Ein Rechtskataster ist ein Verzeichnis von Rechtsvorschriften, das die Rechtslage in einem bestimmten Bereich systematisch erfasst. Sie können für verschiedene Zwecke verwendet werden, z. B. zur Information, zur Rechtsberatung oder zur Rechtsdurchsetzung.

In Deutschland gibt es verschiedene Rechtskataster, die sich auf verschiedene Rechtsbereiche beziehen. Zu den bekanntesten gehören:

  • Bundesrecht: Das Bundesrecht wird im Bundesgesetzblatt veröffentlicht. Das Bundesgesetzblatt kann online abgerufen werden.
  • Landesrecht: Das Landesrecht wird in den jeweiligen Landesgesetzblättern veröffentlicht. Die Landesgesetzblätter können online abgerufen werden.
  • Europäisches Recht: Das Europäische Recht wird im Amtsblatt der Europäischen Union veröffentlicht. Das Amtsblatt der Europäischen Union kann online abgerufen werden.
  • Internationales Recht: Das Internationale Recht wird in verschiedenen Quellen veröffentlicht, z. B. in den Sammlungen der Vereinten Nationen oder in den Sammlungen von Rechtswissenschaftlern.

Darüber hinaus gibt es auch spezialisierte Rechtskataster, die sich auf bestimmte Rechtsbereiche beziehen. Beispiele hierfür sind:

  • Baurecht: Das Baurecht wird im Baugesetzbuch und in den jeweiligen Landesbauordnungen geregelt.
  • Arbeitsrecht: Das Arbeitsrecht wird im Arbeitsgesetzbuch und in den jeweiligen Landesarbeitsgesetzen geregelt.
  • Umweltrecht: Das Umweltrecht wird im Umweltgesetzbuch und in den jeweiligen Landesumweltgesetzen geregelt.

Rechtskataster können auf verschiedene Weise aufgebaut sein. Einige sind nach Rechtsgebieten gegliedert, andere nach Sachgebieten. Etliche enthalten auch Informationen zu den Rechtsfolgen der jeweiligen Rechtsvorschriften.

Rechtskataster können eine wichtige Informationsquelle für Unternehmen, Behörden und Privatpersonen sein. Sie können dabei helfen, die Rechtslage zu verstehen und Rechtsrisiken zu vermeiden.

Hier sind einige Beispiele für die Verwendung:

  • Information: Rechtskataster können verwendet werden, um sich über die Rechtslage in einem bestimmten Bereich zu informieren.
  • Rechtsberatung: Sie können verwendet werden, um Rechtsberatung zu erhalten.
  • Rechtsdurchsetzung: Rechtskataster können verwendet werden, um Rechtsansprüche durchzusetzen.
Audit

Compliance-Audits 2026: Warum Nachweise wichtiger sind als gute Absichten

Unternehmen stehen heute vor einer Vielzahl von Compliance-Anforderungen — vom Datenschutz über Arbeitsschutz und Umweltrecht bis hin zu IT-Sicherheit, Lieferkettenpflichten und Nachhaltigkeitsvorgaben. Die eigentliche Herausforderung liegt nicht darin, dass es diese Anforderungen gibt. Die Herausforderung liegt darin, sie im Unternehmen vollständig zu identifizieren, richtig zu bewerten, in konkrete Maßnahmen zu übersetzen und ihre Umsetzung auditfest nachzuweisen.

Genau hier trennt sich formale Regelkenntnis von wirksamer Compliance in der Praxis. Ein Compliance-Audit prüft nicht nur, ob Vorgaben bekannt sind. Es prüft, ob ein Unternehmen seine Pflichten systematisch steuert: mit klaren Zuständigkeiten, dokumentierten Maßnahmen, nachvollziehbaren Nachweisen und regelmäßiger Wirksamkeitskontrolle.

Warum Compliance-Audits 2026 wichtiger werden

Die regulatorische Dichte nimmt weiter zu. Unternehmen müssen heute nicht mehr nur einzelne Gesetze kennen, sondern ihre Pflichten aus Datenschutz, Lieferkette, IT-Sicherheit, Nachhaltigkeit, Produktsicherheit, Arbeitsschutz, Umweltrecht und KI-Nutzung zusammenführen.

Mehrere aktuelle Regelwerke setzen ausdrücklich auf Risikomanagement, Dokumentation, Kontrolle und Nachweisfähigkeit. Die Datenschutz-Grundverordnung verlangt etwa, dass Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Auch die NIS-2-Richtlinie verpflichtet betroffene Einrichtungen zu technischen, operativen und organisatorischen Cybersecurity-Risikomanagementmaßnahmen. Die EU-Richtlinie zur unternehmerischen Nachhaltigkeitssorgfaltspflicht verpflichtet große Unternehmen zu Sorgfaltspflichten in Bezug auf Menschenrechte und Umwelt in eigenen Tätigkeiten, Tochterunternehmen und Wertschöpfungsketten.

Für Unternehmen bedeutet das: Compliance muss beweisbar werden. Ein bloßer Hinweis wie „Das machen wir schon“ reicht im Audit nicht.

Was ein gutes Compliance-Audit leisten sollte

Ein Compliance-Audit sollte nicht nur prüfen, ob Anforderungen formal bekannt sind. Es sollte zeigen, ob ein Unternehmen seine wesentlichen Compliance-Risiken systematisch steuert — mit klaren Verantwortlichkeiten, dokumentierten Maßnahmen, wirksamen Kontrollen und nachvollziehbaren Nachweisen. Als belastbarer Orientierungsrahmen eignet sich hierfür insbesondere ISO 37001.

Ein guter Auditansatz ist nicht nur kontrollierend, sondern steuernd: Er hilft Unternehmen, risikobehaftete Prozesse zu erkennen, Verantwortlichkeiten zu klären, Präventionsmaßnahmen zu überprüfen und Nachweise so zu strukturieren, dass sie im Ernstfall schnell auffindbar sind.

Der häufigste Fehler: Pflichten sind bekannt, aber nicht prüfbar dokumentiert

In vielen Unternehmen existieren Compliance-Maßnahmen verstreut in E-Mails, Excel-Listen, SharePoint-Ordnern, Ticketsystemen oder Abteilungsablagen. Das ist im Tagesgeschäft verständlich — im Audit aber riskant.

Typische Schwachstellen sind:

Schwachstelle Warum sie im Audit problematisch ist
Keine zentrale Übersicht über geltende Pflichten Das Unternehmen kann nicht zeigen, dass es relevante Anforderungen vollständig identifiziert hat.
Unklare Zuständigkeiten Maßnahmen bleiben liegen oder werden mehrfach, aber nicht verbindlich bearbeitet.
Fehlende Fristenüberwachung Gesetzliche Melde-, Prüf- oder Aktualisierungspflichten werden übersehen.
Maßnahmen ohne Nachweis Eine Maßnahme mag umgesetzt sein, ist aber nicht belegbar.
Keine Wirksamkeitskontrolle Das Unternehmen weiß nicht, ob Richtlinien, Schulungen oder Kontrollen tatsächlich funktionieren.

Gerade deshalb ist ein gepflegtes Rechtskataster für viele Unternehmen mehr als eine Übersicht. Es ist die Grundlage für auditfähige Compliance-Steuerung.

Die 10-Schritte-Checkliste für auditfeste Compliance

  1. Geltungsbereich festlegen

Vor jedem Audit sollte klar sein, welche Standorte, Gesellschaften, Prozesse, Rechtsbereiche und Managementsysteme betrachtet werden. Ohne definierten Geltungsbereich entsteht schnell ein Audit, das entweder zu oberflächlich bleibt oder sich in Einzelfragen verliert.

Praktisch heißt das: Unternehmen sollten vorab festlegen, ob etwa Datenschutz, Arbeitsschutz, Umweltrecht, IT-Sicherheit, Lieferkettenpflichten, KI-Nutzung oder branchenspezifische Pflichten geprüft werden.

  1. Relevante Pflichten im Rechtskataster erfassen

Das Rechtskataster sollte nicht nur Gesetze sammeln. Entscheidend ist die Übersetzung in konkrete Unternehmenspflichten.

Ein nutzwertiger Aufbau ist:

Feld im Rechtskataster Beispiel
Rechtsquelle Gesetz, Verordnung, Norm, Genehmigung, Bescheid
konkrete Pflicht Prüfung, Meldung, Schulung, Dokumentation, Risikoanalyse
betroffener Bereich Einkauf, HR, Produktion, IT, Datenschutz, Facility Management
Verantwortlicher Person oder Rolle
Frist / Intervall einmalig, jährlich, anlassbezogen, monatlich
Maßnahme Was muss getan werden?
Nachweis Womit wird die Erfüllung belegt?
Status offen, in Bearbeitung, umgesetzt, überfällig
letzte Prüfung Datum der letzten Kontrolle
nächste Prüfung Datum der nächsten Kontrolle

Die BAFA-Handreichungen zum Lieferkettensorgfaltspflichtengesetz zeigen beispielhaft, wie wichtig eine strukturierte Risikoermittlung, Gewichtung und Priorisierung ist. Dieses Prinzip lässt sich auch auf andere Compliance-Bereiche übertragen: Pflichten müssen nicht nur gesammelt, sondern bewertet und priorisiert werden.

  1. Risiken bewerten

Nicht jede Pflicht hat dieselbe Bedeutung. Ein wirksames Compliance-Audit sollte risikoorientiert vorgehen.

