Die regulatorischen Anforderungen an Unternehmen steigen stetig – 2025 ist dabei keine Ausnahme. Besonders in den Bereichen KI- und IT-Compliance, Datenschutz, Cybersicherheit sowie ESG-Reporting stellen neue EU-Verordnungen und -Richtlinien viele Unternehmen vor komplexe Herausforderungen. In diesem Beitrag erhalten Sie eine kompakte Übersicht über die derzeit wichtigsten Entwicklungen und praxisnahe Handlungsempfehlungen zur rechtssicheren Umsetzung.
IT & SOFTWARE COMPLIANCE
KI-Compliance: EU-Verordnung bringt klare Regeln
Die am 1. August 2024 in Kraft getretene KI-Verordnung (EU) 2024/1689 markiert einen Meilenstein: Sie ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz weltweit. Alle Unternehmen, die KI-Systeme nutzen, gelten künftig als „Betreiber“ – mit entsprechenden Pflichten.
Bereits seit Februar 2025 gelten u.a.:
- Kompetenzanforderungen: Mitarbeitende müssen für den Umgang mit KI-Systemen entsprechend geschult sein.
- Verbotene Praktiken: Manipulation, Ausnutzung von Schwachstellen, soziale Bewertung und biometrische Fernidentifikation sind untersagt.
Weitere Informationen finden Sie hier: https://eticor.com/de/blog/ki-verordnung
Wichtig: Ab August 2025 treten zudem Transparenzpflichten für KI-generierte Inhalte in Kraft. Das bedeutet, KI-generierte oder manipulierte Inhalte (z. B. Deepfakes) müssen klar gekennzeichnet werden!
Handlungsempfehlung: Unternehmen sollten bereits jetzt interne Prozesse zur Schulung und Transparenzkennzeichnung aufsetzen und prüfen, ob eingesetzte Tools unter die Hochrisiko-Kategorie fallen.
Ausblick: Die KI-Verordnung entfaltet ihre Wirkung schrittweise. Die vollständige Anwendbarkeit, insbesondere für Hochrisiko-KI-Systeme, ist schließlich für den 2. August 2026 vorgesehen. Das bedeutet: Die Umsetzung ist ein fortlaufender Prozess und KI-Compliance wird auch im kommenden Jahr für Unternehmen von höchster Relevanz sein.
KI und Datenschutz: DSGVO bleibt zentral
Die Nutzung von KI-Systemen ist datenschutzrechtlich sensibel – sobald personenbezogene Daten verarbeitet werden, greift die Datenschutz-Grundverordnung (DSGVO).
Dabei müssen insbesondere folgende Punkte beachtet werden:
- Rechtsgrundlage & Zweckbindung (Art. 5 Abs. 1 lit. a i.V.m. Art. 6 DSGVO und Art. 5 Abs. 1 lit. b DSGVO)
- Betroffenenrechte (insb. Artt. 15–18 DSGVO)
- Datenschutzfolgeabschätzung, wenn es sich um Hochrisiko-KI handelt (Art. 35 DSGVO i. V. m. Art. 26 Abs. 9 KI-VO)
- Automatisierte Entscheidungen dürfen nicht ohne menschliches Eingreifen getroffen werden (Art. 22 DSGVO) – besonders relevant im HR-Bereich.
Handlungsempfehlung: Es empfiehlt sich eine rechtliche Bewertung aller KI-Anwendungen, insbesondere im Personalwesen. KI-Systeme sollten DSGVO-konform implementiert und regelmäßig auditiert werden.
EU Data Act: Neue Pflichten ab September 2025
Der EU Data Act (VO (EU) 2023/2854) tritt am 12. September 2025 vollständig in Kraft und schafft einen einheitlichen Rechtsrahmen für den Zugang zu und die Nutzung von Daten innerhalb der EU – sowohl personenbezogener als auch nicht-personenbezogener Art.
Wen betrifft es?
- Hersteller vernetzter Produkte
- Nutzer solcher Produkte & Dienste
- Dateninhaber, Datenempfänger, Dienstleister
Kerninhalte der Verordnung:
- Regeln für die Datenweitergabe B2C und B2B
- Pflichten zur Datenbereitstellung & -transparenz
- Verbot unfairer Vertragsklauseln in B2B-Verhältnissen
- Weitere Information hier: https://eticor.com/de/blog/eu-data-act
Handlungsempfehlung: Unternehmen sollten jetzt prüfen, ob sie vom EU Data Act betroffen sind, und ihre Dateninfrastruktur sowie bestehende Verträge entsprechend analysieren. Insbesondere Hersteller vernetzter Produkte müssen Transparenzpflichten vorbereiten und technische wie rechtliche Anpassungen bis spätestens 12. September 2025 umsetzen.
NIS-2-Richtlinie: Cybersicherheit im Fokus
Die Umsetzung der NIS-2-Richtlinie in Deutschland verzögert sich weiterhin aufgrund der Bundestagsauflösung und Neuwahlen, sodass ein nationales Gesetz frühestens im zweiten Halbjahr 2025 in Kraft treten dürfte.
Handlungsempfehlung: Obwohl aktuell noch keine verbindlichen deutschen Pflichten bestehen, sollten sich Unternehmen frühzeitig mit den Anforderungen vertraut machen. Die Richtlinie betrifft Unternehmen in kritischen Sektoren und verpflichtet sie zu umfassenden Sicherheitsmaßnahmen. Das BSI bietet hierfür bereits erste Hilfestellungen wie eine Betroffenheitsprüfung und FAQ an.
ESG-COMPLIANCE
Der EU Green Deal wird konkret: Die EU-Verpackungsverordnung (PPWR)
Im Zuge des EU Green Deals tritt die neue EU-Verpackungsverordnung (PPWR) in Kraft, die ab dem 12. August 2026 verbindlich gilt und das deutsche Verpackungsgesetz ersetzt. Ziel ist die Reduzierung von Verpackungsabfällen durch konkrete Recyclingvorgaben, Mindestrezyklatanteile, strengere Stoffbeschränkungen sowie erweiterte Etikettierungs- und Herstellerpflichten.
Ab 2030 sind zudem bestimmte Einwegkunststoffverpackungen verboten, um Umwelt- und Verbraucherschutz weiter zu stärken.
Handlungsempfehlung: Unternehmen sollten jetzt die Verpackungskonzepte überarbeiten und frühzeitig mit der Planung für neue Kennzeichnungs- und Rücknahmesysteme beginnen.
Berichtspflichten im Wandel: CSRD, CSDDD & Omnibus-Verordnung
Die EU-Kommission hat mit dem Entwurf der Omnibus-Verordnung vom 26. Februar 2025 vorgeschlagen, die CSDDD, CSRD und die EU-Taxonomie-Verordnung zu überarbeiten, um die Wettbewerbsfähigkeit der EU zu stärken.
Geplant ist eine Anpassung der Berichtspflichten: Die CSRD soll nur noch Unternehmen mit 1.000 oder mehr Mitarbeitenden und einem Umsatz von mindestens 50 Mio. EUR betreffen, und die EU-Taxonomie-Verordnung soll für Unternehmen mit mindestens 1.000 Mitarbeitenden und einem Umsatz von 450 Mio. EUR gelten.
Zudem wird die Anwendung der CSDDD auf Juli 2028 verschoben, und kleinere Unternehmen unter 500 Mitarbeitenden sollen weniger Berichtspflichten haben. Die Änderungen könnten einige Unternehmen entlasten, aber Unternehmen, die bereits nach der bisherigen CSRD berichtspflichtig sind, bleiben 2025 weiterhin zur Berichterstattung verpflichtet.
Mehr zur Omnibus-VO können Sie in unserem aktuellen Blogbeitrag hier nachlesen.
Handlungsempfehlung: Unternehmen sollten die Zeit nutzen, um interne Prozesse für ESG-Due Diligence und Berichterstattung zu optimieren, auch wenn sie künftig ggf. nicht mehr direkt betroffen sind.
Fazit: Compliance wird strategischer Erfolgsfaktor
Unternehmen werden auch in 2025 und darüber hinaus mit einer zunehmenden Zahl und Vielfalt an regulatorischen Vorschriften konfrontiert. Um den wachsenden Anforderungen gerecht zu werden, ist eine digitale und zukunftsfähige Compliance-Struktur unerlässlich. Es wird entscheidend sein, dass Unternehmen eine flexible Grundlage schaffen, die eine schnelle Anpassung an die sich ständig wandelnden globalen regulatorischen Rahmenbedingungen ermöglicht. Der Aufbau einer digitalen Compliance Organisation ist hierbei der Schlüssel, um langfristige Resilienz und Wettbewerbsfähigkeit zu sichern. Eticor unterstützt Sie als kompetenter Partner, diese neuen Herausforderungen erfolgreich zu bewältigen und Ihr Unternehmen auf die Zukunft vorzubereiten.
Ihre persönlichen Ansprechpartner
Sie haben Fragen zu Eticor oder unserer Compliance Management Software? Dann freuen wir uns auf Ihre Nachricht oder Ihren Anruf.
