Lieferkettengesetz (LkSG) verstehen: Bedeutung der Risikoanalyse inkl. praktische Tipps

Die Risikoanalyse stellt das Fundament für die Erfüllung der Sorgfaltspflichten nach dem Lieferkettensorgfaltspflichtengesetz (kurz Lieferkettengesetz oder LkSG) dar. Eine wirksame Risikoanalyse ist die unabdingbare Voraussetzung der vom LkSG geforderten Einrichtung eines Risikomanagements – mit dem Ziel, menschenrechtliche und umweltbezogene Risiken in der Lieferkette zu identifizieren und durch entsprechende Maßnahmen zu minimieren.

Wir nehmen die Risikoanalyse nach LkSG genauer unter die Lupe: Welche Bedeutung hat sie? Wie unterscheiden sich regelmäßige und anlassbezogene, sowie abstrakte und konkrete Risikoanalyse? Und was muss Ihr Unternehmen jetzt wissen, um die Risikoanalyse erfolgreich durchführen zu können?

Ziel und Bedeutung der Risikoanalyse im LkSG

Das Lieferkettensorgfaltspflichtengesetz verlangt von Unternehmen, ein effektives und angemessenes Risikomanagement einzurichten. Dies soll dazu dienen, mögliche Risiken oder Verletzungen im Bereich der Menschenrechte oder Umwelt zu identifizieren, zu vermeiden, zu minimieren oder zu beheben. Dieser risikobasierte Ansatz hat das Ziel, ein Verständnis für die relevanten Menschenrechts- und Umweltrisiken innerhalb des eigenen Geschäftsbereichs und in der Lieferkette zu erlangen und diese für eine anschließende Bearbeitung zu priorisieren.

Das Lieferkettengesetz gibt dabei einen Perspektivenwechsel im Risikomangement vor. Der Fokus der Betrachtung wendet sich ab von den Risiken, die sich auf den geschäftlichen Erfolg auswirken – im Gegensatz zum traditionellen Risikomanagement. Vielmehr rücken die Interessen der eigenen Beschäftigten, der Beschäftigten innerhalb der Lieferkette und derjenigen, die in sonstiger Weise vom wirtschaftlichen Handeln des eigenen Unternehmens oder eines Unternehmens in seinen Lieferketten betroffen sein können, in den Vordergrund.

Wann muss die Risikoanalyse nach LkSG durchgeführt werden?

Hinsichtlich dem Anlass der Durchführung sieht das LkSG sieht zwei Formen der Risikoanalyse vor: die regelmäßige und die anlassbezogene Risikoanalyse. Diese variieren sowohl in ihrem Zeitpunkt und der Häufigkeit ihrer Durchführung, als auch in den Teilen der Lieferkette, die sie abdecken sollen.

Wichtige Anmerkung: Das Gesetz differenziert dabei zwischen Zulieferern, zu denen eine vertragliche Beziehung besteht, den sogenannten unmittelbaren Zulieferern, und mittelbaren Zulieferern (“Zulieferer der Zulieferer”) in der tieferen Lieferkette.

Die regelmäßige Risikoanalyse nach LkSG

Die regelmäßige Risikoanalyse muss einmal jährlich durchgeführt werden. Sie umfasst die Bewertung sämtlicher Risiken sowohl im eigenen Geschäftsbereich als auch bei unmittelbaren Zulieferern.

Die anlassbezogene Risikoanalyse nach LkSG

Die anlassbezogene Risikoanalyse muss beim Auftreten einer der zwei folgenden Auslöser durchgeführt werden:

1. Bei Hinweisen (“substantiierter Kenntnis”) zu einer möglichen Verletzung einer menschenrechtlichen oder umweltbezogenen Pflicht bei einem oder mehreren mittelbaren Zulieferern, z. B. über einen Beschwerdekanal oder Hinweise in den Medien

• Inkludiert die Bewertung sämtlicher Risiken bei den mittelbaren Zulieferen, zu denen Hinweise vorliegen

2. Bei einer Veränderung der Geschäftstätigkeit, durch die neue Risiken entstehen könnte

• Bei internen Entscheidungen, z. B. der Tätigung einer wichtigen Investion oder der Erschließung eines neuen Beschaffungslands
• Bei externen Ereignissen, z. B. Naturkatastrophen oder Kriegsausbruch im Beschaffungsland
• Inkludiert die Bewertung sämtlicher Risiken in der gesamten Lieferkette – sowohl im eigenen Geschäftsbereich als auch bei unmittelbaren UND mittelbaren Zulieferern

Wie wird die Risikoanalyse nach LkSG umgesetzt?

