Der regulatorische Druck nimmt zu – mit neuen Pflichten für Unternehmen
Unternehmen stehen vor schweren Geldbußen, einer verstärkten regulatorischen Kontrolle und erheblichen Compliance-Verpflichtungen aufgrund einer Reihe von Rechtsvorschriften der Europäischen Union (EU) und nationaler Gesetze, die entweder kürzlich in Kraft getreten sind oder 2026 in Kraft treten werden. Zu den wichtigsten Anforderungen gehören die Pflicht, die Cyber-Resilienz von externen IT-Dienstleistern zu prüfen, die Sorgfaltspflichten in der Lieferkette zu stärken und tatsächliche oder potenzielle Schäden zu erkennen, zu verhindern und zu beheben sowie den Schutz von Whistleblowern zu verbessern.
Mit dem Digital Operational Resilience Act (DORA) versucht die EU, Finanzdienstleistungsunternehmen dazu zu bewegen, mehr Kontrolle über IT-Risiken zu übernehmen – und auch mehr Verantwortung dafür –, um den Sektor insgesamt besser vor potenziellen Cyberangriffen zu schützen. Früher waren Finanzinstitute verpflichtet, die wichtigsten Kategorien operationeller Risiken vor allem durch die Bereitstellung von Kapital zu steuern – und weniger durch Maßnahmen der operativen Resilienz wie etwa einen angemessenen technologischen Reifegrad.
Die am 17. Januar 2025 in Kraft getretenen Vorschriften legen strenge Anforderungen an das Risikomanagement der Informations- und Kommunikationstechnologie (IKT), die Meldung von Vorfällen, die Prüfung der operativen Resilienz und den Austausch von Informationen und Informationen mit Aufsichtsbehörden fest. Entscheidend ist, dass die Gesetzgebung Finanzdienstleister auch für die Risikoüberwachung von „kritischen“ IT-Drittanbietern verantwortlich macht.
Da die Regeln jedoch mit erheblichen finanziellen Sanktionen verbunden sind, hat dies weniger zu einer stärkeren Compliance geführt. Stattdessen versuchen Unternehmen, die Verantwortung auf externe IT-Anbieter zurückzuverlagern, indem sie Vertragsbedingungen verschärfen, wenn diese die Geschäftsbeziehung aufrechterhalten wollen. Und für Finanzunternehmen mit genügend finanziellen Mitteln deuten die Anzeichen darauf hin, dass die Anbieter von Technologiedienstleistungen unter dem Druck zusammenbrechen. Infolgedessen kann DORA-Technologieanbieter einer enormen regulatorischen Kontrolle unterziehen.
Die Auswirkungen von DORA
Viele Branchenexperten weisen darauf hin, dass zahlreiche Unternehmen im Finanzsektor nur zögerlich damit begonnen haben, die Anforderungen von DORA umzusetzen, bevor die Vorschriften in Kraft traten. Das könnte dazu beigetragen haben, dass sie versucht haben, einen Teil der Compliance-Aufgaben – ebenso wie die damit verbundenen Kosten – auf die IT-Dienstleister zu verlagern, mit denen sie zusammenarbeiten. Eine Hauptmethode, um dies zu tun, besteht darin, Verträge mit IT-Dienstleistern neu zu verhandeln, sodass die erbrachten Technologieleistungen als „kritisch oder wichtig“ eingestuft werden – selbst, wenn dies nicht zwingend der Fall ist. Dadurch wird ein Teil der Compliance-Verantwortung auf die Drittparteien verlagert, die anschließend verpflichtet sind, zusätzliche Nachweise und Zusicherungen zu erbringen. Unternehmen nutzen DORA zudem als Gelegenheit, ihre Beziehungen zu Dienstleistern umfassender neu zu verhandeln und verlangen mehr Transparenz, erweiterte Möglichkeiten zum Datenaustausch und Berichte zur Resilienz.
Während die Verschärfung der Vertragsklauseln die Compliance zu verbessern scheint, entbindet sie Unternehmen nicht von ihrer Verantwortung: Gemäß DORA bleiben Vorstände letztlich für ihr Maß an IT-Resilienz und ihre Fähigkeit zur Meldung von Vorfällen innerhalb des erforderlichen Zeitrahmens verantwortlich. Darüber hinaus könnte die Weitergabe der DORA-Compliance-Anforderungen an IT-Dienstleister Rückschläge verursachen. Ein derart strikt durchgesetzter Ansatz kann nicht nur zu belasteten Geschäftsbeziehungen führen, sondern auch das Risiko einer Nicht-Compliance für Finanzunternehmen erhöhen. Denn sie wären dadurch noch stärker auf Zusicherungen ihrer Lieferanten angewiesen, während ihnen gleichzeitig aufgrund fehlender interner Expertise die eigene Vorbereitung fehlt.
