Produkthaftung

Produkthaftung 2.0: Warum die EU-Richtlinie 2024/2853 zur Compliance-Zeitbombe für Unternehmen werden kann

Die neue EU-Produkthaftungsrichtlinie verändert das Verhältnis zwischen Innovation, Digitalisierung und Unternehmenshaftung grundlegend. Was bislang häufig als juristisches Randthema behandelt wurde, entwickelt sich nun zu einem zentralen Compliance-Thema für Geschäftsführung, IT, Produktentwicklung, Qualitätsmanagement und Cybersecurity.

Dabei liegt die eigentliche Sprengkraft nicht in der Tatsache, dass Unternehmen künftig stärker haften. Die eigentliche Herausforderung ist, dass die Richtlinie die klassische Produkthaftung erstmals vollständig in die digitale Welt überträgt — einschließlich Software, KI-Systemen, Cloud-Funktionen, Updates und datenbasierter Dienste.

Die Mitgliedstaaten müssen die Richtlinie (EU) 2024/2853 bis spätestens 9. Dezember 2026 in nationales Recht umsetzen. Für Unternehmen bedeutet das: Die Zeit bis Ende 2026 ist keine Übergangsphase zum Abwarten — sondern die letzte realistische Gelegenheit, Compliance-Strukturen belastbar aufzubauen.

Was sich mit der neuen Produkthaftung grundlegend ändert

Die bisherige Produkthaftung basierte weitgehend auf einem industriellen Weltbild: physische Produkte, klar identifizierbare Hersteller, statische Funktionen. Dieses Modell passt nicht mehr zu modernen digitalen Ökosystemen. Die neue Richtlinie erweitert deshalb den Produktbegriff massiv. Künftig gelten ausdrücklich auch:

  • Software,
  • digitale Konstruktionsdaten,
  • Updates und Upgrades

als haftungsrelevante Produkte oder Produktbestandteile. Auch KI-gestützte Software und KI-Funktionalitäten können künftig ausdrücklich vom erweiterten Produktbegriff erfasst sein. Bestimmte verbundene digitale Dienste können haftungsrechtlich relevant werden, wenn sie für die Funktion eines Produkts wesentlich sind. Das ist kein kosmetisches Update, sondern ein Paradigmenwechsel. Ein Softwarefehler, ein fehlerhaftes KI-Modell, ein unsicheres Update oder eine mangelhafte Cloud-Anbindung können künftig dieselben haftungsrechtlichen Konsequenzen auslösen wie ein klassischer Konstruktionsfehler in einer Maschine.

Der eigentliche Gamechanger: Compliance wird zur Haftungsverteidigung

Die Richtlinie verschiebt die Logik der Produkthaftung. Bislang konnten Unternehmen häufig argumentieren: „Der konkrete Fehler lässt sich nicht eindeutig nachweisen.“ Künftig wird genau das schwieriger. Die neue Richtlinie erleichtert Geschädigten ausdrücklich die Durchsetzung von Ansprüchen — unter anderem durch:

  • Offenlegungspflichten für Unternehmen,
  • erleichterte Beweisführung,
  • Vermutungsregelungen zum Kausalzusammenhang,
  • erweiterte Dokumentationsanforderungen.

Das verändert die Rolle von Compliance fundamental: Sie gewinnt zusätzlich eine erhebliche Bedeutung für die prozessuale Verteidigung und Nachweisführung. Wer Risiken, Tests, Updates, Sicherheitsmaßnahmen und Governance nicht dokumentieren kann, verliert im Ernstfall möglicherweise nicht wegen eines technischen Fehlers, sondern wegen fehlender Nachweisfähigkeit.

Warum viele Unternehmen die Tragweite unterschätzen
Viele Organisationen betrachten die Richtlinie derzeit noch als „weiteres EU-Regulierungsthema“. Genau darin liegt das Risiko. Denn die neue Produkthaftung trifft nicht nur klassische Hersteller. Haftungsrelevant werden unter Umständen auch:

  • Softwareanbieter,
  • SaaS-Plattformen,
  • Integratoren,
  • Importeur:innen,
  • Fulfillment-Dienstleister,
  • Händler,
  • Unternehmen mit White-Label-Produkten,
  • Betreiber KI-gestützter Systeme,
  • Unternehmen mit Connected-Device-Ökosystemen.

Besonders problematisch: Viele mittelständische Unternehmen besitzen heute längst produktähnliche digitale Funktionen, ohne sich selbst als „Produkthersteller“ zu verstehen. Beispiele:

  • Maschinenbauer mit Remote-Maintenance,
  • MedTech-Unternehmen mit Cloud-Diagnostik,
  • Logistikplattformen mit KI-Entscheidungen,
  • IoT-Produkte mit OTA-Updates,
  • HR-Software mit automatisierten Bewertungen,
  • Smart-Building-Systeme,
  • digitale Patienten- oder Kundenschnittstellen.

Juristisch verschwimmt die Grenze zwischen „Produkt“, „Service“ und „Softwarefunktion“ zunehmend. Genau dadurch entsteht ein enormes Compliance-Risiko. Eine erhebliche Risikozunahme besteht auch durch die beträchtlichen Beweiserleichterungen für Verbraucher im Schadensfall.

Cybersecurity wird zum Haftungsthema

Besonders brisant ist die ausdrückliche Einbeziehung sicherheitsrelevanter Cybersecurity-Aspekte in die Fehlerbewertung eines Produkts. Das bedeutet praktisch: Ein Produkt kann künftig bereits deshalb als fehlerhaft gelten, weil

  • bekannte Schwachstellen nicht geschlossen wurden,
  • Updates fehlen,
  • Sicherheitsmechanismen unzureichend sind,
  • unsichere Drittkomponenten integriert wurden,
  • keine angemessene Sicherheitsarchitektur existiert.

Damit verschmilzt Produkthaftung zunehmend mit:

  • NIS2,
  • CRA (Cyber Resilience Act),
  • AI Act,
  • DSGVO,
  • ISO-27001-ähnlichen Sicherheitsstandards.

Unternehmen benötigen künftig keine isolierten Compliance-Projekte mehr, sondern integrierte Governance-Strukturen.

KI-Systeme: Das unterschätzte Langzeitrisiko

Die Richtlinie adressiert ausdrücklich auch KI-Systeme und dynamische Software. Gerade bei lernenden Systemen entsteht dadurch ein hochkomplexes Haftungsproblem: Wer trägt Verantwortung, wenn sich ein KI-System nach dem Inverkehrbringen verändert? Die Richtlinie wirft neue Haftungsfragen für adaptive und lernende Systeme auf, insbesondere wenn sich Funktionen nach dem Inverkehrbringen verändern. Das stellt viele heutige KI-Governance-Ansätze infrage.

Denn zahlreiche Unternehmen dokumentieren aktuell zwar Modelltraining, Initialtests und Datenschutzmaßnahmen, aber nicht ausreichend:

  • Drift-Überwachung,
  • Modellveränderungen,
  • Prompt-Manipulationen,
  • nachgelagerte Risiken,
  • Sicherheitsupdates,
  • menschliche Kontrollmechanismen.

Gerade generative KI und agentische KI-Systeme könnten hier zu erheblichen Rechtsunsicherheiten führen. Aktuelle wissenschaftliche Analysen weisen bereits darauf hin, dass dynamische KI-Agenten erhebliche Compliance-Herausforderungen im Zusammenspiel mit AI Act, Cybersecurity- und Produkthaftungsrecht erzeugen.

Dokumentation wird zur zentralen Überlebensstrategie

Die neue Produkthaftung belohnt nicht das „sicherste“ Unternehmen — sondern häufig das am besten dokumentierte. Entscheidend werden künftig unter anderem:

  • technische Dokumentationen,
  • Versionierung,
  • Risikobewertungen,
  • Testprotokolle,
  • Vulnerability-Management,
  • Lieferkettennachweise,
  • Open-Source-Dokumentation,
  • Verantwortlichkeitszuordnungen,
  • Incident-Historien.

Das ist insbesondere für Unternehmen problematisch, deren Entwicklungsprozesse historisch gewachsen sind. Denn viele Organisationen besitzen keine vollständige Software-Stückliste (SBOM), keine revisionssichere Updatehistorie, keine klare KI-Governance, keine belastbare Nachweiskette für Sicherheitsentscheidungen. Im Streitfall kann genau das existenzbedrohend werden.

Was Unternehmen jetzt konkret tun sollten

  1. Digitale Produkte identifizieren

Viele Unternehmen wissen nicht einmal, welche ihrer Leistungen künftig als „Produkt“ gelten könnten. Ein vollständiges Product-Mapping wird zwingend notwendig.

  1. Compliance-Silos auflösen

Produkthaftung darf nicht isoliert betrachtet werden. Relevante Bereiche müssen gemeinsam arbeiten:

  • Legal,
  • IT-Security,
  • Produktmanagement,
  • Qualitätsmanagement,
  • Datenschutz,
  • Einkauf,
  • KI-Governance.
  1. Dokumentationsfähigkeit prüfen

Die zentrale Frage lautet nicht „Sind wir compliant?“, sondern „Können wir unsere Compliance gerichtsfest nachweisen?“

  1. Cybersecurity als Haftungsprävention verstehen

Security wird künftig nicht mehr nur IT-Thema sein, sondern unmittelbarer Bestandteil der Produktsicherheit.

  1. KI-Governance professionalisieren

Unternehmen benötigen belastbare Prozesse für:

  • Modellkontrolle,
  • menschliche Aufsicht,
  • Änderungsmanagement,
  • Auditierbarkeit,
  • Sicherheitsüberwachung.

Dezember 2026 ist näher als viele glauben

Die EU-Produkthaftungsrichtlinie 2024/2853 ist keine rein juristische Reform. Sie verändert die operative Verantwortung digitaler Unternehmen grundlegend. Besonders gefährlich ist dabei die trügerische Ruhephase bis Dezember 2026. Denn wer erst auf nationale Umsetzungsgesetze wartet, verliert wertvolle Vorbereitungszeit. Die neue Realität lautet:

  • Digitale Funktionen werden zu haftungsrelevanten Produkten.
  • Cybersecurity wird Teil der Produktsicherheit.
  • KI-Systeme erzeugen neue Dauerhaftungsrisiken.
  • Dokumentation wird zur Verteidigungslinie vor Gericht.
  • Compliance entwickelt sich vom Verwaltungsprozess zum unternehmerischen Schutzschild.

Die Unternehmen mit den größten Problemen werden vermutlich nicht jene sein, die unsichere Produkte entwickeln — sondern jene, die ihre Sicherheit nicht beweisen können.

Nachhaltigkeitsberichterstattung

EU lockert Nachhaltigkeitsregeln für Unternehmen

Die Europäische Union hat das Omnibus-I-Paket zur Nachhaltigkeitsregulierung Ende 2025 auf den Weg gebracht und die Trilogverhandlungen abgeschlossen. Im Mittelpunkt stehen Erleichterungen bei der Nachhaltigkeitsberichterstattung, bei unternehmerischen Sorgfaltspflichten und bei Vorgaben der europäischen Taxonomie-Verodnung. Für Unternehmen bedeutet das weniger Pflichtumfang, aber keine Entwarnung für die Nachhaltigkeitscompliance.

Reformziel Omnibus-I-Paket

Das Omnibus-I-Paket soll bestehende Nachhaltigkeitsvorgaben vereinfachen und den administrativen Aufwand senken. Die Reform reagiert damit auf Kritik aus der Wirtschaft, Berichts- und Prüfpflichten für viele Unternehmen seien zu umfangreich geworden. Zugleich bleibt der politische Anspruch, wesentliche Transparenz- und Sorgfaltsstandards zu erhalten.

Besonders wichtig: Der Kreis unmittelbar betroffener Unternehmen wird deutlich kleiner. So soll die Pflicht zur Nachhaltigkeitsberichterstattung künftig erst ab 1.000 Beschäftigten und 450 Millionen Euro Nettoumsatz greifen. Die Vereinfachungen gelten rückwirkend ab Geschäftsjahr 2025.

Die folgende Tabelle fasst die wesentlichen Änderungen durch das Omnibus-I-Paket an der EU-Taxonomie-Verordnung (vorher: Verordnung (EU) 2020/852 mit Delegierten Akten) gegenüber dem Status vor der Reform zusammen.

Bereich Vorherige Regelung Nach Omnibus-I-Paket
Adressatenkreis Große Unternehmen (z. B. > 500 Beschäftigte, hohe Umsatzschwellen) müssen Umsatz/CapEx/OpEx taxonomiekonform angeben. Beschränkt auf die größten Unternehmen; Reduktion des Berichtsumfangs um bis zu 70%.
Wesentlichkeitsschwelle Keine kumulative Schwelle; alle relevanten Tätigkeiten vollständig zu prüfen und anzugeben. Unwesentliche Tätigkeiten (< 10% Umsatz/ CapEx/ OpEx je Kennzahl) können ausgelassen werden; separate Mitteilung erforderlich.
Meldebögen/Templates Umfangreiche Angaben mit vielen Datenpunkten. Vereinfachte Vorlagen; Reduktion um ca. 64% der Datenpunkte.
DNSH-Kriterien (Do No Significant Harm) Strenge Prüfung aller Stoffe (z. B. Ozonabbau, RoHS, SVHC-Liste REACH) ohne Ausnahmen. Vereinfacht: Ausnahmen für bestimmte Stoffe klarer formuliert (z. B. Ozon, RoHS-Übergänge, SVHC ab 0,1% mit Dokumentation); REACH-Kandidatenliste gestrichen.
Anwendung Vollständig seit 2022/2024. Änderungen ab 2026, optional rückwirkend für 2025; teilweise Bericht über teilkonforme Tätigkeiten möglich.

Folgen für die Berichtspflicht

Die Pflicht zur Nachhaltigkeitsberichterstattung wird damit deutlich stärker auf große Unternehmen konzentriert. Viele Unternehmen, die nach früheren Vorgaben hätten berichten müssen, werden nach der Reform nicht mehr unmittelbar erfasst. Für die verbleibenden Adressaten soll der Berichtsumfang zugleich übersichtlicher und handhabbarer werden.

Auch bei den unternehmerischen Sorgfaltspflichten ist eine Abschwächung vorgesehen. Die neuen Regeln setzen stärker auf risikoorientierte Prüfungen und auf höhere Schwellenwerte, statt breite Lieferkettenprüfungen in gleicher Intensität zu verlangen. Außerdem verschiebt sich der Beginn einzelner Pflichten zeitlich nach hinten.

Die Anforderungen der europäischen Taxonomie-Verordnung werden ebenfalls reduziert. Sie dienen der einheitlichen Klassifizierung wirtschaftlicher Aktivitäten als ökologisch nachhaltig. Der Schwerpunkt liegt künftig stärker auf den größten Unternehmen, während der Meldeaufwand für andere Unternehmen sinken soll.

Auswirkungen Omnibus-I-Paket auf die Compliance

Für die Unternehmenscompliance entsteht zunächst ein Entlastungseffekt. Weniger Berichtspflichten bedeuten weniger Datensammlung, weniger Abstimmungsaufwand und einen geringeren Bedarf an externer Prüfung. Das ist vor allem für Unternehmen wichtig, die bisher viel Aufwand in Nachhaltigkeitsstrukturen investieren mussten.

