CSRD im Omnibus-Verfahren: Grundlagen, Begriffe und was Unternehmen jetzt wissen sollten

Mit der Corporate Sustainability Reporting Directive (CSRD) steigt der Anspruch an die Nachhaltigkeitsberichterstattung von Unternehmen deutlich. Viele Organisationen stehen aktuell vor der Frage: Was bedeutet CSRD konkret – und was hat es mit dem Omnibus-Verfahren auf sich?
Dieser Beitrag gibt einen verständlichen Einstieg in die Grundlagen, ordnet zentrale Begriffe ein und zeigt, warum Handlungsbedarf besteht, auch wenn noch nicht alle Details final geklärt sind.

CSRD

Was ist die CSRD – und warum betrifft sie so viele Unternehmen?

Die CSRD ist eine EU-Richtlinie, die Unternehmen verpflichtet, umfassend, vergleichbar und prüfbar über Nachhaltigkeit zu berichten. Ziel ist es, ökologische, soziale und Governance-Aspekte (ESG) stärker in unternehmerische Entscheidungen und externe Transparenz zu integrieren.

Im Vergleich zu früheren Regelungen (z. B. NFRD) ist der Anwendungsbereich deutlich größer:

  • mehr berichtspflichtige Unternehmen
  • tiefere inhaltliche Anforderungen
  • stärkere Prüfungs- und Dokumentationspflichten

CSRD ist damit kein reines Reporting-Thema mehr, sondern berührt Steuerung, Prozesse, IT und Governance.

Das Omnibus-Verfahren: Warum sich die Regeln weiterentwickeln

Das sogenannte Omnibus-Verfahren beschreibt Anpassungen und Bündelungen regulatorischer Vorgaben auf EU-Ebene. Auch die CSRD und die zugehörigen ESRS (European Sustainability Reporting Standards) sind davon betroffen.

Für Unternehmen bedeutet das:

  • Zielrichtung und Struktur der CSRD sind klar
  • Detailauslegungen entwickeln sich weiter
  • einzelne Anforderungen werden präzisiert oder nachgeschärft

Trotz dieser Dynamik bleibt die Umsetzungspflicht bestehen. Abwarten ist daher keine Option – gefragt ist ein pragmatischer Umgang mit Unsicherheit.

Zentrale Begriffe kurz erklärt

Doppelte Wesentlichkeitsanalyse

Unternehmen müssen bewerten:

  1. Impact-Materialität: Welche Auswirkungen hat das Unternehmen auf Umwelt und Gesellschaft?
  2. Finanzielle Materialität: Welche Nachhaltigkeitsthemen wirken sich auf die finanzielle Lage aus?

Diese Analyse bildet die inhaltliche Grundlage der CSRD-Berichterstattung.

ESRS im Vergleich zur CSRD

Die European Sustainability Reporting Standards (ESRS) legen konkret fest, welche Inhalte Unternehmen berichten müssen und wie diese Informationen aufzubereiten sind. Sie definieren Kennzahlen, qualitative Angaben, Struktur und Detaillierungsgrad der Nachhaltigkeitsberichterstattung und machen diese europaweit vergleichbar und prüfbar.

Die CSRD (Corporate Sustainability Reporting Directive) hingegen ist der übergeordnete Rechtsrahmen. Sie bestimmt, wer berichtspflichtig ist, ab wann berichtet werden muss und unter welchen rechtlichen Bedingungen. Die CSRD gibt also den gesetzlichen Rahmen vor, während die ESRS diesen Rahmen inhaltlich ausfüllen.

Kurz gesagt: Die CSRD verpflichtet zur Berichterstattung – die ESRS erklären, wie sie konkret umzusetzen ist.

Scope 1, 2 und 3

  • Scope 1 – direkte Emissionen: Emissionen aus eigenen oder kontrollierten Quellen, z. B. durch firmeneigene Heizungsanlagen, Produktionsprozesse, Notstromaggregate oder den eigenen Fuhrpark
  • Scope 2 – indirekte Emissionen aus Energie: Emissionen aus der Erzeugung von eingekaufter Energie, etwa Strom, Fernwärme, Dampf oder Kälte, die im Unternehmen genutzt werden
  • Scope 3 – Emissionen entlang der gesamten Wertschöpfungskette: Alle weiteren indirekten Emissionen, z. B. aus eingekauften Rohstoffen, Transport und Logistik, Pendelwegen der Mitarbeitenden, Nutzung und Entsorgung der Produkte oder aus vorgelagerten Lieferketten

Gerade Scope 3 stellt viele Unternehmen vor große operative Herausforderungen.

Warum Scope 3 so komplex – und gleichzeitig so relevant ist

Scope-3-Emissionen machen in vielen Branchen den größten Teil des CO₂-Fußabdrucks aus. Gleichzeitig liegen die relevanten Daten häufig außerhalb des direkten Einflussbereichs, etwa bei Lieferanten oder Logistikpartnern.

