Bürokratie-Bremse entlastet Deutschlands Vorstände

Die Regierung reduziert Meldepflichten, doch die Haftung für Versäumnisse bleibt hoch. Vorstände atmen auf – aber nur kurz.

Für Geschäftsführer und Vorstände in Deutschland bringt der Jahresbeginn 2026 eine seltene Verschnaufpause in einem ansonsten strenger werdenden regulatorischen Umfeld. Nach Jahren wachsender Haftungsrisiken signalisieren jüngste Gesetzesanpassungen eine spürbare Entlastung. Experten begrüßen den Abbau von Meldepflichten, warnen aber: Die Kernhaftung für organisatorisches Versagen ist schärfer denn je.

LkSG-Reform: Aus für die „Meldungsfalle“?

Die unmittelbarste Erleichterung für die Unternehmensführung kommt von der Überarbeitung des Lieferkettensorgfaltspflichtengesetzes (LkSG). Der Bundestag finalisiert derzeit eine entscheidende Novelle, die in den kommenden Wochen in Kraft treten soll.

Laut dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) ist die strenge jährliche Berichtspflicht faktisch ausgesetzt. Sie hatte Tausende Unternehmen mit umfangreichen Dokumentationspflichten belastet. Die Bundesregierung will so nationale Vorgaben an die kommende europäische CSDDD-Richtlinie angleichen.

Für Geschäftsführer entfällt damit eine erhebliche „Compliance-Falle“. Zuvor konnten verspätete Meldungen persönliche Haftungsrisiken und hohe Bußgelder auslösen. Seit BAFA die Durchsetzung der Meldepflichten Ende 2025 gestoppt hat, ist der administrative Druck gewichen. Juristen mahnen jedoch: Die inhaltlichen Pflichten zur Risikoanalyse und Prävention bleiben vollständig bestehen. Die Haftung für Menschenrechtsverletzungen in der Lieferkette ist nicht abgeschafft, nur der bürokratische Meldeaufwand wurde reduziert.

Passend zum Thema Vorstandshaftung und automatisierte Entscheidungsprozesse: Die EU-KI-Verordnung hat umfangreiche Anforderungen an Dokumentation, Risikoklassifizierung und Kennzeichnung von KI-Systemen eingeführt. Unser kostenloser Umsetzungsleitfaden fasst praxisnah zusammen, welche Pflichten jetzt gelten, welche Fristen Sie beachten müssen und wie Sie Haftungsrisiken für Vorstände durch strukturierte Compliance-Maßnahmen minimieren — inkl. Checkliste zur Einstufung von „agentic AI“. KI-Umsetzungsleitfaden gratis herunterladen

CSRD „Stop-the-Clock“: Neue Schwellenwerte entlasten den Mittelstand

Parallel zur LkSG-Entlastung hat die Umsetzung der europäischen CSRD-Berichtspflicht eine dramatische Wende erfahren. Durch das „Omnibus-I“-Paket des EU-Parlaments vom Dezember 2025 wurde der Kreis der berichtspflichtigen Unternehmen deutlich verkleinert.

Die neuen Schwellenwerte – nun 1.000 Mitarbeiter und 450 Millionen Euro Umsatz statt bisher 250 Mitarbeiter und 50 Millionen Euro – bedeuten: Viele deutsche Mittelständler, die sich auf ihren ersten CSRD-Bericht 2026 vorbereitet hatten, sind nun befreit oder haben einen Aufschub von zwei Jahren erhalten.

Verbände loben dies als notwendige Korrektur, um „Compliance-Burnout“ zu verhindern. Für Vorstände ist der Aufschub entscheidend. Die Erstellung CSRD-konformer Nachhaltigkeitsberichte birgt hohe persönliche Haftungsrisiken, da die Verantwortlichen die nicht-finanziellen Daten mit derselben Sorgfalt unterzeichnen müssen wie die Bilanz. Die Verzögerung erlaubt es Unternehmen, ihre Datenerfassungssysteme zu verbessern, ohne die unmittelbare Gefahr von Sanktionen für das Berichtsjahr 2025.

Das bleibende Haftungsrisiko: Organisationsverschulden

Trotz dieser deregulatorischen Schritte sind die grundlegenden juristischen Risiken für Führungskräfte nicht verschwunden. Der Bundesgerichtshof (BGH) hält weiterhin strenge Maßstäbe für die „Legalitätspflicht“ aufrecht.

Rechtsexperten verweisen auf die anhaltende Unsicherheit bei der Business Judgment Rule in Compliance-Fragen. Zwar hat der BGH die Frage der Managerhaftung für Kartellbußen im Februar 2025 dem Europäischen Gerichtshof (EuGH) vorgelegt, doch eine endgültige Klärung steht bis Januar 2026 noch aus. Bis zum Urteil des EuGH besteht ein ungelöstes Risiko: Können Geschäftsführer persönlich für Millionen-Bußgelder des Unternehmens haftbar gemacht werden, wenn sie kein optimales Compliance-System implementiert haben?

Zudem bleibt das Interne Kontrollsystem (IKS) eine nicht verhandelbare Pflicht. Gerichte haben wiederholt entschieden: Unwissenheit über Compliance-Verstöße ist keine Entschuldigung, wenn die Überwachungsstruktur mangelhaft war. Die Erleichterung beim Berichten (LkSG/CSRD) bedeutet keine Erleichterung beim Überwachen. Ein Geschäftsführer, der einen schwerwiegenden Lieferkettenverstoß oder Korruptionsskandal nicht aufdeckt, weil er sein Compliance-Team (mit Verweis auf die „Bürokratie-Entlastung“) abgebaut hat, dürfte weiterhin schwer für Organisationsverschulden haften.

Ausblick: KI und DORA rücken in den Fokus

Der Compliance-Schwerpunkt verschiebt sich 2026 in Richtung Technologie. Mit dem nun laufenden „Jahr der Durchsetzung“ des Digital Operational Resilience Act (DORA) stehen Finanzinstitute und ihre kritischen IT-Dienstleister vor neuen Haftungsszenarien in der Cybersicherheit. Zudem wird die Steuerung von „Agentic AI“ – autonomen Systemen, die Geschäftsentscheidungen treffen – zur nächsten Herausforderung für die Vorstandshaftung.

Deutsche Wirtschaftsführer können bezüglich des unmittelbaren Papierkrams von LkSG und CSRD vorerst aufatmen. Die gewonnene Atempause sollte jedoch genutzt werden, um interne Strukturen zu stärken – nicht, um sie abzubauen. In der sich wandelnden Regulatorik bleibt die Grenze zwischen „Bürokratieabbau“ und „Fahrlässigkeit“ schmal.

PS: DORA und die verschärfte Durchsetzung machen Cybersicherheit zur Chefsache — gerade bei kritischen Drittanbietern und Cloud-Diensten. Unser kostenloses E-Book zu Cyber-Security Awareness erklärt aktuelle Bedrohungen, welche neuen Gesetze (inkl. KI-Vorgaben) relevant sind und welche pragmatischen Maßnahmen Vorstände jetzt umsetzen sollten, um Haftungsrisiken zu senken. Cyber-Security-Report kostenlos anfordern