Venture Capital Finanzierung für Start ups: Rechtliche Fallstricke und Vertragsgestaltung

Mitarbeitende eines Start-ups diskutieren über Venture Capital Finanzierung
Mitarbeitende eines Start-ups diskutieren über Venture Capital Finanzierung

Venture Capital Finanzierung für Start-ups: Rechtliche Fallstricke und Vertragsgestaltung

Start‑ups stehen häufig vor der Herausforderung, ihr Wachstum über externe Investoren zu finanzieren. Besonders in technologiegetriebenen Branchen ist Venture‑Capital (VC) eine der wichtigsten Finanzierungsquellen, um Entwicklung, Markteintritt und Skalierung zu ermöglichen. Doch wer Kapital von Business Angels oder Venture‑Capital‑Gesellschaften aufnimmt, sollte sich der rechtlichen Konsequenzen bewusst sein.

In diesem Beitrag beleuchten wir die zentralen Aspekte der Venture‑Capital‑Finanzierung, erklären typische Vertragsstrukturen wie Beteiligungsvertrag und Wandeldarlehen und zeigen auf, wie Start‑ups Fallstricke bei Liquidationspräferenzen und Verwässerung vermeiden können.

Was ist Venture Capital?

Venture‑Capital ist eine Form der Eigenkapitalfinanzierung, bei der Investoren junge, wachstumsorientierte Unternehmen mit hohem Risiko unterstützen. Im Gegenzug erhalten sie Anteile am Unternehmen und Mitspracherechte. Anders als klassische Bankdarlehen setzt Venture‑Capital auf die Wertsteigerung der Beteiligung. Gewinne entstehen meist erst beim Exit, also beim Verkauf der Gesellschaft oder Börsengang.

Typische Akteure:

  • Frühphasen‑Investoren (Seed oder Pre‑Seed)
  • Venture‑Capital‑Gesellschaften mit thematischem Schwerpunkt (z.  GreenTech, MedTech, SaaS)
  • Corporate‑Venture‑Arme etablierter Konzerne
  • Business Angels als private Frühinvestoren

Der Beteiligungsvertrag als Kern der VC Finanzierung

Der Beteiligungsvertrag ist das juristische Fundament einer VC‑Finanzierung. Oftmals wird dem Beteiligungsvertrag noch ein Term-Sheet als Vorstufe vorgeschaltet. Es enthält die grundlegenden, vorläufigen Eckpunkte der geplanten Beteiligung zwischen Investoren und Start-up und dient dazu, die wesentlichen Bedingungen vorab verbindlich festzulegen. Das Term-Sheet gibt Investoren und Gründern eine erste rechtliche und wirtschaftliche Orientierung für die späteren, detaillierten Verhandlungen des Beteiligungsvertrags.

Der Beteiligungsvertrag selbst bildet dann wiederum das juristische Fundament der Finanzierung und regelt das Verhältnis zwischen Gründerteam und Investoren umfassend.

Zentrale Inhalte sind:

  • Kapitalbeteiligung und Bewertung des Start‑ups (Pre‑Money‑ und Post‑Money‑Valuation)
  • Mitspracherechte wie Vetorechte, Beiratsmandate oder Informationsrechte
  • Veräußerungsbeschränkungen (Drag‑Along‑ und Tag‑Along‑Klauseln)
  • Anti‑Dilution‑Regeln zum Schutz vor Verwässerung
  • Liquidationspräferenzen zur Priorisierung der Investorenauszahlung beim Exit

Gerade Liquidationspräferenzen bergen hohes Konfliktpotenzial. Wenn Investoren bei einem Exit den größten Teil des Verkaufserlöses erhalten, können Gründer trotz Unternehmensverkaufs leer ausgehen. Eine faire Ausgestaltung dieser Klauseln ist daher entscheidend.

Zusätzlich wird im Beteiligungsvertrag geregelt, wie und wann das Investment geleistet wird, Rechte und Pflichten der Parteien, Stimmrechtsverhältnisse, Kontroll- und Informationsrechte, sowie Garantien und Freistellungen zugunsten der Investoren zur Absicherung von Risiken. Das Term Sheet ist somit eine Art Absichtserklärung mit verbindlichen Eckdaten, während der Beteiligungsvertrag die detaillierte und rechtlich bindende Ausgestaltung des Investments und der Zusammenarbeit regelt.

Kurz gesagt, das Term Sheet fungiert als Vorstufe und Grundlage, um Klarheit über die wesentlichen finanziellen und strukturellen Bedingungen zu schaffen, bevor die detaillierten und bindenden Regelungen im Beteiligungsvertrag finalisiert werden.

Wandeldarlehen als flexible Vorstufe

Ein häufig genutztes Instrument in der Frühphase des Unternehmens ist das Wandeldarlehen. Dabei gewährt der Investor dem Start‑up ein Darlehen, das später in Gesellschaftsanteile umgewandelt wird. Die Wandlung erfolgt meist bei Eintritt bestimmter Ereignisse, beispielsweise einer Finanzierungsrunde oder zu einem vordefinierten Stichtag.

Vorteile für Start‑ups:

  • Schnelle Bereitstellung von Kapital
  • Keine sofortige Unternehmensbewertung erforderlich
  • Geringere Transaktionskosten im Vergleich zur klassischen Beteiligung

Die Bedingungen sollten klar definiert werden:

  • Bewertungsrabatt (Discount)
  • Zins- und Laufzeitregelungen
  • Bewertungscap (maximale Umwandlungsbewertung)

Unklare oder asymmetrische Vertragsklauseln können spätere Finanzierungsrunden erschweren oder das Vertrauen neuer Investoren schwächen.

Rechtliche Fallstricke für Wandeldarlehen

  1. Fehlende Transparenz im Cap Table: Unklare Beteiligungsverhältnisse behindern Folgeinvestitionen.
  2. Einseitige Liquidationspräferenzen: Übermäßige Vorzugsrechte können Gründer faktisch enteignen.
  3. Fehlende Regelungen zum Exit: Ohne definierte Szenarien fehlt Planungssicherheit.
  4. Überzogene Kontrollrechte der Investoren: Diese schränken die operative Entscheidungsfreiheit ein.
  5. Formmängel und Beurkundungspflicht: Das OLG Zweibrücken (05.2022 – 8 U 30/19) hatte hierzu eine wegweisende Entscheidung getroffen, wonach die Verpflichtung des Darlehensgebers zur Wandlung in Anteile der notariellen Beglaubigung bedürfe. Fehlt diese, kann das Wandeldarlehen insgesamt als unwirksam gelten, was erhebliche rechtliche Risiken mit sich bringt.
  6. Rangrücktritt: Um eine Überschuldung der Gesellschaft und damit verbundene Insolvenzrisiken zu vermeiden, sollte vertraglich ein Rangrücktritt vereinbart werden. So tritt das Wandeldarlehen im Rang hinter andere Gläubiger zurück.
  7. Risiko der Verwässerung: Ungenaue Regelungen zu Bewertungsrabatt und Bewertungscap können zu einer unerwarteten Verwässerung der Gründeranteile führen.

Vertragsgestaltung: Best Practices

  • Frühzeitige Beratung durch erfahrene Anwälte mit VC‑Know‑how
  • Individuelle Anpassung statt Standardformulierungen
  • Steuerliche Prüfung der Wandlungsmechanismen
  • Dokumentation aller Investorengespräche und Nebenabreden

Vorteile einer professionellen VC Struktur

Eine saubere Vertragsstruktur schafft Rechtssicherheit und Vertrauen:

  • Beschleunigung zukünftiger Finanzierungsrunden
  • Minimierung juristischer Risiken und Konflikte
  • Erhöhung der Attraktivität für strategische Investoren
  • Professionell gestaltete Beteiligungsverträge schaffen den Rahmen für nachhaltiges Wachstum und verhindern, dass Gründer Kontrolle oder Anteile unnötig verlieren.

Zusammenfassung und Ausblick

Die Venture‑Capital‑Finanzierung bietet Start‑ups enorme Chancen, verlangt aber rechtliche Präzision. Beteiligungsvertrag und Wandeldarlehen sollten im Einklang mit der Unternehmensstrategie stehen.

Wer rechtzeitig auf professionelle Strukturierung und transparente Kommunikation setzt, schafft Vertrauen und Wettbewerbsfähigkeit. So entsteht die Basis für langfristige Erfolgsgeschichten – vom Seed‑Investment bis zum Exit.

Für die rechtssichere Vorbereitung Ihrer Finanzierungsrunde unterstützen wir Sie gerne bei Vertragsgestaltung, Investor Relations und Due‑Diligence‑Prozessen. Kontaktieren Sie uns für eine individuelle Beratung.

FAQs zur Venture‑Capital‑Finanzierung für Start‑ups

Venture‑Capital ist Risikokapital, das Investoren in junge, wachstumsorientierte Unternehmen investieren, um von deren Wertsteigerung zu profitieren.

Die wichtigsten Dokumente sind:

  • Term Sheet: Eine vorläufige Absichtserklärung mit den zentralen Bedingungen wie Investitionshöhe, Bewertung, Sonderrechte des Investors.
  • Beteiligungsvertrag / Gesellschaftervereinbarung (Investment and Shareholders‘ Agreement): Regelt die detaillierten rechtlichen Beziehungen zwischen Start-up und Investoren, inklusive Kapitalbeteiligung, Mitspracherechten, Verwässerungsschutz und Exit-Regelungen.

Er definiert Rechte und Pflichten von Gründern und Investoren, etwa zur Kapitalbeteiligung, Entscheidungsbefugnis, Liquidationspräferenz und Exit‑Regelung.

