Künstliche Intelligenz & ESG: Was müssen Nutzer von KI-Tools für ihre "ESG-Compliance" beachten?

ESG-Relevanz und aktuelle Entwicklungen

Die europäische ESG-Regulatorik ist derzeit von rasanter Dynamik geprägt. Die EU-OMNIBUS-Pakete führen zu weitreichenden Änderungen bestehender Nachhaltigkeitsvorschriften. Gleichzeitig hat die Europäische Kommission mit dem Industrial Accelerator Act (IAA) einen Legislativvorschlag vorgelegt, der die Nachfrage nach CO₂-armen Technologien und Produkten aus europäischer Herstellung steigern und die Dekarbonisierung von Schlüsselindustrien beschleunigen soll. Zeitgleich gewinnen angrenzende Themen, wie ESG-Ratings, Lieferkettensorgfaltspflichten sowie die Förderung von Digitalisierung iZm Kreislaufwirtschaft, zunehmend an Bedeutung.

Aktuell werden am Markt laufend neue KI-gestützte ESG-Tools angeboten, die versprechen, verschiedene ESG-Themen – wie CSRD-Reporting, ESG-Ratings und die automatisierte Beantwortung von ESG-Fragebögen – auf einer einzigen Plattform abzudecken. Anbieter werben dabei häufig mit Rechtskonformität, dem Ausschluss von KI-Halluzinationen und erheblicher Zeitersparnis. Aus rechtlicher Sicht ist jedoch Vorsicht geboten: Ein einziges ESG-Tool für sämtliche ESG-Regularien ist angesichts der regulatorischen Komplexität zumeist unplausibel, ein Halluzinieren des KI-Tools kann in der Praxis nicht gänzlich ausgeschlossen werden und eine geeignete ESG-Datengrundlage muss bereits vorliegen, damit das Ergebnis sinnvoll und rechtlich korrekt ist. Zudem besteht bei vielen ESG-Tools eine „Human-in-the-Loop"-Pflicht des Kunden, sodass eine menschliche Prüfung der KI-generierten Ergebnisse zwingend erforderlich ist und die beworbene Zeitersparnis in Summe fragwürdig erscheint. Die Haftung und Letztverantwortlichkeit verbleibt dabei regelmäßig beim einzelnen Mitarbeiter bzw Tool-Nutzer. Ob ein offizieller Abgleich mit den gesetzlichen Anforderungen durch Wirtschaftsprüfer, Rating-Agenturen, ESMA oder FMA erfolgt, bleibt häufig unklar.

Weitere Risiken ergeben sich im Bereich IT-Sicherheit und Datenschutz: Da in ESG-Tools zumeist auch personenbezogene Daten verarbeitet werden, ist die Einhaltung der DSGVO zwingend geboten. In der Praxis bedeutet dies, dass in den meisten Fällen eine Auftragsverarbeitervereinbarung gemäß Art 28 DSGVO mit dem Tool-Anbieter abzuschließen ist. Vollmundige Zusagen zur Datenschutz-Compliance seitens der Anbieter sind – wie bei allen Software-as-a-Service-Lösungen – mit Vorsicht zu genießen und bedürfen einer eigenständigen rechtlichen Überprüfung. Eine vom Tool-Anbieter zugesagte ISO 27001-Zertifizierung trifft beispielsweise keine Aussage zum tatsächlichen Datenschutz-Compliance-Niveau, und das versprochene "EU-Hosting" allein genügt nicht – der Sitz des Anbieters ist entscheidend. Ein weiterer entscheidender Punkt betrifft die zugrundeliegenden KI-Modelle: Es muss vertraglich sichergestellt werden, dass die Eingabedaten der Nutzer nicht zum Weitertrainieren der KI-Modelle verwendet werden. Fehlt eine solche vertragliche Absicherung, ergeben sich erhebliche datenschutzrechtliche Risiken, insbesondere im Hinblick auf die Zweckbindung und die Rechtsgrundlage der Datenverarbeitung. Auch die Weiternutzung von ESG-Daten durch den Tool-Anbieter – selbst in aggregierter und anonymisierter Form – bedarf einer genauen Prüfung der Anonymisierungsmaßnahmen.

