Greenwashing-Verbot ab September: Millionenschäden durch fehlende Übergänge

Während das Hinweisgeberschutzgesetz und das Lieferkettensorgfaltspflichtengesetz (LkSG) längst zum Alltag gehören, kommen mit KI-Vorgaben und Nachhaltigkeitsauflagen neue Herausforderungen auf die Vorstände zu. Wer jetzt nicht umdenkt, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung.

Wenn Meldesysteme zur Pflicht werden

Seit Juli 2023 gilt das Hinweisgeberschutzgesetz, seit Januar 2023 das LkSG. Die Praxis zeigt: Unternehmen haben ihre internen Meldesysteme professionalisiert. Ein Beispiel ist die RSAG, die ihre Beschwerdestelle so ausgerichtet hat, dass Verstöße entlang der gesamten Lieferkette erfasst werden können. Seit Januar 2024 gilt diese Pflicht für die gesamte RVV-Gruppe.

Seit Juli 2023 sind Unternehmen ab 250 Mitarbeitern zur Umsetzung des Hinweisgeberschutzgesetzes verpflichtet – doch viele machen dabei kritische Datenschutzfehler. Dieser kostenlose Praxisleitfaden mit Checkliste zeigt Schritt für Schritt, wie Sie interne Meldestelle rechtssicher und DSGVO-konform organisieren. Kostenlosen Leitfaden zum HinSchG jetzt herunterladen

Diese Stellen sind längst keine isolierten Einheiten mehr. Das LkSG verlangt, dass die Sorgfaltspflicht die komplette Lieferkette umfasst. Unternehmen müssen Kanäle schaffen, über die potenzielle Menschenrechtsverletzungen oder Umweltverstöße gemeldet werden können. Die Behörden prüfen zunehmend, ob diese Systeme auch tatsächlich funktionieren. Wer hier nachlässig ist, riskiert empfindliche Geldstrafen oder den Ausschluss von öffentlichen Aufträgen.

Persönliche Haftung: Vorstände im Visier

Die Compliance-Last wird zunehmend persönlich. Gleich zwei richtungsweisende Urteile des Bundesgerichtshofs (BGH) haben die Lage für Führungskräfte verschärft. Im Juli 2024 entschieden die Karlsruher Richter: Geschäftsführer haften für verspätete Insolvenzanmeldungen aus ihrer Amtszeit – und das auch nach ihrem Ausscheiden aus dem Unternehmen. Die Haftung ist zeitlich unbegrenzt.

Nur wenige Monate später, im Dezember 2024, folgte der nächste Paukenschlag: Klauseln, die eine D&O-Versicherung automatisch bei Insolvenzantragstellung beenden, sind unwirksam. Stattdessen gilt eine Mindestkündigungsfrist von einem Monat.

Rechtsexperten raten daher, vom verbreiteten „Claims-made"-Prinzip bei Versicherungen auf eine „Occurrence"-Deckung umzusteigen. Die schützt besser vor langfristigen Haftungsrisiken. Ansprüche aus bestimmten Insolvenzverstößen verjähren nach fünf Jahren, bei börsennotierten Unternehmen sogar erst nach zehn Jahren. Robuste Compliance-Systeme sind daher nicht nur Organisationspflicht, sondern auch Schutzschild für das Privatvermögen von Vorständen.

Zehn Jahre DSGVO: KI macht Datenschutz komplexer

Der 25. Mai 2026 markiert den zehnten Jahrestag des Inkrafttretens der DSGVO. Die Bilanz ist beeindruckend: Rund sechs Milliarden Euro Bußgelder haben die Aufsichtsbehörden in knapp 2.900 dokumentierten Fällen verhängt. Doch die Komplexität steigt weiter – vor allem durch Künstliche Intelligenz.

Aktuelle Beobachtungen zeigen: 63 Prozent der Organisationen können die Zweckbindung für KI-Agenten nicht durchsetzen. 60 Prozent sind nicht in der Lage, Agenten mit unerlaubtem Verhalten rechtzeitig zu stoppen. Modelle wie „Mythos", die autonom Schwachstellen aufspüren können, verschärfen die Risiken für Datenschutz und Cybersicherheit zusätzlich.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele Unternehmen noch nicht kennen – insbesondere bei der Einstufung von Hochrisiko-Systemen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den nötigen Überblick über alle relevanten Fristen, Pflichten und Risikoklassen. Kostenlosen KI-Leitfaden für Unternehmen sichern

Besonders brisant: Die neue DORA-Verordnung (Digital Operational Resilience Act) und die NIS2-Richtlinie verlangen Meldefristen von 24 Stunden. Seit Inkrafttreten von DORA im Dezember 2025 hat die BaFin bereits über 600 schwerwiegende Vorfälle registriert. Zum Vergleich: Die DSGVO erlaubt noch 72 Stunden. Neun von zehn Cyberangriffen basieren zudem auf kompromittierten Identitäten. Analysten halten die traditionelle rollenbasierte Zugriffskontrolle (RBAC) für unzureichend und plädieren für attributbasierte Verfahren (ABAC) mit modellunabhängigen Prüfpfaden.

Digital Omnibus und Greenwashing-Verbot: Die nächsten Deadlines

Der regulatorische Kalender ist voll. Am 6. Mai 2026 wurde eine Einigung zum „Digital Omnibus" erzielt, der klare Fristen für die KI-Regulierung setzt:

• 2. Dezember 2026: Transparenzlösungen für KI-generierte Inhalte müssen stehen, „Nudifier"-Anwendungen werden verboten
• 2. Dezember 2027: Eigenständige Hochrisiko-KI-Systeme werden reguliert
• 2. August 2028: In Produkte integrierte KI-Systeme folgen

Parallel dazu tritt am 27. September 2026 die EU-EmpCo-Richtlinie gegen Greenwashing in Kraft. Wirtschaftsverbände schlagen Alarm: Fehlende Übergangsfristen könnten zur Vernichtung millionenschwerer Warenbestände führen, wenn diese nun verbotene Umweltaussagen tragen. Günter Thumser, Geschäftsführer des MAV, bezeichnet die fehlenden Übergangsregelungen als problematisch und fordert Abverkaufsfristen bis zur Restentleerung der Lager. Das Bundesjustizministerium schlägt zwar Überklebelösungen vor, doch die Verbände halten diese für zu teuer und logistisch aufwendig.

Vom Reagieren zum Vorbeugen

Die Entwicklung zeigt einen klaren Trend: Compliance wird von einer reaktiven Übung – Reaktion auf eine Whistleblower-Meldung oder einen Datenleck – zu einer proaktiven Managementstrategie. Mit dem EU Cyber Resilience Act (CRA), der 2027 verbindlich wird, müssen Hersteller Sicherheit über den gesamten Produktlebenszyklus integrieren.

Die Zahlen sprechen für sich: Unternehmen brauchen im Schnitt 24 Tage, um den Betrieb nach einem schweren Cybervorfall wiederherzustellen. In einer hochintegrierten Weltwirtschaft kann das existenzbedrohend sein. Zentrales KI-Governance-Systeme gibt es derzeit erst in 43 Prozent der Organisationen – das wird sich schnell zum Wettbewerbsnachteil entwickeln.

Ausblick: Was jetzt zählt

Für die zweite Jahreshälfte 2026 stehen die Zeichen auf Sturm. Unternehmen müssen sich auf die EmpCo-Frist im September vorbereiten, um Verkaufsverbote und Rückrufaktionen zu vermeiden. Gleichzeitig müssen die technisch-organisatorischen Maßnahmen (TOMs) an die neuen KI-Realitäten angepasst werden.

KI-Regulatory-Sandboxes der Behörden, die bis August 2027 erwartet werden, bieten zwar einen kontrollierten Testraum. Die unmittelbare Priorität liegt aber auf der Angleichung der Meldesysteme an die 24-Stunden-Fristen von DORA und NIS2. Während die Bundesregierung noch mit der EU-Kommission über Abverkaufsfristen für greenwashing-gefährdete Waren verhandelt, bleibt den Unternehmen nur eines: agil bleiben und die Compliance-Strukturen so robust machen, dass sie sowohl juristischer Prüfung als auch immer raffinierteren digitalen Bedrohungen standhalten.

de | wirtschaft | 69424100 |