<\/div>\r\n\t\r\n<\/div>
Entwaldungsverordnung (EUDR): Was Unternehmen sofort pr\u00fcfen m\u00fcssen<\/h2>\n
Wie sollten Unternehmen konkret auf die EUDR reagieren, die zum Jahreswechsel in Kraft tritt?<\/strong><\/p>\n\n„Wer noch nie von der EUDR geh\u00f6rt hat, sollte schnell jemanden anrufen, der sich damit auskennt. Ansonsten: Weitermachen. Die politische Situation ist anders als letztes Jahr. Das Portal funktioniert jetzt, daher wird es keine vollst\u00e4ndige Verschiebung geben.“
\nRouben Ebeling<\/p>\n<\/blockquote>\n
Hinweis:
\n<\/strong>Anm. d. Redaktion: Am 26.11.25 hat das EU-Parlament beschlossen, dass gro\u00dfe Unternehmen die EUDR erst ab 30.12.2026 und kleine und mittelgro\u00dfe Unternehmen ab 30.06.2027 anwenden m\u00fcssen. Der EU-Rat muss dem noch zustimmen, doch eine Verschiebung ist derzeit zu erwarten.<\/p><\/blockquote>\nStephan:<\/strong> Eine wichtige Frage ist, wo das eigene Unternehmen in der Lieferkette steht. Ist man eines der gro\u00dfen Unternehmen, muss man schnellstm\u00f6glich umsetzen und vollumfassend einhalten. Steht man weiter unten, wo sich ein mittelst\u00e4ndisches oder kleines Unternehmen h\u00e4ufig befindet, sollte man wissen was zu tun ist, ohne vielleicht selbst in der Pflicht zu sein. Denn: OEMs und Tier 1-Unternehmen werden kommen und Forderungen stellen, um die eigenen Pflichten zu erf\u00fcllen: Damit ist der Lieferant durch die Hintert\u00fcr in der Pflicht zur Umsetzung, wenn er weiter Gesch\u00e4fte machen will.<\/p>\nWie kann ein KMU mit den Pflichten der EUDR umgehen?<\/strong><\/p>\nStephan:<\/strong> Die meisten Anforderungen sind vermutlich bereits erf\u00fcllt \u2013 es ist alles eine Frage des Framings bzw. der Dokumentation. Unterm Strich muss das Unternehmen sicherstellen, dass das Produkt aus nachhaltigen Quellen kommt. Die meisten meiner Mandant:innen setzen das bereits um. Insgesamt sehe ich zumeist \u201eAcht von zehn Punkten\u201c als erf\u00fcllt an. Die zwei restlichen Punkte m\u00f6gen nervig sein, sind aber in der Regel ebenfalls pragmatisch umsetzbar. Grunds\u00e4tzlich geht es darum, richtig zu labeln, was die Unternehmen bereits seit langem erf\u00fcllen und gegebenenfalls bei einigen wenigen Punkten nachzubessern.<\/p>\nRouben:<\/strong> Ein KMU aus dem Schwarzwald, das Kautschuk verarbeitet, sollte doch grunds\u00e4tzlich wissen, wo sein Rohstoff herkommt. Das ist bereits heute gute Gesch\u00e4ftspraxis und sichert das Unternehmen gegen Risiken der Lieferkette ab. Trotzdem gilt: Je gr\u00f6\u00dfer der Abnehmer, desto gr\u00f6\u00dfer die Strahlkraft und damit die Verpflichtungen zur Dokumentation. Um EUDR-konform zu sein muss vielleicht das Lieferantenmanagement professionalisiert werden. Aber im Grundsatz sollte vieles hierf\u00fcr schon gelebte Praxis sein.<\/p>\nWerden die Pflichten der EUDR kontrolliert?<\/strong><\/p>\n\n„Das ist wie mit Radarkontrollen \u2013 nur weil kein Blitzer steht, f\u00e4hrst du nicht 80 km\/h in der Innenstadt.“
\nStephan Ulbrich<\/p>\n<\/blockquote>\n
Stephan:<\/strong> Vieles ist im Bereich der Kontrolle noch ungewiss. Trotzdem gilt das oben gesagte: Die Gesetzgebung normiert die neuen Leitplanken, die es auch ohne Kontrollen zu beachten gilt. Es ist notwendig und sicher pragmatisch, aber trotzdem nachvollziehbar so zu dokumentieren, dass ein neutraler Dritter das Einhalten der Norm erkennen kann. Gro\u00dfe Konzerne w\u00e4hlen sicher einen umfassenden 100%-Ansatz; kleine und mittlere Unternehmen w\u00e4hlen vielleicht lieber \u2013 mangels Ressourcen \u2013 eine schlankere Umsetzung. Grunds\u00e4tzlich gilt: Wer t\u00e4tig war und sich mit den Themen besch\u00e4ftigt hat, hat wenig zu bef\u00fcrchten. Wer gar nichts tut und damit mutwillig die Anforderungen ignoriert, tr\u00e4gt im Verletzungsfall ein immenses Risiko f\u00fcr ein empfindliches Bu\u00dfgeld.<\/p>\nCyber Resilience Act (CRA): Sicherheitsanforderungen f\u00fcr digitale Produkte<\/h2>\n
Ab Dezember 2027 m\u00fcssen alle Anforderungen des Cyber Resilience Acts vollst\u00e4ndig erf\u00fcllt sein. Was m\u00fcssen Unternehmen tun?<\/strong><\/p>\nRouben:<\/strong> Grunds\u00e4tzlich m\u00fcssen Unternehmen sicherstellen, dass ihre digitalen Produkte den Anforderungen des CRA entsprechen. Produkte m\u00fcssen so gestaltet sein, dass sie nicht leicht gehackt oder manipuliert werden k\u00f6nnen\u2013 Bereits ab September 2026 gilt zudem: F\u00fcr bestehende Produkte m\u00fcssen bekannte ausgenutzte Schwachstellen ver\u00f6ffentlicht und der Bundesnetzagentur gemeldet werden.<\/p>\nStephan:<\/strong> Klingt wieder nach viel B\u00fcrokratie, aber auf der anderen Seite wird \u201eGutes Design\u201c nun belohnt. Wer absichtlich unsicher oder ungenau entwickelt, k\u00f6nnte vom Markt verdr\u00e4ngt werden. Der Cyber Resilience Act formalisiert damit, was gute Softwareunternehmen ohnehin bereits tun: Security by design. Zudem wird der Umgang mit Fehlern wichtiger: Transparenz bei Sicherheitsproblemen wird in Zukunft das Vertrauen eher st\u00e4rken als Verschweigen.<\/p>\nNIS-2-Richtlinie: Pflichten f\u00fcr kritische Sektoren und deren Zulieferer<\/h2>\n
Welche Kernanforderungen der NIS-2-Richtlinie sind f\u00fcr Unternehmen im kritischen Sektor besonders herausfordernd?<\/strong><\/p>\nRouben:<\/strong> Die gr\u00f6\u00dfte Herausforderung ist die Unsicherheit, da die Richtlinie nun in nationales Recht umgesetzt werden wird. Dabei ist am Anfang oft unklar, was genau am Ende dabei rauskommt und dann wirklich eingehalten werden muss. Im Kern m\u00fcssen die Unternehmen ein Managementsystem schaffen, das Sicherheitsrisiken, nicht nur bei Software, monitort und fr\u00fch warnt, wenn Sicherheitsprobleme auftreten. Die Anforderungen f\u00fcr kritische Infrastrukturprovider sind dabei gr\u00f6\u00dfer: So muss z. B. ein Stadtwerk, das Strom f\u00fcr eine Stadt bereitstellt, seine Software \u00fcberwachen, um sicherzustellen, dass die kritische Infrastruktur verf\u00fcgbar bleibt.<\/p>\nMonitoring-Systeme geh\u00f6rten doch schon vor NIS-2 zum Standard?<\/strong><\/p>\nRouben:<\/strong> Genau, Unternehmen im kritischen Sektor haben das bereits heute, weil es notwendig ist. Niemand m\u00f6chte in der Schlagzeile lesen: Das Netz des Stadtwerk war unsicher, wurde empfindlich gest\u00f6rt, und jetzt steht die ganze Stadt im Dunkeln. Die Anforderungen zum Monitoring gab es bereits mit NIS-1 f\u00fcr Unternehmen der kritischen Infrastruktur. NIS-2 erweitert das jetzt allerdings auch auf weniger kritische Sektoren.<\/p>\nTrifft NIS-2 auch Zulieferer?<\/strong><\/p>\nRouben:<\/strong> Ja. Zumindest dann, wenn ein gro\u00dfer Kunde ein Unternehmen ist, welches unter den Anwendungsbereich der NIS-2 f\u00e4llt. Dann gilt: Als Lieferant der Software muss ich ebenfalls die Anforderungen erf\u00fcllen, obwohl ich selbst nicht von der NIS-2 betroffen bin. Das ist eine automatische Kettenreaktion.<\/p>\nKI und Compliance 2026: Chancen, Risiken f\u00fcr Unternehmen<\/h2>\n
Kann KI helfen, Compliance einzuhalten oder ist es eher ein Risiko?<\/strong><\/p>\nRouben:<\/strong> KI analysiert gro\u00dfe Datenmengen gut, wenn sie richtig trainiert ist. Eine KI, die z. B. automatisiert alle Kan\u00e4le absucht, auf denen neue Gesetze ver\u00f6ffentlicht werden und eine Management summary erstellt, schafft ein gutes Fr\u00fchwarnsystem und unterst\u00fctzt ungemein. Rechtsabteilung und Fachbereiche k\u00f6nnen ihre Kapazit\u00e4ten damit auf die clevere Umsetzung konzentrieren. Bei der EUDR kann KI Lieferanten bewerten und beim Risikoscore helfen\u2013 auch das spart manuelle Arbeit. Insgesamt ist die KI – richtig eingesetzt – hervorragend geeignet mit regulatorischen Anforderungen und Prozessen umzugehen.<\/p>\nViele Unternehmen sorgen sich um Datenschutz<\/strong><\/p>\nRouben:<\/strong> Und das vollkommen zurecht. Personenbezogene Daten d\u00fcrfen ohne Erlaubnis nicht in KI-Systemen verwendet werden. Ein KI-System ist zun\u00e4chst auch eine Software. Unternehmen m\u00fcssen dringend KI-Kompetenzen z. B. durch Schulungen bei den Mitarbeitenden aufbauen. Dazu z\u00e4hlen neben richtiger Anwendung wie das prompten auch Datenschutz und Informationssicherheit. Man muss regelm\u00e4\u00dfig erkl\u00e4ren: Was darf ich hochladen und was nicht? Die Alternative ist eine vern\u00fcnftige, DSGVO- und informationssichere KI; dann besteht ein Gro\u00dfteil der Probleme, die die Datensicherheit betreffen, nicht mehr.<\/p>\nShadow AI in Unternehmen: Wie sollte die Gesch\u00e4ftsf\u00fchrung reagieren?<\/strong><\/p>\nStephan:<\/strong> Die Frage lautet eigentlich: Warum nutzen Mitarbeitende Shadow AI also KI-Tools, die vom Unternehmen nicht autorisiert wurden? Sie nutzen es, weil es gut, schnell und effizient ist. Wenn man das verbietet, hat das eigene Unternehmen eigentlich automatisch einen Wettbewerbsnachteil. Die L\u00f6sung ist f\u00fcr mich: Sichere KI-Tools bereitstellen, die DSGVO-konform sind und der Shadow AI den Rang ablaufen.<\/p>\n\n„Statt es zu verbieten, stelle eine gro\u00dfartige Alternative bereit \u2013 dann hat keiner einen Grund, auszuweichen.“
\nStephan Ulbrich<\/p>\n<\/blockquote>\n
Unsicherheiten und Haftungsrisiken<\/h2>\n
Unsicherheiten in vielen Bereichen bestimmen den Alltag: Was heute geplant ist, wird morgen verschoben.<\/strong><\/p>\nRouben:<\/strong> Das ist eine gro\u00dfe Herausforderung. Die Frage ist: Woran orientiert man sich? An seinem Business Case oder nur daran, wozu Gesetze verpflichten? Wer nur den Regulierungen folgt, f\u00fcr den wird es schnell unplanbar. Wichtig ist also die Umsetzung der Verordnung dem Business Case anzupassen und nicht andersherum.<\/p>\nUnternehmensrisiken und Rechtsunsicherheit: Wie sollten Firmen auf unklare Vorschriften und potenziell hohe Bu\u00dfgelder reagieren?<\/strong><\/p>\nStephan:<\/strong> Das Problem ist, dass die EU in ihrer Normgebung unbestimmte Rechtsbegriffe mit Bu\u00dfgeldern kombiniert, die sich teilweise am Umsatz orientieren. Das ist die schlimmste Kombination: Unklare Rechtslage und fast unbegrenztes oder extrem hohes Risiko. Leider scheint zumindest das hohe Bu\u00dfgeld von der EU gewollt zu sein: im Zweifel sorgen empfindliche Bu\u00dfgelder daf\u00fcr, dass der:die Anwender:in die Verordnung ernst nimmt. Hier gilt meiner Meinung nach umso mehr das gesunde Augenma\u00df: wer gar nichts tut hat ein hohes Risiko f\u00fcr sehr hohe Bu\u00dfgelder. Wer sich M\u00fche in der Umsetzung gibt und entsprechende Ergebnisse vorweisen kann minimiert damit auch sein Bu\u00dfgeldrisiko.<\/p>\nWelche Handlungsempfehlung hast du f\u00fcr deine Mandanten?<\/strong><\/p>\nStephan:<\/strong> Das was ich zumeist rate: Gesunden Menschenverstand und Pragmatismus walten zu lassen. Der Rechtsberatende des Vertrauens ist einer von vielen, die dem Unternehmenden helfen, eine strategisch vern\u00fcnftige Entscheidung umzusetzen. Es gilt f\u00fcr eine ordnungsgem\u00e4\u00dfe Gesch\u00e4ftst\u00e4tigkeiten Mittel und Wege zu finden, pragmatisch die EU-Gesetze einzuhalten \u2013 ohne dabei riesige Abteilungen als Wasserkopf aufzubauen. Kopf anschalten, gesunden Menschenverstand nutzen, vern\u00fcnftige Risikoabw\u00e4gungen treffen, dann funktioniert es.<\/p>\n\n„Der gesunde Menschenverstand sollte die ma\u00dfgebende Entscheidungsgewalt sein.“
\nRouben Ebeling<\/p>\n<\/blockquote>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Wie in jedem neuen Jahr kommen gesetzliche Ver\u00e4nderungen auf Unternehmen zu. Neben dem viel diskutierten EU AI Act treten verschiedene Regulierungen in Kraft, die Unternehmen beachten m\u00fcssen. Die Rechtsanw\u00e4lte Rouben Ebeling und Stephan Ulbrich ordnen ein, was KMU und gro\u00dfe Unternehmen zu NIS-2 oder der EUDR wissen m\u00fcssen und worauf es bei den Sicherheitsanforderungen f\u00fcr<\/p>\n