Verändertes Enforcement: von Corporate Compliance zu Corporate Resilience

Home Spotlight Verändertes Enforcement: von Corporate Compliance zu Corporate Resilience

Wie Unternehmen sich in dynamischen Risikolandschaften erfolgreich aufstellen

Die internationale Compliance-Landschaft ist in Bewegung. Das US-amerikanische FCPA-Enforcement hat seinen Fokus verschoben – seit Jahrzehnten prägende Drohszenarien erscheinen auf den ersten Blick abgeschwächt. Dafür rücken neue regulatorische Herausforderungen in den Vordergrund und andere alte und neue Behörden und Task Forces kündigen ein konsequentes Durchsetzen derselben an. Dabei wirken die verschiedenen erwachsenden Anforderungen oft gleichzeitig, sie überlagern sich – teils auch widersprüchlich.  Insbesondere im Bereich der DEI-Vorgaben führen sich diametral verändernde Anforderungen der U.S.-Administration dazu, dass Maßnahmen, die noch bis vor kurzem als Teil von HR-Compliance galten, heute als Compliance-Risiko oder gar als Compliance-Verstoß zu werten sind.

Compliance-Risiken sind heute weit gefasst und dabei dynamisch, vernetzt und interdependent. In diesem Umfeld kann klassische, reaktive Compliance nicht ausreichen. Vielmehr braucht es ein ganzheitliches Resilienzmodell: wertebasiert, risikoorientiert und integriert. Unternehmen brauchen Strukturen, die nicht nur Regelbefolgung sichern, sondern das Wertebewusstsein stärken, systemische Risiken antizipieren und aktiv steuern und Krisenfestigkeit durch gut vorbereitete Prozesse und effektive Kommunikation schaffen.

U.S. Enforcement-Trends sind Aufhänger, aber keine Strategie

Der US Foreign Corrupt Practices Act (FCPA) und die damit verbundenen Regularien zur Strafzumessung, Prävention und Remediation haben die globale Compliance-Praxis über Jahrzehnte hinweg geprägt. Große Verfahren, vor allem auch gegen europäische Unternehmen, haben das US-Justizministerium (Department of Justice, DoJ) und seine Compliance Memos und Guidelines weltweit zur Best-Practice-Autorität gemacht. Das US Enforcement galt als drastisch, durchsetzungsstark und in seiner extraterritorialen Reichweite abschreckend – ein Maßstab, an dem viele Unternehmen weltweit ihre Compliance Bemühungen ausgerichtet haben.

Mit der von der Trump-Administration im Frühjahr 2025 angeordneten temporären FCPA-Vollstreckungspause¹ und den im Juni 2025 veröffentlichten neuen FCPA-Enforcement-Guidelines scheint der Ton gemildert. Künftig, so das Blanche Memorandum², sollen FCPA-Ermittlungen strategischer priorisiert werden – etwa bei Gefährdung klar identifizierbarer US-Wirtschaftsinteressen oder im Zusammenhang mit transnationaler organisierter Kriminalität.

Viele Unternehmen haben diese Neuausrichtung als Entwarnung gewertet. In der Folge mehrten sich Stimmen, die den Umfang bestehender Compliance-Programme hinterfragen, Ressourcen einschränken oder geplante Weiterentwicklungen vorerst stoppen wollen – eine Reaktion, die voreilig und potenziell riskant erscheint. Denn trotz der geänderten Prioritäten der US-Administration scheinen jedenfalls ausländische Unternehmen, insbesondere solche mit Berührungspunkten zu US-Interessen, weiterhin im Fokus.³ Und ob die vermeintliche Zurückhaltung über die Trump-Administration hinaus Bestand haben wird, ist ebenfalls ungewiss. Einzelne Bundesstaaten haben bereits kurz nach der FCPA-Vollstreckungspause klargestellt, dass sie FCPA-Verstöße weiterhin als illegal betrachten und im Rahmen ihrer Jurisdiktion auch verfolgen werden.⁴

