Zusammenarbeit in der Lieferkette

Am 1. Januar 2024 wird der Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes (LkSG) auf Unternehmen mit mehr als 1.000 Mitarbeitern ausgeweitet. Aber auch weit kleinere Unternehmen sind betroffen, da von ihnen Informationen angefordert werden, sie sich in Compliancesystemen registrieren, Fragebögen ausfüllen oder umfangreiche Erklärungen abgeben sollen. Die zuständige Aufsichtsbehörde, das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), hat im August einen umfangreichen Leitfaden zur Zusammenarbeit in der Lieferkette veröffentlicht.
Die wesentlichen Inhalte fassen wir an dieser Stelle für Sie zusammen:
Wichtig zu wissen: Das BAFA betont an mehreren Stellen, dass direkt vom LkSG betroffene Unternehmen allein durch eine pauschale Weitergabe von Pflichten oder pauschale Abfrage von Erklärungen von den Zulieferern unangemessen und unzureichend im Sinne des LkSG handeln. Sollte das BAFA hiervon Kenntnis erlangen, kann dies Anlass für eine Überprüfung des direkt vom LkSG betroffenen Unternehmen sein.

Weitergabe von Verpflichtungen an Lieferanten

Laut Veröffentlichung des BAFA sind folgende Maßnahmen von verpflichteten Unternehmen unangemessen und können ggf. Überprüfungen durch das BAFA nach sich ziehen:
  • Pauschale Verpflichtung von (nicht direkt vom LkSG betroffenen) Zulieferern, die Pflichten des LkSG einzuhalten
  • Pauschale Informationsabfragen von Zulieferern
  • Unterschiedslose Durchführung von Präventionsmaßnahmen
  • Schriftliche Zusicherungen des Zulieferers, dass sämtliche einschlägige menschenrechts- und umweltbezogenen Bestimmungen und Maßnahmen in der Lieferkette eingehalten werden.
  • Pauschale Ermittlungsmaßnahmen ohne Unterscheidung danach wie risikobehaftet der jeweilige Zulieferer ist
  • Maßnahmen eines verpflichteten Unternehmens, die einen Zulieferer in der Umsetzung offenkundig überfordern angesichts seiner Ressourcen, Größe, Branche und Position in der Liefer- und Wertschöpfungskette

Risikoanalyse der eigenen Lieferkette als Kernstück des LkSG

Kernstück des LKSG ist die Analyse der Risiken in den Lieferketten. Verpflichtete Unternehmen müssen eine eigenständige Risikoanalyse durchführen, um sicherzustellen, dass sie ihrer Verantwortung gemäß dem LkSG gerecht werden. Mit dem Einfordern von pauschalen und umfangreichen Selbstauskünften ohne Bezugnahme auf die jeweils konkrete Situation oder das spezifische Risiko eines Zulieferers erfüllen verpflichtete Unternehmen nicht die gesetzlichen Anforderungen.
Relevant sind u.a. eigenständig erhobene und überprüfte Erkenntnisse zu Risiken und Verletzungen entlang der Lieferkette. Unternehmen können dabei auf verschiedene Methoden zur Risikoerfassung zurückgreifen.
Bei der Erarbeitung von Vertragsinhalten oder Inhalten eines Lieferantenkodex hat das verpflichtete Unternehmen die Ergebnisse seiner Risikoanalyse zu berücksichtigen. Dabei sollte es genau prüfen, welche der im LkSG aufgeführten menschenrechtlichen und umweltbezogenen Pflichten für den jeweiligen Zulieferer relevant sind, ggf. auch nur diese einzelnen Risiken und Verletzungen adressieren und dies den Zulieferern entsprechend mitteilen.

