Lieferkettengesetze (LkSG / CSDDD) - Lesezeit: 13 Min
Die Corporate Sustainability Due Diligence Directive (CSDDD) ist eine neue EU-Richtlinie. Sie verpflichtet Unternehmen, bei Menschenrechten und Umwelt entlang der gesamten Wertschöpfungskette sorgfältig hinzuschauen. Konkret heißt das: Unternehmen müssen ihre Lieferketten systematisch prüfen und steuern, um Risiken wie Menschenrechtsverletzungen oder Umweltschäden zu erkennen, zu verhindern und zu minimieren. Die CSDDD Richtlinie gilt als wichtiger Schritt für nachhaltige Unternehmensführung in Europa und darüber hinaus. Denn sie geht über reine Berichtspflichten hinaus und setzt stärker auf wirksame Managementprozesse, klare Verantwortlichkeiten sowie Kontrolle und Durchsetzung. Dieser Überblick erklärt, welche Anforderungen die CSDDD stellt, welche Unternehmen betroffen sind, wie die Umsetzung und Kontrolle funktionieren, welche Fristen gelten und welche Chancen und Risiken sich daraus ergeben.
Die CSDDD ist eine EU-Richtlinie, die große Unternehmen verpflichtet, menschenrechtliche und umweltbezogene Sorgfaltspflichten entlang ihrer gesamten Wertschöpfungskette zu erfüllen, sowohl innerhalb als auch außerhalb der EU.
Sie soll sicherstellen, dass Unternehmen negative Auswirkungen auf Menschenrechte und Umwelt identifizieren, verhindern, abmildern und darüber Rechenschaft ablegen. Zudem fördert sie nachhaltiges und verantwortungsvolles Wirtschaften im Einklang mit dem Pariser Klimaabkommen.
Unternehmen müssen Risiken in Bezug auf Menschenrechte und Umwelt in ihren eigenen Geschäftsbereichen, bei Tochtergesellschaften und entlang der Lieferkette identifizieren. Außerdem müssen sie angemessene Maßnahmen ergreifen, um diese zu verhindern oder zu minimieren.
Ja, große Unternehmen sind verpflichtet, einen Übergangsplan zur Klimaneutralität bis 2050 zu erstellen und umzusetzen. Außerdem muss er mit den Zielen des Pariser Abkommens übereinstimmen.
Die Umsetzung der Richtlinie wird durch nationale Behörden überwacht. Bei Verstößen drohen Sanktionen, einschließlich Geldbußen und zivilrechtlicher Haftung.
Sie stärkt die Transparenz und Verantwortung von Unternehmen, fördert nachhaltige Geschäftspraktiken und schafft gleiche Wettbewerbsbedingungen innerhalb der EU.
Die CSDDD (Corporate Sustainability Due Diligence Directive) ist die EU-Richtlinie für menschenrechtliche und umweltbezogene Sorgfaltspflichten in Liefer- und Wertschöpfungsketten. Sie verlangt von großen Unternehmen nicht nur Berichterstattung, sondern einen dauerhaft funktionierenden Managementprozess. Dazu zählen Risiken erkennen, priorisieren, wirksam vorbeugen, Abhilfe ermöglichen und die Wirksamkeit nachvollziehbar nachweisen.
Nach der geltenden Richtlinien fallen EU-Unternehmen grundsätzlich ab 1.000 Mitarbeitenden und mehr als 450 Millionen Euro weltweitem Nettoumsatz unter die Richtlinie. Für Nicht-EU-Unternehmen ist der in der EU erzielte Umsatz maßgeblich. Hier ist ebenfalls die Schwelle ab mehr als 450 Millionen Euro relevant. Zusätzlich können bestimmte Franchise- und Lizenzmodelle erfasst werden, wenn definierte Umsatz- und Gebühren-Schwellen überschritten werden. KMU sind meist nicht direkt betroffen, werden aber häufig indirekt eingebunden, weil große Unternehmen Nachweise und Standards entlang der Lieferkette einfordern.
Die CSDDD ist am 25. Juli 2024 in Kraft getreten. Durch „Stop-the-Clock“ der europäischen Union ist die nationale Umsetzung aktuell bis 26. Juli 2027 vorgesehen. Die Anwendung startet gestaffelt ab 26. Juli 2028 und wird voraussichtlich ab dem 26. Juli 2029 breiter wirksam. Parallel wird gerade über das EU-Omnibus-Verfahren sowie eine weitere Verschiebung inklusive einem engeren Anwendungsbereich diskutiert. Rechtlich verbindlich wird das aber erst nach finaler politischer Verabschiedung.
Kernpflichten sind eine risikobasierte Risikoanalyse und Priorisierung, ein abgestuftes Maßnahmenprogramm (Prävention, Minderung, Abhilfe), ein sicherer und zugänglicher Beschwerdemechanismus, laufendes Monitoring und belastbare Dokumentation. Die Pflichten beziehen sich auf die „chain of activities“: eigene Tätigkeit und Tochtergesellschaften sowie vor allem vorgelagerte Lieferkettenstufen und bestimmte nachgelagerte Aktivitäten (z. B. Transport/Lagerung) – jeweils priorisiert nach Risiko. Für große Unternehmen sieht der geltende Text zudem einen Klimatransitionsplan vor. Dieser Punkt ist im Omnibus-Prozess in Bewegung.
Die Kontrolle ob die Richtlinie eingehalten wird, erfolgt über nationale Behörden. Dazu fordern sie Informationen an, leiten Untersuchungen ein und ordnen Maßnahmen an. Auch externe Akteure können begründete Hinweise („substantiated concerns“) einreichen. Bei Verstößen drohen Bußgelder, behördliche Anordnungen und erheblicher Reputationsdruck für das Unternehmen. Im geltenden Text ist zudem ein Haftungsrahmen angelegt, der ebenfalls politisch diskutiert wird.