Das LkSG schlägt eine zweistufige Umsetzung der Risikoanalyse vor: die abstrakte und konkrete Risikoanalyse. Während in der abstrakten Risikoanalyse mögliche LkSG-Risiken bei Lieferanten beispielsweise durch Auswertung von Branchenindizes oder Webcrawling-Daten ermittelt werden können, erfordert die konkrete Risikoanalyse eine vertiefende Bewertung der identifizierten Lieferanten mit einem hohen Risikograd. Dabei werden die Risiken sowohl in der regelmäßigen als auch in der anlassbezogenen Risikoanalyse zuerst einer abstrakten und dann einer konkreten Betrachtung unterzogen.

Die abstrakte Risikoanalyse nach LkSG

Das Ziel der abstrakten Risikoanalyse ist die erste abstrakte Einschätzung von branchenspezifischen und länderspezifischen Risiken durch den Abgleich von Informationen und Quellen zu menschenrechtlichen und umweltbezogenen Risiken.

Im Fokus steht die Identifizierung folgender Risikoaspekte:

• In der regelmäßigen Risikoanalyse:
  
  

  • Gesellschaften, Filialen und Standorte mit erhöhter Risikodisposition im eigenen Geschäftsbereich

  • umittelbare Hochrisikozulieferer in der Lieferkette

• In der anlassbezogene Risikoanalyse:
  
  

  • Anlass 1: tatsächliche Anhaltspunkte für die Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten

  • Anlass 2: veränderte oder hinzugekommene Risiken

Eine praktische Vorgehensweise könnte demnach wie folgt aussehen:

Im Rahmen der abstrakten Risikoanalyse wird für jeden Lieferanten in der Lieferkette ein Risiko Level (Risk Score) ermittelt. Dieser Risk Score wird aufgegliedert in die Kategorien “geringes Risiko”, “mittleres Risiko” und “hohes Risiko”. Um zu verstehen, wie die jeweilige Lieferantenbewertung zustande kommt, ist es vonnöten, die eigentlichen Risikoquellen jedes Lieferanten zu ermitteln und diese auf zunehmend granularen Ebenen zu betrachten (“Top-Down Approach”). Diese Aufschlüsselung könnte folgendermaßen stattfinden:

• Der Risk Score eines Lieferanten setzt sich aus der Summe der Risk Scores aller dahinterstehenden Standorten zusammen

• Der Risk Score eines Standorts setzt sich aus der Summe der Risk Scores aller dahinterstehenden Rohstoffe zusammen

• Der Risk Score eines Rohstoffs ergibt sich aus der Bewertung der menschenrechtlichen und umweltbezogenen Risiken

Mit diesem Schritt endet die abstrakte Risikoanalyse. Ihr Unternehmen muss nun entscheiden, wie es mit der Behandlung der menschenrechtlichen und umweltbezogenen Risiken fortfährt. Eine Priorisierung ist definitiv sinnvoll, denn je höher der Risk Score eines Risikofaktors, desto eher sollte dieser im Rahmen der konkreten Risikoanalyse weiter untersucht werden.

Die konkrete Risikoanalyse nach LkSG

Das Ziel der konkreten Risikoanalyse ist die konkrete Ermittlung von Risiken sowie die Gewichtung und Priorisierung von identifizierten Hochrisiko-Lieferanten im Abgleich mit der regelmäßigen Risikoanalyse. Hinzu kommt die Identifizierung von Stakeholdern, die möglicherweise von diesen Risiken betroffen sind.

