Die EU-Lieferkettenrichtlinie (CSDDD), auf Englisch Corporate Sustainability Due Diligence Directive, kurz CS3D, formal Richtlinie (EU) 2024/1760, verpflichtet sehr große EU- und Drittstaatenunternehmen zu Sorgfaltspflichten für Menschenrechte und Umwelt. Erfasst sind die eigene Geschäftstätigkeit, Tochtergesellschaften sowie relevante Teile der Aktivitätskette.
Nach den Omnibus-I-Anpassungen liegt der Fokus stärker auf besonders wahrscheinlichen und schwerwiegenden Auswirkungen, die auf Grundlage angemessen verfügbarer Informationen ermittelt werden. Die Richtlinie ist am 25. Juli 2024 in Kraft getreten und wurde anschließend durch die Omnibus-I-Vereinfachungen geändert. Die Mitgliedstaaten müssen die angepassten Vorgaben bis zum 26. Juli 2028 in nationales Recht umsetzen; die Anwendung beginnt grundsätzlich ab dem 26. Juli 2029. Wer den Anwendungsstart prüfungsfest erreichen will, braucht deshalb spätestens jetzt einen operativen Fahrplan.
Das Relevanteste in Kürze
Die EU-Lieferkettenrichtlinie (CSDDD) verpflichtet sehr große Unternehmen zu Sorgfaltspflichten für Menschenrechte und Umwelt in der eigenen Geschäftstätigkeit, bei Tochtergesellschaften und in ihren Aktivitätsketten.
Nach den Omnibus-I-Anpassungen gilt die Richtlinie für große EU-Unternehmen mit mindestens 5.000 Beschäftigten und 1,5 Milliarden Euro weltweitem Nettoumsatz sowie für große Nicht-EU-Unternehmen mit mindestens 1,5 Milliarden Euro Nettoumsatz in der EU.
Die Mitgliedstaaten müssen die CSDDD-bezogenen Omnibus-I-Vorgaben bis zum 26. Juli 2028 umsetzen; die nationale Anwendung beginnt grundsätzlich ab dem 26. Juli 2029. Berichtspflichten nach Artikel 16 greifen für Geschäftsjahre ab dem 1. Januar 2030.
KMU sind nicht direkt erfasst, können aber mittelbar betroffen sein, weil Großkunden Informationen, Vertragsklauseln und Nachweise entlang ihrer Aktivitätsketten anfordern.
Ein prüfungsfester Compliance-Stack verknüpft CS3D mit LkSG, CSRD, EUDR und CBAM in einer gemeinsamen Datenbasis.
Zeitachse der EU-Lieferkettenrichtlinie (CSDDD) bis 2026
Die EU-Lieferkettenrichtlinie ist am 25. Juli 2024 in Kraft getreten und wurde anschließend durch die Stop-the-Clock-Richtlinie sowie die Omnibus-I-Anpassungen deutlich verschoben und entschärft. Nach aktuellem Stand müssen die Mitgliedstaaten die CSDDD bis zum 26. Juli 2028 in nationales Recht überführen. Für das Lieferkettengesetz in Deutschland bedeutet das: Bis dahin ist gesetzgeberisch zu klären, ob das bestehende LkSG angepasst oder durch ein neues Umsetzungsgesetz ersetzt wird. Die Anwendung der nationalen Vorschriften beginnt grundsätzlich ab dem 26. Juli 2029; einzelne Berichtspflichten nach Artikel 16 greifen für Geschäftsjahre, die am oder nach dem 1. Januar 2030 beginnen.
Für Unternehmen bedeutet das keine echte Pause, sondern eine verlängerte Vorbereitungsphase. Bis 2028 wird entschieden, wie Deutschland die CSDDD in das bestehende Lieferkettensorgfaltspflichtengesetz integriert oder dieses ersetzt. Das LkSG bleibt deshalb zunächst der operative Bezugspunkt für viele deutsche Unternehmen, während die europäische Regelung den Zielrahmen für die nächste Ausbaustufe setzt. Die Deutsche Industrie- und Handelskammer weist ebenfalls darauf hin, dass die CSDDD bis Mitte 2028 in deutsches Recht umgesetzt werden muss und zunächst nur sehr große Unternehmen erfassen soll.
