CSDDD 2026: Was die EU-Lieferkettenrichtlinie nach Omnibus I noch bedeutet

Die Corporate Sustainability Due Diligence Directive (CSDDD) sollte 2024 die europäische Antwort auf nationale Lieferkettengesetze wie das deutsche LkSG werden — branchenübergreifend, mit gestaffelter Anwendung und einer EU-weit einheitlichen Haftungsgrundlage. Mit dem Omnibus-I-Paket hat die EU im Frühjahr 2026 jedoch erheblich nachjustiert: Der Anwendungsbereich ist deutlich kleiner, die Fristen sind nach hinten verschoben und einige der weitreichendsten Pflichten wurden gestrichen.

Was aktuell gilt, wer betroffen ist, wie sich die CSDDD vom LkSG unterscheidet und wie Unternehmen sich sinnvoll vorbereiten — dieser Beitrag fasst den Stand 2026 zusammen.

Was ist die CSDDD?

Die CSDDD (Corporate Sustainability Due Diligence Directive, Richtlinie EU 2024/1760) ist die EU-Lieferkettenrichtlinie. Sie verpflichtet große Unternehmen dazu, in ihrer eigenen Geschäftstätigkeit sowie entlang ihrer Aktivitätskette systematisch Risiken für Menschenrechte und Umwelt zu identifizieren, zu vermeiden und zu beheben.

Ursprünglich wurde die Richtlinie 2024 verabschiedet und sollte ab Juli 2027 schrittweise in Kraft treten. Bereits im Februar 2025 legte die EU-Kommission das Omnibus-I-Paket vor, das den Anwendungsbereich, die Fristen und die Pflichtentiefe deutlich reduzierte. Nach der Einigung im Trilog (Dezember 2025) und der Verabschiedung im Rat (Februar 2026) wurde die geänderte Fassung als Richtlinie EU 2026/470 im Amtsblatt veröffentlicht und ist seit dem 18. März 2026 in Kraft.

Im Kern verfolgt die CSDDD zwei Ziele: einheitliche Standards für nachhaltige Lieferketten in der EU zu schaffen und die Wettbewerbsfähigkeit europäischer Unternehmen durch Harmonisierung — statt durch einen Flickenteppich nationaler Gesetze wie LkSG, französisches Loi de vigilance oder das niederländische Wet zorgplicht — zu sichern.

Wie hat Omnibus I die CSDDD verändert?

Das Omnibus-I-Paket ist die wichtigste Änderung an der CSDDD seit ihrer ursprünglichen Verabschiedung. Die wesentlichen Punkte:

Neue Schwellenwerte. Statt einer gestaffelten Einführung ab 1.000 Beschäftigten und 450 Mio. EUR Umsatz gilt jetzt eine einheitliche Schwelle: Nur Unternehmen mit mehr als 5.000 Beschäftigten und einem Nettoumsatz von mehr als 1,5 Mrd. EUR fallen direkt in den Anwendungsbereich. Das reduziert den Kreis der unmittelbar verpflichteten Unternehmen erheblich.

Einheitlicher Anwendungszeitpunkt. Die ursprünglich vorgesehenen drei Wellen (2027, 2028, 2029) entfallen. Alle direkt betroffenen Unternehmen müssen die CSDDD-Pflichten ab dem 26. Juli 2029 erfüllen. Mitgliedstaaten haben für die Umsetzung in nationales Recht bis zum 26. Juli 2028 Zeit.

Klimatransitionsplan gestrichen. Die ursprünglich vorgesehene Pflicht zur Erstellung und Umsetzung eines Klimatransitionsplans (Art. 22 CSDDD) entfällt vollständig. Nationale Gesetzgeber können diese Pflicht eigenständig vorschreiben; für CSRD-berichtspflichtige Unternehmen bleibt der ESRS-E1-Standard relevant.

Kein einheitliches EU-Haftungsregime. Die ursprünglich vorgesehene EU-weit harmonisierte zivilrechtliche Haftungsgrundlage wurde gestrichen. Die CSDDD verweist nun auf nationales Recht — mit der Folge eines Flickenteppichs unterschiedlicher Haftungsregime.

Begrenzung der Geldbußen. Sanktionen werden auf maximal 3 Prozent des weltweiten Umsatzes gedeckelt.

Ausgeweitete Vollharmonisierung. In den Kernbereichen Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren, Überwachung und Berichtswesen sind die Anforderungen jetzt vollharmonisiert. Das heißt: Mitgliedstaaten dürfen hier weder strengere noch mildere Regelungen vorsehen.

Welche Pflichten bringt die CSDDD?

Auch in der abgeschwächten Fassung bleibt die CSDDD ein anspruchsvoller Rahmen. Die zentralen Pflichten für direkt betroffene Unternehmen:

Risikoanalyse (Art. 8–9). Unternehmen müssen die eigene Geschäftstätigkeit und die Aktivitätskette systematisch auf menschenrechtliche und umweltbezogene Risiken untersuchen. Bei Anhaltspunkten ist vertiefend zu prüfen.

Präventions- und Abhilfemaßnahmen (Art. 10–11). Identifizierte Risiken müssen durch geeignete Maßnahmen verhindert, gemindert oder behoben werden — von Verhaltenskodizes über vertragliche Zusicherungen bis hin zur Unterstützung von Geschäftspartnern.

Beschwerdeverfahren (Art. 14). Betroffene müssen Verstöße melden können. Unternehmen müssen ein Beschwerdeverfahren bereitstellen, das Vertraulichkeit, Schutz vor Repressalien und nachvollziehbare Bearbeitung gewährleistet.

Überwachung (Art. 15). Die Wirksamkeit der eigenen Sorgfaltsmaßnahmen muss regelmäßig überprüft werden — mit klaren Indikatoren und dokumentierten Ergebnissen.

Berichtswesen. Über die Sorgfaltspflichten und ihre Umsetzung muss öffentlich berichtet werden. Die Detailtiefe der Berichtsanforderungen wurde durch Omnibus I gegenüber dem Ursprungsentwurf reduziert.

Verantwortliche und Schulungen. Wer keine klar benannten Verantwortlichen, dokumentierte Prozesse und geschulte Mitarbeitende hat, wird die CSDDD-Pflichten in der Praxis kaum erfüllen können.

Wie unterscheidet sich die CSDDD vom LkSG?

Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) ist seit 2023 in Kraft und gilt aktuell für Unternehmen ab 1.000 Beschäftigten. Die CSDDD geht in mehreren Punkten über das LkSG hinaus — wird durch Omnibus I in anderen Punkten aber milder.

Anwendungsbereich. Das LkSG erfasst alle Unternehmen mit mindestens 1.000 Beschäftigten in Deutschland. Die CSDDD setzt die Schwelle nach Omnibus I deutlich höher an (>5.000 MA und >1,5 Mrd. EUR Umsatz), erfasst dafür aber das gesamte konzernweite Umsatzvolumen.

Aktivitätskette statt Lieferkette. Während das LkSG primär die vorgelagerte Lieferkette betrachtet (eigener Geschäftsbereich, direkte Zulieferer, indirekte Zulieferer bei substantiierter Kenntnis), erweitert die CSDDD den Blick auf die gesamte Aktivitätskette: also auch auf nachgelagerte Bereiche wie Vertrieb, Transport und Lagerung der Produkte durch direkte Geschäftspartner.

Haftung. Das LkSG sieht keine zivilrechtliche Haftungsgrundlage vor. Die CSDDD verweist auf nationales Recht — wie Deutschland das umsetzt, ist noch offen.

Berichtspflicht. Beim LkSG sind die Berichtspflichten faktisch ausgesetzt (siehe nächster Abschnitt). Die CSDDD-Berichtspflichten sind durch Omnibus I gegenüber dem Ursprungsentwurf reduziert, bleiben aber bestehen.

Wann gilt die CSDDD in Deutschland?

Für die deutsche Umsetzung sind drei parallele Entwicklungen wichtig:

LkSG in der Übergangsphase. Im Koalitionsvertrag zwischen CDU/CSU und SPD vom April 2025 wurde die Abschaffung des LkSG in seiner heutigen Form angekündigt. Am 3. September 2025 hat das Bundeskabinett einen Gesetzentwurf zur Änderung des LkSG beschlossen, der die Berichtspflichten nach § 10 Abs. 2 LkSG rückwirkend ab 01.01.2023 streicht. Seit September 2025 verfolgt das BAFA auf Weisung des BMWK nur noch „schwere“ Verstöße; seit November 2025 ist die digitale Berichtsmaske deaktiviert. Der Bundestag hat den Entwurf am 16. Januar 2026 in erster Lesung beraten.

CSDDD-Umsetzung über ein neues Gesetz. Das LkSG soll nach den Plänen der Bundesregierung durch ein Gesetz über die internationale Unternehmensverantwortung abgelöst werden, das die CSDDD in deutsches Recht überführt. Der konkrete Entwurf liegt noch nicht vor — die EU-Umsetzungsfrist endet am 26. Juli 2028.

Anwendung für Unternehmen. Direkt betroffene Unternehmen müssen die CSDDD-Pflichten ab dem 26. Juli 2029 erfüllen. Bis dahin gilt das LkSG in seiner reduzierten Form weiter.

Wie können sich Unternehmen jetzt vorbereiten?

Auch wenn die direkten Pflichten erst ab 2029 greifen und nur einen kleineren Kreis betreffen, bleibt Vorbereitung sinnvoll — vor allem wegen der Ausstrahlwirkung über Vertragsketten. Unternehmen unter den CSDDD-Schwellenwerten werden über ihre großen Auftraggeber, Banken und Versicherungen weiter mit Sorgfaltspflichten konfrontiert.

Risiko-Mapping der Aktivitätskette. Welche Teile der eigenen Geschäftstätigkeit und welche Geschäftspartner bergen besondere menschenrechtliche oder umweltbezogene Risiken? Eine strukturierte Bestandsaufnahme bildet die Basis für alles Weitere.

Code of Conduct für Lieferanten. Ein klarer Verhaltenskodex mit konkreten Anforderungen an Geschäftspartner ist sowohl unter LkSG als auch unter CSDDD ein zentrales Steuerungsinstrument — und ein häufig gefordertes Nachweisdokument.

Beschwerdeverfahren etablieren. Wer noch keinen funktionierenden Hinweisgeberkanal hat, sollte einen aufsetzen. Die Pflicht besteht ohnehin nach Hinweisgeberschutzgesetz und LkSG; sie ergänzt die CSDDD-Anforderungen nahtlos.

Dateninventar aufbauen. Konsistente Daten zu Lieferanten, Standorten, Produktströmen und ESG-Kennzahlen sind die Grundlage für alle künftigen Berichts- und Auskunftspflichten — auch gegenüber Kunden, Banken und Investorinnen.

Verantwortlichkeiten klären. Wer ist im Unternehmen für Sorgfaltspflichten zuständig? Welche Schnittstellen gibt es zwischen Einkauf, Compliance, HR und Nachhaltigkeit? Klare Rollen sind die Voraussetzung dafür, dass Prozesse später nicht an Zuständigkeitslücken scheitern.

Mitarbeitende sensibilisieren. Sorgfaltspflichten greifen nur, wenn alle Beteiligten — vom Einkauf über das Qualitätsmanagement bis zur Geschäftsführung — wissen, worauf sie achten müssen.

Welche Schulungen unterstützen die CSDDD-Compliance?

Wirksame Sorgfaltspflichten sind ohne kontinuierliche Schulungen kaum umsetzbar. Mitarbeitende müssen Risiken erkennen, Eskalationswege kennen und in ihrer täglichen Arbeit nachhaltigkeitsrelevante Entscheidungen treffen können. Über reteach lassen sich relevante Lerninhalte zentral steuern und revisionssicher dokumentieren.

Für CSDDD-Compliance besonders relevante Themenbereiche:

• Lieferkettensorgfaltspflichten — Grundlagen, Risikoanalyse, Beschwerdeverfahren
• Menschenrechte in der Lieferkette — internationale Standards, Risikoindikatoren
• Compliance im Einkauf — Lieferantenmanagement, Auditierung, Vertragsgestaltung
• Hinweisgeberschutz — Umgang mit Meldungen, Vertraulichkeit, Repressalienschutz
• Umweltschutz und Nachhaltigkeit — Umweltrisiken erkennen, ESG-Daten erfassen
• Antikorruption und Compliance-Kultur — als flankierender Baustein eines belastbaren Compliance-Systems

reteach bietet vorkonfigurierte Compliance-Kurse zu diesen Themen, die sich nach Bedarf um eigene Inhalte ergänzen lassen.

Fazit

Die CSDDD bleibt nach Omnibus I ein zentraler Baustein der europäischen Nachhaltigkeitsregulierung — wenn auch in deutlich abgespeckter Form. Für die meisten Unternehmen verschiebt sich der unmittelbare Handlungsdruck nach hinten: Die Anwendung beginnt erst 2029, die Schwellenwerte filtern den direkten Pflichtenkreis stark.

Gleichzeitig wäre es ein Fehler, die CSDDD als „erledigt“ abzuhaken. Die Erwartungen von Kunden, Banken und Investorinnen an nachvollziehbare ESG-Daten und gelebte Sorgfaltspflichten wachsen unabhängig vom direkten Anwendungsbereich. Wer die Jahre bis 2029 nutzt, um saubere Strukturen, klare Verantwortlichkeiten und geschulte Mitarbeitende aufzubauen, hat es später deutlich leichter — und kann schon kurzfristig souveräner auf Auskunftsanfragen reagieren.

In Deutschland bleibt die Lage in den nächsten Monaten dynamisch: Das LkSG ist faktisch in einer Übergangsphase, das neue Gesetz über die internationale Unternehmensverantwortung muss bis Juli 2028 stehen. Wir aktualisieren diesen Beitrag, sobald der deutsche Referentenentwurf vorliegt.

Häufig gestellte Fragen