Erweiterte Klagebefugnis bei Datenschutzverstößen
Was Unternehmen jetzt wissen müssen
Verbraucherschutzverbände und Mitbewerber sind befugt, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen!
1. Hintergrund
Der Bundesgerichtshof (BGH) hat mit mehreren aktuellen Urteilen die Klagemöglichkeiten von Verbraucherschutzverbänden und Mitbewerbern im Bereich Datenschutz deutlich erweitert. Diese können Datenschutzverstöße nun auch ohne direkten Auftrag von Betroffenen zivilrechtlich verfolgen. Grundlage ist die Datenschutz-Grundverordnung (DSGVO) in Verbindung mit dem deutschen Wettbewerbsrecht.
2. Wesentliche Urteile des BGH
- Fall Facebook-App-Zentrum:
Nutzende wurden nicht ausreichend über die Verwendung ihrer Daten informiert. Der BGH sah sowohl einen Verstoß gegen Informationspflichten als auch eine unangemessene Benachteiligung durch intransparente AGB. - Fall Online-Arzneimittelhandel:
Verarbeitung sensibler Gesundheitsdaten ohne ausdrückliche Einwilligung. Der BGH bestätigte die hohe Schutzwürdigkeit dieser Daten nach Art. 9 DSGVO und deren Bedeutung im Wettbewerbsrecht.
3. Rolle des EuGH
Die Urteile des BGH folgen der Linie des Europäischen Gerichtshofs (EuGH), der das Verbandsklagerecht bei Datenschutzverstößen bereits grundsätzlich bestätigt hatte. Nationale Regelungen müssen demnach sicherstellen, dass auch Wettbewerber und Verbände klagen können.
4. Folgen für Unternehmen
- Höheres rechtliches Risiko:
Datenschutzverstöße können nun auch von Dritten verfolgt werden. - Transparenzpflichten:
Unternehmen müssen ihre Informationspflichten konsequent umsetzen. - Besondere Vorsicht bei Gesundheitsdaten:
Diese unterliegen einem besonders strengen Schutz. - Zivilrechtlicher Druck:
Abmahnungen durch Verbände und Mitbewerber nehmen zu. - Gesetz zur Stärkung des fairen Wettbewerbs (auch als “Gesetz gegen Abmahnmissbrauch” oder “Anti-Abmahngesetz” bekannt) greift nur bedingt:
Schutzmechanismen gegen missbräuchliche Abmahnungen reichen nicht aus.
5. Empfehlung
Unternehmen sollten ihre Datenschutzprozesse umfassend prüfen und dokumentieren:
- Datenschutzerklärungen aktualisieren
- Einwilligungen rechtssicher einholen
- Datenverarbeitungsprozesse überprüfen
- Mitarbeitende sensibilisieren
Fazit:
Die Entscheidungen des BGH markieren einen Wendepunkt im deutschen Datenschutzrecht. Unternehmen sind nun gefordert, Datenschutz nicht nur als gesetzliche Pflicht, sondern als wettbewerbsrelevanten Faktor zu begreifen und aktiv umzusetzen.
Compliance und Dokumentationspflichten ab 2025
Strengere Nachweispflichten
in der Abfallwirtschaft
Die Abbruchwirtschaft steht vor neuen Herausforderungen, da die deutschen Behörden am 01. Januar 2025 strengere Vorschriften für die Entsorgung eingeführt haben.
Lesen sie unseren nachfolgenden Artikel aus der Verbandszeitschrift des deutschen Abbruchverbands oder unter dem Link "ABBRUCH AKTUELL" 01/2025 ab Seite 108.
Mit den neuen gesetzlichen Vorgaben sind Unternehmen der Abfallwirtschaft verpflichtet, eine detaillierte Dokumentation ihrer Entsorgungsprozesse zu führen. Folgende Nachweispflichten dienen der vollständigen Transparenz der Abfallströme und sollen die ordnungsgemäße Verwertung und Entsorgung sicherstellen:
► Lückenlose Erfassung der Abfälle
Die Abfallbilanz erfasst Art, Menge und
Verbleib aller Abfälle. Für gefährliche Abfälle
sind Begleitscheine vorgeschrieben, die den
Transportweg vom Erzeuger über den Beförderer
bis zur Annahmestelle dokumentieren. Bei nicht
gefährlichen Abfällen dienen Übernahmescheine
als Nachweis der ordnungsgemäßen Übernahme.
Ergänzend sind Wiegescheine erforderlich, um
die genaue Masse zu belegen. Alle Daten müssen
jederzeit abrufbar und für Kontrollbehörden
verfügbar sein – insbesondere bei Bau- und
Abbruchabfällen, die häufig in großen Mengen
anfallen.
► Schadstoffprüfung und Freimessung
Materialien wie Baustoffe, die mit Schadstoffen wie
Asbest, PCB oder Schwermetallen belastet sein
könnten, dürfen erst nach erfolgreicher Prüfung
und Freigabe recycelt werden. Prüfberichte und
Freimessungsprotokolle sind verpflichtend und
sollen sicherstellen, dass keine gefährlichen Stoffe
in den Wirtschaftskreislauf gelangen.
► Rückbau- und Entsorgungskonzepte
Für größere Bauvorhaben ist bereits in der
Planungsphase ein Rückbau- und Entsorgungskonzept
erforderlich. Es muss detailliert aufzeigen, welche
Abfälle anfallen, wie sie getrennt gesammelt und
entsorgt werden und welche Verwertungsmöglichkeiten
bestehen. Dieses Konzept dient später als Grundlage
für die Abfallbilanz und ist bei behördlichen Prüfungen
vorzulegen.
