Philipp von Bülow, Geschäftsführer von lawpilots, rät Unternehmen deshalb: „Weiterbildungen und Schulungen werden vor allem in den Bereichen Compliance und IT-Sicherheit immer wichtiger. Denn rechtlich und ethisch korrektes Verhalten der Mitarbeitenden in einem Unternehmen sowie die Sensibilisierung für gängige (Cyber-)Betrugsmaschen sind mehr denn je ein entscheidender Wettbewerbsfaktor. Nur wenn alle Mitarbeitenden eines Unternehmens die geltenden Compliance- und Sicherheitsrichtlinien kennen und verstehen, können sie sich entsprechend regelkonform verhalten. Kennen sie die Richtlinien nicht, können Compliance-Verstöße oder Cybercrimefälle weitreichende Folgen haben. Das reicht von Image-Schäden bis hin zu strafrechtlichen Konsequenzen und Geldbußen.“ Diese Regelungen stehen im Jahr 2024 an:
Lieferkettensorgfaltspflichtengesetz: Neue Pflichten für Unternehmen
Ab dem 1. Januar 2024 gilt das Lieferkettensorgfaltspflichtengesetz (LkSG) auch für Unternehmen mit mindestens 1.000 Mitarbeitenden. Das Gesetz verpflichtet diese Unternehmen, ihre Lieferketten auf Menschenrechts- und Umweltrisiken zu prüfen und diese Risiken zu minimieren oder zu beseitigen. Konkret bedeutet dies, dass Unternehmen:
- einen Menschenrechtsbeauftragten ernennen müssen, der die Umsetzung des Gesetzes verantwortet
- ein Risikomanagementsystem einrichten müssen, um potenzielle Risiken in den Lieferketten zu identifizieren und zu bewerten
- ein Beschwerdeverfahren einrichten müssen, damit Betroffene von Menschenrechtsverletzungen diese melden können
- eine Menschenrechtsstrategie entwickeln müssen, die konkrete Maßnahmen zur Minimierung von Risiken enthält
Die neuen Pflichten gelten auch für kleine und mittlere Unternehmen (KMU), die an Großunternehmen liefern. Denn Großunternehmen müssen ihre unmittelbaren Zulieferer verpflichten, die Vorgaben des Gesetzes einzuhalten. Die Umsetzung des LkSG ist eine Herausforderung für Unternehmen. Sie ist aber ein wichtiger Schritt, um die Einhaltung von Menschenrechten und Umweltstandards in globalen Lieferketten zu verbessern.
Green Claims Directive: Unternehmen müssen sich auf neue Regeln vorbereiten – Bußgelder drohen
Die Green Claims Directive der Europäischen Union soll Greenwashing bekämpfen und Verbraucher besser vor irreführenden Aussagen schützen. Unternehmen, die umweltbezogene Aussagen machen, müssen diese künftig mit wissenschaftlichen Fakten begründen und von einer externen Stelle prüfen lassen. Ausnahmen gelten für kleine Unternehmen mit weniger als zehn Beschäftigten und einem Jahresumsatz von unter zwei Millionen Euro. Die Green Claims Directive wurde am 16. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Die Umsetzungsfrist beträgt 18 Monate. Das bedeutet, dass die Richtlinie in den Mitgliedsstaaten spätestens am 1. August 2024 in Kraft treten muss. Unternehmen sollten sich entsprechend auf die neuen Regeln vorbereiten, indem sie ihre umweltbezogenen Aussagen überprüfen und gegebenenfalls anpassen. Denn: Verstöße gegen die neuen Regeln können mit Bußgeldern von bis zu vier Prozent des Jahresumsatzes geahndet werden.
CSR-Richtlinie 2024: Mehr Unternehmen, mehr Berichtspflichten
Bereits seit 2014 gilt die CSR-Richtlinie, laut der Unternehmen regelmäßig Angaben zur Einhaltung ökonomischer, aber auch ökologischer und sozialer Standards machen müssen (Nachhaltigkeitsberichterstattung). Diese Richtlinie wird 2024 deutlich ausgeweitet. Künftig sind alle großen Unternehmen, die zwei der drei folgenden Kriterien erfüllen, zur Nachhaltigkeitsberichterstattung verpflichtet:
- Bilanzsumme von mindestens 20 Millionen Euro
- Nettoumsatzerlöse von mindestens 40 Millionen Euro
- mindestens 250 Beschäftigte
Die Berichtspflicht muss künftig im Lagebericht erfolgen und mit einem digitalen Tagging versehen werden. Das Management trägt die Verantwortung für die Nachhaltigkeitsberichterstattung und der Aufsichtsrat ist für die Überwachung der Berichterstattung verantwortlich. Unternehmen müssen ihre Nachhaltigkeitsberichterstattung deutlich ausweiten und verschärfen. Dies erfordert eine umfassende Analyse der eigenen Nachhaltigkeitsleistung und die Entwicklung neuer Berichtsformate. Die Prüfung der Nachhaltigkeitsinformationen stellt eine zusätzliche Aufgabe dar.