„FCPA-Enforcement-Trends mögen daher kurzfristig Orientierung bieten, reichen aber nicht aus als Grundlage für eine nachhaltig tragfähige, unternehmensgerechte Compliance-Strategie – und genau eine solche ist dieser Tage nötiger denn je.“

Nicole Willms, Partner

Regulatorische Kehrtwenden verkehren Compliance-Maßnahmen ins Gegenteil

Besondere Auswirkungen für international tätige Unternehmen hat auch die abrupte Abkehr der Trump-Administration von der gesetzlichen Unterstützung von Maßnahmen zur Förderung von Diversität, Gleichheit und Teilhabe (Diversity, Equality and Inclusion, DEI). Während die vorherige Regierung unter Präsident Biden DEI-Initiativen aktiv förderte und teilweise sogar verpflichtend machte – insbesondere im öffentlichen Sektor und bei staatlich geförderten Unternehmen – vollziehen die USA hier nun eine deutliche Kehrtwende. Seit dem Regierungswechsel in den USA wurden mehrere Durchführungsverordnungen zur Förderung von DEI-Maßnahmen zurückgenommen.  Mit der Executive Order 14173⁵ wurden explizite Vorgaben für Bundesbehörden geschaffen, Ausgleichsmaßnahmen für benachteiligte Gruppen zu beenden. Gleichzeitig wurden Maßnahmen ergriffen, um Unternehmen des privaten Sektors zu „ermutigen“; ihre DEI-Bemühungen abzuschaffen, darunter Untersuchungs- und Klagerechte des DOJ. Internationale Unternehmen, die in den USA tätig sind, stehen nun vor einem Dilemma: Einerseits sind DEI-Initiativen ein zentraler Bestandteil moderner Unternehmensverantwortung und werden von Mitarbeitenden sowie Investoren erwartet; vielfach sind vielfalts- und teilhabefördernde Maßnahmen als Teil von Compliance- und ESG-Strategien verabschiedet. Andererseits drohen nun regulatorische Risiken, insbesondere bei öffentlichen Aufträgen in den USA. Diese Entwicklung beschränkt sich nicht nur auf die Vereinigten Staaten, sondern spiegelt einen globalen Trend wider: Menschenrechts- und umweltbezogene Regulierung, die in den letzten Jahren stark zugenommen hatte, wird zunehmend wieder eingeschränkt oder sogar zurückgenommen.

Auf europäischer Ebene stehen dabei nicht nur die Europäische Lieferkettenrichtlinie⁶ , sondern auch der EU Green Deal insgesamt unter wachsendem politischen Druck. Zwar bleibt die (Selbst-)Verpflichtung von Unternehmen auf Menschenrechtsstandards in der Lieferkette weiterhin rechtlich zulässig, doch ohne eine klare gesetzliche Grundlage wird diese Verpflichtung gegenüber anderen Prinzipien innerhalb der Lieferkette, wie dem Schutz von Geschäftsgeheimnissen oder der Gefahr wettbewerbsbeschränkender Informationsaustausche deutlich an Gewicht verlieren.

Regulierungsdichte, geopolitische Unsicherheit und das Ende reaktiver Compliance

Damit stehen Unternehmen heute vor einer Vielzahl tiefgreifender Risiken – nicht nur regulatorischer, sondern auch geopolitischer, gesellschaftlicher und technologischer Art. Die Risikolandschaft ist komplexer, dynamischer und weniger vorhersehbar geworden. Globale Konflikte, fragmentierte Märkte, technologische Umbrüche und gesellschaftlicher Wandel schaffen neue Erwartungen – nicht nur von Straf- und Aufsichtsbehörden, sondern gleichermaßen auch von Investor*innen, Kundinnen und Kunden und Mitarbeiter*innen.

