77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
DWS, ESG und die Lehren für deutsche Unternehmen mit ESG-Pflichten
ESG & Nachhaltigkeit

DWS, ESG und die Lehren für deutsche Unternehmen mit ESG-Pflichten

15. Juli 202614 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Der DWS-Fall hat ESG-Compliance auf die Vorstandsagenda gesetzt: Greenwashing-Vorwürfe, behördliche Untersuchungen, Reputationsschäden. Wer heute ESG verantwortet, braucht Risikoanalyse, dokumentierte Kontrollen, eine Berichtslinie zur Geschäftsführung und einen ESG-Beauftragten mit klarem Mandat.

Der Fall DWS Group hat ESG-Compliance schlagartig auf die Vorstandsagenda deutscher Unternehmen gehoben. Im Jahr 2022 leiteten die US-Börsenaufsicht SEC, die BaFin und die Frankfurter Staatsanwaltschaft Untersuchungen wegen mutmaßlichen Greenwashings bei der Vermarktung von Investmentprodukten ein. 2023 zahlte DWS rund 25 Mio. US-Dollar an die SEC, 2025 folgte eine weitere Einigung mit deutschen Behörden. Der Fall ist nicht primär ein Fondsmanagement-Thema, sondern eine grundsätzliche Lehre für jedes Unternehmen mit ESG-Aussagen: Wer Nachhaltigkeit kommuniziert, muss die zugrundeliegenden Prozesse, Daten und Kontrollen belegbar dokumentieren können. Greenwashing-Risiken bestehen heute in Marketing, Investor Relations, Lieferantenkommunikation, Produktlabels und Vertragsklauseln.

Für Unternehmen mit CSRD-Berichtspflicht, EU-Taxonomie-Bezug, LkSG-Anwendung oder freiwilligen Nachhaltigkeitsaussagen in Werbung und Vertragsdokumenten ergeben sich daraus konkrete Anforderungen: ein benannter ESG-/Nachhaltigkeitsbeauftragter, dokumentierte ESG-Datenflüsse, eine doppelte Wesentlichkeitsanalyse, eine Risikoanalyse zu Greenwashing-Risiken, eine Berichtslinie zur Geschäftsführung und auditfeste Nachweise nach ISAE 3000 oder künftig ISSA 5000. Dieser Beitrag erklärt die rechtlichen Pflichten, fasst die Lehren aus dem DWS-Fall zusammen, beschreibt die doppelte Wesentlichkeitsanalyse, ordnet Schnittstellen zu DSGVO, LkSG und HinSchG ein und zeigt, wie CIVAC als Compliance-Plattform und Officer-as-a-Service ESG-Compliance operativ absichert. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Aufbau folgt der praktischen Reihenfolge von Pflichtenanalyse über Rollenkonzept bis hin zu Audit und Berichterstattung.

Auf einen Blick

  • Der DWS-Fall zeigt: ESG-Aussagen ohne dokumentierte Prozesse, Daten und Kontrollen führen zu Greenwashing-Verfahren mit Millionenbußgeldern.
  • CSRD, ESRS und EU-Taxonomie verpflichten Unternehmen zu auditfester ESG-Berichterstattung mit klarer Verantwortlichkeit.
  • CIVAC bestellt den ESG-Beauftragten innerhalb von 2 Werktagen und liefert ESG-Risikoanalyse, ESRS-Datenkatalog und Audit-Vorlagen im Workspace.

Der DWS-Fall: Was passiert ist und welche Pflichtverstöße angenommen wurden

Die DWS Group ist eine der größten Asset-Management-Gesellschaften Europas und Tochter der Deutschen Bank. 2021 erhob eine ehemalige Nachhaltigkeitsverantwortliche öffentlich den Vorwurf, dass DWS ESG-Aussagen in Verkaufsunterlagen, Webseite und Geschäftsbericht ohne hinreichende operative Grundlage getroffen habe. Die Vorwürfe lösten Ermittlungen der US-Börsenaufsicht SEC, der BaFin und der Frankfurter Staatsanwaltschaft aus. Im September 2023 zahlte DWS 19 Mio. US-Dollar wegen ESG-Falschangaben und weitere 6 Mio. US-Dollar wegen unzureichender Anti-Geldwäsche-Kontrollen an die SEC.