Die neue Schwelle liegt nach der Omnibus-I-Anpassung deutlich höher als in der ursprünglichen CSDDD-Fassung: Erfasst werden große EU-Unternehmen mit mindestens 5.000 Beschäftigten und 1,5 Milliarden Euro weltweitem Nettoumsatz sowie große Nicht-EU-Unternehmen mit mindestens 1,5 Milliarden Euro Nettoumsatz in der EU. Für kleine und mittlere Unternehmen entsteht die Pflicht damit meist nicht direkt, sondern mittelbar über Informationsanfragen, Vertragsklauseln und Einkaufsanforderungen größerer Kunden.
Bis 2028 sollten Unternehmen die Zeit daher vor allem für Daten- und Prozessarbeit nutzen. Wer bereits unter das LkSG fällt oder als Zulieferer großer Kunden regelmäßig Nachhaltigkeitsinformationen liefern muss, sollte die Fristen nicht isoliert betrachten. Sinnvoll ist ein gemeinsamer Fahrplan für LkSG, CSDDD, CSRD, EUDR und CBAM: Lieferantendaten, Standorte, Risikokategorien, Vertragsdokumente, Rohstoffe und Emissionsinformationen sollten so strukturiert werden, dass sie mehrere Berichtspflichten zugleich bedienen können.
Praktisch entsteht bis 2028 eine Übergangsphase mit zwei Ebenen. Auf der ersten Ebene laufen bestehende LkSG-Prozesse weiter: Risikoanalyse, Beschwerdeverfahren, Präventionsmaßnahmen, Abhilfemaßnahmen und Dokumentation bleiben relevant. Auf der zweiten Ebene müssen Unternehmen prüfen, welche zusätzlichen Anforderungen aus der europäischen Umsetzung entstehen und welche internen Systeme dafür angepasst werden müssen. Besonders wichtig sind saubere Zuständigkeiten zwischen Einkauf, Recht, Nachhaltigkeit, Compliance und Lieferantenmanagement.
Die Zeitachse lässt sich deshalb grob so lesen: 2024 markiert den Startpunkt der europäischen Richtlinie, 2025 und 2026 bringen Verschiebung und inhaltliche Entschärfung durch Stop-the-Clock und Omnibus I, 2027 wird mit Leitlinien und Musterklauseln der Kommission für die praktische Umsetzung relevant, und 2028 wird zum entscheidenden Jahr für die nationale Umsetzung. Die eigentliche Anwendung folgt zwar erst ab 2029, doch Unternehmen, die bis dahin belastbare Lieferantendaten und digitale Prüfprozesse aufgebaut haben, vermeiden spätere Nacharbeiten.
Infografik
Wer wirklich betroffen ist, auch ohne EU-Sitz
Der Anwendungsbereich umfasst EU-Unternehmen oberhalb der Schwellenwerte, Drittstaatenunternehmen mit entsprechendem EU-Nettoumsatz sowie deren Tochterunternehmen. Nach den im Omnibus-Paket erläuterten Anpassungen fällt nur noch ein deutlich kleinerer Kreis sehr großer Unternehmen direkt unter die CSDDD.
Für den Mittelstand ist der Kaskadeneffekt entscheidender. Betroffene Großkunden geben ihre Sorgfaltspflichten vertraglich an direkte Geschäftspartner weiter. Wer als KMU an einen Automobilkonzern oder Textilhändler liefert, wird de facto in die Pflicht genommen, über Lieferantenkodizes, Audits und Datenanfragen.
