Keine Treffer
Probieren Sie andere Suchbegriffe oder klicken Sie eine Kategorie oben.
Lizenz & Eigentum — 5 Fragen
Was Sie kaufen, wem es gehört, einmal kaufen, immer aktuell und Geld-zurück-Garantie*
Die Lizenz gilt für das in der Bestellung genannte Unternehmen einschließlich verbundener Konzerngesellschaften (§ 15 AktG). Eine Weitergabe der Vorlagen an Dritte außerhalb des lizenzierten Unternehmens ist nicht zulässig — Details regelt der Anwendungsabschnitt unserer AGB. Innerhalb Ihres Unternehmens dürfen Sie die Vorlagen für unbegrenzt viele Mitarbeiter und Standorte nutzen.
Nein. Die Vorlagen sind innerhalb Ihres Unternehmens unbegrenzt nutzbar. Sie können sie für 5 Mitarbeiter genauso einsetzen wie für 500. Auch interne Anpassungen (Logo einsetzen, Klauseln verfeinern) sind ohne weitere Lizenz erlaubt.
Wir speichern nur die für Bestellung und Rechnungsstellung erforderlichen Daten (Firmenname, USt-ID, E-Mail, Bestellnummer). Diese werden in der EU (Frankfurt, Firebase europe-west3) verarbeitet. Die Word-Vorlagen werden lokal personalisiert und Ihnen ausgeliefert — wir speichern KEINE inhaltlich angepassten Versionen Ihrer Compliance-Dokumentation. Detail siehe Datenschutzerklärung.
Sie haben die Word-Vorlagen lokal — sie funktionieren ohne unsere Server, ohne Cloud, ohne Aktivierung. Selbst wenn Compliance-Kit nicht mehr existiert, können Sie Ihre bereits gekauften Kits unbegrenzt weiternutzen. Das ist der zentrale Vorteil gegenüber Cloud-Plattform-Abos: dort verlieren Sie bei Anbieter-Insolvenz oder Kündigung den Zugriff auf Ihre Compliance-Daten.
Sie erhalten alle Updates des Kits, solange das Kit in seiner aktuellen Major-Version geführt wird. Updates kommen bei Behörden-Auslegungsänderungen, neuer Rechtsprechung und bekannten Folge-Phasen einer Verordnung (z.B. EU AI Act Annex III ab 02.08.2026). Bei einer substantiell neuen Verordnung 50% Bestandskunden-Rabatt. Details siehe AGB § 7.
Geld-zurück & Garantie — 3 Fragen
Wie funktioniert die Geld-zurück-Garantie*? Welche Beweise muss ich liefern? Was passiert mit der Lizenz nach Erstattung?
Sollte sich ein Inhalt unserer Vorlagen rechtlich nachweisbar als falsch erweisen, erstatten wir Ihnen den Kaufpreis plus nachweisbar entstandene Folgekosten — insgesamt höchstens das Doppelte des Kaufpreises. Frist: 60 Tage ab Lieferdatum. Bearbeitung innerhalb von 14 Werktagen nach vollständiger Mangel-Meldung. Details siehe AGB § 8.
Eine substantiierte Mangel-Begründung, bestätigt durch eine der folgenden Quellen: (a) ein anwaltliches Schreiben einer in der EU zugelassenen Rechtsanwältin/eines Rechtsanwalts, oder (b) eine schriftliche Stellungnahme einer zuständigen Aufsichtsbehörde (z.B. BfDI, dsb.gv.at, edoeb.admin.ch, BSI). Subjektive Mangel-Empfindungen ohne objektive Belegbarkeit reichen nicht aus. Details siehe AGB § 8 (3).
Mit der Erstattung erlischt die Nutzungslizenz. Bereits heruntergeladene Vorlagen müssen Sie löschen und dürfen sie nicht weiter nutzen. Die Geld-zurück-Garantie* tritt zusätzlich zu den gesetzlichen Gewährleistungsrechten — diese bleiben unberührt.
Allgemein — 18 Fragen
Über Compliance-Kit, Lieferung, Preise, Support
Wir nutzen Paddle als Merchant of Record (MoR). Vertragspartner für die Zahlungsabwicklung ist je nach Wohnsitz/Sitz:
- EWR-Käufer: Paddle.com Market B.V., Spuistraat 282, 1012 VX Amsterdam (NL)
- Außerhalb EWR: Paddle.com Market Limited, London (UK), oder Paddle.com, Inc., New York (USA)
Paddle stellt die Rechnung mit korrekt ausgewiesener Umsatzsteuer aus und übernimmt automatisch die B2B-Reverse-Charge-Behandlung mit gültiger USt-IdNr. Vertragspartner für die Lizenz und den Inhalt der Compliance-Kit-Vorlagen bleibt Ens Naturale e.U. (Cosmin Birtalan, Wien). Details zu Datentransfer und Rechtsgrundlagen siehe Datenschutzerklärung Abschnitt 4.1.
Compliance-Kit liefert sofort einsetzbare Dokumentations-Vorlagen für die fünf wichtigsten EU-Compliance-Bereiche (DSGVO, EU AI Act, NIS2, HinSchG, AGG/Pay Transparency). Solo-Founder, KMU und Compliance-Teams sparen damit Wochen an Recherche- und Erstellungsaufwand.
Fünf Kits: EU AI Act (58 Dokumente), NIS2 (72), DSGVO (67), HinSchG (55) und AGG/Pay Transparency (62). Jedes Kit gibt es in drei Tiers — Basis, Plus und Komplett.
Drei Tiers — Basis 990 €, Plus 1.290 €, Komplett 1.490 € — für alle 5 Kits identisch. Alle Tiers enthalten den vollen Dokumenten-Umfang. Details und Vergleichstabelle auf der Preise-Seite.
Sie zahlen einmalig für das Kit und nutzen es unbegrenzt. Kein Abo, keine versteckten Folgekosten. Inkludiert sind Major-Updates ohne Zeitlimit.
Sofort nach Zahlungsbestätigung erhalten Sie einen E-Mail-Link mit den ZIP-Dateien. Personalisierung mit Firmennamen erfolgt automatisch im Download-Schritt.
Alle Dokumente werden vor dem Download mit Ihrem Firmennamen, Sitzland und Branche befüllt — keine Massen-Find-and-Replace im Word/Excel mehr nötig. Audit-ready aus der Box.
Die Templates basieren auf Gesetzestexten, EDPB-/BSI-/EU-Office-Leitlinien und aktueller BAG-Rechtsprechung. Vor produktivem Einsatz empfehlen wir eine Schluss-Prüfung durch Ihre Rechtsabteilung oder einen Fachanwalt — wir liefern den Rohstoff, nicht die Rechtsberatung.
Ja, 12 Monate lang. Wenn sich Gesetze ändern (z.B. Trilog-Annahme des Digital-Omnibus-Vorschlags vom 19.11.2025), bekommen Sie aktualisierte Versionen automatisch per E-Mail. Update-Service danach optional verlängerbar.
Alle drei Tiers enthalten den vollen Dokumenten-Umfang des Kits. Basis (990 €) ist der Einstieg mit allen Vorlagen. Plus (1.290 €) ergänzt Premium-Optionen. Komplett (1.490 €) enthält zusätzlich alle Add-ons inkl. dem passenden E-Learning-Modul mit Quiz und Zertifikat — die Vollausstattung.
Pro Kit ein interaktives HTML-E-Learning (8–10 Kapitel, 40+ Slides) mit Quiz (50-Fragen-Pool, 20 pro Sitzung), druckbarem Zertifikat und Offline-Fähigkeit. Unbegrenzte Nutzer pro Lizenz.
Ja. Jedes E-Learning-Modul liefert ein druckbares Teilnahme-Zertifikat mit Datum, Score und Firmenname. Erfüllt die Nachweis-Pflichten nach Art. 4 EU AI Act (KI-Kompetenz), § 12 AGG (Schulungspflicht) und NIS2 § 30 (Awareness-Schulungen).
Ja. Unsere AGB enthalten eine ausdrückliche Konzern-Lizenz-Klausel: Verbundene Unternehmen im Sinne der § 15 AktG / Art. 3 Abs. 1 RL 2013/34/EU dürfen das Kit ohne Aufpreis mitnutzen, solange sie nicht weitervertrieben werden.
Alle Kits liegen in Deutsch und Englisch vor. Das ist relevant für internationale Tochtergesellschaften, mehrsprachige Belegschaften und EU-weite Compliance.
Word (.docx) für Policies, Verträge und Richtlinien · Excel (.xlsx) für VVT, Risikoregister und Pay-Gap-Tools · PDF für Schaubilder und Schulungsunterlagen · HTML für E-Learning. Alle ohne Makros, ohne Lock-in.
Sie haben 14 Tage Zeit zur Prüfung. Wenn das Kit Ihre Erwartungen nicht erfüllt, schicken Sie eine kurze E-Mail an office@compliance-kit.eu und Sie erhalten den vollen Kaufpreis zurück — ohne Diskussion.
Bei Bestellern aus der EU (außerhalb Österreichs) mit gültiger USt-ID stellen wir die Rechnung netto ohne USt aus (§ 19 UStG AT bzw. § 13b UStG DE). Sie führen die USt selbst im Rahmen Ihres Vorsteuer-Verfahrens ab.
Nein. Wer Word und Excel bedienen kann, kann das Kit nutzen. Die meisten Vorlagen werden mit Firmennamen ausgeliefert und müssen nur noch an spezifische Prozesse angepasst werden.
EU AI Act — 17 Fragen
Anwendungsbereich, Pflichten, Fristen, Bußgelder
Ja. Rund 90 % der betroffenen Unternehmen sind Betreiber (Deployer). Art. 26 EU AI Act definiert umfangreiche Pflichten — menschliche Aufsicht, Eingabedaten-Qualität, Logging, Information der Betroffenen.
Art. 4 EU AI Act gilt seit 02. Februar 2025. Alle Mitarbeiter, die KI-Systeme nutzen, müssen geschult sein — unabhängig von der Größe des Unternehmens. Verstöße werden ab 2026 geahndet.
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken (Art. 5). Bei Hochrisiko-Verstößen 15 Mio. € / 3 %, bei sonstigen Pflichten 7,5 Mio. € / 1,5 %.
Jedes Unternehmen, das KI-Systeme anbietet, einsetzt, importiert oder vertreibt — sobald die Systeme im EU-Markt verfügbar sind oder ihre Wirkung in der EU entfalten. Auch US-Anbieter mit EU-Nutzern fallen darunter.
Social Scoring, manipulative KI mit Schädigungspotenzial, biometrische Massenüberwachung im öffentlichen Raum (mit Ausnahmen), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, Predictive Policing aufgrund von Profiling. Seit 02.02.2025 unzulässig.
Systeme nach Anhang III: HR-Recruiting, Bildungs-Bewertung, Kreditscoring, Strafverfolgung, Migration, Justiz, demokratische Prozesse, kritische Infrastruktur — sowie Sicherheitskomponenten regulierter Produkte (Anhang II). Pflichten ab 02.08.2026.
Ja, faktisch. Ohne aktuelles Verzeichnis Ihrer KI-Systeme können Sie weder Risiko klassifizieren noch Pflichten zuordnen. Unser Schnelltest und der KI-Inventar-Schnellcheck helfen beim Einstieg.
Pflicht für Hochrisiko-KI-Betreiber im öffentlichen Sektor und für private Stellen mit öffentlichem Auftrag (Banken-Kreditscoring, Versicherungs-Risiko, kritische Infrastruktur). Vor Inbetriebnahme + bei wesentlichen Änderungen. Vorlage im Plus-Tier des EU AI Act Kits enthalten.
General-Purpose AI Models — Foundation Models wie GPT-4, Claude oder Gemini. Anbieter müssen seit 02.08.2025 Transparenz-, Trainingsdaten- und Urheberrechts-Pflichten erfüllen. Bestandsmodelle (vor 02.08.2025) haben Anpassungsfrist bis 02.08.2027.
Anbieter entwickelt, lässt entwickeln oder bringt KI auf den Markt unter eigenem Namen. Betreiber nutzt KI im eigenen Verantwortungsbereich. Wenn Sie ein KI-System wesentlich verändern oder rebranden, werden Sie zum Anbieter (Art. 25).
Synthetisch erzeugte Audio-, Bild-, Video- oder Text-Inhalte müssen maschinenlesbar markiert werden (z.B. C2PA-Metadaten). Bei Deep Fakes auch sichtbarer Hinweis. Chatbots brauchen klare „Sie kommunizieren mit einer KI“-Information.
Pflichtprüfung für Hochrisiko-KI vor Inverkehrbringen — entweder intern (Selbstprüfung gegen Anhang IV) oder durch eine notifizierte Stelle (bei sicherheitsrelevanten Komponenten). CE-Kennzeichnung als Ergebnis.
Ja. Art. 4 verlangt KI-Kompetenz für alle Mitarbeiter, die KI-Tools einsetzen — auch Standard-LLMs wie ChatGPT, Copilot oder Claude. Unsere EU AI Act-Schulung deckt das ab.
Von der Aufsichtsbehörde betriebene kontrollierte Umgebung für die Erprobung innovativer KI vor dem Markteintritt. KMU werden bevorzugt zugelassen, während der Sandbox-Phase reduzierte Bußgelder bei Pflicht-Verstößen.
Stand 02.05.2026: Die EU-Kommission hat am 19.11.2025 den Digital-Omnibus-Vorschlag vorgestellt — Trilog läuft, NICHT beschlossen. Geplant: Verschiebung Anhang III auf 02.12.2027 (statt 02.08.2026), Anhang I auf 02.08.2028 (statt 02.08.2027). Bis zur Annahme bleibt 02.08.2026 die rechtsverbindliche Frist.
Open-Source-GPAI-Modelle ohne systemisches Risiko sind weitgehend von den GPAI-Pflichten ausgenommen. Aber: Werden sie in Hochrisiko-Anwendungen eingesetzt, gelten die normalen Hochrisiko-Pflichten beim Anbieter/Betreiber.
Doppelregulierung: Wenn KI personenbezogene Daten verarbeitet, gelten beide. Art. 22 DSGVO (automatisierte Einzelentscheidung) und KI-VO greifen ineinander. DSFA und FRIA sollten parallel laufen — überlappende Felder wiederverwendbar.
NIS2 — 17 Fragen
Cybersecurity, Meldepflichten, GF-Haftung, BSIG
Wesentliche oder wichtige Einrichtungen mit ≥50 Mitarbeitern oder ≥10 Mio. € Umsatz in 18 kritischen Sektoren (Energie, Verkehr, Gesundheit, Digitalinfrastruktur, IT-Dienste, Lebensmittel u.a.). Unser NIS2-Readiness-Check klärt das in 10 Fragen.
Geschäftsführer müssen Cybersecurity-Maßnahmen formal genehmigen, deren Umsetzung überwachen und sich regelmäßig schulen lassen (§ 38 BSIG). Bei Versäumnis persönliche Innenhaftung gegenüber dem Unternehmen — bei Insolvenz auch gegenüber Gläubigern.
24h Frühwarnung an BSI/CSIRT, 72h Bewertung mit ersten Erkenntnissen, 1 Monat Abschlussbericht. Zusätzlich Information betroffener Empfänger und ggf. Öffentlichkeit. Versäumnis ist eigenständiger Tatbestand.
Wesentlich = besonders kritische Sektoren (Energie, Wasser, Banken, Gesundheit) ab 250 MA / 50 Mio. €. Wichtig = übrige NIS2-Sektoren ab 50 MA / 10 Mio. €. Wesentliche werden proaktiv von Behörden überwacht, wichtige nur reaktiv (bei Vorfall).
11 hochkritische (Anhang I): Energie, Verkehr, Banken, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, Digitalinfrastruktur, IT-Dienste-Verwaltung, Verwaltung, Raumfahrt. 7 sonstige (Anhang II): Post, Abfall, Chemie, Lebensmittel, Hersteller (med. Geräte, Maschinen, KFZ), digitale Anbieter, Forschung.
Die Kernvorschrift des deutschen NIS2UmsuCG: 10 verpflichtende Sicherheitsmaßnahmen — Risikoanalyse-Konzept, Vorfallsbewältigung, BCM, Lieferketten-Sicherheit, Sicherheit beim Erwerb/Entwicklung, Wirksamkeitsbewertung, Cyberhygiene, Kryptografie, Personalsicherheit/Zugriffskontrolle, MFA. Detail-Pillar: § 30 BSIG erklärt.
Wesentliche Einrichtungen: bis 10 Mio. € oder 2 % des weltweiten Umsatzes (höhere Summe gilt). Wichtige: bis 7 Mio. € oder 1,4 %. Plus persönliche Bußgelder gegen Geschäftsführer.
Faktisch ja. § 30 BSIG verlangt ein systematisches Risikomanagement-Konzept — das ist ein ISMS unter anderem Namen. Sie können bei null beginnen oder ISO/IEC 27001 als Rahmen nutzen. ISMS in 10 Wochen aufbauen.
ISO 27001 deckt ~80 % der NIS2-Anforderungen ab. Lücken: NIS2-spezifische Meldepflichten, GF-Haftung-Dokumentation, Lieferantenprüfung nach NIS2-Standards. Wer ISO 27001 hat, schafft NIS2 mit überschaubarem Delta.
Wesentliche und wichtige Einrichtungen mussten sich bis 06.03.2026 beim BSI registrieren. Neuanmeldungen sind weiterhin möglich; verspätete Registrierung ist ein eigener Bußgeld-Tatbestand.
Das NIS2UmsuCG ist seit 06.12.2025 in Kraft. Pflichten gelten sofort. Die ersten Behörden-Audits werden ab Q4 2026 erwartet. In Österreich tritt das NISG 2026 voraussichtlich Q4 2026 in Kraft.
Sie müssen Cybersecurity-Risiken in Ihrer Lieferkette identifizieren, bewerten und managen (§ 30 Abs. 2 Nr. 4). Das umfasst SBOM-Anforderungen, Vertragsklauseln zu Sicherheitsstandards und regelmäßige Lieferanten-Audits. Lieferkette absichern.
Nein. NIS2 verlangt technisch-organisatorische Maßnahmen, nicht nur finanzielle Absicherung. Eine Cyber-Versicherung ergänzt Ihren Risiko-Transfer, ersetzt aber nicht die Pflichten aus § 30 BSIG. Versicherer prüfen sogar die NIS2-Konformität als Voraussetzung.
DORA (Digital Operational Resilience Act) gilt seit 17.01.2025 für Finanzdienstleister und ist die spezifischere Regel — NIS2 tritt zurück, soweit DORA strenger ist. Praktisch: DORA-Pflicht für Banken/Versicherer, NIS2 für FinTechs nur ergänzend bei DORA-Lücken.
NIS2 verlangt keinen formal benannten CISO, aber eine klar zugeordnete Verantwortung für Informationssicherheit auf C-Level oder direkt darunter. In Konzernen ist die CISO-Rolle De-facto-Standard, in KMU oft kombiniert mit DSB oder IT-Leitung.
Mindestens jährlich — und anlassbezogen bei wesentlichen Änderungen (neue Systeme, M&A, Vorfälle). § 30 Abs. 1 Nr. 6 verlangt explizit „Bewertung der Wirksamkeit“.
Bußgeld bis 100.000 € pro Tag der Versäumnis — und Reputationsrisiko, weil das BSI öffentliche Listen führen darf. Außerdem: Versicherungs-Lücke, weil viele Cyber-Policen die Registrierung als Voraussetzung verlangen.
DSGVO — 17 Fragen
Datenschutz-Pflichten, Datenpannen, Drittland-Transfers
Ja. Art. 30 DSGVO verpflichtet grundsätzlich jeden Verantwortlichen zur Führung eines Verarbeitungsverzeichnisses. Die KMU-Ausnahme (<250 MA) greift in der Praxis kaum, weil sie an enge Bedingungen geknüpft ist. VVT-Anleitung.
Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO zum Schutz personenbezogener Daten — Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Backup, Wiederherstellung, regelmäßige Wirksamkeitsprüfung. TOM-Prüfliste.
Bei hohem Risiko für die Rechte der Betroffenen — z.B. bei Profiling, Massenverarbeitung sensibler Daten, systematischer Überwachung. Die DSK-Schwellwertanalyse (im Kit enthalten) klärt das in 12 Fragen.
Pflicht ab 20 Beschäftigten mit ständiger automatisierter Verarbeitung (§ 38 BDSG) — oder bei sensibler Datenverarbeitung als Kerngeschäft (Art. 37 DSGVO), z.B. Praxis, Anwaltskanzlei. Detailprüfung.
Jede Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten — gestohlener Laptop, fehlgeleitete Mail, Hack, Fehlkonfiguration, Brand. Auch fast-Vorfälle (Beinahe-Datenpanne) sollten Sie intern dokumentieren.
72 Stunden ab Kenntnisnahme — an die zuständige Aufsichtsbehörde (Art. 33). Bei hohem Risiko zusätzlich Information der Betroffenen ohne unangemessene Verzögerung (Art. 34). 72h-Verfahren.
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — Pflicht-Vertrag mit jedem Dienstleister, der für Sie personenbezogene Daten verarbeitet (Cloud-Anbieter, IT-Dienstleister, Lohnbüro, Newsletter-Tool). Mustertext im Kit, Anleitung.
Ja, bei US-Unternehmen, die unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, ohne Zusatz-Garantien. Andernfalls: Standardvertragsklauseln (SCC) + Transfer Impact Assessment. Plan B.
Acht Rechte: Auskunft (Art. 15), Berichtigung (16), Löschung/Vergessen (17), Einschränkung (18), Datenübertragbarkeit (20), Widerspruch (21), keine automatisierte Einzelentscheidung (22), Beschwerde bei der Aufsicht (77). Antwortfrist 1 Monat, einmal verlängerbar um 2 Monate.
Ein Monat ab Eingang der Anfrage (Art. 12 Abs. 3). Bei komplexen oder zahlreichen Anfragen darf um 2 Monate verlängert werden — mit Begründung an den Betroffenen innerhalb der ersten Frist.
Daten werden so verarbeitet, dass sie ohne Zusatz-Information keiner Person mehr zuzuordnen sind (Art. 4 Nr. 5). Beispiel: Klarname → Mitarbeiter-Nr., Liste der Zuordnung getrennt aufbewahrt. Reduziert das Risiko, ersetzt aber nicht die DSGVO-Pflichten.
Nur wenn nicht-essentielle Cookies oder Tracking-Technologien zum Einsatz kommen (§ 25 TDDDG). Reine technische Cookies (Session, Warenkorb) sind ohne Einwilligung erlaubt. Cloudflare Web Analytics z.B. ist cookieless. Pflicht-Check.
Bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5) — höherer Wert gilt. Bei einfacheren Verstößen 10 Mio. / 2 %. Aktuelle Bußgelder.
Faktisch ja. Single-Opt-In ist rechtlich theoretisch zulässig, in der Praxis aber nicht beweisbar (BGH-Rechtsprechung). Double-Opt-In mit IP-/Timestamp-Logging ist der einzige sichere Weg, und es gehört zu den TOM nach Art. 32.
Standardpraxis: 6 Monate nach Absage zur Verteidigung gegen AGG-Klagen (§ 15 Abs. 4 AGG: 2 Monate Geltendmachungsfrist + Pufferzeit). Bei Einwilligung für Talent-Pool länger zulässig. Danach: Löschen (Art. 17).
Verbot rein automatisierter Einzelentscheidungen mit erheblicher Wirkung (Kreditscore, Bewerber-Auswahl, Versicherungs-Tarif), wenn sie ohne menschliche Beteiligung erfolgen. Ausnahmen: Vertrag, Einwilligung, gesetzliche Erlaubnis — immer mit menschlicher Überprüfung im Einspruchsfall.
Beide gelten parallel, wenn KI personenbezogene Daten verarbeitet. Art. 22 DSGVO + Art. 14 KI-VO (Human Oversight) + Art. 26 KI-VO (Betreiber-Pflichten) verzahnen sich. Doppelpflicht im Detail.
HinSchG — 18 Fragen
Hinweisgeberschutz-Gesetz, Meldestelle, Verfahren
Seit 02.07.2023 für alle Unternehmen mit ≥50 Beschäftigten. Konzernunternehmen können nicht einfach eine zentrale Konzern-Meldestelle nutzen — die EU-Kommission hat im Vertragsverletzungsverfahren INFR(2024)0157 die deutsche Auslegung gerügt.
§ 36 HinSchG: Erleidet ein Hinweisgeber nach einer Meldung eine berufliche Benachteiligung (Kündigung, Versetzung, Mobbing), wird vermutet, dass es sich um eine Repressalie handelt. Der Arbeitgeber muss die Vermutung widerlegen.
Ja, seit 01.01.2025 ist die Bearbeitung anonymer Meldungen Pflicht. Davor war das eine Soll-Regelung. Die Meldestelle muss anonym kommunizieren können (Postfach, sicherer Online-Kanal).
Nicht alle Rechtsverstöße — sondern definierte Bereiche: EU-Recht (Vergabe, Finanzdienstleistung, Geldwäsche, Produktsicherheit, Verkehr, Umweltschutz, Strahlenschutz, Lebensmittel, Tierschutz, öffentliche Gesundheit, Verbraucherschutz, Datenschutz, Netz-/Informationssicherheit), bestimmte Straftaten und Ordnungswidrigkeiten.
Eingangsbestätigung in 7 Tagen, Rückmeldung über Folgemaßnahmen in 3 Monaten, Wahrung der Vertraulichkeit, Dokumentation, Datenschutz nach Art. 6 Abs. 1 lit. c DSGVO. Folgemaßnahmen: interne Untersuchung, Behörden-Hinweis, Verfahrens-Abschluss.
Compliance Officer, Personal-Leitung, Rechtsabteilung — oder externer Dienstleister (Anwalt, Ombudsperson). Wichtig: Unabhängigkeit und Fachkunde nach § 15 HinSchG. Nicht geeignet: Geschäftsführung selbst (Interessenkonflikt).
Mindestens 3 Jahre nach Verfahrensabschluss (§ 11 Abs. 1) — dann zwingend zu löschen, sofern nicht weitere Aufbewahrung erforderlich ist (Art. 5 DSGVO).
Bis 50.000 € (vorher 100.000 €, halbiert durch Reform): keine Meldestelle, Behinderung der Meldung, Verstoß gegen Vertraulichkeit, Repressalien. Plus Schadensersatz an Hinweisgeber.
Beim Bundesamt für Justiz (BfJ) eingerichtet. Hinweisgeber haben das Wahlrecht, ob sie intern oder extern melden — ein Vorrang der internen Meldung wurde durch die Reform 2024 abgeschafft. Das motiviert Unternehmen, attraktive interne Kanäle anzubieten.
Eingeschränkt. § 14 HinSchG erlaubt Auslagerung an die Konzernzentrale, aber die EU-Kommission rügt das. Hybrid-Modell empfohlen: dezentrale Meldekanäle pro juristischer Person + zentrale Bearbeitung. Hybridmodell.
Theoretisch ja — praktisch nicht. § 16 verlangt zugang über mehrere Wege (mündlich + schriftlich + auf Wunsch persönlich). Außerdem: anonyme Meldungen brauchen einen Kanal, der keine Identitäts-Spuren hinterlässt — pure E-Mail erfüllt das nicht.
SaaS-Lösungen ab 50 €/Monat für KMU bis 500 €/Monat für Konzerne. Anbieter-Vergleich. Open-Source-Alternativen (GlobaLeaks) gibt es, brauchen aber eigene IT-Ressourcen.
Nur was zur Bearbeitung erforderlich ist — Identität (sofern angegeben), Sachverhalt, Zeitstempel, Folgemaßnahmen. Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO. Ausführlich: DSFA Meldestelle.
Drei-Schichten-Modell: Allgemein (Was ist HinSchG?), Spezifisch (Wie meldet man?), Führungskraft (Wie reagiere ich auf Meldungen?). Unsere HinSchG-Schulung deckt alle drei ab.
Strikte Vertraulichkeit ihrer Identität bis zur Bestätigung der Meldung — danach Information, sobald die Untersuchung das zulässt (Art. 14 DSGVO). Auskunftsrecht des Beschuldigten ist beschränkt, solange das die Aufklärung gefährden würde.
Nein. § 22 HinSchG regelt die externe Meldestelle beim Bundeskartellamt (Wettbewerbsrecht/DMA), nicht eine Audit-Pflicht — und es gibt keinen Stichtag 01.01.2026. Eine jährliche Wirksamkeits-Selbstprüfung der internen Meldestelle ist Best-Practice (KEINE gesetzliche Pflicht). Details: HinSchG-Updates 2024–2026.
Ja, ab 50 Beschäftigten. Pflichtige Bereiche sind speziell EU-Vergabe (Förderpartner!), Datenschutz und Spendenwesen-Compliance. NPO-Praxis.
Pflicht zur Bearbeitung anonymer Meldungen (vorher Soll), Halbierung der Bußgelder (§ 40 = 50.000 EUR statt 100.000 EUR; via § 30 OWiG bis 500.000 EUR juristische Person), Klarstellung der Konzern-Auslegung (EU INFR(2024)0157), 3-Jahres-Verjährung. Eine jährliche Wirksamkeits-Selbstprüfung der Meldestelle ist Best-Practice — KEINE gesetzliche Pflicht.
AGG / Pay Transparency — 18 Fragen
Antidiskriminierung, Pay Gap, BAG-Urteile
Ja. § 12 Abs. 2 AGG verpflichtet Arbeitgeber zu präventiven Maßnahmen, inklusive Schulungen — als Voraussetzung für das Haftungsprivileg. Ohne dokumentierte Schulungen verlieren Sie im Prozess die Mitverschuldens-Argumentation.
§ 15 Abs. 4 AGG: Entschädigungs- und Schadensersatzansprüche nach AGG müssen innerhalb von 2 Monaten nach Kenntnis der Benachteiligung schriftlich geltend gemacht werden — sonst Verfall. Dokumentations-Falle Nr. 1 in Recruiting-Klagen.
Ab 07.06.2026: Entgeltbericht-Pflicht ab 100 MA, Auskunftsanspruch für alle Beschäftigten, geschlechtsneutrale Stellenbewertung, Joint Pay Assessment ab 5 % unerklärtem Pay Gap. Umsetzung in DE durch EntgTranspRL-UmsG. Detail.
Jeder Arbeitgeber. Sobald der Bewerber/Beschäftigte Indizien für eine Benachteiligung darlegt, muss der Arbeitgeber beweisen, dass kein Verstoß vorlag. Indizien können statistische Auffälligkeiten sein, Stellenanzeigen-Formulierungen, Auswahldokumentation. § 22 im Detail.
(1) Rasse / ethnische Herkunft, (2) Geschlecht, (3) Religion / Weltanschauung, (4) Behinderung, (5) Alter, (6) sexuelle Identität, (7) — letzteres ist im AGG nicht eigenständig, aber EU-rechtlich umfasst es alle bei der RL 2000/78/EG genannten Gründe.
Tätigkeit objektiv beschreiben, neutralisierende Begriffe vermeiden („dynamisch“ → „flexibel“), keine Altersgrenzen, (m/w/d)-Kennzeichnung, keine numerischen Sprach- oder Erscheinungsanforderungen. Unser Stellenanzeigen-Audit prüft 18 BAG-Indikatoren.
Geschlechtsneutrale Bezeichnung gemäß § 11 AGG i.V.m. BAG 8 AZR 501/14: männlich, weiblich, divers. Pflicht in Stellenausschreibungen — auch bei reiner E-Mail-Suche oder Social-Recruiting.
Pflicht nach § 13 AGG für jeden Arbeitgeber — unabhängig von der Mitarbeiterzahl. Sie muss bekannt gemacht und besetzt sein. Beschwerdestellen-Workflow.
Stellenanzeigen-Formulierungen („Berufseinsteiger“, „junges Team“, „akzentfrei“), statistische Untergewichtung von Frauen/Älteren in Auswahl/Beförderung, fehlende oder oberflächliche Auswahldokumentation, mündliche Begründungen wie „passt nicht ins Team“.
Algorithmische Diskriminierung im Recruiting unterliegt der § 22 AGG-Beweislastumkehr: Indizien (z.B. statistische Auffälligkeiten in Auswahl-Outputs) reichen — der Arbeitgeber muss den Vollbeweis der Nicht-Diskriminierung führen. Kernpunkt: Wer KI im Recruiting einsetzt, übernimmt deren Bias. Rechtslage und Folgen.
EU Pay Transparency Art. 10: Wenn der Pay Gap zwischen Männern und Frauen pro Vergleichsgruppe >5 % beträgt und nicht durch objektive Faktoren erklärbar ist, müssen Arbeitgeber gemeinsam mit der Arbeitnehmervertretung eine systematische Analyse + Maßnahmenplan erstellen.
Mittlerer/Median-Vergleich der Brutto-Stundenlöhne pro Vergleichsgruppe (gleiche oder gleichwertige Arbeit). Vergleichsgruppen werden durch Job-Evaluation gebildet. Pay-Gap-Berechnung in der Praxis.
Nach AGG: kein Anspruch auf Begründung der Absage (BAG: würde Beweislastumkehr aushebeln). Nach Pay Transparency RL ab 07.06.2026: Bewerber müssen vor dem Vorstellungsgespräch das Gehaltsband und die individualisierten Kriterien bekommen.
AGG kennt keine Bußgelder im klassischen Sinn — die Sanktion ist Schadensersatz an Bewerber/Beschäftigte. Übliche BAG-Höhen: 1–3 Brutto-Monatsgehälter pro AGG-Hopper (Bewerber-Verfahren), bei Beförderungs-/Kündigungsfällen 5-stellige bis 6-stellige Summen.
Person, die sich systematisch auf nicht ernst gemeinte Stellen bewirbt, um durch AGG-Klagen Schadensersatz zu kassieren. Gerichte erkennen den Missbrauch — aber die Beweislast liegt beim Arbeitgeber. Verteidigungs-Pakete: Audit-Checkliste.
Ja. § 22 AGG (Beweislastumkehr) + Anhang III KI-VO (HR ist Hochrisiko) zwingen zu: Bias-Audit, regelmäßiger Wirksamkeitsprüfung, dokumentierter menschlicher Aufsicht. Safeguards.
EntgTranspG (DE, seit 2017): individueller Auskunftsanspruch ab 200 MA. EU Pay Transparency (RL 2023/970, ab 07.06.2026): umfassende Pflichten ab 100 MA + Bewerber-Auskunft + Joint Pay Assessment. Das EU-Recht ersetzt das EntgTranspG nicht, sondern erweitert es.
§ 12 Abs. 2 AGG: präventive Schulungen für alle Beschäftigten, dokumentiert. EU Pay Transparency Art. 11: spezifische Schulung für Recruiting / HR / Lohnentscheider zu geschlechtsneutralen Bewertungs-Kriterien. Beides deckt unsere AGG-Schulung ab.
Frage nicht beantwortet?
Schreiben Sie uns — wir antworten innerhalb von 24 Stunden an Werktagen.
Zum Kontakt