Die SEC-Verfügung listete konkrete Mängel auf: fehlende dokumentierte Verfahren für die Integration von ESG-Faktoren in Investmententscheidungen, Differenzen zwischen externer Kommunikation und interner Praxis, unzureichende Aufsicht durch das Risikomanagement, fehlende Eskalationswege für ESG-Bedenken. Die Frankfurter Staatsanwaltschaft führte zusätzlich Razzien durch. Im Jahr 2025 erfolgte eine weitere Einigung mit deutschen Behörden. Für den Compliance-Kontext relevant ist, dass die Vorwürfe nicht auf das einzelne Investmentprodukt zielten, sondern auf die Governance-Struktur. ESG-Aussagen waren kommuniziert, ohne dass die zugrundeliegenden Prozesse durchgängig dokumentiert und kontrolliert waren. Diese Lücke zwischen Kommunikation und operativer Realität ist das klassische Greenwashing-Muster, das auch in anderen Branchen angreifbar ist. Wer als Geschäftsführung ESG-Aussagen trifft, übernimmt die Verantwortung für die Belegbarkeit. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Die operative Konsequenz aus dem DWS-Fall ist eine doppelte Trennlinie: zwischen Marketing-Aussagen und operativer ESG-Umsetzung sowie zwischen ESG-Geschäftsbetrieb und unabhängiger ESG-Compliance-Kontrolle. Wer beide Linien zieht und dokumentiert, reduziert das Greenwashing-Risiko deutlich. Wer sie nicht zieht, riskiert genau die Konstellation, die DWS in mehrjährige Verfahren und Millionenzahlungen geführt hat. Die Reputationsschäden sind in der Regel höher als die Bußgelder.

CSRD, ESRS und EU-Taxonomie als Pflichtenrahmen

Die Corporate Sustainability Reporting Directive (CSRD, Richtlinie (EU) 2022/2464) ist seit dem 5. Januar 2023 in Kraft. Sie verpflichtet rund 50.000 europäische Unternehmen zu standardisierter Nachhaltigkeitsberichterstattung nach den European Sustainability Reporting Standards (ESRS, Delegierte Verordnung (EU) 2023/2772). Die Anwendung erfolgt in Stufen: Geschäftsjahre ab 2024 für große bilanzkennzahlenrelevante Unternehmen mit bestehender Nichtfinanziellen Erklärung, ab 2025 für sonstige große Unternehmen, ab 2026 für börsennotierte KMU. Die Omnibus-Initiative der EU-Kommission von Februar 2025 hat Teile der Anwendung verschoben und Erleichterungen vorgeschlagen, der Pflichtcharakter bleibt jedoch bestehen.

Die ESRS verlangen zwölf themenspezifische Standards (E1 Klimawandel, E2 Umweltverschmutzung, E3 Wasser, E4 Biodiversität, E5 Kreislaufwirtschaft, S1 eigene Belegschaft, S2 Wertschöpfungskette, S3 betroffene Gemeinschaften, S4 Verbraucher, G1 Geschäftsverhalten plus die übergreifenden ESRS 1 und ESRS 2). Die EU-Taxonomie (Verordnung (EU) 2020/852) ergänzt mit Kriterien für ökologisch nachhaltige Wirtschaftstätigkeiten und verlangt Angaben zu taxonomiekonformem Umsatz, CapEx und OpEx. Wer berichtspflichtig ist, muss eine doppelte Wesentlichkeitsanalyse (Impact Materiality plus Financial Materiality) durchführen, Datenflüsse dokumentieren, Annahmen offenlegen und prüferfest abbilden. Die Prüfung der Nachhaltigkeitsberichte erfolgt mit zunächst begrenzter Sicherheit (limited assurance) durch einen Wirtschaftsprüfer oder eine zugelassene unabhängige Stelle, perspektivisch in höherer Prüfungssicherheit. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die Berichterstattung ist nach ESEF-Schema im Geschäftsbericht zu integrieren und mit XBRL-Tags zu versehen, sodass die Daten maschinenlesbar werden. Diese technische Komponente ist organisatorisch zu planen und mit IT, Controlling und externer Berichterstattung abzustimmen. Wer sie unterschätzt, verliert im letzten Monat vor Berichtstermin viel Zeit für technische Korrekturen statt für inhaltliche Plausibilisierung.

