CSDDD und LkSG im Vergleich: Was die EU-Lieferkettenrichtlinie 2027 wirklich ändert

Die Corporate Sustainability Due Diligence Directive (CSDDD), in Deutschland auch EU-Lieferkettenrichtlinie genannt, wurde am 24. Mai 2024 im EU-Amtsblatt veröffentlicht und tritt nach der Omnibus-Verschiebung gestaffelt ab 26. Juli 2027 für die größten Unternehmen in Kraft. Sie verpflichtet Unternehmen zu menschenrechtlicher und umweltbezogener Sorgfalt in der gesamten Aktivitätskette und führt erstmals eine zivilrechtliche Haftung sowie einen verpflichtenden Klimaschutzplan ein. Für Deutschland bedeutet das eine Überlagerung mit dem seit 2024 geltenden Lieferkettensorgfaltspflichtengesetz (LkSG), das bereits Unternehmen ab 1.000 Mitarbeitenden in die Sorgfaltspflicht nimmt.

Geschäftsführungen stehen damit vor einer doppelten Frage. Erstens: Wie unterscheiden sich CSDDD und LkSG konkret in Anwendungsbereich, Pflichtenkatalog, Haftung und Sanktionen? Zweitens: Wie lassen sich beide Pflichten effizient in einer Struktur abdecken, ohne dass parallele Tools, Berater und Berichte entstehen? Dieser Beitrag arbeitet beide Regelwerke entlang von zwölf Vergleichsdimensionen ab und beschreibt, wie eine integrierte Datenarchitektur die Umsetzung ohne Reset erlaubt. Die Antwort liegt selten in einer der beiden Normen allein. Sie liegt in der Kombination aus Risikoanalyse, Beschwerdeverfahren, Klimaschutzplan und Lieferantenmanagement in einem System mit dokumentierter Berichtslinie. Praxisbeispiele aus Industrie, Handel und Finanzdienstleistungen ergänzen die rechtliche Einordnung um operative Hinweise.

Das LkSG gilt seit 1. Januar 2023 für Unternehmen mit Verwaltungssitz, Hauptsitz oder Zweigniederlassung in Deutschland und mindestens 3.000 Mitarbeitenden, seit 1. Januar 2024 für Unternehmen ab 1.000 Mitarbeitenden. Die Mitarbeiterzahl umfasst nach § 1 LkSG auch ins Ausland entsandte Beschäftigte sowie überlassene Arbeitnehmer mit einer Einsatzdauer von mehr als sechs Monaten. Die Pflicht greift unabhängig von der Rechtsform, betroffen sind GmbHs, AGs, KGaAs, eG, SE sowie ausländische Gesellschaften mit deutscher Zweigniederlassung.

Die CSDDD definiert ihren Anwendungsbereich nach Mitarbeiterzahl und Umsatz. Stufe eins ab 26. Juli 2027: EU-Unternehmen mit mehr als 5.000 Beschäftigten und mehr als 1,5 Mrd. Euro weltweitem Nettoumsatz sowie Drittstaatenunternehmen mit mehr als 1,5 Mrd. Euro Umsatz in der EU. Stufe zwei ab 26. Juli 2028: ab 3.000 Beschäftigte und 900 Mio. Euro Umsatz, jeweils analog für EU- und Drittstaatenunternehmen. Stufe drei ab 26. Juli 2029: ab 1.000 Beschäftigte und 450 Mio. Euro Umsatz. Damit ist der CSDDD-Anwendungsbereich am Ende der Staffelung etwas enger als der des LkSG, das auf die reine Mitarbeiterzahl abstellt. Wer unter beide Regelwerke fällt, muss beide Pflichtenkataloge parallel erfüllen, weil das nationale LkSG nicht durch die CSDDD ersetzt, sondern überlagert wird. CIVAC bildet die LkSG-Rolle mit Erweiterungen für die CSDDD-Anforderungen im Workspace ab, sodass die Pflichten in einer einzigen Risikoanalyse zusammengeführt werden statt in zwei getrennten Berichten zu enden. Damit ist auch die Frage einer parallelen Berichterstattung gegenüber BAFA und künftiger CSDDD-Aufsicht abgedeckt, ohne dass das Unternehmen die Lieferantenstammdaten doppelt pflegen muss.

