Compliance: Was bringt 2025 für wen?

Entwaldungsverordnung, Barrierefreiheitsstärkungsgesetz oder E-Rechnung – und immer wieder Verschiebungen und Verzögerungen: die Liste der offenen Fragen hinsichtlich neuer Analyse- und Berichtspflichten ist lang. Beratende stehen angesichts der vielfach unsicheren Rechtslage vor der Frage, auf welche Gesetzesänderungen sie Mandantinnen und Mandanten aktuell hinweisen sollten und worauf sie ihre Beratung fokussieren. Wesentlich sind derzeit vor allem vier Themenbereiche.

1. Nachhaltigkeitsberichterstattung / CSRD

Gerade im Bereich der Nachhaltigkeitsberichterstattung – gemeinhin im Hauptfokus beim Thema Compliance – stehen gerade viele vor dem Problem, nach welcher Rechtsgrundlage sie agieren beziehungsweise nach welchen Kriterien sie die künftig geforderten Berichtspflichten vorbereiten sollen. Im Jahr 2025 müssen große Kapitalgesellschaften und gleichgestellte Unternehmen erstmals einen Nachhaltigkeitsbericht für das Geschäftsjahr 2024 erstellen.

Ihr besonderes Problem: Der Gesetzgeber hat es bis zum Jahreswechsel unterlassen, ein nationales Gesetz zur Umsetzung der Corporate Sustainability Reporting Directive (CSRD) zu verabschieden. Große kapitalmarktorientierte Unternehmen, Kreditinstitute und Versicherungen mit mehr als 500 Mitarbeitenden müssen weiterhin in einer nichtfinanziellen Erklärung gemäß §289c HGB über Nachhaltigkeitsbelange berichten. Formell geprüft werden muss dies überdies dann derzeit nicht, obschon viele Unternehmen sich für die freiwillige inhaltliche Prüfung des Nachhaltigkeitsberichts entscheiden.

Maßgeblich ist für die betroffenen Unternehmen vielmehr weiterhin das seit 2017 geltende CSR-Richtlinie-Umsetzungsgesetz, Bericht erstattet muss nach dessen Kriterien werden. Denn die Berichtspflichten nach Artikel 8 der EU-Taxonomieverordnung bleiben unverändert bestehen.

Neuerungen durch die Omnibus-Verordnung

Die EU-Kommission hat einen Entwurf für eine Omnibus-Verordnung vorgestellt, der die Anforderungen der CSRD modifiziert. Der Entwurf sieht vor, die Berichtspflichten zu verschieben und die Anzahl der betroffenen Unternehmen durch neue Größenklassen zu reduzieren. Diese Änderungen sollen den Unternehmen mehr Zeit geben, sich auf die Anforderungen vorzubereiten.

2. Barrierefreiheitsstärkungsgesetz (BFSG)

Ein weiteres Thema, das viele Mandantinnen und Mandaten derzeit intensiv beschäftigt und vielfach für Handlungsbedarf sorgt, ist das Barrierefreiheitsstärkungsgesetz (BFSG). Es ist bereits in Kraft und legt fest, dass ab 28. Juni 2025 Webseiten, Online-Shops, Webshops und mobile Anwendungen (Apps) barrierefrei sein müssen. Das bedeutet im Wesentlichen, dass Menschen mit Sehbehinderungen Zugang zu den Informationen und Dienstleistungen im Internet bekommen sollen. Möglich ist das zum Beispiel über eine Vorlesefunktion.

Auch weitere Produkte und Dienstleistungen müssen künftig barrierefrei gestaltet werden, zum Beispiel Computer, Notebooks, Tablets oder Smartphones aber auch Geldautomaten, Fahrausweis- und Check-in-Automaten oder Fernsehgeräte mit Internetzugang sowie Router. Für vieles gibt es Übergangsbestimmungen.

Grundsätzlich fallen Händler und Hersteller gleichermaßen unter das Barrierefreiheitsstärkungsgesetz; kleinere Unternehmen mit weniger als zehn Beschäftigten und höchstens zwei Millionen Euro Jahresumsatz, die Dienstleistungen und keine Produkte anbieten, sind vom Gesetz ausgenommen.

3. Allgemeine Produktsicherheit und AI Act

Etwas, das dagegen sofort für alle gilt, ist die EU-Verordnung über die allgemeine Produktsicherheit. Betroffen sind generell alle ab dem 13.12.2024 auf dem Markt bereitgestellten Produkte. Hersteller müssen für jedes Produkt eine Risikobewertung vornehmen und eine technische Dokumentation erstellen, die sie den Überwachungsbehörden zur Verfügung stellen müssen. Auch Online-Marktplätze müssen besondere Pflichten erfüllen müssen.

Bereits seit August 2024 gilt ebenfalls der so genannte EU AI Act. Er betrifft Unternehmen unabhängig von ihrer Branche insofern, als die Verordnung einen risikobasierten Ansatz verfolgt und von daher die Anwendung von KI für bestimmte Zwecke, aber dabei für alle Unternehmen beschränkt. Grundsätzlich gilt: Je höher das Risiko bei der Verwendung, desto umfangreicher sind Anforderungen und Pflichten.

Wichtig ist vor allem, Mandantinnen und Mandanten darauf hinzuweisen, dass die Pflichten des EU AI Acts eben nicht nur Hersteller, Anbieter oder Händler von KI-Systemen betreffen und auch nicht nur solche Firmen, die KI-Systeme in ihre Produkte einbinden. Explizit sind auch die Nutzer von KI-Systemen adressiert, im Prinzip also die gesamte Wirtschaft. Die angedrohten Strafen sind drastisch, bis zu 35 Millionen Euro oder sieben Prozent des gesamten weltweiten Jahresumsatzes kündigte die EU hier an. Verboten ist unter anderem Social Scoring oder manipulativer KI-Einsatz, doch auch für Chatbots im Kundensupport sieht die EU ein Risiko und knüpft daran spezifische Auflagen.

Ausblick: EU-AML-Gesetzespaket

Ebenfalls wichtig könnte noch in diesem Jahr das EU-Gesetzespaket zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (EU-AML-Gesetzespaket) werden. Denn das Europäische Parlament hat hierbei grundlegende gesetzliche und regulatorische Änderungen zur stärkeren Kontrolle und Harmonisierung der Maßnahmen zur Prävention und Bekämpfung von Geldwäsche und Terrorismusfinanzierung verabschiedet, vieles davon gilt ab Mitte des Jahres 2025.