Im vergangenen Sommer verabschiedete der Gesetzgeber das Lieferkettensorgfaltspflichtengesetz (LkSG). Ab Januar 2023, spätestens ab Januar 2024 wird das Gesetz zahlreiche – auch mittelständische – Unternehmen in Deutschland betreffen. Compliance-Officer und Unternehmensjuristen sind derzeit damit beschäftigt, sich mit den Anforderungen des Gesetzes vertraut zu machen und die unternehmensinternen Strukturen und Prozesse auf möglichen Änderungsbedarf hin zu überprüfen. Denn die vermeintliche „Ruhe vor dem Sturm“ ist trügerisch – auch wenn noch rund ein halbes Jahr verbleibt, bis das LkSG greift. Schließlich muss bis dahin nicht nur die initiale Risikobewertung erfolgt, sondern es müssen auch alle anderen Maßnahmen, die aus ihr folgen, umgesetzt sein. Dies bedarf einer gründlichen Planung und Vorbereitung. Der zeitliche Aufwand hierfür sollte daher nicht unterschätzt werden. Das gilt umso mehr, als die Gesetzeslage fluid bleiben wird.
Für die meisten Unternehmen steht derzeit die Bewertung ihrer Lieferkette im Vordergrund. Doch: Wie geht das?
Risikoanalyse in der Lieferkette – was kommt auf die Unternehmen zu?
Das LkSG macht hier einige Vorgaben: Es verlangt die Durchführung regelmäßiger Risikoanalysen (mindestens einmal im Jahr), um die menschenrechts- und umweltbezogenen Risiken (1) im eigenen Geschäftsbereich sowie (2) bei den unmittelbaren Zulieferern zu ermitteln. Der eigene Geschäftsbereich umfasst dabei sämtliche (Produktions-)Standorte eines Unternehmens im In- oder Ausland.
Die regelmäßige Risikoanalyse erstreckt sich zudem auf die unmittelbaren Zulieferer, also die Vertragspartner des Unternehmens, die Waren liefern oder Dienstleistungen erbringen, die wiederum für die Herstellung der Produkte oder die Erbringung von Dienstleistungen durch das Unternehmen selbst notwendig sind. Mittelbare Zulieferer, also Unternehmen, zu denen keine Vertragsbeziehung besteht, müssen in die regelmäßig durchzuführende Risikoanalyse jedoch nicht einbezogen werden.
Tochtergesellschaften innerhalb von Unternehmensgruppen zählen hingegen zum eigenen Geschäftsbereich, sofern die Muttergesellschaft einen bestimmenden Einfluss auf sie ausübt (Indikatoren können sein: Mehrheitsbeteiligung, konzernweites CMS oder personelle Verflechtungen der Führungsebenen). Ist dies der Fall, sind sie in die „Regelanalyse“ der Muttergesellschaft einzubeziehen. Hier kommt man um eine ehrliche Betrachtung des beherrschenden Einflusses auf seine Tochtergesellschaften nicht herum. Eine Mehrheitsbeteiligung etwa kann ein Indiz sein, ist es aber nicht zwingend.
Bei Durchführung der Risikoanalyse steht den Unternehmen ein gewisser Handlungsspielraum offen. Hinsichtlich des Umfangs und der Tiefe der Risikoanalyse werden an mittelständische Unternehmen daher richtigerweise andere Anforderungen zu stellen sein als an DAX-30-Unternehmen. Im Rahmen der Risikobewertung sind allerdings zwingend bestimmte Vorgaben des LkSG zu beachten. Dieses verlangt eine angemessene Gewichtung und Priorisierung der festgestellten menschenrechtlichen und umweltbezogenen Risiken. Dankenswerterweise liefert der Gesetzgeber zugleich die Kriterien, die für die Gewichtung und Priorisierung dieser Risiken maßgeblich sein sollen, namentlich Art und Umfang der Geschäftstätigkeit des Unternehmens, das Einflussvermögen des Unternehmens auf den unmittelbaren Verursacher, die typischerweise zu erwartende Schwere der Verletzung, die Umkehrbarkeit der Verletzung, die Wahrscheinlichkeit des Verletzungseintritts sowie die Art des Beitrags zur Verursachung des menschenrechts- oder umweltbezogenen Risikos.