Typische Herausforderungen:

  • unterschiedliche Datenqualität bei Lieferanten
  • fehlende Standards und Methoden
  • manuelle Erhebungen und Näherungen

In der Praxis zeigt sich: Perfekte Daten sind zu Beginn unrealistisch. Entscheidend ist ein schrittweiser, priorisierter Ansatz, der Transparenz schafft und kontinuierlich verbessert werden kann.

CSRD als Organisations- und Systemthema

Ein häufiger Fehler ist, CSRD ausschließlich als Berichtsprojekt zu betrachten. Tatsächlich betrifft sie:

  • bestehende IT- und ERP-Systeme
  • Qualitäts- und Managementsysteme
  • Rollen, Verantwortlichkeiten und Governance

Viele CSRD-relevante Informationen existieren bereits – etwa in Einkauf, HR, Compliance oder Energiemanagement. Der Schlüssel liegt darin, diese Daten strukturiert zusammenzuführen, statt parallele Insellösungen aufzubauen.

Warum frühe Priorisierung entscheidend ist

Nicht alle CSRD-Anforderungen sind gleichzeitig umsetzbar oder gleich relevant. Unternehmen, die frühzeitig priorisieren,

  • reduzieren operative Komplexität
  • erhöhen die Prüfungsfähigkeit
  • schaffen realistische Umsetzungsfahrpläne.

Dabei geht es nicht darum, Anforderungen auszublenden, sondern sie entlang von Risiko, Wirkung und Machbarkeit zu strukturieren.

Fazit: CSRD braucht Struktur statt Perfektion

Die CSRD im Omnibus-Verfahren verlangt kein sofort perfektes Reporting, sondern nachvollziehbare Entscheidungen, belastbare Prozesse und einen klaren Umsetzungsansatz. Unternehmen, die Nachhaltigkeit als Teil ihrer Steuerungslogik begreifen und systematisch aufbauen, schaffen eine stabile Grundlage, auch in einem sich weiterentwickelnden regulatorischen Umfeld.

Wie wir Sie unterstützen

Das Experts Institut begleitet Unternehmen dabei, CSRD- und ESRS-Anforderungen einzuordnen, Prioritäten zu setzen und eine prüfungsfähige, praxisnahe Umsetzung zu entwickeln. Get ahead and in touch with us: info@expertsinstitut.de

Lesen Sie hier unseren gesamten Blog: https://experts-institut.de/newsroom/
Und folgen Sie uns gerne auf LinkedIn: https://de.linkedin.com/company/expertsinstitut

/von
, ,

KI in der Pharmaindustrie: Annex 22 & EU AI Act – Aktuelle Pflichten und praxisnahe Umsetzung

Der Einsatz von Künstlicher Intelligenz (KI) gewinnt in der Pharmaindustrie rasant an Bedeutung – von Effizienzsteigerungen im Büroalltag bis hin zu komplexen Anwendungen in GMP-relevanten Prozessen. Gleichzeitig steigen die regulatorischen Anforderungen deutlich. Mit dem EU AI Act und dem geplanten Annex 22 zum EU-GMP-Leitfaden entsteht erstmals ein klarer regulatorischer Rahmen für den Einsatz von KI in regulierten Umfeldern.

Dieser Beitrag fasst die zentralen Inhalte des Experts Talks „KI in der Pharmaindustrie – Annex 22 & EU AI Act als Rahmen für Qualität und Effizienz“ zusammen, der am 27. November 2025 stattfand. Diskutiert wurde, was diese regulatorischen Entwicklungen konkret für Pharmaunternehmen bedeuten, welche Pflichten bereits heute gelten und wie der Weg von der Risikoanalyse zur Regelkonformität gelingen kann.

EU AI Act

Warum EU AI Act und Annex 22 jetzt relevant sind

Der EU AI Act ist die erste umfassende europäische Regulierung für den Einsatz von KI. Er verfolgt einen risikobasierten Ansatz und unterscheidet KI-Anwendungen danach, welchen potenziellen Einfluss sie auf Menschen, Sicherheit und Grundrechte haben. Für Pharmaunternehmen ist der AI Act besonders relevant, da viele KI-Anwendungen als hochrisikorelevant eingestuft werden können.

Parallel dazu konkretisiert der geplante Annex 22 die Erwartungen der Behörden an den Einsatz von KI im GMP-Umfeld. Auch wenn Annex 22 zum Zeitpunkt des Experts Talks noch nicht final verabschiedet ist, wurde im Austausch mit den Referenten deutlich: Die regulatorische Richtung ist klar – und Unternehmen sollten sich jetzt vorbereiten.

