Rechtsanwalt Dr. jur. Christian Cloos, Rechtsberater in Koblenz
Magazin
Unser Infoservice für Sie
Donnerstag, 05.09.2024

Sechster Referentenentwurf konkretisiert die neuen Unternehmens-Cybersicherheitsanforderungen nach NIS 2



von
Dr. jur. Christian Cloos
Rechtsanwalt

Rufen Sie mich an: 0261 - 404 99 45
E-Mail:

Viel Zeit bleibt für den deutschen Gesetzgeber nicht mehr: Bis zum 17.10.2024 muss er wie sämtliche Mitgliedsstaaten der Europäischen Union (EU) die Neufassung der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (im Folgenden: NIS 2-RL) in nationales Recht umgewandelt haben. Damit wird Cybersicherheit für viele tausend ansässige Unternehmen bald erstmalig zur gesetzlichen Pflicht werden. Am 24.06.2024 hat das Bundesministerium des Inneren und für Heimat den mittlerweile sechsten Referentenentwurf eines Gesetzes zur Umsetzung der NIS 2-RL („RefE“) veröffentlicht. Trotz weiterhin verharrender Widerstände und Uneinigkeiten scheint es durchaus wahrscheinlich, dass es jedenfalls der für den Mittelstand neuralgische „Teil 3“ des Entwurfs (mit den darin enthaltenen Maßnahmen zum unternehmerischen Risikomanagement und insbesondere den Meldepflichten im Falle von erheblichen IT-Zwischenfällen) ohne gravierende Veränderungen auch den Weg ins Bundesgesetzblatt finden wird – Anlass genug, sich mit den Auswirkungen für die betroffenen Unternehmen genauer zu befassen.

 

I.  Persönlicher Anwendungsbereich – breit gefächerte Wirtschaftszweige

Art. 20 Abs. 1 NIS 2-RL schreibt vor, dass die Mitgliedstaaten gewährleisten, dass die Leitungsorgane besonders wichtiger und wichtiger Einrichtungen die von diesen ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen. § 38 Abs. 1 RefE nimmt dies auf. Die unternehmerische Betroffenheit hängt demnach im Ausgangspunkt davon ab, wer unter die auf den ersten Blick etwas ominös anmutenden besonders wichtigen und wichtigen Einrichtungen fassen ist.

Hier hilft § 28 RefE weiter, der jedoch mit seinen insgesamt neun Absätzen mit Ausnahmen, Verweisen und Definitionen (eher) sperrig daherkommt und dadurch die Praxis vor gewisse Herausforderungen stellen dürfte.

1.  Unter die besonders wichtigen und wichtigen Einrichtungen werden nach § 28 Abs. 1 und 2 RefE zunächst (unabhängig von ihrer Größe) Unternehmen gefasst, welche kritische Anlagen betreiben, Anbieter und Betreiber öffentlich zugänglicher Telekommunikationsdienste oder öffentlicher Telekommunikationsnetze, (qualifizierte) Vertrauensdienstanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter sind.

Der RefE enthält (wie die NIS 2-RL) weiterhin zwei Anlagen, in denen die betroffenen Sektoren und Arten von Einrichtungen jeweils einzeln aufgeführt werden. Für die eingangs genannten Einrichtungen sieht der RefE freilich eine Geltung unabhängig davon vor, ob sie in den beiden Anhängen genannt werden und geht damit teils über die NIS 2-RL (vgl. Art. 2 Abs. 1) hinaus, was wegen des mindestharmonisierenden Gehalts der RL (Art. 5) keinen Bedenken unterliegt. Infolge der hier fehlenden Mindestgröße und nicht vorhandenen anderweitigen begrifflichen Begrenzung könnten etwa schon kleinste „Anbieter öffentlicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze“ einbezogen werden. So könnten unter Umständen schon Anbieter öffentlicher WLAN-Hotspots zu Betroffenen werden. Hier bleiben die weitere Entwicklung und Aufnahme in der Praxis abzuwarten.

2.  Gerade vom Mittelstand im Auge zu behalten ist aber § 28 Abs. 1 Nr. 4, Abs. 2 Nr. 3 RefE:

Hier sind nun – besonders weitreichend – sämtliche Unternehmen betroffen, welche den sog. Schwellenwert für mittlere Unternehmen überschreiten und in einer der beiden erwähnten Anlagen als besonders wichtige bzw. wichtige Einrichtungen sektoral aufgelistet werden.

Darunter fallen gesetzlich exemplarisch Unternehmen in den Bereichen Energie, Luft-, Schien-, Straßen- und Schiffsverkehr, Finanzwesen, Gesundheit, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Abfallwirtschaft, chemische Erzeugnisse oder Lebensmittel, verarbeitendes Gewerbe bzw. Herstellung von Waren, digitale oder IT-Dienste. Man nimmt hier nicht ohne Verwunderung die breite Fächerung der Wirtschaftszweige wahr, die über eine reine Daseinsvorsorge deutlich hinausgehen und eine Vielzahl mittelständischer Betriebe einschließt („einmal quer durch die Wirtschaft“). Es entspricht der Sorgfalt (auch) des Mittelständlers, sich der eigenen unternehmerischen Betroffenheit zu vergewissern.

Dies wird gerade zu Beginn nicht immer schnell und einfach zu ermitteln sein. Hier machen es den Unternehmen die beiden gesetzlichen Anlagen mit den begrifflichen Weiterverweisungen auf wiederum weitergehendes EU-Verordnungsrecht alles andere als einfach. Wer hier bei der Prüfung der unternehmerischen Betroffenheit den Überblick verliert, der sollte juristischen Beistand nicht scheuen, um nicht von den Auswirkungen von NIS 2 übermannt zu werden.

Für die Ermittlung der Unternehmensgröße nimmt Art. 2 Abs. 1 NIS 2-RL auf die Empfehlung der EU-Kommission zu der Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen vom 06.05.2003 (kurz: „KMU-Definition“) Bezug. Dies wird von § 28 Abs. 3 RefE übernommen. Es sind sämtliche Unternehmen unter die fraglichen Einrichtungen zu fassen, die 50 oder mehr Personen beschäftigen oder einen Jahresumsatz von mehr als 10 Mio. EUR erzielen und eine Jahresbilanzsumme von mehr als 10 Mio. EUR aufweisen.

3.  Undurchsichtig wird es, wenn mehrere Unternehmen gemeinschaftlich agieren (s. ausführlich zum Folgenden auch Hessel/Callewaert/Schneider, RDi 2024, 208, 209 ff.).

Dabei gerät die starre Anknüpfung an den Einrichtungsbegriff (vgl. Art. 6 Nr. 38 NIS 2-RL) an seine Grenzen. Innerhalb eines Konzerns kann eigentlich lediglich dasjenige Unternehmen als Rechtsträger verpflichtet sein, das (nachweislich) eigene Tätigkeiten ausübt. Dies wird künftig schwierige, im Einzelnen ungeklärte Abgrenzungsfragen aufwerfen.

Das ursprüngliche deutsche Konzept des gemeinsamen Betreibers haben weder die NIS 2-RL noch der RefE übernommen. So dürfte nur das Einzelunternehmen als Rechtspersönlichkeit in die Pflicht genommen werden können, nicht aber der Unternehmensverbund. Wie die Praxis diese „Schutzlücke“ aufnimmt, darf mit Spannung erwartet werden.

4.  Unter Zugrundelegung der Begründung des deutschen RefE geht das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) davon aus, dass in Deutschland schätzungsweise 8.250 Unternehmen als besonders wichtige und 21.600 Unternehmen als wichtige Einrichtungen von dem Gesetz betroffen sein werden. Dies wird neben börsennotierten Großunternehmen auch eine Vielzahl von mittelständischen Unternehmen einschließen. Für die Wirtschaft soll sich der jährliche Erfüllungsaufwand um rund 2,3 Milliarden Euro erhöhen.

Einzelfragen und sektorale Unklarheiten im Detail werden zumindest vorerst bleiben.

 

II.  Auswirkungen für die betroffenen Unternehmen

Der Ausgangspunkt der Cybersicherheitspflichten der betroffenen Einrichtungen, der sich im Wesentlichen an Art. 21 Abs. 1 NIS 2-RL anlehnt und so Teil der nationalen Umsetzungspflicht ist, findet sich in § 30 Abs. 1 RefE: Die Unternehmen müssen sicherstellen, dass sie geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen umsetzen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

Dies umfasst jedenfalls die drei bekannten wesentlichen Eckpfeiler zur Informationssicherheit: Verfügbarkeit, Integrität und Vertraulichkeit. Darüber hinaus bringt § 30 Abs. 1 RefE in Bezug auf konkrete weitergehende Unternehmenspflichten derzeit nicht allzu viel Licht, entspricht aber dem weiten gesetzgeberischen Ansatz. Damit wird umzugehen sein.

Die Einhaltung der Verpflichtungen ist durch die Einrichtungen zu dokumentieren.

1.  Konkreter möchte der Gesetzgeber alsdann aber in § 30 Abs. 2 RefE mit den dort aufgelisteten Mindestmaßnahmen zum unternehmerischen Risikomanagement werden. 

Danach werden beispielsweise ein Konzept zu Risikoanalyse, Backup-Management im Notfall, grundlegende Verfahren zu Cyberhygiene und Schulungen sowie Schulungen zu Aspekten der Cybersicherheit, Zugangskontrollkonzepte oder Einsatz von Kryptografie und Verschlüsselung fortan abverlangt. Auch insofern sollte überprüft werden, ob die Vorgaben bereits der eigenen unternehmerischen Praxis entsprechen.

Interessant ist, dass zu den aufgeführten Mindestmaßnahmen nach § 30 Abs. 2 S. 2 Nr. 4 RefE (insoweit deckungsgleich mit Art. 21 Abs. 2 lit. d) NIS 2-RL) über die Perspektive des einzelnen Unternehmens hinaus auch die Sicherheit in der Lieferkette gezählt wird. Hierbei wird dem Gedanken der Abhängigkeit und somit zugleich des wechselseitigen Gefährdungspotentials im Ansatz nachvollziehbar Rechnung getragen. Mögen die Schutzstandards in dem Unternehmen „X“ noch so hoch sein, so hilft dies nur bedingt, wenn dieses unzureichenden Standards des Unternehmens „Y“ in der Lieferkette ausgesetzt ist.

Andererseits bleibt unklar, welche Maßnahmen nun in der Lieferkette gefordert werden. Die Vorschrift trägt – wie ErwG 54 NIS 2-RL zu entnehmen ist – vermehrten „Angriffen auf die Lieferkette“ in der jüngeren Vergangenheit Rechnung, ohne allerdings das Pflichtenprogramm zu konkretisieren. Die Standards sollten gerade an dieser Stelle präzisiert werden (bestimmte Vertragswerke hinreichend?; Nachweise über getroffene Maßnahmen des Unternehmens in der Lieferkette?; Umfang der Einwirkungs- und Kontrollpflichten der vom Einzelunternehmen hinzugezogenen Drittdienstleister?; sonstige Informations- und Aufklärungspflichten?). Dies scheint nicht zu zuletzt deshalb elementar, weil diese Anforderungen innerhalb der Lieferkette auch auf die (von NIS 2 eigentlich gar nicht erfassten) kleineren Unternehmen unterhalb der Schwellenwerte (weniger als 50 Mitarbeiter/-innen, s.o.) faktisch durchschlagen werden, die etwa als Zulieferer plötzlich „mit im Boot sitzen“. Wenn der Gesetzgeber hier freie Hand lässt, besteht die Gefahr, dass die kleinen Unternehmen davon völlig übermannt werden, wenn sie die (ggf. zu) strengen Vertragsvorgaben der NIS 2-Unternehmen nicht mitgehen können.

2.  Besonders neuralgisch ist indessen gerade für den Mittelstand ist ein erläuterungsbedürftiges, mehrstufiges und zahlreichen Unternehmen zur Zeit noch in Gänze fremdes Spektrum von Anzeigepflichten gegenüber einer staatlich einzurichtenden gemeinsamen Meldestelle, das bei sog. erheblichen Sicherheitsvorfällen zum Tragen kommen wird (vgl. § 32 RefE). 

Dies sind nach § 2 Abs. 1 Nr. 11 RefE Ereignisse, a.) die schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht haben oder verursachen können; oder b.) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt haben oder beeinträchtigen können. 

Soweit ein solcher IT-Zwischenfall vorliegt, so hat das betroffene Unternehmen nach § 32 Abs. 1 Nr. 1 RefE unverzüglich, aber spätestens 24 Stunden nach Kenntniserlangung, eine sog. erste Frühmeldung abzugeben, ob der Verdacht besteht, dass der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und auch grenzüberschreitende Auswirkungen haben könnte. Nach § 32 Abs. 1 Nr. 2 RefE ist einem zweiten Schritt spätestens innerhalb von 72 Stunden nach Kenntniserlangung eine weitere Meldung zu übermitteln, die diese Informationen bestätigt oder aktualisiert sowie gleichzeitig eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, enthält und ggf. die Kompromittierungsindikatoren angibt. Nach § 32 Abs. 1 Nr. 4 RefE muss dann spätestens einen Monat später eine dritte Meldung mit einer detaillierten Beschreibung des Vorfalls an die Meldestelle übermittelt werden. Diese muss ebenfalls Informationen über die Art der Bedrohung und die zugrunde liegende Ursache enthalten, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat, Angaben zu getroffenen und laufenden Abhilfemaßnahmen bzw. ggf. grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls einschließen.

Es scheint für die betroffenen Unternehmen nicht nur ratsam, sondern unumgänglich, diese neuen abgestuften Meldepflichten schon im Vorfeld zu verinnerlichen und intern zu erproben, um nicht bei einem solchen Cybervorfall den knappen Zeitspannen überfordert ausgesetzt zu sein. Abläufe sollten gestaltet und Bereitschaftsdienste (unbedingt) eingerichtet werden. Man sollte sich den jeweiligen unternehmerischen Pflichten nicht nur bewusst sein, sondern diese auch jederzeit umsetzen können. Für viele Betriebe wird es sich um völliges Neuland handeln.

Hinzu kommt, dass die vorgehenden IT-Meldepflichten bei erheblichen Sicherheitsvorfällen darüber hinaus (auch weiter) bestehende Meldepflichten aufgrund von anderen gesetzlichen Bestimmungen keinesfalls ausschließen. Zu denken ist hier nicht zuletzt auch an die ebenfalls europäisch statuierte Meldepflicht des Verantwortlichen gegenüber der Datenschutzbehörde nach Art. 33 DS-GVO, wenn der Vorfall – was häufig der Fall sein wird – mit der Verletzung des Schutzes personenbezogener Daten einhergeht. Mithin können also simultane Meldepflichten gegenüber unterschiedlichen Stellen bestehen. Und besonders unglücklich für das betroffene Unternehmen: Nach Art. 33 Abs. 1 DS-GVO muss die Meldung gleichfalls unverzüglich sein, möglichst aber binnen 72 Stunden erfolgen. Dies macht es besonders herausfordernd.

3.  § 33 Abs. 1 RefE sieht zusätzlich eine Registrierungspflicht für die betroffenen Unternehmen bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unter Nennung der in der Bestimmung aufgelisteten Daten vor. § 34 RefE sieht eine besondere Registrierungspflicht für bestimmte Einrichtungsarten vor. § 31 RefE und 39 RefE enthalten besondere Anforderungen an die Risikomanagementmaßnahmen und aktive Nachweispflichten für Betreiber kritischer Anlagen. Dies sind nach § 28 Abs. 6 RefE natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt. Welche Anlagen als kritische Anlagen im Sinne dieses Gesetzes gelten, soll nach § 58 Abs. 4 RefE durch Rechtsverordnung festgelegt werden.

4.  Nicht unumstritten ist auch § 38 RefE mit den Pflichten von Geschäftsleitern

§ 38 Abs. 1 RefE verpflichtet die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen dazu, die von diesen Einrichtungen nach § 30 RefE unternehmerisch zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Die grundsätzliche gesetzgeberische Rückanbindung zu § 30 Abs. 1 RefE ist hier unverkennbar (s.o.).

Für NIS 2-Verstöße sollen die Geschäftsleitungen als Konsequenz der Verantwortlichkeit nach den anwendbaren Regeln des Gesellschaftsrechts haftbar gemacht werden (§ 30 Abs. 2 RefE).

Die Diskussion ist größtenteils müßig. Art. 20 Abs. 1 und Art. 32 Abs. 6 NIS 2-RL schreiben hier eine Haftbarmachung der Geschäftsleitungen einrichtungsübergreifend vor. § 38 Abs. 2 RefE ist entsprechend der unionsrechtlichen Verpflichtung zur Umsetzung der RL geschuldet. Dass unabhängig davon unternehmerisch sorgfältige Risikomanagementmaßnahmen im Bereich der Cybersicherheit auf der Grundlage der NIS 2-RL unerlässlich sind, für deren Einhaltung und Überwachung gerade die Geschäftsleitungen (Geschäftsführer und Vorstände) an vorderster Front berufen sind, dürfte ebenfalls nicht ernsthaft diskutabel sein. Die Pflichtenprogramme der Leitungsorgane nach § 38 Abs. 1 RefE, worunter nach § 38 Abs. 3 RefE nicht zuletzt auch regelmäßige Teilnahmen an Schulungen fallen, werden jeweils in die gesellschaftsrechtlichen Vorgaben (z.B. §§ 43 GmbHG, 93 AktG) in richtlinienkonformer Auslegung einfließen.

 

III.   Behördliche Eingriffsbefugnisse und drohende Sanktionen

An der Stelle wirkt sich die Unterscheidung zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen aus.

Dies manifestiert sich darin aus, dass bei „wichtigen“ Einrichtungen geringere Geldstrafen bei Verstößen vorgesehen sind und diese lediglich in Verdachtsfällen nachträglichen (reaktiven) Aufsichtsmaßnahmen ausgesetzt sind, während dem Bundesamt bei „besonders wichtigen“ Einrichtungen auch jederzeitige präventive (proaktive) Aufsichtsbefugnisse zustehen.

1.  Bei besonders wichtigen Einrichtungen kann das Bundesamt sog. Präventivkontrollen (etwa in Form von Vor-Ort-Kontrollen) durchführen und sich dazu eines qualifizierten unabhängigen Dritten bedienen (Art. 63 Abs. 5 RefE, Art. 32 Abs. 2 NIS 2-RL). Das betroffene Unternehmen hat dazu dem Bundesamt bzw. den in dessen Auftrag handelnden Personen zum Zwecke der Überprüfung das Betreten der Geschäfts- und Betriebsräume zu den üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und insgesamt die erforderliche Unterstützung zu gewähren. Für diese Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem betroffenen Unternehmen, wenn es aufgrund von konkreten Anhaltspunkten tätig geworden ist, die im Vorfeld berechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Abs. 1 RefE aufkommen ließen.

Bei „wichtigen“ Einrichtungen können jedoch keine anlasslosen Vorabkontrollen durchgeführt werden. Bei diesen können Maßnahmen nach § 64 RefE nur nachträglich getroffen werden, wenn konkrete „Tatsachen“ die Annahme rechtfertigen, dass die „wichtige“ Einrichtung die NIS 2-Anforderungen nicht oder nicht richtig umsetzt.

Die je nach Einrichtung unterschiedlich ausgeprägten Eingriffsbefugnisse sind in Art. 32 Abs. 1, 33 Abs. 1 NIS-2-RL europäisch angelegt. Dem möchte der Gesetzgeber entsprechen.

2. Verstöße gegen die NIS 2-Vorschriften werden bußgeldbewehrt sein. Die Bußgeldtatbestände finden sich im Einzelnen in § 67 RefE. Wie im Bereich der Eingriffsbefugnisse wird auch bei der Bußgeldhöhe zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen abgestuft.

Bei „besonders wichtigen“ Einrichtungen kann die Bußgeldhöhe – z.B. bei Nicht-Ergreifen der zu treffenden Risikomanagementmaßnahmen oder wenn den einschlägigen Meldepflichten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachgekommen wird (s.o.) – nach §§ 67 Abs. 5 Nr. 1 a), Abs. 6 RefE bis zu 10 Mio. EUR oder bei einem Jahresumsatz von mehr als 500 Mio. EUR bis zu 2 Prozent dieses Jahresumsatzes betragen.

Für „wichtige“ Einrichtungen sind hier nach §§ 67 Abs. 5 Nr. 1 b), Abs. 7 RefE Höchstbeträge von sieben Mio. EUR oder 1,4 Prozent des Jahresumsatzes vorgesehen.

Nach § 67 Abs. 8 RefE ist jeweils der weltweit erzielte Jahresumsatz des Unternehmens aus dem Geschäftsjahr entscheidend, das dem Verstoß vorausgegangen ist.

Die Systematik der Sanktionen entspringt Art. 34 Abs. 4, 5 NIS 2-RL.

3.  Außerdem können den Geschäftsleitungen „besonders wichtiger“ Einrichtungen unter den Voraussetzungen des § 63 Abs. 9 Nr. 2 RefE (Nicht-Nachkommen der jeweiligen Anordnungen des Bundesamtes trotz Fristsetzung) von der zuständigen Aufsichtsbehörde sogar die weitere Ausübung von Vertretungs- und Leitungsaufgaben untersagt werden, bis die Einrichtung den Anordnungen des Bundesamtes nachkommt. Der Gesetzgeber spricht in dem Zusammenhang von „unzuverlässigen“ Geschäftsleitungen. Ob dies angesichts der erheblichen Pflichtenkreise, die NIS 2 den Unternehmen auferlegt, passend ist, sei dahingestellt.

§ 63 Abs. 9 Nr. 2 RefE dient der Umsetzung von Art. 32 Abs. 5 lit. b) NIS 2-RL.

 

IV.   Fazit und Ausblick

Die NIS 2-RL und ihre Umsetzung beschränken sich im persönlichen Anwendungsbereich nicht auf börsennotierte Großunternehmen. Gerade für den gesetzlich ebenfalls eingeschlossenen Mittelstand sind die genauen Auswirkungen teilweise noch nicht absehbar. Der deutsche RefE gerät an nicht wenigen Stellen „sperrig“ und ist aufgrund der vielen Absätze und Verweise in den jeweiligen Bestimmungen schwierig zu durchdringen. Dies ist insbesondere angesichts der einschneidenden unternehmerischen Auswirkungen und erheblichen Sanktionen unglücklich. Zum Teil bleiben auch die Pflichtenkreise an sich (zu) unspezifisch. Insofern sollte der deutsche Gesetzgeber nach der Meinung des Verfassers „nachjustieren“. Dass dies geschieht, ist freilich ebenso zweifelhaft wie ein Einhalten der nationalen Umsetzungsfrist.

Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.


Anwälte finden