► Dokumentation von Qualitätsstandards
Auch die Einhaltung von Qualitätsstandards für
recycelte Baustoffe muss umfassend dokumentiert
werden. Regelmäßige Prüfungen und Kontrollen
sind erforderlich und die Ergebnisse müssen
in Prüfprotokollen festgehalten werden. Dies
sichert die Materialqualität und sorgt für die
Nachverfolgbarkeit bei späteren Beanstandungen.
► Mitarbeiterschulungen und Arbeitssicherheit
Schulungen und Fortbildungen der Mitarbeiter
müssen lückenlos dokumentiert werden –
insbesondere im Bereich Gefahrstoffmanagement
und Arbeitssicherheit. Schulungsnachweise
dienen als Beleg der regelmäßigen Qualifikation
der Belegschaft. Ohne diese Nachweise
drohen Sanktionen und Einschränkungen im
Betriebsablauf.
► Digitalisierung der Prozesse
Aufgrund der gestiegenen Anforderungen setzen
viele Unternehmen auf die Digitalisierung ihrer
Prozesse. Elektronische Abfallnachweise erleichtern
die Verwaltung und Archivierung der zahlreichen
Dokumente erheblich. Trotzdem bleiben die
sorgfältige Pflege und regelmäßige Aktualisierung
der Daten entscheidend, um die Einhaltung der
gesetzlichen Vorgaben sicher nachzuweisen.
„Diese strengeren Vorgaben sind eine große
Herausforderung für die Abfallwirtschaft und
erfordern sowohl personelle Ressourcen als
auch passende technische Infrastruktur. Eine
lückenlose Dokumentation ist unerlässlich, um
die gesetzlichen Anforderungen zu erfüllen und
langfristig Rechtssicherheit sowie Effzienz zu
gewährleisten.“
Die SCUTIS GmbH hilft bei der Umsetzung der neuen Dokumentationspflichten
„Mit den neuen gesetzlichen Anforderungen ab
2025 wächst der Druck auf Unternehmen in der
Abfallwirtschaft, ihre Dokumentationspflichten
effizienter und strukturierter zu erfüllen. Das
von SCUTIS verwendete Dokumentationssystem
bietet genau hier entscheidende Vorteile. Es
kombiniert gesetzeskonforme Archivierung,
intelligente Benutzerverwaltung und flexible
Verknüpfungsfunktionen, um die immer komplexer
werdenden Anforderungen auch in der Branche
der Abbruchwirtschaft zu meistern.“, so Hans Peter
Wolf, Geschäftsführer der SCUTIS GmbH.
► Gesetzeskonforme Archivierung und
strukturierte Datenverwaltung
Das Dokumentationswerkzeug VaDok® der SCUTIS
GmbH sorgt für eine gesetzeskonforme und
unveränderbare Archivierung aller Dokumente.
Jede Änderung sowie jede Version eines
Dokuments werden automatisch protokolliert.
Je nach Konfiguration bietet das System eine
umfassende Audit-Funktion, mit der jederzeit
nachvollzogen werden kann, wer welche Änderungen
vorgenommen hat. Dies ist besonders
bei Prüfungen ein entscheidender Vorteil.
Alle Dokumente werden zentral gespeichert oder
direkt dem entsprechenden Dokumentationspunkt
(DokuPunkt) zugeordnet. Metadaten wie
Dokumentationskategorie, Beschreibungen,
Verantwortlichkeiten, Gültigkeitsdauer, Fälligkeiten
oder Erstellungsdatum können individuell oder
übergreifend erfasst werden. Diese strukturierte
Verwaltung erleichtert die Suche erheblich
und sorgt dafür, dass wichtige Nachweise
– z. B. Begleitscheine, Abfallbilanzen oder
Prüf- und Wartungsprotokolle, Rechtspflichten,
Risikobewertungen – schnell auffindbar sind.
Die integrierte Volltextsuche ermöglicht ein
schnelles Durchsuchen selbst umfangreicher
Dokumentenbestände, auch in künftig gescannten
PDF-Dokumenten. VaDok® überwacht gesetzlich
vorgeschriebene Aufbewahrungsfristen und warnt
automatisch, wenn Fristen ablaufen. Dokumente
können anschließend archiviert oder gemäß den
DSGVO-Vorgaben gelöscht werden.
► Benutzerverwaltung und Zugriffskontrolle
VaDok® verfügt über eine flexible Benutzer- und
Rollenverwaltung, die eine differenzierte Steuerung
der Zugriffsrechte ermöglicht. Unternehmen
können für jede Benutzergruppe spezifische
Berechtigungsstufen definieren. So erhält
beispielsweise ein Projektleiter Zugriff auf alle
Dokumente eines Projekts, während ein externer
Gutachter nur auf ausgewählte DokuPunkte
zugreifen kann.
► Flexibles Dokumentenmanagement und
Verknüpfungsfunktion
Ein besonderes Merkmal ist die Möglichkeit,
Dokumentationsinhalte über mehrere
Dokumentationen hinweg zu verknüpfen –
selbst bei unterschiedlicher Nummerierung.
