„Nicht schon wieder!“ Diese drei Worte gehören wohl zu den typischen Reaktionen von Unternehmen, wenn ein neues Gesetz verabschiedet wird und schon bald in Kraft treten soll. Ja, neu erlassene Gesetze, Regularien und Richtlinien haben in der Regel einen schweren Stand. Das liegt unter anderem daran, dass Firmen sie zumeist als Innovationsbremsen und Wachstumshemmer empfinden. Dabei bringen solche Gesetze nicht nur Herausforderungen, sondern eröffnen auch Chancen. Zugleich führt an ihnen in der Regel kein Weg vorbei. Denn bei Missachtung riskieren Unternehmen hohe Strafen. Wir stellen die wichtigsten Gesetze vor und geben einen Ausblick auf das, was Firmen künftig erwartet.
In diesem Beitrag erfahren Sie mehr über
- das Lieferkettensorgfaltspflichtengesetz (LkSG),
- die Corporate Sustainability Reporting Directive (CSRD),
- den AI Act (Künstliche Intelligenz),
- die NIS-2-Richtlinie (Cyber-Sicherheit),
- das Barrierefreiheitsstärkungsgesetz (BFSG) und
- wie Interim Professionals helfen, neue gesetzliche Anforderungen umzusetzen.
Lieferkettensorgfaltspflichtengesetz: Global handeln, lokal haften
Seit dem 1. Januar 2023 setzt das Lieferkettensorgfaltspflichtengesetz (LkSG), kurz Lieferkettengesetz, neue Maßstäbe hinsichtlich unternehmerischer Verantwortung. In Deutschland ansässige Firmen mit mehr als 3.000 Mitarbeitenden sind verpflichtet, menschenrechtliche und umweltbezogene Sorgfaltspflichten entlang ihrer gesamten Lieferkette zu erfüllen. Ab dem 1. Januar 2024 wurde der Geltungsbereich auf Unternehmen mit mehr als 1.000 Mitarbeitenden ausgeweitet, was besonders den gehobenen Mittelstand betrifft. Damit richtet sich der Fokus verstärkt auf Branchen, die stark global vernetzt sind, wie die Automobil-, Elektronik-, Lebensmittel- und Textilindustrie.
❗ Wichtige Information: Aktuell wird in der Politik diskutiert, das Gesetz zu reformieren, um die deutsche Wirtschaft zu entlasten. Die Debatte spiegelt die Spannungen zwischen wirtschaftlichen Interessen und dem Schutz von Menschenrechten wider – ein Thema, das Unternehmen genau verfolgen sollten.
Pflichten: Risiken ermitteln und Bericht veröffentlichen
Das Lieferkettengesetz weist Firmen an, systematische Risikoanalysen durchzuführen, um potenzielle Verstöße gegen Menschenrechte und Umweltstandards frühzeitig erkennbar zu machen. Besondere kritische Aspekte sind beispielsweise unfaire Arbeitsbedingungen, Kinderarbeit und Umweltzerstörung. Es gilt nicht nur, präventive Maßnahmen zu ergreifen, um derartigen Verstößen proaktiv vorzubeugen, sondern auch, bei auftretenden Verstößen schnell und effektiv zu handeln. Zugleich sind Unternehmen verpflichtet, ihre Bemühungen zu dokumentieren und in einem jährlichen Bericht zu veröffentlichen.
Chancen: Transparenz schafft Vertrauen
Das Lieferkettengesetz schafft jedoch nicht nur Pflichten, sondern eröffnet auch Chancen: Gestalten Unternehmen ihre Lieferketten nachhaltig und transparent, schafft das Vertrauen bei ihren Kund:innen und stärkt die Reputation. Umgekehrt können Verstöße gegen das Lieferkettengesetz schwerwiegende Folgen haben. Neben Bußgeldern von bis zu acht Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes droht auch der Ausschluss von öffentlichen Aufträgen. Wichtig hierbei: Die Regelungen betreffen nicht nur große Unternehmen, sondern auch kleine Zulieferer, die vertraglich daran gebunden sind, die Sorgfaltspflichten einzuhalten. Dadurch nimmt das Lieferkettengesetz viele mittelständische Unternehmen indirekt in die Pflicht.
Das Lieferkettengesetz markiert somit einen Wendepunkt für Unternehmen in Deutschland. Es zwingt sie nicht nur dazu, in Bezug auf Compliance umzudenken, sondern verlangt zudem proaktive Maßnahmen, mit denen Firmen die Menschrechte schützen und Umweltstandards wahren.