Das LkSG verpflichtet zur Sorgfaltspflicht in der eigenen Geschäftstätigkeit, beim unmittelbaren Zulieferer (Tier 1) und beim mittelbaren Zulieferer nur anlassbezogen, also wenn substantiierte Kenntnis von Risiken vorliegt. Die Pflichten umfassen Risikoanalyse, Präventionsmaßnahmen, Abhilfemaßnahmen, Beschwerdeverfahren nach § 8 LkSG, jährliche Risikoanalyse und Bericht beim BAFA innerhalb von vier Monaten nach Geschäftsjahresende. Die nachgelagerte Wertschöpfungskette, etwa Distribution und Produktnutzung, ist im LkSG ausdrücklich nicht erfasst. Die Sorgfaltspflicht endet damit beim direkten Vertragspartner, sofern keine substantiierten Hinweise auf Verstöße bei mittelbaren Zulieferern vorliegen, die eine anlassbezogene Prüfung auslösen.

Die CSDDD erweitert den Anwendungsbereich auf die gesamte Aktivitätskette (Chain of Activities). Dazu zählen die eigene Geschäftstätigkeit, die Tochterunternehmen und die Geschäftspartner in der vorgelagerten Kette sowie eingeschränkt in der nachgelagerten Kette, soweit die Geschäftspartner die Produkte vertreiben, transportieren oder lagern. Die Pflicht endet erst am Endkunden. Damit erfasst die CSDDD systematisch auch mittelbare Zulieferer und schließt insbesondere Logistik, Großhandel und ausgewählte Vertriebsstrukturen ein. Wer unter beide Regelwerke fällt, muss die Lieferkette einmal sauber kartieren und beide Pflichtenebenen gleichzeitig dokumentieren. Eine integrierte Vorlage im Workspace, die LkSG-Tier-1- und CSDDD-Aktivitätsketten-Sicht parallel abbildet, vermeidet die doppelte Datenhaltung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die Lieferantenstammdaten werden einmal gepflegt und in beide Berichte gleichzeitig ausgespielt, mit klarer Versionierung der Risikobewertung pro Lieferant und Geschäftsjahr. Eine Erweiterung um die mittelbaren Zulieferer der CSDDD erfolgt im selben Stammdatenmodell, ergänzt um Risikoindikatoren für die nachgelagerte Aktivitätskette, sodass Logistik, Großhandel und ausgewählte Vertriebsstrukturen ohne neues Tool eingebunden werden können. Damit bleibt der Lieferantenkreis unter Kontrolle, auch wenn der Anwendungsbereich 2027 deutlich breiter wird.

Beide Regelwerke kennen einen ähnlichen Pflichtenkatalog mit acht Grundelementen: Grundsatzerklärung, Risikomanagement, Risikoanalyse, Präventionsmaßnahmen, Abhilfemaßnahmen, Beschwerdeverfahren, Dokumentation und Bericht. Die Unterschiede liegen im Detail. Die CSDDD verlangt explizit die Einbindung der Stakeholder in den Sorgfaltsprozess, nicht nur die Anhörung bei Bedarf. Sie verlangt zudem die Bereitstellung von Wiedergutmachung für tatsächlich verursachte oder mitverursachte Schäden, was über die LkSG-Abhilfepflicht hinausgeht. Die CSDDD fordert die Anpassung der Geschäftsstrategie an Sorgfaltsverpflichtungen, einschließlich Vergütungssysteme.

