Relevanzanalyse
Die Gesetzeslage für Unternehmen und Organisationen ändert sich ständig. Nicht leicht, dabei den Überblick zu behalten. Hinzu kommen auch branchenspezifische Regelungen oder neue Regularien auf EU-Ebene. Mit einer Relevanzanalyse unterstützen wir Unternehmen dabei, regulatorische Anforderungen zu identifizieren und aus Compliance- und Risikoperspektive einzuordnen.
„Schon wieder ein neues Gesetz?!“
Diesen Gedanken kennen Sie sicherlich aus Ihrem Arbeitsalltag. Unternehmen werden mehr denn je konfrontiert mit einer hohen Regelungsdichte und die Zeitabstände für Änderungen werden immer kürzer. So kann eine einfache Änderung eines Schwellenwertes für ein Unternehmen bedeuten, ad hoc Prozesse anpassen zu müssen.
Ein aktuelles Beispiel ist das NIS-2-Umsetzungsgesetz, das im Dezember 2025 in Kraft getreten ist. Als Artikelgesetz hat es Auswirkungen auf viele andere Gesetze, insbesondere auf das BSI-Gesetz (BSIG). Im novellierten BSIG gibt es jetzt die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ (dazu zählen auch KRITIS-Betreiber). Waren vorher etwa 4.500 Organisationen von diesem Gesetz erfasst, sind es nun fast 30.000, die das eigene Risikomanagement im Zweifel erheblich überarbeiten müssen.
Mit Blick auf die Gesetzeslage ist es wichtig, informiert zu bleiben und einen Prozess im Unternehmen zu etablieren, mit dem fortlaufend die Relevanz von Neuerungen und Änderungen erfasst werden kann.
So gehen wir bei der Relevanzanalyse vor
Mit einer Relevanzanalyse, auch Compliance Impact Assessment genannt, sollen mögliche Compliance-Risiken identifiziert und priorisiert werden. Ausgangspunkt dafür sind das jeweilige Unternehmen, das Geschäftsmodell und die Branche. Bei einer Relevanzanalyse gehen wir in folgenden Schritten vor:
- Identifikation der Relevanz der neuen regulatorischen Anforderung: systematische Unterstützung bei der Erfassung und Priorisierung der Relevanz mit Blick auf Ihr(e) Unternehmen / Geschäftsmodell / Branche
- Einordnung in Ihr Compliance-Management: Erfassung des Status quo Ihres Compliance-Managements
- Prüfung von Verantwortlichkeiten: Welcher Bereich (und welche Person) im Unternehmen ist zuständig? Wer ist der „Risikoeigner“?
- Abgleich der Anforderungen mit dem bestehenden Compliance-Managementsystem (CMS) und Zuordnung oder Empfehlungen für die Einführung eines CMS
Die Ergebnisse der Relevanzanalyse dienen als Grundlage bzw. Startpunkt für das CMS. Ein CMS ermöglicht den strukturierten Umgang mit Compliance-Risiken in einem Unternehmen und damit letztlich erst die Umsetzung der Compliance-Strategie. Durch das Management von Compliance-Risiken können nicht nur finanzielle Strafen und Reputationsschäden vermieden werden, sondern auch die Compliance-Kultur im Unternehmen, im Sinne einer werteorientierten Führung und Vorbildfunktion, wird gestärkt. Ein zertifiziertes Compliance-Managementsystem (CMS) nach ISO 37301 hilft Unternehmen dabei, die rechtlichen, regulatorischen und ethischen Anforderungen zu erfüllen und ist gleichzeitig ein internationaler Standard. Gerne unterstützen wir Sie auch hierbei.
Übersicht möglicher Gesetze und Regelwerke
Mithilfe unserer Relevanzanalyse und unseren Expert*innen aus dem Bereich Compliance unterstützen wir Sie dabei, die notwendigen regulatorischen Anforderungen in Ihrem Compliance-Management zu identifizieren, zu implementieren und so die Umsetzung strukturiert in die Wege zu leiten. Bei der Vielzahl an Anforderungen ist es wichtig, von einer Reaktion hin zu einer proaktiven Steuerung zu kommen. Eine Übersicht aktuell möglicher Anforderungen finden Sie hier:
- Datenschutz-Grundverordnung (DSGVO)
- Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetze (LDSG)
- spezielle Datenschutzregelungen von Ländern innerhalb der EU
- Datenschutzgesetze von Ländern außerhalb der EU, wie bspw. Brasilien, China, Indien, Mexiko, Schweiz, Türkei, USA, Vereinigtes Königreich
- Katholisches Datenschutzrecht (KDG)
- Evangelisches Datenschutzrecht (EKD)
- bereichsspezifische Gesetze mit Bezug zum Datenschutz, z. B. Sozialgesetzbuch (SGB), Gendiagnostikgesetz (GenDG), Sicherheitsüberprüfungsgesetz (SÜG)
- Gesundheitsdatennutzungsgesetz (GDNG)
- Data Act (DA)
- Data Governance Act (DGA)
- Digitale-Dienste-Gesetz (DDG)
Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
- BSI-Gesetz (BSIG)
- NIS-2-Richtlinie / NIS-2-Umsetzungsgesetz
- IT-Sicherheitsgesetz (IT-SiG)
- KRITIS-Verordnung (BSI-KritisV)
- KRITIS-Dachgesetz (KRITIS-DachG)
- Technische Richtlinien (TR) des BSI
- IT-Sicherheitskataloge der Bundesnetzagentur (BNetzA)
- Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz, EnWG)
- Cyber Resilience Act (CRA)
- Cybersecurity Act (CSA)
- Digital Operational Resilience Act (DORA)
- Branchenspezifischer Sicherheitsstandard (B3S)
- Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)
- KI-Verordnung (KI-VO)
- Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz, GwG)
- Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG)
- Hinweisgeberschutzgesetz (HinSchG)
- Gesetz über Ordnungswidrigkeiten (OWiG)
- Politisch Exponierte Personen (PEP)
- Barrierefreiheitsgesetz (BFSG) / European Accessibility Act (EAA)
- Allgemeines Gleichbehandlungsgesetz (AGG)
- EU-Entgelttransparenzrichtlinie (EntgTranspRL)
- Gesetz gegen den unlauteren Wettbewerb (UWG)
- Lieferkettensorgfaltspflichtengesetz (LkSG) / Corporate Sustainability Due Diligence Directive (CSDDD)
- EU-Entwaldungsverordnung (EUDR)
- Corporate Sustainability Reporting Directive (CSRD)
DSN port Modul Compliance
DSN port ist unser 360°-Managementsystem. Die Relevanzanalyse wird im Modul Compliance strukturiert und für alle Nutzenden nachvollziehbar dargestellt. Die Kachel Risikobewertung erfasst relevante Gesetze und Vorschriften sowie interne Richtlinien. Die Bewertung erfolgt anhand eines Fragebogen und die Risikomatrix stellt die Eintrittswahrscheinlichkeit und die Schadenshöhe gegenüber. Das ampelbasierte Bewertungssystem zeigt, wo es Verbesserungsbedarf gibt und was sich schon „im grünen Bereich“ befindet. Die einzelnen Risiken lassen sich mit dem jeweiligen Risikoeigner verknüpfen und es werden Risikokategorien und Maßnahmen erfasst. Mit unserem leistungsfähigen Tool haben Sie alle Pflichten und Verantwortlichkeiten sowie Vorfälle, Maßnahmen und Schulungen im Bereich Compliance stets im Blick.
Ihre Ansprechpartner
Sie möchten für Ihr Unternehmen prüfen lassen, welche Compliance-Risiken bestehen? Wir stehen Ihnen mit unserer langjährigen Beratungserfahrung zur Verfügung – nehmen Sie Kontakt mit uns auf!
Dominik Bleckmann, Volljurist
Prokurist | Leiter Compliance
E-Mail: dbleckmann@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-349
datenschutz nord GmbH, Bremen
Markus Schönmann, Volljurist
Leiter Compliance | Senior Berater Datenschutz
E-Mail: mschoenmann@re-move-this.datenschutz-sued.de
Telefon: +49 931 30 49 76-24
datenschutz süd GmbH, Würzburg
Falls sich Ihre Anfrage auf eine Organisation außerhalb Deutschlands bezieht, helfen Ihnen diese Kontakte weiter.
Wiebke Kummer, Volljuristin
Prokuristin | Leiterin Compliance International
E-Mail: wkummer@re-move-this.first-privacy.com
Telefon: +49 421 69 66 32-884
FIRST PRIVACY GmbH, Bremen
Cihan Parlar, LL.M. (Tilburg)
Geschäftsführer
E-Mail: cparlar@re-move-this.first-privacy.com
Telefon: +31 20 211 71 16
FIRST PRIVACY B.V., Amsterdam
Mag. iur.
Markus Strasser
Geschäftsführer | Senior Berater Datenschutz
E-Mail: mstrasser@re-move-this.first-privacy.com
Telefon: +43 662 62 10 04-11
FIRST PRIVACY Austria GmbH, Salzburg
Weitere Dienstleistungen
Auch interessant:
Managementsystem
Mit DSN port und unseren Modulen für Datenschutz, Compliance, Künstliche Intelligenz und Informationssicherheit haben Sie alle To-dos immer im Blick und Ihre Dokumentation übersichtlich an einem Ort.
eLearning
Mit den eLearning-Kursen von DSN train schulen Sie in kurzer Zeit eine große Anzahl von Mitarbeitenden. Alle eLearnings können Sie direkt im Onlineshop erwerben.
Weiterbildung
Die DSN Akademie bietet Ihnen Seminare, Webinare, Inhouse-Schulungen und weitere spannende Fachveranstaltungen.
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informations- und Cybersicherheit, Compliance und KI. Hier finden Sie unsere neuesten Beiträge mit Bezug zum Thema Compliance:
