Eine Compliance-Organisation ist eine Organisationseinheit innerhalb eines Unternehmens, die für die Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben verantwortlich ist. Sie kann als eigenständige Abteilung oder als Teil einer anderen Abteilung, z. B. der Rechtsabteilung, organisiert sein.

Die Aufgaben umfassen:

  • Entwicklung und Umsetzung von Compliance-Richtlinien und -Verfahren
  • Schulung von Mitarbeitern zu Compliance-Themen
  • Überwachung der Einhaltung von Compliance-Vorgaben
  • Untersuchung von Compliance-Verstößen
  • Berichterstattung an das Top-Management

Die Compliance-Organisation spielt eine wichtige Rolle für die Unternehmenskultur und die Risikominimierung. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen Bußgelder und Strafen vermeiden, das Vertrauen von Kunden und Mitarbeitern stärken und seine Reputation schützen.

Eine effektive Organisation sollte folgende Merkmale aufweisen:

  • Unabhängigkeit: Die Compliance-Organisation sollte unabhängig von anderen Abteilungen sein, um ihre Objektivität zu gewährleisten.
  • Autorität: Die Compliance-Organisation sollte die Autorität haben, Compliance-Maßnahmen zu entwickeln und umzusetzen.
  • Ressourcen: Sie sollte über die notwendigen Ressourcen verfügen, um ihre Aufgaben effektiv zu erfüllen.
  • Unterstützung durch das Top-Management: Das Top-Management muss sich für die Compliance-Organisation einsetzen und deren Arbeit unterstützen.

Die Größe und Struktur der Organisation hängt von der Größe und Komplexität des Unternehmens sowie von den Compliance-Risiken des Unternehmens ab. Kleine Unternehmen können dafür eine einzige Person haben, während große Unternehmen eine Compliance-Abteilung mit mehreren Mitarbeitern haben können.

Unabhängig von ihrer Größe und Struktur spielt die Compliance-Organisation eine wichtige Rolle für das Unternehmen. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen vor Risiken geschützt und seine Reputation gestärkt werden.

By: Bard

Audit

Compliance-Audits 2026: Warum Nachweise wichtiger sind als gute Absichten

Unternehmen stehen heute vor einer Vielzahl von Compliance-Anforderungen — vom Datenschutz über Arbeitsschutz und Umweltrecht bis hin zu IT-Sicherheit, Lieferkettenpflichten und Nachhaltigkeitsvorgaben. Die eigentliche Herausforderung liegt nicht darin, dass es diese Anforderungen gibt. Die Herausforderung liegt darin, sie im Unternehmen vollständig zu identifizieren, richtig zu bewerten, in konkrete Maßnahmen zu übersetzen und ihre Umsetzung auditfest nachzuweisen.

Genau hier trennt sich formale Regelkenntnis von wirksamer Compliance in der Praxis. Ein Compliance-Audit prüft nicht nur, ob Vorgaben bekannt sind. Es prüft, ob ein Unternehmen seine Pflichten systematisch steuert: mit klaren Zuständigkeiten, dokumentierten Maßnahmen, nachvollziehbaren Nachweisen und regelmäßiger Wirksamkeitskontrolle.

Warum Compliance-Audits 2026 wichtiger werden

Die regulatorische Dichte nimmt weiter zu. Unternehmen müssen heute nicht mehr nur einzelne Gesetze kennen, sondern ihre Pflichten aus Datenschutz, Lieferkette, IT-Sicherheit, Nachhaltigkeit, Produktsicherheit, Arbeitsschutz, Umweltrecht und KI-Nutzung zusammenführen.

Mehrere aktuelle Regelwerke setzen ausdrücklich auf Risikomanagement, Dokumentation, Kontrolle und Nachweisfähigkeit. Die Datenschutz-Grundverordnung verlangt etwa, dass Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Auch die NIS-2-Richtlinie verpflichtet betroffene Einrichtungen zu technischen, operativen und organisatorischen Cybersecurity-Risikomanagementmaßnahmen. Die EU-Richtlinie zur unternehmerischen Nachhaltigkeitssorgfaltspflicht verpflichtet große Unternehmen zu Sorgfaltspflichten in Bezug auf Menschenrechte und Umwelt in eigenen Tätigkeiten, Tochterunternehmen und Wertschöpfungsketten.

Für Unternehmen bedeutet das: Compliance muss beweisbar werden. Ein bloßer Hinweis wie „Das machen wir schon“ reicht im Audit nicht.

Was ein gutes Compliance-Audit leisten sollte

Ein Compliance-Audit sollte nicht nur prüfen, ob Anforderungen formal bekannt sind. Es sollte zeigen, ob ein Unternehmen seine wesentlichen Compliance-Risiken systematisch steuert — mit klaren Verantwortlichkeiten, dokumentierten Maßnahmen, wirksamen Kontrollen und nachvollziehbaren Nachweisen. Als belastbarer Orientierungsrahmen eignet sich hierfür insbesondere ISO 37001.

Ein guter Auditansatz ist nicht nur kontrollierend, sondern steuernd: Er hilft Unternehmen, risikobehaftete Prozesse zu erkennen, Verantwortlichkeiten zu klären, Präventionsmaßnahmen zu überprüfen und Nachweise so zu strukturieren, dass sie im Ernstfall schnell auffindbar sind.

Der häufigste Fehler: Pflichten sind bekannt, aber nicht prüfbar dokumentiert

In vielen Unternehmen existieren Compliance-Maßnahmen verstreut in E-Mails, Excel-Listen, SharePoint-Ordnern, Ticketsystemen oder Abteilungsablagen. Das ist im Tagesgeschäft verständlich — im Audit aber riskant.

Typische Schwachstellen sind:

Schwachstelle Warum sie im Audit problematisch ist
Keine zentrale Übersicht über geltende Pflichten Das Unternehmen kann nicht zeigen, dass es relevante Anforderungen vollständig identifiziert hat.
Unklare Zuständigkeiten Maßnahmen bleiben liegen oder werden mehrfach, aber nicht verbindlich bearbeitet.
Fehlende Fristenüberwachung Gesetzliche Melde-, Prüf- oder Aktualisierungspflichten werden übersehen.
Maßnahmen ohne Nachweis Eine Maßnahme mag umgesetzt sein, ist aber nicht belegbar.
Keine Wirksamkeitskontrolle Das Unternehmen weiß nicht, ob Richtlinien, Schulungen oder Kontrollen tatsächlich funktionieren.

Gerade deshalb ist ein gepflegtes Rechtskataster für viele Unternehmen mehr als eine Übersicht. Es ist die Grundlage für auditfähige Compliance-Steuerung.

Die 10-Schritte-Checkliste für auditfeste Compliance

  1. Geltungsbereich festlegen

Vor jedem Audit sollte klar sein, welche Standorte, Gesellschaften, Prozesse, Rechtsbereiche und Managementsysteme betrachtet werden. Ohne definierten Geltungsbereich entsteht schnell ein Audit, das entweder zu oberflächlich bleibt oder sich in Einzelfragen verliert.

Praktisch heißt das: Unternehmen sollten vorab festlegen, ob etwa Datenschutz, Arbeitsschutz, Umweltrecht, IT-Sicherheit, Lieferkettenpflichten, KI-Nutzung oder branchenspezifische Pflichten geprüft werden.

  1. Relevante Pflichten im Rechtskataster erfassen

Das Rechtskataster sollte nicht nur Gesetze sammeln. Entscheidend ist die Übersetzung in konkrete Unternehmenspflichten.

Ein nutzwertiger Aufbau ist:

Feld im Rechtskataster Beispiel
Rechtsquelle Gesetz, Verordnung, Norm, Genehmigung, Bescheid
konkrete Pflicht Prüfung, Meldung, Schulung, Dokumentation, Risikoanalyse
betroffener Bereich Einkauf, HR, Produktion, IT, Datenschutz, Facility Management
Verantwortlicher Person oder Rolle
Frist / Intervall einmalig, jährlich, anlassbezogen, monatlich
Maßnahme Was muss getan werden?
Nachweis Womit wird die Erfüllung belegt?
Status offen, in Bearbeitung, umgesetzt, überfällig
letzte Prüfung Datum der letzten Kontrolle
nächste Prüfung Datum der nächsten Kontrolle

Die BAFA-Handreichungen zum Lieferkettensorgfaltspflichtengesetz zeigen beispielhaft, wie wichtig eine strukturierte Risikoermittlung, Gewichtung und Priorisierung ist. Dieses Prinzip lässt sich auch auf andere Compliance-Bereiche übertragen: Pflichten müssen nicht nur gesammelt, sondern bewertet und priorisiert werden.