Das LkSG legt den Schwerpunkt auf die jährliche Risikoanalyse mit BAFA-Bericht, die CSDDD auf eine kontinuierliche Sorgfaltspflicht mit jährlicher öffentlicher Erklärung. Das Beschwerdeverfahren ist in beiden Regelwerken Pflicht, die CSDDD fordert aber breitere Zugangsberechtigte: nicht nur Beschäftigte und Personen aus der Lieferkette, sondern auch deren Vertretungen und zivilgesellschaftliche Organisationen. Wer das LkSG-Beschwerdeverfahren betreibt, etwa nach § 8 LkSG, muss es CSDDD-konform erweitern. CIVAC kombiniert die interne Meldestelle nach HinSchG mit dem LkSG-Beschwerdekanal und der CSDDD-Aktivitätsketten-Sicht in einem System. Die Vorlagen sind so aufgebaut, dass die Erweiterung von LkSG auf CSDDD keine neue Architektur benötigt, sondern nur Konfigurationsänderungen am Berechtigungs- und Stakeholder-Modell. Damit bleibt das Beschwerdeverfahren auch nach 2027 in einer Hand statt in zwei parallelen Postfächern. Insbesondere die in der CSDDD geforderte Einbindung der Stakeholder, etwa Anhörungen oder Folgegespräche, lässt sich im selben Workflow dokumentieren, sodass der Untersuchungsgang im Prüfertermin lückenlos belegbar ist. Wer das frühzeitig aufsetzt, vermeidet eine Migration kurz vor Inkrafttreten der CSDDD. Das gilt insbesondere für die Anpassung der Vergütungssysteme und der Geschäftsstrategie, weil beide Punkte zusätzliche Beschlussgremien benötigen, die ihre Sitzungen meist nur quartalsweise abhalten.

Das LkSG sanktioniert Verstöße verwaltungsrechtlich. Das BAFA kann Bußgelder bis 8 Mio. Euro verhängen, bei Unternehmen mit über 400 Mio. Euro Konzernumsatz bis 2 Prozent des durchschnittlichen Jahresumsatzes. Zusätzlich droht der Ausschluss von der öffentlichen Beschaffung bis zu drei Jahre. Eine zivilrechtliche Haftung des Unternehmens gegenüber Betroffenen ist im LkSG ausdrücklich ausgeschlossen, allerdings sind Prozessstandschaftsregelungen vorgesehen, die Gewerkschaften und NGOs erlauben, im Namen Betroffener vor deutschen Gerichten zu klagen.

Die CSDDD führt eine eigene zivilrechtliche Haftung ein. Nach Artikel 29 haftet das Unternehmen für Schäden, die durch vorsätzliche oder fahrlässige Verletzung der Sorgfaltspflichten verursacht wurden, soweit der Schaden im EU-Recht oder im nationalen Recht eines Mitgliedstaates geschützte Rechtsgüter betrifft. Die Haftung erstreckt sich auf eigene Geschäftstätigkeit, Tochterunternehmen und Geschäftspartner in der Aktivitätskette. Die nationalen Sanktionen werden mit verwaltungsrechtlichen Geldbußen flankiert, deren Höhe sich am weltweiten Konzernumsatz orientiert und mindestens 5 Prozent erreichen muss. Damit liegt das Sanktionsrisiko unter der CSDDD im Konzernverbund deutlich höher als beim LkSG. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer die Sorgfaltspflichten dokumentiert und versioniert nachweisen kann, reduziert die Haftungsexposition strukturell. Der Prüfer ruft an, der Nachweis liegt bereit. Die Geschäftsführung kann ihre Aufsichtspflicht nach § 130 OWiG und die CSDDD-Sorgfaltspflicht in einem Mandatsbericht zusammengefasst nachweisen. Eine zusätzliche Absicherung über D&O-Versicherungen ist sinnvoll, ersetzt aber nicht die operative Dokumentation, weil viele Policen Selbstbehalte und Ausschlüsse für vorsätzliche Pflichtverletzungen kennen. Wer die Sorgfaltspflicht in einem System mit Berichtslinie zur Geschäftsführung führt, kann im Streitfall den Stand der Pflichterfüllung versioniert nachweisen und reduziert das Haftungsrisiko substanziell.

