Unternehmen jeder Größe und Branche müssen sicherstellen, dass aus dem Unternehmen heraus keine Gesetzesverstöße begangen werden. Diese Gesetzes- oder Regelkonformität wird als Compliance bezeichnet.
Compliance ist definiert als die Einhaltung von Gesetzen und Regeln durch Unternehmen und Mitarbeiter:innen eines Unternehmens. Dabei kann die Erfüllung der Regelkonformität durch Gesetze, etwa durch das Gesetz über Ordnungswidrigkeiten (OWiG), zwingend vorgegeben sein oder auf freiwilliger Basis erfolgen, etwa dann, wenn unternehmenseigene Standards eingehalten werden sollen. Multinationale Organisationen müssen die regulatorischen Anforderungen jedes Landes, in dem sie tätig sind, einhalten. Eine zweite Erklärung bezieht sich auf die Therapiemitarbeit von Patient:innen im Rahmen der medizinischen Versorgung. Hier bedeutet eine gute Compliance oder Adherence, dass Patient:innen den ärztlichen Ratschlägen folgen und beispielsweise Medikamente wie verordnet einnehmen.
Seit den 1990er Jahren wurden auf nationaler und internationaler Ebne verschiedene Richtlinien und Gesetze für eine gesetzeskonforme Unternehmensführung erlassen.
Die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung regelt auf europäischer Ebene den Umgang mit personenbezogen Daten hinsichtlich Verarbeitung, Speicherung und Weitergabe.
Der Deutsche Corporate Governance Kodex enthält gesetzliche Vorschriften darüber, wie börsennotierte Unternehmen in Deutschland geleitet und überwacht werden sollen. Darüber hinaus empfiehlt der KODEX die Anwendung national und international anerkannter Standards für eine gute und verantwortungsvolle Unternehmensführung.
SOX wurde im Jahr 2002 als Reaktion auf die Finanzskandale der US-amerikanischen Unternehmen Enron und WorldCom erlassen, um die Aktionäre und die Öffentlichkeit vor betrügerischen Praktiken im Unternehmen zu schützen. Das Gesetz enthält unter anderem Bestimmungen zur Aufbewahrung von Geschäftsunterlagen in IT-Systemen.
Gemäß dem Can Spam Act von 2003 müssen Unternehmen kommerzielle E-Mails als Werbung kennzeichnen, Rücksende-E-Mail-Adressen verwenden, Empfängern Opt-Out-Optionen anbieten und Opt-Out-Anfragen innerhalb von zehn Werktagen bearbeiten.
Die Einhaltung interner und externer Richtlinien liegt immer in der Verantwortung der Unternehmensführung. Dabei spielt es keine Rolle, ob es sich um einen kleinen Handwerksbetrieb mit drei Mitarbeiter:innen oder einen multinationalen Konzern handelt. In größeren Unternehmen oder Organisationen wird die Verantwortung an qualifizierte Mitarbeiter:innen oder eigens eingerichtete Compliance-Abteilungen übertragen. Die Installation eines Compliance-Management-Systems (CMS) ist von der Gesetzgebung nicht geregelt und erfolgt auf freiwilliger Basis. Zunehmend bestellen vor allem größere Unternehmen einen eigenen Chief Compliance Officer (CCO).
Der CCO übernimmt die Verantwortung für die Einhaltung der Richtlinien und entlastet die Geschäftsführung von ihren Kontroll- und Aufsichtspflichten. Der oder die Beauftragte haftet für die gesetzeskonforme Ausübung seiner beziehungsweise ihrer Tätigkeit. Er oder sie ist verantwortlich für den Aufbau einer angemessenen Unternehmensstruktur, die Implementierung von geeigneten Kontrollmechanismen sowie die Unterweisung und Schulung der Mitarbeiterinnen und Mitarbeiter.
Die Definition von Non-Compliance ist das Nicht-Einhalten von internen und externen Regeln und gesetzlichen Vorschriften. Die Missachtung von Regeln wird mit Sanktionen bestraft. Dies kann von staatlicher Seite geschehen, etwa durch das Verhängen eines Bußgeldes. Beispiele hierfür sind die Strafzahlungen von VW oder der Deutschen Bank in Höhe mehrerer Milliarden Dollar in den USA. Intern können Unternehmen Verstöße durch eigene Maßnahmen ahnden und beispielsweise Abmahnungen gegenüber den verantwortlichen Mitarbeiter:innen aussprechen.