Hilfe im Regulierungs-Dschungel

1. Lieferkettensorgfaltspflichtengesetz (LkSG) 

Das Gesetz mit dem Wortungetüm ‚Lieferkettensorgfaltspflichtengesetz' (LkSG) ist am 1. Januar 2023 in Kraft getreten. Es verlangt von den verpflichteten Unternehmen, Maßnahmen zu treffen, um die im Gesetz definierten menschenrechtlichen und ökologischen Standards in der Lieferkette einzuhalten. Zwar sind kleine und mittlere Unternehmen von den Vorschriften zunächst nicht betroffen, es könnte aber Handlungsbedarf auf sie zukommen, wenn sie Zulieferer eines vom LkSG betroffenen Unternehmen sind.

Welche Unternehmen fallen unter das LkSG?

Unternehmen, die ihren Sitz in Deutschland haben und mehr als 1000 Mitarbeiter beschäftigen, sind derzeit dazu verpflichtet die Maßgaben des LkSG einzuhalten.

Was verlangt das LkSG von betroffenen Unternehmen?

Um menschenrechtliche und ökologische Standards innerhalb ihrer Lieferkette zu überwachen, sollen die betroffenen Unternehmen ein sogenanntes ‚Risikomanagement' einrichten. Dazu gehört die Benennung von einer oder mehrerer Personen im Unternehmen, die für das Risikomanagement verantwortlich sind – das kann beispielsweise ein Menschenrechtsbeauftragter sein. Das Unternehmen hat außerdem eine jährliche Risikoanalyse zu erstellen. Die Geschäftsleitung muss sich mindestens einmal im Jahr über die Arbeit des Risikomanagements informieren. Stellt ein Unternehmen – beispielsweise bei einem Lieferanten – Risiken in Bezug auf die im Gesetz beschriebenen menschenrechtlichen und ökologischen Standards oder gar deren Missachtung fest, so ist es angehalten, Maßnahmen zur Abhilfe einzuleiten – notfalls durch Abbruch der Geschäftsbeziehung. Zu den Pflichten betroffener Unternehmen gehört auch die Prävention, wie etwa die Sensibilisierung von Mitarbeitern durch Schulung. Im verpflichteten Unternehmen muss außerdem ein Beschwerdeverfahren etabliert werden, das es ermöglicht, dass Verletzungen der menschenrechtlichen und ökologischen Standards gemeldet werden können. Das LkSG schreibt außerdem vor, dass betroffene Unternehmen in einem jährlichen Bericht gegenüber der Öffentlichkeit erklären müssen, welche Aktivitäten sie in Hinsicht auf die Einhaltung des LkSG unternommen haben und wie sie die Anforderungen des Gesetzes umsetzen. Kommen Unternehmen dem LkSG nicht nach, können Bußgelder verhängt werden. Diese können bis zu 8 Mio. € oder bis zu 2 % des weltweiten Jahresumsatzes betragen.

Folgen des LkSG für kleine und mittlere Unternehmen

Ein vom LkSG betroffenes Unternehmen muss die Einhaltung der Sorgfaltspflichten auch im Bereich der Zulieferer gewährleisten. So ist für kleine und mittlere Unternehmen damit zu rechnen, dass sie nun von verpflichteten Geschäftspartnern um Zusammenarbeit bei der Einhaltung des LkSG gebeten werden. Eventuell können Zulieferer dazu verpflichtet werden, bestimmte Maßnahmen in Bezug auf das LkSG vertraglich zuzusichern, wie beispielsweise Mitarbeiterschulungen. Der Kunde könnte auch fordern, dass der Zulieferer Informationen – etwa über Lieferanten, Dienstleiter oder Rohstoffe – herauszugeben hat. Stellt ein Kunde gar Verletzungen der LkSG-Vorgaben fest (z. B. Kinderarbeit in der Lieferkette), muss der Zulieferer für Abhilfe sorgen.

Lieferkettengesetz der Europäischen Union

In der EU steht eine Richtlinie zur Lieferkette kurz vor der Veröffentlichung. Deutschland wird verpflichtet sein, diese Richtlinie binnen zwei Jahren in nationales Recht umzusetzen. Sie wird voraussichtlich ab April oder Mai 2026 gelten. Ab 2027 könnten dann deutsche Unternehmen dazu verpflichtet sein, die teilweise strengeren Regeln der EU-Richtlinie zur Lieferkette einzuhalten. -Heinrich Sturm-

2. Konfliktmineralienverordnung EU 2017/821 

‚Verordnung (EU) 2017/821 des europäischen Parlamentes und Rates vom 17. Mai 2017 zur Festlegung von Pflichten zur Erfüllung der Sorgfaltspflichten in der Lieferkette für Unionseinführer von Zinn, Tantal, Wolfram, deren Erzen und Gold aus Konflikt- und Hochrisikogebieten' – so lautet der ziemlich sperrige Titel der Konfliktmineralienverordnung. Am 1. Januar 2021 trat die Verordnung in Kraft. Konfliktmineralien werden bei der Herstellung vieler Hightech-Geräte verwendet sowie in der Auto-, Elektronik-, Luftfahrt-, Verpackungs-, Bau- und Beleuchtungsindustrie, aber auch bei der Herstellung von Industriemaschinen, Werkzeugen und Schmuck.

Zweck

Diese Verordnung soll sicherstellen, dass EU-Importeure von Zinn, Wolfram, Tantal und Gold (3TG = tin, tantalum, tungsten and gold) die internationalen Beschaffungsstandards der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) einhalten und dass globale und europäische Hütten und Raffinerien 3TG auf verantwortungsvolle Weise beschaffen. In politisch instabilen Regionen kann der Handel mit Mineralen wie 3TG zur Finanzierung bewaffneter Gruppen genutzt werden, zu Zwangsarbeit und anderen Menschenrechtsverletzungen führen und Korruption und Geldwäsche unterstützen. Die EU reagiert damit auf den seit 22. August 2012 in Kraft getretenen US-amerikanischen Dodd-Frank-Act (DFA). Gemäß Section 1502 müssen dort Unternehmen, die an der US-Börse notiert sind, offenlegen, ob ihre Produkte 3TG enthalten, die aus der Konfliktregion der Demokratischen Republik Kongo (DRK) oder ihren Nachbarstaaten stammen und nachweisen, dass diese ‚konfliktfrei' abgebaut worden sind.