Änderungen müssen nur einmal vorgenommen
werden und stehen sofort in allen verknüpften
Dokumentationen zur Verfügung. Somit ist eine
Harmonisierung zwischen unterschiedlichen
Vorgaben und Verfahren möglich.
Praxisbeispiel: Wenn eine Prozessbeschreibung
in einem Dokument geändert wird, ist diese
Änderung automatisch auch in allen anderen
Dokumentationen sichtbar, in denen dieselbe
Prozessbeschreibung verwendet wird. Dadurch
bleiben alle Dokumentationen immer auf dem
aktuellen Stand, ohne dass die Änderung manuell
mehrfach eingepflegt werden muss. Dies spart
Zeit und reduziert das Risiko von Fehlern oder
Inkonsistenzen erheblich.
► Erweiterbarkeit und Schnittstellenintegration
VaDok® ist flexibel erweiterbar und bietet
vielfältige Möglichkeiten zur Anbindung an externe
Systeme. Über vorhandene oder individuell
programmierbare Schnittstellen können
beispielsweise Gewichtsdaten aus Waagen oder
Messgeräten als auch gesetzliche Vorgaben und
Normen direkt importiert werden. Dies reduziert
manuelle Eingaben und minimiert das Fehlerrisiko.
Zusätzlich lassen sich weitere Systeme zur
Datenübertragung integrieren, um Dokumente und
Informationen zentral zu verwalten. Dadurch wird
VaDok® zu einer leistungsstarken Plattform für das
digitale Dokumentenmanagement, die Prozesse
effizienter gestaltet und gleichzeitig die Einhaltung
gesetzlicher Anforderungen sicherstellt.
► Mehr Effizienz, weniger Risiko
„SCUTIS setzt hier für die Unternehmen auf
eine zukunftssichere Lösung, die die steigenden
Dokumentationsanforderungen nicht nur
erfüllt, sondern Prozesse deutlich effizienter
macht. Die Kombination aus revisionssicherer
Archivierung, intelligenter Benutzerverwaltung
und flexibler Datenverknüpfung reduziert den
Verwaltungsaufwand, erhöht die Rechtssicherheit
und schafft die Grundlage für eine nachhaltige,
regelkonforme Betriebsführung.“
Wichtige Hinweise zum Umgang mit elektronischen Rechnungen
Wenn Sie elektronische Rechnungen (z. B. als PDF-Datei per E-Mail) erhalten, gibt es einige gesetzliche Vorgaben, die Sie beachten sollten:
- Absender prüfen:
Sie müssen sicherstellen, dass die Rechnung wirklich vom angegebenen Absender stammt.
- Inhalt prüfen:
Achten Sie darauf, dass der Inhalt der Rechnung auf dem Weg zu Ihnen nicht verändert oder verfälscht wurde.
- Aufbewahrungspflicht:
Elektronische Rechnungen müssen für 8 Jahre im Originalformat gespeichert werden – also zum Beispiel als PDF-Datei. Ein Ausdruck auf Papier reicht dafür nicht aus.
- Original oder Kopie?:
Wenn Sie per E-Mail nur eine Kopie der Rechnung erhalten, handelt es sich dabei nicht um das Originaldokument. In diesem Fall bekommen Sie die Originalrechnung möglicherweise noch per Post.
- Lesbarkeit sicherstellen:
Sie müssen eine geeignete Software bereithalten, mit der Sie die gespeicherten Rechnungen während der gesamten Aufbewahrungsfrist für steuerliche Zwecke lesen können.
- Unveränderbarkeit garantieren:
Die elektronischen Rechnungen dürfen nach dem Speichern nicht mehr verändert werden können.
Diese Informationen dienen nur als Orientierung und ersetzen keine rechtliche oder steuerliche Beratung. Bitte wenden Sie sich bei Fragen an Ihren Steuerberater oder einen entsprechenden Fachdienstleister.
Verpflichtung zur Sicherstellung
der KI-Kompetenz seit
2. Februar 2025
Der Artikel 4 der EU-KI-Verordnung 2024/1689 ist in Kraft getreten und verpflichtet Unternehmen, die künstliche Intelligenz (KI) einsetzen, zur Sicherstellung der KI-Kompetenz.
Doch was genau bedeutet KI-Kompetenz, welche Pflichten entstehen für Unternehmen und welche Folgen drohen bei Missachtung?
Im Folgenden finden Sie Antworten auf die wichtigsten Fragen zu diesen neuen Anforderungen:
Welche Vorgaben haben Arbeitgeber zu erfüllen?
Nach der KI-Verordnung (KI-VO) müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass alle Mitarbeiter, die mit dem Betrieb oder der Nutzung dieser Systeme zu tun haben – sei es eigenes Personal oder externe Kräfte – über ausreichende Kenntnisse in Sachen KI verfügen.
- Anbieter sind Unternehmen, die selbst KI-Systeme entwickeln, in Verkehr bringen oder betreiben – zum Beispiel unter eigenem Namen.
- Betreiber sind Unternehmen, die fremd entwickelte KI-Systeme für ihre internen Arbeitsprozesse nutzen und dafür selbst verantwortlich sind.
Im Prinzip sind alle Akteure oder Mitarbeitende betroffen. Somit sind neben Anbietern und Betreibern auch Händler oder Importeure von KI-Systemen betroffen.
