Die Europäische Union steht vor der größten Reform ihrer Geldwäscheregeln seit Bestehen des Binnenmarkts. Mit dem neuen EU-Geldwäschereipaket, bestehend aus der EU-Geldwäscheverordnung (AMLR), der 6. Geldwäscherichtlinie (AMLD6) und der neuen EU-Aufsichtsbehörde AMLA, wird die Geldwäscheprävention grundlegend neu aufgestellt.

Ziel ist es, fragmentierte nationale Regelungen zu beenden, Schlupflöcher zu schließen und Finanzkriminalität wirksamer zu bekämpfen. Die Auswirkungen reichen jedoch weit über die EU hinaus und betreffen auch viele Schweizer und internationale Unternehmen, die in oder mit der EU tätig sind.

Für Unternehmen bedeutet das: Die Zeit der Beobachtung ist vorbei – Vorbereitung ist jetzt entscheidend.

Das Wichtigste in Kürze

• Die EU harmonisiert ihre Geldwäscheregeln vollständig und ersetzt nationale Sonderwege
• Ab Juli 2027 gelten einheitliche, direkt anwendbare Regeln in allen EU-Staaten
• Mit der AMLA entsteht erstmals eine zentrale EU-Behörde mit direkter Aufsichtsbefugnis
• Die Anforderungen an KYC, CDD, Datenqualität und Governance steigen deutlich
• Auch Nicht-EU-Unternehmen mit EU-Bezug sind betroffen
• Unternehmen sollten 2026 nutzen, um Prozesse, Systeme und Organisation anzupassen

Was ist das EU-Geldwäschereformpaket?

Das Reformpaket besteht aus drei zentralen Bausteinen:

1. Die EU-Geldwäscheverordnung (AMLR)

Die AMLR ist eine direkt anwendbare Verordnung. Anders als frühere Richtlinien muss sie nicht mehr in nationales Recht umgesetzt werden. Dadurch gelten künftig identische Regeln in allen EU-Mitgliedstaaten.

Sie regelt unter anderem:

• Kundenidentifikation und Risikobewertung
• wirtschaftlich Berechtigte
• laufende Überwachung von Geschäftsbeziehungen
• interne Kontrollen und Dokumentationspflichten

2. Die 6. EU-Geldwäscherichtlinie (AMLD6)

Die AMLD6 ergänzt die Verordnung, insbesondere bei:

• Strafbarkeit von Geldwäsche
• Haftung von Unternehmen und Organen
• Zusammenarbeit zwischen Behörden

Sie sorgt dafür, dass Verstöße EU-weit vergleichbar sanktioniert werden.

3. Die neue EU-Behörde AMLA

Die Anti-Money Laundering Authority (AMLA) ist das Herzstück der Reform. Sie:

• beaufsichtigt direkt große und risikoreiche Institute
• koordiniert nationale Aufsichtsbehörden
• entwickelt technische Standards und Leitlinien
• setzt neue Maßstäbe bei Prüfungen und Durchsetzung

Warum kommt es zu dieser Reform?

Fragmentierung als zentrales Problem

Bisher galt: Zwar existierten EU-Richtlinien, doch jedes Land setzte sie unterschiedlich um. Das führte zu:

• inkonsistenten Prüfstandards
• regulatorischem „Shopping“
• schwacher grenzüberschreitender Durchsetzung

Kriminelle Netzwerke nutzten genau diese Unterschiede systematisch aus.

Finanzkriminalität ist grenzüberschreitend

Geldwäsche, Terrorismusfinanzierung und Sanktionsumgehung funktionieren heute:

• digital
• international
• hochgradig vernetzt

Nationale Aufsicht allein kann diese Strukturen nicht mehr wirksam bekämpfen.

Politischer und gesellschaftlicher Druck

Große Geldwäschefälle der letzten Jahre haben:

• das Vertrauen in Finanzsysteme erschüttert
• den politischen Willen zur Zentralisierung gestärkt
• gezeigt, dass freiwillige Harmonisierung nicht ausreicht

Die AML-Reform ist daher auch ein politisches Signal: Die EU will handlungsfähig sein.

Was ändert sich konkret für Unternehmen?

Einheitliche, strengere Anforderungen

Unternehmen müssen sich auf weniger Interpretationsspielraum, aber mehr Klarheit einstellen. Was heute national „akzeptiert“ ist, kann morgen EU-weit unzulässig sein.

Besonders betroffen sind:

• KYC- und CDD-Prozesse
• Risiko-Scoring-Modelle
• Dokumentationstiefe
• Monitoring-Mechanismen

Mehr Transparenz und Datenqualität

Die Reform setzt stark auf:

• strukturierte Daten
• Register-Abgleiche
• konsistente Kundeninformationen

Unvollständige oder historisch gewachsene Datenbestände werden zum Risiko.

Direkte Aufsicht und schärfere Sanktionen

Mit AMLA steigt:

• die Wahrscheinlichkeit von Prüfungen
• die Vergleichbarkeit von Sanktionen
• der persönliche Haftungsdruck auf Management-Ebene

Compliance wird damit endgültig zur strategischen Führungsaufgabe.

Wen betrifft das besonders?

• Banken und Versicherungen
• Vermögensverwalter und Fonds
• Zahlungsdienstleister und FinTechs
• Krypto-Dienstleister
• Immobilien- und Unternehmensdienstleister
• Unternehmen mit EU-Tochtergesellschaften oder EU-Kunden

Auch Unternehmen außerhalb der EU sind betroffen, wenn sie wirtschaftlich in der EU aktiv sind.

Wie sollten Unternehmen jetzt reagieren?

1. Frühzeitige Gap-Analyse

Unternehmen sollten prüfen:

• Welche AML-Regeln gelten heute?
• Wo weichen sie von den neuen EU-Standards ab?
• Welche Prozesse sind besonders risikobehaftet?

Ziel ist ein realistisches Bild des Handlungsbedarfs.

2. Prozesse und Governance neu denken

Die Reform ist kein reines IT-Projekt. Notwendig sind:

• klare Verantwortlichkeiten
• stärkere Verzahnung von Compliance, IT und Fachbereichen
• Eskalations- und Entscheidungsstrukturen auf Management-Ebene

3. Daten und Systeme modernisieren

Zukunftsfähige AML-Strukturen brauchen:

• saubere Stammdaten
• zentrale Datenhaltung
• automatisierte Prüf- und Monitoring-Mechanismen

Manuelle Workarounds werden langfristig nicht mehr ausreichen.

4. Schulung und Kultur

Mitarbeitende müssen:

• neue Pflichten verstehen
• Risiken erkennen
• Verantwortung übernehmen

AML wird stärker zur Unternehmenskultur-Frage, nicht nur zur Checkliste.

Fazit

Die EU-Geldwäschereform ist kein technisches Detailprojekt, sondern ein Systemwechsel. Mit einheitlichen Regeln und einer zentralen Aufsicht schafft die EU ein neues Niveau an Transparenz und Durchsetzung.

Unternehmen, die frühzeitig handeln, können:

• regulatorische Risiken minimieren
• Prüfungen souveräner bestehen
• Vertrauen bei Kunden und Partnern stärken

Wer hingegen abwartet, riskiert hohen Nachholbedarf, operative Brüche und Reputationsschäden.

Jetzt ist der richtige Zeitpunkt, AML strategisch neu aufzustellen.

FAQ – Häufige Fragen zur EU-Geldwäschereform

Ab wann gelten die neuen Regeln?

Die zentralen Vorschriften greifen ab Juli 2027. Vorbereitung ist jedoch bereits 2025–2026 notwendig.

Gilt die Reform auch für Nicht-EU-Unternehmen?

Ja, wenn sie in der EU tätig sind, EU-Kunden betreuen oder EU-Tochtergesellschaften haben.

Wird AMLA jedes Unternehmen direkt beaufsichtigen?

Nein. AMLA beaufsichtigt ausgewählte große und risikoreiche Institute direkt, koordiniert aber die nationale Aufsicht für alle anderen.

Reicht es, bestehende AML-Prozesse leicht anzupassen?

In vielen Fällen nein. Die Reform erfordert oft strukturelle Anpassungen bei Daten, Governance und Organisation.

Ist das Thema nur für Compliance relevant?

Nein. Es betrifft Management, IT, Operations und strategische Planung gleichermaßen.

Wir schreiben Januar 2026. Der erste Staub um das Inkrafttreten der EU-KI-Verordnung (EU AI Act) hat sich gelegt. Die Verbote für inakzeptable Risiken sind seit fast einem Jahr wirksam, und die Regeln für General Purpose AI (GPAI) sind seit August 2025 in Kraft. Doch für die meisten Unternehmen beginnt jetzt die kritischste Phase. Im August 2026 endet die 24-monatige Übergangsfrist für Hochrisiko-KI-Systeme gemäss Anhang III. Das bedeutet: In knapp sieben Monaten müssen Systeme in Bereichen wie HR, kritische Infrastruktur oder Kreditwürdigkeitsprüfung vollständig konform sein. Wer jetzt noch in der Analysephase steckt, riskiert, den Marktzugang zu verlieren.

Das Wichtigste in Kürze

• Die Frist für Hochrisiko-KI-Systeme nach Anhang III läuft im August 2026 ab.
• Ein robustes Risikomanagementsystem (RMS) muss jetzt operativ und dokumentiert sein.
• Daten-Governance ist kein IT-Thema mehr, sondern eine zentrale Compliance-Anforderung für Trainings-, Validierungs- und Testdaten.
• Die technische Dokumentation muss vor dem Inverkehrbringen vollständig erstellt sein, nicht erst bei einer Prüfung.

Operative Herausforderungen

Die Uhr tickt unaufhörlich. Während sich viele GRC-Verantwortliche im Jahr 2025 primär auf die Identifikation und Inventarisierung ihrer KI-Landschaft konzentriert haben, verlangt das Jahr 2026 den harten Übergang in die operative Umsetzung. Es reicht nicht mehr aus, zu wissen, welche Systeme als hochriskant eingestuft werden. Der Fokus liegt nun auf der Nachweisbarkeit der Compliance.

Eine der grössten Hürden in der Praxis zeigt sich derzeit beim Qualitätsmanagementsystem (QMS). Der AI Act verlangt nicht nur ein isoliertes QMS für die KI, sondern idealerweise die Integration in bestehende Strukturen wie ISO 9001 oder ISO 42001. Viele Unternehmen stellen jetzt fest, dass ihre bestehenden Prozesse für Softwareentwicklung nicht die Granularität aufweisen, die der Gesetzgeber für KI-Systeme fordert. Insbesondere die Dokumentation des gesamten Lebenszyklus – von der ersten Designentscheidung bis zur Post-Market-Monitoring-Strategie – offenbart in Audits häufig Lücken.

Ein weiterer kritischer Punkt ist die Daten-Governance. Für Hochrisiko-KI-Systeme, die Modelle trainieren, schreibt die Verordnung strenge Kriterien an die Datenqualität vor. Datensätze müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Dies ist in der Praxis eine massive Herausforderung, da historische Daten oft nicht unter diesen Gesichtspunkten gesammelt wurden. GRC-Teams müssen jetzt eng mit Data Scientists zusammenarbeiten, um Bias-Analysen durchzuführen und Lücken in der Datenherkunft zu schliessen. Fehlt der Nachweis über die Qualität der Trainingsdaten, ist die Konformität des gesamten Systems gefährdet.

Zudem darf der menschliche Faktor nicht unterschätzt werden. Die Anforderung an die menschliche Aufsicht (Human Oversight) verlangt, dass die Personen, die KI-Systeme überwachen, auch die nötige Kompetenz dazu besitzen. Das bedeutet, dass Schulungsmassnahmen jetzt anlaufen müssen. Es genügt nicht, einen Mitarbeiter pro forma als Aufsicht zu benennen; er muss in der Lage sein, Fehlfunktionen zu erkennen und das System im Zweifelsfall zu stoppen („Kill Switch“).

Die kommenden Monate werden von einem hohen Druck auf die internen Ressorts geprägt sein. Legal, IT-Security und Compliance müssen ihre Silos endgültig aufbrechen. Ein integrierter GRC-Ansatz, der KI-Risiken nicht als isoliertes technisches Problem, sondern als unternehmensweites Governance-Thema behandelt, ist der einzige Weg, um die Deadline im August 2026 ohne operative Störungen zu meistern.

FAQ

Wann genau endet die Übergangsfrist für Hochrisiko-KI-Systeme?

Für die meisten Hochrisiko-KI-Systeme, die unter Anhang III der Verordnung fallen (z. B. Systeme in Bildung, Beschäftigung, kritische Infrastruktur), endet die Übergangsfrist am 2. August 2026. Ab diesem Datum müssen alle Anforderungen erfüllt sein.

Was passiert, wenn ein Unternehmen die Frist verpasst?

Systeme, die nicht konform sind, dürfen ab dem Stichtag nicht mehr in den Verkehr gebracht oder in Betrieb genommen werden. Zudem drohen empfindliche Bussgelder, die je nach Verstoss bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können.

Müssen alle KI-Systeme zertifiziert werden?

Nein. Viele Hochrisiko-KI-Systeme unterliegen einer internen Konformitätsbewertung. Nur für bestimmte Systeme, insbesondere solche, die Biometrie nutzen, ist zwingend eine Prüfung durch eine benannte Stelle (Notified Body) erforderlich.

Im November 2025 hat der Deutscher Bundestag das Gesetz zur Umsetzung der NIS‑2‑Richtlinie verabschiedet. Damit wurden auf nationaler Ebene neue Regeln für Cybersicherheit und Informationssicherheit eingeführt, die weit über bisherige Vorgaben hinausgehen. Unternehmen, die bislang unter dem Radar waren, müssen nun prüfen, ob sie betroffen sind – und wenn ja, ihre Sicherheitsmassnahmen, Prozesse und Governance-Strukturen dringend anpassen.
Die Verzögerung bei der Umsetzung hat vielen Firmen zwar etwas Luft verschafft, doch jetzt beginnt der Handlungsdruck. Wer früh vorbereitet ist, kann Wettbewerbsvorteile erzielen – wer zu spät reagiert, riskiert Strafen, Reputationsverlust oder gar Geschäftsschädigung.

Das Wichtigste in Kürze

• Der Bundestag hat am 13. November 2025 das NIS-2-Umsetzungsgesetz beschlossen.
• Das Gesetz erweitert den Anwendungsbereich auf deutlich mehr Unternehmen und Behörden – schätzungsweise rund 29.500 Einrichtungen in Deutschland.
• Neue Pflichten betreffen u. a. Risikomanagement, technische & organisatorische Massnahmen, Vorfall-Meldepflichten mit definierten Fristen (z. B. erste Meldung innerhalb 24 Stunden) sowie erweiterte Aufsicht und Sanktionen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
• Unternehmen sollten jetzt eine Betroffenheitsanalyse durchführen, Regulierungs- und Compliance-Prozesse überarbeiten, sowie Governance und IT-Sicherheitsarchitektur auf nach oben geschärfte Anforderungen ausrichten.

Warum das Thema so wichtig ist

Die digitale Vernetzung und Abhängigkeit von IT-Systemen und Dienstleistungen haben in den letzten Jahren stark zugenommen. Gleichzeitig wächst die Bedrohung durch Cyberangriffe, gezielte Sabotage, Spionage und hybride Angriffe auf Einrichtungen der kritischen Infrastruktur. In diesem Umfeld war die bisherige Gesetzeslage in Deutschland aus Sicht vieler Experten nicht mehr ausreichend.
Die EU-Richtlinie NIS-2 verfolgt das Ziel, ein hohes und einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Union sicherzustellen.
Da Deutschland die Frist zur Umsetzung der Richtlinie verpasst hat, war Handeln erforderlich – mit dem nun beschlossenen Gesetz ist der nächste Schritt gesetzt.
Für Unternehmen bedeutet das konkret: Nicht nur Betreiber klassischer Kritischer Infrastrukturen (KRITIS) sind betroffen, sondern erstmals auch Unternehmen, die bisher nicht unter dieser Kategorie standen. Damit steigt die Zahl der regelpflichtigen Unternehmen deutlich – dies schafft Wettbewerbsvorteile für jene, die sich früh vorbereiten.

Welche Anforderungen und Pflichten erfüllt werden müssen

Unternehmen, die unter die neuen Regeln fallen, sehen sich mit mehreren neuen Elementen konfrontiert. Die wichtigsten Pflichten im Überblick:

Anwendungsbereich und Kategorien

Das Gesetz unterscheidet künftig zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Beide Kategorien sind von den Vorgaben betroffen – je nach Kritikalität mit unterschiedlich intensiven Anforderungen.
Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, digitale Dienste oder öffentliche Verwaltung zählen üblicherweise dazu. Aber auch andere Unternehmen können betroffen sein, wenn ihre Services relevant für das Funktionieren der Gesellschaft sind.

Technische und organisatorische Massnahmen (TOM)

Betroffene Stellen müssen IT-Sicherheitsmassnahmen umsetzen, die dem Stand der Technik entsprechen. Dazu zählen etwa Risikoanalysen, Business-Continuity-Pläne, Backup-Konzeptionen, Verschlüsselung, Zugangskontrollen sowie Überwachung und Erkennung von Angriffen.
Auch die Einbindung von Lieferketten- und Drittparteirisiken ist nun stärker gefordert – Unternehmen müssen ihre Abhängigkeiten kennen und steuern.

Vorfallsmeldung und Berichtspflichten

Ein zentrales Element sind die Meldepflichten bei Sicherheitsvorfällen. Neu ist ein dreistufiges Regime:

• Erste Meldung innerhalb 24 Stunden nach Entdeckung.
• Zwischenbericht nach 72 Stunden.
• Abschlussbericht spätestens nach einem Monat.
  Diese Fristen machen aus der Vorfallmeldung eine dringliche Compliance- und Steuerungsaufgabe.

Erweiterte Aufsicht und Sanktionen

Das BSI übernimmt erweiterte Aufsichts- und Prüfungsfunktionen. Es kann Sanktionen verhängen, Leitfäden herausgeben und die Registerführung übernehmen.
Außerdem müssen Unternehmen sich registrieren und ihre Zuständigkeiten benennen – etwa eine verantwortliche Person für Informationssicherheit.

Rolle der Verwaltung

Neu: Auch Behörden und Bundesverwaltung unterliegen künftig den Mindestanforderungen. Damit wird staatliche IT-Sicherheit auf ein Niveau mit der Wirtschaft gehoben – was für die gesamte Resilienz bedeutsam ist.

Was Unternehmen jetzt tun sollten

• Eine Betroffenheitsanalyse durchführen: Prüfen, ob das Unternehmen unter die Kategorien „wesentliche“ oder „wichtige“ Einrichtung fällt.
• Eine Gap-Analyse der bestehenden IT-Sicherheits-, Governance- und Meldeprozesse erstellen und auf NIS-2-Konformität ausrichten.
• Governance- und Risikomanagement-Prozesse überarbeiten: Wer ist verantwortlich? Wie wird Risiko gemessen? Wie schnell melden wir Vorfälle?
• Technische Massnahmen implementieren und dokumentieren: Risikoanalyse, Zutritts- & Zugriffskontrollen, Incident-Response-Plan, Backup-/Recovery-Strategie.
• Melde- und Berichtspflichten etablieren: Prozesse definieren, wer meldet, wie Fristen eingehalten werden.
• Schulungen und Sensibilisierung für Mitarbeitende: Cyberrisiken, Meldepflichten, Verantwortlichkeiten.
• Monitoring & Reporting einrichten: Dashboards über Vorfälle, Risiken, Massnahmen. Behandlung von Drittparteirisiken mit einbeziehen.

Wer diese Schritte früh angeht, kann nicht nur Compliance sicherstellen, sondern Wettbewerbsvorteile nutzen – z. B. indem vertrauenswürdige Partnerbeziehungen gestärkt und Versicherungsprämien gesenkt werden.

Fazit

Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie markiert Deutschland einen entscheidenden Schritt Richtung digitaler Resilienz. Für Unternehmen bedeutet das: Nicht länger nur freiwillig, sondern reguliert und druckvoll wird Cybersicherheit zu einer zentralen strategischen Aufgabe.
Die Anforderungen sind hoch – aber diejenigen, die früh handeln, sichern sich nicht nur Rechtssicherheit, sondern auch Vertrauen von Kunden, Geschäftspartnern und Investoren.

FAQ

Wer ist von der NIS-2-Umsetzung betroffen?
Betroffen sind Unternehmen der Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“, insbesondere aus Bereichen wie Energie, Gesundheit, Verkehr, digitale Dienste sowie Behörden und Verwaltung.

Ab wann gelten die neuen Regelungen?
Der Bundestag hat das Gesetz am 13. November 2025 beschlossen. Es muss noch vom Bundesrat bestätigt und im Bundesgesetzblatt verkündet werden, bevor es verbindlich in Kraft tritt.

Welche Fristen gelten für die Meldung von Sicherheitsvorfällen?
Erstmeldung innerhalb von 24 Stunden nach Entdeckung, Zwischenbericht nach 72 Stunden, Abschlussbericht spätestens nach einem Monat.

Was passiert bei Nicht-Beachtung der Vorgaben?
Das BSI erhält erweiterte Aufsichts- und Sanktionsbefugnisse. Bei Verstössen können Bußgelder und weitere Rechtsfolgen drohen.

Wie sollten Unternehmen jetzt vorgehen?
Eine Betroffenheits- und Gap-Analyse durchführen, Governance- und Risikoprozesse anpassen, technische Massnahmen dokumentieren, Meldeprozesse etablieren und Mitarbeitende schulen.

Die Europäische Union verfolgt mit ihrem Green Deal ehrgeizige Klimaziele. Ein zentrales Instrument ist dabei der Carbon Border Adjustment Mechanism (CBAM), auch als CO₂-Grenzausgleich bekannt. Ab 1. Januar 2026 tritt die endgültige Phase in Kraft. Spätestens dann entstehen für viele Unternehmen finanzielle und organisatorische Pflichten, die weit über das bisherige reine Reporting hinausgehen.

Dieser Beitrag erklärt, was hinter CBAM steckt, welche Branchen betroffen sind, welche Herausforderungen sich abzeichnen und wie Unternehmen sich schon heute vorbereiten können.

Das Wichtigste in Kürze

• CBAM ersetzt teilweise die kostenlose Zuteilung von Zertifikaten im EU-Emissionshandel (EU ETS) und soll „Carbon Leakage“ verhindern.
• Betroffen sind Importe bestimmter CO₂-intensiver Güter: Zement, Eisen und Stahl, Aluminium, Düngemittel, Elektrizität und Wasserstoff (weitere Branchen können folgen).
• Ab 2026 müssen Importeure CBAM-Zertifikate kaufen, die die CO₂-Emissionen der importierten Produkte abbilden.
• Bereits seit 2023 läuft eine Übergangsphase mit reiner Berichtspflicht, in der Emissionen dokumentiert werden müssen.
• Lieferketten- und Datentransparenz werden entscheidend, um korrekte Emissionswerte nachzuweisen und Kosten zu steuern.

Warum CBAM eingeführt wurde

Die EU möchte verhindern, dass ihre Klimapolitik dazu führt, dass Unternehmen CO₂-intensive Produktionen ins Ausland verlagern, um dort mit geringeren Umweltauflagen günstiger zu produzieren. Dieses Risiko nennt man Carbon Leakage.

Mit CBAM wird ein Preis auf die CO₂-Emissionen gelegt, die bei der Herstellung bestimmter Güter außerhalb der EU entstehen. Dadurch wird ein fairer Wettbewerb sichergestellt: Produzenten innerhalb der EU, die schon heute im EU ETS Emissionszertifikate kaufen müssen, werden nicht benachteiligt.

Welche Produkte betroffen sind

Aktuell umfasst CBAM folgende Sektoren:

• Zement
• Eisen und Stahl
• Aluminium
• Düngemittel
• Elektrizität
• Wasserstoff

Darüber hinaus prüft die EU, ob künftig weitere Produktgruppen wie organische Chemikalien oder Kunststoffe einbezogen werden.

Übergangsphase und Inkrafttreten 2026

• Seit Oktober 2023 gilt die Übergangsphase. Unternehmen müssen Emissionen der betroffenen Importgüter quartalsweise melden, jedoch noch keine Zahlungen leisten.
• Ab 1. Januar 2026 beginnt die endgültige CBAM-Phase. Dann müssen Importeure die entsprechenden CBAM-Zertifikate kaufen, die den CO₂-Preis der importierten Güter widerspiegeln.
• Abschaffung kostenloser Zuteilungen im EU ETS: Schrittweise reduziert die EU die bisherige Gratisvergabe von Emissionszertifikaten an EU-Produzenten, sodass CBAM und EU ETS zunehmend gleichgestellt sind.

Herausforderungen für Unternehmen

1. Datenqualität und Lieferkettentransparenz
   Viele Unternehmen haben bislang keine verlässlichen Emissionsdaten ihrer ausländischen Lieferanten. Ohne Nachweis müssen Standardwerte angesetzt werden, die oft teurer sind.
2. Administrativer Aufwand
   CBAM erfordert ein neues Reporting- und Zertifikatssystem. Unternehmen müssen zuständige Stellen registrieren, Zertifikate kaufen, Konten führen und jährliche Prüfungen ermöglichen.
3. Kostenrisiken
   Je nach CO₂-Intensität der Lieferkette können die CBAM-Kosten erheblich ausfallen und Margen deutlich beeinflussen.
4. Strategische Beschaffung
   Unternehmen müssen abwägen, ob sie weiterhin aus Drittstaaten importieren oder stärker auf Lieferanten in der EU setzen, um Kosten und Risiken zu reduzieren.

Chancen durch CBAM

So belastend CBAM auf den ersten Blick wirkt – es bietet auch Chancen:

• Level Playing Field: Europäische Hersteller haben keinen Wettbewerbsnachteil mehr gegenüber Produzenten in Ländern ohne CO₂-Bepreisung.
• Innovationstreiber: CBAM fördert Investitionen in emissionsärmere Technologien weltweit, da Exporteure in die EU einen klaren Anreiz haben, ihre Emissionen zu senken.
• Reputationsvorteil: Unternehmen, die frühzeitig auf transparente und klimafreundliche Lieferketten setzen, können dies als Wettbewerbsvorteil nutzen.

Fazit

Der CBAM ist ein Meilenstein in der europäischen Klimapolitik. Ab 2026 wird er für viele Unternehmen nicht nur zur Compliance-, sondern auch zur Kostenfrage. Wer jetzt anfängt, Emissionsdaten systematisch zu erfassen, Lieferanten einzubinden und die internen Prozesse anzupassen, verschafft sich entscheidende Vorteile.

CBAM sollte nicht nur als Pflicht gesehen werden, sondern auch als Chance: Unternehmen, die Transparenz und Klimaschutz ernst nehmen, werden künftig nicht nur regulatorisch besser dastehen, sondern auch ökonomisch profitieren.

---

FAQ zu CBAM

Was bedeutet CBAM konkret für Importeure?
Importeure müssen ab 2026 die CO₂-Emissionen der importierten Güter nachweisen und entsprechende CBAM-Zertifikate kaufen.

Welche Länder sind betroffen?
Alle Länder, die in die EU exportieren – mit Ausnahme solcher, die ein gleichwertiges Emissionshandelssystem wie die EU haben (z. B. Norwegen, Schweiz).

Welche Daten müssen gemeldet werden?
Unter anderem: direkte Emissionen bei der Herstellung, Produktionsmengen, Produktionsprozesse, ggf. indirekte Emissionen (z. B. Stromverbrauch).

Wie hoch sind die Kosten?
Die Kosten hängen vom aktuellen Preis für EU ETS-Zertifikate ab. Ohne Emissionsnachweis wird ein Standardwert zugrunde gelegt, der meist höher ausfällt.

Gibt es Sanktionen bei Verstößen?
Ja. Falschangaben oder fehlende Zertifikate können zu erheblichen Geldbußen und Importverboten führen.

Wie können Unternehmen sich vorbereiten?

• Lieferanten frühzeitig einbinden und zur Emissionsdatenerhebung verpflichten.
• Interne Prozesse und IT-Systeme für Reporting und Zertifikatsverwaltung aufbauen.
• Strategische Beschaffung und Preiskalkulation anpassen.

Die Regulierung von Krypto-Assets in der Europäischen Union hat mit der Einführung der Markets in Crypto-Assets Regulation (MiCA) einen historischen Meilenstein erreicht. Seit Ende 2024 vollständig anwendbar, schafft MiCA erstmals einen einheitlichen Rechtsrahmen für den Krypto-Markt in allen EU-Mitgliedstaaten. Ziel ist es, Marktstabilität zu fördern, Investoren zu schützen und gleiche Wettbewerbsbedingungen für alle Anbieter zu schaffen. Für Unternehmen bedeutet dies einen fundamentalen Wandel in Governance, Risiko- und Compliance-Management.

