Compliance09.07.2021 Newsletter

Lieferkettensorgfaltspflichtengesetz (LkSG) und Compliance Management Systeme

Am 25. Juni 2021 hat auch der Bundesrat das Lieferkettensorgfaltspflichtengesetz, besser bekannt unter dem weniger sperrigen Begriff „Lieferkettengesetz“, gebilligt. Somit werden ab dem 01. Januar 2023 zunächst Unternehmen, mit Sitz oder Zweigniederlassung in Deutschland und mehr als 3.000 Beschäftigten im Inland, verpflichtet, in ihren Lieferketten menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten. Ab dem 01. Januar 2024 werden auch Unternehmen mit mehr als 1.000 Arbeitnehmern verpflichtet.

Es ist damit zu rechnen, dass das Gesetz auch Auswirkungen auf Unternehmen unterhalb dieser Schwellen haben wird. Denn die durch das Gesetz unmittelbar verpflichteten Unternehmen werden die Auftragsvergabe an ihre Zulieferer zukünftig sehr wahrscheinlich an die Wahrung entsprechender Compliance-Standards knüpfen wollen und entsprechende vertragliche Anforderungen verhandeln.

Die wesentliche Frage lautet nun: Wie kann man mit den neuen Anforderungen angemessen umgehen?

Die Anforderungen des Lieferkettengesetzes sind in ihrer Struktur und Systematik nicht in jeder Hinsicht neu. Sie bilden vielmehr das ab, was aus vielen anderen Bereichen der Compliance schon bekannt ist, insbesondere in Bezug auf Geschäftspartner bzw. Dritte,. Wichtig ist, die Anforderungen nach dem Lieferkettengesetz in bestehende Compliance Management Systeme (CMS) zu integrieren. Das wird den Unternehmen leichter fallen, die bereits über gut etablierte CMS verfügen. Diese Synergien werden die durch das Lieferkettengesetz ausgelösten „Kosten“ in Form von zusätzlichem Aufwand geringer halten.

Sorgfaltspflichten entlang der Lieferkette

Der gesetzliche Sorgfaltspflichtenkatalog umfasst die aus der allgemeinen Compliance bekannten Elemente der Compliance-Steuerung: Risikomanagement, Risikoanalyse, Grundsatzerklärung („tone form the top“), Präventivmaßnahmen, Abhilfemaßnahmen, Beschwerdeverfahren sowie Dokumentations- und Berichtspflicht. Letztere gehen über das hinaus, was man aus anderen Bereichen der Compliance kennt: Das Gesetz sieht dabei abgestufte Anforderungen an die Sorgfaltspflichten von Unternehmen vor, je nachdem, ob in der Lieferkette der eigene Geschäftsbereich, unmittelbare oder mittelbare Zulieferer betroffen sind.

Im eigenen Geschäftsbereich und beim unmittelbaren Zulieferer sind künftig Risikoanalysen durchzuführen, um menschenrechtliche und umweltbezogene Risiken zu ermitteln. Außerdem sind ein Risikomanagement – inklusive der Ernennung von Verantwortlichen – sowie ein Beschwerdemechanismus einzurichten.

Kommt es zu einem Verstoß im eigenen Geschäftsbereich oder steht ein solcher unmittelbar bevor, muss das Unternehmen unverzüglich angemessene Abhilfemaßnahmen ergreifen, um die Verletzung zu verhindern, zu beenden oder zu minimieren. Ist der eigene Geschäftsbereich betroffen, muss die Abhilfemaßnahme zwingend zu einer Beendigung der Verletzung führen.

Erfolgt die Verletzung beim unmittelbaren Zulieferer und kann nicht in absehbarer Zeit beendet werden, ist vom Unternehmen ein konkretes Konzept zur Beendigung oder Minimierung der Verletzung zu erstellen und umzusetzen. Dem liegt das Prinzip „Befähigung statt Rückzugzugrunde. Zunächst sind also alle Mittel und Wege auszuschöpfen, um eine Abhilfe gemeinsam mit dem Zulieferer zu erzielen. Der Abbruch der Geschäftsbeziehung ist nur als Ultima Ratio geboten.