  • Geopolitische Fragmentierung: Handelskonflikte, Sanktionen, regionale Regulierung und Protektionismus erschweren internationale Geschäftsmodelle. Ereignisse wie der Ukraine-Krieg oder Spannungen im Indopazifik bergen Risiken mit globaler Wirkung und oft plötzlicher Eskalation.
  • Technologische Dynamik und digitale Abhängigkeit: KI, Big Data und Automatisierung eröffnen vielzählige neue Chancen – aber auch Kontrollrisiken und ethische Dilemmata.
  • Ökologischer, sozialer und gesellschaftlicher Wandel: “ Themen wie Klimawandel, Remote Work, MeToo, Diversity & Inclusion und die Ausbeutung natürlicher Ressourcen rücken neue nicht-finanzielle Anforderungen in den Fokus. Unternehmen tragen zunehmend öffentliche Verantwortung für soziale Standards und eine integrative Unternehmenskultur.

All diese Themen betreffen nicht nur einzelne Fachbereiche wie Compliance, Recht oder HR – sie wirken als Querschnittsmaterien auf Prozesse, Werte, Strukturen und letztlich die strategische Steuerungsfähigkeit der gesamten Organisation.

Vom Compliance Paper Program zum Resilienzmodell

Und dennoch: Viele Compliance-Programme und Governance-Strukturen entstehen als Reaktion auf regulatorische Anforderungen oder konkrete Enforcement-Fälle – nicht selten stark regelbasiert und formalisiert. Dabei erreichen Regelwerke und Kontrollsysteme, die nicht im Wertesystem und Unternehmensalltag verankert sind, nur selten die gewünschte Wirkung. Dies gilt umso mehr, wenn die Regeln selbst von der Politik zunehmend hinterfragt oder gar fundamental geändert werden.

Fraglos bieten Standards und Leitlinien wie diejenigen des Deutschen Instituts für Compliance (DICO)⁷ oder jene des DoJ zur Wirksamkeit von Compliance-Programmen⁸ Orientierung bei Aufbau und Weiterentwicklung der eigenen Compliance-Strukturen. Sie liefern hilfreiche Impulse, sollten aber keinesfalls als abstrakte Vorgaben, starre Checkliste oder standardisierte Blaupause verstanden werden.

Nachhaltige Compliance kann nämlich nicht als abstraktes Pflichtenheft etabliert werden, sondern nur als unternehmensspezifisches, lebendiges und integriertes System. Entscheidend ist dabei die vom DoJ treffend formulierte Kontrollfrage: „Does it work in practice?“

In einer sich schnell verändernden Regulatorik orientiert sich wirksame Compliance  dabei nicht allein an Regeln, sondern an Haltung. Sie stärkt nicht nur Kontrolle, sondern insbesondere auch Selbstverantwortung und Integrität. Sie zeigt sich nicht in der Fülle von Dokumenten, sondern in Kultur, Entscheidungsprozessen und gelebter Praxis eines Unternehmens. Und es entfaltet seine Wirkung nicht durch formale Vollständigkeit, sondern durch echte Relevanz für das Geschäft und seine Risiken.

Corporate Resilience – Robuste Governance durch Integrität, integrierte Steuerung und vorbereitendes Krisenmanagement

Corporate Resilience in diesem Sinne bedeutet eine klare, wertebasierte Haltung des Unternehmens („Integrity“), die Entwicklung funktionsübergreifender Governance-Risk- und Comliance (GRC)-Strukturen⁹ bzw. sogenannter Integrated-Assurance-Modelle¹⁰ („Integrated Assurance“) und eine robuste Vorbereitung auf etwaige Enforcement-Maßnahmen („Crisis Preparation“).

Integrity

Ausgangspunkt jeder Compliance-Strategie sollte eine wertebasierte Haltung sein. Unternehmen sollten in Mindeststandards definieren, die ihre globale Tätigkeit prägen und deren Einhaltung durchweg erwartet wird – etwa fundamentale Menschenrechte in der Lieferkette oder Antidiskriminierungsregeln. Solche Standards können und dürfen lokale rechtliche Besonderheiten berücksichtigen.

Unternehmensintegrität ist das Fundament jeder Compliance. Sie umfasst nicht nur die Einhaltung von Regeln, sondern auch die konsequente Orientierung an den eigenen Werten. Mitarbeitende, die die Unternehmenswerte als authentisch und ernsthaft verankert erleben, handeln häufig von sich aus regelkonform. In einer solchen Kultur wirken einfache, ethisch fundierte Appelle oft wirksamer als komplexe Regelwerke. Eine starke Integritätskultur fördert nicht nur die Compliance, sondern stärkt auch das Vertrauen von Mitarbeitenden, Partnern und Investoren.

