Rechtsstand: Juni 2026 - basierend auf ISO 37301 (2021) und ISO 19600 (2014)
Lange fehlte für Compliance-Management-Systeme ein internationaler Maßstab, an dem sich ein Unternehmen von außen messen lassen konnte. Mit der ISO 19600 entstand 2014 ein erstes weltweites Rahmenwerk, doch es sprach nur Empfehlungen aus und ließ sich deshalb nicht zertifizieren. Seit dem 13. April 2021 ist diese Leitlinie zurückgezogen; an ihre Stelle trat die ISO 37301 mit verbindlichen Anforderungen. Wer heute belegen möchte, dass sein System dem anerkannten Stand entspricht, kommt an dieser Unterscheidung nicht vorbei.
Die ISO 37301 ist eine Managementsystemnorm vom Typ A. Sie definiert prüfbare Anforderungen und ist deshalb durch eine externe, akkreditierte Stelle zertifizierbar. Ein Compliance-Management-System, kurz CMS, bezeichnet die Gesamtheit der technischen, organisatorischen und personellen Maßnahmen in einem Unternehmen, die in ihrem Zusammenwirken rechtstreues Verhalten fördern. Die ISO 37301 beschreibt, wie ein solches System eingeführt, umgesetzt und in seiner Wirksamkeit nachgewiesen wird. Auf Tax Compliance ist sie nicht zugeschnitten, gibt aber den Rahmen vor, der zeigt, welche Bausteine im Compliance-Bereich nach allgemeiner Auffassung erforderlich sind.
Eine Typ-A-Managementsystemnorm definiert Anforderungen, gegen die eine unabhängige Stelle ein konkretes System abgleichen kann, und ist dadurch zertifizierbar. Eine Typ-B-Norm enthält dagegen nur Leitlinien und Empfehlungen zur Verbesserung von Prozessen, ohne formelle Anforderungen aufzustellen, deren Einhaltung sich von außen prüfen ließe. Genau dieser Unterschied trennt die ISO 37301 von ihrer Vorgängerin ISO 19600.
Was bringt eine ISO-37301-Zertifizierung für das Compliance-Management?
Eine Zertifizierung nach ISO 37301 belegt gegenüber Dritten, dass ein angemessenes Compliance-Management-System vorhanden ist und gelebt wird. Den Unterschied zur bloßen Selbsteinschätzung macht der Prüfer von außen, denn die Prüfung erfolgt durch eine externe, akkreditierte Stelle anhand der in der Norm festgelegten Anforderungen. In der Norm heißt es dazu: „Mit einer Zertifizierung nach ISO 37301 durch eine externe, akkreditierte Stelle kann gegenüber Dritten belegt werden, dass ein angemessenes CMS vorhanden ist und gelebt wird” (ISO 37301, 2021). Das Unternehmen erhält damit einen Nachweis, den Außenstehende nachvollziehen können, ohne das System selbst im Detail bewerten zu müssen.
Der eigentliche Hebel ergibt sich aus dem Zusammenspiel mit der Bußgeldbemessung. Der Bundesgerichtshof hat mit Urteil vom 9. Mai 2017 (Az. 1 StR 265/16) festgehalten: „Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss.” Erstmals erkannte das Gericht damit höchstrichterlich an, dass ein wirksames CMS bei der Bemessung einer Verbandsgeldbuße nach § 30 OWiG mildernd berücksichtigt wird. Vier Kriterien sind maßgeblich: die Effizienz im Sinne tatsächlicher Funktionsfähigkeit, die Ausrichtung auf die Vermeidung von Rechtsverstößen, die operative Umsetzung statt bloß formaler Existenz und die kontinuierliche Weiterentwicklung.
An genau diesen Kriterien setzt der Wert eines Zertifikats an. Wer ein zertifiziertes System vorweist, hat dessen Funktionsfähigkeit durch eine unabhängige Stelle bestätigen lassen und einen Teil der Beweisführung vorweggenommen, die das Gericht ohnehin anstellt. Die Zertifizierung ersetzt die inhaltliche Prüfung im Einzelfall nicht, sie senkt aber die Darlegungslast spürbar. Statt im Verfahren erst nachzuweisen, dass überhaupt ein angemessenes System bestand, kann das Unternehmen auf ein dokumentiertes, extern geprüftes Ergebnis verweisen. Hinzu kommt die Vergleichbarkeit. Als zertifizierbarer Standard schafft die ISO 37301 eine international anerkannte Messlatte, über die multinationale Organisationen ihre Tochtergesellschaften und Geschäftspartner auf ein einheitliches Niveau verpflichten.
