Kennen Sie Ihre Gefährdung – Risikoanalyse nach deutschem Lieferkettenrecht

Deutsch Lieferkettensorgfaltspflichtengesetz (Lieferkettengesetz – LkSG) tritt im Januar 2023 in Kraft. Das Gesetz will die internationale Menschenrechtslage verbessern, indem es Sorgfaltsstandards für die verantwortungsvolle Führung von Lieferketten festlegt. Doch was sind die konkreten Anforderungen an die neuen Sorgfaltspflichten?

Ein zentraler Bestandteil des Risikomanagements im Rahmen des LkSG ist die Verpflichtung zur Bewertung von Menschenrechts- und Umweltrisiken. Nur das Gesetz begründet die allgemeine Pflicht zur Durchführung dieser Risikoanalyse. Kürzlich hat die zuständige Behörde, das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), ein Rundschreiben mit weiteren Anforderungen veröffentlicht. Dieser Blogbeitrag gibt einen Überblick über die Risikoanalyse, bevor wir auf die Vorgaben des BAFA-Prospekts eingehen und analysiert den möglichen weiteren Klärungsbedarf.

Grundvoraussetzungen für die Risikoanalyse

Die Risikoanalyse ist der Ausgangspunkt für alle umfassenden Compliance-Maßnahmen. Erst nach der Bewertung ihres Risikoprofils sind Unternehmen in der Lage, Regeln und Verfahren zu implementieren, um die identifizierten Risiken effektiv zu mindern. Das LkSG verlangt von Unternehmen, sich Kenntnisse über Menschenrechts- und Umweltrisiken nicht nur in ihren Organisationen, sondern auch in der Lieferkette anzueignen. Basierend auf den gesammelten Informationen müssen Unternehmen bestimmte Risiken priorisieren und die bedeutendsten Risiken zuerst angehen. Das LkSG gewährt einen weiten Ermessensspielraum bei der Ausgestaltung und Auswahl von Methoden zur Identifizierung, Bewertung und Priorisierung von Risiken – sofern die gewählte Vorgehensweise angemessen und systematisch ist.

Regelmäßige Risikoanalyse und individuelle Risikoanalyse

Das LkSG unterscheidet zwei Formen der Risikoanalyse: die systematische Risikoanalyse und die Ad-hoc-Risikoanalyse. Gegenstand einer regelmäßigen jährlichen Risikoanalyse sind gemäß Gesetz alle Risiken in der Organisation des Unternehmens selbst und bei seinen direkten Lieferanten. Risiken auf Ebene der indirekten Lieferanten werden dagegen nicht in die regelmäßige Risikoanalyse einbezogen.

Neben der regelmäßigen jährlichen Risikoanalyse verpflichtet der Gesetzgeber Unternehmen zu einer speziellen Risikoanalyse bei indirekten Lieferanten bei nachgewiesener Kenntnis einer Menschenrechts- oder Umweltpflichtverletzung. Hinweise auf einen solchen Verstoß können sich aus verschiedenen Quellen ergeben: Meldungen von Beschwerdekanälen, Informationen in den Medien oder Meldungen der Zivilgesellschaft sowie Diskussionen zwischen Branchenakteuren. Zu beachten ist, dass das BAFA diesbezüglich eine Überschreitung der LkSG-Anforderung empfiehlt. Die Behörde hält eine präventive Überwachung hoch wahrgenommener Risiken für wirksamer als groß angelegte Maßnahmen ergreifen zu müssen, wenn eine Menschenrechtsverletzung unmittelbar bevorsteht oder bereits stattgefunden hat. Der Prospekt schlägt daher vor, relevante Teile der Lieferkette proaktiv in eine regelmäßige jährliche Risikoanalyse einzubeziehen, sobald ein Unternehmen einige der höheren Risiken erkennt.

Darüber hinaus werden alle Risiken entlang der gesamten Lieferkette (d. h. Privatunternehmen, direkte und indirekte Lieferanten) einer besonderen Bewertung unterzogen, falls sich diese Risiken wesentlich ändern oder aufgrund neuer Umstände entstehen. Diese kundenspezifische Risikoanalyse kann auf eine Änderung der Geschäftstätigkeit zurückzuführen sein, beispielsweise durch den Eintritt in ein neues Einkaufsland.

Wie wird eine Risikoanalyse durchgeführt?

Laut BAFA-Veröffentlichung soll die Prüfung in drei Schritten erfolgen:

• Zunächst muss sich das Unternehmen ein allgemeines Verständnis seiner Geschäftstätigkeit und der Zusammenhänge in seiner Lieferkette verschaffen.
• Nach dem Sammeln der oben genannten Informationen muss das Unternehmen eine abstrakte Risikoanalyse durchführen.
• Schließlich muss die Risikoanalyse durch eine spezifische Analyse einschließlich Risikobewertung und Priorisierung ergänzt werden.

Unternehmen sollten sich bemühen, einen Überblick über ihre Beschaffungsprozesse zu erhalten und ihre Lieferketten als Ausgangspunkt für Risikoanalysen transparent zu machen. Eine geeignete Methode kann die Risikokartierung nach Geschäftsbereichen, Standorten, Produkten, Rohstoffen oder Herkunftsländern sein.

