EUDR-Berichtspflicht: Was muss in den ersten Jahresbericht

Executive Summary

Die EUDR verpflichtet Nicht-KMU-Operatoren nach Art. 12 Abs. 3 zur jährlichen öffentlichen Berichterstattung über ihr Sorgfaltspflichtsystem. Berichtspflichtig sind Unternehmen, die mindestens zwei der drei Schwellen 25 Mio. € Bilanzsumme, 50 Mio. € Nettoumsatz oder 250 Beschäftigte überschreiten. Der erste Bericht ist nach dem 30. Dezember 2027 fällig und deckt das Geschäftsjahr 2027 ab. KMU-Operatoren, Downstream Operators, Trader und MSPOs sind ausgenommen.

Inhaltlich muss er das Sorgfaltspflichtsystem nachvollziehbar darstellen. Dazu zählen Informationssammlung, Risikobewertung, Risikominderung und Ergebnis der jährlichen Systemprüfung nach Art. 12 Abs. 2. Eine Pflichtvorlage gibt es nicht, doppelte Berichterstattung ebenfalls nicht: CSRD-pflichtige Unternehmen können die EUDR-Inhalte in den Nachhaltigkeitsbericht integrieren.

Der Jahresbericht spiegelt die Compliance-Arbeit wider, er ersetzt sie nicht. Wer 2026 die Hausaufgaben macht, hat Ende 2027 keinen Endspurt, sondern nur noch eine Aufbereitung vor sich. Konkret: KMU-Status je juristischer Person prüfen, Compliance-Beauftragten und unabhängige Prüfstelle benennen, TRACES integrieren und Lieferantenkommunikation als kontinuierlichen Prozess aufsetzen.

Berichtspflicht und Jahresbericht - alle Infos im Detail

Was ist die EUDR-Berichtspflicht nach Artikel 12 Absatz 3?

Die Verordnung (EU) 2023/1115 regelt das Inverkehrbringen und den Export bestimmter Rohstoffe und Produkte, die mit Entwaldung in Verbindung gebracht werden. In Anhang I sind die sieben relevanten Rohstoffe gelistet: Rinder, Kakao, Kaffee, Ölpalme, Kautschuk, Soja und Holz, sowie die daraus hergestellten Erzeugnisse.

Die EUDR kennt dabei keine Bagatellgrenze: Sie gilt unabhängig von Menge oder Wert. Auch kleinste Sendungen relevanter Rohstoffe oder Produkte aus Anhang I fallen in den Anwendungsbereich und damit potenziell in den Jahresbericht. Wer denkt, dass kleine Mengen aus der Pflicht fallen, irrt.

Artikel 12 Absatz 3 verpflichtet Nicht-KMU-Operatoren, jährlich öffentlich über ihre Aktivitäten zur Einhaltung der Verordnung zu berichten. Konkret geht es um die Offenlegung des Sorgfaltspflichtsystems (Due Diligence) und der damit verbundenen Prozesse.

Wer muss den ersten Jahresbericht einreichen?

Die Berichtspflicht nach Art. 12 Abs. 3 trifft nicht alle Akteure gleichermaßen. Entscheidend ist die Kombination aus Rolle in der Lieferkette und Unternehmensgröße.

Nicht-KMU-Operatoren – die primär Verpflichteten

Operatoren sind die natürlichen oder juristischen Personen, die relevante Produkte erstmalig auf dem EU-Markt bereitstellen oder exportieren. Sie tragen die Hauptverantwortung für die Sorgfaltspflicht und damit auch für den Jahresbericht, sofern sie kein KMU sind.

Ein Unternehmen gilt nach der Bilanzrichtlinie 2013/34/EU als mittleres Unternehmen (also noch KMU), wenn es mindestens zwei der folgenden drei Werte nicht überschreitet: eine Bilanzsumme von 25 Mio. €, einen Nettoumsatz von 50 Mio. € sowie 250 Beschäftigte im Jahresdurchschnitt. Wer mindestens zwei dieser drei Schwellen überschreitet, ist ein Nicht-KMU und damit berichtspflichtig.

Wer ist nicht berichtspflichtig?

Nicht von Art. 12 Abs. 3 erfasst sind alle Akteure außerhalb der Nicht-KMU-Operator-Kategorie. Konkret heißt das: KMU-Operatoren (klein und Kleinst) sind ausgenommen.

