Die Europäischen Kommission hat zur Gestaltung der digitalen Zukunft Europas eine Vielzahl gesetzlicher Regelungen vorbereitet und erlassen, die den rechtlichen Rahmen des digitalen Wandels bilden. Sie werden weitreichende Auswirkungen auf den unternehmerischen Alltag haben. Als Auftakt unserer Serie ´Digitale Transformation´ möchten wir Ihnen einen Überblick über die wichtigsten Neuerungen geben und in den kommenden Wochen dann jeweils detailliertere Informationen zu den einzelnen Themen zur Verfügung stellen. Sprechen Sie uns gerne an.

Europäische Datenverordnung (Data Act)

Am 11. Januar 2024 ist der Data Act erlassen worden, der im September 2025 in Kraft treten wird.

Die neuen Vorschriften begründen das Recht auf Zugang zu Industriedaten und regeln deren Nutzung und Austausch. Hersteller von vernetzten Produkten (´Internet of Things´ z.B. Maschinen, Sensoren, Bauteile, Haushaltsgeräte oder Fahrzeuge) werden verpflichtet, hierüber gewonnene Daten mit Nutzern (Unternehmen oder Verbraucher), Behörden und auch dritten Unternehmen zu teilen (Data Sharing). Von den Regelungen betroffen sind sowohl die Hersteller und Dateninhaber als auch Nutzer von vernetzen Geräten sowie Anbieter von Datenverarbeitungsdiensten.

Vernetzte Produkte müssen anhand der Vorgaben aus dem Data Act gestaltet werden („Access by Design“). Das Gesetz verlangt von den Dateninhabern zudem, dass sie die Daten kontinuierlich zugänglich machen. Das wird weitreichende Auswirkungen auf sensible Daten und Geschäftsgeheimnisse von Unternehmen haben, die ausreichend geschützt werden müssen.  Umgekehrt kann der Zugang zu Daten Dritter einen Anreiz für datengetriebene Innovationen bieten.
Zudem sind Datenlizenzverträge mit allen Nutzern vorgeschrieben, um zukünftig die generierten Daten nutzen zu können. Dateninhabern steht es also zukünftig nicht mehr frei, die Daten unbeschränkt zu nutzen und zu teilen.

Die komplexen vertraglichen und technischen Vorgaben sollten Sie so früh wie möglich vorbereiten und umsetzen. Am besten jetzt schon!

Europäische Verordnung über künstliche Intelligenz (AI Act)

Die Nutzungsmöglichkeiten von künstlicher Intelligenz („KI“) nehmen laufend zu und führen zu gravierenden Änderungen des Arbeitsalltags. Die EU-Kommission hat eine Regulatorik entwickelt, die eine Nutzung von KI ermöglichen, aber ihr gleichzeitig Grenzen setzt. Die Verordnung soll – nach aktuellem Stand – Mitte 2024 in Kraft treten. Nach einer Übergangsfrist von 24 Monaten wäre sie dann europaweit geltendes Recht. Betroffen sind alle Hersteller und Anwender von KI (Bild-, Sprach- und Texterkennung, HR-Systeme, Smart Home, autonomes Fahren, industrielle Anwendungen, vernetzte Geräte).  

Die Verordnung unterscheidet bei KI-Anwendungen zwischen vier Risikoklassen.  
Für jede Risikoklasse gibt es eigene Regeln, die bis hin zu einem Verbot der Nutzung gehen. Vorgesehen sind in jedem Fall ein verpflichtendes Qualitäts- und Risikomanagementsystem sowie detaillierte Transparenzpflichten. Eine Datenschutzfolgenabschätzung dürfte ebenfalls Pflicht werden. Sowohl Hersteller als auch Anwender von KI-Systemen sollten sich frühzeitig mit den gesetzlichen Vorgaben auseinandersetzen und sowohl intern (integrierte Unternehmensrichtlinie, Betriebsvereinbarung) als auch extern (Klassifizierung und Dokumentation) vorbereiten. Unsere Empfehlung ist, sich schon jetzt mit der KI-Verordnung zu beschäftigen, um den aktuellen Einsatz von digitalen Systemen an den neuen Vorschriften ausrichten zu können.

Gleichzeitig wird ein neues Europäisches Amt für KI (AI Office) eingerichtet, das die Durchsetzung der neuen Vorschriften für KI-Modelle überwachen wird. Wie die DS-GVO sieht auch die KI-Verordnung drakonische Strafen im Falle einer Verletzung vor.

Gesetz über digitale Dienste (Digital Services Act)

Die Verordnung über digitale Dienste soll einen sichereren digitalen Raum für Nutzer von Online-Diensten schaffen und bezweckt insbesondere die Bekämpfung rechtswidriger Inhalte. Der Digital Services Act ist bereits in Kraft getreten und findet seit Februar 2024 für Anbieter digitaler Dienstleistungen Anwendung.

Online-Vermittler und -Plattformen, wie etwa Online-Marktplätze, soziale Netzwerke, App-Stores und Online-Reise-Plattformen sind verpflichtet, illegale Inhalte aufzudecken, zu kennzeichnen und zu entfernen.

Gesetz über digitale Märkte (Digital Markets Act)

Die bereits am 1. November 2022 in Kraft getretene Verordnung über digitale Märkte soll sicherstellen, dass der Zugang zu und die Bedingungen auf digitalen Märkten fair und zu gleichen Bedingungen erfolgt und Unternehmen, die den Marktzugang kontrollieren (´Gatekeeper´ z.B. Google, Apple, Microsoft, Meta) ihre Position nicht zur Benachteiligung Dritter nutzen.