Verhältnis zum deutschen Lieferkettengesetz
Bis zur Umsetzung gilt die EU-Lieferkettenrichtlinie nicht unmittelbar in Deutschland; das LkSG bleibt in Kraft. Die Schwellenwerte unterscheiden sich deutlich: Das LkSG gilt derzeit ab 1.000 Beschäftigten im Inland, während die angepasste CSDDD zunächst nur sehr große Unternehmen erfasst. Auch der Prüfungsumfang ist nicht deckungsgleich. Das LkSG fokussiert stark auf die eigene Geschäftstätigkeit und unmittelbare Zulieferer; die CSDDD arbeitet mit dem Begriff der Aktivitätskette, wurde durch Omnibus I aber stärker auf risikobasierte und priorisierte Prüfungen ausgerichtet. Eine EU-weit harmonisierte zivilrechtliche Haftung sieht die angepasste Fassung nicht mehr vor.
Sorgfaltspflichten operativ umsetzen
Die Artikel 5 bis 16 definieren sechs operative Pflichten. Dazu zählen die Integration in die Unternehmenspolitik, die Risikoanalyse der Aktivitätskette, Präventions- und Abhilfemaßnahmen bei Menschenrechtsverletzungen oder Umweltschäden, Beschwerdeverfahren sowie Monitoring und Berichtspflichten. Die Vorgaben orientieren sich eng an den VN-Leitprinzipien und am OECD-Leitfaden.
Entscheidend ist die Priorisierung nach Schwere und Wahrscheinlichkeit negativer Auswirkungen. Das setzt saubere Lieferantendaten voraus, den eigentlichen Engpass in fast jeder Umsetzung.
Drei Sofortmaßnahmen für die Risikoanalyse
Mapping der Aktivitätskette bis Tier-N mit Risikopriorisierung nach Land, Branche und Rohstoff, zwei bis drei Monate.
Lieferantenfragebogen mit Indikatoren zu Menschenrechten und Umweltschutz an priorisierte Partner ausrollen, vier bis sechs Wochen.
Vertragsklauseln zur Weitergabe der Sorgfaltspflichten in Standard-AGB und Rahmenverträgen ergänzen, inklusive Auditrechten.
Klimaplan und CSRD-Bezug
Die ursprüngliche CSDDD-Pflicht zu einem Klimatransitionsplan wurde durch Omnibus I gestrichen. Klimabezogene Transformationsplanung bleibt jedoch für viele Unternehmen über CSRD, ESRS E1, Investorenanforderungen und Finanzierungsprozesse relevant. Unternehmen sollten Klimadaten deshalb weiter mit Lieferketten-, Emissions- und Beschaffungsdaten verknüpfen, auch wenn die eigenständige CSDDD-Pflicht abgeschwächt wurde.
Branchenprofile mit typischen Risikoclustern
Automotive: Konfliktmineralien und Kobalt aus der Demokratischen Republik Kongo, Arbeitsbedingungen in der Batteriezellfertigung. Die Verzahnung mit der EU-Batterieverordnung erhöht die Datenanforderungen.
Textil: Existenzsichernde Löhne in Bangladesch und Pakistan, Baumwolle aus Xinjiang mit Zwangsarbeitsrisiko, Chemikalieneinsatz in der Färberei.
Lebensmittel: Kakao aus der Elfenbeinküste und Kaffee mit Kinderarbeitsrisiko, Palmöl mit Entwaldungsbezug. Hier greift die EUDR parallel.
Elektronik: Wolfram, Zinn, Tantal und Gold aus Konfliktregionen, Zwangsarbeitsrisiken in Halbleiter-Zulieferketten.
Finanzsektor: Nach Omnibus I sind Kreditvergabe und Investmentdienstleistungen aus dem Downstream-Anwendungsbereich weitgehend ausgenommen.
Kosten, Werkzeuge und Verzahnung mit weiterer EU-Regulierung
Für ein Mittelstandsunternehmen der Stufe 3 ergibt sich ein Compliance-Team von zwei bis vier Vollzeitäquivalenten, verteilt auf Einkauf, Recht und Nachhaltigkeit, ergänzt durch externe Auditkosten. Der größere Hebel liegt jedoch in der Infrastruktur.