Betroffene Unternehmen

Unmittelbar betroffen sind Unternehmen, die 3TG in die EU einführen (Upstream-Industrie) und eine bestimmte Mengengrenze überschreiten.
Für die Weiterverarbeitung (Downstream-Industrie), also die Produzenten und Importeure von Endprodukten, sind keine verbindlichen Regelungen vorgesehen. Sekundärrohstoffe fallen ebenfalls nicht unter den Anwendungsbereich der Verordnung. Die Unternehmen müssen jedoch Nachweise erbringen, dass die Rohstoffe ausschließlich aus Abfällen (z. B. Schrott) oder recyceltem Material gewonnen wurden. In der Regel werden die Nachweise mittels Fotos erbracht.

Erforderliche Maßnahmen

Importeure, die unter die Verordnung fallen, müssen zukünftig eine Lieferkettenpolitik entsprechend der OECD-Vorgehensweise einführen und dies ihren Lieferanten und der Öffentlichkeit mitteilen. Sofern Minerale (nicht Metalle) importiert werden, ist zudem ein Risikomanagement notwendig. Dazu müssen sie ein System zur Rückverfolgbarkeit einführen und aufrechterhalten, in dem Beschreibungen der Minerale oder Metalle, Mengen und Informationen zur Herkunft (Ursprungsland, Lieferant, ggf. Hütte oder Raffinerie) dokumentiert werden. Überdies müssen sie einen Bericht über ihre Aktivitäten zur Umsetzung ihrer Sorgfaltspflicht online veröffentlichen. Die Erfüllung der Sorgfaltspflichten wird durch Dritte überprüft (3rd Party-Audit). Sind alle Raffinerien und Hütten auf der Liste der EU nach Art. 9 der Verordnung, so gilt dies als substanzieller Nachweis.

Überprüfung

In Deutschland ist die Bundesanstalt für Geowissenschaften (BGR) die zuständige Durchführungsbehörde für die Überprüfungen. Die Kontrollen der Importeure erfolgen anhand vom Zoll ausgehändigter Daten. Das Durchführungsgesetz zur Konfliktmineralien-Verordnung hat hierfür die BGR mit Eingriffsbefugnissen ausgestattet.

Konflikt- und Hochrisikogebiete

Die Verordnung versteht unter Konflikt- und Hochrisikoregionen weltweit Gebiete, in denen bewaffnete Konflikte geführt werden oder die sich nach Konflikten in einer fragilen Situation befinden. Zu diesen Gebieten zählen auch Regionen, in denen Staatsführung und Sicherheit schwach oder nicht vorhanden sind und in denen weitverbreitete und systematische Verstöße gegen internationales Recht, einschließlich Menschenrechtsverletzungen, stattfinden.

Due-Diligence-Systeme

Bereits bestehende freiwillige Unternehmensinitiativen oder andere Systeme sollen anerkannt werden, wenn sie der OECD Due Diligence Guidance Rechnung tragen. Somit gelten diejenigen Unternehmen, die sich bereits in Initiativen wie EICC oder ITRI engagieren, als verantwortungsvolle Einführer und müssen sich keinem weiteren Audit unterziehen. Damit sollen Doppelbelastungen und daraus resultierende Wettbewerbsnachteile für die betroffenen Unternehmen verhindert werden.

Hilfestellung für KMUs

Die EU-Kommission hat ein Online-Portal (‚Due Diligence Ready!') eröffnet, um betroffene Unternehmen (insbesondere KMU) bei der Erfüllung ihrer Sorgfaltspflichten zu unterstützen. Das Portal hilft dabei, Herkunftsinformationen von Metallen und Mineralien einzuholen und deren verantwortungsvolle Beschaffung zu erleichtern. Es umfasst etwa ein FAQ, eine Toolbox mit praktischen Ressourcen für die Erfüllung der Sorgfaltspflichten sowie ein Begriffsglossar. -rm-

Weitere Informationen

Konflikmineralverordnung: https://eur-lex.europa.eu/eli/reg/2017/821/oj
Due Diligence Ready!': ' https://single-market-economy.ec.europa.eu/sectors/raw-materials/due-diligence-ready_de (Abruf: 28.3.2024).

3. KRITIS und NIS2/CRA: Komplexe Regulatorik und akute Bedrohungslage 

Mit großen Anstrengungen wurden in unserem sogenannten Informationszeitalter bereits einige drohende Katastrophen erfolgreich abgewehrt – aber immer blieb ein gewisses, ungutes Gefühl: So dachte die IT-Welt am 31.12.1999 zwar, alles gut im Griff zu haben, aber ganz sicher war sich doch keiner, was in alten Computern passieren wird, wenn das Datum von 999 auf 000 umspringt. Und die Finanzkrise von 2008 hatte, obwohl tatsächlich ganz andere Ursachen schuld waren, auch viel mit Trading-Software zu tun, die im internationalen Wertpapierhandel Entscheidungen trifft, die ohne beherztes Abschalten zur negativen Kettenreaktion geführt hätten. Regulatorik bezüglich IT und datenbasierter Infrastruktursteuerung ist an solchen und vielen weiteren Bedrohungsereignissen und -szenarien bereits seit längerem gewachsen.

