DSGVO, ESRS und Co. stellen Unternehmen vor neue Compliance-Herausforderungen. Manager:innen, die sich früh mit den neuen Anforderungen auseinandersetzen, profitieren von schnellen, schlanken und rechtssicheren Prozessen – und reduzieren zeitgleich mögliche Compliance-Risiken.
Die Compliance Themen 2024: Cybersecurity, Datenschutz und ESG
Laut einer Umfrage der Unternehmensberatung KPMG zählen die Themen Cybersecurity, Datenschutz und ESG zu den Top 3 Compliance-Herausforderungen der kommenden Jahre¹ . Das kommt nicht überraschend, belief sich die Summe der Schäden durch Cyberkriminalität allein im Jahr 2023 auf 205,9 Milliarden Euro, wie eine Umfrage von Bitkom zu Schadenssummen, die aufgrund von Datendiebstahl, Industriespionage oder Sabotage in deutschen Unternehmen angefallen waren ². Um Schäden dieser Art zu vermeiden, brauchen Unternehmen eine Cybersecurity-Strategie sowie ein IT-Service und Continuity Management, das es ihnen ermöglicht, im IT-Notfall auch zeitkritische Geschäftsprozesse weiterführen zu können.
„Defizite in der Steuerung der IT führen zu fehlender Transparenz, Kostensteigerung und unter Umständen auch zu Verstößen gegen gesetzliche und regulatorische Vorgaben. Die regelmäßige Identifikation und laufende (Neu-)Bewertung der geltenden Vorgaben in einem geregelten Steuerungskreislauf der IT Governance, unter Berücksichtigung der damit verbundenen besonderen Chancen und Risiken, ist zwingend erforderlich – nicht nur in Zusammenhang mit dem DCGK.”
Markus Vehlow, Partner PwC Deutschland³
DSGVO befolgen und Daten sicher nutzen
Die Datenschutzgrundverordnung (DSGVO) hält Unternehmen seit ihrer Einführung 2018 auf Trab. Und das mit gutem Grund. Schließlich wollen Daten gesichert und IT-Infrastrukturen, die eben jene Daten beinhalten, geschützt werden. Doch mit der Umsetzung der Verordnung sind nach wie vor Herausforderungen verbunden. So resümiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, anlässlich des fünfjährigen Bestehens der DSGVO im Rahmen einer Umfrage beispielsweise: „Auch nach fünf Jahren gibt es bei der DSGVO leider mehr Schatten als Licht. Das Ziel, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Doch Umsetzung und Auslegung in der Praxis führen dazu, dass dieses Ziel noch nicht erreicht wurde. Die Unternehmen haben mit der Daueraufgabe Datenschutz zu kämpfen.”
Das Thema Datenschutz wird Manager:innen daher auch in den kommenden Jahren begleiten und vor kleine wie große Herausforderungen stellen. Bei der Durchsetzung der Regelung unterstützen so genannte Datenschutzbeauftragte. Unternehmen, in denen sich mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, sind sogar verpflichtet, einen Datenschutzbeauftragten abzubestellen. Diese gilt es jedoch nicht nur zu definieren, sondern auch entsprechend zu schulen. Denn nur, wenn sich die Mitarbeiter:innen als Mitkämpfer:innen für den Schutz personenbezogener Daten erkennen, können Cybersicherheit und Datenschutz Hand in Hand gehen und Datenschutzbeauftragte ihre bedeutsame Rolle im Unternehmen in Wirkung bringen.
ESG und CSRD: Nachhaltig durchstarten
Seit dem 1. Januar 2024 müssen Unternehmen, die der Richtlinie über die nichtfinanzielle Berichterstattung (NFRD) unterliegen, einen Nachhaltigkeitsbericht erstellen. Dieses „Sustainability Statement“ im Rahmen der Corporate Sustainability Reporting Directive (CSRD) ist verpflichtend im Lagebericht zu integrieren und hat sich mit den ESG-Themen Environmental, Social und Governance zu beschäftigen. Dazu zählen sowohl qualitative als auch quantitative Aussagen wie konkrete KPIs, von denen bislang 150 in den European Sustainability Reporting Standards (ESRS) aufgeführt werden. Für betroffene Unternehmen bedeutet das:
- Abklären, ob und wie die eigene Organisation durch die CSRD betroffen ist.