Ein Wandeldarlehen ist ein Darlehen, das später in Unternehmensanteile umgewandelt wird, meist bei einer weiteren Finanzierungsrunde oder zu einem bestimmten Zeitpunkt. Vorteile:

  • Schnelle Kapitalbereitstellung ohne sofortige Unternehmensbewertung.
  • Geringere Transaktionskosten im Vergleich zur direkten Beteiligung.

Wichtig sind klare Bedingungen wie Bewertungsrabatt, Zins- und Laufzeitregelungen und Bewertungscap.

Sie legt fest, in welcher Reihenfolge Investoren und Gründer beim Exit oder bei Liquidation eines Start‑ups ausbezahlt werden. Investoren erhalten dadurch häufig ihr eingesetztes Kapital zuerst zurück.

Besonders riskant sind unklare Anti‑Dilution‑Klauseln, überzogene Kontrollrechte oder Liquidationspräferenzen, die Gründer beim Exit benachteiligen.

Spätestens bei der Erstellung oder Prüfung eines Beteiligungsvertrags oder Wandeldarlehens. Je früher ein rechtssicherer Rahmen geschaffen wird, desto besser sind Verhandlungsposition und Finanzierungschancen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Rechtssicherheit bei Pseudonymisierung

Rechtssicherheit bei Pseudonymisierung
Rechtssicherheit bei Pseudonymisierung

Rechtssicherheit bei Pseudonymisierung

Mit der Veröffentlichung der Leitlinien zur Pseudonymisierung durch den Europäischen Datenschutzausschuss (EDSA) vom 17. Januar 2025 und der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 in der Rechtssache C-413/23 P (EDSB/SRB) wurde der unionsrechtliche Begriff der Pseudonymisierung neu konturiert. Beide Dokumente schließen eine bislang relevante Auslegungslücke: Sie präzisieren, wie Pseudonymisierung technisch und rechtlich einzuordnen ist, welches Schutzniveau sie garantiert und unter welchen Bedingungen pseudonymisierte Daten weiterhin als personenbezogene Daten zu qualifizieren sind.

Was ist Pseudonymisierung und wie funktioniert sie?

Nach Art. 4 Nr. 5 DSGVO bezeichnet Pseudonymisierung eine Verarbeitung personenbezogener Daten, bei der diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die für die Zuordnung erforderlichen Zusatzinformationen müssen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden.

Der EDSA betont in seinen Leitlinien, dass Pseudonymisierung kein einheitliches Verfahren, sondern ein Bündel technischer und organisatorischer Maßnahmen darstellt. Dazu gehören unter anderem Tokenisierung, die Trennung von Identifikations- und Inhaltsdaten sowie kryptographische Verfahren mit abgesichertem Schlüsselmanagement.

Zentral ist die Abgrenzung zur Anonymisierung. Während pseudonymisierte Daten weiterhin personenbezogene Daten darstellen, wird durch Anonymisierung eine Identifizierung dauerhaft und realistisch ausgeschlossen. Pseudonymisierte Daten fallen daher aus Sicht des Verantwortlichen vollständig unter die DSGVO, anonymisierte Daten dagegen nicht.

Der EuGH bestätigt diese Differenzierung ausdrücklich und weist darauf hin, dass bereits inhaltliche Informationen (z. B. persönliche Meinungen oder Wertungen) eine Personenbeziehbarkeit begründen können, selbst wenn formale Identifikatoren entfernt wurden.

Zweck der Pseudonymisierung und Bedeutung für Verantwortliche

Pseudonymisierung dient primär der Risikominimierung. Durch die Trennung der Identifikationsmerkmale vom eigentlichen Datenmaterial wird das Schadenspotenzial bei Verlust oder unbefugtem Zugriff deutlich reduziert. Dies unterstützt die Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 lit. c und lit. f DSGVO (Datenminimierung, Integrität und Vertraulichkeit).

Darüber hinaus entfaltet sie eine Compliance-Funktion für zentrale Pflichten der DSGVO. Sie dient als technische Maßnahme, die eine datensparsame Gestaltung fördert (Art. 25 DSGVO) und als Sicherheitsinstrument (Art. 32 DSGVO).

Pseudonymisierung kann somit eine wirksame Schutzmaßnahme im Sinne der DSGVO darstellen, vorausgesetzt, die technischen und organisatorischen Anforderungen sind ausreichend implementiert.

Daneben kann Pseudonymisierung Rechtmäßigkeitsfragen erleichtern. Durch sie wird die Position des Verantwortlichen bei der Berufung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestärkt, indem sie die Risiken für Betroffene senkt und wirkt sich positiv auf die Prüfung der Zweckvereinbarkeit nach Art. 6 Abs. 4 DSGVO aus, insbesondere bei Forschungsvorhaben, statistischen Analysen oder Weiterverarbeitungen. Der EuGH bestätigte in seiner Rechtsprechung, dass Pseudonymisierung jedoch weiterhin keine Rechtsgrundlage oder das Erfordernis der Transparenz ersetzt.

Rechtliche Einordnung nach EuGH und EDSA

Nach dem Urteil C-413/23 P bleibt für die Qualifikation als personenbezogene Daten entscheidend, ob der Verantwortliche über Mittel verfügt, um eine Person zu identifizieren. Die Perspektive eines Datenempfängers, der selbst keine Re-Identifizierung vornehmen kann, ist rechtlich unerheblich. Daraus resultiert, dass bereits bei Erhebung Informationspflichten nach Art. 13 und 14 DSGVO bestehen und nicht erst im Hinblick auf die Sichtweise eines späteren Dritten. In der Leitlinie werden auch weitere Anforderungen an eine wirksame Pseudonymisierung konkretisiert, etwa eine sichere Schlüsselverwaltung, Zugriffskontrollen und Protokollierung, Schutz gegen unbefugte Rückführung und Risikoanalysen. Die Wirksamkeit der Pseudonymisierung hängt daher im Wesentlichen von der Sicherheitsarchitektur und den tatsächlich implementierten Kontrollmechanismen ab.

Ein weiterer Schwerpunkt der Leitlinien betrifft die Zusammenarbeit zwischen Verantwortlichen, insbesondere zwischen Behörden, die verschiedene pseudonymisierte Datensätze rechtlich verknüpfen müssen. Der EDSA hebt hervor, dass es dabei sinnvoll sein kann, Mechanismen zur Pseudonymisierung gemeinsam zu entwickeln oder auszutauschen sowie zentrale Anlaufstellen für die Koordinierung und das Management von Verstößen einzurichten. Diese Aspekte unterstreichen, dass Pseudonymisierung nicht allein eine technische Disziplin ist, sondern zunehmend eine interinstitutionelle organisatorische Aufgabe darstellt – insbesondere dort, wo mehrere Stellen gemeinsame Verantwortlichkeiten oder parallellaufende Aufsichtszuständigkeiten haben. Die praktische Notwendigkeit einer solchen abgestimmten Zusammenarbeit zeigt sich auch im Zusammenspiel zwischen Datenschutz- und Wettbewerbsbehörden.

Bereits im Urteil vom 4. Juli 2023 (ECLI:EU:C:2023:537 –Meta/Bundeskartellamt) stellte der EuGH klar, dass das Bundeskartellamt zwar nicht als Datenschutzaufsichtsbehörde im Sinne des Art. 58 DSGVO tätig werden darf, jedoch im Rahmen seiner wettbewerbsrechtlichen Ermittlungen die Unvereinbarkeit einer Datenverarbeitung mit der DSGVO feststellen kann, sofern diese Feststellung für die Beurteilung eines Missbrauchs einer marktbeherrschenden Stellung erforderlich ist. Dieser Ansatz wird in einem gesonderten Positionspapier des EDSA nochmals vertieft. Er verdeutlicht, dass Pseudonymisierung und deren rechtliche Bewertung zunehmend an den Schnittstellen unterschiedlicher Regulierungsregime relevant wird und eine koordinierte Behördenpraxis notwendig ist.

Praktische Konsequenzen

Verantwortliche müssen Verfahren, Schlüsselverwaltung, Rollen- und Berechtigungskonzepte sowie Risikoabwägungen verständlich und nachweisbar dokumentieren. Pseudonymisierung ist nur dann rechtssicher, wenn der Verantwortliche den Nachweis der Wirksamkeit erbringen kann. Eine unbefugte Re-Identifizierung oder ein Verlust der Zusatzinformationen stellt eine Verletzung des Schutzes personenbezogener Daten dar und kann Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) auslösen.

Sie dient jedoch auch als geeignetes Schutzinstrument im Rahmen von Art. 44 ff. DSGVO zur Übermittlung von Daten in ein Drittland, ersetzt dabei aber nicht die erforderlichen rechtlichen Garantien, wie Standardvertragsklauseln oder Transfer Impact Assessments.

Pseudonymisierung ist ein zentrales, technisch effektives und juristisch bedeutsames Instrument des Datenschutzes, das die Verarbeitung personenbezogener Daten erleichtert und sicherer gestaltet. Sie wirkt entlastend für Verantwortliche und stärkt die Rechtssicherheit vieler Verarbeitungsvorgänge. Jedoch bleibt der personenbezogene Charakter bei der Pseudonymisierung bestehen, sodass eine sichere Implementierung, sorgfältige Dokumentation und ein kohärentes Datenschutzkonzept erforderlich sind.

Gerne helfen wir Ihnen bei der Erstellung und Implementierung entsprechender rechtssicherer Dokumente.