Downstream Operators, die bereits in Verkehr gebrachte Produkte weiterverarbeiten (etwa ein Schokoladenhersteller, der EUDR-konformen Kakao verwendet), müssen keinen Jahresbericht einreichen. Ihre Pflichten beschränken sich auf die Rückverfolgbarkeit, das Sammeln und Aufbewahren von Lieferanten- und Kundeninformationen einschließlich der DDS-Referenznummern (fünf Jahre) sowie die Meldung bei begründeten Bedenken („substantiated concerns"). Bei Nicht-KMU-Downstream-Operators kommt die Registrierung im Informationssystem hinzu, ebenso eine aktive Verifizierungspflicht, sobald begründete Bedenken vorliegen.

Trader (Händler), die bereits in Verkehr gebrachte Produkte weiterverkaufen, haben analog keine eigene Berichtspflicht nach Art. 12 Abs. 3. Ihre Pflichten umfassen das Sammeln und Aufbewahren von Lieferanten- und Kundeninformationen, die Meldung bei substantiated concerns und – bei Nicht-KMU-Tradern – die Registrierung im Informationssystem sowie die Verifizierungspflicht bei begründeten Bedenken.

Sonderfall MSPO

Micro and Small Primary Operators (MSPOs) sind eine eigene Unterkategorie mit deutlich vereinfachten Pflichten. Sie müssen vier Voraussetzungen kumulativ erfüllen: natürliche Person oder Kleinst-/Kleinunternehmen nach Bilanzrichtlinie, niedergelassen in einem als Low-Risk eingestuften Land, direkter Marktzugang oder Export, und Produkte aus eigener Erzeugung im Land der Niederlassung.

Wann ist der erste Jahresbericht fällig?

Die EUDR trat am 29. Juni 2023 in Kraft, die wesentlichen Pflichten greifen aber gestaffelt. Für große und mittlere Unternehmen (Nicht-KMU) beginnt die Anwendung am 30. Dezember 2026. Für Klein- und Kleinstunternehmen gilt der spätere Anwendungsbeginn 30. Juni 2027. Eine Ausnahme bilden Unternehmen, die bereits unter die EU-Holzverordnung (EUTR) fielen: Für sie startet die Pflicht ebenfalls am 30. Dezember 2026.

Stichtag für die KMU-Einstufung im Rahmen der Übergangsphase ist der 31. Dezember 2024, basierend auf den nationalen Rechtsvorschriften zur Umsetzung der Bilanzrichtlinie (in Deutschland § 267 HGB).

Die jährliche Systemprüfung als Grundlage des Berichts

Bevor wir zu den Inhalten des Jahresberichts kommen, ein zentraler Punkt, der in der Praxis oft übersehen wird: Vor dem Bericht steht der Review. Artikel 12 Absatz 2 verpflichtet Operatoren, ihr Sorgfaltspflichtsystem mindestens einmal jährlich zu überprüfen und genau diese Überprüfung liefert die Substanz für den Jahresbericht nach Absatz 3. Das Guidance Document der Kommission (2026) konkretisiert, was die Überprüfung leisten muss.

Im Kern geht es um vier Fragen:

• Funktionieren die Verfahren tatsächlich so, wie sie von den Verantwortlichen umgesetzt werden sollen?
• Sind sie wirksam, das heißt: führen sie zum Ausschluss von Produkten mit nicht vernachlässigbarem Risiko?
• Sind neue Entwicklungen berücksichtigt, etwa geänderte Lieferketten, neue Länderklassifizierungen, neue Erkenntnisse über Lieferanten?
• Existieren dokumentierte Verfahren für Informationssammlung, Risikobewertung und für Maßnahmen je nach Risikoniveau?

Der Review kann intern erfolgen, etwa durch eine Person, die unabhängig von der operativen Durchführung ist, oder extern durch eine spezialisierte Prüfstelle. Identifizierte Schwachstellen müssen vom Management mit konkreten Deadlines zur Behebung adressiert werden. Aktualisierungen des Systems sind zu dokumentieren und fünf Jahre aufzubewahren.

Good Practice laut Guidance: Auch der Review-Prozess selbst sollte dokumentiert werden, also nicht nur das Ergebnis, sondern die durchgeführten Schritte. Diese Dokumentation ist später der direkte Input für den Jahresbericht.

