Generation ESG: Wie die nächste Beauftragten-Generation Nachhaltigkeit operativ verankert

Mit der Richtlinie (EU) 2022/2464 (CSRD) und den delegierten ESRS-Standards der Europäischen Kommission vom 31. Juli 2023 hat sich Nachhaltigkeit von einer freiwilligen Berichtsübung zu einer gesetzlich verpflichteten Konzernfunktion entwickelt. Für Geschäftsjahre ab 2025 berichten große Kapitalgesellschaften nach der vollen ESRS-Datenarchitektur, ab 2026 folgen weitere Wellen einschließlich kapitalmarktorientierter mittelständischer Unternehmen. Parallel verschärfen das Lieferkettensorgfaltspflichtengesetz (LkSG) und die EU-Verordnung 2023/1115 (Entwaldungsverordnung) die operativen Anforderungen entlang der gesamten Wertschöpfungskette. Diese regulatorische Verdichtung erzeugt eine neue Generation von ESG-Beauftragten, die nicht mehr nur Berichte zusammenstellt, sondern Prozesse, Nachweise, Datenflüsse und Lieferantenaudits aktiv steuert.

Dieser Beitrag beschreibt, wie die Generation ESG operativ arbeitet, welche Pflichten der ESG-Beauftragte unter CSRD, ESRS, LkSG und der EU-Taxonomie konkret trägt und wie Sie die Rolle in Ihrem Unternehmen sauber bestellen, dokumentieren und mit einer belastbaren Berichtslinie an die Geschäftsleitung absichern. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Die zentrale Entscheidung lautet: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege führen zu derselben prüffähigen Dokumentationsbasis, zu denselben Audit-Vorlagen und zu derselben Berichtslinie an die Geschäftsleitung, was die spätere Migration zwischen den Modellen ohne Datenverlust ermöglicht und die Investitionssicherheit erhöht.

Die erste ESG-Welle, grob die Jahre 2018 bis 2024, war geprägt von freiwilligen Berichten, ESG-Ratings und nicht-finanziellen Erklärungen nach § 289b HGB. Die Verantwortung lag häufig bei Kommunikations- oder Investor-Relations-Abteilungen. Daten wurden einmal jährlich zusammengetragen, häufig retrospektiv und ohne durchgängige Datenherkunft, oft mit erheblichem manuellem Aufwand und mit Plausibilitätslücken, die nur deshalb keine Folgen hatten, weil keine Prüfungspflicht bestand. Das war ausreichend, solange ESG primär ein Kommunikationsprodukt für den Geschäftsbericht und für Nachhaltigkeitsindizes war.

Die Generation ESG arbeitet grundlegend anders. Mit der CSRD, den ESRS und der Prüfungspflicht nach § 324b HGB wird die nicht-finanzielle Berichterstattung zum integralen Bestandteil des Lageberichts und unterliegt einer Prüfung mit begrenzter Sicherheit (limited assurance), ab 2028 voraussichtlich mit hinreichender Sicherheit (reasonable assurance). Das verlangt belastbare Datenherkunft, vollständige Methodendokumentation und ein Internes Kontrollsystem für ESG-Daten, das den gleichen Qualitätsanforderungen genügt wie die Finanzberichterstattung im Sinne der IDW-Prüfungsstandards.

Operativ bedeutet das: ESG-Daten werden nicht mehr jährlich erhoben, sondern laufend in den Quellsystemen erfasst, validiert und automatisiert in das ESRS-Datenmodell überführt. Die Verantwortung wandert von der Kommunikation in eine eigene Compliance-Funktion mit klarer Eskalationslinie. Der ESG-Beauftragte steht dabei an der Schnittstelle zu Controlling, Einkauf, Personal und Umweltschutz. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese Aussage trifft die Generation ESG besonders, weil hier der Übergang von Papierprozessen zu maschinenlesbaren Datenpunkten konkret erlebbar wird. Wer diesen Übergang verschleppt, wird in der ersten Prüfung mit Findings konfrontiert, die im Folgejahr aufwendiger zu korrigieren sind als sauber aufgesetzte Prozesse von Beginn an. Die Investition in ein konsistentes Datenmodell und eine belastbare Berichtslinie zahlt sich bereits in der zweiten Berichtsperiode aus.

Die CSRD verlangt eine Berichterstattung nach den European Sustainability Reporting Standards (ESRS), einem Datenmodell mit derzeit zwölf veröffentlichten Standards: ESRS 1 und ESRS 2 als Querschnittstandards, fünf Umweltstandards (E1 bis E5), vier Sozialstandards (S1 bis S4) und ein Governance-Standard (G1). Hinzu kommen sektorale Standards, deren Verabschiedung sich verzögert hat und die voraussichtlich später folgen werden. Die doppelte Wesentlichkeitsanalyse (double materiality) nach ESRS 1 ist der zentrale Einstiegspunkt: Sie bestimmt, welche Datenpunkte für das berichtspflichtige Unternehmen tatsächlich relevant sind und welche entfallen können, einschließlich Begründung.

Die EU-Taxonomieverordnung (EU) 2020/852 ergänzt das regulatorische Bild. Unternehmen müssen offenlegen, welcher Anteil ihres Umsatzes, ihrer Investitionen und ihrer operativen Ausgaben taxonomiefähig und taxonomiekonform ist. Die technischen Bewertungskriterien stehen in den delegierten Rechtsakten (EU) 2021/2139 und (EU) 2023/2486. Die Berichterstattung erfolgt in maschinenlesbarem XBRL-Format auf Basis der ESEF-Verordnung. Damit wird ESG endgültig auditierbar wie Finanzdaten und vergleichbar zwischen Unternehmen am Kapitalmarkt.

Der ESG-Beauftragte koordiniert die Datenerhebung, prüft die Methodenkonsistenz und dokumentiert die getroffenen Annahmen einschließlich Wesentlichkeitsschwellen. Bei Lieferantendaten greift parallel das LkSG mit jährlicher Berichtspflicht an das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) und Bußgeldern bis 8 Mio. Euro oder 2 Prozent des Konzernumsatzes. CIVAC stellt für diese Aufgaben 490 einsatzbereite Audit-Vorlagen bereit, darunter Wesentlichkeitsanalyse, ESRS-Datenpunktmatrix, Lieferantenfragebogen, Risikoanalyse nach LkSG und Methodenhandbuch für die Szenarioanalyse. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Vorlagen sind durchgängig verschlagwortet, versioniert und nach Standard sortiert, sodass eine Stichprobenanfrage durch den Prüfer ohne langes Suchen beantwortet werden kann. Diese Strukturierung ist Teil der Plattformarchitektur, nicht eine spätere Zusatzleistung.

Die ESRS schreiben keine spezifische Organisationsform für den ESG-Beauftragten vor. Die Prüfungspraxis großer Wirtschaftsprüfungsgesellschaften hat sich jedoch seit den ersten CSRD-Berichtsperioden verfestigt: Der ESG-Beauftragte sollte direkt an die Geschäftsleitung berichten, mit dokumentiertem Eskalationsweg und ausreichenden personellen wie finanziellen Ressourcen. Die Logik folgt der bekannten Systematik nach § 38 DSGVO und § 4f BDSG für den Datenschutzbeauftragten. Wer prüft, darf nicht das prüfen, was er selbst operativ verantwortet, sonst entfällt die Wirksamkeit des internen Kontrollsystems.

Konkret heißt das: Der ESG-Beauftragte ist nicht zugleich Leiter Investor Relations, nicht Leiter Nachhaltigkeit im Sinne einer operativen Linie und nicht Compliance-Beauftragter für andere Themen, wenn dies zu Rollenkonflikten führen würde. Eine saubere Trennung zwischen Datenlieferanten (Linienverantwortliche im Controlling, Einkauf, Personal, Technik) und Datenprüfer (ESG-Beauftragter mit unabhängiger Berichtslinie) ist die Grundvoraussetzung dafür, dass der Abschlussprüfer das interne Kontrollsystem als wirksam beurteilt und im Bestätigungsvermerk entsprechend testiert.

CIVAC dokumentiert die Berichtslinie als formales Artefakt im Workspace: Bestellurkunde, Stellenbeschreibung, Eskalationsmatrix, Ressourcenfreigabe durch die Geschäftsleitung. Das Modell ist dual: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Bei externer Bestellung übernimmt eine qualifizierte Person die Funktion und berichtet vertraglich an die Geschäftsleitung. Bei interner Bestellung führt das Unternehmen die Funktion selbst, nutzt aber dieselben Vorlagen und denselben Prüfpfad. Der Compliance-Beauftragte kann ergänzend für governance-bezogene ESRS G1-Anforderungen wie Verhaltenskodex und Korruptionsprävention bestellt werden. Damit entsteht ein Rollenmix, der die ESG- und Compliance-Anforderungen ohne Doppelarbeit abdeckt und der vom Prüfer als integrierte Governance-Struktur erkannt wird.

Die Qualifikation des ESG-Beauftragten ist nicht statutarisch geregelt, die Praxis hat aber ein klares Anforderungsprofil ausgebildet. Vier Kompetenzfelder sind aus Sicht der Prüfungspraxis unverhandelbar. Das erste Feld umfasst regulatorisches Wissen: CSRD in der jeweils aktuellen Fassung, ESRS einschließlich der delegierten Rechtsakte, EU-Taxonomie mit ihren technischen Bewertungskriterien, LkSG, EU-Entwaldungsverordnung, die kommende EU-Lieferketten-Richtlinie. Hinzu kommen branchenspezifische Vorschriften wie die EU-Verordnung über Kritische Rohstoffe (CRMA) für Industrieunternehmen und die Offenlegungsverordnung SFDR für Finanzdienstleister.

Das zweite Feld ist Datenarchitektur. Die ESRS-Datenpunkte sind in ihrer vollen Form umfangreich (über 1.000 Datenpunkte je nach Wesentlichkeitsergebnis). Der ESG-Beauftragte muss verstehen, wie Datenpunkte aus ERP, HR-System, Energiemanagement, Lieferantenstammdaten und externen Quellen zusammengeführt werden und welche Datenqualitätskontrollen automatisiert greifen. Das dritte Feld ist Methodik. Doppelte Wesentlichkeitsanalyse, Szenarioanalyse nach TCFD-Logik (jetzt in ESRS E1 integriert), Lieferketten-Risikoanalyse nach LkSG, GHG-Bilanzierung nach GHG Protocol. Diese Methoden sind durchgängig dokumentationspflichtig und vom Prüfer angreifbar.

Das vierte Feld ist Audit-Fähigkeit im engeren Sinne. Der ESG-Beauftragte muss mit dem Abschlussprüfer auf Augenhöhe sprechen, Prüfungsanfragen strukturiert beantworten und Methodendokumente belastbar verteidigen können. Diese Kompetenz unterscheidet die Generation ESG am stärksten von der ersten Welle. CIVAC stellt qualifizierte Beauftragte mit ISO/IEC 27001:2022-Hintergrund und ESRS-Schulungsnachweis. Der Workspace führt Schulungsnachweise je Beauftragtem als prüffähiges Artefakt mit. Der Prüfer ruft an, der Nachweis liegt bereit. Mehr Details zum Rollenprofil finden Sie unter civac.de/roles. Die Qualifikationsmatrix wird jährlich aktualisiert und an die Entwicklung der ESRS angepasst, damit Schulungsnachweise nicht veralten und der Beauftragte in jeder Prüfungsrunde mit aktuellem Stand auftreten kann.

Die Generation ESG arbeitet niemals isoliert. Vier Schnittstellen sind operativ kritisch und werden in jeder Prüfung adressiert. Die erste Schnittstelle ist der Datenschutzbeauftragte. ESRS S1 (eigene Belegschaft) und ESRS S2 (Beschäftigte in der Wertschöpfungskette) verlangen personenbezogene Datenpunkte, deren Erhebung mit der DSGVO abgestimmt sein muss. Eine gemeinsame Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist üblich, sobald neue Erhebungen aufgesetzt werden, etwa zu Verletzungen am Arbeitsplatz, Diskriminierungsvorfällen oder Vergütungsstrukturen.

Die zweite Schnittstelle ist der Informationssicherheitsbeauftragte. ESRS-Daten und LkSG-Risikoanalysen enthalten oft sensible Lieferantendaten. Die Speicherung, der Zugriff und die Übermittlung an Wirtschaftsprüfer und Konzerngesellschaften unterliegen Schutzanforderungen, die typischerweise nach ISO/IEC 27001:2022 abgesichert werden. Die 93 Controls der Norm sind hier die Referenz. EU-Datenresidenz ist für viele Konzerne ein hartes Kriterium, gerade bei US-Wirtschaftsprüfungsgesellschaften mit globalen Datenverarbeitungswegen.

Die dritte Schnittstelle ist der Compliance-Beauftragte für ESRS G1 (Unternehmensführung). Verhaltenskodex, Whistleblowing-System nach Hinweisgeberschutzgesetz, Korruptionsprävention, Beziehungen zu politischen Entscheidungsträgern und Lobbyaktivitäten. Hier überlappen sich ESRS und HinSchG. Die vierte Schnittstelle umfasst den LkSG-Beauftragten und den Umweltschutzbeauftragten als operative Datenlieferanten. CIVAC führt diese Schnittstellen im Workspace zusammen, sodass ein Datenpunkt nur einmal erfasst und an alle relevanten Berichte weitergereicht wird. Die Plattform verhindert doppelte Pflege und reduziert die Quelle der häufigsten Audit-Findings: inkonsistente Datenbestände zwischen ESRS-, LkSG- und ISMS-Dokumentation. Die Workspace-Architektur folgt einem Single-Source-of-Truth-Prinzip mit klaren Schreibrechten je Rolle und mit nachvollziehbarem Änderungsverlauf. Wer wann welchen Datenpunkt geändert hat, ist innerhalb von Sekunden abrufbar und ohne weitere Aufbereitung an den Prüfer übergebbar. Diese durchgängige Nachvollziehbarkeit ist häufig der Unterschied zwischen einem klaren Bestätigungsvermerk und einer Reihe formaler Nachforderungen, die das Prüfungsteam in einer zweiten Schleife adressieren muss.

Die größte Datenlast für die Generation ESG entsteht in der Lieferkette. Das LkSG verlangt seit 2024 von Unternehmen mit mehr als 1.000 Beschäftigten eine jährliche Risikoanalyse, dokumentierte Präventionsmaßnahmen, ein wirksames Beschwerdeverfahren und eine Berichtspflicht gegenüber dem BAFA bis zum 1. Juni des Folgejahres. Die EU-Lieferketten-Richtlinie (CSDDD) erweitert den anwendbaren Unternehmenskreis und harmonisiert die Pflichten europaweit. Parallel verlangt die Entwaldungsverordnung 2023/1115 Geokoordinaten je Produktionsfläche für sieben Rohstoffgruppen einschließlich Rindfleisch, Holz, Kaffee, Kakao, Soja, Palmöl und Kautschuk.

Der ESG-Beauftragte koordiniert dieses Lieferantenmanagement gemeinsam mit dem strategischen und operativen Einkauf. Operativ heißt das: Lieferantenfragebogen mit klar definierten Pflichtfeldern, Risikobewertung nach Land, Branche und Produkt, Vor-Ort-Audits bei Hochrisikolieferanten, Dokumentation der Präventionsmaßnahmen und der Wirksamkeitskontrolle nach festgelegten Intervallen. Die LkSG-Beauftragte-Rolle ist hier oft eine eigene Funktion, die mit dem ESG-Beauftragten eng zusammenarbeitet und sich Datenquellen sowie Bewertungsraster teilt.

CIVAC stellt einen Lieferantenaudit-Workflow bereit, der Risikoanalyse, Fragebogen, Auditberichte und abgeleitete Maßnahmen logisch verknüpft. Jede Veränderung ist mit einem Zeitstempel und einem Verantwortlichen versehen. Frist läuft ab Kenntnis. Wenn ein Hinweis aus dem Beschwerdeverfahren eingeht, ist die Reaktionsfrist nicht verhandelbar und ergibt sich aus § 8 LkSG. Die NIS-2-24/72-Logik wird hier sinngemäß angewendet: dokumentierte Erstreaktion innerhalb klar definierter Fenster. Die Workspace-Architektur trennt Lieferantendaten nach Mandant und schützt Geschäftsgeheimnisse über rollenbasierte Zugriffe, was bei kombinierter Nutzung durch Einkauf, ESG und Compliance praktisch entscheidend ist. Diese Trennung wird regelmäßig durch eine interne Revision überprüft und gegenüber dem Prüfer als Bestandteil der ISMS-Kontrollen offengelegt. So bleibt die Lieferantendokumentation für alle relevanten Stakeholder zugänglich, ohne dass Geschäftsgeheimnisse aus dem Einkauf in andere Funktionen abfließen.

Die CSRD verlangt eine Prüfung der Nachhaltigkeitsberichterstattung mit begrenzter Sicherheit (limited assurance) ab dem ersten Berichtsjahr. Geprüft wird die Übereinstimmung mit den ESRS, die Wirksamkeit des internen Kontrollsystems für nicht-finanzielle Daten und die Konsistenz mit dem Lagebericht und der Finanzberichterstattung. Der Prüfer ist in Deutschland typischerweise der Abschlussprüfer für die Finanzberichterstattung, sofern keine separate Bestellung erfolgt; die Berufsausübung erfolgt nach den Standards des IDW und der WPK.

Operativ bedeutet das vier zentrale Anforderungen. Die erste Anforderung ist die Methodendokumentation. Jede angewendete Methode (Wesentlichkeitsanalyse, Szenarioanalyse, Lieferanten-Risikobewertung, GHG-Bilanzierung) muss schriftlich dokumentiert und mit Quellen belegt sein, einschließlich Versionsstand. Die zweite Anforderung ist die Datenherkunft. Jeder Datenpunkt muss bis zur Quelle zurückverfolgt werden können, idealerweise mit automatisiertem Datenlogging und mit Zeitstempel je Erhebung. Die dritte Anforderung sind Kontrollnachweise: Vier-Augen-Prinzip, Plausibilitätskontrollen, Abweichungsanalysen und ihre dokumentierte Behandlung.

Die vierte Anforderung sind Korrekturen und Restatements. Wenn Daten nach Veröffentlichung korrigiert werden müssen, ist die Änderung sauber zu begründen und gegenüber dem Kapitalmarkt zu kommunizieren. CIVAC-Workspace führt für jede dieser Anforderungen vorbereitete Artefakte: Methodenhandbuch, Datenpunkt-Register, Kontrollmatrix, Restatement-Protokoll. Audit-fest, dokumentiert, ESRS-fest. Wenn der Prüfer eine Stichprobe anfordert, liegt der Nachweis innerhalb von Minuten bereit. Diese Geschwindigkeit ist nicht kosmetisch: Sie reduziert das Risiko von Findings, die den Bestätigungsvermerk einschränken könnten, und damit das Reputations- und Refinanzierungsrisiko des Unternehmens am Kapitalmarkt, das im Falle eines eingeschränkten Vermerks erheblich ausfallen kann. Diese Prüffähigkeit ist nicht erst kurz vor dem Stichtag herzustellen, sondern muss laufend durch ein wirksames Internes Kontrollsystem getragen werden.

Die Bestellung eines ESG-Beauftragten folgt einem klaren Pfad mit vier Schritten. Der erste Schritt ist eine Wesentlichkeitsanalyse-Vorprüfung: Welche ESRS-Standards sind voraussichtlich wesentlich, welche Datenpunkte sind aktuell vorhanden, welche fehlen und welche Lücken bestehen in der Datenherkunft. Diese Vorprüfung dauert in der Praxis zwischen einer und drei Wochen, abhängig von der Größe des Unternehmens und der Komplexität der Wertschöpfungskette.

Der zweite Schritt ist die Entscheidung interne oder externe Bestellung. Verfügt das Unternehmen über qualifiziertes Personal mit ESRS-Erfahrung und ausreichend freier Kapazität? Falls ja, interne Bestellung mit Workspace-Lizenz und ergänzendem Coaching. Falls nein, externe Bestellung als Officer-as-a-Service mit klar geregelter SLA. Der dritte Schritt umfasst Bestellurkunde, Stellenbeschreibung und Berichtslinie. Diese drei Artefakte müssen vor dem ersten Berichtszeitpunkt vorliegen, damit der Abschlussprüfer das interne Kontrollsystem als etabliert ansieht. Der vierte Schritt ist die Workspace-Konfiguration und das Datenpunkt-Mapping. Welcher Datenpunkt kommt aus welcher Quelle, wer ist verantwortlich, in welchem Rhythmus wird aktualisiert.

Die CIVAC-SLA für externe Bestellung liegt bei zwei Werktagen, gegenüber dem klassischen Markt von zwei bis sechs Wochen. Die Kosten skalieren mit Unternehmensgröße, Anzahl wesentlicher ESRS-Standards und Lieferantenvolumen, nicht mit der Nutzeranzahl. Das duale Modell bleibt: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege enden mit derselben prüffähigen Artefaktbasis. Die Bestellurkunde ist nach deutscher Praxis unbefristet oder auf mindestens vier Jahre angelegt; eine vorzeitige Abberufung folgt sinngemäß den DSB-Regeln nach § 6 Abs. 4 BDSG analog, um die Unabhängigkeit der Funktion zu sichern. Mehr Details zu vergleichbaren Modellen finden Sie unter civac.de/facts.

Wenn Ihr Unternehmen unter die CSRD fällt, sei es ab dem Geschäftsjahr 2025 oder ab einer der späteren Wellen 2026 und 2028, ist die Frage nicht mehr, ob ein ESG-Beauftragter benötigt wird, sondern wie schnell die Rolle prüffähig aufgesetzt ist. Die Generation ESG arbeitet als operative Compliance-Funktion mit Berichtslinie an die Geschäftsleitung, mit dokumentierten Methoden und mit einem Workspace, der den Abschlussprüfer ohne Übersetzungsschleifen bedient und der die Konsistenz zwischen Finanz- und Nachhaltigkeitsberichterstattung sicherstellt.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Sitz in Deutschland und vollständiger EU-Datenresidenz. Der Workspace umfasst 25 Beauftragten-Rollen, 490 einsatzbereite Audit-Vorlagen, 93 Controls nach ISO/IEC 27001:2022 und einen integrierten NIS-2-24/72-Meldepfad für die kritische Infrastruktur. Das duale Modell ist der Einstieg: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen und erreichen Sie innerhalb von zwei Werktagen einen prüffähigen Status. Beide Wege enden mit derselben Artefaktbasis und mit derselben Eskalationslogik gegenüber der Geschäftsleitung.

Aus dem Lesen einen Auftrag machen. Schreiben Sie eine kurze Nachricht an info@civac.de mit Ihrem aktuellen ESRS-Status (geplante erste Berichtsperiode, Wesentlichkeitsanalyse vorhanden ja oder nein, ungefähre Lieferantenzahl, Konzernstruktur) oder nutzen Sie das Kontaktformular auf civac.de. Innerhalb eines Werktags erhalten Sie ein zugeschnittenes Angebot, das SLA, Rollenmix und Workspace-Konfiguration konkret benennt und damit eine Vertragsentscheidung ohne zweite Angebotsrunde und ohne längere interne Abstimmungsschleife ermöglicht. Das Angebot ist preis- und scopebindend, sodass der Einkauf direkt in die Vertragsphase übergehen kann. Eine zweite kommerzielle Schleife entfällt damit ebenso wie eine Verzögerung durch interne Klärung der Funktionszuständigkeiten zwischen Compliance, Nachhaltigkeit und Recht.