Zum Handeln gegen die Ethik ermutigt Compliance ist gut, aber nicht unbedingt im eigenen Unternehmen

Anbieter zum Thema

Schneider Electric GmbH

VON ZUR MÜHLEN'SCHE GmbH

ConSysTech GmbH

Alle reden von Compliance, im Zusammenhang mit KI auch von Guardrails. Und das war es auch schon?

Eine Studie des Risiko-Management-Unternehmens Navex zeigt: Deutsche Unternehmen bewerten ihre eigenen Compliance-Strukturen im Schnitt sehr gut, obwohl mehr als ein Drittel der Befragten in den vergangenen drei Jahren von Sicherheitsverletzungen betroffen war.

Durch veraltete Strukturen und eine unzureichende Priorisierung können viele Betriebe den zunehmenden Anforderungen und Vorschriften des Risiko-Managements nur schwer gerecht werden. Tatsächlich zeigt die Navex-Umfrage, dass mehr als ein Drittel der deutschen Unternehmen in den vergangenen drei Jahren Datenschutz- und Cyber­Sicherheitsverletzungen erlebt hat. Dennoch stufen rund 60 Prozent ihre eigenen Risiko- und Compliance-Programme auf eine der beiden höchsten Stufen einer fünfstufigen Skala ein anstatt Alarm zu schlagen.

Schwächen im Risiko- und Compliance-Management werden häufig durch das Fehlen einer Speak-up-Kultur verschärft. Wenn Mitarbeitende Verstöße nicht melden, werden Lücken zu spät oder gar nicht erkannt.

Das kann zu einem trügerischen Sicherheitsgefühl führen. Doch unzureichende Prävention und fehlende Krisenstrategien können selbst für Markt-stabile Unternehmen innerhalb kürzester Zeit eine existenzielle Bedrohung darstellen.

Regularien überfordern die deutsche Wirtschaft

Trotz dieser alarmierenden Statistiken verlassen sich viele Betriebe bis heute auf bestehende, scheinbar solide Strukturen, anstatt diese weiterzuentwickeln. Währenddessen steigt der regulatorische Druck. Laut unserer Studie ist fast jeder dritte deutsche Betrieb mit der Umsetzung von EU-Vorschriften wie der Corporate Sustainability Due Diligence Directive (CSDDD), dem AI-Act oder der Hinweisgeberrichtlinie überfordert. Denn analog zur Zahl der Richtlinien wächst auch der Zuständigkeitsbereich von Compliance-Programmen exponentiell.

Dieser kann oft nicht mehr durch die bisherigen Strukturen abgebildet werden.Damit wird aber das Risiko-Management zunehmend zu einer gemeinsamen Verantwortung aller Mitarbeitenden. Betriebe sollten deswegen vermehrt in Weiterbildung investieren und eine vertrauensvolle Unternehmenskultur fördern.

5 versus 50: Wie Führungslücken die Compliance schwächen

Ein wesentlicher Faktor, der die Entwicklung einer ethischen Unternehmenskultur behindert, ist das fehlende Engagement und die mangelnde Unterstützung durch das Top-Management. Zwar geben die meisten befragten Unternehmen an, dass ihre Führung die Einhaltung von Regeln und Vorschriften fördert. Doch die beiden am häufigsten genannten Hindernisse für ein wirksames Risiko-Management sind eine geringe Priorisierung des Themas sowie fehlender Rückhalt durch die Unternehmensleitung.

Wie die Umfrage-Ergebnisse zeigen, haben im Jahr 2025 lediglich 60 Prozent der deutschen Aufsichtsgremien regelmäßige Berichte zu Compliance-Themen erhalten. Nur 26 Prozent setzten sich intensiv mit dem Thema auseinander.

Es besteht immer die Gefahr, dass Führungskräfte kurzfristige Erfolge höher gewichten. Sie wollen, dass das Unternehmen in den nächsten fünf Jahren gut performt, übersehen dabei aber Risiken, die später erheblichen Schaden anrichten können. In kritischen Situationen entscheidet das Risiko-Management darüber, wer in zehn oder sogar fünfzig Jahren noch am Markt ist und wer nicht.

Offener Austausch schafft Bewusstsein

Um langfristig widerstandsfähig zu bleiben, ist ein Bewusstseinswandel in der deutschen Wirtschaft erforderlich: Entscheider müssen die Bedeutung einer konstruktiven Meldekultur erkennen. Wesentlich dafür ist ein intensiverer Austausch zwischen Unternehmen.

Der Report lässt zudem darauf schließen, dass neben Unternehmenskultur und Führung auch technologische Entwicklungen den Kurs der Compliance in Deutschland prägen werden. Mehr als die Hälfte der befragten Organisationen setzt bereits zweckgebundene Software in zentralen Bereichen ein.

Und tatsächlich können Plattformen wie „Navex One“ helfen, den Überblick über interne Bedrohungen zu behalten, das Fall-Management zu vereinfachen und eine zeitgerechte Nachverfolgung der Fälle sicherzustellen. Auch der Einsatz von Künstlicher Intelligenz gewinnt an strategischer Bedeutung: Knapp ein Drittel der Firmen bezeichnet KI bereits als „äußerst wichtig“ für die Compliance-Arbeit.

Die KI ist ein Segen

Gleichzeitig bestehen erhebliche Bedenken: Fast 40 Prozent sehen die Gefahr verpasster regulatorischer Änderungen, mehr als ein Drittel bemängeln fehlende Risikosichtbarkeit, fast 30 Prozent verzeichnen Lücken in der Umsetzung von Kontrollmechanismen. Festhalten lässt sich: Unternehmen, die jetzt Software-Integration und eine gesunde Meldekultur konsequent umsetzen, schaffen die Basis für ein zukunftsfähiges GRC-Management.

Entscheidungsträger sollten sich jedoch nicht ausschließlich auf neue Technologien konzentrieren. Auch Themen wie die Überwachung von Lieferketten rücken 2026 stärker in den Fokus. Aktuelle Entwicklungen – etwa die Anpassung des deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) an die noch nicht endgültig verabschiedete EU-Richtlinie CSDDD – verlangen von Unternehmen zunehmend, Fehlverhalten systematisch zu erkennen.

Doch auch hier zeigt der Bericht erhebliche Defizite: Nur 37 Prozent der befragten deutschen Unternehmen geben an, ihre Lieferanten systematisch im Hinblick auf Menschenrechte zu überprüfen. In Bezug auf ESG-Ausrichtung und Transparenz sind es lediglich ein Drittel der Befragten, die entsprechende Prüfungen durchführen.

(ID:50538853)