Greenwashing-Risiken jenseits der Berichtspflicht

Greenwashing-Risiken entstehen nicht nur durch den Nachhaltigkeitsbericht, sondern an jeder Stelle, an der ein Unternehmen Aussagen zu Umwelt-, Sozial- oder Governance-Faktoren trifft. Werbung mit Klimaneutralität, Produktlabels mit Nachhaltigkeitsbezug, Vertragsklauseln zu ESG-Standards, Investor-Relations-Materialien und Mitarbeiterkommunikation sind alle angreifbar, wenn die zugrundeliegenden Daten und Prozesse nicht belegbar sind. Die EU-Richtlinie zur Stärkung der Verbraucherposition für den ökologischen Wandel (Empowering Consumers Directive, Richtlinie (EU) 2024/825) verschärft seit März 2024 die Anforderungen an grüne Werbeaussagen.

Die deutsche Rechtsprechung hat in mehreren Urteilen (BGH I ZR 98/23 zu Klimaneutralität, OLG Düsseldorf zu CO2-neutralen Produkten) den Maßstab konkretisiert: Aussagen wie klimaneutral, CO2-neutral oder umweltfreundlich müssen aufklären, ob sie sich auf Reduktion, Kompensation oder beides beziehen, und welche Kompensationsmechanismen angewandt werden. Fehlende oder missverständliche Aufklärung kann zu wettbewerbsrechtlichen Abmahnungen, Unterlassungsklagen und Schadensersatzforderungen führen. Anbieter im B2C-Bereich sind besonders exponiert, weil Verbraucherverbände aktiv prozessieren. Im B2B-Bereich entstehen Risiken aus Lieferantenkodizes, Ausschreibungsantworten und ESG-Klauseln in Verträgen. Wer ESG-Kriterien zusagt und sie nicht einhält, riskiert Vertragsbruch und Schadensersatz. CIVAC unterstützt mit einem ESG-Aussagen-Register, in dem alle öffentlichen und vertraglichen ESG-Aussagen mit Quelle, Datum, Verantwortlichem und Belegdokumenten verknüpft sind. Bei Anfragen von Verbraucherverbänden, Investoren oder Behörden liegt der Nachweis ohne Suche bereit. Greenwashing-Risiken werden zusätzlich durch die geplante Green Claims Directive verschärft, die Vorab-Verifizierung von Umweltaussagen verlangen wird. Wer heute Strukturen aufsetzt, ist für die kommende Verschärfung vorbereitet, statt unter Zeitdruck nachzudokumentieren. Im Versicherungs- und Investmentbereich verschärft die SFDR-Verordnung zusätzlich die Anforderungen an die Klassifikation nachhaltiger Finanzprodukte und an die Offenlegung negativer Nachhaltigkeitsauswirkungen.

Der ESG-/Nachhaltigkeitsbeauftragte: Rolle und Bestellung

Anders als beim Datenschutzbeauftragten gibt es für den ESG-/Nachhaltigkeitsbeauftragten keine zwingende gesetzliche Bestellungspflicht. In der Praxis hat sich die Rolle dennoch etabliert, weil CSRD, ESRS, EU-Taxonomie und LkSG eine zentrale Koordinationsfunktion verlangen. Der ESG-Beauftragte steuert die doppelte Wesentlichkeitsanalyse, koordiniert die Datenerfassung, verantwortet die Methodendokumentation, betreut den Audit-Dialog mit dem Prüfer und berichtet an die Geschäftsführung. Bei großen Unternehmen wird die Rolle oft als eigene Stabsstelle eingerichtet, im Mittelstand entweder im Compliance-Bereich, im Controlling oder als externes Mandat.

