EUDR Downstream Operators und der Inbound-Prozess: Was FAQ 3.4 wirklich verlangt

Executive Summary

Downstream Operators und Händler unter der EU-Entwaldungsverordnung (EUDR) trifft eine deutlich schlankere Pflicht als Erstinverkehrbringer: keine eigene Sorgfaltsprüfung, keine DDS-Abgabe. Stattdessen müssen sie Stammdaten ihrer direkten Lieferanten und Kunden erfassen und, sofern sie first downstream operator sind, also direkt von einem Upstream Operator beliefert werden, zusätzlich die DDS-Referenznummern aufnehmen und der eingehenden Lieferung zuordnen. Diese Sammelpflicht ist passiv: Wer keine Referenznummer erhält, darf nach Treu und Glauben annehmen, kein first downstream zu sein.

Alle Informationen sind fünf Jahre aufzubewahren. Nicht-KMU müssen sich zusätzlich im EUDR-Informationssystem (TRACES) registrieren und bei substantiierten Bedenken aktiv verifizieren, ob die vorgelagerte Sorgfaltspflicht erfüllt wurde. KMU sind von Registrierung und Verifikation befreit, treffen aber dieselbe Melde- und Aufbewahrungspflicht.

Die Pflichten gelten für Nicht-KMU ab dem 30. Dezember 2026, für Kleinst- und Kleinunternehmen ab dem 30. Juni 2027. Bei Verstößen drohen Geldbußen von mindestens 4 % des unionsweiten Jahresumsatzes, Beschlagnahme, Vertriebsverbot und öffentliche Listung. Wer Rollen klärt, Stammdaten erweitert und einen Eskalationsprozess für begründete Bedenken etabliert, ist mit überschaubarem Aufwand compliant.

Alles wichtige rund um den Downstream Operator

First oder Second Downstream? Davon hängt fast alles ab

Mit der EUDR-Vereinfachung von Dezember 2025 ist eine Unterscheidung in den Vordergrund gerückt, die viele nachgelagerte Unternehmen noch nicht auf dem Schirm haben: Nur der erste Downstream Operator in der Kette muss DDS-Referenznummern aufnehmen. Alle weiteren Akteure sind davon befreit. FAQ 3.4 der Europäischen Kommission (5. Version der offiziellen FAQ) macht das deutlich und reduziert den Inbound-Aufwand für die meisten Unternehmen deutlich.

Wer ist Downstream Operator und wer nicht?

Die Abgrenzung der Rollen ist die Grundlage für alles Weitere. Sie ergibt sich aus Art. 2(15)–(15b) EUDR:

• Operator (Upstream Operator): Bringt ein relevantes Produkt zum ersten Mal auf den EU-Markt oder exportiert es. das Produkt war bislang nicht durch eine DDS oder SD abgedeckt. Volle Sorgfaltspflicht inkl. DDS-Abgabe.
• Downstream Operator: Stellt im Rahmen einer kommerziellen Tätigkeit relevante Produkte bereit oder exportiert sie, die bereits durch eine DDS oder SD eines vorgelagerten Operators abgedeckt sind. Beispiel: Ein EU-Schokoladenhersteller, der bereits geprüfte Kakaobohnen verarbeitet.
• Händler (Trader): Jeder andere Akteur, der ein bereits in Verkehr gebrachtes Produkt weiterverkauft (z. B. Einzel- oder Großhandel). Die Pflichten sind im Wesentlichen identisch mit denen eines Downstream Operators.

First vs. Second Downstream Operator

Diese Unterscheidung ist neu und seit der Dezember-2025-Vereinfachung der Schlüssel zum Inbound-Prozess:

• First Downstream Operator: wer direkt von einem (Upstream) Operator beliefert wird. Pflicht: DDS-Referenznummer aufnehmen und der Inbound-Lieferung zuordnen.
• Second Downstream Operator (oder jeder weitere in der Kette): wer von einem anderen Downstream Operator oder Trader beliefert wird. Pflicht: lediglich Lieferanten- und Kundendaten erfassen, keine Referenznummer.

