Bundestag und Bundesrat haben Ende Juni 2021 das Gesetz über die unternehmerischen Sorgfaltspflichten in der Lieferkette (umgangssprachlich: Lieferkettengesetz) verabschiedet, das damit am 1. Januar 2023 in Kraft tritt. Unmittelbar betroffen sind rund 2.800 Unternehmen in Deutschland.
Mit dem Lieferkettengesetz kommen auf die Geschäftsführung der betroffenen Unternehmen neue und weitreichende Pflichten zu. Eine zentrale Anforderung des Gesetzes ist die Durchführung einer Risikoanalyse und die Implementierung eines angemessenen und wirksamen Risikomanagementsystems mit dem Ziel, menschenrechtliche und umweltbezogene Risiken entlang ihrer Lieferketten zu identifizieren, zu verhindern, zu beenden oder zumindest ihr Ausmaß zu minimieren. Darüber hinaus verpflichtet das Lieferkettengesetz die Unternehmen faktisch zur Einrichtung eines Hinweisgebersystems für die geschützte Meldung von Risiken und Rechtsverletzungen.
Unmittelbar betroffen von der neuen Regelung sind ab dem 1. Januar 2023 alle (auch ausländischen) Unternehmen unabhängig von ihrer Rechtsform mit Sitz oder (Zweig-)Niederlassung in Deutschland, sofern sie 3.000 oder mehr Arbeitnehmer beschäftigen. Bei der Ermittlung der Beschäftigten gilt eine Konzernklausel, wodurch sowohl die im Inland beschäftigten Arbeitnehmer aller konzernangehörigen Gesellschaften als auch die ins Ausland entsandten Arbeitnehmer zu berücksichtigen sind. Ab dem 1. Januar 2024 wird der Schwellenwert auf 1.000 oder mehr Arbeitnehmer abgesenkt.
Mittelbar von den Regelungen betroffen sind darüber hinaus eine Vielzahl mittelständischer Unternehmen, die in die vorgelagerte Lieferkette von Großkunden einbezogen sind und sich daher ebenfalls mit den Regelungen vertraut machen sollten.
Der Umfang der Lieferkette umfasst die unmittelbaren Zulieferer (inklusive Transportleistungen) sowie alle Schritte der eigenen Geschäftstätigkeit im In- und Ausland, wobei auch hier alle Konzerngesellschaften zu berücksichtigen sind. Mittelbare Zulieferer sind nur bei substantiierten Hinweisen auf Pflichtverletzungen einzubeziehen oder bei missbräuchlicher Gestaltung der Lieferkette.
Für die angemessene und kosteneffiziente Umsetzung ist auf die individuellen Gegebenheiten abzustellen: je stärker die Einflussmöglichkeit des Unternehmens auf die Lieferkette, je wahrscheinlicher und schwerer die zu erwartende Verletzung der geschützten Rechtsposition und je größer der Verursachungsbeitrag eines Unternehmens ist, desto größer sind die Erwartungen an die Anstrengungen vom Unternehmen, die Verletzungen zu reduzieren oder zu beenden.
Neue Anforderungen an das Compliance- und Risikomanagement
Zur Umsetzung des Lieferkettengesetzes empfiehlt sich, die Anforderungen in das bestehende Compliance Management System (CMS) zu integrieren und das Risikomanagementsystem (RMS) zu ergänzen um
- die Identifikation (Risikoanalyse),
- die Prävention, sowie
- die Mitigation (Abhilfemaßnahmen)
von Risiken der Verletzung von Menschenrechten oder umweltbezogene Pflichten.
Risikoanalyse
Die Risikoanalyse der Unternehmen umfasst die Analyse, Ermittlung, Bewertung und Priorisierung der menschenrechtlichen und umweltbezogenen Risiken in der gesamten Lieferkette.
Grundsatzerklärung und weitere Präventionsmaßnahmen
Auf Basis der Risikoanalyse sind wirksame Präventionsmaßnahmen festzulegen und in die Geschäftsabläufe zu integrieren, um so die erkannten Risiken zu mitigieren. Zu den Präventionsmaßnahmen gehört die Verabschiedung einer Grundsatzerklärung, die auch eine zu entwickelnde Menschenrechtsstrategie enthält.
Weitere Präventionsmaßnahmen bestehen insbesondere in der Berücksichtigung von menschenrechts- und umweltbezogenen Risiken bei der Auswahl der Lieferanten, in der Schulung und Weiterbildung von Zulieferern oder in der vertraglichen Zusicherung des Zulieferers, menschen- und umweltbezogene Vorgaben in seiner Lieferkette zu adressieren.
