Begründete Bedenken der EUDR: Pflichten, Risikobewertung und Vertriebsstopp

Executive Summary

Die EU-Verordnung über entwaldungsfreie Produkte (EUDR) verlagert einen Teil der Marktaufsicht in die Lieferkette selbst. Zentrales Scharnier dafür sind „Begründete Bedenken" (Substantiated Concerns) nach Art. 2 Nr. 31 EUDR: konkrete, faktisch unterlegte Hinweise auf einen Verstoß, die jede natürliche oder juristische Person an Unternehmen oder zuständige Behörden richten kann.

Sobald solche Bedenken eingehen, treten gestaffelte Pflichten in Kraft: Informationspflicht gegenüber Behörden und Lieferkette für alle Akteure einschließlich KMU; zusätzliche Prüfpflicht mit Vertriebsstopp-Risiko nach Art. 5 Abs. 6 EUDR für Nicht-KMU-Downstream-Akteure; dauerhafte aktive Sorgfaltspflicht für Operators. Kann kein vernachlässigbares Risiko bestätigt werden oder fehlen Geolokalisierungsdaten, oder lässt sich ein nicht-konformer Bestandteil bei Mischprodukten nicht trennen, dürfen Produkte weder auf dem Unionsmarkt bereitgestellt noch exportiert werden. Einen Schwellenwert nach Menge oder Wert gibt es nicht.

Behördliche Sofortmaßnahmen können in 72 Stunden greifen. Die Sanktionen nach Art. 25 EUDR reichen von Bußgeldern bis mindestens 4 Prozent des unionsweiten Jahresumsatzes über Beschlagnahme und Ausschluss von öffentlichen Aufträgen bis zur Veröffentlichung rechtskräftiger Urteile auf einer Kommissionsliste. Wirksamster Schutz ist ein robustes Sorgfaltspflichtsystem mit jährlicher Überprüfung, fünfjähriger Aufbewahrung und vertraglich abgesicherten Auskunfts-, Melde- und Kündigungsrechten entlang der Lieferkette.

Was sind „Begründete Bedenken"?

Artikel 2 Nr. 31 EUDR definiert begründete Bedenken als eine

Diese Definition steht und fällt mit drei Merkmalen:

Ordnungsgemäß begründet. Die Behauptung muss durch eine transparente, konkrete, logische und nachvollziehbare Argumentationskette gestützt sein. Empfänger müssen die Schlussfolgerung anhand der gelieferten Informationen nachvollziehen können. Vermutungen oder pauschale Vorwürfe reichen nicht.

Objektiv und überprüfbar. Die zugrunde liegenden Informationen müssen faktisch geprüft werden können, etwa durch Satellitenbilder, Berichte, Dokumente oder Zeugenaussagen.

Hinreichend individualisiert. Begründete Bedenken benennen einen konkreten Verstoß mit Bezug auf ein konkretes Unternehmen, eine konkrete Lieferkette, eine konkrete Parzelle oder einen konkreten Zeitraum. Der bloße Hinweis, dass aus einem Land mit erhöhtem Risiko bezogen wird, genügt nicht.

Damit grenzen sich begründete Bedenken klar von allgemeinen Risikohinweisen ab: Risikohinweise beschreiben Muster, begründete Bedenken benennen einen Fall.

Wer kann Bedenken äußern und an wen?

Begründete Bedenken können von jeder natürlichen oder juristischen Person vorgebracht werden, von zivilgesellschaftlichen Organisationen über Wettbewerber bis hin zu Privatpersonen.

Sie können adressiert werden an:

• eine zuständige Behörde eines Mitgliedstaats (Art. 31 EUDR), oder
• direkt an den Operator, nachgelagerten Operator oder Händler, der mit der mutmaßlichen Nichteinhaltung in Verbindung steht.

Die EU-Kommission hat in ihrer aktualisierten Guidance eine „Vorbild-Beschwerde" skizziert. Eine belastbare Meldung sollte enthalten:

• Kontaktdaten der betroffenen Person bzw. des Unternehmens
• Kontaktdaten des Beschwerdeführers (sofern möglich)
• Konkrete Angabe des mutmaßlichen Verstoßes (z. B. fehlende Entwaldungsfreiheit, fehlendes DDS, Verstoß gegen nationale Rechtsvorschriften)
• Bei Illegalitätsvorwurf: die konkret verletzten nationalen Rechtsvorschriften
• Objekt der Beschwerde: betroffene Lieferungen, Produktart, Produktmengen, Produktionsgebiet, Zeitraum
• Nachweise wie Fotos, Berichte, Zeugenaussagen, NGO-Quellen
• Alle weiteren für die Untersuchung nützlichen Informationen

Mitgliedstaaten sind verpflichtet, den Identitätsschutz von Hinweisgebern zu gewährleisten.

Welche Pflichten lösen begründete Bedenken aus?

Sobald ein Akteur Kenntnis von begründeten Bedenken erlangt, treten gestaffelte Pflichten in Kraft. Diese sind abgestuft nach Rolle in der Lieferkette und nach KMU-Status.

Informationspflicht: gilt für alle

Operators, nachgelagerte Operatoren und Händler, einschließlich KMU, müssen unverzüglich die zuständige Behörde des Mitgliedstaats informieren, in dem das relevante Produkt in Verkehr gebracht oder bereitgestellt wurde.

Prüfpflicht für Nicht-KMU-Downstream-Akteure (Art. 5 Abs. 6 EUDR)

Nachgelagerte Operatoren und Händler, die keine KMU sind, treffen darüber hinaus reaktive Prüfpflichten. Sie müssen überprüfen, ob die vorgelagerte Sorgfaltspflicht ordnungsgemäß ausgeübt wurde und kein oder nur ein vernachlässigbares Risiko der Nichteinhaltung besteht. Diese Pflicht ist explizit reaktiv: Eine systematische Vorab-Prüfung der Due-Diligence-Prozesse aller Vorlieferanten ist nicht erforderlich, solange keine begründeten Bedenken vorliegen.

Die Überprüfung kann erfolgen durch:

• Validierung der DDS- bzw. SD-Referenznummern im EU-Informationssystem (TRACES), soweit möglich
• Konsultation öffentlich zugänglicher Jahresberichte vorgelagerter Nicht-KMU-Operators (Art. 12 Abs. 3 EUDR)
• Einsicht in Auditergebnisse (Art. 11 Abs. 2 lit. b EUDR)
• Freiwillige Abfrage zusätzlicher Informationen bei Vorlieferanten
• Bei fehlender Einsehbarkeit: Zusammenarbeit mit der zuständigen Behörde, die dann über die Kette bis zum First Downstream Operator durchfragen kann

Pflichten für Operators bei eigener Risikofeststellung

Operators sind über die reaktive Logik hinaus dauerhaft zu einem aktiven Sorgfaltspflichtsystem verpflichtet (Art. 8 ff. EUDR). Ergibt deren Risikobewertung, ob durch eigene Erkenntnisse oder durch begründete Bedenken ausgelöst, dass ein nicht-vernachlässigbares Risiko besteht, dürfen sie das Produkt nicht in Verkehr bringen oder exportieren. Ein Verstoß dagegen ist selbst eine Verletzung der Verordnung.

Keine gruppenweite „Auslagerung" der Pflichten

Mit Urteil vom 13. November 2025 (Rs. C-117/24) hat der EuGH zur EUTR klargestellt: Der bloße Zugang zur Sorgfaltspflichtregelung eines Dritten, auch der Muttergesellschaft, reicht nicht aus. Der Marktteilnehmer muss selbst Risikoanalyse und gegebenenfalls Risikominimierungsmaßnahmen durchführen. Da die EUDR die EUTR-Logik fortschreibt, ist eine Übertragbarkeit naheliegend: Jede juristische Person der Gruppe trägt ihre Pflichten eigenständig.

Wann genau droht ein Vertriebsstopp?

Ein Vertriebsstopp, also die Untersagung des Bereitstellens oder Exports, ist die unmittelbare Folge, sobald eine der folgenden Konstellationen vorliegt:

• Die vorliegenden Informationen (einschließlich begründeter Bedenken) zeigen, dass das Produkt nicht entwaldungsfrei oder nicht legal produziert wurde.
• Die für die Sorgfaltspflicht erforderlichen Informationen, insbesondere Geolokalisierungsdaten der Produktionsflächen, können nicht beschafft werden.
• Bei Mischprodukten ist ein nicht-konformer Bestandteil weder identifizier- noch trennbar; dann gilt das gesamte Produkt als nicht konform. Klassisches Beispiel: lose Schüttgut-Ware von mehreren hundert Parzellen, von denen eine nach dem Stichtag 31. Dezember 2020 entwaldet wurde – die gesamte Charge ist betroffen.
• Die Risikobewertung nach Art. 10 EUDR oder die Verifizierung nach Art. 5 Abs. 6 EUDR durch einen Nicht-KMU-Downstream-Akteur kann kein vernachlässigbares Risiko bestätigen.

Behördliche Sofortmaßnahmen

Stellt eine zuständige Behörde im Zuge ihrer Kontrollen ein hohes Risiko der Nichteinhaltung fest, kann sie nach Art. 23 EUDR Sofortmaßnahmen verhängen, einschließlich der Aussetzung des Inverkehrbringens. Diese Aussetzung soll innerhalb von drei Arbeitstagen enden, bei verderblichen Produkten innerhalb von 72 Stunden. Die Behörde kann auf Grundlage ihrer Prüfungen jedoch jeweils um weitere drei Tage verlängern, bis die Konformität geklärt ist.

Konsequenzen über den Stopp hinaus

Über den Vertriebsstopp hinaus sieht Art. 25 EUDR ein Sanktionsregime vor, das die Mitgliedstaaten national ausgestalten, dessen Mindestrahmen aber europarechtlich vorgegeben ist.

Dazu gehören insbesondere:

• Geldbußen für juristische Personen mit einem gesetzlichen Höchstmaß von mindestens 4 Prozent des unionsweiten Jahresumsatzes des Vorjahres
• Beschlagnahme der betroffenen Produkte und der erzielten Erlöse
• Vorübergehender Ausschluss von öffentlichen Aufträgen und EU-Förderungen bis zu zwölf Monate
• Bei schwerwiegenden oder wiederholten Verstößen: vorübergehendes Verbot des Inverkehrbringens relevanter Produkte
• Veröffentlichung rechtskräftiger Urteile gegen juristische Personen auf einer Liste der Kommission, das in der Praxis vielleicht wirksamste Element, weil es Reputations- und Kundeneffekte auslöst, die weit über die monetäre Strafe hinausgehen

Hinzu kommen zivilrechtliche Folgekosten, Vertragsstrafen und Rückabwicklungsrisiken in der Lieferkette sowie ein Reputationseffekt, der erfahrungsgemäß bei B2B-Kunden, Investoren und NGOs sehr schnell durchschlägt.

DDS und SD lassen sich übrigens bis zu 72 Stunden nach Vergabe der Referenznummer ändern oder zurückziehen, allerdings nur, solange die Nummer noch nicht in einer Zollanmeldung verwendet wurde oder das Produkt noch nicht in Verkehr gebracht bzw. exportiert wurde.

Drei Fallbeispiele aus der Praxis

Fall 1: Holzimporteur und Satellitenbilder

Ein EU-Holzimporteur (Operator) plant den Import einer Charge Schnittholz (HS 4407) aus einem Drittland. Kurz vor der Lieferung veröffentlicht eine NGO Satellitenbilder, die zeigen, dass eine der vom Importeur deklarierten Parzellen nach dem 31. Dezember 2020 entwaldet wurde. Die Meldung ist objektiv, überprüfbar und konkret, sie qualifiziert als begründete Bedenken.

Fall 2: Schokoladenhersteller (Nicht-KMU, Downstream) und Presserecherche

Ein großer EU-Schokoladenhersteller bezieht Kakaomasse (HS 1803) von einem EU-Lieferanten, der die zugehörige DDS eingereicht hat. Eine investigative Recherche dokumentiert, dass der ursprüngliche Operator in der Anbauregion in illegale Landnahme verstrickt ist. Der Bericht ist hinreichend konkret.

Fall 3: Kleinbäckerei (KMU-Trader) und Sojaöl

Eine Kleinbäckerei bezieht Sojaöl (HS 1507) von einem EU-Großhändler, der die DDS eingereicht hat. Ein Umweltverband informiert die Bäckerei über dokumentierte illegale Entwaldung in der Herkunftsregion, mit konkretem Bezug zur Lieferkette.

Prävention: ein belastbares Sorgfaltspflichtsystem (DDS)

Der wirksamste Schutz gegen begründete Bedenken und Vertriebsstopps ist ein gut konstruiertes Sorgfaltspflichtsystem. Vier Bausteine sind unverzichtbar, plus eine konsequente Aufbewahrung.

Das Länder-Benchmarking als Risikorahmen

Bevor das Sorgfaltspflichtsystem in die Tiefe geht, lohnt der Blick auf das Länder-Benchmarking nach Art. 29 EUDR. Die Kommission ordnet Länder oder Teile davon in drei Risikokategorien ein: niedriges Risiko, Standardrisiko, hohes Risiko. Länder ohne explizite Einstufung gelten automatisch als Standardrisiko. Diese Klassifizierung wirkt in zwei Richtungen direkt auf begründete Bedenken:

• Tiefe der Sorgfaltspflicht: Bei Niedrigrisikoländern reicht die Informationssammlung; Risikobewertung und Risikominderung entfallen grundsätzlich, solange keine gegenteiligen Hinweise vorliegen. Bei Standard- und Hochrisikoländern greift die volle Sorgfaltspflicht.
• Behördliche Kontrolldichte: Die zuständigen Behörden müssen jährlich Mindestquoten an Operators prüfen, 9 Prozent bei Hochrisiko-, 3 Prozent bei Standard- und 1 Prozent bei Niedrigrisikoländern. Eine begründete Bedenken-Meldung trifft also in einem Hochrisiko-Kontext auf eine deutlich aufmerksamere Behörde.

Die Bausteine im Einzelnen

1. Informationssammlung (Art. 9 EUDR). Umfassende Daten zu Produkten, Mengen, Lieferanten, Kunden, Produktionsländern und Geolokalisierungskoordinaten. Bei Holz: der vollständige wissenschaftliche Artname.
2. Risikobewertung (Art. 10 EUDR). Bewertung des Risikos der Nichteinhaltung anhand von Kriterien wie Länder-Risikoklassifizierung, produkt- und sektorspezifischen Risiken, Komplexität der Lieferkette, Hinweisen auf illegale Praktiken, Verlässlichkeit der Dokumente sowie politischen und sozialen Faktoren (Korruption, Konflikte, Sanktionen).
3. Risikominderung (Art. 11 EUDR). Bei nicht-vernachlässigbaren Risiken: dokumentierte, konkrete Maßnahmen, etwa zusätzliche Informationsanforderungen, unabhängige Audits, Unterstützung der Lieferanten. Ohne dokumentierte Risikominderung kein Inverkehrbringen.
4. Jährliche Überprüfung. Das System ist mindestens einmal jährlich auf Wirksamkeit zu prüfen und zu aktualisieren.
5. Aufbewahrung über fünf Jahre. Sämtliche Sorgfaltsdokumente, Risikobewertungen, Risikominderungsmaßnahmen, Lieferantendaten und gegebenenfalls Referenznummern sind mindestens fünf Jahre ab Inverkehrbringen oder Export abrufbar zu halten. Bei Operators für die gesamte Sorgfaltsdokumentation, bei Downstream Operators und Tradern für Lieferanten- und Referenznummerndaten. Das ist im Kontext begründeter Bedenken keine Formalität: Meldungen treffen oft Monate oder Jahre nach Inverkehrbringen ein. Wer dann nicht innerhalb angemessener Zeit zeigen kann, wie die Risikobewertung damals lief, kann auch keinen vernachlässigbaren Risikostatus mehr nachweisen.

Kleinst- und Kleinprimäroperatoren (MSPO) sowie Operators, die ausschließlich aus als risikoarm eingestuften Ländern beziehen, profitieren von vereinfachten Pflichten und müssen in der Regel keine Risikobewertung und keine Risikominderung durchführen, es sei denn, ihnen werden Informationen bekannt, die auf ein Risiko hindeuten.

Vertragliche Absicherung in der Lieferkette

Die Prüfpflicht aus Art. 5 Abs. 6 EUDR bleibt in der Praxis ein Papiertiger, wenn Downstream-Akteure keinen vertraglichen Zugriff auf die nötigen Informationen ihrer Vorlieferanten haben. Wer als Nicht-KMU nach Eingang einer Substantiated Concern die Sorgfaltspflicht eines Vorlieferanten verifizieren soll, braucht belastbare Klauseln im Liefervertrag, sonst bleibt nur der Weg über die zuständige Behörde, die dann durch die Kette durchfragt.

Sinnvoll sind insbesondere:

• Pflicht zur Bereitstellung der DDS-Referenznummer und, auf freiwilliger Basis, der Verifikationsnummer
• Auskunftsrechte zu Sorgfaltspflichtprozessen des Vorlieferanten bei Eingang begründeter Bedenken
• Audit- und Informationsrechte, insbesondere zu Geolokalisierungsdaten und Risikobewertungen
• Pflicht zur unverzüglichen Meldung eigener Kenntniserlangung von begründeten Bedenken durch den Lieferanten
• Kündigungs- und Rückabwicklungsrechte für den Fall, dass ein Vertriebsstopp ausgelöst wird oder ein Risiko nicht entkräftet werden kann
• Haftungs- und Freistellungsklauseln für Schäden aus EUDR-Verstößen des Vorlieferanten

In Konzernstrukturen ist zu beachten, dass solche Klauseln nicht durch interne Gruppenregelungen ersetzt werden können: Nach der EuGH-Linie aus C-117/24 trägt jede juristische Person ihre Pflichten eigenständig. Das gilt auch für die vertragliche Absicherung gegenüber Konzerngesellschaften.

Der Mechanismus der „Begründeten Bedenken" verlagert einen Teil der EUDR-Aufsicht in die Lieferkette und verteilt die Pflichten gestaffelt: Informationspflicht für alle, Prüfpflicht mit Vertriebsstopp-Risiko für Nicht-KMU-Downstream-Akteure, dauerhafte Sorgfaltspflicht für Operators. Wer hier nicht reagiert, riskiert Sofortmaßnahmen, Geldbußen und Reputationsschäden. Wer früh und systematisch reagiert, gewinnt operative Sicherheit.

Vier konkrete nächste Schritte:

• Sorgfaltspflichtsystem schärfen: Decken Informationssammlung (Art. 9), Risikobewertung (Art. 10) und Risikominderung (Art. 11) wirklich alle relevanten Lieferketten ab? Wird jährlich überprüft, dokumentiert und über fünf Jahre revisionssicher aufbewahrt?
• Reaktionsprozess für begründete Bedenken etablieren: Wer empfängt Meldungen? Wer eskaliert? Wer informiert Behörde und Lieferkette innerhalb welcher Frist? Wer entscheidet über den Vertriebsstopp?
• Lieferverträge auf EUDR-Tauglichkeit prüfen: Sind Referenznummern, Auskunftsrechte, Meldepflichten und Kündigungsrechte vertraglich abgesichert, auch konzernintern?
• Kette und Team schulen: Lieferanten und interne Funktionen (Einkauf, Compliance, Recht, Logistik) müssen verstehen, was eine Substantiated Concern auslöst und was nicht.

Die EU-Kommission aktualisiert Guidance und FAQ fortlaufend. Aktuelle Entwicklungen, etwa zum delegierten Rechtsakt zu Annex I, zur Wiederinbetriebnahme von TRACES oder zum EuGH-Urteil C-117/24, sollten regelmäßig in die eigenen Prozesse einfließen.

Fazit

Begründete Bedenken sind kein theoretisches Konstrukt, sondern der praktische Hebel, über den die EUDR im Unternehmensalltag wirksam wird. Eine fundierte NGO-Meldung reicht, um innerhalb weniger Tage Sofortmaßnahmen und einen Vertriebsstopp auszulösen. Die Pflichten sind dabei klar verteilt: Informationspflicht für alle einschließlich KMU, Prüfpflicht mit Vertriebsstopp-Risiko für Nicht-KMU-Downstream-Akteure, dauerhafte Sorgfaltspflicht für Operators.

Wer früh investiert, etwa in ein belastbares Sorgfaltspflichtsystem mit fünfjähriger Aufbewahrung, in vertragliche Auskunfts- und Meldepflichten gegenüber Vorlieferanten und in klare interne Eskalationswege, vermeidet nicht nur Bußgelder bis 4 Prozent des unionsweiten Jahresumsatzes und die Kommissions-Liste rechtskräftiger Urteile, sondern positioniert sich gegenüber Kunden, Investoren und Behörden als verlässlicher Partner.