Der Anwendungsbereich von DORA ist breit gefächert und umfasst fast alle Finanzunternehmen, die innerhalb der EU tätig sind, einschließlich Banken, Kreditgeber, Fintechs, Handelsplätze, Crowdfunder, Kryptounternehmen, Wertpapierfirmen, Versicherer, Ratingagenturen und Zahlungsdienstleister. Nichteinhaltung kann zu finanziellen Sanktionen von bis zu 2% des gesamten jährlichen weltweiten Umsatzes oder 1% des täglichen weltweiten Umsatzes sowie zum Entzug der Genehmigungen zur Ausübung regulierter Geschäfte führen. Für Einzelpersonen können Strafen bis zu 1 Mio. € betragen. Kritische ICT-Drittanbieter müssen noch höhere Bußgelder von bis zu 5 Mio. € (oder 500.000€ für Einzelpersonen) zahlen, wenn sie die Standards von DORA nicht erfüllen.
Sorgfaltspflichten in der Lieferkette rücken in den Vordergrund
Die Sorgfaltspflichten in der Lieferkette werden 2026 ebenfalls stärker in den Vordergrund treten, da sich sowohl nationale als auch EU-weite Vorgaben zunehmend in den Unternehmensabläufen verankern und Aufsichtsbehörden ein größeres Augenmerk auf deren Durchsetzung legen. Das deutsche Gesetz zur Sorgfaltsprüfung der Lieferkette ist am 1. Januar 2023 in Kraft getreten und erlaubt es Staatsanwälten, Geldbußen von bis zu 2% des weltweiten Umsatzes eines Unternehmens zu verhängen, wenn sie Menschenrechts- und Umweltauswirkungen in ihren Lieferketten nicht erkennen und verhindern. Sie gilt für Unternehmen mit einem Sitz oder einer Hauptniederlassung in Deutschland sowie für ausländische Unternehmen mit einer dortigen Zweigniederlassung. Sie gilt für Unternehmen mit mindestens 1.000 Arbeitnehmern.
Obwohl das Gesetz keine neue zivilrechtliche Haftung begründet, ist zu erwarten, dass Nichtregierungsorganisationen künftig häufiger Klagen wegen mutmaßlicher Menschenrechtsverletzungen vor deutschen Gerichten einreichen werden. Im Jahr 2023, dem ersten Jahr nach Inkrafttreten des Gesetzes, wurden lediglich 30 Beschwerden eingereicht – und 22 davon wurden abgewiesen. 2025 wurden 75 Fälle eingereicht.
Stellen Sie dem das ähnliche französische Gesetz zur Sorgfaltspflicht gegenüber, das 2019 in Kraft getreten ist. Bis Mai 2025 wurden lediglich 16 Klagen eingereicht. Unabhängig davon, wie viele Unternehmen durch eines der beiden Gesetze tatsächlich sanktioniert wurden, haben beide dazu geführt, dass große Unternehmen Menschenrechts- und Umweltaspekte in ihren Lieferketten deutlich stärker priorisieren als zuvor.
Top 10 Compliance-Trends: Vorbereitung auf die neuen Risikoanforderungen 2026
Entdecken Sie die wichtigsten Prognosen für das kommende Compliance-Jahr. Dieses NAVEX-Webinar beleuchtet KI-Regulierung, neue Durchsetzungsentwicklungen und globale Standards, die die nächste Ära von …
Neue Vorschriften zu Menschenrechten
EU-weite Vorschriften zur Identifizierung, Vermeidung und Minderung tatsächlicher und potenzieller nachteiliger Umwelt- und Menschenrechtsauswirkungen treten auch 2026 in Kraft, da die Frist für die Mitgliedstaaten zur Umsetzung der EU Corporate Sustainability Due Diligence Directive (CSDDD) in nationales Recht im Juli in Kraft tritt. Die Vorgaben gelten für große Unternehmen – zunächst für Unternehmen mit 5.000 Mitarbeitern und später, nach drei Jahren, für Unternehmen mit 1.000 oder mehr Mitarbeitern und einem Umsatz von über 450 Millionen Euro.
Strafen für Nichteinhaltung können hart sein. Die Höchstgrenze für finanzielle Sanktionen, die die Mitgliedstaaten vorsehen müssen, muss mindestens 5% des weltweiten Nettoumsatzes des Unternehmens im Geschäftsjahr vor dem Beschluss über die Verhängung der Geldbuße betragen. Wird eine Geldbuße verhängt, wird die Entscheidung über den Verstoß in eine öffentliche Erklärung aufgenommen, die mindestens fünf Jahre lang verfügbar bleibt – das Unternehmen wird somit „benannt und beschimpft“.