  1. Risiken bewerten

Nicht jede Pflicht hat dieselbe Bedeutung. Ein wirksames Compliance-Audit sollte risikoorientiert vorgehen.

Dabei können Unternehmen prüfen:

Bewertungsfrage Nutzen
Wie wahrscheinlich ist ein Verstoß? Priorisierung knapper Ressourcen
Wie schwer wären die Folgen? Fokus auf Bußgelder, Haftung, Betriebsunterbrechung, Reputationsschäden
Welche Bereiche sind besonders betroffen? zielgenaue Maßnahmenplanung
Gibt es neue rechtliche Anforderungen? Aktualisierung des Rechtskatasters
Gab es Vorfälle, Beschwerden oder Auditfeststellungen? Lernen aus tatsächlichen Schwachstellen

Auch die BAFA-Handreichung zum Prinzip der Angemessenheit zeigt, dass Umsetzungspflichten nicht losgelöst vom Risiko betrachtet werden sollten, sondern nach Art und Umfang der Geschäftstätigkeit, Einflussvermögen, Schwere und Wahrscheinlichkeit der Verletzung sowie Verursachungsbeitrag einzuordnen sind.

  1. Verantwortlichkeiten verbindlich zuordnen

Eine Pflicht ohne Verantwortlichen ist im Audit eine offene Flanke. Deshalb sollte jede relevante Compliance-Pflicht einer Rolle oder Person zugeordnet sein.

Wichtig ist dabei die Unterscheidung zwischen:

Rolle Aufgabe
Pflichtverantwortlicher sorgt für Umsetzung im Fachbereich
Compliance / Rechtsabteilung unterstützt, bewertet, koordiniert
Geschäftsleitung trägt Gesamtverantwortung und stellt Ressourcen bereit
Interne Revision / Auditfunktion prüft unabhängig oder risikoorientiert
Dokumentationsverantwortlicher stellt Nachweise vollständig bereit

Die NIS-2-Richtlinie zum Beispiel macht deutlich, dass Cybersicherheit nicht nur IT-Sache ist: Sie enthält Governance-Anforderungen und Risikomanagementmaßnahmen für betroffene Einrichtungen. Übertragen auf Compliance-Audits heißt das: Zuständigkeiten müssen auf Leitungsebene und in den Fachbereichen klar geregelt sein.

  1. Maßnahmen ableiten

Aus jeder relevanten Pflicht sollte mindestens eine konkrete Maßnahme folgen. Das kann eine Richtlinie, Schulung, Kontrolle, Prüfung, technische Maßnahme, Lieferantenbewertung oder Dokumentation sein.

Ein auditfähiger Maßnahmenplan sollte mindestens enthalten:

Element Leitfrage
Maßnahme Was wird konkret getan?
Ziel Welche Pflicht oder welches Risiko wird adressiert?
Verantwortlicher Wer setzt die Maßnahme um?
Frist Bis wann?
Nachweis Woran erkennt man die Umsetzung?
Wirksamkeitsprüfung Wie wird überprüft, ob die Maßnahme funktioniert?

Gerade hier entsteht der größte Nutzwert eines digitalen Rechtskatasters: Es verbindet Pflichten mit Aufgaben, Fristen, Nachweisen und Kontrollen.

  1. Nachweise definieren

Ein häufiger Irrtum lautet: „Wenn die Maßnahme erledigt ist, reicht das.“ Im Audit zählt aber, ob die Umsetzung nachvollziehbar belegt werden kann.

Beispiele für geeignete Nachweise:

Compliance-Bereich Mögliche Nachweise
Datenschutz Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept, Datenschutz-Folgenabschätzung, Schulungsnachweise
IT-Sicherheit Risikoanalysen, Backup-Protokolle, Incident-Reports, Berechtigungskonzepte
Arbeitsschutz Gefährdungsbeurteilungen, Unterweisungsnachweise, Prüfprotokolle
Umwelt / Energie Genehmigungen, Messberichte, Wartungsnachweise, Abfallnachweise
Lieferkette Risikoanalyse, Lieferantenbewertungen, Maßnahmenpläne, Beschwerdeverfahren
KI-Nutzung KI-Richtlinie, Tool-Verzeichnis, Risikobewertung, Transparenzhinweise, Schulungen

Auditfähigkeit entsteht nicht durch Absichtserklärungen, sondern durch belastbare Dokumente und überprüfbare Umsetzung.

  1. Wirksamkeit prüfen

Compliance ist nicht schon deshalb wirksam, weil eine Richtlinie veröffentlicht wurde. Unternehmen sollten regelmäßig prüfen, ob Maßnahmen tatsächlich funktionieren.

Geeignete Prüffragen sind:

Prüffrage Beispiel
Wird die Regel im Alltag angewendet? Stichproben in Prozessen
Verstehen Mitarbeitende die Vorgabe? Schulungstests oder Interviews
Gibt es Verstöße oder Beinahe-Vorfälle? Incident-Auswertung
Sind Nachweise vollständig? Dokumentenprüfung
Wurden Korrekturmaßnahmen umgesetzt? Follow-up-Audit

Die ISO 37301 betont nicht nur die Einführung, sondern auch Bewertung, Aufrechterhaltung und Verbesserung des Compliance-Management-Systems. Damit gehört Wirksamkeitskontrolle zum Kern einer lebendigen Compliance-Organisation.

  1. Abweichungen dokumentieren und Maßnahmen nachverfolgen

Ein Audit ohne Follow-up bringt wenig. Festgestellte Abweichungen sollten nicht in Protokollen verschwinden, sondern in konkrete Korrekturmaßnahmen überführt werden.

Ein praxistaugliches Abweichungsregister enthält:

Feld Zweck
Auditfeststellung Was wurde festgestellt?
Risiko Welche Auswirkung hat die Abweichung?
Ursache Warum ist die Abweichung entstanden?
Korrekturmaßnahme Was wird geändert?
Verantwortlicher Wer kümmert sich?
Frist Bis wann?
Status offen, in Bearbeitung, erledigt
Wirksamkeitsprüfung Hat die Maßnahme das Problem gelöst?

Das ist besonders wichtig, wenn Unternehmen mehrere Managementsysteme parallel betreiben, etwa Compliance, Informationssicherheit, Umweltmanagement oder Arbeitsschutz.

  1. Auditprogramm planen

Ein einzelnes Audit ist gut. Ein geplantes Auditprogramm ist besser. Unternehmen sollten deshalb festlegen, welche Bereiche wann, wie tief und durch wen geprüft werden. Ein einfaches Jahresprogramm kann so aussehen:

Quartal Schwerpunkt
Q1 Aktualität Rechtskataster, neue gesetzliche Anforderungen
Q2 Datenschutz, IT-Sicherheit, NIS-2-Betroffenheit
Q3 Arbeitsschutz, Umwelt, Anlagen- und Betriebspflichten
Q4 Lieferkette, Schulungen, Management-Review, Maßnahmen-Follow-up

Wichtig ist: Das Auditprogramm sollte risikoorientiert sein. Bereiche mit hohen Risiken, neuen Pflichten oder früheren Abweichungen sollten häufiger geprüft werden.

  1. Ergebnisse managementtauglich berichten

Ein Compliance-Audit sollte nicht in einer langen Mängelliste enden, die niemand liest. Die Geschäftsleitung braucht eine klare Entscheidungsgrundlage.

Ein guter Auditbericht beantwortet:

Frage Inhalt
Wo bestehen wesentliche Risiken? Top-Risiken und betroffene Bereiche
Welche Pflichten sind kritisch? Fristen, Bußgeldrisiken, Haftungsrisiken
Was funktioniert gut? vorhandene Stärken und wirksame Kontrollen
Wo bestehen Lücken? Abweichungen und Ursachen
Was muss entschieden werden? Ressourcen, Prioritäten, Verantwortlichkeiten
Bis wann muss gehandelt werden? Maßnahmenplan mit Fristen

Damit wird Compliance vom Kontrollthema zum Steuerungsinstrument.

Mini-Check: Ist Ihr Unternehmen auditbereit?