Bild: AdobeStock

Auch ganz aktuell haben sich die weltpolitischen Lagen nicht über Nacht, sondern über inzwischen mehr als ein Jahrzehnt so verändert, dass Kritische Infrastrukturen zunehmend in den Fokus gerieten und mit KRITIS dafür ein griffiges Akronym geschaffen wurde. Nachgewiesene Einflussnahmen auf gesellschaftliche Entscheidungen in anderen Ländern (zum Beispiel Präsidentschaftswahlen in den USA und die Brexit-Entscheidung in UK), die COVID19-Pandemie, der Krieg in der Ukraine, der offen ausgebrochene Wirtschaftskrieg zwischen den USA und China und der Gaza-Krieg haben reale Bedrohungsszenarien deutlich sichtbar gemacht. KRITIS sind in unterschiedlichsten Szenarien Angriffsziele, die entsprechend geschützt werden müssen.

Hinzu kommen weitere komplexe regulatorische Maßnahmen, die auf Energieversorgung, Verkehrssysteme, Gesundheitsversorgung sowie auf Kommunikations- und Informationsfluss – insbesondere auf hochkomplexe Informationsverarbeitung - angewiesene Gesellschaften und Volkswirtschaften resilienter machen soll. Gleichzeitig werden die Rahmenbedingungen dadurch immer komplexer und sind der Gefahr einer überkomplexen, lähmenden Bürokratisierung ausgesetzt.

Auf deutscher nationaler Ebene spielt bezüglich KRITIS das BSIG eine Rolle, mit dem zunächst das Bundesamt für Sicherheit in der Informationstechnik geschaffen wurde. Konkretisiert wurde es durch mehrfach aktualisierte IT-Sicherheitsgesetze und durch die BSI-Kritisverordnung. Weitere sektorspezifische Spezialgesetze z. B. das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG) enthalten flankierende Regelungen. Auf europäischer Ebene kommen die RCE (Directive on the resilience of critical entities), die neue Netzwerk- und Informationssystemsicherheitsrichtlinie (NIS2), der europäische Cyber Resilience Act (CRA) und die Radio Equipment Directive (RED) hinzu All das soll dafür sorgen, dass es bei Ausfall oder Störung von KRITIS zu dramatischen Folgen für die öffentliche Sicherheit und wichtige gesellschaftliche Abläufe kommen kann.

NIS2 adressiert 18 Sektoren

Das genannte NIS2 ist die überarbeitete und seit 2023 gültige Version der bisherigen, 2016 in Kraft getretenen Richtlinie für Netz- und Informationssicherheit (NIS1-Richtlinie). Sie legt unter anderem Kriterien fest, um Betreiber Kritischer Infrastrukturen zu identifizieren und legt Mindeststandards für deren Informationssicherheit fest. NIS2 ist derzeit noch in der Umsetzungsphase, die bis Oktober 2024 abgeschlossen sein muss – das heißt, die EU-Mitgliedsstaaten müssen sie bis dahin in nationales Recht übernommen haben. Von NIS1 zu NIS2 hat sich die Anzahl der betroffenen Sektoren auf 18 erhöht. Die Anzahl der betroffenen Sektoren steigt auf insgesamt 18, aufgeteilt in elf kritische und sieben wichtige Sektoren. Die 11 kritischen Sektoren sind Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IT-Service/-Management, Öffentliche Verwaltung, Space (Raumfahrt, Satelliten). Die 7 wichtigen Sektoren sind Post und Kurierdienste, Abfall, Chemikalien, Lebensmittel, bestimmte Bereiche der industriellen Fertigung, Digitale Dienste und Forschung. Nis2 greift bei Unternehmen mit mehr als 50 Mitarbeitenden oder einem Umsatz von über 10 Mio. EUR und enthält strengere Sicherheitsanforderungen, die Unternehmen erfüllen müssen.

So sind Unternehmen verpflichtet, mehr Arten von Sicherheitsvorfällen zu melden – unverzüglich (innerhalb von 24 Stunden nach Kenntnisnahme mit einer sogenannten Frühwarnung und innerhalb von 72 Stunden mit einer detaillierten Meldung des Sicherheitsvorfalls). NIS2 stärkt die Durchsetzungskräfte der nationalen Regulierungsbehörden. Höhere Strafen für Verstöße werden eingeführt.

Cyber Resilience Act

Der europäische Cyber Resilience Act schreibt vor, dass Produkte mit digitalen Elementen nur dann auf den Markt gebracht werden dürfen, wenn sie bestimmte grundlegende Cybersicherheitsanforderungen erfüllen. Er verpflichtet die Hersteller, die Cybersicherheit bei der Konzeption und Entwicklung von Produkten mit digitalen Elementen zu berücksichtigen. Damit greift die gesamte Kritis- und Cyber-Security-Regulatorik bis tief hinunter ins System- und Baugruppendesign in die Abläufe und Verantwortlichkeiten der Elektronikindustrie ein.

Vom CRA betroffen sind auch Softwarehersteller und Importeure von Produkten mit digitalen Elementen – sogenannte White-Label-Waren. Ausgenommen sind jedoch Hersteller von Medizinprodukten und Fahrzeugsicherheitssystemen.

In speziellen Regelungen für Hersteller sogenannter kritischer Produkte verlangt das CRA, dass ein besonderes Konformitätsverfahren zu durchlaufen ist (Anhang III des CRA):

Produkte wie Internetbrowser, Antivirenprogramme, Passwortmanager und VPNs.

Kartenlesegeräte, Desktop-Computer, mobile Endgeräte und alle Geräte, die auf das Internet der Dinge (IoT) setzen.

Hersteller von Produkten mit digitalen Komponenten werden dazu verpflichtet, die Cybersicherheitsanforderungen des CRA von der Planung und dem Entwurf bis hin zur Entwicklung, der Produktion und dem Vertrieb zu erfüllen. Sicherheitsrisiken sollen so während des gesamten Wertschöpfungsprozesses minimiert werden, Die Hersteller sind verpflichtet, ihre Produkte über den gesamten Lebenszyklus hinweg zu überwachen. Das CRA nennt dazu den Zeitraum von fünf Jahren. Treten in dieser Zeit Sicherheitslücken auf, müssen kostenlose Updates bereitgestellt werden. Sollte ein Vorfall die Sicherheit eines Produkts mit digitalen Elementen beeinträchtigen, muss der Hersteller diesen Vorfall der EU-Cybersicherheitsbehörde ENISA melden.

Konkrete Auswirkungen für Elektronikfertiger

Im konkreten Fall eines Fertigungsbetriebes, der Halbleiter als elementare Komponenten seiner Erzeugnisse nutzt, bedeutet das:
Das Unternehmen muss sich auf die sichere Auslegung dieser Bauelemente und Baugruppen verlassen und für einen bestimmten Zeitraum Sicherheitsaktualisierungen vom Produzenten erhalten, um eine durchgängige Sicherheit der Lieferkette zu sichern. Der Chipproduzent muss dazu nach CRA belegen, dass EU-harmonisierte Cybersicherheitsstandards während der Entwicklungs- und Produktionsprozesse beachtet wurden. Dies wird mithilfe einer sogenannten Software-Stückliste nachgewiesen.

„Zudem ist es seine Pflicht, über bekannte Schwachstellen zu berichten. Vor der Markteinführung des Chips muss ein Konformitätsprüfverfahren durchgeführt werden, und nur danach darf das CE-Kennzeichen angebracht werden“, so Alain de Pauw, Geschäftsführer Deutschland und Schweiz bei Axians IT Security. Dennoch sei das Industrieunternehmen, das die Halbleiterprodukte verbaut, gleichermaßen verantwortlich, diesen Prozess für seinen Teil der Lieferkette zu verfolgen. „Nach der Markteinführung von Chip und Industrieprodukt müssen beide Unternehmen weiterhin Updates bereitstellen und Reporting- und Informationspflichten einhalten.“

Fristen und Termine

Die NIS-2-Richtlinie muss ab dem 17. Oktober 2024 verpflichtend von den betroffenen Unternehmen umgesetzt werden. IT-Verantwortliche sollten demnach prüfen, ob die IT ihres Unternehmens von der Richtlinie betroffen ist. -vti-

4. EU-Verordnung zur Nachhaltigkeitsberichterstattung 

Die Europäische Verordnung zur Nachhaltigkeitsberichterstattung (CSRD, Corporate Sustainability Reporting Directive) geht auf die steigende Bedeutung von Umwelt- und Sozialstandards in der Unternehmensführung zurück. Sie soll dazu beitragen, das Bewusstsein für Nachhaltigkeit und ESG-Faktoren (Ökologie, Arbeitsplatz, Gemeinwesen) in der Unternehmensführung zu stärken und Investoren dabei unterstützen, fundierte Entscheidungen zu treffen. Durch die verpflichtende Berichterstattung zu diesen Themen sollen Unternehmen dazu angehalten werden, ihre ökologischen und sozialen Auswirkungen zu reduzieren und verantwortungsbewusst zu handeln.

Geschichte

Der Versuch zur ‚Installation' einer EU-Richtlinie zur Nachhaltigkeitsberichterstattung hat eine relativ lange Geschichte. Im Jahr 2000 veröffentlichte die Europäische Union die erste Richtlinie zur nichtfinanziellen Berichterstattung von Unternehmen, die sogenannte European Union Non-Financial Reporting Directive (NFRD). Sie hatte das Ziel, Unternehmen zu verpflichten, neben ihren finanziellen Kennzahlen auch Informationen zu Umwelt-, Sozial- und Arbeitnehmerbelangen sowie zur Achtung der Menschenrechte und der Bekämpfung von Bestechung und Korruption zu veröffentlichen.

In den darauffolgenden Jahren stieg das Interesse von Unternehmen und Investoren an nichtfinanzieller Berichterstattung, da das Bewusstsein für soziale Belange und Umweltbelange wuchs. Die Europäische Kommission erkannte die Bedeutung dieses Themas und entschied, die NFRD zu überarbeiten und zu stärken.

Im April 2021 stellte sie schließlich die neue Corporate Sustainability Reporting Directive (CSRD, Nummer 2021/254/EU) vor. Diese erweitert den Anwendungsbereich der NFRD und verpflichtet mehr Unternehmen zur nichtfinanziellen Berichterstattung. Zudem werden die Anforderungen an die Berichterstattung verschärft, um die Vergleichbarkeit und Qualität der Informationen zu verbessern.

Die CSRD trat am 5. Januar 2023 in Kraft und ist von den europäischen Mitgliedstaaten bis zum 6. Juli 2024 in nationales Recht umzusetzen. Das gilt auch für Deutschland. Die Vorgaben dieser Richtlinie werden durch die European Sustainability Reporting Standards (ESRS) konkretisiert. Das erste Set der ESRS hat mit dem delegierten Rechtsakt der Europäischen Kommission vom 31. Juli 2023 Rechtskraft erlangt.

Solaranlage bei der Firma Eltroplan

Handlungsfelder

Aufgrund der großen Heterogenität der Unternehmen, die sich stark nach Größe, Branche, Geschichte etc. unterscheiden, kann es nicht das eine CSR-Management geben. Jedoch lassen sich vier Handlungsfelder identifizieren, die den Orientierungsrahmen für die wertebasierte Unternehmensführung bzw. das CSR-Management bilden: Ökonomie, Arbeitsplatz, Gemeinwesen und Ökologie.

Wie ein Unternehmen Verantwortung wahrnimmt, ist abhängig von der Unternehmenskultur, der Branche, den Märkten und den lokalen Gegebenheiten. Die vier Handlungsfelder zeigen eine mögliche Struktur für ein in einem bestimmten Unternehmen einzurichtenden CSR-Managementsystems auf.

• Ökonomie: Dieses Handlungsfeld zielt darauf ab, die eigenen Produkte, Dienstleistungen sowie die Beziehung zu Lieferanten verantwortungsvoll zu gestalten. Weitere Aspekte sind faire Beschaffung, Anti-Korruption und der Fokus auf Kundenbedürfnisse. So sind z. B. auch umfassende Verbraucherinformationen oder Ehrlichkeit in der Werbung Themen dieses Handlungsfelds.
• Arbeitsplatz: Aus Erfahrung wissen viele Unternehmer, dass ein verantwortungsvoller Umgang mit den Beschäftigten eine zentrale Voraussetzung für den wirtschaftlichen Erfolg des eigenen Unternehmens ist. Hier geht es beispielsweise um Themen wie faire Bezahlung, die Vereinbarkeit von Familie bzw. Pflege und Beruf sowie betriebliches Gesundheitsmanagement.
• Gemeinwesen: Viele Unternehmen sind mit ihrem Standort fest verbunden. Sie verstehen sich als Teil der Gesellschaft und fördern das soziale Umfeld in der Region. Letzteres nicht zuletzt, um den eigenen Standort attraktiver für potenzielle Mitarbeiter zu gestalten. Das Engagement reicht von Investitionen in soziale Projekte über Corporate Volunteering-Maßnahmen bis hin zur Förderung der regionalen Infrastruktur.
• Ökologie: Betrieblicher Umweltschutz gewinnt stetig an Bedeutung. Das Handlungsfeld umfasst eine breite Themenvielfalt: vom Umgang mit Gefahrstoffen über Ansätze zur Reduktion der CO₂-Emissionen bis hin zu Ressourceneffizienzmaßnahmen und Biodiversität.

Fristen und Termine

Die CSRD-EU-Richtlinie bringt neue Berichtspflichten für zunächst etwa 15.000 Unternehmen in Deutschland. Mit der erweiterten Berichtspflicht soll sichergestellt werden, dass als erstes große Unternehmen und kapitalmarktorientierte KMU darüber berichten, was sie in Sachen Nachhaltigkeit umsetzen [2].

• Ab 2024 sind die größten 500 börsennotierten Unternehmen zu Nachhaltigkeitsberichten verpflichtet
• Für andere große Kapitalgesellschaften gilt die Pflicht ab 2025, für kapitalmarktorientierte KMU ab 2026 bzw. 2028
• Es ist wahrscheinlich, dass auch kleinere Firmen früher oder später von der Pflicht zur Berichterstattung betroffen sein werden, wenn sie in die Wertschöpfungsketten berichtspflichtiger Unternehmen eingebunden sind

Große Betriebe werden verstärkt dazu übergehen, von ihren Geschäftspartnern ebenfalls Berichte zu deren Nachhaltigkeitsaktivitäten zu erhalten. Sie müssen nämlich selbst belegen, dass sie mit Partnern agieren, die ihrerseits nachhaltig wirtschaften.

Für kleine Betriebe ist es wichtig, einfache und pragmatische Lösungen zu finden und dennoch systematisch vorzugehen. Denn die Befassung mit Nachhaltigkeit bzw. CSRD ist keine einmalige Angelegenheit, sondern das Konzept muss regelmäßig überprüft und angepasst werden. Weil viele Punkte bis jetzt nicht abschließend geklärt sind und es immer wieder zu Ergänzungen kommt, sollte man sich regelmäßig über den Stand und eventuelle Ergänzungen informieren.

Im Internet wird den kleineren Firmen unterschiedliche methodische Unterstützung zum Inhalt und zur Vorbereitung von Nachhaltigkeitsberichten angeboten, beispielsweise in [1, 2]. Die Pilotgruppe ‚KMU-Reporting' hat eine Übersicht zum aktuellen Informationsbedarf für die Berichterstattung von KMU veröffentlicht. Der Link zu diesem PDF-Dokument ist unter [2] zu finden. -psm-

Referenzen

[1] www.csr.bayern.de/vertieft/handlungsfelder/index.php (Abruf 27.3.2024).
[2] www.lexware.de (Abruf 27.3.2024).

5. REACh: Europäische Chemikalienverordnung 

Die europäische Chemikalienverordnung zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe ist seit 2007 in Kraft. Die Verordnung soll die menschliche Gesundheit und die Umwelt auf einem hohen Niveau schützen. Gleichzeitig soll sie den freien Verkehr von Chemikalien auf dem europäischen Binnenmarkt gewährleisten und Wettbewerbsfähigkeit und Innovation fördern. Grundsätzlich übernehmen dabei die Hersteller, Importeure und nachgeschalteten Anwender die Verantwortung für ihre Chemikalien.

REACh leitet sich aus dem englischen Titel der Verordnung ab: Regulation concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals.

Es gilt: Ohne Registrierung dürfen Chemikalien nicht in Verkehr gebracht werden.

Aktuell arbeitet die verantwortliche europäische Behörde, die Europäische Chemikalienagentur (ECHA), an folgenden Zulassungsprozessen:

• Wissenschaftliche Bewertung des Beschränkungsdossiers für Per- und Polyfluoralkylsubstanzen (PFAS)
• Mit dem Ende der öffentlichen Konsultation zum Beschränkungsdossier für PFAS am 25.09.2023 startete die Bewertung durch die wissenschaftlichen Ausschüsse der ECHA für die Risikobewertung und sozioökonomische Analyse
• Das Dossier sieht vor, dass PFAS nur noch in Bereichen zum Einsatz kommen dürfen, in denen es auf absehbare Zeit keine geeigneten Alternativen geben wird bzw. wo die sozioökonomischen Vorteile die Nachteile für Mensch und Umwelt überwiegen
• So werden sich die Sitzungen nach Auskunft der Behörde im Juni 2024 u. a. mit PFAS-Produkten zur Metallbeschichtung und Herstellung von Metallprodukten beschäftigen
• Im September 2024 stehen u. a. die Industriezweige Erdölverarbeitung und Bergbau auf dem Programm
• Nach Abschluss dieses Verfahrens wird das überarbeitete Dossier an die Europäische Kommission weitergeleitet. Diese entscheidet dann gemeinsam mit den EU-Mitgliedstaaten über eine mögliche Beschränkung
• REACh-Beschränkungsdossier zu Bisphenolen zurückgezogen
• Die beteiligten deutschen Behörden haben bereits im vergangenen Jahr entschieden, dass eine signifikante Neukonzeptionierung der Logik, die dem Beschränkungsvorschlag zu Grunde liegt, notwendig ist und deshalb das Dossier temporär zurückgezogen, um die notwendigen Überarbeitungen vorzunehmen. Eine Neueinreichung wird wieder über das Verzeichnis der Absichtserklärungen (Registry of Intentions) der ECHA angekündigt, sobald der Zeitplan für die Neueinreichung finalisiert ist
• Längere Übergangsfristen für eingeschränkte Verwendung von C9-C14 PFCA
• In der EU ist bereits seit 2023 die Verwendung von perfluorierten Carbonsäuren mit 9-14 Kohlenstoffatomen (C9-C14 PFCA) beschränkt. Die Stoffe bauen sich in der Umwelt kaum ab und reichern sich in Organsimen an. Längere Übergangsfristen gelten z. B. für:
• fotolithografische Verfahren oder Ätzverfahren bei der Halbleiterherstellung (04. Juli 2025)
• fotographische Beschichtungen für Filme (04. Juli 2025)
• invasive und implantierbare Medizinprodukte (04. Juli 2025)
• Halbleiter an sich und Halbleiter, die in elektronischen Halbfertig- und Fertiggeräten eingebaut sind (31. Dezember 2023)
• Halbleiter, die in Ersatzteilen für elektronische Fertiggeräte verwendet werden, die vor dem 31. Dezember 2023 in Verkehr gebracht wurden (31. Dezember 2030). -vk-

Weitere Informationen

www.umweltbundesamt.de/themen/chemikalien/reach-chemikalien-reach (Abruf: 28.3.2024).

6. Recht auf Reparatur und neue Ökodesignverordnung 

Das Europäische Parlament und der Rat haben sich im Februar 2024 auf die von der EU-Kommission vorgeschlagenen neuen Regeln für das Recht auf Reparatur geeinigt.

Parlament und Rat müssen nun den Text, auf den sie sich politisch geeinigt haben, noch förmlich verabschieden.Sobald dies geschehen ist, wird die Richtlinie im Amtsblatt der Europäischen Union veröffentlicht und tritt 20Tage später in Kraft.

Die neue Richtlinie soll die Reparatur einfacher, leichter zugänglich und erschwinglicher machen. Für Unternehmen werden sich nach Überzeugung der EU-Kommission nachhaltige Geschäftsmodelle und Investitionen in Reparaturen
auszahlen.

Was sieht die Richtlinie vor?

Wenn die gesetzliche Mindestgewährleistung von zwei Jahren abgelaufen ist,sollen die Verbraucher eine einfachere und kostengünstigere Reparatur von Defekten bei allen Geräten verlangen können, die technisch reparierbar sein müssen (z. B. Tablets, Smartphones, Waschmaschinen, Geschirrspüler, Fernseher).Es besteht also ein Anspruch auf Reparatur. Die Hersteller werden somit verpflichtet,öffentlich Angaben über ihre Reparaturleistungen zu machenund dabei insbesondere auch anzugeben, wieviel die gängigsten Reparaturen ungefähr kosten werden.

Die EU-Mitgliedstaaten werden außerdem verpflichtet, Reparaturen mit weiteren Maßnahmen zu fördern, z. B. mitReparaturgutscheinen oderReparaturfonds.Solche Maßnahmen können mit EU-Mitteln gefördert werden. Über eine neue europäische Reparaturplattform mit einfachen Suchwerkzeugen lassen sich künftig passende Reparaturwerkstätten finden.Über die Plattform können dann Reparaturwerkstätten, oft kleine und mittlere Unternehmen, ihre Dienstleistungen anbieten.

Parallel zur Einigung auf das Recht auf Reparatur haben sich die EU-Mitgliedstaaten auf die neue Ökodesignverordnung politisch verständigt, die Herstellern Vorgaben zur Reparierbarkeit im Produktdesign macht. Die neuen Ökodesignanforderungen werden über die Energieeffizienzhinausgehen, die Kreislaufwirtschaft fördern und u. a. folgendes abdecken:

• Haltbarkeit, Wiederverwendbarkeit, Nachrüstbarkeit und Reparierbarkeitvon Produkten
• Vorhandenseinchemischer Stoffe, die die Wiederverwendung und das Recycling von Materialien verhindern
• Energie und Ressourceneffizienz
• Rezyklatanteil
• CO₂- und Umweltfußabdruck
• verfügbareProduktinformationen, insbesondere ein digitaler Produktpass.

Die neue Verordnung wird für eine Liste von Produkten gültig sein, welche sukzessive erweitert wird. Vorrang haben hochwirksame Produkte wie Elektronikprodukte, insbesondere aus der Informations- und Kommunikationstechnik, aber auch Eisen und Stahl, Aluminium, Farben, Schmierstoffe und Chemikalien. Das Europäische Parlament und der Rat müssen auch diese neue Verordnung förmlich annehmen. Am20. Tag nach ihrer Veröffentlichung im Amtsblatttritt sie in Kraft.

In der Märzausgabe der PLUS wurde bereits darüber berichtet, welche Dienstleistungen der TÜV Rheinland anbietet, damit Hersteller künftig die Reparierbarkeit ihrer Produkte nachweisen können. -vk-

Weitere Informationen

https://germany.representation.ec.europa.eu/ (Abruf: 28.3.2024).

7. EU AI Act: Weltweit erstes Gesetz für Künstliche Intelligenz 

Das KI-Gesetz (AI Act) der EU ist der erste umfassende Rechtsrahmen für KI weltweit und regelt die Entwicklung und Nutzung von KI-Systemen in der EU. Das Gesetz soll die Sicherheit und die Grundrechte von Menschen und Unternehmen in Bezug auf KI gewährleisten, aber auch durch eine klare Rechtslage Investitionen und Innovationen im KI-Sektor fördern. Diese Erwartung ist indes umstritten: Kritiker sprechen von einer Überregulierung, die den Aufholprozess der europäischen Wirtschaft zu Konkurrenz in den USA und in China sogar ausbremsen könnte.

Für Unternehmen aus der Elektronikbranche dürfte der AI Act noch an Bedeutung gewinnen. Denn KI kommt eingebettet in elektronischen Systemen sowie in der Fertigung elektronischer Bauteile und Geräte immer öfter zum Einsatz. Beispiele sind die Qualitätskontrolle, Industrie 4.0-Szenarien oder die Aufwertung der Gebrauchseigenschaften elektronischer Erzeugnisse.

Der neue AI Act unterscheidet vier Kategorien von KI-Systemen:

• Verbotene KI-Systeme: Diese Systeme sind mit den Grundrechten und -freiheiten unvereinbar und daher verboten. Dazu gehören Systeme, die Menschen manipulieren oder zu sozialer Diskriminierung führen, etwa ‚Social Scoring‘ wie in China oder Emotionserkennung am Arbeitsplatz
• Hochrisiko-KI-Systeme: Diese Systeme bergen ein hohes Risiko für die Sicherheit oder die Grundrechte von Menschen. Sie unterliegen strengen Anforderungen, bevor sie auf den Markt gebracht werden können. Das sind beispielsweise Systeme für die Gesichtserkennung oder die Bewertung der Kreditwürdigkeit. In die Hochrisikoklasse fallen auch einige große Basismodelle. Das könnte zum Beispiel die Modelle von OpenAI (ChatGPT, Dall-E etc.) oder Google (Gemini) treffen
• Regelungspflichtige KI-Systeme: Diese Systeme stellen ein geringeres Risiko dar, unterliegen aber bestimmten Anforderungen. Dazu gehören Systeme, die zur Personalisierung von Werbung oder zur Steuerung von Maschinen verwendet werden
• KI-Systeme mit minimalem Risiko: Diese Systeme stellen kein Risiko für die Sicherheit oder Grundrechte dar und unterliegen daher keinen besonderen Anforderungen.

Die KI-Verordnung hat weitreichende Konsequenzen für Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben. Für kleine und mittlere Unternehmen (KMU) sind insbesondere folgende Punkte relevant: KMU müssen die Anforderungen der KI-Verordnung erfüllen, unabhängig von ihrer Größe oder ihrem Risikoprofil. Dies bedeutet, dass sie z. B. die Konformität ihrer KI-Systeme mit den grundlegenden Anforderungen der Verordnung sicherstellen müssen. KMU haben Zugang zu verschiedenen Ressourcen, die ihnen helfen sollen, die Anforderungen der KI-Verordnung zu erfüllen. Dazu gehören z. B. Leitlinien, Checklisten und Schulungen. Das ‚AI-Büro‘ der EU überwacht die Einhaltung des KI-Gesetzes.

Die KI-Verordnung bietet auch Chancen. Sie kann dazu beitragen, dass KMU Zugang zu neuen Märkten und Kunden erhalten. Die EU richtet ein KI-Observatorium ein, das KMU bei der Umsetzung unterstützen soll.

Termine und Fristen

20 Tage nach der Veröffentlichung im Amtsblatt der EU (voraussichtlich im Sommer 2024) tritt das KI-Gesetz in Kraft, wobei viele Reglungen erst nach zwei Jahren wirken. Die Verbote und Anforderungen für verbotene KI-Systeme treten schon nach sechs Monaten in Kraft. Die Anforderungen für Hochrisikosysteme gelten erst nach drei Jahren.

Weitere Informationen

EU KI-Verordnung: https://artificialintelligenceact.eu/de/ai-act-explorer/
KI-Observatorium: https://www.ki-observatorium.de/

-Heiko Weckbrodt-

8. Batterieverordnung (EU-BattV) 

Bild: AdobeStockSeit dem 18. Februar 2024 gilt eine neue EU-Batterieverordnung, die in mehreren Stufen wirksam wird. Sie zielt auf mehr Nachhaltigkeit, Sicherheit und Transparenz. Für Hersteller und Händler bringt sie neue Anforderungen mit sich:

• Höhere Recyclingquoten: Ab 2027 müssen 45 % des in tragbaren Batterien verwendeten Lithiums und 70 % des in industriellen Batterien verwendeten Cobalts recycelt werden.
• Verbot von schädlichen Stoffen: Die Verwendung von Quecksilber, Cadmium und Blei in Batterien ist ab sofort verboten
• Ökodesign-Anforderungen: Hersteller müssen bestimmte Anforderungen an die Umweltverträglichkeit ihrer Batterien erfüllen
• Strengere Prüfstandards: Batterien müssen strengere Sicherheitsstandards erfüllen, um auf dem EU-Markt zugelassen zu werden
• Verbesserte Kennzeichnung: Batterien müssen mit einem QR-Code versehen sein, der Informationen über die Batterie und ihre Entsorgung enthält
• Batteriepass: Hersteller müssen einen digitalen Batteriepass erstellen, der Informationen über den gesamten Lebenszyklus der Batterie enthält
• Nachhaltigkeitsberichterstattung: Große Unternehmen müssen über ihre Bemühungen zur Nachhaltigkeit im Batteriebereich berichten

Konsequenzen für KMU

• Erhöhte Anforderungen an KMU, was mit Kosten verbunden sein kann. Die Dokumentationspflichten für Batterien werden umfangreicher
• Verstärkter Wettbewerb: KMU müssen sich mit größeren Unternehmen messen, die über mehr Ressourcen verfügen.

Fristen und Termine

Am 18. August 2024 tritt ein Teilpaket mit neuen Kennzeichnungs- und Kontrollplichten für Batterieproduzenten, -importeure und -händler in Kraft.

-Heiko Weckbrodt-

Weitere Informationen

Die Batterie-VO in der neuen Fassung von 2024: www.batteriegesetz.de/gesetzestexte/battv-eu/ (Abruf: 28.3.2024).
Erläuterungen zum August-Pflichtpaket August 2024: it-recht-kanzlei.de/eu-batterieverordnung-pflichten-erzeuger-haendler-einfuehrer-august-2024.html (Abruf: 28.3.2024).