Bis zur deutschen Umsetzung bleibt das LkSG für betroffene Unternehmen maßgeblich. Gleichzeitig lohnt es sich, Prozesse so aufzubauen, dass sie LkSG und CSDDD in einem integrierten Programm abbilden. Wer früh startet, reduziert operative Risiken, stabilisiert Lieferketten und verbessert Marktzugang, Finanzierung und Stakeholder-Vertrauen.
Bei der CSDDD hat sich durch das Omnibus-I-Paket die Richtung klar verschoben: weniger „One-size-fits-all“, mehr Fokus auf sehr große Unternehmen und eine deutlich schlankere administrative Logik – ohne das Ziel der Sorgfaltspflichten komplett aufzugeben.
1) Deutlich engerer Scope: CSDDD-Pflichten nur noch für sehr große Unternehmen
Nach dem im Dezember 2025 erzielten politischen Deal sollen die Due-Diligence-Pflichten künftig nur noch sehr große Unternehmen treffen: mehr als 5.000 Mitarbeitende und mehr als 1,5 Mrd. € Netto-Umsatz (inkl. entsprechender Nicht-EU-Unternehmen mit Umsatz in der EU über derselben Schwelle). Das ist eine spürbare Reduktion des Kreises der direkt verpflichteten Unternehmen.
2) Risikobasierter Ansatz statt Vollabdeckung – Fokus dort, wo es wirklich „brennt“
Inhaltlich wird stärker auf einen risk-based approach gesetzt. Unternehmen sollen ihre Sorgfaltsmaßnahmen entlang ihrer Lieferkette vor allem dort vertiefen, wo negative Auswirkungen auf Menschenrechte oder Umwelt am wahrscheinlichsten sind. Die Erwartung geht damit weg von der Idee, jede einzelne Stufe der Lieferkette flächendeckend zu „durchleuchten“. Gleichzeitig bleibt klar: Wenn objektive und überprüfbare Hinweise auf Probleme vorliegen, muss ein Unternehmen auch tiefer hinschauen. Der risikobasierte Ansatz ist somit kein Freifahrtschein, sondern eine Priorisierung.
3) Weniger „Trickle-down“: kleinere Geschäftspartner sollen nicht mit Anforderungen überrollt werden
Ein zentrales Motiv des Omnibus-Deals ist, dass Pflichten und Informationsanforderungen nicht unkontrolliert in Richtung kleinerer Unternehmen „durchrutschen“. Unternehmen im Scope sollen keine unnötigen Informationen von Unternehmen verlangen, die selbst nicht erfasst sind. Für die Praxis bedeutet das: Datenanforderungen müssen stärker verhältnismäßig und zielgerichtet aufgebaut werden. Passiert das nicht, werden sie schnell zum reinen Bürokratieprojekt.
4) Weniger Taktung bei Reviews: Überprüfung typischerweise nur noch alle fünf Jahre
Die Due-Diligence-Maßnahmen sollen künftig deutlich seltener überprüft und angepasst werden. Geplant ist eine Prüfung nur noch alle fünf Jahre – außer es gibt konkrete Hinweise, dass die Maßnahmen nicht mehr angemessen oder nicht mehr wirksam sind. Das sorgt für besser planbare Zyklen und reduziert den dauerhaften „Dauerbetrieb“.
5) Klimatransitionsplan: im Deal gestrichen (nicht nur verschoben)
Wichtig für die Einordnung: Nach dem EU-Parlament-Text sollen Unternehmen im Scope keinen Transition Plan zur Paris-Kompatibilität mehr vorbereiten müssen. Das ist eine echte inhaltliche Entlastung.
6) Haftung bleibt national, Bußgelder möglich
Die Richtung ist auch hier klar: weniger EU-weite Vereinheitlichung, mehr Spielraum für nationale Regeln. Die zivilrechtliche Haftung soll daher nicht einheitlich auf EU-Ebene geregelt werden. Sanktionen bleiben trotzdem möglich, zum Beispiel Bußgelder von bis zu 3 % des weltweiten Netto-Umsatzes.
Die CSDDD (Corporate Sustainability Due Diligence Directive) baut auf den UN-Leitprinzipien für Wirtschaft und Menschenrechte sowie den OECD-Leitsätzen für multinationale Unternehmen auf. Lange haben Unternehmen vor allem auf freiwillige Standards gesetzt. Gleichzeitig sind in Europa viele unterschiedliche nationale Lieferketten-Gesetze entstanden. Mit der CSDDD schafft die EU nun einen einheitlichen und verbindlichen Rahmen für unternehmerische Sorgfaltspflichten.
Wichtig ist: Es geht nicht um „noch mehr Berichte“, sondern um besseres Risikomanagement im Alltag. Während die CSRD vor allem regelt, wie Unternehmen über Nachhaltigkeit berichten, setzt das EU-Lieferkettengesetz bei der Umsetzung an. Unternehmen sollen Risiken und negative Auswirkungen auf Menschenrechte und Umwelt entlang ihrer Wertschöpfung systematisch erkennen, priorisieren und steuern. Dazu gehört, Risiken früh zu identifizieren, sie zu verhindern oder zu reduzieren, Schäden zu beenden und, wenn nötig, Abhilfe und Wiedergutmachung zu ermöglichen. Der Ansatz ist damit klar: weg von einmaligen Checks und punktuellen Audits, hin zu einem dauerhaften, risikobasierten Prozess.
Sie soll vor allem dafür sorgen, dass schwere Menschenrechtsverletzungen in globalen Liefer- und Wertschöpfungsketten seltener werden. Dazu gehören zum Beispiel Kinderarbeit, Zwangsarbeit, ausbeuterische Arbeitsbedingungen, Diskriminierung oder Einschränkungen der Vereinigungsfreiheit. Unternehmen stehen damit stärker in der Pflicht. Nicht nur im eigenen Betrieb, sondern auch dort, wo sie über Lieferanten und Partner Einfluss nehmen können.
Zweitens geht es um Umwelt- und Klimarisiken. Die Richtlinie soll helfen, große Umweltschäden früh zu erkennen und zu verringern. Zum Beispiel Entwaldung, verschmutzte Gewässer, illegale Abfallentsorgung, Biodiversitätsverlust oder stark belastende Emissionen. Damit verknüpft die CSDDD Umwelt- und Menschenrechtsziele mit klaren Erwartungen an Unternehmensführung und Risikosteuerung.
Drittens soll die CSDDD Richtlinie für fairere Wettbewerbsbedingungen im EU-Binnenmarkt sorgen. Einheitliche Mindestanforderungen verhindern, dass Unternehmen, die bereits verantwortungsvoll handeln, gegenüber weniger ambitionierten Wettbewerbern benachteiligt werden. Insgesamt verschiebt sich damit der Fokus. Es geht weg von reinen PR-Maßnahmen und Häkchen-Audits, hin zu echter Prävention, Umsetzung und kontinuierlicher Verbesserung.
Die CSDDD verpflichtet Unternehmen zu nachhaltigeren Lieferketten. Sie soll globale Liefer- und Wertschöpfungsketten transparenter und verantwortungsvoller machen. Wenn Unternehmen Risiken systematisch erkennen und steuern, lassen sich schwere Menschenrechtsverletzungen und Umweltschäden eher vermeiden. Gleichzeitig greift die Richtlinie eine wachsende Erwartung auf: Viele Menschen möchten wissen, woher Produkte stammen und unter welchen Bedingungen sie hergestellt wurden.
Für Unternehmen bedeutet das zunächst mehr Aufwand, etwa durch klarere Zuständigkeiten, bessere Dokumentation und verlässlichere Daten aus der Lieferkette. Langfristig kann sich das aber lohnen: Ein gutes Sorgfalts- und Risikomanagement macht Lieferketten stabiler, reduziert Ausfälle und stärkt Vertrauen bei Kunden, Investoren und Partnern. Wer die CSDDD als Teil des Managements versteht, wird widerstandsfähiger und besser planbar.
Welche Unternehmen vom EU Lieferkettengesetz erfasst werden, richtet sich vor allem nach Größe und Umsatz, nicht nach einer bestimmten Branche. Nach dem derzeit geltenden Richtlinientext fallen in der EU große Kapitalgesellschaften und vergleichbare Unternehmen grundsätzlich dann in den Anwendungsbereich, wenn sie mehr als 1.000 Beschäftigte haben und einen weltweiten Nettoumsatz von über 450 Mio. Euro erzielen. Für Nicht-EU-Unternehmen greift die Richtlinie, wenn sie mehr als 450 Mio. Euro Nettoumsatz in der EU erwirtschaften. Maßgeblich ist also der in der EU erzielte Umsatz, nicht ob eine Niederlassung oder Tochtergesellschaft vor Ort besteht.
Zusätzlich können auch Franchise- und Lizenzmodelle erfasst sein: Wenn Franchise- oder Lizenzvereinbarungen in der EU eine einheitliche Identität und ein einheitliches Geschäftskonzept sicherstellen und bestimmte Schwellen für Umsatz und Lizenzgebühren überschritten werden (u. a. > 80 Millionen Euro Nettoumsatz sowie > 22,5 Millionen Euro Lizenzgebühren), kann auch dieses Modell in den Anwendungsbereich fallen.
Wichtig für die Praxis: Auch wenn die Richtlinie für alle Branchen gilt, sind die Risiken je nach Sektor sehr unterschiedlich. In Bereichen wie Textil, Landwirtschaft, Bau, Rohstoffgewinnung, Elektronik oder Logistik gibt es oft mehr menschenrechtliche und ökologische Risiken, vor allem wegen komplexer Liefer- und Subunternehmerketten. Bei vielen Dienstleistungen liegen die Schwerpunkte dagegen eher bei Arbeitsbedingungen, Fremdvergaben und Ketten von Unteraufträgen.
Aktueller Omnibus-Stand: Politisch liegt seit dem 9. Dezember 2025 eine vorläufige Einigung vor, die den Anwendungsbereich der CSDDD künftig auf sehr große Unternehmen verengen würde (Schwelle: 5.000 Beschäftigte und 1,5 Mrd. Euro Nettoumsatz). Bis diese Änderung formell verabschiedet ist, gilt jedoch weiterhin der oben beschriebene Richtlinientext.
KMU fallen in der Regel nicht direkt unter die Corporate Sustainability Due Diligence Directive. Das gilt so lange, bis sie die Schwellenwerte nicht überschreiten. In der Praxis sind viele trotzdem indirekt betroffen: Große Unternehmen, die unter die Richtlinie fallen, verlangen von ihren Lieferanten oft zusätzliche Informationen, Standards und Nachweise. Das passiert zum Beispiel über Einkaufsbedingungen, Verhaltenskodizes, Verträge, Schulungen oder ein risikobasiertes Monitoring. Gleichzeitig sieht der EU-Rahmen vor, dass kleinere Unternehmen dabei unterstützt und nicht überfordert werden sollen. Sie werden als Geschäftspartner in Liefer- und Wertschöpfungsketten häufig mitgezogen, ohne selbst direkt reguliert zu sein.
Die CSDDD wurde am 5. Juli 2024 im Amtsblatt veröffentlicht und ist 20 Tage später, am 25. Juli 2024, in Kraft getreten. Ursprünglich sollten die EU-Mitgliedstaaten die Richtlinie bis 26. Juli 2026 in nationales Recht umsetzen. Diese Frist wurde jedoch durch die „Stop-the-Clock“-Richtlinie (EU) 2025/794 um ein Jahr verschoben: Die Umsetzung in nationales Recht muss nun bis 26. Juli 2027 erfolgen.
Die materiellen Pflichten sind im geltenden Richtlinientext grundsätzlich gestaffelt angelegt: zunächst für sehr große Unternehmen, später für weitere Größenklassen. Wichtig ist dabei: Für Konzernstrukturen ist regelmäßig entscheidend, wie die relevanten Schwellen auf Gruppenebene bzw. nach den Vorgaben der Richtlinie zu prüfen sind. Bei Nicht-EU-Unternehmen zählt der in der EU erzielte Umsatz. Das gilt unabhängig davon, ob eine Tochtergesellschaft oder Niederlassung in der EU besteht.
Aktueller Änderungsstand zum EU-Omnibus: Seit dem 9. Dezember 2025 gibt es eine vorläufige Einigung von Rat und Parlament, die den Zeitplan nochmals nach hinten verschieben würde: Die Umsetzungsfrist soll dann auf 26. Juli 2028 rücken. Unternehmen müssten diese ab Juli 2029 erfüllen. Diese Anpassung ist politisch vereinbart, aber zum jetzigen Zeitpunkt noch nicht als finaler Rechtsakt abgeschlossen.
Nach aktuell geltendem Rechtsstand (Stop-the-Clock bereits wirksam):
Falls die Omnibus-Einigung in dieser Form final umgesetzt wird:
Für Deutschland heißt das: Die CSDDD wird voraussichtlich über eine Anpassung bzw. Weiterentwicklung des LkSG und ergänzende Regelungen umgesetzt. Unternehmen sollten ihre Planung daher nicht nur an einem Stichtag festmachen, sondern sich eine Roadmap mit klaren Jahreszielen setzen. Zum Beispiel für Risikoanalyse, Maßnahmenprogramm, Beschwerdemechanismus sowie Vertrags- und Lieferantenmanagement. So sind die Prozesse rechtzeitig startklar, sobald die jeweils relevante Umsetzungswelle greift.
Das EU Lieferkettengesetz verlangt einen risikobasierten Sorgfaltsprozess, der sich an den UN-Leitprinzipien und der OECD-Guidance orientiert. Es geht dabei nicht um ein einmaliges Projekt, sondern um einen dauerhaften Managementprozess. Unternehmen sollen die wichtigsten Risiken und negativen Auswirkungen auf Menschenrechte und Umwelt erkennen, priorisieren und bearbeiten. Das soll sowohl im eigenen Geschäft, bei Tochtergesellschaften und entlang ihrer Sorgfalts- und Lieferkette stattfinden.
Dazu gehören:
Wichtig sind dabei klare Zuständigkeiten, feste Fristen und messbare Ziele. Diese sind oft in einem Aktionsplan gebündelt, der Schritt für Schritt die Risikominderung steuert.
Ein zentraler Baustein ist ein gut funktionierendes Beschwerdeverfahren. Beschäftigte, Geschäftspartner und betroffene Personen sollen sicher Hinweise geben können. So werden Probleme früh erkannt und können schneller gelöst werden. Außerdem müssen Unternehmen regelmäßig prüfen, ob ihre Maßnahmen tatsächlich wirken, den Prozess bei Bedarf anpassen und alles nachvollziehbar dokumentieren. Transparenz und belastbare Nachweise sind dabei immer wichtig. Hier finden Sie Informationen zu unserem Hinweisgebersystem, mit dem sich ein solches Beschwerdeverfahren umsetzen lässt.
Zur guten Steuerung gehört eine klare Due-Diligence-Policy. Darin sollte stehen, wie Risiken priorisiert werden, wer wofür verantwortlich ist und welche Ziele erreicht werden sollen. Wichtig ist außerdem, dass das Thema sichtbar im Management verankert ist. Zusätzlich sieht der geltende Richtlinientext für große Unternehmen einen Klimatransitionsplan vor. Dieser Plan soll zeigen, wie Geschäftsmodell und Strategie mit dem 1,5°C-Ziel und der EU-Klimaneutralität vereinbar gemacht werden können und wie das Unternehmen das Schritt für Schritt umsetzt.
Hinweis zur Aktualität: Im Omnibus-Verfahren ist politisch vereinbart, diese Klimaplan-Pflicht zu streichen. Rechtlich maßgeblich ist aber erst die finale Verabschiedung der Änderung.
Schließlich gehört zur Praxisumsetzung auch eine Rechenschaftslegung: Unternehmen müssen darlegen können, wie sie Sorgfaltspflichten umsetzen. Typischerweise erfolgt das über eine Veröffentlichung im Rahmen eines Nachhaltigkeitsberichts oder über Informationen auf der Unternehmenswebsite (je nach nationaler Umsetzung und Verzahnung mit anderen Pflichten).
Wichtig ist, dass Sorgfaltspflichten nicht als „CSR-Nebenprojekt“ laufen, sondern fest in den Alltag eingebaut werden. Das heißt zum Beispiel: Der Einkauf bewertet Lieferanten nicht nur nach Preis, Qualität und Terminen, sondern auch nach ESG-Kriterien. Dazu gehören eine risikobasierte Auswahl, passende Anforderungen je nach Risiko und klare Schritte, was bei Problemen passiert.
Auch Produktentwicklung und Engineering können früh Risiken reduzieren, etwa durch die richtige Materialwahl, gutes Chemikalienmanagement, Reparierbarkeit und kreislauffähiges Design. Compliance und Legal stellen sicher, dass Standards einheitlich sind, zum Beispiel über Verhaltenskodizes, Vertragsklauseln und Abhilfe-Regeln. Und Risk Management sowie Internal Audit prüfen regelmäßig, ob die Maßnahmen in der Praxis wirklich wirken.
Auch HR und Arbeitsschutz sind zentral. Nicht nur im eigenen Betrieb, sondern auch bei Leiharbeit, Werkverträgen und Subunternehmerketten, wo Risiken häufig entstehen. Die Finanzfunktion verknüpft Ziele und Maßnahmen mit Budgets und Investitionsentscheidungen. Sie unterstützt bei Szenarioanalysen und zeigt auf, wo Risiken langfristig Kosten verursachen können. IT stellt die nötige Infrastruktur bereit: Risiko-Screenings, Lieferantenportale, Dokumentation, Hinweisgebersysteme und Auswertungen.
Kurz: Die CSDDD funktioniert nur, wenn Verantwortlichkeiten klar verteilt sind, Datenflüsse stehen und die Steuerung im Alltag greift. Dann wird aus „Pflicht“ ein robustes System, das Risiken früh erkennt, Schäden reduziert und Prozesse planbarer macht.
Die CSDDD verlangt keinen „Voll-Audit“ der gesamten Lieferkette, sondern einen angemessenen, risikobasierten Ansatz. Im Mittelpunkt steht die Frage: Wo sind die schwersten und wahrscheinlichsten negativen Auswirkungen und wo können wir wirksam Einfluss nehmen?
Priorisiert wird nach Schweregrad, Eintrittswahrscheinlichkeit und Abhilfemöglichkeit. Dabei hat sich ein stufenweises Vorgehen praktisch bewährt:
Beispiele für typische Risikohotspots:
Wichtig: Die Priorisierung muss plausibel begründet und nachweisbar sein.
Aus der Priorisierung folgt ein Maßnahmenpaket. Dabei gilt nicht „alles für alle“, sondern abgestuft nach Risiko. Wirkung entsteht vor allem dann, wenn Maßnahmen bestimmte Grundursachen adressieren (z. B. unrealistische Lieferzeiten → Überstunden).
Umwelt- und Klimarisiken lassen sich je nach Thema mit konkreten Programmen gezielt reduzieren. Zum Beispiel durch den Einsatz weniger gefährlicher Chemikalien, bessere Abwasserbehandlung und weniger Abfall. Auch mehr Kreislaufmodelle, entwaldungsfreie Lieferketten und Waldschutz können wirksam sein. Ergänzend helfen Programme für erneuerbare Energien sowie mehr Energieeffizienz bei Lieferanten.
Zum Klimatransitionsplan: Im derzeit geltenden CSDDD-Text ist er für große Unternehmen vorgesehen. Im Omnibus-Paket wurde politisch vereinbart, diese Pflicht zu streichen. Verbindlich ist das aber erst, wenn die Änderung final beschlossen ist. In der Praxis planen viele Unternehmen trotzdem weiter damit, weil Kunden und Investoren solche Pläne häufig ohnehin erwarten.
Die CSDDD gilt für die chain of activities, also für das eigene Geschäft, Tochtergesellschaften und vor allem die vorgelagerten Schritte in der Lieferkette (Rohstoffe, Verarbeitung, Herstellung). Auf der nachgelagerten Seite können je nach Fall auch Transport, Lagerung, Vertrieb und bestimmte End-of-Life-Themen (z. B. Rücknahme oder Entsorgung) relevant sein. Die reine Nutzung des Produkts steht dagegen meist nicht im Mittelpunkt.
Wichtig ist: Die Verantwortung endet nicht automatisch beim direkten Lieferanten. Wenn die größten Risiken weiter hinten in der Kette liegen, müssen Unternehmen sie risikobasiert auch bei indirekten Zulieferern berücksichtigen.
Monitoring: „datenbasiert statt Audititis“
Ein angemessenes Monitoring kombiniert, je nach Risiko, unterschiedliche Datenquellen:
Kooperation als Hebel
Nachhaltige Veränderung gelingt selten allein. Wirksam sind oft:
Ein wirksamer Beschwerdemechanismus ist zentral, weil er Risiken sichtbar macht, die in Daten und Audits oft nicht auftauchen. Er sollte sicher und vertraulich sein, leicht zugänglich funktionieren, auch für Betroffene außerhalb der EU, und Schutz vor Repressalien bieten. Außerdem braucht es ein klares Verfahren, wie Hinweise geprüft, eskaliert und in konkrete Abhilfe umgesetzt werden. Wichtig ist auch, dass die gewonnenen Erkenntnisse systematisch in die Risikoanalyse und in Maßnahmenprogramme zurückfließen.
Zur Transparenz gehört eine belastbare Dokumentation und eine verständliche öffentliche Darstellung dessen, was ein Unternehmen tut und wie wirksam die Maßnahmen sind. Für Unternehmen, die unter die CSRD fallen, ergeben sich dabei Synergien, weil sich Due-Diligence-Inhalte in die ESRS-Berichterstattung integrieren lassen.
Entscheidend bleibt aber die klare Trennung: Die CSDDD verlangt wirksame Prozesse und Abhilfe, während die Corporate Sustainability Reporting Directive (CSRD) die Berichterstattung strukturiert.
Die CSDDD wird vor allem durch nationale Aufsichtsbehörden durchgesetzt. Jeder EU-Mitgliedstaat benennt eine oder mehrere Stellen, die prüfen, ob Unternehmen die nationalen Umsetzungsregeln einhalten. Diese Behörden sind mehr als reine Anlaufstellen: Sie können Verfahren einleiten, Informationen anfordern und konkrete Maßnahmen anordnen. Damit das auch in grenzüberschreitenden Fällen funktioniert, ist auf EU-Ebene zudem ein Netzwerk der Aufsichtsbehörden vorgesehen, das die Zusammenarbeit und Abstimmung zwischen den Ländern unterstützt.
Für die Praxis besonders wichtig ist: Die Richtlinie schafft einen klaren Weg, Hinweise einzureichen. Sowohl Privatpersonen als auch Organisationen können bei der Aufsicht begründete Hinweise (substantiated concerns) melden, wenn es objektive Anhaltspunkte für Verstöße gibt.
Die Aufsicht wird in der Regel risikoorientiert arbeiten. Das bedeutet: Unternehmen werden nicht alle gleich stark geprüft, sondern je nach Branche, konkreten Vorfällen, Risikoprofil und der Qualität der eingereichten Nachweise. Die Richtlinie verlangt außerdem, dass die Behörden über ausreichende Befugnisse verfügen, unter anderem:
Für Unternehmen bedeutet das: Zertifikate und Social Audits können zwar unterstützen, sie ersetzen aber kein belastbares System. Erwartet wird, dass Unternehmen Auditprogramme realistisch bewerten, ihre Grenzen kennen und mehrere Quellen zusammenführen. In der Praxis heißt das, dass Nachweise aus Audits, dem Beschwerdekanal, internen Kennzahlen und externen Hinweisen zusammengedacht werden, um Risiken wirklich zu erkennen und wirksam zu steuern.
Auf EU-Ebene sollen Leitlinien und praktische Hilfsmittel dafür sorgen, dass die CSDDD in den Mitgliedstaaten möglichst einheitlich umgesetzt und durchgesetzt wird. Damit soll verhindert werden, dass sich 27 sehr unterschiedliche Auslegungen entwickeln. Trotzdem werden die Details in der Praxis stark national geprägt sein, etwa durch Zuständigkeiten, Prüftiefe, Schwerpunktprüfungen und die Zusammenarbeit mit anderen Behörden.
Für Unternehmen ist vor allem wichtig, dass die Richtlinie selten allein steht. Sie wirkt häufig zusammen mit anderen Regelwerken, zum Beispiel der Entwaldungsverordnung (EUDR), der Batterieverordnung oder dem Chemikalienrecht (REACH). Deshalb lohnt es sich, Anforderungen integriert aufzusetzen: Eine gemeinsame Risiko- und Datenbasis, die mehrere Pflichten gleichzeitig bedient, ist effizienter als parallele Insellösungen.
Bei Verstößen sieht die CSDDD vor allem verwaltungsrechtliche Sanktionen durch die nationalen Aufsichtsbehörden vor. Die Geldbußen sollen sich am weltweiten Nettoumsatz des Unternehmens orientieren. Außerdem müssen die Mitgliedstaaten eine Obergrenze für Bußgelder festlegen. Diese maximale Bußgeldhöhe kann mindestens 5 % des weltweiten Nettoumsatzes betragen.
Neben Geldbußen können Behörden konkrete Anordnungen erlassen, um Verstöße zu beheben. Dazu gehören:
Zusätzlicher Druck entsteht durch Transparenz und Öffentlichkeit. Behörden können Entscheidungen und Feststellungen veröffentlichen, was schnell zu einem Effekt wie Naming & Shaming führt. Das kann für Unternehmen sehr belastend sein, oft unabhängig davon, wie hoch die eigentliche Geldbuße ist.
Auch im öffentlichen Sektor kann CSDDD-Compliance eine Rolle spielen. Je nach nationaler Umsetzung können Nachhaltigkeits- und Compliance-Anforderungen stärker in Vergabeverfahren einfließen, etwa als Eignungskriterium oder als Vertragsbedingung.
CSDDD aktueller Stand inkl. Omnibus: Im Deal vom 9. Dezember 2025 ist vorgesehen, die maximale Geldbuße auf 3% des weltweiten Nettoumsatzes zu deckeln. Bis zur finalen Verabschiedung dieser Änderung gilt jedoch weiterhin der Richtlinientext.
Neben der behördlichen Kontrolle kann die CSDDD auch zivilrechtliche Folgen haben. Unternehmen können unter bestimmten Voraussetzungen für Schäden haftbar gemacht werden, wenn eine eigene Pflichtverletzung dazu beigetragen hat. Wichtig ist: Es geht nicht automatisch um Haftung, nur weil ein Geschäftspartner einen Schaden verursacht hat. Entscheidend ist das eigene Fehlverhalten bzw. das Unterlassen angemessener Maßnahmen.
Außerdem stärkt die Richtlinie den Zugang zum Recht. Mitgliedstaaten sollen sicherstellen, dass entsprechende Ansprüche nicht zu schnell verjähren (mindestens fünf Jahre) und Betroffene ihre Rechte praktisch geltend machen können, teils auch mit Unterstützung durch Gewerkschaften oder NGOs.
Mindestens genauso wichtig sind Reputations- und Geschäftsschäden. Werden schwere Vorfälle öffentlich, kann das Kundenbeziehungen, das Vertrauen von Investoren und das Arbeitgeberimage stark beeinträchtigen – oft mehr als eine Geldbuße. Ein robustes Due-Diligence-System wirkt deshalb doppelt: Es senkt das Risiko von Vorfällen und sorgt im Ernstfall dafür, dass Entscheidungen und Maßnahmen nachvollziehbar belegt werden können.
Omnibus-Update: Politisch ist vorgesehen, das EU-weit harmonisierte Haftungsregime zurückzunehmen bzw. zu streichen. Verbindlich ist das aber erst nach finaler Verabschiedung.
Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) und die EU-Lieferkettenrichtlinie folgen demselben Grundprinzip: risikobasierte Sorgfaltspflichten statt einer vollständigen Prüfung „um jeden Preis“. Beide verlangen im Kern eine regelmäßige Risikoanalyse, passende Präventions- und Abhilfemaßnahmen, ein Beschwerdeverfahren sowie nachvollziehbare Dokumentation.
Die Unterschiede liegen vor allem in Reichweite und Rechtsfolgen. Die CSDDD setzt einen EU-weiten Mindeststandard, während das LkSG ein nationales Gesetz mit deutscher Aufsichtspraxis ist. Auch der Anwendungsbereich unterscheidet sich: Das LkSG gilt seit dem 1. Januar 2024 für Unternehmen mit mindestens 1.000 Beschäftigten in Deutschland, während die CSDDD an EU-weite Schwellen anknüpft. Inhaltlich ist das EU-Gesetz außerdem breiter, weil sie Umwelt- und Biodiversitätsaspekte stärker einbezieht und erhebliche Umweltauswirkungen umfassender adressiert als das LkSG in der Praxis.
Ein weiterer Unterschied betrifft Klimathemen und Haftung: Im geltenden CSDDD-Text sind ein Klimatransitionsplan (Art. 22) und zivilrechtliche Elemente vorgesehen. Beim LkSG gibt es dafür keine direkte Entsprechung. Gleichzeitig sind diese Punkte durch das Omnibus-Verfahren in Bewegung: Politisch ist vereinbart, den Klimaplan zu streichen und die EU-weit harmonisierte Haftung zu reduzieren. Verbindlich wird das aber erst nach finaler Verabschiedung.
Die Unterschiede zeigen sich vor allem daran, wie weit Sorgfaltspflichten in der Lieferkette reichen. Das LkSG konzentriert sich in erster Linie auf direkte Zulieferer und schaut auf indirekte Zulieferstufen meist nur dann genauer, wenn es konkrete Hinweise auf Risiken gibt. Die CSDDD arbeitet dagegen mit der „chain of activities“ und verlangt einen stärker strukturierten, risikobasierten Blick auch über direkte Stufen hinaus.
Zusätzlich kann die CSDDD, anders als das LkSG, unter bestimmten Schwellen auch Franchise- und Lizenzmodelle erfassen. Bei der Durchsetzung gibt es ebenfalls Unterschiede: In Deutschland überwacht die Wirtschaft und Ausfuhrkontrolle BAFA das LkSG, während die CSDDD über nationale Behörden in allen Mitgliedstaaten umgesetzt und EU-weit koordiniert durchgesetzt werden soll.
Bis Deutschland die EU-Lieferkettenrichtlinie in nationales Recht umgesetzt hat, bleibt das LkSG für betroffene Unternehmen weiterhin der wichtigste Maßstab. Das betrifft vor allem Unternehmen, die seit 2024 wegen der Schwelle von 1.000 Beschäftigten unter das LkSG fallen.
Gleichzeitig ist es für große Unternehmen und Konzerne sinnvoll, ihre Prozesse schon jetzt so aufzubauen, dass sie beide Regelwerke möglichst in einem System abdecken. In der Praxis bedeutet das: eine gemeinsame Risikoanalyse, ein einheitliches Maßnahmen- und Beschwerdesystem sowie ein konsistentes Daten- und Nachweiskonzept. Ergänzend braucht es nur dort zusätzliche Bausteine, wo die CSDDD über das LkSG hinausgeht. Zum Beispiel bei der EU-weiten Scope-Logik, dem breiteren Umweltumfang und, je nach finalem Ausgang des Omnibus-Verfahrens, bei Klimaplan- und Haftungsthemen.
Unternehmen, die die CSDDD nicht nur „abhaken“, sondern als Managementansatz nutzen, können spürbar profitieren. Wenn Prozesse und Lieferketten besser gesteuert werden, sinken Ausschuss, Nacharbeit und Lieferausfälle. Vor allem dort, wo Risiken bisher erst spät auffielen. Auch kreislauffähiges Design, Materialalternativen und mehr Rohstoffeffizienz können Kosten senken, weil weniger Material verbraucht wird und Entsorgung sowie Abhängigkeiten von volatilen Rohstoffmärkten abnehmen.
Auch am Markt können Unternehmen profitieren: Wer verantwortungsvolle Lieferketten nachweisen kann – zum Beispiel entwaldungsfreie –, sichert sich den Zugang zu regulierten Märkten und verbessert die Chancen in Ausschreibungen. Stabile ESG-Strukturen helfen außerdem, Kundenanforderungen verlässlich zu erfüllen. Sie können sich auch positiv auf Finanzierungskonditionen auswirken, weil Investoren und Banken ESG- und Klimarisiken zunehmend in ihre Bewertungen einbeziehen. Und nicht zuletzt stärkt eine klare, glaubwürdige Ausrichtung das Recruiting und die Mitarbeiterbindung.
In der Praxis ist selten der Wille das Problem, sondern die Umsetzung in komplexen Liefer- und Wertschöpfungsnetzen. Oft fehlen verlässliche Informationen aus tieferen Lieferstufen. Daten sind nicht kompatibel und der Einfluss nimmt mit jeder Stufe ab. Gerade in globalen Multi-Tier-Lieferketten ist es schwierig, Daten zu finden, zu prüfen und so aufzubereiten, dass daraus klare Entscheidungen und Maßnahmen entstehen.
Dazu kommen Aufwand und Kosten: Neue Prozesse, IT-Systeme, Schulungen, regelmäßige Kontrollen und Lieferantenprogramme brauchen Zeit und Budget. Das betrifft nicht nur große Unternehmen, sondern indirekt auch kleinere Zulieferer, die künftig mehr Nachweise liefern müssen. Gleichzeitig reichen klassische Social Audits oft nicht aus. Sie erfassen häufig nur Symptome und sind anfällig für „Schein-Compliance“. Wirksam wird das Ganze erst, wenn Unternehmen klar priorisieren, Anforderungen realistisch einführen und die Beschaffung ganzheitlicher steuern – also Kosten, Risiken und Lieferkettenstabilität gemeinsam im Blick behalten.
Entscheidend ist außerdem gutes Change-Management: Einkauf, Technik, Vertrieb und Finanzen müssen zusammenarbeiten, sonst entstehen Zielkonflikte (z. B. Preisdruck versus nachhaltige Verbesserungen). Tools und Datenplattformen helfen, ersetzen aber nicht den Austausch mit Lieferanten und Stakeholdern vor Ort. Und weil die Anforderungen praktisch global wirken, müssen viele Unternehmen ihre Lieferstrategie anpassen. Das kann etwa durch Diversifizierung, mehr regionale Beschaffung oder alternative Bezugsquellen geschehen.
Viele Unternehmen kommen schneller voran, wenn sie externe Expertise gezielt nutzen, nicht dauerhaft, sondern um Struktur, Tempo und Qualität zu erhöhen. Das kann bei der Risiko- und Priorisierungslogik beginnen und bis zu Richtlinien, Vertragsklauseln, Lieferantenprogrammen, Beschwerdeprozessen sowie einem belastbaren Monitoring reichen.
Digitale Tools helfen vor allem dort, wo es um Skalierung geht. Zum Beispiel über Lieferantenplattformen, Nachweismanagement, Risiko-Scores, Workflow-Steuerung oder Datenquellen wie Satellitenbilder bei Entwaldungsrisiken. Entscheidend ist dabei weniger ein einzelnes „Wunder-Tool“, sondern ein System, das zu den bestehenden IT-Strukturen passt, auditierbar ist und sich schrittweise ausbauen lässt.
Bewährt haben sich Pilotprojekte in Hochrisikobereichen, die schnelle Lerneffekte liefern und anschließend skaliert werden können. Am wichtigsten bleibt aber die interne Governance: klare Zuständigkeiten, zügige Entscheidungen und Budgets, die auf die größten Risiken und Hebel ausgerichtet sind.
Das Lieferkettengesetz der EU macht aus Nachhaltigkeit in der Lieferkette einen verbindlichen Managementauftrag. Sie verschiebt den Fokus weg von punktuellen Audits und reiner Kommunikation hin zu einem risikobasierten System, das im Tagesgeschäft funktioniert: Risiken erkennen, priorisieren, wirksam handeln, Abhilfe ermöglichen und die Wirksamkeit nachweisen. Damit wird unternehmerische Verantwortung entlang der Wertschöpfung nicht nur klarer definiert, sondern auch durchsetzbar.
Für Unternehmen bedeutet das kurzfristig Aufwand – vor allem beim Aufbau von Datenbasis, Verantwortlichkeiten, Lieferantensteuerung und belastbaren Nachweisen. Langfristig liegt darin aber auch eine Chance: Wer Prozesse früh integriert, schafft stabilere Lieferketten, reduziert operative Überraschungen und stärkt Vertrauen bei Kunden, Investoren und Mitarbeitenden. Gerade weil die CSDDD mit anderen Regimen wie CSRD, EUDR oder REACH zusammenspielt, lohnt sich ein integrierter Ansatz statt Insellösungen.
Wichtig ist außerdem: Der rechtliche Rahmen bleibt durch das Omnibus-Verfahren in Bewegung. Unternehmen sollten daher nicht auf das „finale Detail“ warten, sondern die Grundlagen jetzt sauber aufsetzen: Risiko- und Priorisierungslogik, Maßnahmenprogramme, Beschwerdemechanismus, Governance und Dokumentation. Wer diese Bausteine früh etabliert, bleibt unabhängig von einzelnen Anpassungen handlungsfähig – und ist bereit, sobald die für das Unternehmen relevante Anwendungswelle startet.
Die CSDDD ist eine EU-Richtlinie, die große Unternehmen verpflichtet, menschenrechtliche und umweltbezogene Risiken in der eigenen Tätigkeit, bei Tochtergesellschaften und entlang relevanter Wertschöpfungsstufen zu identifizieren, zu verhindern bzw. zu mindern und Abhilfe zu ermöglichen.
Im geltenden Richtlinientext gilt die CSDDD für große EU-Unternehmen und für Nicht-EU-Unternehmen mit hohem Umsatz in der EU. Die Anwendung erfolgt gestaffelt (siehe Zeitplan).
Das EU Lieferkettengesetz ist am 25. Juli 2024 in Kraft getreten. Durch die „Stop-the-clock“-Änderung müssen Mitgliedstaaten sie bis 26. Juli 2027 umsetzen. Die ersten Anwendungspflichten starten ab 26. Juli 2028. Die volle Anwendung folgt ab 26. Juli 2029 (jeweils nach Größenklasse).
Damit beschreibt die CSDDD den Bereich, für den Due-Diligence-Pflichten greifen: eigene Tätigkeit und Tochtergesellschaften sowie vor allem vorgelagerte Aktivitäten (Rohstoffe, Verarbeitung, Herstellung) und bestimmte nachgelagerte Schritte wie z. B. Transport oder Lagerung – jeweils risikobasiert priorisiert.
Unternehmen müssen ein funktionierendes Sorgfaltspflichten-System aufsetzen: Risiken analysieren und priorisieren, Präventions- und Abhilfemaßnahmen umsetzen, die Wirksamkeit überwachen, dokumentieren und einen Beschwerde- bzw. Hinweisweg bereitstellen.
Ja. Die Richtlinie sieht vor, dass natürliche und juristische Personen bei der Aufsicht begründete Hinweise („substantiated concerns“) einreichen können, wenn objektive Umstände auf Verstöße hindeuten.
Die Durchsetzung erfolgt über nationale Aufsichtsbehörden in jedem Mitgliedstaat, die EU-weit koordiniert zusammenarbeiten sollen. Behörden können Informationen anfordern, Untersuchungen einleiten und Maßnahmen anordnen.
Die CSDDD setzt auf verwaltungsrechtliche Sanktionen. Bußgelder sollen am weltweiten Nettoumsatz ausgerichtet sein und können (im geltenden Text) bis zu einer Obergrenze von mindestens 5% reichen, plus behördliche Anordnungen zur Abstellung von Verstößen.
Das LkSG ist das deutsche Lieferkettengesetz (Aufsicht/Umsetzung national), die CSDDD setzt einen EU-weiten Rahmen. Die CSRD regelt primär Berichterstattung, während die CSDDD auf Prozesse und Maßnahmen im Risikomanagement zielt. In der Praxis lassen sich Daten und Strukturen aber gut zusammenführen.
Am 9. Dezember 2025 gab es eine politische Einigung, die u. a. Schwellenwerte, Pflichten und Sanktionen vereinfachen bzw. reduzieren soll (z. B. Bußgeld-Deckelung auf 3% und engerer Scope). Diese Änderungen sind aber erst verbindlich, wenn das Gesetzgebungsverfahren abgeschlossen ist.
EN
