Neue unternehmerische Lieferketten-Sorgfaltspflichten erfordern umfangreiche Risikoanalyse

Am 01.01.2023 ist das Lieferkettensorgfaltspflichtengesetz (LkSG) als Artikel 1 des in 2021 beschlossenen Gesetzes über die unternehmerischen Sorgfaltspflichten in Lieferketten vom 16.07.2021 in Kraft getreten. Es ist anzuwenden auf alle Unternehmen (unabhängig von ihrer Rechtsform), die in der Regel mindestens 3.000 Arbeitnehmer im Inland beschäftigen, und deren Hauptverwaltung, Hauptniederlassung oder satzungsgemäßer Sitz im Inland liegt. Zum 01.01.2024 erweitert sich der Anwendungsbereich auch auf Unternehmen, die in der Regel mindestens 1.000 Arbeitnehmer im Inland beschäftigen.

Eine wesentliche Anforderung des LkSG ist die Beurteilung der menschenrechtlichen und umweltbezogenen Risiken innerhalb der gesamten Lieferkette eines Unternehmens. Damit sollen Verstöße gegen Menschenrechte und gegen umweltbezogene Anforderungen verhindert bzw. aufgedeckt und minimiert oder beendet werden können. Dazu gehören z.B. Risiken in Bezug auf Kinderarbeit oder Verstöße gegen das Basler Übereinkommen über die Kontrolle der grenzüberschreitenden Verbringung gefährlicher Abfälle und ihrer Entsorgung vom März 1989.

Für unmittelbare Zulieferer muss einmal im Jahr eine Risikoanalyse durchgeführt werden. Außerdem muss bei einer wesentlich veränderten oder erweiterten Risikolage in der Lieferkette des Unternehmens, etwa durch die Einführung neuer Produkte, eine anlassbezogene Analyse durchgeführt werden. Bei Vorliegen tatsächlicher Anhaltspunkte, die eine Verletzung einer menschenrechtsbezogenen oder einer umweltbezogenen Pflicht bei mittelbaren Zulieferern möglich erscheinen lassen (substantiierte Kenntnis), müssen darüber hinaus die mittelbaren Zulieferer (aus einem bestimmten Land, einer bestimmten Lieferkettenstufe oder einer bestimmten Rohstofflieferkette) überprüft werden, also Lieferanten, die Teil der Lieferkette sind, aber keine direkte Beziehung zum Unternehmen haben.

Bezüglich des Umfangs der Risikoanalyse gibt der Gesetzgeber lediglich vor, dass die entsprechenden Ressourcen zielgerichtet einzusetzen und die wichtigsten und dringendsten Themen aus Risikosicht des Unternehmens zuerst anzugehen sind. Der genaue Umfang der Analyse ist also nicht näher definiert und wird je nach Branche variieren. Die Einrichtung eines angemessenen und wirksamen Risikomanagements ist unerlässlich, um fortlaufend die Compliance Anforderungen zu erfüllen.

Das LkSG stellt bei der Risikoanalyse die eigenen Mitarbeiter, die Beschäftigten in der Lieferkette und Dritte, die durch das Handeln des Unternehmens beeinflusst werden, in den Mittelpunkt. Nicht relevant ist hier, wie sich die jeweiligen Risiken auf den Geschäftserfolg des Unternehmens auswirken, d.h. ob eine finanzielle Belastung oder ein Reputationsschaden für das eigene Unternehmen entstehen kann.

Im Rahmen der Risikoanalyse werden konkret länder- und branchenspezifische Risiken betrachtet, je nach Art und Umfang der Geschäftstätigkeit, nach Eintrittswahrscheinlichkeit, Grad und Anzahl der Betroffenen sowie der Einflussmöglichkeiten des Unternehmens. Die konkrete Priorisierung der Risikobetrachtung erfolgt anhand einer konsistent angewandten Systematik, z.B. durch eine sog. Heatmap, in der die Risiken nach ihrer Signifikanz kategorisiert werden. Systematisch dokumentiert wird beispielsweise anhand eines Risikoinventars. Grundsätzlich kennen Unternehmen bereits die Risiken ihrer Geschäftstätigkeiten. Sie müssen diese nun jedoch auf Basis des LkSG vertieft prüfen. Eine enge Abstimmung mit dem Enterprise Risk Management ist daher empfehlenswert.

Bei festgestellten Rechtsverstößen von unmittelbaren Lieferanten sind unverzüglich angemessene Abhilfemaßnahmen zu ergreifen. Bei mittelbaren Zulieferern müssen im Rahmen der anlassbezogenen Risikoanalyse angemessene Präventionsmaßnahmen vom Unternehmen ergriffen werden.

Die Sorgfaltspflichten begründen jedoch nur eine Bemühens- und keine Erfolgspflicht. Verletzungen der Sorgfaltspflichten können mit Geldbußen von bis zu € 800.000 sanktioniert werden, bei Unternehmen mit einem durchschnittlichen Jahresumsatz von mehr als € 400 Mio. mit bis zu zwei Prozent des durchschnittlichen Jahresumsatzes. Bei der Ermittlung des durchschnittlichen Jahresumsatzes ist der weltweite Umsatz der letzten drei Geschäftsjahre, die der Behördenentscheidung vorausgehen, zugrunde zu legen.

Die Risikoanalyse ist eine wesentliche Anforderung des LkSG und sollte wie dargestellt systematisch aufgesetzt werden. Die Ergebnisse sowie ggf. ergriffene Maßnahmen zur Erfüllung der Sorgfaltspflichten müssen in einem jährlichen Bericht auf der Internetseite des Unternehmens veröffentlicht werden.

Autor: Martin Fleischmann, München