Im Fall einer Verletzung beim mittelbaren Zulieferer gelten dagegen anlassbezogene Sorgfaltspflichten: Dem Unternehmen müssen zunächst tatsächliche Anhaltspunkte vorliegen, die eine Verletzung einer menschenrechtsbezogenen oder einer umweltbezogenen Pflicht bei mittelbaren Zulieferern möglich erscheinen lassen (substantiierte Kenntnis), etwa durch eine Beschwerde. Dann hat es unverzüglich eine Risikoanalyse durchzuführen, angemessene Präventionsmaßnahmen gegenüber dem Verursacher zu verankern, sowie ein Konzept zur Minimierung und Vermeidung von Verletzungen umzusetzen.

Scharfe Sanktionen bei Verstößen

Verstöße gegen die sich aus dem Gesetz ergebenen Pflichten stellen eine bußgeldbewährte Ordnungswidrigkeit dar, wobei ein Bußgeldrahmen von bis zu zwei Prozent des weltweiten konsolidierten Jahresumsatzes vorgesehen ist. Die gilt zumindest für Unternehmen mit einem Jahresumsatz von mehr als EUR 400 Millionen. Für Unternehmen mit einem unter diesem Schwellenwert liegenden Umsatz sind Bußgelder bis zu EUR 800.000 möglich – je nach Art und Schwere des Verstoßes. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle wird als zuständige Behörde die Einhaltung des Gesetzes überwachen.

Ferner kommt ein Ausschluss von der Vergabe öffentlicher Aufträge für bis zu drei Jahre in Betracht, sofern ein Bußgeld von mindestens EUR 175.000 verhängt wurde. Ab dieser Bußgeldhöhe droht ein Eintrag in das neu geschaffene Wettbewerbsregister. Dies ist bereits dann denkbar, wenn ein Unternehmen versäumt, ein Beschwerdeverfahren einzurichten oder es unterlässt, eine Präventionsmaßnahme rechtzeitig zu ergreifen.

NGOs und Gewerkschaften mit Sitz in Deutschland können die Rechte Geschädigter – resultierend aus einer Verletzung einer überragend wichtigen geschützten Rechtsposition aus § 2 Absatz 1 – gerichtlich geltend machen. Die Verletzung von Pflichten begründet jedoch keine zivilrechtliche Haftung. Dies ist eine der zentralen Abweichungen vom ursprünglichen Entwurf.

Was ist zu tun?

Betroffene Unternehmen werden sich nun Gedanken machen müssen, wie sie sich auf das Inkrafttreten des Gesetzes vorbereiten. Der Aufwand wird davon abhängen, ob das Unternehmen bereits in der Vergangenheit Maßnahmen dieser Art getroffen hat oder sich zum ersten Mal mit dem Thema befasst. Compliance- und HR-Abteilungen werden sich auf eine gesteigerte interne Inanspruchnahme vorbereiten müssen. Bei der Umsetzung sind gegebenenfalls die Mitbestimmungsrechte des jeweils zuständigen Betriebsrats zu beachten.

Risikomanagement

Beim Risikomanagement wird es sich voraussichtlich empfehlen, die vorhandenen Ressourcen der Geschäftspartner-Compliance oder des Third Party Risk Assessment nutzbar zu machen. In diesem Bereich der Compliance befasst sich die Compliance-Abteilung etwa unter dem Aspekt der Geldwäsche, Anti-Korruption und / oder Sanktionen mit den Risiken, die durch Dritte in das Unternehmen „getragen“ werden. Hier liegen also bereits intensive Erkenntnisse über die geschäftlichen Kontakte vor. Die Arbeit in diesem Bereich muss jetzt „nur noch“ um die Aspekte des Lieferkettengesetzes ergänzt werden. Im Einzelfall mag das aufwändig sein. Es werden allerdings Mitarbeiter mit dieser Aufgabe befasst werden können, denen die Ermittlung und Bewertung von Dritt-Risiken bereits vertraut sind.

Risikoanalyse und Präventionsmaßnahmen

Die Risikoanalyse und die daraus abzuleitenden Präventionsmaßnahmen müssen spezifisch für die Lieferkette sein. Insofern ist inhaltlich und materiell zusätzliche Arbeit gefordert.

Dazu sollten die erforderlichen Lieferantenstandards zunächst definiert und überprüft werden. Anschließend sollte analysiert und priorisiert werden, wo in den Lieferketten – einschließlich offensichtlicher Risiken bei mittelbaren Zulieferern – die Risiken eines Gesetzesverstoßes bereits angelegt sind. Im nächsten Schritt sollten Präventionsmaßnahmen bestimmt werden, die entlang der gesamten Lieferkette zu einer verbesserten Situation führen. Auch sind Vertragsbeziehungen von vornherein auf den Prüfstand zu stellen, die Probleme hinsichtlich sozialer und ökologischer Kriterien erwarten lassen. Dieser Prozess sollte in einer entsprechenden Ergänzung des Verhaltenskodex münden.