Annex 22 & EU AI Act im Überblick: Welche Regelwerke gelten für welche KI-Use-Cases – vom Office-Chatbot bis zur KI im GMP-Prozess?

Ein zentrales Thema des Experts Talks war die klare Abgrenzung der verschiedenen Regelwerke und ihrer Anwendungsbereiche. Denn nicht jede KI-Anwendung unterliegt denselben Anforderungen. Entscheidend sind Einsatzkontext, Risikopotenzial und Einfluss auf Produktqualität, Patientensicherheit und Menschenrechte.

Zwei Regelwerke – zwei Perspektiven

  • EU AI Act: Der EU AI Act ist eine horizontale, sektorübergreifende Regulierung, die den Einsatz von KI im gesamten Unternehmen adressiert. Er gilt nicht nur für GMP-Prozesse, sondern ebenso für KI-Anwendungen in HR, IT, Office-Bereichen oder im Management. Ziel ist der Schutz von Grundrechten, Sicherheit und Gesundheit sowie die Schaffung von Vertrauen in KI-Systeme.
  • Annex 22 (Draft): Der Annex 22 ist eine vertikale, GMP-spezifische Ergänzung zum EU-GMP-Leitfaden. Er fokussiert sich ausschließlich auf KI-Anwendungen im regulierten Herstellungsumfeld und adressiert insbesondere Systeme mit Einfluss auf Product Quality, Patient Safety und Data Integrity. Der Annex orientiert sich stark an GAMP-5-Prinzipien und ergänzt bestehende Regelwerke wie Annex 11 und Chapter 4.

Typische KI-Use-Cases und ihre regulatorische Einordnung

1. Office- und Support-Anwendungen (geringes bis minimales Risiko)
Beispiele:

  • Office-Chatbots zur Texterstellung oder Übersetzung
  • Rechtschreib- und Formulierungshilfen
  • KI-gestützte Ticket- oder Dokumentensortierung

Diese Anwendungen haben in der Regel keinen direkten Einfluss auf GMP-Entscheidungen oder Patientensicherheit. Dennoch ergeben sich bereits heute Anforderungen aus dem EU AI Act, insbesondere in Bezug auf:

  • Transparenz über den KI-Einsatz
  • Schulung der Mitarbeitenden (AI Literacy)
  • klare interne Regeln zur Nutzung und zum Umgang mit Daten

2. Entscheidungsunterstützende KI-Systeme (begrenztes bis hohes Risiko)
Beispiele:

  • KI-basierte Entscheidungsunterstützung in QA oder Produktion
  • Prognosemodelle für Wartung, Abweichungen oder Kapazitätsplanung

Hier steigen die regulatorischen Anforderungen deutlich. Relevant sind unter anderem:

  • strukturierte Risikobewertung und Klassifizierung
  • Dokumentation von Modellen, Datenbasis und Entscheidungslogiken
  • klare Governance-Strukturen und Verantwortlichkeiten
  • Konzepte zur menschlichen Kontrolle (Human-in-the-Loop)

Je stärker Entscheidungen automatisiert oder vorbereitet werden, desto näher rücken diese Systeme an den Hochrisikobereich des EU AI Acts.

3. KI im GMP-Kernprozess (hohes Risiko / Annex-22-relevant)
Beispiele:

  • KI-gestützte Prozessüberwachung
  • automatisierte Qualitätsbewertungen
  • KI-Systeme mit Einfluss auf Freigabeentscheidungen

Diese Anwendungen stehen klar im Fokus des Annex 22. Der Draft macht deutlich:

  • Kritische KI-Systeme müssen deterministisch, validierbar und erklärbar (XAI) sein
  • Dynamisch lernende Systeme und generative KI sind für kritische GMP-Anwendungen derzeit nicht vorgesehen
  • Human-in-the-Loop ist zwingend erforderlich
  • Datenqualität, Rückverfolgbarkeit und Lebenszyklus-Dokumentation sind zentrale Erfolgsfaktoren

Der Experts Talk zeigte deutlich: EU AI Act und Annex 22 sind keine Alternativen, sondern ergänzen sich. Unternehmen müssen beide Perspektiven berücksichtigen, um KI regelkonform und nachhaltig einzusetzen.

Was Pharmaunternehmen bereits heute beachten müssen

Ein zentrales Fazit des Experts Talks: Warten ist keine Option. Auch ohne final verabschiedeten Annex 22 ergeben sich bereits heute konkrete Anforderungen aus bestehenden GMP-Regularien, dem EU AI Act sowie aus allgemeinen Grundsätzen der Qualitätssicherung.

Besonders betont wurde, dass Unternehmen sich einen strukturierten Überblick über alle eingesetzten oder geplanten KI-Anwendungen verschaffen müssen. Unabhängig davon, ob diese im GMP-Kernprozess, in unterstützenden Bereichen oder im Büroalltag eingesetzt werden.

