In Diskussionen mit Kunden oder Auditoren erleben wir es immer wieder:Der Blick richtet sich schnell auf Formalismen. Es werden Kurzbezeichnungen angemerkt, weil heute eine andere Terminologie üblich ist. Einzelne Begriffe werden hinterfragt, Formatierungen kommentiert oder Strukturen beanstandet. Was dabei zunehmend in den Hintergrund gerät, ist das Wesentliche: der Inhalt. Wenn Form wichtiger wird als Substanz Natürlich haben Standards, Normen und einheitliche Bezeichnungen ihre Berechtigung. Sie schaffen Orientierung, Vergleichbarkeit und Klarheit. Doch wenn sich eine Diskussion fast... Mehr

Ein Mitarbeiter nutzte den internen Meldekanal seines Unternehmens, um einen möglichen Regelverstoß zu melden. Die Meldung erfolgte nicht anonym. Kurz darauf bemerkte der Mitarbeiter Veränderungen im Arbeitsalltag: Er wurde aus verantwortungsvollen Projekten abgezogen und bei einer eigentlich geplanten Beförderung nicht berücksichtigt. Für ihn entstand der Eindruck, dass die Meldung negative Konsequenzen für seine berufliche Entwicklung hatte. Der Mitarbeiter wandte sich erneut an die interne Meldestelle – diesmal mit der Frage, ob dieses Vorgehen zulässig sei.... Mehr

Seit 6. Dezember 2025 gilt in Deutschland das Gesetz zur Umsetzung der NIS2-Richtlinie als Teil des deutschen Cyber- und IT-Sicherheitsrechts. Vom neuen IT-Sicherheitsgesetz sind weit mehr Unternehmen betroffen als bisher – und vor allem: eine Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde ebenso eingeführt. Dadurch erhält das BSI etwa die formale Grundlage für Nachfragen zur Umsetzung der NIS2-relevanten Sicherheitsanforderungen. Über das BSI-Portal können aber auch die Unternehmen Sicherheitsvorfälle sicher und klar zuordenbar... Mehr

Viele kleinere mittelständische Unternehmen gehen derzeit davon aus, vom deutschen NIS2-Umsetzungsgesetz (NIS2UmsuCG) nicht betroffen zu sein. Keine KRITIS-Zugehörigkeit. Keine offensichtliche Einstufung als „wesentliche“ oder „wichtige“ Einrichtung. Also kein Handlungsbedarf? So einfach ist es nicht. Das Problem: Selbst bei sorgfältiger Prüfung bleibt Unsicherheit In der Praxis zeigt sich: Der Anwendungsbereich von NIS2 ist häufig nicht eindeutig. Neben klar betroffenen Unternehmen existiert eine breite Grauzone.Selbst bei sorgfältiger Prüfung bleibt oft Unsicherheit:Fällt das eigene Unternehmen doch unter den... Mehr

Die Einhaltung gesetzlicher Vorschriften ist kein Selbstzweck. Sie schützt das Unternehmen vor Haftung, Bußgeldern, Produktionsausfällen und Reputationsschäden. Doch Rechtssicherheit entsteht nicht allein durch ein gepflegtes Rechtskataster. Entscheidend ist die Frage: Wer ist konkret verantwortlich? Oben steht die oberste Leitung. Sie schafft Rahmenbedingungen, delegiert Aufgaben und kontrolliert.Führungskräfte setzen um.Beauftragte beraten fachlich, erfüllen ihre Bringschuld und berichten zurück.Zwischen den Rollen wirken Hol- und Bringschulden. Genau dieses Zusammenspiel macht aus Vorschriften gelebte Verantwortung. Sachgebiete strukturieren Inhalte – aber... Mehr

Schritt 1: Risiken aktualisieren – nicht neu erfinden Ausgangspunkt ist keine Grundsatzdiskussion, sondern eine gezielte Aktualisierung der bestehenden Risikoanalyse: IT- und Cyberrisiken (NIS2) interne Meldesysteme und Reaktionsprozesse ESG- und Lieferkettenrisiken Bestehende Risikoübersichten reichen oft aus – sie müssen lediglich ergänzt und priorisiert werden. Schritt 2: Zuständigkeiten klar festlegen Compliance scheitert selten an Regeln, sondern an Unklarheit. Wichtig ist: eine klare Gesamtverantwortung auf Geschäftsführungsebene benannte Ansprechpartner für IT, HR und Recht transparente Berichtswege zum Aufsichtsrat Dokumentierte... Mehr

