Illustration Absmeier foto freepik

Eine Studie des Risikomanagementunternehmens NAVEX zeigt: Deutsche Unternehmen bewerten ihre eigenen Compliance-Strukturen im Schnitt sehr gut, obwohl mehr als ein Drittel der Befragten in den letzten drei Jahren von Sicherheitsverletzungen betroffen war. Durch veraltete Strukturen und eine unzureichende Priorisierung können viele Betriebe den zunehmenden Anforderungen und Vorschriften des Risikomanagements nur schwer gerecht werden. Oliver Riehl, Regional Vice President Sales bei NAVEX, erläutert, wie ein Wandel der Firmenkultur und neue Technologien die Compliance in Deutschland nachhaltig prägen können.

Eine aktuelle Umfrage von NAVEX zeigt, dass mehr als ein Drittel der deutschen Unternehmen in den vergangenen drei Jahren Datenschutz- und Cybersicherheitsverletzungen erlebt hat. Dennoch stufen rund 60 Prozent ihre eigenen Risiko- und Compliance-Programme auf eine der beiden höchsten Stufen einer fünfstufigen Skala ein – anstatt Alarm zu schlagen. »Schwächen im Risiko- und Compliance-Management werden häufig durch das Fehlen einer Speak-up-Kultur verschärft. Wenn Mitarbeitende Verstöße nicht melden, werden Lücken zu spät oder gar nicht erkannt. Das kann zu einem trügerischen Sicherheitsgefühl führen«, erklärt Oliver Riehl, Regional Vice President Sales bei NAVEX. Unzureichende Prävention und fehlende Krisenstrategien können selbst für marktstabile Unternehmen innerhalb kürzester Zeit eine existenzielle Bedrohung darstellen.

Deutsche Wirtschaft ist überfordert mit Regularien

Trotz dieser alarmierenden Statistiken verlassen sich viele Betriebe bis heute auf bestehende, scheinbar solide Strukturen, anstatt diese weiterzuentwickeln. Währenddessen steigt der regulatorische Druck. Laut der Studie ist fast jeder dritte deutsche Betrieb mit der Umsetzung von EU-Vorschriften wie der Corporate Sustainability Due Diligence Directive (CSDDD), dem AI Act oder der Hinweisgeberrichtlinie überfordert. Denn analog zur Zahl der Richtlinien wächst auch der Zuständigkeitsbereich von Compliance-Programmen exponentiell. Dieser kann oft nicht mehr durch die bisherigen Strukturen abgebildet werden. Riehl weiß: »Risikomanagement wird zunehmend zu einer gemeinsamen Verantwortung aller Mitarbeitenden. Betriebe sollten deswegen vermehrt in Weiterbildung investieren und eine vertrauensvolle Unternehmenskultur fördern.«

5 vs. 50: Wie Führungslücken die Compliance schwächen

Ein wesentlicher Faktor, der die Entwicklung einer ethischen Unternehmenskultur behindert, ist das fehlende Engagement und die mangelnde Unterstützung durch das Top-Management. Zwar geben die meisten befragten Unternehmen an, dass ihre Führung die Einhaltung von Regeln und Vorschriften fördert. Doch die beiden am häufigsten genannten Hindernisse für ein wirksames Risikomanagement sind eine geringe Priorisierung des Themas sowie fehlender Rückhalt durch die Unternehmensleitung. Laut der Umfrage erhielten im Jahr 2025 lediglich 60 Prozent der deutschen Aufsichtsgremien regelmäßige Berichte zu Compliance-Themen. Nur 26 Prozent setzten sich intensiv mit dem Thema auseinander. Besonders alarmierend: Nahezu 30 Prozent der Befragten berichteten, dass ihre Führungskräfte sogar unethische Methoden zur Erreichung geschäftlicher Ziele ermutigt oder die Arbeit von Compliance-Verantwortlichen aktiv behindert haben. »Es besteht immer die Gefahr, dass Führungskräfte kurzfristige Erfolge höher gewichten. Sie wollen, dass das Unternehmen in den nächsten fünf Jahren gut performt – übersehen dabei aber Risiken, die später erheblichen Schaden anrichten können. In kritischen Situationen entscheidet das Risikomanagement darüber, wer in zehn oder sogar fünfzig Jahren noch am Markt ist – und wer nicht«, erklärt Riehl.