Neben dieser „Regelanalyse“ haben Unternehmen anlassbezogen eine Risikoanalyse durchzuführen, wenn mit einer wesentlich veränderten oder erweiterten Risikolage in der Lieferkette zu rechnen ist. Dies kann beispielsweise der Fall sein, wenn das Unternehmen neue Produkte einführt (über den Umstand, dass Produktentwicklungen die Pflicht zur Durchführung einer anlassbezogenen Risikoanalyse auslösen können, sollte auch die F&E-Abteilung informiert werden, um sicherzustellen, dass die LkSG-Thematik frühzeitig erkannt und Verzögerungen im weiteren Verlauf der Entwicklung vermieden werden), weitere Geschäftsfelder erschließt, neue Geschäftsbeziehungen eingeht oder einen Hinweis auf Missstände in der Lieferkette erhält. Veränderungen des Geschäftsumfelds, etwa infolge eines politischen Umbruchs, können ebenfalls Anlass zu einer Risikoanalyse geben. Anders als im Rahmen von „Regelanalysen“ sind gegebenenfalls auch mittelbare Zulieferer in die anlassbezogene Risikoanalyse einzubeziehen. Liegen dem Unternehmen nämlich tatsächliche Anhaltspunkte vor, die die Verletzung einer menschenrechts- oder umweltbezogenen Pflicht beim mittelbaren Zulieferer möglich erscheinen lassen, verlangt das LkSG die „unverzüglich[e]“ Durchführung einer Risikoanalyse.
Dokumentation und Kommunikation
Die Ergebnisse einer Risikoanalyse werden typischerweise in Gestalt eines Abschlussberichts dokumentiert. Auch das LkSG verlangt, dass Unternehmen die durchgeführten Risikoanalysen dokumentieren und mindestens sieben Jahre lang aufbewahren. Die Ergebnisse der Risikoanalyse sind zudem intern an die maßgeblichen Entscheidungsträger (insbesondere Geschäftsleitung, Einkauf, CSR- und Rechtsabteilung) und extern zu kommunizieren. Verlangt wird, dass Unternehmen jährlich einen Bericht über die Erfüllung der Sorgfaltspflichten – hierzu zählt auch die Durchführung von Risikoanalysen – erstellen und spätestens vier Monate nach dem Schluss des Geschäftsjahres auf der Unternehmenshomepage öffentlich (und kostenfrei) zugänglich machen.
Wie fügt sich das in die Complianceorganisation ein?
Zentrale Weichenstellungen: Wichtig ist zum einen die Erkenntnis, dass es keiner parallelen Risikoanalyse nach dem LkSG bedarf, sondern nur der Risikobereich „menschenrechts- und umweltbezogene Risiken in der Lieferkette“ in die Compliance-Risikoanalyse aufgenommen wird. Das Rad muss also nicht neu erfunden, sondern – bildlich gesprochen – um eine weitere „Speiche“ ergänzt werden, nämlich menschenrechts- und umweltbezogene Risiken in der Lieferkette. Zudem sind die Vorgaben des LkSG zur Risikobewertung sowie zur Kommunikation und Dokumentation der Risikoanalyse zu beachten. Mit einer guten Vorbereitung lässt sich der Aufwand recht gering halten.
Zum anderen ist auch die Risikoanalyse nach dem LkSG projektbasiert und systematisch anzugehen, um zufällige Ergebnisse und lückenhafte Bewertungen zu vermeiden. Der Projektablauf kann wie folgt gestaltet sein:
- In einem ersten Schritt sind die Stakeholder, das Projektteam und der Scope der Analyse zu bestimmen. Im Projektteam sollte neben dem Bereich Compliance auch der Einkauf vertreten sein (falls vorhanden auch der ESG/CSR-Verantwortliche). Die Geschäftsleitung wird bereits zu Beginn des Projekts informatorisch einbezogen.
- Im zweiten Schritt werden die relevanten Lieferanten bestimmt. Dies sind nur solche, die am Produkt selbst beteiligt sind (nicht also beispielsweise die Kantine oder das Reinigungsunternehmen). Sodann können und sollten die Lieferanten in unterschiedlich priorisierte Gruppen eingeteilt werden. Es bietet sich an, die Lieferanten in drei Gruppen einzuteilen: hohes, normales und verringertes Risiko. Die Priorisierung der Lieferanten erfolgt dabei anhand von länder-, material- und lieferantenbezogenen Indikatoren. Hierfür bietet es sich an, Online-Tools zu nutzen, etwa CSR-Risk Check. Falls nötig, werden weitere Informationen zu den Lieferanten eingeholt (zum Beispiel mittels eines Lieferantenfragebogens).
- Im nächsten Schritt werden die im Unternehmen bereits bestehenden Maßnahmen zur Behandlung von Risiken in der Lieferkette berücksichtigt. Aus der Gesamtschau kann dann eine Risikobewertung der Lieferanten erfolgen. Gegebenenfalls sind vorhandene Risikostrategien anzupassen und neue Maßnahmen (zum Beispiel Vertragsklauseln, Lieferantenkodex, Schulungen etc.) abzuleiten.
Fazit
Die Durchführung von Risikoanalysen – auch nach dem LkSG – ist kein Hexenwerk. Auf eine gründliche Vorbereitung und Planung kann und sollte aber nicht verzichtet werden. Unternehmen, die bereits Anfang 2023 in den Kreis der Adressaten des LkSG fallen, sollten hiermit (spätestens) jetzt beginnen. Denn die Risikoanalyse bildet den Grundstein des lieferkettenbezogenen CMS und die Ergebnisse der Risikoanalyse die Basis für die gegebenenfalls zu ergreifenden Präventions- und Abhilfemaßnahmen.