9. Critical Raw Materials Act: Weniger Abhängigkeit, mehr Resilienz 

Panoptikum kritischer RohstoffeDer ‚Critical Raw Materials Act‘ (CRMA) zielt darauf, die Abhängigkeit der europäischen Wirtschaft von kritischen Rohstoffen zu verringern und die Widerstandsfähigkeit der Lieferketten zu stärken. Der CRMA definiert 30 Rohstoffe als kritisch, die für die Produktion von Schlüsseltechnologien wie Batterien, Windkraftanlagen und Elektronik benötigt werden. Dazu gehören unter anderem Lithium, Cobalt, Antimon, Beryllium, Gallium, Germanium, Hafnium, Indium und Seltene Erden.

Unternehmen und auch KMU, die kritische Rohstoffe verwenden, müssen ihre Lieferketten diversifizieren und alternative Lieferanten erschließen. Dies kann bedeuten, dass sie sich auf Lieferanten in anderen Ländern oder Regionen ausrichten oder verstärkt auf Recycling und Substitution setzen. Dies kann mit erheblichen Kosten und Herausforderungen verbunden sein.

Unternehmen mit über 500 Mitarbeitern und einem Jahresumsatz über 150 Mio. €, die strategische Rohstoffe in einigen besonders sensiblen Bereichen wie Verteidigung, Energiewende, Informationstechnologie, Luft- und Raumfahrt verwenden, müssen mindestens alle drei Jahre eine Risikoanalyse zu Abhängigkeiten von strategischen Rohstoffen in ihrer Lieferkette durchführen, inklusive einer Erfassung, wo diese strategischen Rohstoffe gewonnen, verarbeitet und wiederverwertet werden.

Die Kommission will KMU unterstützen, indem sie ihnen Zugang zu Informationen und Beratung sowie finanzielle Unterstützung bietet. Zudem will sie mit anderen Ländern und internationalen Organisationen zusammenarbeiten, um die Lieferketten für kritische Rohstoffe zu sichern. Dazu gehört die Förderung von nachhaltigen und verantwortungsvollen Bergbaupraktiken.

Termine und Fristen

Der Rat der Europäischen Union hat am 18. März das Gesetz zu kritischen Rohstoffen befürwortet.

20 Tage nach der Veröffentlichung im EU-Amtsblatt (vermutlich im Sommer 2024) tritt der CRMA in Kraft. Deutschland hat dann bis 2026 Zeit, das Regelwerk in nationales Recht umzuwandeln.

Weitere Informationen

Pressemitteilung des Rats der Europäischen Union: www.consilium.europa.eu/en/press/press-releases/2024/03/18/strategic-autonomy-council-gives-its-final-approval-on-the-critical-raw-materials-act/
Der Gesetzestext: www.europarl.europa.eu/doceo/document/A-9-2023-0260-AM-026-026_EN.pdf

-Heiko Weckbrodt-

10. Novelliertes Fachkräfteeinwanderungsgesetz 

Mit der Novelle des Fachkräfteeinwanderungsgesetzes (FachKrEG) erleichtert die deutsche Regierung die Einwanderung nichtakademischer Fachkräfte aus Nicht-EU-Staaten. Die Kernbestimmungen:

Die Mindestgehaltssgrenze für die Einwanderung mit der ‚Blauen Karte EU‘ wurde von 56.400 auf 43.992 pro Jahr gesenkt. Die Anerkennung von Berufsabschlüssen aus Nicht-EU-Staaten wurde vereinfacht. Wer mindestens zwei Jahre Berufserfahrung und einen im Herkunftsland staatlich anerkannten Berufsabschluss hat, kann als Arbeitskraft einwandern. Der Berufsabschluss muss künftig nicht mehr in Deutschland anerkannt sein. Fachkräfte mit Berufserfahrung und Sprachkenntnissen können nach einem Punktesystem einreisen, auch wenn sie keinen anerkannten Berufsabschluss haben. Fachkräfte mit Potenzial können mit einer ‚Chancenkarte‘ nach Deutschland einreisen und sechs Monate lang nach einem Job suchen. Für IT-Fachkräfte gelten besondere Regelungen, die die Einwanderung erleichtern.

Konsequenzen für KMU

Durch die erleichterten Einwanderungsbestimmungen haben KMU Zugriff auf einen größeren Pool an Fachkräften. Die gesenkte Gehaltsgrenze erleichtert die Gewinnung ausländischer Fachkräfte, die sie sich sonst nicht leisten könnten. Die Anerkennung von Berufsabschlüssen wurde vereinfacht, was den bürokratischen Aufwand reduziert.

Termine und Fristen

Die erste Stufe der neuen Regelungen für die Fachkräfteeinwanderung ist bereits im November 2023 in Kraft getreten. Dazu gehören Blaue Karte, die neuen Regelungen für die Aufenthaltserlaubnisse für Fachkräfte mit Berufsausbildung und Fachkräfte mit akademischer Ausbildung, die vereinfachte Zustimmungserteilung der Arbeitsagentur für Berufskraftfahrer aus Drittstaaten und die Entfristung der Westbalkanregelung.

Seit 1. März 2024: Die Berufserfahrenenregelung wird auf alle Berufe ausgeweitet (bisher: nur IT-Berufe). Mit einer neuen Regelung zur kurzzeitigen Beschäftigung von Drittstaatsangehörigen können Unternehmen leichter auf schwankenden Personalbedarfe reagieren.

Weitere Informationen

Überblick der Bundesregierung: www.bundesregierung.de/breg-de/themen/arbeit-und-soziales/fachkraefteeinwanderungsgesetz-2182168 (Abruf: 28.3.2024).
Das neue Fachkräfteeinwanderungsgesetz auf einen Blick: www.make-it-in-germany.com/de/visum-aufenthalt/fachkraefteeinwanderungsgesetz
Gesetzestext: www.recht.bund.de/bgbl/1/2023/233/VO (Abruf: 28.3.2024).

-Heiko Weckbrodt-