Aus Compliance-Gründen beauftragen zahlreiche Unternehmen Selbstständige nicht direkt, sondern ausschließlich über einen zwischengeschalteten Personaldienstleister. In einem solchen Fall besteht keine direkte vertragliche Beziehung zwischen dem Unternehmen und dem Selbstständigen. Vielmehr sieht die Vertragsstruktur in solchen Konstellationen wie folgt aus: Der Personaldienstleister schließt mit dem Unternehmen einen Vertrag über den Einsatz eines Selbstständigen. Dieser wiederum schließt mit dem Personaldienstleister einen Vertrag über die konkreten Leistungen, die er – der Selbstständige – erbringen soll. In der Praxis... Mehr

Compliance ist kein Dokument und kein Zertifikat. Compliance ist gelebte Organisationsverantwortung. Sie entsteht dort, wo Rollen klar definiert, qualifiziert besetzt und funktional miteinander verzahnt sind. Die tragende Struktur besteht aus drei Ebenen: Oberste Leitung Beauftragte Führungskräfte Wenn diese Dreifaltigkeit nicht sauber geregelt ist, entsteht nicht nur organisatorische Unklarheit – sondern ein reales Haftungsrisiko für die oberste Leitung. Die oberste Leitung: Ursprung der Verantwortung und Sorgfaltspflicht Die Gesamtverantwortung für die Rechtmäßigkeit der Organisation liegt immer bei... Mehr

Ein aktueller Fall an einem deutschen Gymnasium ist erschütternd, aber er ist kein Einzelfall: Zwei Lehrer missbrauchten über mehr als ein Jahrzehnt Schülerinnen sexuell, und an der Schule schritt niemand ein – obwohl es Gerüchte gab, obwohl Kolleginnen offenbar Verdacht hegten, obwohl eine Lehrerin nach der Verhaftung erleichtert sagte: „Gott sei Dank ist das endlich…WeiterlesenSexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis Source... Mehr

Mit der Corporate Sustainability Due Diligence Directive verschiebt sich die Verantwortung von der CSR-Abteilung in die Unternehmensführung. Sorgfaltspflichten werden verbindlich Governance-Strukturen prüfbar Und Lieferketten haftungsrelevant. Erfahren Sie hier, was das konkret für Ihr Unternehmen bedeutet. Was ist die CSDDD? Die Corporate Sustainability Due Diligence Directive (Sustainability Due Diligence Directive) ist eine EU-Richtlinie, die Unternehmen verpflichtet, negative Auswirkungen ihrer Geschäftstätigkeit auf: Menschenrechte Umwelt Klima Luft, Wasser und Biodiversität systematisch zu identifizieren, zu verhindern und zu beheben.... Mehr

Gefahrstoffe gehören in vielen Unternehmen zum Alltag. Was häufig unterschätzt wird: Mit jedem eingesetzten Stoff entstehen Dokumentations-, Prüf- und Schutzpflichten. Die Gefahrstoffverordnung (GefStoffV) verpflichtet Arbeitgeber, ein vollständiges und aktuelles Gefahrstoffkataster, auch Gefahrstoffverzeichnis genannt, zu führen. Was es damit auf sich hat und wie dieses Gefahrstoffkataster aufgebaut sein soll, erfahren Sie hier. Was ist ein Gefahrstoffkataster? Ein Gefahrstoffkataster ist eine systematische Erfassung aller im Betrieb verwendeten oder gelagerten Gefahrstoffe im Sinne der GefStoffV. Es dokumentiert: welche... Mehr

Zwischen 1 und 50 Megawatt Feuerungswärmeleistung gelten klare gesetzliche Vorgaben. Anzeige. Registrierung. Emissionsgrenzwerte. Messpflichten. Dokumentation. Die 44. BImSchV ist keine Formalität. Sie ist Betreiberpflicht. Und sie wird kontrolliert. Wer Fristen versäumt oder Anforderungen unterschätzt, riskiert Bußgelder, Auflagen oder im Extremfall Betriebsbeschränkungen. Hier erfahren Sie, was konkret gilt und wo die typischen Fehler entstehen. Was regelt die Verordnung über mittelgroße Feuerungs-, Gasturbinen- und Verbrennungsmotoranlagen? Die Verordnung über mittelgroße Feuerungs-, Gasturbinen- und Verbrennungsmotoranlagen setzt die EU-Richtlinie 2015/2193... Mehr

