Willkommen zu DataGuard’s ersten, alljährlichen Trendreport zur Compliance

In diesem Sonderbericht werfen wir einen Blick auf die neuesten Veränderungen und Trends aus der Compliance-Welt. Wir haben uns mit den Entwicklungen von 2021 bis heute auseinandergesetzt und beleuchten auch Themen, die über 2023 hinaus wichtig sein werden.

Sichern Sie sich jetzt Ihren Trendreport, um praktische Hinweise und Anstöße für Ihre Compliance-Roadmap zu erhalten.

Alter Wein in neuen Schläuchen – Die Compliance-Welt von 2021 bis heute

Keine Frage: Seit dem Ausbruch der Corona-Pandemie vor drei Jahren ist die Welt nicht mehr dieselbe.

Spätestens Anfang 2022 traten einige Themen, die vorher besonders viel Aufmerksamkeit erhalten hatten – Stichwort Datenschutz/DSGVO und Arbeitsschutzgesetze – in den Hintergrund. Nicht zuletzt wegen der massiven Veränderungen der geopolitischen Situation wurde die Lage der Cybersicherheit weltweit zum allgegenwärtigen Thema.

Doch schon 2021 war ein wichtiges Jahr für die Cybersicherheit und für die Compliance in Unternehmen. In diesem Jahr hätten die EU-Mitgliedsstaaten die Whistleblowing-Richtlinie von 2019 spätestens in nationales Recht überführen müssen. Hierbei geht es darum, dass Whistleblower europaweit stärker geschützt werden sollen, um so wiederum die Compliance von Organisationen zu verbessern. Nachdem allein 24 Mitglieder dieser Verpflichtung nicht nachgekommen waren, verklagte die Europäische Kommission die entsprechenden Staaten vor dem EuGH. Dies wiederum führte dazu, dass Whistleblowing und die EU-Richtlinie wieder mehr Aufmerksamkeit erhielten.
SE

Während des gesamten Jahres 2022 waren Whistleblowing und die Richtlinie eines der meistdiskutierten Themen in der Compliance-Welt sowie auf relevanten nationalen und internationalen Events.

Auch das Lieferkettensorgfaltspflichtgesetz (LkSG) war 2021 ein großes Thema auf fast allen wichtigen Compliance-Veranstaltungen. Das Gesetz wurde im Sommer 2021 verabschiedet. Für 2022 bestand die Aufgabe für Unternehmen darin, die entsprechenden Sorgfaltspflichten durch geeignete Prozesse und interne Richtlinien zu verankern.

Das Wichtigste zuerst: Warum ist Whistleblowing ein so großes Thema für Unternehmen?

Ein Hinweisgebersystem („Whistleblowing“-System) ist unerlässlich für jedes Unternehmen, das eine Kultur der Verantwortlichkeit und Integrität fördern will. Dafür gibt es mehrere Gründe:

• Fehlverhalten wird verhindert: Ein Whistleblowing-System ermöglicht Mitarbeitenden, illegales oder unethisches Verhalten zu melden, ohne Konsequenzen fürchten zu müssen. Das wiederum hilft Verantwortlichen, diese Probleme und Schwierigkeiten möglichst schnell zu beheben und weitere negative Folgen zu verhindern.
  
  
• Eigenverantwortung und Transparenz werden gefördert: Ein Hinweisgebersystem mindert die Wahrscheinlichkeit für unethische oder illegale Aktivitäten im Unternehmen und fördert eine Kultur der Integrität und des moralisch korrekten Verhaltens.
  
  
• Schutz der Öffentlichkeit: Ein Hinweisgebersystem hilft, Betrug, Verschwendung von Ressourcen und Machtmissbrauch aufzudecken und verhindert so Schäden für den Einzelnen, die Gesellschaft und die Umwelt.

Die EU-Whistleblowing-Richtlinie soll es einfacher machen, Missstände zu melden. Zudem sollen Whistleblower in allen EU-Staaten besser geschützt werden.

Wir kennen es aus der Gesetzgebung zum Datenschutz (Stichwort: Internationale Datentransfers) – auch bei Compliance- und Whistleblowing-Gesetzen ging es hin und her.

Und auch darin ähneln sich Datenschutz- und Whistleblowing-Gesetzgebung: Im Frühjahr 2022, nach Veröffentlichung des Gesetzesentwurfs für das Hinweisgeberschutzgesetz (HinSchG), nahm das Thema noch einmal zusätzlich Fahrt auf. Eines stand fest: Es gab viel zu tun.