Eine der wesentlichen Neuerungen der CSDDD ist die Pflicht zu einem verpflichtenden Klimaschutzplan nach Artikel 22. Unternehmen müssen einen Übergangsplan zur Begrenzung der globalen Erwärmung auf 1,5 Grad im Einklang mit dem Pariser Abkommen erarbeiten, umsetzen und regelmäßig aktualisieren. Der Plan umfasst zeitgebundene Klimaziele für 2030, 2040 und Folgemeilensteine bis 2050 mit absoluten Reduktionszielen für Scope 1, 2 und 3 sowie Maßnahmen, Investitionen und CapEx-Planung. Die Wirksamkeit muss durch wissenschaftsbasierte Methoden belegt werden, etwa Science Based Targets initiative (SBTi) oder ISO 14068.

Das LkSG kennt keine vergleichbare Pflicht. Die Schnittstelle zur CSRD/ESRS E1 ist hier besonders wichtig: Die CSDDD verlangt einen Plan, die CSRD verlangt dessen Offenlegung. Wer beide Pflichten erfüllt, sollte die Klimaschutzplanung als integrierten Prozess aufsetzen, mit Treibhausgasbilanz nach GHG Protocol, Szenarioanalyse, Reduktionspfaden und Verknüpfung zur Vergütung der Geschäftsleitung, soweit von der CSDDD gefordert. CIVAC bildet die Schnittstelle zwischen LkSG-Beauftragten, ESG-Beauftragten und Umweltschutzbeauftragten im Workspace ab, sodass die Datenbasis zur Treibhausgasbilanz nicht in drei verschiedenen Tools liegt. Audit-fest, dokumentiert, § 130-fest. Die Aktualisierung des Klimaschutzplans erfolgt versioniert, sodass die Wirtschaftsprüfung im Folgejahr nachvollziehen kann, welche Annahmen und Maßnahmen sich geändert haben und warum. Die Verknüpfung zur Vergütungspolitik der Geschäftsleitung wird im System mit den jeweiligen Beschlüssen verbunden, sodass eine spätere Aufsichts- oder Investoren-Anfrage zur Wirksamkeit der Anreizsysteme aus dem Workspace heraus beantwortet werden kann. Damit ist der Klimaschutzplan keine isolierte Strategie-Folie mehr, sondern ein operativ verankerter Prozess mit klaren Verantwortlichen. Auch die Verbindung zu nationalen Pflichten wie dem Energieeffizienzgesetz, dem Brennstoffemissionshandelsgesetz oder den ETS-Auflagen wird in derselben Datenarchitektur abgebildet, sodass die Reduktionszahlen über alle Berichtskanäle konsistent sind.

Beide Regelwerke verlangen ein wirksames Beschwerdeverfahren. § 8 LkSG fordert ein internes Verfahren, das Beschäftigten und Personen in der Lieferkette die Meldung menschenrechtlicher und umweltbezogener Risiken erlaubt. Das Verfahren muss vertraulich sein, eine Verfahrensordnung haben und die Identität der Hinweisgebenden schützen. Mit dem Hinweisgeberschutzgesetz (HinSchG) und der Pflicht zur internen Meldestelle ab 50 Beschäftigten ergibt sich in der Praxis die Frage, wie LkSG-Beschwerden und HinSchG-Meldungen technisch und organisatorisch zusammenarbeiten.

Die CSDDD weitet den Kreis der Beschwerdeberechtigten in Artikel 14 deutlich aus. Beschwerdeberechtigt sind alle Personen, die berechtigte Bedenken hinsichtlich tatsächlicher oder potenzieller nachteiliger Auswirkungen haben. Das umfasst Gewerkschaften, andere Arbeitnehmervertretungen und zivilgesellschaftliche Organisationen, die in den Bereichen tätig sind, in denen die Aktivitätskette verläuft. Wer das LkSG-Verfahren bereits etabliert hat, muss es um diese Berechtigtenkreise erweitern und um Verfahrensschritte ergänzen, etwa die Möglichkeit, in Folgegesprächen einzubinden und die Ergebnisse einer Untersuchung mitzuteilen. CIVAC bietet im Workspace ein integriertes Modul, das HinSchG-Meldungen, LkSG-Beschwerden und künftige CSDDD-Beschwerden in einem dokumentierten Verfahren bündelt, mit Versionierung, Fristenüberwachung nach § 13 HinSchG (innerhalb von 7 Tagen Eingangsbestätigung, innerhalb von 3 Monaten Rückmeldung) und einer revisionssicheren Audit-Spur, die im Prüfertermin den Verfahrensablauf vollständig nachweist und Stichproben der Bearbeitungszeiten erlaubt. Damit fallen typische Schwachstellen wie verlorene E-Mail-Threads, ungeklärte Zuständigkeiten oder fehlende Fristprotokolle weg. Anonyme Meldungen sind möglich und werden in einem geschützten Kanal verarbeitet, der die Identität der Hinweisgebenden bis zum offiziellen Verfahrensende schützt und für die Aufsicht dennoch nachvollziehbar bleibt. Damit erfüllt das Verfahren gleichzeitig die HinSchG-Pflicht zur Vertraulichkeit, die LkSG-Pflicht zur Beschwerde-Möglichkeit und die CSDDD-Pflicht zur Stakeholder-Einbindung.