Integrated Assurance

In einer komplexen, vernetzten Welt und womöglich Widersprüchen ausgesetzten Risikolandschaft sollten Compliance-Programme nicht länger isoliert gedacht werden. Systemische Risiken sind mehr als die Summe einzelner Vorfälle – sie entstehen durch Wechselwirkungen zwischen regulatorischen Anforderungen, Technologien, Prozessen und Menschen. Unternehmen, die in diesem Kontext Resilienz aufbauen wollen, müssen ihre diversen Risiken im Zusammenhang erkennen und steuern – systematisch, abgestimmt und über einzelne Unternehmensfunktionen hinweg.

Operative Bereiche, Risiko- und Rechts- und Compliance-Funktionen sowie ggf. die interne Revision sollten eng zusammenarbeiten. Ziel ist nicht nur die klare Aufgabenverteilung – sondern ein gemeinsames Verständnis von Risiken, abgestimmte Maßnahmen und gezielte Steuerungsimpulse. Wichtige Elemente einer integrierten Steuerung sind dabei:

  • klar definierte Rollen entlang der drei Assurance Linien (Business, Governance-Funktionen, Revision);
  • gemeinsames Risikoverständnis, ganzheitliche Risikoanalysen und koordinierte Prüf- und Kontrollpläne;
  • einheitliche Standards für eine (konsolidierte) Berichterstattung, Entscheidungsfindung, Eskalationen und Nachverfolgung; und eine
  • idealerweise plattformgestützte Zusammenarbeit in strukturierten Gremien.

In dieser Form kann Governance vom reinen Kontrollrahmen zur aktiv und dynamisch gelebten Steuerungsinstanz werden und auch komplexe, systemische Risiken frühzeitig sichtbar machen und adressieren.

Crisis Preparation

Wo eine wertebasierte Grundhaltung mit klar definierte Minimalstandards das Fundament der Compliance bilden, kann dies in einer divergierenden Regulierungslandschaft auch bedeuten, ein gewisses Mindestmaß an Non-Compliance in Kauf zu nehmen. Das kann zu regulatorischen Gegenmaßnahmen und behördlichem Enforcement führen, auf die sich Unternehmen vorbereiten müssen.

Teil dieser Vorbereitung muss ein effektives und eintrainiertes Konzept zum Krisenmanagement sein, das effektive Berichtswege, Zuständigkeiten und präventive Gegenmaßnahmen umfasst. Wesentlicher Bestandteil dieses Konzepts ist eine vorbereitete strategische Kommunikation, die sicherstellt, dass die wertebasierte Haltung und die daraus abgeleiteten Maßnahmen integrierter Steuerung sowohl intern als auch extern klar und transparent vermittelt werden, um im Krisenfall Unterstützung zu gewinnen

Fazit: Resilienz braucht Haltung

Regulierung ist volatil – Integrität ist stabil!

In einer Welt wachsender Unsicherheit und fragmentierter Regulierung wird Resilienz zur unternehmerischen Kernkompetenz – und Governance zur Führungsfrage. Doch wirkliche Steuerungsstärke entsteht nicht durch Reaktion auf äußeren Druck und Enforcement-Trends, sondern nur auf Basis eines ehrlich wertebasierten Fundaments.

Compliance und Governance können nur dann nachhaltig wirksam sein, wenn sie nicht formal „erfüllt“, sondern im Unternehmen verankert und sichtbar (vor-)gelebt werden. Im Angesicht vielschichtiger Herausforderungen braucht es Strukturen, die Orientierung geben, Risiken wirksam steuern und Integrität fördern

Unternehmen, die diesen Weg konsequent gehen, profitieren mehrfach:

  • Sie verfügen über eine höhere Anpassungsfähigkeit in Krisenzeiten,
  • gewinnen Vertrauen bei Investor*innen, Kunden und Kundinnen, Mitarbeiter*innen und Behörden,
  • erkennen Risiken früher – und machen sie beherrschbar,
  • stärken ihre Reputation als verantwortungsbewusste, zukunftsfähige Unternehmen.