Die Kernpflichten der FAQ 3.4 im Überblick

Die FAQ 3.4 strukturiert die Pflichten in drei Bausteine. Diese gelten gleichermaßen für Downstream Operators und Händler.

Informationen über Geschäftspartner sammeln

Folgende Daten sind zu jedem direkten Lieferanten und zu jedem direkten gewerblichen Kunden zu erfassen:

• Name bzw. eingetragene Handelsbezeichnung oder Marke
• Postanschrift
• E-Mail-Adresse
• Web-Adresse (sofern vorhanden)

DDS-Referenznummern – nur für erste Downstream Operators/Trader

Ist der direkte Lieferant ein Upstream Operator, kommen zusätzlich hinzu:

• DDS-Referenznummern (bei Operators) bzw. Erklärungskennungen (bei MSPOs mit SD)

Diese müssen mit den eingehenden Produktströmen verknüpft sein, nicht mit ausgehenden. Eine Speicherung in einem bestimmten System oder einer Datenbank ist nicht vorgeschrieben. Entscheidend ist nur, dass die Daten auf Behördenanfrage in angemessener Zeit bereitgestellt werden können.

Warum das eine passive Pflicht ist

Das ist der zentrale Punkt, den FAQ 3.4 (in Kombination mit 3.5) klarstellt und der in der Praxis oft missverstanden wird:

• Der Downstream Operator muss nicht proaktiv beim Lieferanten nachfragen, ob dieser ein Upstream Operator ist.
• Er muss seine eigene Position in der Lieferkette nicht aktiv erforschen.
• Die Weitergabepflicht liegt beim Upstream Operator (Art. 4(7) EUDR): Er gibt die Referenznummer proaktiv an seinen direkten Abnehmer weiter.
• Erhält der Downstream Operator keine Referenznummer, darf er nach Treu und Glauben annehmen, sein Lieferant sei kein Upstream Operator.
• Nur wenn er positiv weiß, dass der Lieferant ein Upstream Operator ist und seiner Weitergabepflicht nicht nachkommt, muss er das Produkt zurückhalten (Art. 5(1) EUDR).

Registrierung im Informationssystem – nur für Nicht-KMU

• Nicht-KMU Downstream Operators und Händler müssen sich vor dem ersten Inverkehrbringen/Export im EUDR-Informationssystem (TRACES) registrieren (Art. 5(2) EUDR).
• KMU sind von der Registrierung befreit.

Maßgeblich sind die Schwellenwerte der Bilanzrichtlinie 2013/34/EU, nicht die KMU-Empfehlung der Kommission von 2003. Mittlere Unternehmen überschreiten nicht mindestens zwei dieser drei Werte: 25 Mio. € Bilanzsumme, 50 Mio. € Nettoumsatz, 250 Beschäftigte.

Ab wann gelten die Pflichten?

Nach den jüngsten Verschiebungen und der Veröffentlichung der überarbeiteten Fassung im Amtsblatt am 23. Dezember 2025 gilt folgender Fahrplan:

• Nicht-KMU (große und mittlere Unternehmen): ab 30. Dezember 2026
• Kleinst- und Kleinunternehmen: ab 30. Juni 2027
• Sonderfall EUTR-Erzeugnisse: Kleinst-/Kleinunternehmen, die unter die alte EU-Holzhandelsverordnung (EUTR) fielen, starten bereits am 30. Dezember 2026, nicht erst sechs Monate später.

Die zusätzliche Zeit ist keine Pause: Rollenklärung, Anpassung der Lieferanten-Stammdaten und Aufbau interner Inbound-Prozesse dauern in der Praxis meist länger als die reine Rechtsprüfung.

