Finanzwelt
Finanzwelt Logo

Deutsche Unternehmen unterschätzen Compliance-Risiken

01.09.2025

Oliver Riehl. Foto: © NAVEX

Eine aktuelle Umfrage von NAVEX zeigt, dass mehr als ein Drittel der deutschen Unternehmen in den vergangenen drei Jahren Datenschutz- und Cyber­sicherheits­verletzungen erlebt hat. Dennoch stufen rund 60 Prozent ihre eigenen Risikound Compliance-Programme auf eine der beiden höchsten Stufen einer fünfstufigen Skala ein – anstatt Alarm zu schlagen.

„Schwächen im Risiko- und Compliance-Management werden häufig durch das Fehlen einer Speak-up-Kultur verschärft. Wenn Mitarbeitende Verstöße nicht melden, werden Lücken zu spät oder gar nicht erkannt. Das kann zu einem trügerischen Sicherheitsgefühl führen“, erklärt Oliver Riehl, Regional Vice President Sales bei NAVEX. Unzureichende Prävention und fehlende Krisenstrategien können selbst für marktstabile Unternehmen innerhalb kürzester Zeit eine existenzielle Bedrohung darstellen.

Deutsche Wirtschaft ist überfordert mit Regularien

Trotz dieser alarmierenden Statistiken verlassen sich viele Betriebe bis heute auf bestehende, scheinbar solide Strukturen, anstatt diese weiterzuentwickeln. Währenddessen steigt der regulatorische Druck. Laut der NAVEX-Studie ist fast jeder dritte deutsche Betrieb mit der Umsetzung von EU-Vorschriften wie der Corporate Sustainability Due Diligence Directive (CSDDD), dem AI-Act oder der Hinweisgeberrichtlinie überfordert. Denn analog zur Zahl der Richtlinien wächst auch der Zuständigkeitsbereich von Compliance-Programmen exponentiell. Dieser kann oft nicht mehr durch die bisherigen Strukturen abgebildet werden. Riehl weiß: „Risikomanagement wird zunehmend zu einer gemeinsamen Verantwortung aller Mitarbeitenden. Betriebe sollten deswegen vermehrt in Weiterbildung investieren und eine vertrauensvolle Unternehmenskultur fördern.“

5 vs. 50: Wie Führungslücken die Compliance schwächen

Ein wesentlicher Faktor, der die Entwicklung einer ethischen Unternehmenskultur behindert, ist das fehlende Engagement und die mangelnde Unterstützung durch das Top-Management. Zwar geben die meisten befragten Unternehmen an, dass ihre Führung die Einhaltung von Regeln und Vorschriften fördert. Doch die beiden am häufigsten genannten Hindernisse für ein wirksames Risikomanagement sind eine geringe Priorisierung des Themas sowie fehlender Rückhalt durch die Unternehmensleitung. Laut der NAVEX-Umfrage erhielten im Jahr 2025 lediglich 60 Prozent der deutschen Aufsichtsgremien regelmäßige Berichte zu Compliance-Themen. Nur 26 Prozent setzten sich intensiv mit dem Thema auseinander. Besonders alarmierend: Nahezu 30 Prozent der Befragten berichteten, dass ihre Führungskräfte sogar unethische Methoden zur Erreichung geschäftlicher Ziele ermutigt oder die Arbeit von Compliance-Verantwortlichen aktiv behindert haben.

„Es besteht immer die Gefahr, dass Führungskräfte kurzfristige Erfolge höher gewichten. Sie wollen, dass das Unternehmen in den nächsten fünf Jahren gut performt – übersehen dabei aber Risiken, die später erheblichen Schaden anrichten können. In kritischen Situationen entscheidet das Risikomanagement darüber, wer in zehn oder sogar fünfzig Jahren noch am Markt ist – und wer nicht“, erklärt Riehl.