Dabei können Unternehmen prüfen:

Bewertungsfrage Nutzen
Wie wahrscheinlich ist ein Verstoß? Priorisierung knapper Ressourcen
Wie schwer wären die Folgen? Fokus auf Bußgelder, Haftung, Betriebsunterbrechung, Reputationsschäden
Welche Bereiche sind besonders betroffen? zielgenaue Maßnahmenplanung
Gibt es neue rechtliche Anforderungen? Aktualisierung des Rechtskatasters
Gab es Vorfälle, Beschwerden oder Auditfeststellungen? Lernen aus tatsächlichen Schwachstellen

Auch die BAFA-Handreichung zum Prinzip der Angemessenheit zeigt, dass Umsetzungspflichten nicht losgelöst vom Risiko betrachtet werden sollten, sondern nach Art und Umfang der Geschäftstätigkeit, Einflussvermögen, Schwere und Wahrscheinlichkeit der Verletzung sowie Verursachungsbeitrag einzuordnen sind.

  1. Verantwortlichkeiten verbindlich zuordnen

Eine Pflicht ohne Verantwortlichen ist im Audit eine offene Flanke. Deshalb sollte jede relevante Compliance-Pflicht einer Rolle oder Person zugeordnet sein.

Wichtig ist dabei die Unterscheidung zwischen:

Rolle Aufgabe
Pflichtverantwortlicher sorgt für Umsetzung im Fachbereich
Compliance / Rechtsabteilung unterstützt, bewertet, koordiniert
Geschäftsleitung trägt Gesamtverantwortung und stellt Ressourcen bereit
Interne Revision / Auditfunktion prüft unabhängig oder risikoorientiert
Dokumentationsverantwortlicher stellt Nachweise vollständig bereit

Die NIS-2-Richtlinie zum Beispiel macht deutlich, dass Cybersicherheit nicht nur IT-Sache ist: Sie enthält Governance-Anforderungen und Risikomanagementmaßnahmen für betroffene Einrichtungen. Übertragen auf Compliance-Audits heißt das: Zuständigkeiten müssen auf Leitungsebene und in den Fachbereichen klar geregelt sein.

  1. Maßnahmen ableiten

Aus jeder relevanten Pflicht sollte mindestens eine konkrete Maßnahme folgen. Das kann eine Richtlinie, Schulung, Kontrolle, Prüfung, technische Maßnahme, Lieferantenbewertung oder Dokumentation sein.

Ein auditfähiger Maßnahmenplan sollte mindestens enthalten:

Element Leitfrage
Maßnahme Was wird konkret getan?
Ziel Welche Pflicht oder welches Risiko wird adressiert?
Verantwortlicher Wer setzt die Maßnahme um?
Frist Bis wann?
Nachweis Woran erkennt man die Umsetzung?
Wirksamkeitsprüfung Wie wird überprüft, ob die Maßnahme funktioniert?

Gerade hier entsteht der größte Nutzwert eines digitalen Rechtskatasters: Es verbindet Pflichten mit Aufgaben, Fristen, Nachweisen und Kontrollen.

  1. Nachweise definieren

Ein häufiger Irrtum lautet: „Wenn die Maßnahme erledigt ist, reicht das.“ Im Audit zählt aber, ob die Umsetzung nachvollziehbar belegt werden kann.

Beispiele für geeignete Nachweise:

Compliance-Bereich Mögliche Nachweise
Datenschutz Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept, Datenschutz-Folgenabschätzung, Schulungsnachweise
IT-Sicherheit Risikoanalysen, Backup-Protokolle, Incident-Reports, Berechtigungskonzepte
Arbeitsschutz Gefährdungsbeurteilungen, Unterweisungsnachweise, Prüfprotokolle
Umwelt / Energie Genehmigungen, Messberichte, Wartungsnachweise, Abfallnachweise
Lieferkette Risikoanalyse, Lieferantenbewertungen, Maßnahmenpläne, Beschwerdeverfahren
KI-Nutzung KI-Richtlinie, Tool-Verzeichnis, Risikobewertung, Transparenzhinweise, Schulungen

Auditfähigkeit entsteht nicht durch Absichtserklärungen, sondern durch belastbare Dokumente und überprüfbare Umsetzung.

  1. Wirksamkeit prüfen

Compliance ist nicht schon deshalb wirksam, weil eine Richtlinie veröffentlicht wurde. Unternehmen sollten regelmäßig prüfen, ob Maßnahmen tatsächlich funktionieren.

Geeignete Prüffragen sind:

Prüffrage Beispiel
Wird die Regel im Alltag angewendet? Stichproben in Prozessen
Verstehen Mitarbeitende die Vorgabe? Schulungstests oder Interviews
Gibt es Verstöße oder Beinahe-Vorfälle? Incident-Auswertung
Sind Nachweise vollständig? Dokumentenprüfung
Wurden Korrekturmaßnahmen umgesetzt? Follow-up-Audit

Die ISO 37301 betont nicht nur die Einführung, sondern auch Bewertung, Aufrechterhaltung und Verbesserung des Compliance-Management-Systems. Damit gehört Wirksamkeitskontrolle zum Kern einer lebendigen Compliance-Organisation.

  1. Abweichungen dokumentieren und Maßnahmen nachverfolgen

Ein Audit ohne Follow-up bringt wenig. Festgestellte Abweichungen sollten nicht in Protokollen verschwinden, sondern in konkrete Korrekturmaßnahmen überführt werden.

Ein praxistaugliches Abweichungsregister enthält:

Feld Zweck
Auditfeststellung Was wurde festgestellt?
Risiko Welche Auswirkung hat die Abweichung?
Ursache Warum ist die Abweichung entstanden?
Korrekturmaßnahme Was wird geändert?
Verantwortlicher Wer kümmert sich?
Frist Bis wann?
Status offen, in Bearbeitung, erledigt
Wirksamkeitsprüfung Hat die Maßnahme das Problem gelöst?

Das ist besonders wichtig, wenn Unternehmen mehrere Managementsysteme parallel betreiben, etwa Compliance, Informationssicherheit, Umweltmanagement oder Arbeitsschutz.

  1. Auditprogramm planen

Ein einzelnes Audit ist gut. Ein geplantes Auditprogramm ist besser. Unternehmen sollten deshalb festlegen, welche Bereiche wann, wie tief und durch wen geprüft werden. Ein einfaches Jahresprogramm kann so aussehen:

Quartal Schwerpunkt
Q1 Aktualität Rechtskataster, neue gesetzliche Anforderungen
Q2 Datenschutz, IT-Sicherheit, NIS-2-Betroffenheit
Q3 Arbeitsschutz, Umwelt, Anlagen- und Betriebspflichten
Q4 Lieferkette, Schulungen, Management-Review, Maßnahmen-Follow-up

Wichtig ist: Das Auditprogramm sollte risikoorientiert sein. Bereiche mit hohen Risiken, neuen Pflichten oder früheren Abweichungen sollten häufiger geprüft werden.

  1. Ergebnisse managementtauglich berichten

Ein Compliance-Audit sollte nicht in einer langen Mängelliste enden, die niemand liest. Die Geschäftsleitung braucht eine klare Entscheidungsgrundlage.

Ein guter Auditbericht beantwortet:

Frage Inhalt
Wo bestehen wesentliche Risiken? Top-Risiken und betroffene Bereiche
Welche Pflichten sind kritisch? Fristen, Bußgeldrisiken, Haftungsrisiken
Was funktioniert gut? vorhandene Stärken und wirksame Kontrollen
Wo bestehen Lücken? Abweichungen und Ursachen
Was muss entschieden werden? Ressourcen, Prioritäten, Verantwortlichkeiten
Bis wann muss gehandelt werden? Maßnahmenplan mit Fristen

Damit wird Compliance vom Kontrollthema zum Steuerungsinstrument.

Mini-Check: Ist Ihr Unternehmen auditbereit?

Unternehmen können mit diesen zehn Fragen schnell prüfen, wie auditfest ihre Compliance derzeit ist:

Frage Ja / Nein
Gibt es ein aktuelles Rechtskataster?
Sind alle Pflichten konkreten Verantwortlichen zugeordnet?
Gibt es Fristen und Wiedervorlagen?
Sind Maßnahmen aus Pflichten abgeleitet?
Gibt es zu jeder wesentlichen Maßnahme einen Nachweis?
Werden Risiken bewertet und priorisiert?
Werden Änderungen im Recht regelmäßig eingepflegt?
Werden Maßnahmen auf Wirksamkeit geprüft?
Gibt es ein Abweichungs- und Maßnahmenmanagement?
Erhält die Geschäftsleitung regelmäßige Compliance-Berichte?

Je häufiger die Antwort „Nein“ lautet, desto größer ist das Risiko, dass Compliance zwar organisatorisch gewollt, aber nicht auditfest nachweisbar ist.

Compliance braucht Belege, nicht Bauchgefühl

Compliance-Audits sind kein Selbstzweck. Sie zeigen, ob ein Unternehmen seine Pflichten kennt, Risiken angemessen bewertet, Maßnahmen wirksam umsetzt und Nachweise geordnet vorhalten kann.

Der größte Hebel liegt in der Verbindung von Rechtskataster, Risikobewertung, Maßnahmenmanagement und Nachweisführung. Wer diese vier Elemente sauber verknüpft, ist nicht nur besser auf Audits vorbereitet, sondern steuert Compliance auch im Alltag deutlich zuverlässiger.

Produkthaftung

Produkthaftung 2.0: Warum die EU-Richtlinie 2024/2853 zur Compliance-Zeitbombe für Unternehmen werden kann

Die neue EU-Produkthaftungsrichtlinie verändert das Verhältnis zwischen Innovation, Digitalisierung und Unternehmenshaftung grundlegend. Was bislang häufig als juristisches Randthema behandelt wurde, entwickelt sich nun zu einem zentralen Compliance-Thema für Geschäftsführung, IT, Produktentwicklung, Qualitätsmanagement und Cybersecurity.

Dabei liegt die eigentliche Sprengkraft nicht in der Tatsache, dass Unternehmen künftig stärker haften. Die eigentliche Herausforderung ist, dass die Richtlinie die klassische Produkthaftung erstmals vollständig in die digitale Welt überträgt — einschließlich Software, KI-Systemen, Cloud-Funktionen, Updates und datenbasierter Dienste.

Die Mitgliedstaaten müssen die Richtlinie (EU) 2024/2853 bis spätestens 9. Dezember 2026 in nationales Recht umsetzen. Für Unternehmen bedeutet das: Die Zeit bis Ende 2026 ist keine Übergangsphase zum Abwarten — sondern die letzte realistische Gelegenheit, Compliance-Strukturen belastbar aufzubauen.

Was sich mit der neuen Produkthaftung grundlegend ändert

Die bisherige Produkthaftung basierte weitgehend auf einem industriellen Weltbild: physische Produkte, klar identifizierbare Hersteller, statische Funktionen. Dieses Modell passt nicht mehr zu modernen digitalen Ökosystemen. Die neue Richtlinie erweitert deshalb den Produktbegriff massiv. Künftig gelten ausdrücklich auch:

  • Software,
  • digitale Konstruktionsdaten,
  • Updates und Upgrades

als haftungsrelevante Produkte oder Produktbestandteile. Auch KI-gestützte Software und KI-Funktionalitäten können künftig ausdrücklich vom erweiterten Produktbegriff erfasst sein. Bestimmte verbundene digitale Dienste können haftungsrechtlich relevant werden, wenn sie für die Funktion eines Produkts wesentlich sind. Das ist kein kosmetisches Update, sondern ein Paradigmenwechsel. Ein Softwarefehler, ein fehlerhaftes KI-Modell, ein unsicheres Update oder eine mangelhafte Cloud-Anbindung können künftig dieselben haftungsrechtlichen Konsequenzen auslösen wie ein klassischer Konstruktionsfehler in einer Maschine.

Der eigentliche Gamechanger: Compliance wird zur Haftungsverteidigung

Die Richtlinie verschiebt die Logik der Produkthaftung. Bislang konnten Unternehmen häufig argumentieren: „Der konkrete Fehler lässt sich nicht eindeutig nachweisen.“ Künftig wird genau das schwieriger. Die neue Richtlinie erleichtert Geschädigten ausdrücklich die Durchsetzung von Ansprüchen — unter anderem durch:

  • Offenlegungspflichten für Unternehmen,
  • erleichterte Beweisführung,
  • Vermutungsregelungen zum Kausalzusammenhang,
  • erweiterte Dokumentationsanforderungen.

Das verändert die Rolle von Compliance fundamental: Sie gewinnt zusätzlich eine erhebliche Bedeutung für die prozessuale Verteidigung und Nachweisführung. Wer Risiken, Tests, Updates, Sicherheitsmaßnahmen und Governance nicht dokumentieren kann, verliert im Ernstfall möglicherweise nicht wegen eines technischen Fehlers, sondern wegen fehlender Nachweisfähigkeit.

Warum viele Unternehmen die Tragweite unterschätzen
Viele Organisationen betrachten die Richtlinie derzeit noch als „weiteres EU-Regulierungsthema“. Genau darin liegt das Risiko. Denn die neue Produkthaftung trifft nicht nur klassische Hersteller. Haftungsrelevant werden unter Umständen auch:

  • Softwareanbieter,
  • SaaS-Plattformen,
  • Integratoren,
  • Importeur:innen,
  • Fulfillment-Dienstleister,
  • Händler,
  • Unternehmen mit White-Label-Produkten,
  • Betreiber KI-gestützter Systeme,
  • Unternehmen mit Connected-Device-Ökosystemen.

Besonders problematisch: Viele mittelständische Unternehmen besitzen heute längst produktähnliche digitale Funktionen, ohne sich selbst als „Produkthersteller“ zu verstehen. Beispiele:

  • Maschinenbauer mit Remote-Maintenance,
  • MedTech-Unternehmen mit Cloud-Diagnostik,
  • Logistikplattformen mit KI-Entscheidungen,
  • IoT-Produkte mit OTA-Updates,
  • HR-Software mit automatisierten Bewertungen,
  • Smart-Building-Systeme,
  • digitale Patienten- oder Kundenschnittstellen.

Juristisch verschwimmt die Grenze zwischen „Produkt“, „Service“ und „Softwarefunktion“ zunehmend. Genau dadurch entsteht ein enormes Compliance-Risiko. Eine erhebliche Risikozunahme besteht auch durch die beträchtlichen Beweiserleichterungen für Verbraucher im Schadensfall.

Cybersecurity wird zum Haftungsthema

Besonders brisant ist die ausdrückliche Einbeziehung sicherheitsrelevanter Cybersecurity-Aspekte in die Fehlerbewertung eines Produkts. Das bedeutet praktisch: Ein Produkt kann künftig bereits deshalb als fehlerhaft gelten, weil

  • bekannte Schwachstellen nicht geschlossen wurden,
  • Updates fehlen,
  • Sicherheitsmechanismen unzureichend sind,
  • unsichere Drittkomponenten integriert wurden,
  • keine angemessene Sicherheitsarchitektur existiert.

Damit verschmilzt Produkthaftung zunehmend mit:

  • NIS2,
  • CRA (Cyber Resilience Act),
  • AI Act,
  • DSGVO,
  • ISO-27001-ähnlichen Sicherheitsstandards.

Unternehmen benötigen künftig keine isolierten Compliance-Projekte mehr, sondern integrierte Governance-Strukturen.

KI-Systeme: Das unterschätzte Langzeitrisiko

Die Richtlinie adressiert ausdrücklich auch KI-Systeme und dynamische Software. Gerade bei lernenden Systemen entsteht dadurch ein hochkomplexes Haftungsproblem: Wer trägt Verantwortung, wenn sich ein KI-System nach dem Inverkehrbringen verändert? Die Richtlinie wirft neue Haftungsfragen für adaptive und lernende Systeme auf, insbesondere wenn sich Funktionen nach dem Inverkehrbringen verändern. Das stellt viele heutige KI-Governance-Ansätze infrage.

Denn zahlreiche Unternehmen dokumentieren aktuell zwar Modelltraining, Initialtests und Datenschutzmaßnahmen, aber nicht ausreichend:

  • Drift-Überwachung,
  • Modellveränderungen,
  • Prompt-Manipulationen,
  • nachgelagerte Risiken,
  • Sicherheitsupdates,
  • menschliche Kontrollmechanismen.

Gerade generative KI und agentische KI-Systeme könnten hier zu erheblichen Rechtsunsicherheiten führen. Aktuelle wissenschaftliche Analysen weisen bereits darauf hin, dass dynamische KI-Agenten erhebliche Compliance-Herausforderungen im Zusammenspiel mit AI Act, Cybersecurity- und Produkthaftungsrecht erzeugen.

Dokumentation wird zur zentralen Überlebensstrategie

Die neue Produkthaftung belohnt nicht das „sicherste“ Unternehmen — sondern häufig das am besten dokumentierte. Entscheidend werden künftig unter anderem:

  • technische Dokumentationen,
  • Versionierung,
  • Risikobewertungen,
  • Testprotokolle,
  • Vulnerability-Management,
  • Lieferkettennachweise,
  • Open-Source-Dokumentation,
  • Verantwortlichkeitszuordnungen,
  • Incident-Historien.

Das ist insbesondere für Unternehmen problematisch, deren Entwicklungsprozesse historisch gewachsen sind. Denn viele Organisationen besitzen keine vollständige Software-Stückliste (SBOM), keine revisionssichere Updatehistorie, keine klare KI-Governance, keine belastbare Nachweiskette für Sicherheitsentscheidungen. Im Streitfall kann genau das existenzbedrohend werden.

Was Unternehmen jetzt konkret tun sollten

  1. Digitale Produkte identifizieren

Viele Unternehmen wissen nicht einmal, welche ihrer Leistungen künftig als „Produkt“ gelten könnten. Ein vollständiges Product-Mapping wird zwingend notwendig.

  1. Compliance-Silos auflösen

Produkthaftung darf nicht isoliert betrachtet werden. Relevante Bereiche müssen gemeinsam arbeiten:

  • Legal,
  • IT-Security,
  • Produktmanagement,
  • Qualitätsmanagement,
  • Datenschutz,
  • Einkauf,
  • KI-Governance.
  1. Dokumentationsfähigkeit prüfen

Die zentrale Frage lautet nicht „Sind wir compliant?“, sondern „Können wir unsere Compliance gerichtsfest nachweisen?“

  1. Cybersecurity als Haftungsprävention verstehen

Security wird künftig nicht mehr nur IT-Thema sein, sondern unmittelbarer Bestandteil der Produktsicherheit.

  1. KI-Governance professionalisieren

Unternehmen benötigen belastbare Prozesse für:

  • Modellkontrolle,
  • menschliche Aufsicht,
  • Änderungsmanagement,
  • Auditierbarkeit,
  • Sicherheitsüberwachung.

Dezember 2026 ist näher als viele glauben

Die EU-Produkthaftungsrichtlinie 2024/2853 ist keine rein juristische Reform. Sie verändert die operative Verantwortung digitaler Unternehmen grundlegend. Besonders gefährlich ist dabei die trügerische Ruhephase bis Dezember 2026. Denn wer erst auf nationale Umsetzungsgesetze wartet, verliert wertvolle Vorbereitungszeit. Die neue Realität lautet:

  • Digitale Funktionen werden zu haftungsrelevanten Produkten.
  • Cybersecurity wird Teil der Produktsicherheit.
  • KI-Systeme erzeugen neue Dauerhaftungsrisiken.
  • Dokumentation wird zur Verteidigungslinie vor Gericht.
  • Compliance entwickelt sich vom Verwaltungsprozess zum unternehmerischen Schutzschild.

Die Unternehmen mit den größten Problemen werden vermutlich nicht jene sein, die unsichere Produkte entwickeln — sondern jene, die ihre Sicherheit nicht beweisen können.

Nachhaltigkeitsberichterstattung

EU lockert Nachhaltigkeitsregeln für Unternehmen

Die Europäische Union hat das Omnibus-I-Paket zur Nachhaltigkeitsregulierung Ende 2025 auf den Weg gebracht und die Trilogverhandlungen abgeschlossen. Im Mittelpunkt stehen Erleichterungen bei der Nachhaltigkeitsberichterstattung, bei unternehmerischen Sorgfaltspflichten und bei Vorgaben der europäischen Taxonomie-Verodnung. Für Unternehmen bedeutet das weniger Pflichtumfang, aber keine Entwarnung für die Nachhaltigkeitscompliance.

Reformziel Omnibus-I-Paket

Das Omnibus-I-Paket soll bestehende Nachhaltigkeitsvorgaben vereinfachen und den administrativen Aufwand senken. Die Reform reagiert damit auf Kritik aus der Wirtschaft, Berichts- und Prüfpflichten für viele Unternehmen seien zu umfangreich geworden. Zugleich bleibt der politische Anspruch, wesentliche Transparenz- und Sorgfaltsstandards zu erhalten.

Besonders wichtig: Der Kreis unmittelbar betroffener Unternehmen wird deutlich kleiner. So soll die Pflicht zur Nachhaltigkeitsberichterstattung künftig erst ab 1.000 Beschäftigten und 450 Millionen Euro Nettoumsatz greifen. Die Vereinfachungen gelten rückwirkend ab Geschäftsjahr 2025.

Die folgende Tabelle fasst die wesentlichen Änderungen durch das Omnibus-I-Paket an der EU-Taxonomie-Verordnung (vorher: Verordnung (EU) 2020/852 mit Delegierten Akten) gegenüber dem Status vor der Reform zusammen.

Bereich Vorherige Regelung Nach Omnibus-I-Paket
Adressatenkreis Große Unternehmen (z. B. > 500 Beschäftigte, hohe Umsatzschwellen) müssen Umsatz/CapEx/OpEx taxonomiekonform angeben. Beschränkt auf die größten Unternehmen; Reduktion des Berichtsumfangs um bis zu 70%.
Wesentlichkeitsschwelle Keine kumulative Schwelle; alle relevanten Tätigkeiten vollständig zu prüfen und anzugeben. Unwesentliche Tätigkeiten (< 10% Umsatz/ CapEx/ OpEx je Kennzahl) können ausgelassen werden; separate Mitteilung erforderlich.
Meldebögen/Templates Umfangreiche Angaben mit vielen Datenpunkten. Vereinfachte Vorlagen; Reduktion um ca. 64% der Datenpunkte.
DNSH-Kriterien (Do No Significant Harm) Strenge Prüfung aller Stoffe (z. B. Ozonabbau, RoHS, SVHC-Liste REACH) ohne Ausnahmen. Vereinfacht: Ausnahmen für bestimmte Stoffe klarer formuliert (z. B. Ozon, RoHS-Übergänge, SVHC ab 0,1% mit Dokumentation); REACH-Kandidatenliste gestrichen.
Anwendung Vollständig seit 2022/2024. Änderungen ab 2026, optional rückwirkend für 2025; teilweise Bericht über teilkonforme Tätigkeiten möglich.

Folgen für die Berichtspflicht

Die Pflicht zur Nachhaltigkeitsberichterstattung wird damit deutlich stärker auf große Unternehmen konzentriert. Viele Unternehmen, die nach früheren Vorgaben hätten berichten müssen, werden nach der Reform nicht mehr unmittelbar erfasst. Für die verbleibenden Adressaten soll der Berichtsumfang zugleich übersichtlicher und handhabbarer werden.

Auch bei den unternehmerischen Sorgfaltspflichten ist eine Abschwächung vorgesehen. Die neuen Regeln setzen stärker auf risikoorientierte Prüfungen und auf höhere Schwellenwerte, statt breite Lieferkettenprüfungen in gleicher Intensität zu verlangen. Außerdem verschiebt sich der Beginn einzelner Pflichten zeitlich nach hinten.

Die Anforderungen der europäischen Taxonomie-Verordnung werden ebenfalls reduziert. Sie dienen der einheitlichen Klassifizierung wirtschaftlicher Aktivitäten als ökologisch nachhaltig. Der Schwerpunkt liegt künftig stärker auf den größten Unternehmen, während der Meldeaufwand für andere Unternehmen sinken soll.

Auswirkungen Omnibus-I-Paket auf die Compliance

Für die Unternehmenscompliance entsteht zunächst ein Entlastungseffekt. Weniger Berichtspflichten bedeuten weniger Datensammlung, weniger Abstimmungsaufwand und einen geringeren Bedarf an externer Prüfung. Das ist vor allem für Unternehmen wichtig, die bisher viel Aufwand in Nachhaltigkeitsstrukturen investieren mussten.

Die Entlastung darf jedoch nicht mit einem Wegfall aller Pflichten verwechselt werden. Auch Unternehmen außerhalb des unmittelbaren Pflichtenkreises können weiterhin Nachhaltigkeitsdaten liefern müssen, etwa gegenüber Kunden, Kreditgebern oder Konzernunternehmen. In der Praxis verlagert sich der Druck daher häufig von der Regulierung auf die Geschäftsbeziehungen.

Für die Compliance-Funktion bleibt deshalb die Aufgabe bestehen, Zuständigkeiten, Datenqualität und Dokumentation belastbar zu organisieren. Gerade wenn weniger gesetzliche Einzelvorgaben gelten, werden interne Steuerung, klare Prozesse und nachvollziehbare Kontrollen wichtiger.

Insgesamt ist das Omnibus-I-Paket als Kurskorrektur zu bewerten. Die Europäische Union versucht, die Nachhaltigkeitsregulierung auf ein praktikableres Maß zurückzuführen, ohne den Grundsatz von Transparenz und Verantwortung aufzugeben.

Für Unternehmen ist jetzt entscheidend, die neuen Schwellenwerte, Fristen und Restpflichten genau zu prüfen. Wer seine Compliance-Strukturen anpasst, sollte nicht nur auf die formale Berichtspflicht schauen, sondern auch auf die Anforderungen aus Lieferketten, Finanzierung und Vertrieb.

Die zentrale Botschaft lautet daher: weniger Pflicht, aber nicht weniger Sorgfalt. Nachhaltigkeits-Compliance bleibt ein Thema, nur mit engerem gesetzlichem Zuschnitt und stärkerem Fokus auf die tatsächlich relevanten Risiken.

Sicherheitsbeauftragter

Neue Regeln zu Sicherheitsbeauftragten: Weniger Pflichten, mehr Eigenverantwortung?

Der Deutsche Bundestag hat am 26. März 2026 eine weitreichende Änderung des Siebten Buches Sozialgesetzbuch (§ 22 SGB VII) beschlossen, die den betrieblichen Arbeitsschutz in Deutschland grundlegend neu ordnet. Kernpunkt der Reform ist die deutliche Anhebung des Schwellenwerts für die verpflichtende Bestellung von Sicherheitsbeauftragten. Während bislang Betriebe bereits ab 20 regelmäßig Beschäftigten eine solche Position besetzen mussten, greift diese pauschale Pflicht künftig erst ab einer Schwelle von 50 Mitarbeitern.

Diese Entscheidung folgt einer Initiative der Bundesregierung zur Entbürokratisierung und soll Unternehmen schätzungsweise 135 Millionen Euro pro Jahr an Verwaltungs- und Schulungskosten einsparen. Nach Angaben des Bundesministeriums für Arbeit und Soziales könnten durch die Neuregelung rund 123.000 bisherige Posten für Sicherheitsbeauftragte entfallen. Für Unternehmen in der Größenklasse zwischen 20 und 49 Beschäftigten gilt nun ein risikobasierter Ansatz: Eine Bestellung ist nur noch dann zwingend erforderlich, wenn die Gefährdungsbeurteilung nach § 5 Arbeitsschutzgesetz besondere Risiken aufzeigt oder die Unfallversicherungsträger dies in ihren Unfallverhütungsvorschriften explizit vorschreiben.

Die Argumente der Befürworter: Flexibilität statt Formularwesen

Wirtschaftsverbände und Handwerkskammern begrüßen die Reform als längst überfälligen Schritt zur Entlastung kleiner und mittelständischer Unternehmen (KMU), weil die starre 20-Personen-Grenze in modernen Büroumgebungen oder im Dienstleistungssektor oft nicht mehr der realen Gefahrenlage entsprochen habe. Durch weniger pauschale Pflicht erhielten Betriebe mehr organisatorische Freiheit. Die Befürworter betonen, dass die unternehmerische Verantwortung für die Sicherheit der Mitarbeiter unberührt bleibe, da die allgemeine Pflicht zur Gefährdungsbeurteilung weiterhin bestehe. Zudem sichere die risikoorientierte Lösung für Betriebe bis 50 Personen ab, dass in Branchen mit hohem Unfallrisiko – etwa im Baugewerbe – weiterhin Fachpersonal vor Ort präsent bleibt.

Ein gefährliches Spiel mit der Prävention?

Kritiker und Arbeitsschutzexperten sehen in der Neuregelung hingegen eine Aufweichung bewährter Sicherheitsstandards. Sicherheitsbeauftragte seien gerade deshalb so wertvoll, weil sie eben keine externen Berater, sondern Kollegen vor Ort sind. Sie fungieren als “Augen und Ohren” der Prävention im Alltag. Durch die Anhebung des Schwellenwerts werde der Arbeitsschutz in zehntausenden Betrieben von einer gelebten, personengebundenen Struktur in eine rein dokumentationsbasierte Pflicht (die Gefährdungsbeurteilung) überführt.

Das Gesetz wird voraussichtlich Ende Mai 2026 nach der Zustimmung des Bundesrates in Kraft treten. Während die Politik von einem “Befreiungsschlag gegen die Bürokratie” spricht, bleibt abzuwarten, ob die Unfallzahlen in kleineren Betrieben stabil bleiben.

Die Umkehr der Beweislast in der Compliance-Praxis

Die praktische Umsetzung der Neuregelung stellt Unternehmen vor eine paradoxe Herausforderung: Während die administrative Last der offiziellen Bestellung sinkt, steigen die Anforderungen an die rechtssichere Dokumentation und die interne Compliance-Struktur deutlich an.

Bisher galt die Bestellung eines Sicherheitsbeauftragten ab 20 Mitarbeitern als klarer “Safe Harbor”. Unternehmen konnten durch die bloße Ernennung und Schulung eine zentrale gesetzliche Anforderung leicht nachweisen. Mit dem neuen risikobasierten Ansatz für Betriebe bis 50 Beschäftigte verschiebt sich der Fokus von der formalen Pflicht zur inhaltlichen Rechtfertigung. In der Praxis bedeutet dies: Verzichtet ein Unternehmen künftig auf einen Beauftragten, muss die Gefährdungsbeurteilung so detailliert und fachlich fundiert sein, dass sie einer Prüfung durch die Berufsgenossenschaft oder im Falle eines Unfalls sogar einer staatsanwaltschaftlichen Ermittlung standhält.

Die Compliance-Abteilungen müssen daher neue Prüfprozesse implementieren. Es reicht nicht mehr aus, eine Mitarbeiterliste zu prüfen; es muss kontinuierlich evaluiert werden, ob sich die Risikoprofile im Betrieb ändern – etwa durch die Einführung neuer Maschinen, Chemikalien oder veränderter Arbeitsabläufe. Jede dieser Änderungen könnte die Schwelle zur Bestellungspflicht erneut überschreiten, was eine dynamische Überwachung der Gefährdungslage erfordert.

AWG-Novelle

Gamechanger für Compliance: Die neue Strafschärfe im Außenwirtschaftsgesetz

Die AWGNovelle 2026 verschärft das deutsche Sanktionsstrafrecht grundlegend. Zahlreiche Verstöße gegen EURestriktionen gelten nun als Straftaten, auch bei grober Fahrlässigkeit. Unternehmen müssen Sanktionslisten in Echtzeit prüfen und ihre ComplianceSysteme nachweisbar aufrüsten – andernfalls drohen erhebliche Bußgelder, auch persönlich bei der Geschäftsleitung und strafrechtliche Sanktionen.

Die AWG-Novelle 2026 (Gesetz zur Anpassung von Straftatbeständen und Sanktionen bei Verstößen gegen restriktive Maßnahmen der EU) markiert eine Zäsur im deutschen Außenwirtschaftsrecht. Durch die Umsetzung der EU-Richtlinie 2024/1226 wurde das Sanktionsstrafrecht massiv verschärft. Seit dem Inkrafttreten am 5. Februar 2026 stehen Geschäftsführer und Unternehmen unter einem beispiellosen Compliance-Druck.

AWG-Novelle: Von der Ordnungswidrigkeit zur Straftat

Die Reform transformiert zahlreiche Tatbestände, die bisher lediglich als Ordnungswidrigkeiten (Bußgelder) geahndet wurden, in vollwertige Straftatbestände.

  • Kriminalisierung von Finanz- und Transaktionsverboten: Verstöße gegen Bereitstellungsverbote, Investitionsverbote oder das Erbringen bestimmter Dienstleistungen (z. B. Rechtsberatung oder IT-Services für sanktionierte Einheiten) sind nun gemäß § 18 AWG n.F. grundsätzlich Straftaten.
  • Strafbarkeit von Leichtfertigkeit: Erstmals werden auch leichtfertige (grob fahrlässige) Verstöße im Bereich der Dual-Use-Güter sowie bestimmte Umgehungstatbestände unter Strafe gestellt (§ 18 Abs. 8a AWG). Bisher war hier meist Vorsatz für eine strafrechtliche Verfolgung nötig.
  • Wegfall der 2-Tage-Karenzzeit: Die bisherige „Schonfrist“, nach der Verstöße gegen neue EU-Sanktionslisten in den ersten zwei Tagen oft straffrei blieben (§ 18 Abs. 11 AWG a.F.), wurde ersatzlos gestrichen. Unternehmen müssen Listenänderungen nun unverzüglich (Echtzeit-Anforderung) umsetzen.

Haftungsrisiken für Geschäftsführer und Management

Für die Leitungsorgane verschiebt sich das Risiko von reinen Bußgeldern hin zu persönlichen strafrechtlichen Konsequenzen.

Strafmaß und persönliche Folgen

  • Freiheitsstrafen: Der reguläre Strafrahmen für vorsätzliche Verstöße liegt bei drei Monaten bis zu fünf Jahren. In besonders schweren Fällen (§ 18 Abs. 6a AWG), etwa bei organisierter Verschleierung oder bandenmäßiger Umgehung, drohen bis zu 10 Jahre Haft.
  • Garantenstellung: Geschäftsführer begehen nach § 130 OWiG eine Ordnungswidrigkeit, wenn sie es unterlassen, ein angemessenes Compliance-System (ICP – Internal Compliance Program) einzurichten. Das Bußgeld kann dabei bis zu einer Million Euro betragen.
  • Berufsverbot: Eine strafrechtliche Verurteilung wegen AWG-Verstößen führt in der Regel zur Unzuverlässigkeit im Sinne der Gewerbeordnung und kann ein dauerhaftes Berufsverbot als Geschäftsführer nach sich ziehen.

Sanktionen gegen das Unternehmen

Die wirtschaftlichen Folgen für juristische Personen wurden vervierfacht:

Aspekt Alte Rechtslage (vor 2026) Neue Rechtslage (ab Feb. 2026)
Max. Bußgeld 10 Mio. EUR 40 Mio. EUR (§ 19 Abs. 7 AWG)
Umsatzbezug Kaum verankert Orientierung am weltweiten Konzernumsatz möglich
Einziehung Taterträge (Brutto-Prinzip) Verschärfte Abschöpfung aller Gewinne

Zusätzlich droht die Anteilspflegschaft (§§ 6b ff. AWG): Das Gericht kann bei schwerwiegenden Verstößen einen staatlichen Aufseher einsetzen, der Stimmrechte übernimmt und den Einfluss der Gesellschafter faktisch ausschaltet.

Auswirkungen der AWG‑Novelle 2026 auf die Unternehmenscompliance

Die Novelle erzwingt ein „Upgrade“ bestehender Systeme. Ein „Papiertiger-Compliance-Handbuch“ reicht nicht mehr aus.

  • Echtzeit-Screening: Da die Karenzzeit entfallen ist, müssen IT-Systeme Sanktionslisten-Updates (z. B. EU Financial Sanctions Database) automatisiert und unmittelbar verarbeiten.
  • Erweiterte Due Diligence: Die Neufassung des Umgehungsverbots (§ 18 Abs. 1 Nr. 3 AWG) verlangt eine tiefere Prüfung der „wirtschaftlich Berechtigten“ (Ultimate Beneficial Owner – UBO). Wer „die Augen verschließt“, handelt bereits leichtfertig und damit strafbar.
  • Dokumentationspflichten: Angesichts der Beweislastumkehr-Tendenzen in der Praxis müssen Freigabeprozesse (End-Use-Statements) revisionssicher dokumentiert werden, um den Entlastungsbeweis im Ermittlungsfall führen zu können.
PFAS

Ende der PFAS-Ära? Strenge Verbote und Compliance-Fallen für Unternehmen

Seit geraumer Zeit verschärfen sich in der EU die Vorschriften für Per- und Polyfluoralkylsubstanzen (PFAS), umweltschädliche Chemikalien, die früher weit verbreitet in Feuerlöschschäumen eingesetzt wurden. Diese Stoffe gelten als persistent und bioakkumulativ, weshalb REACH- und POP-Verordnungen sie zunehmend einschränken – was den Alltag mit solchen Schäumen erheblich komplizierter gestaltet.