Begründete Bedenken: Meldepflicht für alle, Verifizierungspflicht nur für Nicht-KMU

Ein „begründetes Bedenken" (substantiated concern) ist nach Art. 2(31) EUDR eine gebührend begründete Behauptung auf der Grundlage objektiver und überprüfbarer Informationen über Verstöße gegen diese Verordnung, die ein Tätigwerden der zuständigen Behörden erfordern könnte. Eine pauschale Aussage, ein Unternehmen beziehe „aus einem Risikoland", reicht nicht. Es braucht eine konkrete, mit Nachweisen unterlegte Argumentationskette. Mehr zu dem Thema in unserem Blogbeitrag zu den Substantiated Concerns erfahren.

Was Downstream Operators tun müssen, sobald sie Kenntnis erlangen

Alle (auch KMU): Unverzüglich die zuständige Behörde des Mitgliedstaats informieren, in dem das Produkt in Verkehr gebracht wurde, sowie die belieferten nachgelagerten Akteure. Bei Exporten ist die Behörde des Produktionslandes zu informieren.

Zusätzlich nur Nicht-KMU (Art. 5(6) EUDR): Aktiv überprüfen, ob die Sorgfaltspflicht ordnungsgemäß ausgeübt wurde und kein oder nur ein vernachlässigbares Risiko besteht. Solange diese Verifikation nicht abgeschlossen ist, gilt faktisch ein Vertriebsstopp. Mögliche Prüfschritte:

• Prüfung der Gültigkeit der DDS im Informationssystem
• Auswertung öffentlich verfügbarer Jahresberichte des Upstream Operators (Art. 12(3) EUDR)
• Einsicht in Audit-Ergebnisse (Art. 11(2)(b) EUDR)
• Konsultation der Länder-Risikoklassifikation (Art. 29(2) EUDR)
• Freiwillige Anforderung weiterer Informationen vom Lieferanten
• Falls nichts davon greift: Zusammenarbeit mit der Behörde durch Nennung des Vorlieferanten

Die Verifizierungspflicht ist reaktiv. Sie ist ausdrücklich keine systematische Routineprüfung, sondern eine anlassbezogene Reaktion auf konkrete Hinweise.

Praxisbeispiele

Beispiel 1: Schokoladenhersteller (Nicht-KMU)

Ein EU-Importeur importiert Kakaobohnen aus einem Drittland (Upstream Operator), reicht die DDS ein und gibt die Referenznummer an seinen Abnehmer weiter. Ein Schokoladenhersteller (Nicht-KMU) verarbeitet die Bohnen zu Schokolade und bringt diese in der EU in Verkehr.

• Rolle: First Downstream Operator (Nicht-KMU)
• Pflichten: Referenznummer + Kontaktdaten des Importeurs aufnehmen, 5 Jahre aufbewahren; Registrierung im Informationssystem; Meldepflicht bei begründeten Bedenken; zusätzlich Verifizierungspflicht bei begründeten Bedenken.

Beispiel 2: Holzhändler (KMU)

Ein kleines Sägewerk in einem Low-Risk-Land (MSPO) reicht eine SD ein. Ein mittelständischer Holzhändler (KMU) kauft das Schnittholz und verkauft es an einen Möbelhersteller in der EU.

• Rolle: Trader (KMU)
• Pflichten: SD-Erklärungskennung + Kontaktdaten des Sägewerks aufnehmen und 5 Jahre aufbewahren; keine Registrierung; Meldepflicht bei begründeten Bedenken; keine Verifizierungspflicht.

Beispiel 3: Doppelrolle bei Verarbeitung mit anschließendem Export

Ein Reifenhersteller A importiert vulkanisierten Kautschuk in die EU (Upstream Operator), verarbeitet ihn zu Reifen und exportiert einen Teil davon.

• Beim Kautschuk-Import: Upstream Operator → volle Sorgfaltspflicht, DDS, Referenznummer in der Zollanmeldung.
• Beim Reifen-Export: Downstream Operator → keine neue Referenznummer in der Zollanmeldung nötig; stattdessen genügt der dedizierte TARIC-Zertifikatscode (vgl. FAQ 5.6.1).

Die interne Weitergabe von Referenznummern entfällt, weil Operator- und Downstream-Funktion in derselben juristischen Person zusammenfallen.

Sanktionsrisiko: Was bei Verstößen droht

Die Sanktionslogik der EUDR ist scharf angelegt, weil sie den Marktzugang als Hebel nutzt. Auch Downstream Operators und Händler stehen im Risiko, wenn sie ihre Pflichten verletzen. Art. 25 EUDR gibt den Mitgliedstaaten einen Mindestrahmen vor:

• Geldbußen für juristische Personen: gesetzliches Höchstmaß mindestens 4 % des unionsweiten Jahresumsatzes des Vorjahres.
• Beschlagnahme der Produkte und/oder der erzielten Erlöse.
• Vorübergehender Ausschluss von öffentlichen Aufträgen und EU-Förderungen bis zu 12 Monate.
• Bei schwerwiegenden Verstößen: vorübergehendes Verbot des Inverkehrbringens.
• Veröffentlichung rechtskräftiger Urteile gegen juristische Personen auf einer Liste der Kommission („Naming and Shaming").

Hinzu kommt das Reputationsrisiko gegenüber Kunden, Investoren und NGOs – das in der Praxis oft schwerer wiegt als die Geldbuße selbst.

Inbound-Prozess konkret aufsetzen: Was jetzt zu tun ist

Die FAQ 3.4 beschreibt das Was, nicht das Wie. Fünf Schritte haben sich als sinnvolle Reihenfolge bewährt:

1. Rolle klären. Bin ich Operator, First Downstream, Second Downstream oder Trader? Habe ich Doppelrollen für unterschiedliche Produktströme? Daraus ergibt sich der konkrete Pflichtenumfang.
2. KMU-Status feststellen. Schwellen nach Bilanzrichtlinie 2013/34/EU prüfen, dabei Zwei-Jahres-Regel und Konzern-Einzelbetrachtung beachten. Davon hängen Registrierungs- und Verifizierungspflicht ab.
3. Lieferanten-Stammdaten erweitern. Pflichtfelder im ERP oder Lieferantensystem ergänzen: vollständige Anschrift, E-Mail, Web, und – als technisches Feld – DDS-Referenznummer/Erklärungskennung mit Verknüpfung zum eingehenden Produktstrom (Charge, Wareneingangsbeleg, Bestellnummer).
4. Eskalationsprozess definieren. Wer reagiert, wenn ein substantiated concern eintrifft? Wer informiert die zuständige Behörde innerhalb welcher Frist? Wer entscheidet (bei Nicht-KMU) über den temporären Vertriebsstopp während der Verifikation?
5. Verantwortlichkeiten festlegen. EUDR-Inbound betrifft Einkauf, Wareneingang, Compliance und IT gleichzeitig. Ohne klare Zuordnung bleibt die Pflicht zwischen den Funktionen liegen.

Fazit

Der Inbound-Prozess für Downstream Operators und Händler ist deutlich schlanker als die volle Sorgfaltspflicht eines Operators – aber er ist nicht trivial. Drei Punkte entscheiden über reibungslose Compliance:

1. Klarheit über die eigene Rolle: First Downstream, Second Downstream oder Trader? KMU oder Nicht-KMU? Davon hängt fast alles ab.
2. Saubere Inbound-Zuordnung: Eingehende Referenznummern müssen mit dem zugehörigen Produktstrom verknüpft und fünf Jahre auffindbar sein.
3. Bereitschaft für den Ernstfall: Bei begründeten Bedenken zählt jede Stunde – die Meldewege und (für Nicht-KMU) die Verifizierungsschritte sollten vorher festgelegt sein.

Die EU-Kommission hat den Aufwand für nachgelagerte Akteure mit den jüngsten FAQ- und Guidance-Klarstellungen bewusst minimiert. Wer die Logik der passiven Pflicht und der First-Downstream-Position verstanden hat, kann den Prozess mit überschaubarem Ressourceneinsatz aufsetzen – und ist gleichzeitig für eine Behördenanfrage oder einen substantiierten Hinweis gewappnet.