Flurförderzeuge sind in Lager, Produktion und Intralogistik unverzichtbar. Gabelstapler, Mitgänger-Flurförderzeuge und Elektro-Hubwagen bewegen täglich Tonnen von Waren. Was viele Unternehmen unterschätzen: Der Einsatz dieser Arbeitsmittel unterliegt klaren rechtlichen Vorgaben.Fehler bei Unterweisung, Beauftragung oder Prüfung gehören zu den häufigsten Ursachen schwerer Arbeitsunfälle. Und im Schadensfall wird nicht gefragt, wie viel transportiert wurde – sondern ob die Organisation rechtssicher war. Was die Vorschriften im Detail verlangen und wie Sie den Einsatz strukturiert absichern, lesen Sie hier. Was... Mehr

Die Entgelttransparenzrichtlinie (RL (EU) 2023/970) wird das deutsche Entgeltrecht spürbar verändern. Anders als es viele Unternehmen derzeit noch annehmen, betrifft dies alle Arbeitgeber: Zahlreiche Kernpflichten gelten unternehmensgrößenunabhängig – vom Recruiting über Entgeltsysteme bis hin zu Auskunftsansprüchen. Wer hier erst nach der Umsetzung reagiert, riskiert Haftungs- und Compliance-Risiken. Ausgangspunkt: Eine Richtlinie für alle   Die Entgelttransparenzrichtlinie verpflichtet alle Mitgliedstaaten, den Grundsatz gleichen Entgelts für Männer und Frauen bei gleicher oder gleichwertiger Arbeit durch mehr Transparenz zu stärken.... Mehr

Stellen Sie sich vor, Sie wollen mit einem neuen Produkt auf den Markt. Die Technik ist geprüft, die Sicherheit durchdacht, die Nachfrage da. Und dann stehen Sie vor einer Tür, auf der sinngemäß steht: „Bitte warten… für unbestimmte Zeit.“ Genau so beschreibt das Positionspapier zur Akkreditierungspraxis in Deutschland die Realität vieler Unternehmen – und benennt die Deutsche Akkreditierungsstelle, die DAkkS, als einen der zentralen Bremsklötze. Juristisch ist die Sache klar geregelt: Die DAkkS ist keine private... Mehr

Die Entscheidung des Europäischen Gerichtshofs vom 29. Januar 2026 in der Rechtssache C-291/24 markiert einen bedeutenden Einschnitt in der Auslegung der EU-Geldwäscherichtlinie: Im Zentrum steht die Frage, unter welchen Voraussetzungen juristische Personen für Verstöße gegen geldwäscherechtliche Pflichten haftbar gemacht werden können – und ob nationale Regelungen, die eine vorherige individuelle Schuldzuweisung an natürliche Personen verlangen,…WeiterlesenEuGH klärt Verantwortlichkeit juristischer Personen bei Geldwäscheverstößen Source... Mehr

Die Diskussion rund um NIS2 wird häufig auf Fristen, Bußgelder und technische Maßnahmen reduziert. Doch genau darin liegt ein Risiko – insbesondere für mittelständische Unternehmen. Denn NIS2 ist kein kurzfristiges Compliance-Projekt, sondern entwickelt sich zu dem neuen Standard für IT-Sicherheit und IT-Compliance in Europa.Unternehmen, die NIS2 lediglich „abarbeiten“, werden sich mittelfristig schwertun. Unternehmen, die ihre Organisation befähigen die neuen Sicherheits- und Compliance-Anforderungen grundlegend zu durchdringen, gewinnen dagegen Sicherheit, Handlungsfähigkeit und Zukunftsfähigkeit. NIS2: Von der Regulierung... Mehr

In vielen Unternehmen gilt der Einkauf noch immer als Kostenmanager. Gute Preise, kurze Lieferzeiten, verlässliche Verfügbarkeit. Was dabei oft übersehen wird: Mit jeder Bestellung entscheidet der Einkauf nicht nur über Kosten, sondern über Risiken. Über Sicherheit, Umweltwirkungen, Haftung, Datenschutz, IT-Sicherheit und zunehmend auch über menschenrechtliche Verantwortung in der Lieferkette. In der Praxis zeigt sich immer wieder ein ähnliches Muster: Fachbereiche definieren Anforderungen, der Einkauf setzt sie um. Kommt es später zu Problemen, heißt es dann:... Mehr