Die Bestellung erfolgt durch die Geschäftsführung mit einer Bestellurkunde, die Pflichten, Befugnisse, Berichtslinie und Geltungsbereich definiert. Pflichten umfassen typischerweise die Koordination der CSRD-Berichterstattung, die Pflege des ESG-Risikoregisters, die Schnittstelle zu LkSG-Pflichten, die Steuerung der EU-Taxonomie-Analyse, die Validierung externer ESG-Aussagen, die Schulung der Fachbereiche und die Überwachung der ESG-Datenqualität. Die Berichtslinie führt direkt zur Geschäftsführung, idealerweise zum CFO oder Vorstandsvorsitzenden, um die Verbindung zur finanziellen Berichterstattung sicherzustellen. CIVAC bestellt den ESG-Beauftragten extern innerhalb von 2 Werktagen oder lizenziert den Workspace für interne Beauftragte. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege liefern Bestellurkunde, Berichtslinie, ESG-Audit-Vorlagen und Datenkatalog im einheitlichen System. Die Qualifikation der bestellten Person umfasst typischerweise ESG-Methodik, Berichterstattungspraxis, einschlägige Branchenkenntnis und Auditerfahrung. Diese Qualifikation ist im CIVAC-Pool nachweisbar dokumentiert. Bei börsennotierten Unternehmen empfiehlt sich zusätzlich eine schriftliche Erklärung des ESG-Beauftragten zu eigener Unabhängigkeit und Interessenkonflikten, die im Audit als Nachweis der Governance-Substanz gilt. Diese Erklärung wird jährlich aktualisiert und im Workspace versioniert abgelegt. Auch die Berichtspflichten an Aufsichtsrat und Prüfungsausschuss werden in der Bestellurkunde benannt, damit kein Berichtspfad informell bleibt.

Doppelte Wesentlichkeit und ESG-Datenflüsse

Die doppelte Wesentlichkeit ist das methodische Herz der CSRD-Berichterstattung. ESRS 1 verlangt, dass Unternehmen sowohl die Auswirkungen ihrer Tätigkeit auf Mensch und Umwelt (Impact Materiality) als auch die Auswirkungen von Nachhaltigkeitsthemen auf den Unternehmenswert (Financial Materiality) systematisch analysieren. Themen, die nach einer oder beiden Perspektiven wesentlich sind, müssen berichtet werden. Themen, die unter beiden Perspektiven unwesentlich sind, dürfen aus der Berichterstattung ausgeklammert werden, müssen aber methodisch dokumentiert sein.

Die Wesentlichkeitsanalyse läuft in fünf Schritten: Identifikation potenzieller Themen aus den ESRS, Stakeholder-Konsultation, Bewertung der Auswirkungen nach Schwere und Wahrscheinlichkeit, Bewertung der finanziellen Risiken nach Zeithorizont und Eintrittswahrscheinlichkeit, Konsolidierung der wesentlichen Themen mit Schwellenwert. Jede Bewertung muss begründet und reproduzierbar sein. ESG-Datenflüsse umfassen typischerweise Klimadaten (Scope 1, 2 und 3 Emissionen nach GHG Protocol), Energiedaten, Wasserverbrauch, Abfall, Personaldaten, Lieferantendaten, Unfallstatistiken, Diversity-Kennzahlen und Governance-Indikatoren. Die Datenherkunft, die Berechnungsmethode und die Annahmen müssen dokumentiert sein. CIVAC liefert einen ESG-Datenkatalog mit den von ESRS geforderten Datenpunkten, der mit dem ESG-Risikoregister und den Audit-Vorlagen verknüpft ist. Audit-fest, dokumentiert, ESRS-fest. Bei jeder Datenpunkt-Aktualisierung wird die Versionshistorie geführt, sodass im Audit nachvollziehbar bleibt, welcher Wert auf welcher Datenbasis berichtet wurde. Diese Versionierung ist auditkritisch, weil Wirtschaftsprüfer die Datenherkunft stichprobenweise prüfen und Belege verlangen. Scope-3-Daten sind methodisch besonders sensibel, weil sie auf Schätzungen und Lieferantendaten beruhen. Eine dokumentierte Annahmenliste mit Quellenangabe ist Pflicht. Für die ESRS-Disclosure-Anforderungen sind insgesamt mehrere hundert Datenpunkte vorgesehen, von denen die wesentlichkeitsabhängigen Punkte je nach Geschäftsmodell stark variieren. Eine Materialitätsmatrix verknüpft Datenpunkte mit ESRS-Disclosures und mit Pflichtkommentaren, sodass der Bericht systematisch entsteht statt durch Sammeln und Sortieren am Ende der Periode.