Kontaktieren Sie uns gerne für eine Beratung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Entgelttransparenz-Richtlinie 2023/970: Was Unternehmen bis 2026 umsetzen müssen

Mann und Frau sitzen auf Geldstücken: Entgelttransparenz 2023/970
Mann und Frau sitzen auf Geldstücken: Entgelttransparenz 2023/970

Entgelttransparenz-Richtlinie 2023/970: Was Unternehmen 2026 umsetzen müssen

Bis spätestens zum 7. Juni 2026 muss die Entgelttransparenz-Richtlinie (RL (EU) 2023/970) in den Mitgliedsstaaten der Europäischen Union umgesetzt werden. Ziel der Richtlinie ist es, die Gender-Pay-Gap bei gleichwertiger Arbeit zu schließen und damit die Chancengleichheit zwischen Männern und Frauen in Unternehmen zu erhöhen.

In Deutschland gibt es zwar bereits seit 2018 das Entgelttransparenzgesetz, dieses genügt aber den Anforderungen der Richtlinie nicht vollständig. Unternehmen sollten sich deshalb nicht darauf ausruhen, dass sie bisher die Kriterien erfüllt haben. Selbst wenn die Richtlinie nicht rechtzeitig umgesetzt werden sollte, könnten Mitarbeitende ihre Rechte unmittelbar aus der Richtlinie geltend machen. Für Unternehmen bedeutet das, dass Anpassungen eher früher als später durchgeführt werden sollten.

Wir haben nachfolgend die wichtigsten Änderungen durch die Richtlinie zusammengefasst.

1. Berichtspflicht

Unternehmen, die mindestens 100 Beschäftigte haben, sind verpflichtet, über geschlechtsspezifische Lohnunterschiede zu berichten. Dabei tritt die Berichtspflicht schrittweise in Kraft: für Unternehmen mit mehr als 150 Beschäftigte ab Juni 2027 und für alle Unternehmen ab 100 Beschäftigte ab Juni 2031.

Bei mehr als 250 Beschäftigten muss jährlich Bericht erstattet werden, bei allen anderen Unternehmen besteht eine dreijährige Berichtspflicht.

Wenn entsprechende Lohnunterschiede bestehen, muss das betreffende Unternehmen diese anhand neutraler Faktoren rechtfertigen. Wenn es dazu nicht in der Lage ist, muss ein Abhilfeverfahren durchgeführt werden.

2. Auskunftsrechte

Die Beschäftigten sind berechtigt, von ihrem Arbeitgeber Auskunft über das Einkommen anderer Beschäftigter sowie über das durchschnittliche Einkommen zu verlangen. Kriterien der Vergleichsgruppen können anhand der Geschlechter oder anhand gleicher oder gleichwertiger Arbeit gebildet werden. Dieses Auskunftsrecht besteht unabhängig von der Größe des Unternehmens.

3. Auskunft für Bewerberinnen und Bewerber

Neu ist auch, dass Bewerberinnen und Bewerber schon vor dem Vorstellungsgespräch Angaben zum Gehalt bzw. zur Gehaltsspanne oder zur Anwendbarkeit eines Tarifvertrages erhalten sollen. Das kann bereits durch die Stellenausschreibung erfolgen. Außerdem dürfen Bewerberinnen und Bewerber nicht mehr nach ihrem früheren Gehalt gefragt werden.

4. Beweislastverlagerung

Weiter wird die Beweislast auf den Arbeitgeber verlagert. Das bedeutet, dass im Falle von Streitigkeiten der Arbeitgeber beweisen muss, dass entweder keine Ungleichheit bezüglich des Gehalts vorliegt oder dass eine solche durch Vorliegen objektiver, neutraler Faktoren gerechtfertigt ist.

5. Sanktionen

Nicht außer Acht zu lassen sind auch die in der Entgelttransparenz-Richtlinie angedrohten Sanktionen. Diese sollen wirksam, verhältnismäßig und abschreckend sein. Dabei sind insbesondere Geldbußen vorgesehen, die auf dem Bruttojahresumsatz oder auf der Gesamtentgeltsumme des jeweiligen Unternehmens beruhen können.

6. Schadensersatz und Entschädigungen

Weiter stehen Beschäftigten Schadensersatz- und Entschädigungsansprüche bei festgestellter Lohnungleichheit zu.  Die Gehaltsdifferenz kann für die vergangenen drei Jahre geltend gemacht werden.  Im Zusammenhang mit der Beweislastumkehr zulasten des Arbeitgebers dürfte es künftig daher häufig zu einer nachträglichen Geltendmachung kommen. Klägerinnen und Klägern soll außerdem Unterstützung bei gerichtlichen Verfahren zur Seite gestellt werden.

Bei vielen Unternehmen dürften auch Unterschiede im Rahmen von sogenannten verdeckten Vergütungen bestehen. Betroffen ist nämlich nicht nur das reine Gehalt, sondern auch individuelle Zulagen, Sonderzahlungen, Leistungsboni, variable Vergütungen, Firmenwagen und andere Sachbezüge, Weiterbildungsbudgets sowie Vorteile wie flexible Arbeitszeiten.

Die Vorgaben der Entgelttransparenz-Richtlinie betreffen zentrale Fragen des Arbeitsrechts und erfordern in vielen Unternehmen Anpassungen an Prozessen, internen Zuständigkeiten sowie die Umsetzung konkreter Transparenz- und Berichtspflichten. Daher raten wir dringend dazu, bereits jetzt die Vergütungsstrukturen zu dokumentieren und Führungskräfte und Beschäftigte zu informieren und vorzubereiten

Sie sind sich unsicher, ob Ihr Unternehmen alle Bedingungen bezüglich der Entgelttransparenz hinreichend erfüllt? Dann setzen Sie sich mit uns in Verbindung. Gerne unterstützen wir Sie bei der Überprüfung und bei den wichtigsten Vorkehrungen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Microsoft Teams erfasst Büro-Anwesenheit: datenschutz- und arbeitsrechtlich fraglich

Mitarbeiter in seinem Büro
Mitarbeiter in seinem Büro

Microsoft Teams erfasst Büro-Anwesenheit: Datenschutz- und Arbeitsrechtsfragen im Fokus

Ab Dezember führt Microsoft Teams eine neue Funktion ein: Die Software kann künftig automatisch erkennen, ob sich Mitarbeitende im Büro aufhalten. Grundlage dafür ist die Verbindung mit dem Unternehmens-WLAN. Sobald diese besteht, wird der Standort als aktueller Arbeitsort angezeigt.

Die Idee dahinter: hybride Arbeitsmodelle sollen einfacher koordiniert werden. Doch die Neuerung stößt nicht überall auf Zustimmung. Datenschutzrechtliche und arbeitsrechtliche Fragen stehen im Raum. Kritiker warnen, dass durch die Funktion ein Überwachungsgefühl entstehen könnte. Die Möglichkeit, Anwesenheit automatisch zu erfassen, könnte außerdem den Druck erhöhen, ins Büro zurückzukehren, obwohl Arbeit im Homeoffice keineswegs mit geringerer Produktivität gleichzusetzen ist.

Datenschutz, Einwilligung und Persönlichkeitsrechte

Die kontinuierliche Standortbestimmung greift in das allgemeine Persönlichkeitsrecht und die informationelle Selbstbestimmung ein. Entscheidend wird daher sein, ob Mitarbeitende freiwillig in die Nutzung einwilligen können. Hier bestehen Zweifel, da die Angst vor möglichen Nachteilen bei einer Verweigerung mitschwingen könnte.

Die Anwesenheitserfassung wird jedoch nicht automatisch aktiviert, sondern muss freigeschaltet werden. Vor der Einführung empfiehlt es sich, die rechtlichen Rahmenbedingungen sorgfältig zu prüfen.

Planen Sie, diese Funktion in Ihrem Unternehmen einzusetzen? Dann nehmen Sie Kontakt zu uns auf. Gerne unterstützen wir Sie dabei, die notwendigen Schritte für eine sichere und rechtskonforme Anwendung vorzubereiten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

BSI-Warnung vor Ransomware: Rechtliche Handlungspflichten für Unternehmen

Hackerangriff mit Ransomware
Hackerangriff mit Ransomware

BSI warnt vor Ransomware: Risiken für Unternehmen und Schutzmaßnahmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt zunehmend vor Cyberattacken. Sehr beliebt ist hierbei die Verwendung von Ransomware. Dadurch werden Computersysteme blockiert oder Betriebs- und Nutzerdaten verschlüsselt. Um diese Systeme wieder nutzen zu können, wird ein Lösegeld (engl. Ransom) verlangt. Meist soll das Lösegeld in digitaler Währung gezahlt werden, so dass eine Weiterverfolgung nahezu ausgeschlossen ist. Besonders tückisch ist, dass betroffene Unternehmen trotz Zahlung keine Garantie dafür haben, dass die Systeme oder Daten wieder freigegeben werden. Das BSI empfiehlt daher, im Falle eines Angriffs unverzüglich bei der Polizei Anzeige zu erstatten. Vorab können Sicherheitskopien angefertigt werden, damit die gesperrten Daten wieder rekonstruiert werden können.

Dennoch ist es unerlässlich, Sicherheitsmaßnahmen auf dem neusten Stand zu halten und Daten hinreichend zu schützen. Wenn personenbezogene Daten betroffen sind, besteht trotz Freigabe nach Zahlung die Gefahr, dass die Daten durch die Angreifer weiterverkauft werden. Das bedeutet, dass vor allem Unternehmen, die ein hohes Kundenaufkommen haben und deshalb verstärkt personenbezogene Daten verarbeiten, im Fokus von Angreifern liegen. Wir empfehlen daher, ein besonderes Augenmerk auf Cybersicherheit zu legen.