Zusätzlich gilt: Wenn ein Schaden gemeinsam von einem Unternehmen und seiner Tochtergesellschaft oder vom Unternehmen und einem direkten oder indirekten Geschäftspartner verursacht wird, haften diese Einheiten gesamtschuldnerisch. Die CSDDD führt zudem eine zivilrechtliche Haftungsregelung ein, die die Mitgliedstaaten verpflichtet, sicherzustellen, dass ein Unternehmen für Schäden haftbar gemacht werden kann, die Personen oder Unternehmen entstanden sind, wenn es seine Pflichten vorsätzlich oder fahrlässig nicht erfüllt hat. Wenn Unternehmen die Sorgfaltsprüfung der Lieferkette noch nicht auf ihrem Compliance-Radar hatten, muss sich das 2026 ändern.
Whistleblowing-Regelungen entwickeln sich im Vereinigten Königreich und in der EU weiter
Whistleblowing wird seit langem als wirksamer Mechanismus für Mitarbeiter und Dritte anerkannt, um eine Meldung zu machen, aber das Schutzniveau, das sie erwarten können, bleibt oft problematisch. Und so geht es auch mit den Plänen des Vereinigten Königreichs, Whistleblowing zu fördern.
Im September 2025 trat im Rahmen des Economic Crime and Corporate Transparency Act (ECCTA) das dritte britische „Failure to Prevent“-Delikt in Kraft. Zwei ähnliche Straftaten – das Versäumnis, Bestechung und Steuerhinterziehung zu verhindern – sind bereits unter unterschiedlichen Rechtsvorschriften in Kraft, nämlich dem Bribery Act 2010 und dem Criminal Finances Act 2017. Jede dieser Vorschriften verpflichtet Unternehmen dazu, sich selbst, ihre Mitarbeiter und die Drittparteien, mit denen sie Geschäfte machen, zu kontrollieren. Gemeinsam zielen diese Gesetze darauf ab, den Geltungsbereich der Unternehmenshaftung zu erweitern.
Die britische Regierung hofft, dass das neue Delikt – zusammen mit den beiden bereits bestehenden – den Blick erneut darauf lenkt, wie wichtig es ist, Whistleblowing zu unterstützen, weil Mitarbeiter auf mutmaßlich illegale Geschäftstätigkeiten aufmerksam machen.
Das Hauptproblem bei ECCTA besteht jedoch darin, dass Whistleblowing zwar gefördert, die Offenlegung jedoch nicht gefördert und der Schutz der Mitarbeiter nicht verbessert wird. Auch andere Hindernisse können den Erfolg verhindern. Beispielsweise gab es im Vereinigten Königreich historisch gesehen nur begrenzte Transparenz über die Ergebnisse von Whistleblower-Meldungen. Ein Grund dafür ist, dass die britischen Behörden – anders als in den USA – keine finanziellen Anreize für Hinweise bieten. Dadurch gibt es wenig öffentliche Aufmerksamkeit für die Rolle, die Whistleblower bei der Aufdeckung von Fehlverhalten in Unternehmen oder bei deren Führungskräften möglicherweise gespielt haben.
Auch die Erfolgsbilanz erfolgreicher Strafverfolgungen ist bislang überschaubar. Seit Inkrafttreten des Gesetzes zur Bekämpfung von Bestechung (Bribery Act) im Juli 2011 gab es im Durchschnitt nur 10 Strafverfolgungen pro Jahr und bis Anfang 2025 lediglich 10 Vereinbarungen über die aufgeschobene Strafverfolgung wegen „Versäumnis, Bestechung zu verhindern.“ Darüber hinaus wurden die ersten Strafverfolgungsmaßnahmen im Rahmen des Criminal Finances Acts erst fast acht Jahre, nachdem das „Versäumnis, Steuerhinterziehung zu verhindern“ als Straftat eingeführt worden war, erhoben, und das Verfahren läuft noch.
Zudem fehlt es sowohl an ausreichendem Schutz als auch an Anreizen für Mitarbeiter, sich zu melden. Der Office of the Whistleblower Bill, der eine unabhängige Behörde schaffen soll, um den Schutz für Hinweisgeber zu verbessern, ist ins Stocken geraten und noch weit davon entfernt, Realität zu werden. In seiner gegenwärtigen Form würde der Gesetzentwurf die Anzahl der Einrichtungen erweitern, die eine Whistleblowing-Meldung erhalten können, und eine Straftat für diejenigen einführen, die Hinweisgebern schaden, mit einer vorgeschlagenen Höchststrafe in Form einer Geldstrafe oder 18 Monaten Freiheitsstrafe. Die zweite Lesung ist für das Frühjahr 2026 vorgesehen.