Welche Inhalte muss der Jahresbericht umfassen?

Die EUDR schreibt keine starre Formatvorlage vor. Der Bericht muss aber das Sorgfaltspflichtsystem nachvollziehbar darstellen, also die Verfahren, Risiken und Maßnahmen, mit denen das Unternehmen die EUDR-Konformität sicherstellt.

Beschreibung des Due-Diligence-Systems

Das interne Rahmenwerk nach Art. 8 und 12: Verfahren, Rollen, Verantwortlichkeiten, Freigaben, Frequenz der Überprüfung. Hier fließt das Ergebnis der jährlichen Systemprüfung nach Art. 12 Abs. 2 ein.

Informationssammlung nach Art. 9

Hier dokumentiert der Bericht, wie die nötigen Daten erhoben und gepflegt werden. Das umfasst Produktbezeichnung, Mengen und HS-Codes, Angaben zu Lieferanten und Kunden, Herkunftsland und Produktionsregion sowie die Geolokalisierung aller relevanten Anbauflächen (bei Flächen über 4 ha als Polygone). Hinzu kommen Erntezeitraum oder Produktionsdatum (relevant für den Stichtag 31.12.2020) und Nachweise zur Legalität nach Recht des Herstellungslandes.

Risikobewertung nach Art. 10

Welche Kriterien und Methoden wurden angewandt, um das Risiko der Nichteinhaltung zu bewerten? Zu berücksichtigen sind insbesondere die Risikoeinstufung des Herkunftslandes (Niedrig-/Standard-/Hochrisiko), die Komplexität der Lieferkette einschließlich Umgehungs- und Vermischungsrisiken, sowie politische und soziale Faktoren im Herkunftsland wie Korruption, Dokumentenfälschung, mangelnde Strafverfolgung, Menschenrechtsverletzungen, Konflikte oder bestehende Sanktionen. Zertifizierungen und Audits können als Indizien einfließen, ersetzen aber nicht die eigene Sorgfaltsprüfung.

Risikominderung nach Art. 11

Falls ein nicht vernachlässigbares Risiko festgestellt wurde, muss der Bericht die ergriffenen Maßnahmen darstellen, zum Beispiel zusätzliche Audits, Lieferantenwechsel, vertragliche Anpassungen oder Unterstützung von Lieferanten bei der Datenerhebung.

Nachweis vernachlässigbaren Risikos

Der Bericht muss bestätigen, dass am Ende der Sorgfaltsprüfung tatsächlich ein vernachlässigbares Risiko vorliegt. Andernfalls darf das Produkt nicht in Verkehr gebracht oder exportiert werden.

Schulungen, interne Kontrollen, Audits

Wie wird das Wissen im Unternehmen aufgebaut, wie wird die Einhaltung intern überprüft, und welche Mechanismen greifen bei Auffälligkeiten? Hier passt die Erwähnung des Compliance-Beauftragten und der unabhängigen Prüfstelle, die im nächsten Abschnitt im Detail beschrieben werden.

Aktuelle Scope-Änderungen im Blick behalten

Der Geltungsbereich der EUDR ist nicht statisch. Der Delegierte Rechtsakt 2026 (Stand Mai 2026 noch im Entwurf, öffentliche Konsultation bis 1. Juni 2026) bringt substanzielle Anpassungen am Produktscope: Hinzugekommen sind unter anderem löslicher Kaffee, gefrorene Rinderzungen und Palmöl-Derivate für die Oleochemie. Gestrichen werden Häute, Felle und Leder von Rindern. Hinzu kommen technische Klarstellungen zu Abfall, Mustern und Testprodukten, Verpackungen sowie Marketing- und Informationsmaterial, die nicht unter die EUDR fallen.

Für den Jahresbericht heißt das: Halten Sie Ihr HS-Code-Mapping aktuell und kennzeichnen Sie Änderungen am Scope intern als „voraussichtlich", bis sie im Amtsblatt veröffentlicht sind. Der Bericht für das Geschäftsjahr 2027 wird auf einer Produktbasis aufsetzen, die heute teilweise noch im Entwurfsstadium ist – diese Dynamik sollte im Bericht erkennbar gemacht werden, etwa durch klare Verweise auf den jeweiligen Rechtsstand zum Berichtszeitpunkt.

Wer schreibt den Bericht?

Eine Frage, die in der Vorbereitung 2026 dringend geklärt sein sollte: Wer ist im Unternehmen für den Jahresbericht verantwortlich? Die EUDR macht hier keine starren Vorgaben, aber das Zusammenspiel zweier Rollen hat sich in der Praxis etabliert.

Der EUDR-Compliance-Beauftragte

Diese Funktion sollte spätestens zum Anwendungsbeginn am 30. Dezember 2026 benannt sein. Zu den Aufgaben rund um den Bericht gehören die kontinuierliche Dokumentation der umgesetzten Maßnahmen, die Koordination mit Einkauf, Logistik, Zoll und gegebenenfalls dem CSRD-Team sowie die Vorbereitung und Anfertigung des Berichts mit zeitlichem Vorlauf.

Die unabhängige Prüfstelle

Sie führt die jährliche Überprüfung des Sorgfaltspflichtsystems nach Art. 12 Abs. 2 durch und kann intern oder extern angesiedelt sein. Ihre Befunde sind zentraler Input für den Bericht, denn sie liefert die Antwort auf die Frage, ob das System wirksam ist und wo Anpassungen nötig sind.

Praxisbeispiele: Wie ein EUDR-Jahresbericht in der Realität aussieht

Beispiel 1 – Großer Kaffeeröster

Ein Kaffeeröster mit Sitz in der EU importiert jährlich große Mengen Rohkaffee (HS 0901) aus mehreren Drittländern. Da das Unternehmen die KMU-Schwellen überschreitet, ist es als Nicht-KMU-Operator berichtspflichtig.

Im Jahresbericht beschreibt das Unternehmen sein Sorgfaltspflichtsystem inklusive Lieferantenbewertung und Erfassung der Geolokalisierung. Ein zentraler Teil ist die Risikobewertung pro Herkunftsland. Dabei wird differenziert zwischen Brasilien, Vietnam und Äthiopien und unter Berücksichtigung politischer und sozialer Faktoren wie etwa Korruptionsrisiken oder Konflikten. Wo nicht vernachlässigbare Risiken identifiziert wurden, dokumentiert der Bericht die Risikominderungsmaßnahmen, etwa Kooperationen mit Erzeugergruppen, vertraglich verankerte Geodaten-Pflichten oder den Ausschluss bestimmter Lieferanten. Hinzu kommen die Ergebnisse der jährlichen Systemprüfung nach Art. 12 Abs. 2, einschließlich identifizierter Schwachstellen und beschlossener Anpassungen, sowie ein Überblick über Schulungen für Einkaufsteams und den Tätigkeitsbericht der unabhängigen Prüfstelle.

Beispiel 2 – Importeur von Holzrahmen

Ein Importeur von Holzrahmen (HS 4414), ebenfalls kein KMU, fällt unter Art. 12 Abs. 3. Der Bericht setzt inhaltlich an drei Stellen an: bei den Geolokalisierungsdaten aller Erntegebiete und den Nachweisen zur Entwaldungsfreiheit mit Referenz auf den 31.12.2020, bei der Prüfung der Legalität der Holzgewinnung im Herstellungsland (Lizenzen, Landnutzungsrechte, Steuerverpflichtungen) und bei den durchgeführten Lieferanten-Audits zur Verifizierung der gelieferten Informationen. Abgerundet wird der Bericht durch das Ergebnis der jährlichen Systemprüfung und die konkreten Anpassungen, die das Unternehmen für das Folgejahr beschlossen hat.

Erleichterungen und Vereinfachungen, die den Aufwand senken

Seit Inkrafttreten 2023 hat die EUDR mehrere Vereinfachungsrunden durchlaufen. Die Kommission rechnet damit, dass die jährlichen Compliance-Kosten um rund 75 % sinken – von ursprünglich geschätzten 8,1 Mrd. € auf etwa 2,0 Mrd. € pro Jahr. Die wichtigsten Hebel im Überblick:

• Vereinfachte Sorgfaltspflicht für Niedrigrisikoländer: Wer ausschließlich aus Low-Risk-Regionen bezieht, muss keine umfassende Risikobewertung und keine Risikominderung nach Art. 10 und 11 durchführen, außer es liegen konkrete Hinweise auf Nichtkonformität vor. Informationssammlung (Art. 9) und Due-Diligence-System (Art. 12) bleiben verpflichtend.
• Sammel-DDS für mehrere Sendungen: Eine DDS kann mehrere Sendungen abdecken, sollte aber maximal ein Jahr ab Einreichung umfassen (FAQ 5.19). Das reduziert administrativen Aufwand erheblich gegenüber einer DDS pro Lieferung.
• MSPO-Regime: Kleinst- und Kleinerzeuger aus Low-Risk-Ländern reichen nur eine einmalige vereinfachte Erklärung ein, dürfen die Postanschrift statt Geokoordinaten verwenden und können autorisierte Vertreter beauftragen.
• Vereinfachte Pflichten für Downstream-Akteure: Nachgelagerte Unternehmen müssen keine eigene Sorgfaltsprüfung durchführen, sondern Referenznummern strukturiert aufnehmen und aufbewahren.
• CSRD-Integration: Wer ohnehin nach CSRD berichtet, vermeidet Doppelarbeit, ausdrücklich von der Kommission in FAQ 9.9 (Version 5) bestätigt.

Praktische Tipps zur Vorbereitung Ihres ersten Jahresberichts

Das EUDR-Informationssystem (TRACES) frühzeitig einbinden

Das zentrale IT-System ist seit 4. Dezember 2024 produktiv, wird derzeit überarbeitet und voraussichtlich in der zweiten Hälfte 2026 wieder live geschaltet. Es ist der Dreh- und Angelpunkt jeder EUDR-Compliance und damit auch der wichtigste Datenlieferant für den Jahresbericht. Wer dort sauber arbeitet, hat am Jahresende belastbare Zahlen zur Anzahl eingereichter DDS, zu Geokoordinaten der Erzeugungsflächen, zu Risikoeinstufungen und zu Korrekturen.

Praktisch wichtig sind drei Eigenschaften des Systems:

• Es unterstützt GeoJSON-Uploads mit einer maximalen Dateigröße von 25 MB pro DDS (entspricht über einer Million Geopunkten), bietet Sprachversionen in allen EU-Amtssprachen und erlaubt API-basierten Bulk-Upload für große Datenmengen.
• Für Unternehmen mit vielen DDS lohnt sich der Aufbau einer maschinellen Schnittstelle zwischen ERP-System und TRACES – manuelle Einreichungen über die Weboberfläche skalieren in größeren Organisationen nicht.
• DDS und SD können bis 72 Stunden nach Vergabe der Referenznummer geändert oder zurückgezogen werden, sofern noch nicht in einer Zollanmeldung verwendet. Für den Jahresbericht heißt das: Auch Korrekturen sollten dokumentiert werden, weil sie zur Wirksamkeit des Systems gehören.

FAQ Version 5 und Guidance Document als Arbeitsgrundlage

Die FAQ Version 5 der Kommission vom April 2026 enthält über 80 Klarstellungen zu Sorgfaltspflicht, Geodaten, Benchmarking und Risikobewertung inklusive der Auswirkungen des Trilog-Beschlusses vom Dezember 2025. Für den Jahresbericht sind insbesondere die Klarstellungen zur CSRD-Integration (Ziff. 9.9), zur Sammel-DDS (Ziff. 5.19), zur Konzernfrage (Ziff. 3.8 und 3.10) und zum Verhältnis zwischen EUDR und CSDDD relevant.

Praktisch bewährt sich folgendes Vorgehen:

1. Lesen Sie die FAQ einmal vollständig, markieren Sie die für Ihre Branche und Ihr Geschäftsmodell relevanten Stellen und legen Sie ein internes Dokument an, das die Auslegung Ihres Unternehmens festhält.
2. Wenn die Kommission eine neue Version veröffentlicht (typischerweise zwei- bis dreimal pro Jahr), gleichen Sie ab, ob sich Ihre Auslegungen geändert haben.
3. Diese Auslegungs-Dokumentation ist im Streitfall mit Behörden oder Geschäftspartnern Gold wert und im Jahresbericht ein guter Beleg dafür, dass das Sorgfaltspflichtsystem auf aktuellen Quellen basiert.

Gleiches gilt für das Guidance Document der Kommission (2026), das die rechtlichen Anforderungen mit Praxisbeispielen und Good-Practice-Hinweisen unterlegt, besonders zu Composite Products, zum Review-Prozess nach Art. 12 Abs. 2 und zu Massenrohstoffen.

EU Observatory und Satellitendaten richtig einordnen

Das EU Observatory on Deforestation and Forest Degradation liefert wissenschaftliche Evidenz und Land-Cover-Maps zum Stichtag 31.12.2020, die Risikobewertungen unterstützen können. Das ist ein wichtiges Hilfsmittel aber kein Freibrief. Die Maps ersetzen die eigene Sorgfaltsprüfung ausdrücklich nicht, sie helfen lediglich bei der Plausibilisierung von Geokoordinaten und Flächenangaben.

Für den Jahresbericht relevant ist die richtige Einordnung: Wenn das Unternehmen mit Satellitendaten arbeitet, sollte der Bericht beschreiben, welche Tools verwendet wurden (z. B. Copernicus, kommerzielle Anbieter, das EU Observatory), wie ihre Ergebnisse in die Risikobewertung eingeflossen sind und wo die Grenzen dieser Methoden liegen. Auflösungsgrenzen, Wolken-Abdeckung und Zeitpunkte der Aufnahmen sind keine Nebensächlichkeiten – sie bestimmen, wie verlässlich die Aussage „entwaldungsfrei seit 31.12.2020" tatsächlich ist.

Dokumentation als Designaufgabe begreifen, nicht als Ablageproblem

Die größte Falle bei der EUDR-Compliance liegt nicht im Sammeln der Daten, sondern in der späteren Auffindbarkeit.

Drei Fragen sollten Sie für jeden Produktfluss beantworten können:

• Welche Mindestnachweise müssen vorliegen, etwa Geokoordinaten, Erntedatum, Legalitätsnachweis, Lieferantenbestätigung?
• Wo werden sie systemseitig gespeichert, etwa im ERP, im Lieferantenportal, im DMS, in TRACES?
• Und wie wird verhindert, dass verschiedene Teams, etwa Einkauf, Logistik, Compliance, Vertrieb, mit unterschiedlichen Versionen derselben Information arbeiten?

In der Praxis hat sich bewährt, je Produktkategorie eine Mindestnachweis-Matrix zu definieren. Sie listet auf, welche Dokumente, Daten und Referenzen für die Compliance erforderlich sind, wo sie liegen, wer sie pflegt und wann sie zuletzt überprüft wurden. Diese Matrix ist nicht nur Arbeitsgrundlage im Tagesgeschäft, sondern wird im Jahresbericht zur Beschreibung des Sorgfaltspflichtsystems herangezogen. Ergänzend lohnt sich ein Freigabe-Workflow, der pro Sendung dokumentiert, wer wann mit welchen Informationen die EUDR-Konformität bestätigt hat – das macht im Ernstfall auch nachträglich nachvollziehbar, wie eine Entscheidung zustande kam.

Reporting früh in Governance-Strukturen einplanen

Wer 2026 erst überlegt, wer im Unternehmen für den EUDR-Jahresbericht 2027 zuständig sein soll, ist bereits spät dran. Benennen Sie spätestens bis Mitte 2026 den EUDR-Compliance-Beauftragten und etablieren Sie die unabhängige Prüfstelle, die die jährliche Systemüberprüfung nach Art. 12 Abs. 2 durchführen wird. Beide Rollen sollten formell durch eine Delegationsrichtlinie verankert sein, damit Verantwortlichkeiten im Streitfall klar sind.

Klären Sie zudem fünf konkrete Fragen rund um die Berichtserstellung:

• Wer schreibt den Bericht?
• Wer liefert die Daten zu?
• In welcher Frequenz tauschen sich die Beteiligten aus – wöchentlich, monatlich, quartalsweise?
• Wer gibt den Bericht final frei – Compliance, Vorstand, Aufsichtsrat?
• Und wo wird der Bericht veröffentlicht – auf der eigenen Website, im Nachhaltigkeitsbericht, in einem separaten Dokument?

Bei Konzernstrukturen lohnt eine zusätzliche Klärung: Die EUDR-Pflichten gelten je juristischer Person, nicht je Konzern. Jede Tochtergesellschaft, die als Operator agiert, muss ihre KMU-Schwellen eigenständig prüfen und gegebenenfalls einen eigenen Jahresbericht abgeben. Eine zentrale Compliance-Funktion auf Konzernebene kann unterstützen, ersetzt aber nicht die Verantwortung der einzelnen Gesellschaft.

CSRD- und EUDR-Reporting frühzeitig synchronisieren

Wenn Ihr Unternehmen bereits unter die CSRD fällt, sollten Sie nicht zwei parallele Reporting-Prozesse aufbauen. Die FAQ 9.9 (Version 5) stellt klar, dass die EUDR-Berichtspflicht durch Aufnahme der relevanten Informationen in den CSRD-Bericht erfüllt werden kann.

Ein typischer blinder Fleck: Die CSRD verlangt Aussagen auf einem höheren Aggregationsniveau, die EUDR fordert konkrete Angaben zum Sorgfaltspflichtsystem. Sie können beides verzahnen, aber nicht einfach gleichsetzen. Eine kurze Brücke im Nachhaltigkeitsbericht, etwa ein Abschnitt „EUDR-Berichterstattung nach Art. 12 Abs. 3" mit Verweisen auf die einschlägigen ESRS-Stellen, ist praktikabel und wird von der Kommission akzeptiert.

Lieferantenkommunikation als kontinuierlichen Prozess aufsetzen

Die Daten für den Jahresbericht entstehen nicht im eigenen Haus, sondern bei den Lieferanten – und dort oft mehrere Stufen entfernt. Wer erst kurz vor der Berichterstellung Geokoordinaten, Legalitätsnachweise und Zertifikate anfragt, wird scheitern.

Sinnvoll ist ein dreistufiges Vorgehen:

1. Erstens vertragliche Verankerung der EUDR-Anforderungen in neuen und bestehenden Lieferverträgen, einschließlich konkreter Datenlieferpflichten und Konsequenzen bei Nichterfüllung.
2. Zweitens strukturierte Lieferantenfragebögen mit klaren Pflichtfeldern, möglichst digital, damit die Antworten direkt weiterverarbeitet werden können.
3. Drittens regelmäßige Updates und Audits, weil Lieferketten sich verändern und einmal erhobene Daten ohne Pflege schnell veralten.

Im Jahresbericht ist das Lieferantenmanagement ein wichtiger Baustein, nicht nur als Pflichtangabe, sondern als Beleg dafür, dass das Unternehmen seine Sorgfaltspflicht ernst nimmt und systematisch umsetzt.

Pilotjahr 2026 nutzen, statt 2027 unter Volldruck zu starten

Ein letzter, oft unterschätzter Tipp: Auch wenn der erste Bericht das Jahr 2027 abdeckt, lohnt sich ein internes Pilotjahr 2026. Erstellen Sie einen vollständigen Probe-Bericht auf Basis der bis dahin verfügbaren Daten, auch wenn er nicht veröffentlicht wird.

Sie werden dabei drei Dinge feststellen:

1. Welche Daten fehlen Ihnen noch?
2. Wo sind interne Schnittstellen unklar?
3. Und wie viel Vorlauf brauchen Sie wirklich, bis ein veröffentlichungsreifer Text steht?

Diese Erkenntnisse fließen in die Verbesserung des Systems ein, bevor die echte Pflicht greift. Ein Probelauf ist günstiger als ein hektischer Endspurt im November 2027 – und er liefert dem Compliance-Beauftragten und der unabhängigen Prüfstelle eine realistische Vorstellung davon, wie der echte Bericht aussehen wird.

Fazit

Die EUDR-Berichtspflicht nach Art. 12 Abs. 3 ist mehr als eine formale Hürde – sie ist das öffentliche Schaufenster Ihres Sorgfaltspflichtsystems. Aber sie ist auch nicht der eigentliche Kraftakt: Die Arbeit liegt darunter. Wer 2026 das System sauber aufsetzt, kontinuierlich dokumentiert und die jährliche Systemprüfung nach Art. 12 Abs. 2 ernst nimmt, wird Ende 2027 keinen Bericht „erfinden" müssen – sondern nur verdichten, was ohnehin vorhanden ist.

Die gute Nachricht: Die Kommission hat mit Vereinfachungen, dem MSPO-Regime, der Low-Risk-Klassifizierung, der Sammel-DDS und der CSRD-Integration den Aufwand deutlich gesenkt. Wer jetzt anfängt, Rollen klärt, den Compliance-Beauftragten benennt, die unabhängige Prüfstelle etabliert und Dokumentationsstandards definiert, geht am 30. Dezember 2026 nicht aus dem Stand in die Pflicht – sondern mit einem System, das auch unter Prüfungsdruck steht.