Zu den zentralen Anforderungen zählen insbesondere:

  • Transparenz und Nachvollziehbarkeit von KI-Systemen
  • Risikobewertung und Klassifizierung der KI-Use-Cases
  • Dokumentation und Governance über den gesamten Lebenszyklus
  • Schulung und Qualifikation der Mitarbeitenden

Ein besonderes Risiko stellt dabei Shadow AI dar – also der unkontrollierte Einsatz generischer KI-Tools wie ChatGPT im Arbeitsalltag. Ohne klare Regeln, Freigaben, Schulungen und Dokumentation kann dies schnell zu Abweichungen und Compliance-Risiken führen.

KI-Governance praxisnah umsetzen: Tool zur Unterstützung regulatorischer Anforderungen

Es wurde deutlich, dass regulatorische Anforderungen wie EU AI Act, Annex 22 (Draft) und ISO/IEC 42001 nur dann wirksam umgesetzt werden können, wenn sie in klare, praktikable Strukturen übersetzt werden.

Hier setzt eine KI-Governance-Lösung von Goodly Technologies an, die derzeit speziell für regulierte Branchen entwickelt wird. Das Tool unterstützt Unternehmen dabei, KI-Systeme strukturiert und nachvollziehbar über ihren gesamten Lebenszyklus hinweg zu steuern: von der Planung über den Einsatz bis zur kontinuierlichen Überwachung.

Im Fokus stehen unter anderem:

  • systematische Erfassung und Klassifizierung von KI-Anwendungen
  • Dokumentation von Verantwortlichkeiten, Risiken und Kontrollen
  • Abbildung zentraler Anforderungen aus Annex 22
  • Integration von SOPs, Schulungen und Nachweisen zur Audit- und Inspektionsfähigkeit

Ziel ist es, KI nicht zu begrenzen, sondern als Grundlage für Innovation und regulatorische Sicherheit kontrolliert nutzbar zu machen. Bei Fragen zu dem Tool können Sie sich gerne an Robert Hoffmeister wenden: robert.hoffmeister@goodly-technologies.com

Fazit: Jetzt die Weichen für regelkonforme KI stellen

Der Experts Talk vom 27. November 2025 machte deutlich, dass der EU AI Act und der geplante Annex 22 keine abstrakten Zukunftsthemen sind, sondern bereits heute konkrete Auswirkungen auf den Arbeitsalltag in Pharmaunternehmen haben.

Unternehmen, die KI bereits einsetzen oder den Einsatz planen, sollten frühzeitig handeln:

  • KI-Use-Cases identifizieren
  • Risiken bewerten
  • Verantwortlichkeiten klären
  • Prozesse definieren
  • Mitarbeitende schulen

Eine strukturierte Vorbereitung ermöglicht es, regulatorische Anforderungen nicht als Bremse, sondern als Fundament für einen sicheren, effizienten und nachhaltigen KI-Einsatz zu nutzen.

Wie das Experts Institut Sie unterstützen kann

Das Experts Institut begleitet Pharmaunternehmen bei der Einordnung regulatorischer Anforderungen, der praxisnahen Umsetzung von KI-Governance sowie bei Schulungen und Workshops rund um EU AI Act, Annex 22 und KI im GMP-Umfeld. Get ahead and in touch with us: info@expertsinstitut.de

Darüber hinaus wird die Experts-Talk-Reihe fortgesetzt. Der nächste Experts Talk findet am 22. Januar um 10:30 Uhr zum Thema „Pharmatauglicher Einsatz von generativer KI“ statt. Zur Anmeldung:
https://academy.experts-institut.de/ExpertsTalkmitChristophKthRobertSpariPharmatauglicherEinsatzvongenerativerKI

Weitere Beiträge finden Sie in unserem Newsroom:
https://experts-institut.de/newsroom/

Und folgen Sie uns gerne auf LinkedIn, um keine weiteren Experts Talks zu verpassen:
https://de.linkedin.com/company/expertsinstitut

/von
Logo Experts Institut

Webpräsenz der Allianz für Cyber- Sicherheit
kununu widget

Business Solutions

GMP / GXP Beratung

EI Academy

Neustadt

Experts Institut Beratungs GmbH
Weinstraße 85

D-67434 Neustadt a. d. Weinstraße

Tel.: +49 (0)6321 969210
E-Mail: info@expertsinstitut.de

Fax: +49 (0)6321 9692199

Bamberg

Experts Institut Beratungs GmbH
Untere Sandstraße 53

D-96047 Bamberg

Tel.: +49 (0)951 51939330
E-Mail: info@expertsinstitut.de

St. Gilgen (Österreich)

Experts Institut Beratungs GmbH
Helenenstraße 16

A-5340 St. Gilgen, Österreich

Tel.: +43 (0)6227 21068
E-Mail: info@expertsinstitut.de