Der Gesetzesentwurf ging dabei um einiges weiter als die EU-Whistleblowing-Richtlinie. So ist beispielsweise der Anwendungsbereich des Gesetzes wesentlich umfassender: Es bezieht nicht nur Meldungen zu Verletzungen des EU-Rechts mit ein, sondern auch eine Vielzahl weiterer Verstöße gegen nationales Recht.

Kein Wunder also, dass das Gesetz viel Unmut auslöste: Der Verband der deutschen Wirtschaft sprach sogar von einer „fast zwanghaften legislativen Übererfüllung“ der EU-Richtlinie. Doch auch die EU-Kommission kritisierte den Entwurf in zwei offiziellen Stellungnahmen.

1. Einerseits kritisierte man die Festlegung, dass auch in großen Konzernstrukturen eine einzige Meldestelle für Missstände ausreichen sollte. Die EU-Richtlinie hingegen fordert, dass auch bei Unternehmensgruppen pro Einzelunternehmen eine eigene Stelle eingerichtet werden muss.
   
   
2. Experten kritisierten zudem, dass nur nicht anonym eingereichte Meldungen weiter bearbeitet werden sollten – ein Kritikpunkt, den wir zu 100 % unterschreiben. Die Erfahrung zeigt, dass Hinweisgebersysteme nur dann funktionieren, wenn sie den Meldenden möglichst wenig Steine in den Weg legen. Die Meldung muss einfach und problemlos sein und ohne negative Folgen für den Meldenden bleiben. Die Sorge vor nicht gerechtfertigten Meldungen oder Denunziantentum bestätigt sich dabei übrigens nicht, wie aktuelle Studien zeigen.

Im aktualisierten Entwurf des Gesetzes von 2022 wurden die Kritikpunkte glücklicherweise zu einem großen Teil aufgenommen und der Entwurf umfassend überarbeitet. So sind nun beispielsweise explizit auch anonym eingereichte Informationen aus internen wie externen Quellen zu bearbeiten. Zusätzlich sind Organisationen verpflichtet, Meldekanäle für anonyme Meldungen bereitzustellen.

Auch die Vorgaben der EU-Richtlinie wurden noch einmal stärker einbezogen: Diese gibt zum Beispiel vor, dass auch Drittparteien als Meldestellen fungieren können. Der aktuelle Entwurf nimmt Bezug auf diese Vorgabe und ermöglicht die Auslagerung der Verantwortlichkeit auf eine „dritte Partei“. Damit wird effektiv die Einrichtung einer zentralen Meldestelle möglich. Offen ist allerdings, ob diese Regelung der Prüfung durch den Europäischen Gerichtshof standhalten wird.

Ursprünglich sollte der deutsche Gesetzesentwurf im Frühjahr 2023 verabschiedet werden, scheiterte aber im Februar 2023 am Bundesrat. Damit ist Deutschland nicht allein: Bisher sind 19 Mitgliedsstaaten der EU ihrer Verpflichtung nicht nachgekommen, die Whistleblowing-Richtlinie in nationales Recht umzusetzen, darunter Frankreich, Dänemark und Schweden. In weiteren 8 Staaten wird das Gesetz noch im Parlament diskutiert.

Lieferkettengesetze auf EU- und nationaler Ebene

Das deutsche Lieferkettensorgfaltspflichtgesetz LkSG trat am 01. Januar 2023 in Kraft. Ein Vorschlag für ein europäisches Lieferkettengesetz (Corporate Sustainability Due Diligence Directive CS3D) wurde im Februar 2023 veröffentlicht und wird nun weiter im Europa-Parlament diskutiert.

Der Entwurf stellt strenge Anforderungen an Unternehmen: Es gilt, Verantwortung für Lieferketten zu übernehmen und die Einhaltung von Menschenrechten und Umweltschutz genau zu überwachen. Während das deutsche Lieferkettengesetz lediglich fordert, Verstöße gegen die Sorgfaltspflichten bei Herstellern und Lieferanten der ersten und zweiten Stufe in der Lieferkette zu identifizieren und zu beheben, ist der europäische Entwurf wesentlich strenger. Hier kämen Sorgfaltspflichten entlang der gesamten Lieferkette Ihres Unternehmens auf Sie zu.

Doch lassen Sie uns an der Stelle beim deutschen Lieferkettensorgfaltspflichtgesetz bleiben. Dieses fordert Unternehmen auf, einen jährlichen Bericht über die Erfüllung der im Gesetz verankerten Pflichten zu veröffentlichen. Zudem müssen Unternehmen ein Beschwerdeverfahren zu möglichen Risiken oder Problemen für interne und externe Personen einrichten.

