Rechtskataster

Gesetzliche Änderungen: Was ist neu im April 2024?

Auch im April 2024 treten etliche neue Regelungen und Gesetze in Kraft, die Unternehmen berücksichtigen und im Compliance Management berücksichtigen müssen. Mit Hilfe eines aktuellen Rechtskatasters bleiben sie auf dem Laufenden.

Haushaltsfinanzierungsgesetz 2024

Die Bundesregierung hat mit dem zweiten Haushaltsfinanzierungsgesetz Maßnahmen zum Bundeshaushalt 2024 auf den Weg gebracht. Das Gesetz sieht ab 2024 unter anderem eine höhere Luftverkehrssteuer, Sanktionsmöglichkeiten beim Bürgergeld und den schrittweisen Abbau des begünstigten Agrardiesels vor. (Quelle und Details)

Wachstumschancengesetz für Unternehmen

Die Bundesregierung beansprucht für sich, mit dem Wachstumschancengesetz Unternehmen steuerlich zu entlasten, sie von bürokratischen Hürden zu befreien und die Rahmenbedingungen für Investitionen und Innovationen zu verbessern.

Insgesamt hat das Gesetz ein Entlastungsvolumen von 3,2 Mrd. Euro – deutlich weniger als in ursprünglichen Plänen, nach mehreren Änderungen nun aber im Bundestag und im Bundesrat mehrheitlich beschlossen.

Es soll beitragen zu

  • Ausbau der steuerlichen Forschungsförderung,
  • verbesserten Abschreibungsmöglichkeiten,
  • steuerlichen Anreize für den Wohnungsneubau,
  • Verbesserung des steuerlichen Verlustabzugs
  • und Einführung der E-Rechnung

Die ursprünglich vorgesehenen Prämien für Klimaschutz-Investitionen fallen weg, aber auch die Anzeigepflichten für nationale Steuergestaltungen.

Neue Fördermöglichkeiten für Arbeit

Seit 1. April 2024 sollen Ausbildungsgarantie, Weiterbildungsgesetz und Qualifizierungsgeld die Unternehmen bei der Fachkräftegewinnung unterstützen.

Das Gesetz macht berufliche Weiterbildung seit April 2024 leichter zugänglich. Die Angebote stehen nun allen Betrieben mit festen Fördersätze für die Weiterbildung offen.

Qualifizierungsgeld soll Unternehmen helfen, Fachkräfte durch Qualifizierung im Betrieb zu halten. Das Geld wird den Beschäftigten als Entgeltersatz während der Qualifizierung gezahlt. Voraussetzung ist, dass die Weiterbildung eine zukunftssichere Beschäftigung im gleichen Unternehmen ermöglicht.

Cannabis-Gesetz

Cannabis-Gesetz und Compliance – was jetzt auf Unternehmen zukommt

Seit 1. April ist das Cannabis-Gesetz in Kraft. Damit sind Besitz und Anbau von Cannabis für Erwachsene in Deutschland unter bestimmten Voraussetzungen nicht mehr illegal. Konsumenten haben nun die Möglichkeit, die Droge über nicht-kommerzielle Anbauvereinigungen zu beziehen. Zugleich wird der Verkauf der Droge an Heranwachsende härter bestraft. Auch für Unternehmen ist das Cannabis-Gesetz ein Thema.

Stefan Pawils, Geschäftsführer des Compliance-Beraters SAT, kritisiert das Cannabis-Gesetz scharf: „Die neuen Regeln sind sinnlos und überflüssig. Die Welt und vor allem die Arbeitswelt brauchen sie wirklich nicht.“ Das Gesetz sei „unüberlegt, nicht durchdacht und mögliche Konsequenzen bzw. Auswirkungen hat der Gesetzgeber ignoriert“. Dennoch müssten sich die Unternehmen mit der Anpassung ihres Compliance Management Systems nun darauf einstellen.

“Für die Arbeitswelt und Bildungseinrichtungen bleiben Berufsgenossenschaften und Unfallkassen bei ihrer Haltung: Cannabis darf – genauso wie Alkohol und andere Drogen – hier keinen Platz haben“, betont auch Dr. Stefan Hussy, Hauptgeschäftsführer des Spitzenverbandes der Berufsgenossenschaften und Unfallkassen, Deutsche Gesetzliche Unfallversicherung (DGUV), in einer aktuellen Pressemitteilung.

Cannabis-Gesetz verbietet Konsum im Unternehmen nicht

Laut Hussy verbietet das Gesetz den Konsum von Cannabis am Arbeitsplatz nicht. Das Regelwerk im Arbeitsschutz verpflichte Beschäftigte jedoch, sich nicht mit Rauschmitteln in einen Zustand zu versetzen, in dem sie sich und andere gefährden könnten. „Um Klarheit zu schaffen, empfehlen Berufsgenossenschaften und Unfallkassen Arbeitgebenden daher, über Arbeitsanweisungen oder Betriebsvereinbarungen den Konsum von Cannabis am Arbeitsplatz zu untersagen. In Fragen der betrieblichen Suchtprävention steht die gesetzliche Unfallversicherung Unternehmen und Einrichtungen mit ihren Angeboten zur Seite”, heißt es in der Mitteilung weiter.

