D&O-Studie 2025 im Fokus von Risikomanagement und Governance 

Wachsende Haftungsrisiken im Wandel


D&O-Studie 2025 im Fokus von Risikomanagement und Governance: Wachsende Haftungsrisiken im Wandel Studie

Die D&O-Studie 2025 von WTW und Clyde & Co zeigt mit deutlicher Klarheit, wie sich das Risikoprofil für Manager weltweit verändert. Befragt wurden 765 Entscheider und Risikomanager aus unterschiedlichen Branchen und Regionen. Die Ergebnisse legen offen: Cyberrisiken, mentale Gesundheit, regulatorische Vorgaben und mangelnde Vorbereitung auf AI und ESG stellen zentrale Herausforderungen für Vorstände und Aufsichtsräte dar. Gleichzeitig zeigt die Studie, dass Risikomanagement in vielen Organisationen nach wie vor nicht ausreichend strategisch verankert ist. Nur 31 Prozent der weltweit Befragten sehen das Thema unter den Top 3 ihrer Vorstandsthemen – in Deutschland sind es sogar lediglich 17 Prozent.

Philipp Rouget, Head of FINEX Deutschland und Österreich bei Willis, mahnt: "Angesichts der wachsenden Bedrohungslage ist es entscheidend, Risikomanagement nicht nur operativ zu denken, sondern als zentrales strategisches Thema im Top-Management zu verankern."

Die sieben Top-Risiken für Manager 2025 weltweit

Die wichtigsten Risiken für Manager lassen sich global wie folgt zusammenfassen:

  • Gesundheit & Arbeitssicherheit (80 Prozent)
  • Datenverlust (77 Prozent)
  • Cyberattacken inkl. Erpressung (77 Prozent)
  • Regulatorische Verstöße (74 Prozent)
  • Systeme und Kontrollen (70 Prozent)
  • Zivilklagen/Drittschadensansprüche (63 Prozent)
  • Bestechung und Korruption (62 Prozent)

Diese Verschiebung zeigt deutlich den Wandel von traditionellen Risiken hin zu digital geprägten und sozialen Risikofeldern. Besonders auffällig: Klimarisiken und KI spielen trotz ihrer Relevanz nur eine untergeordnete Rolle in der Risikowahrnehmung. Die Dominanz von Cyberrisiken und regulatorischen Themen zeigt den Anpassungsdruck für Unternehmen in einer zunehmend komplexen Governance-Landschaft.

Abb. 01: Die sieben Top-Risiken für Manager 2025 [Quelle: WTW]Abb. 01: Die sieben Top-Risiken für Manager 2025 [Quelle: WTW]

Abb. 02: Aufgewendete Zeit im Management-Board – Top-3-Themen [Quelle: WTW]Abb. 02: Aufgewendete Zeit im Management-Board – Top-3-Themen [Quelle: WTW]

Deutschland im Fokus: Cyberattacken stehen ganz oben auf der Risiko-Agenda

In Deutschland zeigt sich ein differenziertes Risikoprofil. Für 88 Prozent der deutschen Befragten zählen Cyberattacken zu den größten Risiken – gefolgt von Datenverlusten (86 Prozent), Gesundheit & Arbeitssicherheit (82 Prozent), regulatorischen Verstößen und Defiziten bei Systemen und Kontrollen. Auch Themen wie Gleichstellung und Inklusion sowie Haftungsfragen im Kontext der Lieferkette werden zunehmend relevant.

Besonders kritisch: 38 Prozent der deutschen Manager geben an, dass im Vorstand zu wenig Zeit für das Thema Cybersicherheit aufgewendet wird. Die Bedrohung ist also bekannt – es fehlt jedoch an operativer Konsequenz.

Cybersicherheit: Wahrgenommen, aber nicht integriert

Trotz hoher Bedeutung werden Cyberrisiken im Managementalltag noch immer nicht prioritär behandelt. Nur 17 Prozent der deutschen Unternehmen sehen strategisches Risikomanagement unter den Top 3 Agenda-Punkten ihres Vorstands. Dabei wäre gerade hier ein Umdenken erforderlich.

Abb. 03: Zeitaufwand für verschiedene Themen im Management Board, Top-3-Themen [Quelle: WTW]Abb. 03: Zeitaufwand für verschiedene Themen im Management Board, Top-3-Themen [Quelle: WTW]

Zwar glauben 61 Prozent der Befragten, dass ihr Board über ausreichende Kompetenzen im Bereich Cybersicherheit verfügt – dennoch fordern 33 Prozent, dass dem Thema mehr Zeit gewidmet werden sollte. Diese Diskrepanz offenbart eine gefährliche Selbstüberschätzung und unterstreicht die Notwendigkeit externer Expertise.

Mentale Gesundheit als Managementrisiko

Ein bemerkenswerter Befund: 28 Prozent der Befragten nennen mentale Gesundheit als das zentrale Risiko innerhalb des Themas Gesundheit und Arbeitssicherheit. Damit ist das Thema nicht mehr nur eine HR-Frage, sondern ein direktes Haftungsrisiko für das Top-Management.