- Entsprechende Berichtsstrategie bestimmen.
- Doppelte Wesentlichkeitsanalyse durchführen.
- Bestehende Berichte mit neuen Anforderungen abgleichen.
- Status Prüfbereitschaft und ESG-Abdeckung der Governance-Systeme analysieren.
- ESG-Reporting-Map aufstellen und Implementierungsplan beschließen.
Das Lieferkettensorgfaltspflichtengesetz: Compliance in Krisenzeiten
Mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) stehen Unternehmen vor einer weiteren regulatorischen Herausforderung. Die Regelung galt zunächst für Unternehmen in Deutschland mit mehr als 3.000 Beschäftigten, ab 2024 gilt sie nun auch für Betriebe ab 1.000 Mitarbeiter:innen. Gemäß dem Gesetz sollen Unternehmen dafür Sorge tragen, dass in ihren Lieferketten grundlegende Menschenrechtsstandards eingehalten werden. Obgleich ethisch sinnvoll, kann das LkSG viele Manager:innen in Bedrängnis bringen. Denn während Unternehmen einerseits damit zu kämpfen haben, ihre Lieferketten überhaupt sicherzustellen, sollen sie andererseits wählerisch sein bei der Gestaltung der Lieferwege und der Auswahl ihrer Lieferant:innen.
Zu den Sorgfaltspflichten der Unternehmen gehören:
- Die Verabschiedung einer Grundsatzerklärung zur Achtung der Menschenrechte.
- Die Analyse des Risikos für potenzielle Verstöße.
- Abhilfe bei akuten Verstößen.
- Die Dokumentation der Arbeitsbedingungen auf dem gesamten Weg des Produkts.
- Die Einrichtung von Beschwerdemöglichkeiten für unternehmensinterne und -externe Personen.
Selbstverständlich selbstverantwortlich
Wer nachhaltig für ein Umfeld frei von Bedrohung, Korruption und Grenzüberschreitung sorgen möchte, hat nur eine Chance: Compliance muss Teil der eigenen Unternehmenskultur werden. Das ist ein Prozess, der frühzeitig angestoßen werden muss und lange braucht, bis er Früchte trägt. Doch die sind beachtlich: Wenn die eigenen Mitarbeiter:innen selbstverständlich die Verantwortung für saubere und sichere Geschäfte übernehmen, ist Compliance kein externes Regelwerk, sondern ein gelebter Grundsatz. Gemeinsam wappnet sich das Unternehmen gegen Compliance-Risiken – wohl die beste Form der Prävention und mit Sicherheit Garant für mehr Unternehmenserfolg.
Unsere Empfehlung
E-Book Management Challenges 2024
Digitalisierung und Transformation schreiten voran: die Welt dreht und verändert sich gefühlt schneller als wir hinterherkommen. Vor welchen Herausforderungen stehen Sie jetzt?
Lesen Sie jetzt die wichtigsten Trends und Herausforderungen für das Management 2024 im E-Book „Management Challenges 2024“
E-Book Management Challenges 2024
¹KPMG, 2023, „2023 Global Compliance Risk Benchmarking Survey”. https://kpmg.com/us/en/articles/2023/2023-global-compliance-risk-benchmarking-survey.html.
² Statista Research Department, 25.09.2023, https://de.statista.com/statistik/daten/studie/444719/umfrage/schaeden-durch-computerkriminalitaet-in-deutschen-unternehmen/.
³ PwC, „Compliance und rechtliche Risiken beherrschen“. https://www.pwc.de/de/strategie-organisation-prozesse-systeme/interne-revision/deutscher-corporate-governance-kodex-2022/compliance-und-technische-risiken-beherrschen.html.