Detaillierte Vorgaben der REACH-Verordnung

Die REACH-Verordnung (EG) Nr. 1907/2006 erhielt durch die Verordnung (EU) 2025/1988 eine weitreichende Ergänzung: Am 23. Oktober 2025 trat sie in Kraft und führte Eintrag 82 in Anhang XVII ein, der alle PFAS-haltigen Feuerlöschschäume umfasst – unabhängig von spezifischen Substanzen. Der Verkauf und die Nutzung sind verboten, sobald der PFAS-Gehalt ein Milligramm pro Liter überschreitet; Übergangsfristen variieren je nach Sektor (z. B. ein Jahr für Neuprodukte, bis zu zehn Jahre für militärische Anwendungen). Ab 23. Oktober 2026 gelten zusätzliche Pflichten: Betreiber müssen Managementpläne erstellen, die Bestände, Einsatzpläne und Entsorgungsstrategien detailliert beschreiben, sowie Kennzeichnungen anbringen, die PFAS-Inhalte offenlegen.

Detaillierte Vorgaben der POP-Verordnung

Die POP-Verordnung (EU) 2019/1021 – die die Stockholmer Konvention umsetzt – verbietet strikt die Herstellung, den Verkauf und die Verwendung von PFOS, PFOA und PFHxS (einschließlich Salze und verwandter Verbindungen) in Feuerlöschschäumen. Grenzwerte für Spuren sind extrem niedrig, zum Beispiel 0,025 mg/kg für PFOA oder 0,02 mg/kg für PFOS. Für PFOA-haltige Schäume, die vor 2020 eingesetzt wurden, läuft eine Frist bis Ende 2028; ab 10. April 2026 erweitert sich das Verbot auf PFHxA in Ausbildungs- und Prüfzwecken sowie für öffentliche Feuerwehren. Löschwasser aus diesen Schäumen muss vollständig abgefangen und fachgerecht entsorgt werden, um Boden- und Gewässerverschmutzung zu verhindern.

Steigende Komplexität im Umgang

Die Überlagerung mehrerer Regelwerke – ergänzt durch Einträge zahlreicher PFAS in die REACH-Kandidatenliste (SVHC) – schafft ein dichtes Netz aus Fristen, Ausnahmen (z. B. für Luftfahrt oder Verteidigung) und Grenzwerten. Unternehmen müssen Schäume analysieren lassen, um PFAS-Gehalte nachzuweisen, und fluorfreie Alternativen wie Protein- oder Synthetikschäume testen, die oft ähnlich effektiv sind. Nichteinhaltung birgt hohe Risiken für Umwelt und Haftung.

Umfassende Auswirkungen auf Unternehmenscompliance

Die PFAS-Regulierungen stellen Compliance-Abteilungen vor herausragende Herausforderungen und erfordern ein systematisches Vorgehen:

  • Bestandsaufnahme und Inventur: Alle Feuerlöschsysteme (Anlagen, Geräte, Vorräte) müssen umgehend auf PFAS-Inhalte geprüft werden – idealerweise durch Labortests. Dies umfasst auch Altbestände in Lagern oder Fahrzeugen.
  • Fristenmanagement: Übergangszeiten (z. B. bis 2035 in sensiblen Sektoren) erfordern präzise Kalender und Meilensteine; automatisierte Tools helfen, Fristen zu tracken und zu dokumentieren.
  • Lieferkettenumstellung: Lieferanten müssen zertifizierte PFAS-freie Produkte nachweisen (z. B. via REACH-konforme Deklarationen). Neue Verträge sollten Klauseln zu PFAS-Freiheit enthalten, inklusive Haftungsregelungen.
  • Schulungen und interne Prozesse: Mitarbeiter (Feuerwehrleute, Techniker, Einkäufer) benötigen regelmäßige Workshops zu neuen Regeln, Umgang mit Löschwasser und Entsorgung. Interne Richtlinien müssen aktualisiert werden.
  • Dokumentation und Reporting: Managementpläne, Kennzeichnungen und Nachweise sind archivierungspflichtig; Behörden wie ECHA oder nationale Umweltämter können Kontrollen durchführen. Integration in bestehende Compliance-Software (z. B. für REACH/CLP) ist essenziell.
  • Risikomanagement und Kosten: Verstöße drohen mit Bußgeldern (bis zu Millionenhöhen), Haftklagen oder Reputationsschäden. Frühzeitige Investitionen in Alternativen amortisieren sich durch Vermeidung von Sanierungs- und Strafkosten; Förderprogramme für Umrüstung können genutzt werden.

Eine proaktive Compliance-Strategie – inklusive Audits und Beratung durch Experten – minimiert Risiken und gewährleistet Wettbewerbsvorteile in einer PFAS-freien Zukunft.

NIS-2

NIS-2-Frist abgelaufen: Wenn Cybersicherheit zur Existenzfrage wird

März 2026 – für Tausende deutsche Unternehmen hat in diesen Tagen die Stunde der Wahrheit geschlagen. Mit dem Ablauf der dreimonatigen Registrierungsfrist am 6. März 2026 ist das NIS-2 Umsetzungsgesetz (NIS2UmsuCG) bei besonders wichtigen Einrichtungen endgültig im Unternehmensalltag angekommen. Was viele Entscheider lange als “weiteres IT-Thema” abgetan haben, beweist sich nun als scharfes Schwert der Regulierungsbehörden.

Wer die Anmeldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) versäumt hat oder die geforderten Sicherheitsmaßnahmen ignoriert, steht nicht mehr nur mit einem Bein im Bußgeld-Sumpf, sondern riskiert im schlimmsten Fall sogar die persönliche Haftung mit dem Privatvermögen.

Der Status Quo: Die Schonfrist bei NIS-2 ist vorbei

Seit das Gesetz am 6. Dezember 2025 in Kraft getreten ist, waren schätzungsweise 30.000 Unternehmen in Deutschland aufgerufen, ihren Status zu prüfen. Betroffen sind nicht mehr nur klassische KRITIS-Betreiber wie Kraftwerke oder Wasserwerke, sondern ein breites Spektrum des Mittelstands: von der Lebensmittelproduktion über die Abfallwirtschaft bis hin zu Herstellern von Chemikalien oder Maschinen.

Fakten der NIS-2 Regulierung

  • Schwellenwerte: Meist ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz (sofern das Unternehmen in einem der von NIS‑2 erfassten Sektoren tätig ist)
  • Registrierungspflicht: Abgelaufen am 6. März 2026. Seit 7. März drohen bei fehlender Registrierung Bußgelder und aufsichtsrechtliche Maßnahmen.
  • Meldepflichten: Bereits seit Dezember 2025 aktiv (24-Stunden-Frist bei Vorfällen).

Die neue Zeit der Geschäftsführerhaftung

Das Kernstück des neuen Cybersicherheitsrechts ist der § 38 BSIG. Er markiert das Ende der Zeit, in der Vorstände die IT-Sicherheit einfach an den “Admin” delegieren konnten, sofern es sich um besonders wichtige oder wichtige Einrichtungen handelt.

  1. Überwachungs- und Billigungspflicht

Die Geschäftsleitung darf Sicherheitsmaßnahmen nicht nur abnicken; sie muss ein Risikomanagementsystem einrichten und dieses überwachen. Das bedeutet: Ein Geschäftsführer muss verstehen, welche Risiken bestehen und wie die Abwehrmaßnahmen funktionieren.

  1. Schulungspflicht

Neu ist auch, dass das Gesetz ausdrücklich auf Kompetenzen und Schulungen der Leitungsorgane abstellt. Wer im Falle eines Hacks nicht nachweisen kann, dass er sich fachlich fit gehalten hat, liefert die Begründung für den Vorwurf der groben Fahrlässigkeit gleich mit.

  1. Haftung mit dem Privatvermögen

Bei Pflichtverletzungen – etwa wenn notwendige Budgets für Cyber-Resilienz verweigert wurden – erhöhen sich die Risiken einer persönlichen Inanspruchnahme mit dem Privatvermögen erheblich, insbesondere bei grober Fahrlässigkeit.

Wichtig: In vielen D&O‑Policen kann die Versicherung gegen Compliance‑Verstöße bei grober Fahrlässigkeit eingeschränkt oder ausgeschlossen sein – prüfen Sie hier unbedingt die individuelle Police!

Ein Bußgeldkatalog NIS-2

Das BSI hat nun Befugnisse, die man sonst nur von der Kartellbehörde oder dem Datenschutz (DSGVO) kennt. Die Bußgelder sind existenzbedrohend dimensioniert:

Kategorie Bußgeld-Obergrenze
Besonders wichtige Einrichtungen Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Hinweis: Es wird immer der jeweils höhere Betrag herangezogen.

Was jetzt sofort zu tun ist

Wenn Ihr Unternehmen die Frist zum 6. März verpasst hat, zählt jede Stunde, um das Haftungsrisiko zu begrenzen.