Der Gesetzgeber hat mit der Einführung der neuen §§ 41f und 41g EnWG im Rahmen der EnWG-Novelle 2025 eine umfassende Modernisierung des Schutzes vor Versorgungsunterbrechung vorgenommen und damit Regelungen der Richtlinie (EU) 2024/1711 (Strombinnenmarktrichtlinie) umgesetzt. Die Anpassung reagiert auf die zunehmenden Herausforderungen im Energiesektor, insbesondere vor der wachsenden Zahl von Haushalten in finanziellen Schwierigkeiten. Die bisherigen Regelungen in § 19 StromGVV bzw. § 19 GasGVV erwiesen sich nach Ansicht des Gesetzgebers dabei als nicht mehr... Mehr

Der Gesetzgeber hat mit §38a EnWG eine bewusste Erweiterung gegenüber §38 EnWG vorgenommen, um die bislang unzureichend geregelte Problematik vertragslosen Energiebezugs von Gewerbe- und Industrieunternehmen in Mittelspannung und Mitteldruck zu adressieren. Während §38 EnWG die Ersatzversorgung für Letztverbraucher in Niederspannung und Niederdruck regelt, entstehen bei größeren Gewerbe- und Industriekunden in vorgelagerten Netzebenen besondere wirtschaftliche Risiken für Netzbetreiber und die Allgemeinheit, wenn diese ohne vertragliche Bindung Energie beziehen. Ohne gesetzliche Regelung stünde der Netzbetreiber vor der Alternative,... Mehr

Der Europäische Gerichtshof hat mit seinem Urteil in der Rechtssache C-291/24 einen weiteren grundlegenden Schritt hin zu einem eigenständigen europäischen Unternehmenssanktionsrecht vollzogen. Ausgangspunkt war ein österreichisches Verfahren zu Geldwäschepflichtverstößen von Kreditinstituten, in dem die nationale Rechtslage eine Sanktionierung juristischer Personen davon abhängig machte, dass zuvor eine natürliche Person als „schuldige“ Verantwortliche festgestellt und im Spruch…WeiterlesenBußgeld gegen juristische Personen: EuGH ändert die Marschrichtung (2026) Source... Mehr

In vielen Unternehmen wird EHS noch immer als rein fachliche oder operative Disziplin verstanden. Arbeitssicherheit, Umweltschutz oder Gesundheit werden in Fachabteilungen verortet, während HR als administrativer Begleiter wahrgenommen wird. Stellenbeschreibungen pflegen, Schulungen organisieren, Verträge und Akten sauber halten – so das gängige Bild. Die Praxis zeigt jedoch ein anderes Bild: Wenn es zu Unfällen, Behördenfeststellungen oder internen Eskalationen kommt, liegen die Ursachen selten in fehlendem Fachwissen. Viel häufiger fehlen klare Rollen, wirksame Beauftragungen oder eine... Mehr

Die gefährlichste Compliance-Illusion These: Compliance scheitert nicht an fehlenden Regeln, sondern an trügerischer Sicherheit. In der Praxis begegnet man immer wieder dem gleichen Satz: „Wir haben doch ein Compliance-Handbuch.“ Rechtlich ist dieser Satz wertlos, wenn das dahinterstehende System nicht mehr zur Realität des Unternehmens passt. Denn entscheidend ist nicht, ob Regeln existieren, sondern ob sie: aktuell sind, verstanden werden, angewendet werden, überprüfbar sind. Alles andere ist Symbolik – keine Governance. Compliance altert schneller als Geschäftsleiter... Mehr

Der schmale Grat zwischen Vollständigkeit und Praxisorientierung Beim Aufbau und der Pflege von Rechtskatastern begegnen uns immer wieder sehr unterschiedliche Herangehensweisen sowohl bei Kunden als auch bei anderen Anbietern. Die einen sind wahre Sammler: Hauptsache vollständig. Jede Vorschrift, jede Richtlinie, jede Verordnung wird aufgenommen – unabhängig davon, ob sie im Unternehmensalltag tatsächlich relevant ist.Die anderen wiederum scheinen sich aktiv gegen „zu viele“ Vorschriften zu wehren und möchten ihr Kataster möglichst schlank halten. Beide Ansätze sind... Mehr