Offener Austausch schafft Bewusstsein für Compliance

Um langfristig widerstandsfähig zu bleiben, ist ein Bewusstseinswandel in der deutschen Wirtschaft erforderlich: Entscheider müssen die Bedeutung einer konstruktiven Meldekultur  erkennen. Wesentlich dafür ist ein intensiverer Austausch zwischen Unternehmen. Riehl betont: „Organisationen sollten offener über ihre Erfahrungen sprechen und bewährte Praktiken miteinander teilen. Dadurch entsteht ein gemeinsames Verständnis dafür, dass Präventionsmaßnahmen nicht nur Risiken reduzieren, sondern auch langfristigen Erfolg sichern.“

Ein Drittel der Befragten sieht KI als Compliance-Treiber – wenn reguliert

Der NAVEX-Report lässt zudem darauf schließen, dass neben Unternehmenskultur und Führung auch technologische Entwicklungen den Kurs der Compliance in Deutschland prägen werden.

Mehr als die Hälfte der befragten Organisationen setzt bereits zweckgebundene Software in zentralen Bereichen ein. „Plattformen wie NAVEX One können helfen, den Überblick über interne Bedrohungen zu behalten, das Fallmanagement zu vereinfachen und eine zeitgerechte Nachverfolgung der Fälle sicherzustellen“, erläutert Oliver Riehl. Auch der Einsatz von künstlicher Intelligenz gewinnt an strategischer Bedeutung: Knapp ein Drittel der Firmen bezeichnet KI als äußerst wichtig für die Compliance-Arbeit. Gleichzeitig bestehen erhebliche Bedenken: Fast 40 Prozent sehen die Gefahr verpasster regulatorischer Änderungen, mehr als ein Drittel bemängeln fehlende Risikosichtbarkeit, fast 30 Prozent verzeichnen Lücken in der Umsetzung von Kontrollmechanismen. „Neue Technologien wie KI bieten enorme Chancen für effizientere Prozesse. Das gilt aber nur, wenn sie eng mit klaren Richtlinien, kontinuierlichem Monitoring und bereichsübergreifender Steuerung verknüpft werden“, sagt Oliver Riehl. „So wird Technologie vom reinen Werkzeug zum strategischen Hebel: Unternehmen, die jetzt Software-Integration und eine gesunde Meldekultur konsequent umsetzen, schaffen die Basis für ein zukunftsfähiges GRCManagement.“

Ganzheitliche Strategien schützen besser

Entscheidungsträger sollten sich jedoch nicht ausschließlich auf neue Technologien konzentrieren. Auch Themen wie die Überwachung von Lieferketten rücken 2026 stärker in den Fokus. Aktuelle Entwicklungen – etwa die Anpassung des deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) an die noch nicht endgültig verabschiedete EU-Richtlinie CSDDD – verlangen von Unternehmen zunehmend, Fehlverhalten systematisch zu erkennen. Doch auch hier zeigt der NAVEX-Report erhebliche Defizite: Nur 37 Prozent der befragten deutschen Unternehmen gaben an, ihre Lieferanten systematisch im Hinblick auf Menschenrechte zu überprüfen. In Bezug auf ESGAusrichtung und Transparenz sind es lediglich ein Drittel der Befragten, die entsprechende Prüfungen durchführen.

„Wir müssen uns von der Vorstellung verabschieden, dass es ein einziges größtes Risikofeld gibt. Wer sich ausschließlich auf Technologie fokussiert, läuft Gefahr, andere Risiken zu übersehen. Entscheidend ist ein ganzheitlicher Blick. Nur wer alle relevanten Bereiche im Auge behält, kann Risiken wirksam minimieren“, resümiert Riehl. (fw)

Mehr aus dieser Kategorie

CFA Society Germany feiert 25-jähriges Jubiläum

Mit über 150 geladenen Gästen feierte die CFA Society Germany am 28. August ihr 25-jähriges Bestehen im Hilton Frankfurt. Als größte Vereinigung von Investment-Professionals in ...

1,2 Millionen erwerbsfähige Bürgergeldbezieher waren noch nie beschäftigt

Eine neue Auswertung der Bundesagentur für Arbeit sorgt für Diskussionen: Von 3,93 Millionen erwerbsfähigen Bürgergeldempfängern im Jahr 2023 haben rund 1,2 Millionen noch nie eine...

Andere ThemenComplianceCybersicherheitNAVEXStudie