Unternehmen können mit diesen zehn Fragen schnell prüfen, wie auditfest ihre Compliance derzeit ist:

Frage Ja / Nein
Gibt es ein aktuelles Rechtskataster?
Sind alle Pflichten konkreten Verantwortlichen zugeordnet?
Gibt es Fristen und Wiedervorlagen?
Sind Maßnahmen aus Pflichten abgeleitet?
Gibt es zu jeder wesentlichen Maßnahme einen Nachweis?
Werden Risiken bewertet und priorisiert?
Werden Änderungen im Recht regelmäßig eingepflegt?
Werden Maßnahmen auf Wirksamkeit geprüft?
Gibt es ein Abweichungs- und Maßnahmenmanagement?
Erhält die Geschäftsleitung regelmäßige Compliance-Berichte?

Je häufiger die Antwort „Nein“ lautet, desto größer ist das Risiko, dass Compliance zwar organisatorisch gewollt, aber nicht auditfest nachweisbar ist.

Compliance braucht Belege, nicht Bauchgefühl

Compliance-Audits sind kein Selbstzweck. Sie zeigen, ob ein Unternehmen seine Pflichten kennt, Risiken angemessen bewertet, Maßnahmen wirksam umsetzt und Nachweise geordnet vorhalten kann.

Der größte Hebel liegt in der Verbindung von Rechtskataster, Risikobewertung, Maßnahmenmanagement und Nachweisführung. Wer diese vier Elemente sauber verknüpft, ist nicht nur besser auf Audits vorbereitet, sondern steuert Compliance auch im Alltag deutlich zuverlässiger.

PFAS

Ende der PFAS-Ära? Strenge Verbote und Compliance-Fallen für Unternehmen

Seit geraumer Zeit verschärfen sich in der EU die Vorschriften für Per- und Polyfluoralkylsubstanzen (PFAS), umweltschädliche Chemikalien, die früher weit verbreitet in Feuerlöschschäumen eingesetzt wurden. Diese Stoffe gelten als persistent und bioakkumulativ, weshalb REACH- und POP-Verordnungen sie zunehmend einschränken – was den Alltag mit solchen Schäumen erheblich komplizierter gestaltet.

Detaillierte Vorgaben der REACH-Verordnung

Die REACH-Verordnung (EG) Nr. 1907/2006 erhielt durch die Verordnung (EU) 2025/1988 eine weitreichende Ergänzung: Am 23. Oktober 2025 trat sie in Kraft und führte Eintrag 82 in Anhang XVII ein, der alle PFAS-haltigen Feuerlöschschäume umfasst – unabhängig von spezifischen Substanzen. Der Verkauf und die Nutzung sind verboten, sobald der PFAS-Gehalt ein Milligramm pro Liter überschreitet; Übergangsfristen variieren je nach Sektor (z. B. ein Jahr für Neuprodukte, bis zu zehn Jahre für militärische Anwendungen). Ab 23. Oktober 2026 gelten zusätzliche Pflichten: Betreiber müssen Managementpläne erstellen, die Bestände, Einsatzpläne und Entsorgungsstrategien detailliert beschreiben, sowie Kennzeichnungen anbringen, die PFAS-Inhalte offenlegen.

Detaillierte Vorgaben der POP-Verordnung

Die POP-Verordnung (EU) 2019/1021 – die die Stockholmer Konvention umsetzt – verbietet strikt die Herstellung, den Verkauf und die Verwendung von PFOS, PFOA und PFHxS (einschließlich Salze und verwandter Verbindungen) in Feuerlöschschäumen. Grenzwerte für Spuren sind extrem niedrig, zum Beispiel 0,025 mg/kg für PFOA oder 0,02 mg/kg für PFOS. Für PFOA-haltige Schäume, die vor 2020 eingesetzt wurden, läuft eine Frist bis Ende 2028; ab 10. April 2026 erweitert sich das Verbot auf PFHxA in Ausbildungs- und Prüfzwecken sowie für öffentliche Feuerwehren. Löschwasser aus diesen Schäumen muss vollständig abgefangen und fachgerecht entsorgt werden, um Boden- und Gewässerverschmutzung zu verhindern.

Steigende Komplexität im Umgang

Die Überlagerung mehrerer Regelwerke – ergänzt durch Einträge zahlreicher PFAS in die REACH-Kandidatenliste (SVHC) – schafft ein dichtes Netz aus Fristen, Ausnahmen (z. B. für Luftfahrt oder Verteidigung) und Grenzwerten. Unternehmen müssen Schäume analysieren lassen, um PFAS-Gehalte nachzuweisen, und fluorfreie Alternativen wie Protein- oder Synthetikschäume testen, die oft ähnlich effektiv sind. Nichteinhaltung birgt hohe Risiken für Umwelt und Haftung.

Umfassende Auswirkungen auf Unternehmenscompliance

Die PFAS-Regulierungen stellen Compliance-Abteilungen vor herausragende Herausforderungen und erfordern ein systematisches Vorgehen:

  • Bestandsaufnahme und Inventur: Alle Feuerlöschsysteme (Anlagen, Geräte, Vorräte) müssen umgehend auf PFAS-Inhalte geprüft werden – idealerweise durch Labortests. Dies umfasst auch Altbestände in Lagern oder Fahrzeugen.
  • Fristenmanagement: Übergangszeiten (z. B. bis 2035 in sensiblen Sektoren) erfordern präzise Kalender und Meilensteine; automatisierte Tools helfen, Fristen zu tracken und zu dokumentieren.
  • Lieferkettenumstellung: Lieferanten müssen zertifizierte PFAS-freie Produkte nachweisen (z. B. via REACH-konforme Deklarationen). Neue Verträge sollten Klauseln zu PFAS-Freiheit enthalten, inklusive Haftungsregelungen.
  • Schulungen und interne Prozesse: Mitarbeiter (Feuerwehrleute, Techniker, Einkäufer) benötigen regelmäßige Workshops zu neuen Regeln, Umgang mit Löschwasser und Entsorgung. Interne Richtlinien müssen aktualisiert werden.
  • Dokumentation und Reporting: Managementpläne, Kennzeichnungen und Nachweise sind archivierungspflichtig; Behörden wie ECHA oder nationale Umweltämter können Kontrollen durchführen. Integration in bestehende Compliance-Software (z. B. für REACH/CLP) ist essenziell.
  • Risikomanagement und Kosten: Verstöße drohen mit Bußgeldern (bis zu Millionenhöhen), Haftklagen oder Reputationsschäden. Frühzeitige Investitionen in Alternativen amortisieren sich durch Vermeidung von Sanierungs- und Strafkosten; Förderprogramme für Umrüstung können genutzt werden.

Eine proaktive Compliance-Strategie – inklusive Audits und Beratung durch Experten – minimiert Risiken und gewährleistet Wettbewerbsvorteile in einer PFAS-freien Zukunft.

NIS-2

NIS-2-Frist abgelaufen: Wenn Cybersicherheit zur Existenzfrage wird

März 2026 – für Tausende deutsche Unternehmen hat in diesen Tagen die Stunde der Wahrheit geschlagen. Mit dem Ablauf der dreimonatigen Registrierungsfrist am 6. März 2026 ist das NIS-2 Umsetzungsgesetz (NIS2UmsuCG) bei besonders wichtigen Einrichtungen endgültig im Unternehmensalltag angekommen. Was viele Entscheider lange als „weiteres IT-Thema“ abgetan haben, beweist sich nun als scharfes Schwert der Regulierungsbehörden.

Wer die Anmeldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) versäumt hat oder die geforderten Sicherheitsmaßnahmen ignoriert, steht nicht mehr nur mit einem Bein im Bußgeld-Sumpf, sondern riskiert im schlimmsten Fall sogar die persönliche Haftung mit dem Privatvermögen.

Der Status Quo: Die Schonfrist bei NIS-2 ist vorbei

Seit das Gesetz am 6. Dezember 2025 in Kraft getreten ist, waren schätzungsweise 30.000 Unternehmen in Deutschland aufgerufen, ihren Status zu prüfen. Betroffen sind nicht mehr nur klassische KRITIS-Betreiber wie Kraftwerke oder Wasserwerke, sondern ein breites Spektrum des Mittelstands: von der Lebensmittelproduktion über die Abfallwirtschaft bis hin zu Herstellern von Chemikalien oder Maschinen.

Fakten der NIS-2 Regulierung

  • Schwellenwerte: Meist ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz (sofern das Unternehmen in einem der von NIS‑2 erfassten Sektoren tätig ist)
  • Registrierungspflicht: Abgelaufen am 6. März 2026. Seit 7. März drohen bei fehlender Registrierung Bußgelder und aufsichtsrechtliche Maßnahmen.
  • Meldepflichten: Bereits seit Dezember 2025 aktiv (24-Stunden-Frist bei Vorfällen).