Über das Meldesystem der Ratisbona Compliance ging ein anonymer Hinweis ein, wonach ein für den Einkauf zuständiger Mitarbeiter bestimmte Lieferanten systematisch bevorzugt haben soll. Nach Angaben des Hinweisgebers erfolgte diese Bevorzugung unter Nichtbeachtung interner Vergabeprozesse. Die betreffenden Lieferanten sollen dabei höhere Preise und eine geringere Qualität aufgewiesen haben. Im Gegenzug habe der Mitarbeiter monetäre Zuwendungen erhalten. Rechtliche Einordnung Grundsätzlich sollten bei der Auswahl von Lieferanten objektive und nachvollziehbare Kriterien im Vordergrund stehen. Dazu zählen insbesondere... Mehr

Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (am 06.12.2025) hat der deutsche Gesetzgeber die EU-Richtlinie 2022/2555 (NIS2) in nationales Recht überführt und damit die Anforderungen an die Cybersicherheit für Unternehmen und öffentliche Stellen deutlich verschärft und ausgeweitet. Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union zu gewährleisten und die Resilienz kritischer und wichtiger Infrastrukturen zu stärken. Entwicklung und Hintergründe Die Digitalisierung und die zunehmende Vernetzung von Wirtschaft und Gesellschaft haben die Angriffsflächen für... Mehr

Die Richtlinie (EU) 2024/1203 über den strafrechtlichen Schutz der Umwelt verschafft dem Umweltstrafrecht einen neuen Stellenwert. Kommt ein Paradigmenwechsel im deutschen Recht?  Die Richtlinie verschiebt den Schwerpunkt von der formalen Genehmigungstreue zur materiellen Umwelt-Compliance. Außerdem wird dem auf den Menschen bezogenen Rechtsgüterschutz gleichrangig das Ökosystem zur Seite gestellt. Unternehmen, die Genehmigungen fortlaufend aktualisieren, ökologische und menschenbezogene Schutzgüter gleichermaßen ernst nehmen, Gefährdungen proaktiv kontrollieren und die Integrität ihrer Verfahren sachlich belegen, reduzieren strafrechtliche und Reputationsrisiken.  Erstmals... Mehr

Seit 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Es setzt die EU-NIS2-Richtlinie in deutsches Recht um und richtet sich an Unternehmen aus sicherheitsrelevanten Sektoren. Ziel ist ein höheres Cybersicherheitsniveau: Mehr Unternehmen müssen künftig geeignete Schutzmaßnahmen ergreifen und Sicherheitsvorfälle melden. Schätzungen gehen davon aus, dass bundesweit etwa 30.000 Unternehmen betroffen sind.Dies sind vor allem Unternehmen aus kritischen Versorgungs- und Infrastruktur-bereichen. Dazu zählen beispielsweise Energie-, Gesundheits- und Verkehrs-unternehmen sowie Anbieter öffentlicher Telekommunikations- und Internetdienste. Auch... Mehr

Wir freuen uns sehr, auch für 2026 erneut mit dem kununu Top Company‑Siegel ausgezeichnet worden zu sein. Mit einer Bewertung von 4,9 von 5 Sternen zählen wir zu den Top 5 % aller bei kununu gelisteten Unternehmen in Deutschland, Österreich und der Schweiz. Doch was steckt eigentlich hinter kununu – und warum ist diese Auszeichnung für uns mehr als nur ein schönes Label? Was ist kununu? kununu ist eine der führenden Arbeitgeber‑Bewertungsplattformen im deutschsprachigen Raum. Mitarbeitende,... Mehr

Die MDCG 2025–7 Revision 1 der Medical Device Coordination Group (MDCG) bringt Klarheit zur Zeitschiene für die Implementierung des „Master UDI-DI“ Systems für bestimmte medizinische Geräte wie Kontaktlinsen, Brillengestelle, Brillengläser und Fertiglesebrillen. Master UDI-DI für Kontaktlinsen und Brillen Der Fokus des revisionierten MDCG Guidance Dokuments liegt auf den Zeitplänen für zwei Hauptproduktkategorien: Kontaktlinsen (Produkte der Klasse IIa/IIb) Brillengestelle, Brillengläser und Fertiglesebrillen (Produkte der Klasse I) Der Zweck der Master UDI-DI besteht darin, die Identifizierung und... Mehr