Das neue deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) tritt Anfang nächsten Jahres in Kraft und sorgt bei manchen Unternehmen für Unruhe. Der Grund: Bei Missachtung der Sorgfalts- und Informationspflichten sowie bei Verstoß gegen die Pflicht zum Ergreifen von Maßnahmen zur Umsetzung der Sorgfaltspflichten können hohe Bußgelder drohen – bis zu 800.000 Euro oder bis zu 2 Prozent des durchschnittlichen Jahresumsatzes bei Großunternehmen. Erst kürzlich hat die zuständige Behörde, das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), eine Handreichung veröffentlicht, die die Anforderungen weiter spezifiziert.
Das Lieferkettengesetz im Überblick
Das Lieferkettengesetz verpflichtet Unternehmen in ihren Lieferketten menschenrechtliche und bestimmte umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten. Die zu erfüllenden Pflichten sind nach den tatsächlichen Einflussmöglichkeiten abgestuft, je nachdem, ob es sich um den eigenen Geschäftsbereich, einen direkten Vertragspartner oder einen mittelbareren Zulieferer handelt.
Das Gesetz gilt ab dem 1. Januar 2023 für Unternehmen mit mindestens 3.000 Beschäftigten. Ab dem 1. Januar 2024 sind Unternehmen mit mindestens 1.000 Beschäftigten betroffen.
Zu den Sorgfaltspflichten der Unternehmen gehören:
- Einrichtung eines Risikomanagements und Durchführung einer Risikoanalyse
- Verabschiedung einer Grundsatzerklärung der unternehmerischen Menschenrechtsstrategie
- Verankerung von Präventionsmaßnahmen
- Sofortige Ergreifung von Abhilfemaßnahmen bei festgestellten Rechtsverstößen
- Einrichtung eines Beschwerdeverfahrens
- Dokumentations- und Berichtspflicht für die Erfüllung der Sorgfaltspflichten
Grundlegende Anforderungen an die Risikoanalyse
Die Risikoanalyse ist die Grundlage eines angemessenen und wirksamen Risikomanagements. Erst nach einer Bewertung ihres Risikoprofils sind Unternehmen in der Lage, Regeln und Verfahren zu implementieren, um die identifizierten Risiken wirksam zu mindern. Das LkSG verlangt von den Unternehmen, dass sie sich über die Menschenrechts- und Umweltrisiken nicht nur in ihrer eigenen Organisation, sondern auch in der Lieferkette informieren. Auf der Grundlage der gesammelten Informationen müssen die Unternehmen die identifizierten Risiken priorisieren und die wichtigsten Risiken zuerst angehen. Das LkSG gewährt einen gewissen Ermessensspielraum bei der Gestaltung und Wahl der Methoden zur Identifizierung, Bewertung und Priorisierung von Risiken – vorausgesetzt, der gewählte Ansatz ist angemessen und systematisch.
Regelmäßige Risikoanalyse und Ad-hoc-Risikoanalyse
Das LkSG unterscheidet zwischen zwei Formen von Risikoanalysen: einer regelmäßigen Risikoanalyse und einer Risikoanalyse auf Ad-hoc-Basis. Gegenstand der regelmäßigen, jährlichen Risikoanalyse sind laut Gesetz alle Risiken in der eigenen Organisation und bei den direkten Zulieferern des Unternehmens. Risiken auf der Ebene der indirekten Lieferanten sind dagegen nicht in die regelmäßige Risikoanalyse einzubeziehen.
Neben der regelmäßigen, jährlichen Risikoanalyse verpflichtet das Gesetz die Unternehmen, eine Ad-hoc-Risikoanalyse in Bezug auf indirekte Lieferanten durchzuführen, wenn sie begründete Kenntnis von einer Verletzung einer menschen- oder umweltbezogenen Pflicht haben. Hinweise auf eine solche Verletzung können sich aus verschiedenen Quellen ergeben: Berichte an Beschwerdestellen, Informationen in den Medien oder Berichte der Zivilgesellschaft sowie Diskussionen unter Branchenvertretern. Es ist erwähnenswert, dass das BAFA empfiehlt, in dieser Hinsicht über die Anforderungen des LkSG hinauszugehen. Die Behörde hält es für effektiver, zu erwartende hohe Risiken präventiv zu überwachen, als weitreichende Maßnahmen ergreifen zu müssen, wenn eine Menschenrechtsverletzung droht oder bereits eingetreten ist. Die Handreichung schlägt daher vor, die relevanten Teile der Lieferkette proaktiv in die jährliche regelmäßige Risikoanalyse einzubeziehen, sobald einem Unternehmen bestimmte hohe Risiken bekannt sind.
Darüber hinaus werden alle Risiken entlang der gesamten Lieferkette (d.h. eigene Organisation, direkte und indirekte Zulieferer) einer Ad-hoc-Bewertung unterzogen, falls sich diese Risiken wesentlich verändert haben oder aufgrund neuer Umstände entstanden sind. Eine solche Ad-hoc-Risikoanalyse kann durch eine Änderung der Geschäftstätigkeit ausgelöst werden, z.B. durch den Eintritt in ein neues Beschaffungsland.
Wie wird die Risikoanalyse durchgeführt?
Nach dem BAFA-Handbuch sollte die Bewertung in drei Schritten durchgeführt werden:
- Zunächst muss sich ein Unternehmen ein allgemeines Bild von seinen Geschäftsaktivitäten und den Beziehungen in seiner Lieferkette machen.
- Nach dem Sammeln der oben genannten Informationen muss das Unternehmen eine abstrakte Risikoanalyse durchführen.
- Schließlich ist die Risikoanalyse durch eine spezifische Analyse einschließlich der Bewertung und Priorisierung der Risiken zu vervollständigen.
Unternehmen sollten sich bemühen, einen Überblick über ihre eigenen Beschaffungsprozesse zu gewinnen und ihre Lieferketten als Ausgangspunkt für die Risikoanalyse transparent zu machen. Eine geeignete Methode kann die Risikokartierung nach Geschäftsbereichen, Standorten, Produkten, Rohstoffen oder Herkunftsländern sein.
Zu diesem Zweck sollten die Unternehmen Informationen zusammenstellen über:
- ihre Unternehmensstruktur, einschließlich der Namen, Sektoren und Basisinformationen aller Konzernunternehmen,
- ihre Beschaffungsstruktur, einschließlich der Beschaffungskategorien, der Beschaffungsländer, des Auftragsvolumens und der Anzahl der direkten Lieferanten pro Kategorie,
- die Art und den Umfang ihrer Geschäftstätigkeiten.
In einem zweiten Schritt werden öffentlich zugängliche Quellen wie Indizes, Rankings, UN- oder OECD-Richtlinien und NGO-Berichte berücksichtigt, um Niederlassungen, Standorte und Lieferanten mit einem erhöhten Risikoprofil zu identifizieren.
Auf der Grundlage der Ergebnisse dieser abstrakten Risikobewertung müssen die Unternehmen in einem dritten Schritt die spezifischen Risiken entlang ihrer Lieferketten ermitteln. Anschließend müssen sie entscheiden, welche Risiken sie zuerst angehen wollen. Relevante Kriterien für diese Prioritätensetzung sind:
- Art und Umfang der Geschäftstätigkeiten,
- Wahrscheinlichkeit des Auftretens,
- Schwere des Verstoßes,
- die Fähigkeit, Einfluss zu nehmen,
- der kausale Beitrag des Unternehmens zum Entstehen eines Risikos.
Die bei der spezifischen Risikobewertung ermittelten Risiken müssen systematisch dokumentiert werden, zum Beispiel in einem Risikoinventar.
Der Gesetzgeber erkennt an, dass Unternehmen nicht von vornherein eine vollständig umfassende Risikoanalyse durchführen können. Daher schlägt das BAFA-Handout einen risikobasierten Ansatz vor. Unternehmen können sich zunächst auf eine abstrakte Risikoanalyse stützen und die spezifische Risikoanalyse nur für priorisierte Branchen, Standorte und Lieferbeziehungen durchführen. Wenn einem Unternehmen bereits risikoreiche Niederlassungen oder Lieferanten bekannt sind, sollte es seine Datenerhebung zunächst auf die Unternehmens- und Beschaffungsstrukturen dieser Einheiten konzentrieren. Die Unternehmen sind jedoch verpflichtet, die Transparenz ihrer Lieferketten schrittweise zu verbessern und somit den Prozess der spezifischen Risikoanalyse auf alle Niederlassungen, Standorte und direkten Lieferanten auszuweiten.
Bei der Entwicklung von Präventivmaßnahmen können Unternehmen auf den Ergebnissen von regelmäßigen und Ad-hoc-Risikoanalysen aufbauen und sich auf diese beziehen.