CSRD-Richtlinie und Berichterstattung im Mittelstand

Die zeitliche Staffelung der CSRD ist eines der komplexesten Elemente der Richtlinie. Große Unternehmen, die bereits unter die alte NFRD fielen, berichteten bereits für das Geschäftsjahr 2024. Alle anderen “großen” Kapitalgesellschaften (die zwei der drei Kriterien erfüllen: > 250 Mitarbeiter, > 25 Mio. € Bilanzsumme, > 50 Mio. € Umsatz) müssen erstmals für das Geschäftsjahr 2025 berichten, also im Jahr 2026. Börsennotierte KMU folgen ein Jahr später für das Geschäftsjahr 2026, wobei sie unter bestimmten Voraussetzungen eine “Opt-out”-Möglichkeit bis zum Berichtsjahr 2028 haben. Wichtig ist jedoch zu verstehen, dass die indirekte Betroffenheit durch Lieferkettenanforderungen bereits heute Realität ist, da große Kunden Daten für ihre eigenen 2024er-Berichte von ihren mittelständischen Zulieferern fordern.

In der juristischen Bewertung bedeutet dies, dass ein “Abwarten” bis zum gesetzlichen Stichtag oft zu spät ist. Die notwendigen internen Kontrollsysteme (IKS) und Datenprozesse müssen mindestens 12 Monate vor dem ersten Berichtsjahr voll funktionsfähig sein, um eine saubere Datenbasis zu gewährleisten. Ein typisches Ergebnismuster bei verspäteter Umsetzung ist der Erhalt von “Limited Assurance” nur mit wesentlichen Einschränkungen, was die Vertrauenswürdigkeit des Unternehmens am Kapitalmarkt massiv untergräbt. Unternehmen sollten daher eine rückwärtsgerechnete Roadmap erstellen, die auch Testläufe und die Auswahl der richtigen Reporting-Software beinhaltet, um zum Stichtag nicht unvorbereitet vor den Anforderungen des Wirtschaftsprüfers zu stehen.

Die doppelte Wesentlichkeit (Double Materiality) ist der Paradigmenwechsel der CSRD. Sie verlangt von Unternehmen, Nachhaltigkeitsthemen aus zwei Perspektiven zu betrachten: der “Inside-Out”-Perspektive (Impact Materiality) und der “Outside-In”-Perspektive (Financial Materiality). Erstere fragt nach den tatsächlichen oder potenziellen positiven oder negativen Auswirkungen der Geschäftstätigkeit auf Mensch und Umwelt (z.B. CO2-Emissionen der Fabrik). Letztere analysiert die finanziellen Risiken und Chancen, die aus Nachhaltigkeitsthemen für das Unternehmen erwachsen (z.B. steigende CO2-Steuern oder Reputationsschäden durch Kinderarbeit bei Zulieferern). Ein Thema ist bereits dann berichtspflichtig, wenn es unter nur einer der beiden Perspektiven als wesentlich eingestuft wird, was die Berichtspflicht massiv ausweiten kann.

In der Praxis erfordert dieser Prozess eine tiefe Analyse der gesamten Wertschöpfungskette. Ein Thema kann finanziell unwesentlich sein (weil die Kosten gering sind), aber eine enorme Impact-Wesentlichkeit besitzen (weil die ökologische Zerstörung groß ist). Das Unternehmen muss klare Schwellenwerte (Thresholds) definieren und dokumentieren, ab wann eine Auswirkung oder ein finanzielles Risiko als “wesentlich” gilt. Dieser Prozess ist das primäre Ziel der Prüfung durch den Wirtschaftsprüfer. Wer hier keine logisch konsistente Argumentation (Narrativa de Justificação) vorlegen kann, warum beispielsweise das Thema “Biodiversität” weggelassen wurde, riskiert die Ablehnung des gesamten Nachhaltigkeitsberichts. Die Dokumentation dieses Auswahlprozesses ist somit das wichtigste Beweisstück der CSRD-Compliance.

Aktuell schreibt die CSRD für die Nachhaltigkeitsberichte eine Prüfung mit “begrenzter Sicherheit” (Limited Assurance) vor. Dies ist eine weniger tiefe Prüfung als die “hinreichende Sicherheit” (Reasonable Assurance), die für die Finanzberichterstattung Standard ist. Bei der Limited Assurance führt der Prüfer primär Befragungen des Managements durch, analysiert Prozesse und führt Plausibilitätsprüfungen durch. Er gibt ein negatives Prüfungsurteil ab (“Uns sind keine Sachverhalte bekannt geworden, die uns zu der Annahme führen, dass der Bericht nicht den Anforderungen entspricht”). Dennoch plant die EU, die Anforderungen in den kommenden Jahren schrittweise auf Reasonable Assurance zu erhöhen, was eine viel tiefere Prüfung von Einzelbelegen und Stichproben erfordern wird, vergleichbar mit der klassischen Wirtschaftsprüfung.

Für Unternehmen bedeutet die Limited Assurance im ersten Schritt zwar eine geringere Hürde, erfordert aber dennoch ein hohes Maß an Beweiskonsistenz. Der Prüfer wird insbesondere die Prozesskette der Datenerhebung untersuchen. Wenn Daten von manuellen Excel-Listen in den Bericht wandern, ohne dass ein Kontrollschritt (Vier-Augen-Prinzip) stattgefunden hat, wird dies im Prüfungsbericht als Mangel vermerkt. Ziel der Unternehmen muss es sein, ihre ESG-Datenprozesse so zu professionalisieren, dass sie bereits heute “Reasonable Assurance-ready” sind. Das bedeutet: Klare Verantwortlichkeiten, automatisierte Datenflüsse und eine revisionssichere Archivierung aller Berechnungsmodelle. Ein “sauberes” Limited Assurance-Testat ist die Eintrittskarte für künftige Refinanzierungen und sichert die Glaubwürdigkeit gegenüber kritischen Analysten.

Das Sammeln von Scope-3-Daten ist die größte operative Hürde der CSRD. Die Richtlinie gewährt Unternehmen in den ersten drei Berichtsjahren eine gewisse Nachsicht: Wenn Daten aus der Lieferkette nicht mit vertretbarem Aufwand zu beschaffen sind, dürfen Schätzungen und Branchen-Durchschnittswerte verwendet werden. Dies entbindet das Unternehmen jedoch nicht von der Bemühenspflicht. Es muss dokumentiert werden, welche Versuche unternommen wurden, Primärdaten zu erhalten (z.B. versendete Fragebögen, Lieferanten-Audits). Im Bericht muss dann transparent dargelegt werden, wie hoch der Anteil der geschätzten Daten ist und welche Methodik der Schätzung zugrunde liegt. Diese “Proxy-Daten” müssen plausibel sein und auf anerkannten Datenbanken (wie Ecoinvent oder GaBi) basieren.

In der juristischen Betrachtung ist es entscheidend, die Abhängigkeit von Schätzwerten als strategisches Risiko zu deklarieren. Über die Jahre erwartet der Gesetzgeber eine kontinuierliche Verbesserung der Datenqualität. Ein Verharren auf Schätzungen über das Jahr 2028 hinaus wird kaum als compliant akzeptiert werden. Unternehmen sollten daher frühzeitig beginnen, ESG-Klauseln in ihre Einkaufsverträge aufzunehmen, die Lieferanten zur Bereitstellung spezifischer Kennzahlen (z.B. CO2-Fußabdruck pro Produktkategorie) verpflichten. Ein proaktives Lieferantenmanagement, das die Partner bei der Datenerhebung unterstützt, wird zum kritischen Erfolgsfaktor. Wer hier Beweislücken lässt, riskiert, dass sein Bericht bei einem Wettbewerber-Check wegen mangelnder Transparenz angegriffen wird.

Die ESRS (European Sustainability Reporting Standards) sind das technische Regelwerk der CSRD. Sie legen im Detail fest, über welche Kennzahlen und Sachverhalte in den Bereichen Umwelt (E), Soziales (S) und Governance (G) berichtet werden muss. Insgesamt gibt es zwei übergreifende Standards (ESRS 1 & 2) und zehn themenspezifische Standards. Die ESRS stellen sicher, dass Nachhaltigkeitsberichte europaweit vergleichbar sind. Ohne die Einhaltung dieser Standards ist der Bericht rechtlich wertlos. Besonders wichtig ist der ESRS 2 “Allgemeine Angaben”, der für alle Unternehmen verpflichtend ist und Informationen zur Governance, Strategie und zum Risikomanagement abfragt. Die themenspezifischen Standards hängen hingegen vom Ergebnis der Wesentlichkeitsanalyse ab.

Für den Mittelstand bedeutet die Tiefe der ESRS oft einen Kulturschock. Es geht nicht nur um CO2-Emissionen, sondern auch um Themen wie “Eigene Belegschaft” (S1) mit Kennzahlen zur Lohngerechtigkeit (Gender Pay Gap) oder “Geschäftspolitik” (G1) mit Details zur Korruptionsprävention. Jeder Datenpunkt im Bericht muss einer spezifischen Anforderung der ESRS zugeordnet werden können. In der Praxis empfiehlt es sich, eine “Compliance-Matrix” zu erstellen, die jeden Berichtsparagrafen mit der entsprechenden ESRS-Anforderung und der zugrunde liegenden Datenquelle verknüpft. Dies erleichtert dem Wirtschaftsprüfer die Arbeit massiv und minimiert das Risiko, dass wichtige Berichtsteile aufgrund von Formfehlern oder Unvollständigkeit abgelehnt werden. Die ESRS sind somit das “Gesetzbuch” des Nachhaltigkeitsmanagers.

Die Sanktionen bei Verstößen gegen die CSRD sind mehrschichtig. Primär erfolgt die Umsetzung in nationales Recht über das Handelsgesetzbuch (HGB). Bei groben Pflichtverletzungen – etwa dem gänzlichen Fehlen des Berichts oder vorsätzlich falschen Angaben – drohen Bußgelder für das Unternehmen und die verantwortlichen Organe. In Deutschland liegen diese im Bereich der Bilanzpolizei-Verfahren und können bis zu 10 Mio. € oder 5% des Jahresumsatzes betragen. Viel gravierender sind jedoch die indirekten Sanktionen: Der Wirtschaftsprüfer kann den Bestätigungsvermerk für den gesamten Jahresabschluss verweigern. Ein Unternehmen ohne testierten Abschluss gilt bei Banken sofort als “Non-Investment-Grade”, was die Kündigung von Krediten oder drastische Zinssteigerungen zur Folge haben kann.

Zudem eröffnet die CSRD-Publikationspflicht neue Wege für das Zivilrecht. Wenn Anleger oder Kunden nachweisen können, dass sie aufgrund falscher Nachhaltigkeitsangaben finanzielle Schäden erlitten haben (z.B. Kauf von Aktien eines “grünen” Unternehmens, das tatsächlich Umweltskandale verschweigt), können Schadensersatzforderungen entstehen. Auch NGOs nutzen die Berichte für strategische Klagen wegen irreführender ökologischer Behauptungen. Die Beweislastumkehr im Verbraucherschutzrecht macht es für Unternehmen schwer, sich ohne lückenlose Prozessdokumentation zu verteidigen. Compliance ist daher nicht nur ein Schutz vor Bußgeldern, sondern eine essenzielle Absicherung des Gesellschaftsvermögens und der persönlichen Haftung der Geschäftsführung. Der Bericht wird zum öffentlichen Beweismittel der unternehmerischen Sorgfalt.

Das digitale Tagging ist eine der am meisten unterschätzten technischen Anforderungen der CSRD. Berichte dürfen nicht mehr nur als “einfache” PDF-Dateien veröffentlicht werden. Stattdessen müssen sie im XHTML-Format vorliegen und die einzelnen Kennzahlen müssen mit computerlesbaren Etiketten (Tags) nach dem XBRL-Standard versehen werden. Dies geschieht auf Basis einer speziellen EU-Taxonomie für Nachhaltigkeit. Ziel ist es, dass Investoren und Aufsichtsbehörden ESG-Daten automatisiert vergleichen können. Für die Erstellung bedeutet dies, dass eine spezielle Software benötigt wird, die den Text des Berichts mit der XBRL-Taxonomie verknüpft (“Mapping”). Dieser Prozess muss ebenfalls vom Wirtschaftsprüfer geprüft werden, um sicherzustellen, dass die Tags den Inhalt korrekt widerspiegeln.

Technisch gesehen ist dies ein zusätzlicher Arbeitsschritt am Ende der Berichtserstellung. Wenn die Datenstruktur im Bericht jedoch nicht von Anfang an auf die XBRL-Taxonomie abgestimmt ist, wird das Tagging extrem aufwendig und fehleranfällig. Ein typisches Ergebnismuster bei manuellem Tagging ist eine hohe Fehlerquote in den Metadaten, was zur Ablehnung des Berichts durch den Bundesanzeiger oder die europäische ESAP-Datenbank (European Single Access Point) führen kann. Mittelständler sollten daher bereits bei der Auswahl ihrer Berichtssoftware darauf achten, dass diese eine integrierte XBRL-Engine besitzt und die laufenden Updates der EU-Taxonomie automatisch einspielt. Das Tagging ist kein Layout-Thema, sondern ein IT-Compliance-Thema, das die digitale Sichtbarkeit und Vergleichbarkeit des Unternehmens bestimmt.

Die CSRD folgt grundsätzlich dem Konsolidierungsprinzip. Wenn ein Mutterunternehmen einen konsolidierten Nachhaltigkeitsbericht für die gesamte Gruppe erstellt, sind die Tochtergesellschaften in der Regel von der eigenen Berichtspflicht befreit. Dies gilt jedoch nur, wenn der Konzernbericht den Anforderungen der CSRD entspricht und die Tochtergesellschaften darin namentlich genannt werden. Zudem muss die Befreiung im Lagebericht der Tochtergesellschaft explizit erwähnt und auf den Konzernbericht verwiesen werden. Wichtig zu beachten ist, dass für große Tochtergesellschaften, die selbst kapitalmarktorientiert sind (z.B. durch eine eigene Anleihe), oft keine Befreiungsmöglichkeit besteht – sie müssen einen eigenen Bericht erstellen.

Für den Mittelstand mit komplexen Beteiligungsstrukturen ist diese “Exemption”-Regel ein Segen zur Ressourcenoptimierung. In der juristischen Abwägung muss jedoch sichergestellt sein, dass die Daten der Tochtergesellschaften im Konzernbericht mit der gleichen Tiefe und Genauigkeit enthalten sind, als ob sie selbst berichten würden. Beweislücken auf Ebene einer Tochtergesellschaft können den gesamten Konzernbericht gefährden. Wenn eine Tochter in einem Drittland (z.B. USA oder China) tätig ist, müssen deren Daten nach den europäischen ESRS-Standards aufbereitet werden, was oft zu erheblichen Problemen bei der Datenbeschaffung führt. Eine zentrale Daten-Governance auf Konzernebene ist daher unerlässlich, um die Konsistenz und Prüffähigkeit über alle Hierarchiestufen hinweg zu gewährleisten und Haftungsdurchgriffe zu vermeiden.

EU-Taxonomie und CSRD sind zwei Seiten derselben Medaille. Während die CSRD die Transparenz über die gesamte Nachhaltigkeitsperformance fordert, ist die EU-Taxonomie ein Klassifizierungssystem, das definiert, welche wirtschaftlichen Aktivitäten ökologisch nachhaltig sind. Die CSRD verpflichtet Unternehmen, im Nachhaltigkeitsbericht spezifische Kennzahlen zur Taxonomie-Konformität offenzulegen: Welcher Anteil des Umsatzes, der Investitionen (CapEx) und der Betriebsausgaben (OpEx) ist taxonomiekonform? Das bedeutet, dass das Unternehmen jede seiner wirtschaftlichen Aktivitäten an den “technischen Bewertungskriterien” der Taxonomie messen muss. Eine Tätigkeit ist nur nachhaltig, wenn sie einen wesentlichen Beitrag zu einem von sechs Umweltzielen leistet und gleichzeitig die anderen Ziele nicht erheblich beeinträchtigt (Do No Significant Harm – DNSH).

Die praktische Anwendung erfordert eine tiefgreifende Verknüpfung von Buchhaltung und Nachhaltigkeitsmanagement. Die CapEx-Planung muss künftig bereits bei der Budgetierung prüfen, ob eine Investition (z.B. eine neue Lagerhalle) die Taxonomie-Kriterien erfüllt, um später im Bericht eine hohe Quote an “grünen Investitionen” ausweisen zu können. Streitigkeiten mit Prüfern entstehen oft bei der Auslegung der DNSH-Kriterien: Kann ich nachweisen, dass meine Solaranlage keine negativen Auswirkungen auf die lokale Biodiversität hat? Die Beweislogik der Taxonomie ist binär (Ja/Nein), während die CSRD eher deskriptiv ist. Ein hoher Anteil taxonomiekonformer Aktivitäten ist das wichtigste Signal für “Green Investors” und entscheidet maßgeblich über die Einstufung des Unternehmens in Nachhaltigkeits-Indizes und ESG-Ratings.

Die CSRD fordert eine hohe Transparenz, die oft im Konflikt mit dem Schutz von Geschäftsgeheimnissen steht. Grundsätzlich erlaubt die Richtlinie in sehr begrenzten Ausnahmefällen, sensible Informationen wegzulassen, wenn deren Offenlegung dem Unternehmen einen erheblichen wirtschaftlichen Schaden zufügen würde (z.B. Details zu künftigen Produktinnovationen im Bereich Wasserstoff). Dieser Ausschluss ist jedoch zeitlich befristet und muss gegenüber dem Prüfer und der Aufsichtsbehörde detailliert begründet werden. Ein pauschaler Verweis auf “Betriebsgeheimnisse” reicht nicht aus, um die Berichtspflicht zu umgehen. In den meisten Fällen wird erwartet, dass Informationen so aggregiert oder anonymisiert werden, dass die Nachhaltigkeitswirkung erkennbar bleibt, ohne spezifische Rezepte oder Kundenlisten preiszugeben.

In der juristischen Praxis ist dies eine klassische Güterabwägung. Die Transparenzinteressen der Öffentlichkeit und der Investoren wiegen im Rahmen der CSRD sehr schwer. Unternehmen sollten daher eine interne “Geheimhaltungs-Matrix” erstellen, in der definiert wird, welche ESRS-Datenpunkte potenziell kritisch sind und wie diese Informationen “entschärft” werden können, ohne die Wesentlichkeits-Aussage zu verfälschen. Beweislücken, die durch Geheimhaltung entstehen, müssen durch alternative Erklärungen geheilt werden. Wer zu viel schwärzt, riskiert, dass der Bericht als “unvollständig” eingestuft wird. Ein proaktiver Dialog mit dem Wirtschaftsprüfer über kritische Berichtsteile ist der beste Weg, um eine Balance zwischen gesetzlicher Offenlegungspflicht und dem Schutz des geistigen Eigentums zu finden und gleichzeitig die Compliance-Sicherheit zu wahren.