Aktuelle Rechtstipps: Was Unternehmen jetzt beachten sollten

Compliance-Kompass 2025: Rechtliche Prioritäten im Überblick

Unternehmen stehen vor einer Verdichtung von Rechtsanforderungen, die weit über klassische Compliance-Strukturen hinausgeht. Zwischen Datenschutz, IT-Sicherheit, KI-Regulierung, Nachhaltigkeitsberichterstattung und Lieferkettenpflichten steigt der Druck, Risiken proaktiv zu steuern und Prozesse belastbar zu dokumentieren. Wir raten dazu, die eigene Rechtslage ganzheitlich zu betrachten und bereichsübergreifende Maßnahmen in einer priorisierten Roadmap zu bündeln.

Im Mittelpunkt stehen derzeit insbesondere die konsequente Umsetzung der DSGVO, die Vorbereitung auf NIS2-Pflichten, ein EU AI Act-fähiges KI-Governance-System, die CSRD/ESRS-Berichterstattung sowie die fortlaufende Erfüllung des Lieferkettensorgfaltspflichtengesetzes (LkSG). Hinzu kommen arbeitsrechtliche Entwicklungen rund um Arbeitszeiterfassung und Whistleblowing, verschärfte Anforderungen im Kartellrecht und erhöhte Sorgfalt bei Sanktionen und Exportkontrolle. Wer diese Themen integriert angeht, reduziert nicht nur Haftungsrisiken, sondern schafft einen messbaren Wettbewerbsvorteil.

Datenschutz und IT-Sicherheit: DSGVO, NIS2 und Incident-Readiness

Die DSGVO bleibt ein Prüfstein für Rechtssicherheit. Wir empfehlen, den Nachweis der Rechenschaftspflicht zu stärken: aktuelle Verzeichnisse von Verarbeitungstätigkeiten, klare Löschkonzepte, dokumentierte Interessenabwägungen bei berechtigten Interessen sowie belastbare Datenschutz-Folgenabschätzungen für risikoreiche Prozesse. Besondere Aufmerksamkeit verdienen internationale Datentransfers, Auftragsverarbeitungsverträge und Transparenzpflichten in komplexen Datenökosystemen.

Mit Blick auf NIS2 und deren nationale Umsetzung steigt die Bedeutung von Cyber-Resilienz. Unternehmen in betroffenen Sektoren müssen technische und organisatorische Maßnahmen auf ein prüffähiges Niveau heben. Dazu zählen Risikomanagement, Schwachstellenmanagement, Vorfallmeldungen und Schulungen. Ein gelebter Incident-Response-Plan ist Pflicht: Rollen, Meldefristen und Eskalationswege müssen vorab festgelegt, geübt und dokumentiert sein.

• Sofortmaßnahme: Gap-Analyse zu DSGVO- und NIS2-Anforderungen, inklusive Priorisierung nach Risiko und Aufsichtsrelevanz.
• Technik & Prozesse: Zugriffskonzepte, Verschlüsselung, Patch-Management, Log- und Monitoring-Strategie, Backups und Wiederanlaufpläne.
• Menschen & Kultur: Rollenspezifische Schulungen, Phishing-Simulationen, klare Richtlinien für Homeoffice und mobile Geräte.
• Dokumentation: Prüffähige Nachweise, Checklisten, Protokolle von Übungen und Lessons Learned nach Vorfällen.

Künstliche Intelligenz rechtssicher einsetzen: EU AI Act und Governance

Der EU AI Act führt ein risikobasiertes Regelwerk ein. Unternehmen müssen identifizieren, ob sie als Anbieter oder Anwender (Deployer) agieren, welche Systeme unter hohes Risiko fallen und welche Dokumentations- und Transparenzpflichten gelten. Zugleich rücken Themen wie Datenqualität, Erklärbarkeit, Bias-Prävention und das Management von Lieferanten in den Fokus.

Wir empfehlen ein zentrales KI-Register sowie verbindliche KI-Richtlinien, die Beschaffung, Entwicklung und Betrieb regeln. Dazu gehören Prüfprozesse vor dem Einsatz, Human-in-the-Loop-Kontrollen bei sensiblen Anwendungsfällen und ein kontinuierliches Monitoring. Verträge mit Anbietern sollten Haftung, Audit-Rechte, Modell-Updates und Export-Compliance abdecken.

Ähnliche Artikel

Muskeltraining Körper Balance: Stabilität & Kraft

4. Dezember 2025

Standfuß für Kaugummiautomaten – stabil und modern

2. Dezember 2025

• Inventarisierung: Vollständige Übersicht aller KI-Systeme, Zwecke, Datenquellen, Risiken, Anbieter und Einsatzorte.
• Risikobewertung: Einstufung nach Risiko, Festlegung von Kontrollen, Protokollierung und regelmäßige Re-Assessments.
• Transparenz & Hinweise: Nutzerinformation, geeignete Kennzeichnungen, Dokumentation der Entscheidungsgrundlagen.
• Lieferantensteuerung: Zusicherungen zu Datenherkunft, Rechteketten, Sicherheit und Compliance, inklusive Auditrechten.

Nachhaltigkeit und Lieferkette: CSRD, ESRS und LkSG im Gleichklang

Mit der CSRD und den ESRS rückt eine datengestützte, prüfbare Nachhaltigkeitsberichterstattung in den Mittelpunkt. Der Kern ist die doppelte Wesentlichkeit: finanzielle Wesentlichkeit und Auswirkungen auf Umwelt und Gesellschaft. Unternehmen brauchen belastbare Datenerhebungen, klare Verantwortlichkeiten und IT-gestützte Workflows, um Kennzahlen revisionssicher zusammenzuführen.

Parallel verpflichtet das Lieferkettensorgfaltspflichtengesetz zu Risikoanalysen, Präventions- und Abhilfemaßnahmen sowie einem wirksamen Beschwerdeverfahren. Entscheidend ist die Integration beider Welten: Lieferketten-Compliance liefert die Faktenbasis für ESRS-Angaben; die CSRD schafft Transparenz und Steuerungsimpulse für die Lieferkette.

1. Wesentlichkeitsanalyse: Strukturierter Prozess, Stakeholder-Einbindung, Abgrenzung der berichtsrelevanten Themen.
2. Datenarchitektur: Definierte Datenquellen, Erhebungsfrequenzen, Kontrollpunkte, Verantwortlichkeiten und Nachweisführung.
3. Lieferantenmanagement: Vertragsklauseln, Risiko-Screenings, Schulungen, Auditprogramme und Abhilfefahrpläne.
4. Berichtsfähigkeit: Konsistentes Reporting entlang der ESRS, Freigabeprozesse, Abstimmung mit Abschlussprüfung.

Arbeitsrecht und New Work: Arbeitszeiterfassung, Mobile Arbeit, Whistleblowing

Die Pflicht zur Arbeitszeiterfassung ist durch Rechtsprechung manifest; Unternehmen sollten ein System implementieren, das Zeiten zuverlässig, manipulationssicher und datenschutzkonform erfasst. Betriebsvereinbarungen, transparente Richtlinien und Schulungen sichern die Akzeptanz. Bei mobiler Arbeit sind Arbeitsschutz, Ergonomie, Datenschutz und IT-Sicherheit zu harmonisieren.

Das Hinweisgeberschutzgesetz verlangt interne Meldestellen, klare Prozesse und Vertraulichkeit. Wir raten zu einer professionellen Fallbearbeitung mit dokumentierten Fristen, Rollen und Eskalationswegen. Eine Kultur der Retaliationsfreiheit senkt das Risiko externer Meldungen und stärkt Vertrauen.

• To-dos: Auswahl eines Zeiterfassungssystems, Anpassung von Verträgen und Betriebsvereinbarungen, Schulung von Führungskräften.
• Mobile Arbeit: Richtlinie zu Arbeitsorten, IT-Sicherheit, Datenschutz, Kostenerstattung, Auslandsbezug und Steuerfragen.
• Whistleblowing: Mehrkanal-System (schriftlich, mündlich), Fallmanagement, Dokumentationsleitfaden, regelmäßige Wirksamkeitsprüfung.

Vertrags- und Wettbewerbsrecht: AGB, Kartellrecht und faire Preisgestaltung

AGB und Vertragsmuster sollten regelmäßig an neue Geschäftsmodelle angepasst werden: digitale Produkte, Subscription-Modelle, Service Level, Datenlizenzierung und KI-Nutzung verlangen präzise Regelungen. Haftungsgrenzen, Gewährleistung, Datenschutz-Anlagen und Export-Compliance-Klauseln gehören auf den Prüfstand.

Im Kartellrecht stehen Informationsaustausch, vertikale Beschränkungen und Online-Vertriebskanäle im Fokus. Preisbindung, exklusive Bezugsbindungen oder sensible Datenpools bergen Sanktionsrisiken. Compliance-Trainings, Freigabeprozesse und ein Clean-Desk im Umgang mit Marktinformationen sind Pflicht.

• Check: Aktualität der AGB, klare SLA-Definitionen, Rechte an Daten und Ergebnissen, Audit- und Revisionsrechte.
• Kartell-Compliance: Leitfaden für Verbandsarbeit, Messen, Kooperationen und Due-Diligence bei M&A.
• Dokumentation: Vertragsänderungen nachvollziehbar versionieren, Freigaben und Verhandlungen protokollieren.

Wir als Rechtsanwälte aus Nürtingen helfen Ihnen gerne.