Die Entlastung darf jedoch nicht mit einem Wegfall aller Pflichten verwechselt werden. Auch Unternehmen außerhalb des unmittelbaren Pflichtenkreises können weiterhin Nachhaltigkeitsdaten liefern müssen, etwa gegenüber Kunden, Kreditgebern oder Konzernunternehmen. In der Praxis verlagert sich der Druck daher häufig von der Regulierung auf die Geschäftsbeziehungen.

Für die Compliance-Funktion bleibt deshalb die Aufgabe bestehen, Zuständigkeiten, Datenqualität und Dokumentation belastbar zu organisieren. Gerade wenn weniger gesetzliche Einzelvorgaben gelten, werden interne Steuerung, klare Prozesse und nachvollziehbare Kontrollen wichtiger.

Insgesamt ist das Omnibus-I-Paket als Kurskorrektur zu bewerten. Die Europäische Union versucht, die Nachhaltigkeitsregulierung auf ein praktikableres Maß zurückzuführen, ohne den Grundsatz von Transparenz und Verantwortung aufzugeben.

Für Unternehmen ist jetzt entscheidend, die neuen Schwellenwerte, Fristen und Restpflichten genau zu prüfen. Wer seine Compliance-Strukturen anpasst, sollte nicht nur auf die formale Berichtspflicht schauen, sondern auch auf die Anforderungen aus Lieferketten, Finanzierung und Vertrieb.

Die zentrale Botschaft lautet daher: weniger Pflicht, aber nicht weniger Sorgfalt. Nachhaltigkeits-Compliance bleibt ein Thema, nur mit engerem gesetzlichem Zuschnitt und stärkerem Fokus auf die tatsächlich relevanten Risiken.

Sicherheitsbeauftragter

Neue Regeln zu Sicherheitsbeauftragten: Weniger Pflichten, mehr Eigenverantwortung?

Der Deutsche Bundestag hat am 26. März 2026 eine weitreichende Änderung des Siebten Buches Sozialgesetzbuch (§ 22 SGB VII) beschlossen, die den betrieblichen Arbeitsschutz in Deutschland grundlegend neu ordnet. Kernpunkt der Reform ist die deutliche Anhebung des Schwellenwerts für die verpflichtende Bestellung von Sicherheitsbeauftragten. Während bislang Betriebe bereits ab 20 regelmäßig Beschäftigten eine solche Position besetzen mussten, greift diese pauschale Pflicht künftig erst ab einer Schwelle von 50 Mitarbeitern.

Diese Entscheidung folgt einer Initiative der Bundesregierung zur Entbürokratisierung und soll Unternehmen schätzungsweise 135 Millionen Euro pro Jahr an Verwaltungs- und Schulungskosten einsparen. Nach Angaben des Bundesministeriums für Arbeit und Soziales könnten durch die Neuregelung rund 123.000 bisherige Posten für Sicherheitsbeauftragte entfallen. Für Unternehmen in der Größenklasse zwischen 20 und 49 Beschäftigten gilt nun ein risikobasierter Ansatz: Eine Bestellung ist nur noch dann zwingend erforderlich, wenn die Gefährdungsbeurteilung nach § 5 Arbeitsschutzgesetz besondere Risiken aufzeigt oder die Unfallversicherungsträger dies in ihren Unfallverhütungsvorschriften explizit vorschreiben.

Die Argumente der Befürworter: Flexibilität statt Formularwesen

Wirtschaftsverbände und Handwerkskammern begrüßen die Reform als längst überfälligen Schritt zur Entlastung kleiner und mittelständischer Unternehmen (KMU), weil die starre 20-Personen-Grenze in modernen Büroumgebungen oder im Dienstleistungssektor oft nicht mehr der realen Gefahrenlage entsprochen habe. Durch weniger pauschale Pflicht erhielten Betriebe mehr organisatorische Freiheit. Die Befürworter betonen, dass die unternehmerische Verantwortung für die Sicherheit der Mitarbeiter unberührt bleibe, da die allgemeine Pflicht zur Gefährdungsbeurteilung weiterhin bestehe. Zudem sichere die risikoorientierte Lösung für Betriebe bis 50 Personen ab, dass in Branchen mit hohem Unfallrisiko – etwa im Baugewerbe – weiterhin Fachpersonal vor Ort präsent bleibt.

Ein gefährliches Spiel mit der Prävention?

Kritiker und Arbeitsschutzexperten sehen in der Neuregelung hingegen eine Aufweichung bewährter Sicherheitsstandards. Sicherheitsbeauftragte seien gerade deshalb so wertvoll, weil sie eben keine externen Berater, sondern Kollegen vor Ort sind. Sie fungieren als “Augen und Ohren” der Prävention im Alltag. Durch die Anhebung des Schwellenwerts werde der Arbeitsschutz in zehntausenden Betrieben von einer gelebten, personengebundenen Struktur in eine rein dokumentationsbasierte Pflicht (die Gefährdungsbeurteilung) überführt.

Das Gesetz wird voraussichtlich Ende Mai 2026 nach der Zustimmung des Bundesrates in Kraft treten. Während die Politik von einem “Befreiungsschlag gegen die Bürokratie” spricht, bleibt abzuwarten, ob die Unfallzahlen in kleineren Betrieben stabil bleiben.

Die Umkehr der Beweislast in der Compliance-Praxis

Die praktische Umsetzung der Neuregelung stellt Unternehmen vor eine paradoxe Herausforderung: Während die administrative Last der offiziellen Bestellung sinkt, steigen die Anforderungen an die rechtssichere Dokumentation und die interne Compliance-Struktur deutlich an.

Bisher galt die Bestellung eines Sicherheitsbeauftragten ab 20 Mitarbeitern als klarer “Safe Harbor”. Unternehmen konnten durch die bloße Ernennung und Schulung eine zentrale gesetzliche Anforderung leicht nachweisen. Mit dem neuen risikobasierten Ansatz für Betriebe bis 50 Beschäftigte verschiebt sich der Fokus von der formalen Pflicht zur inhaltlichen Rechtfertigung. In der Praxis bedeutet dies: Verzichtet ein Unternehmen künftig auf einen Beauftragten, muss die Gefährdungsbeurteilung so detailliert und fachlich fundiert sein, dass sie einer Prüfung durch die Berufsgenossenschaft oder im Falle eines Unfalls sogar einer staatsanwaltschaftlichen Ermittlung standhält.

Die Compliance-Abteilungen müssen daher neue Prüfprozesse implementieren. Es reicht nicht mehr aus, eine Mitarbeiterliste zu prüfen; es muss kontinuierlich evaluiert werden, ob sich die Risikoprofile im Betrieb ändern – etwa durch die Einführung neuer Maschinen, Chemikalien oder veränderter Arbeitsabläufe. Jede dieser Änderungen könnte die Schwelle zur Bestellungspflicht erneut überschreiten, was eine dynamische Überwachung der Gefährdungslage erfordert.

AWG-Novelle

Gamechanger für Compliance: Die neue Strafschärfe im Außenwirtschaftsgesetz

Die AWGNovelle 2026 verschärft das deutsche Sanktionsstrafrecht grundlegend. Zahlreiche Verstöße gegen EURestriktionen gelten nun als Straftaten, auch bei grober Fahrlässigkeit. Unternehmen müssen Sanktionslisten in Echtzeit prüfen und ihre ComplianceSysteme nachweisbar aufrüsten – andernfalls drohen erhebliche Bußgelder, auch persönlich bei der Geschäftsleitung und strafrechtliche Sanktionen.

