Neue Hilfestellungen zur Compliance mit dem Lieferkettensorgfaltspflichtengesetz veröffentlicht

Die Lieferkette eines Unternehmens birgt zahlreiche Compliance-Risiken. Besonders im ESG-Bereich werden Unternehmen zunehmend mit teils gravierenden Änderungen und einer Vielzahl neuer regulatorischer Anforderungen konfrontiert, die zur Folge haben, dass sie ihre Lieferketten und die Arbeitsweise der Unternehmen darin strenger überwachen müssen.

In Deutschland wird 2023 das Lieferkettensorgfaltspflichtengesetz (LkSG) in Kraft treten. Es verpflichtet große deutsche Unternehmen sowie ausländische Unternehmen mit Zweigniederlassung in Deutschland dazu, bestimmte Maßnahmen zu ergreifen, damit sowohl sie selbst als auch ihre Zulieferer aus dem In- und Ausland bestimmte Umwelt- und Sozialstandards einhalten. Hierzu müssen die Unternehmen unter anderem eine Risikoanalyse durchführen, ein Beschwerdemanagement einrichten und zudem jährlich über ihre Compliance mit dem Gesetz Bericht erstatten. Das für die Umsetzung und Überwachung des Gesetzes zuständige Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) hat in den letzten Wochen umfangreiche Hinweise zur Erfüllung dieser Pflichten veröffentlicht.

Risikoanalyse

Das LkSG verlangt von Unternehmen, ein angemessenes und wirksames Risikomanagement einzurichten. Herzstück hierbei ist eine regelmäßige und anlassbezogene Risikoanalyse. So sollen sie menschenrechtliche oder umweltbezogene Risiken erkennen und minimieren. Auch Verstöße gegen Menschenrechte und Umweltschutzstandards sollen so erkannt und gestoppt werden. Nach dem „risikobasierten Ansatz“ des Gesetzes dürfen Unternehmen dem BAFA zufolge „ihre Ressourcen zielgerichtet einsetzen und die wichtigsten und dringendsten Themen zuerst angehen“.

Transparenz im eigenen Geschäftsbereich und bei direkten Lieferanten

Die Schaffung von Transparenz im eigenen Geschäftsbereich und bei direkten Lieferanten ist Voraussetzung für eine angemessene Risikoanalyse und soll nach Ansicht des BAFA vorgeschaltet werden. Dies umfasst unter anderem die Ermittlung umfangreicher relevanter Daten zur Unternehmensstruktur, Beschaffungsstruktur sowie Art und Umfang der Geschäftstätigkeit, jeweils bezogen auf alle konzernangehörigen Gesellschaften, auf die das verpflichtete Unternehmen bestimmenden Einfluss ausübt, deren Lieferanten sowie alle „Hochrisiko-Zulieferer“. Neben allgemeinen Angaben gehören dazu jeweils auch die Betriebsstätten und Standorte, Produkte beziehungsweise Dienstleistungen, Beschaffungskategorien, Tätigkeits- und Beschaffungsländer, Umsatz- beziehungsweise Auftragsvolumen sowie aggregierte Visualisierungen der Lieferketten.

In seiner Handreichung zur Risikoanalyse erläutert das BAFA auch die Unterschiede zwischen der regelmäßigen und der anlassbezogenen Risikoanalyse. Die regelmäßige Risikoanalyse muss einmal pro Jahr durchgeführt werden und alle Risiken im eigenen Geschäftsbereich des Unternehmens sowie bei seinen unmittelbaren Zulieferern in den Blick nehmen. Die anlassbezogene Risikoanalyse muss hingegen immer dann durchgeführt werden, wenn dem Unternehmen Anhaltspunkte über eine mögliche Verletzung der Menschenrechte oder umweltbezogener Pflichten vorliegen. Solche Anhaltspunkte können beispielsweise über die einzurichtenden Beschwerdekanäle bei den Unternehmen eingehen oder aus Medienberichten und Berichten der Zivilgesellschaft stammen. Außerdem ist eine anlassbezogene Risikoanalyse auch dann notwendig, wenn das Unternehmen seine Geschäftstätigkeit relevant verändert, etwa neue Produktfelder oder Einkaufsmärkte erschließt.

Abstrakte und konkrete Risikobetrachtung

Das BAFA empfiehlt in seinen Handreichungen mindestens zwei Stufen der Risikoermittlung:

• eine „abstrakte Risikobetrachtung“ anhand genereller Risiken in den Ländern und Branchen, in denen das Unternehmen tätig ist oder in denen es Lieferanten hat – hierzu nennt die Handreichung im Anhang II einen umfangreichen Katalog an möglichen Informationsquellen, sowie
• eine „konkrete“ Ermittlung und Gewichtung von Risiken, die die spezifischen Risiken an den Standorten und Gesellschaften des Unternehmens sowie dessen Lieferanten in den Blick nimmt, unter Berücksichtigung der gesetzlich genannten Angemessenheitskriterien wie Art und Umfang der Geschäftstätigkeit, Eintrittswahrscheinlichkeit, Schwere der Verletzung, Einflussmöglichkeiten und Verursachungsbeitrag – hierzu nennt die Handreichung im Anhang I weitere Hilfskriterien.

„Gesellschaften, die im Rahmen des risikobasierten Ansatzes zunächst auf eine abstrakte Risikobetrachtung setzen und die konkrete Risikobetrachtung nur bei priorisierten Gesellschaften, Filialen und Standorten durchführen, sind verpflichtet, schrittweise zu einer verbesserten Informationslage über den gesamten eigenen Geschäftsbereich zu gelangen und damit den Prozess der konkreten Risikobetrachtung im Rahmen der Risikoanalyse auf alle Gesellschaften, Filialen und Standorte im eigenen Geschäftsbereich auszuweiten“, so das BAFA. In Hinblick auf die Lieferkette sollen sich Unternehmen nach Ansicht des BAFA zunächst auf solche mit hohem Risiko beschränken können, müssen die Transparenz in der Lieferkette dann aber über die Zeit ebenfalls schrittweise erhöhen.

Perspektive bei der Risikobetrachtung

Die Handreichung des BAFA enthält neben Erläuterungen des Gesetzestextes unter Berücksichtigung der Gesetzesbegründung weitere beachtenswerte Punkte. So sollen Unternehmen bei der Risikobewertung eigene finanzielle Nachteile oder Reputationsschäden im Falle von Verletzungen ausdrücklich nicht berücksichtigen, sondern vielmehr einen Perspektivwechsel vornehmen und primär auf die Interessen der geschützten Personengruppen abstellen. Hierzu gehören insbesondere die eigenen Beschäftigten sowie Mitarbeiter in der Lieferkette. Im Rahmen der abstrakten Risikobetrachtung sollen folglich von Verletzungen Betroffene einschließlich „besonders vulnerable Personengruppen“ identifiziert werden. Diese Methodik weicht erheblich von gängigen Risikomanagementsystemen ab, und verdeutlicht, dass der Gesetzgeber hiermit an sich staatliche Aufgaben unter anderem der Entwicklungshilfe und Außenpolitik der Privatwirtschaft überträgt.

Beschwerdemanagement

Jedes vom LkSG erfasste Unternehmen muss ab dem 1.1.2023 über mindestens ein Beschwerdeverfahren verfügen, über das es sowohl interne als auch externe Hinweise auf Risiken oder Pflichtverletzungen in Bezug auf Menschenrechts- und Umweltstandards entgegennehmen kann, um diesen abzuhelfen. In seinen Handreichungen zum Beschwerdeverfahren stellt das BAFA klar, dass Unternehmen „hierfür ein unternehmensinternes Verfahren nutzen, sich an einem gleichwertigen externen Verfahren beteiligen oder interne und externe Beschwerdeverfahren kombinieren“ können. Hierbei kann laut BAFA auch auf bereits vorhandenen oder geplante Beschwerdeverfahren aufgebaut werden. So könnte ein eingerichtetes Beschwerdeverfahren beispielsweise gleichzeitig Vorgaben des LkSG und des Hinweisgeberschutzgesetzes erfüllen.

Wichtig ist laut BAFA, dass die Beschwerdeverfahren für die wesentlichen Zielgruppen gut zugänglich und auf ihre Situation zugeschnitten sind. Danach muss es unter anderem allen Zielgruppen bekannt sein und ausreichend Unterstützung bieten bei besonderen Zugangshindernissen, etwa aufgrund von Sprachbarrieren, Analphabetismus oder mangelndem Zugang zum Internet oder Telefon. Die relevanten Zielgruppen kann ein Unternehmen anhand seiner Risikoanalyse ermitteln. Zu ihnen zählen die eigenen Mitarbeiter sowie Mitarbeiter von Zulieferern, aber auch Anwohner rund um Betriebsstandorte. Das Beschwerdeverfahren muss auch weiteren Personen oder Institutionen zur Verfügung stehen, die nicht direkt zu diesen Zielgruppen gehören, etwa Gewerkschaften, Medien oder NGOs. Unternehmen können auch mehrere Beschwerdeverfahren einrichten, etwa eine kostenlose Telefonhotline, eine webbasierte Lösung, lokale Ansprechpersonen oder zumindest einen Beschwerdekasten vor Ort. Relevante Zielgruppen sind hierüber ausreichend zu informieren, und sollen bereits bei der Ausgestaltung der Beschwerdeverfahren einbezogen werden.

Unternehmen müssen für das Beschwerdeverfahren eine Verfahrensordnung ausarbeiten und diese öffentlich zugänglich machen. Die Handreichung gibt weitere Details dazu, welche Informationen die Verfahrensordnung enthalten muss.

Außerdem präzisiert das BAFA eine Reihe von Anforderungen an das Beschwerdeverfahren, darunter beispielsweise, dass die Identität der Personen, die die Beschwerden einreichen, geschützt werden muss und dass die Personen, die die Beschwerden intern bearbeiten, in der Lage sein müssen, unparteiisch zu handeln. Außerdem erläutert das BAFA, wie mit den Beschwerden im weiteren Verfahren umgegangen werden soll. Hierzu gehört unter anderem die Erörterung des Sachverhaltes mit dem Hinweisgeber und dessen Einbeziehung bei der Lösungsfindung.

Hat eine Beschwerde sich bestätigt, müssen Unternehmen Abhilfe- und auch Präventionsmaßnahmen ergreifen. Das BAFA nimmt zudem an, dass das Unternehmen dem Hinweisgeber Rückmeldung zur erfolgten Abhilfe geben muss, und dieser zur Zufriedenheit mit dem Ablauf und den Ergebnissen befragt werden sollen. Auch soll das Unternehmen den Geschädigten die einvernehmliche Streitbeilegung anbieten oder Wiedergutmachung leisten, was laut BAFA „im Falle einer festgestellten Ordnungswidrigkeit bei der Bemessung von Geldbußen positiv berücksichtigt“ werden kann.

Unternehmen sollen verpflichtet sein, über die bei ihnen eingegangenen Beschwerden und deren Lösung öffentlich zu berichten. Außerdem müssen sie die Wirksamkeit des Verfahrens einmal im Jahr überprüfen. Die Handreichungen des BAFAs geben Hinweise, wie eine solche Überprüfung erfolgen kann, etwa anhand geeigneter KPIs. Schließlich müssen Erkenntnisse aus Beschwerden in die Risikoanalyse des Unternehmens einfließen und auch bei den übrigen Sorgfaltspflichten berücksichtigt werden.

Die Anforderungen des Gesetzes in Lesart durch das BAFA gehen teilweise weit über das hinaus, was vorhandene, bisher oft nur interne, Hinweisgebersysteme bei Unternehmen in der Regel leisten. Bei Unternehmen mit internationaler Lieferkette auch in problematischen Ländern lassen sich Angebote an relevante Zielgruppen im Einklang mit diesen Vorgaben wohl kaum ohne die Teilnahme an Multi-Stakeholder-Initiativen auf Branchen- oder Produktebene vor Ort effizient herstellen, gepaart mit einer entsprechenden Ausweitung des Hinweisgebersystems des Unternehmens vor allem im Anwendungsbereich und der Ausgestaltung im Detail.

Fragekatalog für jährliche Berichte

Alle Unternehmen, die unter den Anwendungsbereich des LkSG fallen, müssen jährlich einen Bericht über die Erfüllung ihrer Sorgfaltspflichten im vergangenen Geschäftsjahr erstellen und ihn spätestens vier Monate nach Ende des Geschäftsjahres an das BAFA übermitteln. Außerdem müssen die Berichte für mindestens sieben Jahre auf der Website des Unternehmens kostenfrei abrufbar sein.

Der Bericht basiert auf einem jüngst durch das BAFA veröffentlichten Fragenkatalog [38-seitiges PDF/305 KB], der insgesamt 437 sowohl offene wie auch geschlossene Fragen und auch Mehrfachauswahlmöglichkeiten enthält. Beantwortet das Unternehmen die Fragen vollständige und wahrheitsgemäß und reicht zudem den Bericht rechtzeitig beim BAFA ein und veröffentlicht ihn fristgerecht auf seiner Website, so hat es seine Berichtpflicht laut BAFA erfüllt. Die ausgefüllten Fragebögen müssen elektronisch über eine vom BAFA für das Frühjahr 2023 angekündigte Online-Eingabemaske eingereicht werden. Das BAFA lässt allerdings die Frage offen, ob es auch Berichte entgegennimmt, die nicht auf diesem Fragekatalog basieren.

Unternehmen, die plausibel darlegen können, dass sie keine Risiken ermitteln konnten und keine Verletzungen von Menschenrechts- oder Umweltstandards festgestellt haben, können einen verkürzten Bericht einreichen: In diesem Fall müssen sie nur den ersten und zweiten Abschnitt des Fragenkatalogs ausfüllen. Unternehmen, die Risiken oder Verletzungen festgestellt haben, müssen jedoch alle drei Abschnitte des Fragenkatalogs ausfüllen.

Der Fragenkatalog hangelt sich auf den ersten Blick an den gesetzlichen Vorgaben entlang. Zunächst müssen Unternehmen mit einfachen Ja / Nein Fragen zu den einzelnen Sorgfaltspflichten angeben, ob sie diese im Berichtszeitraum erfüllt haben. Soweit „Nein“ angegeben wird, ist dies regelmäßig in einem Freitextfeld zu begründen. Hieraus soll sich per se offenbar noch kein Verstoß gegen das Gesetz ergeben, etwa wenn bestimmte Prozesse im ersten Berichtszeitraum noch nicht vollständig abgeschlossen sind oder eine Beantwortung mit einem uneingeschränkten „Ja“ ohne Erläuterung unbillig erscheint. Soweit „Ja“ angegeben wird, ist im Freitext oftmals genauer zu erläutern, wie die Umsetzung erfolgt ist.

Darüber hinaus verlangt der Fragenkatalog teils sehr detaillierte Angaben, etwa zu allen verbundenen Unternehmen, auf die bestimmender Einfluss ausgeübt wird, sowie zur Beschaffungsstruktur im eigenen Geschäftsbereich, den konkreten ermittelten Risiken – jeweils gesondert für den eigenen Geschäftsbereich, unmittelbare Zulieferer sowie mittelbare Zulieferer, soweit diese aufgrund einer anlassbezogenen Risikoanalyse ebenfalls erfasst wurden – , sowie den konkret vorgenommenen Präventions- beziehungsweise Abhilfemaßnahmen einschließlich der hierbei einbezogenen Unternehmensfunktionen. Auch die erforderlichen Angaben zum Beschwerdeverfahren erscheinen umfangreich und spiegeln die Anforderungen wider, die das BAFA an das Beschwerdemanagement stellt.

Umsetzung in Unternehmensgruppen

Zwar erläutert das BAFA in den vorgenannten Veröffentlichungen, dass sämtliche unmittelbare Zulieferer von „bestimmend beeinflussten konzernangehörigen Gesellschaften“ zugleich auch als unmittelbare Zulieferer der Obergesellschaft gelten. Diese sind somit in die Risikoanalyse, die Präventionsmaßnahmen und das Beschwerdemanagement vollständig einzubeziehen. Darüber hinaus wird klargestellt, dass jede konzernangehörige Gesellschaft im Anwendungsbereich des Gesetzes trotz etwaiger Zurechnung an eine Obergesellschaft auch selbst voll umfänglich und eigenständig verpflichtet und selbst berichtspflichtig bleibt. Die für eine rechtmäßige Umsetzung des Gesetzes in Unternehmensgruppen entscheidende Frage, wie der „bestimmende Einfluss“ zu ermitteln ist, bleibt jedoch weiter offen.

Compliance bleibt Herkulesaufgabe

Trotz der Hilfestellung des BAFA bleibt die Compliance mit dem LkSG für viele Unternehmen weiterhin eine schwer zu lösende Aufgabe. Insbesondere die Risikoanalyse dürfte zahlreiche Unternehmen vor Schwierigkeiten stellen – vor allem in Anbetracht der Kürze der Zeit, die noch zur Vorbereitung bleibt. Unklar ist weiterhin, ob die Risikoanalyse aufgrund ihrer grundlegenden Bedeutung für die weiteren Sorgfaltspflichten, insbesondere die Grundsatzerklärung und die Präventionsmaßnahmen, bereits zu Beginn des ersten Anwendungszeitraums (2023 oder 2024) erfolgen muss. Allerspätestens mit dem Ende des ersten Berichtszeitraumes muss die jährliche Risikoanalyse mindestens einmal vollständig durchgeführt worden sein. Dies erfordert erhebliche Ressourcen und ausreichend Zeit, insbesondere für Unternehmen, die Teil von Unternehmensgruppen mit globaler Arbeitsteilung sind und schnell mehrere zehntausend unmittelbare Zulieferer haben.

Für einen effektive Risikoanalyse ist eine hohe Transparenz in Bezug auf den eigenen Geschäftsbetrieb und die Lieferketten notwendig: Das Unternehmen muss über sämtliche wesentliche Informationen nicht nur seiner eignen Unternehmenszweige, sondern auch der relevanten Lieferanten verfügen, um Risiken überhaupt adäquat ermitteln zu können. Zum anderen ist ein angemessenes und nachvollziehbares System nötig, um Risiken zu quantifizieren. Ebenso müssen Verfahren festgelegt werden, um konkrete Risiken zu ermitteln und zu bewerten – beispielsweise durch risikobasierte und strukturierte Fragebögen und deren automatisierte oder manuelle Auswertung sowie Audits. Es zeichnet sich bereits ab, dass die meisten Unternehmen auf IT-basierte Lösungen setzen müssen, um diesen Herausforderungen effizient begegnen zu können.