Diese Pflicht trifft Unternehmen aller Größen – von kleinen Start-ups bis zu großen Konzernen. Jedes Unternehmen muss auf Basis seiner Möglichkeiten und Ressourcen angemessene Maßnahmen ergreifen, um die notwendige KI-Kompetenz sicherzustellen. Die genauen Schritte richten sich nach der Größe des Unternehmens und den technischen Mitteln, die zur Verfügung stehen.
Was wird unter KI-Kompetenz verstanden?
KI-Kompetenz beschreibt die Fähigkeit, KI-Systeme sicher, verantwortungsbewusst und effektiv einzusetzen. Dazu gehören nicht nur technische Kenntnisse, sondern auch das Verständnis für die Chancen und Risiken sowie mögliche Schäden, die mit der Nutzung von KI einhergehen. Außerdem ist es wichtig, sich bewusst zu sein, welche Auswirkungen KI-Systeme haben können – sei es auf die Arbeit, die Gesellschaft oder den Einzelnen.
Die KI-Verordnung erklärt KI-Kompetenz als die Fähigkeit und das Wissen, das Menschen brauchen, um KI-Systeme richtig und sinnvoll zu nutzen. Dazu gehören nicht nur praktische Fähigkeiten, sondern auch rechtliche und ethische Aspekte.
In Kurzform: KI-Kompetenz bedeutet, dass man verstehen muss, wie KI-Systeme funktionieren, was sie leisten können und wo ihre Grenzen liegen. Damit kann man diese Technologie verantwortlich einsetzen und bewusst mit ihren Vorteilen und Gefahren umgehen.
Welche Bereiche sollten die Schulungsthemen umfassen?
Im Vorfeld bietet es sich an, sogenannte Bedarfs- und Kompetenzanalysen durchzuführen, um ggf. die spezifischen Anforderungen zu identifizieren.
Die Schulung sollte technische Aspekte behandeln, wie das Verständnis der Funktionsweise von KI-Systemen, deren Möglichkeiten, Grenzen und Risiken sowie die praktische Anwendung von KI-Tools. Darüber hinaus sollten rechtliche Rahmenbedingungen vermittelt werden, darunter Datenschutz, Datensicherheit und die Einhaltung von Vorschriften wie der DSGVO.
Ein weiterer Schwerpunkt liegt auf den ethischen Implikationen: Mitarbeiter sollten lernen, sich bewusst und verantwortungsbewusst mit KI-Systemen auseinanderzusetzen sowie Diskriminierungen oder Vorurteile in KI-Anwendungen zu erkennen und zu vermeiden. Zudem ist ein Überblick über spezifische Aufgaben und Verantwortlichkeiten sinnvoll – von tiefergehenden technischen Einblicken für Entwickler bis hin zu einem grundlegenden Verständnis für Anwender.
Ein wichtiger Bestandteil ist auch das Risikobewusstsein: Mitarbeiter sollen in der Lage sein, potenzielle Gefahren im Zusammenhang mit KI zu erkennen und Maßnahmen zur Risikominimierung zu ergreifen.
Um die Bedürfnisse aller Beteiligten optimal zu berücksichtigen, bietet sich ein modularer Ansatz für die Schulungen an. So können die Inhalte flexibel an die unterschiedlichen Aufgabenbereiche und Wissensstände angepasst werden – von grundlegenden Einführungen für Anwender bis hin zu fortgeschrittenen Themen für Fachkräfte und Entwickler.
Zusammengefasst hier die relevanten Schulungsbereiche:
- Technisches Verständnis: Kenntnisse über die Funktionsweise und praktische Anwendung von KI-Systemen.
- Rechtliche Grundlagen: Beherrschung der gesetzlichen Vorgaben, insbesondere im Bereich Datenschutz und Datensicherheit.
- Ethik und Verantwortung: Sensibilisierung für ethische Aspekte sowie aktive Verhinderung von Diskriminierungen und Vorurteilen in KI-Anwendungen.
- Risikomanagement: Fähigkeit, potenzielle Gefahren durch KI zu erkennen und gezielte Maßnahmen zur Risikominderung umzusetzen.
- Praxisorientierte Kompetenz: Sicherer und verantwortungsbewusster Umgang mit KI-Systemen im täglichen Einsatz.
Ist der Einsatz eines KI-Beauftragten sinnvoll oder notwendig?
Je nach Unternehmensgröße und Umfang der KI-Nutzung kann der Einsatz eines KI-Beauftragten sinnvoll sein. Dieser führt Risikobewertungen und Risikofolgenabschätzungen durch, treibt die Implementierung, Überwachung und Koordination der KI-Strategien voran und übernimmt die Planung sowie Koordination von Schulungen.
Es kann also notwendig sein, dass neben zum Beispiel Datenschutz-, Informationssicherheits-, Qualitätsmanagement- und Umweltbeauftragten auch noch KI-Beauftragte benötigt werden. KMUs sollten sich hinsichtlich der Kosten mit dem Gedanken befassen, ob es nicht besser ist, statt eines KI-Beauftragten einen Compliancemanager mit KI-Kompetenz (intern oder extern) einzusetzen, der auch gleich die datenschutzrechtlichen und sicherheitstechnischen Themen mit abdecken kann und in einer Person mehrere Rollen übernimmt. Ein Compliancemanager mit KI-Kenntnissen vereint verschiedene Kompetenzen, die den Einsatz von KI-Systemen im Unternehmen effizienter, transparenter und verantwortungsvoller gestalten, was kosteneffizienter ist und gleichzeitig die Qualität gewährleistet.