Die AWG-Novelle 2026 (Gesetz zur Anpassung von Straftatbeständen und Sanktionen bei Verstößen gegen restriktive Maßnahmen der EU) markiert eine Zäsur im deutschen Außenwirtschaftsrecht. Durch die Umsetzung der EU-Richtlinie 2024/1226 wurde das Sanktionsstrafrecht massiv verschärft. Seit dem Inkrafttreten am 5. Februar 2026 stehen Geschäftsführer und Unternehmen unter einem beispiellosen Compliance-Druck.

AWG-Novelle: Von der Ordnungswidrigkeit zur Straftat

Die Reform transformiert zahlreiche Tatbestände, die bisher lediglich als Ordnungswidrigkeiten (Bußgelder) geahndet wurden, in vollwertige Straftatbestände.

  • Kriminalisierung von Finanz- und Transaktionsverboten: Verstöße gegen Bereitstellungsverbote, Investitionsverbote oder das Erbringen bestimmter Dienstleistungen (z. B. Rechtsberatung oder IT-Services für sanktionierte Einheiten) sind nun gemäß § 18 AWG n.F. grundsätzlich Straftaten.
  • Strafbarkeit von Leichtfertigkeit: Erstmals werden auch leichtfertige (grob fahrlässige) Verstöße im Bereich der Dual-Use-Güter sowie bestimmte Umgehungstatbestände unter Strafe gestellt (§ 18 Abs. 8a AWG). Bisher war hier meist Vorsatz für eine strafrechtliche Verfolgung nötig.
  • Wegfall der 2-Tage-Karenzzeit: Die bisherige „Schonfrist“, nach der Verstöße gegen neue EU-Sanktionslisten in den ersten zwei Tagen oft straffrei blieben (§ 18 Abs. 11 AWG a.F.), wurde ersatzlos gestrichen. Unternehmen müssen Listenänderungen nun unverzüglich (Echtzeit-Anforderung) umsetzen.

Haftungsrisiken für Geschäftsführer und Management

Für die Leitungsorgane verschiebt sich das Risiko von reinen Bußgeldern hin zu persönlichen strafrechtlichen Konsequenzen.

Strafmaß und persönliche Folgen

  • Freiheitsstrafen: Der reguläre Strafrahmen für vorsätzliche Verstöße liegt bei drei Monaten bis zu fünf Jahren. In besonders schweren Fällen (§ 18 Abs. 6a AWG), etwa bei organisierter Verschleierung oder bandenmäßiger Umgehung, drohen bis zu 10 Jahre Haft.
  • Garantenstellung: Geschäftsführer begehen nach § 130 OWiG eine Ordnungswidrigkeit, wenn sie es unterlassen, ein angemessenes Compliance-System (ICP – Internal Compliance Program) einzurichten. Das Bußgeld kann dabei bis zu einer Million Euro betragen.
  • Berufsverbot: Eine strafrechtliche Verurteilung wegen AWG-Verstößen führt in der Regel zur Unzuverlässigkeit im Sinne der Gewerbeordnung und kann ein dauerhaftes Berufsverbot als Geschäftsführer nach sich ziehen.

Sanktionen gegen das Unternehmen

Die wirtschaftlichen Folgen für juristische Personen wurden vervierfacht:

Aspekt Alte Rechtslage (vor 2026) Neue Rechtslage (ab Feb. 2026)
Max. Bußgeld 10 Mio. EUR 40 Mio. EUR (§ 19 Abs. 7 AWG)
Umsatzbezug Kaum verankert Orientierung am weltweiten Konzernumsatz möglich
Einziehung Taterträge (Brutto-Prinzip) Verschärfte Abschöpfung aller Gewinne

Zusätzlich droht die Anteilspflegschaft (§§ 6b ff. AWG): Das Gericht kann bei schwerwiegenden Verstößen einen staatlichen Aufseher einsetzen, der Stimmrechte übernimmt und den Einfluss der Gesellschafter faktisch ausschaltet.

Auswirkungen der AWG‑Novelle 2026 auf die Unternehmenscompliance

Die Novelle erzwingt ein „Upgrade“ bestehender Systeme. Ein „Papiertiger-Compliance-Handbuch“ reicht nicht mehr aus.

  • Echtzeit-Screening: Da die Karenzzeit entfallen ist, müssen IT-Systeme Sanktionslisten-Updates (z. B. EU Financial Sanctions Database) automatisiert und unmittelbar verarbeiten.
  • Erweiterte Due Diligence: Die Neufassung des Umgehungsverbots (§ 18 Abs. 1 Nr. 3 AWG) verlangt eine tiefere Prüfung der „wirtschaftlich Berechtigten“ (Ultimate Beneficial Owner – UBO). Wer „die Augen verschließt“, handelt bereits leichtfertig und damit strafbar.
  • Dokumentationspflichten: Angesichts der Beweislastumkehr-Tendenzen in der Praxis müssen Freigabeprozesse (End-Use-Statements) revisionssicher dokumentiert werden, um den Entlastungsbeweis im Ermittlungsfall führen zu können.
NIS-2

NIS-2-Frist abgelaufen: Wenn Cybersicherheit zur Existenzfrage wird

März 2026 – für Tausende deutsche Unternehmen hat in diesen Tagen die Stunde der Wahrheit geschlagen. Mit dem Ablauf der dreimonatigen Registrierungsfrist am 6. März 2026 ist das NIS-2 Umsetzungsgesetz (NIS2UmsuCG) bei besonders wichtigen Einrichtungen endgültig im Unternehmensalltag angekommen. Was viele Entscheider lange als “weiteres IT-Thema” abgetan haben, beweist sich nun als scharfes Schwert der Regulierungsbehörden.

Wer die Anmeldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) versäumt hat oder die geforderten Sicherheitsmaßnahmen ignoriert, steht nicht mehr nur mit einem Bein im Bußgeld-Sumpf, sondern riskiert im schlimmsten Fall sogar die persönliche Haftung mit dem Privatvermögen.

Der Status Quo: Die Schonfrist bei NIS-2 ist vorbei

Seit das Gesetz am 6. Dezember 2025 in Kraft getreten ist, waren schätzungsweise 30.000 Unternehmen in Deutschland aufgerufen, ihren Status zu prüfen. Betroffen sind nicht mehr nur klassische KRITIS-Betreiber wie Kraftwerke oder Wasserwerke, sondern ein breites Spektrum des Mittelstands: von der Lebensmittelproduktion über die Abfallwirtschaft bis hin zu Herstellern von Chemikalien oder Maschinen.

Fakten der NIS-2 Regulierung

  • Schwellenwerte: Meist ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz (sofern das Unternehmen in einem der von NIS‑2 erfassten Sektoren tätig ist)
  • Registrierungspflicht: Abgelaufen am 6. März 2026. Seit 7. März drohen bei fehlender Registrierung Bußgelder und aufsichtsrechtliche Maßnahmen.
  • Meldepflichten: Bereits seit Dezember 2025 aktiv (24-Stunden-Frist bei Vorfällen).

Die neue Zeit der Geschäftsführerhaftung

Das Kernstück des neuen Cybersicherheitsrechts ist der § 38 BSIG. Er markiert das Ende der Zeit, in der Vorstände die IT-Sicherheit einfach an den “Admin” delegieren konnten, sofern es sich um besonders wichtige oder wichtige Einrichtungen handelt.

  1. Überwachungs- und Billigungspflicht

Die Geschäftsleitung darf Sicherheitsmaßnahmen nicht nur abnicken; sie muss ein Risikomanagementsystem einrichten und dieses überwachen. Das bedeutet: Ein Geschäftsführer muss verstehen, welche Risiken bestehen und wie die Abwehrmaßnahmen funktionieren.

  1. Schulungspflicht

Neu ist auch, dass das Gesetz ausdrücklich auf Kompetenzen und Schulungen der Leitungsorgane abstellt. Wer im Falle eines Hacks nicht nachweisen kann, dass er sich fachlich fit gehalten hat, liefert die Begründung für den Vorwurf der groben Fahrlässigkeit gleich mit.

  1. Haftung mit dem Privatvermögen

Bei Pflichtverletzungen – etwa wenn notwendige Budgets für Cyber-Resilienz verweigert wurden – erhöhen sich die Risiken einer persönlichen Inanspruchnahme mit dem Privatvermögen erheblich, insbesondere bei grober Fahrlässigkeit.

Wichtig: In vielen D&O‑Policen kann die Versicherung gegen Compliance‑Verstöße bei grober Fahrlässigkeit eingeschränkt oder ausgeschlossen sein – prüfen Sie hier unbedingt die individuelle Police!

Ein Bußgeldkatalog NIS-2

Das BSI hat nun Befugnisse, die man sonst nur von der Kartellbehörde oder dem Datenschutz (DSGVO) kennt. Die Bußgelder sind existenzbedrohend dimensioniert:

Kategorie Bußgeld-Obergrenze
Besonders wichtige Einrichtungen Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Hinweis: Es wird immer der jeweils höhere Betrag herangezogen.

Was jetzt sofort zu tun ist

Wenn Ihr Unternehmen die Frist zum 6. März verpasst hat, zählt jede Stunde, um das Haftungsrisiko zu begrenzen.

  1. Nachregistrierung: Holen Sie die Anmeldung im BSI-Meldeportal unverzüglich nach. Eine verspätete Meldung ist besser als gar keine, um “aktive Reue” zu zeigen.
  2. Gap-Analyse: Führen Sie eine Bestandsaufnahme nach dem Stand der Technik durch. Wo fehlen MFA (Multi-Faktor-Authentifizierung), Verschlüsselung oder Backup-Konzepte?
  3. Lieferkette prüfen: NIS-2 verpflichtet Sie, auch die Sicherheit Ihrer Zulieferer zu überwachen. Ein schwaches Glied in der Kette kann Ihr gesamtes Compliance-Kartenhaus zum Einsturz bringen.
  4. Schulungsnachweis: Buchen Sie zeitnah die gesetzlich geforderten Security-Awareness-Schulungen für das Management.

Die Zeit der Warnungen ist im März 2026 offiziell vorbei. Cybersicherheit ist keine IT-Kostenstelle mehr, sondern eine zentrale Überlebensstrategie für Unternehmen und ihre Führungskräfte.

Checkliste: Technische & organisatorische Maßnahmen (TOM) nach NIS-2

Diese Checkliste orientiert sich am aktuellen Stand der Technik und den spezifischen Anforderungen des NIS2UmsuCG (insbesondere § 30 ff. BSIG-neu).

Diese Liste dient als Fahrplan für die Geschäftsführung und die IT-Abteilung, um die geforderte “Risikomanagement-Compliance” nachzuweisen.

  1. Basishygiene & Zugriffskontrolle
  • [ ] Multi-Faktor-Authentifizierung (MFA): Ist MFA für alle Fernzugriffe (VPN), Cloud-Dienste (M365/Google) und privilegierte Administrator-Accounts zwingend vorgeschrieben? (Standard-Passwörter sind 2026 ein Haftungsgrund).
  • [ ] Identity & Access Management (IAM): Werden Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben und bei Mitarbeiterwechseln/Austritt sofort entzogen?
  • [ ] Passwort-Management: Einsatz eines unternehmensweiten Passwort-Managers für Endanwender.
  1. Infrastruktur & Ausfallschutz (Business Continuity)
  • [ ] Backup-Strategie (3-2-1-Regel): Existieren mindestens drei Kopien auf zwei verschiedenen Medien, wovon eine unveränderbar (Immutable Backup) oder offline (Air-Gapped) gespeichert ist?
  • [ ] Wiederherstellungstests: Wurde das Backup im letzten Halbjahr erfolgreich testweise zurückgespielt? (Nur ein getestetes Backup ist ein Backup).
  • [ ] Notfallplan (Disaster Recovery): Gibt es ein physisches oder offline verfügbares Dokument, das regelt, wer bei einem Totalausfall der IT was zu tun hat?
  1. Detektion & Reaktion
  • [ ] Logging & Monitoring: Werden sicherheitsrelevante Ereignisse protokolliert und (idealerweise automatisiert) ausgewertet?
  • [ ] Incident Response Plan: Gibt es definierte Prozesse für die 24-Stunden-Meldung an das BSI bei erheblichen Sicherheitsvorfällen?
  • [ ] Vulnerability Management: Werden Systeme regelmäßig auf Schwachstellen gescannt und kritische Patches innerhalb von maximal 72 Stunden eingespielt?
  1. Sicherheit in der Lieferkette (Supply Chain)
  • [ ] Dienstleister-Audits: Haben Sie von Ihren kritischen IT-Dienstleistern und Zulieferern schriftliche Bestätigungen oder Zertifikate (z. B. ISO 27001 oder TISAX) über deren Sicherheitsniveau vorliegen?
  • [ ] Vertragsgestaltung: Enthalten neue Verträge Klauseln zur Informationspflicht bei Sicherheitsvorfällen auf Seiten des Dienstleisters?
  1. Kryptografie & Kommunikation
  • [ ] Verschlüsselung: Sind Daten sowohl “at rest” (auf Festplatten/Servern) als auch “in transit” (E-Mail, Dateitransfer) nach aktuellem Standard verschlüsselt?
  • [ ] Sichere Kommunikation: Nutzen Sie für die interne Krisenkommunikation einen Kanal, der unabhängig von der restlichen IT-Infrastruktur funktioniert (z. B. Signal, Threema Work)?
  1. Faktor Mensch (Compliance-Anker)
  • [ ] Security Awareness: Wurden alle Mitarbeiter im letzten Jahr nachweislich geschult (z. B. Phishing-Simulationen)?
  • [ ] Management-Schulung: Kann die Geschäftsführung ein Zertifikat über die spezifische NIS-2-Leitungsschulung vorweisen? (Essenziell für die Exkulpation bei Haftungsfragen).

Tipp für die Dokumentation

Erstellen Sie ein “NIS-2 Compliance-Dossier”. Im Falle einer Prüfung durch das BSI oder bei einem Haftungsstreit müssen Sie proaktiv nachweisen können, dass Sie diese Punkte bearbeitet haben. “Wir haben es gemacht” reicht nicht – “Hier ist das Protokoll vom [Datum]” ist die einzige wirksame Verteidigung.

Gefahrstoffverordnung

Reform der Gefahrstoffverordnung: Neue Genehmigungspflichten bei Asbest

Durch die Umsetzung der EU-Richtlinie 2023/2668 wurde die deutsche Gefahrstoffverordnung (GefStoffV) zum 21. Dezember 2025 angepasst. Während die große Reform bereits Ende 2024 stattfand, bringen diese neuen Ergänzungen insbesondere für das Ausbaugewerbe zusätzliche bürokratische Hürden mit sich.

Die wichtigsten Änderungen der Gefahrstoffverordnung im Überblick

  • Erweiterte Genehmigungspflicht: Ab sofort benötigen Betriebe auch für Abbrucharbeiten im Bereich des niedrigen und mittleren Risikos eine offizielle Genehmigung. Bisher war dies primär dem Hochrisikobereich vorbehalten.
  • Kopplung an die Unternehmensanzeige: Die Genehmigung wird im Rahmen der sogenannten unternehmensbezogenen Anzeige erteilt. Betriebe, die bereits eine Zulassung für Hochrisiko-Arbeiten besitzen, sind von der neuen Genehmigungspflicht befreit, da ihre bestehende Erlaubnis diese Tätigkeiten abdeckt.
  • Genehmigungsfiktion (4-Wochen-Frist): Um Verzögerungen am Bau zu vermeiden, gilt ein Antrag nach vier Wochen automatisch als genehmigt, sofern die Behörde nicht widerspricht.
  • Verantwortung beim Arbeitgeber: Die Einstufung des Risikos liegt in der Verantwortung des Unternehmers. Fehleinschätzungen oder fehlende Genehmigungen können als Ordnungswidrigkeit mit Bußgeldern geahndet werden.

Verschärfte Anforderungen an die Dokumentation

Die unternehmensbezogene Anzeige, die in der Regel sechs Jahre gültig ist, erfordert nun detailliertere Angaben:

  1. Personalliste: Mitarbeiter müssen namentlich benannt werden.
  2. Nachweise: Qualifikationsbelege und Nachweise über die arbeitsmedizinische Vorsorge sind beizufügen.
  3. Aufsicht: Wie bei allen Asbest-Arbeiten muss eine sachkundige Person die Leitung vor Ort übernehmen.
  4. Expositionsverzeichnis: Daten über Mitarbeiter, die Asbest ausgesetzt waren, müssen zentral (z. B. in der ZED der DGUV) dokumentiert werden.

Ausblick: TRGS 519 und Definitionen

Ein kritischer Punkt bleibt die Abgrenzung zwischen Abbruch und Instandhaltung. Wirtschaftsverbände mahnen hier Klarheit an, damit Routinearbeiten (wie das Entfernen von Tapeten) nicht fälschlicherweise unter die strengen Genehmigungspflichten für Abbrucharbeiten fallen.

Eine Konkretisierung dieser Begriffe wird in der Neufassung der Technischen Regel TRGS 519 erwartet, die voraussichtlich im Sommer 2026 veröffentlicht wird. Bis dahin gilt eine Übergangsfrist von einem Jahr ab Verkündung der Verordnung für das Vorliegen der neuen Genehmigungen.

Auswirkungen auf die Unternehmenscompliance

Die Aktualisierungen der Gefahrstoffverordnung (GefStoffV) im Dezember 2025 haben weitreichende Konsequenzen für die Unternehmenscompliance. Es geht nicht mehr nur um Arbeitsschutz, sondern um ein komplexes Geflecht aus Genehmigungsverfahren, Dokumentationspflichten und Haftungsrisiken.

Informations- und Erkundungspflichten

Die Compliance-Verantwortung wird stärker zwischen Auftraggeber und Auftragnehmer aufgeteilt:

  • Für Bauherren/Veranlasser: Es besteht eine aktive Mitwirkungspflicht (§ 5a GefStoffV). Sie müssen alle Informationen zur Gebäudegeschichte offenlegen. Das Verschweigen von bekanntem Asbestverdacht kann zu Regressansprüchen führen.
  • Für Betriebe: Die bloße Nachfrage reicht nicht. Wenn Informationen fehlen, hat der Arbeitgeber eine Erkundungspflicht. Er muss im Zweifel Proben entnehmen lassen, bevor die Arbeit beginnt.

Sanktionsrisiken (Bußgelder & Strafrecht)

Verstöße gegen die neuen Regeln sind keine Kavaliersdelikte:

  • Bußgelder: Formale Fehler (falsche Anzeige, fehlende Genehmigung, mangelhafte Unterweisung) können mit Bußgeldern bis zu 50.000 € geahndet werden.
  • Strafrecht: Der unsachgemäße Umgang mit Asbest oder die illegale Entsorgung erfüllen oft Straftatbestände (§ 326 StGB – unerlaubter Umgang mit gefährlichen Abfällen), die mit Freiheitsstrafen bedroht sind.
  • Baustopp: Behörden können Baustellen bei Compliance-Verstößen sofort stilllegen, was zu massiven Schadensersatzforderungen durch Verzögerungen führt.

Compliance-Checkliste

Bereich Anforderung (Update 2025/2026)
Planung 4-Wochen-Frist für Genehmigungsfiktion einplanen.
Personal Fachkunde-Nachweise für alle Beteiligten sicherstellen (Übergangsfrist beachten).
Anzeige Namentliche Liste der Beschäftigten und Vorsorgenachweise beifügen.
Verträge Mitwirkungspflicht des Bauherrn explizit in AGB/Verträgen verankern.
Lieferkettengesetz

EU schränkt die Lieferkettenrichtlinie massiv ein

Brüssel hat die Corporate Sustainability Due Diligence Directive (CSDDD/Lieferkettenrichtlinie) entschärft, noch bevor das Gesetz offiziell in Kraft tritt. Sie reagiert mit dieser Kehrtwende auf Forderungen aus der Wirtschaft.

Drastische Reduzierung der Betroffenen

Die ursprüngliche Planung sah vor, dass die CSDDD ab 2027 schrittweise in nationales Recht umgesetzt wird. Damit sollte eine breite Basis der Unternehmen zur Rechenschaft für ihre Wertschöpfungsketten gezogen werden. Die finalen Abstimmungen im Dezember 2025 führten jedoch zu einer grundlegenden Neuausrichtung:

  • Höhere Schwellenwerte: Das Gesetz gilt künftig nur noch für sehr große Konzerne. Die Untergrenze wurde massiv auf mindestens 5.000 Mitarbeitende und 1,5 Milliarden Euro Jahresumsatz angehoben.
  • Ausnahme für den Mittelstand: Durch die neue Regelung ist der Großteil der mittelständischen Wirtschaft Europas von der Regulierung ausgenommen.

Auch essenzielle Bestandteile wie eine obligatorische jährliche Nachhaltigkeitsberichterstattung sowie die zivilrechtliche Haftung bei Verstößen wurden gestrichen oder stark reduziert. Das Ergebnis ist ein im Vergleich zum ursprünglichen Entwurf deutlich entschärfter Gesetzestext.

Der Kreis der verpflichteten Unternehmen schrumpft damit auf wenige hundert Konzerne. Die Kriterien gelten für in der EU ansässige Unternehmen sowie für ausländische Konzerne, die signifikante Geschäftstätigkeit im europäischen Binnenmarkt ausüben. Kleinere und mittlere Unternehmen fallen heraus, es sei denn, sie gehören zu einem Konzern, der die oben genannten Grenzen überschreitet.

Warum die Kehrtwende?

Die Europäische Kommission begründet diesen Schritt mit Bürokratieabbau. Die hohen Anforderungen an Berichterstattung, Audits und Dokumentationspflichten wurden von vielen Mitgliedsstaaten und Wirtschaftsverbänden als massiver Wettbewerbsnachteil im internationalen Geschäft kritisiert. Argumentiert wurde, die strengen Regeln seien nur mit unverhältnismäßig hohen Zusatzkosten umzusetzen. Die Wende ist aber auch eine politische Kurskorrektur und berücksichtigt die wirtschaftlichen Interessen der EU-Staaten.

Die Überarbeitung führt zu einer deutlichen Verzögerung. Die Umsetzung in nationales Recht wird nun realistisch 2028 oder 2029 erwartet – deutlich später als die ursprünglich anvisierte Frist 2027.

Was bedeutet das für deutsche Unternehmen?

Das deutsche Lieferketten­sorgfalts­pflichten­gesetz (LkSG) ist bereits am 1. Januar 2023 in Kraft getreten. Damit wird seither die unternehmerische Verantwortung für die Einhaltung von Menschenrechten und den Schutz der Umwelt in Lieferketten geregelt.

Entsprechend den Vorgaben des aktuellen Koalitionsvertrages von CDU, CSU und SPD wird die Bundesregierung „das LkSG durch ein Gesetz über die internationale Unternehmensverantwortung, das die CSDDD in nationales Recht überführt, nahtlos ersetzen. In der Übergangszeit wird das LkSG angepasst, um administrative Lasten für Unternehmen zu begrenzen und die Anwendungs- und Vollzugsfreundlichkeit zu erhöhen“, ist auf bmas.de nachzulesen. Am 3. September 2025 hat das Bundeskabinett bereits das „Gesetz zur Änderung des Lieferkettensorgfaltspflichtengesetzes – Entlastung der Unternehmen durch anwendungs- und vollzugsfreundliche Umsetzung“ auf den Weg gebracht. Bis das CSDDD in Deutschland in nationales Recht umgesetzt ist, gilt das LkSG.

Solinger Messer

Europa schützt sein Handwerk: Start des EU-Registers für regionale Industrieprodukte

Mit dem Inkrafttreten der Verordnung (EU) 2023/2411 des Europäischen Parlaments und des Rates wird das europäische Schutzsystem für geistiges Eigentum erweitert. Seit 1. Dezember 2025 können Hersteller handwerklicher und industrieller Erzeugnisse einen EU-weit durchsetzbaren Schutz ihrer geografischen Angaben (g.A.) beantragen. Diese Neuerung, die ikonische Produkte wie Solinger Messer oder Glashütter Uhren betrifft, stellt Unternehmen vor neue Herausforderungen und Chancen in puncto Markenstrategie und Compliance.

Rechtliche Grundlage und Schutzobjekte

Die Verordnung führt ein einheitliches Schutzsystem ein, das analog zu den bereits etablierten g.A.-Regelungen für Agrarprodukte funktioniert. Der Schutz zielt auf nicht-landwirtschaftliche Erzeugnisse ab, deren Qualität, Ruf oder sonstige Eigenschaften wesentlich auf ihren geografischen Ursprung zurückzuführen sind. Der Schutz greift, wenn mindestens einer der Produktionsschritte im abgegrenzten geografischen Gebiet erfolgt.

Ziel ist die Schaffung eines kollektiven Schutzrechtes, das die geschützte Bezeichnung gegen eine widerrechtliche Nutzung in der gesamten Union – einschließlich irreführender Andeutungen (“im Stil von…“) und unlauterer Nachahmung (Usurpation) – schützt.

Das zweistufige Registrierungsverfahren

Das Verfahren zur Eintragung ist bewusst zweistufig konzipiert, um die regionale Verankerung und die Konsistenz mit nationalen Rechtsordnungen zu gewährleisten:

  1. Nationale Ebene (Deutschland: DPMA): Eine Erzeugergemeinschaft muss zunächst bei der zuständigen nationalen Behörde (in Deutschland: das Deutsche Patent- und Markenamt, DPMA) einen Antrag einreichen. Entscheidend ist hier die Ausarbeitung und Validierung einer präzisen Produktspezifikation. Diese muss die Verbindung des Produkts zum geografischen Gebiet detailliert darlegen, einschließlich der verwendeten Rohstoffe, des Herstellungsverfahrens und der relevanten regionalen Kompetenzen.
  2. EU-Ebene (EUIPO): Nach erfolgreicher nationaler Prüfung und dem Abschluss eines nationalen Einspruchsverfahrens wird der Antrag an das Amt der Europäischen Union für geistiges Eigentum (EUIPO) weitergeleitet. Das EUIPO führt das unionsweite Prüf- und Einspruchsverfahren durch und entscheidet über die Aufnahme in das Unionsregister für nicht-landwirtschaftliche g.A.

Erhöhte Compliance-Anforderungen

Die Verordnung stellt erhöhte Anforderungen an die Unternehmenscompliance, die über traditionelles Markenrecht hinausgehen:

1. Compliance für g.A.-Inhaber (Erzeugergemeinschaften)

Die wichtigste Compliance-Pflicht für registrierte Erzeuger ist die permanente und nachweisbare Einhaltung der hinterlegten Produktspezifikation. Dies beinhaltet:

  • Lückenlose Dokumentation: Aufzeichnungen über Herkunft, Produktion und Konformität
  • Kontrollmechanismen: Die Verordnung schreibt die Einrichtung von Kontrollsystemen vor. Die zuständigen Behörden führen Überprüfungen durch, deren Kosten in der Regel über Kontrollgebühren gedeckt werden.
  • Periodische Konformitätserklärung: Erzeuger müssen in regelmäßigen Abständen eine Eigenerklärung über die Einhaltung der Spezifikation bei der nationalen Behörde hinterlegen.

2. Compliance für Dritte und Marktteilnehmer

Für Wettbewerber, Händler und Online-Plattformen bedeutet das neue Register eine massive Ausweitung der Recherche- und Sorgfaltspflicht:

  • Risikominimierung durch Recherche: Unternehmen sind angehalten, proaktiv das neue Unionsregister zu konsultieren, um sicherzustellen, dass Produktnamen, Marketingtexte und Kennzeichnungen keine geschützten g.A. verletzen.
  • Verbot irreführender Marketingpraktiken: Das Verbot erstreckt sich explizit auf die Verwendung von Bezeichnungen, die auch nur assoziativ auf die geschützte g.A. hindeuten könnten, ohne dass das Produkt die Standards erfüllt.
  • Haftungsrisiko: Bei Verstößen drohen Unterlassungs- und Schadensersatzansprüche der Erzeugergemeinschaft. Darüber hinaus können die nationalen Marktüberwachungsbehörden Verwaltungsstrafen (Bußgelder) verhängen und die Produkte aus dem Verkehr ziehen lassen.

Die Einführung des g.A.-Schutzes für handwerkliche und industrielle Erzeugnisse ist ein bedeutender Schritt zur Stärkung des europäischen immateriellen Kulturerbes. Sie bietet regionalen Herstellern ein starkes Instrument im globalen Wettbewerb und gegen Produktpiraterie. Gleichzeitig verschärft sie die Anforderungen an die Intellectual Property (IP) Compliance für alle Marktteilnehmer und erfordert eine frühzeitige Anpassung der internen Überwachungs- und Risikomanagementsysteme.

Gewerbeabfallverordnung

Neue Gewerbeabfallverordnung – was ist der Stand der Dinge?

Die Novelle der Gewerbeabfallverordnung (GewAbfV), die zum 1. Juli 2026 in Kraft treten soll, bringt wichtige Änderungen mit sich, durch die die Abfallbewirtschaftung in Deutschland moderner, stringenter und vollzugstauglicher gestaltet werden soll. Allerdings stockt der Gesetzgebungsprozess aktuell im Bundesrat, weil es dort Zweifel gibt, ob die neuen Regeln überhaupt praktikabel und umsetzbar sind. Dennoch sollten Unternehmen die geplanten Neuerungen frühzeitig kennen und sich auf die Umstellungen vorbereiten, damit sie die Anforderungen rechtzeitig erfüllen können.

Die Novelle umfasst eine Mischung aus Präzisierung bestehender Regeln und Einführung neuer Pflichten zur Förderung eines ressourcenschonenden Umgangs mit gewerblichen Abfällen.

Wichtige Änderungen für Unternehmen

Die Novelle bringt konkret folgende Neuerungen:

  • Unternehmen müssen ihre Abfälle detaillierter und nach Abfallarten getrennt sammeln und dokumentieren.
  • Für nicht gefährliche asbesthaltige Abfälle gelten künftig besondere Getrenntsammlungspflichten.
  • Es wird eine Kennzeichnungspflicht für alle Sammelbehälter eingeführt.
  • Betreiber von Anlagen zur energetischen Verwertung sind erstmals umfassend in die Verordnung eingebunden und müssen stichprobenartige Kontrollen ihrer angelieferten Abfälle ermöglichen.
  • Die Definition möglicher Ausnahmen bei der Getrenntsammlung wird enger gefasst. Zum Beispiel gilt eine Abfallfraktion mit weniger als fünf Kilogramm wöchentlich als wirtschaftlich nicht zumutbar getrennt zu sammeln.
  • Die Dokumentationspflichten werden vereinheitlicht und teils elektronisch unterstützt.
  • Die Beweislast für die Einhaltung der Getrenntsammlung liegt klar beim Erzeuger und Besitzer der Abfälle.

Bedeutung für die Praxis und Herausforderungen

Die geplanten Veränderungen sollen für mehr Transparenz und Nachvollziehbarkeit in der Abfallwirtschaft sorgen, bringen aber für viele Betriebe auch mehr Bürokratie und Aufwand mit sich. Insbesondere die strengere Getrenntsammlung und umfangreiche Dokumentationspflichten werden den betrieblichen Aufwand erhöhen. Kritiker bemängeln, dass manche Regelungen als nicht praxistauglich gelten und den Unternehmen zusätzlichen Verwaltungsaufwand bescheren, ohne dass dies sofort zu spürbaren Verbesserungen bei der Kreislaufwirtschaft führt.

Was bedeutet die geplante Novelle für die Compliance?

Die Novelle der Gewerbeabfallverordnung bringt für die Unternehmenscompliance erhebliche Veränderungen mit sich, die Firmen unbedingt beachten und umsetzen sollten, um gesetzeskonform zu bleiben und Bußgelder zu vermeiden.

Was Unternehmen jetzt im Sinne der Compliance tun sollten

  • Überprüfung und Anpassung des betrieblichen Abfallmanagements hin zu konsequenter Getrenntsammlung und sortenreiner Vorbehandlung.
  • Einrichtung eines verlässlichen Systems zur umfassenden Dokumentation aller Abfallströme mit zeitnaher Archivierung.
  • Schulung von Mitarbeitern im Umgang mit den neuen Pflichten und der richtigen Abfalltrennung.
  • Vorbereitung auf behördliche Kontrollen durch regelmäßige interne Audits zur Einhaltung der Vorgaben.
  • Implementierung von Kennzeichnungssystemen für Sammelbehälter nach Art der Abfälle.
  • Kooperation mit Entsorgungsfachbetrieben, die ebenfalls die neuen Anforderungen erfüllen.

Die Novelle führt damit zu einem höheren Compliance-Standard in der Abfallbewirtschaftung, der alle Gewerbebetriebe betrifft. Eine frühzeitige Umsetzung ist ratsam, da die Verordnung verbindlich werden und verstärkt kontrolliert wird, um die angestrebten Verbesserungen in der Kreislaufwirtschaft zu erzielen. Unternehmen, die proaktiv handeln, sichern sich Wettbewerbsvorteile und vermeiden rechtliche Sanktionen.

Wenn Sie die gesetzlichen Änderungen im Blick behalten wollen, sprechen Sie uns auf ein individuelles Rechtskataster an.

Lieferkettengesetz

EU-Lieferkettengesetz: Kompromiss geplatzt – Was bedeutet das für Unternehmen?

Der geplante Kompromiss zur Abschwächung der EU-Lieferkettenrichtlinie (CSDDD) ist im Oktober 2025 im Europäischen Parlament überraschend gescheitert. Eine knappe Mehrheit der Abgeordneten lehnte es ab, die zuvor vom Rechtsausschuss ausgehandelten Änderungen anzunehmen und in die sogenannten Trilog-Verhandlungen mit den EU-Staaten zu gehen.

Das EU-Lieferkettengesetz soll Unternehmen zur Einhaltung menschenrechtlicher und ökologischer Sorgfaltspflicht in ihren gesamten Lieferketten verpflichten. Der nun gescheiterte Kompromiss sah unter anderem eine deutliche Anhebung der Schwellenwerte für betroffene Unternehmen vor – nur noch sehr große Konzerne (z. B. ab 5.000 Mitarbeitern und 1,5 Mrd. Euro Umsatz) wären erfasst worden. Diese geplante Entlastung von Bürokratie und eine geringere zivilrechtliche Haftung auf EU-Ebene fanden im Parlament keine Mehrheit, da viele Abgeordnete die Richtlinie dadurch als zu stark verwässert ansahen.

Hintergrund des Kompromisses

Die EU-Mitgliedstaaten und Teile der Wirtschaft, insbesondere in Deutschland, drängten auf eine Vereinfachung und eine Reduzierung der Bürokratielasten für Unternehmen. Ein im Rechtsausschuss (JURI) des EU-Parlaments ausgehandelter Kompromiss sollte dem Rechnung tragen, indem er die Anwendungsbereiche stark einschränkte und die Regeln für die Sorgfaltspflichten lockerte. Das Ziel war, vor allem kleinere und mittlere Unternehmen (KMU) von den Auflagen auszunehmen, während die ursprünglichen Ziele des Menschenrechts- und Umweltschutzes gewahrt bleiben sollten.

Wie geht es jetzt weiter?

Die Richtlinie (CSDDD) ist damit nicht vom Tisch, sondern muss im Europäischen Parlament erneut beraten werden. Es wird erwartet, dass die Abstimmung über die finale Verhandlungsposition des Parlaments (das sogenannte Mandat für die Trilog-Verhandlungen) in der nächsten Plenarsitzung im November 2025 wieder auf der Tagesordnung steht.

Unternehmen müssen weiterhin mit der Umsetzung des Deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) arbeiten, das nahtlos weitergilt. Die zukünftige europäische Richtlinie wird voraussichtlich über das nationale Gesetz hinausgehen, sobald sie final verabschiedet ist. Die erneute Blockade im Oktober 2025 sorgt jedoch für Planungsunsicherheit in der Wirtschaft.

FAQ zum geplatzten EU-Kompromiss Lieferkettengesetz

Nein, das EU-Lieferkettengesetz (CSDDD) ist nicht gescheitert. Lediglich ein umstrittener Kompromiss zur Abschwächung der Richtlinie, der unter anderem eine starke Anhebung der Schwellenwerte vorsah, fand im Oktober 2025 im Europäischen Parlament keine Mehrheit. Die Verhandlungen über die finale Position des Parlaments müssen nun fortgesetzt werden.

Der Kompromiss scheiterte am Widerstand einer knappen Mehrheit der Abgeordneten im EU-Parlament. Kritiker, darunter Sozialdemokraten und Grüne, sahen die geplanten Änderungen als eine Verwässerung der Richtlinie, die die eigentlichen Ziele des Menschenrechts- und Umweltschutzes untergraben hätte.

Ja, das deutsche LkSG gilt uneingeschränkt weiter. Die aktuellen Entwicklungen auf EU-Ebene betreffen die geplante europäische Richtlinie (CSDDD). Das deutsche Gesetz bildet derzeit den rechtlichen Rahmen für die Sorgfaltspflichten in Deutschland. Die Bundesregierung plant allerdings Entlastungen beim deutschen Gesetz, um einen Übergang zum künftigen EU-Recht zu erleichtern.

Nach der Ablehnung im Oktober 2025 wird erwartet, dass das EU-Parlament im November 2025 erneut über das Verhandlungsmandat abstimmt. Erst danach kann der sogenannte Trilog (Verhandlungen zwischen Parlament, Rat und Kommission) beginnen. Eine finale Verabschiedung und das Inkrafttreten der CSDDD können sich dadurch weiter verzögern.

Der gescheiterte Kompromiss sah eine deutliche Anhebung der Schwellenwerte vor. Erfasste Unternehmen sollten demnach nur noch Großunternehmen sein (z. B. mit über 5.000 Mitarbeitern und mehr als 1,5 Milliarden Euro Jahresumsatz). Diese Einschränkung war ein zentraler Streitpunkt.

© Copyright - SAT Compliance Service Provider | Webdesign: Bodenröder Text & Web
Cookie-Einstellungen