Die neue Zeit der Geschäftsführerhaftung

Das Kernstück des neuen Cybersicherheitsrechts ist der § 38 BSIG. Er markiert das Ende der Zeit, in der Vorstände die IT-Sicherheit einfach an den „Admin“ delegieren konnten, sofern es sich um besonders wichtige oder wichtige Einrichtungen handelt.

  1. Überwachungs- und Billigungspflicht

Die Geschäftsleitung darf Sicherheitsmaßnahmen nicht nur abnicken; sie muss ein Risikomanagementsystem einrichten und dieses überwachen. Das bedeutet: Ein Geschäftsführer muss verstehen, welche Risiken bestehen und wie die Abwehrmaßnahmen funktionieren.

  1. Schulungspflicht

Neu ist auch, dass das Gesetz ausdrücklich auf Kompetenzen und Schulungen der Leitungsorgane abstellt. Wer im Falle eines Hacks nicht nachweisen kann, dass er sich fachlich fit gehalten hat, liefert die Begründung für den Vorwurf der groben Fahrlässigkeit gleich mit.

  1. Haftung mit dem Privatvermögen

Bei Pflichtverletzungen – etwa wenn notwendige Budgets für Cyber-Resilienz verweigert wurden – erhöhen sich die Risiken einer persönlichen Inanspruchnahme mit dem Privatvermögen erheblich, insbesondere bei grober Fahrlässigkeit.

Wichtig: In vielen D&O‑Policen kann die Versicherung gegen Compliance‑Verstöße bei grober Fahrlässigkeit eingeschränkt oder ausgeschlossen sein – prüfen Sie hier unbedingt die individuelle Police!

Ein Bußgeldkatalog NIS-2

Das BSI hat nun Befugnisse, die man sonst nur von der Kartellbehörde oder dem Datenschutz (DSGVO) kennt. Die Bußgelder sind existenzbedrohend dimensioniert:

Kategorie Bußgeld-Obergrenze
Besonders wichtige Einrichtungen Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Hinweis: Es wird immer der jeweils höhere Betrag herangezogen.

Was jetzt sofort zu tun ist

Wenn Ihr Unternehmen die Frist zum 6. März verpasst hat, zählt jede Stunde, um das Haftungsrisiko zu begrenzen.

  1. Nachregistrierung: Holen Sie die Anmeldung im BSI-Meldeportal unverzüglich nach. Eine verspätete Meldung ist besser als gar keine, um „aktive Reue“ zu zeigen.
  2. Gap-Analyse: Führen Sie eine Bestandsaufnahme nach dem Stand der Technik durch. Wo fehlen MFA (Multi-Faktor-Authentifizierung), Verschlüsselung oder Backup-Konzepte?
  3. Lieferkette prüfen: NIS-2 verpflichtet Sie, auch die Sicherheit Ihrer Zulieferer zu überwachen. Ein schwaches Glied in der Kette kann Ihr gesamtes Compliance-Kartenhaus zum Einsturz bringen.
  4. Schulungsnachweis: Buchen Sie zeitnah die gesetzlich geforderten Security-Awareness-Schulungen für das Management.

Die Zeit der Warnungen ist im März 2026 offiziell vorbei. Cybersicherheit ist keine IT-Kostenstelle mehr, sondern eine zentrale Überlebensstrategie für Unternehmen und ihre Führungskräfte.

Checkliste: Technische & organisatorische Maßnahmen (TOM) nach NIS-2

Diese Checkliste orientiert sich am aktuellen Stand der Technik und den spezifischen Anforderungen des NIS2UmsuCG (insbesondere § 30 ff. BSIG-neu).

Diese Liste dient als Fahrplan für die Geschäftsführung und die IT-Abteilung, um die geforderte „Risikomanagement-Compliance“ nachzuweisen.

  1. Basishygiene & Zugriffskontrolle
  • [ ] Multi-Faktor-Authentifizierung (MFA): Ist MFA für alle Fernzugriffe (VPN), Cloud-Dienste (M365/Google) und privilegierte Administrator-Accounts zwingend vorgeschrieben? (Standard-Passwörter sind 2026 ein Haftungsgrund).
  • [ ] Identity & Access Management (IAM): Werden Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben und bei Mitarbeiterwechseln/Austritt sofort entzogen?
  • [ ] Passwort-Management: Einsatz eines unternehmensweiten Passwort-Managers für Endanwender.
  1. Infrastruktur & Ausfallschutz (Business Continuity)
  • [ ] Backup-Strategie (3-2-1-Regel): Existieren mindestens drei Kopien auf zwei verschiedenen Medien, wovon eine unveränderbar (Immutable Backup) oder offline (Air-Gapped) gespeichert ist?
  • [ ] Wiederherstellungstests: Wurde das Backup im letzten Halbjahr erfolgreich testweise zurückgespielt? (Nur ein getestetes Backup ist ein Backup).
  • [ ] Notfallplan (Disaster Recovery): Gibt es ein physisches oder offline verfügbares Dokument, das regelt, wer bei einem Totalausfall der IT was zu tun hat?
  1. Detektion & Reaktion
  • [ ] Logging & Monitoring: Werden sicherheitsrelevante Ereignisse protokolliert und (idealerweise automatisiert) ausgewertet?
  • [ ] Incident Response Plan: Gibt es definierte Prozesse für die 24-Stunden-Meldung an das BSI bei erheblichen Sicherheitsvorfällen?
  • [ ] Vulnerability Management: Werden Systeme regelmäßig auf Schwachstellen gescannt und kritische Patches innerhalb von maximal 72 Stunden eingespielt?
  1. Sicherheit in der Lieferkette (Supply Chain)
  • [ ] Dienstleister-Audits: Haben Sie von Ihren kritischen IT-Dienstleistern und Zulieferern schriftliche Bestätigungen oder Zertifikate (z. B. ISO 27001 oder TISAX) über deren Sicherheitsniveau vorliegen?
  • [ ] Vertragsgestaltung: Enthalten neue Verträge Klauseln zur Informationspflicht bei Sicherheitsvorfällen auf Seiten des Dienstleisters?
  1. Kryptografie & Kommunikation
  • [ ] Verschlüsselung: Sind Daten sowohl „at rest“ (auf Festplatten/Servern) als auch „in transit“ (E-Mail, Dateitransfer) nach aktuellem Standard verschlüsselt?
  • [ ] Sichere Kommunikation: Nutzen Sie für die interne Krisenkommunikation einen Kanal, der unabhängig von der restlichen IT-Infrastruktur funktioniert (z. B. Signal, Threema Work)?
  1. Faktor Mensch (Compliance-Anker)
  • [ ] Security Awareness: Wurden alle Mitarbeiter im letzten Jahr nachweislich geschult (z. B. Phishing-Simulationen)?
  • [ ] Management-Schulung: Kann die Geschäftsführung ein Zertifikat über die spezifische NIS-2-Leitungsschulung vorweisen? (Essenziell für die Exkulpation bei Haftungsfragen).

Tipp für die Dokumentation

Erstellen Sie ein „NIS-2 Compliance-Dossier“. Im Falle einer Prüfung durch das BSI oder bei einem Haftungsstreit müssen Sie proaktiv nachweisen können, dass Sie diese Punkte bearbeitet haben. „Wir haben es gemacht“ reicht nicht – „Hier ist das Protokoll vom [Datum]“ ist die einzige wirksame Verteidigung.

Gesetzesdschungel

Kampf gegen den Bürokratie-Dschungel: Regierung startet zentrales Beschwerdeportal

Die Bundesregierung geht seit Ende 2025 mit einer neuen digitalen Offensive gegen die oft kritisierte Regelungswut vor. Um Bürgern und Unternehmen eine Stimme im Kampf gegen langwierige Genehmigungsverfahren und überflüssige Papierarbeit zu geben, wurde das Portal „Einfach machen“ ins Leben gerufen. Die Plattform www.einfach-machen.gov.de dient als Schnittstelle zwischen dem Alltag der Betroffenen und den Entscheidungsträgern in Berlin.