Corporate Sustainability Reporting Directive: Nachhaltigkeit = Pflicht
Im Januar 2024 ist die Corporate Sustainability Reporting Directive (CSRD) in Kraft getreten, die große Unternehmen zu weitreichenden Nachhaltigkeitsberichten verpflichtet. Die neue Regelung baut auf der bisherigen Non-Financial Reporting Directive (NFRD) auf und verschärft die Berichtspflichten erheblich. Unternehmen müssen nun detaillierte Einblicke in ihre Nachhaltigkeitsstrategie geben und offenlegen, wie ihre Geschäftstätigkeit Gesellschaft und Umwelt beeinflusst. In den kommenden Jahren wird die CSRD-Berichterstattung auf weitere Unternehmensgruppen ausgeweitet: Ab 2025 gilt sie für alle bilanzrechtlich großen Unternehmen. Und ab 2026 werden auch kapitalmarktorientierte kleine und mittlere Unternehmen (KMU) mit mindestens zehn Mitarbeitenden berichtspflichtig sein.
Nachhaltigkeit wird zum Reporting-Standard
Zugunsten einheitlich gestalteter Berichte hat die EU die European Sustainability Reporting Standards (ESRS) entwickelt. Diese legen genau fest, welche Informationen offenzulegen sind. So müssen Unternehmen unter anderem über ihre Governance-Struktur, Zielsetzungen und Fortschritte berichten. Diese Vorgabe dient nicht nur den Firmen selbst als Steuerungsinstrument, sondern ermöglicht vor allem Investoren, die Nachhaltigkeit von Portfolios zu bewerten und fundierte Anlageentscheidungen zu treffen. Somit wird Nachhaltigkeit zum Standardthema im Reporting – und für Unternehmen zur Pflicht.
Mit Glaubwürdigkeit und Transparenz überzeugen
Betriebe, die frühzeitig auf eine umfassende Nachhaltigkeitsberichterstattung setzen, können sich als Vorreiter positionieren und Wettbewerbsvorteile sichern. Mehr noch: Mit glaubwürdigen und transparenten Berichten stärken Firmen ihr Vertrauen gegenüber Kund:innen, Investoren und Stakeholdern nachhaltig. Die Umsetzung ist allerdings nicht ganz ohne: Denn Nachhaltigkeitsberichte zu erstellen, erfordert zum einen neue Prozesse und Strukturen. Zum anderen braucht es ein tiefes Verständnis der eigenen Nachhaltigkeitsaspekte und -risiken. Auch hier erwarten Unternehmen bei Nicht-Erfüllung ihrer Berichtspflichten empfindliche Sanktionen. Umso wichtiger wird es, rechtzeitig zu handeln und die erforderlichen Maßnahmen zur CSRD-Implementierung anzugehen.
📖 Lesetipp: Erfahren Sie im Interview mit ESG-Expertin Karolin Rohmer, wie KMU den Regulatorik-Dschungel durchblicken und ganz pragmatisch mit dem Themenkomplex rund um Nachhaltigkeit starten.
AI Act: Spielregeln für die KI-Zukunft
Bereits im August 2024 ist der AI Act der Europäischen Union in Kraft getreten – ein bahnbrechendes Gesetz, das den Einsatz von Künstlicher Intelligenz (KI) in der EU regelt. Einerseits verfolgt der AI Act das Ziel, Innovationen „Made in Europe“ zu unterstützen. Andererseits schafft er klare Regeln für einen sicheren Einsatz und eine verantwortungsvolle Nutzung KI-basierter Systeme. Der AI Act betrifft eine Vielzahl von Unternehmen, die in irgendeiner Form Künstliche Intelligenz einsetzen. Im Wesentlichen zielt das Gesetz darauf ab, das Risiko von KI-Systemen zu bewerten und entsprechende Vorschriften zu erlassen. Das ist besonders für Unternehmen relevant, die in stark regulierten Sektoren wie dem Gesundheitswesen, im Bereich Finanzdienstleistungen und in der kritischen Infrastruktur tätig sind. Aber auch das Personalwesen ist von den Auswirkungen des AI Act betroffen.
Je riskanter das KI-System, desto stärker die Regulierung
Der AI Act verfolgt einen risikobasierten Ansatz. Das heißt: Je höher das Risiko ist, das mit einer KI-Anwendung einhergeht, desto strenger sind die Regulierungen. KI-Systeme werden in vier Risikogruppen eingeteilt:
- Inakzeptables Risiko: Systeme, die für Social Scoring oder biometrische Echtzeit-Fernidentifizierung zum Einsatz kommen (können), sind künftig verboten.
- Hohes Risiko: Anwendungen, die innerhalb kritischer Infrastrukturen, bei Sicherheitsbehörden oder in der Personalverwaltung genutzt werden, unterliegen strengen Anforderungen, wie etwa der menschlichen Kontrolle der Systeme, einer genauen technischen Dokumentation sowie einem belastbaren Risikomanagement.
- Begrenztes Risiko: Systeme wie Chatbots oder KI-basierte Kunden-Hotlines dürfen verwendet werden, wenn ihre Betreiber für Transparenz sorgen und Nutzende wissen lassen, dass sie mit einer KI interagieren.