Offener Austausch schafft Bewusstsein für Compliance

Um langfristig widerstandsfähig zu bleiben, ist ein Bewusstseinswandel in der deutschen Wirtschaft erforderlich: Entscheider müssen die Bedeutung einer konstruktiven Meldekultur erkennen. Wesentlich dafür ist ein intensiverer Austausch zwischen Unternehmen. Riehl betont: »Organisationen sollten offener über ihre Erfahrungen sprechen und bewährte Praktiken miteinander teilen. Dadurch entsteht ein gemeinsames Verständnis dafür, dass Präventionsmaßnahmen nicht nur Risiken reduzieren, sondern auch langfristigen Erfolg sichern.«

Ein Drittel der Befragten sieht KI als Compliance-Treiber – wenn reguliert

Der Report lässt zudem darauf schließen, dass neben Unternehmenskultur und Führung auch technologische Entwicklungen den Kurs der Compliance in Deutschland prägen werden. Mehr als die Hälfte der befragten Organisationen setzt bereits zweckgebundene Software in zentralen Bereichen ein. »Plattformen wie NAVEX One können helfen, den Überblick über interne Bedrohungen zu behalten, das Fallmanagement zu vereinfachen und eine zeitgerechte Nachverfolgung der Fälle sicherzustellen«, erläutert Oliver Riehl. Auch der Einsatz von künstlicher Intelligenz gewinnt an strategischer Bedeutung: Knapp ein Drittel der Firmen bezeichnet KI als äußerst wichtig für die Compliance-Arbeit. Gleichzeitig bestehen erhebliche Bedenken: Fast 40 Prozent sehen die Gefahr verpasster regulatorischer Änderungen, mehr als ein Drittel bemängeln fehlende Risikosichtbarkeit, fast 30 Prozent verzeichnen Lücken in der Umsetzung von Kontrollmechanismen. »Neue Technologien wie KI bieten enorme Chancen für effizientere Prozesse. Das gilt aber nur, wenn sie eng mit klaren Richtlinien, kontinuierlichem Monitoring und bereichsübergreifender Steuerung verknüpft werden«, sagt Oliver Riehl. »So wird Technologie vom reinen Werkzeug zum strategischen Hebel: Unternehmen, die jetzt Software-Integration und eine gesunde Meldekultur konsequent umsetzen, schaffen die Basis für ein zukunftsfähiges GRC-Management.«

Ganzheitliche Strategien schützen besser

Entscheidungsträger sollten sich jedoch nicht ausschließlich auf neue Technologien konzentrieren. Auch Themen wie die Überwachung von Lieferketten rücken 2026 stärker in den Fokus. Aktuelle Entwicklungen – etwa die Anpassung des deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) an die noch nicht endgültig verabschiedete EU-Richtlinie CSDDD – verlangen von Unternehmen zunehmend, Fehlverhalten systematisch zu erkennen. Doch auch hier zeigt der Report erhebliche Defizite: Nur 37 Prozent der befragten deutschen Unternehmen gaben an, ihre Lieferanten systematisch im Hinblick auf Menschenrechte zu überprüfen. In Bezug auf ESG-Ausrichtung und Transparenz sind es lediglich ein Drittel der Befragten, die entsprechende Prüfungen durchführen. »Wir müssen uns von der Vorstellung verabschieden, dass es ein einziges größtes Risikofeld gibt. Wer sich ausschließlich auf Technologie fokussiert, läuft Gefahr, andere Risiken zu übersehen. Entscheidend ist ein ganzheitlicher Blick. Nur wer alle relevanten Bereiche im Auge behält, kann Risiken wirksam minimieren«, resümiert Riehl.

[1] Für einen globalen Überblick kann der vollständige Bericht hier eingesehen werden. https://www.navex.com/en-gb/northstar/global-risk-compliance-statistics/

3055 Artikel zu „Compliance“

Ausgabe 7-8-2025 | News | Business | Digitalisierung | Lösungen

Digitalisierung auf unternehmensweitem Niveau – 360-Grad-Digitalisierung sichert Compliance und Zukunftsfähigkeit

26. August 2025

2016 stellte die Nürnberger Wach- und Schließgesellschaft die Weichen für digitale Prozesse und eine zentrale Bündelung der Unternehmensinformationen. Eine ECM-Plattform bildet hierfür seither das Fundament. Ziele waren neben Rechtssicherheit und Compliance auch eine optimierte Zusammenarbeit sowie höhere Effizienz im Arbeitsalltag.