Das Projekt wird von Digitalminister Karsten Wildberger, Wirtschaftsministerin Katherina Reiche und Arbeitsministerin Bärbel Bas getragen. Die Rückmeldungen der Nutzer sollen nach deren Aussagen dabei helfen, Vorschriften zu verschlanken und so wieder mehr Raum für Innovationen und unternehmerische Initiative zu schaffen. Das System ist dabei so konzipiert, dass Hindernisse über ein Formular unter www.einfach-machen.gov.de mit sieben Klicks gemeldet werden können.

Um die zu erwartende Flut an Einsendungen effizient zu bewältigen, setzt das Digitalministerium auf moderne Technologien. Eine speziell entwickelte Künstliche Intelligenz analysiert und priorisiert das eingehende Feedback. Dennoch dämpfte die Politik bereits die Erwartungen an eine sofortige Lösung aller Probleme, da die Bearbeitung an die personellen und rechtlichen Kapazitäten der Verwaltung angepasst werden müsse.

Hintergrund und Einordnungen

Die Notwendigkeit für ein solches Portal wird durch die aktuelle wirtschaftliche Lage massiv unterstrichen. Schätzungen gehen davon aus, dass die bürokratische Last den deutschen Mittelstand jährlich rund 61 Milliarden Euro kostet. Diese Summe ergibt sich vor allem aus der investierten Zeit, die Unternehmer und Angestellte für Dokumentationspflichten aufwenden müssen, statt sich ihrem Kerngeschäft zu widmen.

Ein zentraler Aspekt der neuen Strategie ist das sogenannte „Digital First“-Prinzip. Ein häufiger Kritikpunkt, der auch über das Portal gemeldet werden kann, ist die Mehrfachabfrage von Daten. Bisher scheitert die deutsche Verwaltung oft am „Once-Only-Prinzip“, bei dem Bürger Informationen nur ein einziges Mal an den Staat übermitteln müssten. Stattdessen fordern verschiedene Behörden häufig dieselben Unterlagen an, oft sogar noch in physischer Form, obwohl die Daten digital vorliegen.

Die größte Herausforderung für das Portal dürfte jedoch die politische Umsetzung der Beschwerden sein. Während die Meldung eines Problems über die Webseite nur wenige Minuten dauert, erfordert die Abschaffung oder Änderung einer Verordnung meist langwierige Gesetzgebungsverfahren, die oft auch europäisches Recht berühren. Das Portal ist daher eher als Frühwarnsystem und Seismograph für die Unzufriedenheit in der Wirtschaft zu verstehen, dessen Erfolg sich erst langfristig an tatsächlichen Gesetzesänderungen messen lassen wird.

Auswirkungen auf die Unternehmenscompliance

Das neue Portal und die damit verbundenen Pläne zum Bürokratieabbau haben direkte Auswirkungen auf die Unternehmenscompliance. Eine der wichtigsten dürfte das kontinuierliche Monitoring von Rechtsänderungen sein. Hier setzt zugleich ein funktionierendes Rechtskataster an.

Da das Portal die Prioritäten der Politik beeinflusst, können sich Compliance-Anforderungen in den nächsten Jahren schneller ändern als bisher. Die Compliance-Verantwortlichen müssen genau beobachten, welche Themen im Portal priorisiert werden.

Ein Rechtskataster ist dabei ein wichtiges Instrument. In digitalisierter Form wie bei SAT haben Sie ständig alle Änderungen im Blick und können zeitnah und gezielt darauf reagieren. Sprechen Sie mit uns, wir beraten Sie gern.

Google KI Modus

Der neue KI-Modus und Compliance – was ist jetzt zu tun?

Der KI-Modus von Google, auch bekannt als Search Generative Experience (SGE), ist seit Oktober 2025 in Deutschland, Österreich und der Schweiz verfügbar. Im Gegensatz zur traditionellen Suchmaschine, die primär Linklisten anzeigt, revolutioniert SGE die Art und Weise, wie Nutzer Informationen finden.

Die Google KI-Suche funktioniert als interaktives, dialogbasiertes System. Nutzer können ihre Anfragen tippen oder sprechen und erhalten umfassende, strukturierte Antworten. Die KI-generierten Ergebnisse fassen Informationen aus verschiedenen Quellen zusammen und präsentieren sie übersichtlich in Form von Text, Tabellen und Bildern.

Der neue KI-Modus von Google bringt zugleich wesentliche Veränderungen für die Unternehmenscompliance mit sich, insbesondere im Bereich Datenschutz und Nachvollziehbarkeit von Datenquellen. Die Nutzung KI-gesteuerter Suchergebnisse verlangt von Unternehmen eine Anpassung ihrer Compliance-Strategien.

Auswirkungen auf Unternehmenscompliance

  • Im KI-Modus werden Suchanfragen dialogorientiert und mit direkten, umfassenden Antworten beantwortet, was zu weniger Klicks auf externe Webseiten führt. Dies beeinflusst die traditionelle Nachverfolgbarkeit von Nutzerdaten und Traffic-Analysen, die für Compliance-Zwecke wichtig sind.
  • Die Quellenangabe in den KI-Antworten wird zwar beibehalten, jedoch weniger prominent dargestellt, was die Dokumentation und Prüfung der Herkunft von Informationen erschwert.
  • Aufgrund der KI-generierten Inhalte wächst die Verantwortung der Unternehmen, sicherzustellen, dass verwendete Daten und Inhalte datenschutzkonform genutzt und korrekt dokumentiert werden.

Herausforderungen und notwendige Anpassungen

  • Unternehmen müssen ihre Content- und Datenschutzrichtlinien überdenken und auf eine erhöhte Transparenz und Nachvollziehbarkeit bei der Nutzung von KI-Antworten achten.
  • Automatisierte Inhalte bergen möglicherweise juristische Risiken, wie etwa bei Urheberrechtsfragen, wenn nicht klar dokumentiert werden kann, woher die Informationen stammen.
  • Die Anpassung von Monitoring- und Reporting-Systemen ist erforderlich, da klassische Analysedaten durch den KI-Modus weniger verfügbar sind.

Praktische Handlungsempfehlungen

  • Inhalte sollten so gestaltet werden, dass sie von KI-Systemen gut verstanden und als vertrauenswürdige Quellen zitiert werden können.
  • Unternehmen sollten klare Urheberrechtsvermerke setzen und eine Nachverfolgung der Datenquellen sicherstellen.
  • Compliance-Teams müssen Prozesse einführen, um den Umgang mit KI-generierten Informationen regelmäßig zu überprüfen und zu dokumentieren.

Insgesamt fordert der KI-Modus von Google eine Anpassung der Compliance-Maßnahmen, um Sicherheit und Transparenz in einer KI-dominierten Suchumgebung gewährleisten zu können. Diese Anpassungen bieten auch Chancen für Unternehmen, ihre digitale Präsenz und Vertrauenswürdigkeit im neuen Suchumfeld zu stärken.

Lieferkettengesetz

Lieferkettengesetz: Entschärfung umstrittener Regelungen

Das Bundeskabinett hat Anfang September den Entwurf eines Gesetzes zur Änderung des Lieferkettensorgfaltspflichtengesetzes (Lieferkettengesetz) beschlossen. Der sieht vor, die Berichtspflicht über die Einhaltung der Sorgfaltspflichten abzuschaffen, um Unternehmen von Bürokratie zu entlasten. Kritiker, darunter Menschenrechtsorganisationen, sehen darin einen Rückschritt beim Schutz der Menschenrechte.

Wesentliche Punkte der Änderung des Lieferkettengesetzes

Abschaffung der Berichtspflicht Die jährliche Berichterstattung über die Einhaltung von Sorgfaltspflichten soll entfallen.

Fokus auf schwere Verstöße Bußgelder sollen künftig nur noch bei schwerwiegenden Verstößen gegen die Sorgfaltspflichten verhängt werden.

Ziel der Entlastung Unternehmen sollten von Bürokratie befreit und die deutsche Wirtschaft gestärkt werden.

Vorbereitung auf die EU-Richtlinie Die Bundesregierung will mit der Gesetzesänderung Bürokratie abbauen und die Umsetzung der EU-Richtlinie vorbereiten, die ihrerseits auf Bürokratieabbau zielt.

Menschenrechtsschutz Obwohl die Bundesregierung beteuert, das Schutzniveau nicht zu senken, kritisiert etwa die Organisation Misereor, dass die Abschaffung der Berichtspflichten einen Rückschritt beim Menschenrechtsschutz darstelle.

Verfahren Nach der Beschließung durch das Bundeskabinett muss der Gesetzesentwurf noch den Bundesrat und den Bundestag durchlaufen.

