Eine Compliance-Organisation ist eine Organisationseinheit innerhalb eines Unternehmens, die für die Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben verantwortlich ist. Sie kann als eigenständige Abteilung oder als Teil einer anderen Abteilung, z. B. der Rechtsabteilung, organisiert sein.

Die Aufgaben umfassen:

  • Entwicklung und Umsetzung von Compliance-Richtlinien und -Verfahren
  • Schulung von Mitarbeitern zu Compliance-Themen
  • Überwachung der Einhaltung von Compliance-Vorgaben
  • Untersuchung von Compliance-Verstößen
  • Berichterstattung an das Top-Management

Die Compliance-Organisation spielt eine wichtige Rolle für die Unternehmenskultur und die Risikominimierung. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen Bußgelder und Strafen vermeiden, das Vertrauen von Kunden und Mitarbeitern stärken und seine Reputation schützen.

Eine effektive Organisation sollte folgende Merkmale aufweisen:

  • Unabhängigkeit: Die Compliance-Organisation sollte unabhängig von anderen Abteilungen sein, um ihre Objektivität zu gewährleisten.
  • Autorität: Die Compliance-Organisation sollte die Autorität haben, Compliance-Maßnahmen zu entwickeln und umzusetzen.
  • Ressourcen: Sie sollte über die notwendigen Ressourcen verfügen, um ihre Aufgaben effektiv zu erfüllen.
  • Unterstützung durch das Top-Management: Das Top-Management muss sich für die Compliance-Organisation einsetzen und deren Arbeit unterstützen.

Die Größe und Struktur der Organisation hängt von der Größe und Komplexität des Unternehmens sowie von den Compliance-Risiken des Unternehmens ab. Kleine Unternehmen können dafür eine einzige Person haben, während große Unternehmen eine Compliance-Abteilung mit mehreren Mitarbeitern haben können.

Unabhängig von ihrer Größe und Struktur spielt die Compliance-Organisation eine wichtige Rolle für das Unternehmen. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen vor Risiken geschützt und seine Reputation gestärkt werden.

By: Bard

EU-Abwasser-richtlinie (EU) 2024/3019

KARL ist da! Jetzt EU-Abwasserrichtlinie (EU) 2024/3019 umsetzen

Die EU-Abwasserrichtlinie (EU) 2024/3019, auch als KARL (Kommunale Abwasserrichtlinie) bekannt, ist am 1. Januar 2025 in Kraft getreten. Sie ist ein großer Schritt hin zur nachhaltigen Wasserbewirtschaftung und verschärft die Anforderungen an die Abwasserbehandlung massiv. Die Richtlinie muss bis Mitte 2027 in den EU-Staaten umgesetzt sein und zielt auch darauf ab, dass sich der Abwasserberich energie- und klimaneutral ausrichtet. Kanalisation und Kläranlagen müssen an die neuen Regeln schrittweise bis 2045 angepasst werden. Das hat weitreichende Auswirkungen auf Unternehmen und Kommunen.

Inhalte der EU-Abwasserrichtlinie (EU) 2024/3019

Die EU-Abwasserrichtlinie (EU) 2024/3019 verpflichtet die EU-Staaten, Abwasser aus allen Siedlungsgebieten ab einer Größe von 1.000 Einwohnerwerten (EW) nach EU-Mindeststandards zu sammeln und zu behandeln – eine Absenkung der bisherigen Schwelle von 2.000 EW. Ein Einwohnerwert entspricht dem durchschnittlichen Abwasseraufkommen einer Person pro Tag. Bis 2035 müssen diese Siedlungsgebiete über Kanalisationssysteme verfügen, die alle häuslichen Abwasserquellen erfassen. Die Richtlinie sieht auch die Entfernung von organisch-biologisch abbaubarem Material vor, bevor das Abwasser in die Umwelt gelangt.

Um die Belastung durch Stickstoff, Phosphor und Mikroschadstoffe weiter zu verringern, fordert die Richtlinie eine Dritt- und Viertbehandlung in größeren Abwasserbehandlungsanlagen. Ab 2039 müssen Anlagen, die Abwasser für mindestens 150.000 Einwohnerwerte behandeln, Stickstoff und Phosphor entfernen. Bis 2045 sind sie verpflichtet, Mikroschadstoffe herauszufiltern.

Hersteller von Arzneimitteln und Kosmetika werden künftig verpflichtet, für die Reinigungskosten von Mikroschadstoffen in kommunalem Abwasser aufzukommen. Nach dem Verursacherprinzip müssen diese Hersteller mindestens 80 Prozent der zusätzlichen Kosten für die sogenannte Viertbehandlung tragen – eine fortgeschrittene Stufe der Abwasseraufbereitung, die gezielt Mikroschadstoffe entfernt.

Die EU-Abwasserrichtlinie (EU) 2024/3019 setzt auch ein Energieneutralitätsziel für größere Abwasserbehandlungsanlagen, die Abwasser für 10.000 EW oder mehr behandeln. Sie sollen bis 2045 ihren Energiebedarf durch selbst erzeugte erneuerbare Energie decken. (Quelle)

Auswirkungen der EU-Abwasserrichtlinie (EU) 2024/3019 auf Unternehmen

Höhere Kosten: Es gilt das Verursacherprinzip. Insbesondere Unternehmen der Chemie-, Pharma- und Kosmetikindustrie müssen mit höheren Kosten rechnen, da sie für einen Teil der Reinigungskosten von Mikroschadstoffen in Kläranlagen aufkommen müssen. Am Ausbau der Kläranlagen, Dokumentation und Überwachung müssen sich die Unternehmen mit bis zu 80 Prozent der Kosten beteiligen.

Anpassung der Produktionsprozesse: Unternehmen müssen ihre Produktionsprozesse so anpassen, dass weniger umweltschädliche Stoffe in das Abwasser gelangen.

Mehr Bürokratie: Die Umsetzung der Richtlinie erfordert eine umfangreiche Dokumentation und Berichterstattung.