ESG-Risikoanalyse: Was im DWS-Stil-Verfahren geprüft würde

Eine belastbare ESG-Risikoanalyse adressiert nicht nur Klimarisiken oder Lieferkettenrisiken, sondern auch Greenwashing- und Compliance-Risiken. Die Analyse identifiziert für jedes wesentliche ESG-Thema Eintrittswahrscheinlichkeit, Schadenshöhe, finanzielle Auswirkung und Reputationsrisiko. Sie verknüpft das Risiko mit bestehenden Kontrollen und mit Maßnahmen, die Verantwortliche und Fristen tragen. ESG-Risiken haben oft mittel- bis langfristigen Zeithorizont (5 bis 20 Jahre), Compliance-Risiken sind kurzfristig (12 Monate).

Aus dem DWS-Fall lassen sich vier konkrete Prüfdimensionen ableiten, an denen sich jede ESG-Compliance-Struktur messen lassen muss: Erstens, sind die ESG-Aussagen in externer Kommunikation durch interne Prozesse, Daten und Kontrollen belegbar. Zweitens, gibt es einen Eskalationsweg für ESG-Bedenken aus dem Investmententscheidungsprozess oder aus dem operativen Bereich. Drittens, sind Methoden und Annahmen dokumentiert, sodass externe Prüfer sie nachvollziehen können. Viertens, gibt es eine unabhängige Kontrollinstanz, die nicht selbst operativ ESG-Maßnahmen treibt. CIVAC implementiert diese vier Dimensionen über das ESG-Aussagen-Register, eine dokumentierte Eskalationslinie zur Geschäftsführung, einen versionierten Methodenkatalog und die Trennung von operativer ESG-Funktion und Compliance-Überwachung. Die ESG-Risikoanalyse ist im Workspace mit dem Risikoregister des Compliance-Beauftragten verknüpft, sodass thematische Schnittmengen (etwa Lieferkette, Korruption, Datenschutz im ESG-Datenfluss) konsistent geführt werden. Diese Verknüpfung verhindert doppelte oder widersprüchliche Risikoeinträge und reduziert den Aufwand in der Wesentlichkeitsanalyse. Wer hier sauber aufsetzt, erhält im Audit Zustimmung, weil die methodische Konsistenz nachvollziehbar ist. Im Bußgeldverfahren oder in einer behördlichen Sonderprüfung wirken konsistente Risikoanalysen strafmildernd, weil sie eine ordnungsgemäße Organisation der ESG-Compliance dokumentieren. Die ESG-Risikoanalyse wird jährlich, bei wesentlichen Änderungen anlassbezogen aktualisiert. In regulierten Branchen wie Finanzdienstleistungen wird die Risikoanalyse zusätzlich mit der MaRisk-Risikoinventur abgeglichen, um Doppelarbeit zu vermeiden und Konsistenz zur Gesamt-Risikolandkarte zu sichern.

ESG-Audit und Prüfungspraxis

Die Prüfung des Nachhaltigkeitsberichts erfolgt zunächst mit begrenzter Sicherheit (limited assurance). Der Wirtschaftsprüfer oder eine zugelassene unabhängige Stelle prüft, ob der Bericht den ESRS entspricht, ob die Wesentlichkeitsanalyse plausibel ist, ob die berichteten Daten in den zugrundeliegenden Systemen belegbar sind und ob die Methoden offengelegt sind. Die Prüfungstiefe ist geringer als bei einer Finanzprüfung, doch die Anforderungen an Nachvollziehbarkeit sind hoch. ISAE 3000 (Revised) und ISSA 5000 (ab 2026) bilden den internationalen Rahmen für nichtfinanzielle Prüfungen.