Das Wichtigste in Kürze

• MiCA ist seit 30. Dezember 2024 vollständig anwendbar
• Einheitlicher EU-weiter Rechtsrahmen für Krypto-Assets und Dienstleister
• Verpflichtende Lizenzierung für Anbieter von Krypto-Dienstleistungen (CASPs)
• Strenge Regeln für Stablecoins, Marktintegrität und Verbraucherschutz
• Relevanz für über 10.000 Unternehmen in Europa

Warum MiCA eingeführt wurde

Vor MiCA war der Krypto-Markt in Europa von regulatorischen Fragmentierungen geprägt. Jedes Land verfolgte eigene Ansätze, was zu Unsicherheiten für Unternehmen und Investoren führte. Zudem kam es wiederholt zu Marktverwerfungen, Betrugsfällen und Insolvenzen von Krypto-Börsen, die die Notwendigkeit eines klaren, harmonisierten Rechtsrahmens verdeutlichten.

Die EU hat mit MiCA darauf reagiert, um Vertrauen in den Markt zu stärken und die Wettbewerbsfähigkeit Europas gegenüber anderen großen Finanzplätzen zu sichern.

Die zentralen Inhalte von MiCA

Einheitliche Lizenzpflicht

Alle Anbieter von Krypto-Dienstleistungen (Crypto Asset Service Providers, CASPs) benötigen künftig eine Zulassung. Diese wird durch nationale Aufsichtsbehörden erteilt, gilt jedoch in allen EU-Mitgliedstaaten.

Regeln für Stablecoins

Emittenten von Stablecoins müssen über ausreichende Reserven verfügen und strenge Transparenzpflichten erfüllen. Ziel ist es, das Risiko von Instabilität und Marktmissbrauch zu minimieren.

Schutz von Investoren und Verbrauchern

Unternehmen müssen ausführliche Whitepapers veröffentlichen, die Risiken und Funktionsweisen von Krypto-Produkten transparent darstellen. Zudem gelten strengere Anforderungen an die Aufbewahrung von Kundengeldern.

Marktintegrität

MiCA führt klare Regeln zur Vermeidung von Insiderhandel, Marktmanipulation und unlauterem Wettbewerb ein. Dadurch soll das Vertrauen in die Märkte gestärkt werden.

Bedeutung für Governance, Risiko- und Compliance-Management

MiCA ist weit mehr als ein Finanzmarktgesetz. Es greift direkt in die strategischen Steuerungs- und Kontrollsysteme von Unternehmen ein.

• Governance: Klare Verantwortlichkeiten und Aufsichtsstrukturen sind Pflicht, um MiCA-konforme Geschäftsprozesse sicherzustellen.
• Risikomanagement: Unternehmen müssen neue Risikoarten wie Volatilität, Cyberrisiken und operationelle Risiken im Krypto-Umfeld systematisch erfassen und steuern.
• Compliance: Die regulatorischen Anforderungen erfordern umfangreiche Dokumentationen, kontinuierliche Überwachung und enge Zusammenarbeit mit den Aufsichtsbehörden.

Für GRC-Teams bedeutet das eine Ausweitung ihrer Aufgaben und eine stärkere Verzahnung mit IT-Sicherheit und Finanzaufsicht.

Chancen und Herausforderungen

MiCA stellt Unternehmen zwar vor erhebliche Umsetzungsaufwände, bietet jedoch auch Chancen. Mit klaren Rahmenbedingungen können sich seriöse Anbieter von unseriösen Marktteilnehmern abgrenzen und Vertrauen bei Investoren und Kunden gewinnen. Gleichzeitig werden internationale Anbieter, die in der EU tätig werden wollen, zur Einhaltung derselben Standards verpflichtet – ein Wettbewerbsvorteil für regulierte Unternehmen.

Fazit

Mit MiCA setzt die EU weltweit Maßstäbe in der Regulierung von Krypto-Assets. Für Unternehmen ist dies nicht nur eine rechtliche Pflicht, sondern auch eine Gelegenheit, Governance-, Risiko- und Compliance-Strukturen zu modernisieren und das Vertrauen in ihre Dienstleistungen zu stärken. Wer MiCA proaktiv umsetzt, gewinnt nicht nur regulatorische Sicherheit, sondern auch Marktchancen.

---

FAQ

Was ist MiCA?
MiCA steht für Markets in Crypto-Assets Regulation, die erste EU-weite Regulierung für den Kryptomarkt.

Ab wann gilt MiCA?
Die Verordnung ist seit 30. Dezember 2024 vollständig anwendbar.

Welche Unternehmen sind betroffen?
Alle Anbieter von Krypto-Dienstleistungen in der EU sowie internationale Anbieter, die in Europa tätig werden wollen.

Was bedeutet MiCA für Stablecoins?
Stablecoin-Emittenten müssen strenge Anforderungen an Transparenz, Reserven und Risikomanagement erfüllen.

Welche Sanktionen drohen bei Verstößen?
Verstöße gegen MiCA können zu Lizenzentzug, hohen Geldstrafen und Marktverboten führen.

Warum ist MiCA ein wichtiges GRC-Thema?
Weil es Governance-Strukturen, Risikomanagement und Compliance-Prozesse tiefgreifend beeinflusst und Unternehmen zwingt, ihre Kontrollsysteme zu professionalisieren.

Die European Financial Reporting Advisory Group (EFRAG) hat im August 2025 überarbeitete Entwürfe für die European Sustainability Reporting Standards (ESRS) vorgelegt. Mit dieser Reform reagiert die EU auf die Kritik vieler Unternehmen, die bei der Umsetzung der CSRD (Corporate Sustainability Reporting Directive) von einem erheblichen administrativen Aufwand betroffen waren. Ziel ist es, die Berichtspflichten schlanker, praxisnäher und risikoorientierter zu gestalten, ohne dabei die Ambitionen in Sachen Nachhaltigkeit und Governance zu verwässern.

Das Wichtigste in Kürze

• Reduktion der verpflichtenden Datenpunkte um 57 Prozent
• Gesamte Berichtsumfänge werden um 68 Prozent gekürzt
• Verbesserte Leitlinien zur doppelten Wesentlichkeit
• Klarere Struktur und praxisnähere Anwendung für Unternehmen
• 60-tägige öffentliche Konsultation bis 29. September 2025

Warum kam es zu den Änderungen?

Seit Inkrafttreten der CSRD haben viele Unternehmen, insbesondere mittelständische, auf die hohen Kosten und Ressourcenbelastungen hingewiesen. Die ursprünglichen ESRS wurden als übermäßig komplex wahrgenommen und führten zu Unsicherheiten bei der Umsetzung.

Die EU verfolgt mit den Anpassungen mehrere Ziele:

• Bürokratieabbau durch Reduktion von Pflichtangaben
• Konzentration auf die wirklich wesentlichen ESG-Aspekte
• Förderung einer höheren Berichtsgüte durch bessere Strukturierung
• Steigerung der Akzeptanz und Machbarkeit für Unternehmen unterschiedlicher Größenordnungen

Die wichtigsten Änderungen im Überblick

1. Massive Reduktion der Berichtspflichten

Die Zahl der verpflichtenden Datenpunkte wurde um mehr als die Hälfte gekürzt. Auch der Gesamtumfang der geforderten Informationen sinkt um fast zwei Drittel. Damit sollen Unternehmen entlastet und die Qualität der verbleibenden Angaben erhöht werden.

2. Stärkere Fokussierung auf Wesentlichkeit

Die neuen Leitlinien helfen Unternehmen, die doppelte Wesentlichkeit – also die finanzielle Relevanz und die Auswirkungen auf Umwelt und Gesellschaft – klarer und praxisnäher zu bestimmen.

3. Klarere Strukturierung

EFRAG hat die Standards so überarbeitet, dass Inhalte konsistenter und leichter anwendbar sind. Das erleichtert insbesondere kleineren Unternehmen die Umsetzung.

4. Öffentliche Konsultation

Alle Stakeholder können bis Ende September 2025 Feedback geben. Mit diesem partizipativen Ansatz soll sichergestellt werden, dass die überarbeiteten ESRS sowohl regulatorischen Anforderungen entsprechen als auch die Praxisrealität der Unternehmen berücksichtigen.

Bedeutung für Governance, Risk und Compliance (GRC)

Die Anpassungen zeigen, wie eng ESG-Reporting mit GRC-Prozessen verknüpft ist. Für Unternehmen bedeutet das:

• Governance: Klare Strukturen und Verantwortlichkeiten werden noch wichtiger, um die Wesentlichkeitsanalysen sauber durchzuführen.
• Risikomanagement: Die stärkere Ausrichtung auf eine risikobasierte Wesentlichkeit erfordert präzisere Risikoanalysen entlang der Wertschöpfungskette.
• Compliance: Unternehmen müssen weiterhin sicherstellen, dass die verbleibenden Anforderungen vollständig und korrekt erfüllt werden – jetzt allerdings mit einem stärkeren Fokus auf relevante ESG-Themen.

Fazit

Mit den neuen ESRS-Entwürfen geht die EU einen wichtigen Schritt, um Nachhaltigkeitsberichte weniger komplex und gleichzeitig aussagekräftiger zu gestalten. Für Unternehmen ist dies eine Chance, ihre Reporting-Prozesse zu optimieren, ohne an Qualität einzubüßen. Jetzt gilt es, die Konsultationsphase zu nutzen und frühzeitig die Weichen für eine effiziente Umsetzung zu stellen.

---

FAQ

1. Was ist EFRAG?
Die European Financial Reporting Advisory Group ist das Beratungsorgan der EU-Kommission in Fragen der Rechnungslegung und Nachhaltigkeitsberichterstattung.

2. Was sind die ESRS?
Die European Sustainability Reporting Standards legen fest, wie Unternehmen ihre Nachhaltigkeitsinformationen im Rahmen der CSRD offenlegen müssen.

3. Warum wurden die Standards überarbeitet?
Um Unternehmen von übermäßiger Bürokratie zu entlasten und die Umsetzung praxistauglicher zu machen.

4. Welche Unternehmen sind betroffen?
Alle Unternehmen, die unter die CSRD fallen. Dazu gehören große Unternehmen sowie kapitalmarktorientierte Gesellschaften oberhalb bestimmter Schwellenwerte.

5. Wie geht es jetzt weiter?
Die öffentliche Konsultation läuft bis 29. September 2025. Danach werden die finalen Standards beschlossen und zur Anwendung veröffentlicht.

Die Europäische Union hat im Juni 2025 weitreichende Änderungen an zwei zentralen Nachhaltigkeits- und Sorgfaltspflichten-Regelwerken beschlossen: der Corporate Sustainability Reporting Directive (CSRD) und der Corporate Sustainability Due Diligence Directive (CS3D). Ziel ist es, die Berichtspflichten zu vereinfachen, die Wettbewerbsfähigkeit zu stärken und kleine sowie mittlere Unternehmen (KMU) zu entlasten.

Warum es zu den Änderungen kam

In den letzten Jahren gab es zunehmend Kritik an der wachsenden regulatorischen Belastung europäischer Unternehmen. Viele Unternehmen – insbesondere KMU – sahen sich mit umfangreichen und teuren Reporting- sowie Due-Diligence-Anforderungen konfrontiert, die ihre Ressourcen stark beanspruchten.

Die EU reagierte darauf mit einer politischen Neuausrichtung: Nachhaltigkeit bleibt zwar ein strategischer Schwerpunkt, doch die Umsetzung soll praxistauglicher, fokussierter und besser auf die Unternehmensgröße zugeschnitten werden. Ziel ist es, Bürokratie abzubauen, Wettbewerbsfähigkeit zu stärken und regulatorische Pflichten dort zu konzentrieren, wo das Risiko am höchsten ist.

Die wichtigsten Änderungen im Detail

Anpassungen bei der CSRD

• Anhebung der Schwellenwerte: Berichtspflichten gelten nur noch für Unternehmen mit mehr als 1.000 Mitarbeitenden oder über 450 Mio. € Umsatz
• Wegfall der Pflicht für börsennotierte KMU: Diese Unternehmen werden komplett von den CSRD-Berichtspflichten befreit
• Ziel: Konzentration auf große, ressourcenstarke Unternehmen mit signifikanten Nachhaltigkeitsauswirkungen

Änderungen bei der CS3D

• Deutlich höhere Schwellenwerte: Sorgfaltspflichten nur noch für Unternehmen mit mehr als 5.000 Mitarbeitenden oder über 1,5 Mrd. € Umsatz
• Risikobasierter Ansatz: Fokus auf direkte Geschäftspartner (Tier 1), erweiterte Prüfungspflichten nur bei konkreten Verdachtsmomenten
• Verlängerte Umsetzungsfrist: Neuer Stichtag für die Umsetzung ist der 26. Juli 2028

Auswirkungen auf Unternehmen

Für viele Unternehmen bedeutet dies eine deutliche Entlastung – vor allem für KMU, die bisher unverhältnismäßig stark von den Vorgaben betroffen waren. Große Unternehmen hingegen müssen weiterhin umfassende Berichts- und Sorgfaltspflichten erfüllen, können aber von einer klareren und zielgerichteteren Regulierung profitieren.

Für Schweizer Unternehmen mit EU-Geschäftsbeziehungen oder Tochtergesellschaften in der EU sind die Änderungen ebenfalls relevant. Sie beeinflussen, ob und in welchem Umfang künftig Berichtspflichten greifen.

Strategische Chancen für das GRC-Management

Unternehmen, die nicht mehr unter die neuen Schwellenwerte fallen, sollten die Zeit dennoch nutzen, um ihre Governance-, Risk- und Compliance-Strukturen zu optimieren. Nachhaltigkeits- und Sorgfaltspflichten sind nicht nur gesetzliche Vorgaben, sondern auch zentrale Elemente für Reputation, Investorenvertrauen und Marktzugang.

Wer frühzeitig robuste Reporting- und Due-Diligence-Prozesse integriert, ist besser vorbereitet, wenn Schwellenwerte in Zukunft wieder gesenkt oder neue Anforderungen eingeführt werden.

Fazit

Die Anpassungen der CSRD und CS3D sind ein klarer Schritt hin zu einer zielgerichteten, risikobasierten Regulierung. Sie entlasten kleinere Unternehmen und konzentrieren die Pflichten auf große Player mit den größten potenziellen Auswirkungen. Gleichzeitig bleibt Nachhaltigkeit ein zentraler Pfeiler der EU-Strategie – Unternehmen sollten dies als Chance begreifen, ihre GRC-Systeme zukunftsfähig auszurichten.

---

FAQ

Was ist die CSRD?
Die Corporate Sustainability Reporting Directive verpflichtet Unternehmen zur Offenlegung von Informationen zu Umwelt-, Sozial- und Governance-Aspekten (ESG).

Was ist die CS3D?
Die Corporate Sustainability Due Diligence Directive verpflichtet Unternehmen, Menschenrechte und Umweltstandards in der gesamten Lieferkette zu respektieren.