Folgen bei unzureichender oder unterlassener Umsetzung
Die Verpflichtungen aus dem Artikel 4 der KI-Verordnung stellen eher einen Appell an die Unternehmen dar als eine konkrete Verpflichtung. Verstöße gegen diese Vorschrift sind weder Bußgeld- noch strafbewehrt, sodass keine unmittelbaren Geldstrafen drohen. Dennoch kann ein Schaden, der durch fehlerhafte Bedienung eines KI-Systems oder eine unzureichende Risikobewertung entsteht, als Verstoß gegen die allgemeine Sorgfaltspflicht des Arbeitgebers gewertet werden – insbesondere wenn der Schaden durch angemessene Maßnahmen verhindert worden wäre.
Fazit: Schulungskonzept als rechtliche Absicherung und Wettbewerbsvorteil
Durch Artikel 4 der KI-Verordnung wird die Sicherstellung der KI-Kompetenz zu einer wichtigen Verantwortung für Unternehmen. Obwohl keine direkten Sanktionen vorgesehen sind, sollte die Schulungspflicht ernst genommen werden. Ein umfassendes Schulungskonzept trägt nicht nur zur Erfüllung regulatorischer Anforderungen bei, sondern fördert auch die sichere und verantwortungsvolle Nutzung von KI-Systemen im Betrieb. Zudem bietet die Sicherstellung von KI-Kompetenz langfristig einen doppelten Nutzen: Sie schafft rechtliche Sicherheit und stärkt den Wettbewerbsvorteil, da gut geschulte Mitarbeiter KI-Systeme effizienter und weniger risikobeladen einsetzen können.
Weihnachtsgrüße 2024
So versenden Sie sie datenschutzkonform
Weihnachtsgrüße sind eine geschätzte Tradition in vielen Unternehmen und stärken die Beziehung zu Kunden und Geschäftspartnern. Doch auch bei diesen Grüßen gelten die Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des Gesetzes gegen den unlauteren Wettbewerb (UWG). Da personenbezogene Daten verarbeitet werden, müssen Sie sicherstellen, dass Ihr Versand rechtskonform erfolgt – ob per E-Mail oder Post.
Weihnachtsgrüße per E-Mail: Was ist erlaubt?
E-Mails mit Weihnachtsgrüßen gelten rechtlich oft als Werbung und erfordern daher besondere Sorgfalt.
Option 1: Einwilligung der Empfänger (Double-Opt-In-Verfahren)
Für den Versand ist eine ausdrückliche Zustimmung notwendig, die idealerweise durch ein Double-Opt-In-Verfahren eingeholt wird. Dies bedeutet, dass Kunden ihre Einwilligung in einem zweiten Schritt aktiv bestätigen müssen. Diese Einwilligung muss außerdem dokumentiert werden.
Option 2: Berechtigtes Interesse (§ 7 Abs. 3 UWG)
Ohne ausdrückliche Einwilligung können Weihnachtsgrüße per E-Mail nur dann versendet werden, wenn folgende Voraussetzungen erfüllt sind:
- Erhebung der Adresse im Rahmen eines Kaufs: Die E-Mail-Adresse wurde bei einem Geschäftskontakt erhoben.
- Ähnliche Produkte/Dienstleistungen: Der Gruß bezieht sich auf Ihre eigenen oder ähnliche Angebote.
- Widerspruchsmöglichkeit: Der Kunde wurde über sein Widerspruchsrecht informiert und hat diesem nicht widersprochen.
Praktischer Tipp: Haben Sie bereits eine Newsletter-Zustimmung, können Sie die Grüße auch im Rahmen eines Newsletters versenden.
Weihnachtsgrüße per Post:
Weniger Aufwand, mehr Akzeptanz
Der Versand per Post ist in der Regel unkomplizierter. Eine ausdrückliche Einwilligung der Empfänger ist hier nicht erforderlich, solange ein berechtigtes Interesse des Unternehmens vorliegt.
Warum ist Postversand einfacher?
- Weihnachtskarten werden von den meisten Kunden und Geschäftspartnern als normaler Bestandteil der Geschäftsbeziehung empfunden.
- Die Abwägung zwischen Ihrem Interesse an der Kundenpflege und den Rechten der Empfänger fällt meist zugunsten des Unternehmens aus.
Pflichten bei Datenschutz und Widerspruchsrecht
Ob E-Mail oder Post – bestimmte Anforderungen gelten in jedem Fall:
- Informationspflicht (Art. 13 DSGVO): Kunden müssen schon beim ersten Kontakt darüber informiert werden, dass ihre Daten auch für Weihnachtsgrüße genutzt werden können.
- Widerspruchsrecht (Art. 21 DSGVO): Empfänger müssen jederzeit die Möglichkeit haben, der Nutzung ihrer Daten zu widersprechen.
Bei E-Mails ist es besonders wichtig, den Widerruf einfach zu gestalten, z. B. durch einen Abmeldelink in der Nachricht.
Fazit:
Weihnachtsgrüße rechtlich absichern
Weihnachtsgrüße sollten immer wie Werbung behandelt werden. Beachten Sie die gesetzlichen Vorgaben der DSGVO und des UWG und stellen Sie sicher, dass Ihre Datenschutzhinweise vollständig sind. So können Sie Ihren Kunden und Geschäftspartnern auch 2024 sorglos frohe Weihnachten und einen guten Rutsch wünschen!
it-sa Expo&Congress 2024 (22.10.-24.10.2024)
Wir waren dabei und zeigten das Portfolio der SCUTIS zur Compliance-Umsetzung!
