Nachhaltigkeit, Nachhaltigkeitsberichterstattung, EU-Taxonomie, Lieferkettensorgfaltspflichtengesetz, Corporate Sustainability Reporting Directive (CSRD), Corporate Social Responsibility (CSR) in Verbindung mit dem Klimawandel, der Dürre- und Hitzeperiode, mit der Energiekrise und mit aufgetretenen Green-Washing-Fällen haben alle eines gemeinsam:

Es gibt keine übergreifenden Prüfschemata, die sich auf alle drei Säulen der Nachhaltigkeit beziehen. Viele Unternehmen nutzen eine rein ökologische Sichtweise, lassen aber die ökonomische und soziale Komponente vermeintlich außen vor. Aber wann ist ein Unternehmen nachhaltig?

von Rodica Blei und Claus Huth

Die Bundesregierung hat am 16.12.2020 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierinstituten (WpIG) beschlossen. Das Gesetz ist zwischenzeitlich vom Bundestag verabschiedet worden und am 26.06.2021 in Kraft getreten. 

Der zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.

Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.  

Die DSGVO ist seit fast zwei Jahren in Kraft. Auch wenn sie nach zwei Jahren Übergangszeit damals für viele Unternehmen überraschend kam, haben die meisten in einer Nacht- und Nebelaktion schnell ihre Webseite an DSGVO angepasst. Schließlich ist die Webseite ja nach außen sichtbar und da will niemand schlecht aussehen.

Also: Schnell eine Datenschutzerklärung erstellt (oder auch zusammenkopiert….) und live gestellt, Cookie-Banner dazu und bei Google Analytics die Anonymisierung eingeschaltet. Und dann?

War es das?

Kann sein. Kommt aber drauf an! Insbesondere die aktuelle Rechtsprechung und gestiegene Erfahrungen geben Anlaß, noch ein Mal über die compliance der eigenen Webseite nachzudenken und insbesondere auch technisch sicherzustellen, dass sie den Anforderungen und Vorschriften genügt. Es hat sich einiges getan. Grund genug, das Thema noch ein Mal aufzugreifen.

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.

Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.

Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw.

Die neue Leitlinie „EBA/GL/2019/02 zu Auslagerungen“ ist im Februar 2019 erschienen. Sie löst die bestehenden Richtlinien Committee of European Banking Supervisors (CEBS) zum Outsourcing vom 14. Dezember 2006 und die Empfehlungen der EBA zum Outsourcing an Cloud-Dienstleister ab. Die Leitlinie trat zum 30.09.2019 in Kraft und umfasst alle zu diesem Datum und danach geschlossenen, zur Prüfung und zur Änderung finalisierten externen Dienstleistungen. Darüber hinaus müssen bereits bestehende Auslagerungsvereinbarungen neu verifiziert und an die neuen Anforderungen angepasst werden. Je nach Einzelfall kann auf Basis der angegebenen Übergangsregelung eine Umsetzung mit der Deadline zum 31.12.2021 erfolgen.

Bis zum EuGH sind sie gekommen: Cookies und deren datenschutzrechtlichen Implikationen wurden hier behandelt. In kurzen Worten: Der Nutzer muss über die Nutzung von Cookies informiert werden und soweit diese nicht technisch notwendig sind, zu deren Nutzung auf einer Webseite auch aktiv einwilligen.

Dazu wird viel geschrieben, aber die technischen Grundlagen kommen oft zu kurz. Was das heißt, und wie das alles funktioniert, wird daher nachfolgend einmal dargestellt.

Am 29. März 2019 sollte Großbritannien im Zuge der Brexit-Abstimmung die Europäische Union verlassen. Zwei Jahre zuvor leitete Theresa May, britische Premierministerin, das Austrittsersuchen Großbritanniens an die EU weiter. Geplant war in dem zweijährigen Übergangszeitraum, die Modalitäten zwischen Großbritannien und der EU zum Austritt zu klären und Abkommen und Vorkehrungen für einen geordneten Brexit zu treffen. In den letzten Tagen und Wochen wurde um Verlängerung des Austrittszeitraums bis Ende Juni 2019 gebeten, was die schwierigen Verhandlungen zum Austritt widerspiegelt. Seitens der anderen europäischen Mitgliedsstaaten stehen die Anzeichen zu einer Fristverlängerung gut, sofern sich das britische Parlament dazu bereit erklärt, die Austrittsforderungen der EU zu akzeptieren. Ob es sich jedoch dazu durchringen kann, bleibt auf Grund der heftigen Gegenwehr zu Eingeständnissen an die EU – wie die letzten Tage und Wochen gezeigt haben – abzuwarten.

Sollte es zu keiner Einigung kommen, steht ein „harter“ Brexit bevor, also ein Austritt Großbritanniens ohne weitere Abkommen oder sonstige Austrittsmodalitäten – das bisher denkbarste „Worst-Case“-Szenario, wie es treffend umschrieben wird. Zwar betonen die anderen Mitgliedsstaaten und Deutschland, auf einen „harten“ Brexit vorbereitet zu sein und Vorkehrungen zu treffen; wie die Folgen genau aussehen, bleibt bisher jedoch offen.