Empfehlungen des BAFA für die Zusammenarbeit in der Lieferkette

  • Wer von Zulieferern Daten abfragt, sollte für den Einzelfall begründen, warum und wofür genau diese Daten gebraucht werden.
  • Das verpflichtete Unternehmen muss den Schutz der erbetenen Daten gewährleisten (z.B. über Verschwiegenheitsvereinbarungen).
  • Das verpflichtete Unternehmen sollte seine Ressourcen, Informationen und Tools zur Risikoermittlung auch den nicht direkt durch das LkSG verpflichteten Zulieferern zur Verfügung stellen.
  • Zulieferer sollten bei Informationsanfragen prüfen, welche Daten ihr Vertragspartner wirklich benötigt und ob berechtige Interessen ihrer Herausgabe entgegenstehen.
  • Bei unbegründeten Datenabfragen sollten Zulieferer um eine Begründung bitten und erst Daten mitteilen, wenn die entsprechende Begründung vorliegt.
  • Der Zulieferer sollte auf Vorkehrungen zum Schutz der übermittelten Daten beim verpflichteten Unternehmen achten.
  • Die zurückhaltende Mitarbeit oder zurückhaltende Unterstützung durch Zulieferer bei der Umsetzung von Präventionsmaßnahmen (wie bspw. Unterzeichnung von Code of Conduct und sonstigen Erklärungen) sollte das verpflichtete Unternehmen nicht pauschal zum Anlass nehmen, um die Geschäftsbeziehung zu beenden.
  • Im Idealfall arbeiten vom LkSG verpflichtete Unternehmen mit ihren Zulieferern unter Berücksichtigung der jeweiligen Interessen auf Augenhöhe über einen längeren Zeitraum zusammen. Verpflichtete Unternehmen sollten sich hierbei ihrer Rolle und Einflussmöglichkeiten bewusst sein und beispielsweise bei den Einkaufsprozessen auf eine angemessene Ausgestaltung der Vertragsbedingungen, etwa bei der Preisgestaltung und Festlegung der Lieferzeiten, setzen.
  • Zulieferer sollten genau nachfragen, für welchen Zweck ihre Abnehmer welche Daten benötigen, um eine fundierte Entscheidung zu treffen, wie weit sie ihren Abnehmern Einblick in die eigenen Liefer- und Wertschöpfungsketten geben können. Auch sollten sie darauf achten, sensible Informationen zu schwärzen und sich vertraglich die Nutzung der Informationen nur zu bestimmten Zwecken sowie die Verschwiegenheit durch Verschwiegenheitsvereinbarungen (Non Disclosure Agreements - NDAs) zusichern zu lassen. Möglicherweise können auch langfristige Vertragsbeziehungen bei Zulieferern die Sorge dämpfen, von verpflichteten Unternehmen mit Hilfe von in der Risikoanalyse gewonnenen Informationen zukünftig in der Lieferkette übergangen zu werden.
  • Die verpflichteten Unternehmen sollte auf eine angemessene Teilung der entstehenden Mehrkosten achten, ggf. auch durch eine Erhöhung der Preise.
Wichtig zu wissen: Unternehmen müssen im Rahmen der vom LkSG statuierten Bemühenspflicht nicht garantieren, dass ihre Lieferketten frei von Risiken für und Verletzungen von Menschenrechten oder Beeinträchtigungen der Umwelt sind. Sie müssen vielmehr nachweisen können, dass sie die in den §§ 4 bis 10 LkSG näher beschriebenen Sorgfaltspflichten umgesetzt haben. Soweit verpflichtete Unternehmen den Sorgfaltspflichten des LkSG in wirksamer und angemessener Weise nachkommen, können sie daher nicht belangt werden. (Seite 6/7 der Handreichung)

Welche Informationen können im Rahmen der Risikoanalyse relevant werden bzw. voraussichtlich von Zulieferern erfragt werden:

Nicht-verpflichtete Unternehmen können sich darauf einstellen, dass verpflichtete Unternehmen für ihre Risikoanalyse einen gewissen Aufwand betreiben und in Erfahrung bringen müssen, welche Rohstoffe, Produkte und Dienstleistungen besonders risikobehaftet sind. Neben der Produktion werden also auch die Beschaffung und Verarbeitung von Rohstoffen und Halberzeugnissen, ihr Transport sowie die Entsorgung von Rohstoffen und Erzeugnissen aus dem Produktionsprozess für die Analyse eine zentrale Rolle spielen. In Bezug auf die Identifikation mancher Risiken und Verletzungen ist zudem ein technisches Verständnis des Produktionsprozesses erforderlich.
Folgende Informationen benötigen Unternehmen u.a. für die Risikoanalyse:
  • Informationen über festgestellte Risiken und Verletzungen
  • bei Feststellung von Risiken oder Verletzungen:
    • Informationen über Land oder Region, Stufe der Wertschöpfungskette
    • wirtschaftliche Tätigkeit im Zusammenhang mit dem Risiko oder der Verletzung
    • Anzahl betroffener Personen, Größe des betroffenen Bereichs der Umwelt
    • Ursachen für das Risiko bzw. die Verletzung
    • ggf. bereits ergriffene Präventions- oder Abhilfemaßnahmen
  • Informationen, ob der Zulieferer eine eigene Risikoanalyse durchführt und ggf. die Methode
  • Informationen über für das Produkt oder die Dienstleistung verwendete Rohstoffe, Halberzeugnisse und Dienstleistungen: Aus welchen Ländern stammen sie? Wie werden die Rohstoffe gewonnen und die Halberzeugnisse und Produkte hergestellt? (für alle Stufen der Lieferkette)
  • Audit- oder Zertifizierungsunterlagen über Betriebsstätten des Zulieferers, sofern vorhanden (hier möglicherweise Verschwiegenheitsvereinbarung)
  • Audit- oder Zertifizierungsunterlagen über Betriebsstätten von Vorlieferanten, sofern vorhanden (hier möglicherweise Verschwiegenheitsvereinbarung und Schwärzen bestimmter Informationen)
Wichtig zu wissen: Was Unternehmen außerhalb des Geltungsbereich des LkSG nicht leisten müssen: Die von dem Gesetz verpflichteten Unternehmen stehen in der eigenen Verantwortung, die Sorgfaltspflichten im eigenen Geschäftsbereich sowie im Hinblick auf unmittelbare und mittelbare Zulieferer zu erfüllen. Die Pflichten aus dem LkSG können nicht an die Zulieferer weitergegeben werden. Unternehmen, die nicht in den direkten Anwendungsbereich des LkSG fallen, sind daher nicht dazu verpflichtet, die vorgeschriebenen Prozesse zur Erfüllung der Sorgfaltspflichten (also bspw. Einrichtung eines Risikomanagementsystems, eines Beschwerdeverfahrens, Einrichtung eines Menschenrechtsbeauftragten, etc…) einzuführen. Dementsprechend haben sie bei Nichterfüllung der Sorgfaltspflichten des LkSG auch nicht mit Zwangsmaßnahmen oder Bußgeldern durch das BAFA zu rechnen. (Seite 10 der Handreichung)
Für Zulieferer: Umgang mit vorgelegten Vereinbarungen
Fordern verpflichtete Unternehmen ihre Zulieferer auf, Vereinbarungen zu unterzeichnen, sollten letztere genau prüfen, was verlangt wird, ob dies geleistet werden kann und ob die Vereinbarung ausgewogen ist. Grundsätzlich sollte ein Zulieferer Vorsicht walten lassen, wenn er vertraglich Umstände zusichern soll, über die er keine Kenntnisse oder auf die er kein Einflussvermögen hat. Während Zulieferern in der Regel die Situation im eigenen Geschäftsbereich bekannt ist, liegen ihnen möglicherweise nur wenig Informationen über die Situation bei Vorlieferanten oder in der tieferen Lieferkette vor.
Die Zusicherung der Einhaltung bestimmter Standards könnte ggf. zu vertraglichen Ansprüchen führen.
Unternehmen sollten besonders vorsichtig sein, wenn sie für bestimmte Umstände haften sollen. Das LkSG etabliert keine eigenständigen Haftungsnormen zwischen Vertragspartnern entlang der Lieferkette. Eine zivilrechtliche Haftung im Zuliefererverhältnis ist aber generell auch für fehlerhafte bzw. nicht eingehaltene Zusicherungen denkbar. Daher sollten die Vertragsparteien genau prüfen, zu welchen Maßnahmen und insbesondere Erfolgen sie im Rahmen LkSG-initiierter Vertragsergänzungen verpflichtet werden sollen. Zulieferer sollten ggf. auch individuellen rechtlichen Rat einholen.

