ESG-Nachhaltigkeitsbericht: Pflichten, Fristen und Umsetzung nach CSRD

Die Corporate Sustainability Reporting Directive (CSRD, EU 2022/2464) hat die bisherige Non-Financial Reporting Directive (NFRD) abgelöst und die Pflicht zur Nachhaltigkeitsberichterstattung grundlegend neu geordnet. Betroffen sind schrittweise bis zu 50.000 Unternehmen in der EU – deutlich mehr als die rund 11.700 Unternehmen unter der alten NFRD. Der ESG-Nachhaltigkeitsbericht muss künftig nach den European Sustainability Reporting Standards (ESRS) erstellt, in den Lagebericht integriert und von einem akkreditierten Prüfer testiert werden.

Für Geschäftsleitungen bedeutet das: Die Nachhaltigkeitsberichterstattung ist kein freiwilliges Kommunikationsinstrument mehr, sondern ein gesetzlich erzwingbarer Bestandteil der Rechnungslegung. Dieser Artikel erläutert die Schwellenwerte, Fristen, inhaltlichen Anforderungen und die Frage, wer im Unternehmen die Verantwortung für die Umsetzung tragen muss.

Die CSRD ist am 5. Januar 2023 in Kraft getreten und wird in vier Wellen umgesetzt. Für das Geschäftsjahr 2024 (Bericht 2025) gilt sie für Unternehmen, die bereits unter die NFRD fielen: kapitalmarktorientierte Unternehmen mit mehr als 500 Mitarbeitern. Ab dem Geschäftsjahr 2025 (Bericht 2026) erstreckt sie sich auf alle großen Unternehmen, die mindestens zwei der drei Kriterien erfüllen: mehr als 250 Mitarbeiter, mehr als 40 Mio. Euro Umsatz, mehr als 20 Mio. Euro Bilanzsumme.

Ab dem Geschäftsjahr 2026 (Bericht 2027) werden kapitalmarktorientierte KMU einbezogen, mit einer Opt-out-Möglichkeit bis 2028. Drittstaatenunternehmen mit einem EU-Umsatz von mehr als 150 Mio. Euro und mindestens einer Tochtergesellschaft oder Zweigniederlassung in der EU folgen ab dem Geschäftsjahr 2028.

Die deutschen Umsetzungsvorschriften finden sich im Regierungsentwurf zur Änderung des HGB (§§ 289b ff. HGB n.F.) sowie im Bilanzrichtlinie-Umsetzungsgesetz. Für die praktische Umsetzung bedeutet das: Unternehmen, die 2026 erstmals berichten, müssen bereits jetzt Datenprozesse für das Geschäftsjahr 2025 aufbauen. Ein externer ESG-Beauftragter über CIVAC kann diese Datenprozesse von Beginn an strukturieren und dokumentationskonform aufsetzen.

Der ESG-Nachhaltigkeitsbericht muss gemäß den European Sustainability Reporting Standards (ESRS) aufgebaut werden. Die Europäische Kommission hat im Juli 2023 den ersten delegierten Rechtsakt mit 12 thematischen ESRS verabschiedet (ESRS 1 und ESRS 2 als übergreifende Querschnittsstandards, dazu zehn thematische Standards zu Umwelt, Soziales und Governance).

ESRS E1 behandelt den Klimawandel (einschließlich Scope-1-, -2- und -3-Emissionen), ESRS E2 die Umweltverschmutzung, ESRS E3 Wasser und Meeresressourcen, ESRS E4 Biodiversität, ESRS E5 Ressourcennutzung und Kreislaufwirtschaft. Auf der sozialen Seite regeln ESRS S1 bis S4 die eigene Belegschaft, Arbeitnehmer in der Wertschöpfungskette, betroffene Gemeinschaften und Verbraucher. ESRS G1 betrifft Unternehmensführung, Risikoethik und Korruption.

Nicht alle Standards sind für jedes Unternehmen verpflichtend. Die Wesentlichkeitsanalyse bestimmt, welche Themen tatsächlich berichtspflichtig sind. ESRS 1 definiert die Methodik dieser Analyse. Dennoch: ESRS 2 (allgemeine Angaben) ist immer verpflichtend. Die Komplexität der 12 Standards und ihrer jeweiligen Datenpunkte macht eine frühzeitige Gap-Analyse unerlässlich.

Das Prinzip der doppelten Wesentlichkeit (Double Materiality) ist das konzeptionelle Rückgrat der CSRD. Es verlangt von Unternehmen, Nachhaltigkeitsthemen in zwei Richtungen zu bewerten: erstens die Outside-in-Perspektive (finanzielle Wesentlichkeit), also wie Nachhaltigkeitsrisiken und -chancen die Vermögens-, Finanz- und Ertragslage des Unternehmens beeinflussen; zweitens die Inside-out-Perspektive (Impact Materiality), also wie das Unternehmen selbst durch seine Tätigkeiten, Produkte und Dienstleistungen auf Umwelt und Gesellschaft einwirkt.

Nur Themen, die nach dieser Analyse wesentlich sind, müssen inhaltlich berichtet werden – aber die Analyse selbst muss dokumentiert und im Bericht erläutert werden. ESRS 1 Anhang A beschreibt die Methodik. Für Unternehmen ohne eigene Nachhaltigkeitsfunktion ist dieser Schritt besonders anspruchsvoll: Er erfordert eine Stakeholder-Befragung, eine Sichtung der Wertkette und eine Risikoklassifizierung nach Wahrscheinlichkeit und Ausmaß.

Die Wesentlichkeitsanalyse ist nicht einmalig: Sie muss mindestens jährlich überprüft und bei wesentlichen Veränderungen im Geschäftsmodell aktualisiert werden. Fehlerhafte oder nicht nachvollziehbar dokumentierte Analysen sind ein Hauptkritikpunkt bei der externen Prüfung.

Die CSRD schreibt vor, dass der Nachhaltigkeitsbericht einer externen Prüfung mit begrenzter Sicherheit (Limited Assurance) zu unterziehen ist – mit dem langfristigen Ziel, auf Reasonable Assurance (vergleichbar mit der Jahresabschlussprüfung) umzustellen. In Deutschland ist die Prüfung nach § 289b HGB n.F. vorgesehen; als Prüfer kommen Wirtschaftsprüfer, vereidigte Buchprüfer oder in bestimmten Fällen unabhängige Prüfer gemäß Delegiertem Rechtsakt in Betracht.

Prüfungsgegenstand sind: die Einhaltung der ESRS-Anforderungen, die Vollständigkeit der Wesentlichkeitsanalyse, die Korrektheit der Datenpunkte sowie die Angemessenheit der internen Kontrollen für die Nachhaltigkeitsdatenerhebung. Fehlerhafte Datenpunkte, insbesondere im Bereich Treibhausgasemissionen (Scope 3) und Lieferkettendaten (ESRS S2), sind laut KPMG-Prüfungspraxis 2024 die häufigsten Beanstandungen.

Für die interne Vorbereitung gilt: Die Datenqualität muss der eines Jahresabschluss-Belegs entsprechen. Das bedeutet Quellenbelege, Berechnungsgrundlagen und eine nachvollziehbare Audit-Trail-Dokumentation für jeden berichteten Datenpunkt. Ohne ein dediziertes Dokumentationssystem ist diese Anforderung in der Praxis kaum revisionssicher erfüllbar.

Für viele Unternehmen stellt die Erhebung von Scope-3-Emissionen – also indirekten Treibhausgasemissionen entlang der Wertschöpfungskette – die größte operative Herausforderung der CSRD-Umsetzung dar. Gemäß ESRS E1-6 sind Scope-3-Emissionen dann berichtspflichtig, wenn sie wesentlich sind. Das GHG Protocol definiert 15 Kategorien von Scope-3-Emissionen, von eingekauften Waren und Dienstleistungen über Geschäftsreisen bis zur Nutzungsphase der eigenen Produkte.

Die Datenerhebung erfordert eine Zusammenarbeit mit Lieferanten und Kunden, die in vielen Fällen noch keine eigenen ESG-Daten erfassen. Hier sind Unternehmen gefordert, Primärdaten von Lieferanten einzuholen, und falls nicht verfügbar, auf Sekundärdaten (Branchendurchschnittswerte, Emissionsfaktoren) zurückzugreifen, was im Bericht zu deklarieren ist.

Der LkSG-Beauftragte und der ESG-Beauftragte arbeiten hier thematisch eng zusammen: Sorgfaltspflichten nach § 4 LkSG und ESRS S2 (Arbeitnehmer in der Wertschöpfungskette) greifen auf dasselbe Lieferantennetz zu. Eine koordinierte Datenerhebung spart Ressourcen und vermeidet Inkonsistenzen zwischen dem LkSG-Bericht (BAFA) und dem CSRD-Nachhaltigkeitsbericht.

Die CSRD verlangt, dass der Nachhaltigkeitsbericht als Teil des Lageberichts veröffentlicht wird (Art. 19a, 29a CSRD). Er ist nicht mehr als separates Dokument zulässig. Diese Integration hat praktische Konsequenzen: Der Nachhaltigkeitsteil unterliegt denselben Grundsätzen ordnungsmäßiger Buchführung und Publizität wie der Finanzteil – einschließlich Jahresfrist, Offenlegungspflicht im Bundesanzeiger und (für kapitalmarktorientierte Unternehmen) Hinterlegung im European Single Electronic Format (ESEF) gemäß EU-Verordnung 2019/815.

ESEF schreibt vor, dass der Bericht als XHTML-Dokument mit XBRL-Auszeichnung gemäß der ESRS-Taxonomie eingereicht wird. Diese technische Anforderung wird von vielen Unternehmen unterschätzt: Sie erfordert spezialisierte Software für die XBRL-Tagging-Prozesse, die frühzeitig in den Erstellungsprozess eingebaut werden muss.

Sprachlich gilt: Der Bericht ist in der Sprache des Lageberichts zu erstellen. In Deutschland in der Regel Deutsch. Für international tätige Unternehmen mit englischsprachigem Management ist eine zweisprachige Fassung faktisch notwendig, auch wenn rechtlich nur eine Sprache gefordert ist. Die Geschäftsleitung trägt die strafrechtliche Verantwortung für Vollständigkeit und Richtigkeit gemäß § 331 HGB (Bilanzfälschung).

Die CSRD enthält keine eigenen Bußgeldtatbestände – diese richten sich nach nationalem Recht. In Deutschland drohen bei Verletzung der Berichtspflichten nach §§ 289b, 315b HGB n.F. dieselben Sanktionen wie bei fehlerhaften Lageberichten: Ordnungswidrigkeiten nach § 334 HGB (bis zu 50.000 Euro für natürliche Personen), strafrechtliche Risiken nach § 331 HGB (Freiheitsstrafe bis zu drei Jahre oder Geldstrafe bei falschen Angaben), Kapitalmarktrechtliche Konsequenzen für börsennotierte Unternehmen (Delisting-Risiko, Prospekthaftung).

Hinzu kommen zivilrechtliche Risiken: Investoren, die aufgrund eines fehlerhaften Nachhaltigkeitsberichts Entscheidungen treffen, können Schadensersatzansprüche nach §§ 97, 98 WpHG geltend machen. ESG-Ratingagenturen (MSCI, Sustainalytics, ISS) erfassen Berichtslücken systematisch und senken das Rating – mit Folgen für die Kapitalkosten und den Zugang zu ESG-gebundenen Finanzierungen (EU-Taxonomie-konforme Kredite, Green Bonds).

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Prüfstelle für Rechnungslegung (DPR) prüfen Lageberichte kapitalmarktorientierter Unternehmen stichprobenartig. Prüfschwerpunkte für 2025 umfassen erstmals explizit die Nachhaltigkeitsberichterstattung nach CSRD.

Die CSRD benennt keine explizite Beauftragten-Rolle. In der Praxis hat sich jedoch der ESG-Beauftragte (auch: Nachhaltigkeitsbeauftragter oder Chief Sustainability Officer) als koordinierende Funktion etabliert, die den Berichtsprozess steuert. Zu seinen Kernaufgaben gehören: Wesentlichkeitsanalyse koordinieren und dokumentieren, Datenerhebungsprozesse für alle ESRS-Themen aufbauen, Gap-Analyse zwischen IST-Zustand und ESRS-Anforderungen erstellen, externe Prüfer briefen und Audit-Dokumentation bereitstellen, Bericht in den Lagebericht integrieren und XBRL-Tagging koordinieren.

In mittelständischen Unternehmen ohne eigene Nachhaltigkeitsabteilung ist diese Funktion intern häufig nicht besetzt. Die üblichen Alternativen – Beauftragung der Finanzabteilung oder des Qualitätsmanagers – führen in der Praxis zu Rollenkonflikten und Dokumentationslücken. Ein externer ESG-Beauftragter, der über den CIVAC-Workspace mit 37 einsatzbereiten Audit-Vorlagen arbeitet, schafft strukturelle Voraussetzungen für eine revisionssichere Berichterstattung ohne den Aufbau einer eigenen Abteilung.

Der CIVAC-Workspace erlaubt die Kombination beider Modelle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten den ESG-Bericht koordinieren. Beide Optionen nutzen dieselbe Plattform, denselben Audit-Log und dieselbe Dokumentationsstruktur.

Für Unternehmen, die ab dem Geschäftsjahr 2025 berichtspflichtig werden, läuft die Uhr. Die praktische Erfahrung aus den ersten CSRD-Berichten (Geschäftsjahr 2024) zeigt, dass der Zeitbedarf für eine vollständige Erstberichterstattung regelmäßig 12 bis 18 Monate beträgt. Ein strukturiertes Vorgehen in vier Phasen hat sich bewährt:

1. Phase 1 – Scoping (Monat 1–2): Prüfen Sie, welche ESRS-Standards für Ihr Unternehmen verpflichtend anwendbar sind. Identifizieren Sie betroffene Tochtergesellschaften, Joint Ventures und Lieferkettenstufen.
2. Phase 2 – Wesentlichkeitsanalyse (Monat 2–4): Führen Sie eine Stakeholder-Befragung durch, erstellen Sie eine Long-List der relevanten Nachhaltigkeitsthemen und bewerten Sie diese nach Inside-out und Outside-in.
3. Phase 3 – Datenprozesse (Monat 4–10): Bauen Sie Datenerhebungssysteme für alle wesentlichen Datenpunkte auf. Definieren Sie Verantwortlichkeiten, Datenquellen und Kontrollmechanismen.
4. Phase 4 – Bericht und Prüfung (Monat 10–12): Verfassen Sie den Berichtstext, taggen Sie die XBRL-Auszeichnung, briefen Sie den Prüfer und integrieren Sie den Bericht in den Lagebericht.

Der Prüfer ruft an, der Nachweis liegt bereit – das ist das Ziel eines strukturierten ESG-Berichtsprozesses. Wenn Sie mit der Umsetzung beginnen möchten, sprechen Sie uns an: info@civac.de. Aus dem Lesen einen Auftrag machen.