Neben den regulatorischen Anforderungen rücken auch Sanktionsrisiken iZm AI-Washing und Greenwashing verstärkt in den Fokus. Die US-amerikanische SEC hat bereits Verfahren gegen Anlageberater wegen falscher und irreführender Aussagen über den Einsatz von KI eingeleitet. Auch in der EU drohen Sanktionen bei irreführender Kommunikation und Werbung iZm ESG und KI, insbesondere nach dem UWG und der EmpCo-Richtlinie. Unternehmen sollten ESG- und KI-bezogene Kommunikation von Tool-Anbietern sorgfältig auf Richtigkeit und Nachweisbarkeit prüfen.

ESG-KI-Tools & die OMNIBUS-Pakete

Seit Februar 2025 hat die Europäische Kommission insgesamt zehn OMNIBUS-Pakete vorgelegt, die auf weniger Bürokratie, die Förderung von Investitionen und Innovation sowie die Verbesserung der Wettbewerbsfähigkeit der EU im globalen Vergleich abzielen. Die Pakete betreffen unter anderem die Bereiche Nachhaltigkeit und Digitalisierung. Teile der Pakete sind bereits regulatorisch umgesetzt worden, wobei laufend Änderungen und Neuerungen zu erwarten sind. Neben den Änderungen iZm Nachhaltigkeit (OMNIBUS I-Paket) ist für ESG-AI-Tools von besonderer Relevanz das OMNIBUS VII-Paket (Digitales), das Änderungen am AI Act sowie an der DSGVO vorsieht. So soll unter anderem die bisherige Pflicht zur Sicherstellung einer bestimmten KI-Kompetenz durch Anbieter und Betreiber entfallen; stattdessen sollen die Kommission und die Mitgliedstaaten für die Förderung von KI-Kompetenz zuständig sein. Für KMUs und Small-Mid-Caps sind Erleichterungen bei Dokumentations- und Qualitätsmanagementpflichten einschließlich eines milderen Sanktionsrahmens vorgesehen. Hinsichtlich der DSGVO soll der Begriff der personenbezogenen Daten geschärft werden, sodass Informationen nur dann als personenbezogene Daten gelten, wenn die betreffende Stelle die natürliche Person mit den ihr vernünftigerweise zur Verfügung stehenden Mitteln tatsächlich identifizieren kann. Das berechtigte Interesse soll als Rechtsgrundlage für die Entwicklung und den Betrieb von KI-Systemen oder KI-Modellen unter bestimmten Voraussetzungen herangezogen werden können. Zudem sollen Meldepflichten für Datenschutzverletzungen dahingehend geändert werden, dass eine Meldung nur bei hohem Risiko innerhalb von 96 Stunden auf Basis eines EU-weit standardisierten Formulars an ein zentrales Meldeportal erfolgen muss. Vor diesem Hintergrund scheinen Werbeaussagen von ESG-Tool-Anbietern, wonach mithilfe des Tools stets eine "automatische Anpassung" an die neuen OMNIBUS-Regelungen erfolgen würde, verlockend. Aus rechtlicher Sicht ist hier jedoch genau zu prüfen, was das KI-Tool hinsichtlich OMNIBUS prüft und zu welchem Zeitpunkt Änderungen im Tool eingepflegt werden. Zu beachten ist ferner, dass Tool-Nutzer unter Umständen bereits Pflichten zur (Über-)Erfüllung von Nachhaltigkeitszielen übernommen haben, sodass die gesetzlichen OMNIBUS-Änderungen für sie mitunter gar nicht relevant sein können.

Fazit & rechtliche Einordnung

ESG-Tool-Angebote und die zugehörigen Verträge sind vorab rechtlich genau zu prüfen, insbesondere im Hinblick auf Haftungsrisiken für die ESG-KI-Tool-Nutzer. Von Tool-Anbietern sollten konkrete Compliance-Maßnahmen verlangt werden, etwa der Abschluss eines Auftragsverarbeitervertrags einschließlich technischer und organisatorischer Maßnahmen ("TOMs"). Unternehmen müssen sich bewusst sein, dass ESG-Tools in der Regel nicht vollautomatisch funktionieren und eine „Compliance per Knopfdruck" – gerade aufgrund der vielen OMNIBUS-Änderungen – oftmals nicht gewährleisten können. Für den Fall von ESG-Tool-Fehlern sind die rechtlichen Konsequenzen vorab zu klären und die Verträge – insbesondere die Leistungsversprechen – genau zu prüfen. Da sich die gesetzlichen Regelungen im ESG- und KI-Bereich stetig weiterentwickeln (Stichwort OMNIBUS), sind laufende Updates und Compliance-Checks für Tool-Hersteller und -Nutzer unabdingbar.