Alexis Brudermann – Italia e Germania – Due giurisdizioni. Un unico studio legale. Il vostro vantaggio.

Rechtsanwalt Datenschutz, DSGVO und IT-Compliance: Beratung für Unternehmen Speyer

Servizi legali in ambito IT: consulenza conforme alla legge per modelli di business digitali

Datenschutz, DSGVO und IT-Compliance: Rechtsberatung für Unternehmen

Seit dem Inkrafttreten der DSGVO im Jahr 2018 stellt Datenschutz eine kontinuierliche Compliance-Verpflichtung dar. Im Gegensatz zu einmaligen Projekten genügt es nicht, Dokumente einmalig zu erstellen und anschließend zu archivieren. Datenverarbeitungsvorgänge unterliegen ständigen Veränderungen, neue Werkzeuge werden implementiert, Beschäftigte wechseln, Aufsichtsbehörden publizieren aktualisierte Leitlinien und Gerichte präzisieren fortlaufend die Anforderungen der Verordnung. Ohne systematische Herangehensweise geht die Übersicht schnell verloren.

Die wirtschaftlichen Gefahren sind beträchtlich. Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Konzerns sanktioniert werden. Hinzu treten Schadensersatzforderungen betroffener Personen, Abmahnungen von Mitbewerbern und Reputationsschäden durch öffentlich gewordene Datenpannen. Durch die NIS2-Richtlinie und das KRITIS-Recht erhöht sich der regulatorische Druck zusätzlich im Bereich der IT-Sicherheit.

Auf dieser Seite erhalten Sie einen Überblick über die wesentlichen Anforderungen an Datenschutz und IT-Compliance: zentrale DSGVO-Verpflichtungen, die Funktion des Datenschutzbeauftragten, der Umgang mit Datenpannen, internationale Datentransfers, Beschäftigtendatenschutz sowie die Verpflichtungen aus NIS2 und dem IT-Sicherheitsgesetz. Wir zeigen, wie eine integrierte Compliance-Struktur aufgebaut sein sollte und wo typische Schwachstellen liegen.

Wesentliche DSGVO-Verpflichtungen: Verzeichnis, AV-Verträge und technische Maßnahmen

Die DSGVO legt eine Vielzahl organisatorischer Verpflichtungen fest, die von Aufsichtsbehörden im Prüfverfahren typischerweise vorrangig kontrolliert werden. Hierzu gehören das Verarbeitungsverzeichnis gemäß Artikel 30, der schriftliche Abschluss von Auftragsverarbeitungsvereinbarungen nach Artikel 28, die Dokumentation der technischen und organisatorischen Schutzmaßnahmen gemäß Artikel 32 sowie die fristgerechte Erfüllung von Betroffenenrechten.

Das Verarbeitungsverzeichnis stellt weit mehr dar als ein bloßes Formular. Es dient als fundamentale Basis sämtlicher nachfolgender Datenschutzmaßnahmen, da es die rechtsgrundlagenbasierte Beurteilung jeder einzelnen Datenverarbeitung erst ermöglicht. Fehlt ein aktuell gehaltenes Verzeichnis, ist weder die sachgerechte Durchführung einer Datenschutz-Folgenabschätzung möglich noch die exakte Beantwortung von Auskunftsbegehren.

Ebenso werden die technischen und organisatorischen Schutzmaßnahmen im Alltag regelmäßig in ihrer Bedeutung verkannt. Diese müssen dem jeweiligen Risiko entsprechen, was eine qualifizierte Risikobeurteilung erfordert. Pauschale Standardvorlagen genügen in der Regel nicht. Werden sensible Informationen verarbeitet oder besonders vulnerable Betroffenengruppen erfasst, sind erhöhte Anforderungen zu erfüllen, andernfalls drohen empfindliche Bußgelder bereits bei relativ geringfügigen Verstößen.

Lassen Sie Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge und TOM-Dokumentation anwaltlich überprüfen, bevor Aufsichtsbehörden, Prüfer oder Betroffene auf strukturelle Schwachstellen stoßen.

Datenschutzbeauftragte: Benennungspflicht, Aufgabenbereich und Verantwortlichkeit

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten regeln Artikel 37 DSGVO sowie § 38 BDSG. Eine solche Pflicht greift vor allem dann, wenn typischerweise mindestens 20 Personen fortlaufend mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, wenn die Haupttätigkeit eine umfangreiche systematische Überwachung beinhaltet oder wenn besondere Kategorien personenbezogener Daten wie etwa Gesundheitsdaten in erheblichem Umfang verarbeitet werden. Die präzise Beurteilung verlangt eine gewissenhafte Einzelfallprüfung.

Die Aufgaben des Datenschutzbeauftragten legt Artikel 39 DSGVO fest. Er kontrolliert die Einhaltung der Verordnung, berät die Verantwortlichen, schult die Beschäftigten, kooperiert mit der Aufsichtsbehörde und fungiert als Ansprechperson für betroffene Personen. Er übernimmt damit eine zentrale Funktion, trägt jedoch selbst keine Verantwortung für die rechtskonforme Datenverarbeitung. Diese Verantwortung liegt beim Unternehmen.

Die Entscheidung zwischen einem internen und einem externen Datenschutzbeauftragten ist nicht ausschließlich wirtschaftlicher Natur. Externe Beauftragte bringen Unabhängigkeit und Erfahrung aus verschiedenen Mandaten mit, während interne Beauftragte betriebliche Nähe und Vertrautheit mit den Strukturen gewährleisten. Wesentlich ist in beiden Varianten, Interessenkonflikte auszuschließen und hinreichende Ressourcen sowie eine unmittelbare Anbindung an die Geschäftsführung zu gewährleisten.

Lassen Sie prüfen, ob in Ihrem Unternehmen eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht und welche Lösung wirtschaftlich tragfähig ist.

Datenschutzvorfälle und Benachrichtigungspflichten gemäß Artikel 33 und 34 DSGVO

Datenschutzverletzungen gehören zur betrieblichen Wirklichkeit jedes Unternehmens. Fehlgeleitete E-Mails, abhanden gekommene mobile Endgeräte, mangelhaft konfigurierte Zugriffsrechte oder Angriffe aus dem Netz sind jederzeit möglich. Maßgeblich ist nicht die Frage, ob sich ein Zwischenfall ereignet, sondern auf welche Weise das Unternehmen damit umgeht. Artikel 33 DSGVO schreibt vor, dass meldepflichtige Vorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde anzuzeigen sind, soweit ein Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt.

Resultiert aus dem Vorfall ein hohes Risiko, müssen gemäß Artikel 34 DSGVO zusätzlich die betroffenen Personen unverzüglich benachrichtigt werden. Die Einschätzung dieser Schwellenwerte setzt eine solide Analyse der Datenarten, der Anzahl betroffener Personen, der möglichen Konsequenzen sowie der bestehenden Schutzmaßnahmen voraus. Bereits das Bestreben, einen Vorfall firmenintern zu regeln, ohne die Meldepflicht zu überprüfen, kann ein eigenständiges Bußgeldrisiko auslösen.

Ein etablierter Incident-Response-Prozess ist daher unerlässlich. Er legt fest, wer im Krisenfall informiert werden muss, welche Maßnahmen parallel zur IT-Forensik und Krisenkommunikation ablaufen und auf welche Weise die Pflichten gegenüber Aufsichtsbehörde und Betroffenen erfüllt werden. Wir unterstützen Unternehmen sowohl bei der Entwicklung derartiger Prozesse als auch im akuten Schadensfall, einschließlich der Kommunikation mit Behörden, betroffenen Personen und Vertragspartnern.

Sobald Sie einen Datenschutzvorfall feststellen oder einen Cyberangriff befürchten, lassen Sie die Situation unverzüglich anwaltlich einschätzen, bevor die 72-Stunden-Frist abläuft.

Internationale Datenübermittlungen: Standardvertragsklauseln, EU-US Data Privacy Framework und Schrems II

Die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der Europäischen Union setzt die Einhaltung der Vorgaben aus Kapitel V der DSGVO voraus. Fehlt ein Angemessenheitsbeschluss der Europäischen Kommission, sind geeignete Garantien wie Standardvertragsklauseln (SCC) erforderlich, die zusätzlich durch eine Einzelfallbewertung der Risiken, das sogenannte Transfer Impact Assessment, abgesichert werden müssen. Der EuGH hat im Schrems-II-Urteil deutlich gemacht, dass Standardvertragsklauseln allein keine ausreichende Rechtsgrundlage darstellen.

Für Übermittlungen in die Vereinigten Staaten existiert seit Juli 2023 das Datenschutzabkommen EU-USA, das auf einem Angemessenheitsbeschluss basiert. Datenübermittlungen an unter diesem Abkommen zertifizierte Empfänger sind unter Einhaltung der darin festgelegten Voraussetzungen ohne zusätzliche Garantien zulässig. Da das Abkommen jedoch Gegenstand anhaltender rechtlicher Diskussionen ist, empfiehlt sich für Unternehmen die Vorbereitung alternativer Absicherungen wie Standardvertragsklauseln kombiniert mit zusätzlichen Schutzmaßnahmen.

Besondere praktische Bedeutung kommt Datentransfers bei Cloud-Lösungen, Software-as-a-Service-Anwendungen und KI-Systemen zu. Bereits die Einbindung technischer Elemente wie Webschriften, Analysewerkzeuge oder Captcha-Dienste kann eine Datenübermittlung begründen. Die Grundlage rechtssicherer Drittlandübermittlungen bilden eine vollständige Erfassung sämtlicher Datenströme, deren rechtliche Bewertung sowie die Auswahl geeigneter Übermittlungsinstrumente.

Lassen Sie sämtliche internationalen Datenübermittlungen rechtlich absichern, bevor Aufsichtsbehörden im Zuge koordinierter Kontrollen einzelne Anwendungen beanstanden.

Datenschutz im Arbeitsverhältnis: Verpflichtungen gegenüber Beschäftigten

Im Arbeitsverhältnis begegnen sich Datenschutzrecht und Arbeitsrecht unmittelbar. Nach § 26 BDSG ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Anbahnung, Abwicklung oder Auflösung des Arbeitsverhältnisses erforderlich ist. Während dies klassische Personalverwaltungsvorgänge erfasst, entstehen bei zeitgemäßen Szenarien wie der Überwachung von Beschäftigten, der Vorauswahl von Bewerbenden, Hinweisgebersystemen oder KI-basierten Personalsystemen wiederkehrend Rechtsfragen.

Ein wesentlicher Aspekt ist die betriebliche Mitbestimmung. Gemäß § 87 Absatz 1 Nummer 6 BetrVG besitzt der Betriebsrat in mitbestimmungspflichtigen Betrieben ein Mitbestimmungsrecht bei Einführung und Nutzung technischer Systeme, die zur Verhaltens- oder Leistungskontrolle der Belegschaft geeignet sind. Die Gerichte interpretieren diesen Tatbestand extensiv, weshalb auch zahlreiche KI- und Cloud-Lösungen unter diese Regelung fallen. Ohne rechtssichere Betriebsvereinbarung sind derartige Implementierungen anfechtbar.

Auch Bewerbende zählen zu den betroffenen Personen nach der DSGVO. Datenverarbeitungen im Auswahlverfahren, automatisierte Auswahlentscheidungen, Bewertungsmechanismen und Aufbewahrungsfristen erfordern eindeutige Regelungen. Werden KI-gestützte Bewerbungssysteme implementiert, greifen ergänzend die Vorgaben der KI-Verordnung, da zahlreiche dieser Anwendungen als Hochrisiko-KI-Systeme zu qualifizieren sind. Eine rechtzeitige Koordination zwischen Datenschutz, Mitbestimmung und KI-Compliance vermeidet Auseinandersetzungen bereits im Vorfeld.

Lassen Sie Personalprozesse, Bewerberverwaltung und mitbestimmungspflichtige IT-Implementierungen anwaltlich überprüfen, bevor Datenschutz- und Mitbestimmungsfragen erst im bestehenden Konflikt relevant werden.

NIS2 und IT-Sicherheitsrecht: erweiterte Verpflichtungen für mittelständische Unternehmen

Durch die NIS2-Richtlinie sieht sich eine erheblich erweiterte Anzahl von Unternehmen mit verbindlichen Vorgaben zur IT-Sicherheit konfrontiert. Betroffen sind vor allem Organisationen aus den Sektoren Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitale Infrastruktur, IKT-Dienste, Trinkwasserversorgung, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste sowie die öffentliche Verwaltung, soweit diese definierte Größenkriterien erfüllen. Erstmals fallen damit auch zahlreiche mittelständische Betriebe unmittelbar in den Anwendungsbereich.

Zu den Vorgaben gehören insbesondere die Einrichtung eines Risikomanagements, fristgerechte Meldungen von Sicherheitsvorfällen, die Absicherung von Lieferketten, Schulungsmaßnahmen für die Leitungsebene sowie konkrete Sicherheitsvorkehrungen in den Bereichen Datensicherung, Verschlüsselung, Zugriffskontrolle und Vorfallsbearbeitung. Die Verantwortung liegt explizit bei der Geschäftsführung, die bei Pflichtverletzungen persönlich zur Rechenschaft gezogen werden kann.

Unternehmen, die gleichzeitig den Bestimmungen der DSGVO unterworfen sind, benötigen einen ganzheitlichen Ansatz. Datenschutz, IT-Sicherheit, Krisenmanagement und KI-Compliance nutzen gemeinsame Instrumente, Zuständigkeiten und Nachweisdokumente. Die redundante Dokumentation identischer Sachverhalte ist nicht nur ressourcenintensiv, sondern birgt die Gefahr inkonsistenter Darstellungen gegenüber Aufsichtsinstanzen.

In der Umsetzung hat sich eine schrittweise Vorgehensweise als wirksam erwiesen: zunächst die Klärung der Anwendbarkeit und Kategorisierung als wesentliche oder besonders wesentliche Einrichtung, danach die Bestandserhebung vorhandener IT-Sicherheitsvorkehrungen, schließlich die Ausarbeitung eines priorisierten Maßnahmenplans, der bereits implementierte Strukturen aus DSGVO, ISO 27001 und branchenspezifischen Standards einbezieht. Auf diese Weise entstehen belastbare Konzepte, die behördlichen Prüfungen standhalten, ohne operative Abläufe zu beeinträchtigen.

Lassen Sie rechtlich klären, ob und in welcher Einstufung NIS2 auf Ihr Unternehmen Anwendung findet, und führen Sie die Anforderungen systematisch in Ihre bestehende Datenschutz- und IT-Compliance-Organisation ein.

Invia subito la tua richiesta

Saremo lieti di fornirvi una consulenza completa e personalizzata in merito alla vostra richiesta.

Rechtsanwaltliche Unterstützung bei Datenschutz und IT-Compliance

Wir unterstützen Unternehmen bei der Implementierung von Datenschutz und IT-Compliance als zusammenhängendes System. Im ersten Beratungsgespräch analysieren wir Ihr Unternehmensumfeld, die wesentlichen Datenverarbeitungsvorgänge und vorhandene Compliance-Strukturen. Darauf aufbauend erarbeiten wir ein strukturiertes Umsetzungskonzept, das wirtschaftlich vertretbar ist und zugleich die hauptsächlichen Risiken berücksichtigt.

Die rechtliche Beratung erstreckt sich auf Erstellung und Aktualisierung von Verarbeitungsverzeichnissen, Prüfung und Aushandlung von Auftragsverarbeitungsvereinbarungen, Datenschutz-Folgenabschätzungen, Unterstützung bei Datenschutzverletzungen, Bewertung grenzüberschreitender Datenübermittlungen, Beratung im Arbeitnehmerdatenschutz, NIS2-Implementierung sowie Vertretung gegenüber Aufsichtsbehörden, Betroffenen und Mitbewerbern.

Su cosa poniamo particolare enfasi:

Integration: Datenschutz, IT-Sicherheit und KI-Compliance werden als Einheit betrachtet, statt in voneinander getrennten Bereichen behandelt zu werden.
Risikoorientierung: Wir setzen Ressourcen dort ein, wo die tatsächlichen Risiken bestehen, statt reine Formalerfüllung ohne praktischen Nutzen anzustreben.
Praxis: Handlungsempfehlungen müssen für IT-Abteilungen, Personalbereiche und Fachbereiche umsetzbar sein, andernfalls bleibt Datenschutz theoretisches Konstrukt.
Eskalationsfähigkeit: Bei Datenschutzverletzungen, Behördenanfragen oder rechtlichen Streitigkeiten sind wir kurzfristig und organisiert einsatzbereit.

Für Unternehmen mit kontinuierlichem Beratungsbedarf bieten wir dauerhafte Betreuungsmandate an, in denen Verzeichnisse, Vereinbarungen und Schulungen fortlaufend aktualisiert werden. Dadurch berücksichtigen wir Gesetzesänderungen, neue behördliche Leitlinien und aktuelle Rechtsprechung rechtzeitig.

Bei Datenschutzverletzungen und Sicherheitszwischenfällen sind wir kurzfristig verfügbar. Wir beurteilen den Vorfall, organisieren die Kommunikation mit Aufsichtsbehörden, betroffenen Personen und Geschäftspartnern und begleiten die Nachbereitung. Auch bei Auskunftsbegehren, Bußgeldverfahren und gerichtlichen Streitigkeiten übernehmen wir die Mandatsführung und gewährleisten eine einheitliche Strategie über alle Verfahrensabschnitte hinweg.

Wenn Sie Datenschutz und IT-Compliance auf ein solides Fundament stellen oder einen konkreten Vorfall bewältigen möchten, lassen Sie das weitere Vorgehen rechtlich begleiten.

FAQ - Domande e risposte frequenti

Wer unterliegt der DSGVO?

Die DSGVO findet auf jede Stelle Anwendung, die personenbezogene Daten vollständig oder teilweise automatisiert verarbeitet, sowie auf nicht automatisierte Verarbeitungen, sofern diese in einem Dateisystem abgelegt sind. Betroffen sind Unternehmen, Vereine, öffentliche Einrichtungen und Selbstständige, ungeachtet ihrer Beschäftigtenzahl. Auch außerhalb der Europäischen Union ansässige Unternehmen unterliegen der Verordnung, sofern sie betroffenen Personen in der Union Waren oder Dienstleistungen bereitstellen oder deren Verhalten überwachen.

Benötige ich einen Datenschutzbeauftragten?

Gemäß § 38 BDSG muss ein Datenschutzbeauftragter bestellt werden, sobald üblicherweise mindestens 20 Personen fortlaufend mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Davon unabhängig entsteht diese Verpflichtung, sobald die Haupttätigkeit eine weitreichende kontinuierliche Überwachung oder die Verarbeitung sensibler Daten beinhaltet, oder sobald eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch Auftragsverarbeiter können dieser Pflicht unterliegen.

Wie sollte bei einer Datenpanne vorgegangen werden?

Ein Datenschutzvorfall muss der zuständigen Aufsichtsbehörde binnen 72 Stunden gemeldet werden, wenn er ein Risiko für die Rechte und Freiheiten betroffener Personen begründet. Besteht ein hohes Risiko, sind darüber hinaus die betroffenen Personen ohne schuldhaftes Zögern zu benachrichtigen. Gleichzeitig sind technische Maßnahmen zur Eindämmung, eine Risikobewertung sowie eine lückenlose Dokumentation vorzunehmen, da auch Vorfälle ohne Meldepflicht zu dokumentieren sind.

Welche Bußgelder drohen bei Verstößen gegen die DSGVO?

Die DSGVO unterscheidet zwei Bußgeldstufen. Bei Verstößen gegen formale Vorgaben sind Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes möglich. Verletzungen der Grundsätze, Rechtsgrundlagen oder Rechte betroffener Personen können mit bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes sanktioniert werden. Daneben bestehen Schadensersatzansprüche betroffener Personen sowie wettbewerbsrechtliche Risiken.

Was ist eine Auftragsverarbeitung und wann wird ein AV-Vertrag benötigt?

Von einer Auftragsverarbeitung spricht man, wenn ein externer Dienstleister in Ihrem Auftrag weisungsgebunden personenbezogene Daten verarbeitet, beispielsweise bei Hosting-Diensten, Cloud-Speicherung, Lohnbuchhaltung oder Newsletter-Versand. Gemäß Artikel 28 DSGVO ist hierfür zwingend ein schriftlicher oder elektronischer Vertrag erforderlich, der die Verpflichtungen beider Vertragsparteien präzise festlegt. Standardisierte AV-Verträge von Anbietern sollten einer Prüfung unterzogen und bei Bedarf angepasst werden.

Wie sind Datenübermittlungen in die USA aktuell rechtlich zulässig?

Seit Juli 2023 besteht mit dem EU-US Data Privacy Framework ein Angemessenheitsbeschluss der Europäischen Kommission. Datenübermittlungen an nach diesem Rahmen zertifizierte Empfänger sind ohne zusätzliche Garantien zulässig, sofern die dort festgelegten Voraussetzungen eingehalten werden. Für Empfänger ohne entsprechende Zertifizierung müssen Standardvertragsklauseln gemeinsam mit einer Risikobewertung und gegebenenfalls zusätzlichen Schutzmaßnahmen eingesetzt werden.

Welche Verpflichtungen bestehen gegenüber Bewerber:innen?

Bewerber:innen gelten als betroffene Personen nach der DSGVO. Sie sind über die Verarbeitung ihrer Daten zu unterrichten, besitzen Rechte auf Auskunft, Löschung und Berichtigung, und personenbezogene Daten dürfen ausschließlich für eindeutig festgelegte Zwecke und innerhalb definierter Speicherfristen verarbeitet werden. Bei Einsatz automatisierter Auswahlverfahren, beispielsweise KI-gestützter Systeme, gelten zusätzliche Anforderungen gemäß Artikel 22 DSGVO sowie der KI-Verordnung.

Welche Auswirkungen hat NIS2 auf mein Unternehmen?

Die NIS2-Richtlinie etabliert verbindliche Mindestvorgaben für IT-Sicherheit und betrifft einen erheblich erweiterten Kreis von Unternehmen im Vergleich zur vorherigen Regelung. Sie schreibt Risikomanagement, Vorfallsmeldungen, Sicherheit in Lieferketten sowie Schulungen der Geschäftsleitung vor. Die Verantwortlichkeit ist ausdrücklich auf Geschäftsleitungsebene angesiedelt, wo auch eine persönliche Haftung entstehen kann. Die Überführung in nationales Recht verläuft stufenweise, zahlreiche Verpflichtungen können jedoch bereits heute strukturiert werden.

Wie stehen DSGVO und KI-Verordnung zueinander?

Beide Vorschriften gelten nebeneinander. Sobald KI-Systeme personenbezogene Daten verarbeiten, bleiben die Vorgaben der DSGVO vollständig wirksam, darunter Rechtsgrundlagen, Betroffenenrechte und Datenschutz-Folgenabschätzung. Die KI-Verordnung erweitert diese Vorgaben um zusätzliche Anforderungen an Risikomanagement, Schulung, Dokumentation und Transparenz. Eine gemeinsame Bearbeitung beider Vorschriften verhindert doppelten Aufwand und widersprüchliche Aussagen.

Wann ist anwaltliche Beratung bei Datenschutz und IT-Compliance sinnvoll?

Rechtsanwaltliche Unterstützung empfiehlt sich bei der Entwicklung und Aufrechterhaltung von Datenschutzstrukturen, bei der Implementierung neuer Softwarelösungen oder datenverarbeitender Geschäftsabläufe, bei Sicherheitsvorfällen, behördlichen Anfragen, Auskunftsverlangen oder Schadenersatzforderungen Betroffener sowie bei der Implementierung neuer Rechtsvorschriften wie NIS2 oder der KI-Verordnung. Eine vorausschauende Beratung vermeidet kostspielige Fehlentwicklungen und gewährleistet Rechtssicherheit für die digitale Wertschöpfung des Unternehmens.