Wie das Lieferkettengesetz den Mittelstand erreicht
7 Min. Lesezeit
Konzerne mit mehr als 5.000 Mitarbeitern und 1,5 Milliarden Euro Nettoumsatz müssen ab dem 26. Juli 2029 Sorgfaltspflichten erfüllen. Mittelständische Zulieferer erhalten die Anforderungen über Vertragsklauseln ihrer Kunden. Sie müssen Risikoanalysen zu Menschenrechts- und Umweltthemen liefern, Datenpakete bereitstellen und unter Umständen Audits oder Nachweise ermöglichen.
Das Wichtigste in Kürze
- Nur Konzerne direkt: Die EU-Sorgfaltspflichten treffen ab 2029 direkt nur Unternehmen ab 5.000 Mitarbeitern und 1,5 Milliarden Euro Umsatz.
- Vertrag als Hebel: Über Verhaltenskodizes und Auditrechte reichen die Pflichten in die Lieferkette. Zulieferer müssen Risikoanalysen und Nachweise liefern.
- Vorbereitung zahlt sich aus: Wer bestehende LkSG-Prozesse jetzt zu standardisierten Antwortpaketen ausbaut, beantwortet Kundenanfragen schneller und ohne Vertragsverzögerung.
Verwandt:Fördermittel bremsen den Mittelstand / PSD3: Was Finanzchefs jetzt wissen müssen
Wer direkt unter die CSDDD fällt
Die Europäische Kommission hat in der Richtlinie (EU) 2026/470 die Schwellen angehoben. Direkt betroffen sind EU-Unternehmen mit mehr als 5.000 Mitarbeitern und mehr als 1,5 Milliarden Euro weltweitem Nettoumsatz. Nicht-EU-Unternehmen müssen mindestens 1,5 Milliarden Euro Nettoumsatz in der EU erzielen. Die Richtlinie (EU) 2026/470 wurde am 26. Februar 2026 im Amtsblatt veröffentlicht und trat am 18. März 2026 in Kraft.
Kernzahl: Die Omnibus-Änderungen reduzieren den Kreis direkt betroffener Unternehmen um rund 70 Prozent. Schätzungen gehen von etwa 10.000 auf etwa 2.000 Unternehmen in der EU zurück.
Direkt betroffen sind nur die genannten Großkonzerne. Quelle: Europäische Kommission, Richtlinie (EU) 2026/470; Schätzungen u.a. Clifford Chance (Februar 2026) und Ropes & Gray (Dezember 2025).
Mittelständische Zulieferer fallen nicht direkt in den Anwendungsbereich. Dennoch wirken sich die Pflichten aus. Großkunden müssen ihre eigenen Operationen, Tochtergesellschaften und direkten Geschäftspartner prüfen. Sie leiten Anforderungen per Vertrag weiter.
Wie Sorgfaltspflichten über Vertragsklauseln in die Lieferkette gelangen
Unternehmen in Scope müssen adverse Auswirkungen auf Menschenrechte und Umwelt in der Kette der Aktivitäten identifizieren, verhindern, mindern und beheben. Nach den Omnibus-Änderungen konzentriert sich die Prüfung auf eigene Operationen, Tochtergesellschaften und direkte Geschäftspartner. Indirekte Partner (Tier 2 und tiefer) werden nur dann vertieft geprüft, wenn objektive und verifizierbare Informationen auf ein konkretes Risiko hinweisen.
Großkunden sichern sich vertraglich ab. Sie fordern die Einhaltung eines Verhaltenskodex, Zusicherungen zu Risikovermeidung und das Recht auf Informationen oder Audits. Alleinige Vertragsklauseln reichen nicht aus. Die Kunden müssen die Einhaltung auch überwachen und verifizieren. Die Kommission wird bis 26. Juli 2027 Leitlinien und freiwillige Muster-Vertragsklauseln vorlegen. Viele Konzerne nutzen bereits eigene Klauseln oder bestehende ESG-Anforderungen aus dem deutschen LkSG.
Welche Nachweise und Daten Zulieferer konkret liefern müssen
Zulieferer müssen in der Regel Selbstauskunft zu den im Anhang der Richtlinie genannten Risiken abgeben. Dazu gehören Zwangs- und Kinderarbeit, Diskriminierung, Verletzungen der Vereinigungsfreiheit, unzureichender Arbeitsschutz sowie umweltbezogene Risiken wie Verschmutzung, Verlust der biologischen Vielfalt oder unsachgemäßer Umgang mit gefährlichen Stoffen.
Konkret verlangen Kunden häufig:
- Eine Beschreibung der eigenen Sorgfaltsprozesse (Richtlinie, Risikoanalyse, Beschwerdemechanismus).
- Nachweise zu Maßnahmen in der eigenen Beschaffung (z. B. Lieferantenkodizes, Audits bei kritischen Vorlieferanten).
- Angaben zu identifizierten Risiken, Schwere und Eintrittswahrscheinlichkeit.
- Belege für Präventions- oder Abhilfepläne bei festgestellten Problemen.
- Zertifikate oder Berichte von Drittprüfungen (z. B. SMETA oder vergleichbar) bei hohem Risiko.
Bei Bedarf müssen Zulieferer ihren Kunden Zugang für eigene oder beauftragte Audits gewähren. Die Anfragen müssen notwendig sein. Die Richtlinie sieht Schutzvorkehrungen für kleinere Partner vor.
Zeitplan bis 2029 und die Lage in Deutschland
Mitgliedstaaten müssen die CSDDD-Änderungen bis 26. Juli 2028 in nationales Recht umsetzen. Die Pflichten gelten ab 26. Juli 2029 einheitlich für alle in Scope befindlichen Unternehmen. Die jährliche Erklärung auf der Unternehmenswebsite gilt für Geschäftsjahre ab 1. Januar 2030. Die Kommission liefert Leitlinien und Musterklauseln bis 26. Juli 2027.
In Deutschland gilt das LkSG seit 2024 für Unternehmen ab 1.000 Mitarbeitern. Die Bundesregierung hat im September 2025 einen Regierungsentwurf zur Änderung des LkSG vorgelegt. Ziel ist eine schlankere Übergangsregelung mit weniger Berichtspflichten und Fokus der BAFA auf schwere Verstöße. Das LkSG soll nahtlos durch ein Gesetz zur internationalen Unternehmensverantwortung ersetzt werden, das die CSDDD umsetzt. Viele mittelständische Zulieferer erfüllen bereits Teile der Anforderungen gegenüber großen deutschen oder europäischen Kunden.
So bereiten sich Zulieferer auf Kundenanfragen vor
Viele Anfragen kommen bereits heute. Wer vorbereitet ist, vermeidet Verzögerungen bei Verträgen und Reputationsrisiken. Die folgenden Schritte helfen, Anforderungen systematisch zu erfüllen.
- Bestehende LkSG- oder freiwillige ESG-Prozesse inventarisieren und auf CSDDD-relevante Risiken (Annex) erweitern.
- Standardisierte Antwortpakete erstellen: Policy-Dokumente, Risikoanalyse-Vorlage, Nachweise zu Maßnahmen und Beschwerdeverfahren.
- Kritische Vorlieferanten und Beschaffungsregionen priorisieren und erste eigene Risikoanalysen dokumentieren.
- Vertragsklauseln mit Großkunden prüfen und auf Verhältnismäßigkeit achten; bei Bedarf Verhandlungsspielräume nutzen.
- Interne Verantwortlichkeiten festlegen und Tools oder Plattformen für wiederkehrende Datenauskunft aufbauen.
Unternehmen, die diese Punkte umsetzen, können Kundenanfragen schneller und mit geringerem Aufwand beantworten. Die Vorbereitungszeit bis 2029 sollte genutzt werden, um Prozesse stabil und wiederholbar zu machen.
Häufige Fragen
Fällt mein mittelständisches Unternehmen direkt unter die CSDDD?
Direkt nur, wenn Sie mehr als 5.000 Mitarbeiter und über 1,5 Milliarden Euro Umsatz haben. Die meisten Zulieferer erhalten die Anforderungen indirekt über Vertragsklauseln ihrer Großkunden.
Welche Nachweise verlangen Großkunden konkret?
Typisch sind eine Beschreibung der eigenen Sorgfaltsprozesse, Selbstauskünfte zu Menschenrechts- und Umweltrisiken, Belege für Präventionsmaßnahmen und bei hohem Risiko Berichte von Drittprüfungen wie SMETA.
Ab wann greifen die Pflichten?
Die Mitgliedstaaten setzen die Richtlinie bis 26. Juli 2028 in nationales Recht um, die Pflichten gelten ab 26. Juli 2029. Musterklauseln der Kommission kommen bis 26. Juli 2027.
Was passiert mit dem deutschen Lieferkettengesetz?
Das LkSG soll nahtlos durch ein Gesetz zur internationalen Unternehmensverantwortung ersetzt werden, das die CSDDD umsetzt. Ein Regierungsentwurf für eine schlankere Übergangsregelung liegt seit September 2025 vor.
Was sollten Zulieferer als Erstes tun?
Bestehende LkSG- oder ESG-Prozesse inventarisieren, standardisierte Antwortpakete mit Policy-Dokumenten und Risikoanalyse-Vorlagen erstellen und kritische Vorlieferanten priorisieren. So lassen sich wiederkehrende Anfragen effizient bedienen.
Weiterlesen auf MyBusinessFuture
MyBusinessFutureFördermittel bremsen den MittelstandMyBusinessFuturePSD3: Was Finanzchefs jetzt wissen müssenMyBusinessFutureProzessoptimierung ohne DauerprojektMehr aus dem MBF Media Netzwerk
- cloudmagazin: Cloud-Trends für den Mittelstand
- Digital Chiefs: IT-Strategie für Entscheider
- SecurityToday: Security-Lage kompakt
Bildquelle: KI-generiert (Juli 2026)