Vorgehen bei der Risikoanalyse

1. Schritt: Abstrakte Risikobetrachtung

Zunächst ist es sinnvoll, sowohl branchen-, länder- als auch produktspezifische Informationen zu sammeln und in eine abstrakte Risikobetrachtung einfließen zu lassen. Dieser Schritt erfolgt beispielsweise mittels Desktop-Recherche (z.B. durch Heranziehung von Indizes, NGO-Berichten, UN-Berichten, Agenturmeldungen, usw.). Es gibt verschiedene Tools und Softwarelösungen auf die Unternehmen zurückgreifen können, um ihre Risiken zu analysieren und somit mehr Transparenz über ihre Lieferketten zu erhalten. Dabei ist jedoch zu beachten, dass die Anwendung solcher Tools allein Unternehmen nicht von der eigenen Sorgfaltspflicht befreien kann.

2. Schritt: Konkrete Risikobetrachtung

In einem nächsten Schritt sollte geprüft werden, inwiefern ein abstraktes Risiko auch tatsächlich bei Zulieferern auftritt (konkrete Risikobetrachtung). Für diesen Schritt können Unternehmen das interne und externe Wissen aus verschiedenen Abteilungen einbinden und Annahmen anhand von Erfahrungswerten, Audits/Zertifizierungen, Erkenntnissen aus Multistakeholder- und Brancheninitiativen oder -dialogen mit potenziell vom wirtschaftlichen Handeln in der Lieferketten Betroffenen und ihren Vertretungen plausibilisieren. Hierbei können Unternehmen bspw. auf Lieferantenselbstauskünfte, Fragebögen oder Vor-Ort-Besuche zurückgreifen. Verpflichtete Unternehmen sollten prüfen, welche Informationen sie tatsächlich von ihren Zulieferern für die Durchführung einer angemessenen Risikoanalyse benötigen. Ebenso lohnt sich diese Prüfung auf Seiten der Zulieferer. In vielen Fällen fragen verpflichtete Unternehmen sehr umfangreich Informationen bei ihren Zulieferern ab. Nicht immer sind all diese Informationen für eine angemessene Risikoanalyse erforderlich. Vor dem Hintergrund der Angemessenheitskriterien dürften in vielen Fällen zum Beispiel die Fragen nach Kinderarbeit, den schlimmsten Formen der Kinderarbeit oder Zwangsarbeit bei einem Zulieferer in Deutschland je nach Branche unbegründet sein.

3. Schritt: Ermittlung eines Risikoprofils

Um überzogene Forderungen an nicht-verpflichtete Zulieferer im Rahmen der Risikoanalyse zu vermeiden, sollten verpflichtete Unternehmen in einer abstrakten Risikobetrachtung zunächst das Risikoprofil der unmittelbaren Zulieferer und ggf. deren Vorlieferanten ermitteln. Auf Grundlage dieser Erkenntnisse sollte es weitere angemessene Maßnahmen treffen. So kann es beispielsweise bereits unangemessen sein, risikoarme Zulieferer genauso detailliert einzubeziehen, wie stark risikogeneigte. Dies gilt auch bei der Einbeziehung von unmittelbaren Zulieferern der Tochtergesellschaften, die dem eigenen Geschäftsbereich des verpflichteten Unternehmens zuzuordnen sind.

Die Rolle von Audits und Standards

Audits können genutzt werden, um tatsächliche Risiken und Verletzungen bei Zulieferern zu identifizieren. Zudem können sie als Kontrollmaßnahmen dienen, etwa um zu prüfen, ob Präventions- oder Abhilfemaßnahmen zu dem gewünschten Erfolg führen. Sie können jedoch nur ein Indiz für die Erfüllung der Erwartungen sein und auch nur dann, wenn das betreffende Audit bestimmte Voraussetzungen erfüllt, u. a. unabhängig und transparent ist. Das LKSG sieht keine Privilegierung bestimmter Standards vor. Zudem legt das Gesetz nicht im Einzelnen fest, welche Nachweise im konkreten Fall von einem Zulieferer zu erbringen bzw. zu vereinbaren sind. Standards können dennoch ein wichtiges Hilfsinstrument sein, um verpflichtete Unternehmen dabei zu unterstützen, den Sorgfaltspflichten entlang ihrer Lieferketten gerecht zu werden. Sie entbinden die Unternehmen jedoch nicht pauschal von der Erfüllung ihrer Sorgfaltspflichten. Soweit Standards die gesetzlichen Sorgfaltsanforderungen berücksichtigen, können sie im Rahmen der behördlichen Prüfung als Anhaltspunkte für einen Beitrag zur Erfüllung der Sorgfaltspflichten dienen. Unternehmen sollten jedoch die Limitationen von Standards kennen und prüfen, ob und inwiefern die ausgewählten Standards wirksam und für ihre Zwecke geeignet sind. Standards verfolgen zudem unterschiedliche Ansätze und stellen nicht immer Anforderungen an die Einrichtung eines robusten Managementsystems. Qualität und Glaubwürdigkeit eines Standards hängen auch stark davon ab, welche Stakeholder (z.B. aus der Zivilgesellschaft) in die Entwicklung eines Standards einbezogen wurden und wie die Anforderungen in der Praxis überprüft werden. In Ländern mit schwacher Governance kann beispielsweise eine erhöhte Anfälligkeit für Korruption zur Folge haben, dass durch Bestechung versucht wird, die Ergebnisse bei der Überprüfung der Einhaltung der Standards zu beeinflussen.
So sollten Unternehmen und Zulieferer mit sensiblen Informationen umgehen
  • Prüfung, welche Informationen benötigt werden
  • Schwärzen bestimmter Informationen,
    • die für die Zwecke der Abfrage nicht benötigt werden,
    • an deren Schutz ein rechtliches Interesse besteht (Geschäftsgeheimnisse),
    • deren Herausgabe Verschwiegenheitserklärungen gegenüber Vorlieferanten entgegenstehen,
    • die nach vorrangig anwendbarem Recht (einschließlich Datenschutzrecht) nicht herausgegeben werden dürfen
  • Schutz sensibler Informationen durch Verschwiegenheitsvereinbarung:
    • keine Weitergabe von Informationen
    • Nutzung nur zu bestimmten Zwecken
    • Kommunikation nur an bestimmte Stellen

Wie sollten nicht-verpflichtete Zulieferer mit ihren eigenen Lieferketten umgehen:

Auch mit Teilschritten können sich nicht-verpflichtete Zulieferer oftmals auf Anforderungen durch verpflichtete Unternehmen vorbereiten. So kann es etwa zweckdienlich sein, eine Risikoanalyse zumindest für Teile der Lieferkette durchzuführen, um auf Anfragen eines verpflichteten Abnehmers vorbereitet zu sein oder bei ermittelten Risiken Präventionsmaßnahmen umzusetzen.
Nicht-verpflichtete Zulieferer könnten sich bei der Risikoanalyse primär auf einen hochrisikobehafteten Teil der Lieferkette fokussieren und dort ihre Bemühungen vertiefen. Die Schwerpunktsetzung kann sich aus einer eigenen Analyse der negativen Auswirkungen auf Menschenrechte und Umwelt ergeben oder auch extern angestoßen werden.