Cyber-Abwehr 2.0: Wie die NIS-2-Umsetzung Deutschlands Wirtschaft grundlegend verändert

Lange wurde darüber debattiert, nun ist es amtlich: Die europäische NIS-2-Richtlinie ist endgültig im deutschen Recht verankert. Seit dem 6. Dezember 2025 gelten verschärfte Spielregeln für die IT-Sicherheit, die weit über das bisherige Maß hinausgehen. Ziel der Gesetzgebung ist es, ein lückenloses Schutzschild für die digitale Infrastruktur in der gesamten EU zu errichten und Unternehmen widerstandsfähiger gegen Cyberattacken zu machen.

Das neue Fundament der digitalen Sicherheit

Obwohl die EU-Vorgabe bereits Anfang 2023 verabschiedet wurde, bedurfte es einer Anpassung nationaler Gesetze, um die Richtlinie in Deutschland wirksam werden zu lassen. Dies geschah primär durch tiefgreifende Novellierungen des IT-Sicherheitsgesetzes sowie des BSI-Gesetzes. Mit dem offiziellen Inkrafttreten im Dezember 2025 endete die Schonfrist: Die strengen Anforderungen an Meldepflichten, Sicherheitsvorkehrungen und Sanktionen sind ab sofort für alle betroffenen Akteure bindend.

Wer ist betroffen? Der Kreis weitet sich massiv aus

Die Tragweite der Neuregelung zeigt sich besonders deutlich in der Anzahl der regulierten Organisationen. Während zuvor rund 4.500 Unternehmen unter die Aufsicht fielen, ist diese Zahl nun auf etwa 30.000 Organisationen explodiert. Das BSI-Gesetz differenziert dabei heute in zwei Hauptkategorien:

  1. Besonders wichtige Einrichtungen: Hierzu zählen kritische Infrastrukturen (KRITIS), Telekommunikationsanbieter und Großunternehmen, deren Ausfall eine unmittelbare Gefahr für das Gemeinwesen darstellen würde.
  2. Wichtige Einrichtungen: In diese Gruppe fallen mittelgroße Betriebe aus Sektoren wie Energie, Verkehr, Gesundheitswesen, Wasserversorgung, Forschung sowie die verarbeitende Industrie.

Zusätzlich steht nun auch die Bundesverwaltung inklusive öffentlich-rechtlicher Dienstleister direkt in der Pflicht.

Wichtig: Betroffene Betriebe müssen sich innerhalb von drei Monaten über ein digitales Portal registrieren.

Harte Strafen und persönliche Haftung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) agiert nun als zentrale Aufsichtsinstanz mit deutlich mehr Befugnissen. Wer die Vorgaben ignoriert, riskiert deutliche Bußgelder:

  • Besonders wichtige Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
  • Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Auswirkungen auf die Unternehmenscompliance

Die Umsetzung der NIS-2-Richtlinie ist weit mehr als eine rein technische IT-Aufgabe. Für die Unternehmenscompliance bedeutet sie einen Paradigmenwechsel: Cybersicherheit wird von einer delegierbaren Support-Funktion zur direkten, nicht übertragbaren Leitungspflicht.

Hier sind die konkreten praktischen Auswirkungen auf Ihre Compliance-Struktur:

  1. Cybersicherheit wird zur „Chef-Sache“

Die wichtigste Compliance-Änderung betrifft die Führungsebene. Die Geschäftsführung kann die Verantwortung für die IT-Sicherheit nicht mehr einfach an den IT-Leiter abschieben.

  • Überwachungs- und Billigungspflicht: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen nicht nur finanzieren, sondern aktiv billigen und deren Umsetzung überwachen.
  • Schulungspflicht: Führungskräfte sind gesetzlich verpflichtet, regelmäßig an Cybersicherheits-Schulungen teilzunehmen (§ 38 BSIG). Ziel ist es, dass sie Risiken selbst bewerten können.
  • Persönliche Haftung: Bei schuldhafter Verletzung dieser Pflichten haften Geschäftsführer gegenüber dem Unternehmen persönlich mit ihrem Privatvermögen. Ein „Nicht-Wissen“ gilt nicht mehr als Entschuldigung.
  1. Ausweitung der Lieferketten-Compliance

Sie sind nicht nur für Ihr eigenes Unternehmen verantwortlich, sondern auch für die Sicherheit Ihrer Zulieferer.

  • Sicherheits-Audits für Partner: Compliance bedeutet nun, dass Sie von Ihren Lieferanten und Dienstleistern Nachweise über deren Sicherheitsniveau (z. B. Zertifizierungen nach ISO 27001 oder TISAX) einfordern müssen.
  • Vertragsanpassungen: In Lieferverträge müssen Klauseln zu Sicherheitsstandards und Meldepflichten bei Vorfällen aufgenommen werden. Ein unsicherer Zulieferer wird zum Compliance-Risiko für Ihr eigenes Unternehmen.
  1. Implementierung eines „aktiven“ Risikomanagements

Statische Sicherheitskonzepte reichen nicht mehr aus. Die Compliance verlangt einen dynamischen Prozess:

  • Business Continuity (BCM): Unternehmen müssen nachweisen, dass sie Pläne für den Ernstfall haben (Backup-Management, Krisenkommunikation, Wiederherstellung der Systeme).
  • Hygiene-Maßnahmen: Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung sind keine „Kann-Optionen“ mehr, sondern verpflichtende Mindeststandards.
  • Nachweisführung: Alles muss dokumentiert werden. Im Falle einer Prüfung durch das BSI müssen Sie lückenlos belegen können, wann welche Risikoanalyse durchgeführt und welche Maßnahme ergriffen wurde.
  1. Strenges Zeitmanagement bei Vorfällen

Die Compliance-Abteilung muss Prozesse etablieren, die extrem kurze Reaktionszeiten ermöglichen. Ein Sicherheitsvorfall ist erst dann „compliance-konform“ behandelt, wenn die dreistufige Meldung erfolgt ist:

Phase Zeitfenster Inhalt
Erstmeldung Innerhalb von 24h Verdachtsmeldung („Frühwarnung“)
Update Innerhalb von 72h Erste Bewertung des Schweregrads und Auswirkungen
Abschluss Innerhalb von 1 Monat Detaillierte Analyse und Maßnahmen zur Vermeidung

Was Sie jetzt auch tun sollten

Prüfen Sie Ihre bestehenden D&O-Versicherungen (Directors and Officers). Viele Versicherer machen die Einhaltung der NIS-2-Standards mittlerweile zur Bedingung für den Versicherungsschutz. Ohne NIS-2-Compliance riskieren Sie im Schadensfall den Verlust des Versicherungsschutzes für das Management.

Die Chance im Wandel nutzen

Die Umsetzung der NIS-2-Richtlinie stellt viele Unternehmen vor gewaltige organisatorische und finanzielle Herausforderungen. Doch trotz des hohen Drucks bietet die Neuregelung eine Chance: Sie ist der notwendige Impuls, um die eigene IT-Architektur zukunftssicher aufzustellen und das Vertrauen von Kunden und Partnern zu stärken.

Angesichts der Komplexität ist eine externe Fachberatung oft der sicherste Weg, um Haftungsrisiken zu minimieren und die gesetzlichen Anforderungen effizient umzusetzen.

Benötigen Sie Unterstützung beim Aufbau Ihres Risikomanagements? Kontaktieren Sie uns für ein unverbindliches Erstgespräch!

Gehaltstransparenz: Mehr als nur eine Compliance-Pflicht

In einer Zeit, in der Fachkräftemangel und ESG-Kriterien (Environmental, Social, Governance) die Agenda der Chefetagen bestimmen, rückt ein Thema besonders in den Fokus: die EU-Entgelttransparenzrichtlinie. Bis zum 7. Juni 2026 muss Deutschland diese Richtlinie in nationales Recht umsetzen.