Die zunehmenden Ransomware-Angriffe verdeutlichen, wie wichtig klare gesetzliche Vorgaben für Cybersicherheit geworden sind. In einem anderen Beitrag erläutern wir, welche Pflichten und praktischen Sicherheitsmaßnahmen sich für Unternehmen aus der NIS-2-Richtlinie und dem BSIG-E ergeben.

Gerne beraten wir Sie im Hinblick auf die rechtlichen Anforderungen, die in Sachen Cybersicherheit an Unternehmen gestellt werden. Kontaktieren Sie uns hierzu.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

GEMA gegen OpenAI

OpenAI App: GEMA klagt
OpenAI App: GEMA klagt

GEMA gegen OpenAI

Das Landgericht München I (Az. 42 O 14139/24) hat am 11.November 2025 entschieden, dass OpenAI mit dem KI-Chatbot ChatGPT die Urheberrechte von Liedtextern verletzt hat. Durch die Memorisierung in den Sprachmodellen und die Wiedergabe von Liedtexten in Outputs des Chatbot liegen dem Gericht zufolge Eingriffe in die urheberrechtlichen Verwertungsrechte vor.

Wiedergabe von geschützten Songtexten

Hintergrund der Klage der GEMA war die Speicherung von geschützten Songtexten im KI-Modell, die auf Nutzeranfrage originalgetreu wiedergegeben werden konnten. Konkret betrifft das Urteil die Liedtexte von neun bekannten deutschen Urheberinnen und Urhebern, darunter „Atemlos“ von Kristina Bach oder „Wie schön, dass du geboren bist“ von Rolf Zuckowski.

OpenAI bestritt die Urheberrechtsverletzung mit dem Hinweis, KI-Modelle speicherten keine Texte, sondern nur statistische Muster. Die Wiedergabe der Texte sei auf die Eingaben der jeweiligen Nutzer als Hersteller zurückzuführen. Daneben berief sich OpenAI auf die Schranke des Text- und Data-Mining (§ 44b UrhG).

Durch KI-Training entstehen Vervielfältigungen

Das Gericht sieht Memorisierung als urheberrechtlich relevante Vervielfältigung an. Durch diese sind Texte nämlich vollständig in den Modellparametern enthalten und werden nicht nur statistisch verarbeitet, was eine Verkörperung und damit eine Vervielfältigung im Sinne von § 16 UrhG darstelle.

Daneben erfolge durch das KI-Training nicht nur eine Informationsauswertung, sondern eine dauerhafte Vervielfältigung der Werke. Eine solche sei auch nicht vom Text und Data Mining des § 44b UrhG erfasst. Auch der Einwand, es handle sich um ein unwesentliches Beiwerk nach § 57 UrhG wurde mangels Hauptwerks durch das Gericht abgelehnt. An einer Einwilligung der Urheber fehlte es ebenfalls.

Künftige Urheberrechtsverletzungen durch KI?

Das Urteil ist noch nicht rechtskräftig, OpenAI kündigte bereits an in Berufung gehen zu wollen. Als erstes europäisches Urteil zum KI-Training und Urheberrechtsverletzungen hat dieses Urteil zwar Signalwirkung, mit großer Veränderung ist zunächst aber nicht zu rechnen. In den USA bestehen bereits eine Vielzahl solcher Verfahren, die meist mit Vergleichen enden. An der Vorgehensweise der KI-Unternehmen konnten sie jedoch bislang keine Veränderungen bewirken. Bundesjustizministerin Hubig forderte nun mögliche europarechtliche Gesetzesanpassungen, um den Urheberrechtsschutz zu verbessern, falls KI-Unternehmen weiterhin keine Lizenzen einholen.

Benötigen Sie rechtliche Beratung in Sachen KI? Zögern Sie nicht uns zu kontaktieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten

Data Act Vergleich DSGVO
Data Act Vergleich DSGVO

Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten

Für Unternehmen, die in der EU vernetzte Dienste oder Produkte erbringen, gilt seit dem 12. September 2025 der EU Data Act (DA) (Verordnung (EU) 2023/2854).Das Durchführungsgesetz zum Data Act wurde am 29.10.2025 offiziell vom Bundeskabinett verabschiedet („Gesetz zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG)“). Ausgenommen von den Bestimmungen sind Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz unter 10 Mio. Euro.

Der Data Act ist der letzte Baustein in der europäischen Datenstrategie (wir berichteten bereits über den Data Governance Act (DGA)) und soll einen umfassenden Rechtsrahmen schaffen, um den Zugang zu und die Nutzung von Daten unionsweit zu harmonisieren.

 

Anwendungsbereich

Der europäische Gesetzgeber erkennt mit dem Data Act an, dass sowohl personenbezogene als auch nicht personenbezogene Daten wie etwa industrielle Daten, (vgl. Art. 1 Abs. 2 DA) ein wesentlicher Baustein unserer modernen Gesellschaft sind, den Daten sind überall und wachsen in einem beispiellosen Tempo.

Der Data Act bringt verschiedene Regelungsansätze zusammen. Ziel ist es, bislang ungenutzte Datenbestände zu erschließen. Wichtig zu beachten ist, dass der Data Act jedoch lediglich auf Produktdaten und verbundene Dienstdaten von vernetzten Produkten Anwendung findet.

Als vernetzte Produkte werden Gegenstände bezeichnet, die Daten über ihre Nutzungsumgebung und ihre Nutzung selbst erfassen und die diese Informationen etwa über eine im Gerät vorhandene Schnittstelle übermitteln können (Art. 2 Nr. 5 DA).

Verbundene Dienste (Art. 2 Nr. 6 DA) ergänzen vernetzte Produkte und erweitern deren Funktionalität. Dabei handelt es sich um digitale Dienste, die eine oder mehrere Funktionen des vernetzten Produkts ermöglichen, indem sie beispielsweise durch Befehle auf dessen Aktivität oder Verhalten einwirken.

Gemeint sind damit etwa Internet of Things-Geräte (IoT) in Bereichen wie Consumer Electronics, Smart Home oder Mobilität. Aber auch virtuelle Assistenten, wie etwa Sprachassistenten oder KI-basierte Steuerungssysteme sind vom Anwendungsbereich des Data Acts erfasst, soweit diese mit einem vernetzten Produkt oder verbundenen Dienst interagieren (vgl. Art. 1 Abs. 4 DA).

Personenbezogene Daten vs. industrielle Daten

-Im Rahmen des Data Acts ist daher eine Abgrenzung zwischen personenbezogenen Daten und industriellen Daten von zentraler Bedeutung. Diese Abgrenzung bildet die Grundlage für den rechtlichen Rahmen.

Personenbezogene Daten sind gem. Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also Daten, die Rückschlüsse auf eine Person ermöglichen, wie z.B. Namen, Kontaktdaten, Standortdaten oder auch biometrische Merkmale.

Industrielle Daten hingegen sind typischerweise Messwerte, Sensordaten, Produktionsdaten oder sonstige Daten, die nicht direkt oder indirekt auf eine natürliche Person zurückgeführt werden können. Sie sind typischerweise nicht personenbezogen und fallen daher grundsätzlich nicht unter die Anforderungen der DS-GVO.

Eine Ausnahme hiervon bilden die hybride Datenätze.

Als hybride Datensätze werden Daten bezeichnet, die sowohl personenbezogene Informationen als auch nicht-personenbezogene Daten kombinieren.

Solche Datensätze enthalten regelmäßig Merkmale, die eine Identifizierung einer betroffenen Person ermöglichen, aber gleichzeitig auch technische, betriebliche oder anonyme Daten umfassen können.

Ein Beispiel hierfür sind die Protokolldaten einer Maschine, in denen regelmäßig technische Daten wie die Betriebszeiten gespeichert werden. Darüber hinaus werden unter Umständen auch mitarbeiterbezogene Daten wie der Name des Bedieners oder Login-Informationen gespeichert.

In solchen Fällen verlangt die DS-GVO erhöhte Schutzmaßnahmen sowie eine differenzierte Behandlung der Daten entsprechend ihrem Inhalt.

Eine eindeutige Definition der Begriffe ermöglicht es Unternehmen und Nutzern, ihre Rechte und Pflichten besser zu verstehen und dies auch im Vertragswerk angemessen zu berücksichtigen. Nur so kann sowohl der Schutz der Privatsphäre als auch die wirtschaftliche Nutzbarkeit von Daten optimal und rechtlich sicher gewährleistet werden.

 

DS-GVO vs. Data Act

Bislang basierte die europäische Datenpolitik größtenteils auf den Prinzipien der DS-GVO und den dort bestehenden Grundsätzen. Die DS-GVO stellt den maßgeblichen Rechtsrahmen für den Schutz von personenbezogenen Daten, indem sie regelt, wie personenbezogene Daten verarbeitet, gespeichert und genutzt werden dürfen. Darüber hinaus gewährt sie den betroffenen Personen umfassende Rechte, wie das Recht auf Auskunft oder Löschung. Der Data Act hingegen zielt darauf ab, einen harmonisierten Rahmen zu schaffen, in dem festgelegt wird, wer und unter welchen Bedingungen bzw. auf welcher Grundlage berechtigt ist auf die Daten zuzugreifen, die durch vernetzte Produkte oder verbundene Dienste erzeugt werden. Zudem soll der Data Act Erleichterung schaffen beim Wechsel zwischen Datenverarbeitungsdiensten.