Innovation: Die Richtlinie kann auch als Anreiz für Innovationen dienen, da Unternehmen nach neuen Technologien suchen, um Abwasser effizienter und umweltfreundlicher zu reinigen.

Welche Auswirkungen hat die Richtlinie auf die Compliance?

  • Erhöhte Anforderungen: Die Richtlinie verschärft die Anforderungen an die Abwasserbehandlung erheblich. Unternehmen müssen sicherstellen, dass ihre Abwässer die neuen Grenzwerte einhalten.
  • Dokumentationspflichten: Unternehmen müssen detaillierte Aufzeichnungen über ihre Abwasserentsorgung führen und diese auf Verlangen den Behörden vorlegen.
  • Risikoanalyse: Unternehmen müssen die Risiken für die Umwelt bewerten und entsprechende Maßnahmen zur Risikominimierung ergreifen.

Konkrete Maßnahmen für Unternehmen

  • Analyse der eigenen Produkte: Unternehmen müssen ihre Produkte auf potenziell schädliche Stoffe untersuchen und Maßnahmen zur Minimierung dieser Stoffe ergreifen.
  • Optimierung der Produktionsprozesse: Produktionsverfahren sollten so angepasst werden, dass weniger Abwasser anfällt und die Konzentration von Schadstoffen reduziert wird.
  • Investitionen in neue Technologien: Es kann erforderlich sein, in neue Technologien zur Abwasserbehandlung zu investieren.
  • Schulungen: Mitarbeiter müssen über die neuen gesetzlichen Anforderungen informiert und geschult werden.
  • Kooperation mit Kläranlagenbetreibern: Eine enge Zusammenarbeit mit den Kläranlagenbetreibern ist wichtig, um die Anforderungen der Richtlinie umzusetzen.

Im SAT-Rechtskataster finden Sie ausführliche Informationen zur EU-Abwasserrichtlinie (EU) 2024/3019. Wir arbeiten für Sie heraus, welche Auswirkungen die neuen Regeln auf Ihr Unternehmen haben und was Sie jetzt unternehmen sollten.

Sprechen wir miteinander!

Compliance Officer

Compliance Officer: Hüter der Rechtskonformität

Die Tätigkeit des Compliance Officers ist in den vergangenen Jahren immer wichtiger geworden. Unternehmen stehen heute vor einer Vielzahl rechtlicher und auch ethischer Herausforderungen. Der Compliance Officer muss sicherstellen, dass ein Unternehmen die Prozesse im Griff hat, um permanent im Einklang mit den geltenden Gesetzen und Vorschriften stehen zu können. Wenn Sie als KMU keine eigenen Kapazitäten haben oder ihr zuständiges Personal unterstützen wollen, stehen wir Ihnen zur Verfügung.

Was ist ein Compliance Officer?

Ein Compliance Officer ist dafür verantwortlich, dass auf allen Ebenen eines Unternehmens Prozesse etabliert sind, um gesetzliche Vorschriften, interne Richtlinien und ethische Standards einhalten zu können. Er überwacht sämtliche dieser Geschäftsprozesse und stellt sicher, dass sie rechtmäßig und transparent ablaufen. Er ist aber nicht dafür verantwortlich, dass jedes einzelne Regelwerk eingehalten wird. Dafür ist letztlich die Geschäftsführung zuständig.

Aufgaben eines Compliance Officers

Die Aufgaben eines Compliance Officers sind vielfältig und umfassen unter anderem:

  • Entwicklung und Umsetzung von Compliance-Richtlinien: Erstellung und regelmäßige Überprüfung von Compliance-Richtlinien, die an die spezifischen Bedürfnisse und Anforderungen an das Unternehmens angepasst sind.
  • Risikobewertung: Identifizierung und Bewertung von Compliance-Risiken, um proaktiv Maßnahmen zur Risikominimierung zu ergreifen.
  • Schulungen: Durchführung von Schulungen für Mitarbeiter, um das Bewusstsein für Compliance-Themen zu schärfen.
  • Beratung der Geschäftsführung: Beratung der Geschäftsführung in allen Compliance-Fragen.
  • Untersuchung von Compliance-Verstößen: Durchführung von Untersuchungen bei Verdacht auf Compliance-Verstöße und Einleitung entsprechender Maßnahmen.
  • Berichterstattung an den Vorstand: Regelmäßige Berichterstattung über den Stand der Compliance-Aktivitäten.

Warum ist ein Compliance Officer wichtig?

Ein Compliance Officer trägt dazu bei, dass ein Unternehmen:

  • Sein Ansehen schützt: Compliance-Verstöße können zu erheblichen Reputationsschäden führen.
  • Strafen vermeidet: Die Nichteinhaltung von Gesetzen und Vorschriften kann hohe Strafen nach sich ziehen.
  • Kundenvertrauen gewinnt: Kunden schätzen es, mit Unternehmen zusammenzuarbeiten, die hohe ethische Standards haben.
  • Investitionen sichert: Investoren bevorzugen Unternehmen mit einem robusten Compliance-Management-System.

Qualifikationen für einen Compliance Officer

In der Regel bringen die Compliance-Verantwortlichen folgende Qualifikationen mit:

  • Organisationskenntnis und Akzeptanz: Wer als Compliance Officer tätig ist, muss – unabhängig von der Ausbildung – ein tiefgreifendes Verständnis der Aufbau- und Ablauforganisation eines Unternehmens entwickeln. Über die rein fachliche Seite hinaus sollte er aber vor allem in der Lage sein, Akzeptanz und ein Bewusstsein für Compliance bei den Kollegen über alle Unternehmensebenen hinweg zu schaffen.
  • Berufserfahrung: Berufserfahrung in einem Unternehmen oder einer Rechtsanwaltskanzlei ist wünschenswert, aber nicht zwingend notwendig.
  • Fachwissen: Fundierte Kenntnisse in den Bereichen Recht, Wirtschaft und Ethik sind unerlässlich. Außerdem bestenfalls branchenspezifische Kenntnisse.
  • Persönliche Eigenschaften: Analytisches Denken, Kommunikationsfähigkeit, Durchsetzungsvermögen und Integrität sind wichtige Eigenschaften für einen Compliance Officer.

