News

Die Risikoanalyse nach LkSG (Teil 1)

LkSG Compliance

Am 18. August 2022 hat das Bundesamt für Wirtschaft und Ausfuhrkontrolle („BAFA“) – als die mit der Durchsetzung des LkSG betraute Behörde - seine lange erwartete „Handreichung zur Umsetzung einer Risikoanalyse nach den Vorgaben des Lieferkettensorgfaltspflichtengesetz“ („Handreichung“) veröffentlicht. Die Handreichung soll Unternehmen „eine Hilfestellung zur Umsetzung“ der Anforderungen an die Risikoanalyse als dem Herzstück des Risikomanagements nach LkSG bieten.

Bei nicht ordnungsgemäßer Umsetzung drohen empfindliche Bußgelder. Die Handreichung bestätigt die bisherige Annahme, dass das BAFA an die Umsetzung der Risikoanalyse einen strengen, weil weiten Maßstab anlegen wird. Für Unternehmen bedeutet dies, die Bestätigung sowie Klarheit hinsichtlich des signifikanten Aufwands, der für eine LkSG-konforme Risikoanalyse erforderlich ist. Im Folgenden gehen wir insbesondere auf den ersten Schritt der regelmäßigen Risikoanalyse, die abstrakte Risikobetrachtung, unter Berücksichtigung der BAFA Handreichung, ein.

Bedeutung der Risikoanalyse

Zum 1. Januar 2023 tritt das Lieferkettensorgfaltspflichtengesetz (LkSG) in Kraft. Danach werden zunächst die verpflichteten Unternehmen ab 3.000 Mitarbeitern in Deutschland zur Einhaltung von recht weitreichenden Sorgfaltspflichten entlang ihrer globalen Lieferketten verpflichtet. Zum 1. Januar 2024 wird sich diese Verpflichtung dann auch alle Unternehmen ab 1.000 Mitarbeitern in Deutschland erstrecken.

Die Risikoanalyse ist das Herzstück des LkSG und stellt Unternehmen zugleich bei der Umsetzung der Sorgfaltspflichten nach LkSG vor die größte Herausforderung. Diese umfasst die Analyse der Auswirkungen der eigenen unternehmerischen Tätigkeit sowohl im eigenen Geschäftsbereich als auch in der Lieferkette mit Blick auf menschenrechtliche und umweltbezogene Risiken. Die Risikoanalyse ist zugleich Ausgangspunkt und Grundlage für das nach dem LkSG verpflichtend zu implementierende Risikomanagement und hiermit verbundene Maßnahmen nach LkSG, d.h. insbesondere für die Implementierung wirksamer Präventions- und Abhilfemaßnahmen (§ 6, § 7 LkSG). Diese müssen auf die Ergebnisse der Risikoanalyse abgestimmt sein. Eine nicht ordnungsgemäße Umsetzung der Anforderungen an die Risikoanalyse kann mit hohen Bußgeldern belegt werden. Zudem birgt dies das Risiko, dass sich die Non-Compliance bei der Risikoanalyse auch auf die weiteren, bußgeldbewährten Sorgfaltspflichten des LkSG erstreckt.

Umfang der zu prüfenden Risiken

Die reguläre Risikoanalyse erfordert die Identifizierung menschenrechtlicher und umweltbezogener Risiken im eigenen Geschäftsbereich sowie bei unmittelbaren Zulieferer. Hierbei sind sämtliche in § 2 LkSG aufgeführten menschenrechtlichen und umweltrechtlichen Risiken in die Prüfung zu einzubeziehen.

Grundsätzlich erfordert das Gesetz die Durchführung einer Risikoanalyse in der Lieferkette nur für unmittelbare Zulieferer i.S.d. § 2 Abs. 7 LkSG, also solchen mit denen eine Vertragsbeziehung besteht. Bei mittelbaren Zulieferern soll eine Risikoanalyse nur dann erforderlich sein, wenn

  • „substantiierte Kenntnis“ einer möglichen Verletzung einer menschenrechtlichen- oder umweltbezogenen Pflicht vorliegt (z.B. durch einen Whistleblowing Report); oder
  • eine wesentliche veränderte Risikolage auftritt, die eine anlassbezogene Risikoanalyse in der gesamten Lieferkette mit Bezug auf das auslösende Ereignis erforderlich macht (z.B. die Einführung eines neuen Geschäftsfeldes).

