Seit dem 01.01.2023 gilt in Deutschland für alle Unternehmen mit mind. 3.000 Beschäftigten das Gesetz über die Sorgfaltspflichten in der Lieferkette (Lieferkettensorgfaltspflichtengesetz – LkSG). Ab dem 01.01.2024 wird es für alle Unternehmen mit mind. 1.000 Beschäftigten gelten. Die vom Gesetz betroffenen Unternehmen müssen künftig ein Risikomanagement vorhalten, um menschenrechtliche und umweltbezogene Risiken ihrer Lieferkette zu erkennen und zu mitigieren.
Wer gehört zur Lieferkette?
Die Lieferkette umfasst dabei den eigenen Geschäftsbereich und vor allem unmittelbare Zulieferer. Die unmittelbaren Zulieferer müssen regelmäßig einer Risikoanalyse unterzogen werden, um feststellen zu können, ob und wie weit in die Lieferkette involvierte Personen oder die Umwelt durch die eigene Geschäftsbeziehung zu schaden kommen können. Vor diesem Hintergrund wird die Bewertung der menschenrechtlichen und umweltbezogenen Risiken ein Thema, mit dem sich alle Unternehmen auseinandersetzen müssen, die in einer Zulieferbeziehung bestehen. In unserem Beitrag wollen wir zeigen, mit welchen Anforderungen hier zu rechnen ist und wie sich ein betroffenes Unternehmen aktiv darauf vorbereiten kann.
Ich bin ein kleiner Zulieferer – Sorgfaltspflichten auch für mich?
Die Relevanz für Zulieferunternehmen wird sich künftig bereits vor Eingehung einer Geschäftsbeziehung zu einem nach dem Lieferkettengesetz verpflichteten Unternehmen ergeben. Das Gesetz erwartet im Rahmen des Risikomanagement, dass bereits bei der Auswahl eines unmittelbaren Zulieferers eine Berücksichtigung der menschenrechts- und umweltbezogenen Standards zu erfolgen hat. Auch Unternehmen, die selbst nicht zu den Verpflichteten des Lieferkettensorgfaltspflichtengesetzes gehören, müssen daher damit rechnen, dass sie künftig von ihren potenziellen Vertragspartnern dazu aufgefordert werden, zu diesen Themen Informationen bereit zu stellen und es wird von ihnen auch erwartet werden, dass sie wiederum bereit und in der Lage sind, dem potenziellen Vertragspartner zu garantieren, dass auch ihre eigenen Zulieferer menschenrechts- und umweltbezogene Risiken angemessen mitigieren.
Vertragliche Zusicherungen der Lieferketten-Compliance
Das LkSG beschreibt als eine mögliche angemessene Präventionsmaßnahme zur Umsetzung dieser gesetzlichen Anforderung das Instrument der vertraglichen Zusicherung. Das bedeutet, dass KMU’s zum Beispiel damit rechnen müssen, dass von ihnen die Bestätigung von Compliance-Policies erwartet wird, in denen der Vertragspartner Mindeststandards des Risikomanagement definiert, deren Einhaltung zum einen vom Zulieferer selbst erwartet und zum anderen den Zulieferer dazu auffordert, diese Mindeststandards auch entlang seiner eigenen Lieferkette umzusetzen. Inhaltlich ist im Bezug auf die Compliance-Erklärung zu erwarten, dass die Zulieferer zusichern müssen, dass sie ihrerseits eine Risikoanalyse betreffend der menschenrechts- und umweltbezogenen Risiken in ihrem eigenen Geschäftsbereich durchführen und dass sie diese Risiken auch bei ihren Vertragspartnern in den Blick nehmen.
Aufbauend auf der Risikoanalyse wird auch das Vorhalten von Präventionsmaßnahmen eingefordert werden, die den festgestellten Risiken angemessen begegnen. Somit wird es im Ergebnis auch für nicht direkt vom LkSG betroffene Unternehmen notwendig werden, ihren eigenen Geschäftsbereich, sowie ihre Zulieferkette einer Risikoanalyse zu unterziehen.
Risikoanalyse – Praktisches Lösungsmodell
Konkret bedeutet die Durchführung der Risikoanalyse, dass zunächst abstrakt festzustellen ist, welchen Risiken der eigene Geschäftsbereich ausgesetzt ist und welche bei den Zulieferern festzustellen sind. Die identifizierten Risiken sind sodann zu gewichten und zu priorisieren. In der Praxis stellt die Agentur für Wirtschaft und Entwicklung ein sehr hilfreiches Tool zur Durchführung der Risikoanalyse zur Verfügung. Kostenlos und online abrufbar können KMU’s mit dem CSR-Risikocheck, einem Online-Tool zur Einschätzung der lokalen Menschenrechtssituation sowie Umwelt-, Sozial- und Governancethemen, arbeiten. Es kategorisiert dabei nach Produkten und Dienstleistungen sowie im Bezug auf das Ursprungsland. Das Tool gibt Einblick in die potenziellen sozialen und ökologischen Risiken, die relevant sein können. Das Tool hilft auch dabei eine Einschätzung zu gewinnen, welche Risiken in der konkreten Lieferkette eines KMU’s bzw. auch im eigenen Geschäftsbereich von Relevanz sind. Nach erfolgreicher Durchführung der Risikoanalyse stellt sich die Frage, wie fortlaufend eine Überprüfung der Lieferanten stattfinden kann, um zu verifizieren, ob die Risikoeinschätzung richtig war und ist. In der Praxis haben sich aus anderen Compliance- Anforderungen heraus zwei übliche Ansätze etabliert. Das sind zum einen Selbstauskünfte und zum anderen Vor-Ort-Überprüfungen bzw. Audits. Beide Ansätze unterscheiden sich hinsichtlich der Prüftiefe und damit auch im Bezug auf den jeweils zu erwartenden Aufwand, sodass zu empfehlen ist, hier einen risikobasierten Ansatz zu verfolgen, das heißt den Umfang und die Prüftiefe in Abhängigkeit vom identifizierten Risiko zu gestalten. Bezüglich Lieferanten mit niedrigem Risiko kann dann bspw. mit einem Selbstauskunftsprozess gearbeitet werden, während bei höherem Risiko eine Vor- Ort-Überprüfung zu empfehlen ist. Selbstverständlich ist auch eine Kombination der beiden Ansätze möglich. Das empfiehlt sich insbesondere dann, wenn ohnehin im Rahmen des Einkaufsprozesses Vor-Ort-Besuche anstehen, in die auch die Auseinandersetzung mit Risikothemen integriert werden kann.
Beschwerdeverfahren und Hinweisgeberschutz
Weiter sollten KMU’s darüber nachdenken, ob sie eine Beschwerdestelle nach LkSG einrichten. Für die dem Gesetz verpflichteten Unternehmen gehört das zum künftigen Regelkatalog. Sie müssen ein Verfahren vorhalten, bei dem sowohl Mitarbeitern als auch den Vertragspartnern oder Mitarbeitern der Vertragspartner die Möglichkeit gegeben wird, unter dem Schutz der Vertraulichkeit ihrer Identität Hinweise auf die Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten abzugeben. Mit dem Inkrafttreten des deutschen Hinweisgeberschutzgesetzes wird die Einrichtung einer internen Meldestelle für alle Unternehmen ab 50 Mitarbeitern ohnehin zur gesetzlichen Pflicht. Es bietet sich daher an, zu prüfen, ob nicht auch eine Integration der Lieferkettenbezogenen Risiken in die ohnehin vorzuhaltende interne Meldestelle eine sehr effiziente Möglichkeit sein kann, ein Präventionsinstrument vorzuhalten, was das Risikomanagement abrundet, welches Vertragspartner zukünftig erwarten werden.
Eine Integration der umweltbezogenen und menschenrechtsbezogenen Themenfelder in eine interne Meldestelle ist ohne bedeutsamen Mehraufwand möglich. Zu beachten ist hier allerdings, dass die interne Meldestelle nach dem Hinweisgeberschutzgesetz lediglich verpflichtend den Beschäftigten gegenüber anzubieten ist, während das Beschwerdeverfahren nach LkSG veröffentlicht werden muss und somit für jedermann zugänglich sein muss. Bei einer effizienten Ausgestaltung des Verfahrens, bspw. durch Einsatz einer digitalen Meldeplattform, bedeutet dies aber nicht zwingend einen Nachteil. Auch bezüglich der internen Meldestelle nach Hinweisgeberschutzgesetz gibt es, unabhängig von der gesetzlichen Verpflichtung bei der Frage nach der Angemessenheit und Wirksamkeit von Compliance-Präventions-Maßnahmen, gute Argumente, die für eine öffentliche Bekanntmachung auch der internen Meldestelle sprechen. Im kommenden Jahr, ab dem 01.01.2024, erweitert sich der Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes auf Unternehmen mit 1.000 Mitarbeitern, was bedeutet, dass ein Teil der KMU’s, ohnehin künftig selbst in den direkten Anwendungsbereich des LkSG fallen wird. Ob der Anwendungsbereich künftig noch auf kleinere Unternehmen ausgedehnt wird, bleibt abzuwarten.
EU-Richtlinie zur Lieferkette
Deutschland hat sich mit seinem Lieferkettengesetz, das bereits im Juni 2021 verabschiedet wurde, sehr frühzeitig zur Sicherstellung der Einhaltung von menschenrechts- und umweltbezogener Standards entlang der Lieferkette bekannt. Die Europäische Kommission hat erst im Jahr 2022 einen Vorschlag für eine EU-Richtlinie zu den unternehmerischen Sorgfaltspflichten in der Lieferkette vorgestellt. Innerhalb der EU besteht Einigkeit, dass der Rechtsrahmen innerhalb der EU durch eine Richtlinienvorgabe harmonisiert werden soll, zum einen um einheitliche Standards zu erreichen und zum anderen auch um Wettbewerbsverzerrungen zu vermeiden. Der derzeit in der Diskussion befindliche Entwurf sieht bspw. vor, dass bereits Unternehmen mit mehr als 500 Beschäftigten und einem Nettoumsatz von mehr 150.000.000 Mio. Euro vom Anwendungsbereich erfasst sein sollen. Tritt die EU-Richtlinie in Kraft, wird es erforderlich sein, der in Deutschland bestehende Gesetz an die Anforderungen an die Richtlinie anzupassen, was dann im konkreten Fall auch eine Ausweitung des Anwendungsbereiches bedeuten könnte. Bei den Überlegungen, welcher Aufwand akzeptabel ist, um den künftigen Anforderungen von Vertragspartnern gerecht zu werden, sollten diese EU-Bestrebungen im Hinterkopf behalten werden. Denn möglicherweise verlagert sich nur der Zeitpunkt der Einführung des Lieferkettenrisikomanagement nach vorne.
Auch KMU’s sollten sich daher rechtzeitig mit dem Thema Lieferkette auseinandersetzen und entscheiden, welche Schritte eingeleitet werden sollen.