Abb. 04: Ranking der Health & Safety-Risiken [Quelle: WTW]Abb. 04: Ranking der Health & Safety-Risiken [Quelle: WTW]

Auch geopolitische Spannungen und zunehmende Arbeitsplatzunsicherheiten tragen zur mentalen Belastung bei. Führungskräfte stehen hier vor der Aufgabe, Fürsorgepflichten neu zu definieren und präventive Maßnahmen zu etablieren. "In Deutschland wird Arbeitssicherheit per se sehr ernst genommen – deshalb wird dieser Bereich hierzulande nicht in gleichem Maße als akutes Haftungsthema wahrgenommen wie in anderen Regionen", so Rouget.

Artificial Intelligence: Der blinde Fleck im Boardroom

Obwohl AI als transformative Technologie gilt, wird sie in der Risikowahrnehmung nach wie vor unterschätzt. Nur 11 Prozent der Unternehmen bewerten AI als geschäftskritisch. Gleichzeitig geben viele Befragte zu, dass die nötige Expertise im Aufsichtsrat fehlt. Dies ist besonders brisant, da regulatorische Anforderungen zur Nutzung von AI zunehmen. Fehlt es an strategischer Steuerung und rechtlicher Bewertung, drohen haftungsrechtliche Konsequenzen. 

D&O-Versicherung: Lückenhafte Absicherung

Ein Drittel der Befragten weiß nicht, welche Deckungssummen für D&O-Versicherungen bestehen. 

Abb. 05: Prioritäten bei der D&O-Versicherungsdeckung nach Regionen [Quelle: WTW]Abb. 05: Prioritäten bei der D&O-Versicherungsdeckung nach Regionen [Quelle: WTW]

Besonders relevant: Trotz sinkender Prämien bleibt "Kosten" der wichtigste Entscheidungsfaktor für die Auswahl der Deckungssumme. Das birgt die Gefahr von Unterversicherung – insbesondere im Lichte steigender Schadenhöhen durch Cybervorfälle und Kollektivklagen.

Aktuelle Rechtsprechung zu Kardinalpflichten und D&O-Schutz

Ein besonders praxisrelevanter Aspekt im Kontext von D&O-Risiken ist die aktuelle Rechtsprechung zur Reichweite des Versicherungsschutzes bei Pflichtverletzungen. Zwei Entscheidungen des Oberlandesgerichts Frankfurt am Main vom 16. Januar 2025 (Az. 7 W 20/24) und vom 5. März 2025 (Az. 7 U 134/23) markieren hier einen bedeutsamen Wendepunkt. Beide Urteile stellen klar, dass der Versicherungsschutz entfallen kann, wenn eine sogenannte Kardinalpflicht verletzt wurde. Zu diesen unverzichtbaren Kernpflichten zählt unter anderem der Aufbau und die Pflege eines wirksamen Risiko- und Krisenfrüherkennungssystems (siehe § 91 Abs. 2 AktG und § 1 StaRUG).

Im konkreten Fall warf das Gericht einem Vorstandsmitglied vor, dass ein versäumter Hinweis auf Risiken im Risikobericht zur Verletzung der Kardinalpflicht führte – mit der Folge, dass der D&O-Versicherer leistungsfrei war. Die Richter begründeten dies damit, dass elementare Compliance-Pflichten zur Governance gehören und deren bewusste oder grob fahrlässige Missachtung nicht durch eine Haftpflichtversicherung gedeckt sein darf.

Für Risikomanager bedeutet dies: Die Anforderungen an die Qualität und Aktualität der Risikoberichterstattung steigen weiter. Es genügt nicht, Risiken zu kennen – sie müssen auch systematisch beobachtet, quantifiziert, aggregiert und mit dem Risikodeckungspotenzial abgeglichen werden (Risikotragfähigkeit) und kommuniziert werden. Unternehmen sollten daher sicherstellen, dass ihr Risikomanagementsystem nicht nur formal existiert, sondern effektiv gelebt wird. Andernfalls drohen gravierende Haftungsfolgen ohne Versicherungsschutz.

Empfehlungen für Entscheider im Risikomanagement

Die Ergebnisse der Analyse zeigen eine klare Botschaft: Es braucht ein Umdenken in der strategischen Positionierung des Risikomanagements. Entscheider sollten:

  • Cyber-, ESG- und AI-Risiken aktiv ins Risikoinventar aufnehmen,
  • die Governance-Strukturen auf Kompetenzlücken hin überprüfen,
  • D&O-Deckungen regelmäßig prüfen und anpassen,
  • mentale Gesundheit als Compliance-relevantes Thema behandeln,
  • das Risikomanagement als strategisches Steuerungsinstrument etablieren,
  • das Zusammenspiel mit Versicherern und externen Rechtsberatern stärken.

Fazit

Die D&O-Studie 2025 verdeutlicht einmal mehr, dass es nicht ausreicht Risikomanagement als bloßes Compliance-Werkzeug zu begreifen. Angesichts wachsender digitaler, regulatorischer und geopolitischer Risiken braucht es einen mutigen, integrierten und vorausschauenden Umgang mit Governance-Fragen. Wer Risikomanagement auf die Tagesordnung setzt, sichert nicht nur Haftungsvermeidung, sondern gestaltet aktiv den langfristigen Unternehmenserfolg mit.

 

[ Bildquelle Titelbild: Generiert mit AI ]
Themengebiete
In Verbindung stehende Artikel
Kardinalpflicht fordert "risikobasierten Ansatz"Kardinalpflicht fordert "risikobasierten Ansatz"
Haftungsrisiken mit D&O-Versicherungen vermeiden
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.