Sollte es zu Widersprüchen kommen, hat die DS-GVO gemäß Art. 1 Abs. 5 DA Vorrang. Das bedeutet für die Praxis, dass, sofern ein Datensatz personenbezogene Daten enthält, die Regelungen der DS-GVO gelten und für die Herausgabe ein Erlaubnistatbestand erfüllt sein muss. Die Grenze für die begriffliche Einordnung, wann bereits ein Bezug zu einer Person vorliegt, ist niedrig. So soll es regelmäßig ausreichen, wenn der Dateninhaber (vgl. Art. 2 Nr. 13 DA) die Möglichkeit hat, die Informationen derart zusammenzuführen, dass eine betroffene Person identifiziert werden kann. Somit kann die Datenherausgabe auf Basis des DA verweigert werden, wenn kein Erlaubnistatbestand, wie etwa eine Einwilligung (Art. 6 Abs. 1 S. lit. a) DS-GVO), vorliegt.


Vertragliche Regelungen

Der Data Act schafft neue, verbindliche Spielregeln für den Zugang zu und die Nutzung von nicht- personenbezogenen Daten. Nutzer erhalten z.B. einen gesetzlichen Anspruch darauf, dass ihnen die Daten, die bei der Nutzung entstehen, zugänglich gemacht werden müssen.

Die Datenzugangsrechte machen Daten handelbar und verankern erstmals grundlegende Ausgestaltungsvorgaben in Verträgen zwischen Dateninhabern und Nutzern.

Ferner regelt der Data Act, dass der Nutzer die Kontrolle über die durch seine Nutzung entstehenden Daten behält. Dadurch wird die Verfügungsmacht des Dateninhabers, der die Daten tatsächlich kontrolliert, eingeschränkt. In der Praxis bedeutet das, dass zwar kein ausschließliches Recht des Nutzers an den Daten entsteht, der Nutzer jedoch um Erlaubnis gefragt werden muss.

Dies hat zur Folge, dass Dateninhaber (Unternehmen) ihre Verträge mit Kunden anpassen müssen. Künftig müssen Kauf-, Lizenz- oder sonstige Verträge zwischen Dateninhabern und Nutzern über die Nutzung der „Produkte“ zwingend auch Aussagen zur Datennutzung durch den Dateninhaber beinhalten. Wie diese ausgestaltet sind, unterliegt den allgemeinen Grenzen der Vertragsfreiheit.

Für personenbezogene Daten gilt weiterhin ausschließlich die DS-GVO. Das gilt auch für hybride Daten. Für die Praxis bedeutet das: Ein Hersteller von vernetzten Diensten oder Produkten muss für den Zugriff auf industrielle Daten den Data Act beachten, während für die personenbezogenen Daten der Nutzer die DS-GVO gilt. Das Vertragswerk muss also beide Regelwerke berücksichtigen und entsprechend die Pflichten und Grenzen definieren.

Fazit und Ausblick

Mit dem Data Act hat die EU ein umfassendes Regelwerk geschaffen, das den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im IoT, europaweit harmonisiert. Ergänzt wird der Data Act durch den Data Governance Act, der das Unionsdatenrecht weiter verstärkt.

Eine zentrale Herausforderung ist die Abgrenzung zur DS-GVO, dessen Vorrang bei Kollisionsfällen gesetzlich verankert ist. Unternehmen müssen sich daher mit der Frage auseinandersetzen, ob durch technische oder vertragliche Gestaltungen personenbezogene Daten zu Unrecht als nicht-personenbezogen behandelt werden, um den Zugang nach dem Data Act zu umgehen. Die DS-GVO verbietet eine solche missbräuchliche „Flucht“ durch den Grundsatz der Datensparsamkeit. Dennoch birgt die weite Definition personenbezogener Daten ein Risiko für komplexe Auslegungsfragen, die die Rechtspraxis künftig klären wird.

Unternehmen sind deshalb gefordert, Datenarten sorgfältig zu kategorisieren und ihre Vertragswerke zwischen Data Act und DS-GVO präzise abzustimmen, um Rechtskonflikte und Haftungsrisiken zu vermeiden. Der Data Act bringt neue Nutzerrechte und einen fairen, transparenten Datenzugang, die die europäische Datenwirtschaft stärken und Innovationen fördern. Zugleich bleibt der Datenschutz eine unverrückbare Leitlinie der EU-Datenpolitik, die in der Praxis eine ausgewogene Balance verlangt.

Unsere Handlungsempfehlungen:

  • Klare Abgrenzung zwischen personenbezogenen Daten und industriellen Daten.
  • Überprüfung und Überarbeitung der bestehenden Vertragswerke
  • Dokumentation und Erfüllung der Informationspflichten sowie der Datenschutzrechtlichen Pflichten (Nachweis der Einwilligung)
  • Überarbeitung der technischen und organisatorischen Maßnahmen, um sowohl den „Data-Access-by-Design“-Grundsatz als auch die datenschutzrechtlichen Grundsätze zu erfüllen. 

Gerne unterstützen wir Sie dabei, diese komplexen Anforderungen zu erfüllen.

Nehmen Sie Kontakt zu uns auf und lassen Sie sich jetzt von unseren Experten beraten, wie auch Ihr Unternehmen rechtssicher die Chancen des Data Act nutzen kann.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

E-Rechnungspflicht B2B 2025: Was Unternehmen jetzt für 2027 vorbereiten müssen

Elektronische Rechnung wird am PC erstellt
Elektronische Rechnung wird am PC erstellt

E-Rechnungspflicht B2B 2025: Was Unternehmen jetzt für 2027 vorbereiten müssen

Rückblick auf die E-Rechnungspflicht (Januar 2025)

Seit dem 1. Januar 2025 gilt in Deutschland die Empfangspflicht
für elektronische Rechnungen im B2B-Bereich.

Damit begann die schrittweise Umsetzung einer der größten digitalen Reformen des deutschen Rechnungswesens. Nahezu alle Unternehmen – von kleinen GmbHs bis zu internationalen Konzernen – sind verpflichtet, strukturierte elektronische Rechnungen empfangen und verarbeiten zu können.

Der Start verlief nicht ohne Herausforderungen, da viele Unternehmen kurzfristig ihre ERP-Systeme anpassen, E-Mail-Prozesse ändern und Mitarbeitende schulen mussten.

Mittlerweile zeigt sich, dass die meisten Unternehmen empfangsseitig vorbereitet sind, aber längst nicht alle erfüllen schon die weitergehenden Anforderungen für die kommenden Jahre.

Der aktuelle Stand: Was gilt bereits?

Seit 2025 gilt verbindlich:

  • Empfangspflicht ab 2025: Seit dem 1. Januar 2025 ist jedes inländische B2B-Unternehmen gesetzlich verpflichtet, strukturierte elektronische Rechnungen zu empfangen und zu verarbeiten.
  • Papier- und PDF-Rechnungen (Versand): Diese sind im B2B-Bereich nicht sofort vollständig unzulässig. Es gibt Übergangsfristen für den Versand:
    • Bis zum 31. Dezember 2026 dürfen Papierrechnungen und andere elektronische Rechnungen (wie PDFs) weiterhin versendet werden, vorausgesetzt, der Empfänger stimmt zu.
    • Für Unternehmen mit einem Vorjahresumsatz von unter 800.000 Euro gilt diese Übergangsfrist sogar bis Ende 2027.
    • Ab dem 1. Januar 2028 müssen dann alle B2B-Umsätze zwingend als E-Rechnung erstellt und versendet werden.
  • Rechtskonforme Formate: Nur strukturierte elektronische Rechnungen, die der Europäischen Norm EN 16931 entsprechen, gelten als rechtskonforme E-Rechnungen im Sinne der neuen Regelung.
  • Zulässige Formate: XRechnung und ZUGFeRD (ab Version 2.0, nicht nur 2.1.1) sind die gängigsten und zulässigen Formate, da sie die Anforderungen der EN 16931 erfüllen. Die bloße Zusendung einer PDF-Rechnung ohne eingebettete strukturierte Daten (XML) ist keine E-Rechnung im gesetzlichen Sinne.

Damit ist der erste Schritt der Digitalisierung erfolgreich umgesetzt, doch der nächste folgt bereits in wenigen Jahren.

Die nächsten Fristen der Versandpflicht bis 2027/2028

Während Unternehmen seit Anfang 2025 E-Rechnungen empfangen müssen, folgt ab 2027 die Pflicht zur Ausstellung (Versand) elektronischer Rechnungen.

Die Umsetzung erfolgt gestaffelt nach Unternehmensgröße und Transaktionsart.
Spätestens ab dem 1. Januar 2028 dürfen keine papierbasierten oder unstrukturierten Rechnungen (z. B. PDFs) mehr versendet werden.

Übergangsregelungen im Überblick

Zeitraum Regelung Betroffene Unternehmen
2025–2026 Empfangspflicht aktiv, Versand freiwillig Alle Unternehmen
Ab 2027 Verpflichtender Versand strukturierter E-Rechnungen (große Unternehmen zuerst) Unternehmen mit hohem Rechnungsvolumen
Ab 2028 Vollständige Umstellungspflicht für alle B2B-Unternehmen Alle steuerpflichtigen Unternehmen in Deutschland

Technische Formate und Praxisprobleme

Nach wie vor gelten XRechnung und ZUGFeRD (ab 2.1.1) als die beiden zulässigen Formate. Doch in der Praxis zeigen sich Unterschiede:

Merkmal XRechnung ZUGFeRD 2.1.1+
Struktur Reines XML Hybrid (PDF + XML)
Vorteile Standard der öffentlichen Hand, hohe Datenkonsistenz Lesbar für Menschen, kompatibel mit vielen ERP-Systemen
Nachteile Keine visuelle Darstellung Etwas komplexere Integration
Empfehlung Öffentliche Aufträge, große Unternehmen Mittelstand, gemischte Systeme

Viele Unternehmen setzen aktuell auf ZUGFeRD, um sowohl rechtssicher als auch pragmatisch zu arbeiten. Wichtig bleibt jedoch, dass das XML-Datenmodell vollständig den EU-Anforderungen entsprechen muss.