Lieferantendaten, Freigabeprozesse, Vertragsdokumente und bestellbezogene Informationen lassen sich nur dann prüfungsfest bewirtschaften, wenn sie in einem zentralen System zusammenlaufen. Genau hier setzen digitale Beschaffungsplattformen an: Sie bündeln Einkaufsprozesse, strukturieren Freigaben und machen relevante Lieferanten- und Vertragsinformationen dort verfügbar, wo Entscheidungen tatsächlich getroffen werden – im Bestellprozess. Die Einkaufssoftware von Hivebuy zeigt beispielhaft, wie Unternehmen ihren indirekten Einkauf digital abbilden, Freigaben automatisieren und Beschaffung nachvollziehbarer dokumentieren können.
Die Datenbasis sollte so aufgebaut sein, dass sie CSDDD, CSRD, EUDR und CBAM parallel bedient. Lieferant, Standort, Rohstoff, Emissionsfaktor und Sorgfaltsstatus gehören in ein gemeinsames Datenmodell, nicht in vier getrennte Excel-Universen.
Kritische Einordnung der Omnibus-Abschwächungen
Die Omnibus-I-Anpassungen verändern den politischen und rechtlichen Rahmen spürbar: Der Anwendungsbereich wird enger gefasst, Sorgfaltspflichten konzentrieren sich stärker auf direkte Geschäftsbeziehungen, und einzelne Haftungs- und Klimaplanvorgaben werden abgeschwächt. Für Unternehmen wäre es dennoch kurzsichtig, daraus eine Entwarnung abzuleiten. Erstens bleiben Investoren, Banken und Großkunden auf belastbare Lieferkettendaten angewiesen – oft auch über Tier 1 hinaus. Zweitens ist Nachhaltigkeitsregulierung kein statischer Rechtsblock, sondern ein sich entwickelndes System aus CSDDD, CSRD, EUDR und CBAM. Wer heute nur auf das rechtliche Minimum optimiert, riskiert morgen neue Datenlücken, Nacharbeiten und Glaubwürdigkeitsprobleme.
Häufige Fragen zur CSDDD-Umsetzung
Gilt die EU-Lieferkettenrichtlinie (CSDDD) auch für KMU als Zulieferer?
Direkt nicht, indirekt fast immer. Verhandlungsspielraum besteht bei Auditfrequenz, Haftungsobergrenzen, Fristen zur Mängelbeseitigung und der Anerkennung bestehender Zertifikate.
Welche Bußgelder drohen konkret?
Die Richtlinie sieht Sanktionen im Bereich eines relevanten Prozentsatzes des weltweiten Nettoumsatzes vor. Die konkrete Ausgestaltung erfolgt durch die Mitgliedstaaten im Umsetzungsgesetz.
Wie verhält sich die CSDDD zur CSRD?
Die CSRD regelt die Berichterstattung, die CSDDD die materiellen Pflichten. Die doppelte Wesentlichkeitsanalyse der CSRD liefert einen Großteil der Risikodatenbasis für die CSDDD-Sorgfaltspflichten, wenn sie granular genug angelegt ist.
Was passiert, wenn Deutschland das Umsetzungsgesetz verzögert?
Die europäischen Umsetzungsfristen bleiben politisch und rechtlich maßgeblich. Für Unternehmen entstehen unmittelbare Pflichten in der Regel erst durch nationales Recht. Praktisch können aber bereits vorher Vertragsklauseln, Kundenanforderungen und Konzernvorgaben greifen.
Quellen
Richtlinie (EU) 2024/1760 (CSDDD) – EUR-Lex
ILO: 40 Millionen Menschen in moderner Sklaverei
GDV: Nationale Umsetzung der CSDDD
- EU-Lieferkettenrichtlinie (CSDDD) – Fahrplan bis 2026 - 8. Juli 2026
- Vorteile von Polsterstühlen in Restaurants und Hotels - 8. Juli 2026
- Bankkonto nach Todesfall: Diese Nachweise sind für die Auszahlung erforderlich - 8. Juli 2026