Unternehmen, die generell kein Cannabis im Betrieb zulassen wollen, müssen dies also ausdrücklich regeln. Entsprechende Vorschriften sind mitbestimmungspflichtig, also unter Einbeziehung des Betriebsrates zu erlassen.

Betriebliche Klarstellungen über den Konsum von Cannabis am Arbeitsplatz sind unter anderem dann dringend zu empfehlen, wenn im Umfeld von Einrichtungen gearbeitet wird, die im Wesentlichen von Kindern und Jugendlichen besucht werden, sprich: vor allem Kindergärten und Schulen. Hier ist der Cannabiskonsum generell verboten.

Cannabis-Gesetz und betrieblicher Arbeitsschutz

Das Cannabis-Gesetz hat außerdem Auswirkungen auf den betrieblichen Arbeitsschutz. Könnte der Cannabiskonsum zum Risiko am Arbeitsplatz werden, müssen die Unternehmen im Zuge ihres Compliance Managements dies in ihren Gefährdungsbeurteilungen berücksichtigen.

Folgende Maßnahmen sind im Zuge des neuen Cannabis-Gesetz daher empfohlen:

  • Suchtmittelrichtlinien im Unternehmen sollten auch Cannabis aufführen, ggf. also um entsprechende Regelungen erweitert werden.
  • Unternehmen sollten die Beschäftigten auf allen Ebenen über den Konsum von Cannabis und dessen Auswirkungen am Arbeitsplatz informieren und sensibilisieren.
  • Insbesondere Führungskräfte sollten sensibilisiert werden, Missbrauch bei Mitarbeitern zu erkennen und rechtzeitig Hilfen anzubieten.
Mautreform und Compliance

Mautreform und Compliance: So bereiten sich Unternehmen jetzt vor

Ab 1. Juli 2024 müssen alle Fahrzeuge über 3,5 Tonnen Gesamtmasse, die für den gewerblichen Nutzverkehr genutzt werden, Maut zahlen. Die Gebühren fallen auf allen Bundesstraßen, Bundesautobahnen, Auffahrten sowie Tank- und Rastanlagen an. Das ist das Ergebnis der jüngsten Mautreform in Deutschland. Die Gesetzesänderung bringt wichtige Änderungen für Unternehmen im Flotten- und Lieferverkehr sowie für Lkw-Transportunternehmen mit sich. Im Zuge der Compliance müssen sie sicherstellen, dass sie die neuen Regelungen korrekt umsetzen.

Mautreform und Compliance – das ist wichtig

Ausweitung der Mautpflicht: Ab Juli 2024 werden Bundesstraßen ab einer Entfernung von 40 Kilometern mautpflichtig (bisher ab 60 km) für Fahrzeuge über 3,5 Gesamtmasse. Die Zahl der mautpflichtigen Routen steigt also.

Wichtig zu beachten: Seit Dezember 2023 ist für die Einordnung in eine Gewichtsklasse nicht mehr das zulässige Gesamtgewicht (Fahrzeugschein-Feld F.2) ausschlaggebend, sondern die technisch zulässige Gesamtmasse (tzGm, Fahrzeugschein-Feld F.1).

Neue Mautsätze: Die Mautsätze werden sich teilweise ändern. Speditionen müssen die aktualisierten Mautsätze berücksichtigen, um die Mautgebühren korrekt berechnen zu können. Wie hoch die Maut tatsächlich ausfällt, hängt unter anderem von der Fahrzeugklasse, der Achsanzahl, vom Schadstoffausstoß des Autos und der gefahrenen Strecke ab. Informationen über Mautgebühren finden sich beispielsweise bei Toll Collect.

Neue Mautklassen: Mit der Mautreform werden die bisherigen Euro-Klassen durch Schadstoffklassen ersetzt. Die Höhe der Maut richtet sich künftig stärker nach den verursachten Emissionen (CO2, Feinstaub). Fahrzeuge werden nach ihren Schadstoffklassen einer der sechs Kategorien A, B, C, D, E und F zugeordnet.

„Initial werden alle registrierten Mautkunden von Toll Collect der Emissionsklasse 1 zugeordnet. Im Kunden-Portal kann für Fahrzeuge mit einem Erstzulassungsdatum ab dem 1. Juli 2019 eine günstigere Klasse beantragt werden“, teilt der Betreiber des deutschen Lkw-Mautsystems mit.

Unternehmen müssen ihre Flotte überprüfen und die neuen Schadstoffklassen ihrer Fahrzeuge ermitteln. Die Mautkunden sind für die Angabe der Schadstoffklasse selbst verantwortlich: Sie müssen alle mautrelevanten Daten korrekt angeben (Selbstdeklaration).

Elektronische Mauterfassung: Die Mautpflicht gilt auch für ausländische Fahrzeuge. Um die Maut korrekt abzurechnen, benötigen ausländische Speditionen eine On-Board Unit (OBU) im Fahrzeug. Es gibt zwar keine OBU-Pflicht, es dient aber der Sicherheit, da die Strecken nicht separat gebucht werden müssen.

Meldepflichten: Speditionen müssen die vorgeschriebenen Meldungen an das Toll Collect System einreichen. Dazu gehören unter anderem die Registrierung der Fahrzeuge und die fristgerechte Übermittlung der gefahrenen Strecken.

Ausnahmen von der Mautreform

Manche Fahrzeuge sind von der Mautreform und den damit einhergehenden höheren Gebühren befreit: emissionsfreie Lkw mit Elektro- oder Wasserstoffantrieb beispielsweise. Außerdem nennt die Regelung Ausnahmen für Fahrzeuge von Rettungsdienst,  Technischem Hilfswerk, Feuerwehr, Katastrophenschutz, Land- und Forstwirtschaft sowie Camping- und Handwerkerfahrzeuge

Auswirkungen der Mautreform

Die Nichteinhaltung der Mautpflicht kann zu empfindlichen Bußgeldern führen. Speditionen sollten daher sicherstellen, dass ihre Fahrer über die neuen Regelungen informiert sind und die OBU ordnungsgemäß verwendet werden.

Mautreform und Compliance

Die betroffenen Unternehmen im Flotten-, Liefer- und Transportsektor sollten sich frühzeitig mit der Mautreform auseinandersetzen und dafür sorgen, dass sie die meldepflichtigen Angaben korrekt und fristgerecht weitergeben. Die entsprechenden Zuständigkeiten müssen im Compliance Management System verankert werden.

Wenn Sie Fragen rund um die Mautreform und Compliance haben, sprechen Sie uns gerne an.

Künstliche Intelligenz

Unternehmen jetzt gefordert: EU-Parlament verabschiedet KI-Gesetz

In dieser Woche hat das EU-Parlament grünes Licht für das Gesetz über künstliche Intelligenz gegeben. Die neuen Regeln zielen darauf ab, Grundrechte, Demokratie und Rechtsstaatlichkeit sowie ökologische Nachhaltigkeit vor Hochrisiko-KI-Systemen zu schützen. Gleichzeitig sollen sie Innovationen ankurbeln. Die Verordnung legt bestimmte Verpflichtungen für KI-Systeme fest, abhängig von den jeweiligen möglichen Risiken und Auswirkungen. Das KI-Gesetz hat direkte Auswirkungen auf Unternehmen und deren Compliance.

Verbotene Anwendungen

Die neuen Vorschriften verbieten bestimmte KI-Anwendungen, die die Rechte der Bürgerinnen und Bürger bedrohen. Dazu zählen unter anderem die biometrische Kategorisierung auf der Grundlage sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken. Ebenfalls verboten sind künftig Emotionserkennungssysteme am Arbeitsplatz und in Schulen sowie das Bewerten von sozialem Verhalten mit KI. Auch vorausschauende Polizeiarbeit, die einzig auf der Profilerstellung oder der Bewertung von Merkmalen einer Person beruht, und der Einsatz von künstlicher Intelligenz, um das Verhalten von Menschen zu beeinflussen oder ihre Schwächen auszunutzen, ist nach den neuen Regeln nicht erlaubt.

Ausnahmen für Strafverfolgungsbehörden

Grundsätzlich ist die Nutzung von biometrischen Fernidentifizierungssystemen durch Strafverfolgungsbehörden verboten. Es gibt jedoch bestimmte ausführlich beschriebene und eng abgegrenzte Ausnahmefälle. Fernidentifizierung in Echtzeit ist nur dann erlaubt, wenn strenge Sicherheitsbestimmungen eingehalten werden – unter anderem gibt es zeitliche und räumliche Beschränkungen, und es muss vorab eine spezielle behördliche oder gerichtliche Genehmigung eingeholt werden. Entsprechende Systeme dürfen beispielsweise genutzt werden, um gezielt nach einer vermissten Person zu suchen oder einen Terroranschlag zu verhindern. Der Einsatz von KI-Systemen zur nachträglichen Fernidentifizierung gilt als hochriskant. Hierfür ist eine gerichtliche Genehmigung nötig, die mit einer Straftat in Verbindung stehen muss.

Verpflichtungen für Hochrisikosysteme

Auch für andere Hochrisiko-KI-Systeme sind bestimmte Verpflichtungen vorgesehen, denn sie können eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie und den Rechtsstaat darstellen. Als hochriskant werden unter anderem KI-Systeme eingestuft, die in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung oder Beschäftigung eingesetzt werden. Auch KI-Systeme, die für grundlegende private und öffentliche Dienstleistungen – etwa im Gesundheits- oder Bankwesen –, in bestimmten Bereichen der Strafverfolgung sowie im Zusammenhang mit Migration und Grenzmanagement, Justiz und demokratischen Prozessen (zum Beispiel zur Beeinflussung von Wahlen) genutzt werden, gelten als hochriskant. Solche Systeme müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden. Die Bevölkerung hat künftig das Recht, Beschwerden über KI-Systeme einzureichen und Entscheidungen erklärt zu bekommen, die auf der Grundlage hochriskanter KI-Systeme getroffen wurden und ihre Rechte beeinträchtigen.

Transparenzanforderungen

KI-Systeme mit allgemeinem Verwendungszweck und die Modelle, auf denen sie beruhen, müssen bestimmte Transparenzanforderungen erfüllen, darunter die Einhaltung des EU-Urheberrechts und die Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte. Für die leistungsfähigeren Modelle, die systemische Risiken bergen könnten, gelten künftig zusätzliche Anforderungen – etwa müssen Modellbewertungen durchgeführt, systemische Risiken bewertet und gemindert und Vorfälle gemeldet werden.

Darüber hinaus müssen künstlich erzeugte oder bearbeitete Bilder bzw. Audio- und Videoinhalte (sogenannte Deepfakes) in Zukunft eindeutig als solche gekennzeichnet werden.

Maßnahmen zur Förderung von Innovationen und KMU

In den Mitgliedstaaten müssen Reallabore eingerichtet und Tests unter realen Bedingungen durchgeführt werden. Diese müssen für kleine und mittlere Unternehmen sowie für Start-ups zugänglich sein, damit sie innovative KI-Systeme entwickeln und trainieren können, bevor sie auf den Markt kommen.

Eingerichtet wird nun das Europäische Amt für künstliche Intelligenz, um Unternehmen bei der Einhaltung der Vorschriften zu unterstützen, bevor diese in Kraft treten

Nächste Schritte

Die Verordnung wird nun von Rechts- und Sprachsachverständigen abschließend überprüft. Sie dürfte noch vor Ende der Wahlperiode im Rahmen des sogenannten Berichtigungsverfahrens angenommen werden. Auch muss der Rat die neuen Vorschriften noch förmlich annehmen.

Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar. Die Ausnahmen sind Verbote sogenannter verbotener Praktiken, die bereits sechs Monate nach Inkrafttreten gelten, Verhaltenskodizes (sie gelten neun Monate nach Inkrafttreten), Regeln für künstliche Intelligenz mit allgemeinem Verwendungszweck, einschließlich Governance, (zwölf Monate nach Inkrafttreten) und Verpflichtungen für Hochrisikosysteme (36 Monate nach Inkrafttreten). (Quelle)

KI-Gesetz und Compliance

Unternehmen müssen sich spätestens jetzt damit auseinandersetzen, wie sie KI-Systeme rechtskonform und in ihr Compliance Management System integriert anwenden. Das KI-Gesetz im Unternehmen umzusetzen, bedeutet auch festzulegen, wer für die rechtskonforme Nutzung von KI im Unternehmen zuständig ist. Außerdem müssen die Risiken der angewendeten KI identifiziert und dokumentiert werden. Die Verantwortlichen müssen dafür sorgen, dass maximale Transparenz über sämtliche KI-Prozesse gesichert ist und dabei alle relevanten Gesetze und Regelungen eingehalten werden. Am Ende des Prozesses steht ein Risikobewertungs- und -managementsystem, das in das bestehende Compliance Management System integriert werden muss.

Wir unterstützen Sie bei der Umsetzung, sprechen Sie uns gerne an.

Natrium-Ionen-Batterien

Neue Regeln zum Transport von Natrium-Ionen-Batterien und -Zellen

Ein Thema, das sperrig klingt, aber dennoch viele Unternehmen betrifft, ist die „Multilaterale Sondervereinbarung RID 2/2023 nach Abschnitt 1.5.1 RID über die Beförderung von Natrium-Ionen-Batterien mit einem organischen Elektrolyt oder Natrium-Ionen-Batterien mit einem organischen Elektrolyt in Ausrüstungen oder mit Ausrüstungen verpackt.“ Oder mit anderen Worten: Es geht um Gefahrgut-Transporte und den vorschriftsgemäßen Versand und Transport von Lithiumbatterien: Die Sondervorschrift gewährt unter bestimmten Bedingungen umfassende Befreiungen von den Vorschriften für die Beförderung gefährlicher Güter für Lithium-Batterien. Die Vorschrift in gesamter Länge stellen wir Ihnen hier zur Verfügung.

Natrium-Ionen-Batterien, einschließlich Natrium-Ionen-Zellen, dürfen demnach als UN 3551 Natrium-Ionen-Batterien mit einem organischen Elektrolyt oder als UN 3552 Natrium-Ionen-Batterien mit einem organischen Elektrolyt in Ausrüstungen oder mit Ausrüstungen verpackt unter den in der Multilateralen Sondervereinbarung festgelegten Bedingungen befördert werden. Dabei muss beachtet werden, dass die Bau- und Prüfvorschriften, die in der Anlage zur Vereinbarung festgelegt sind, erfüllt werden. Die Vereinbarung gilt bis 30. Juni 2025.

Zu den Transportbedingungen zählen unter anderem diese:

  • Jede Zelle und jede Batterie muss eine Sicherheitsentlüftungsvorrichtung haben, damit sie unter Normalbedingungen nicht gewaltsam bersten.
  • Benötigt werden wirksame Vorrichtungen, um externe Kurzschlüsse zu verhindern. Zellen und Batterien, die in Ausrüstungen eingebaut sind, müssen vor Beschädigungen geschützt werden.

Wir empfehlen vor diesem Hintergrund, die Compliance Richtlinien zu den Themen Gefahrguttransporte und Umweltschutz auf diese Sondervereinbarung anzupassen und in Ihr Rechtskataster einzupflegen. Haben Sie Fragen dazu, stehen wir Ihnen gerne zur Verfügung.

Nachhaltigkeitsbericht

Nachhaltige Gesetze beeinflussen Compliance in Unternehmen

Laut Bundesregierung prüfen immer mehr Bundesministerien von Anfang an, ob ihre Gesetzesentwürfe den 17 globalen Nachhaltigkeitszielen der Vereinten Nationen (UN) und den Prinzipien der Deutschen Nachhaltigkeitsstrategie entsprechen. Das geht aus einem Bericht der Bundesregierung hervor. Nachzulesen sind die 17 Ziele bei der UN.

„Alle Gesetze und Verordnungen, die von der Bundesregierung beschlossen und dann im Parlament beraten werden, sollen noch stärker als bisher auf ihren Beitrag zu einer nachhaltigen Entwicklung geprüft werden“, betont die Bundesregierung. Das hatten das Bundesjustizministerium und das Bundeskanzleramt bereits im Dezember 2022 empfohlen. Denn: Die Halbzeitbilanz der UN im September 2023 hatte gezeigt, dass die Erreichung der Nachhaltigkeitsziele 2030 gefährdet ist.

Ende vergangenen Jahres nun hieß es aus Berlin: Die Ressorts setzen die Empfehlungen um. Die frühzeitige Nachhaltigkeitsprüfung von Gesetzen nimmt Fahrt auf und zwar bei allen Prozessschritten der Gesetzgebung.

„Seit 2009 besteht eine Verpflichtung zur Nachhaltigkeitsprüfung bei Gesetz- und Verordnungsentwürfen der Bundesregierung. Der Gesetzgeber muss darstellen, ob die Wirkungen des Vorhabens einer nachhaltigen Entwicklung entsprechen, insbesondere welche langfristigen Wirkungen das Vorhaben hat“, ist auf www.bundesregierung.de nachzulesen. Die Nachhaltigkeitsprüfung trage auch zur besseren Rechtsetzung bei, da ungewollte längerfristige oder politikbereichsübergreifende Auswirkungen der Regelungen früher erkannt werden könnten.

Compliance und Nachhaltigkeit

Soll bereits bei der Gesetzgebung auf Nachhaltigkeit geachtet werden, hat das Thema selbstverständlich auch für die Compliance eines Unternehmens höchste Relevanz.

  • Nachhaltigkeitsziele in die Compliance-Strategie integrieren: Unternehmen sollten ihre Nachhaltigkeitsziele in ihre Compliance-Strategie integrieren und sicherstellen, dass alle Mitarbeiter diese Ziele kennen und umsetzen.
  • Compliance-Management-System um Nachhaltigkeitsthemen erweitern: Das Compliance-Management-System sollte um Nachhaltigkeitsthemen wie Umwelt- und Sozialstandards erweitert werden.
  • Regelmäßige Audits und Kontrollen: Unternehmen sollten regelmäßig Audits und Kontrollen durchführen, um sicherzustellen, dass sie sowohl die Compliance-Vorschriften als auch ihre Nachhaltigkeitsziele einhalten.

Mit Hilfe eines Rechtskatasters von SAT haben Sie alle relevanten Regelungen rund um die Nachhaltigkeit in Ihrem Unternehmen jederzeit auf dem Schirm. Sprechen wir miteinander, was machbar und sinnvoll ist.

NIS-2-Richtlinie

Jetzt handeln: Viel mehr Unternehmen von NIS-2-Richtlinie betroffen als bisher

Vor gut einem Jahr ist die NIS-2-Richtlinie in Kraft getreten. Mit der zweite Richtlinie zur Netzwerk- und Informationssicherheit soll die Cybersicherheit in der Europäischen Union gestärkt werden. Für die Umsetzung in nationales Recht bleibt den EU-Staaten noch bis Oktober 2024 Zeit. Für Unternehmen bedeutet das: Sie müssen im Zuge ihres Compliance Managements bis dahin umfangreiche Vorsorge treffen, um Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen so klein wie möglich zu halten.

Bereits die NIS-1-Richtlinie aus dem Jahr 2016 sah vor, dass EU-Länder die Betreiber „kritischer Dienste“ ermitteln und für sie Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle etablieren mussten. In den Folgejahren entstand allerdings ein europaweiter „Flickenteppich“, weil EU-Staaten die kritischen Dienste unterschiedlich interpretierten. NIS-2 regelt nun klar, welche Unternehmen die Richtlinie betrifft. Die müssen ihre Maßnahmen zum Schutz vor Cyberangriffen erhöhen, IT-Systeme durchgehend aktuell halten und strengere Sicherheitsstandards einführen.

Kernelemente der NIS-2-Richtlinie

Die Europäische Kommission schreibt dazu: „Die NIS-2-Richtlinie zielt darauf ab, die Mängel der bisherigen Vorschriften zu beheben, sie an den aktuellen Bedarf anzupassen und zukunftssicher zu machen. Zu diesem Zweck erweitert die Richtlinie den Anwendungsbereich der bisherigen Vorschriften, indem neue Sektoren auf der Grundlage ihres Digitalisierungsgrads und ihrer Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft hinzugefügt werden, indem eine klare Größenschwellenregel eingeführt wird.“

Das bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil können ebenfalls unter die Verpflichtungen der neuen Richtlinie fallen. Mit der neuen Richtlinie wird auch die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beseitigt. Unternehmen werden nach ihrer Bedeutung klassifiziert und in zwei Kategorien unterteilt: wesentliche und wichtige Einrichtungen, die unterschiedlichen Aufsichtsregelungen unterliegen.

Die überarbeitete Richtlinie stärkt und rationalisiert die Sicherheits- und Berichtspflichten für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt, der eine Mindestliste grundlegender Sicherheitselemente enthält, die angewendet werden müssen. Mit der neuen Richtlinie werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt. Darüber hinaus befasst sich NIS-2 mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen anzugehen. Auf europäischer Ebene stärkt die Richtlinie die Cybersicherheit in der Lieferkette für wichtige Informations- und Kommunikationstechnologien.

„Wesentliche“ und „wichtige“ Einrichtungen

 Die NIS-2-Richtlinie umfasst „wesentliche” und „wichtige” Einrichtungen. Zu den wesentlichen gehören große Unternehmen: ab 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz, Bilanzsumme > 43 Mio. Euro

  • Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff);
  • Verkehr (Luft, Schiene, Wasser und Straße);
  • Banken; Finanzmarktinfrastrukturen;
  • Gesundheit einschließlich Herstellung von Arzneimitteln, einschließlich Impfstoffen;
  • Trinkwasser;
  • Abwasser;
  • digitale Infrastruktur (Internet-Austauschstellen; DNS-Dienstleister; TLDNamensregister; Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Netze für die Bereitstellung von Inhalten; Vertrauensdiensteanbietern; Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste);
  • IKT-Dienstleistungsmanagement (verwaltete Dienstleister und Anbieter von Managed Security-Diensten),
  • öffentliche Verwaltung und Raum.

Unabhängig von ihrer Größe können Einrichtungen wesentlich sein, die der Staat so einstuft.

Wichtige Einrichtungen sind große und mittlere Unternehmen: ab 50 Mitarbeiter oder 10 bis 50 Mio. Euro Umsatz, Bilanzsumme < 43 Mio. Euro

  • Post- und Kurierdienste;
  • Abfallbewirtschaftung;
  • Chemikalien;
  • Lebensmittel;
  • Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten;
  • digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und SocialNetworking-Service-Plattformen) und Forschungseinrichtungen.

Umsetzung der NIS-2-Richtlinie in deutsches Recht

Aktuell wird die NIS-2-Richtlinie in deutsches Recht umgesetzt, etwa im März ist mehr Klarheit zu rechnen. Sicher ist aber schon jetzt, dass deutlich mehr Unternehmen als bisher davon betroffen sein werden: Schätzungsweise 30.000 Organisationen müssen in ihrer Cybersicherheit investieren und sie ausbauen. Dazu zählen die Einführung eines Risikomanagements ebenso wie technische und organisatorische Präventions-maßnahmen, damit Anlagensicherheit, IT-Systeme, Lieferketten und Netzwerke abgesichert werden.

Was Unternehmen tun sollten

Wer künftig gegen die NIS-2-Richtlinie verstößt, muss mit erheblichen Strafen rechnen. Im Amtsblatt der Europäischen Union heißt es dazu: „Die Mitgliedstaaten stellen sicher, dass gegen wesentliche Einrichtungen […] Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist. Die Mitgliedstaaten stellen sicher, dass gegen wichtige Einrichtungen […] Geldbußen mit einem Höchstbetrag von mindestens 7 000 000 EUR oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.

Wichtig für Unternehmen: Keine Behörde wird sie darauf hinweisen, ob die NIS-2-Richtlinie sie betrifft oder nicht. Das müssen sie anhand der vorgegebenen Kriterien selber ermitteln und entsprechende Maßnahmen ergreifen.

Wir empfehlen Ihnen, sich mit der Thematik bereits jetzt auseinanderzusetzen und bei Fragen auch mit Blick auf Ihr Compliance Management System auf uns zuzukommen.

Sprechen wir über die neue NIS-2-Richtlinie
Compliance Management System

EuGH erleichtert Bußgelder bei Verstößen gegen die DSGVO

Mit einem Grundsatzurteil des Europäischen Gerichtshofes im vergangenen Monat erleichtern es die Richter den Behörden künftig, Bußgelder gegen Unternehmen zu verhängen, die gegen die Datenschutzgrundverordnung DSGVO verstoßen.

Aus dem Urteil von Anfang Dezember geht hervor, dass eine Geldbuße wegen Verstoßes gegen die DSGVO auch dann verhängt werden kann, wenn das strafbare Vorgehen nicht einer konkreten natürlichen Person im Unternehmen zugeordnet werden kann. Entscheidend für eine Strafe ist, dass die juristische Person schuldhaft gehandelt hat. Im Klartext: Unternehmen haften für Mitarbeiter, die gegen die DSGVO verstoßen und darüber hinaus auch für Auftragnehmer, die für sie tätig sind.

OWiG gegen DSGVO

Der Europäische Gerichtshof hatte in einem Vorabentscheidungsverfahren geurteilt. Hintergrund: Der Berliner Datenschutzbeauftragte hatte 2019 ein Bußgeld von rund 14,4 Millionen Euro gegen die „Deutsche Wohnen SE“ verhängt, weil das Immobilienunternehmen personenbezogene Daten von Mietern länger gespeichert hatte, als es notwendig war. Allerdings konnte der Datenschutzbeauftragte dieses Vorgehen keiner konkreten Person im Unternehmen zuordnen. „Deutsche Wohnen“ klagte, das Berliner Landgericht urteilte, dass für ein Bußgeldverfahren gemäß Ordnungswidrigkeitengesetz (OWiG) bekannt sein müsse, wer genau vorsätzlich oder fahrlässig gegen die DSGVO verstoßen habe und stellte das Verfahren ein. Weil der Berliner Datenschützer daraufhin Beschwerde beim Kammergericht einlegte, ging die Frage ans EuGH.

Der Europäische Gerichtshof folgte dem Kammergericht insofern, als dass er die entsprechenden Paragraphen im OWiG für unvereinbar mit der DSGVO bewertete. Entsprechend muss der Datenschutzverstoß keiner natürlichen Person im Unternehmen zuzuordnen sein. Dennoch, und das stellt das Gericht klar, muss ein Verschulden nachgewiesen werden, um ein Bußgeld verhängen zu können. Dabei geht es von der Frage aus, ob sich das Unternehmen darüber im Klaren sein konnte, dass das Verhalten rechtswidrig ist. Ist das mit „ja“ zu beantworten und wird das Verhalten nicht geändert, liegt ein Verstoß gegen die DSGVO vor, der mit einem Bußgeld belegt werden kann. Im Fall der „Deutsche Wohnen“ hatte der Datenschutzbeauftragte die Speicherung der Mieterdaten kritisiert, von „Unklarheit“ ist demnach nicht auszugehen.

Compliance Management System regelt Zuständigkeiten

Wir empfehlen vor diesem Hintergrund, das unternehmerische Compliance Management System noch einmal genau unter der Fragestellung zu betrachten, ob die Zuständigkeiten für den Umgang mit personenbezogenen Daten genau geregelt sind. Entscheidend ist dabei ein detailliertes Verfahrensverzeichnis, da jedes Unternehmen zur Sicherstellung der Datenschutzkonformität haben und regelmäßig aktualisieren sollte.

Das ändert sich 2024

Das ändert sich 2024

Mit Beginn des Jahres 2024 verändern sich zahlreiche Gesetze und Regelungen. Das hat auch Einfluss auf die Unternehmens-Compliance. Wir nennen Beispiele.

Arbeit/Personal

Mindestlohn steigt

In den kommenden beiden Jahren steigt der gesetzliche Mindestlohn. Ab Januar 2024 steigt die unterste Lohngrenze von 12 auf 12,41 Euro brutto je Stunde. 2025 steigt sie auf 12,82 Euro.

Minijobber können mehr verdienen

Ab Januar 2024 dürfen Minijobber 538 Euro im Monat verdienen, da auch der Mindestlohn steigt. Ziel ist es, dass Minijobber weiterhin bis zu zehn Stunden in der Woche arbeiten können, was sonst bei höherem Mindestlohn nicht möglich wäre.

Eingliederungszuschuss für Arbeitssuchende verlängert

Unternehmen, die Arbeitssuchende einstellen, die stärkere Unterstützung benötigen – zum Beispiel wegen langer Arbeitslosigkeit, Behinderung oder höheren Alters – können weiterhin bis zu 36 Monate einen Eingliederungszuschuss erhalten. Diese Regelung gilt jetzt bis Ende 2028.

Lieferkettengesetz – Sorgfaltspflichten jetzt auch für kleinere Unternehmen

Ab 1. Januar 2024 gilt das Lieferkettengesetz auch für kleinere Unternehmen ab 1.000 Beschäftigten. In der Vergangenheit verpflichtete das Gesetz nur Unternehmen mit über 3.000 Mitarbeitenden.

Soziales

Mehr Inklusion in Unternehmen

Für mehr gesellschaftliche Teilhabe sollen Menschen mit Behinderung stärker in den regulären Arbeitsmarkt integriert werden. Deshalb haben sich zum 1. Januar 2024 die Regelungen für Unternehmen, die trotz Beschäftigungspflicht keinen einzigen schwerbehinderten Menschen beschäftigen, geändert. Die Details finden Sie beim Bundesarbeitsministerium.

Gesundheit

Neuer Grenzwert bei Bisphenol A für Trinkwasser

Mit der neuen Trinkwasserverordnung werden einige Grenzwerte verschärft oder neu eingeführt. Ab 12. Januar 2024 gilt ein Grenzwert für Bisphenol A, weitere neue Grenzwerte werden folgen. Bisphenol A hat eine hormonähnliche Wirkung und steht im Verdacht, Krebs zu erregen. Die Chemikalie ist unter anderem in Kunstharzen enthalten, die auch zur Sanierung von Trinkwasserleitungen eingesetzt werden.

Energie

Wärmeplanung

Bis 2045 soll in ganz Deutschland klimaneutral geheizt werden. Bürger und Unternehmen erfahren durch eine Wärmeplanung der Städte und Kommunen, wie sie am besten heizen sollten, damit sie über die für sie geeignete Heizung entscheiden können. Mehr Infos unter www.bundesregierung.de/breg-de/suche/waermeplanungsgesetz-2213692

Strompreispaket für produzierende Unternehmen

Die Stromsteuer sinkt für alle Unternehmen des produzierenden Gewerbes auf den EU-weit zulässigen Mindestwert. Dafür wird der bisherige Spitzenausgleich für etwa 9.000 Unternehmen abgeschafft. Die rund 350 am stärksten im internationalen Wettbewerb stehenden Unternehmen erhalten einen Ausgleich für die Kosten des deutschen CO2-Emissionshandels. Auch die Regelung zum „Super-Cap“ für die rund 90 besonders stromintensiven Unternehmen soll fortgeführt werden.

Finanzen

Zukunftsfinanzierungsgesetz

Das neue Zukunftsfinanzierungsgesetz soll mehr privates Kapital für Investitionen in Klimaschutz und Digitalisierung ermöglichen. Start-Ups und Wachstumsunternehmen können einfacher an die Börse gehen und haben besseren Zugang zu Eigenkapital: Die Summe des Mindestmarktkapitals für einen Börsengang wird von 1,24 Millionen Euro auf eine Million Euro gesenkt.

Globale Mindestbesteuerung

Weltweit hatten sich mehr als 130 Staaten unter dem Dach von OECD und G20 verständigt, eine globale Mindestbesteuerung einzuführen. In der EU wird die Mindestbesteuerung durch eine EU-Richtlinie sichergestellt, durch ein Gesetz wurde die Richtlinie in Deutschland umgesetzt.

Quelle: Bundesregierung

Wenn Sie alle gesetzlichen Änderungen, die für Ihr Unternehmen relevant sind, sicher im Blick behalten wollen, empfehlen wir Ihnen die Etablierung eines eigenen Rechtskatasters. Sprechen wir darüber!

Nachhaltigkeitsbericht

Sorgenkind Nachhaltigkeitsbericht – ESR-Standards geben mehr Orientierung

Seit fast einem Jahr ist sie nun in Kraft – die EU-Richtlinie „Corporate Sustainability Reporting Directive (CSRD)“, die die Berichterstattung über Nachhaltigkeit in europäischen Unternehmen regelt. Außerdem hat die EU-Kommission Mitte 2023 zwölf „European Sustainability Reporting Standards“ (ESRS) zu Umwelt, Soziales und Unternehmen verabschiedet, mit denen sie einen Leitfaden für die Ausgestaltung des Nachhaltigkeitsberichts an die Hand gibt.

Nach und nach werden immer mehr Unternehmen der Pflicht zur nicht-finanziellen Berichterstattung unterliegen – ab 1. Januar 2024 diejenigen, für die auch bisher schon die Non-Financial Reporting Directive (NFRD) galt. Sie müssen ab 2025 für das Vorjahr einen Nachhaltigkeitsbericht gemäß CSRD vorlegen. Große Kapitalgesellschaften ab 250 Mitarbeitenden, einer Bilanzsumme von 25 Mio. Euro bzw. 50 Mio. Euro Umsatz (wenn zwei von drei Punkten zutreffen) müssen gemäß CSRD ab 2026 den Bericht für 2025 erstellen, bevor börsennotierte KMU, kleine Kreditinstitute und firmeneigene Versicherungsunternehmen ein Jahr später gemäß Directive berichten müssen.

Welche Rolle spielt die neu Corporate Sustainability Reporting Directive?

Die CSR-Directive ersetzt die Non-Financial Reporting Directive (NFRD), die bislang die Basis für die Berichtspflicht zur sozialen und ökologischen Verantwortung von Unternehmen in der EU war. Dadurch wurde im gleichen Zuge das deutsche CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG) aktualisiert. Ziel der CSRD ist es, „die europäische Nachhaltigkeitsberichterstattung zu erweitern, zu verbessern und zu vereinheitlichen. Nachhaltigkeitsberichterstattung wird damit auf die gleiche Stufe wie die klassische finanzielle Berichterstattung gehoben und verpflichtend im selben Lagebericht festgehalten“, heißt es beim Bayrischen Landesamt für Umwelt.

Wozu ein Nachhaltigkeitsbericht?

Der Nachhaltigkeitsbericht und seine feste Verankerung im Geschäftsbericht zwingen Unternehmen dazu, sich transparent mit den Folgen ihrer Tätigkeit für Gesellschaft und Umwelt auseinanderzusetzen. Gerade in den heutigen Zeiten, in den Klima- und Umweltschutz permanent auf der Tagesordnung stehen, ist der Nachhaltigkeitsbericht also nicht nur gesetzliche Pflicht, sondern dient zugleich der Imagepflege, der Transparenz, dem Vertrauensaufbau und -erhalt bei Geschäftspartnern und Investoren. Im Sinne der Compliance dient der Nachhaltigkeitsbericht zugleich der Risikoanalyse, welche Umwelt- und sozialrechtlichen Auswirkungen die Unternehmenstätigkeit mit sich bringt.

ESR-Standards geben Ausgestaltung vor

Seit Mitte 2023 gibt es zwölf ESRS, weitere sollen folgen. „Nachhaltigkeitsinformationen sollen künftig im Lagebericht anhand einheitlicher EU-Berichtsstandards offengelegt werden. Hierzu hat die European Financial Reporting Advisory Group (EFRAG) im Auftrag der EU-Kommission bereits einen Entwurf für sektorübergreifende Standards (Set 1) übergeben. Dieser beinhaltet zwei allgemeingültige ESRS-Standards, fünf im Bereich Umwelt, vier im Bereich Soziales und einen im Bereich Unternehmensführung. Parallel erarbeitet die EFRAG bis Ende Juni 2024 sektorspezifische Standards (Set 2)“, informiert das Bayrische Landesamt für Umwelt.

Wenn Sie sich darüber informieren möchten, was diese Standards für Ihr Unternehmen bedeutet und wie sie anzuwenden sind, unterstützen wir Sie gern. Sprechen Sie uns jederzeit an.