- Ethische Standards sind verbindliche Verhaltensregeln — schriftlich fixiert, gelebt, kontrolliert.
- Seit dem Hinweisgeberschutzgesetz (Juli 2023) brauchen Unternehmen ab 50 Mitarbeitenden ein vertrauliches Meldesystem.
- Geschäftsführer haften persönlich — DSGVO bis 20 Mio. €, NIS-2 bis 10 Mio. € Bußgeld.
- Ohne saubere IT (Berechtigungen, Logs, Backups) bleibt jeder Kodex Papier.
- Realistisches KMU-Budget: 5.000–15.000 € Einmalaufwand plus ca. 50–80 € pro Arbeitsplatz/Jahr.
Ethik im Unternehmen ist kein Schönwetter-Thema mehr. Wer als Geschäftsführer keine klaren Regeln vorlebt, riskiert mehr als nur einen schlechten Kulturbericht: Bußgelder, persönliche Haftung, Mitarbeiterabwanderung, Kundenverlust. Wir sehen das in unseren Beratungen jede Woche — meist nicht, weil Geschäftsführer böse Absichten haben, sondern weil im Tagesgeschäft niemand Zeit hatte, Werte sauber aufzuschreiben und durchzusetzen.
Dieser Artikel zeigt, wie Sie ethische Standards in Ihrem Unternehmen nicht nur ausrufen, sondern verankern. Mit konkreten Schritten, realistischen Zahlen und dem oft übersehenen IT-Bezug.
Was ethische Standards wirklich sind
Ethische Standards sind verbindliche Verhaltensregeln. Sie regeln, wie Mitarbeiter, Führungskräfte und Eigentümer miteinander umgehen — mit Kunden, mit Lieferanten, mit Wettbewerbern und Behörden. In der Praxis bestehen sie aus drei Bausteinen:
- Verhaltenskodex (Code of Conduct): das schriftliche Regelwerk. Wertekanon, Anti-Korruption, Umgang mit Geschenken, Diversity, Datenschutz.
- Richtlinien für konkrete Themen: IT-Nutzung, Social Media, Bring Your Own Device, Reisekosten.
- Mechanismen: Schulungen, Hinweisgeber-Kanal, Eskalationswege, regelmäßige Audits.
Eine Forsa-Umfrage im Auftrag des Bundesverbands der Compliance Manager zeigt, dass über 80 % der deutschen Großunternehmen einen Verhaltenskodex haben — bei mittelständischen Betrieben unter 250 Mitarbeitenden ist es weniger als die Hälfte. Genau hier sehen wir den größten Aufholbedarf.
Warum Geschäftsführer persönlich haften
Compliance ist Chefsache, nicht weil das gut klingt — sondern weil das Gesetz es so vorsieht. Drei Beispiele:
Bei DSGVO-Verstößen können die Datenschutzbehörden bis zu 20 Millionen Euro oder 4 % des Konzernumsatzes verhängen — was höher ist. Bei NIS-2 sind es bis zu 10 Mio. Euro plus persönliche Haftung der Leitungsebene. Und seit dem Hinweisgeberschutzgesetz (HinSchG) vom Juli 2023 müssen Unternehmen ab 50 Beschäftigten einen vertraulichen Meldekanal anbieten — andernfalls drohen bis zu 20.000 Euro Bußgeld pro Verstoß.
Bei groben Compliance-Versäumnissen (fehlende Aufsicht, ignorierte Hinweise) kann das Unternehmen Schadensersatz vom Geschäftsführer verlangen. Geschäftsführer-Haftpflicht (D&O) deckt dabei nicht alles — Vorsatz und grobe Fahrlässigkeit sind ausgeschlossen.
Vier Schritte zur gelebten Ethik
- Verhaltenskodex schreiben — kurz, konkret, in Ihrer Sprache. Maximal fünf Seiten. Keine Juristen-Floskeln. Beispiele aus Ihrem Alltag: „Was tun, wenn ein Lieferant 200 Euro Restaurantgutschein anbietet?" Ein guter Kodex liest sich wie eine Hausordnung, nicht wie ein Vertrag.
- Pflicht-Onboarding für jeden Neuzugang. 60 Minuten am ersten Arbeitstag. Unterschrift unter den Kodex. Kontaktperson für Fragen benannt. Ohne Onboarding ist der schönste Kodex wertlos — wer ihn nie gelesen hat, kann ihn nicht leben.
- Anonymes Hinweisgeber-System einrichten. Pflicht ab 50 MA. Lösungen wie EQS Integrity Line oder LegalTegrity gibt es für KMU ab ca. 1.500 Euro pro Jahr. Wichtig: getrennt von der normalen IT-Mailbox, dokumentiertes Verfahren, klare Frist (sieben Tage Eingangsbestätigung, drei Monate Rückmeldung).
- Jährliche Auffrischung mit echten Fällen. Theorie reicht nicht. Wir empfehlen: zweimal pro Jahr 30-Minuten-Termine mit anonymisierten Fällen aus dem eigenen Unternehmen oder der Branche. Das macht Ethik greifbar, statt sie als Plakat-Übung abzutun.
Ich rate meinen Kunden immer: Nicht übertreiben, einfach anfangen. Die perfekte Compliance-Lösung gibt es nicht — aber eine, die in drei Monaten besser ist als heute. Und nach einem Jahr sind Sie überrascht, wie selbstverständlich das geworden ist.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Der oft übersehene IT-Bezug
Ethische Standards bleiben Theorie, wenn die IT sie nicht trägt. Drei Beispiele aus unserer Beratungspraxis:
- Berechtigungschaos. Wer hat Zugriff auf welche Ordner? In jedem zweiten KMU, das wir übernehmen, sehen wir Praktikanten mit Vollzugriff auf Personalakten. Ethik-Kodex hin oder her — wenn die Technik es zulässt, passiert es irgendwann.
- Fehlende Logs. Wer hat wann eine Datei kopiert, gelöscht, exportiert? Ohne Audit-Trail können Sie Verstöße weder beweisen noch widerlegen. Microsoft 365 liefert das mit „Audit Log” und „Sensitivity Labels” out-of-the-box — wenn man es einschaltet.
- Schatten-IT. WhatsApp für Kundendaten. Privates Dropbox für Verträge. Wenn das geduldet ist, signalisieren Sie: „Unsere Regeln gelten nur, wenn niemand zuschaut.” Microsoft 365 Sicherheit & DSGVO sauber zu konfigurieren ist hier der Hebel.
Hinweisgeberschutz: was Sie konkret tun müssen
Das HinSchG ist seit Juli 2023 in Kraft und betrifft Unternehmen ab 50 Beschäftigten. Drei Pflichten, die wir bei jedem Mandanten prüfen:
- Internes Meldesystem. Telefon, E-Mail oder Web-Formular. Vertraulich. Eingangsbestätigung binnen 7 Tagen, Rückmeldung binnen 3 Monaten.
- Schutz der Hinweisgeber. Keine Repressalien — auch nicht subtil. Beweislastumkehr: Wenn der Hinweisgeber nach einer Meldung gekündigt wird, müssen Sie nachweisen, dass die Kündigung nichts mit der Meldung zu tun hatte.
- Dokumentation. Jeder Hinweis wird protokolliert (anonymisiert, falls gewünscht), drei Jahre aufbewahrt, jährlich an die Compliance-Stelle berichtet.
In der Praxis empfehlen wir KMU eine externe Lösung wie EQS Integrity Line, LegalTegrity oder das frei verfügbare Whistleblower-Tool des BSI-Cloud-Frameworks. Eigenbau per Outlook-Postfach? Funktioniert nicht — dort fehlt Anonymität, Versionierung und Rechtssicherheit.
Aus der Praxis: zwei typische Fallen
Wir haben in den letzten Jahren mehr als zwanzig Compliance-Initiativen begleitet. Zwei Fehler sehen wir immer wieder:
Falle 1: Der „kopierte” Verhaltenskodex. Ein Hamburger Unternehmensdienstleister mit 60 Mitarbeitenden präsentierte uns stolz einen 40-Seiten-Kodex. Auf Seite 3 stand der Name eines anderen Unternehmens — er war 1:1 aus dem Internet kopiert. Niemand hatte ihn je gelesen. Folge: bei einer DSGVO-Beschwerde fehlten genau die Themen, die für sein Geschäft relevant waren. Wir haben den Kodex auf 6 Seiten zusammengestrichen, branchenspezifisch ergänzt und einen 60-minütigen Workshop mit allen Mitarbeitenden gemacht. Heute kennen alle die zentralen Regeln auswendig.
Falle 2: „Wir machen das informell.” Ein Maschinenbauer mit 35 Mitarbeitenden sagte: „Wir kennen uns alle, da brauchen wir keinen Kodex.” Bis ein Vertriebsleiter Geschenke von einem Lieferanten annahm und sich später herausstellte, dass derselbe Lieferant überhöhte Rechnungen stellte. Streitwert: 180.000 Euro. Heute hat das Unternehmen einen klaren Kodex und eine Hinweisgeber-Hotline.
Wir hatten 24 Jahre lang denselben IT-Dienstleister — bis er plötzlich Insolvenz angemeldet hat. Von einem Tag auf den anderen standen wir ohne Support da. Seitdem wissen wir: Man braucht einen Partner, der stabil aufgestellt ist — und der Compliance, Datenschutz und IT zusammen denkt.
Werkzeuge: was sich für KMU bewährt hat
| Bereich | Empfohlene Lösung | Kosten/Jahr |
|---|---|---|
| Verhaltenskodex | Eigene Erstellung mit Anwalt + Vorlage IHK | 1.500–3.000 € einmalig |
| Hinweisgeber-System | EQS Integrity Line, LegalTegrity, hintbox | 1.500–4.000 € |
| Pflicht-Schulung | E-Learning (Pink University, Reflact) oder Präsenz | 30–60 €/MA |
| IT-Berechtigungen | Microsoft 365 Compliance Center, Entra ID | im M365-Plan enthalten |
| Audit-Trails | M365 Audit Log + Defender | im M365-Plan enthalten |
Einwände und realistische Antworten
Klassischer Einwand — und wir kennen ihn. Aber: Ein 5-Seiten-Kodex, ein externes Meldesystem für 1.500 Euro im Jahr und ein Halbtages-Workshop sind kein „Großprojekt". Im Vergleich zu einem einzigen DSGVO-Bußgeld oder einem verlorenen Großkunden ist das eine Mini-Investition.
„Wir wurden noch nie wegen Compliance angesprochen.” — Der Satz fällt fast immer kurz vor dem ersten Vorfall. Anbieter-Audits, Lieferanten-Selbstauskünfte, ESG-Anfragen von Banken: Compliance-Nachfragen werden in den nächsten zwei Jahren stark zunehmen, vor allem im B2B.
„Unser Kodex steht doch im Intranet.” — Wenn niemand ihn kennt, hat er keinen Effekt. Pflicht-Onboarding, jährliche Auffrischung, dokumentierte Unterschrift. Sonst werten Sie Ihre eigene Arbeit ab.
Was als Nächstes zu tun ist
- Kodex-Check: Existiert ein Verhaltenskodex? Ist er aktuell? Hat ihn jeder Mitarbeitende gelesen?
- Hinweisgeber-System: Gibt es einen vertraulichen Meldekanal? Funktioniert er anonym?
- IT-Berechtigungen: Wer hat Zugriff worauf? Wann wurden Berechtigungen zuletzt geprüft?
- Audit-Logs: Sind die Logs in Microsoft 365 aktiv? Werden sie regelmäßig ausgewertet?
- Schulung: Wann gab es die letzte verbindliche Compliance-Schulung?
Wie wir hagel IT helfen können
Wir kombinieren Datenschutz-Beratung mit IT-Operations: Microsoft 365 Sicherheit, Datenschutz & DSGVO Compliance, saubere Berechtigungs-Audits und Hinweisgeber-Tools. Als IT-Systemhaus aus Hamburg betreuen wir mit 32 Spezialisten KMU in ganz Norddeutschland — auch in Bremen, Kiel und Lübeck. Managed IT Services ab 50 Euro pro Arbeitsplatz und Monat.
Compliance-Lücken schließen?
15 Minuten. Kostenlos. Wir prüfen Ihre IT- und Compliance-Situation — ehrlich.
Erstgespräch buchen →