Die Zukunft des Compliance Officers

Die Digitalisierung und die Globalisierung verändern die Arbeitswelt und stellen auch die Compliance-Funktion vor neue Herausforderungen. Themen wie Künstliche Intelligenz, Datenschutz und Cybersecurity gewinnen an Bedeutung. Wer heute in diesem Bereich arbeitet, kann mittlerweile auf nationaler und internationaler Ebene Rechtskataster nutzen, um alle aktuellen Vorschriften und sich ändernde Rechtslagen im Blick zu haben, die für das Unternehmen relevant sind.

Der Compliance Officer ist eine Schlüsselrolle in modernen Unternehmen. Er trägt dazu bei, dass Unternehmen rechtssicherer und ethischer handeln, um ihren langfristigen Erfolg zu sichern. Außerdem – und das ist noch viel wichtiger – tragen sie wesentlich dazu bei, das Risiko eines Organisationsverschuldens zu minimieren.

SAT stellt Compliance Officer bereit

SAT macht Ihrem Unternehmen mit unseren Partnern ein Angebot: Mit einem externen Compliance Beauftragten entlasten wir Ihre Organisation, wenn Sie selber keinen Compliance-Verantwortlichen haben oder zusätzliche Kapazitäten benötigt werden. Wir entlasten Sie mit unserem Team aus Ingenieuren, Juristen, Informatikern und Betriebswirten mit langjähriger, operativer Berufs- und Führungserfahrung. Ein externer Compliance Beauftragter und Berater, den wir Ihnen als verlässlichen Partner empfehlen, nimmt sich aller Unternehmensbereiche an und etabliert dauerhaft alle notwendigen und wichtigen Compliance Prozesse.

Cannabiskonsum am Arbeitsplatz

Bekifft? Was Arbeitgeber bei Cannabiskonsum am Arbeitsplatz tun müssen

Die gesellschaftliche Diskussion um die Cannabis-Legalisierung hält weiter an. Damit rückt auch die Frage nach den Auswirkungen auf den Arbeitsplatz stärker in den Fokus. Arbeitgeber stehen vor der Herausforderung, rechtliche Aspekte, Arbeitsschutz und Suchtprävention unter einen Hut zu bringen.

Aktuelle Situation durch Cannabis-Legalisierung

  • Keine einheitliche Rechtslage: Die rechtliche Situation für Cannabiskonsum am Arbeitsplatz ist komplex und variiert je nach Land und Bundesland.
  • Arbeitsvertrag: Der Arbeitsvertrag kann Regelungen zum Drogenkonsum enthalten.
  • Arbeitsschutzgesetz: Arbeitgeber haben eine allgemeine Fürsorgepflicht gegenüber ihren Mitarbeitern und müssen ein sicheres Arbeitsumfeld gewährleisten.

Auswirkungen auf den Arbeitsplatz

Cannabiskonsum am Arbeitsplatz kann für den Konsumenten wie auch in der Freizeit durchaus positive Wirkung entfalten: Euphorie, Glücksgefühle und Entspannung gehören dazu. Doch die negativen Nebeneffekte wirken sich nicht nur auf den Konsumenten selbst aus: Die Unfall- und Verletzungsgefahr am Arbeitsplatz steigt, weil die Reaktionsfähigkeit sinkt, die motorischen Fähigkeiten beeinträchtigt sind, die Risikofreudigkeit aber steigt. Außerdem geht Cannabiskonsum am Arbeitsplatz meist mit verschlechterter Leistungs- und Konzentrationsfähigkeit einher.

Ist der Cannabiskonsum am Arbeitsplatz allgemein schon mit Risiken verbunden, steigen die Gefahren bei Arbeiten in Gefahrenbereichen enorm. Arbeitgeber sind jetzt gefordert, ihre Beschäftigen zu schützen.

Was Arbeitgeber bei Cannabiskonsum am Arbeitsplatz tun können

  • Prävention:
    • Angebote zur Suchtprävention
    • Schaffung eines offenen Arbeitsklimas, in dem Mitarbeiter über Probleme sprechen können
    • Gestaltung gesundheitsfördernder Arbeitsbedingungen und Rahmenbedingungen, die den Cannabiskonsum vorbeugen
  • Rechtliche Rahmenbedingungen:
    • Verbindliche Regeln zum Cannabiskonsum am Arbeitsplatz und zum Umgang mit auffälligen Beschäftigten schaffen und ins Compliance Management System aufnehmen
    • Gestaltung von Arbeitsverträgen mit klaren Vorschriften zum Drogenkonsum am Arbeitsplatz
    • Bei berechtigtem Verdacht können Arbeitgeber Drogentests durchführen. Die Durchführung muss rechtlich einwandfrei erfolgen und darf nicht diskriminierend sein.
    • Bei wiederholten Verstößen gegen die arbeitsvertraglichen Pflichten oder bei Gefährdung anderer kann eine Kündigung in Betracht gezogen werden. Eine Kündigung muss jedoch immer rechtlich geprüft werden.

Generell erfordert der Umgang mit Cannabiskonsum am Arbeitsplatz von Arbeitgebern ein sensibles Vorgehen. Es gilt, die rechtlichen Rahmenbedingungen zu beachten, die Mitarbeiter zu schützen und gleichzeitig ein faires Arbeitsklima zu gewährleisten. Eine offene Kommunikation und ein individueller Umgang mit jedem Fall sind dabei entscheidend.

Wie Sie den Umgang mit Drogen generell in Ihr Compliance Management System integrieren, dazu beraten wir Sie gern. Sprechen wir miteinander!

GPSR

Achtung! Richtlinie zur Produktsicherheit GPSR greift ab 13. Dezember 2024

Bereits im Frühjahr 2023 hat die Europäische Union die neue Vorschrift zur allgemeinen Produktsicherheit GPSR (General Product Safety Regulation) auf den Weg gebracht. Nach einer Übergangszeit von 18 Monaten folgt nun am 13. Dezember 2024 die Richtlinie 2001/95/EG und gilt in allen EU-Ländern. Das sollten Unternehmen jetzt rund um das Thema Sicherheit von Verbraucherprodukten beachten.

Auf fast ausnahmslos alle Produkte ist die GPSR künftig anzuwenden. Sämtliche Unternehmen, die zum Stichtag 13. Dezember 2024 Verbraucherprodukte produzieren, einführen oder mit ihnen in Deutschland oder der Europäischen Union handeln, müssen sie umsetzen. Das gilt auch für den Online-Handel.

Für welche Produkte gilt die GPSR? (Beispiele)

  • Elektronik: Smartphones, Tablets, Laptops, Fernseher, Haushaltsgeräte
  • Spielzeug: Puppen, Spiele, Fahrzeuge
  • Textilien: Kleidung, Bettwäsche
  • Kosmetik: Cremes, Parfüms, Make-up
  • Sportartikel: Fahrräder, Skier, Fitnessgeräte
  • Haushaltswaren: Besteck, Geschirr, Möbel

Produkte, die NICHT unter die GPSR fallen:

  • Lebensmittel und Futtermittel
  • Arzneimittel
  • Kosmetische Mittel (diese unterliegen eigenen, spezifischen Vorschriften)
  • Medizinprodukte
  • Beförderungsmittel (Autos, Züge, Flugzeuge)
  • Pflanzenschutzmittel
  • Antiquitäten

Entscheidend für die Relevanz ist, ob ein Produkt unter normalen oder vernünftigerweise vorhersehbaren Bedingungen von Verbrauchern verwendet wird. Für Produkte, die vor dem 13. Dezember 2024 in Verkehr gebracht wurden, gelten Übergangsbestimmungen. Diese Produkte müssen weiterhin die Anforderungen der alten Richtlinie erfüllen.

Was bedeutet die Richtlinie für Unternehmen?

Unternehmen, die Verbraucherprodukte in der EU vertreiben, müssen sicherstellen, dass ihre Produkte die Anforderungen der Richtlinie erfüllen. Dazu gehört unter anderem:

  • Risikobewertung: gründliche Bewertung der möglichen Risiken, die von dem Produkt ausgehen
  • Konformitätsbewertung: Nachweis, dass das Produkt die gesetzlichen Anforderungen erfüllt
  • Kennzeichnung: deutliche und leicht verständliche Kennzeichnung des Produkts
  • Informationspflichten: Bereitstellung ausreichender Informationen für Verbraucher, insbesondere Gebrauchsanleitungen und Sicherheitsvorschriften, die verständlich in der Sprache des Landes formuliert sind, in dem es vertrieben wird; außerdem einfache Kontaktaufnahmemöglichkeiten zum Unternehmen für Verbraucher unter anderem telefonisch oder online/per E-Mail
  • Rückrufverfahren: Einrichtung eines Systems für den Rückruf unsicherer Produkte

Wir empfehlen Unternehmen, spätestens jetzt im Sinne Ihres Compliance Management Systems die Risikoanalyse ihrer Produkte, um die GPSR zum Stichtag 13.12.2024 umgesetzt zu haben.

EU-Entgelttransparenzrichtlinie

EU-Entgelttransparenzrichtlinie: Deutschland muss umsetzen

Schon vor gut einem Jahr ist die EU-Entgelttransparenzrichtlinie in Kraft getreten. Das deutsche Entgelttransparenzgesetz muss nun aktualisiert werden, da die Regelungen der EU-Entgelttransparenzrichtlinie über die des Entgelttransparenzgesetzes hinausgehen. Was das für deutsche Unternehmen bedeutet, fassen wir hier zusammen.

Ziel der EU-Entgelttransparenzrichtlinie

„Spätestens bis Juni 2026 müssen alle EU-Staaten starke Transparenzinstrumente einführen“, heißt es beim Bundesministerium für Familie, Senioren, Frauen und Jugend. Die Richtlinie soll sicherstellen, dass Vergütungen in der Europäischen Union gerecht und transparent gestaltet werden. Arbeitgeber müssen Vergütungsstrukturen etablieren, in denen für gleiche oder gleichwertige Arbeit das gleiche Entgelt gezahlt wird – unabhängig vom Geschlecht. Als Kriterien können dabei beispielsweise notwendige Kompetenz, mit der Aufgabe einhergehende Verantwortung und Belastung, aber auch soziale Kompetenz und Arbeitsbedingungen herangezogen werden.

Inhalte der EU-Entgelttransparenzrichtlinie

Das Bundesfamilienministerium listet die wesentlichen Regelungen der Richtlinie auf:

  • Lohntransparenz für Arbeitssuchende
    • Arbeitgeberinnen und Arbeitgeber müssen in der Stellenausschreibung oder vor dem Vorstellungsgespräch Informationen über das Einstiegsentgelt oder dessen Spanne bereitstellen, und zwar so, dass sie fundierte und transparente Verhandlungen über das Gehalt ermöglichen.
    • Arbeitgeberinnen und Arbeitgebern dürfen Stellenbewerberinnen und -bewerber nicht mehr nach ihrer früheren Vergütung zu fragen.
  • Auskunftsrecht für Beschäftigte unabhängig von der Größe des Unternehmens
    • Beschäftigte können vom Arbeitgeber Auskunft über ihr individuelles Einkommen und über die durchschnittlichen Einkommen im Unternehmen verlangen – aufgeschlüsselt nach Geschlecht und für Gruppen von Beschäftigten, die gleiche oder gleichwertige Arbeit verrichten. So erfahren sie, wie sie im Vergleich zu Kolleginnen und Kollegen bezahlt werden.
    • Dieses Recht haben künftig alle Beschäftigten unabhängig von der Größe des Unternehmens. Das deutsche Gesetz forderte bislang nur Unternehmen ab 500 Beschäftigten dazu auf, betriebliche Verfahren zur Überprüfung und Herstellung von Entgeltgleichheit durchzuführen. Beschäftigte in Betrieben mit über 200 Beschäftigten haben bisher einen Auskunftsanspruch über die Kriterien und Verfahren, wie das Entgelt festgelegt wird – und zwar sowohl die eigene Vergütung als auch die von anderen Beschäftigten, die der gleichen oder einer gleichwertigen Arbeit nachgehen.
  • Ab 100 Beschäftige: Berichterstattung über das geschlechtsspezifische Lohngefälle und gemeinsame Entgeltbewertung
    • Unternehmen mit mindestens 100 Beschäftigten müssen regelmäßig Daten zur geschlechtsspezifischen Lohnlücke in ihrem Unternehmen veröffentlichen.
    • In einer ersten Phase müssen Unternehmen ab 250 Beschäftigten jährlich und zwischen 150 und 249 Beschäftigten alle drei Jahre Bericht erstatten. Spätestens ab 2031 gilt die Berichtspflicht alle drei Jahre für Unternehmen mit 100 bis 149 Beschäftigten.
  • Die Rechte derjenigen stärken, die beim Entgelt benachteiligt werden
    • Beschäftigte, die geschlechtsspezifische Lohndiskriminierung erleiden, können entschädigt werden inklusive vollständiger Entgeltnachzahlung und damit verbundener Boni oder Sachleistungen.
    • Kommt ein Unternehmen seiner Transparenzpflicht nicht nach, hat der Beschäftigte nicht mehr die Beweislast. Vielmehr muss das Unternehmen beweisen, dass es beim Entgelt niemanden diskriminiert.
    • Deutschland muss wie alle EU-Staaten nun Sanktionen festlegen, wenn Unternehmen gegen den Grundsatz gleichen Entgelts verstößt. Dazu können auch Geldstrafen gehören. Auf jeden Fall sollen es „wirksame, verhältnismäßige und abschreckende Sanktionen“ sein.
    • Die Richtlinie sieht vor, dass qualifizierte Verbände Klagende in Verwaltungs- oder Gerichtsverfahren unterstützen können.

Die EU-Entgelttransparenzrichtlinie sollten Unternehmen als Anstoß nehmen, sich frühzeitig mit der Thematik auseinanderzusetzen und Verfahren zur Überprüfung und Herstellung von Entgeltgleichheit anzustoßen. Letztlich müssen sie aber die finalen Regelungen des deutschen Gesetzgebers abwarten.

Klimawandel

Ist Ihr Rechtskataster fit für die neuen Anforderungen aus dem Klimawandel?

Die Internationale Organisation für Normung (ISO) hat ihre zertifizierbaren Managementsystem-Standards erweitert, nach denen sich Unternehmen zertifizieren lassen können. Bekanntgegeben hat sie das jüngst in einem Kommuniqué mit dem International Accreditation Forum (IAF). Demnach müssen Organisationen, die sich zertifizieren lassen wollen, bei ihrer Kontextanalyse auch die Bedeutung von Risiken des Klimawandels berücksichtigen.

Hinterfragt werden muss nun, ob der Klimawandel ein relevantes Thema für die Organisation ist und ob interessierte Parteien an sie Anforderungen in Bezug auf den Klimawandel stellen. Wenn die Organisation zu dem Ergebnis kommt, dass der Klimawandel für ihre Tätigkeit relevant ist, muss er bei der Gestaltung und Umsetzung des Managementsystems berücksichtigt werden. Wir bei SAT empfiehlt, auch bestehende Rechtskataster darauf zu untersuchen, ob sie die Aspekte des Klimawandels und die damit verbundenen gesetzlichen Anforderungen umfassend berücksichtigen.

Welche Normen von der Anpassung betroffen sind, lesen Sie ausführlich bei IAF und ISO. Die Erweiterung gilt demnach für alle ISO-Standards für Managementsysteme:  ISO 14001, ISO 15378, ISO 19443, ISO 21001, ISO 22000, ISO 22301, ISO 28000, ISO 29001, ISO 37001, ISO 45001, ISO 50001, ISO 9001, ISO/IEC 20000 und ISO/IEC 27001. Übrigens auch für die ISO 37301, obwohl sie noch nicht explizit genannt ist. Nachhaltigkeit wird so ein wesentlicher Bestandteil aller Managementsystemnormen.

Als interessierte Partei gilt im Management nach unserer Interpretation auch der Gesetzgeber. Dieser hat die Anforderung, dass die Organisation die Anforderungen aus dem regulatorischen Umfeld befolgt. Dementsprechend müssen Rechtskataster angepasst werden.

Anforderung interessierter Parteien können sein:

  • Vorschriften, die Anforderungen an die Energieeffizienz von Produktgruppen festlegen
  • Vorschriften, die Beschränkungen für bestimmte Produkte festlegen oder Steuern auf bestimmte gelieferte Produkte erheben usw.
  • Vorschriften in Bezug auf die Berichterstattung über Treibhausgas-Emissionen, die Zahlung von Kohlenstoffsteuern oder die Teilnahme an Emissionshandelssystemen.

Klimawandel im Managementsystem

IAF und ISO betonen in ihrem Kommuniqué: „Diese neuen Einschlüsse stellen sicher, dass der Klimawandel im Managementsystem berücksichtigt wird und dass er ein externer Faktor ist, der für unsere Gemeinschaft wichtig genug ist, um von den Organisationen zu verlangen, ihn jetzt zu berücksichtigen.“

SAT unterstützt Unternehmen bei der Einrichtung ihres Compliance Management Systems und bezieht bereits jetzt die Relevanz des Klimawandels individuell in die Kontext- und Risikoanalyse sowie in die Gestaltung des Rechtskatasters ein. Sprechen wir miteinander.

