EU-CSDDD vs. deutsches LkSG
Rechtlicher Rahmen & Regulierung
Christian Ehrmann
EU-CSDDD und LkSG im Vergleich - Was deutsche Unternehmen ab 2026 praktisch wissen müssen.
Für viele deutsche Unternehmen stellt sich derzeit dieselbe Frage: Wird die europäische CSDDD das deutsche Lieferkettensorgfaltspflichtengesetz bald verdrängen oder bleibt zunächst alles beim Alten?
Die knappe Antwort lautet: Für die meisten Unternehmen bleibt das LkSG bis auf Weiteres das maßgebliche operative Regelwerk.
Perspektivisch gesehen verändert die CSDDD den Rechtsrahmen zwar deutlich, ersetzt das deutsche System aber kurzfristig nicht. Für die Praxis bedeutet das: Unternehmen sollten ihre bestehenden LkSG-Prozesse jetzt nicht zurückfahren, sondern gezielt so weiterentwickeln, dass sie später anschlussfähig an die europäische Logik bleiben.
Gerade nach den regulatorischen Änderungen der Jahre 2025 und 2026 ist eine nüchterne Einordnung wichtig. Die LkSG-Novelle hat formale Pflichten reduziert, insbesondere im Bereich der Berichterstattung. Das Omnibus-I-Paket hat die CSDDD zugleich in zentralen Punkten eingegrenzt.
Das bedeutet jedoch nicht, dass die Anforderungen in der Sache entfallen. Im Gegenteil: Der Druck verlagert sich stärker auf belastbare Risikoanalysen, dokumentierte Priorisierung und eine funktionierende Umsetzung in Einkauf, Compliance und Lieferantensteuerung.
Was gilt 2026 tatsächlich?

Im Jahr 2026 ist für deutsche Unternehmen zunächst weiterhin das LkSG maßgeblich, denn die nationale Umsetzung der CSDDD muss erst bis zum 26. Juli 2028 erfolgen. Bis dahin gilt das deutsche Recht fort. Auch nach diesem Stichtag ist nicht mit einer abrupten Umstellung zu rechnen. In der Praxis werden Unternehmen bestehende LkSG-Strukturen vielmehr schrittweise an die europäische Systematik anpassen müssen.
Wichtig ist in diesem Zusammenhang: Die LkSG-Novelle vom September 2025 hat zwar die BAFA-Berichtspflicht rückwirkend entfallen lassen, die materielle Pflichtensubstanz aber nicht aufgehoben.
Die interne Dokumentation bleibt erforderlich, ebenso die Pflicht, Risikoanalysen, Präventionsmaßnahmen, Abhilfeschritte und Entscheidungsgrundlagen nachvollziehbar festzuhalten. Darauf haben sowohl die BAFA selbst als auch verschiedene juristische Fachauswertungen ausdrücklich hingewiesen.
Unternehmen dürfen das wie folgt verstehen: Weniger formale Außenberichterstattung bedeutet nicht weniger operative Sorgfalt.
Wer ist überhaupt betroffen?

In Hinblick auf den persönlichen Anwendungsbereich unterscheiden sich LkSG und CSDDD deutlich.
Das LkSG gilt seit dem 1. Januar 2024 für Unternehmen mit mindestens 1.000 Beschäftigten im Inland. Auf Umsatz oder Branche kommt es dabei nicht an. Erfasst sein können auch ausländische Unternehmen mit Niederlassung in Deutschland, sofern die Beschäftigtenschwelle erreicht wird.
Die CSDDD ist demgegenüber deutlich enger gefasst. Nach den Änderungen durch das Omnibus-I-Paket gilt sie nur noch für Unternehmen mit:
mehr als 5.000 Beschäftigten und
mehr als 1,5 Milliarden Euro weltweitem Nettoumsatz.
Beide Schwellen müssen in den letzten zwei Geschäftsjahren überschritten worden sein. Für Nicht-EU-Unternehmen ist stattdessen der in der EU erzielte Nettoumsatz maßgeblich.
Praxisfolge: Viele Unternehmen, die heute unter das LkSG fallen, werden von der CSDDD nicht unmittelbar erfasst. Das bedeutet aber nicht, dass sie von den europäischen Entwicklungen unberührt bleiben. In vielen Branchen werden größere Kunden ihre Anforderungen an Lieferanten weiterreichen, wie etwa über Vertragsklauseln, Selbstauskünfte, Code-of-Conduct-Abfragen oder Auditwünsche.
Wo liegt der wichtigste Unterschied zwischen beiden Regelwerken?

Der praktisch wichtigste Unterschied liegt in der Reichweite der Sorgfaltspflichten entlang der Liefer- bzw. Aktivitätenkette. Das LkSG setzt primär bei unmittelbaren Zulieferern an. Mittelbare Lieferanten müssen vertieft geprüft werden, wenn dem Unternehmen substantiierte Kenntnis von möglichen Verstößen vorliegt, beispielsweise durch Hinweise aus Beschwerdeverfahren, Audits oder belastbare externe Informationen.
Die CSDDD geht einen Schritt weiter. Sie erfasst eigene Tätigkeiten, Tochtergesellschaften und direkte Geschäftspartner. Bei indirekten Geschäftspartnern greift eine vertiefte Prüfung dann, wenn objektive und verifizierbare Informationen auf konkrete Risiken oder tatsächliche negative Auswirkungen hindeuten. Dieser wesentliche Unterschied bedeutet allerdings nicht, dass künftig eine flächendeckende Vollprüfung sämtlicher Lieferkettenstufen verlangt würde.
Die CSDDD folgt vielmehr stärker einem risikobasierten Priorisierungsansatz. Unternehmen müssen also nachvollziehbar begründen können, warum sie bestimmte Lieferanten, Regionen oder Warengruppen intensiver in den Blick nehmen als andere. Praxisfolge: Nicht die maximale Datensammlung entscheidet, sondern die Qualität der Priorisierung.
Was ändert sich bei Maßnahmen gegen Risiken und Verstöße?
Sowohl das LkSG als auch die CSDDD verlangen mehr als bloße Risikoidentifikation. Unternehmen müssen auf erkannte Risiken und Verstöße mit angemessenen Maßnahmen reagieren. Nach dem LkSG kommen als solche insbesondere in Betracht:
Verhaltenskodizes
Vertragsklauseln
Schulungen
Kontrollmaßnahmen
Abhilfekonzepte
Eskalationsmaßnahmen gegenüber Lieferanten

Die CSDDD knüpft an diese Forderung an, verlangt aber stärker strukturierte Abhilfemaßnahmen. Im Vordergrund stehen künftig klarer definierte Aktionspläne mit Meilensteinen, Verantwortlichkeiten und Überprüfungsschritten.
Besonders praxisrelevant ist, dass die ursprünglich diskutierte Pflicht zur zwingenden Vertragsbeendigung bei schweren Verstößen nicht in dieser Form eingetreten ist. Das Omnibus-I-Paket hat diesen Ansatz deutlich zurückgenommen.
Vorrang haben nun risikoadäquate Steuerung, Korrekturmaßnahmen und - wo erforderlich - zeitweise Aussetzungen. Für Unternehmen in komplexen oder versorgungsrelevanten Lieferketten ist das eine entscheidende Erleichterung.
Praxisfolge: Die Erwartung verschiebt sich von symbolischen Härtemaßnahmen hin zu nachvollziehbarer Steuerung und dokumentierter Abhilfe.
Was gilt bei Risikoanalyse, Beschwerdeverfahren und Dokumentation?
Auch hier gibt es viele Parallelen zwischen den beiden Regelwerken und einige wichtige Unterschiede.
Das LkSG verlangt eine jährliche Risikoanalyse sowie zusätzliche Prüfungen aus besonderem Anlass, etwa bei wesentlichen Änderungen der Geschäftstätigkeit oder bei konkreten Hinweisen auf Risiken. Unternehmen müssen Risikolagen also nicht nur einmalig erfassen, sondern fortlaufend beobachten.
Die CSDDD sieht nach der Omnibus-I-Anpassung eine formale Wirksamkeitsprüfung des Gesamtsystems nur noch alle fünf Jahre vor. Diese scheinbare Entlastung sollte allerdings nicht missverstanden werden. Auch unter der CSDDD bleibt ein laufendes Risikomanagement erforderlich, denn der längere Zyklus bezieht sich vor allem auf die formale Systemüberprüfung, nicht auf die tägliche Risikosteuerung.
Bei Beschwerdeverfahren verlangt die CSDDD einen breiteren Zugang für Betroffene entlang der gesamten Aktivitätenkette und betont dabei stärker den Schutz vor Repressalien. Unternehmen sollten deshalb nicht nur auf das formale Vorhandensein eines Meldekanals achten, sondern dabei auch folgende praktische Fragen im Auge behalten:
Ist das Verfahren tatsächlich erreichbar?
Ist es sprachlich und organisatorisch verständlich?
Werden Hinweise sauber bearbeitet und nachverfolgt?
Ist der Schutz hinweisgebender Personen ausreichend ausgestaltet?
Bei der Dokumentation bleiben diese Punkte trotz reduzierter Berichtspflichten zentral.
Unter dem LkSG ist die interne Nachweisführung weiterhin Pflicht. Unter der CSDDD wird sie zusätzlich mit Blick auf die spätere Erklärung nach Art. 16 und die vorgesehene Einreichung über den European Single Access Point (ESAP) an Bedeutung gewinnen.
Praxisfolge: Wer Entscheidungen, Maßnahmen und Abwägungen heute nicht sauber dokumentiert, schafft sich spätere Haftungs- und Aufsichtsrisiken.
Was Unternehmen häufig verwechseln: CSDDD ist nicht CSRD

In vielen Unternehmen werden Lieferkettensorgfalt, Nachhaltigkeitsberichterstattung und ESG-Datenmanagement inzwischen gemeinsam organisiert. Das ist nachvollziehbar, birgt aber Risiken.
Die CSDDD ist eine Sorgfaltspflichtenrichtlinie. Sie fragt danach, welche negativen Auswirkungen auf Menschen und Umwelt mit den eigenen Tätigkeiten und Geschäftsbeziehungen verbunden sind und wie diese verhindert, gemindert oder beendet werden können.
Die CSRD/ESRS-Logik geht darüber hinaus. Hier steht zusätzlich die Frage im Raum, wie Nachhaltigkeitsaspekte auf Geschäftsmodelle, Finanzlagen und Unternehmensentwicklungen zurückwirken. Beide Richtlinien lassen sich sinnvoll verzahnen, sind aber nicht deckungsgleich.
Praxisfolge: Unternehmen sollten Prozesse miteinander abstimmen, aber CSDDD und CSRD nicht künstlich gleichsetzen.
Wo liegen in der Praxis die größten Umsetzungsprobleme?
Erfahrungsgemäß scheitern viele Systeme nicht am Gesetzestext, sondern an der internen Umsetzung der Anforderungen. Für eine erfolgreiche Realisierung sind drei Punkte besonders relevant:
Governance
Sorgfaltspflichten funktionieren nicht als Nebenaufgabe einzelner Compliance-Verantwortlicher. Erforderlich sind klare Zuständigkeiten, belastbare Berichtswege und definierte Eskalationsmechanismen.Einkauf
In der Praxis entscheidet die Beschaffungsroutine über die Wirksamkeit des Systems. Wenn Einkaufsprozesse Risiken nicht frühzeitig aufnehmen, bleiben Richtlinien oft folgenlos.Datenqualität
Viele Unternehmen verfügen über Lieferantenlisten, aber nicht über belastbare Informationen zu Standorten, Warengruppen, Konzernzugehörigkeiten, Auditständen oder Vorlieferanten. Genau hier entstehen später erhebliche Nachweisprobleme.
Praxisfolge: Die eigentliche CSDDD-Readiness ist häufig weniger ein Rechts- als ein Organisations- und Datenprojekt.
Was sollten Unternehmen jetzt konkret tun?
Für die Jahre 2026 bis 2028 empfiehlt sich ein gestuftes Vorgehen.
Für LkSG-pflichtige Unternehmen: | Für Unternehmen mit möglicher CSDDD-Betroffenheit: | Für KMU-Zulieferer: |
|---|---|---|
|
|
|
Wie Lieferkettenguru.de dabei unterstützen kann:
Zwischen dem fortgeltenden LkSG und der späteren Umsetzung der CSDDD liegt für viele Unternehmen vor allem Arbeit im Tagesgeschäft.
Die rechtlichen Grundlinien sind meist bekannt. Schwieriger wird es dort, wo Anforderungen in bestehende Abläufe übersetzt werden müssen, sprich:
im Einkauf
in Compliance-Prozessen
im Risikomanagement und
in der Dokumentation.
In der Praxis zeigen sich dabei immer wieder dieselben Schwachstellen. Lieferantendaten sind lückenhaft oder über mehrere Systeme verteilt.
Warengruppen wurden historisch gewachsen beschafft, aber nie unter Risikogesichtspunkten geordnet.
Zuständigkeiten bleiben diffus: Der Einkauf erwartet Vorgaben von Compliance, Compliance wiederum verweist auf fehlende Daten aus den Fachbereichen.
Solche Brüche wirken banal, sind aber häufig der Grund, warum ein Sorgfaltspflichtensystem auf dem Papier besser aussieht als im Betrieb. Deshalb hilft es wenig, immer neue Anforderungen zu sammeln. Unternehmen brauchen vor allem eine belastbare Arbeitslogik.
Dazu gehört, Lieferanteninformationen strukturiert zu erfassen, Risiken nachvollziehbar zu priorisieren und Maßnahmen so zu dokumentieren, dass sie später intern und extern erklärbar bleiben. Eine vollständige Durchleuchtung aller Lieferkettenstufen ist in vielen Fällen weder realistisch noch rechtlich gefordert.
Gefragt ist vielmehr ein risikobasierter Ansatz, der begründet, weshalb bestimmte Regionen, Warengruppen oder Geschäftspartner vertieft geprüft werden und andere zunächst nicht.
Für LkSG-pflichtige Unternehmen heißt das vor allem: Risikoanalysen müssen anschlussfähig an die Beschaffungspraxis sein, Beschwerdeverfahren tatsächlich funktionieren und Dokumentationspflichten früh mitgedacht werden.
Wer erst bei einer Kundenanfrage oder einer behördlichen Rückfrage beginnt, Nachweise zusammenzustellen, arbeitet regelmäßig unter Zeitdruck und mit unnötigen Lücken.
Mit Blick auf die CSDDD verschieben sich die Anforderungen teilweise. Die Betrachtung der Aktivitätenkette wird breiter, Priorisierungsentscheidungen müssen sauber begründet werden, und Schnittstellen zu Governance- und Berichtssystemen gewinnen an Gewicht.
Für viele Unternehmen ist das weniger ein neues Rechtsprojekt als ein Organisations- und Datenprojekt. Genau dort wird sich zeigen, wie tragfähig die bestehenden Strukturen wirklich sind.
Unser Fazit
Für viele deutsche Unternehmen bleibt das LkSG auf Jahre hinaus der zentrale Handlungsrahmen. Die CSDDD wird gleichwohl schon jetzt relevant, weil sie die künftige Richtung der Lieferketten-Compliance vorgibt und in vielen Branchen faktisch über Kundenanforderungen in die Wertschöpfungskette hineinwirkt. Die entscheidende Herausforderung liegt deshalb nicht in der isolierten Gegenüberstellung einzelner Paragrafen.
Entscheidend ist, ob Unternehmen ihre Sorgfaltspflichten in Beschaffung, Governance und Dokumentation so verankern, dass sie unter realen Marktbedingungen tragfähig sind. Wer jetzt belastbare LkSG-Prozesse etabliert oder nachschärft, reduziert den späteren Anpassungsaufwand erheblich.
Wer dagegen alleine auf regulatorische Entlastung setzt, riskiert, dass die eigentlichen Schwächen erst bei Audits, Beschwerden oder behördlichen Nachfragen sichtbar werden.
Stand: April 2026. Berücksichtigt sind das Omnibus-I-Paket vom Dezember 2025 sowie die LkSG-Novelle vom September 2025.