Währenddessen stößt die Diskussion über finanzielle Anreize für Whistleblower auf gemischte Reaktionen: Das Serious Fraud Office (SFO) als wichtigste britische Behörde zur Korruptionsbekämpfung, die Financial Conduct Authority (FCA) und die britische Steuerbehörde HMRC unterstützen den Ansatz. Viele andere jedoch nicht, und zahlreiche Experten sind der Ansicht, dass ein solcher Ansatz eine gesetzliche Änderung erfordern würde. Daher gibt es Bedenken, dass die drei „Failure to Prevent“-Delikte wenig Wirkung entfalten könnten, wenn der Schutz für Whistleblower nicht ebenfalls verbessert wird.
Die EU überprüft auch, ob ihre Richtlinie zum Schutz von Hinweisgebern wirksam ist. Im August 2025 startete die Europäische Kommission einen Aufruf zur Stellungnahme, um zu bewerten, wie gut die Richtlinie seit ihrer Verabschiedung im Jahr 2019 in allen EU-Mitgliedstaaten umgesetzt wurde. Insbesondere wird bewertet, ob:
- die Richtlinie den Schutz von Hinweisgebern gestärkt und Meldungen gefördert hat
- der Nutzen in einem angemessenen Verhältnis zu den Kosten steht; ob er den heutigen Herausforderungen und zukünftigen Bedürfnissen gerecht wird
- sie mit anderen EU- und internationalen Richtlinien übereinstimmt
- sie mehr erreicht hat, als die Mitgliedstaaten einzeln hätten erreichen können
Die Bewertung soll bis Ende 2026 abgeschlossen sein – fünf Jahre nachdem die Richtlinie eigentlich in nationales Recht überführt werden sollte. Seit Langem gibt es Kritik – und Besorgnis –, dass einige Mitgliedstaaten nur zögerlich entsprechende Gesetze verabschiedet haben und dass in manchen Ländern weiterhin Unklarheit darüber besteht, was der Begriff „Whistleblower“ überhaupt bedeutet. Das lässt keine hohen Erwartungen an den Schutz zu, den betroffene Personen erhalten könnten.
Es besteht kaum Zweifel daran, dass das Jahr 2026 für Unternehmen, die in der EU und im Vereinigten Königreich tätig sind, in verschiedenen operativen Bereichen erhebliche Compliance-Herausforderungen mit sich bringen wird. DORA verpflichtet betroffene Unternehmen nicht nur dazu, ihre eigene operative Resilienz und Berichtsprozesse zu überprüfen, sondern auch die ihrer wichtigsten IT-Dienstleister. Gleichzeitig erfordern die Vorgaben zur Sorgfaltspflicht in der Lieferkette – sowohl auf nationaler als auch auf EU-Ebene – wesentlich tiefere Prüfungen von Drittparteienbeziehungen. Gleichzeitig wird der neue Schwerpunkt des Vereinigten Königreichs auf Unternehmensbetrug Unternehmen dazu veranlassen, ihre Whistleblower-Hotlines sowie die bestehenden Schutzmaßnahmen für Hinweisgeber zu überprüfen. Auch die EU befasst sich damit, wie ihre eigenen Regeln zum Schutz von Whistleblowern weiter gestärkt und verbessert werden können.
Prognose für 2026
Im Verlauf des Jahres 2026 werden Compliance-Teams neu bewerten müssen, wie gut ihr Unternehmen darauf vorbereitet ist, auf diese neuen Pflichten zu reagieren – und zugleich prüfen, wie es die positiven Effekte nutzen kann, die diese Regulierungen schaffen sollen: bessere Cyber-Resilienz, ein robusteres Management der Lieferkette und offenere Arbeitsumgebungen, in denen Mitarbeiter Governance-Bedenken sicher und ohne Angst vor Repressalien äußern können. Die behördliche Durchsetzung setzt möglicherweise nicht sofort ein – die intensive Prüfung jedoch sehr wohl.
Dieser Artikel ist Teil unseres Top 10 Risiko & Compliance E-Books 2026. Lesen Sie das vollständige eBook für weitere Experteneinschätzungen zu den wichtigsten Entwicklungen des Jahres.
Top 10 Risiko- & Compliance-Trends für 2026
Seien Sie einen Schritt voraus: bei KI-Regulierung, kulturellem Druck und globalen Governance-Änderungen – mit Insights, die Sie gezielt auf das vorbereiten, was als Nächstes kommt.