Das nationale Lieferkettengesetz soll in dieser Form gelten, bis die Europäische Lieferkettenrichtlinie in nationales Recht umgesetzt ist. Über die EU-Lieferketten-Richtlinie wird derzeit auf EU-Ebene verhandelt. Die Bundesregierung unterstützt die EU-Forderung nach Bürokratierückbau. Nach eigenem Bekunden ist es gleichzeitig ihr Ziel, Menschenrechtsverletzungen und Kinderarbeit in Lieferketten zu vermeiden.

Wenn Sie Fragen rund um das Lieferkettengesetz bzw. dessen Umsetzung in Ihrem Compliance Management System haben, sollten wir miteinander sprechen.

KI-Modelle

EU AI Act: So sichern Sie die Compliance Ihrer KI-Modelle

Am 2. August 2025 sind wichtige Teile des EU AI Acts in Kraft getreten, die sich direkt auf Unternehmen auswirken. Insbesondere betreffen diese Änderungen KI-Modelle mit allgemeinem Verwendungszweck (GPAI) sowie die Vorschriften zu Sanktionen und Meldepflichten. Für Unternehmen ist es jetzt essenziell, die neuen Regeln zu verstehen und ihre Compliance-Strategien anzupassen.

Was sind KI-Modelle mit allgemeinem Verwendungszweck (GPAI)?

GPAI (General-Purpose AI Models) sind Modelle, die für eine Vielzahl von Aufgaben verwendet werden können und nicht auf einen spezifischen Anwendungsbereich beschränkt sind. Beispiele hierfür sind große Sprachmodelle wie GPT-4, die für Textgenerierung, Programmierung, Übersetzungen und vieles mehr eingesetzt werden können. Auch andere generative KI-Modelle für Bilder oder Videos fallen in diese Kategorie. Der EU AI Act unterscheidet dabei zwischen „normalen“ GPAI-Modellen und solchen mit systemischem Risiko.

  • Normale GPAI-Modelle: Für diese Modelle gelten grundlegende Transparenzpflichten. Anbieter müssen technische Dokumentationen bereitstellen, Informationen über die Trainingsdaten veröffentlichen und ihre Modelle so gestalten, dass sie dem Urheberrecht genügen.
  • GPAI-Modelle mit systemischem Risiko: Modelle, die aufgrund ihrer Rechenleistung oder ihres breiten Einsatzes ein hohes Risiko für die Gesellschaft darstellen, unterliegen strengeren Vorschriften. Sie müssen intensivere Tests durchlaufen, Vorfälle melden und strenge Cybersicherheitsstandards einhalten.

Die Auswirkungen auf Unternehmen und Compliance

Mit dem Stichtag 2. August 2025 müssen Unternehmen, die GPAI-Modelle entwickeln oder nutzen, ihre Compliance-Strategien überprüfen.

  1. Pflichten für Entwickler und Anbieter: Wer selbst GPAI-Modelle entwickelt, muss die neuen Transparenz- und Dokumentationspflichten erfüllen. Dazu gehört die Erstellung technischer Anleitungen und die Offenlegung von Trainingsdaten. Insbesondere die Erfüllung der Urheberrechtsvorgaben wird eine zentrale Rolle spielen.
  2. Pflichten für Nutzer und Anwender: Auch Unternehmen, die GPAI-Modelle von Drittanbietern nutzen, sind betroffen. Sie müssen sicherstellen, dass die von ihnen eingesetzten Modelle den gesetzlichen Anforderungen entsprechen. Dies kann die Überprüfung von Verträgen und die Auswahl von Anbietern erfordern, die die Compliance-Anforderungen des EU AI Acts erfüllen.
  3. Sanktionen und Meldepflichten: Seit 2. August 2025 werden die Sanktionen bei Verstößen gegen den EU AI Act anwendbar. Diese können empfindliche Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes umfassen. Unternehmen müssen zudem Mechanismen für die Meldung von schwerwiegenden Zwischenfällen etablieren, um den neuen gesetzlichen Meldepflichten nachzukommen.

Unternehmen sollten jetzt proaktiv handeln, um ihre KI-Governance zu stärken und die neuen Compliance-Anforderungen rechtzeitig zu erfüllen. Dazu gehört die Identifizierung aller genutzten GPAI-Modelle, die Überprüfung von Verträgen mit Drittanbietern und die Etablierung klarer interner Prozesse für die Risikobewertung und das Reporting.

Berufskrankheit

Ärzte müssen Verdacht auf eine Berufskrankheit melden – was Unternehmen wissen müssen

Ärzte und Ärztinnen sind gesetzlich verpflichtet, den Verdacht auf eine Berufskrankheit oder eine arbeitsbedingte Gesundheitsgefahr umgehend an den zuständigen Unfallversicherungsträger zu melden. Darauf hat jüngst die Deutsche Gesetzliche Unfallversicherung noch einmal eindringlich hingewiesen. Diese Meldepflicht ist entscheidend, um Betroffenen schnellstmöglich zu helfen, die Prävention zu verbessern und die Anerkennung von Berufskrankheiten zu gewährleisten.

Warum ist die Meldepflicht so wichtig?

Die frühzeitige Meldung eines Verdachts auf eine Berufskrankheit hat mehrere entscheidende Vorteile:

  • Schnelle Hilfe für Betroffene: Durch die Meldung können die Unfallversicherungsträger frühzeitig rehabilitative Maßnahmen einleiten, Therapien finanzieren und Leistungen zur Teilhabe am Arbeitsleben oder am sozialen Leben erbringen. Je früher eine Berufskrankheit erkannt wird, desto besser sind oft die Heilungschancen oder die Möglichkeiten, eine Verschlimmerung zu verhindern.
  • Prävention am Arbeitsplatz: Jede Meldung liefert wertvolle Daten. Die Unfallversicherungsträger können diese Informationen nutzen, um Schwerpunkte von Gesundheitsgefahren in bestimmten Branchen oder bei bestimmten Tätigkeiten zu identifizieren. Basierend darauf, werden Präventionsmaßnahmen entwickelt und Betriebe beraten, um zukünftige Berufskrankheiten zu verhindern.
  • Rechtliche Absicherung: Die Meldung ist die Grundlage für die Prüfung, ob eine Erkrankung als Berufskrankheit anerkannt werden kann. Nur wenn der Verdacht gemeldet wurde, kann der Fall bearbeitet und gegebenenfalls Entschädigung oder Rentenleistungen gewährt werden.
  • Gesetzliche Verpflichtung: Die Meldepflicht ist in § 202 des Siebten Buches Sozialgesetzbuch (SGB VII) klar geregelt. Verstöße können rechtliche Konsequenzen haben.

Was fällt unter die Meldepflicht?

Ärzte und Ärztinnen müssen nicht nur eindeutige Fälle von Berufskrankheiten melden, sondern bereits den Verdacht darauf. Das bedeutet: Wenn aufgrund der Anamnese, der klinischen Befunde und der beruflichen Tätigkeit des Patienten der begründete Verdacht besteht, dass eine Erkrankung berufsbedingt sein könnte, ist eine Meldung notwendig. Dies gilt auch für Erkrankungen, die (noch) nicht in der Berufskrankheiten-Verordnung gelistet sind, aber durch die Arbeit verursacht wurden (so genannte „Wie-Berufskrankheiten“).

Typische Beispiele für Berufskrankheiten sind:

  • Hauterkrankungen durch chemische Stoffe
  • Lärmschwerhörigkeit
  • Erkrankungen der Atemwege durch Stäube oder Dämpfe
  • Muskel-Skelett-Erkrankungen durch repetitive Tätigkeiten oder schwere körperliche Arbeit
  • Krebserkrankungen durch bestimmte Arbeitsstoffe

Wie erfolgt die Meldung?

Die Meldung des Verdachts einer Berufskrankheit erfolgt in der Regel formlos oder über spezieller Meldebögen des zuständigen Unfallversicherungsträgers. Ärzte und Ärztinnen sollten dabei so detailliert wie möglich die Art der Erkrankung, die Symptome, die berufliche Tätigkeit des Patienten und die möglichen Auslöser beschreiben.

Wichtiger Hinweis: Die Meldung muss auch das gemacht werden, wenn der Patient selbst keine Berufskrankheit vermutet oder keine Leistung beantragen möchte. Die Verantwortung liegt beim Arzt/bei der Ärztin.

Prüf- und Meldepflichten auch für Unternehmen

Auch Unternehmen selbst haben eine Meldepflicht, sobald sie Kenntnis von Anhaltspunkten für eine Berufskrankheit bei einem Beschäftigten erhalten. Die ärztliche Meldung löst hier oft einen Prozess aus, bei dem die Unternehmen ihre eigenen Informationen und Dokumentationen zur Verfügung stellen müssen.

  • Drei-Tages-Frist: Sobald ein Unternehmen von einem Verdacht auf eine Berufskrankheit erfährt, muss es dies innerhalb von drei Tagen dem zuständigen Unfallversicherungsträger (Berufsgenossenschaft oder Unfallkasse) melden. Dies kann oft durch die ärztliche Meldung angestoßen werden.
  • Detaillierte Angaben: Unternehmen müssen umfassende Angaben zur Tätigkeit des Betroffenen, den möglichen Einwirkungen am Arbeitsplatz und den relevanten Arbeitsbedingungen machen. Dies erfordert eine sorgfältige Dokumentation von Arbeitsabläufen, Gefahrstoffen, Schutzmaßnahmen und Mitarbeiterschulungen.
  • Einbindung des Betriebsrats: Sofern vorhanden, muss der Betriebsrat die Anzeige einer Berufskrankheit mit unterzeichnen oder über die Online-Anzeige informiert werden.

Prüfung durch den Unfallversicherungsträger

Nach der Meldung leitet der Unfallversicherungsträger ein umfangreiches Prüfverfahren ein. Dies kann für Unternehmen verschiedene Konsequenzen haben:

  • Betriebsbegehungen und Ermittlungen: Der Unfallversicherungsträger kann Gutachten einholen, den Arbeitsplatz besichtigen und Ermittlungen zu den Arbeitsbedingungen im Unternehmen durchführen.
  • Analyse von Gefährdungsbeurteilungen: Die Qualität und Aktualität der Gefährdungsbeurteilungen des Unternehmens wird genau geprüft. Lücken oder Mängel können hier schnell aufgedeckt werden.
  • Mögliche Präventionsmaßnahmen: Stellt der Unfallversicherungsträger eine berufsbedingte Ursache fest, kann er dem Unternehmen konkrete Präventionsmaßnahmen vorschreiben, um ähnliche Erkrankungen in Zukunft zu vermeiden. Dies kann von der Bereitstellung neuer Schutzausrüstung über technische Umrüstungen bis hin zur Änderung von Arbeitsabläufen reichen.

Rechtliche und organisatorische Konsequenzen

Die Meldepflicht und das nachfolgende Verfahren können auch rechtliche und organisatorische Auswirkungen haben:

  • Haftungsfragen: Bei grober Fahrlässigkeit oder Vorsatz des Arbeitgebers können trotz des Haftungsprivilegs der Unfallversicherung zivilrechtliche Ansprüche gegen das Unternehmen geltend gemacht werden.
  • Pflicht zur nachgehenden Vorsorge: Bei bestimmten Gefährdungen (z.B. Asbest) besteht für Unternehmen auch nach Beendigung des Arbeitsverhältnisses die Pflicht zur nachgehenden arbeitsmedizinischen Vorsorge für ehemalige Mitarbeiter. Die DGUV hat hierfür ein zentrales Meldeportal eingerichtet.
  • Dokumentationspflichten: Die Bedeutung einer lückenlosen und präzisen Dokumentation aller arbeitsschutzrelevanten Daten, von der Gefährdungsbeurteilung bis zur Unterweisung, wird noch deutlicher.

Die ärztliche Meldepflicht für Berufskrankheiten ist ein wichtiges Signal an Unternehmen, ihren Arbeitsschutz ernst zu nehmen. Sie zwingt Unternehmen dazu, ihre Arbeitsbedingungen kritisch zu hinterfragen, potenzielle Gesundheitsrisiken zu identifizieren und geeignete Präventionsmaßnahmen zu ergreifen. Ein proaktiver und umfassender Arbeitsschutz ist nicht nur eine gesetzliche Pflicht, sondern auch eine Investition in die Gesundheit der Mitarbeiter und letztlich in den langfristigen Erfolg des Unternehmens. Je besser ein Unternehmen aufgestellt ist, desto geringer sind die negativen Auswirkungen einer gemeldeten Berufskrankheit.

Überarbeitete DGUV Vorschrift 2

DGUV Vorschrift 2: Was die Überarbeitung für Ihr Unternehmen bedeutet

Die Deutsche Gesetzliche Unfallversicherung (DGUV) hat ihre DGUV Vorschrift 2 umfassend überarbeitet. Im Kern zielt die Novellierung darauf ab, den Arbeitsschutz in Unternehmen transparenter, zeitgemäßer und vor allem praxisorientierter zu gestalten. Mittlerweile setzen die verschiedenen Unfallversicherungsträger das Regelwerk nach und nach um. Was bedeutet das konkret für Ihr Unternehmen?

Mehr Transparenz und Praxistauglichkeit durch überarbeitete DGUV Vorschrift 2

Die überarbeitete DGUV Vorschrift 2 legt einen stärkeren Fokus auf die individuelle Gefährdungsbeurteilung in Ihrem Betrieb. Statt starrer, teils als bürokratisch empfundener Vorgaben, rückt die individuelle Gefährdungsbeurteilung stärker in den Fokus. Das bedeutet, Unternehmen sollen nicht mehr nur eine Liste von Pflichten abarbeiten, sondern dazu angeleitet werden, die spezifischen Risiken und Gegebenheiten ihres Betriebs genau zu analysieren. Dies soll nicht nur die Arbeitssicherheit erhöhen, sondern auch die Umsetzbarkeit im Betriebsalltag erleichtern. Die praxisnähere Herangehensweise ermöglicht es, maßgeschneiderte Schutzmaßnahmen zu entwickeln, die wirklich greifen und nicht nur auf dem Papier existieren – also weniger pauschale Auflagen, mehr zielgerichtete Lösungen.

Zeitgemäße Anpassung an aktuelle Anforderungen

Die Arbeitswelt entwickelt sich stetig weiter. Die überarbeitete DGUV Vorschrift 2 trägt diesem Umstand Rechnung, indem sie moderne Arbeitsweisen und neue Technologien besser berücksichtigt. Dies kann beispielsweise Auswirkungen auf die Gestaltung von Arbeitsplätzen, die Nutzung digitaler Hilfsmittel oder die Bewertung psychischer Belastungen haben. Unternehmen sind somit angehalten, ihre bestehenden Konzepte zu überprüfen und gegebenenfalls anzupassen, um den aktuellen Standards im Arbeitsschutz gerecht zu werden.

Stärkung der Eigenverantwortung und Effizienz

Die Überarbeitung der DGUV Vorschrift 2 soll zudem die unternehmerische Eigenverantwortung stärken. Anstatt detaillierte Anweisungen vorzugeben, ermutigt die neue Vorschrift dazu, selbstständig und vorausschauend zu handeln. Dies führt nicht nur zu einem höheren Verantwortungsbewusstsein bei Arbeitgebern, sondern kann auch die Effizienz im Arbeitsschutz steigern. Wenn Maßnahmen auf die tatsächlichen Bedürfnisse zugeschnitten sind, lassen sie sich besser in den Betriebsalltag integrieren und erzeugen einen echten Mehrwert. Dies reduziert unnötigen Aufwand und konzentriert die Ressourcen auf das Wesentliche: die Gesundheit und Sicherheit der Mitarbeiter.

Kritik an der überarbeiteten DGUV Vorschrift 2

Gänzlich positiv werden die Ansätze der reformierten DGUV Vorschrift 2 in der Fachwelt und in Unternehmen allerdings nicht aufgenommen. Die Verfügbarkeit qualifizierter Betriebsärzte und Fachkräfte für Arbeitssicherheit (SiFas) ist schon länger ein Problem. Zwar versucht die neue Vorschrift, dem durch flexiblere Betreuungsmöglichkeiten wie Telebetreuung oder Erweiterung der Fachkräftezugangswege) entgegenzuwirken. Dennoch bleibt es zunächst fraglich, ob die neuen Modelle ausreichen, um die flächendeckende Versorgung zu gewährleisten. Außerdem weisen Kritiker darauf hin, dass bestimmte Aspekte der arbeitsmedizinischen und sicherheitstechnischen Betreuung eine persönliche Präsenz im Betrieb erfordern und nicht vollständig digitalisiert werden können, um die Qualität der Betreuung zu gewährleisten.

Speziell für Kleinstunternehmen (bis 20 Mitarbeiter) wurden neue Betreuungskonzepte wie die „Kompetenzzentren im Arbeitsschutz“ eingeführt und die Mindesteinsatzzeiten für die niedrigste Gefährdungsgruppe angehoben. Doch ob diese Konzepte in der Praxis optimal greifen, bleibt abzuwarten. Auch die Forderung nach „aktiver Einbindung“ des Unternehmers in alternativen Betreuungsmodellen könnte gerade für kleine Betriebe zur Hürde werden.

Ihre Rolle als Unternehmen: Handlungspflicht und Chancen

Mit der schrittweisen Umsetzung der überarbeiteten DGUV Vorschrift 2 durch die Unfallversicherungsträger müssen Unternehmen ebenfalls aktiv werden und frühzeitig prüfen, welche Anpassungen in Ihrem Betrieb notwendig sind. Dies betrifft unter anderem:

  • Aktualisierung der Gefährdungsbeurteilung: Überprüfen und aktualisieren Sie Ihre bestehenden Gefährdungsbeurteilungen unter Berücksichtigung der neuen Richtlinien.
  • Anpassung von Schutzmaßnahmen: Stellen Sie sicher, dass Ihre Schutzmaßnahmen den neuen, praxisorientierten Anforderungen entsprechen.
  • Schulung Ihrer Mitarbeiter: Informieren und schulen Sie Ihre Mitarbeiter über die Änderungen und deren Auswirkungen auf den Arbeitsalltag.
  • Zusammenarbeit mit der Berufsgenossenschaft: Suchen Sie den Austausch mit Ihrem zuständigen Unfallversicherungsträger, um offene Fragen zu klären und Unterstützung bei der Umsetzung zu erhalten.

Die Überarbeitung der DGUV Vorschrift 2 ist nicht nur eine Pflicht, sondern auch eine Chance, den Arbeits- und Gesundheitsschutz in Ihrem Unternehmen effektiver und effizienter zu gestalten. Ein proaktives Vorgehen kann nicht nur das Wohl Ihrer Mitarbeiter fördern, sondern auch zu weniger Arbeitsunfällen und Berufskrankheiten beitragen.

Wenn Sie über alle für Ihr Unternehmen relevanten Gesetze, Vorschriften und Regeln und deren Veränderungen auf dem Laufenden bleiben wollen, lassen Sie uns über ein Rechtskataster sprechen. Wir beraten Sie gern!

EU-Abwasser-richtlinie (EU) 2024/3019

KARL ist da! Jetzt EU-Abwasserrichtlinie (EU) 2024/3019 umsetzen

Die EU-Abwasserrichtlinie (EU) 2024/3019, auch als KARL (Kommunale Abwasserrichtlinie) bekannt, ist am 1. Januar 2025 in Kraft getreten. Sie ist ein großer Schritt hin zur nachhaltigen Wasserbewirtschaftung und verschärft die Anforderungen an die Abwasserbehandlung massiv. Die Richtlinie muss bis Mitte 2027 in den EU-Staaten umgesetzt sein und zielt auch darauf ab, dass sich der Abwasserberich energie- und klimaneutral ausrichtet. Kanalisation und Kläranlagen müssen an die neuen Regeln schrittweise bis 2045 angepasst werden. Das hat weitreichende Auswirkungen auf Unternehmen und Kommunen.

Inhalte der EU-Abwasserrichtlinie (EU) 2024/3019

Die EU-Abwasserrichtlinie (EU) 2024/3019 verpflichtet die EU-Staaten, Abwasser aus allen Siedlungsgebieten ab einer Größe von 1.000 Einwohnerwerten (EW) nach EU-Mindeststandards zu sammeln und zu behandeln – eine Absenkung der bisherigen Schwelle von 2.000 EW. Ein Einwohnerwert entspricht dem durchschnittlichen Abwasseraufkommen einer Person pro Tag. Bis 2035 müssen diese Siedlungsgebiete über Kanalisationssysteme verfügen, die alle häuslichen Abwasserquellen erfassen. Die Richtlinie sieht auch die Entfernung von organisch-biologisch abbaubarem Material vor, bevor das Abwasser in die Umwelt gelangt.

Um die Belastung durch Stickstoff, Phosphor und Mikroschadstoffe weiter zu verringern, fordert die Richtlinie eine Dritt- und Viertbehandlung in größeren Abwasserbehandlungsanlagen. Ab 2039 müssen Anlagen, die Abwasser für mindestens 150.000 Einwohnerwerte behandeln, Stickstoff und Phosphor entfernen. Bis 2045 sind sie verpflichtet, Mikroschadstoffe herauszufiltern.

Hersteller von Arzneimitteln und Kosmetika werden künftig verpflichtet, für die Reinigungskosten von Mikroschadstoffen in kommunalem Abwasser aufzukommen. Nach dem Verursacherprinzip müssen diese Hersteller mindestens 80 Prozent der zusätzlichen Kosten für die sogenannte Viertbehandlung tragen – eine fortgeschrittene Stufe der Abwasseraufbereitung, die gezielt Mikroschadstoffe entfernt.

Die EU-Abwasserrichtlinie (EU) 2024/3019 setzt auch ein Energieneutralitätsziel für größere Abwasserbehandlungsanlagen, die Abwasser für 10.000 EW oder mehr behandeln. Sie sollen bis 2045 ihren Energiebedarf durch selbst erzeugte erneuerbare Energie decken. (Quelle)

Auswirkungen der EU-Abwasserrichtlinie (EU) 2024/3019 auf Unternehmen

Höhere Kosten: Es gilt das Verursacherprinzip. Insbesondere Unternehmen der Chemie-, Pharma- und Kosmetikindustrie müssen mit höheren Kosten rechnen, da sie für einen Teil der Reinigungskosten von Mikroschadstoffen in Kläranlagen aufkommen müssen. Am Ausbau der Kläranlagen, Dokumentation und Überwachung müssen sich die Unternehmen mit bis zu 80 Prozent der Kosten beteiligen.

Anpassung der Produktionsprozesse: Unternehmen müssen ihre Produktionsprozesse so anpassen, dass weniger umweltschädliche Stoffe in das Abwasser gelangen.

Mehr Bürokratie: Die Umsetzung der Richtlinie erfordert eine umfangreiche Dokumentation und Berichterstattung.

Innovation: Die Richtlinie kann auch als Anreiz für Innovationen dienen, da Unternehmen nach neuen Technologien suchen, um Abwasser effizienter und umweltfreundlicher zu reinigen.

Welche Auswirkungen hat die Richtlinie auf die Compliance?

  • Erhöhte Anforderungen: Die Richtlinie verschärft die Anforderungen an die Abwasserbehandlung erheblich. Unternehmen müssen sicherstellen, dass ihre Abwässer die neuen Grenzwerte einhalten.
  • Dokumentationspflichten: Unternehmen müssen detaillierte Aufzeichnungen über ihre Abwasserentsorgung führen und diese auf Verlangen den Behörden vorlegen.
  • Risikoanalyse: Unternehmen müssen die Risiken für die Umwelt bewerten und entsprechende Maßnahmen zur Risikominimierung ergreifen.

Konkrete Maßnahmen für Unternehmen

  • Analyse der eigenen Produkte: Unternehmen müssen ihre Produkte auf potenziell schädliche Stoffe untersuchen und Maßnahmen zur Minimierung dieser Stoffe ergreifen.
  • Optimierung der Produktionsprozesse: Produktionsverfahren sollten so angepasst werden, dass weniger Abwasser anfällt und die Konzentration von Schadstoffen reduziert wird.
  • Investitionen in neue Technologien: Es kann erforderlich sein, in neue Technologien zur Abwasserbehandlung zu investieren.
  • Schulungen: Mitarbeiter müssen über die neuen gesetzlichen Anforderungen informiert und geschult werden.
  • Kooperation mit Kläranlagenbetreibern: Eine enge Zusammenarbeit mit den Kläranlagenbetreibern ist wichtig, um die Anforderungen der Richtlinie umzusetzen.

Im SAT-Rechtskataster finden Sie ausführliche Informationen zur EU-Abwasserrichtlinie (EU) 2024/3019. Wir arbeiten für Sie heraus, welche Auswirkungen die neuen Regeln auf Ihr Unternehmen haben und was Sie jetzt unternehmen sollten.

Sprechen wir miteinander!

© Copyright - SAT Compliance Service Provider | Webdesign: Bodenröder Text & Web
Cookie-Einstellungen