Illustration Absmeier foto freepik

Das neue Jahr bringt verschärfte Auflagen für über 30.000 deutsche Betriebe mit sich. Neue Regelungen wie die CSDDD und die NIS2 verlangen Echtzeitberichte, nachweisbare Compliance-Ergebnisse sowie eine lückenlose Dokumentation von Vorfällen. Wer sich daran nicht hält, muss hohe Strafen zahlen: Die Bußgelder liegen im Millionenbereich. Für die Umsetzung der Vorschriften tragen Führungskräfte künftig persönlich die Verantwortung. Wie sie diese Herausforderungen am besten angehen, analysiert Oliver Riehl, Regional Vice President Sales bei NAVEX. Der Experte erklärt, warum die Einhaltung von Vorschriften nur die Spitze des Eisbergs ist, und skizziert die Trends, die für den deutschen Mittelstand im Jahr 2026 relevant sein werden.

Mit dem neuen Jahr stehen deutsche Betriebe vor neuen Herausforderungen durch verschärfte gesetzliche Anforderungen. Verstöße gegen die Corporate Sustainability Due Diligence Directive (CSDDD) können – abhängig von der nationalen Ausgestaltung – zu erheblichen Strafen von bis zu fünf Prozent des weltweiten Nettojahresumsatzes führen [1]. Zudem sind zum Jahreswechsel die EU-NIS2-Richtlinie sowie der AI Act und der Cyber Resilience Act in ihre jeweilige Umsetzungs- und Übergangsphase eingetreten und erhöhen den regulatorischen Druck auf Unternehmen.

»Laut den Daten unseres State of Risk and Compliance Report 2025 hatten bereits fast ein Drittel der deutschen Unternehmen Schwierigkeiten bei der Umsetzung von EU-Vorschriften. Mit dem Hinzukommen weiterer Regelungen dürfte sich die Situation noch weiter verschärfen«, prognostiziert Oliver Riehl.

Nach der NIS2-Richtlinie müssen sicherheitsrelevante Vorfälle in der Regel innerhalb von 24 Stunden gemeldet werden, während die neuen Vorschriften auch die technische Nachweisbarkeit der Wirksamkeit von Kontrollen und Maßnahmen verlangen. Der Experte betont, dass es nicht ausreicht, nur auf Verstöße zu reagieren. Unternehmen müssen auch präventive Maßnahmen ergreifen. Riehl gibt daher einen Ausblick auf regulatorische Trends 2026 und zeigt auf, wie Unternehmen nicht nur Bußgelder vermeiden, sondern Compliance auch als Wettbewerbsvorteil nutzen können.

»Um diese Anforderungen zu erfüllen, müssen Unternehmen ihre Prozesse so optimieren, dass Verstöße in diesem Jahr in Echtzeit dokumentiert werden. Nur so können sie den Behörden gegenüber jederzeit prüffähige Nachweise erbringen«, erklärt Riehl.

Compliance-Hammer trifft: NIS2 macht Führungskräfte 2026 persönlich haftbar

Laut NAVEX wird Compliance im Jahr 2026 durch Umsetzung und durchsetzbare Verantwortung vorangetrieben, nicht nur durch Richtlinien. Insbesondere Geschäftsleitungen werden künftig stärker in die Pflicht genommen. Die NIS2-Richtlinie macht ausdrücklich Führungskräfte für die Einhaltung von Risiko- und Sorgfaltspflichten verantwortlich.

»Wer die Umsetzung der Sicherheitsstandards nicht aktiv überwacht und steuert, kann im Rahmen der nationalen Umsetzung persönlich haftungsrelevant werden«, warnt Riehl. Der Experte empfiehlt daher, automatisierte Kontrollen einzuführen, die Dokumentation kontinuierlich zu pflegen und standardisierte Protokolle zu entwickeln: »Nur mit einer klaren Struktur können Unternehmen ihren verschärften Verpflichtungen nachkommen. Dazu müssen Führungskräfte Verantwortlichkeiten an Teamleiter delegieren, Managementkontrollen einrichten und Schulungen durchführen. Wir werden zunehmend sehen, dass Investitionen und Budgets umverteilt werden, um sicherzustellen, dass diese Maßnahmen effektiv umgesetzt werden.«

Riehl rät insbesondere international tätigen Unternehmen, in Schulungen durch externe Dienstleister zu investieren: »Compliance-Anbieter sind darauf spezialisiert, den Überblick über komplexe Vorschriften zu behalten. Ihre Unabhängigkeit stärkt die Glaubwürdigkeit des Programms und schafft überprüfbare Schulungsnachweise, die im Ernstfall sogar haftungsmindernd wirken können.« Er warnt davor, Schulungen lediglich als jährliche Pflicht zu betrachten: »Gut geschultes Personal weiß, wie Risiken vermieden werden, baut Vertrauen zu Partnern auf und legt die Grundlage für nachhaltig erfolgreiche Geschäftsprozesse.«

Seine Prognose: »Resiliente Unternehmen werden Führungskräfteschulungen zu einer wiederkehrenden Praxis machen, alle sechs bis neun Monate. So wird sichergestellt, dass Wissen fest verankert ist und Führungskräfte stets über regulatorische Entwicklungen informiert bleiben.«

Compliance-Daten als Schlüssel für zukünftige Geschäftsentscheidungen

Für 2026 beobachtet Riehl einen klaren Trend: »Die Rolle von Compliance-Prozessen in Unternehmen verändert sich grundlegend. Dieses Jahr markiert voraussichtlich den Übergang von reaktivem Handeln hin zu vorausschauender Compliance.« Moderne KI-Systeme werten Beschwerden, Vorfälle und Prozessdaten aus und erstellen Risiko-Analysen, die potenzielle Vorfälle erkennen, bevor sie eintreten.

»Dank technologischer Fortschritte können Unternehmen ihre Whistleblowing-Kanäle von reinen Meldeinstrumenten zu wertvollen Informationsquellen weiterentwickeln. Auf diese Weise werden Meldungen künftig nicht nur Verstöße aufzeigen, sondern auch Schwachstellen vorhersagen können«, prognostiziert Riehl. Dem Experten zufolge wird Compliance zunehmend aktiv Einfluss auf operative Entscheidungen und die Gestaltung von Geschäftsprozessen nehmen. Er weist darauf hin, dass sich voraussichtlich ein Trend abzeichnen wird, bei dem Unternehmen bereichsübergreifende Teams etablieren, die Risikomanagement, Cybersecurity und Produktmanagement vereinen. Mit deren Unterstützung können Angebote und Prozesse von vornherein regelkonform gestaltet und Kosten gesenkt werden. »Auf diese Weise wird Compliance von einer ungeliebten Pflicht zu einem echten Gewinnbringer«, betont Riehl.

Strengere Lieferketten-Kontrollen stehen bevor – Deshalb müssen Unternehmen bereit sein

Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) führte 2023 erste Vorgaben ein, die jedoch im vergangenen Jahr rückwirkend gelockert wurden. Spätestens bis Juli 2027 werden jedoch mit der Umsetzung der CSDDD in nationales Recht neue Regelungen in Kraft treten. Prognosen deuten darauf hin, dass dies den Handlungsdruck auf Unternehmen deutlich erhöhen könnte.

»Die Vertragsklauseln in Bezug auf Menschenrechte und Klimaschutz werden wesentlich strenger. Zudem werden konkrete Nachweise über die Ergebnisse von Compliance-Maßnahmen verlangt, anstelle rein formeller Pflichten«, erklärt Riehl. Auch die neuen maximalen Bußgelder nach der CSDDD liegen mehr als doppelt so hoch wie beim LkSG und könnten für viele Unternehmen ein erhebliches finanzielles Risiko darstellen, warnt der Experte [2].

»Wir werden sehen, dass Unternehmen, die sich bereits 2026 gründlich auf die Auswirkungen der CSDDD vorbereiten, im Vorteil sein werden, sobald die neuen Vorschriften umgesetzt und kontrolliert werden«, analysiert Riehl. Er fährt fort: »Sie können nicht nur finanzielle Strafen vermeiden, sondern auch Reputationsschäden und Kundenverlust vorbeugen und damit ihren Fortbestand sichern.« Laut dem Experten werden dabei nur Programme erfolgreich sein, die Falldaten auf Risiken von Geschäftspartnern zurückführen, prüffähige Kennzahlen liefern und Compliance vertraglich absichern.

[1] https://www.frankfurt-main.ihk.de/hauptnavigation/wirtschaftspolitik/csr-und-nachhaltigkeit/nachhaltigkeitsberichtspflichten/csddd-6434894

[2] https://www.gesetze-im-internet.de/lksg/__24.html

3417 Artikel zu „Compliance“

News | Business | IT-Security | Ausgabe 11-12-2025 | Security Spezial 11-12-2025

Welche Compliance-Risiken beschert KI deutschen Unternehmen – Vom Regelhüter zum Risikonavigator

29. Dezember 2025

Das Interview mit Oliver Riehl, Regional Vice President DACH bei NAVEX, beleuchtet die Herausforderungen und Chancen, die künstliche Intelligenz (KI) für deutsche Unternehmen im Bereich Compliance mit sich bringt. Riehl betont, dass KI helfen kann, Ordnung in die wachsende Komplexität der Regularien zu bringen, jedoch eine gute Governance und klare Richtlinien erforderlich sind, um effektiv eingesetzt zu werden. Zudem wird die Bedeutung einer vertrauensvollen Compliance-Kultur hervorgehoben, um Datenverluste zu vermeiden und die Effizienz von Hinweisgebersystemen zu steigern.