80% aller Führungskräfte geben an, dass Risiken durch Dritte erst nach dem Onboarding und der Due-Diligence-Prüfung erkannt worden waren. *Gartner Studie zum Management von Drittparteirisiken

Eine aktuelle Handreichung des BAFA fordert zudem umfassende Risikoanalysen und ein wirksames Risikomanagement. Ganz grundsätzlich gehen wir davon aus, dass das Management von Drittparteirisiken (Third Party Risk Management TPRM) in Zukunft wesentlich mehr Gewicht in der Arbeit von Compliance Managern bekommen wird.

Beziehungen zu externen Partnern werden zunehmend komplexer, ein Wechsel hin zu einem neuen Ansatz für das Risikomanagement von Drittparteien ist gefragt. Vor dem Hintergrund der Veränderungen der modernen Unternehmenswelt reichen traditionelle Methoden längst nicht mehr aus – schon allein deshalb nicht, weil sie immer häufiger den gesetzlichen Vorgaben nicht genügen.

Komplexe Ransomware-Angriffe und strenge gesetzliche Vorgaben: Ist Ihr Unternehmen vorbereitet?

Die geopolitische Lage, die damit verbundene „Cyber Warfare“ und Hacktivismus haben die Welt der Cybersicherheit stark verändert. Angriffskampagnen mit massiven negativen Folgen und Cyberangriffe mit tödlichem Ausgang sind längst keine Fiktion mehr.

Jüngsten Berichten der ENISA (der europäischen Agentur für Cybersicherheit) und des BSI zufolge bleiben Ransomware-Angriffe die größte und akuteste Bedrohung – allein im Jahr 2022 wurden mit Ransomware jeden Monat 10 Terabyte Daten gestohlen.

Für Unternehmen heißt das: Cyberresilienz, also die Widerstandsfähigkeit gegenüber Cyberangriffen, sollte 2023 ganz oben auf der Agenda stehen. Angriffe werden aller Wahrscheinlichkeit nach zunehmen, ausgefeilter und effizienter werden und so mehr Schaden bei einzelnen Unternehmen und ganzen Infrastrukturen anrichten.

Was können Sie als Organisation tun?

Vor dem Hintergrund geopolitischer Spannungen und verstärkter Angriffe auf Unternehmen sind Organisationen gefragt, ihre Prozesse für das Business-Continuity-Management auf Herz und Nieren zu prüfen. Das Ziel: Ein systematisches Rahmenwerk zum Schutz und zur Reaktion auf Angriffe, auch mit Ransomware. Der effektive Umgang mit Cyberangriffen wird durch eine solche systematische (also strukturierte und konsistente) Herangehensweise wesentlich erleichtert.

Hierbei sehen wir es ganz ähnlich wie führende Cybersecurity-Experten: Die Systematik sollte unbedingt auch Schritte hin zur „Cybersicherheits-Reife“ des Unternehmens enthalten. Nur so stellen Sie sicher, dass Ihr Unternehmen auch zukünftigen Bedrohungen gewachsen ist. Zu solchen Schritten gehören zum Beispiel das Training und die Schulung von Mitarbeitenden, regelmäßige Audits der E-Mail- und Netzwerksicherheit, Backups und interne Richtlinien zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

Mittelfristig werden solche Ansätze ohnehin für Europäische Unternehmen verpflichtend werden. Im Rahmen einer umfassenden europäischen Digital- und Datenstrategie wird die EU – zusätzlich zu den bestehenden Gesetzen – weitere Vorgaben erlassen, die Cyberbedrohungen in den Fokus nehmen.

Die NIS2-Richtlinie: Stärkung der EU-weiten Cybersicherheit

„There are only two types of companies: those that have been hacked, and those that will be.“

„Es gibt nur zwei Arten von Unternehmen: Die, die gehackt wurden, und die, die es noch werden.“

Robert Mueller, ehemaliger FBI-Direktor

Im November 2022 verabschiedete das Europäische Parlament die sogenannte NIS2-Richtlinie in erster Sitzung und mit großer Mehrheit. Ziel der Novelle war es, Unzulänglichkeiten der bisherigen NIS-Richtlinie auszugleichen und so die Netz- und Informationssicherheit zu stärken, sie an aktuelle Anforderungen anzupassen und für zukünftige Herausforderungen zu rüsten.

Hierfür erweitert die NIS2 den Anwendungsbereich der bisherigen Richtlinie massiv. Zusätzlich ist der Zeitraum, der den Mitgliedsstaaten zur Umsetzung zur Verfügung steht, wesentlich kürzer als noch bei der Vorgängerrichtlinie. Nach nur 21 Monaten ab Inkrafttreten der Richtlinie am 16. Januar 2023 müssen die Vorgaben in nationales Recht umgesetzt sein.