Typische Compliance-Fehler nach Einführung der Pflicht

Im Laufe des Jahres 2025 haben sich bestimmte Musterfehler herauskristallisiert, die Unternehmen nun dringend vermeiden sollten:

  1. Verwechslung von PDF und E-Rechnung: viele Systeme erzeugen weiterhin PDFs statt strukturierter Rechnungen.
  2. Fehlende Archivierungspflichten: elektronische Rechnungen müssen revisionssicher gespeichert werden.
  3. Unvollständige Stammdatenpflege: ohne korrekte USt-IDs oder Firmenadressen sind Rechnungen ungültig.
  4. Fehlerhafte Formatversionen: nur aktuelle Versionen (ZUGFeRD ≥ 2.1.1, XRechnung ≥ 2.3) sind zugelassen.
  5. Unzureichende Compliance-Dokumentation: Finanzprüfungen verlangen Nachweise über die Systemkonformität.

Handlungsempfehlungen für 2026

Das Jahr 2026 ist das entscheidende Übergangsjahr, um sich auf die Versandpflicht vorzubereiten. Unternehmen sollten jetzt:

  • Rechnungsversandprozesse prüfen und automatisieren,
  • Lieferanten- und Kundenvereinbarungen anpassen,
  • Vertragsklauseln zur Rechnungsstellung aktualisieren,
  • Testläufe mit XRechnung und ZUGFeRD starten,
  • und eine Compliance-Auditierung vornehmen lassen.

Gerade für mittelständische Unternehmen bietet sich 2026 an, um frühzeitig Rechtssicherheit zu schaffen, bevor die Pflicht zur Ausstellung verbindlich wird.

Jetzt Prozesse optimieren

Die E-Rechnungspflicht B2B hat Deutschland im Jahr 2025 digital transformiert – aber der Weg ist noch nicht zu Ende.
Mit den nächsten Stufen 2027 und 2028 rückt die vollständige elektronische Rechnungsstellung näher.
Unternehmen, die jetzt ihre Systeme prüfen und rechtzeitig optimieren, vermeiden nicht nur Sanktionen, sondern schaffen auch Effizienz- und Automatisierungsvorteile.

Unsere Kanzlei ist auf IT-Recht und Datenschutzrecht spezialisiert und berät Unternehmen von der technischen Einführung bis zur datenschutzkonformen Abwicklung bei der rechtssicheren Umsetzung der E-Rechnungspflicht. Kontaktieren Sie uns gerne für eine individuelle Beratung.

FAQ: Häufige Fragen zur E-Rechnungspflicht B2B

Noch nicht verpflichtend. Die Versandpflicht beginnt gestaffelt ab 2027, spätestens 2028 für alle.

Bis Ende 2026 ja, sofern der Empfänger zustimmt. Ab 2027 nicht mehr zulässig.

Nur strukturierte Formate nach EU-Norm (z. B. XRechnung, ZUGFeRD ≥ 2.1.1).

Es drohen steuerliche Nachteile, Bußgelder und Verlust des Vorsteuerabzugs.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Die Zukunft des Cookie-Banners

Cookie-Banner
Cookie-Banner

Die Zukunft des Cookie-Banners

„Ablehnen“, „Nur Auswahl erlauben“ oder „Alle Cookies zulassen“. Egal, welche Webseite man besuchen möchte, bevor man überhaupt zu ihr kommt, muss man sich mit den Cookie-Einstellungen auseinandersetzen. Die EU-Kommission möchte den Cookie-Banner, der uns um unsere Auswahl bittet, in seiner jetzigen Form mit dem Ziel der vereinfachten Nutzung von Webseiten abschaffen.

Bisher musste einer Verwendung von Cookies immer aktiv zugestimmt werden. Nur technisch notwendige Cookies, d.h. diejenigen, die für die Nutzung der Seite unverzichtbar sind, dürfen immer verwendet werden.

Um den Banner möglichst schnell schließen zu können, lassen die meisten Nutzerinnen und Nutzer einfach alle Cookies zu, ohne sich mit der Bedeutung tatsächlich auseinandergesetzt zu haben. Damit wird Zweck der Einführung des Cookie-Banners, nämlich ein transparenterer Umgang mit den eigenen Daten, konterkariert.

Zentrale Steuerung der Präferenzen

Die Kommission möchte die Handhabung jetzt deutlich vereinfachen, indem die Präferenzen zentral gesteuert werden sollen. Das soll beispielsweise über die Browser-Einstellungen gemacht werden können.

Außerdem sollen Cookies, die gar keine personenbezogenen Daten betreffen, wie beispielsweise Statistik-Cookies, gänzlich von der Einwilligungspflicht ausgenommen werden.

Ähnliche Erwartungen gab es übrigens bereits mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), als vielfach vermutet wurde, dass Cookie-Banner dadurch überflüssig würden. Wie unsere Kanzlei bereits damals in einem Beitrag erläutert hat, blieb die erhoffte Vereinfachung jedoch aus.

Implementierung der Cookie-Richtlinien in die Datenschutz-Grundverordnung

Möglich erscheint auch eine Integration der Cookie-Richtlinien in die Datenschutz-Grundverordnung. Diese verfolgt einen flexibleren Ansatz, der sich an den tatsächlich bestehenden Gefahren im Hinblick auf die Verarbeitung personenbezogener Daten ausrichtet.

Insgesamt soll Bürokratie abgebaut werden, jedoch gibt es auch einige kritische Stimmen.

Kritik: Umgehung des Kernproblems

Überwiegend wird kritisiert, dass auch die Abschaffung des Cookie-Banners nicht das Kernproblem, nämlich die Online-Überwachung löse. Zwar sei der Besuch von Webseiten dann nutzerfreundlicher, aber auf personenbezogenen Daten basierte Werbungen werde dadurch nicht verhindert. Der Schutz der Privatsphäre von Nutzerinnen und Nutzern müsse besser gewährleistet sein, was eine viel umfassendere Reform erfordere.

Ob sich Nutzerinnen und Nutzer tatsächlich ausführlicher mit Cookie-Bestimmungen auseinandersetzen werden, nur weil sie die Verwendung zentral steuern können, bleibt abzuwarten.

Vielleicht folgen demnächst weitere Änderungsvorschläge, welche die noch bestehenden kritischen Stimmen berücksichtigen. Neuigkeiten über die Abschaffung des Cookie-Banners erfahren Sie bei uns!

Unsere Kanzlei ist spezialisiert auf IT-Recht und Datenschutzrecht. Kontaktieren Sie uns für eine individuelle Beratung zu Ihrer Website-Compliance.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Die wichtigsten Pflichten und Cyber-Sicherheitsanforderungen für Unternehmen nach der NIS-2-Richtlinie und dem BSIG-E

NIS-2 und BSIG-E: Neue Sicherheitspflichten für Unternehmen
NIS-2 und BSIG-E: Neue Sicherheitspflichten für Unternehmen

Die wichtigsten Pflichten und Cyber-Sicherheitsanforderungen für Unternehmen nach der NIS-2-Richtlinie und dem BSIG-E

In früheren Zeiten waren größere Ausfälle wichtiger Infrastruktur eher theoretischer Natur oder dienten, wie bspw. in „Stirb Langsam 4.0“, als Plot für unterhaltsame Actionfilme. Der große Stromausfall, zu welchem es am 28. April 2025 auf der Iberischen Halbinsel kam, hat gezeigt, dass die dunklen Fantasien von Drehbuchautoren und die Realität heute im Ernstfall nicht weit auseinanderliegen. 

Nachdem an jenem Tag kurz nach Mittag innerhalb kürzester Zeit das Stromnetz Spaniens und Portugals weitgehend kollabiert war, kamen auf der gesamten Halbinsel Züge und Metros zum Stillstand, Verkehrsampeln und -leitsysteme fielen aus, Internet, Telefon und Mobilfunk stellten die Arbeit ebenso ein wie die Kühlung und Bezahl-Systeme in Supermärkten. Auch Abheben von Bargeld an den Geldautomaten der Banken war nicht mehr möglich. Aufgrund des Stromausfalls funktionierten in den Haushalten weder Licht noch elektrische Geräte für Raumklima, Fernsehen oder Radio. Von Strom angetriebene Wasser- und Abwasseranlagen waren ebenso beeinträchtigt wie Krankenhäuser, welche nur durch ggf. vorhandene Notstromaggregate ihre Funktion in beschränktem Umfang und für kurze Zeit weiter aufrechterhalten konnten. 

Am Ende waren 60 Millionen Menschen direkt oder indirekt von diesem, mehrere Stunden andauernden Vorfall betroffen. Es handelte sich nach offiziellen Angaben nicht um die Folgen eines Cyberangriffs, bei welchem Netz- oder Informationssysteme attackiert werden. 

Allerdings tragen auch solche ein erhebliches Schadenspotential in sich, wie aktuellere Vorfälle belegen. So musste der Landkreis Anhalt-Bitterfeld bspw. im Jahr 2021 den Katastrophenfall ausrufen, weil die IT-Infrastruktur des Landkreises durch einen mit Ransomware durchgeführten Hackerangriff nahezu vollständig lahmgelegt worden war. Der Landkreis konnte hierdurch seine gesetzlichen Aufgaben nicht erfüllen, bspw. also keine Sozial- und Unterhaltszahlungen leisten. Dutzende Gigabyte an wichtigen, teils sensiblen personenbezogenen Daten flossen während des Angriffs ab und Mengen an wichtigen Daten gingen unrettbar verloren. Die Wiederherstellung der Systeme, soweit überhaupt möglich, dauerte Monate und kostete Millionen.