In der Praxis verlangen Prüfer mindestens fünf Dokumentengruppen: Wesentlichkeitsanalyse mit Methodendokumentation, ESG-Datenkatalog mit Quellen und Berechnungslogik, internen Kontrollrahmen für ESG-Daten, Governance-Dokumentation mit ESG-Verantwortlichkeiten und Berichterstattungsmaterial mit Querverweisen zu ESRS-Disclosure-Requirements. CIVAC strukturiert diese fünf Dokumentengruppen im Workspace und verlinkt sie mit den ESRS-Standards. Der externe Prüfer erhält über einen abgegrenzten Audit-Account Zugriff auf die relevanten Dokumente. Die Audit-Vorbereitung beginnt typischerweise drei Monate vor dem Berichtstermin und umfasst eine interne Probe-Prüfung, in der der ESG-Beauftragte die wahrscheinlichen Prüferfragen durchspielt und Lücken schließt. Der Prüfer ruft an, der Nachweis liegt bereit. CIVAC bietet 490 Audit-Vorlagen, darunter Wesentlichkeitsanalyse-Template, ESG-Datenkatalog-Template, Methodenkatalog-Template, Audit-Letter-Vorlage und Limited-Assurance-Prüfprotokoll. Diese Vorlagen sind nach ESRS-Logik strukturiert und werden bei jeder ESRS-Aktualisierung im Workspace fortgeschrieben. Damit bleibt die Audit-Infrastruktur auch bei künftigen ESRS-Erweiterungen oder Omnibus-Anpassungen aktuell. Die Prüferauswahl ist im Vorfeld zu klären, weil bestimmte Prüfungsgesellschaften besondere Erfahrung mit ISAE 3000 oder mit branchenspezifischen ESG-Themen mitbringen. Eine frühzeitige Kommunikation mit dem Prüfer reduziert Überraschungen am Berichtstermin. Die Prüfungsplanung sollte spätestens sechs Monate vor dem Berichtstermin starten und einen formalen Audit-Kickoff enthalten, in dem Erwartungen, Stichprobenumfänge und Lieferfristen geklärt werden.

Schnittstellen zu DSGVO, LkSG und HinSchG

ESG-Compliance steht nicht isoliert, sondern verschränkt sich mit anderen Compliance-Domänen. Die DSGVO greift bei personenbezogenen ESG-Daten, etwa Diversity-Kennzahlen, Gesundheitsstatistiken oder Lieferantenmitarbeiterdaten. Die rechtmäßige Verarbeitung muss in einem Verarbeitungsverzeichnis dokumentiert sein, Datenminimierung ist zu beachten, Auftragsverarbeitungsverträge mit ESG-Datendienstleistern müssen geschlossen sein. Der Datenschutzbeauftragte arbeitet hier mit dem ESG-Beauftragten zusammen.

