ESG-Berichtspflicht: Wer muss wann nach CSRD berichten?

Die Corporate Sustainability Reporting Directive (CSRD, EU 2022/2464) hat die ESG-Berichtspflicht in Europa neu definiert. Mit der alten Non-Financial Reporting Directive (NFRD) unterlagen nur rund 11.700 Unternehmen in der EU einer Berichtspflicht zu Nachhaltigkeitsthemen. Die CSRD erweitert diesen Kreis auf schätzungsweise 50.000 Unternehmen – darunter erstmals auch mittelgroße Unternehmen in Deutschland, die bislang keinerlei Berichtspflichten in diesem Bereich kannten.

Die Anforderungen sind substanziell: Der Bericht muss nach den European Sustainability Reporting Standards (ESRS) aufgebaut, in den Lagebericht integriert, extern geprüft und im European Single Electronic Format (ESEF) mit XBRL-Auszeichnung eingereicht werden. Dieser Artikel erklärt, welche Unternehmen zu welchem Zeitpunkt betroffen sind, was konkret berichtet werden muss und welche organisatorischen Konsequenzen daraus folgen.

Die CSRD definiert die Berichtspflicht über zwei Kategorien: große Unternehmen und kapitalmarktorientierte KMU. Ein Unternehmen gilt als groß im Sinne des HGB, wenn es an zwei aufeinanderfolgenden Bilanzstichtagen mindestens zwei der drei Kriterien überschreitet: mehr als 250 Arbeitnehmer im Jahresdurchschnitt, mehr als 40 Mio. Euro Nettoumsatz, mehr als 20 Mio. Euro Bilanzsumme. Diese Schwellenwerte entsprechen §§ 267, 267a HGB.

Für kapitalmarktorientierte KMU (§ 264d HGB: börsennotierte Unternehmen, Emittenten von Schuldinstrumenten) gilt eine abgesenkte Schwelle: Sie werden ab dem Geschäftsjahr 2026 berichtspflichtig, können aber eine Opt-out-Erklärung bis Ende 2028 abgeben und stattdessen eine vereinfachte Erklärung im Lagebericht aufnehmen. Für diese Gruppe werden vereinfachte ESRS (VSME) erarbeitet.

Drittstaatenunternehmen mit einem Nettoumsatz von mehr als 150 Mio. Euro in der EU und mindestens einer Tochtergesellschaft oder Zweigniederlassung im Anwendungsbereich der CSRD werden ab dem Geschäftsjahr 2028 erfasst. Diese Regelung ist relevant für die deutschen Tochtergesellschaften multinationaler Konzerne aus Nicht-EU-Staaten. Prüfen Sie daher auch die Konzernstruktur und mögliche Konsolidierungsbefreiungen nach Art. 29a Abs. 7 CSRD.

Die CSRD wird in vier Wellen umgesetzt, deren Berichtspflicht jeweils für das genannte Geschäftsjahr gilt (Veröffentlichung des Berichts im Folgejahr):

• Welle 1 – GJ 2024: Unternehmen, die bereits unter die NFRD fielen (kapitalmarktorientierte Unternehmen, Kreditinstitute, Versicherungsunternehmen mit mehr als 500 Mitarbeitern). Erste Berichte erschienen 2025.
• Welle 2 – GJ 2025: Alle großen Unternehmen, die die HGB-Schwellenwerte überschreiten, aber bislang nicht unter NFRD fielen. Erste Berichte erscheinen 2026.
• Welle 3 – GJ 2026: Kapitalmarktorientierte KMU mit Opt-out bis 2028. Erste Berichte erscheinen 2027.
• Welle 4 – GJ 2028: Drittstaatenunternehmen mit wesentlicher EU-Präsenz. Erste Berichte erscheinen 2029.

Für Unternehmen der Welle 2 (GJ 2025) bedeutet das: Datenerhebungsprozesse müssen bereits für das laufende Geschäftsjahr 2025 aufgebaut sein. Wer heute noch kein systematisches Nachhaltigkeitsdaten-Management betreibt, hat einen erheblichen Rückstand.

Der Inhalt des ESG-Berichts wird durch die ESRS vorgegeben. Folgende Kategorien sind relevant: Querschnittsstandards (ESRS 1 – allgemeine Grundsätze, ESRS 2 – allgemeine Angaben, immer verpflichtend), Umwelt (ESRS E1–E5: Klimawandel, Umweltverschmutzung, Wasser, Biodiversität, Ressourcennutzung), Soziales (ESRS S1–S4: eigene Belegschaft, Lieferkette, Gemeinschaften, Verbraucher) und Governance (ESRS G1: Unternehmensführung, Ethik).

Entscheidend ist die vorgelagerte Wesentlichkeitsanalyse (ESRS 1, Abschnitt 3): Nur Themen, die nach der Analyse der doppelten Wesentlichkeit als wesentlich eingestuft werden, müssen inhaltlich mit allen Datenpunkten berichtet werden. ESRS 2 (allgemeine Angaben) ist als einziger Standard ohne Wesentlichkeitsvorbehalt immer vollständig zu erfüllen.

Die Gesamtzahl der möglichen Datenpunkte über alle 12 ESRS beläuft sich auf mehrere hundert. Für ein typisches mittelständisches Unternehmen ohne komplexe Lieferketten werden nach der Wesentlichkeitsanalyse erfahrungsgemäß 40 bis 80 Datenpunkte als berichtspflichtig eingestuft. Ein externer ESG-Beauftragter kann diese Gap-Analyse strukturiert und auditfest durchführen.

Die CSRD schreibt in Art. 34 vor, dass der Nachhaltigkeitsbericht einer externen Prüfung mit begrenzter Sicherheit (Limited Assurance) zu unterziehen ist. Prüfer sind in Deutschland Wirtschaftsprüfer und vereidigte Buchprüfer, die eine spezielle CSRD-Prüferkompetenz nachweisen müssen. Die Europäische Kommission kann per Delegiertem Rechtsakt die Anforderungen an diese Kompetenz konkretisieren.

Gegenstand der Prüfung sind: die Einhaltung der ESRS-Berichterstattungsanforderungen, die Vollständigkeit und Nachvollziehbarkeit der Wesentlichkeitsanalyse, die Verlässlichkeit der berichteten Datenpunkte sowie die Einhaltung der Anforderungen an das XBRL-Tagging. Erfahrungen aus den ersten CSRD-Berichten (GJ 2024, Welle 1) zeigen, dass Prüfer insbesondere bei Scope-3-Emissionen, Lieferkettendaten und der Dokumentation der Wesentlichkeitsanalyse kritisch prüfen.

Für die interne Vorbereitung gilt: Jeder berichtete Datenpunkt braucht eine Quellenangabe, eine Berechnungsgrundlage und einen Kontrollnachweis. Die Prüfungstiefe bei Limited Assurance ist geringer als bei Reasonable Assurance (wie bei der Jahresabschlussprüfung), aber die Fehlerquote, die zu Beanstandungen führt, liegt bereits bei erkennbarer Inkonsistenz oder fehlenden Quellenbelegen.

Für kapitalmarktorientierte Unternehmen gilt zusätzlich die Pflicht zur Einreichung des Lageberichts (einschließlich Nachhaltigkeitsbericht) im European Single Electronic Format (ESEF) gemäß EU-Delegierter Verordnung 2019/815, zuletzt geändert durch Delegierten Rechtsakt 2022/352. Das Format schreibt XHTML mit XBRL-Inline-Auszeichnung (iXBRL) vor.

Für den Nachhaltigkeitsteil ist die ESRS-Taxonomie zu verwenden, die von der European Financial Reporting Advisory Group (EFRAG) gepflegt wird. Die technische Umsetzung erfordert eine spezialisierte Reporting-Software, die XBRL-Tags aus einem Mapping-Prozess erzeugt: Jeder ESRS-Datenpunkt im Berichtstext muss mit dem entsprechenden XBRL-Konzept aus der ESRS-Taxonomie verknüpft sein.

Für nicht kapitalmarktorientierte Unternehmen (Welle 2) ist die ESEF-Anforderung zunächst nicht verpflichtend – sie müssen den Lagebericht in der nach HGB vorgesehenen Form beim Bundesanzeiger hinterlegen. Die XBRL-Anforderungen können jedoch durch zukünftige Gesetzgebung ausgeweitet werden. Eine frühzeitige Systementscheidung für eine ESRS-kompatible Reporting-Software ist daher auch für nicht börsennotierte Unternehmen sinnvoll.

Die CSRD enthält Regelungen zur Befreiung von Tochterunternehmen, wenn das Mutterunternehmen einen konsolidierten Nachhaltigkeitsbericht nach CSRD erstellt (Art. 29a Abs. 7 CSRD). Diese Konsolidierungsbefreiung gilt jedoch nur, wenn das Tochterunternehmen in den konsolidierten Bericht einbezogen ist, die Befreiung im eigenen Lagebericht offengelegt wird und der konsolidierte Bericht öffentlich zugänglich ist.

Für deutsche Tochtergesellschaften von Konzernen mit EU-Muttergesellschaft kann dies eine erhebliche Vereinfachung bedeuten. Voraussetzung ist jedoch, dass die Muttergesellschaft tatsächlich berichtspflichtig ist und die Wesentlichkeitsanalyse auch die Tochtergesellschaft adäquat abdeckt. Prüfen Sie diese Voraussetzungen mit rechtlicher Unterstützung, bevor Sie auf die Konsolidierungsbefreiung vertrauen.

Für Drittstaatenmütter (z. B. US-Konzerne mit deutschen Töchtern) greift die Konsolidierungsbefreiung nicht automatisch. Hier müssen die deutschen Töchter ggf. einen eigenen Bericht erstellen, sofern sie die Schwellenwerte der CSRD erfüllen. Die Klärung dieser Frage sollte Teil der Scoping-Analyse in Phase 1 der CSRD-Umsetzung sein.

Auch Unternehmen unterhalb der CSRD-Schwellenwerte spüren die Auswirkungen der neuen Berichtspflichten – als Lieferanten berichtspflichtiger Kunden. ESRS S2 (Arbeitnehmer in der Wertschöpfungskette) und ESRS E1-6 (Scope-3-Emissionen) verlangen, dass berichtspflichtige Unternehmen Primärdaten von ihren wesentlichen Lieferanten erheben. Wer als Lieferant keine belastbaren ESG-Daten liefern kann, riskiert den Verlust des Kundenstatus oder einen Preisabschlag.

In der Praxis bedeutet das: Lieferantenfragebögen zu CO2-Emissionen, Arbeitsbedingungen, Gesundheitsschutz und Umweltmanagement werden zur regulären Beschaffungsvoraussetzung. Wer heute proaktiv ein Basis-ESG-Reporting aufbaut – auch ohne eigene Berichtspflicht – sichert sich Wettbewerbsvorteile in der Lieferantenqualifizierung.

Der LkSG-Beauftragte ist in diesem Kontext eine komplementäre Funktion: Sorgfaltspflichten nach § 4 LkSG und ESRS-Datenanforderungen überschneiden sich erheblich. Eine kombinierte Beauftragung beider Rollen reduziert den Aufwand für die Datenerhebung und stellt die Konsistenz der Informationen sicher.

Eine revisionssichere CSRD-Berichterstattung setzt bestimmte organisatorische Grundlagen voraus. Erstens: ein klares Ownership für den Berichtsprozess. Ohne eine dedizierte verantwortliche Funktion fehlt die Koordination zwischen Finanz, HR, Einkauf, Produktion und Recht. Zweitens: ein Datenmanagementsystem, das Nachhaltigkeitsdaten mit derselben Sorgfalt erfasst und dokumentiert wie Finanzdaten. Tabellenkalkulationen reichen ab einer bestimmten Datenpunktanzahl nicht mehr aus.

Drittens: interne Kontrollmechanismen für die Datenpunkte. Die externe Prüfung erwartet, dass das Unternehmen selbst Plausibilitätsprüfungen und Vieraugenprinzipien für kritische Datenpunkte (Emissionswerte, Unfallstatistiken, Lieferkettendaten) dokumentiert hat. Viertens: eine Abstimmung mit dem Abschlussprüfer, der den Jahresabschluss und den integrierten Lagebericht prüft – dieser Prüfer muss frühzeitig in die Berichterstattungsplanung eingebunden werden, auch wenn er nicht der CSRD-Assurance-Prüfer ist.

Audit-fest, dokumentiert, ESRS-fest: Dieser Anspruch gilt für jeden Datenpunkt im Bericht. Der CIVAC-Workspace mit 37 einsatzbereiten Audit-Vorlagen kann die Dokumentationsprozesse von Beginn an auf Prüfungsstandard aufbauen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten die Koordination übernehmen.

Die ESG-Berichtspflicht nach CSRD ist keine reine Kommunikationsaufgabe, die in die Marketingabteilung delegiert werden kann. Sie ist eine Governance-Aufgabe, die von der Geschäftsleitung verantwortet und mit der Ernsthaftigkeit eines Jahresabschlussprozesses behandelt werden muss. Die Konsequenzen fehlerhafter oder unvollständiger Berichte – Haftung nach § 331 HGB, schlechtere ESG-Ratings, erschwerte Finanzierungsbedingungen – treffen die Geschäftsleitung direkt.

Für Unternehmen, die ab dem Geschäftsjahr 2025 berichtspflichtig werden, ist jetzt der richtige Zeitpunkt, die organisatorischen Voraussetzungen zu schaffen: Beauftragten-Funktion benennen, Scoping-Analyse starten, Datenprozesse aufbauen. Die Alternative – Aufholen in den letzten Monaten vor dem Abschlussstichtag – kostet erheblich mehr Aufwand und produziert Berichtslücken, die der Prüfer beanstandet.

CIVAC bietet sowohl den Workspace für interne ESG-Beauftragte als auch externe Officer-as-a-Service-Lösungen. Bestellurkunde, unterschrieben, abgelegt, belegbar – in zwei Werktagen. Wenn Sie mit der Umsetzung beginnen möchten, schreiben Sie uns: info@civac.de. Aus dem Lesen einen Auftrag machen.