ESG 2026: Vom Schlagwort zur Bestellurkunde im deutschen Mittelstand

ESG steht für Environmental, Social und Governance und bezeichnet seit der Veröffentlichung der UN-Principles for Responsible Investment 2006 die drei Dimensionen nachhaltiger Unternehmensführung. In Deutschland war ESG lange ein Reporting-Thema für börsennotierte Konzerne. Mit der Corporate Sustainability Reporting Directive (CSRD), dem Lieferkettensorgfaltspflichtengesetz (LkSG) und der EU-Taxonomie hat sich das geändert. Für Geschäftsjahre ab 2025 sind rund 15.000 Unternehmen in Deutschland berichtspflichtig, gegenüber knapp 500 unter der alten Non-Financial Reporting Directive. Die CSDDD wird diesen Kreis ab 2027 stufenweise ausweiten. Die European Sustainability Reporting Standards (ESRS) liefern dabei das verbindliche Datenmodell, an dem sich Wirtschaftsprüfer orientieren.

Wer ESG heute hört, denkt oft an Klimabilanz. Tatsächlich umfasst die Pflicht inzwischen 12 thematische Standards mit über 1.100 Datenpunkten in der ESRS-Architektur, von Treibhausgasemissionen Scope 1 bis 3 über Lieferketten-Risiken bis zu Governance-Strukturen und Mitarbeitendendaten. Dieser Beitrag erklärt, welche Schwellenwerte welche Pflicht auslösen, wer im Unternehmen die Rolle des ESG- oder Nachhaltigkeitsbeauftragten übernimmt, wie die Datenerhebung sauber aufgesetzt wird und welche Lieferformen den operativen Betrieb effizient abdecken. Der Schwerpunkt liegt auf der Praxis im deutschen Mittelstand. Konzern-Themen wie Doppelte Wesentlichkeit oder EU-Taxonomie-Eligibility werden so eingeordnet, dass auch mittelständische Geschäftsführungen die Tragweite einschätzen können, ohne sich in Detail-Standards zu verlieren.

ESG ist seit der CSRD vom 14. Dezember 2022 in der EU rechtlich verbindlich kodifiziert. Die Richtlinie wurde in Deutschland mit dem CSRD-Umsetzungsgesetz ins Handelsgesetzbuch übernommen. Berichtspflichtig sind nach den finalen Stufen Unternehmen, die mindestens zwei der folgenden drei Kriterien überschreiten: 250 Beschäftigte, 50 Mio. Euro Nettoumsatz, 25 Mio. Euro Bilanzsumme. Kapitalmarktorientierte Unternehmen berichten bereits für das Geschäftsjahr 2024. Große nicht-kapitalmarktorientierte Unternehmen folgen mit dem Geschäftsjahr 2025, kapitalmarktorientierte KMU mit dem Geschäftsjahr 2026 unter dem KMU-Standard ESRS LSME oder VSME. Die Berichte werden Teil des Lageberichts und prüfungspflichtig durch den Abschlussprüfer mit zunächst Limited Assurance.

Inhaltlich folgen die Berichte den ESRS, die in zwölf Standards strukturiert sind: zwei übergreifende, fünf Umwelt-Standards (E1 bis E5), vier Sozial-Standards (S1 bis S4) und ein Governance-Standard (G1). Die Wesentlichkeitsanalyse erfolgt doppelt: Inside-out, also welche Wirkung das Unternehmen auf Umwelt und Gesellschaft hat, und Outside-in, also welche Nachhaltigkeitsrisiken finanziell auf das Unternehmen wirken. Ergänzend gilt die EU-Taxonomie nach Verordnung 2020/852 mit ihren sechs Umweltzielen und der Pflicht, taxonomiekonforme Umsatz-, CapEx- und OpEx-Anteile auszuweisen. Wer ESG operativ aufsetzen will, muss diese drei Regelwerke gleichzeitig im Blick behalten. CIVAC bildet die Rollen, Vorlagen und Berichtspfade in einem ESG-/Nachhaltigkeitsbeauftragten-Modul ab, das die Datenpunkte den richtigen Verantwortlichen zuordnet und versionierte Nachweise im Workspace ablegt. Diese Struktur stellt sicher, dass die Berichterstattung mit denselben Datenfeldern auch in den Folgejahren ohne Rückfall in Excel-Tabellen weitergeführt werden kann und der Wirtschaftsprüfer eine konsistente Datenherkunft nachvollziehen kann. Zur Einordnung: Limited Assurance bedeutet ein eingeschränktes Prüfungsurteil, das ab den ESRS-Pflichtjahren gilt und mittelfristig auf Reasonable Assurance angehoben werden soll. Damit steigen die Anforderungen an Datenqualität, Methodik und Audit-Spur jährlich.

