BWA-Geschäftsführer Harald Müller: „Über 90 Prozent der Firmen werden allein mit den ESG-Pflichten überfordert sein. Von Cybersicherheit und KI gar nicht zu reden.“
9.07.2024
(Bonn/bwa) – In diesem Herbst schlägt eine dreifache Welle neuer bürokratischer Herausforderungen über der Wirtschaft zusammen, warnt die Bonner Wirtschafts-Akademie (BWA). Als die drei Schwerpunkte der „Monsterbürokratie“ werden die Themengebiete Cyberresilienz, ESG (Environment, Social, Governance; Umwelt, Soziales und Unternehmensführung) und Künstliche Intelligenz (KI) genannt. „Dieser dreiköpfigen Bürokratie-Hydra werden über 90 Prozent der deutschen Wirtschaft weitgehend hilflos gegenüberstehen“, befürchtet BWA-Geschäftsführer Harald Müller, „der Mittelstand sowieso, aber auch viele große Unternehmen werden von dieser dreifachen Welle überrollt werden.“
Besonders schwerwiegend seien die Auswirkungen der NIS2-Richtlinie (Network & Information Security) für Cybersicherheit, die Nachhaltigkeits-Berichtspflichten laut CSRD (Corporate Sustainability Reporting Directive) und die Folgen der KI-Verordnung (Artificial Intelligence Act) unter anderem in Bezug auf den Datenschutz.
Neue Cybersecurity-Richtlinie NIS2 gilt ab Oktober 2024
Auf dem Gebiet Cyberresilienz greift die neue NIS2-Richtlinie ab Oktober dieses Jahres. Die „eigentlich“ primär für die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) gedachte Verordnung zur Abwehr von Hackerangriffen betrifft laut BWA „faktisch einen Großteil der mittelständischen Wirtschaft“. Harald Müller gibt ein Beispiel: „NIS2 gilt nicht etwa nur für Krankenhäuser, die völlig zu Recht als kritische Infrastrukturen gelten, sondern für zahlreiche Zulieferer, die Krankenhäuser zu ihrem Kundenkreis zählen.“ So fallen die Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung unter NIS2. Harald Müller resümiert: „Nur wer in keiner dieser Branchen aktiv ist oder dort einen Kunden hat, darf NIS2 ignorieren. Faktisch bedeutet dies: Wer die Basiskriterien von 50 oder mehr Mitarbeitern und zehn Millionen Euro oder mehr Jahresumsatz erfüllt, sollte sich besser auf NIS2 einstellen.“
„Angesichts von mehr als 2.000 Angriffen täglich aus dem Internet ist die Erhöhung der Cybersicherheit zweifellos ein wichtiges Thema“, gesteht Harald Müller der Bürokratie zu. „Aber der Anforderungskatalog des Gesetzgebers ist derart umfangreich, dass er für viele Mittelständler kaum erfüllbar ist“, gibt er zu bedenken. So müssen sich die Firmen gemäß NIS2 um Risikobewertungen, Anwendungen der Kryptografie, Sicherheitsvorfälle, IT-Sicherheitstrainings, die Sicherheit bei der Beschaffung von Systemen, Multi-Faktor-Authentifizierung, Mitarbeiter mit Zugang zu sensiblen oder auch nur wichtigen Daten, das Management des Geschäftsbetriebs während und nach einem Sicherheitsvorfall, die Sicherheit der Supply Chain und die Bewertung der Wirksamkeit von Sicherheitsmaßnahmen kümmern.
Unbezwingbares Bürokratiemonster
„Im Grunde muss sich jedes Unternehmen nicht nur um die eigene Cyberresilienz bemühen, was schon schwer genug ist, sondern auch um die aller Zulieferer und Zulieferer von Zulieferern sowie um die von Kunden und Kunden der Kunden“, bewertet Harald Müller. Er sagt resigniert: „Faktisch ist das unmöglich. Egal, wie viele Köpfe dieser Bürokratie-Hydra abgeschlagen werden, wachsen angesichts von täglich rund 70 aufgedeckten Schwachstellen in Softwareprogrammen laut Bundesamt für Sicherheit in der Informationstechnologie ständig neue Risikoköpfe nach. Der Gesetzgeber hat ein unbezwingbares Bürokratiemonster erschaffen.“
Das Gesetz zur Umsetzung von EU NIS2 in Deutschland trägt den Namen NIS2UmsuCG und gilt ab Oktober 2024. BWA-Chef Harald Müller empfiehlt: „Die Unternehmen sollten regelmäßig sogenannte Penetrationstests durchführen, also Selbstangriffe auf die eigene IT-Infrastruktur, um Schwachstellen aufzudecken und zu beheben. Dies kann im schlimmsten Fall immerhin als Nachweis dienen, dass man alles versucht hat, Hacker abzuwehren.“
BWA: CSRD-Daten müssen schon ab Anfang 2025 erfasst werden
Im ESG-Bereich drängt vor allem die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, CSRD) zur zügigen Umsetzung. Dabei unterliegen viele Mittelständler einem fatalen Irrtum über den Umsetzungszeitraum, hat die Bonner Wirtschafts-Akademie bei zahlreichen Projekten festgestellt.
Die CSRD trat Anfang 2023 in Kraft, galt aber bislang nur für Unternehmen, die bereits der Pflicht zur nichtfinanziellen Erklärung unterliegen. Ab 2025 gilt sie für alle großen Unternehmen und ab Anfang 2026 auch für kleine und mittlere Unternehmen. BWA-Chef Harald Müller warnt: „Viele Mittelständler widmen der CSRD noch nicht die dringend notwendige Aufmerksamkeit, weil bis 2026 vermeintlich noch über ein Jahr Zeit ist. Das ist ein fataler Irrtum: Wer ab 2026 berichtspflichtig ist, muss rückwirkend für das Jahr 2025 berichten. Das dazu notwendige Berichtswesen muss also noch in diesem Jahr eingerichtet werden, um ab Anfang nächsten Jahres mindestens die gesetzlich vorgeschriebenen 82 Minimalangaben mit 127 Kennzahlen zu erfassen.“
Die Berichtspflichten ab 2025 umfassen die Berechnung des ökologischen Fußabdrucks anhand des Energieverbrauchs und der Treibhausgasemissionen, das Wassermanagement (Verbrauch, Quellen, Initiative zur Wassereffizienz), Abfall- und Recyclingquoten, Lieferkette und Lieferantenmanagement (Lieferantenprüfungen, Standards für soziale und ökologische Verantwortung sowie Maßnahmen zur Förderung von Nachhaltigkeit entlang der gesamten Lieferkette), Engagement und Entwicklung der Mitarbeitenden (Schulungs- und Weiterbildungsprogramme, Zufriedenheit, faire Vergütung, Maßnahmen zur Förderung von Vielfalt und Inklusion) sowie soziale Auswirkungen (Maßnahmen zur Förderung von Menschenrechten, Arbeitsbedingungen, Gesundheit und Sicherheit am Arbeitsplatz sowie ihre Rolle in der Gemeinschaft).
Über 90 Prozent der Firmen werden überfordert sein
„Allein die Erfassung aller dieser sogenannten Datenpunkte stellt für die Unternehmen eine große Herausforderung dar, die parallel zum Tagesgeschäft bewältigt werden muss“, sagt BWA-Chef Harald Müller. In vielen Firmen sei die Digitalisierung nichtfinanzieller Informationen noch gar nicht umgesetzt, sondern die Daten würden einmal jährlich in den unterschiedlichen Bereichen abgefragt und konsolidiert. „IT-Systeme, um die Daten, Ziele und Ambitionen auf den CSRD-Gebieten zu verfolgen, haben die wenigsten Mittelständler in Betrieb“, weiß Harald Müller. Zudem sei es mit der Erfassung aller dieser Angaben keineswegs getan. Er verdeutlicht: „Der Teufel liegt im wortwörtlichen Sinne im Detail, denn jede Angabepflicht verlangt weitere Details und verweist auf zusätzliche Konkretisierungen und Ergänzungen in den Anwendungsleitlinien. Zudem sind für verschiedene Pflichtangaben mehrere Szenarien durchzuführen und die entsprechenden Daten zu analysieren, um Auswirkungen, Risiken und Chancen zu bewerten.“ Nach Einschätzung der Bonner Wirtschafts-Akademie werden mehr als 90 Prozent der mittelständischen Unternehmen in Deutschland mit dem ESG- und CSRD-Pflichten überfordert sein.
Harald Müller empfiehlt: „Die Unternehmen müssen wohl darauf vertrauen, dass auf behördlicher Seite kaum die Kapazitäten bestehen, alle Angaben zu überprüfen, und der Staatsapparat in seinem eigenen Bürokratiewahn letztendlich steckenbleibt. Es dürfte also in vielen Fällen auf absehbare Zeit genügen, wenn der Nachhaltigkeitsbericht einigermaßen glaubwürdig aussieht.“
Doppelte Bedrohung durch Künstliche Intelligenz
Bei Künstlicher Intelligenz (KI) sieht die Bonner Wirtschafts-Akademie gleich zwei akute Gefahrenpotenziale: den AI Act (KI-Gesetz) der Europäischen Union und die sogenannte Schatten-KI, also den betrieblichen Einsatz von KI-Programmen wie ChatGPT, Gemini oder Copilot durch einzelne Beschäftigte ohne Zustimmung des Unternehmens.
Die Gesetzgebung klassifiziert KI-Systeme in vier Risikokategorien: unannehmbares, hohes, begrenztes und minimales Risiko. „Damit ist für jeden KI-Einsatz im Unternehmen herauszufinden und zu dokumentieren, in welche Risikoklasse er fällt“, sagt Harald Müller. Er stellt klar: „Das gilt nicht nur für die Hersteller von KI-Systemen, also etwa Konzerne wie Open AI, Google oder Microsoft, sondern für jede Firma, die KI im eigenen Betrieb verwendet. Allein dies mag viele Mittelständler abschrecken, die Produktivitätsvorteile der KI überhaupt für sich zu nutzen.“
Doch die Sachlage ist laut BWA „noch viel komplexer“: In vielen Firmen setzen die Beschäftigten gängige KI-Programme ein, um ihre Arbeit schneller und einfacher zu erledigen, ohne ihre Vorgesetzten zu informieren. „Diese Schatten-KI breitet sich seit weit über einem Jahr in der Wirtschaft aus, ohne dass dies in den Chefetagen überhaupt bekannt wird“, weiß Harald Müller aus vielen Projekten. Das Problem dabei: Die Beschäftigten laden zuhauf personenbezogene Daten und Betriebsgeheimnisse in die KI-Programme hoch und verletzten damit den Datenschutz und die Corporate Governance. „In manchen Firmen sind ganze Personallisten bei ChatGPT gelandet, weil ein Mitarbeiter in der Personalabteilung eine Analyse des Personalbestands etwa in Bezug auf Alter, Betriebszugehörigkeit, Ausbildung oder Personalverantwortung von der KI erhalten wollte“, weiß Harald Müller. Er sagt: „Verletzungen der Datenschutz-Grundverordnung durch KI sind derzeit im Mittelstand wie in großen Unternehmen an der Tagesordnung.“
Harald Müller empfiehlt: „Die Unternehmen sind gut beraten, klare und restriktive Richtlinien für den betrieblichen KI-Einsatz zu formulieren. Das mag die Schatten-KI zwar nicht vollständig unterbinden, aber erhöht wenigstens die Sensibilität für das Thema bei der Belegschaft und stellt auch eine rechtliche Absicherung für das Management dar.“
Erfüllung aller Bürokratie ist unmöglich
BWA-Geschäftsführer Harald Müller hält die Erfüllung aller Vorschriften, die durch die Bürokratielawine im Herbst auf die Unternehmen zukommen, für unmöglich. Sie deshalb zu ignorieren, sei allerdings nicht zu empfehlen. Harald Müller rät: „Vorstand und Geschäftsführung sind gut beraten, auf allen Gebieten die Initiative zu ergreifen und zumindest den Anschein zu erwecken, sich ernsthaft um die Themen zu kümmern. Das senkt auf jeden Fall das persönliche Haftungsrisiko, wenn etwas schiefgeht.“
Die BWA Akademie („Consulting, Coaching, Careers“) ist seit über 25 Jahren unter der Geschäftsführung von Harald Müller und Astrid Orthmann als Spezialist für Personalentwicklung, Outplacement, Personalberatung und Training sowie für Arbeitsmarktprogramme wie Beschäftigtentransfer erfolgreich. Die BWA versteht sich als neutraler Vermittler zwischen Arbeitgebern und Gewerkschaften zum Vorteil der Arbeitnehmer. Mit Hilfe der BWA haben mehr als zehntausend Arbeitnehmer eine neue berufliche Zukunft gefunden. Das Spektrum reicht von der Begleitung von Change Management-Prozessen über Vermittlung und Coaching von Führungskräften bis hin zur Unterstützung bei der Gründung eines eigenen Unternehmens.
Weitere
Informationen: BWA Akademie,
Burgstraße 81, 53177 Bonn, Deutschland,
Tel.: + 49 228 323005-0, E-Mail: info@bwabonn.de,
Internet: www.bwabonn.de
Autor: Bonner Wirtschafts-Akademie; zusammengestellt von Gert Holle - 9.07.2024