Das LkSG verlangt einen jährlichen Bericht beim BAFA innerhalb von vier Monaten nach Geschäftsjahresende. Der Bericht folgt einem strukturierten Fragebogen mit über 437 Fragen zur Risikoanalyse, zu Präventionsmaßnahmen, zum Beschwerdeverfahren und zu Folgemaßnahmen. Die Berichterstattung ist öffentlich zugänglich im Unternehmensportal und im BAFA-Register. Verstöße gegen die Berichtspflicht werden gesondert sanktioniert.

Die CSDDD verlangt eine jährliche öffentliche Erklärung zur Sorgfaltspflicht, die in das CSRD-Reporting integriert wird, soweit das Unternehmen unter die CSRD fällt. Für CSDDD-pflichtige Unternehmen, die nicht unter die CSRD fallen, gilt eine eigenständige Veröffentlichungspflicht auf der Unternehmenswebsite. Inhaltlich umfasst die Erklärung die Sorgfaltsprozesse, die identifizierten Risiken, die ergriffenen Maßnahmen, die Ergebnisse und den Klimaschutzplan. Im Vergleich zum LkSG-BAFA-Bericht ist die CSDDD-Erklärung weniger formularorientiert, dafür inhaltlich tiefer und prüfungsrelevanter. Wer beide Pflichten erfüllt, profitiert davon, die Datenbasis einmal sauber aufzubauen und die jeweils relevanten Ausschnitte in BAFA-Format und CSDDD-Format auszuspielen. CIVAC bildet beide Berichtspfade im Workspace ab, mit den 490 Audit-Vorlagen und einer Berichtslinie an die Geschäftsführung. Die Versionierung erlaubt es, einzelne Datenpunkte in beiden Berichten konsistent zu halten und nachträgliche Änderungen, etwa nach einer neuen Risikoanalyse, in beide Berichte synchron einzuspielen, ohne dass das Berichtsteam manuell abgleichen muss. Damit lassen sich auch Sonderfälle wie unterjährige Übernahmen, Veränderungen in der Lieferantenstruktur oder neu identifizierte Risiken im laufenden Jahr abbilden. Die Berichterstattung an die Geschäftsführung erfolgt in dokumentierten Quartals-Sequenzen, sodass das Aufsichtsorgan über den Stand der Sorgfaltspflicht in beiden Regelwerken jederzeit auskunftsfähig ist. Auch externe Wirtschaftsprüfer können auf eine konsolidierte Datenbasis zurückgreifen und müssen nicht aus mehreren Tools synthetisieren.

Die Durchsetzung des LkSG liegt beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA). Es prüft Berichte, führt anlassbezogene Kontrollen durch und kann Auskünfte verlangen, Anordnungen treffen und Bußgelder festsetzen. Verstöße werden seit 2024 sichtbar geahndet, etwa mit Bußgeldern und mit Hinweis-Veröffentlichungen, die das Unternehmen beim BAFA registriert hat. Der Rechtsweg gegen BAFA-Entscheidungen führt vor das Verwaltungsgericht.