Lieferkettengesetz

Lieferkettengesetz endgültig beschlossen

Es hat ziemlich lange gedauert, aber nun haben die Mitgliedsstaaten der Europäischen Union Ende vergangener Woche endlich das finale Lieferkettengesetz verabschiedet. Im Fokus stehen der weltweite Schutz und die Stärkung von Menschenrechten und der Umweltschutz. Deutschland muss sein Lieferkettengesetz entsprechend anpassen: Bei Menschenrechtsverletzungen, die unzweifelhaft von Unternehmen verursacht werden, können Betroffene künftig vor EU-Gerichten Schadenersatz fordern. Auch die Regelungen, für wen das Gesetz gilt, muss Deutschland anpassen: Nach einer Übergangsfrist von fünf Jahren gelten die vereinbarten Regelungen am Ende für Unternehmen ab 1.000 Beschäftigte und 450 Millionen Euro Umsatz. Bereits nach drei Jahren ändern sich die Vorgaben: Firmen mit mehr als 5.000 Beschäftigten und mehr als 1,5 Milliarden Euro Umsatz weltweit werden einbezogen, nach vier Jahren mit 4.000 Mitarbeitern und 900 Millionen Umsatz.

Durch das Lieferkettengesetz werden Unternehmen in die Pflicht genommen: Sie sollen sich künftig dafür verantworten, wenn ihre Waren und Produkte beispielsweise unter Einsatz von Kinder- oder Zwangsarbeit oder anderen Menschenrechtsverletzungen hergestellt werden. Mit dem Gesetz einher geht der Klimaschutz: Unternehmen müssen belegen, dass ihre Geschäftstätigkeit dazu beiträgt oder zumindest mit dem Ziel vereinbar ist, zur Begrenzung der Erderwärmung auf 1,5 Grad – verglichen mit der vorindustriellen Zeit – beizutragen.

Die Verantwortung der Unternehmen reicht dabei weit über ihre originäre eigene Tätigkeit hinaus: Auch ihre Zulieferer müssen sich an die Vorgaben des Lieferkettengesetzes halten und zu den vereinbarten Zielen beitragen, dies auch vertraglich fixieren. KMU entlang der gesamten Lieferkette sollen bei der Umsetzung des Gesetzes unterstützt werden. Allerdings müssen die damit rechnen – obwohl vom Gesetz nicht einbezogen – dass die Verpflichtungen daraus an sie weitergereicht werden.

Auswirkungen des EU-Lieferkettengesetzes auf Compliance

Das EU-Lieferkettengesetz hat erhebliche Auswirkungen auf die Compliance-Verpflichtungen von Unternehmen. Die wichtigsten Punkte:

Sorgfaltspflichten: Unternehmen müssen menschenrechtliche und umweltbezogene Risiken in ihrer gesamten Lieferkette proaktiv identifizieren, bewerten und managen. Dazu gehört die Durchführung von Due-Diligence-Prüfungen bei Lieferanten und die Implementierung von Maßnahmen zur Vermeidung und Minimierung von Risiken.

Dokumentation und Berichterstattung: Unternehmen müssen ihre Sorgfaltspflichten dokumentieren und jährlich einen Bericht über ihre Maßnahmen zur Einhaltung des Lieferkettengesetzes veröffentlichen.

Haftung: Bei Verstößen drohen Unternehmen Bußgelder von bis zu 4% des weltweiten Jahresumsatzes.

Zivilrechtliche Haftung: Unternehmen können auch zivilrechtlich für Schäden haftbar gemacht werden, die durch menschenrechts- oder umweltwidrige Aktivitäten in ihrer Lieferkette verursacht werden.

Verstärkte Kontrolle: Nationale Behörden werden mit der Überwachung der Einhaltung des Lieferkettengesetzes beauftragt und können bei Verstößen Sanktionen verhängen.

Das EU-Lieferkettengesetz weitet die Compliance-Verpflichtungen von Unternehmen erheblich aus. Unternehmen müssen ihre Prozesse und Systeme anpassen, um die neuen Anforderungen zu erfüllen. Dies erfordert Investitionen in Zeit, Geld und Ressourcen.

Empfehlungen für Unternehmen

  • Unternehmen sollten eine Risikobewertung durchführen, um die menschenrechtlichen und umweltbezogenen Risiken in ihrer Lieferkette zu identifizieren.
  • Unternehmen sollten einen Due-Diligence-Prozess implementieren, um die Risiken in ihrer Lieferkette zu bewerten und zu managen.
  • Unternehmen sollten ihre Sorgfaltspflichten dokumentieren und einen Bericht über ihre Maßnahmen zur Einhaltung des Gesetzes veröffentlichen.

Wir empfehlen Ihnen, rechtliche und fachliche Beratung zur Umsetzung des EU-Lieferkettengesetzes in Anspruch zu nehmen, um sicherzustellen, dass Sie alle Anforderungen erfüllen. SAT unterstützt Sie dabei.

Cannabis-Gesetz

Cannabis-Gesetz und Compliance – was jetzt auf Unternehmen zukommt

Seit 1. April ist das Cannabis-Gesetz in Kraft. Damit sind Besitz und Anbau von Cannabis für Erwachsene in Deutschland unter bestimmten Voraussetzungen nicht mehr illegal. Konsumenten haben nun die Möglichkeit, die Droge über nicht-kommerzielle Anbauvereinigungen zu beziehen. Zugleich wird der Verkauf der Droge an Heranwachsende härter bestraft. Auch für Unternehmen ist das Cannabis-Gesetz ein Thema.

Stefan Pawils, Geschäftsführer des Compliance-Beraters SAT, kritisiert das Cannabis-Gesetz scharf: „Die neuen Regeln sind sinnlos und überflüssig. Die Welt und vor allem die Arbeitswelt brauchen sie wirklich nicht.“ Das Gesetz sei „unüberlegt, nicht durchdacht und mögliche Konsequenzen bzw. Auswirkungen hat der Gesetzgeber ignoriert“. Dennoch müssten sich die Unternehmen mit der Anpassung ihres Compliance Management Systems nun darauf einstellen.

“Für die Arbeitswelt und Bildungseinrichtungen bleiben Berufsgenossenschaften und Unfallkassen bei ihrer Haltung: Cannabis darf – genauso wie Alkohol und andere Drogen – hier keinen Platz haben“, betont auch Dr. Stefan Hussy, Hauptgeschäftsführer des Spitzenverbandes der Berufsgenossenschaften und Unfallkassen, Deutsche Gesetzliche Unfallversicherung (DGUV), in einer aktuellen Pressemitteilung.

Cannabis-Gesetz verbietet Konsum im Unternehmen nicht

Laut Hussy verbietet das Gesetz den Konsum von Cannabis am Arbeitsplatz nicht. Das Regelwerk im Arbeitsschutz verpflichte Beschäftigte jedoch, sich nicht mit Rauschmitteln in einen Zustand zu versetzen, in dem sie sich und andere gefährden könnten. „Um Klarheit zu schaffen, empfehlen Berufsgenossenschaften und Unfallkassen Arbeitgebenden daher, über Arbeitsanweisungen oder Betriebsvereinbarungen den Konsum von Cannabis am Arbeitsplatz zu untersagen. In Fragen der betrieblichen Suchtprävention steht die gesetzliche Unfallversicherung Unternehmen und Einrichtungen mit ihren Angeboten zur Seite”, heißt es in der Mitteilung weiter.

Unternehmen, die generell kein Cannabis im Betrieb zulassen wollen, müssen dies also ausdrücklich regeln. Entsprechende Vorschriften sind mitbestimmungspflichtig, also unter Einbeziehung des Betriebsrates zu erlassen.

Betriebliche Klarstellungen über den Konsum von Cannabis am Arbeitsplatz sind unter anderem dann dringend zu empfehlen, wenn im Umfeld von Einrichtungen gearbeitet wird, die im Wesentlichen von Kindern und Jugendlichen besucht werden, sprich: vor allem Kindergärten und Schulen. Hier ist der Cannabiskonsum generell verboten.

Cannabis-Gesetz und betrieblicher Arbeitsschutz

Das Cannabis-Gesetz hat außerdem Auswirkungen auf den betrieblichen Arbeitsschutz. Könnte der Cannabiskonsum zum Risiko am Arbeitsplatz werden, müssen die Unternehmen im Zuge ihres Compliance Managements dies in ihren Gefährdungsbeurteilungen berücksichtigen.

Folgende Maßnahmen sind im Zuge des neuen Cannabis-Gesetz daher empfohlen:

  • Suchtmittelrichtlinien im Unternehmen sollten auch Cannabis aufführen, ggf. also um entsprechende Regelungen erweitert werden.
  • Unternehmen sollten die Beschäftigten auf allen Ebenen über den Konsum von Cannabis und dessen Auswirkungen am Arbeitsplatz informieren und sensibilisieren.
  • Insbesondere Führungskräfte sollten sensibilisiert werden, Missbrauch bei Mitarbeitern zu erkennen und rechtzeitig Hilfen anzubieten.
NIS-2-Richtlinie

Jetzt handeln: Viel mehr Unternehmen von NIS-2-Richtlinie betroffen als bisher

Vor gut einem Jahr ist die NIS-2-Richtlinie in Kraft getreten. Mit der zweite Richtlinie zur Netzwerk- und Informationssicherheit soll die Cybersicherheit in der Europäischen Union gestärkt werden. Für die Umsetzung in nationales Recht bleibt den EU-Staaten noch bis Oktober 2024 Zeit. Für Unternehmen bedeutet das: Sie müssen im Zuge ihres Compliance Managements bis dahin umfangreiche Vorsorge treffen, um Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen so klein wie möglich zu halten.

Bereits die NIS-1-Richtlinie aus dem Jahr 2016 sah vor, dass EU-Länder die Betreiber „kritischer Dienste“ ermitteln und für sie Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle etablieren mussten. In den Folgejahren entstand allerdings ein europaweiter „Flickenteppich“, weil EU-Staaten die kritischen Dienste unterschiedlich interpretierten. NIS-2 regelt nun klar, welche Unternehmen die Richtlinie betrifft. Die müssen ihre Maßnahmen zum Schutz vor Cyberangriffen erhöhen, IT-Systeme durchgehend aktuell halten und strengere Sicherheitsstandards einführen.

Kernelemente der NIS-2-Richtlinie

Die Europäische Kommission schreibt dazu: „Die NIS-2-Richtlinie zielt darauf ab, die Mängel der bisherigen Vorschriften zu beheben, sie an den aktuellen Bedarf anzupassen und zukunftssicher zu machen. Zu diesem Zweck erweitert die Richtlinie den Anwendungsbereich der bisherigen Vorschriften, indem neue Sektoren auf der Grundlage ihres Digitalisierungsgrads und ihrer Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft hinzugefügt werden, indem eine klare Größenschwellenregel eingeführt wird.“

Das bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil können ebenfalls unter die Verpflichtungen der neuen Richtlinie fallen. Mit der neuen Richtlinie wird auch die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beseitigt. Unternehmen werden nach ihrer Bedeutung klassifiziert und in zwei Kategorien unterteilt: wesentliche und wichtige Einrichtungen, die unterschiedlichen Aufsichtsregelungen unterliegen.

Die überarbeitete Richtlinie stärkt und rationalisiert die Sicherheits- und Berichtspflichten für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt, der eine Mindestliste grundlegender Sicherheitselemente enthält, die angewendet werden müssen. Mit der neuen Richtlinie werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt. Darüber hinaus befasst sich NIS-2 mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen anzugehen. Auf europäischer Ebene stärkt die Richtlinie die Cybersicherheit in der Lieferkette für wichtige Informations- und Kommunikationstechnologien.

„Wesentliche“ und „wichtige“ Einrichtungen

 Die NIS-2-Richtlinie umfasst „wesentliche” und „wichtige” Einrichtungen. Zu den wesentlichen gehören große Unternehmen: ab 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz, Bilanzsumme > 43 Mio. Euro

  • Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff);
  • Verkehr (Luft, Schiene, Wasser und Straße);
  • Banken; Finanzmarktinfrastrukturen;
  • Gesundheit einschließlich Herstellung von Arzneimitteln, einschließlich Impfstoffen;
  • Trinkwasser;
  • Abwasser;
  • digitale Infrastruktur (Internet-Austauschstellen; DNS-Dienstleister; TLDNamensregister; Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Netze für die Bereitstellung von Inhalten; Vertrauensdiensteanbietern; Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste);
  • IKT-Dienstleistungsmanagement (verwaltete Dienstleister und Anbieter von Managed Security-Diensten),
  • öffentliche Verwaltung und Raum.