Hinweisgeberschutzgesetz: Schnell Meldestelle einrichten oder Bußgeld zahlen
Hinweisgeber sind Personen, die im Rahmen ihrer beruflichen Tätigkeit Hinweise auf Verstöße gegen Gesetze oder ethische Grundsätze geben. Unternehmen mit mindestens 250 Beschäftigten und Unternehmen in bestimmten Branchen waren bereits im Lauf des Jahres 2023 zur Einrichtung einer internen Meldestelle verpflichtet. Unternehmen mit 50 bis 249 Beschäftigten hatten dafür bis zum 17. Dezember 2023 Zeit. Die Meldestelle muss sicherstellen, dass Hinweise vertraulich und anonym entgegengenommen werden können. Die Hinweise müssen dann geprüft und entsprechend ihrer Bewandtnis intern bearbeitet oder an die zuständigen offiziellen Stellen weitergeleitet werden. Die hinweisgebende Person muss während des gesamten Prozesses über die Fortschritte und Ergebnisse informiert werden. Verstöße gegen das Hinweisgeberschutzgesetz können mit Bußgeldern bis zu 50.000 Euro belegt werden.
EuGH-Urteil: Bußgelder bei DSGVO-Verstößen nur bei Fahrlässigkeit
Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Dezember 2023 ändert die Bußgeldregeln für Verstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO). Nach dem Urteil (Rechtssache C-807/21 u. a.) müssen Datenschutzbehörden nachweisen, dass die verantwortliche Person die Rechtswidrigkeit ihres Verhaltens zumindest hätte erkennen können. Unternehmen sollten ihre Datenschutzmaßnahmen noch sorgfältiger als bisher überwachen. Sie müssen sicherstellen, dass ihre Mitarbeitenden über die geltenden Datenschutzvorschriften informiert sind und dass diese Vorschriften in der Praxis eingehalten werden. Folgendes Verhalten könnte als fahrlässiger Verstoß gegen die DSGVO gewertet werden:
- Ein Unternehmen speichert personenbezogene Daten ohne Rechtsgrundlage.
- Ein Unternehmen gibt personenbezogene Daten an Dritte weiter, ohne die Betroffenen um ihre Einwilligung zu bitten.
- Ein Unternehmen verschlüsselt personenbezogene Daten nicht ausreichend.
Bei einem Verstoß gegen die DSGVO können Datenschutzbehörden ein Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes verhängen.
Geldwäscheprävention: Neue Registrierungspflicht für Güterhändler
Ab dem 1. Januar 2024 müssen sich Güterhändler, die Luxusartikel anbieten, im elektronischen Meldeportal goAML Web, der Zentralstelle für Finanztransaktionsuntersuchungen (FIU), registrieren. Die Registrierungspflicht gilt für alle Unternehmen, unabhängig von Größe oder Rechtsform. Durch die Registrierung erhalten Güterhändler Zugang zu Informationen und Tools, die ihnen helfen, verdächtige Transaktionen zu erkennen. Zudem müssen sie Sorgfaltspflichten gegenüber ihren Kunden einhalten. Die neue Registrierungspflicht ist ein wichtiger Schritt zur Stärkung der Geldwäscheprävention in Deutschland. Sie trägt dazu bei, dass Unternehmen, die Luxusartikel anbieten, nicht für illegale Zwecke missbraucht werden.
Transparenzregister: Mehr Transparenz für mehr Sicherheit
Auch das Transparenzregister dient der Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Durch die Eintragung der wirtschaftlich Berechtigten sollen Behörden und andere Unternehmen leichter nachvollziehen können, wer hinter einem Unternehmen steht. Die neue Regelung besagt, dass alle Unternehmen, die bisher noch nicht eingetragen sind, dies bis zum 31. Dezember 2023 nachholen müssen. Für Gesellschaften bürgerlichen Rechts (GbR) gilt ab dem 1. Januar 2024 eine Meldepflicht. Die Meldung an das Transparenzregister kann über das Onlineportal des Bundesanzeigers erfolgen. Verstöße gegen die Meldepflichten können mit einem Bußgeld von bis zu 100.000 Euro geahndet werden.
Digitale-Dienste-Gesetz und Digitale-Märkte-Gesetz: Mehr Transparenz und Verbraucherschutz im Netz
Der europäische Digital Service Act (DSA) und der Digital Market Act (DMA) sollen die Grundlage für einen fairen und transparenten digitalen Raum schaffen. Geregelt werden die Aktivitäten von Anbietern digitaler Dienste und Marktplätze innerhalb der EU, zudem werden bestehende Rechtsschutzmöglichkeiten für Verbraucher ausgeweitet. Seit Ende 2022 haben die Provider Zeit, sich auf die Umsetzung der EU-Verordnung vorzubereiten, ab dem 24. Februar 2024 gilt sie dann in allen Mitgliedsstaaten. Unter anderem müssen Anbieter sehr großer Plattformen und Suchmaschinen – das bedeutet solchen mit mehr als 45 Millionen Nutzern – fortan jährliche Risikobewertungen durchführen und an die EU-Kommission übermitteln sowie Koordinatoren für ihre digitalen Dienste benennen.