Software für ESG und Finanzreporting

Die Corporate Sustainability Due Diligence Directive, kurz CSDDD oder CS3D, ist das europäische Lieferkettengesetz. Sie verpflichtet Unternehmen dazu, menschenrechtliche und umweltbezogene Risiken in ihren eigenen Aktivitäten, bei Tochterunternehmen und entlang relevanter Geschäftsbeziehungen systematisch zu erkennen, zu priorisieren und zu adressieren.

Damit unterscheidet sich die CSDDD klar von der CSRD. Während die CSRD vor allem Transparenz über Nachhaltigkeit schafft, verlangt die CSDDD operatives Handeln: Risikoanalyse, Prävention, Abhilfe, Beschwerdemechanismen, Wirksamkeitskontrolle und Dokumentation.

Durch Omnibus I wurde die CSDDD deutlich entschärft. Der Anwendungsbereich ist kleiner, der Start ist verschoben, die Klimaplanpflicht ist gestrichen und die EU-weit harmonisierte zivilrechtliche Haftung ist entfernt. Die Richtlinie bleibt jedoch relevant, insbesondere für große Unternehmen mit komplexen Lieferketten sowie für Geschäftspartner, die weiterhin Daten und Nachweise bereitstellen müssen.

CSDDD Rückblick und aktueller Stand Juni 2026

Die ursprüngliche CSDDD wurde am 5. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 25. Juli 2024 in Kraft. Die Richtlinie sollte ab Juli 2027 schrittweise wirksam werden. Ziel war ein einheitlicher europäischer Rahmen für unternehmerische Sorgfaltspflichten. Unternehmen sollten negative Auswirkungen auf Menschenrechte und Umwelt nicht nur berichten, sondern aktiv verhindern, mindern oder beheben.

Mit dem im Februar 2025 vorgestellten Omnibus-I-Paket nahm die EU-Kommission jedoch wesentliche Anpassungen vor, die den Anwendungsbereich, die Umsetzungsfristen sowie den Umfang der Sorgfaltspflichten deutlich einschränkten. Nach der Einigung im Trilog im Dezember 2025 und der anschließenden Verabschiedung durch den Rat im Februar 2026 wurde die überarbeitete Richtlinie als Richtlinie (EU) 2026/470 im Amtsblatt der Europäischen Union veröffentlicht. Sie ist seit dem 18. März 2026 in Kraft.

Die Mitgliedstaaten müssen die geänderte CSDDD bis zum 26. Juli 2028 in nationales Recht umsetzen. Unternehmen müssen die neuen Pflichten grundsätzlich ab Juli 2029 erfüllen.

CSDDD nach Omnibus I: Was sich konkret geändert hat

Das Omnibus-I-Paket hat die CSDDD grundlegend neu ausgerichtet. In der finalen Fassung, die im März 2026 in Kraft getreten ist, wurden Anwendungsbereich, Umsetzungsfristen und Pflichten für Unternehmen deutlich reduziert. Die folgende Übersicht zeigt die zentralen Änderungen von der ursprünglichen CSDDD zur aktuellen Fassung nach Omnibus:

Bereich	Ursprüngliche CSDDD	Finale CSDDD nach Omnibus I
Direkter Anwendungsbereich	EU-Unternehmen mit mehr als 1.000 Beschäftigten und mehr als 450 Mio. Euro weltweitem Nettoumsatz	EU-Unternehmen mit mehr als 5.000 Beschäftigten und mehr als 1,5 Mrd. Euro Nettoumsatz
Drittstaatenunternehmen	Erfasst ab mehr als 450 Mio. Euro Nettoumsatz in der EU	Erfasst ab mehr als 1,5 Mrd. Euro Umsatz pro Jahr in der EU
Franchise- und Lizenzmodelle	Erfasst bei niedrigeren Umsatz- und Gebührenwerten	Erfasst bei mehr als 75 Mio. Euro Gebühren aus Franchise- oder Lizenzrechten und mehr als 275 Mio. Euro weltweitem Umsatz
Zeitplan	Nationale Umsetzung ursprünglich bis Juli 2026, erste Anwendung ab 2027	Umsetzung in nationales Recht bis 26. Juli 2028; Anwendung grundsätzlich ab 26. Juli 2029. Die jährliche Veröffentlichung zu Due-Diligence-Themen soll für Geschäftsjahre ab dem 1. Januar 2030 greifen.
Risikobasierter Ansatz	Sorgfaltspflichten entlang eigener Aktivitäten, Tochterunternehmen und relevanter Geschäftsbeziehungen	Unternehmen können sich stärker auf Bereiche konzentrieren, in denen negative Auswirkungen am wahrscheinlichsten oder schwerwiegendsten sind, Grundlage sind angemessen verfügbare Informationen
Informationsanfragen	Risiko umfangreicher Datenabfragen entlang der Lieferkette	Informationsanfragen sollen zielgerichtet, angemessen und verhältnismäßig sein. Der Trickle-down-Effekt auf kleinere Unternehmen soll reduziert werden.
Klimatransitionsplan	Unternehmen sollten einen Klimaplan zur Minderung des Klimawandels erstellen und umsetzen	Die CSDDD-Pflicht zum Klimatransitionsplan wurde gestrichen
Haftung	Vorgesehen war ein EU-weit harmonisiertes zivilrechtliches Haftungsregime	Das harmonisierte EU-Haftungsregime wurde entfernt. Haftungsfragen richten sich stärker nach nationalem Recht
Sanktionen	Durchsetzung über nationale Aufsichtsbehörden mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen	Nationale Durchsetzung bleibt; maximale Bußgeldrahmen liegt bei 3 % des weltweiten Nettoumsatzes
Berichterstattung	Öffentliche Information über Sorgfaltspflichten; Doppelarbeit mit CSRD sollte vermieden werden	Unternehmen, die bereits CSRD-pflichtig berichten, sollen keine parallele Berichterstattung erfüllen müssen, für andere CSDDD-Unternehmen bleibt eine jährliche Veröffentlichung vorgesehen

Stand der CSDDD-Umsetzung in Deutschland

Für Unternehmen in Deutschland ergeben sich derzeit drei zentrale regulatorische Entwicklungen:

Übergangsregelung beim LkSG
Bis zur Einführung eines neuen Rechtsrahmens bleibt das Lieferkettensorgfaltspflichtengesetz (LkSG) grundsätzlich bestehen, wird jedoch schrittweise entschärft. Im Koalitionsvertrag von CDU/CSU und SPD vom April 2025 wurde bereits angekündigt, das Gesetz in seiner bisherigen Form abzuschaffen. Ein vom Bundeskabinett am 3. September 2025 verabschiedeter Gesetzentwurf sieht unter anderem vor, die Berichtspflichten nach § 10 Abs. 2 LkSG rückwirkend zum 1. Januar 2023 aufzuheben. Der Bundestag befasste sich am 16. Januar 2026 erstmals mit dem Gesetzentwurf. Zudem beschränkt sich das BAFA seit September 2025 auf die Verfolgung besonders schwerwiegender Verstöße. Die digitale Berichtsplattform wurde im November 2025 deaktiviert.
Deutsches CSDDD-Umsetzungsgesetz
Nach den Plänen der Bundesregierung soll die Umsetzung der CSDDD nicht über eine Anpassung des bestehenden LkSG erfolgen. Stattdessen ist ein eigenständiges Gesetz zur internationalen Unternehmensverantwortung vorgesehen, das die Anforderungen der Richtlinie in deutsches Recht überführt. Ein konkreter Referenten- oder Regierungsentwurf liegt bislang noch nicht vor. Die Umsetzungsfrist auf EU-Ebene endet am 26. Juli 2028.
Timeline für betroffene Unternehmen
Für Unternehmen, die künftig unter die CSDDD fallen, beginnen die neuen Pflichten erst ab dem 26. Juli 2029. Bis dahin bleibt das LkSG, trotz der vorgesehenen Erleichterungen und der reduzierten behördlichen Durchsetzung, weiterhin die maßgebliche gesetzliche Grundlage für unternehmerische Sorgfaltspflichten in Deutschland.