Was für viele Unternehmen nach „noch mehr Bürokratie“ klingt, ist bei näherer Betrachtung ein tiefgreifender Umbau der Unternehmenskultur. Wer erst im Sommer 2026 reagiert, läuft Gefahr, von den neuen Berichtspflichten und Auskunftsansprüchen überrollt zu werden. Wir geben Empfehlungen, was deutsche Unternehmen bereits jetzt tun sollten.

Die Kernpunkte: Was sich ab 2026 ändert

Die Richtlinie zielt darauf ab, das geschlechtsspezifische Lohngefälle (Gender Pay Gap) durch Transparenz zu schließen. Hier sind die wichtigsten Säulen:

  1. Transparenz im Recruiting: Unternehmen müssen künftig bereits in der Stellenausschreibung oder vor dem ersten Gespräch das Einstiegsgehalt bzw. eine Gehaltsspanne angeben. Die Frage nach dem aktuellen Gehalt des Bewerbers wird unzulässig.
  2. Individueller Auskunftsanspruch: Beschäftigte haben das Recht, Informationen über das durchschnittliche Entgeltniveau von Kollegen abzufragen, die die gleiche oder eine gleichwertige Arbeit verrichten – aufgeschlüsselt nach Geschlecht.
  3. Verschwiegenheitsklauseln adé: Klauseln in Arbeitsverträgen, die Mitarbeitern verbieten, über ihr Gehalt zu sprechen, werden unwirksam.
  4. Berichtspflichten & Sanktionen: Ab einer Unternehmensgröße von 100 Mitarbeitenden müssen regelmäßig Berichte zum Lohngefälle veröffentlicht werden. Übersteigt der Gap fünf Prozent und kann nicht objektiv gerechtfertigt werden, ist eine gemeinsame Entgeltbewertung mit der Arbeitnehmervertretung zwingend.

Warum „Abwarten“ keine Option ist

Obwohl das finale deutsche Gesetz (als Nachfolger des aktuellen Entgelttransparenzgesetzes) erst Anfang 2026 erwartet wird, sollten Unternehmen die Zeit jetzt nutzen. Die ersten Berichte im Jahr 2027 werden auf den Daten des Geschäftsjahres 2026 basieren. Das bedeutet: Wer im Januar 2026 mit ungleichen Strukturen startet, wird diese Ungleichheit im ersten offiziellen Bericht schwarz auf weiß dokumentieren müssen.

Die größten Risiken für Zögerliche

  • Reputationsverlust: Ein hoher, nicht erklärbarer Gender Pay Gap schadet dem Employer Branding massiv.
  • Klagewellen: Die Beweislast wird faktisch umgekehrt. Kann ein Unternehmen nicht nachweisen, dass die Kriterien geschlechtsneutral sind, drohen hohe Nachzahlungen und Schadensersatz.
  • Fachkräfte-Fluktuation: Transparenz macht Vergleiche einfach. Wer unter dem Marktdurchschnitt zahlt oder intransparent agiert, verliert Talente an die Konkurrenz.

Checkliste: Was deutsche Unternehmen jetzt tun sollten

  1. Bestandsaufnahme & Datenanalyse

Führen Sie einen „Dry Run“ durch. Analysieren Sie Ihre aktuellen Entgeltdaten nach Geschlecht, Funktionsgruppen und Stellenleveln. Wo liegen die Unterschiede über fünf Prozent?

  1. Definition von „gleichwertiger Arbeit“

Die Richtlinie verlangt objektive Kriterien für die Stellenbewertung (z. B. Qualifikation, Belastung, Verantwortung). Schaffen Sie ein einheitliches System, das diese Kriterien messbar macht, um Gehaltsunterschiede rechtfertigen zu können.

  1. Gehaltsbänder einführen

Stellen Sie von individuellen Verhandlungsergebnissen auf transparente Gehaltsbänder um. Dies bereitet Sie nicht nur auf die Auskunftspflicht im Recruiting vor, sondern sorgt auch intern für mehr Gerechtigkeitsempfinden.

  1. Führungskräfte schulen

Manager müssen lernen, Gehaltsentscheidungen auf Basis objektiver Kriterien zu treffen und diese gegenüber ihren Teams zu kommunizieren. Der Satz „Das haben wir individuell so verhandelt“ wird rechtlich künftig nicht mehr ausreichen.

  1. Recruiting-Prozesse anpassen

Überprüfen Sie Ihre Stellenanzeigen. Wo können Sie Gehaltsspannen integrieren? Wie stellen Sie sicher, dass Recruiter nicht mehr nach dem Vorverdienst fragen?

Transparenz als Wettbewerbsvorteil

Die neue Richtlinie ist mehr als eine Compliance-Übung. Sie ist die dringende Aufforderung, die eigene Vergütungskultur zu professionalisieren. Unternehmen, die proaktiv handeln, nutzen Transparenz als Werkzeug zur Mitarbeiterbindung und positionieren sich als fairer Arbeitgeber in einem hart umkämpften Markt.

Wende in der Nachhaltigkeitsregulierung: EU schwächt Lieferkettengesetz deutlich ab

Die europäische Gesetzgebung, insbesondere die Corporate Sustainability Due Diligence Directive (CSDDD), sollte ursprünglich einen strengeren Rahmen für die Sorgfaltspflichten in den Lieferketten setzen, der das deutsche LkSG überlagert. Die Trilog-Einigung vom Dezember 2025 zwischen EU-Parlament und -Mitgliedsstaaten hat diese Erwartungshaltung jedoch in ihr Gegenteil verkehrt.

Der Kompromiss zielt auf eine drastische Reduzierung des bürokratischen Aufwands ab und führt zu einer erheblichen Verkleinerung des Kreises der direkt betroffenen Unternehmen.

Corporate Sustainability Due Diligence Directive (CSDDD)

Die CSDDD ist die europäische Lieferkettenrichtlinie, die die Sorgfaltspflichten von Unternehmen für Menschenrechte und Umwelt harmonisieren soll.

Dramatische Reduzierung des Anwendungsbereichs

Die reduzierten EU-Regeln sollen künftig nur noch für große Unternehmen mit mehr als 5000 Mitarbeitern und einem jährlichen Umsatz von mindestens 1,5 Milliarden Euro gelten. Damit werden die bisherigen Vorgaben (ab 1000 Mitarbeiter und über 450 Millionen Euro Umsatz im Jahr) stark aufgeweicht. Auch die Strafen werden erheblich gesenkt – höchstens drei Prozent des weltweiten Nettoumsatzes.

Die grundlegenden Sorgfaltspflichten (Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren) bleiben inhaltlich zwar bestehen, aber die Zahl der Adressaten in der EU schrumpft auf geschätzt nur noch etwa 1.500 Unternehmen.

Inhaltliche Abschwächungen

Neben den Schwellenwerten wurden auch zentrale inhaltliche Anforderungen entschärft:

  • Klima-Übergangspläne: Die Pflicht für CSDDD-pflichtige Unternehmen, eigene, verbindliche Klimatransitionspläne (zur Einhaltung des 1,5°C-Ziels des Pariser Abkommens) zu erstellen, entfällt aus der CSDDD.
  • Zivilrechtliche Haftung: Die im ursprünglichen Entwurf vorgesehene Harmonisierung der zivilrechtlichen Haftung in der CSDDD (Schadensersatzansprüche für Geschädigte) wurde aus der Richtlinie gestrichen. Dies bedeutet, dass die zivilrechtliche Haftung weiterhin dem jeweiligen nationalen Recht unterliegt.