- Minimales Risiko: KI-Anwendungen wie Spamfilter oder KI-gestützt Videospiele fallen unter diese Kategorie und unterliegen keinen speziellen Auflagen.
Must-have: KI-Governance-Programm
Für Unternehmen bedeutet dies, dass sie ihre KI-Systeme genau analysieren und entsprechend der Risikoklassifizierung anpassen müssen. Besonders Anwendungen mit „hohem Risiko“, die zum Beispiel in HR-Prozessen bei der Bewertung von Bewerber:innen zum Einsatz kommen, erfordern strikte Maßnahmen. Ab Februar 2025 wird es Unternehmen verboten sein, KI-Systeme mit „inakzeptablem Risiko“ zu verwenden. Gleichzeitig müssen bis spätestens August 2025 alle KI-Systeme, die als „hochriskant“ eingestuft werden, den Vorgaben des AI Acts entsprechen. Auch hier gilt für Unternehmen: Wer frühzeitig auf Compliance setzt, stärkt das Vertrauen – sowohl bei Kund:innen als auch Investoren. Zudem lassen sich mit dem Einsatz von innovativen und sicheren KI-Lösungen langfristig Wettbewerbsvorteile erzielen. Bei Verstößen drohen hohe Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Daher ist es wichtig, dass Unternehmen frühzeitig ein KI-Governance-Programm einrichten, mit dem sie die gesetzlichen Vorgaben erfüllen und Risiken minimieren können.
NIS-2-Richtlinie: Schütze sich, wer kann
Die NIS-2-Richtlinie, auch bekannt als „Network and Information Security“-Richtlinie, gilt seit 2023 EU-weit und wird voraussichtlich im März 2025 in Deutschland in nationales Recht umgesetzt. Ziel ist, das Cyber-Sicherheitsniveau in der EU auf ein einheitlich hohes Niveau zu heben und besonders kritische Infrastrukturen (KRITIS) besser vor Cyber-Angriffen zu schützen. Die NIS-2-Richtlinie betrifft Unternehmen aus insgesamt 18 Sektoren, darunter Energie, Finanzwesen, Gesundheitswesen, Transport und digitale Plattformen. Hinzu kommen Dienstleister und Zulieferer von kritischen Infrastrukturen. Das bedeutet, dass nun auch kleinere Unternehmen, die eine wesentliche Rolle in der Lieferkette spielen, in die Verantwortung genommen werden.
IT-Sicherheitsrisiken systematisch managen
Die NIS-2-Richtlinie führt EU-weit einheitliche Mindestanforderungen an die Cyber-Sicherheit ein. Diese gilt es, nach einem „All-Gefahren-Ansatz“ (All-Hazard-Approach) zu implementieren. So ist sichergestellt, dass Unternehmen nicht nur auf gezielte Cyber-Angriffe, sondern auf alle potenziellen Gefahren vorbereitet sind. Um die Resilienz ihrer IT-Systeme zu stärken, müssen Firmen Maßnahmen wie Risikoanalysen, Vorfallbewältigung und Krisenmanagement umsetzen. Dies umfasst unter anderem die folgenden Aspekte:
- Risikobewertung: Unternehmen sind angehalten, eine kontinuierliche Bewertung der Sicherheitsrisiken durchzuführen und geeignete Schutzmaßnahmen zu implementieren.
- Business Continuity und Krisenmanagement: Backups zu sichern und Systeme nach einem Vorfall schnell wiederherzustellen, sind zentrale Anforderungen.
- Sicherheit in der Lieferkette: Firmen müssen sicherstellen, dass ihre Lieferanten hohe Cyber-Sicherheitsstandards einhalten.
- Meldepflicht: Unternehmen müssen Sicherheitsvorfälle binnen 24 Stunden melden und innerhalb von 72 Stunden einen ausführlichen Bericht vorlegen.
Robustes Risikomanagement und umfassende Sicherheitsstrategie
Mit der NIS-2-Richtlinie steigen auch die Strafen bei Verstößen. Unternehmen, die ihre Sicherheitsmaßnahmen vernachlässigen oder Sicherheitsvorfälle nicht rechtzeitig melden, drohen Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für KMU können bei Verstößen Geldbußen von bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes verhängt werden. Während große Unternehmen bereits länger Cyber-Sicherheitsstrategien verfolgen, sind nun auch viele KMU und Zulieferer gefordert, ihre Sicherheitsarchitektur anzupassen. Um die Anforderungen zu erfüllen und mögliche Sanktionen zu vermeiden, gilt es, so frühzeitig wie möglich ein robustes Risikomanagement und eine umfassende Sicherheitsstrategie zu entwickeln.