Die ESG-Pflichten sind kein einheitliches Paket, sondern eine Treppe mit klaren Schwellenwerten. Stufe eins: CSRD-Pflicht für große Kapitalgesellschaften ab Geschäftsjahr 2025. Stufe zwei: CSRD-Pflicht für kapitalmarktorientierte KMU ab Geschäftsjahr 2026 mit Opt-out-Möglichkeit bis 2028. Stufe drei: CSDDD-Pflicht ab 2027 für sehr große Unternehmen (1.000 Beschäftigte und 450 Mio. Euro Umsatz weltweit). Parallel gilt das LkSG seit 2024 für Unternehmen mit mindestens 1.000 Mitarbeitenden, mit Pflicht zu Risikoanalyse, Präventionsmaßnahmen, Beschwerdeverfahren und einem jährlichen Bericht beim BAFA. Verstöße werden mit Bußgeldern bis 8 Mio. Euro oder 2 Prozent des Konzernumsatzes sanktioniert.

Hinzu kommen branchenspezifische Anforderungen: Finanzinstitute unterliegen der SFDR und der CRR III mit eigenen ESG-Kennzahlen. Industrie und Energieerzeuger berichten zusätzlich nach dem Brennstoffemissionshandelsgesetz und dem nationalen Emissionshandelsgesetz. Hersteller chemischer Produkte erfüllen REACH-Pflichten mit Auswirkung auf den S2-Standard. Wer ESG strukturiert aufsetzt, beginnt mit einer schriftlichen Pflichtenmatrix, in der jede Norm einer Schwelle, einer Berichtsfrequenz und einem internen Verantwortlichen zugeordnet wird. Diese Matrix ersetzt das übliche Sammelsurium aus PowerPoint-Folien und Excel-Listen, das in vielen Mittelstandsunternehmen die Vorbereitung dominiert. CIVAC liefert die Matrix als Vorlage im Workspace, mit den 25 Beauftragten-Rollen und 490 Audit-Vorlagen vorbelegt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Damit ist die erste Frage der Geschäftsführung beantwortbar: Was muss wann von wem berichtet werden. Wer die Matrix einmal sauber aufgesetzt hat, kann anschließend einzelne Pflichten gezielt an interne Verantwortliche oder externe Beauftragte verteilen und die Berichtsfrequenz in eine Jahresplanung gießen, die auch in der Abschlussprüfung Bestand hat.

Die Bestellung eines ESG- oder Nachhaltigkeitsbeauftragten ist in Deutschland nicht durch eine einzelne Norm zwingend vorgeschrieben. Faktisch braucht aber jedes berichtspflichtige Unternehmen eine Person, die die Berichtserstellung koordiniert, die Wesentlichkeitsanalyse führt, die Datenflüsse aus Buchhaltung, HR, Einkauf und Energiemanagement bündelt und die externe Prüfung begleitet. Diese Rolle wird in der Praxis als Sustainability Officer, ESG Manager, CSRD Lead oder Nachhaltigkeitsbeauftragter geführt. In mittelständischen Unternehmen ist sie oft an die Geschäftsleitung oder den CFO angegliedert, in größeren Strukturen an eine eigene Stabsstelle.

Die Anforderungen an die Qualifikation lassen sich aus den ESRS ableiten: Kenntnis der zwölf Standards, Verständnis für Treibhausgasbilanzierung nach GHG Protocol Scope 1 bis 3, Erfahrung mit der EU-Taxonomie-Bewertung, Grundlagen in LkSG-Risikoanalyse, Kenntnis des Wirtschaftsprüferprozesses bei Limited Assurance. Eine externe Bestellung kommt in Frage, wenn intern weder Erfahrung noch Kapazität vorhanden ist oder wenn die Wesentlichkeitsanalyse zum ersten Mal durchgeführt wird. CIVAC stellt diese Rolle als Officer-as-a-Service bereit, mit Bestellurkunde, Berichtslinie an die Geschäftsführung und SLA von 2 Werktagen für die Übernahme. Bestellurkunde, unterschrieben, abgelegt, belegbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen erfolgt die Arbeit im selben Workspace mit denselben Vorlagen, sodass ein späterer Wechsel zwischen interner und externer Besetzung keinen Datenbruch verursacht. Die Stellvertretung ist Teil des Mandatsstandards, damit Berichtsphasen, Audits und Wesentlichkeitsanalyse-Termine ohne Personalrisiko durchlaufen. Damit ist die ESG-Funktion auch in einem mittelständischen Unternehmen unabhängig von einzelnen Personen organisiert. Die Berichtslinie zur Geschäftsführung wird in der Bestellurkunde fixiert und im Workspace mit Eskalationspfaden versehen, sodass die Verantwortung in keiner Phase verlorengeht.

Die doppelte Wesentlichkeitsanalyse ist die Voraussetzung jedes CSRD-Berichts. Sie entscheidet, welche der zwölf ESRS-Themen für das Unternehmen berichtspflichtig sind und welche Datenpunkte konkret erhoben werden müssen. Die EFRAG-Leitlinien beschreiben einen vierstufigen Prozess: Erstens Identifikation potenzieller Auswirkungen, Risiken und Chancen entlang der Wertschöpfungskette. Zweitens Bewertung der Wesentlichkeit aus Inside-out- und Outside-in-Perspektive mit Schwellenwerten für Wahrscheinlichkeit, Schwere und finanzielle Relevanz. Drittens Konsolidierung in einer Wesentlichkeitsmatrix. Viertens Validierung durch die Geschäftsführung und Dokumentation der Methodik für die Wirtschaftsprüfung.

Wer die Wesentlichkeitsanalyse zum ersten Mal durchführt, arbeitet typischerweise mit Workshops, einer Stakeholder-Befragung und einer schriftlichen Branchenrisiko-Analyse. Der Zeitaufwand liegt bei einem mittelständischen Industrieunternehmen zwischen 6 und 12 Wochen. Häufige Fehler: Stakeholder zu spät einbinden, keine quantitativen Schwellen für Wesentlichkeit definieren, Wertschöpfungskette nur bis zum Tier-1-Lieferanten betrachten, keine versionierte Dokumentation für die spätere Prüfung. CIVAC bietet im Workspace ein Vorlagenset für die Wesentlichkeitsanalyse mit vorbelegten Branchenrisiken nach NACE-Klassifikation, einer Stakeholder-Matrix und einer Bewertungs-Heuristik, die direkt in die ESRS-Datenpunkt-Logik mündet. Der Prüfer ruft an, der Nachweis liegt bereit. Die Wesentlichkeitsmatrix ist versioniert, die Methodik dokumentiert, die Verantwortlichen sind benannt. Diese Struktur reduziert die Wahrscheinlichkeit, dass der Wirtschaftsprüfer im ersten Bericht Nacharbeit verlangt, deutlich und senkt damit den klassischen Zwischenrechnungs-Aufwand des Prüfers. Sie ist außerdem die Grundlage, um in der Folgejahresanalyse nicht jedes Mal die Methodik neu aufzusetzen, sondern gezielt einzelne Wesentlichkeitsbewertungen zu aktualisieren, etwa bei einer neuen Lieferantenbeziehung oder einem geänderten Produktportfolio. Die Beweisführung im Workspace umfasst Stakeholder-Protokolle, Branchenrisiko-Quellen und die nachvollziehbare Anwendung der EFRAG-Schwellen, sodass die Methodik in einem Auditverfahren auch nach drei Jahren nachvollzogen werden kann.

Die ESRS verlangen über 1.100 quantitative und qualitative Datenpunkte, von denen je nach Wesentlichkeitsanalyse zwischen 200 und 600 tatsächlich berichtspflichtig sind. Die Datenerhebung beginnt bei der Treibhausgasbilanz nach GHG Protocol. Scope 1 erfasst direkte Emissionen aus Verbrennung und Fuhrpark. Scope 2 erfasst indirekte Emissionen aus zugekauftem Strom, Wärme und Kühlung. Scope 3 erfasst die 15 Kategorien indirekter Emissionen entlang der Wertschöpfungskette, von eingekauften Gütern bis zur Produktnutzungsphase. Scope 3 ist methodisch am aufwendigsten und macht in vielen Industrien mehr als 80 Prozent der Gesamtemissionen aus.

Daneben verlangen die Sozial-Standards Daten zu Beschäftigten, Arbeitnehmern in der Wertschöpfungskette, betroffenen Gemeinschaften und Endnutzern. Das umfasst Kennzahlen wie Gender-Pay-Gap, Unfallrate, Schulungsstunden, Beschwerdezahl, Kollektivvertrags-Abdeckung. Der Governance-Standard G1 fordert Daten zur Geschäftsethik, zur Korruptionsprävention, zur politischen Einflussnahme und zu Zahlungsverhalten. Die Datenerhebung wird in der Praxis dann effizient, wenn sie nicht jedes Jahr neu organisiert wird, sondern als laufender Prozess in den Systemen verankert ist. CIVAC verknüpft im Workspace die ESRS-Datenpunkte mit den jeweiligen Datenquellen, etwa Energiemanagement nach Umweltschutzbeauftragter, Personalsystem und Einkaufssystem. Audit-fest, dokumentiert, § 130-fest. Die Versionierung erlaubt es, eine Kennzahl rückwirkend nachzuvollziehen, etwa wenn der Wirtschaftsprüfer eine Datenherkunft hinterfragt oder die Aufsicht einen Stichprobenabgleich aus drei Jahren verlangt. Damit ist sichergestellt, dass die Berichterstattung auch in Folgejahren ohne Mehraufwand mit demselben Datenmodell läuft und Kennzahlen-Veränderungen sauber begründet werden können. Wer Scope-3-Daten konsequent aus realen Einkaufsdaten ableitet statt aus Branchen-Schätzwerten, reduziert das Risiko einer Prüfer-Anpassung im Folgejahr und schafft die Basis für eine spätere Umstellung auf Reasonable Assurance.

Die EU-Taxonomie nach Verordnung 2020/852 ist das Klassifikationssystem für ökologisch nachhaltige Wirtschaftsaktivitäten. Sie ist seit 2022 für Klimaschutz und Anpassung an den Klimawandel anwendbar, seit 2024 sind die vier weiteren Umweltziele ergänzt: Wasser, Kreislaufwirtschaft, Verschmutzung, Biodiversität. Unternehmen, die unter die CSRD fallen, müssen pro berichtspflichtigem Geschäftsjahr drei taxonomierelevante Kennzahlen ausweisen: Anteil taxonomiekonformer Umsätze, Anteil taxonomiekonformer Investitionsausgaben (CapEx) und Anteil taxonomiekonformer Betriebsausgaben (OpEx). Die Definition der Konformität erfolgt in drei Schritten: Eligibility (Aktivität ist in der Taxonomie aufgeführt), Substantial Contribution (Aktivität trägt wesentlich zu einem Umweltziel bei) und Do No Significant Harm (DNSH, keine erhebliche Beeinträchtigung der anderen fünf Ziele).

In der Praxis stoßen Unternehmen typischerweise an drei Stellen auf Komplexität. Erstens an der Eligibility-Frage: Welche Umsätze fallen überhaupt unter die definierten NACE-Codes? Zweitens an der DNSH-Prüfung: Welche technischen Bewertungskriterien gelten konkret, etwa für Gebäudeeffizienz, Wassernutzung oder Emissionsgrenzwerte? Drittens an der Minimum Safeguards-Prüfung: Hält das Unternehmen die OECD-Leitsätze und UN-Leitprinzipien für Wirtschaft und Menschenrechte ein? CIVAC bildet die drei Prüfschritte als Workflow im Workspace ab, mit Verknüpfung zur LkSG-Risikoanalyse und zur ISO/IEC 27001:2022-Dokumentation. Der Übergang von der Taxonomie-Prüfung in den CSRD-Bericht erfolgt ohne Datenmigration. Das spart in der Erstbericht-Phase typischerweise 15 bis 25 Beratertage und sorgt dafür, dass die Prüferückfragen in einem konsistenten Datenmodell beantwortet werden können. Gleichzeitig bleibt die Taxonomie-Bewertung dokumentiert und versioniert, sodass ein späterer Anbieterwechsel oder ein Wechsel der internen Verantwortlichen die Konformitätsbewertung nicht zurücksetzt. Die DNSH-Prüfungen werden mit den jeweils zugrunde liegenden technischen Bewertungskriterien verknüpft, sodass eine Aktualisierung der EU-Delegierten Verordnung gezielt nachgezogen werden kann statt ein neues Projekt zu erfordern.

Das LkSG verpflichtet seit 2024 Unternehmen mit mindestens 1.000 Mitarbeitenden in Deutschland zu einer Risikoanalyse menschenrechtlicher und umweltbezogener Risiken in der eigenen Geschäftstätigkeit, beim unmittelbaren Zulieferer und anlassbezogen auch beim mittelbaren Zulieferer. Die Pflichten umfassen eine Grundsatzerklärung, ein Risikomanagement, Präventions- und Abhilfemaßnahmen, ein Beschwerdeverfahren nach § 8 LkSG, eine jährliche Risikoanalyse und einen Bericht beim BAFA innerhalb von vier Monaten nach Geschäftsjahresende. Verstöße werden mit Bußgeldern bis 8 Mio. Euro sanktioniert, bei Unternehmen mit über 400 Mio. Euro Jahresumsatz bis 2 Prozent des Konzernumsatzes.

Die CSDDD wird diese Pflichten ab 2027 auf europäischer Ebene harmonisieren und teils verschärfen, etwa durch eine zivilrechtliche Haftung für Schäden in der Lieferkette und durch die Pflicht zu einem Klimaschutzplan im Einklang mit dem 1,5-Grad-Ziel. Wer LkSG-Strukturen heute aufbaut, sollte sie so dimensionieren, dass sie CSDDD-fähig sind. CIVAC verbindet die Rolle des LkSG-Beauftragten mit dem Lieferanten-Auditor und stellt im Workspace die Vorlagen für Risikoanalyse, Code of Conduct, Beschwerdekanal nach § 12 HinSchG und BAFA-Bericht bereit. Die Berichtspfade sind so aufgesetzt, dass die LkSG-Risikoanalyse direkt in die CSRD-Berichterstattung im ESRS-Standard S2 (Arbeitnehmer in der Wertschöpfungskette) einfließt. Damit entfällt die parallele Datenhaltung in mehreren Systemen, und der Aufwand reduziert sich um die typischen Reibungsverluste an den Schnittstellen. Wer die Strukturen heute LkSG-konform aufsetzt, hat 2027 bei Inkrafttreten der CSDDD einen deutlich kleineren Anpassungsbedarf und kann den Klimaschutzplan in derselben Datenarchitektur erstellen. Lieferantenbewertungen, Code-of-Conduct-Verpflichtungen und Folgemaßnahmen werden im Workspace mit Fristen und Verantwortlichen versehen, sodass die Berichtspflicht beim BAFA innerhalb der vierten Monatsfrist nach Bilanzstichtag belastbar erfüllt wird.

In der Begleitung der ersten CSRD-Berichtszyklen zeigen sich fünf wiederkehrende Fehler. Erstens: Die Wesentlichkeitsanalyse wird zu spät begonnen, oft erst neun Monate vor dem Bilanzstichtag. Dadurch fehlt Zeit für saubere Stakeholder-Befragung und für die Validierung durch die Geschäftsführung. Zweitens: Scope-3-Daten werden geschätzt statt erhoben, weil der Einkauf nicht eingebunden ist. Der Wirtschaftsprüfer verlangt aber bei Limited Assurance eine nachvollziehbare Datenherkunft. Drittens: Die LkSG-Risikoanalyse läuft separat vom CSRD-Bericht, mit doppelter Datenhaltung in unterschiedlichen Tools. Beide Berichte werden dann inkonsistent und müssen nachjustiert werden.

Viertens: Die EU-Taxonomie-Prüfung wird unterschätzt. Insbesondere die DNSH-Prüfung verlangt detaillierte technische Bewertungen, die ohne Zusammenarbeit mit Engineering und Produktion nicht belastbar erstellt werden können. Fünftens: Der Bericht wird inhaltlich vom externen Berater geschrieben, ohne dass das Unternehmen selbst die Datenherkunft, die Methodik und die Annahmen dokumentiert. Spätestens beim Prüfertermin fällt die Lücke auf. CIVAC adressiert diese fünf Fehler strukturell. Frist läuft ab Kenntnis. Die Wesentlichkeitsanalyse beginnt im Workspace bei Mandatsaufnahme. Scope-3-Daten werden über Einkaufsschnittstellen erhoben, nicht geschätzt. LkSG und CSRD nutzen dieselbe Datenbasis. EU-Taxonomie-DNSH wird als eigener Workflow geführt, der die technischen Bewertungen versioniert ablegt. Die Methodik liegt im Klartext im Workspace und nicht in den Notebooks der Berater. Das Ergebnis: Der Bericht überlebt den Prüfertermin ohne Rückfragen, die das gesamte Bilanzteam blockieren. Diese Disziplin zahlt sich in den Folgejahren weiter aus, weil dieselben Strukturen die Berichterstattung auf eine Routinetätigkeit reduzieren statt auf eine jährliche Sondersituation. Die Geschäftsführung kann ihre Aufsichtspflicht nach § 130 OWiG nachweisen, weil Berichtslinie, Methodik und Audit-Spur vollständig im System liegen.

Ein effizienter ESG-Aufbau folgt drei Phasen. Phase eins: Pflichtenmatrix und Wesentlichkeitsanalyse, typischerweise 6 bis 12 Wochen. Phase zwei: Datenarchitektur, Verantwortlichkeiten, Berichtsvorlagen, weitere 8 bis 14 Wochen. Phase drei: Laufender Berichtsbetrieb mit jährlicher Wesentlichkeitsprüfung, Datenerhebung, Berichtsentwurf, Wirtschaftsprüferbegleitung. Wer alle drei Phasen klassisch beraterisch abdeckt, liegt schnell bei 60 bis 120 Beratertagen pro Jahr. Wer auf eine Compliance-Plattform mit Officer-as-a-Service umstellt, reduziert die Tage in den ersten beiden Phasen um 40 bis 60 Prozent und führt Phase drei zu festen monatlichen Konditionen.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service so aufgebaut, dass alle drei Phasen im selben Workspace stattfinden. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die ESG-Rolle wird mit Bestellurkunde benannt, die Berichtslinie führt direkt zur Geschäftsführung, die EU-Datenresidenz ist Standard. Die 490 Audit-Vorlagen decken Wesentlichkeitsanalyse, Treibhausgasbilanz, Lieferanten-Audit, Wirtschaftsprüfer-Vorbereitung und ESRS-Berichtsstruktur ab. Bestellurkunde, unterschrieben, abgelegt, belegbar. Aus dem Lesen einen Auftrag machen: info@civac.de oder das Kontaktformular auf civac.de. Im Erstgespräch lässt sich anhand von Mitarbeiterzahl, Umsatz und Branche klären, welche Pflicht-Stufe greift, welche Rollen besetzt werden müssen und in welchem Modell der Aufbau am schnellsten zu einem prüfbaren Bericht führt. Die schriftliche Indikation enthält die monatlichen Kosten, die Implementierungsschritte und die SLA für die Bestellung. Damit lässt sich die Entscheidung zwischen interner Lizenz und externer Bestellung auf einer belastbaren Datengrundlage treffen, ohne dass eine separate Beraterphase zwischen Entscheidung und Aufbau geschoben werden muss. Bei Bedarf werden zusätzliche Pflichtenfelder wie LkSG, EU-Taxonomie oder Energiemanagement im selben Workspace ergänzt, sodass keine getrennten Tool-Welten entstehen.