Sehen Sie hier die Aufzeichnung der Messevorstellung!
Bürokratieabbau
Das Bürokratieentlastungsgesetz IV wurde am 26. September 2024 vom Bundestag verabschiedet1. Es tritt am Tag nach seiner Verkündung im Bundesgesetzblatt in Kraft.
Das Bürokratieentlastungsgesetz IV (BEG IV) soll den bürokratischen Aufwand für Unternehmen und Bürger senken. Hier ein paar wichtige Punkte:
Aufbewahrungsfristen verkürzt:
Buchungsbelege müssen nur noch 8 statt 10 Jahre aufbewahrt werden.
Abschaffung der Hotelmeldepflicht:
Deutsche Staatsangehörige müssen sich bei Hotelübernachtungen nicht mehr anmelden.
Reduzierung der Schriftform:
In vielen Bereichen genügt künftig die Textform (z.B. E-Mail).
Zentrale Vollmachtsdatenbank:
Steuerberater können Vollmachten im Bereich der sozialen Sicherung zentral verwalten.
Digitalisierung von Verwaltungsprozessen:
Online-Verfahren für Verwaltungsakte werden eingeführt.
Vereinfachung von Genehmigungsverfahren:
Einheitliche Standards und mehr Digitalisierung beschleunigen Projekte wie Windräder.
Weniger Berichtspflichten:
Unternehmen werden von überflüssigen Informationspflichten entlastet.
Auswirkungen auf das HGB durch den Referentenentwurf zur CSRD
Am 22. März 2024 hat das Bundesjustizministerium den Referentenentwurf zur Umsetzung der Corporate Sustainability Reporting Directive (CSRD) in deutsches Recht veröffentlicht. Dieser Entwurf bringt wichtige Änderungen im Handelsgesetzbuch (HGB) sowie weiteren Gesetzen wie dem Aktiengesetz und der Wirtschaftsprüferordnung. Auch das Lieferkettensorgfaltspflichtengesetz wird angepasst. Die wichtigsten Punkte zusammengefasst:
Größenkriterien und betroffene Unternehmen
Zur Nachhaltigkeitsberichterstattung sind nicht nur börsennotierte Unternehmen, sondern auch große Kapital- und Personengesellschaften verpflichtet. Ausgenommen sind Unternehmen, die dem Publizitätsgesetz unterliegen. Die Größenkriterien für die Berichtspflicht orientieren sich an § 267 HGB.
Berichtspflicht für Tochtergesellschaften und Zweigniederlassungen
Die Berichtspflicht wird ab 2025 eingeführt. Ab 2028 gilt sie auch für Tochtergesellschaften und Zweigniederlassungen von Konzernen, deren Mutter außerhalb der EU sitzt und die in der EU mehr als 150 Mio. EUR Umsatz machen. Falls das Mutterunternehmen nicht berichtet, müssen die Tochtergesellschaften eigene Berichte erstellen.
Befreiung von der Berichtspflicht
Unternehmen können von der Berichtspflicht befreit werden, wenn sie in den Konzernbericht eines EU-Mutterunternehmens aufgenommen werden. Dies gilt auch für Berichte von Nicht-EU-Muttergesellschaften, wenn diese den EU-Standards entsprechen. Kapitalmarktorientierte Tochtergesellschaften sind jedoch von dieser Befreiung ausgeschlossen.
Neuerungen und Prüfungsanforderungen
Der Nachhaltigkeitsbericht muss als Teil des Lageberichts im elektronischen Format (ESEF) erstellt und mit digitalen Mark-ups versehen werden. Der Bericht wird zunächst mit „limited assurance“ geprüft, ab 2028 sind strengere Prüfungen („reasonable assurance“) geplant.
Verantwortung für die Berichterstattung
Die Erstellung des Nachhaltigkeitsberichts liegt bei der Geschäftsführung bzw. dem Vorstand. Bei Aufsichtsorganen erweitert sich die Verantwortung entsprechend. Unrichtige Angaben im Bericht können straf- und bußgeldrechtlich verfolgt werden.
Fazit und Unterstützung
Die CSRD stellt Unternehmen vor große Herausforderungen. Eine frühzeitige Vorbereitung ist unerlässlich. Wir stehen Ihnen bei der Umsetzung der CSRD und der neuen Standards (ESRS) gerne beratend zur Seite.
SCUTIS
Datenschutztipps für Unternehmen ohne eigene Compliance-Abteilung
Projekt- und Unternehmensdaten sowie Kunden- und Arbeitsverträge müssen in der EU gemäß DSGVO und meist auch unternehmensinternen Compliance-Richtlinien geschützt und gespeichert werden. Langfristig führen Datenlecks vor allem zu Imageschäden und Vertrauensverlust bei Kunden und Partnern.
Geschäftsprozesse sind komplex
Virtuelle Datenräume sichern Daten
Bei komplexen Geschäftsprozessen ist oft unklar, welche Vorschriften gelten. Große Unternehmen haben Compliance-Abteilungen, während kleinen und mittleren Unternehmen (KMUs) oft die Ressourcen fehlen. KMUs können jedoch Maßnahmen ergreifen, um Datenschutz zu gewährleisten.
Zuerst sollten alle Unternehmensdaten erfasst und Sicherheitsmaßnahmen wie Ende-zu-Ende-Verschlüsselung eingeführt werden, um bei Angriffen nur unlesbare Daten zu riskieren.