Abhilfemaßnahmen
Wenn eine geschützte Rechtsposition oder umweltbezogene Pflicht verletzt wird oder unmittelbar droht, sind unverzüglich Abhilfemaßnahmen einzuleiten, die im eigenen Geschäftsbereich zu einer Beendigung der Verletzung führen. Kann bei einem unmittelbaren Zulieferer die Verletzung nicht in absehbarer Zeit beendet werden, ist ein Konzept mit einem konkreten Zeitplan zur Minimierung der Verletzung zu erstellen und umzusetzen. Ein Abbruch der Geschäftsbeziehung ist nur bei sehr schwerwiegenden Verletzungen gefordert.
Beschwerdeverfahren
Zur Meldung möglicher Verletzungen innerhalb der Lieferkette ist ein Beschwerdeverfahren einzurichten, das öffentlich zugänglich sein und alle Anforderungen die Vertraulichkeit und den Datenschutz gewährleisten muss.
Jährliche sowie anlassbezogene Prüfung
Die Risikoanalyse sowie die darauf aufbauende Überprüfung der Wirksamkeit der Präventions- und Abhilfemaßnahmen sowie des Beschwerdeverfahrens ist jährlich und anlassbezogen zu prüfen. Eine Überprüfung empfiehlt sich daher insbesondere dann, wenn sich aufgrund der Einführung neuer Produkte, neuen Projekten oder Geschäftsfeldern die Risikosituation im Unternehmen und beim unmittelbaren Zulieferer verändert haben könnte.
Dokumentations- und Berichtspflicht
Das Gesetz sieht eine Pflicht zur internen Dokumentation vor. Sie dient dem Nachweis des Unternehmens über die Erfüllung seiner Pflichten und ist sieben Jahre aufzubewahren.
Jährlich ist zudem über die Erfüllung der Sorgfaltspflichten zu berichten. Der Bericht ist auf der Internetseite des Unternehmens zu veröffentlichen und zusätzlich beim Bundesamt für Wirtschaft und Ausfuhrkontrolle einzureichen, das auch mit der Durchsetzung der Sorgfaltspflichten beauftragt wurde.
Überwachung der Einhaltung Sorgfaltspflichten
Für ein wirksames Risikomanagementsystem sind in allen für die Risiken maßgeblichen Geschäftsabläufen Zuständigkeiten zu verankern, insbesondere in der Geschäftsführung, der Compliance-Abteilung und dem Einkauf.
Beiräte und Aufsichtsräte wiederum haben im Rahmen ihrer Kontroll- und Beratungsfunktion die ordnungsgemäße Erfüllung der Anforderungen des Lieferkettengesetz durch die Geschäftsführung zu überwachen und ihr beratend zur Seite zu stehen.
Sanktionen
Bei vorsätzlichen oder fahrlässigen Verstößen gegen das Lieferkettengesetz drohen Bußgelder bis zu 800.000 Euro oder bis zu 2% des weltweiten Konzernumsatzes für Unternehmen mit einem Umsatz über 400 Mio. EUR, ein Ausschluss von öffentlichen Ausschreibungen („Blacklisting“) sowie erhebliche Reputationsrisiken.
Weitergehende Gesetzesinitiative des EU-Parlaments
Das EU-Parlament hat ebenfalls eine Gesetzesinitiative ergriffen, die insbesondere weitere Klimaziele und die Good Governance zum Gegenstand hat, sich auch auf kleine und mittlere Unternehmen erstreckt und einen erweiterten Haftungsrahmen mit Bußgeldern bis zu 10% des weltweiten Konzernumsatzes vorsieht. Mit einem Gesetzesentwurf der EU-Kommission ist im Herbst 2021 zu rechnen.
Bewertung
Angesichts der Betroffenheit der gesamten Lieferkette und der weitreichenden Sanktionen ist eine zügige interne Analyse und Umsetzung zu empfehlen und zwar auch von kleineren Unternehmen, die als Teil der Lieferkette großer Kunden mittelbar betroffen sein werden.
Nikolaus Krenzel
Nikolaus Krenzel ist Wirtschaftsprüfer und Partner bei Ebner Stolz in Köln.
Thorsten Klümper
Thorsten Klümper ist Certified Internal Auditor und Director bei Ebner Stolz in Köln.