Barrierefreiheitsstärkungsgesetz: Surfen ohne digitale Hürden
Am 28. Juni 2025 tritt das Barrierefreiheitsstärkungsgesetz (BFSG) vollumfänglich in Kraft. Es fordert Unternehmen dazu auf, ihre digitalen Dienstleistungen und Produkte barrierefrei zu gestalten. Diese Regelung setzt die EU-Richtlinie zur Barrierefreiheit (European Accessibility Act, EAA) in Deutschland um. Das BFSG stellt sicher, dass digitale Angebote für alle Nutzenden zugänglich sind – allen voran für Menschen mit Einschränkungen. Das Barrierefreiheitsstärkungsgesetz verpflichtet erstmals die Privatwirtschaft, digitale Barrierefreiheit zu realisieren. Unternehmen, die Websites, Apps oder andere digitale Dienstleistungen anbieten, müssen bis 2025 dafür sorgen, dass ihre Angebote barrierefrei sind. Das gilt für B2C- und B2B-Unternehmen gleichermaßen. Auch für Firmen, die digitale Inhalte oder Produkte bereitstellen, wie zum Beispiel Bankdienstleistungen, E-Commerce-Plattformen oder Telefondienste, ist das BFSG bindend.
Digitale Angebote für alle
Um ihre digitalen Angebote barrierefrei zu gestalten, sind Unternehmen angehalten, verschiedene Maßnahmen umzusetzen. Dazu gehört beispielsweise, Textalternativen für visuelle Inhalte wie Bilder und Videos bereitzustellen, sodass auch Menschen mit Sehbeeinträchtigungen die Informationen problemlos nutzen können. Darüber hinaus müssen alle Inhalte mit Screenreader-Technologien kompatibel sein, damit sie von diesen korrekt erfasst und wiedergegeben werden können. Ein weiteres wichtiges Element ist die Möglichkeit zur Tastaturnavigation. Das bedeutet, das Websites so gestaltet sein müssen, dass Nutzer:innen auch ohne Maus durch die Inhalte navigieren können. Zudem gilt es, die Medienzugänglichkeit sicherzustellen, indem beispielsweise Untertitel oder Gebärdenspracheübersetzungen für Videos zur Verfügung stehen. Schließlich sollte es Nutzenden möglich sein, individuelle Anpassungen, etwa hinsichtlich Schriftgrößen, Farben oder Kontrasten, vorzunehmen.
Jetzt aktiv werden
Auch, wenn das Gesetz erst 2025 vollständig Anwendung findet, sollten Unternehmen bereits jetzt damit starten, ihre digitalen Angebote auf Barrierefreiheit zu prüfen. Denn die Anpassungen erfordern oft tiefgreifende technische und gestalterische Veränderungen, die Zeit und Ressourcen in Anspruch nehmen. Zudem sind barrierefreie digitale Angebote ein Zeichen sozialer Verantwortung und bieten Unternehmen die Chance, sich positiv im Markt abzuheben. Kommen Unternehmen den Anforderungen des BFSG nicht nach, müssen sie mit Strafen bis zu 100.000 Euro rechnen. Auch das Inverkehrbringen von nicht-barrierefreien Produkten oder Dienstleistungen wird als Ordnungswidrigkeit geahndet.
Für die Zukunft sicher aufstellen – mit Unterstützung durch externe Expert:innen
Keine Frage: Die jüngsten Gesetze stellen erhebliche Herausforderungen für Unternehmen dar, insbesondere in den Bereichen Compliance, Cyber-Sicherheit und Nachhaltigkeit. Firmen sollten sich frühzeitig darauf vorbereiten, indem sie ihre internen Prozesse anpassen und Maßnahmen zur Einhaltung der Vorschriften ergreifen. All das müssen sie jedoch nicht allein bewältigen. Mithilfe externer Expert:innen, wie unseren erfahrenen Interim Professionals, können Unternehmen regulatorische und rechtliche Anforderungen proaktiv angehen, ohne bestehende Ressourcen zu überlasten. So unterstützen Interim Manager:innen etwa dabei, die Lieferkettenprozesse zu optimieren, KI-Systeme zu auditieren, digitale Angebote barrierefrei zu gestalten sowie Nachhaltigkeits- und Cyber-Sicherheitsstrategien zu entwickeln. Auf diese Weise ist sichergestellt, dass alle Regularien von Anfang an korrekt implementiert sind und Firmen jegliche Compliance-Vorgaben langfristig erfüllen – für einen zukunftssicheren Weg, der Transparenz schafft und Vertrauen stärkt.
Sie brauchen Unterstützung, um regulatorische Anforderungen effizient umzusetzen? Oder Sie möchten sich zunächst einen Überblick verschaffen, welche Maßnahmen für Sie relevant sind? Unsere Interim Professionals stehen Ihnen gerne zur Seite. Kontaktieren Sie uns noch heute!