  1. Nachregistrierung: Holen Sie die Anmeldung im BSI-Meldeportal unverzüglich nach. Eine verspätete Meldung ist besser als gar keine, um “aktive Reue” zu zeigen.
  2. Gap-Analyse: Führen Sie eine Bestandsaufnahme nach dem Stand der Technik durch. Wo fehlen MFA (Multi-Faktor-Authentifizierung), Verschlüsselung oder Backup-Konzepte?
  3. Lieferkette prüfen: NIS-2 verpflichtet Sie, auch die Sicherheit Ihrer Zulieferer zu überwachen. Ein schwaches Glied in der Kette kann Ihr gesamtes Compliance-Kartenhaus zum Einsturz bringen.
  4. Schulungsnachweis: Buchen Sie zeitnah die gesetzlich geforderten Security-Awareness-Schulungen für das Management.

Die Zeit der Warnungen ist im März 2026 offiziell vorbei. Cybersicherheit ist keine IT-Kostenstelle mehr, sondern eine zentrale Überlebensstrategie für Unternehmen und ihre Führungskräfte.

Checkliste: Technische & organisatorische Maßnahmen (TOM) nach NIS-2

Diese Checkliste orientiert sich am aktuellen Stand der Technik und den spezifischen Anforderungen des NIS2UmsuCG (insbesondere § 30 ff. BSIG-neu).

Diese Liste dient als Fahrplan für die Geschäftsführung und die IT-Abteilung, um die geforderte “Risikomanagement-Compliance” nachzuweisen.

  1. Basishygiene & Zugriffskontrolle
  • [ ] Multi-Faktor-Authentifizierung (MFA): Ist MFA für alle Fernzugriffe (VPN), Cloud-Dienste (M365/Google) und privilegierte Administrator-Accounts zwingend vorgeschrieben? (Standard-Passwörter sind 2026 ein Haftungsgrund).
  • [ ] Identity & Access Management (IAM): Werden Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben und bei Mitarbeiterwechseln/Austritt sofort entzogen?
  • [ ] Passwort-Management: Einsatz eines unternehmensweiten Passwort-Managers für Endanwender.
  1. Infrastruktur & Ausfallschutz (Business Continuity)
  • [ ] Backup-Strategie (3-2-1-Regel): Existieren mindestens drei Kopien auf zwei verschiedenen Medien, wovon eine unveränderbar (Immutable Backup) oder offline (Air-Gapped) gespeichert ist?
  • [ ] Wiederherstellungstests: Wurde das Backup im letzten Halbjahr erfolgreich testweise zurückgespielt? (Nur ein getestetes Backup ist ein Backup).
  • [ ] Notfallplan (Disaster Recovery): Gibt es ein physisches oder offline verfügbares Dokument, das regelt, wer bei einem Totalausfall der IT was zu tun hat?
  1. Detektion & Reaktion
  • [ ] Logging & Monitoring: Werden sicherheitsrelevante Ereignisse protokolliert und (idealerweise automatisiert) ausgewertet?
  • [ ] Incident Response Plan: Gibt es definierte Prozesse für die 24-Stunden-Meldung an das BSI bei erheblichen Sicherheitsvorfällen?
  • [ ] Vulnerability Management: Werden Systeme regelmäßig auf Schwachstellen gescannt und kritische Patches innerhalb von maximal 72 Stunden eingespielt?
  1. Sicherheit in der Lieferkette (Supply Chain)
  • [ ] Dienstleister-Audits: Haben Sie von Ihren kritischen IT-Dienstleistern und Zulieferern schriftliche Bestätigungen oder Zertifikate (z. B. ISO 27001 oder TISAX) über deren Sicherheitsniveau vorliegen?
  • [ ] Vertragsgestaltung: Enthalten neue Verträge Klauseln zur Informationspflicht bei Sicherheitsvorfällen auf Seiten des Dienstleisters?
  1. Kryptografie & Kommunikation
  • [ ] Verschlüsselung: Sind Daten sowohl “at rest” (auf Festplatten/Servern) als auch “in transit” (E-Mail, Dateitransfer) nach aktuellem Standard verschlüsselt?
  • [ ] Sichere Kommunikation: Nutzen Sie für die interne Krisenkommunikation einen Kanal, der unabhängig von der restlichen IT-Infrastruktur funktioniert (z. B. Signal, Threema Work)?
  1. Faktor Mensch (Compliance-Anker)
  • [ ] Security Awareness: Wurden alle Mitarbeiter im letzten Jahr nachweislich geschult (z. B. Phishing-Simulationen)?
  • [ ] Management-Schulung: Kann die Geschäftsführung ein Zertifikat über die spezifische NIS-2-Leitungsschulung vorweisen? (Essenziell für die Exkulpation bei Haftungsfragen).

Tipp für die Dokumentation

Erstellen Sie ein “NIS-2 Compliance-Dossier”. Im Falle einer Prüfung durch das BSI oder bei einem Haftungsstreit müssen Sie proaktiv nachweisen können, dass Sie diese Punkte bearbeitet haben. “Wir haben es gemacht” reicht nicht – “Hier ist das Protokoll vom [Datum]” ist die einzige wirksame Verteidigung.

Gesetzesdschungel

Kampf gegen den Bürokratie-Dschungel: Regierung startet zentrales Beschwerdeportal

Die Bundesregierung geht seit Ende 2025 mit einer neuen digitalen Offensive gegen die oft kritisierte Regelungswut vor. Um Bürgern und Unternehmen eine Stimme im Kampf gegen langwierige Genehmigungsverfahren und überflüssige Papierarbeit zu geben, wurde das Portal „Einfach machen“ ins Leben gerufen. Die Plattform www.einfach-machen.gov.de dient als Schnittstelle zwischen dem Alltag der Betroffenen und den Entscheidungsträgern in Berlin.

Das Projekt wird von Digitalminister Karsten Wildberger, Wirtschaftsministerin Katherina Reiche und Arbeitsministerin Bärbel Bas getragen. Die Rückmeldungen der Nutzer sollen nach deren Aussagen dabei helfen, Vorschriften zu verschlanken und so wieder mehr Raum für Innovationen und unternehmerische Initiative zu schaffen. Das System ist dabei so konzipiert, dass Hindernisse über ein Formular unter www.einfach-machen.gov.de mit sieben Klicks gemeldet werden können.

Um die zu erwartende Flut an Einsendungen effizient zu bewältigen, setzt das Digitalministerium auf moderne Technologien. Eine speziell entwickelte Künstliche Intelligenz analysiert und priorisiert das eingehende Feedback. Dennoch dämpfte die Politik bereits die Erwartungen an eine sofortige Lösung aller Probleme, da die Bearbeitung an die personellen und rechtlichen Kapazitäten der Verwaltung angepasst werden müsse.

Hintergrund und Einordnungen

Die Notwendigkeit für ein solches Portal wird durch die aktuelle wirtschaftliche Lage massiv unterstrichen. Schätzungen gehen davon aus, dass die bürokratische Last den deutschen Mittelstand jährlich rund 61 Milliarden Euro kostet. Diese Summe ergibt sich vor allem aus der investierten Zeit, die Unternehmer und Angestellte für Dokumentationspflichten aufwenden müssen, statt sich ihrem Kerngeschäft zu widmen.

Ein zentraler Aspekt der neuen Strategie ist das sogenannte „Digital First“-Prinzip. Ein häufiger Kritikpunkt, der auch über das Portal gemeldet werden kann, ist die Mehrfachabfrage von Daten. Bisher scheitert die deutsche Verwaltung oft am „Once-Only-Prinzip“, bei dem Bürger Informationen nur ein einziges Mal an den Staat übermitteln müssten. Stattdessen fordern verschiedene Behörden häufig dieselben Unterlagen an, oft sogar noch in physischer Form, obwohl die Daten digital vorliegen.

Die größte Herausforderung für das Portal dürfte jedoch die politische Umsetzung der Beschwerden sein. Während die Meldung eines Problems über die Webseite nur wenige Minuten dauert, erfordert die Abschaffung oder Änderung einer Verordnung meist langwierige Gesetzgebungsverfahren, die oft auch europäisches Recht berühren. Das Portal ist daher eher als Frühwarnsystem und Seismograph für die Unzufriedenheit in der Wirtschaft zu verstehen, dessen Erfolg sich erst langfristig an tatsächlichen Gesetzesänderungen messen lassen wird.

Auswirkungen auf die Unternehmenscompliance

Das neue Portal und die damit verbundenen Pläne zum Bürokratieabbau haben direkte Auswirkungen auf die Unternehmenscompliance. Eine der wichtigsten dürfte das kontinuierliche Monitoring von Rechtsänderungen sein. Hier setzt zugleich ein funktionierendes Rechtskataster an.

Da das Portal die Prioritäten der Politik beeinflusst, können sich Compliance-Anforderungen in den nächsten Jahren schneller ändern als bisher. Die Compliance-Verantwortlichen müssen genau beobachten, welche Themen im Portal priorisiert werden.

Ein Rechtskataster ist dabei ein wichtiges Instrument. In digitalisierter Form wie bei SAT haben Sie ständig alle Änderungen im Blick und können zeitnah und gezielt darauf reagieren. Sprechen Sie mit uns, wir beraten Sie gern.