Ab wann gelten die neuen Schwellenwerte?
Die Änderungen treten nach Abschluss des Gesetzgebungsverfahrens in Kraft. Für die CS3D gilt zudem eine verlängerte Umsetzungsfrist bis Juli 2028.

Welche Unternehmen profitieren am meisten?
Vor allem kleine und mittlere Unternehmen, die nun deutlich seltener unter die Berichtspflichten fallen.

Sollten Unternehmen trotz Wegfall der Pflicht weiter berichten?
Ja, freiwilliges Reporting stärkt die Transparenz, das Vertrauen von Stakeholdern und kann Wettbewerbsvorteile sichern.

Die Europäische Union läutet mit dem AI Act (Verordnung 2024/1689) eine neue Ära der regulierten Künstlichen Intelligenz ein. Ab dem 2. August 2025 gelten erstmals verpflichtende Regelungen für Anbieter und Nutzer sogenannter General Purpose AI (GPAI)-Modelle. Unternehmen, die KI-Systeme einsetzen oder entwickeln – insbesondere im Bereich Generative AI, Machine Learning, Natural Language Processing oder automatisierter Entscheidungsfindung – müssen ihre Governance-, Risikomanagement- und Compliance-Strukturen anpassen.

Diese Verschärfungen betreffen nicht nur Tech-Unternehmen, sondern alle Branchen: von Finanzdienstleistungen über Industrie bis hin zu Healthcare, Retail und öffentlichem Sektor.

Das Wichtigste in Kürze

• Stichtag: 2. August 2025 – ab diesem Datum gelten neue Vorschriften für GPAI-Modelle (z. B. ChatGPT, Claude, Gemini, Mistral, LLaMA)
• Pflichten für Anbieter & Nutzer:
  • Transparenz zu Trainingsdaten & Modellen
  • Risikoanalysen und Konformitätsbewertung
  • Schutz vor Urheberrechtsverstößen
• Governance-Anforderungen:
  • Interne Zuständigkeiten, Dokumentationspflichten und Prüfprozesse
  • Verpflichtung zur Schulung der Mitarbeitenden (AI Literacy)
• Strafen bei Verstößen: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
• Freiwilliger „Code of Practice“ für GPAI-Anbieter möglich – reduziert rechtliche Risiken

1. Was ist der AI Act?

Der AI Act ist die weltweit erste umfassende Gesetzgebung zur Regulierung von Künstlicher Intelligenz. Er unterscheidet vier Risikoklassen (verboten, hoch, begrenzt, minimal) und legt für jede Klasse spezifische Pflichten fest.

Ab dem 2. August 2025 greifen erstmals verbindliche Vorgaben für sogenannte General Purpose AI – also große KI-Modelle, die vielseitig einsetzbar sind (z. B. für Texte, Bilder, Code, Sprache, Analyse).

Beispiele betroffener Modelle:

• ChatGPT (OpenAI/Microsoft)
• Claude (Anthropic)
• LLaMA (Meta)
• Mistral
• Gemini (Google DeepMind)

2. Wer ist betroffen?

Die neuen Vorschriften gelten für:

• Anbieter von GPAI-Systemen (innerhalb & außerhalb der EU, wenn sie in der EU angeboten werden)
• Inverkehrbringer von KI-Produkten (Hersteller, Softwareunternehmen, Plattformen)
• Nutzer und Anwender von GPAI im Unternehmenskontext (z. B. Chatbots, Analysesysteme, Automatisierung, Decision Support)
• Wiederverwender bzw. Finetuner von Basismodellen für spezielle Anwendungen

Auch Unternehmen, die Tools wie ChatGPT Enterprise, Copilot, Gemini for Workspace oder vergleichbare KI-Software nutzen, unterliegen Anforderungen, wenn sie KI-basierte Entscheidungen treffen oder Daten verarbeiten lassen.

3. Neue Pflichten für Unternehmen ab 2. August 2025

A) Transparenz & Dokumentation

• Offenlegung der Trainingsdatenquellen
• Informationen zur Modellarchitektur und Risikobewertung
• Dokumentation über Datenschutz, Fairness, Bias und Sicherheitsmaßnahmen

B) Urheberrechtsschutz

• Modelle müssen so entwickelt und betrieben werden, dass geistige Eigentumsrechte Dritter gewahrt bleiben (Copyright-Audit erforderlich)

C) Risikobewertung & Governance

• Durchführung einer Risikofolgenabschätzung (ähnlich DPIA bei DSGVO)
• Einrichtung eines internen Kontrollsystems für KI-Governance
• Auditierbarkeit & Nachvollziehbarkeit aller KI-Ausgaben

D) AI Literacy & Schulungspflicht

• Mitarbeitende müssen in der Lage sein, die Funktionsweise und Risiken der eingesetzten KI zu verstehen

E) Notified Bodies & Aufsicht

• Einrichtung und Zusammenarbeit mit benannten Prüfstellen
• Aufsichtsbehörden können Prüfungen, Modellzugriffe und Nachbesserungen verlangen

4. Was passiert bei Verstößen?

Die EU zieht die Zügel deutlich an:
Verstöße gegen Transparenz- oder Governancepflichten können mit Geldbußen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist.

5. Der GPAI Code of Practice: Freiwillig, aber empfohlen

Die EU-Kommission hat parallel einen verbindlichen Verhaltenskodex („Code of Practice“) für GPAI-Anbieter veröffentlicht.
Wer diesen Code aktiv umsetzt und dokumentiert, profitiert von:

• Regulatorischer Erleichterung bei der Nachweispflicht
• Frühzeitiger Risikominimierung
• Besserer Positionierung im europäischen Markt

6. Integration in GRC & Risikomanagement-Strukturen

Für Compliance-, Risiko- und IT-Manager bedeutet das:

• KI-Compliance muss Teil des Governance Frameworks werden
• Bestehende Prozesse (z. B. ISMS, BCM, IKS) müssen auf KI angepasst werden
• GRC-Systeme sollten KI-spezifische Risiken, Datenflüsse und Verantwortlichkeiten erfassen
• Risikobasierte Klassifizierung und laufende Überwachung werden Pflicht

7. Wie das mit GRC zusammenhängt

Die neuen Vorschriften des AI Acts sind kein isoliertes Compliance-Thema – sie gehören unmittelbar in das strategische Zusammenspiel von Governance, Risk und Compliance (GRC). Unternehmen, die bereits über ein strukturiertes GRC-Framework verfügen, sind im Vorteil. Denn:

• Governance definiert klare Zuständigkeiten, Verantwortlichkeiten und Aufsichtsgremien für den KI-Einsatz.
• Risikomanagement identifiziert, bewertet und überwacht spezifische Risiken durch KI – z. B. Bias, Reputationsschäden, Modellfehler oder Datenmissbrauch.
• Compliance sorgt für die Einhaltung der rechtlichen Anforderungen aus dem AI Act – von der Dokumentation bis zur Modellprüfung.

Ein modernes GRC-System erlaubt es, KI-bezogene Risiken mit bestehenden Frameworks wie ISMS, IKS oder ESG zu verknüpfen und in Managementberichte zu integrieren. Unternehmen, die ihre KI-Governance in ein zentrales GRC-System einbetten, erhöhen nicht nur ihre Rechtssicherheit, sondern schaffen Transparenz, Effizienz und Vertrauen – intern wie extern.

Fazit

Der 2. August 2025 ist kein gewöhnlicher Stichtag – er markiert den Start eines neuen Regulierungszeitalters für Künstliche Intelligenz.

Unternehmen, die KI nutzen oder entwickeln, müssen Transparenz, Governance und Risikoabschätzung verbindlich umsetzen – unabhängig davon, ob sie selbst Modelle trainieren oder bestehende Systeme einsetzen.

Proaktives Handeln jetzt reduziert Haftungsrisiken, sichert Compliance und schafft Vertrauen bei Kunden, Investoren und Regulierungsbehörden.

Wenn ihr mehr über den EU AI Act wissen wollt empfehlen wir euch unseren früheren Artikel der den EU AI Act sowie seine Vor und Nachteile erklärt.

FAQ – Neue KI-Vorgaben ab 2. August 2025

Was ist General Purpose AI (GPAI)?
Große, vielseitig einsetzbare KI-Modelle, die für verschiedene Zwecke genutzt werden können – etwa zur Text-, Bild- oder Sprachanalyse. Beispiele: ChatGPT, Gemini, LLaMA.

Gilt der AI Act nur für KI-Anbieter?
Nein. Auch Unternehmen, die solche KI-Modelle im Alltag einsetzen, müssen bestimmte Anforderungen erfüllen – z. B. bei Risikoanalyse, Datenschutz oder Governance.

Was ist der freiwillige GPAI Code of Practice?
Ein europäischer Verhaltenskodex für Anbieter von GPAI-Systemen. Unternehmen, die ihn anwenden, zeigen regulatorische Verantwortung und profitieren von geringerer Prüfintensität.

Welche Strafen drohen?
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes – abhängig von Schwere und Art des Verstoßes.

Was sollten Unternehmen jetzt tun?

1. KI-Systeme inventarisieren und klassifizieren
2. Transparenz und Modell-Dokumentation sicherstellen
3. KI-Risiken ins Enterprise Risk Management (ERM) integrieren
4. Mitarbeiterschulungen zu AI Literacy durchführen
5. Governance-Strukturen und GRC-Systeme erweitern

Die Europäische Union verstärkt aktuell den Druck auf ihre Mitgliedsstaaten, grenzüberschreitende Bankenfusionen nicht länger politisch zu blockieren. Ziel ist ein stärker integrierter europäischer Bankensektor, der international wettbewerbsfähig bleibt und systemische Risiken besser abfedert. Die Debatte um geplante Fusionen in Spanien, Italien und potenziell auch Deutschland bringt dabei zentrale Fragestellungen aus dem GRC-Kontext auf den Tisch: Wer steuert eigentlich den europäischen Bankenmarkt? Welche Risiken überwiegen? Und wie steht es um die Einhaltung regulatorischer Vorgaben?

Governance: Wer hat das Sagen im europäischen Bankensektor?

Im Zentrum der Auseinandersetzung steht die Frage nach der Zuständigkeit. Laut EU-Recht und Bankenunion liegt die Entscheidungskompetenz über grenzüberschreitende Bankenfusionen bei europäischen Institutionen wie der Europäischen Zentralbank (EZB) und der EU-Kommission. Doch nationale Regierungen wie in Italien oder Spanien nutzen sogenannte „Golden Power“-Gesetze, um sich faktisch ein Vetorecht zu sichern.

Aus Governance-Sicht führt das zu einem Konflikt: Der Binnenmarkt setzt auf einheitliche Spielregeln, während nationale Eigeninteressen (z. B. Schutz heimischer Banken) dagegenlaufen.

Ein starker GRC-Rahmen erfordert jedoch klare Entscheidungswege, institutionelle Transparenz und eine Abgrenzung von politischer Einflussnahme.

Risk: Systemrisiken versus nationale Schutzinteressen

Die EU sieht in Bankenfusionen einen Weg, systemische Risiken zu minimieren: Durch größere, stabilere Institute mit besserer Kapitalbasis und länderübergreifender Geschäftsstruktur sollen wirtschaftliche Schocks besser abgefangen werden.

Dagegen befürchten Mitgliedsstaaten wie Deutschland oder Italien Kontrollverluste, Arbeitsplatzabbau oder die Konzentration von Risiken in einzelnen Megabanken.

Im GRC-Kontext bedeutet das: Zwei gegensätzliche Risikoperspektiven treffen aufeinander. Eine nachhaltige Risikosteuerung sollte beide Seiten berücksichtigen – systemische Stabilität und nationale Resilienz – und in objektiv nachvollziehbare Risikobewertungen übersetzt werden.

Compliance: Nationale Sonderregeln kontra europäisches Recht

Die EU wirft einzelnen Staaten vor, gegen das Prinzip des freien Kapitalverkehrs und gegen zentrale Richtlinien der Bankenunion zu verstoßen. Wer über europäisch beaufsichtigte Banken eigenmächtig Fusionen verhindert, riskiert ein Vertragsverletzungsverfahren.

Für GRC-Verantwortliche ist das ein klassisches Beispiel für mangelnde Compliance-Integration: Nationale Rechtsrahmen unterlaufen internationale Normen und erzeugen Unsicherheit im regulatorischen Umfeld.

Ein funktionierendes Compliance-Management auf supranationaler Ebene muss hier Föderalismus mit Harmonisierung verbinden.

Fazit: Bankenfusionen als Testfall für europäisches GRC

Die aktuelle Debatte zeigt exemplarisch, wie eng wirtschaftliche Integration, institutionelle Steuerung und regulatorische Kohärenz miteinander verknüpft sind. GRC ist dabei nicht nur ein Unternehmensinstrument, sondern ein wesentlicher Bestandteil funktionierender Finanzmärkte.

Die EU wird nicht nur beweisen müssen, dass sie grenzüberschreitende Fusionsprozesse effektiv moderieren kann. Sie muss auch zeigen, dass ihr institutionelles GRC-Verständnis langfristig zu einem stabileren, effizienteren und wettbewerbsfähigeren Bankensystem führt.

FAQ: Bankenfusionen und GRC

Was ist GRC im Kontext des Finanzsektors?
GRC steht für Governance, Risk und Compliance – also für Steuerungsmechanismen, Risikomanagement und Regeltreue. Im Bankenbereich geht es darum, unternehmerische Entscheidungen mit regulatorischen Anforderungen und stabilitätspolitischen Zielen zu verzahnen.

Warum fordert die EU mehr Bankenfusionen?
Die EU will international wettbewerbsfähige Banken schaffen, systemische Risiken verringern und den EU-Binnenmarkt stärken. Fusionen gelten als Mittel zur Konsolidierung und Effizienzsteigerung.

Welche Rolle spielt Compliance bei Bankenfusionen?
Compliance stellt sicher, dass Fusionen rechtlich korrekt und nach einheitlichen Vorgaben ablaufen. Nationale Eingriffe, die gegen EU-Recht verstoßen, untergraben dieses Prinzip.

Warum gibt es Widerstand gegen Bankenfusionen?
Nationale Regierungen fürchten Arbeitsplatzabbau, den Verlust von Kontrolle über systemrelevante Institute oder politisch ungewünschte Eigentumsverhältnisse.

Welche Bedeutung hat die Bankenunion in diesem Zusammenhang?
Die Bankenunion soll einheitliche Regeln für Aufsicht, Abwicklung und Einlagensicherung schaffen. Bankenfusionen sind ein nächster Schritt zur tieferen Integration.