Ob sich in der Praxis eine Eingrenzung des Prüfungsumfangs durchsetzen wird, ist noch nicht absehbar. In dem kürzlich veröffentlichten Gutachten des Wissenschaftlichen Beirats beim Bundesministerium für Wirtschaft und Klimaschutz, wird für eine solche ex-ante Eingrenzung des Prüfungsumfangs durch die Einführung sog. Positivlisten plädiert. Diese Listen würden „sichere Herkunftsländer“ feststellen, in welchen eine Prüfung von ansässigen Unternehmen bzw. Zulieferern entfallen könnte. Unternehmen müssten dann lediglich dokumentieren, dass der jeweilige Zulieferer in einem solchen „sicheren Herkunftsland“ ansässig ist. Gegen ein solches Ansinnen gibt es jedoch auch deutlichen Widerstand.

Auch die nun veröffentlichte Handreichung des BAFA deutet in eine andere Richtung: Eine Ermittlung von Risiken allein auf abstrakter Basis soll nicht genügen. Vielmehr empfiehlt das BAFA in seiner Handreichung den Unternehmen, die reguläre Risikoanalyse proaktiv auf mittelbare Zulieferer und die „tiefere Lieferkette“ zu erweitern, wenn Anhaltspunkte für menschenrechtliche und umweltbezogene Risiken vorliegen.

Abstrakte Betrachtung von Risiken: Risikomapping

Um eine Identifizierung von Risiken zu ermöglichen müssen Unternehmen in einem ersten Schritt einen Überblick über die eigenen Beschaffungsprozesse, Strukturen unmittelbarer Zulieferer sowie über wichtige Personengruppen, die von der Geschäftstätigkeit des Unternehmens betroffen sein können, erlangen. Die „Anatomie“ der Geschäftsprozesse und Lieferketten ist nachzuvollziehen, um festzustellen, in welchen Bereichen und in welcher Tiefe die Risikoanalyse angestoßen werden muss.

Auf dieser Grundlage sollte dann ein sog. Risikomapping durchgeführt werden. Einzelne Risikokategorien und -faktoren werden hierfür für die einzelnen Geschäftsbereiche und Zulieferer geprüft und bestimmt. Nach der Handreichung des BAFA sollten hier vor allem länderspezifische sowie branchen- bzw. produktspezifische Risiken „gemapped“ werden.

  • Mapping nach Länderrisiken 
    Für die Bestimmung des Länderrisikos können Unternehmen ohne größeren Aufwand auf vorhandene Indices und Leitfäden zurückgreifen. Eine Vielzahl dieser Quellen sind inzwischen öffentlich zugänglich. Lediglich beispielhaft und ohne Wertung seien hier genannt der „freedomhouse index“, der „global rights index“ sowie der „worldjusticereport index“. Auch die Handreichung des BAFA enthält in ihrem Anhang II Hinweise auf weitere Umsetzungshilfen. Bei der Auswahl sollten Unternehmen sorgfältig prüfen, auf welcher Informationsgrundlage die Analyse des jeweiligen Länderrisikos erfolgt und diese Prüfung dokumentieren. Auch können Interessenvertreter, NGO´s und Dienstleister hinsichtlich der Risikolage in bestimmten Hoch-Risikoländern und Regionen eingebunden werden. Ausweislich der Gesetzesbegründung zum LkSG sind kontextabhängige Faktoren, wie die politischen Rahmenbedingungen oder vulnerable Personengruppen, in die Analyse einzubeziehen.
     
  • Mapping nach branchen- bzw. produktspezifischen Risiken 
    Auch im Rahmen der Analyse der branchen- bzw. produktspezifischen Risiken sind sinnvollerweise zunächst öffentliche Quellen und Indices zugrunde zu legen. Beispielhaft sei hier der „Kompass Nachhaltigkeit“ und der Forschungsbericht 543 „Die Achtung von Menschenrechten entlang globaler Wertschöpfungsketten“ des Bundesministeriums für Arbeit und Soziales genannt.

Unternehmen sollten angesichts ihrer Erfahrung und Spezialisierung auch auf eigenes, unternehmensinternes Wissen, v.a. aus der Einkaufsabteilung zurückgreifen, um weitere Risikofaktoren festzulegen. Insbesondere sollten unternehmenseigene Informationen zu Lieferanten verwertet werden. Lieferanten bei welchen es bereits mehrfach zu Beschwerden und ggf. Gewährleistungsprobleme kam, sollten entsprechend besonders geprüft werden. Gleiches gilt für Lieferanten, die bei generellen Business Partner Due Diligence Prüfungen in der Vergangenheit negativ aufgefallen sind.

Angemessenheitsvorbehalt und Risikobasierter Ansatz

Das LkSG erlaubt eine Priorisierung von Risiken in der Risikoanalyse, soweit das Unternehmen nicht in der Lage ist, alle Risiken gleichzeitig anzugehen. Durch eine Priorisierung von Risiken, sollen hohe Risiken, die unmittelbaren Handlungsbedarf erfordern, herausgefiltert und prioritär adressiert werden. Die abstrakte Risikobetrachtung bzw. das Risikomapping ermöglicht gerade eine solche Vorfilterung. Die Handreichung des BAFA bestätigt diesen risikobasierten Ansatz grundsätzlich. Das BAFA betont darin jedoch auch, dass Unternehmen im eigenen Geschäftsbereich darauf hinarbeiten müssen, den zweiten Schritt der Risikoanalyse, d.h. die konkrete Risikobetrachtung und Risikobewertung, auf alle Risiken im gesamten eigenen Geschäftsbereich auszuweiten.

Abschließend ist festzuhalten, dass das LkSG keine konkreten Maßnahmen und Informationsbeschaffungsmittel im Rahmen der Risikoanalyse vorschreibt. Vielmehr steht den Unternehmen hier im Rahmen des Angemessenheitsvorbehalts ein recht weiter Spielraum zu. Dieses Verständnis des Gesetzeswortlauts deckt sich in wesentlichen Teilen auch mit den Ausführungen in der Handreichung des BAFA. Darin umschreibt das BAFA das Vorgehen in der Risikoanalyse abstrakt, ohne konkrete Informationsbeschaffungsmittel fest vorzugeben.

Zu beachten gilt aber, dass die konkrete Risikobetrachtung als zweiter Schritt der Risikoanalyse insbesondere im eigenen Geschäftsbereich zwingend ist. Nach der Handreichung des BAFA muss diese auch im gesamten eigenen Geschäftsbereich des Unternehmens, nicht nur in Hoch-Risikobereichen, durchgeführt werden. Das BAFA erkennt aber an, dass dies Unternehmen vor eine große Herausforderung stellt und erklärt, dass Unternehmen jedenfalls schrittweise darauf hinarbeiten müssen den Prozess der konkreten Risikobetrachtung auf den gesamten eigenen Geschäftsbereich auszuweiten.

Fazit

In der Handreichung betont das BAFA erneut die große Bedeutung, die der Risikoanalyse bei der Entwicklung, dem Aufbau und der Implementierung eines LkSG-konformen Risikomanagementsystems zukommt. Das breite Verständnis und die Empfehlung einer proaktiven Risikoanalyse auch in die „tiefere Lieferkette“ kann dabei bereits als Antizipation des weiteren Anwendungsbereichs nach dem aktuell diskutierten Entwurf der EU Corporate Sustainability Due Diligence Richtlinie gesehen werden.

Im Ergebnis müssen Unternehmen bei der Umsetzung der Risikoanalyse als einer der wesentlichen Sorgfaltspflichten nach dem LkSG ein plausibles und der Größe und Risikolage des Unternehmens entsprechend angemessenes Konzept erarbeiten und umsetzen und dies umfassend und fortlaufend dokumentieren. Die Handreichung des BAFA liefert hierfür praktische Hinweise, insbesondere zu den Erwartungen an den Umfang und prozessseitigen Ablauf der Risikoanalyse. Dies sollten Unternehmen bei ihrer Umsetzung auf jeden Fall berücksichtigen.

 

Verfasst von Christian Ritz und Vincent Rek

Search

Jetzt registrieren und personalisierte Inhalte erhalten!