Internationale Geschäfte: Sanktionen, Exportkontrolle und Steuern

Geopolitische Spannungen verschärfen Anforderungen an Sanktions- und Exportkontroll-Compliance. Unternehmen benötigen ein robusteres Screening von Geschäftspartnern, Gütern und Endverwendungen sowie abgestimmte Prozesse in Vertrieb, Logistik und Finanzen. Dual-Use-Güter, Re-Export und Umgehungsrisiken sind aktiv zu adressieren.

Auch steuerlich steigt die Komplexität: Global Minimum Tax (Pillar Two) ist in vielen Staaten eingeführt, was Reporting, Datenqualität und Prozesse in der Steuerfunktion fordert. Gleichzeitig gewinnen Verrechnungspreise, Substanzanforderungen und Betriebsstättenrisiken – insbesondere bei Remote Work im Ausland – an Bedeutung.

• Maßnahmen: Sanktionslisten-Screening, Endverbleibserklärungen, Klassifizierung der Güter, Genehmigungsmanagement.
• Kontrollen: Red-Flag-Kataloge, Schulungen im Vertrieb, Auftragsstopp-Prozesse, Vier-Augen-Prinzip bei Hochrisikogeschäften.
• Steuern: Datenmodell für Pillar-Two-Reporting, Intercompany-Verträge, Funktions- und Risikoanalysen, Dokumentationskalender.

Governance, Risk und Compliance-Organisation: Vom Projekt zur Routine

Wir empfehlen ein integriertes GRC-Modell, das Risiken konsistent bewertet, Verantwortlichkeiten verankert und auf klare KPIs setzt. Der Übergang vom einmaligen Projekt zur operativen Routine gelingt mit definierten Prozessen für Richtlinien, Kontrollen, Trainings und Audits. Die Three-Lines-Logik (Geschäft, Compliance/Risikomanagement, Interne Revision) sorgt für klare Rollen.

Wichtig ist ein schlanker, digital gestützter Policy Lifecycle: Erstellung, Freigabe, Kommunikation, Wirksamkeitsprüfung, Aktualisierung. Regelmäßige Kontrolltests, saubere Nachweise und Lessons Learned nach Vorfällen schließen den Regelkreis. Führungskräfte brauchen klare Verantwortlichkeiten und messbare Ziele.

• Quick Wins: Zentrales Richtlinien-Register, Schulungskalender, Risiko-Heatmap, Compliance-Dashboard mit Ampellogik.
• Operative Exzellenz: Standardisierte Kontrollen, Self-Assessments, Stichprobenprüfungen, strukturierte Abweichungsanalyse.
• Kontinuierliche Verbesserung: Jährliche Roadmap-Reviews, Audit-Empfehlungen nachverfolgen, KPIs anpassen.

Praxistipps für die Umsetzung in den nächsten 90 Tagen

Ein klarer Fahrplan verhindert operative Reibungsverluste und beschleunigt die Umsetzung. Wir raten zu einem fokussierten 90-Tage-Programm, das hochwirksame Maßnahmen in drei Wellen bündelt. So entsteht schnell Transparenz, gefolgt von greifbaren Verbesserungen und belastbaren Nachweisen gegenüber Aufsicht, Kunden und Prüfern.

1. Tage 1–30: Reifegrad-Assessment zu DSGVO, NIS2, AI Act, CSRD, LkSG; Risiko- und Impact-Bewertung; Benennung von Verantwortlichen; Start eines zentralen Maßnahmen-Backlogs mit Priorisierung.
2. Tage 31–60: Umsetzung kritischer Kontrollen (Incident-Response, Zeit- und Zugriffserfassung, Hinweisgeberprozesse); Abschluss zentraler Vertrags-Updates (AVV, Datenlizenzierung, KI-Klauseln); Kick-off Datenmodell für ESRS.
3. Tage 61–90: Tests und Tabletop-Übungen (Cyber, Hinweisgebersystem, Lieferkettenvorfall); Schulungen für Führungskräfte; erste interne Audits; Management-Review mit Freigabe der Jahresroadmap und KPIs.

Fazit: Rechtssicherheit als Wettbewerbsvorteil

Rechtssicherheit ist kein Selbstzweck, sondern Hebel für resilienten, nachhaltigen Unternehmenserfolg. Wer DSGVO, NIS2, AI Act, CSRD/ESRS und LkSG nicht isoliert, sondern in einem integrierten Steuerungsmodell zusammenführt, minimiert Risiken, erhöht Effizienz und stärkt die Glaubwürdigkeit am Markt. Entscheidend sind Klarheit über Risiken, konsequente Umsetzung und belastbare Nachweise.

Wir empfehlen, jetzt die Weichen zu stellen: Prioritäten definieren, Verantwortungen verankern, Datenqualität sichern und Kontrollen prüffest machen. So wird Compliance vom Kostenfaktor zum strategischen Vorteil – messbar in geringeren Vorfällen, stabileren Lieferketten, schnelleren Auditprozessen und gesteigertem Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.