Aus der Risikoanalyse lassen sich konkrete Präventionsmaßnahmen ableiten, die auch in der Vertragsgestaltung mit den Zulieferern abgebildet werden sollten, etwa bei Klauseln zu Kündigungsrechten und der Durchführung von Audits.

Des Weiteren müssen bei der Risikoanalyse gewonnene Erkenntnisse bei der Ausgestaltung von Schulungen und Kontrollen, intern sowie bei Vertragspartnern ihren Niederschlag finden.

Alles Vorgenannte sind Compliance-Standards, die nun auf die Anforderungen aus dem Lieferkettengesetz anzuwenden sind.

Abhilfemaßnahmen 

Bei festgestellten Verstößen gegen die Anforderungen des Lieferkettengesetzes ist Abhilfe zu schaffen. Dazu muss geprüft werden, wie Abhilfemaßnahmen in das bestehende System einzupassen sind.

Es muss außerdem geklärt werden, wie mit Hinweisen auf Verstöße bei (mittelbaren) Zulieferern umgegangen wird. Es wird ein Konzept benötigt, mit dem derartige Verstöße vermieden werden, oder falls der Verstoß nicht beendet werden kann, Auswirkungen minimiert werden. Die Eskalationsmechanismen der Compliance-Abteilungen sollten frühzeitig Aufmerksamkeit auf ein „präventiven Krisenmanagement“ richten. Sie sind spätestens mit Inkrafttreten des Gesetzes federführend verantwortlich, bei Verstößen das entsprechende Sanktions- und Konsequenzen-Management zu betreiben und Reputationsschäden für das Unternehmen zu verhindern.

Beschwerdeverfahren

Die Unternehmen müssen darüber hinaus ein unternehmensinternes Beschwerdeverfahren einrichten oder sich an einem externen Beschwerdeverfahren beteiligen. Soweit ein Hinweisgebersystem im Unternehmen eingerichtet ist, wird man dieses heranziehen können. Falls ein solches System im Unternehmen noch nicht existiert, mag es sinnvoll sein, ein entsprechendes Hinweisgebersystem einzurichten. Dies gilt insbesondere auch vor dem Hintergrund der Whistleblower-Richtlinie der EU.

Grundsatzerklärung sowie Dokumentations- und Berichtspflichten

Das Lieferkettengesetz sieht eine Grundsatzerklärung betreffend Verfahren, Risiken und Erwartungen an Beschäftigte und Zulieferer vor. Diese muss mindestens die Verfahrensschritte benennen, die zur Einhaltung der Menschenrechtsstandard implementiert wurden, die festgestellten Risiken beschreiben sowie die Erwartungshaltung hinsichtlich der Achtung von Menschenrechten durch Beschäftigte und Zulieferer enthalten. Diese Erklärung ist gegenüber Beschäftigen, Zulieferern und dem jeweils zuständigen Betriebsrat zu kommunizieren.

Vorbereitungen sollten auch rechtzeitig hinsichtlich der im Sorgfaltspflichtengesetz vorgesehenen Berichtspflicht getroffenen werden, die tatsächlich über das hinausgeht, was in anderen Compliance-Bereichen gefordert wird: Nach dem Inkrafttreten müssen Unternehmen jährlich einen Bericht über die Erfüllung ihrer Sorgfaltspflichten bezogen auf das zurückliegende Geschäftsjahr erstellen und diesen auf ihrer Internetseite für einen Zeitraum von sieben Jahren kostenfrei öffentlich zugänglich machen.

Zurück zur Übersicht

Stephan Müller

Stephan Müller

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 448
F +49 221 2091 333

E-Mail

Isabel Hexel

Isabel Hexel

PartnerinRechtsanwältinFachanwältin für Arbeitsrecht

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 348
F +49 221 2091 333

E-Mail

Dr. Simon Spangler<br/>LL.M. (UCT)

Dr. Simon Spangler
LL.M. (UCT)

PartnerRechtsanwalt

Bockenheimer Landstraße 2-4
60306 Frankfurt am Main
T +49 69 707968 183
F +49 69 707968 111

Am Sandtorkai 74
20457 Hamburg
T +49 40 808 105 526
F +49 40 808 105 555

E-Mail