Worin unterscheiden sich ISO 19600 und ISO 37301?
Der zentrale Unterschied liegt im Normtyp: Die ISO 19600 war eine Typ-B-Norm mit reinen Empfehlungen, die ISO 37301 ist eine Typ-A-Managementsystemnorm mit verbindlichen Anforderungen und deshalb zertifizierbar. Veröffentlicht wurde die ISO 19600 im Jahr 2014, entwickelt durch das Projektkomitee 271 der International Organization for Standardization, an dem Compliance-Spezialisten aus elf Ländern mitwirkten, während weitere zwanzig Länder Beobachterstatus hatten. Sie war das erste internationale Rahmenwerk für Compliance-Management-Systeme.
Diese Einteilung ist mehr als eine Formalie. Eine Typ-B-Norm wie die ISO 19600 sollte Compliance-Verantwortlichen als Benchmark bei Entwicklung, Implementierung, Auswertung, Aufrechterhaltung und Verbesserung eines Systems dienen, ohne prüfbare Anforderungen aufzustellen. Eine Typ-A-Norm wie die ISO 37301 definiert dagegen Anforderungen, gegen die eine externe Stelle ein konkretes System abgleichen kann. Erst dadurch entsteht die Vergleichbarkeit, die einen Standard zertifizierbar macht. Zwei Unternehmen mit einem ISO-37301-Zertifikat haben dieselbe Messlatte durchlaufen; bei der bloßen Orientierung an einer Leitlinie war das nie gewährleistet.
Inhaltlich baut die ISO 37301 auf ihrer Vorgängerin auf. Viele Kernelemente wurden übernommen, weshalb Organisationen, die bereits nach ISO 19600 arbeiteten, sich kaum umstellen mussten. Beide Normen folgen dem Ansatz der kontinuierlichen Verbesserung im Sinne des Plan-Do-Check-Act-Zyklus. Die ISO 19600 gliederte diesen Zyklus in zwei Phasen. Die erste regelte die Etablierung des Systems, in die interne und externe Themen, Anforderungen von Interessengruppen sowie Grundsätze guter Unternehmensführung und der Verhältnismäßigkeit einflossen. Die zweite Phase war in fünf iterativ ablaufende Abschnitte unterteilt: Identifikation der Verpflichtungen und Compliance-Risiken, Planung ihrer Bewältigung, operative Steuerung, Bewertung der Leistung samt Berichterstattung sowie Reaktion auf Regelverstöße mit fortlaufender Verbesserung.
Für die Praxis ist eines entscheidend. Solange die ISO 19600 galt, ließ sich ein nach ihr aufgebautes System nicht förmlich bestätigen; erst die Ablösung am 13. April 2021 öffnete den Weg zur Zertifizierung. Wer in älteren Unterlagen oder Verträgen noch eine Bezugnahme auf ISO 19600 findet, sollte wissen, dass diese Norm zurückgezogen ist.
Wie ist die ISO 37301 aufgebaut?
Die ISO 37301 besteht aus zehn Kapiteln, die der in den ISO-Direktiven festgelegten Grundstruktur für zertifizierbare Managementsystemnormen folgen. Die ersten drei Kapitel legen Anwendungsbereich, normative Verweise und Begriffsbestimmungen fest. Die eigentliche Systematik beginnt mit Kapitel 4.
Kapitel 4 behandelt den Kontext der Organisation, also die Analyse des internen und externen Umfelds, die Identifizierung relevanter interessierter Parteien wie Kunden, Mitarbeiter und Aufsichtsbehörden samt ihren Erwartungen sowie die Festlegung der Grenzen und Ziele des Systems. Kapitel 5 regelt die Führung und weist der obersten Leitung die Aufgabe zu, die Compliance-Kultur zu fördern, die Integrität der Organisation zu gewährleisten und Compliance in die Unternehmensführung zu integrieren. Kapitel 6 betrifft die Planung; hier werden Compliance-Verpflichtungen identifiziert, eine Risikoanalyse durchgeführt, die zwischen inhärenten Risiken und Restrisiken unterscheidet, und Maßnahmen zur Risikominimierung festgelegt. Kapitel 7 deckt die Unterstützung ab, von Ressourcen und Kompetenzen über Schulungen bis zur Schaffung eines Kanals, über den sich Bedenken äußern lassen. Kapitel 8 beschreibt den Betrieb, also die Umsetzung der Richtlinien, die Überwachung der Compliance-Verpflichtungen und die Reaktion auf Verstöße. Kapitel 9 widmet sich der Bewertung der Leistung durch interne Audits und die regelmäßige Überprüfung. Kapitel 10 stellt die kontinuierliche Verbesserung in den Mittelpunkt; auf Grundlage der Leistungsbewertung muss die Organisation Maßnahmen ergreifen, um das System anzupassen.
Die Norm bindet diesen Aufbau an Grundsätze. Wörtlich heißt es: „Das Compliance-Management-System sollte auf den Grundsätzen der guten Unternehmensführung, der Verhältnismäßigkeit, der Integrität, der Transparenz, der Rechenschaftspflicht und der Nachhaltigkeit beruhen” (ISO 37301, 2021). Zu den Schlüsselanforderungen zählt die Identifizierung der einzubeziehenden Stakeholder wie Regierungs- und Aufsichtsbehörden, Geschäftspartner und Mitarbeiter, das Definieren des Wirkungsfeldes der Organisation und das Einrichten von Prozessen, die Compliance-Verpflichtungen und -risiken laufend erkennen. Hinzu kommen die Sicherstellung, dass die Führungsebenen die Werte der Organisation tragen, die Einführung von Kontrollmechanismen samt Überwachung und Untersuchung von Fällen der Nichteinhaltung sowie eine Due-Diligence-Prüfung vor Einstellung oder Beförderung von Personal, einschließlich Referenz- oder Hintergrundprüfungen.
Was bedeutet die Norm für die Tax Compliance?
Für die Tax Compliance liefert die ISO 37301 keinen steuerspezifischen Maßstab, wohl aber den anerkannten Baustein-Rahmen. Der Standard ist nicht im Hinblick auf steuerliche Pflichten geschaffen worden, gibt jedoch eine Rahmenstruktur vor, die zeigt, welche Bausteine und Kriterien im Bereich der Compliance nach allgemeiner Auffassung erforderlich sind. Er beschreibt, wie ein System internationale Rechtsnormen und Vorschriften erfüllt, und verlangt darüber hinaus die Einhaltung sozialer und ethischer Werte. Gerade die breite, nicht auf ein einzelnes Rechtsgebiet verengte Anlage macht den Rahmen für steuerliche Zwecke anschlussfähig.
Praktisch trägt die Zehn-Kapitel-Logik aus Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung und Verbesserung auch für ein Tax-Compliance-Management-System. Wer sein steuerliches Kontrollsystem nach dieser Systematik aufbaut, dokumentiert es entlang international anerkannter Kategorien, und das erleichtert die Argumentation gegenüber der Finanzverwaltung, wenn ein angemessenes innerbetriebliches Kontrollsystem darzulegen ist. Erfahrungsgemäß lassen Mandanten die Norm selten vollständig und förmlich zertifizieren; sie richten ihre einzelnen Compliance-Bausteine an deren Struktur aus und holen gezielt dort einen externen Nachweis ein, wo das Haftungsrisiko hoch ist. Der Wert der ISO 37301 liegt für viele Unternehmen weniger im Zertifikat selbst als in der Ordnung, die ihre Kapitelgliederung in ein gewachsenes, oft unsystematisch entstandenes System bringt.
Was dieser Beitrag nicht behandelt
Dieser Beitrag erläutert Aufbau, Typunterschied und Zertifizierbarkeit der ISO 37301 sowie ihre Bedeutung als Rahmen für Compliance-Management-Systeme. Er behandelt nicht den konkreten Ablauf eines Zertifizierungsaudits, dessen Kosten oder die Auswahl einer akkreditierten Zertifizierungsstelle. Ebenso bleiben die steuerlichen Detailanforderungen an ein Tax-Compliance-Management-System nach deutschem Recht, branchenspezifische Sonderstandards und die haftungsrechtlichen Einzelfragen der Geschäftsleitung außen vor. Maßgeblich für die Norminhalte ist allein der jeweils gültige amtliche Normtext.
Unsere fachliche Einschätzung
Der häufigste Irrtum in der Praxis ist die Annahme, ein Compliance-Management-System sei mit der ISO-37301-Zertifizierung abgeschlossen. Die Norm verlangt das Gegenteil. Ihr Kapitel 10 stellt die kontinuierliche Verbesserung in den Mittelpunkt, und der zugrunde liegende Plan-Do-Check-Act-Zyklus ist auf Wiederholung angelegt. Ein Zertifikat bildet einen Zustand zu einem Stichtag ab; ohne gelebte Audits, Schulungen und Risikobewertungen verliert es seine Aussagekraft.
Ein zweiter Fallstrick betrifft die Reichweite. Die Zertifizierung belegt, dass ein angemessenes System vorhanden ist und gelebt wird, garantiert aber nicht, dass im Einzelfall kein Rechtsverstoß geschieht. Im Bußgeldverfahren prüft das Gericht weiterhin die tatsächliche Funktionsfähigkeit; der Bundesgerichtshof verlangt in der Entscheidung vom 9. Mai 2017 ausdrücklich ein System, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss, also operative Wirkung statt formaler Existenz. Wer das Zertifikat als Haftungsfreibrief versteht, übersieht diesen Maßstab.
Drittens lohnt der Blick auf Altverträge. Bezugnahmen auf ISO 19600 sind seit dem 13. April 2021 überholt. In Lieferanten- und Kooperationsverträgen mit Compliance-Klauseln führt das gelegentlich zu Auslegungsfragen, die sich durch eine Aktualisierung auf ISO 37301 vermeiden lassen.
Häufige Fragen zur ISO 37301
Ist die ISO 37301 verpflichtend? Nein. Die Einhaltung von ISO-Normen ist nach der Definition des Deutschen Instituts für Normung grundsätzlich freiwillig, eine gesetzliche Zertifizierungspflicht besteht nicht. Die Zertifizierung ist ein freiwilliger Nachweis, der gegenüber Dritten belegt, dass ein angemessenes Compliance-Management-System vorhanden ist und gelebt wird.
Warum wurde die ISO 19600 abgelöst? Die ISO 19600 war eine Typ-B-Norm und enthielt nur Empfehlungen und Leitlinien, aber keine formellen Anforderungen, weshalb sie sich nicht zertifizieren ließ. Mit der Ablösung am 13. April 2021 durch die Typ-A-Norm ISO 37301 entstand erstmals ein zertifizierbarer Standard mit verbindlichen Anforderungen.
Können Organisationen, die nach ISO 19600 gearbeitet haben, leicht wechseln? Ja. Die ISO 37301 baut inhaltlich auf der ISO 19600 auf und hat viele Kernelemente übernommen, sodass Organisationen, die bereits deren Richtlinien befolgten, sich kaum umstellen müssen. Beide Normen folgen dem Plan-Do-Check-Act-Zyklus der kontinuierlichen Verbesserung.
Gilt die ISO 37301 nur für Unternehmen? Nein. Bereits die ISO 19600 galt über Unternehmen hinaus auch für andere Organisationen wie Stiftungen und staatliche Institutionen. Diese breite Anwendbarkeit verschaffte ihr eine hohe Praxisrelevanz, die in der ISO 37301 fortbesteht.
Ist die ISO 37301 speziell für Tax Compliance gemacht? Nein. Der Standard ist nicht explizit im Hinblick auf Tax Compliance geschaffen worden. Er gibt aber eine Rahmenstruktur vor, die deutlich macht, welche Bausteine und Kriterien im Compliance-Bereich nach allgemeiner Auffassung erforderlich sind, und lässt sich deshalb auf ein steuerliches Kontrollsystem übertragen.
Wer darf nach ISO 37301 zertifizieren? Die Zertifizierung erfolgt durch eine externe, akkreditierte Stelle. Erst dieser unabhängige Nachweis macht aus der Selbsteinschätzung einen Beleg, den Geschäftspartner, Behörden und Gerichte nachvollziehen können.
Verwandte Artikel
Umsatzsteuer-Compliance: Tax-Compliance-Management-Systeme und Haftungsrisiken
Verbandsgeldbuße nach § 30 OWiG: Wann die GmbH selbst zahlt
Compliance-Programme implementieren: steuerstrafrechtliche Risiken systematisch vermeiden
Digitale Betriebsprüfung: GoBD-Anforderungen und Datenzugriff durch das Finanzamt