Gefahrstoffverordnung

Reform der Gefahrstoffverordnung: Neue Genehmigungspflichten bei Asbest

Durch die Umsetzung der EU-Richtlinie 2023/2668 wurde die deutsche Gefahrstoffverordnung (GefStoffV) zum 21. Dezember 2025 angepasst. Während die große Reform bereits Ende 2024 stattfand, bringen diese neuen Ergänzungen insbesondere für das Ausbaugewerbe zusätzliche bürokratische Hürden mit sich.

Die wichtigsten Änderungen der Gefahrstoffverordnung im Überblick

  • Erweiterte Genehmigungspflicht: Ab sofort benötigen Betriebe auch für Abbrucharbeiten im Bereich des niedrigen und mittleren Risikos eine offizielle Genehmigung. Bisher war dies primär dem Hochrisikobereich vorbehalten.
  • Kopplung an die Unternehmensanzeige: Die Genehmigung wird im Rahmen der sogenannten unternehmensbezogenen Anzeige erteilt. Betriebe, die bereits eine Zulassung für Hochrisiko-Arbeiten besitzen, sind von der neuen Genehmigungspflicht befreit, da ihre bestehende Erlaubnis diese Tätigkeiten abdeckt.
  • Genehmigungsfiktion (4-Wochen-Frist): Um Verzögerungen am Bau zu vermeiden, gilt ein Antrag nach vier Wochen automatisch als genehmigt, sofern die Behörde nicht widerspricht.
  • Verantwortung beim Arbeitgeber: Die Einstufung des Risikos liegt in der Verantwortung des Unternehmers. Fehleinschätzungen oder fehlende Genehmigungen können als Ordnungswidrigkeit mit Bußgeldern geahndet werden.

Verschärfte Anforderungen an die Dokumentation

Die unternehmensbezogene Anzeige, die in der Regel sechs Jahre gültig ist, erfordert nun detailliertere Angaben:

  1. Personalliste: Mitarbeiter müssen namentlich benannt werden.
  2. Nachweise: Qualifikationsbelege und Nachweise über die arbeitsmedizinische Vorsorge sind beizufügen.
  3. Aufsicht: Wie bei allen Asbest-Arbeiten muss eine sachkundige Person die Leitung vor Ort übernehmen.
  4. Expositionsverzeichnis: Daten über Mitarbeiter, die Asbest ausgesetzt waren, müssen zentral (z. B. in der ZED der DGUV) dokumentiert werden.

Ausblick: TRGS 519 und Definitionen

Ein kritischer Punkt bleibt die Abgrenzung zwischen Abbruch und Instandhaltung. Wirtschaftsverbände mahnen hier Klarheit an, damit Routinearbeiten (wie das Entfernen von Tapeten) nicht fälschlicherweise unter die strengen Genehmigungspflichten für Abbrucharbeiten fallen.

Eine Konkretisierung dieser Begriffe wird in der Neufassung der Technischen Regel TRGS 519 erwartet, die voraussichtlich im Sommer 2026 veröffentlicht wird. Bis dahin gilt eine Übergangsfrist von einem Jahr ab Verkündung der Verordnung für das Vorliegen der neuen Genehmigungen.

Auswirkungen auf die Unternehmenscompliance

Die Aktualisierungen der Gefahrstoffverordnung (GefStoffV) im Dezember 2025 haben weitreichende Konsequenzen für die Unternehmenscompliance. Es geht nicht mehr nur um Arbeitsschutz, sondern um ein komplexes Geflecht aus Genehmigungsverfahren, Dokumentationspflichten und Haftungsrisiken.

Informations- und Erkundungspflichten

Die Compliance-Verantwortung wird stärker zwischen Auftraggeber und Auftragnehmer aufgeteilt:

  • Für Bauherren/Veranlasser: Es besteht eine aktive Mitwirkungspflicht (§ 5a GefStoffV). Sie müssen alle Informationen zur Gebäudegeschichte offenlegen. Das Verschweigen von bekanntem Asbestverdacht kann zu Regressansprüchen führen.
  • Für Betriebe: Die bloße Nachfrage reicht nicht. Wenn Informationen fehlen, hat der Arbeitgeber eine Erkundungspflicht. Er muss im Zweifel Proben entnehmen lassen, bevor die Arbeit beginnt.

Sanktionsrisiken (Bußgelder & Strafrecht)

Verstöße gegen die neuen Regeln sind keine Kavaliersdelikte:

  • Bußgelder: Formale Fehler (falsche Anzeige, fehlende Genehmigung, mangelhafte Unterweisung) können mit Bußgeldern bis zu 50.000 € geahndet werden.
  • Strafrecht: Der unsachgemäße Umgang mit Asbest oder die illegale Entsorgung erfüllen oft Straftatbestände (§ 326 StGB – unerlaubter Umgang mit gefährlichen Abfällen), die mit Freiheitsstrafen bedroht sind.
  • Baustopp: Behörden können Baustellen bei Compliance-Verstößen sofort stilllegen, was zu massiven Schadensersatzforderungen durch Verzögerungen führt.

Compliance-Checkliste

Bereich Anforderung (Update 2025/2026)
Planung 4-Wochen-Frist für Genehmigungsfiktion einplanen.
Personal Fachkunde-Nachweise für alle Beteiligten sicherstellen (Übergangsfrist beachten).
Anzeige Namentliche Liste der Beschäftigten und Vorsorgenachweise beifügen.
Verträge Mitwirkungspflicht des Bauherrn explizit in AGB/Verträgen verankern.
Lieferkettengesetz

EU schränkt die Lieferkettenrichtlinie massiv ein

Brüssel hat die Corporate Sustainability Due Diligence Directive (CSDDD/Lieferkettenrichtlinie) entschärft, noch bevor das Gesetz offiziell in Kraft tritt. Sie reagiert mit dieser Kehrtwende auf Forderungen aus der Wirtschaft.

Drastische Reduzierung der Betroffenen

Die ursprüngliche Planung sah vor, dass die CSDDD ab 2027 schrittweise in nationales Recht umgesetzt wird. Damit sollte eine breite Basis der Unternehmen zur Rechenschaft für ihre Wertschöpfungsketten gezogen werden. Die finalen Abstimmungen im Dezember 2025 führten jedoch zu einer grundlegenden Neuausrichtung:

  • Höhere Schwellenwerte: Das Gesetz gilt künftig nur noch für sehr große Konzerne. Die Untergrenze wurde massiv auf mindestens 5.000 Mitarbeitende und 1,5 Milliarden Euro Jahresumsatz angehoben.
  • Ausnahme für den Mittelstand: Durch die neue Regelung ist der Großteil der mittelständischen Wirtschaft Europas von der Regulierung ausgenommen.

Auch essenzielle Bestandteile wie eine obligatorische jährliche Nachhaltigkeitsberichterstattung sowie die zivilrechtliche Haftung bei Verstößen wurden gestrichen oder stark reduziert. Das Ergebnis ist ein im Vergleich zum ursprünglichen Entwurf deutlich entschärfter Gesetzestext.

Der Kreis der verpflichteten Unternehmen schrumpft damit auf wenige hundert Konzerne. Die Kriterien gelten für in der EU ansässige Unternehmen sowie für ausländische Konzerne, die signifikante Geschäftstätigkeit im europäischen Binnenmarkt ausüben. Kleinere und mittlere Unternehmen fallen heraus, es sei denn, sie gehören zu einem Konzern, der die oben genannten Grenzen überschreitet.

Warum die Kehrtwende?

Die Europäische Kommission begründet diesen Schritt mit Bürokratieabbau. Die hohen Anforderungen an Berichterstattung, Audits und Dokumentationspflichten wurden von vielen Mitgliedsstaaten und Wirtschaftsverbänden als massiver Wettbewerbsnachteil im internationalen Geschäft kritisiert. Argumentiert wurde, die strengen Regeln seien nur mit unverhältnismäßig hohen Zusatzkosten umzusetzen. Die Wende ist aber auch eine politische Kurskorrektur und berücksichtigt die wirtschaftlichen Interessen der EU-Staaten.

Die Überarbeitung führt zu einer deutlichen Verzögerung. Die Umsetzung in nationales Recht wird nun realistisch 2028 oder 2029 erwartet – deutlich später als die ursprünglich anvisierte Frist 2027.

Was bedeutet das für deutsche Unternehmen?

Das deutsche Lieferketten­sorgfalts­pflichten­gesetz (LkSG) ist bereits am 1. Januar 2023 in Kraft getreten. Damit wird seither die unternehmerische Verantwortung für die Einhaltung von Menschenrechten und den Schutz der Umwelt in Lieferketten geregelt.

Entsprechend den Vorgaben des aktuellen Koalitionsvertrages von CDU, CSU und SPD wird die Bundesregierung „das LkSG durch ein Gesetz über die internationale Unternehmensverantwortung, das die CSDDD in nationales Recht überführt, nahtlos ersetzen. In der Übergangszeit wird das LkSG angepasst, um administrative Lasten für Unternehmen zu begrenzen und die Anwendungs- und Vollzugsfreundlichkeit zu erhöhen“, ist auf bmas.de nachzulesen. Am 3. September 2025 hat das Bundeskabinett bereits das „Gesetz zur Änderung des Lieferkettensorgfaltspflichtengesetzes – Entlastung der Unternehmen durch anwendungs- und vollzugsfreundliche Umsetzung“ auf den Weg gebracht. Bis das CSDDD in Deutschland in nationales Recht umgesetzt ist, gilt das LkSG.

© Copyright - SAT Compliance Service Provider | Webdesign: Bodenröder Text & Web
Cookie-Einstellungen