Verwaltungen, öffentliche und private Unternehmen oder Einrichtungen, wie diese im Jargon von NIS-2 heißen, werden immer häufiger Ziel solcher Cyberattacken, welche die Informations- und Netztechnik der jeweiligen Einrichtung zum Ziel haben. Diese können erhebliche Folgen für die Einrichtungen selbst, aber auch für von den Einrichtungen Abhängige haben. Selbst ein Todesfall wird einem Hackerangriff mittlerweile nachgesagt. Nachdem Ransomware die IT der Düsseldorfer Uniklinik nahezu vollständig lahmgelegt hatte, konnte auch die Notaufnahme nicht mehr betrieben werden. Deshalb musste eine Patientin im kritischen Zustand in ein weiter entfernt gelegenes Krankenhaus transportiert werden, wo sie – so die Annahme – wegen des verspäteten Behandlungsbeginns verstarb.

Aktuelle Rechtslage

Vor diesem Hintergrund und mit diesen Aussichten hat die EU dem Problembereich „Cybersecurity“, zu Deutsch „Cybersicherheit“, eine ganze Normenfamilie gewidmet. Jeweils mit unterschiedlichem Fokus verfolgen diese Rechtsakte das Ziel, die Resilienz wesentlicher Infrastruktur gegenüber bestehenden Risiken zu erhöhen und die Folgen eingetretener Vorfälle zu verringern.

NIS-2-Richtlinie

Die bekannteste Richtlinie dürfte dabei die Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, besser bekannt als NIS-2, sein.

Ihre große Beachtung dürfte daher rühren, dass sie, anders als bspw. die lediglich den Finanzsektor betreffende Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder kurz DORA), allein in Deutschland ca. 30.000 Einrichtungen in fast 20 für das Funktionieren unserer modernen Gesellschaften wichtigen Sektoren betrifft. Damit ist NIS-2 wesentlich breiter angelegt als die Vorgängerrichtlinie NIS-1.

Während in deren Anwendungsbereich Einrichtungen fielen, die in den sieben Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung und Digitale Infrastruktur Dienste bereitstellten, welche für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich sind, nimmt die NIS-2-Richtlinie nunmehr eine Vielzahl von Einrichtungen aus den Sektoren

  • Energie,
  • Verkehr,
  • Bankwesen,
  • Finanzmarktinfrastrukturen,
  • Gesundheitswesen,
  • Trinkwasser,
  • Abwasser,
  • Digitale Infrastruktur,
  • Verwaltung von IKT-Diensten,
  • öffentliche Verwaltung,
  • Weltraum,
  • Post- und Kurierdienste,
  • Abfallbewirtschaftung,
  • Produktion,
  • Herstellung und Handel mit chemischen Stoffen,
  • Produktion,
  • Verarbeitung und Vertrieb von Lebensmitteln,
  • Verarbeitendes Gewerbe/Herstellung von Waren,
  • Anbieter digitaler Dienste, Forschung)

in die Pflicht. Unabhängig von ihrer Größe unterliegen dabei zumindest

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen,
  • Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten,
  • Anbieter von Vertrauensdiensten,
  • Namenregister der Domäne oberster Stufe,
  • Anbieter von Domänennamensystem-Diensten, sowie
  • Anbieter von Domänennamenregistrierungsdiensten

den Verpflichtungen der NIS-2 Richtlinie. Dies leuchtet insofern ein, als diese Dienste das Rückgrat unserer modernen Gesellschaften bilden, in welchen ohne Informationsverarbeitung (Server, Computer, Smartphones, Apps, E-Mails) und -übermittlung von Informationen durch Netze (insbesondere natürlich über das Internet) nichts mehr läuft. 

In diesen Bereichen haben damit ggf. auch Kleinstunternehmen durch NIS-2 aufgegebene Pflichten zu erfüllen. Im Übrigen sieht die NIS-2-Richtlinie jedoch einen sogenannten Size-Cap vor, durch welchen Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz bzw. einer Jahresbilanz, welche 10 Mio. EUR nicht übersteigen, aus dem Anwendungsbereich der Richtlinie ausgenommen werden.

BSIG-E im NIS2UmsuCG

Als Richtlinie bedarf NIS-2 einer Umsetzung durch die nationalen Gesetzgeber. Diese war von den Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 gefordert. Deutschland ist (Stand Ende Oktober 2025) mit der Umsetzung in Verzug. Denn der zur Umsetzung der Richtlinie in das Gesetzgebungsverfahren eingebrachte Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (kurz einfach nur NIS2UmsuCG) ist auch in seiner letzten Iteration vom 25.7.2025 bisher nicht förmlich als Gesetz verabschiedet worden. 

Bei dem Entwurf handelt es sich um ein sogenanntes Artikelgesetz, mit welchem der Gesetzgeber das deutsche Recht durch eine Änderung von über 20 Gesetzen in Einklang mit den Anforderungen von NIS-2 bringen möchte. Ob dies glücken wird, wird die Zukunft zeigen. In einzelnen Punkten weicht der deutsche Gesetzgeber jedenfalls von den durch NIS-2 gemachten Vorgaben ab, so dass eine zumindest partielle Europarechtswidrigkeit im Raum steht. Dies betrifft leider insbesondere die konkrete Umsetzung des Size-Caps. Hierdurch könnte Einrichtungen in bestimmten Konstellationen die wichtige Beurteilung schwerfallen, ob sie den Verpflichtungen von NIS-2 unterworfen sind oder nicht.

Den weitaus größten Teil des Entwurfs des Umsetzungsgesetzes nimmt die vorgeschlagene Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (kurz BSI-Gesetz bzw. BSIG) ein (BSIG-E).

Wesentliche Pflichten in NIS-2 und BSIG-E

Im zukünftigen BSIG werden die wesentlichen Pflichten geregelt sein, welche die NIS-2-Richtlinie den in ihren Anwendungsbereich fallenden Einrichtungen auferlegt. Diese sind

  • Risikomanagement,
  • Melde- bzw. Berichtspflichten sowie
  • die in der NIS-2-Richtlinie mit Governance umschriebenen Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen.

Daneben kann eine Einrichtung auch zu ihrer Registrierung bei zuständigen Behörden, zum Nachweis ergriffener Maßnahmen, zur Unterrichtung der Empfänger ihrer Leistungen über eingetretene Sicherheitsvorfälle u.A. verpflichtet sein.

Risikomanagement

Im Rahmen des Risikomanagements wird von wesentlichen und wichtigen Einrichtungen das Ergreifen von geeigneten technischen, operativen und organisatorischen Maßnahmen verlangt, um die Sicherheit der für ihre Dienste genutzten Netz- und Informationssysteme beherrschen und die Auswirkungen von Sicherheitsvorfällen verhindern oder, falls solche trotz der Maßnahmen dennoch eintreten, gering halten zu können. Die Einrichtung muss dabei nicht jede denkbare oder zur Verfügung stehende Maßnahme ergreifen, also notfalls mit Kanonen auf Spatzen schießen. Sie kann sich auf verhältnismäßige Maßnahmen beschränken. Von Verhältnismäßigkeit einer Maßnahme kann die Einrichtung dann ausgehen, wenn diese in Anbetracht der Risikoexposition und Größe der Einrichtung, der Eintrittswahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, insbesondere ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen nach dem Stand der Technik und/oder vorhandenen Standards und Normen nahe liegt und die Kosten ihrer Ergreifung nicht unangemessen hoch erscheinen.

Insbesondere bisher nicht mit dem Thema Cybersicherheit befasste Einrichtungen müssen bei der Suche nach in Frage kommenden Maßnahmen nicht bei Null anfangen. Das zukünftige BSIG und die NIS-2-Richtlinie führen selbst eine ganze Reihe von Maßnahmen und Gesichtspunkten an, welche Einrichtungen zu berücksichtigen haben. Und zwar

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  • Bewältigung von Sicherheitsvorfällen,
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung,
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen, und schließlich
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Zudem gibt es mit der Durchführungsverordnung (EU) 2024/2690 zumindest für folgende Einrichtungen weitere explizit genannte Maßnahmen, welche diese umzusetzen haben:

  • DNS-Diensteanbieter,
  • TLD-Namenregister,
  • Cloud-Computing-Dienstleister,
  • Anbieter von Rechenzentrumsdiensten,
  • Betreiber von Inhaltszustellnetzen,
  • Anbieter von verwalteten Diensten,
  • Anbieter von verwalteten Sicherheitsdiensten,
  • Anbieter von Online-Marktplätzen,
  • Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke, sowie
  • Vertrauensdiensteanbieter.

Betreiber kritischer Anlagen sind zudem verpflichtet, Systeme zur Angriffserkennung zur Anwendung zu bringen.

Die Ergreifung mancher der genannten Maßnahmen drängt sich förmlich auf. So sollte bspw. jede Einrichtung allein schon deshalb, weil es für die Abschätzung der Verhältnismäßigkeit einer Maßnahme notwendig ist, über die Fähigkeit und Mittel verfügen, bestehende Risiken zu erkennen und zu analysieren. Ebenso sollte sich die Einrichtung Gedanken darüber gemacht haben, wie sie Sicherheitsvorfälle bewältigen kann und mit dem Ziel Pläne und Konzepte erstellt haben, den Betrieb auch in der Krise jederzeit aufrecht erhalten oder zumindest schnellstmöglich wieder aufnehmen zu können. Da ein Ransomware-Vorfall ganz schnell das Ende eines Unternehmens bedeuten kann, dürften heutzutage Konzepte und Pläne für Backup- und Recovery-Manangement ohnehin schon fester Bestandteil der Unternehmenskultur sein.