Datenschutzgrundverordnung (DS-GVO)

Viele Unternehmen haben die Anforderungen der 2018 in Kraft getretene DS-GVO mittlerweile umgesetzt und in den Unternehmensalltag integriert. Vor dem Hintergrund der neuen EU-Gesetze, verschiedenen Beschlüssen der EU Kommission und neuen Urteilen ist die Überprüfung und Revision der internen Prozesse zu empfehlen. Die DS-GVO wird weiterhin eine wichtige Rolle bei der Digitalisierung spielen. Gut, wenn bereits jetzt die Vorgaben umgesetzt sind.

Verordnung über Cybersicherheit (Cyber Resilience Act)

Der Vorschlag der EU Kommission für eine Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen soll die Sicherheit von Produkten gewährleisten, die miteinander oder mit dem Internet verbunden werden können („Security by Design“) und beinhaltet zahlreiche Pflichten von Herstellern und Importeuren. Nach derzeitigem Stand soll das Gesetz 2024 erlassen werden und nach einer Übergangsfrist von 36 Monaten in Kraft treten.

FRANKFURT – Am 22. Februar 2024 haben die Vertreter des Rates und des Europäischen Parlaments beschlossen, dass der Sitz der künftigen europäischen Behörde zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (Anti-Money Laundering Authority, „AMLA“) in Frankfurt am Main sein wird.

Die AMLA , eine neue EU-weite Behörde mit Zuständigkeiten rund um  die Einhaltung von Geldwäschevorschriften und Überwachung von Finanzsanktionen,  wird die Art und Weise der Durchsetzung der Geldwäsche- und Sanktionsgesetze innerhalb der EU erheblich verändern. Unternehmen sollten daher jetzt eine Überprüfung der bestehenden Richtlinien und Prozesse im Bereich der Geldwäscheprävention vornehmen.

1.Einleitung und Gegenstand

Die Anti-Money Laundering Authority, auf deren Errichtung sich das Europäische Parlament und der Europäische Rat am 13. Dezember 2023 geeinigt haben, wird voraussichtlich Mitte des Jahres 2025 in Frankfurt am Main ihre Tätigkeit aufnehmen. Ihre wesentlichen Aufgaben werden die folgenden sein:

(1) Direkte Aufsicht über die Einhaltung der Vorschriften zur Geldwäscheprävention für bestimmte europäische Banken und andere Finanzdienstleister mit hohem Risiko, einschließlich Krypto-Asset-Dienstleister.
(2) Sicherstellung der Einhaltung von Finanzsanktionen.
(3) Indirekte Beaufsichtigung anderer verpflichteter Einrichtungen. Während diese Unternehmen in erster Linie von den nationalen Regulierungsbehörden beaufsichtigt werden, wird die AMLA bei Streitigkeiten zwischen den nationalen Aufsichtsbehörden vermitteln und kann unter außergewöhnlichen Umständen die Aufsicht übernehmen.
(4) Koordinierung der Bemühungen der Mitgliedstaaten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung im Nicht-Finanzsektor.

Die AMLA wird bestimmte europäische Banken sowie  andere Finanzdienstleister, die grenzüberschreitend tätig sind oder als „hochriskant“ gelten, direkt beaufsichtigen. Insgesamt werden in Deutschland dabei bis zu 40 Organisationen in das erste Auswahlverfahren einbezogen- europaweit sollen das rund 200 Unternehmen sein. Diese direkte Beaufsichtigung wird von gemeinsamen Aufsichtsteams (Joint Supervisory Teams) unter der Leitung der AMLA durchgeführt, die Bewertungen und auch Inspektionen vornehmen werden. Die Liste der Unternehmen, die zur Überwachung respektive Überprüfung vorgesehen sind, wird alle drei Jahre überprüft.

Im Rahmen der direkten Aufsichtsbefugnisse der AMLA wird diese entsprechend sicherstellen, dass diese ausgewählten verpflichteten Unternehmen über geeignete interne Strategien und Verfahren verfügen, um die Umsetzung gezielter Finanzsanktionen, wie z.B. das Einfrieren von Vermögenswerten und die Beschlagnahme von Vermögenswerten, gewährleisten zu können.

Die AMLA wird auch über bestimmte Durchsetzungsbefugnisse verfügen. Bei schwerwiegenden, systematischen oder wiederholten Verstößen gegen direkt geltende Anforderungen wird die AMLA in der Lage sein, finanzielle Sanktionen gegen die ausgewählten Verpflichteten zu verhängen.

Für Verpflichtete im Finanzsektor, die nicht als „ausgewählte Verpflichtete“ benannt sind, wird die Geldwäsche-Aufsicht hauptsächlich unverändert auf nationaler Ebene bestehen bleiben.

In Bezug auf den Nicht-Finanzsektor wird die AMLA unterstützend tätig, indem sie Überprüfungen durchführt und mögliche Verstöße bei der Anwendung der Vorschriften zur Geldwäscheprävention untersucht. Dabei wird sie in der Lage sein, nicht bindende Empfehlungen auszusprechen.

Die AMLA wird auch die nationalen Finanzermittlungsstellen koordinieren, die mutmaßliche Verstöße gegen die Geldwäschebestimmungen untersuchen. Die AMLA wird bei Streitigkeiten zwischen den nationalen Aufsichtsbehörden vermitteln und diese auch schlichten außerdem  kann sie unter außergewöhnlichen Umständen oder bei bestimmten Verstößen gegen das EU-Recht die Aufsicht über ein Finanzunternehmen übernehmen.

2. Vorgehen der Aufsicht bis zur Aufnahme der Tätigkeit durch die AMLA

Schon bevor klar gewesen ist, dass die AMLA nach Frankfurt kommt, haben wir einen stark erhöhten Prüfungsschwerpunkt der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bereich Geldwäscheprävention bei unseren Mandanten verzeichnen können. In ihrem Bericht „Risiken im Fokus für das Jahr 2024“ betont die BaFin, dass sie das Risiko, der über 8.700 in Deutschland nach dem Geldwäschegesetz (GWG) Verpflichteten, für Zwecke der Geldwäsche, Terrorismusfinanzierung oder sonstigen Finanzstraftaten missbraucht zu werden, in Deutschland nach wie vor als „hoch“ einstuft.

So sind im Jahr 2022 insgesamt 337.186 Geldwäscheverdachtsmeldungen bei dem Financial Intelligence Unit (FIU) eingegangen. Davon stammen insgesamt 326.123 aus dem Finanzsektor von Finanzmarktteilnehmern wie beispielsweise Kredit- und Finanzdienstleistungsinstituten.[1]

---

[1] Quelle: Risiken im Fokus der BaFin 2024

Besonders zum Geldwäscherisiko tragen hierbei internationale Finanztransaktionen wie beispielsweise im Exportbereich bei. Auch schnell wachsende Unternehmen sind besonderen Geldwäscherisiken ausgesetzt. Nicht zuletzt eröffnen Krypto-Werte noch nie dagewesene Missbrauchsmöglichkeiten für kriminelle Aktivitäten.

Auch die immer wieder versendeten Ermahnungen der BaFin zu Versäumnissen einiger Institute im Bereich Geldwäscheprävention bis hin von empfindlichen Bußgeldern (zuletzt 6,5 Mio. Euro) nehmen sowohl in ihrer Schlagzahl als auch in ihrer Härte deutlich zu.

Dabei ist auffällig, dass der Markt nach wie vor zurückhaltend ist, in den Bereich Geldwäscheprävention zu investieren und die erforderlichen Projekte und Maßnahmen einzuleiten.

3. Unmittelbare Empfehlungen

Vor diesem Hintergrund empfehlen wir dringend, Ihre bestehenden Richtlinien und Prozesse im Bereich Geldwäscheprävention einer genauen Überprüfung zu unterziehen. Wir haben die Erfahrung gemacht, dass hier nicht unerhebliche Verbesserungspotentiale liegen, um Sanktionen der BaFin zu verhindern, dabei gleichzeitig interne Prozesse zu verschlanken und somit in ihrer Effizienz zu steigern.

Nach Auffassung der BaFin sind einige Geschäftsmodelle, etwa Payment Agents, Third-Party-Acquiring, White Labeling, Loan Fronting und der Handel mit Krypto-Werten besonders anfällig. Sollten Sie in diesen Bereichen tätig sein und in den letzten Jahren keine Sonderprüfung durch die BaFin unterzogen worden sein, ist diese Empfehlung umso dringlicher.

Sprechen Sie uns gerne an! Wir sind nicht nur sehr erfahren darin, Ihre bestehenden Richtlinien und Prozesse auf den Prüfstand zu stellen, Verbesserungspotenzial aufzudecken und umzusetzen, sondern begleiten Sie auch gerne bei Projekten oder der Begleitung von (Sonder)prüfungen durch die Aufsicht. Auch als ausgelagerte Geldwäschebeauftragte können wir für Sie tätig werden.

4. Ausblick

Es herrscht derzeit noch eine gewisse Unsicherheit darüber, ob die Europäische Staatsanwaltschaft, eine „Ad-hoc-Sanktionsbehörde“ oder die AMLA eine Rolle bei der Durchsetzung von Sanktionen bei Verstößen gegen Vorschriften in der Geldwäscheprävention oder gegen verhängte Sanktionen erhalten soll. Während die Mitglieder des Europäischen Parlaments wiederholt auf „substanzielle Entwicklungen“ bei der Durchsetzung von Sanktionen gedrängt haben, haben sich die Europäische Kommission und die Mitgliedstaaten im Allgemeinen gegen jede ernsthafte Änderung gewehrt. Insbesondere waren die Mitgliedstaaten darin bestrebt, die Durchsetzung von Sanktionen vollständig in ihrem Zuständigkeitsbereich zu belassen.

Obwohl die AMLA ihre Arbeit erst aufnehmen wird, wenn alle politischen Fragen geklärt sind, muss sich die Branche schon heute über die bevorstehenden Änderungen bei der Überwachung und Durchsetzung von Geldwäsche und Finanzsanktionen im Klaren sein und sich entsprechend darauf vorbereiten.

Mit dem Geschäftsjahr 2024 beginnt für alle bereits unter der Non Financial Reporting Directive (NFRD) erfassten Unternehmen die neue Berichtspflicht unter der Corporate Sustainability Reporting Directive (CSRD). Der Bericht ist erstmals im Jahr 2025 für das Jahr 2024 abzugeben, für zahlreiche weitere Unternehmen beginnen die Berichtspflichten zwischen den Jahren 2025 und 2028.

I. Einleitung

Die Europäische Kommission hat in den European Sustainability Reporting Standards (ESRS) verbindliche Vorgaben zum Aufbau und zum Inhalt des Berichts verfasst. Im Folgenden geben wir einen kurzen Überblick über den Aufbau und die Inhalte der ESRS.

In Deutschland wird die CSRD mit dem CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG) umgesetzt. Damit ist sicherzustellen, dass Unternehmen sich rechtzeitig mit der Umsetzung des Gesetzes befassen und die für die Berichterstattung erforderlichen Daten in der gesetzlich vorgeschriebenen Form sammeln. Denn wer hier „hinterherhinkt“, wird nicht nur negative Auswirkungen auf das (ESG-)Rating des Unternehmens erleiden, wodurch es für Anleger und Investoren weniger attraktiv wird – von den Reputationsschäden ganz zu schweigen. Darüber hinaus sind Verstöße Bußgeldgeahndet; die Beträge bewegen sich hier zwischen 50.000 Euro und 10 Millionen Euro – oder auch mal 5 % des Jahresgruppenweltumsatzes.

Es ist daher ratsam „ahead of the curve“ zu bleiben – nicht nur, um Bußgelder zu vermeiden, sondern auch und gerade, um attraktiv für Investoren, Anleger, Kunden und auch Fachkräfte zu bleiben oder zu werden.

II. Worum geht es?

Die CSRD ist eine europäische Richtlinie, die darauf abzielt, die Berichterstattung von Unternehmen über Nachhaltigkeitsaspekte zu verbessern und damit die Nichtfinanzielle Berichterstattungsrichtlinie (NFRD) abzulösen. Die bereits unter der NFRD berichtspflichtigen Unternehmen werden für das Geschäftsjahr 2024 im Jahr 2025 Bericht erstatten müssen. Ab dem Geschäftsjahr 2025 kommen jährlich neue Unternehmen hinzu, welche die jeweiligen Größenkriterien erfüllen.

Die CSRD regelt jedoch nicht die Inhalte und den Aufbau der abzugebenden Berichte. Diese Inhalte nebst Aufbau sind in der am 31. Juli 2023 von der Europäische Kommission veröffentlichten delegierten Verordnung zum ersten Satz der ESRS verbindlich festgelegt, um die Vergleichbarkeit von Nachhaltigkeitsberichten sicherzustellen.

Leider kann man nicht gerade sagen, dass es der Europäischen Kommission gelungen ist, diese Standards übersichtlich, leicht verständlich und kurz zu verfassen. Im Gegenteil: die berichtspflichtigen Unternehmen sehen sich einem immensen Aufwand ausgesetzt, um ihrer Berichtspflicht ab dem Jahr 2025 nachkommen zu können. Wir empfehlen, dass jedes Unternehmen wenigstens 18 bis 24 Monate vor dem Ende des Geschäftsjahrs, für das es erstmals berichtspflichtig ist, damit beginnt, sich mit den ESRS intensiv auseinanderzusetzen. Nur so kann es sicherstellen, die erforderlichen Daten für das Berichtsjahr in einer Weise zu sammeln, die den Vorgaben der ersten 12 (!) veröffentlichten ESRS-Standards entspricht – weitere werden folgen.

Diese zwölf veröffentlichten Standards umfassen zwei übergreifende Standards und fünf themenbezogene Standards zu Umweltthemen, vier themenbezogene Standards zu sozialen Themen und einen themenbezogenen Standard zu Governance-Themen. Inhaltlich orientieren sich diese Standards an den Vorgaben der Corporate Sustainability Reporting Directive (CSRD) und strukturell am Aufbau der Task Force on Climate-related Financial Disclosures (TCFD) mit den Berichtselementen „Governance“, „Strategie“, „Risikomanagement“ sowie „Kennzahlen und Ziele“.

Über Nachhaltigkeitsaspekte ist auf Grundlage des Prinzips der „doppelten Wesentlichkeit“ zu berichten. Offenzulegen sind daher Informationen über einen Nachhaltigkeitsaspekt, wenn entweder aus Perspektive der Impacts (Auswirkungen der Geschäftstätigkeit auf Umwelt und Gesellschaft) oder aus finanzieller Perspektive (finanzielle Effekte aus nachhaltigkeitsbezogenen Risiken und Chancen) oder aus beiden Perspektiven, als wesentlich gelten.

III. Wer muss ab wann für welches Geschäftsjahr berichten?

Der Anwendungsbereich der ESRS ist abhängig von den folgenden Kennzahlen, wonach berichtspflichtig sind:

(1)       ab dem Geschäftsjahr 2024 im Geschäftsbericht 2025: Unternehmen, die bereits einer Berichtspflicht nach der Non Financial Reporting Directive („NFRD“) unterliegen;

(2)       ab dem Geschäftsjahr 2025 im Geschäftsbericht 2026: Alle weiteren großen Kapitalgesellschaften auf die wenigstens zwei der drei folgenden Kriterien zutreffen: (1) wenigstens 250 Mitarbeitende im Jahresdurchschnitt, (2) Bilanzsumme von mindestens 20 Mio. Euro, (3) Umsatz von mindestens 40 Mio. Euro;

(3)       ab dem Geschäftsjahr 2026 im Geschäftsbericht 2027: Börsennotierte KMUs sowie kleine und nicht komplexe Kreditinstitute und firmeneigene Versicherungsunternehmen; und

(4)       ab dem Geschäftsjahr 2028 im Geschäftsbericht 2029: Drittstaatenunternehmen mit Tochterunternehmen oder Zweigniederlassungen in der EU. Dies trifft nur zu, wenn der Schwellenwert von 150 Millionen EUR Nettoumsatzerlöse im EU-Raum über zwei Jahre hinweg überschritten wird.

IV. Aufbau der ESRS

a)         Übergreifende Standards (cross-cutting standards), die allgemeine Konzepte und Grundsätze für die Erstellung von Nachhaltigkeitserklärungen abdecken sowie übergreifende Angabepflichten enthalten.

b)         Themenbezogene Standards (topical standards), die jeweils ein bestimmtes und konkret umrissenes Nachhaltigkeitsthema abdecken, das heißt Angabepflichten in Bezug auf nachhaltigkeitsbezogene Impacts, Risiken und Chancen, die für alle Unternehmen unabhängig von bestimmten Branchen als wesentlich angesehen werden.

c)         Sektorspezifische Standards (sector-specific standards), die die Offenlegung von Informationen zu nachhaltigkeitsbezogenen Impacts, Risiken und Chancen abdecken, die für alle Unternehmen einer bestimmten Branche als wesentlich angesehen werden (noch nicht veröffentlicht).

V. ESRS: Übergreifende Standards

ESRS 1: Allgemeine Anforderungen (General requirements)

ESRS 1 schreibt verbindliche Konzepte und Grundsätze vor, die für die Erstellung von Nachhaltigkeitserklärungen gemäß der CSRD gelten. So sollen in den Nachhaltigkeitserklärungen alle wesentlichen Informationen über nachhaltigkeitsbezogene Impacts (Auswirkungen der Geschäftstätigkeit auf Umwelt und Gesellschaft), Risiken und Chancen in Übereinstimmung mit den geltenden ESRS offengelegt werden. Die ESRS schreiben eine Berichterstattung nach standardisierten sowohl sektorunabhängigen als auch sektorspezifischen Angabepflichten vor, ergänzt durch unternehmensspezifische Angaben, die gemäß der in ESRS 1 festgelegten Grundsätze zu entwickeln sind.

ESRS 2: Allgemeine Angaben (General disclosures)

ESRS 2 knüpft inhaltlich an die Vorgaben in ESRS 1 Allgemeine Anforderungen an und enthält übergreifende Angabepflichten für die Nachhaltigkeitserklärung.

VI. ESRS: Themenbezogene Standards zu Umweltthemen

E1 Klimawandel (Climate change)

Dieser Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Pläne und Fähigkeit des Unternehmens, Strategie und Geschäftsmodell im Einklang mit dem Übergang zu einer nachhaltigen Wirtschaft anzupassen und zur Begrenzung der Erderwärmung auf 1,5 Grad Celsius beizutragen.

E2 Umweltverschmutzung (Pollution)

Dieser Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Alle ergriffenen Maßnahmen zur Verhinderung, Minderung oder Behebung tatsächlicher oder potenzieller negativer Impacts und zum Umgang mit Risiken und Chancen und die Ergebnisse dieser Maßnahmen.

E3 Wasser- und Meeresressourcen (Water and marine resources)

Der Standard sieht Angabepflichten vor, die es den Nutzern der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, zu verstehen, ob, wie und in welchem Umfang das Unternehmen zu folgenden Punkten beiträgt:

a)         Ambitionen des Europäischen Green Deals für frische Luft, sauberes Wasser, gesunde Böden und biologische Vielfalt sowie zur Gewährleistung der Nachhaltigkeit der blauen Wirtschaft und des Fischereisektors,

b)         EU-Wasserrahmenrichtlinie (EU water framework directive),

c)         Rahmen der EU-Meeresstrategie (EU marine strategy framework),

d)         EU-Richtlinie zur maritimen Raumordnung (EU maritime spatial planning directive),

e)         UN-Ziele für nachhaltige Entwicklung (SDGs) 6) Sauberes Wasser und sanitäre Einrichtungen und 14) Leben unter Wasser.

E4 Biologische Vielfalt und Ökosysteme (biodiversity and ecosystems)

Der Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Art, Typ und Umfang der wesentlichen Risiken, Abhängigkeiten und Chancen des Unternehmens im Zusammenhang mit biologischer Vielfalt und Ökosystemen, sowie die Art und Weise, wie das Unternehmen damit umgeht.

E5 Ressourcennutzung und Kreislaufwirtschaft (Resource use and circular economy)

Der Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Die finanziellen Auswirkungen der wesentlichen Risiken und Chancen auf das Unternehmen, die sich kurz-, mittel- und langfristig aus den Impacts und Abhängigkeiten des Unternehmens in Bezug auf Ressourcennutzung und Kreislaufwirtschaft ergeben.

VII. ESRS: Themenbezogene Standards zu sozialen Themen

S1 Eigene Belegschaft (Own workforce)

Die finanziellen Auswirkungen der wesentlichen Risiken und Chancen auf das Unternehmen, die sich kurz-, mittel- und langfristig aus den Impacts und Abhängigkeiten des Unternehmens in Bezug auf die eigene Belegschaft ergeben.

S2 Arbeitskräfte in der Wertschöpfungskette (Workers in the value chain)

Art, Typ und Umfang der wesentlichen Risiken und Chancen des Unternehmens im Zusammenhang mit den Impacts und Abhängigkeiten in Bezug auf Arbeitskräfte in der Wertschöpfungskette, sowie die Art und Weise, wie das Unternehmen damit umgeht.

S3 Betroffene Gemeinschaften (Affected communities)

Wesentliche positive und negative tatsächliche oder potenzielle Impacts des Unternehmens auf Gemeinschaften in Gebieten, in denen Auswirkungen am wahrscheinlichsten und schwerwiegendsten sind.

S4 Verbraucher und Endnutzer (Consumer and end-users)

Alle ergriffenen Maßnahmen zur Verhinderung, Minderung oder Behebung tatsächlicher oder potenzieller Impacts und Umgang mit Risiken und Chancen sowie Ergebnisse dieser Maßnahmen.

VIII. ESRS: Themenbezogene Standards zu Governance Themen

G1 Unternehmenspolitik (Business conduct)

Der Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, die Strategie und den Ansatz des Unternehmens, seine Prozesse und Verfahren sowie seine Leistung in Bezug auf die Unternehmenspolitik zu verstehen.

IX. Ausblick

Neben der Entwicklung der ersten zwölf ESRS als „Set 1“ sieht die CSRD noch weitere Arbeitspakete für EFRAG vor. So sollen erste sektorspezifische ESRS für insgesamt rund 40 verschiedene Branchen entwickelt werden. Für die künftigen Berichterstattungspflichten der im Anwendungsbereich befindlichen kapitalmarktorientierten kleinen und mittelgroßen Unternehmen (KMU) ist zudem die Entwicklung von spezifischen Listed-KMU-ESRS vorgesehen. Für nicht-kapitalmarktorientierte KMU sollen freiwillig anzuwendende Leitlinien erarbeitet werden. Auch für die Berichterstattung von Drittstaatenunternehmen außerhalb der EU sollen spezifische Drittstaaten-ESRS entwickelt werden. Ein Zeitplan für die Veröffentlichung dieser Entwürfe steht allerdings noch nicht fest.

Melden Sie sich bei Fragen jederzeit gerne. Wir sind auf die Umsetzung und Implementierung von compliancelastigen IT-Projekten im finanzregulatorischen Umfeld spezialisiert.

Mit dem Digital Operational Resilience Act (kurz: „DORA“) hat die Europäische Union für so gut wie alle beaufsichtigten Finanzinstitute eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Mit DORA sollen starke, einheitliche Sicherheitsstandards geschaffen werden, die Finanzinstitutionen vor Angriffen durch Cyberkriminellen schützen – doch bringt die Verordnung auch eine Vielzahl an „Auflagen“ für Finanzinstitute mit sich, die umgesetzt werden müssen. Da diese Verordnung dem digitalen Wandel und den zunehmenden Gefahren durch Cyberbedrohungen gerecht werden soll, raten wir Unternehmen dringend mit einer frühzeitigen Umsetzung zu beginnen. Doch worum geht es genau? 

I. Einleitung und Gegenstand 

1. Einleitung und Umsetzungsaufwand 

Vor dem Hintergrund der sehr vertrags- und IT-lastigen Regelungsinhalte ist allerdings mit einer erheblichen Umsetzungsdauer zu rechnen. IT-Projekte müssen nach Maßgabe der Bankaufsichtlichen Anforderungen an dei IT („BA-IT“) umgesetzt werden – ob DORA diese ersetzen beziehungsweise vollständig „umkrempeln“ wird, wird sich zeigen. Allerdings erspart das nicht die Umsetzung nach deren (aktuellen) Vorgaben. Ferner dürften Finanzinstitute zahlreiche interne Richtlinien haben, die bei der Umsetzung beachtet werden müssen. Auch die Verhandlungen mit IT- und Kommunikationstechnik-Dienstleistern („IKT“) dürften einen nicht unerheblichen Zeitrahmen umfassen; denn nicht nur die Finanzinstitute, sondern auch deren IKT-Dienstleister müssen sich auf die Änderungen von DORA einstellen. 

Wir empfehlen daher dringend frühzeitig mit der Umsetzung zu beginnen und dabei nicht nur die IT- und Compliance-Abteilungen einzubinden, sondern sich auch – internen und externen – regulatorischen Rat einzuholen. 

2. Weitere Rechtsakte

DORA wird von zahlreichen weiteren Rechtsakten flankiert:  

1. EU-Richtlinie 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor vom 14. Dezember 2022   
2. EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) vom 14. Dezember 2022  
3. EU-Richtlinie über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates vom 14. Dezember 2022  
4. Entwürfe von RTS, ITS, Guidelines etc., die (teilweise) noch final abzustimmen und umzusetzen sind. 

3. Regelungsinhalte, Schwerpunkte

Alle Rechtsakte haben Regelungen zur digitalen operationalen Resilienz von Finanzunternehmen zum Gegenstand. Darunter ist die Fähigkeit zu verstehen, sämtliche von einem Finanzunternehmen genutzten Informations- und Kommunikationstechnologien („IKT“) funktionsfähig zu halten und vor Angriffen zu schützen. DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:   

1. IKT-Risikomanagement

• Meldung schwerwiegender IKT-bezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden;   
• Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch bestimmte aufgeführte Finanzunternehmen an die zuständigen Behörden;   
• Tests der digitalen operationalen Resilienz;  
• Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;   
• Maßnahmen für das solide Management des IKT-Drittparteienrisikos;   

2. Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen  
3. Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)   
4. Aufstellung von Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen;   
5. Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen;   
6. Information Sharing sowie Übungen zu Cyberkrisen- und weitere Notfallübungen. Insbesondere Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden sowie Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.   

II. Zeitplan und Konsultationen

Die Umsetzung von DORA unterliegt einem ambitionierten Zeitplan zur Implementierung der EU-Richtlinien 2022/2555 und 2022/2557 (bis 18. Oktober 2024) und 2022/2556 (bis 17. Januar 2025). Die Umsetzung in Deutschland erfolgt im Wesentlichen durch das Finanzmarktdigitalisierungsgesetz („FinmadiG“). Das FinmadiG zielt darauf ab, die europäische Verordnung Markets in Crypto-Assets („MiCA“), die Neufassung der EU-Geldtransferverordnung sowie das DORA-Paket in nationales Recht zu überführen. Das BMF hat am 23. Oktober 2023 den Referentenentwurf des FinmadiG veröffentlicht. 

1. Zeitplan

2. Abgeschlossene Konsultationen

Die gemeinsame Konsultation der ESAs über die erste Tranche der technischen Regulierungs- und Implementierungsstandards zu DORA vom 19. Juni 2023 bis 11. September 2023 enthält die folgenden Entwürfe: 

1. Konsultation zu RTS zum IKT-Risikomanagementrahmen (Art. 15) und RTS zum vereinfachten IKT-Risikomanagement (Art. 16)
2. Konsultation zu RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18.3)
3. Konsultation zu ITS zur Erstellung der Vorlagen für das Informationsregister (Art. 28.9)
4. Konsultation zu RTS zur Festlegung der Politik für IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden (Art. 28.10)) 2022/2554 mit öffentlicher Konsultation vom 26. Mai 2023 bis 23. Juni 2023.
5. Die Öffentliche Konsultation für die Stellungnahme der ESAs (EBA, ESMA und EIOPA) für die Europäische Kommission zu den delegierten Rechtsakten im Rahmen des europäischen Überwachungsrahmenwerks gemäß den Artikeln 31 und 43 der Verordnung (EU) 2022/2554 fand vom 26. Mai 2023 bis 23. Juni 2023 statt. 

3. Laufende Konsultationen

Vom 8. Dezember 2023 bis zum 4. März 2024 findet die öffentliche Konsultation der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt: 

1. Konsultation des RTS zu Threat Led Penetration Testing (Art. 26.11) 
2. Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5) 
3. Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a) 
4. Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b) 
5. Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7) 
6. Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41) 

III. Schwerpunkte von DORA

DORA hat im Wesentlichen die beiden Schwerpunkte (1) ITK-Risikomanagement und (2) Überwachung von kritischen IKT-Drittdienstleistern. Diese werden in Deutschland durch das FinmadiG umgesetzt. Die Umsetzung erfolgt durch Änderung zahlreicher Gesetze und Verordnungen, weswegen wir uns bei der folgenden, kurzen Zusammenfassung der Übersicht halber auf die Bestimmungen und den Aufbau des DORA bezogen haben: 

1. Schwerpunkt: IKT-Risikomanagement

1. Art.5 DORA – Verantwortlichkeit der Geschäftsführung:  
   Geschäftsführung trägt die Verantwortung für das IKT-Risikomanagement. Geschäftsführung muss sich aktiv bzgl. IKT- Risiken auf dem Laufenden halten und regelmäßige IKT-spezifische Weiterbildungen wahrnehmen.  

2. Art.6 DORA – ICT-Riskmanagement Control Function 
   Durch die Geschäftsführung ist die Funktion der ICT-Riskmanagement Control Function einzurichten. Die Aufgaben sind ähnlich denen des Informations-Sicherheitsbeauftragten (ISB). Eine strenge Trennung von der Control Function und First Line (IT) ist vorgesehen. Es ist eine starke aufsichtsrechtliche Erwartung, den ISB im eigenen Hause vorzuhalten. 
   
3. Art.8 DORA – Kenntnis der eigenen Informationen und Systeme 
   IKT-Systeme und -informationen, die in Geschäftsfunktionen verwendet werden, müssen identifiziert und klassifiziert werden. Das gilt auch für Informationen, die nicht in zentralen Systemen gehalten werden (wie beispielsweise Office-Dokumente oder ID-Ven).  
   
4. Art.6 DORA – Strengere Anforderungen an Verschlüsselungen 
   Daten sind in allen Zuständen zu verschlüsseln (at rest, in transit & in use). Sowohl der interne als auch der externe Netzwerkverkehr ist zu verschlüsseln. Für kryptographische Schlüssel ist ein Lifecycle-Management einzurichten.  
   
5. Art.10 DORA – Priorität auf die Behebung von Schwachstellen 
   Anforderungen an automatisierte Schwachstellenscans und die Behebung von Schwachstellen sind gestiegen. Automatisierte Schwachstellenscans mindestens wöchentlich. Lieferkettenrisiko rückt in den Fokus. Behebung von Schwachstellen durch Patches hat höchste Priorität.  
   
6. Art.11 DORA – Detaillierte Sicherheitsanforderungen 
   Verwendung nur von autorisierter Software und Speichermedien. Sicherheit muss auch im Home-Office und bei auswärtigem Arbeiten bestehen. Besondere Schulung für Mitarbeiter, die Cloud-Zugänge administrieren. Besonderer Schutz für Zugänge zu Clouds. 
   
7. Art. 16 DORA – Test des Source Code 
   Genehmigung von Fachbereichen und Asset Owner für u.a. Sicherheitsmaßnahmen muss eingeholt werden. Testumgebungen sollen adäquat die Produktionsumgebung widergeben. Die Integrität des Quellcodes ist zu schützen. Quellcode und Software von Dritten ist zu analysieren und zu testen. 
   
8. Art.13 DORA – Stärkung der Netzwerksicherheit 
   Erstellung eines visuellen Netzwerkplans. Interner und externer Schutz des Netzwerkverkehrs. Regelmäßige Prüfung und Zertifizierung der Firewall-Regeln. Jährliche Überprüfung der Netzwerkarchitektur. Schaffung der Möglichkeit zur zeitweisen Isolation von Subnetzen, Netzwerkkomponenten und Geräten.  
   
9. Art.21 DORA – Nutzeridentifikation
   Jede natürliche Person soll eine eindeutige Identität erhalten, diese soll auch bei Reorganisation und nach Beendigung der Zusammenarbeit bestehen bleiben. Anforderungen im Zugriffs- und Zutrittsmanagement bleiben weitestgehend gleich.  
   
10. Art.27 DORA – Testszenarien für Cyberangriffe 
    Umfassende Vorgaben zum Notfallmanagement. RTS fokussiert sich auf die Mindestinhalte der RecoveryPlans und auf das Testen dieser. Mindesttestszenarien steigen von vier (MaRisk) auf neun. 
    
11. Art.6 para.5 DORA – Regelmäßige Überprüfung des IKT-Rahmenwerkes 
    Eine formelle Dokumentation des aktuellen Stands des IKT-Risikorahmenwerks ist zu erstellen. Diese muss auf Anfrage der Aufsicht aktuell zur Verfügung gestellt werden.  

2. Schwerpunkt: Überwachung von kritischen IKT-Drittdienstleistern

Finanzunternehmen dürfen kritische IKT-Drittdienstleister aus Drittstaaten nur dann nutzen, wenn diese binnen zwölf Monaten nach ihrer Einstufung einen Sitz in der EU begründen. Es besteht aber keine Verpflichtung Daten nur innerhalb der EU zu speichern (wobei hier datenschutzrechtliche Probleme bestehen dürften, falls dies nicht der Fall sein sollte). 

Die Aufsichtsbehörden haben insbesondere die folgenden Befugnisse gegenüber ITK-Dienstleistern: 

1. Anforderung von Informationen und Unterlagen: relevante Geschäfts- oder Betriebsunterlagen, Verträge, Leit- und Richtlinien, Dokumentationen, Meldungen über IKT-Sicherheitsprüfungen, Berichte über IKT-bezogene Vorfälle sowie alle Informationen über Parteien, an die der kritische IKT-Drittdienstleister betriebliche Funktionen oder Tätigkeiten ausgelagert hat; 
   
2. Untersuchungen und Inspektionen in Geschäftsräumen des IKT-Drittdienstleisters in Bezug auf: Aufzeichnungen, Daten, Verfahren, etc.; Vorladung von Vertretern des kritischen IKT-Drittdienstleisters, einschließlich der Abgabe mündlicher oder schriftlicher Erklärungen; jede andere natürliche oder juristische Person zu befragen, die dieser Befragung zum Zweck der Einholung von Informationen über den Gegenstand einer Untersuchung zustimmt; Übermittlung der Aufzeichnungen von Telefongesprächen und Datenübermittlungen; 
   
3. Empfehlungen abzugeben, die die Aufsicht in Bezug auf folgendes für relevant hält: 

• die Anwendung spezifischer IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren, insbesondere in Bezug auf die Herausgabe von Patches, Aktualisierungen, Verschlüsselung und andere Sicherheitsmaßnahmen, die für die Gewährleistung der IKT-Sicherheit von Diensten, die Finanzunternehmen bereitgestellt werden; 
• die Verwendung von Bedingungen — einschließlich ihrer technischen Umsetzung — zu denen die kritischen IKT-Drittdienstleister IKT-Dienstleistungen für Finanzunternehmen bereitstellen, um die Entstehung punktueller Ausfälle oder deren Verstärkung zu verhindern oder um mögliche systemische Auswirkungen im Finanzsektor der Union im Falle eines IKT-Konzentrationsrisikos zu minimieren; 
• unter bestimmten Voraussetzungen: jede geplante Unterauftragsvergabe, die die kritischen IKT-Drittdienstleister mit anderen IKT-Drittdienstleistern oder mit IKT-Unterauftragnehmern mit Sitz in einem Drittland zu schließen beabsichtigen und die Risiken für die Erbringung von Dienstleistungen durch das Finanzunternehmen oder Risiken für die Finanzstabilität mit sich bringen kann; 

4. Anforderung von Berichten, in denen die ergriffenen Maßnahmen oder die Abhilfemaßnahmen aufgeführt sind, die die kritischen IKT-Drittdienstleister in Bezug auf die in Buchstabe b) genannten Empfehlungen ergriffen haben. 

Die Überwachung kritischer IKT-Drittdienstleister durch die Aufsicht entbindet Finanzunternehmen allerdings nicht von ihrer Pflicht zur Überwachung des Dienstleisters. Die Aufsichtsbehörden prüfen, wie die Finanzunternehmen die in den Empfehlungen festgestellten Risiken beim kritischen IKT-Drittdienstleister im Rahmen ihres Drittparteirisikomanagements berücksichtigen. Bei nicht oder nicht ausreichender Berücksichtigung der Risiken durch Finanzunternehmen, teilt die Aufsichtsbehörde ihre Einschätzung dem Finanzunternehmen mit und kann binnen 60 Tagen nach dieser Mitteilung als letztes Mittel von Finanzunternehmen verlangen, die Nutzung des kritischen IKT-Drittdienstleisters ganz oder teilweise zu unterbrechen, bis die Risiken beseitigt sind, oder die Verträge mit dem kritischen IKT-Drittdienstleister ganz oder teilweise zu kündigen.   

Melden Sie sich bei Fragen jederzeit gerne. Wir sind auf die Umsetzung und Implementierung von compliance-lastigen IT-Projekten im finanzregulatorischen Umfeld spezialisiert. 

Wir können Sie hier speziell dabei unterstützen sich auf die neuen Anforderungen durch DORA vorzubereiten.

Wir raten Ihnen, sich mit der Verordnung sowie der Konsultationsfassungen der RTS/IST/Guidelines, einschließlich der Erwägungsgründe vertraut zu machen.

Vergleichen Sie die Anforderungen aus DORA mit den bereits bestehenden regulatorischen Anforderungen (z.B. MaRisk, BAIT, EBA Guidelines on outsourcing arrangements, BaFin Orientierungshilfe Cloud).

Das Traditionsunternehmen griep Gruppe mit Sitz in Wiesbaden hat sich in den letzten 11 Jahre zu einem der führenden Baulogistikspezialisten Deutschlands entwickelt. Mit rund 190 Mitarbeitenden deckt griep das gesamte Leistungsspektrum der Baulogistik für verschiedenste Bauprojekte – von Bahnhofsgebäuden über Hochhäuser, in Stadtzentren oder auf dem Land – ab.

Win-Win: Mit der Schweizerischen Post hat die griep Gruppe den perfekten Partner für Wachstum und Expansionsmöglichkeiten in Deutschland und der Schweiz gefunden. Die Schweizerische Post ist erfolgreich im Bereich der logistischen Unterstützung von Bauprojekten – von der Logistikplanung über die Baustellenlogistik bis hin zur Entsorgungslogistik – tätig und hat mit griep nun einen erfahrenen Sparringspartner zur Optimierung und Erweiterung ihres Baulogistik-Angebots.

Vorbehaltlich der Zustimmung des Bundeskartellamtes ist der Beginn der Zusammenarbeit für Januar 2024 geplant.

Berater griep Gruppe:
act legal Deutschland (act AC Tischendorf Rechtsanwälte): Dr. Fabian Brocke, LL.M. (Corporate/M&A); Dr. Nina Honstetter (Corporate/M&A); Dr. Fabian Laugwitz, MBA, LL.M. Eur. (Commercial)

Dr. Alexander Höpfner: „Mit der Fortführung des Geschäftsbetriebes durch den Investor konnte für die Gläubiger eine gute Lösung gefunden werden, die zudem die Interessen der Pflegebedürftigen berücksichtigt“.

Zudem werden rund 180 Arbeitsplätze an den neun Betriebsstätten in Hessen, Rheinland-Pfalz, Nordrhein-Westfalen, Bayern sowie in Thüringen, Sachsen und Sachsen-Anhalt übernommen.
 
Berater/Eigenverwaltung DigniCare: LIESER Rechtsanwälte Partnerschaft mbB – Jens Lieser und Dr. Martin Kaltwasser (Generalbevollmächtigte)
 
Sachwaltung: act legal Deutschland (act AC Tischendorf Rechtsanwälte) – Dr. Alexander Höpfner (Sachwalter), Dr. Felix Melzer, Maximilian Dieler (beide Restrukturierung/Insolvenz)