Zu diesem Zweck müssen Unternehmen Informationen sammeln über:

• Seine Unternehmensstruktur, einschließlich der Namen, Sektoren und grundlegenden Informationen aller Konzernunternehmen,
• ihre Beschaffungsstruktur, einschließlich Einkaufskategorien, Einkaufsländer, Bestellvolumen und Anzahl direkter Lieferanten für jede Kategorie,
• Art und Umfang ihrer Geschäftstätigkeit.

Im zweiten Schritt werden öffentlich verfügbare Quellen wie Indikatoren, Ratings, UN- oder OECD-Richtlinien und NGO-Berichte herangezogen, um Branchen, Standorte und Lieferanten mit erhöhtem Risikoprofil zu identifizieren.

Basierend auf den Ergebnissen dieser abstrakten Risikobewertung müssen Unternehmen in einem dritten Schritt spezifische Risiken entlang ihrer Lieferketten identifizieren. Als nächstes müssen sie entscheiden, welche Risiken sie zuerst angehen. Die relevanten Kriterien für die Festlegung dieser Prioritäten sind:

• Art und Umfang des Geschäfts,
• Eintrittswahrscheinlichkeit,
• die Schwere des Verstoßes,
• die Fähigkeit, Einfluss zu nehmen,
• Der ursächliche Beitrag des Unternehmens zur Entstehung von Risiken.

Die identifizierten Risiken sollten in einer systematischen Risikobewertung, zB in einer Risikoinventur, dokumentiert werden.

Der Gesetzgeber erkennt an, dass Unternehmen nicht von vornherein eine umfassende Risikoanalyse durchführen können. Der BAFA-Prospekt weist daher auf einen risikobasierten Ansatz hin. Unternehmen können sich zunächst auf eine abstrakte Risikoanalyse verlassen und nur für vorrangige Branchen, Standorte und Lieferbeziehungen eine spezifische Risikoanalyse durchführen. Kennt sich ein Unternehmen bereits mit risikoreichen Branchen oder Lieferanten aus, sollte es seine Datenerhebung zunächst auf die Unternehmens- und Beschaffungsstrukturen dieser Einheiten fokussieren. Unternehmen sind jedoch in der Pflicht, die Transparenz in ihren Lieferketten schrittweise zu verbessern und damit den spezifischen Risikoanalyseprozess auf alle Niederlassungen, Standorte und Direktlieferanten auszudehnen.

Bei der Entwicklung von Präventivmaßnahmen können Unternehmen auf die Ergebnisse regelmäßiger und individueller Risikoanalysen aufbauen und diese abgleichen.

Fragen blieben unbeantwortet

Obwohl der Newsletter eine wertvolle Ressource für Unternehmen ist, bleiben offene Fragen. Unklar ist beispielsweise, ob eine jährliche Risikoanalyse kollektiv für eine Unternehmensgruppe durchgeführt werden kann (ähnliche Fragen beziehen sich auf die in Kürze umzusetzende EU-Whistleblower-Richtlinie, Weitere Informationen finden Sie in unserem Blogbeitrag für Kollegen). In vielen Fällen gibt es innerhalb von Konzernen erhebliche Lieferkettenüberschneidungen.

Angesichts des Ermessensspielraums der Unternehmen in Bezug auf die Risikoanalyse werden sich im Laufe der Zeit detaillierte Best Practices entwickeln. Beispielsweise kann der Zeitpunkt der Risikoanalyse umstritten sein, da in vielen Branchen Aufträge mit langen Vorlaufzeiten vergeben werden. Es bleibt abzuwarten, ob Behörden und Gerichte von Unternehmen eine Risikoanalyse des Lieferanten bei Vertragsabschluss oder erst bei der Erbringung einer Dienstleistung oder eines Produkts erwarten. Ebenso werden sich die Best Practices, die Medienunternehmen und Plattformen überwachen sollten, um Informationen über ihre indirekten Lieferanten zu sammeln, nur allmählich herausbilden.

Der Prospekt wirft auch neue Fragen auf, beispielsweise zur Definition des ursächlichen Beitrags eines Unternehmens zu Risiko- und Sorgfaltspflichtverletzungen. Das LkSG unterscheidet zwischen Risiken und Verletzungen von Menschenrechten oder einer umweltbezogenen Pflicht, während das Merkblatt die Verursachung nur als Ermöglichung oder Erleichterung der Verletzung einer bestimmten Pflicht identifiziert. Es ist jedoch unwahrscheinlich, dass der Prospekt darauf abzielt, kausale Risikobeiträge auszuschließen.

Eine weitere Unklarheit ergibt sich aus dem Vorschlag des BAFA, einige indirekte Lieferanten proaktiv in seine jährliche Risikoanalyse einzubeziehen. Wenn Unternehmen der BAFA-Empfehlung nicht folgen, sondern lediglich der gesetzlichen Verpflichtung zur Durchführung einer Ad-hoc-Risikoanalyse bei Hinweisen auf eine Menschenrechts- oder Umweltpflichtverletzung nachkommen, kann die Behörde versucht sein, ein Ermittlungsverfahren wegen Verstößen einzuleiten. Da das BAFA jedoch gesetzlich nicht ermächtigt ist, seine gesetzlichen Pflichten zu erweitern, dürfen Bußgelder nicht verhängt werden, solange sich die Unternehmen an das LkSG halten.

Zusätzliche Branchendialoge und BAFA-Veröffentlichungen sollen weitere Klärung bringen. Wir werden die Entwicklungen genau beobachten und weiterhin in diesem Blog darüber berichten.