Unabhängig von ihrer Größe können Einrichtungen wesentlich sein, die der Staat so einstuft.

Wichtige Einrichtungen sind große und mittlere Unternehmen: ab 50 Mitarbeiter oder 10 bis 50 Mio. Euro Umsatz, Bilanzsumme < 43 Mio. Euro

  • Post- und Kurierdienste;
  • Abfallbewirtschaftung;
  • Chemikalien;
  • Lebensmittel;
  • Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten;
  • digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und SocialNetworking-Service-Plattformen) und Forschungseinrichtungen.

Umsetzung der NIS-2-Richtlinie in deutsches Recht

Aktuell wird die NIS-2-Richtlinie in deutsches Recht umgesetzt, etwa im März ist mehr Klarheit zu rechnen. Sicher ist aber schon jetzt, dass deutlich mehr Unternehmen als bisher davon betroffen sein werden: Schätzungsweise 30.000 Organisationen müssen in ihrer Cybersicherheit investieren und sie ausbauen. Dazu zählen die Einführung eines Risikomanagements ebenso wie technische und organisatorische Präventions-maßnahmen, damit Anlagensicherheit, IT-Systeme, Lieferketten und Netzwerke abgesichert werden.

Was Unternehmen tun sollten

Wer künftig gegen die NIS-2-Richtlinie verstößt, muss mit erheblichen Strafen rechnen. Im Amtsblatt der Europäischen Union heißt es dazu: „Die Mitgliedstaaten stellen sicher, dass gegen wesentliche Einrichtungen […] Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist. Die Mitgliedstaaten stellen sicher, dass gegen wichtige Einrichtungen […] Geldbußen mit einem Höchstbetrag von mindestens 7 000 000 EUR oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.

Wichtig für Unternehmen: Keine Behörde wird sie darauf hinweisen, ob die NIS-2-Richtlinie sie betrifft oder nicht. Das müssen sie anhand der vorgegebenen Kriterien selber ermitteln und entsprechende Maßnahmen ergreifen.

Wir empfehlen Ihnen, sich mit der Thematik bereits jetzt auseinanderzusetzen und bei Fragen auch mit Blick auf Ihr Compliance Management System auf uns zuzukommen.

Sprechen wir über die neue NIS-2-Richtlinie
Compliance Management System

EuGH erleichtert Bußgelder bei Verstößen gegen die DSGVO

Mit einem Grundsatzurteil des Europäischen Gerichtshofes im vergangenen Monat erleichtern es die Richter den Behörden künftig, Bußgelder gegen Unternehmen zu verhängen, die gegen die Datenschutzgrundverordnung DSGVO verstoßen.

Aus dem Urteil von Anfang Dezember geht hervor, dass eine Geldbuße wegen Verstoßes gegen die DSGVO auch dann verhängt werden kann, wenn das strafbare Vorgehen nicht einer konkreten natürlichen Person im Unternehmen zugeordnet werden kann. Entscheidend für eine Strafe ist, dass die juristische Person schuldhaft gehandelt hat. Im Klartext: Unternehmen haften für Mitarbeiter, die gegen die DSGVO verstoßen und darüber hinaus auch für Auftragnehmer, die für sie tätig sind.

OWiG gegen DSGVO

Der Europäische Gerichtshof hatte in einem Vorabentscheidungsverfahren geurteilt. Hintergrund: Der Berliner Datenschutzbeauftragte hatte 2019 ein Bußgeld von rund 14,4 Millionen Euro gegen die „Deutsche Wohnen SE“ verhängt, weil das Immobilienunternehmen personenbezogene Daten von Mietern länger gespeichert hatte, als es notwendig war. Allerdings konnte der Datenschutzbeauftragte dieses Vorgehen keiner konkreten Person im Unternehmen zuordnen. „Deutsche Wohnen“ klagte, das Berliner Landgericht urteilte, dass für ein Bußgeldverfahren gemäß Ordnungswidrigkeitengesetz (OWiG) bekannt sein müsse, wer genau vorsätzlich oder fahrlässig gegen die DSGVO verstoßen habe und stellte das Verfahren ein. Weil der Berliner Datenschützer daraufhin Beschwerde beim Kammergericht einlegte, ging die Frage ans EuGH.

Der Europäische Gerichtshof folgte dem Kammergericht insofern, als dass er die entsprechenden Paragraphen im OWiG für unvereinbar mit der DSGVO bewertete. Entsprechend muss der Datenschutzverstoß keiner natürlichen Person im Unternehmen zuzuordnen sein. Dennoch, und das stellt das Gericht klar, muss ein Verschulden nachgewiesen werden, um ein Bußgeld verhängen zu können. Dabei geht es von der Frage aus, ob sich das Unternehmen darüber im Klaren sein konnte, dass das Verhalten rechtswidrig ist. Ist das mit „ja“ zu beantworten und wird das Verhalten nicht geändert, liegt ein Verstoß gegen die DSGVO vor, der mit einem Bußgeld belegt werden kann. Im Fall der „Deutsche Wohnen“ hatte der Datenschutzbeauftragte die Speicherung der Mieterdaten kritisiert, von „Unklarheit“ ist demnach nicht auszugehen.

Compliance Management System regelt Zuständigkeiten

Wir empfehlen vor diesem Hintergrund, das unternehmerische Compliance Management System noch einmal genau unter der Fragestellung zu betrachten, ob die Zuständigkeiten für den Umgang mit personenbezogenen Daten genau geregelt sind. Entscheidend ist dabei ein detailliertes Verfahrensverzeichnis, da jedes Unternehmen zur Sicherstellung der Datenschutzkonformität haben und regelmäßig aktualisieren sollte.