Was Unternehmen jetzt wirklich klären sollten

Auch wenn die CSDDD-Pflichten erst ab 2029 unmittelbar greifen, sollten Unternehmen nicht abwarten. Die Anforderungen werden bereits vorher über Kundenbeziehungen, Kreditvergabe, Versicherungen und Vertragsbedingungen in die Lieferketten weitergegeben. Auch Unternehmen unterhalb der Schwellenwerte müssen daher damit rechnen, Nachweise, Daten und Prozesse bereitzustellen.

1. Welche Risiken sind wesentlich und warum?

Die CSDDD verlangt keine pauschale Prüfung jeder Geschäftsbeziehung mit gleicher Tiefe. Entscheidend ist eine belastbare Risikologik. Unternehmen sollten erfassen, welche Geschäftsbereiche, Länder, Warengruppen, Rohstoffe, Standorte und Geschäftspartnerprofile besonders relevant sind. Dabei zählen nicht nur Eintrittswahrscheinlichkeiten, sondern auch Schweregrad, Reichweite und Umkehrbarkeit möglicher menschenrechtlicher oder umweltbezogener Auswirkungen.

2. Welche Standards gelten für Geschäftspartner?

Risikomanagement braucht klare Erwartungen. Unternehmen sollten definieren, welche Anforderungen Lieferanten und andere Geschäftspartner erfüllen müssen – etwa zu Menschenrechten, Arbeitsbedingungen, Umweltstandards, Beschwerdewegen und Mitwirkungspflichten. Ein verbindlicher Supplier Code of Conduct, passende Vertragsklauseln und konkrete Prüfkriterien schaffen dafür die Grundlage.

3. Welche Daten sind entscheidungsrelevant?

Viele Lieferkettenprogramme scheitern an verstreuten oder unvollständigen Informationen. Relevante Daten liegen häufig verteilt in Einkauf, Compliance, Nachhaltigkeit, Qualitätssicherung, Legal, HR und lokalen Einheiten. Für CSDDD-Fähigkeit braucht es ein konsistentes Datenmodell: Lieferantenstammdaten, Standortinformationen, Länder- und Branchenrisiken, Produktbezug, Vorfälle, Maßnahmen, Fristen, Verantwortlichkeiten und Nachweise.

4. Wie werden Risiken in Vorsorge- und Nachsorge-Maßnahmen übersetzt?

Eine erkannte Risikostelle ist noch kein gesteuertes Risiko. Unternehmen müssen festlegen, welche Reaktion auf welches Risiko folgt: Lieferantendialog, Selbstauskunft, Vertragsklausel, Audit, Schulung, Korrekturplan, Eskalation oder Beendigung einer Geschäftsbeziehung. Ebenso wichtig ist ein zugänglicher Melde- oder Beschwerdekanal. Außerdem sollte festgelegt werden, wann eine Maßnahme als wirksam gilt und wer diese Bewertung trifft.

5. Welche Governance trägt den Prozess?

Sorgfaltspflichten funktionieren nur, wenn Zuständigkeiten eindeutig geregelt sind. Unternehmen sollten klären, welche Rollen Einkauf, Compliance, Nachhaltigkeit, Legal, HR, Qualitätsmanagement und Geschäftsführung übernehmen. Dazu gehören klare Entscheidungspfade, Eskalationsregeln und Schnittstellen zwischen den beteiligten Funktionen. Ohne diese Struktur bleiben Risiken oft erkannt, aber operativ ungelöst.

7. Wie lässt sich der Prozess effizient skalieren?

CSDDD-Compliance wird schnell komplex, wenn Lieferantendaten, Risikobewertungen, Maßnahmen, Fristen und Nachweise über verschiedene Teams, Länder und Systeme verteilt sind. Manuelle Tabellen reichen dafür meist nur kurzfristig. Eine spezialisierte Software hilft, Informationen zentral zu bündeln, Risiken konsistent zu bewerten, Maßnahmen nachzuverfolgen und Entscheidungen auditfähig zu dokumentieren. So wird Due Diligence nicht nur regulatorisch belastbarer, sondern auch operativ steuerbarer.

Tipp: Die Lieferkettenmanagement-Software von Envoria unterstützt Sie dabei, Risiken in der Lieferkette zu managen, Sorgfaltspflichten einzuhalten und Transparenz im gesamten Lieferantennetzwerk zu schaffen.

Was die CSDDD für nicht direkt betroffene Unternehmen bedeutet

Viele Unternehmen fallen nach Omnibus I nicht mehr unmittelbar unter die CSDDD. Das bedeutet jedoch nicht, dass sie von den Anforderungen unberührt bleiben. In der Praxis werden sie weiterhin über Geschäftsbeziehungen einbezogen – insbesondere als Lieferanten, Dienstleister, Kunden oder Finanzierungspartner großer Unternehmen.

Große Unternehmen, Banken, Versicherungen und Investoren werden auch künftig ESG- und Risikodaten abfragen, um ihre eigenen Sorgfalts-, Kreditprüfungs- und Berichtspflichten erfüllen zu können. Dazu können Informationen zu Standorten, Produkten, Lieferantenstruktur, menschenrechtlichen und umweltbezogenen Risiken, Compliance-Prozessen, Zertifizierungen, Vorfällen sowie bestehenden Präventions- und Abhilfemaßnahmen gehören. In einzelnen Fällen kann auch relevant werden, welche kritischen Zulieferer ein Unternehmen selbst nutzt und wie deren Risikostatus bewertet wird.

Der Unterschied zur ursprünglichen Debatte liegt vor allem in der Verhältnismäßigkeit: Informationsanforderungen sollen künftig stärker begründet, risikobasiert und auf relevante Datenpunkte begrenzt werden. Sie verschwinden dadurch aber nicht. Unternehmen, die belastbare Basisinformationen zu Nachhaltigkeit, Compliance, Lieferketten, Standorten, Produkten und Risikobewertungen zentral verfügbar haben, können schneller reagieren, Kunden- und Bankenanforderungen effizienter erfüllen und unnötigen Abstimmungsaufwand vermeiden.

Fazit: Die CSDDD wird kleiner, aber nicht nebensächlich

Die CSDDD wurde durch Omnibus I deutlich abgeschwächt. Weniger Unternehmen sind direkt betroffen, die Anwendung startet später und einzelne Pflichten wurden reduziert. Daraus folgt jedoch keine Entwarnung. Die Richtlinie bleibt ein zentraler Referenzrahmen für unternehmerische Sorgfaltspflichten in Europa.

Für direkt betroffene Unternehmen entsteht bis 2029 ein klarer Vorbereitungsauftrag. Sie müssen Risiken nachvollziehbar bewerten, geeignete Maßnahmen steuern, Zuständigkeiten festlegen und Entscheidungen auditfähig dokumentieren. Für nicht direkt betroffene Unternehmen liegt die Relevanz vor allem in der Praxis der Geschäftsbeziehungen: Kunden, Banken, Versicherungen und Investoren werden weiterhin ESG-, Lieferketten- und Risikodaten anfordern.

Entscheidend ist deshalb nicht, ob Unternehmen sofort formell unter die CSDDD fallen. Entscheidend ist, ob sie belastbare Informationen, klare Prozesse und transparente Nachweise bereitstellen können. Wer diese Grundlagen früh aufbaut, reduziert den Abstimmungsaufwand, stärkt die eigene Lieferfähigkeit und schafft eine belastbare Basis für künftige regulatorische und marktseitige Anforderungen.