Das Lieferkettensorgfaltspflichtengesetz (LkSG) erfasst seit 2024 Unternehmen ab 1.000 Beschäftigten und verlangt Risikomanagement entlang der eigenen Geschäftstätigkeit und der unmittelbaren Zulieferer. Die LkSG-Pflichten überlappen mit ESRS S2 (Arbeitnehmer in der Wertschöpfungskette) und S3 (betroffene Gemeinschaften). Eine integrierte Steuerung über einen LkSG-Beauftragten in enger Abstimmung mit dem ESG-Beauftragten reduziert Doppelarbeit und stellt konsistente Berichterstattung sicher. Das Hinweisgeberschutzgesetz (HinSchG) verlangt eine interne Meldestelle, die auch ESG-Bedenken aus der Belegschaft oder von externen Hinweisgebern aufnehmen muss. Im DWS-Fall waren öffentliche Hinweise einer ehemaligen Nachhaltigkeitsverantwortlichen ein zentraler Auslöser, sodass die Existenz einer funktionierenden internen Meldestelle ein direktes Greenwashing-Frühwarnsystem ist. CIVAC verknüpft diese drei Beauftragten-Rollen im gemeinsamen Workspace mit gemeinsamem Risikoregister, integriertem Auditprogramm und gemeinsamen Eskalationspfaden zur Geschäftsführung. Auf diese Weise lassen sich ESG-, Lieferketten- und Hinweisgeber-Themen ohne Schnittstellenverluste steuern. Aus dem Lesen einen Auftrag machen. Die Verknüpfung ist im Workspace standardmäßig vorgesehen und erfordert keine separate Konfiguration. Eine quartalsweise gemeinsame Lagebesprechung der drei Beauftragten mit der Geschäftsführung stellt sicher, dass übergreifende Risiken früh erkannt und einheitlich behandelt werden. Bei multinationalen Konzernen werden zusätzlich Schnittstellen zur Konzernrevision und zu nationalen Behörden in den USA, Großbritannien oder anderen relevanten Jurisdiktionen geregelt. Diese internationalen Schnittstellen sind ESG-relevant, weil die SEC, die UK FCA und vergleichbare Aufsichtsbehörden eigene ESG-Anforderungen formuliert haben.

ESG-Compliance operativ aufsetzen mit CIVAC

Wer ESG-Compliance ernst nimmt, kommt um drei Bausteine nicht herum: einen benannten ESG-Beauftragten mit Bestellurkunde und direkter Berichtslinie zur Geschäftsführung, eine doppelte Wesentlichkeitsanalyse mit dokumentierter Methodik und ein ESG-Aussagen-Register, in dem alle öffentlichen und vertraglichen Aussagen mit Belegen verknüpft sind. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die alle drei Bausteine in einem Workspace mit EU-Datenresidenz bündelt und sie mit den anderen 24 Beauftragten-Rollen verzahnt.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Bestellung läuft innerhalb von 2 Werktagen, branchenüblich sind 2 bis 6 Wochen. Im ersten Monat wird die doppelte Wesentlichkeitsanalyse aufgesetzt, der ESG-Datenkatalog wird mit Ihren Quellen verbunden, das ESG-Aussagen-Register wird gefüllt. Im zweiten Monat startet die Schulung der Fachbereiche, im dritten Monat folgt eine interne Probe-Prüfung. Der externe Prüfer erhält im Audit-Zeitraum strukturierten Zugriff auf die im Workspace versionierten Belege. Aus dem Lesen einen Auftrag machen. Kontakt: info@civac.de oder das Kontaktformular auf civac.de. Wir empfehlen ein 30-minütiges Bestandsaufnahmegespräch, in dem wir Ihre CSRD-Berichtsstufe, Ihre wesentlichen ESG-Themen und Ihre vorhandene ESG-Governance prüfen und einen 90-Tage-Plan vorschlagen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Bei Multi-Standort- und Konzernstrukturen ergänzen wir das Modell um ein Konzern-ESG-Modul, das die Konsolidierung über Tochtergesellschaften ermöglicht und gleichzeitig lokale Verantwortlichkeiten dokumentiert. Damit wird die ESG-Berichterstattung über den gesamten Berichtskreis konsistent und prüferfest abbildbar, einschließlich der Verknüpfung mit der LkSG-Berichterstattung an das BAFA. Auf Wunsch übernimmt CIVAC zusätzlich die Aufbereitung des Nachhaltigkeitsberichts in ESEF-konformem XBRL-Format und stellt den maschinenlesbaren Bericht dem Wirtschaftsprüfer und der Geschäftsführung vor Veröffentlichung zur Freigabe bereit. Die ESG-Compliance wird damit von einer einmaligen Berichts-Pflichtübung zu einem laufenden Prozess, der zwischen den Berichtsterminen kontinuierlich aktualisiert wird und im Audit jederzeit aussagefähig ist.