Auswirkung auf die Compliance

Die EU hat ihre Rolle als regulatorischer „Standardsetzer“ für KMU stark zurückgefahren. Tausende mittlere und große Unternehmen in der EU, die von nationalen Gesetzen (wie dem LkSG in Deutschland) betroffen sind oder in den ursprünglichen CSDDD/CSRD-Anwendungsbereich fielen, sind nun von der strengeren europäischen Regulierung befreit. ABER: Das bislang noch schärfere deutsche Lieferkettengesetz (LkSG) gilt weiter für deutsche Unternehmen mit über 1.000 Mitarbeitern. Es ist jedoch davon auszugehen (und bereits angekündigt), dass die Bundesregierung es entschärft. So sollen auch hierzulande unter anderem Berichtspflichten für KMU gelockert und Bußgelder gestrichen werden.

Wenn Sie sich über die Auswirkungen auf ihr Compliance-Management-System informieren möchten, stehen wir Ihnen gerne beratend zur Seite.

EU einigt sich auf einheitliche Korruptionsregeln

Die EU hat sich Anfang Dezember erstmals auf einheitliche strafrechtliche Regeln gegen Korruption geeinigt – ein Schritt, der das bisher oft zersplitterte Bild innerhalb der Mitgliedstaaten grundlegend verändern sollte. Die neue Richtlinie definiert Korruptionsdelikte EU-weit, legt Mindeststrafen fest und zwingt die Staaten zu gemeinsamen Standards in Politik und Wirtschaft.

Was die Einigung zur Korruption in der EU vorsieht

Kern des Kompromisses ist eine Richtlinie, die eine gemeinsame Definition zentraler Korruptionsdelikte wie Bestechung im öffentlichen und privaten Sektor, Veruntreuung und Behinderung der Justiz einführt. Damit reagiert die EU auf Fälle, in denen Straftaten bislang je nach Land unterschiedlich bewertet oder gar nicht verfolgt wurden.

Zugleich einigt sich die EU auf Mindeststandards für Strafen: Je nach Schwere sollen Freiheitsstrafen von mindestens drei bis fünf Jahren möglich sein, hinzu kommen empfindliche Geldbußen für Unternehmen, die sich am weltweiten Umsatz orientieren. Auch Amtsinhaber, die sich der Korruption schuldig machen, müssen damit rechnen, ihr Mandat oder ihre Funktion EU-weit nach vergleichbaren Kriterien zu verlieren.

Mehr Druck auf Politik und Unternehmen

Auffällig ist, dass die neuen Regeln ausdrücklich sowohl für die öffentliche Verwaltung als auch für die private Wirtschaft gelten. Damit rücken nicht nur klassische Fälle politischer Bestechung in den Fokus, sondern auch Korruptionsrisiken in Konzernen, Mittelstand und regulierten Branchen.

Für Unternehmen bedeutet dies mittelfristig schärfere Compliance-Anforderungen, etwa beim Umgang mit Drittmitteln, Vergaben oder Lobbykontakten. Vorgesehen ist zudem, dass jedes EU-Land spezialisierte Stellen zur Korruptionsbekämpfung einrichtet und systematisch erhebt, welche Sektoren besonders anfällig sind.

Transparenz und nationale Strategien

Politisch brisant ist der Ausbau der Transparenz: Künftig sollen EU-weit Daten zu Korruptionsfällen jährlich in leicht zugänglicher Form veröffentlicht werden. Dies verschafft Politik, Zivilgesellschaft und Medien neue Einblicke in Muster und Trends – und erhöht zugleich den öffentlichen Druck auf Regierungen, Ermittler und Unternehmen.

Zudem verpflichtet die Richtlinie alle Mitgliedstaaten, nationale Anti-Korruptions-strategien zu erarbeiten und regelmäßig zu aktualisieren. Diese Strategien müssen unter Beteiligung der Zivilgesellschaft und relevanter Behörden entstehen, was die Debatte über gute Regierungsführung in vielen Hauptstädten neu beleben dürfte.

Auswirkungen auf Unternehmen und Compliance

Die Einigung auf einheitliche Korruptionsgesetze verschärft den Druck auf Unternehmen, ihre Compliance-Systeme zu professionalisieren und EU-weit an ein höheres Sanktionsniveau anzupassen. Korruption wird damit noch stärker zu einem zentralen Risiko, das in Governance, Risikomanagement und interne Kontrollen integriert werden muss.

Schärfere Haftung und Sanktionen für Unternehmen

Die Richtlinie sieht ausdrücklich die strafrechtliche Haftung juristischer Personen vor, wenn Führungskräfte oder Beschäftigte im Unternehmensinteresse Korruptionsdelikte begehen. Unternehmen müssen damit rechnen, dass Korruptionsfälle nicht nur als individuelles Fehlverhalten, sondern als Organisationsversagen gewertet werden.

Vorgesehen sind hohe, am weltweiten Jahresumsatz orientierte Geldbußen, ergänzt um Nebenfolgen wie Ausschluss von öffentlichen Aufträgen, Entzug von Lizenzen oder gerichtliche Aufsicht über Unternehmen. Für international tätige Konzerne wird es daher wirtschaftlich riskanter, mit uneinheitlichen oder nur formal existierenden Compliance-Strukturen zu arbeiten.

Anforderungen an Compliance-Programme

Die EU verankert, dass wirksame Compliance- und Ethikprogramme bei der Sanktionierung mildernd berücksichtigt werden können, etwa durch interne Kontrollen, Hinweisgebersysteme und systematische Schulungen. Das setzt einen Anreiz, Anti-Korruptions-Compliance nicht nur auf dem Papier zu verankern, sondern nachweislich im täglichen Geschäft zu leben.

Konkret müssen Unternehmen ihre Richtlinien zu Geschenken, Einladungen, Sponsoring, Lobbying und Drittparteien-Risiken (z.B. Agenten, Vertriebspartner) überprüfen und vereinheitlichen. Erwartet werden zudem regelmäßige Risikoanalysen, dokumentierte Prüfprozesse bei öffentlichen und privaten Vergaben sowie eine klare Verantwortung auf Ebene von Vorstand und Aufsichtsorganen.

EU-weiter Harmonisierungsdruck und „High-Water-Mark“-Ansatz

Weil Korruptionsdelikte nun EU-weit einheitlich definiert sind, sinkt die Möglichkeit, nationale „Schlupflöcher“ zu nutzen; Unternehmen müssen sich an einem durchgängig hohen Standard orientieren. Insbesondere grenzüberschreitend tätige Gruppen werden dazu übergehen müssen, konzernweit eine einheitliche, eher strengere „High-Water-Mark“-Compliance-Linie zu fahren.

Gleichzeitig verbessert die Richtlinie die Kooperation zwischen nationalen Behörden, OLAF, Europäischer Staatsanwaltschaft und Europol, was die Entdeckungswahrscheinlichkeit für Korruptionsfälle erhöht. Mit der jährlichen Veröffentlichung von Korruptionsdaten und nationalen Strategien steigt zudem der Reputationsdruck, sodass Versäumnisse in der Unternehmenscompliance schneller sichtbar und sanktioniert werden können.

Einordnung: Meilenstein mit Lücken

Aus Sicht vieler Beobachter ist die Einigung ein Meilenstein, weil sie verhindert, dass einzelne Länder bestimmte Taten schlicht straflos stellen können. Zugleich verweisen Kritiker darauf, dass die Mitgliedstaaten sich gegen noch weitergehende Verpflichtungen zur Offenlegung von Korruptionsfällen gewehrt haben und damit eine Chance auf noch mehr Transparenz verpasst wurde.

