchungen entsteht regelmäßig Konflikt zwischen Aufklärungsinteresse und Datenminimierung. Aufsichtsbehörden stehen der Doppelrolle kritisch gegenüber. In Unternehmen mit erhöhter Compliance-Risikolage und regelmäßigen internen Untersuchungen ist die Trennung der Rollen vorzugswürdig; in kleinen Unternehmen ohne spezifische Risikoexposition kann die Personalunion bei klarer Dokumentation vertretbar sein.
Wer haftet strenger: Compliance Officer oder Geldwäschebeauftragter?
Die Frage lässt sich nicht pauschal beantworten, weil die Haftungsquellen unterschiedlich sind. Der Compliance Officer trägt die breiteste Haftungsstruktur mit strafrechtlicher Garantenstellung nach BGH 5 StR 394/08, zivilrechtlicher Organhaftung und bußgeldrechtlicher Adressierung nach § 130 OWiG. Der Geldwäschebeauftragte trägt die konkretesten persönlichen Bußgeldrisiken nach § 56 GwG, die sich direkt gegen die Einzelperson richten. Im Einzelfall ist die GwB-Haftung im Finanzsektor schärfer durchgesetzt, die CO-Haftung dagegen dogmatisch weiter.
Gibt es für den Compliance Officer einen gesetzlichen Kündigungsschutz wie beim DSB?
Nein. Weder BDSG noch ein anderes Gesetz gewährt dem Compliance Officer einen Sonderkündigungsschutz. Der DSB ist durch § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG geschützt; der GwB durch § 7 Abs. 7 GwG. Der Compliance Officer unterliegt ausschließlich dem allgemeinen Kündigungsschutz nach dem Kündigungsschutzgesetz. In der Arbeitsvertragspraxis wird der fehlende gesetzliche Schutz regelmäßig durch verlängerte Kündigungsfristen, Abfindungszusagen und Versetzungsausschlüsse individualvertraglich kompensiert.
Brauchen alle drei Beauftragten eine eigene D&O-Deckung?
Differenziert. Für den Compliance Officer ist die ausdrückliche Einbeziehung in die D&O-Police Standard; die strafrechtliche Garantenstellung und die zivilrechtliche Haftungsintensität machen Abwehrkostenschutz unverzichtbar. Für den DSB ist D&O-Deckung weniger verbreitet, aber bei höherer Risikoexposition (etwa bei großen Datenverarbeitungen) empfehlenswert. Für den GwB ist die Deckung im Finanzsektor üblich; die persönlichen Bußgelder nach § 56 GwG machen sie praktisch erforderlich. In jedem Fall gilt: Bußgelder sind von der D&O in der Regel nicht abgedeckt, nur Abwehrkosten und zivilrechtliche Schadensersatzansprüche.
Wer hat Weisungsfreiheit — CO, DSB, GwB?
Gesetzlich garantiert sind die Weisungsfreiheiten des DSB (Art. 38 Abs. 3 DSGVO) und des GwB (§ 7 Abs. 5 GwG). Der Compliance Officer hat keine gesetzlich garantierte Weisungsfreiheit; sie wird typischerweise vertraglich vereinbart, weil die Compliance-Funktion ohne sie ihre präventive Wirkung verliert. Die Rechtsprechung zu § 43 GmbHG und § 93 AktG verlangt faktisch ebenfalls eine weisungsfreie Compliance-Organisation, wenn das CMS haftungsrechtlich wirksam sein soll. Ohne vertragliche Verankerung ist die Weisungsfreiheit im Streitfall aber schwer durchsetzbar.
Welche Meldepflichten unterscheiden die drei Rollen?
Der GwB meldet Geldwäscheverdachtsfälle unverzüglich an die FIU nach § 43 GwG — ohne Kundeninformation, mit Straffreistellung nach § 48 GwG. Der DSB hat keine eigenständige externe Meldepflicht; er unterstützt den Verantwortlichen bei dessen Meldung von Datenschutzverletzungen nach Art. 33 DSGVO binnen 72 Stunden. Der Compliance Officer hat keine generelle externe Meldepflicht; Ausnahmen bestehen bei Katalogtaten des § 138 StGB und bei spezialgesetzlich geregelten Meldepflichten etwa nach AO oder KWG. Intern ist für alle drei Rollen die Eskalation an die Geschäftsleitung pflichtgemäß.
Was passiert bei Rollenkonflikten zwischen CO und DSB in einer internen Untersuchung?
Der Konflikt ist prozessual zu entflechten: gemeinsame Risikoanalyse vor Beginn, abgestufte Datensichtung (Metadaten vor Inhalt), Protokollierung aller Zugriffe, Betriebsvereinbarung als Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO oder § 26 BDSG, Einbindung externer Kanzleien bei größerer Datenmenge. In der Personalunion verlagert sich der Konflikt ins Gewissen einer Person und wird damit unstrukturiert. Die Trennung der Rollen ist in regelmäßig untersuchungsaktiven Unternehmen die belastbarere Lösung; die Dokumentation der Konfliktlösung ist in jedem Fall erforderlich.
Quellen und Nachweise
- BGH, Urt. v. 17.07.2009 – 5 StR 394/08, BGHSt 54, 44 — Garantenstellung des Compliance Officers
- OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19 — CMS-Pflicht für die GmbH [⚑ VERIFIZIEREN]
- Art. 37 ff. DSGVO; Art. 38 f. DSGVO; §§ 38 f. BDSG — Datenschutzbeauftragter
- §§ 7, 43, 48, 49, 56 GwG — Geldwäschebeauftragter
- § 130 OWiG; §§ 43 GmbHG, 93 AktG; § 13 StGB — Compliance-Haftung
- § 15 HinSchG — Interessenkonflikt Meldestelle
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Mai 2026.