Virtuelle Datenräume (VDRs) bieten hohe Sicherheitsstandards und erlauben sicheren Zugriff nur für autorisierte Personen. Sie ermöglichen sicheren Datenaustausch intern sowie extern mit Geschäftspartnern, ohne zusätzliche IT-Fachkräfte zu benötigen. So bleiben Daten geschützt, und die Einhaltung von Datenschutzbestimmungen wird sichergestellt.
Wichtige Aspekte für sichere Datenräume
Bei der Auswahl sollten folgende Punkte beachtet werden, um den gesetzlichen Vorgaben zu entsprechen:
Verschlüsselung:
Entscheiden Sie sich für Ende-zu-Ende-Verschlüsselung, um Daten nur für autorisierte Nutzer zugänglich zu machen.
Zugriffsrechte:
Nutzen Sie granulare Zugriffssteuerung, um Dokumente nur befugten Personen zugänglich zu machen.
Datenstandort:
Speichern Sie personenbezogene Daten gemäß DSGVO nur auf EU-Servern oder in anerkannten sicheren Drittstaaten.
Benutzerfreundlichkeit:
Wählen Sie eine einfache Anwendung, die sich nahtlos in gängige Programme integrieren lässt, um die Zusammenarbeit zu erleichtern und Schatten-IT zu vermeiden.
Zusätzliche Funktionen:
Nutzen Sie Tools wie digitale Unterschriften, um Prozesse zu vereinfachen und die Produktivität zu steigern.
Sicherheit von Anfang an
Virtuelle Datenräume unterstützen Unternehmen dabei, gesetzliche Anforderungen zu erfüllen und das Vertrauen von Kunden und Partnern zu sichern.
Sichern Sie sich die Beratung und Unterstützung von SCUTIS von Anfang an!
Das Lieferkettengesetz der EU ist da!
Und jetzt?
EU-Lieferkettenrichtlinie
Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) ist seit dem 01.01.2024 für Unternehmen mit mehr als 1.000 Mitarbeitenden gültig. Das EU-Parlament hat am 24.04.2024 die EU-Lieferkettenrichtlinie gebilligt, wobei der endgültige Text gegenüber der ursprünglichen Version abgeschwächt wurde.
Das EU-Parlament hat dem Entwurf unverändert zugestimmt. Die EU-Mitgliedstaaten müssen es innerhalb von zwei Jahren in nationales Recht umsetzen, was in Deutschland vermutlich nicht mehr durch das LkSG geschehen wird.
Der Koalitionsvertrag der neuen Regierung beinhaltet die Abschaffung des nationalen Lieferkettensorgfaltspflichtengesetzes und wird es durch ein Gesetz über die internationale Unternehmensverantwortung ersetzen, das die Europäische Lieferkettenrichtlinie (CSDDD) bürokratiearm und vollzugsfreundlich umsetzt.
Zielsetzung
Im geplanten Gesetz zur internationalen Unternehmensverantwortung werden voraussichtlich klare und regelmäßige Berichtspflichten festgelegt. Unternehmen sollen künftig umfassend darlegen, wie sie Risiken analysieren, welche Maßnahmen sie zum Schutz von Menschenrechten und Umweltstandards ergreifen und wie sie ihren Klimaplan umsetzen. Ziel ist es, mehr Transparenz zu schaffen und die Einhaltung der Sorgfaltspflichten nachvollziehbar zu gestalten. .
Kleinere Firmen können immer noch betroffen sein?
Auch kleinere Unternehmen können indirekt von der EU-Lieferkettenrichtlinie (CSDDD) betroffen sein. Diese verpflichtet größere Unternehmen dazu, menschenrechtliche und umweltbezogene Sorgfaltspflichten entlang ihrer gesamten Lieferkette umzusetzen. In der Praxis geben viele Großunternehmen diese Anforderungen an ihre Zulieferer weiter – wodurch auch kleine und mittlere Unternehmen (KMU) zunehmend in die Verantwortung genommen werden.
Es wird sich noch zeigen, wie sich die Befürwortung des ‚Omnibus‘-Vorschlags der EU-Kommission, zur gezielten Entschlackung der Anforderungen der EU-Nachhaltigkeitsberichterstattung auf die kleineren und mittleren Unternehmen auswirkt.
Beratung und Unterstützung
SCUTIS bietet Unterstützung zur Umsetzung der geänderten Anforderung an, wenn die neuen Rahmenbedingungen klar und gesetzlich verankert sind.
Unsere Fachexperten stehen Ihnen jedoch weiterhin für Beratungen zu Fragen rund um das Berichtswesen im Rahmen der Nachhaltigkeitsvorgaben zur Verfügung und unterstützen bei der Erstellung.
Und warum VaDok® verwenden?
Die Funktionen, Formular- und Checklisten und die Vorlagen für die jeweilige Dokumentation unterstützen optimal beim gesetzeskonformen Aufbau und der versionierten Pflege.
Tipps zum Einstieg in den Bereich CSR
(Corporate Social Responsibility)
Einfach starten
Beginnen Sie mit kleinen, umsetzbaren CSR-Aktionen und nutzen Sie dabei die Stärken Ihres Unternehmens. Integrieren Sie CSR langfristig in Ihre Unternehmensstrategie, um Kontinuität und Vertrauenswürdigkeit zu gewährleisten. Berücksichtigen Sie dabei auch die wachsenden Erwartungen der Öffentlichkeit und gesetzliche Anforderungen.
Warum engagieren Sie sich in CSR?
Klären Sie Ihre Motivation. Neben dem sozialen Engagement können auch wirtschaftliche Vorteile wie Kosteneinsparungen und eine verbesserte Unternehmensreputation als Antrieb dienen.
Ziele setzen und bestehende Ressourcen nutzen
Definieren Sie spezifische CSR-Ziele, die zu Ihrer Branche, Unternehmensgröße und Geschäftsstrategie passen. Tauschen Sie sich mit Mitarbeitern, Partnern und anderen Interessengruppen aus und bauen Sie auf bereits vorhandene Initiativen auf.
CSR im Unternehmen verankern
Begreifen Sie CSR als festen Bestandteil Ihrer Unternehmenskultur. Setzen Sie klare und messbare Ziele und entwickeln Sie eine gezielte CSR-Strategie.
Prozesse und Verantwortlichkeiten klären
Legen Sie klare Abläufe, Verantwortlichkeiten, Zeitpläne und Budgets fest, um Ihre CSR-Maßnahmen effektiv umzusetzen.
Erfolg überprüfen
Messen Sie den Erfolg Ihrer CSR-Initiativen mit Hilfe von Key Performance Indicators (KPIs). Orientieren Sie sich dabei an international anerkannten CSR-Richtlinien wie den
UN-Leitprinzipien oder den OECD-Leitsätzen.
Offene Kommunikation
Informieren Sie Ihre Stakeholder transparent über Ihre CSR-Fortschritte, Erfolge und Herausforderungen. Dies fördert das Vertrauen in Ihr Unternehmen.
Berichterstattung
Nutzen Sie anerkannte Standards wie die Global Reporting Initiative (GRI) oder den Deutschen Nachhaltigkeitskodex für eine strukturierte und vergleichbare Darstellung Ihrer CSR-Aktivitäten.
Information und Beratung
SCUTIS bietet Unterstützung bei der Umsetzung der
menschenrechtlichen Sorgfaltspflicht.
Und warum VaDok® verwenden?
Die Funktionen, Formular- und Checklisten und die Vorlagen für die jeweilige Dokumentation unterstützen optimal beim gesetzeskonformen Aufbau und der versionierten Pflege.
Ein guter Rat, der nicht teuer aber wichtig ist!
Die Verfahrensdokumentation gemäß den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) ist ein zentraler Bestandteil für Unternehmen, um die Anforderungen der Finanzverwaltung zu erfüllen und die Einhaltung der gesetzlichen Vorgaben sicherzustellen. Diese Dokumentation umfasst eine detaillierte Beschreibung sämtlicher organisatorischer und technischer Prozesse, insbesondere im Umgang mit elektronischen Dokumenten und Papierbelegen. Dabei werden verschiedene Bereiche wie die allgemeine Beschreibung der Prozesse, die Anwenderdokumentation, die technische Systemdokumentation und die Betriebsdokumentation berücksichtigt.
Eine unzureichende oder fehlende Verfahrensdokumentation kann zu Beanstandungen durch den Betriebsprüfer führen, der letztlich über die Konformität entscheidet. Zunächst kann in vielen Fällen eine mündliche Erklärung der Abläufe genügen, jedoch wird eine schriftliche Dokumentation für zukünftige Prüfungen dringend empfohlen. Sollte der Betriebsprüfer Mängel feststellen, können diese im Falle einer Beanstandung durch Finanzgerichte überprüft werden.
Änderungen sollten in neuen Versionen dokumentiert werden, wobei eine nachvollziehbare Änderungshistorie von großer Bedeutung ist. Für die Zukunft bedeutet das, dass man sich einen regelmäßigen Erinnerungstermin vormerkt, zu dem die bisherigen Versionen der Dokumentationspunkte überprüft und gegebenenfalls durch geänderte Dokumentationspunkte ersetzt werden. Hierbei handelt es sich um eine neue Version des einzelnen Dokumentationspunkts, die alle Änderungen enthält. Die abgelaufene Version muss, versehen mit der Gültigkeitsdauer, für die Dauer der Aufbewahrungspflicht aufbewahrt werden. Es ist daher ratsam, bei fehlender Dokumentation zeitnah zu handeln und die aktuellen Prozesse in einer Verfahrensdokumentation festzuhalten.
Die rückwirkende Erstellung einer Verfahrensdokumentation ist möglich, jedoch können formelle Mängel nicht rückwirkend behoben werden. Unternehmen müssen daher sorgfältig abwägen, ob und inwieweit sie ältere Versionen nachträglich erstellen möchten. Dabei sollte berücksichtigt werden, dass die Aktualität und Vollständigkeit der Dokumentation einen maßgeblichen Einfluss auf die Nachvollziehbarkeit und Nachprüfbarkeit der Buchführung haben.
Beratung und Unterstützung
SCUTIS bietet Unterstützung zur Verfahrensdokumentation.
Unsere Fachexperten stehen Ihnen für Beratungen zu Fragen rund um die Verfahrensdokumentation zur Verfügung und unterstützen bei der Erstellung.
Und warum VaDok® verwenden?
Die Funktionen, Formular- und Checklisten und die Vorlagen für die jeweilige Dokumentation unterstützen optimal beim gesetzeskonformen Aufbau und der versionierten Pflege.