Rechtlich ist der Deal vorläufig: Das Europäische Parlament und der Rat müssen die Einigung formell bestätigen, bevor die Richtlinie in Kraft tritt. Danach beginnt der eigentliche Härtetest – die zügige und ambitionierte Umsetzung in nationales Recht, die darüber entscheidet, ob aus den neuen EU-Regeln tatsächlich mehr Integrität im Alltag von Behörden und Unternehmen wird.

Lesen Sie zu diesem Thema auch unseren Beitrag: Deutschland verzögert EU-Anti-Korruptionsrichtlinie

Wenn Sie sich über die Auswirkungen auf ihr Compliance-Management-System insbesondere auf Risikoanalysen und weitere Präventionsmaßnahmen informieren möchten, stehen wir Ihnen gerne beratend zur Seite.

Kurskorrektur in Brüssel: EU-Parlament stimmt für abgeschwächte Nachhaltigkeitsregeln

Nach monatelangem Ringen hat das Europäische Parlament Mitte November einer abgeschwächten Version des sogenannten EU-Omnibus-I-Pakets zugestimmt. Mit dem Maßnahmenbündel will die EU-Kommission zentrale Nachhaltigkeitsvorschriften wie die Corporate Sustainability Reporting Directive (CSRD) und die Lieferkettenrichtlinie (CSDDD) vereinfachen und für Unternehmen flexibler gestalten. Dadurch sollen die bürokratischen Anforderungen gesenkt werden – ein Vorhaben, das in Brüssel seit Monaten hitzig diskutiert wird.

Streit um Reichweite und Bürokratie

Bereits seit der Vorstellung des Pakets im Februar 2025 sorgt die geplante Kursänderung für Spannungen zwischen den politischen Lagern. Konservative und wirtschaftsnahe Abgeordnete fordern eine deutliche Entlastung vor allem kleiner und mittlerer Unternehmen. Sie argumentieren, die bisherigen Regelungen würden den Wettbewerb in Europa schwächen und Betriebe mit übermäßiger Berichtspflicht belasten.

Grüne und sozialdemokratische Fraktionen hingegen warnen vor einer Aushöhlung der europäischen Nachhaltigkeitspolitik. Zu weitgehende Lockerungen, so der Vorwurf, könnten die eigentliche Zielrichtung der Gesetze – mehr Transparenz bei Umwelt- und Sozialstandards – untergraben.

Ein erster Kompromissvorschlag vom 22. Oktober war im Parlament gescheitert. Zu groß waren die Bedenken hinsichtlich Umsetzbarkeit und Wirksamkeit der neuen Regeln.

Abstimmung mit deutlicher Mehrheit

Am 13. November folgte schließlich die erneute Abstimmung über einen modifizierten Vorschlag. Mit 382 Ja-Stimmen, 249 Gegenstimmen und 143 Enthaltungen setzte sich das überarbeitete Paket – getragen vor allem von konservativen Parteien – durch. Diese Entscheidung ebnet den Weg für den sogenannten Trilogprozess, in dem Parlament, Kommission und Rat nun über den finalen Gesetzestext verhandeln.

Inhaltlich bringt das Omnibuspaket erhebliche Veränderungen:

  • Die Pflicht zur Nachhaltigkeitsberichterstattung (CSRD) soll künftig erst ab 1.750 Beschäftigten und einem Jahresumsatz von 450 Millionen Euro gelten (zuvor 250 Mitarbeitende und 40 Millionen Euro).
  • Die Sorgfaltspflichten entlang der Lieferkette (CSDDD) greifen erst ab 5.000 Beschäftigten und 1,5 Milliarden Euro Umsatz (statt bisher ab 500 Beschäftigten).
  • Die Pflicht zur Vorlage eines Klimatransitionsplans entfällt vollständig.
  • Haftungsfragen werden nicht mehr auf EU-Ebene, sondern ausschließlich national geregelt.

Kritik von Umwelt- und Menschenrechtsorganisationen

Während Wirtschaftsverbände die Beschlüsse als wichtigen Schritt zur Entlastung der Unternehmen feiern, reagieren NGO und Umweltverbände mit scharfer Kritik. Ihrer Ansicht nach droht das europäische Nachhaltigkeitsrecht zu einem zahnlosen Instrument zu werden. „Wer ernsthaft die grüne Transformation der Wirtschaft will, darf die Berichts- und Sorgfaltspflichten nicht auf einige Großkonzerne beschränken“, warnte etwa die European Coalition for Corporate Justice nach der Abstimmung.

Ausblick: Trilog mit offenem Ausgang

Mit dem Votum des Parlaments kann nun der Trilogprozess beginnen. Beobachter erwarten intensive Verhandlungen, da insbesondere die Mitgliedstaaten im Rat unterschiedliche Interessen vertreten – von strengen Umweltvorgaben bis hin zu weitreichender Deregulierung. Ob die deutlichen Lockerungen des Parlaments am Ende Bestand haben werden, bleibt daher offen.

Klar ist jedoch schon jetzt: Die EU hat erstmals offiziell eine Kursänderung in ihrer Nachhaltigkeitspolitik eingeschlagen – weg von umfassender Regulierung, hin zu stärkerer Wirtschaftsnähe. Ob dieser Schritt den Spagat zwischen Wettbewerbsfähigkeit und Klimaschutz schafft, wird sich in den kommenden Monaten zeigen.

EuGH bestätigt EU-Mindestlohnrichtlinie – mit Einschränkungen

Der Europäische Gerichtshof hat am 11. November 2025 entschieden, dass die rechtliche Grundlage für europäische Vorgaben zum Mindestlohn grundsätzlich mit dem EU-Recht vereinbar ist. Die Absicht der EU, einheitliche Mindeststandards für Löhne zu setzen und sozialpolitische Ziele wie Sicherung der Erwerbsfähigkeit und die Förderung von Tarifverhandlungen zu unterstützen, wurde ausdrücklich bestätigt.

Allerdings hat das Gericht festgestellt, dass einige konkrete Vorschriften aus der Richtlinie zu weit gehen, zum Beispiel Berechnungsparameter, wie das Verhältnis zum Medianlohn verwendet und wie Mindestlöhne an wirtschaftliche Kennzahlen angepasst werden müssen. Das würde den gesetzgeberischen Spielraum der Mitgliedstaaten zu stark begrenzen. Besonders betroffen sind Vorgaben, die einen Mindestlohn an die Entwicklung von Produktivität oder an eine feste prozentuale Quote binden. ​

Folgen für die Mitgliedstaaten

Die Staaten der EU können nach diesem Urteil weiterhin selbst entscheiden, nach welchen Kriterien und auf Basis welcher Berechnungsgrundlagen sie den Mindestlohn festsetzen. Sie sind nicht verpflichtet, den Empfehlungen der Europäischen Kommission zu festen Prozentsätzen oder zu konkreten Kennzahlen zu folgen. Mindestlöhne dürfen außerdem automatisiert nach einem Index steigen und, falls der Index fällt, auch wieder sinken.

Das Gericht hat zugleich festgehalten, dass die EU den Mitgliedsstaaten vorschreiben kann, Tarifverhandlungen zu fördern, damit möglichst viele Beschäftigte unter den Schutz von Tarifverträgen fallen. Gleichzeitig bleibt aber die Hoheit für die Festsetzung des Mindestlohns weitgehend bei den nationalen Gesetzgebern.

Bedeutung für Politik und Gesellschaft

Die Entscheidung stärkt die nationale Entscheidungsfreiheit im Bereich der Mindestlohnentwicklung. Die Mitgliedsländer erhalten mehr Freiraum bei der Gestaltung ihrer Gesetze, ohne dabei völlig auf verbindliche europäische Standards verzichten zu müssen. Das Ziel, existenzsichernde Löhne in allen EU-Ländern zu fördern und Einkommensungleichheiten zu verringern, bleibt erhalten – die konkrete Ausgestaltung ist aber flexibel möglich.