Wer sich fragt, warum die Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationsnetzen wichtig ist, sollte sich noch einmal in Erinnerung rufen, welche Folgen die Nutzung unachtsam eingekaufter Pager haben kann und was es mit Stuxnet auf sich hatte. Spätestens nachdem Microsoft dem Chefankläger des Internationalen Strafgerichtshofs (IStGH) das E-Mail-Postfach ohne jeglichen Grund gesperrt hat, sollte sich jede Behörde und jedes Unternehmen zudem fragen, ob es seinen Betrieb im Zweifel auch ohne (von Microsoft administrierten) E-Mails aufrecht erhalten kann und ggf. wie lange.

So, wie es mit dem Händewaschen eine einfache Hygienemaßnahmen gibt, die uns gesund hält, gibt es Cyberhygienemaßnahmen, welche IT und Netzwerk frei von Gefahren halten oder zumindest „Ansteckungsgefahren“ verringern können. Dazu gehören beispielsweise 

 

  • Software- und Hardware-Updates
  • Passwortänderungen
  • die Verwaltung neuer Installationen
  • die Einschränkung von Zugriffskonten auf Administratorenebene und 
  • die Sicherung von Daten.

Die Risiken, welche – meist beruhend auf Unwissen – von den eigenen Mitarbeitern ausgehen, sollten durch Schulungen minimiert werden. Mit diesen lässt sich deren Bewusstsein für Cyberbedrohungen und -sicherheit, Phishing oder Social-Engineering-Techniken schärfen.

In der Praxis wird häufig auf die in bewährten Standards wie bspw. ISO 27001/27002 oder BSI-Grundschutz aufgeführten Anforderungen und die jeweiligen Umsetzungshinweise zurückgegriffen.

Berichts- bzw. Meldepflichten

Besonders wichtig ist nicht nur das Ergreifen von Risikomanagementmaßnahmen, sondern auch das richtige Verhalten im Falle eines trotz aller Vorsicht eingetretenen Sicherheitsvorfalls.

Wenn es zu einem Ereignis kommt, welches die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die von der Einrichtung über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt und es dadurch für andere (natürliche oder juristische) Personen zu erheblichen materiellen oder immateriellen Schäden kommen kann, muss die Einrichtung sofort handeln. Denn 

  • spätestens 24 Stunden nach Kenntniserlangung muss (nach BSIG-E an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle) eine frühe Erstmeldung gemacht werden, in der anzugeben ist, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
  • innerhalb von 72 Stunden nach Kenntniserlangung hat die Einrichtung eine die Erstmeldung bestätigende oder aktualisierende Meldung zu machen, in der die in der Erstmeldung genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des Vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden müssen;
  • einen Monat nach Übermittlung der Bestätigungs- bzw. Aktualisierungsmeldung hat die Einrichtung eine Abschlussmeldung zu machen, die Folgendes enthält:
    • eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
    • Angaben zur Art der Bedrohung beziehungsweise ihrer zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
    • Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und schließlich
    • gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

Ähnlich wie im Rahmen der DSGVO, bei der unter bestimmten Umständen neben der Aufsichtsbehörde auch Betroffene von einem Sicherheitsvorfall zu informieren sind, kann eine Einrichtung unter Umständen nicht nur verpflichtet sein, der Meldestelle von dem Sicherheitsvorfall zu berichten, sondern zudem auch dazu, Empfänger ihrer Dienste unverzüglich über den Sicherheitsvorfall zu unterrichten. Dies setzt nach dem BSIG-E jedoch eine dahingehende Anordnung des BSI voraus. Hat sich der Vorfall bei einer Einrichtung aus den Sektoren Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste ereignet, kann diese zudem dazu verpflichtet sein, den potenziell von dem Vorfall betroffenen Empfängern ihrer Dienste und dem BSI unverzüglich u.a. alle Maßnahmen oder Abhilfemaßnahmen mitzuteilen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

Governance

Damit Cybersecurity in den Einrichtungen nicht vom Zufall abhängt, erlegen NIS-2-Richtlinie und zukünftiges BSIG (soweit der aktuelle Entwurf als Gesetz verabschiedet wird) den Leitungsorganen der Einrichtungen Pflichten auf, welche zum Ziel haben, Cybersecurity zu einem von der Einrichtung gelebten, Ernst genommenen und vor Allem, verstandenen Thema zu machen.

Der Weg, welcher dafür gewählt wurde, besteht darin, den Leitungsorganen unmittelbar Verantwortung für das Thema zu übertragen. Diese müssen zukünftig die von der Einrichtung – gemeint dürften hier vielmehr die Fachverantwortlichen innerhalb der Einrichtung sein – ergriffenen Maßnahmen im Bereich der Cybersicherheit billigen und anschließend deren Umsetzung überwachen. Um diesen Pflichten Nachdruck zu verleihen, verlangt die NIS-2-Richtlinie, dass die Leitungsorgane für aus Verfehlungen entstandene Schäden unmittelbar in Anspruch genommen werden können. Die Zukunft wird zeigen, ob dabei lediglich die Gesellschaft bei den Leitungsorgangen Regress nehmen kann, oder ob sich auch Außenstehende an den Leitungsorganen schadlos halten dürfen. Der diesbezügliche Wortlaut der NIS-2-Richtlinie würde beide Ansichten tragen, der BSIG-E scheint der ersten Variante zugeneigt.

Damit Leitungsorgane über die für die Erfüllung dieser Aufgaben notwendige Expertise verfügen, müssen sie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.

Die in der NIS-2-Richtlinie vorgesehene Verpflichtung für die Einrichtungen, auch den Mitarbeitern die Möglichkeit der Teilnahme an entsprechenden Schulungen zu verschaffen, ist im BSIG-E leider nicht enthalten. Das BSIG-E sieht in Mitarbeiterschulungen vielmehr eine schlichte Risikomanagementmaßnahme und stellt diese damit in das Ermessen der jeweiligen Einrichtungen. Inwieweit dies zielführend und ein Unterlassen von Mitarbeiterschulungen rechtmäßig ist, werden die Häufigkeit zukünftiger Cybersicherheitsvorfälle und deren Gründe ebenso zeigen wie die Praxis der Aufsichtsbehörde.

Bußgelder

Für zahlreiche Fälle, in welchen eine Einrichtung ihren Pflichten nicht nachkommt, sieht der aktuelle BSIG-Entwurf zum Teil erhebliche Bußgelder vor. Diese können bei besonders wichtigen Einrichtungen eine Höhe von bis zu 10 Millionen Euro, bei wichtigen Einrichtungen 7 Millionen Euro erreichen. Bei Einrichtungen mit jährlichen Umsätzen von über 500 Millionen Euro soll der Bußgeldrahmen, so wie man es schon länger von der DSGVO kennt, anhand eines prozentualen Anteils am erzielten Umsatz bestimmt werden. Und zwar maximal 2 Prozent bei besonders wichtigen und 1,4 Prozent bei wichtigen Einrichtungen.

Die höchsten Bußgelder gibt es dabei für Einrichtungen, welche es unterlassen, die zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, und die zur Verringerung der Auswirkungen von Sicherheitsvorfällen notwendigen Maßnahmen zu ergreifen. Dies macht durchaus Sinn, da mit diesen Verstößen immerhin die höchsten Risiken für alle Seiten einher gehen.

Ebenfalls bußgeldbewehrt ist es, wenn eine Einrichtung die von ihr ergriffenen Risikomanagementmaßnahmen nicht dokumentiert oder der zuständigen Behörde nicht in der geforderten Art und Weise mit Erstmeldung, Aktualisierungs- und Abschlussmeldung über eingetretene Sicherheitsvorfälle Bericht erstattet.

Daneben gibt es viele weitere Bußgeldtatbestände, welche an die Verletzung einer der weiteren zahlreichen Pflichten anknüpfen, welche die NIS-2-Richtlinie und der BSIG-E Einrichtungen auferlegt.

Fazit

Die NIS-2-Richtlinie und das künftige BSIG-E markieren einen Wendepunkt in der Regulierung der Cybersicherheit in Deutschland und Europa. Erstmals werden auch zahlreiche mittelständische und öffentliche Einrichtungen verpflichtet, ihre technischen, organisatorischen und personellen Sicherheitsstrukturen auf ein einheitlich hohes Niveau zu bringen. Cybersicherheit wird damit zur Managementaufgabe und wird mit klaren Haftungsrisiken für die Leitungsebene verbunden sein.

Wer frühzeitig ein wirksames Risikomanagement, klare Meldeprozesse und regelmäßige Schulungen etabliert, ist nicht nur auf die künftigen gesetzlichen Pflichten vorbereitet, sondern stärkt zugleich die eigene Widerstandsfähigkeit gegenüber Cyberangriffen.

Unsere Kanzlei verfügt über ausgewiesene Erfahrung im IT-Recht und im Datenschutzrecht und unterstützt Unternehmen dabei, sich rechtzeitig und rechtssicher auf die neuen Anforderungen vorzubereiten und damit schon heute wirksam in ihre eigene Cybersicherheit zu investieren.

Sprechen Sie uns an, wenn Sie prüfen möchten, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist und welche konkreten Schritte Sie zur rechtssicheren Umsetzung bereits jetzt einleiten können.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft