Aktuelles

Gemeinsames Wissen nutzen

Gut getarnte Trojaner erreichen deutsche Unternehmen

Dominik Schönherr

0

In Deutschland werden derzeit zahlreiche E-Mails im Gewand seriöser Geschäfts-E-Mails versendet. Das passwortgeschützte ZIP-Archiv im Anhang (meistens 111, 333 oder 555) leitet die/den Empfänger/in zu einem ausführbaren Word-Dokument weiter. Werden die im Dokument enthaltenden Makros ausgeführt, wird zeitgleich der Trojaner Ursnif heruntergeladen. Dieser kopiert u. a. Login-Daten und gibt diese weiter. Zahlreiche Virenscanner erkennen diese in den Dokumenten enthaltene Gefahr nicht.

Gefährlich ist in diesem Zusammenhang auch die gute Tarnung der Spam-Welle. Qualität und Authentizität der Spam-Mails sind bemerkenswert. So geben die Nachrichten vor, von Mitarbeitenden im Unternehmen versandt worden zu sein oder beziehen sich auf aktuelle Ereignisse im Unternehmen. Dafür haben die Absender zuvor Firmen-Websites und Social Media-Kanäle auf verwertbare Informationen geprüft, mit denen sie ihre Mails authentisch aussehen lassen können.

Was können Unternehmen tun, um sich vor diesen Angriffen zu schützen? Zwei Dinge sind hierbei besonders wichtig: Schulungen der Mitarbeitenden und E-Mail-Sicherheit. Verdächtige E-Mails bereits im Vorfeld zu filtern und zu markieren, verringert das Risiko einer Infizierung erheblich. Z.B. gibt es Lösungen, die jedes angehängte Dokument ins PDF-Format umwandeln, damit die Aktivierung von Makros ausgeschlossen wird. Neben der technischen Seite der Lösung, spielt der Mensch eine wesentliche Rolle beim effektiven Schutz vor Angriffen. Hier helfen regelmäßige Schulungen inkl. Leitfäden, um die Mitarbeitenden ausreichend zu sensibilisieren und ihnen den richtigen Umgang mit verdächtigen E-Mails zu vermitteln.

Carl Wearn, Head of E-Crime & Cyber Investigations bei Mimecast kommentiert: „Die immer besser werdende Qualität von Spam- und Phishing-Mails stellt für die Sicherheit von Unternehmen eine große Herausforderung dar. Vorfälle wie diese werden in Zukunft nicht nur häufiger werden, ihre Qualität wird auch immer besser, sodass selbst geübte Augen falsche und legitime Mails nicht mehr auseinanderhalten werden können. […] „Firmen sollten sich daher mit Lösungen zum E-Mail-Schutz auseinandersetzen. Zuvor gilt es allerdings, Mitarbeiter für die Gefahren, die in solchen Mails lauern, zu sensibilisieren. Hiermit kann ein Großteil der Bedrohungen, die im Geschäftsalltag auf sie zukommen, im Vorhinein verhindert werden.“

Datenschutz: Einwilligungen können ablaufen!

Dominik Schönherr

0

Der Widerruf der Einwilligung genießt in der DSGVO eine besondere Aufmerksamkeit. In Artikel 7, Absatz 1 heißt es, dass die/der Verantwortliche sicherzustellen hat, dass eine Einwilligung jederzeit widerrufen werden kann und dieser Widerruf so einfach wie die Erteilung der Einwilligung selbst gestaltet werden muss. Eine einmal erteilte Einwilligung kann jedoch auch „ablaufen“, so sehen es zumindest einige Zivilgerichte. Werden die auf der Grundlage der entsprechenden Einwilligung basierenden personenbezogenen Daten der betroffenen Person nicht verarbeitet, so kann der Schluss gezogen werden, dass sich die Einwilligung überholt haben könnte. Die Einwilligungen zur Kontaktaufnahme für Werbezwecke haben unter bestimmten Umständen keine unbegrenzte Gültigkeit. Das LG München hielt in seinem Urteil vom 08. April 2010, Az. 17 HK O 138/10 fest, dass eine vor 17 Monaten zur E-Mail-Werbung erteilte Einwilligung ihre Rechtsgrundlage verliert, sofern sie in diesem Zeitraum ungenutzt bleibt. In der Datenschutzgrundverordnung ist eine spezifische Frist allerdings nicht zu finden. Vielmehr bestimmen Kontext und Umfang der Einwilligung sowie die Erwartungen der betroffenen Partei die Länge der Gültigkeit der jeweiligen Einwilligung. Ändern sich die Verarbeitungsvorgänge wesentlich oder entwickeln sich weiter, verliert die ursprüngliche Einwilligung ihre Gültigkeit. Dann muss eine neue Einwilligung eingeholt werden. Es wird empfohlen, die Einwilligung in angemessenen Zeitabständen zu erneuern. Betroffene Personen sollten stets darüber informiert werden, wie ihre Daten verwendet werden und wie sie ihre Rechte wahrnehmen können. Die erneute Erteilung aller Informationen hilft dabei, dies sicherzustellen.

Quelle: Europäische Kommission

Cyber-Kriminalität weltweit als höchstes Risiko

Dominik Schönherr

0

Aus dem seit neun Jahren bestehenden Risikobarometer der Allianz-Versicherung lässt sich eindeutig herauslesen: Cyber-Kriminalität belegt weltweit Platz eins in puncto Risiken für Unternehmen. 2.700 Expertinnen und Experten aus mehr als 100 Ländern wurden zu relevanten Risiken für Unternehmen befragt. 39 % davon schätzten IT-Risiken als besonders gefährlich ein. Weitere Risiken, wie Wirtschaftssanktionen, Handelskriege oder Zölle kamen auf 27 %. Der Klimawandel wurde nur von 17 % als außergewöhnlich große Gefahr eingestuft.

Vor allem die sogenannte Ransomware richtet erheblichen Schaden bei Unternehmen an, indem Daten verschlüsselt werden und damit nicht mehr zugänglich sind. Computer können mithilfe der Schadsoftware komplett lahmgelegt werden und somit können ganze Firmennetzwerke ausfallen. Große Unternehmen sind für diese Art der Bedrohung besonders exponiert. Die Lösegeldforderungen werden diesbezüglich immer höher. Mittlerweile werden Beträge in Millionenhöhe gefordert.

Doch nicht nur Großkonzerne sind gefährdet. Auch kleine- und mittelständische Unternehmen werden durch die automatisierten und effektiven Angriffstechniken extrem gefordert. Neben direkten Schäden (z.B. Ausfall der Produktion oder Lösegelder) sind auch Schadensersatzforderungen durch z. B. Datenschutzvorfälle eine kostspielige und nicht zu unterschätzende Konsequenz erfolgreicher Cyber-Attacken.

Wichtige Sicherheitsmaßnahmen in diesem Zusammenhang sind z.B. die Erstellung einer Exposition für Cyber-Angriffe, die Etablierung einer sicheren IT-Infrastruktur oder eine kontinuierliche Weiterbildung hinsichtlich neuer Bedrohungsszenarien. Unterschätzt wird dabei immer noch der Faktor Mensch. Die sicherste Firewall büßt ihre Wirkung ein, wenn ein sorgloser, naiver und kenntnisarmer Umgang mit IT-Systemen vorherrscht. Social Engineering oder ungeschützte mobile Endgeräte sind dabei ein wichtiges Thema für Schulungen zum Thema Cyber-Sicherheit. Nur wer sowohl alte wie auch neue Tricks der potenziellen Angreifer*innen kennt, kann das Gefahrenpotenzial durch Cyber-Angriffe effektiv senken.

Das Fazit: Ein solider Softwareschutz erzielt seine Wirkung nur in Verbindung mit einer effektiven Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für das Thema Cyber-Sicherheit.

 

Die Europacloud: Gaia-X

Dominik Schönherr

0

Beim Digitalgipfel in Dortmund im letzten Quartal 2019 stand ein Thema besonders im Vordergrund: Eine europäische Datencloud. Nach Ankündigung der Bundesregierung soll Gaia-X der Name für eine digitale Public-Private-Partnership sein. Die Cloud-Infrastruktur hat das Ziel, EU-Mitgliedstaaten miteinander zu vernetzen. Das Vorhaben ist angelehnt an die Initiative Industrial Data Spaces, wonach international operierende Unternehmen Kundendaten Länder übergreifend ohne den Umweg über die Firmenzentrale transferieren können. In der digitalisierten Geschäftswelt ist Cloud-Computing für eine effiziente Arbeitsweise unabdingbar. Derzeit sind die US-Konzerne Amazon (33 % Marktanteil), Google und Microsoft so dominant am Markt, dass viele europäische und deutsche Unternehmen ihre Konkurrenzfähigkeit nicht ohne die Dienste der Riesenkonzerne sicherstellen können. Diese Problematik spitzt sich auch aus der Sicht der Bundesregierung zu, da über den sogenannten ClOUD-Act US-Behörden das Recht besitzen, auf die Daten der US-Konzerne inkl. der Dienste zuzugreifen. Dies geschieht selbst dann, wenn die Server im Ausland stehen.

Als Lösung hierfür soll Gaia-X die entsprechende Datensouveränität sicherstellen. Im Papier zum Projekt heißt es, dass Gaia-X „die Grundlage eines offenen, digitalen Ökosystems, mit dessen Hilfe Unternehmen und Geschäftsmodelle aus Europa heraus weltweit wettbewerbsfähig skalieren können“ ist. Die integrierten Garantien sollen Unternehmen ermöglichen, Daten speziellen Nutzern und der Allgemeinheit zur Verfügung stellen zu können, und dies ohne den Einblick der Konkurrenz. Mit Blick auf die industrielle Produktion sollen Hersteller von Maschinen auch nach der Auslieferung auf die Daten im Einsatz zugreifen können, um weitere Dienstleistungen anzubieten (z.B. automatisierte Wartung etc.).

Ende 2020 soll Gaia-X mit ersten Anwendern und Anbietern an den Start gehen.

Zwischen Vision und Umsetzbarkeit: Digitale Transformation

Dominik Schönherr

0

Von digitaler Transformation kann gesprochen werden, wenn Organisationen grundlegend neue Strukturen einführen und etablieren. Technologischer Fortschritt bildet den Anpassungsdruck, der Motor zur Veränderung muss allerdings das eigene innovative Denken und der Wille zur Weiterentwicklung sein. Demnach müssen Strukturen, Prozesse und Kulturen tiefgreifend verändert und angepasst werden. Besser zu werden bedeutet in diesem Zusammenhang auch, Effizienz und Kundenzentrierung voranzubringen.

Auf eins sollten sich Unternehmen in der Zukunft einstellen: Dynamische Veränderungen am Markt können sie nur produktiv nutzen, wenn sie flexibel auf neue Umstände reagieren können. Diese Fähigkeit stellt einen entscheidenden Wettbewerbsvorteil in der Zukunft dar, weswegen die nötigen Ressourcen hierfür bereitgestellt werden müssen. Wenn es gut läuft, ermöglicht digitale Transformation adaptives Agieren.

Ein klares in die Unternehmensstrategie integrierbares Zielbild bildet die Grundlage für alle weiteren Schritte. Ein ausgewogenes Verhältnis zwischen Vision und Umsetzbarkeit sollte während des gesamten Entwicklungsprozesses berücksichtigt werden. Eine kontinuierliche Geschäftsmodellentwicklung sorgt darüber hinaus für die entsprechende Profitabilität im Unternehmen. Einen weiteren wichtigen Erfolgsfaktor stellen die Mitarbeiter*innen dar. Sie sollten angemessenen Raum für Kritik, Ideen und Vorschläge bekommen.

Den Anfang für die erfolgreiche digitale Transformation bildet das Zielbild und die Strategie. Erst dann erfolgt die Auswahl der passenden Technologie, Implementierung, neue Prozessgestaltung sowie Optimierung der Wertschöpfungskette.

Whistleblower-Report 2019: Noch viel Potenzial!

Dominik Schönherr

0

Laut Whistleblower-Report 2019 gab es in fast jedem zweiten deutschen Unternehmen Verstöße gegen gesetzliche Vorschriften und interne Richtlinien. Die Hochschule für Technik und Wirtschaft HTW Chur in Kooperation mit der EQS Group untersucht den Hinweisgeberschutz in Deutschland. Bereits vor der EU-Whistleblower-Richtlinie haben Unternehmen Meldestellen eingerichtet. Das macht die Studie deutlich. In der konkreten Umsetzung mangele es jedoch an vielen Stellen. Viel Potenzial bliebe ungenutzt.

Hinweisgeber haben für Unternehmen eine wichtige Funktion. Sie helfen dabei, interne Missstände aufzudecken, Risiken zu begrenzen und zu minimieren sowie Strafen und Sanktionen zu vermeiden.

Seitens der Politik wird dieses Thema allerdings nicht nachdrücklich genug verfolgt: Nur 10 EU-Mitgliedsstaaten verfügen über Gesetze zum Schutz von Whistleblowern. In Deutschland ist dies nicht der Fall. Die deutsche Regierung hat bis 2021 Zeit, die EU-Richtlinie in nationales Recht zu überführen. Die Zahl der Compliance Vorfälle in Unternehmen führt dazu, dass diese bereits selbst tätig werden.

Im Rahmen der aktuellen Studie wurden Anfang 2019 unter anderem 352 deutsche Unternehmen zum Thema interne Meldestellen befragt, davon rund 30% kleine und mittlere Unternehmen (KMU) mit 20 bis 249 Mitarbeitern, der Rest Großunternehmen mit 250 und mehr Mitarbeitern. Es wird deutlich: Bei 43 % der befragten deutschen Unternehmen kam 2018 illegales oder unethisches Verhalten vor. Bereits 55% der Unternehmen besitzen entsprechende Meldekanäle. Ein Drittel plant zumindest, solche Hinweisgeber-Kanäle einzurichten.

Die meisten Unternehmen mit Meldestelle greifen auf traditionelle Kommunikationsmedien, wie E-Mail (79%), persönliche Briefe (76%) oder Telefon (71%) zurück. Das Problem bei diesen klassischen Kanälen besteht darin, dass die Anonymität des Hinweisgebers nicht gewährleistet ist. Die Studie zeigt, dass webbasierte Hinweisgebersysteme die Anonymität des Hinweisgebers deutlich besser schützen, als andere Medien.

Interne und externe Kommunikation tragen einen wesentlichen Teil zur erfolgreichen Hinweisgeberkultur bei. Die gute Nachricht: Drei Viertel der Firmen kommunizieren regelmäßig (jährlich und sogar quartalsweise).

Die Studie zeigt außerdem, dass mehr Meldungen eingehen, je größer das Unternehmen ist. Webbasierte, anonymisierte Kanäle lassen die Zahl der Meldungen wesentlich steigen. 50% der Meldungen beziehen sich auf einen relevanten Compliance Missstand, bei 40% handelt es sich zumindest um interne Probleme. Nur 10% stufen die Unternehmen als irrelevant oder missbräuchlich ein.

Fazit: Wer webbasierte, anonymisierte Hinweisgeberkanäle nutzt und regelmäßig über die Möglichkeit Compliance relevanter Meldungen hinweist, hat den größten Nutzen, indem finanzielle Schäden vermieden und ein integres und ethisch relevantes Image aufgebaut werden kann. Trotz dieser Tatsache verfügt lediglich eine Minderheit der deutschen Unternehmen über entsprechend spezialisierte Meldekanäle. Unternehmen ohne jegliche Meldekanäle sind gut beraten, diesen Mangel zu beheben. Denn: Gut ein Drittel der untersuchten deutschen Firmen konnten mehr als 60 % des Gesamtschadens dank der Meldestelle aufdecken. Dabei liegen die Schäden im Bereich zwischen 10.000 und 100.000 Euro.

 

 

 

Compliance-Bewusstsein sinkt in der Führungsebene

Dominik Schönherr

0

Die repräsentative und branchenübergreifende Studie „CMS Compliance-Barometer“, durchgeführt von der Wirtschaftskanzlei CMS Deutschland, zeigt, welchen Stellenwert das Thema Compliance in deutschen Unternehmen hat. Befragt wurden 177 Compliance-Verantwortliche aus Unternehmen mit mindestens 500 Mitarbeiter/innen. Aus Sicht der Compliance-Verantwortlichen stellt das Thema Datenschutz ein herausgehobenes Risiko dar. An zweiter- bzw. dritter Stelle werden Korruption (16 %) und Haftung für Produkte und Dienstleistungen (11 %) erwähnt. Seit 2015 steigt die Zahl der Unternehmen, die eine eigene Compliance Abteilung haben. Heute sind es 40 % der Unternehmen. Relativ gesehen, ist das Compliance-Bewusstsein bei Managern in den letzten Jahren leicht gesunken (81 % 2016 auf 76 % 2018). Bei Mitarbeiter/innen steigt das Bewusstsein kontinuierlich. Absolut betrachtet, sind es gerade mal 40 % der Beschäftigten, die ein gute bis sehr gute Sensibilität für Compliance besitzen. Bei 12 % ist Compliance schlecht oder sehr schlecht verankert. Es besteht in diesem Bereich also noch Nachholbedarf. Das Compliance-Barometer 2018 gibt erstmals die Auswirkungen der Digitalisierung auf die Compliance an. Der Einsatz der digitalen Tools beschränkt sich bisher auf IT-gestützte Freigabeprozesse (Vier-Augen Prinzip) sowie einen automatisierten Abgleich mit Sanktions- und Terrorlisten. Hinsichtlich Zuwendungen sowie Integritätsprüfung der Geschäftspartner besteht jedoch Verbesserungsbedarf.

Insgesamt machen die Ergebnisse der Untersuchung deutlich, dass in vielen Unternehmen die Schwachstellen im Bereich Compliance-Kultur und Compliance-Kommunikation liegen. Noch befindet sich das Compliance Bewusstsein auf einem hohen Niveau. Besorgniserregend ist allerdings, dass die Entwicklung rückläufig ist. Es reicht nicht, wenn das Thema Compliance zwar auf der Agenda steht, aber nicht von der Geschäftsleitung und allen Mitarbeiter/innen gelebt wird. Ein Compliance System kann nur Erfolg haben, wenn es im ganzen Unternehmen berücksichtigt und unterstützt wird. In puncto Digitalisierung kann entsprechende Compliance-Software hierbei wichtige Dienste leisten.

 

EuGH-Urteil vom 01. Oktober 2019 zum Setzen von Cookies

Dominik Schönherr

0

Am Dienstag, den 1. Oktober urteilte der Europäische Gerichtshof (EuGH): „Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers.“ Dies ist ein wegweisendes Urteil.

Cookies, Identifizierung durch Textdatei

Mithilfe der Informationen dieser Textdatei wird es einem Webserver ermöglicht, Anwender zu identifizieren und wiederzuerkennen sowie Einstellungen zu speichern.

Hintergrund im Zusammenhang mit dem Urteil

Jeder, der im Endgerät des Websitebesuchers (Tracking-) Cookies setzen oder bereits gesetzte Cookies auslesen möchte und z. B.

  • Tracking-Tools (z. B. Google Analytics, econda, etracker)
  • Werbe-/Remarketingtools (z. B. Google Adsense, Google Remarketing, youtube-Videos)
  • Plugins (z. B. Facebook Buttons, Google Maps),

verwendet, musste sich bisher und zukünftig noch genauer mit diesem Thema beschäftigen.

Cookie-Banner als Einwilligung? Reicht das aus?

In der Regel nicht.

In den meisten Fällen enthalten Cookie-Banner nur einen pauschalen Hinweis auf die Cookie-Setzung und einen Verweis wie z. B. „Mit der Nutzung der Website/des Shops erklären Sie sich damit einverstanden, dass wir Cookies verwenden.“ Cookies werden in diesen Fällen meist sofort gesetzt und die reine Nutzung als Einwilligung interpretiert.

Nach dem Urteil des EuGH reicht das nicht aus!

Die Einwilligung muss, ähnlich zur Anmeldung für einen Newsletter, für jeden Fall bewusst erteilt werden. Vor der Erteilung der Einwilligung darf kein Cookie gesetzt werden. Darüber hinaus müssen Funktionsdauer und der Zugriff Dritter (z. B. Google, Facebook) angegeben werden.

Wer ist künftig von dem Urteil betroffen?

Betroffen sind alle Shop- und Websitebetreiber, die Websitebesuchern dauerhafte Cookies im Endgerät (Computer, Tablet, Smartphone) setzen bzw. bereits gesetzte Cookies auswerten. „Dauerhaft“ heißt, dass diese Cookies nach dem Schließen des Browsers nicht gelöscht werden und auch die zukünftigen Aktivitäten der Websitebesuchern begleiten. Insbesondere Unternehmen wie Google, Facebook etc. werten diese Surfprotokolle für Marketingzwecke und Profilbildung aus.

Wer ist NICHT von dem Urteil betroffen?

  • Wer nur sog. Session Cookies einsetzt, die z. B. für den Seitenaufbau, den Login oder den Warenkorbprozess benötigt werden. Wird der Browser geschlossen, werden diese technisch notwendigen Cookies gelöscht.
  • Wer auf Marktplätzen (z. B. Amazon oder eBay) verkauft. Hier sind die Plattformbetreiber verantwortlich und müssen sich einen rechtskonformen Cookie-Einsatz sicherstellen.

Was folgt jetzt?

Der Europäische Gerichtshof hat mit diesem Urteil eine Vorabentscheidung getroffen. Die endgültige Entscheidung wird nun der deutsche Bundesgerichtshof (BGH) unter Berücksichtigung der deutschen Rechtslage treffen müssen.

Nach aktueller Rechtslage erlaubt das bestehende Telemediengesetz (TMG) noch die Cookie-Setzung zwecks pseudonymer Profilbildung ohne vorherige Einwilligung, jedoch mit nachträglicher Opt-out Funktion. Das deutsche TMG soll nun hinsichtlich des EuGH-Urteils überarbeitet werden. Auf europäischer Ebene wird immer noch über einen EU-weit einheitlichen Cookie-Umgang diskutiert. Die sogenannte. ePrivacy Verordnung ist aber noch nicht Sicht.

Welche Empfehlung kann man geben?

Weiterhin auf datenschutzrechtlich problematische Tools (wie z. B. Social Plugins, youtube-Videos, Google Maps) zu verzichten. Verlinken Sie stattdessen einfach auf die gewünschten Seiten.

Wenn Sie weiterhin Tracking oder Remarketing einsetzen möchten, werden Sie im Regelfall einen neuen Cookie Hinweis-Banner benötigen. Wir gehen davon aus, dass aufgrund des Urteils demnächst aktualisierte Einwilligungs-Banner seitens der Anbieter bzw. Drittanbieter auf dem Markt angeboten werden.

In den nächsten Wochen werden wir Sie zur Vorbereitung über Cookie-Findung, -Setzung und –Löschung sowie die aktuellen Entwicklungen bzgl. der Rechtslage und der angebotenen Cookie-Einwilligungstools informieren.

Muss ich meine Datenschutzerklärung anpassen?

In der Regel nicht! Die Datenschutzerklärung muss aktuell i. d. R. noch nicht neu erstellt werden.

Sind Sie unseren Empfehlungen bereits gefolgt und haben diese technisch umgesetzt? Wenn nicht, unterstützen wir Sie gerne dabei. Thesmon Well Point bietet Ihnen neben der Beratung auch die technische Umsetzung sowie den notwendigen technischen Support. Nehmen Sie gerne persönlich Kontakt mit uns auf, Thesmon Well Point +49 421 408 929-40.

Hohe Bußgelder bei fehlender A1 Bescheinigung. Was ist zu beachten?

Dominik Schönherr

0

Bereits seit 2010 gilt: Wird ein/eine Mitarbeiter*in für eine vorübergehende Tätigkeit in ein anderes EU-Mitgliedsland entsendet, ist eine A1 Bescheinigung über die Sozialversicherung notwendig. Seit 2019 wird dies verstärkt kontrolliert. Durchschnittlich liegt die Höhe der Bußgelder zwischen 1.000 und 10.000 Euro pro Mitarbeiter*in und in Einzelfällen sogar höher.

Wann ist eine A1 Bescheinigung notwendig?

  • Der Arbeitgeber entsendet eine Angestellte oder einen Angestellten in das europäische Ausland für eine Tätigkeit mit der Höchstdauer von 24 Monaten
  • Der Arbeitgeber schickt seine Mitarbeiterin oder seinen Mitarbeiter auf eine Dienstreise in das europäische Ausland. Selbst für kurze Dienstreisen von einigen Stunden ist eine A1 Bescheinigung erforderlich.
  • Selbstständige eines EU-Mitgliedslands möchten einer ähnlichen Tätigkeit in einem anderem EU-Mitgliedsland nachgehen. Die Höchstdauer beträgt hierbei 24 Monate.
  • Beamte sind in mehr als einem EU-Mitgliedsland tätig.

Die A1-Bescheinigung hat den erklärten Zweck, die Freizügigkeit innerhalb der EU-Staaten zu sichern, die bürokratischen Hürden abzubauen und die Doppelbelastung bei Sozialbeiträgen für Beschäftigte zu vermeiden.

Seit 2019 finden verstärkt Kontrollen statt. Fehlt eine A1 Bescheinigung in dem entsprechenden Fall, so drohen hohe Busgelder. Die Meldungspflicht bei den Behörden des Empfängerlandes, die Vorlagepflicht von Lohnunterlagen bei den Behörden des Empfängerlandes inkl. weitere Pflichten der Unternehmen im Falle der Arbeit-nehmerüberlassung sowie die Höhe der Sanktionen bei Verstößen variieren je nach EU-Mitgliedsland. In Belgien z. B. kann die Summe der Sanktionen bis zu 48000 Euro betragen. Außerdem kann für die Verantwortlichen eine Freiheitsstrafe von bis zu 6 Monaten verhängt werden.