Die CSDDD verlangt von jedem Mitgliedstaat eine Aufsichtsbehörde, die die Einhaltung kontrolliert. Diese Behörden bilden ein europäisches Netzwerk und sollen ihre Durchsetzungspraxis koordinieren. In Deutschland ist die konkrete Zuständigkeit Stand 2026 noch nicht abschließend geregelt, eine Anbindung an das BAFA oder eine eigene Aufsichtsstruktur sind im Gespräch. Aufsichtsbehörden können nach CSDDD-Standards Untersuchungen einleiten, Auskünfte verlangen, Inspektionen vor Ort durchführen und Sanktionen verhängen. Die zivilrechtliche Haftung läuft parallel über die nationalen Gerichte. Frist läuft ab Kenntnis. Wer den Sorgfaltsprozess dokumentiert und im System nachvollziehbar abbildet, kann sowohl auf BAFA-Anfragen als auch auf Anfragen der CSDDD-Aufsichtsbehörde innerhalb der gesetzlichen Fristen reagieren. CIVAC stellt die Berichtslinie, die Dokumentation und das Audit-Trail-Modul so bereit, dass eine Behördenanfrage nicht zu einer wochenlangen Datensammlung wird, sondern aus dem Workspace heraus mit versionierten Nachweisen beantwortbar ist. Damit verändert sich der Charakter der Aufsichtsprüfung von einer Recherche-Mission zu einer Routine-Auskunft. Wer hier vorbereitet ist, spart pro Aufsichtsanfrage typischerweise 2 bis 4 interne Personenwochen und reduziert das Risiko einer Eskalation in ein förmliches Verfahren. Auch der mediale Reputationsschaden durch eine öffentlich beanstandete BAFA-Sache lässt sich so messbar verringern, weil Pflichterfüllung schon vor der Anfrage dokumentiert war.

Wer ab 2027 unter beide Regelwerke fällt, sollte den Aufbau nicht in zwei getrennten Projekten denken, sondern in einer integrierten Architektur. Die Risikoanalyse erfolgt einmal, mit Markierung der Datenpunkte, die LkSG-Tier-1, CSDDD-Aktivitätskette und ggf. CSRD-Standard S2 zugleich abdecken. Das Beschwerdeverfahren wird einmal aufgesetzt, mit Erweiterung der Berechtigtenkreise auf CSDDD-Niveau. Der Klimaschutzplan wird mit der CSRD-/ESRS-E1-Datenbasis erstellt, nicht in einem separaten Tool. Die Lieferantenstammdaten werden zentral gepflegt, mit jährlicher Risikobewertung und einer Audit-Spur, die für BAFA und CSDDD-Aufsichtsbehörde gleichermaßen tauglich ist.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service so aufgebaut, dass diese integrierte Architektur ohne zusätzliche Tool-Stacks entsteht. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die LkSG-Bestellung läuft mit Bestellurkunde und Berichtslinie zur Geschäftsführung, die Erweiterung um CSDDD-Aktivitätsketten-Sicht erfolgt im selben Workspace mit denselben 490 Audit-Vorlagen. Die EU-Datenresidenz ist Standard. Aus dem Lesen einen Auftrag machen: info@civac.de oder das Kontaktformular auf civac.de. Ein erstes Gespräch klärt anhand von Mitarbeiterzahl, Umsatz, Branche und Lieferantenstruktur, wann welche Pflicht greift und welche Schritte in welcher Reihenfolge sinnvoll sind. Die schriftliche Indikation enthält die monatlichen Kosten, die SLA für die Bestellung in 2 Werktagen und die Roadmap für die Erweiterung von LkSG auf CSDDD ohne Datenmigration. Damit lässt sich der Zeithorizont bis 2027 in eine planbare Folge kleiner Anpassungsschritte zerlegen, statt am Stichtag ein neues Großprojekt aufzusetzen. Die Kombination aus LkSG-Routine und CSDDD-Erweiterung wird im Workspace als zweistufige Roadmap geführt, mit klaren Verantwortlichkeiten und Fristen pro Quartal. Beauftragt wird die Rolle, nicht der Berater-Tag. Das ändert die Rechnung, die Geschwindigkeit und die Belegbarkeit im nächsten Audit.