Die NIS2 stellt umfangreiche Forderungen zur Cybersicherheit an Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz von 10 Millionen Euro, wenn diese einem kritischen oder wichtigen Sektor angehören. Zu diesen Sektoren gehören zum Beispiel Anbieter von Cloud-Anwendungen, Rechenzentren, Content-Delivery-Netze (CDNs) sowie weite Teile der Industrie (z. B. Pharma-Industrie, Hersteller von Medizinprodukten, Chemie- und Lebensmittelindustrie).

Zu den wichtigsten Neuerungen der NIS2 gehören:

1. Erweiterung des Anwendungsbereiches: Eine der wichtigsten Änderungen der NIS2 ist die umfassende Erweiterung des Anwendungsbereiches. Die Richtlinie bezieht mehr Organisationen mit ein als ihre Vorgängerin, darunter Online-Marktplätze, Suchmaschinen und Cloud-Computing- Dienstleister.
   
   Diese Erweiterung macht es möglich, mehr Unternehmen für die Sicherheit ihrer Netze und Informationssysteme zur Rechenschaft zu ziehen.
   
   
2. Meldepflichten für Sicherheitsvorfälle: Die NIS2-Richtlinie verpflichtet Betreiber wesentlicher Dienste, relevante Cybersicherheitsvorfälle an die jeweils zuständige nationale Behörde zu melden. Das Ziel dieser Vorgabe ist die Verkürzung der Reaktionszeit auf Cyberangriffe. Durch die Meldepflichten sollen Mitgliedsstaaten zudem einen besseren Überblick darüber erhalten, wie es aktuell um die Cyber-Bedrohungslage in einer bestimmten Region bestellt ist.
   
   Übrigens: In einigen Mitgliedstaaten bestehen vergleichbare Meldepflichten bereits. Die NIS2-Richtlinie baut nun darauf auf.
   
   
3. Verschärfung der Anforderungen an die Cybersicherheit: Besonders für Betreiber wesentlicher Dienste verschärft die Richtlinie die Anforderungen an die Cybersicherheit. Dazu gehört die Verpflichtung, angemessene technische und organisatorische Maßnahmen zu implementieren, um Netzwerke und Informationssysteme umfassend abzusichern.
   
   Außerdem müssen Unternehmen Reaktionspläne für Sicherheitsvorfälle vorhalten, um die negativen Folgen von Cybersicherheitsvorfällen abzumildern.
   
   
4. Vorgaben für die Cybersicherheitszertifizierung: Die NIS2-Richtlinie enthält Vorgaben zur Erstellung europaweiter Vorlagen für die Cybersicherheitszertifizierung von Produkten und Dienstleistungen. Diese sollen helfen, Produkte und Dienstleistungen so auszuwählen, dass sie bestimmten Sicherheitsniveaus entsprechen.
   
   Zusätzlich sollen sie die Entwicklung von Cybersicherheits-Produkten und -Diensten fördern, die die Anforderungen des europäischen Marktes erfüllen.

ICRA – Das europäische Gesetz zur Cyberresilienz

Neben der NIS2 veröffentlichte die EU-Kommission im September 2022 einen ersten Entwurf des neuen Cyber Resilience Acts (CRA). Ziel ist es hier, Verbraucher und Unternehmen besser zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Es soll gewährleistet werden, dass nur noch Produkte genutzt werden, die bestimmten Sicherheitsniveaus entsprechen. Das Gesetz verpflichtet Hersteller und Anbieter solcher Produkte zu konkreten Maßnahmen entlang des gesamten Produktlebenszyklus.

Whistleblowing: Wie gut ist Ihr Hinweisgebersystem?

Das Thema Hinweisgebersysteme (Whistleblowing-Systeme) sollte spätestens 2023 bei allen Unternehmen in den Fokus genommen wer- den. Jedes in Deutschland ansässige Unternehmen mit mindestens 250 Mitarbeitenden ist demnach verpflichtet, interne Meldekanäle für Missstände einzurichten. Ende 2023, am 17. Dezember, wird diese Schwelle weiter gesenkt, sodass auch Unternehmen mit mindestens 50 Mitarbeitenden entsprechend verpflichtet werden.

Für Sie heißt das: Werden Sie jetzt aktiv.

Die nebenstehende Tabelle gibt Ihnen einen Überblick über die wich- tigsten Anforderungen der Whistleblowing-Richtlinie der EU sowie des deutschen Hinweisgeberschutzgesetzes (HinSchG). Wir empfeh- len Ihnen die Umsetzung mithilfe einer digitalen Lösung, um die An- forderungen möglichst effizient und einfach skalierbar umzusetzen.

Sie lesen lieber offline?