Wir bei Pohlmann & Company verstehen, dass wahre Steuerungskraft nicht durch bloße Reaktion auf äußeren Druck entsteht, sondern durch ein Corporate Resilience-Programm, bestehend aus einem richtig verankerten, wertebasierten Fundament, einer daran ausgerichteten integrierten Steuerung und einer umfassende Krisenvorbereitung. Als erfahrener Partner an Ihrer Seite bieten wir langjährige Expertise bei der Etablierung und Prüfung integrierter Risikoanalysen, wirksamer Compliance-Management-Programme bis hin zu innovativen ESG-Management-Ansätzen und Integrated Assurance-Modellen, die wir zu einem Corporate Resilience-Ansatz verbinden können. Mit Erfahrung in der Begleitung internationaler Unternehmen durch systemische Compliance- und Kulturkrisen und sich anschließende Transformationsprozesse stehen wir Ihnen mit regulatorischer Expertise, methodischem Tiefgang und einem klaren Fokus auf das Machbare zur Seite.

¹ Durchführungsverordnung (Executive Order) vom 10. Februar 2025 („Pausing Foreign Corrupt Practices Act Enforcement to Further American Economic and National Security.“), https://www.whitehouse.gov/presidential-actions/2025/02/pausing-foreign-corrupt-practices-act-enforcement-to-further-american-economic-and-national-security/.

² Memorandum on „Guidelines for Investigations and Enforcement of Foreign Corrupt Practices“ (FCPA), https://www.justice.gov/dag/media/1403031/dl?inline.

³ Vgl. Willms/ Beer, America First – Auch im FCPA Enforcement, ESGZ 08/2025,

⁴ Vgl. die Pressemitteilung des Attorney General von Kalifornien, Rob Bonta, vom 2. April 2025 „It remains illegal to bribe foreign-government officials“, https://oag.ca.gov/news/press-releases/attorney-general-bonta-alerts-businesses-it-remains-illegal-bribe-foreign

⁵ Durchführungsverordnung (Executive Order) 14173 vom 21. Januar 2025 („Ending illegal discrimination and restoring merit-based opportunity”). https://www.whitehouse.gov/presidential-actions/2025/01/ending-illegal-discrimination-and-restoring-merit-based-opportunity/

⁶ Richtlinie (EU) 2024/1760 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über die Sorgfalstpflichten von Unternehmen im Hinblick auf Nachhaltigkeit und zur Änderung der Richtlinie € 2019/1937 und der Verordnung (EU) 2023/2859, Corporate Sustainability Due Diligence Directive, CSDDD.

⁷ Deutsches Institut für Compliance (DICO), Presse& Publikationen, https://www.dico-ev.de/publikationen/.

⁸ Leitfaden des US-Justizministeriums (DoJ Guidance Paper) zur Bewertung von Compliance Programmen („Evaluation of Corporate Compliance Programs“), https://www.justice.gov/criminal/criminal-fraud/page/file/937501/dl.

⁹ Vgl. Willms, in: Bürkle/Hauschka/Schieffer, Der Compliance-Officer, 2. Auflage 2024, § 5 Rn. 34 ff.

¹⁰ Vgl. Willms, in: Bürkle/Hauschka/Schieffer, Der Compliance-Officer, 2. Auflage 2024, § 5 Rn. 34 ff.

Ansprechpartner

Nicole Willms

nwillms@pohlmann-company.com

Dr. Martin Schorn

mschorn@pohlmann-company.com

Weitere Themen


Lernen Sie uns kennen.

Expertise und Leidenschaft für das, was wir tun, ist, was uns bei Pohlmann & Company verbindet – auf allen Ebenen, in allen Bereichen.

mehr erfahren


Quick Links

©2025 Pohlmann & Company

Datenschutzerklärung | Impressum