Man erwarte einen „Herbst der Bürokratie“, schreibt die Bonner Wirtschafts-Akademie (BWA). Als die drei Schwerpunkte macht die Akademie die Themengebiete Cyberresilienz, ESG (Environment, Social, Governance; Umwelt, Soziales und Unternehmensführung) und Künstliche Intelligenz (KI) aus. Dieser Entwicklung würden „über 90 Prozent der deutschen Wirtschaft weitgehend hilflos gegenüberstehen“, befürchtet BWA-Geschäftsführer Harald Müller.“
Als besonders schwerwiegend bezeichnet die BWA die Auswirkungen der NIS2-Richtlinie (Network & Information Security) für Cybersicherheit, die Nachhaltigkeits-Berichtspflichten laut CSRD (Corporate Sustainability Reporting Directive) und die Folgen der KI-Verordnung (Artificial Intelligence Act) unter anderem in Bezug auf den Datenschutz.
Auf dem Gebiet Cyberresilienz greift die neue NIS2-Richtlinie ab Oktober dieses Jahres. Die eigentlich primär für die Betreiber sogenannter Kritischer Infrastrukturen gedachte Verordnung zur Abwehr von Hackerangriffen betrifft laut BWA „faktisch einen Großteil der mittelständischen Wirtschaft“. So fallen unter anderem die Betreiber und Zulieferer in den Branchen Energie, Transport, Post- und Kurierdienste, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, digitale Anbieter und Forschung unter NIS2.
Dabei sei der Anforderungskatalog des Gesetzgebers „derart umfangreich, dass er für viele Mittelständler kaum erfüllbar ist“, sagt Müller.
CSRD betrifft auch den Mittelstand
Im ESG-Bereich drängt vor allem die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, CSRD) zur zügigen Umsetzung. Die CSRD trat Anfang 2023 in Kraft, galt aber bislang nur für Unternehmen, die bereits der Pflicht zur nichtfinanziellen Erklärung unterliegen. Ab 2025 gilt sie für alle großen Unternehmen und ab Anfang 2026 auch für kleine und mittlere Unternehmen. „Viele Mittelständler widmen der CSRD noch nicht die dringend notwendige Aufmerksamkeit, weil bis 2026 vermeintlich noch über ein Jahr Zeit ist“, warnt BWA-Chef Müller.
„Wer ab 2026 berichtspflichtig ist, muss rückwirkend für das Jahr 2025 berichten. Das dazu notwendige Berichtswesen muss also noch in diesem Jahr eingerichtet werden, um ab Anfang nächsten Jahres mindestens die gesetzlich vorgeschriebenen 82 Minimalangaben mit 127 Kennzahlen zu erfassen.“
Schatten-KI in vielen Unternehmen
Bei Künstlicher Intelligenz sieht die Bonner Wirtschafts-Akademie gleich zwei akute Gefahrenpotenziale: den AI Act (KI-Gesetz) der Europäischen Union und die sogenannte Schatten-KI, also den betrieblichen Einsatz von KI-Programmen wie ChatGPT durch einzelne Beschäftigte ohne Zustimmung des Unternehmens.
In vielen Firmen setzen die Beschäftigten gängige KI-Programme ein, um ihre Arbeit schneller und einfacher zu erledigen, ohne ihre Vorgesetzten zu informieren. „Diese Schatten-KI breitet sich seit weit über einem Jahr in der Wirtschaft aus, ohne dass dies in den Chefetagen überhaupt bekannt wird“, sagt Müller. Das Problem dabei: Die Beschäftigten laden zuhauf personenbezogene Daten und Betriebsgeheimnisse in die KI-Programme hoch und verletzten damit den Datenschutz und die Corporate Governance.
„In manchen Firmen sind ganze Personallisten bei ChatGPT gelandet, weil ein Mitarbeiter in der Personalabteilung eine Analyse des Personalbestands etwa in Bezug auf Alter, Betriebszugehörigkeit, Ausbildung oder Personalverantwortung von der KI erhalten wollte“, schildert Müller. Er sagt: „Verletzungen der Datenschutz-Grundverordnung durch KI sind derzeit im Mittelstand wie in großen Unternehmen an der Tagesordnung.“
BWA-Chef Müller empfiehlt daher: „Die Unternehmen sind gut beraten, klare und restriktive Richtlinien für den betrieblichen KI-Einsatz zu formulieren.“