Das EuGH-Urteil vom 11.11.2025 zur EU-Mindestlohnrichtlinie hat wichtige Implikationen für die Unternehmenscompliance, insbesondere bei der Einhaltung arbeitsrechtlicher Vorgaben und der Dokumentation von Mindestlohnregelungen.dgb+1

Auswirkungen auf die Unternehmenscompliance

Unternehmen in der EU sind weiterhin verpflichtet, die nationalen Mindestlohnregelungen sorgfältig einzuhalten und nachzuweisen, da die EU-Richtlinie zwar in Teilen entschärft wurde, aber als Rahmen bestehen bleibt. Die Vorgaben zu Mindestlöhnen und zur Förderung von Tarifverträgen gelten fort, so dass Unternehmen auch künftig sicherstellen müssen, dass sie gesetzliche Mindestlöhne korrekt zahlen und dokumentieren. Die Stärkung der Tarifbindung in Branchen mit geringer Vertragsabdeckung ist ein zentraler Punkt, auf den sich Unternehmen einstellen sollten, z. B. durch interne Compliance-Checks und Dokumentation der Lohnstruktur.

Flexibilisierung und Prüfung der Lohnstruktur

Das Urteil gibt den Mitgliedsstaaten und damit den Unternehmen mehr Spielraum, wie der Mindestlohn konkret berechnet und angepasst wird. Unternehmen sollten prüfen, ob nationale Kriterien für die Mindestlohnbemessung verändert werden und ob Anpassungsmechanismen (zum Beispiel Indexierung) zu potenziellen Senkungen oder Erhöhungen führen können.

Falls die Tarifbindung im Betrieb oder der Branche unter 80 Prozent liegt, können zusätzliche nationale Aktionspläne und Maßnahmen erforderlich werden. Für die Compliance-Abteilungen bedeutet das: Es könnten neue Berichtspflichten und Kontrollen zur Einhaltung der Tarifbindung entstehen.

Kurzum: Das Urteil stärkt die nationale Flexibilität, doch Unternehmen tragen weiterhin klare Verantwortung für die Einhaltung gesetzlicher Mindeststandards und eine sorgfältige arbeitsrechtliche Compliance.

Wenn Sie Fragen zur Mindestlohn-Thematik und Compliance haben, sprechen Sie uns gerne an.

Kontroverse um das LkSG: Entlastung für Unternehmen oder Entkernung der Sorgfaltspflicht?

Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG), ein wichtiges Instrument zur Einhaltung von Menschenrechten und Umweltstandards in globalen Lieferketten, steht erneut im Zentrum der Debatte. Am 3. September 2025 hat das Bundeskabinett den Gesetzentwurf zur „Änderung des Lieferkettensorgfaltspflichtengesetzes – Entlastung der Unternehmen durch anwendungs- und vollzugsfreundliche Umsetzung“ beschlossen. Damit sollen deutsche Unternehmen, insbesondere der Mittelstand, entlastet und Bürokratie abgebaut werden.

Geplant ist unter anderem, dass Berichtspflichten entfallen und Unternehmen erst bei schweren und systematischen Verstößen mit Sanktionen rechnen müssen. Dazu hat das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eine neue Auslegungshilfe zum Lieferkettensorgfaltspflichtengesetz veröffentlicht. Verstöße können demnach auch dann geahndet werden, wenn keine ausreichenden Abhilfemaßnahmen ergriffen wurden – selbst ohne bereits eingetretene Verletzung.

Positive Stimmen: Bürokratieabbau und Wettbewerbsfähigkeit

Die Bundesregierung und Wirtschaftsverbände begrüßen die Anpassungen ausdrücklich. Das Bundesarbeitsministerium argumentiert, dass zur Entlastung des Mittelstands die Senkung der Dokumentations-, Nachweis- und Berichtspflichten und der Sanktionen notwendig sei. Zudem sollen doppelte Berichtspflichten mit Blick auf die künftige EU-Richtlinie CSDDD (Corporate Sustainability Due Diligence Directive) vermieden werden. Sie muss bis Juli 2027 in nationales Recht umgesetzt werden. Zentrale Botschaft: „Die Wirtschaft braucht Rechtssicherheit, keine Doppelbelastung.“

Auch das Bundeswirtschaftsministerium unterstützt die Reform, um die Wettbewerbsfähigkeit deutscher Unternehmen zu sichern. Der bisherige bürokratische Aufwand benachteilige Deutschland im Vergleich zu Nicht-EU-Staaten.

Selbst Teile der Opposition wie die FDP schließen sich diesen Argumenten an und warnen, ein Lieferkettengesetz dürfe kein Bürokratiemonster sein. Sie befürchten, dass übermäßige Regulierungen die Innovationskraft und den Exportmarkt behindern. Wirtschaftsverbände wie der BDI sehen in den Anpassungen einen „notwendigen Schritt, um den Industriestandort Deutschland nicht zu überfordern“. Sie betonen, dass der Kontrollaufwand gerade bei kleineren ausländischen Zulieferern unverhältnismäßig, wenn nicht sogar unmöglich sei.

Negative Reaktionen: Sorge um Menschenrechte und Transparenz

Ein breites Bündnis aus NGO, Gewerkschaften und Kirchen reagiert hingegen schockiert auf die geplanten Änderungen und spricht von einer dramatischen Entkernung des Gesetzes.

Die Hilfsorganisation Oxfam Deutschland kritisiert, dass „ohne Berichtspflichten und klare Sanktionen das Gesetz ein Papiertiger bleibt“. Die Reform sende das Signal aus, dass Menschenrechte nachrangig gegenüber Wirtschaftsinteressen seien. Die Initiative Lieferkettengesetz, ein Bündnis aus über 140 Organisationen, bezeichnet die Reform als „fatalen Rückschritt“. Die Abschaffung der Berichtspflichten würde die öffentliche Kontrolle der Umsetzung faktisch beenden, da „ohne Transparenz keine Verantwortung“ möglich sei.

NGO befürchten, dass die Abschwächung ein völlig falsches Signal sende, da bereits der bestehende Rechtsrahmen nicht ausreichend gewesen sei. Gewerkschaften und Kirchen bangen um den Arbeitsschutz in globalen Lieferketten und fordern, dass Arbeiterrechte und Umweltstandards nicht für die Wettbewerbsfähigkeit geopfert werden dürfen.

Wie geht es weiter? Der Gesetzgebungsprozess

Die weiteren Schritte im Gesetzgebungsprozess sind klar getaktet:

  • Oktober und November 2025: Es sind Anhörungen von Experten (u.a. von SPD, Grünen und NGO) in den zuständigen Ausschüssen geplant, um die Argumente detailliert abzuwägen.
  • Dezember 2025: Der Bundesrat soll sich mit der Vorlage befassen, bevor im selben Monat die Verabschiedung und Veröffentlichung erfolgen soll, um ein Inkrafttreten im nächsten Jahr zu ermöglichen.

Eine mögliche Blockade könnte noch von Grünen und SPD-Abgeordneten ausgehen. Zudem könnte die EU-Kommission einschreiten, falls die Abschwächung des LkSG als Verstoß gegen den Sinn und Zweck der CSDDD-Richtlinie gewertet wird.

Parallel läuft diese Auseinandersetzung auch auf EU-Ebene und dürfte ihrerseite Einfluss auf den deutschen Gesetzgebungsprozess haben. Am 13. Oktober har sich das EU-Parlament auf einen Kompromiss zu CSRD und CSDDD geeinigt, der nun im Plenum des EU-Parlaments beraten werden soll. Damit sollen die beiden zentralen Nachhaltigkeitsgesetze der EU vereinfacht und praktikabler gestaltet werden.

Die CSDDD soll künftig für Unternehmen mit mindestens 5.000 Mitarbeitenden und 1,5 Mrd. € Umsatz gelten, während die CSRD für Firmen ab 1.000 Mitarbeitenden oder 450 Mio. € Umsatz greifen soll. Der Kompromiss steht für den neuen Kurs in Brüssel: Weniger Komplexität, mehr Proportionalität. Die Abstimmung im Plenum des EU-Parlaments folgt in Kürze.

Die politische Auseinandersetzung um die Balance zwischen unternehmerischer Entlastung und globaler Sorgfaltspflicht bleibt somit hochspannend.

Auswirkungen auf die Unternehmens-Compliance

Obwohl die Novelle die Unternehmen insbesondere durch den Wegfall formaler Berichtspflichten entlasten soll, bleiben die Sorgfaltspflichten des LkSG in vollem Umfang bestehen. Hier eine Übersicht, was das für Unternehmen bedeutet:

Geplante Änderung Compliance-Auswirkung
Wegfall der externen Berichtspflicht (§ 10 Abs. 2 LkSG) Entlastung von Bürokratie: Unternehmen müssen keine jährlichen Berichte mehr erstellen und beim BAFA einreichen, was administrative Kosten senkt.
Beibehaltung der Dokumentationspflicht Kontinuität: Die Durchführung der Sorgfaltspflichten (Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren) muss weiterhin intern umfassend dokumentiert werden, da diese Dokumentation die Grundlage für Kontrollen durch das BAFA bildet.
Reduzierung der Sanktionen auf schwere und systematische Verstöße (insbesondere bei menschenrechtlichen Risiken) Fokusverschiebung: Die Compliance-Anstrengungen müssen sich noch stärker auf die wirksame Prävention und unverzügliche Abhilfe bei tatsächlichen oder drohenden schweren Menschenrechtsverletzungen konzentrieren.

Die Entlastung betrifft primär die formale Berichterstattung, nicht die inhaltliche Umsetzung des Risikomanagements. Die Kernpflichten wie die Einrichtung eines Beschwerdeverfahrens, die Durchführung der Risikoanalyse und die Verankerung von Präventions- und Abhilfemaßnahmen bleiben bestehen und sind weiterhin bußgeldbewehrt (wenn auch enger gefasst).

Wenn Sie sich schon jetzt über die Auswirkungen auf ihr Compliance-Management-System informieren möchten, stehen wir Ihnen gerne beratend zur Seite.

Deutschland verzögert EU-Anti-Korruptionsrichtlinie

Unternehmen müssen durch die EU-Anti-Korruptionsrichtlinie mit höheren Anforderungen an ihr Compliance Management System rechnen.

Auch im September 2025 ist die EU-Anti-Korruptionsrichtlinie immer noch nicht endgültig beschlossen, im Sommer konnten sich die EU-Staaten nicht auf einen gemeinsamen Text einigen. Stattdessen laufen weiterhin Trilogverhandlungen zwischen EU-Kommission, Rat und Parlament. Insbesondere Deutschland, Österreich, Ungarn und Italien sehen noch Nachbesserungsbedarf.

Inhalt und Ziele der EU-Anti-Korruptionsrichtlinie

Der Richtlinienentwurf sieht erstmals Mindeststandards für die Definition und Sanktionierung von Korruptionsdelikten sowohl für den öffentlichen als auch den privaten Sektor vor. Es geht um eine Harmonisierung bisher fragmentierter EU-Gesetze und die Einführung umfassender, einheitlicher Strafbestimmungen. Dazu zählen zum Beispiel:

  • Bestechung und Bestechlichkeit im öffentlichen und privaten Sektor,
  • unerlaubte Einflussnahme,
  • Vorteilsgewährung und Vorteilsannahme.

Streitpunkte und Hürden

Die größten Streitpunkte liegen bei den Strafrahmen, Verjährungsfristen und in der Umsetzung der Immunitätsregelung einzelner Mitgliedsländer, z.B. wenn parlamentarische Verfahren zur Immunitätsaufhebung verlangt werden. Deutschland, Österreich und andere Länder streben Nachbesserungen an und sehen Bedenken vor allem bei der Vereinbarkeit der EU-Standards mit nationalen Strafvorschriften.

Die beiden Länder haben im EU-Ministerrat einen sogenannten Prüfvorbehalt gegen die gesamte Richtlinie eingelegt, wodurch das Verfahren blockiert oder verzögert wird. Insbesondere Deutschland spricht sich dagegen aus, „Amtsmissbrauch“ als übergreifenden Straftatbestand auf EU-Ebene einzuführen, betrachtet dies als zu weitreichend. Zudem lehnt die Bundesregierung die Verpflichtung ab, dass jeder EU-Mitgliedstaat eine umfassende nationale Strategie zur Korruptionsbekämpfung erarbeiten muss. Auch eine verpflichtende statistische Dokumentation und Meldung von Korruptionsfällen an Brüssel trifft in Berlin auf Widerstand.

Was sich bei der EU-Anti-Korruptionsrichtlinie getan hat

Die polnische Ratspräsidentschaft bemühte sich bis Ende Juni 2025 um einen Verhandlungserfolg, inzwischen hat Dänemark den Vorsitz übernommen und die Gespräche gehen weiter. Dennoch wurde die EU-Anti-Korruptionsrichtlinie seit Sommer insbesondere mit Blick auf Strafmaß, Definition und Sanktionierung von Korruption sowie Präventions- und Ermittlungsmaßnahmen weiterentwickelt.

Der Richtlinienvorschlag sieht nun erstmals EU-weit einheitliche Vorgaben für Korruptionsstraftaten, Mindeststrafen sowie neue und strengere Strafverfolgungsmaßnahmen vor.

  • Die Definitionen von Korruptionstatbeständen wie Bestechung, Vorteilsannahme und unerlaubte Einflussnahme wurden geschärft, und es sollen künftig alle EU-Mitgliedstaaten dieselben Verhaltensweisen gleichermaßen unter Strafe stellen.
  • Vorgesehen sind erhöhte Mindesthöchststrafen für natürliche Personen auf zwei bis vier Jahre Freiheitsstrafe und die Möglichkeit, Unternehmen Sanktionen wie Tätigkeitsverbote, Auflösung juristischer Personen oder Einsetzung eines Compliance-Monitors aufzuerlegen.
  • Die Regelungen zur Justizbehinderung wurden erweitert; darunter fällt nun explizit auch die Einflussnahme über Mittelspersonen, was neue Strafbarkeitstatbestände schafft.
  • Präventionsmaßnahmen wurden gestärkt: Mitgliedstaaten müssen unabhängige Korruptionspräventionsstellen einrichten und mehr in Aufklärungsmaßnahmen investieren.

Ein endgültiger Beschluss steht noch aus, wird aber für 2026 erwartet, da die Richtlinie Teil der EU-Strategie zur Bekämpfung von organisierter Kriminalität und Korruption ist. Die finale Fassung ist weiterhin Gegenstand intensiver politischer Diskussion.

Bedeutung und Konsequenzen für Compliance Management Systeme

Mit der EU-Anti-Korruptionsrichtlinie müssten Mitgliedsstaaten neue, umfassende Präventionsmechanismen schaffen, unter anderem Einrichtungen zur Korruptionsprävention mit ausreichenden Ressourcen sowie umfassende Compliance-Standards für Unternehmen.

Die Richtlinie wird also voraussichtlich tiefgreifende Veränderungen für Compliance-Management Systeme in Unternehmen mit sich bringen. Künftig werden angemessene interne Kontrollmechanismen und Compliance-Strukturen nicht nur als präventive Maßnahme gegen Korruption betrachtet, sondern auch als entscheidende Faktoren, die bei der Strafzumessung mildernd berücksichtigt werden. Dadurch entsteht für Unternehmen ein starker Anreiz, ihre Compliance-Systeme zu stärken und weiterzuentwickeln, um hohe Geldstrafen und andere konsequente Sanktionen wie Berufsverbote oder den Ausschluss von öffentlichen Aufträgen zu vermeiden.

Die Richtlinie legt zudem den Fokus auf einheitliche Regeln zur Berücksichtigung von Milderungsgründen, die Compliance-Maßnahmen nach dem Aufdecken von Fehlverhalten und freiwillige Selbstanzeigen einschließen. Das bedeutet für Unternehmen erhöhte Rechtssicherheit, da der Umgang mit Compliance in der gesamten EU klar geregelt wird und damit Unsicherheiten verringert werden.

In der Praxis müssten Unternehmen ihre bestehenden Compliance-Programme kritisch prüfen und gegebenenfalls verbessern, etwa durch detaillierte Risikoanalysen, optimierte Whistleblower-Systeme, schnellere und gründlichere interne Untersuchungen sowie konsequente Umsetzung von Korrekturen. Darüber hinaus wird die Zusammenarbeit mit Ermittlungsbehörden stärker in den Vordergrund rücken. Insgesamt stärkt nachhaltig die Compliance-Kultur innerhalb der europäischen Wirtschaft.

Was passiert bei Verstoß gegen die EU-Anti-Korruptionsrichtlinie?

Für Unternehmen sind besonders hohe Geldbußen vorgesehen, die sich an einem Prozentsatz des weltweiten Umsatzes orientieren: mindestens 3 bis 5 Prozent des Gesamtumsatzes oder mindestens 24 bis 40 Millionen Euro. Weitere mögliche Unternehmenssanktionen: Ausschluss von öffentlichen Aufträgen, Gewerbeuntersagungen, Rücknahme von Genehmigungen, gerichtliche Überwachung. Diese Maßnahmen zielen auf eine erheblich schärfere und EU-weit harmonisierte Korruptionsbekämpfung ab, die auch über bisherige nationale Regelungen wie in Deutschland hinausgeht. Die Richtlinie sieht die Ausweitung der Haftung von Unternehmen nicht nur für unmittelbare Korruptionshandlungen, sondern auch bei Aufsichtspflichtverletzungen vor, was eine umfassendere Verantwortung der Führungspersonen sicherstellen soll.

Wenn Sie sich schon jetzt über die Auswirkungen auf ihr Compliance-Management-System insbesondere auf Risikoanalysen und weitere Präventionsmaßnahmen informieren möchten, stehen wir Ihnen gerne beratend zur Seite.

DSGVO-Schadensersatz: Das Ende der Bagatellgrenze? Wichtiges Urteil zu immateriellem Schaden

Der Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) entwickelt sich rasant weiter. Er gewährt betroffenen Personen einen Anspruch auf Entschädigung bei Verstößen gegen die DSGVO. Dabei sind explizit sowohl materielle als auch immaterielle Schäden erfasst. Ziel des Anspruchs ist ein effektiver Rechtsschutz und die Abschreckung von Unternehmen vor laxen Datenschutzpraktiken.

Bisherige Unklarheiten bei immateriellen Schäden

Lange Zeit herrschte Unsicherheit darüber, inwiefern rein immaterielle Schäden – also seelische oder gefühlsmäßige Beeinträchtigungen – geltend gemacht werden können. Die Kernfragen waren:

  • Gibt es einen Erheblichkeitsschwellenwert für immaterielle Schäden?
  • Reicht ein bloßer DSGVO-Verstoß aus, oder müssen konkrete nachteilige Folgen nachgewiesen werden?
  • Welche Gefühle (z. B. Ärger, Sorge, Kontrollverlust) sind überhaupt schadensersatzfähig?

Europäischer Gerichtshof schafft Klarheit: kein Erheblichkeitserfordernis

Jüngste Entscheidungen, insbesondere des Europäischen Gerichtshofs (EuGH) in den Jahren 2023 und 2024, haben die Anspruchsgrundlage des Art. 82 DSGVO konkretisiert und die Rechte der Betroffenen gestärkt.

Die wichtigste Erkenntnis: Es gibt kein generelles Erheblichkeitserfordernis für immaterielle Schäden.

Als immaterieller Schaden können bereits anerkannt werden:

  • Angst vor Missbrauch personenbezogener Daten,
  • das Gefühl des Kontrollverlusts über persönliche Daten.

Allerdings bleibt der Nachweis eines konkreten Schadens erforderlich. Ein bloßer Verstoß gegen die DSGVO reicht in der Regel nicht aus, um Schadensersatz zu erhalten.

Urteil gegen Privatbank: Ärger und Kontrollverlust als immaterieller Schaden anerkannt

Die jüngste Rechtsprechung gegen eine Privatbank illustriert diese Entwicklung deutlich. Im Zentrum stand ein Bewerber, dessen vertrauliche Gehaltsdaten durch eine Bankmitarbeiterin an eine unbeteiligte dritte Person außerhalb des Bewerbungsprozesses weitergeleitet wurden. Nachdem der Bewerber von diesem Datenschutzverstoß erfuhr, forderte er Unterlassung und Schadensersatz wegen immateriellen Schadens.

Das Gericht gab dem Kläger recht und erkannte einen immateriellen Schaden an. Dieser äußerte sich konkret in:

  1. negativen Gefühlen: Ärger, Unmut und Unzufriedenheit.
  2. dem Gefühl des Kontrollverlustes über die persönlichen Daten.

Wichtig: Für den Anspruch genügt bereits leichtfertige Fahrlässigkeit des Unternehmens; eine besondere schwere Schuldform ist nicht erforderlich.

Erweitertes Haftungsrisiko für Unternehmen

Die aktuelle Rechtsprechung bedeutet eine Erweiterung des Anspruchs auf Schadensersatz bei Datenschutzverstößen. Der EuGH stärkt die Betroffenenrechte, hält aber am Erfordernis eines konkreten Kausalzusammenhangs zwischen Verstoß und Schaden fest.

Für Unternehmen steigt das Haftungsrisiko erheblich. Sie müssen nun verstärkt darauf achten, dass interne Prozesse und Schulungen einen DSGVO-konformen Umgang mit persönlichen Daten garantieren. Weitere Konkretisierungen der nationalen und europäischen Gerichte sind in den kommenden Jahren zu erwarten.

Haben Sie Fragen zum Thema DSGVO-Schadensersatz, immateriellem Schaden oder benötigen Sie eine rechtliche Einschätzung für Ihr Unternehmen? Wir stehen Ihnen gerne zur Verfügung.

Zwei Jahre Hinweisgeberschutzgesetz: So sieht es in deutschen Unternehmen aus

Vor gut zwei Jahren, im Juli 2023, hat der deutsche Gesetzgeber mit dem Hinweisgeberschutzgesetz (HinSchG) die EU-Whistleblower-Richtlinie umgesetzt. Damit sollen Menschen, die Missstände in Unternehmen und Behörden melden, besser vor Repressalien geschützt werden. Was hat sich seither getan?

Das Hinweisgeberschutzgesetz hat in deutschen Unternehmen vor allem dazu geführt, dass deutlich mehr Hinweisgebersysteme eingeführt wurden und die Zahl der Meldungen von Missständen langsam steigt. Allerdings liegen die Meldezahlen weiterhin niedriger als in anderen europäischen Ländern. Zum Start 2023 lag die Zahl der Meldungen noch bei durchschnittlich 0,53 pro 100 Beschäftigte. Im Laufe des Jahres 2023 stieg dieser Wert auf 0,63 an. Für das Jahr 2025 pendeln sich die Werte für deutsche Unternehmen laut Prognosen bei 0,4 bis 1,0 Hinweisen pro 100 Beschäftigte ein – je nach Unternehmen und effektiver Umsetzung des Hinweisgebersystems. (Quelle) Die Zahlen basieren auf Auswertungen von Meldestatistiken aus internen und externen Meldestellen sowie Studien von Dienstleistern und Branchenexperten, die Daten aus verschiedenen EU-Ländern aggregieren.

Der europaweite Durchschnitt bewegt sich weiterhin etwas höher als in Deutschland mit 0,7 Meldungen pro 100 Beschäftigte. Trotz gesetzlicher Pflicht und besserem Schutz sind die Meldezahlen hierzulande also weiterhin verhalten und nehmen nur langsam zu. Meldungen betreffen vor allem das Personalwesen, danach Korruption, IT und Datenschutz sowie sozialen Standards und Menschenrechten. (Statistiken)

Unternehmen ab 50 Mitarbeitern müssen seit 2023 Hinweisgebersysteme einführen und die Beschäftigten darüber informieren. Wer es nicht tut, muss ggf. bis zu 50.000 Euro Bußgeld zahlen. Mittlerweile sind Meldewege und Vertraulichkeitsschutz daher weitgehend standardisiert; interne Schulungen zur Gesetzeskonformität werden inzwischen häufiger durchgeführt.

Hinweisgeberschutzgesetz nach Branchen

Die stärkste Zunahme an Hinweisen seit Einführung des Hinweisgeberschutzgesetzes verzeichnen offenbar vor allem Branchen mit erhöhter Compliance-Anforderung wie der Finanzsektor, die Industrie und die öffentliche Verwaltung.

Der Finanzdienstleistungsbereich musste als einziger Sektor sofort nach Inkrafttreten des Gesetzes eine Meldestelle einrichten und verzeichnet seither die deutlichsten Zuwächse bei den Hinweisen. Meldungen betreffen hier vor allem Verstöße gegen Geldwäschegesetze, Korruption und arbeitsrechtliche Regelungen.

Unternehmen mit starker Compliance-Struktur – vor allem große Konzerne – erhalten einige hundert Hinweise pro Jahr, ein deutlicher Anstieg im Vergleich zu Vorjahren. Hauptthemen: Personalverhalten, Arbeitsrecht und Korruption.

Kommunen mit mehr als 10.000 Einwohnern mussten ebenfalls frühzeitig interne Meldestellen schaffen, was zu einem sprunghaften Anstieg der eingehenden Hinweise führte. Hier wurden seither besonders im Bereich Arbeitsrecht und organisatorische Missstände mehr Hinweise gegeben.

Warum wird in Deutschland weniger gemeldet?

Letztlich können wir darüber nur spekulieren. Die späte und zögerliche Umsetzung des Hinweisgeberschutzgesetzes und Einführung wirksamer Systeme hat in Deutschland länger gedauert als in anderen Ländern. Entsprechend langsam steigen Akzeptanz und Bekanntheit. Hinzu kommen eine generell zurückhaltende Meldekultur, Angst vor Nachteilen, geringes Vertrauen in den Schutz sowie fehlende Information und Transparenz.

Erfolgsfaktoren für ein Hinweisgebersystem

Damit mehr Beschäftigte das Hinweisgebersystem nutzen, muss es vor allem Vertraulichkeit, Benutzerfreundlichkeit und klare Kommunikation sicherstellen. Unsere Tipps.

Klare und transparente Richtlinien schaffen

Erstellen Sie eine leicht verständliche Hinweisgeber-Regelung, die sowohl die Rechte und Pflichten als auch den Schutz vor Repressalien klar festlegt. Stellen Sie sicher, dass diese Regelung für alle Beschäftigten einfach zugänglich ist und ihren Nutzen deutlich macht.

Informieren Sie die Belegschaft über das Hinweisgebersystem. Heben Sie dabei die Vorteile und Erfolge hervor und gehen Sie offen auf Fragen und Bedenken ein. Die Führungsebene sollte signalisieren, dass Hinweise willkommen und notwendig sind, um Risiken frühzeitig zu erkennen und zu beheben.

Anonyme und komfortable Meldewege bereitstellen

Bieten Sie den Beschäftigten verschiedene Meldekanäle an. Dazu gehören Online-Plattformen oder Hinweisgebersoftware, die verschlüsselte Kommunikation ermöglichen. Ergänzen Sie das durch eine Telefonhotline oder persönliche Gespräche.

Schnelle und nachvollziehbare Bearbeitung gewährleisten

Stellen Sie sicher, dass alle Meldungen zügig bearbeitet werden mit fristgerechten Bestätigungen und Rückmeldungen an die Hinweisgeber. Eine lückenlose und strukturierte Dokumentation ist dabei entscheidend, um Vertrauen in den Prozess zu schaffen.

Warum interne Meldestellen auch für die Compliance unverzichtbar sind

Interne Meldestellen sind längst nicht mehr nur eine gesetzliche Pflicht, sondern ein entscheidender Wettbewerbsvorteil. Sie sind das Frühwarnsystem, das Unternehmen vor Schäden schützt und gleichzeitig eine Kultur der Integrität schafft. Bereits vor Einführung des HinSchG waren sie integraler Bestandteil eines Compliance-Management-Systems (CMS).

Frühwarnsystem für Compliance-Verstöße

Interne Meldestellen sind Sensoren, die Fehlverhalten frühzeitig erkennen. Sie sind die erste Anlaufstelle für Hinweise auf Korruption, Datenschutzverstöße oder unethisches Verhalten. Indem solche Probleme intern gelöst werden, können Bußgelder, Gerichtsverfahren und massive Reputationsschäden vermieden werden.

Außerdem ist ein professionelles Meldesystem ein zentraler Pfeiler des Risikomanagements. Es hilft, potenzielle Krisen zu entschärfen, bevor sie eskalieren. Dies schützt nicht nur die Finanzen des Unternehmens, sondern auch seine Reputation bei Kunden, Partnern und Investoren.

Stärkung der Unternehmenskultur

Beschäftigte, die sich trauen, Missstände anzusprechen, stärken das gesamte Unternehmen. Ein offenes Meldesystem sendet die klare Botschaft: Integrität wird hier großgeschrieben. Es fördert eine Kultur, in der Ehrlichkeit und Verantwortung belohnt werden, was das Vertrauen und die Loyalität der Belegschaft nachhaltig steigert.

Rechtssicherheit und Vertrauensgewinn

Mit der gesetzlichen Pflicht zur Einrichtung von Meldestellen hat der Gesetzgeber die Bedeutung des Themas unterstrichen. Wer dieser Pflicht nachkommt, beweist nicht nur Rechtskonformität, sondern auch ein hohes Maß an Verantwortungsbewusstsein. Dies macht Unternehmen nicht nur sicherer, sondern auch glaubwürdiger.

Wie beraten Sie gerne bei der Einführung und Betrieb einer internen Meldestelle, die Sie gemäß § 14 Abs. 1 HinSchG auch gerne an uns auslagern können.

Link zu: Kontakt

Haben Sie Fragen? Schreiben Sie uns eine E-Mail.

Compliance Officer Services GmbH | Koblenzer Straße 76
53177 Bonn Bad-Godesberg
Fon 0228 35036290 | E-Mail info@cos-gmbh.eu
Impressum | Datenschutzerklärung

Partner der Compliance Officer Services

inecos
HGS24
SAT
Logo TÜV Rheinland