Der finale konsolidierte Text der EU-Lieferketten-Richtlinie, der Corporate Sustainability Due Diligence Directive (CS3D) wurde am 30.1.2024 veröffentlicht. Nach der Einigung im Trilog im Dezember 2023 folgte am 30.1.2024 das Arbeitsprodukt: die vorläufig finale CS3D. Auf 435 Seiten steht im Detail, wie europäische und ausländische Unternehmen zukünftig mit ihren Lieferketten – oder "chains of activities", wie es mittlerweile heißt – umgehen müssen.

Die wichtigsten Eckpunkte:

  • Unmittelbar erfasst sind Unternehmen mit über 500 Mitarbeiter:innen und einem Umsatz über EUR 150 Millionen. Für Unternehmen in "High Impact"-Branchen gelten niedrigere Schwellenwerte von 250 Mitarbeiter:innen und 40 Millionen Umsatz. "High Impact"-, also besonders sensible Branchen sind zum Beispiel Textilien, Landwirtschaft, Food & Beverages, aber – gänzlich neu – auch Bau ("construction"). Mitarbeiter:innen und Umsatz sind im Konzern konsolidiert zu betrachten. Konzernmütter können Pflichten für ihre Töchter übernehmen, was aber nichts an deren strafrechtlich und zivilrechtlicher Verantwortung ändert.
  • Letztlich sind die Schwellenwerte praktisch bedeutungslos: Betroffen werden aufgrund des uferlosen Verständnisses der CS3D auch jene Unternehmen entlang der "chain of activities" sein, die zwar nicht die Schwellenwerte erreichen, aber Vertragspartner der verpflichteten Unternehmen sind – also insbesondere auch KMU.
  • Die "Wertschöpfungskette" hat nämlich ausgedient, neu ist die "chain of acitivites". Mit der begrifflichen Änderung erweitert sich auch der Anwendungsbereich. Erfasst sind alle direkten und indirekten Lieferant:innen, von denen Unternehmer Produkte oder Dienstleistungen für die Herstellung der eigenen Produkte oder Dienstleistungen erhalten (Upstream). Erfasst sind außerdem alle direkten und indirekten Lieferant:innen, die Vertrieb, Transport, Lagerung oder Entsorgung des eigenen Produkts betreffen (Downstream). Entfallen ist im finalen Text die Bezugnahme auf die "Verwendung" des eigenen Produkts in Bezug auf Downstream-Lieferant:innen. Das könnte man so verstehen, dass bei der intendierten Verwendung eines Produkts Downstream keine negativen Auswirkungen auf Umwelt oder Menschenrechte zu identifizieren sind. Umgekehrt ist der Unternehmer, der ein fremdes Produkt verwendet, um eigene Produkte herzustellen, allerdings sehr wohl wieder verpflichtet, auch Upstream die Einhaltung der ESG-Vorschriften zu prüfen und wird diese Pflichten weitergeben müssen. In dem Zusammenhang müssen negative Auswirkungen durch die Verwendung also wohl erst wieder berücksichtigt werden.
  • Die geschützten Rechte sind weiterhin sehr weit: An Umweltstandards so gut wie alle messbaren negativen Umweltauswirkungen. An sozialen Standards ein umfassender Verweis auf internationale völkerrechtliche Übereinkommen, zB die Allgemeine Erklärung der Menschenrechte oder den UN-Sozialpakt über wirtschaftliche, soziale und kulturelle Rechte. Auch Themen wie Gender Pay Gap sind dabei.
  • Der risikobasierte Ansatz wird hervorgehoben. Unternehmen müssen nicht nur ihre Lieferant:innen risikobasiert screenen. Sie müssen bei mehreren negativen Auswirkungen auch risikobasiert bei der Behebung vorgehen. Nach Schwere der Auswirkung, Zahl betroffener Personen oder Endgültigkeit der Auswirkungen müssen Abhilfemaßnahmen priorisiert werden.
  • Solche Abhilfemaßnahmen können vielfältig sein. Unternehmen können zB verpflichtet sein, ihren Lieferant:innen "targeted financial support" für ihre ESG-Maßnahmen zu gewähren, zB in Form von günstig verzinsten Kredite oder Garantien (wobei offenbar nicht berücksichtigt wurde, dass solche Tätigkeiten Banken vorbehalten sind). Weitere Pflichten: Unternehmen müssen für ihre Lieferant:innen Knowledge-Datenbanken einrichten oder Schulungen abhalten.
  • Zusammenarbeit wird groß geschrieben: Um negative Auswirkungen abzustellen, müssen Unternehmen nicht nur mit unmittelbaren, sondern auch mit mittelbaren Lieferant:innen direkt zusammenarbeiten. Und wenn das alles nichts hilft, müssen Verträge temporär ausgesetzt oder dauerhaft gekündigt werden. Der aktuelle Text macht aber nochmals sehr deutlich, dass es sich dabei wirklich nur um das allerletzte Mittel handelt.
  • Stakeholder-Engagement rückt in den Vordergrund in einer ganz neuen Bestimmung: Unternehmen müssen sich mit Mitarbeiter:innen, Lieferant:innen – direkt und indirekt – oder Eigentümer:innen regelmäßig über ihre ESG-Strategie austauschen. Stakeholder sollen nicht nur am Papier gefragt, sondern tatsächlich eingebunden werden.
  • Wettbewerbsrechtliche Bedenken beim Erhalt von sensiblen Informationen über Lieferant:innen werden angesprochen, aber nicht gelöst. Der Text anerkennt, dass viele Informationen, die nach der CS3D zwingend zu erhalten sind, wettbewerbsrechtlich gar nicht in den Besitz des Vertragspartners kommen dürfen. Wie damit umzugehen ist, lässt die CS3D allerdings offen. Aus unserer Sicht ist besondere Transparenz in diesem Zusammenhang gefragt. Wir haben in der Praxis schon einige Möglichkeiten entwickelt, wie vertraglich mit solchen Konstellationen umgegangen werden kann. Wichtig ist jedenfalls, wettbewerbsrechtliche und auch datenschutzrechtliche Bedenken von Beginn an mitzudenken.
  • Lange wurde um die Einbeziehung der Finanzindustrie – insbesondere Banken und Versicherungen – gerungen. Diese ist nun nur hinsichtlich ihrer Upstream-Verträge, nicht aber hinsichtlich ihrer Downstream-Verträge einbezogen. Eigene Finanzdienstleistungen scheinen also nicht im gesetzlichen Anwendungsbereich. Ganz konsequent durchgehalten wird das aber nicht, weil die CS3D gleichzeitig festlegt, dass Finanzdienstleister auch auf ihre eigenen Produkte und Dienstleistungen bezogen zum Beispiel die OECD Guidelines for Mulinational Enterprises zu berücksichtigen haben werden. Außerdem stellt sich die Frage, was gilt, wenn Finanzdienstleister vertraglich verpflichtet werden, ihre Upstream-Vertragspartner:innen zu berücksichtigen. Jedenfalls soll binnen zwei Jahren ein Review stattfinden, aufgrund dessen entschieden werden soll, ob Finanzdienstleister stärker einzubeziehen sind.
  • Die Rechtsfolgen bleiben massiv: Verwaltungsstrafen bis zu 5 % des konsolidierten weltweiten Umsatz und für mindestens fünf Jahre von der Aufsichtsbehörde zu veröffentlichen (naming and shaming). Schadenersatz verpflichtend in der Höhe des "vollen Ersatzes" und mit besonderen Klagsrechten für NGO und Zivilgesellschaft. Außerdem sind Verstöße in öffentlichen Ausschreibungsverfahren zu berücksichtigen.
  • Die ausdrückliche Haftung von Vorstand und Aufsichtsrat ist im finalen Text zwar entfallen. Nach der österreichischen Rechtslage können Vorstandsmitglieder und Aufsichtsratsmitglieder allerdings wie auch sonst trotzdem persönlich haften, wenn sie sich rechtswidrig und schuldhaft in Ausübung ihrer Funktion verhalten. Ein Bruch der CS3D könnte eine solche Rechtswidrigkeit, die zur persönlichen Haftung führen kann, begründen.
  • Unternehmen müssen ihren Hinweisgeberschutz erweitern. Insbesondere auch Dritte wie zB Lieferant:innen oder von negativen Auswirkungen betroffene Personen müssen die Gelegenheit haben, Hinweise zu melden.
  • Es gibt eine Pflicht zu jährlichen Berichten: Diese sollen umfassen unter anderem eine Darstellung des Due Diligence-Systems, des eigenen Code of Conduct und der Risikokriterien, nach denen vorgegangen wird. Dazu – wie zu vielem anderen – soll es auch Konkretisierungen geben, die noch auszuarbeiten sind.

Aus dem finalen Text werden aus unserer Sicht drei Punkte klar:

  1. Vorbereitung auf CS3D ist Vertragsüberarbeitung: Verträge mit Lieferant:innen – direkt und indirekt – anzupassen, wird zur Pflicht. Nicht nur die neuen ESG-Werte, sondern auch die flankierenden zivilrechtlichen Pflichten wie Informationspflichten oder Steuerungspflichten müssen Teil davon sein.
     
  2. Die Zeit läuft: Ab Inkrafttreten, das offenbar noch diesen Mai erfolgen könnte, bleiben den Mitgliedstaaten zwei Jahre Zeit für die Umsetzung in nationales Recht. Danach haben Unternehmen noch ein bis drei Jahre (je nach Größe) Zeit für die Umstellung. Das würde bedeuten, dass die ersten Unternehmen schon in drei Jahren voll in den gesetzlichen Anwendungsbereich der CS3D fallen – und mit diesen auch alle deren direkte und indirekte Lieferant:innen.
     
  3. Pragmatischer Zugang jetzt: Gefragt ist deshalb viel Fingerspitzengefühl und "Mut zur Lücke" – Stichwort: Risikobasierter Ansatz. Niemand kann Makellosigkeit seiner kompletten "chain of activities" garantieren. Das ist aber aus unserer Sicht auch nicht gefordert. Stattdessen geht es um einen pragmatischen und konstruktiven Zugang, der auch viel damit zu tun haben wird, was Marktstandard ist.

Der nächste Schritt ist die Abstimmung über den Text im Europäischen Rat. Voraussichtlich soll diese Abstimmung am 9. Februar erfolgen. Danach folgt die Abstimmung im Europäischen Parlament.

"Ensuring that no one is left behind" ist eine der neuen Formulierungen, die sich im Text findet. Die CS3D ist das bei weitem anspruchsvollste ESG-Regelwerk, das in der EU und vermutlich auch global jemals entwickelt wurde. Damit wirklich niemand zurückgelassen wird, braucht es in der weiteren Umsetzung aus unserer Sicht sehr viel Augenmaß.