Vorgehen bei der Risikoanalyse

Mit dem Einfordern von pauschalen und umfangreichen Selbstauskünften ohne Bezugnahme auf die jeweils konkrete Situation oder das spezifische Risiko eines Zulieferers erfüllen verpflichtete Unternehmen nicht die gesetzlichen Anforderungen. Relevant sind u.a. eigenständig erhobene und überprüfte Erkenntnisse zu Risiken und Verletzungen entlang der Lieferkette. Unternehmen können dabei auf verschiedene Methoden zur Risikoerfassung zurückgreifen.

Bei der Erarbeitung von Vertragsinhalten oder Inhalten eines Lieferantenkodex hat das verpflichtete Unternehmen die Ergebnisse seiner Risikoanalyse zu berücksichtigen. Dabei sollte es genau prüfen, welche der im LkSG aufgeführten menschenrechtlichen und umweltbezogenen Pflichten für den jeweiligen Zulieferer relevant sind, ggf. auch nur diese einzelnen Risiken und Verletzungen adressieren und dies den Zulieferern entsprechend mitteilen.

Zunächst ist es sinnvoll, sowohl branchen-, länder- als auch produktspezifische Informationen zu sammeln und in eine abstrakte Risikobetrachtung einfließen zu lassen. Dieser Schritt erfolgt beispielsweise mittels Desktop-Recherche (z.B. durch Heranziehung von Indizes, NGO-Berichten, UN-Berichten, Agenturmeldungen, usw.). Es gibt verschiedene Tools und Softwarelösungen auf die Unternehmen zurückgreifen können, um ihre Risiken zu analysieren und somit mehr Transparenz über ihre Lieferketten zu erhalten. Dabei ist jedoch zu beachten, dass die Anwendung solcher Tools allein Unternehmen nicht von der eigenen Sorgfaltspflicht befreien kann.

In einem nächsten Schritt sollte geprüft werden, inwiefern ein abstraktes Risiko auch tatsächlich bei Zulieferern auftritt (konkrete Risikobetrachtung). Für diesen Schritt können Unternehmen das interne und externe Wissen aus verschiedenen Abteilungen einbinden und Annahmen anhand von Erfahrungswerten, Audits/Zertifizierungen, Erkenntnissen aus Multistakeholder- und Brancheninitiativen oder -dialogen mit potenziell vom wirtschaftlichen Handeln in der Lieferketten Betroffenen und ihren Vertretungen plausibilisieren. Hierbei können Unternehmen bspw. auf Lieferantenselbstauskünfte, Fragebögen oder Vor-Ort-Besuche zurückgreifen.

Verpflichtete Unternehmen sollten prüfen, welche Informationen sie tatsächlich von ihren Zulieferern für die Durchführung einer angemessenen Risikoanalyse benötigen. Ebenso lohnt sich diese Prüfung auf Seiten der Zulieferer. In vielen Fällen fragen verpflichtete Unternehmen sehr umfangreich Informationen bei ihren Zulieferern ab. Nicht immer sind all diese Informationen für eine angemessene Risikoanalyse erforderlich. Vor dem Hintergrund der Angemessenheitskriterien dürften in vielen Fällen zum Beispiel die Fragen nach Kinderarbeit, den schlimmsten Formen der Kinderarbeit oder Zwangsarbeit bei einem Zulieferer in Deutschland je nach Branche unbegründet sein.

Um überzogene Forderungen an nicht-verpflichtete Zulieferer im Rahmen der Risikoanalyse zu vermeiden, sollten verpflichtete Unternehmen in einer abstrakten Risikobetrachtung zunächst das Risikoprofil der unmittelbaren Zulieferer und ggf. deren Vorlieferanten ermitteln. Auf Grundlage dieser Erkenntnisse sollte es weitere angemessene Maßnahmen treffen. So kann es beispielsweise bereits unangemessen sein, risikoarme Zulieferer genauso detailliert einzubeziehen, wie stark risikogeneigte. Dies gilt auch bei der Einbeziehung von unmittelbaren Zulieferern der Tochtergesellschaften, die dem eigenen Geschäftsbereich des verpflichteten Unternehmens zuzuordnen sind.