FAQ

Was hat der DWS-Fall mit ESG-Compliance in meinem Unternehmen zu tun?

Der DWS-Fall ist eine Lehre für jedes Unternehmen mit ESG-Aussagen, nicht nur für Fondsmanager. Werbung mit Klimaneutralität, ESG-Klauseln in Verträgen, Nachhaltigkeitsangaben im Geschäftsbericht oder auf der Webseite müssen durch dokumentierte Prozesse, Daten und Kontrollen belegbar sein. Wo Aussagen und operative Realität auseinanderklaffen, drohen behördliche Verfahren, wettbewerbsrechtliche Abmahnungen, Schadensersatzforderungen und Reputationsschäden, die den ursprünglichen Marketingvorteil deutlich übersteigen.

Ist mein Unternehmen CSRD-berichtspflichtig?

Die CSRD erfasst gestaffelt: ab Geschäftsjahr 2024 große Unternehmen mit bisheriger NFE-Pflicht, ab 2025 sonstige große Unternehmen (Schwellen: 250 Beschäftigte, 25 Mio. Euro Bilanzsumme, 50 Mio. Euro Umsatz), ab 2026 börsennotierte KMU. Die EU-Omnibus-Initiative 2025 hat Teile verschoben. Wer nicht direkt berichtspflichtig ist, kann durch Lieferkettenanforderungen indirekt betroffen sein und sollte den Status klären.

Muss ich einen ESG-Beauftragten bestellen?

Es gibt keine zwingende gesetzliche Bestellungspflicht wie beim Datenschutzbeauftragten. Wer aber CSRD-berichtspflichtig ist, LkSG anwendet oder ESG-Aussagen in Werbung und Verträgen trifft, braucht eine klare Verantwortlichkeit. Die Bestellung eines ESG-/Nachhaltigkeitsbeauftragten mit Bestellurkunde, Pflichtenkatalog und Berichtslinie zur Geschäftsführung ist Best Practice und im Audit ein starker Nachweis der ordnungsgemäßen Governance. Externe Mandate über CIVAC laufen in 2 Werktagen.

Wie unterscheidet sich limited assurance von einer Finanzprüfung?

Bei limited assurance prüft der Wirtschaftsprüfer mit reduzierter Tiefe und kommt zu einer negativ formulierten Aussage (es liegen keine Anhaltspunkte vor, dass der Bericht nicht den ESRS entspricht). Eine Finanzprüfung ist eine reasonable assurance mit positiver Aussage. ISAE 3000 und ab 2026 ISSA 5000 bilden den Rahmen. Die Prüfungsanforderungen werden sich perspektivisch in Richtung reasonable assurance entwickeln.

Wie schnell setzt CIVAC eine ESG-Compliance-Struktur auf?

Die Bestellung des ESG-Beauftragten erfolgt innerhalb von 2 Werktagen. Die doppelte Wesentlichkeitsanalyse, der ESG-Datenkatalog und das ESG-Aussagen-Register werden im ersten Monat aufgesetzt, die Schulung der Fachbereiche im zweiten Monat. Eine interne Probe-Prüfung erfolgt im dritten Monat, sodass das Unternehmen mit ausreichend Vorlauf vor dem ersten externen Audit-Zyklus arbeitsfähig ist und Lücken vor dem Prüfer geschlossen werden können.

Sind ESG-Daten und Workspace-Inhalte DSGVO-konform abgelegt?

Ja, der CIVAC-Workspace wird in einem Rechenzentrum mit EU-Datenresidenz betrieben, das ISMS folgt der ISO/IEC 27001:2022 mit 93 Controls. Personenbezogene ESG-Daten wie Diversity-Kennzahlen oder Unfallstatistiken werden im Verarbeitungsverzeichnis dokumentiert, Auftragsverarbeitungsverträge sind verfügbar. Zugriffe werden protokolliert, Aufbewahrungsfristen sind nach gesetzlichen Vorgaben konfigurierbar und auditierbar, sodass auch DSGVO-Anfragen reibungsfrei beantwortet werden können.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge