Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu definieren

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Von Nicholas Fearn • 8 Januar 2026

Compliance zählt in den Augen der meisten Unternehmensführer nicht gerade zu den glamourösesten Themen. Sie sehen sie zwar als Notwendigkeit, um regulatorischem Druck zu entgehen, betrachten sie aber gleichzeitig als etwas, das man einem jüngeren Mitarbeiter übertragen oder zumindest nach Bedarf handhaben kann.

Da Technologie heutzutage jedoch das Lebenselixier der meisten modernen Unternehmen ist, Kriminelle dies ausnutzen und Regulierungsbehörden sowie andere Interessengruppen die Unternehmen infolgedessen unter Druck setzen, die Einhaltung der Vorschriften ernster zu nehmen, ist ein solcher Ansatz nicht mehr tragfähig.

Compliance und Governance müssen zu einem kontinuierlichen Prozess werden, der durch einheitliche Rahmenbedingungen und die Unterstützung der Führungsebene getragen wird, um der wachsenden Zahl von Informations-, Cyber- und Lieferkettenrisiken, denen Unternehmen und ihre Stakeholder ausgesetzt sind, entgegenzuwirken. Doch wie lässt sich das erreichen?

Cyberrisiko ist Geschäftsrisiko

Ein wesentlicher Faktor für den Wandel von Compliance – von einer reinen Pflichterfüllung zu einer strategischen Priorität im Geschäftsalltag – ist laut Stephanie Locke, Produktchefin des KI-Expertenunternehmens Nightingale HQ, die schiere Menge an Gesetzen, Verordnungen, Normen und bewährten Verfahren, die Unternehmen heute einhalten müssen. Sie betont, dass Verstöße erhebliche Reputations- und finanzielle Folgen haben können.

Zu den bemerkenswerten Beispielen für Gesetze und Verordnungen, die diesen Wandel vorangetrieben haben, zählen die EU-Richtlinie 2/2/EG (Richtlinie über Netz- und Informationssicherheit) und das wegweisende Gesetz zur künstlichen Intelligenz – ganz zu schweigen von den unterschiedlichen Datenschutzstandards in verschiedenen Teilen der Welt. Da Technologie tief in alle Bereiche der Unternehmensabläufe integriert ist, beobachten Vorstände diese Regelungen laut Locke sehr genau und betrachten IT-Risiken mittlerweile als unternehmensweite Risiken.

Da sich sowohl das Technologie-Ökosystem als auch die zu seiner Kontrolle entwickelten regulatorischen Rahmenbedingungen rasant weiterentwickeln, sind Unternehmen laut Locke nun gezwungen, Cyberrisiken kontinuierlich statt periodisch zu managen. Sie fügt hinzu: „Insbesondere KI birgt neue operative, rechtliche und Reputationsrisiken, wobei die ersten Durchsetzungsmuster wahrscheinlich die disruptiven Auswirkungen der DSGVO nach deren Einführung widerspiegeln werden.“

Jake Moore, globaler Cybersicherheitsberater beim Antivirensoftwarehersteller ESET, teilt diese Ansicht und erklärt, dass der Aufstieg rechtlicher Rahmenbedingungen wie NIS2 und des EU-KI-Gesetzes Cyberrisiken in Geschäftsrisiken verwandelt habe. Vor diesem Hintergrund, so Moore, erforderten beide Gesetze eine Verantwortlichkeit auf Führungsebene und unterstrichen, dass Compliance nun die Geschäftsmodelle bestimme und nicht umgekehrt.

Er erklärt gegenüber IO: „Fehler können teuer werden, und das Abhaken von Checklisten reicht nicht immer aus. Compliance mag zwar ein längerer Weg sein, aber er beweist, dass Organisationen sicher und in großem Umfang arbeiten können.“

Die Regulierungsbehörden werden schlauer.

Die Regulierungsbehörden arbeiten jedoch nicht nur zügig an der Einführung und Anpassung von Branchengesetzen. Dank der Fortschritte im Bereich der künstlichen Intelligenz arbeiten sie auch im Hintergrund deutlich schneller daran, Unternehmen aufzuspüren, die möglicherweise gegen ihre Regeln verstoßen.

Mithilfe von KI können Aufsichtsbehörden laut Lee Bryan, Gründer und CEO des Anbieters von Compliance-Lösungen Arcus Compliance, „Produkte, Verpackungen, Daten und Dokumentationen in großem Umfang“ und über „ganze Kategorien hinweg“ scannen. Die Technologie ermöglicht es ihnen außerdem, „Lücken, Unstimmigkeiten und falsche Angaben sofort zu erkennen“.

Er fügt hinzu, dass eine so grundlegende Veränderung in der Arbeitsweise der Regulierungsbehörden bedeutet, dass sich Marken nicht mehr „hinter Volumen, geografischer Lage oder langsamen manuellen Kontrollen verstecken können“, was bedeutet, dass ihnen keine andere Wahl bleibt, als die Einhaltung der Vorschriften als entscheidende Geschäftstätigkeit zu behandeln, oder dass sie mit regulatorischen Maßnahmen rechnen müssen.

Nicht länger eine Nebensache

Nicht nur die Aufsichtsbehörden erwarten von Unternehmen, dass sie die Einhaltung der Vorschriften ernst nehmen.

Andere Interessengruppen, wie Investoren, Kunden und Partner, prüfen zunehmend die Sicherheits- und Datenschutzmaßnahmen von Unternehmen vor der Unterzeichnung von Verträgen – und sogar danach.

Angesichts zunehmender Cyberangriffe auf Lieferketten, wie sie SolarWinds erlitten hat, erklärt Locke von Nightingale, dass Unternehmen sich der Risiken bewusst sind, die von Drittanbietern ausgehen können, wenn diese die Best Practices und Regeln für Cybersicherheit nicht einhalten. Sie fügt hinzu: „Daher sind Sicherheit und Datenschutz zu zentralen Bestandteilen der Due-Diligence-Prüfung bei Geschäfts- und Investitionsentscheidungen geworden.“

Insbesondere im Hinblick auf die digitale Due Diligence erklärt George Tziahanas – Vizepräsident für Compliance beim Archivierungssoftware-Spezialisten Archive360 – dass potenzielle Kunden möglicherweise davon abgehalten werden, mit Unternehmen zusammenzuarbeiten, die nicht erklären können, wie sie Daten speichern, verwalten und löschen, und dies als ein „operatives Risiko“ ansehen.

Bestehende Stakeholder erwarten zudem von den Unternehmen, mit denen sie zusammenarbeiten, ein hohes Maß an regulatorischer Einhaltung, um nicht in Lieferkettenvorfälle verwickelt zu werden. Laut Tziahanas könnten Verstöße dagegen zu „vertraglichen Strafen, behördlichen Maßnahmen und Reputationsschäden“ führen.

Vermeidung von Silos

Mangelnde Compliance bedeutet für Unternehmen jedoch nicht einfach nur, dass sie diese als reine Pflichterfüllung betrachten. Tziahanas erklärt, dass Compliance-Lücken wie „inkonsistente Kontrollen, unvollständige Aufzeichnungen und unzuverlässige Daten“ zu Problemen wie „falschen Meldungen, fehlgeschlagenen Bestätigungen und übermäßiger Aufbewahrung von Unterlagen“ führen können.

Um dies zu vermeiden, sollten Unternehmen idealerweise alle verschiedenen Aspekte der Compliance – Risiko, Sicherheit, Datenschutz und Geschäftskontinuität – in einem einheitlichen Governance-Rahmen zusammenführen. Laut Moore von ESET führt dies dazu, dass sich ihre Compliance- und Risikostrategie von reaktivem Handeln hin zu proaktivem Vorgehen verlagert – was gleichzeitig Kosten spart und versteckte Ausgaben reduziert.

John Phillips, General Manager EMEA beim Anbieter von Buchhaltungssoftware FloQast, sieht ebenfalls die Vorteile eines einheitlichen und proaktiven Ansatzes für Compliance und Cyberrisikomanagement. Er sagt, Teams, die diesen Ansatz verfolgen, könnten „interne und externe Veränderungen antizipieren, sich frühzeitig mit der Führungsebene abstimmen und Ressourcen dort einsetzen, wo sie die größte Wirkung erzielen“.

Die Einhaltung von Branchenregeln und Best Practices in der Anfangsphase eines neuen Geschäftsvorhabens oder Produkts kann sich auch langfristig als vorteilhaft erweisen. Tziahanas von Archive360 erklärt beispielsweise, dass dadurch kostspielige Nachbesserungen vermieden werden, da Regeln für Klassifizierung, Aufbewahrung und Löschung bereits definiert und implementiert sind.

Eine solide Compliance-Strategie hilft Unternehmen zudem dabei, starke, auf Vertrauen basierende Beziehungen zu ihren Stakeholdern aufzubauen, ergänzt Tziahanas. Dies sei der Schlüssel zu „schnelleren Transaktionszyklen und einem reibungsloseren Markteintritt“.

Praktische Schritte

Wenn es um den Aufbau und die Umsetzung einer soliden Compliance-Strategie geht, können anerkannte Branchenrahmenwerke wie ISO 27001, ISO 42001, SOC 2 und ISO 27701 ein guter Ausgangspunkt sein.

Locke von Nightingale HQ bezeichnet sie als „Einführungsleitfaden für gute Unternehmensführung“ und erklärt, dass sie Unternehmen alle notwendigen Grundlagen bieten, um ihren Compliance- und Governance-Pflichten nachzukommen. Sie fügt hinzu, dass solche Rahmenwerke es Organisationen und ihren Stakeholdern ermöglichen, sich auf gemeinsame Erwartungen und Verpflichtungen in Bezug auf Compliance und gute Unternehmensführung zu einigen.

Eine klare Risikotransparenz ist ebenfalls wichtig. Bryan von Arcus Compliance erklärt, dass Führungskräfte sich der Risiken, denen sie ausgesetzt sind, möglicherweise nicht bewusst sind, da „Daten, Dokumentationen und Lieferanten über verschiedene Systeme verstreut sind“. Er ist überzeugt, dass sich dieses Problem durch die Einführung „agiler Systeme, eines risikobasierten Ansatzes und einer echten Compliance-Kultur“ lösen lässt.

Für Moore von ESET ist die Unterstützung der Führungsebene unerlässlich für den Erfolg von Compliance- und Governance-Plänen. Dies könne jedoch nur erreicht werden, indem man die Führungskräfte über die sich rasant entwickelnde Cyberbedrohungslandschaft und deren Auswirkungen auf das Unternehmen aufkläre, so Moore.

Auf den ersten Blick erscheint die Einhaltung von Vorschriften als eine mühsame Angelegenheit, die lediglich den Regulierungsbehörden dient. Tatsächlich kann sie Unternehmen aber zugutekommen, indem sie ihnen ermöglicht, Risiken zu erkennen und zu beheben, bevor diese ernsthaften Schaden anrichten. Gleichzeitig kann sie potenzielle Kunden gewinnen und die Beziehungen zu bestehenden Kunden stärken – allesamt besorgt über die jüngsten Cyberangriffe auf Lieferketten und darauf bedacht, dass jedes Unternehmen, mit dem sie zusammenarbeiten, diese Risiken ernst nimmt.

Nicholas Fearn

Nicholas Fearn ist ein freiberuflicher Journalist aus den Welsh Valleys. Er hat für große Medien wie die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost und Insider sowie für B2B-Publikationen wie Computer Weekly, Computing und IT Pro geschrieben. Wenn Nic nicht über die neuesten Gadgets und Technologietrends schreibt, hört er sich wahrscheinlich die gesamte Diskografie von Mariah Carey an.

Lesen Sie mehr von Nicholas Fearn

Internet-Sicherheit 27 November 2025

Wie aufsehenerregende Cybervorfälle die tatsächlichen Auswirkungen von Schwachstellen in der Lieferkette auf Unternehmen verdeutlichen

Cyberangriffe richten verheerende Schäden in Unternehmen an. Sie können den Geschäftsbetrieb lahmlegen, die Kassen leeren und das Vertrauen der Kunden untergraben. Oftmals…

Nicholas Fearn

Internet-Sicherheit 4 September 2025

Qantas-Blog zur Überwachung von Datenschutzverletzungen

Datenschutzverletzung bei Qantas: Warum die Überwachung der Lieferanten eine Compliance-Priorität sein muss

Ein kürzlicher Datendiebstahl bei Qantas, bei dem die persönlichen Daten von 5.7 Millionen Kunden kompromittiert wurden, hat das anhaltende Cybersicherheitsrisiko deutlich gemacht, das von Dritten ausgeht.

Nicholas Fearn

Internet-Sicherheit 16 Juli 2025

Was erhöhte Verteidigungsausgaben für den Cybersicherheitssektor bedeuten

Angesichts der weltweit zunehmenden geopolitischen Spannungen ist es im Jahr 2025 zu einem dramatischen Anstieg der Verteidigungsausgaben gekommen, wie er seit dem Kalten Krieg nicht mehr zu beobachten war. In letzter Zeit …

Nicholas Fearn