Zur konkreten Ermittung lieferkettentypischer Risiken nach dem LkSG zählen unter anderem

Im Fokus steht die Ermittlung der Risiken anhand folgender Kriterien:

• Art und Umfang der Geschäftstätigkeit

• Eintrittswahrscheinlichkeit des Risikos

• Schwere der Verletzung nach Grad, Anzahl der Betroffenen und Unumkehrbarkeit

• Einflussmöglichkeiten

• Verursachungsbeitrag des Unternehmens zu einzelnen Risiken oder Risikobereichen

5 Tipps, mit denen Ihre LkSG Risikoanalyse ein Erfolg wird

Bereiten Sie sich frühzeitig vor

Je komplexer die Lieferketten Ihres Unternehmens sind und je höher die Anzahl der Zulieferer, desto mehr zeitliche und personelle Ressourcen sollten Sie für die Durchführung der Risikoanalyse einplanen. Oftmals sind die erforderlichen Informationen für die Risikoanalyse nicht zentralisiert verfügbar und müssen stattdessen von verschiedenen Abteilungen oder von Tochterunternehmen beschafft werden. Daher ist es ratsam, auch eine Vorlaufzeit für das Sammeln dieser Informationen einzuplanen.

Implementieren Sie ein integriertes Risikomanagementsystem

Die Implementierung eines integrierten Risikomanagementsystems wird empfohlen, um erfasste Risiken effektiv über alle Tochtergesellschaften und Abteilungen hinweg zu teilen. Dadurch wird eine umfassende Risikowahrnehmung im gesamten Unternehmen ermöglicht, was wesentlich ist, um potenzielle Risiken zu identifizieren und zu bewerten, die über verschiedene Unternehmensbereiche hinweg relevant sein können.

Eine entscheidende Rolle spielt dabei die Einführung standardisierter Methoden zur Risikobewertung, die finanzielle und sozial-ökologische Aspekte berücksichtigen. Dies gewährleistet eine konsistente und umfassende Bewertung von Risiken, unabhängig von der Abteilung oder Tochtergesellschaft. Eine zentrale Koordinationsstelle für das Risikomanagement, die die Aktivitäten verschiedener Abteilungen und Tochtergesellschaften überwacht und koordiniert, könnte zudem dazu beitragen, sicherzustellen, dass relevante Informationen über Risiken effektiv geteilt und auf Unternehmensebene berücksichtigt werden.

Berücksichtigen Sie die Risikoanalyse mittelbarer Zulieferer

Es ist ratsam, dass Ihr Unternehmen unverzüglich prüft, ob eine Verpflichtung besteht, mittelbare Zulieferer in ihre Risikoanalyse einzubeziehen. Dies gilt insbesondere für die anlassbezogene Risikoanalyse. Dabei ist vor allem eine rechtliche Überprüfung erforderlich, um festzustellen, ob Informationen über einen mittelbaren Zulieferer als "substantiierte Kenntnis" (Auslöser 1 der anlassbezogenen Risikoanalyse, s.o.) einzustufen sind.

Zusätzlich sollte Ihr Unternehmen entscheiden, ob es der Empfehlung des BAFA folgen möchte, die über die momentanen Anforderungen des LkSG hinausgeht. Gemäß dieser Empfehlung sollten Unternehmen bereits jetzt proaktiv mittelbare Zulieferer in ihre regelmäßige Risikoanalyse integrieren, selbst wenn keine substantiierte Kenntnis besteht (nicht-anlassbezogen). Dieser Ansatz könnte insbesondere im Hinblick auf die Vorgaben des europäischen Lieferketten-Richtlinienentwurfs (Corporate Sustainability Due Diligence Directive, CSDDD) für einige Unternehmen von Nutzen sein. Denn die vorläufige Einigung des EU Parlaments und des Rats der EU zur CSDDD zeigen, dass die Sorgfaltspflichten auch gernerell auf mittelbare Zulieferer ausgeweitet werden könnten.

Erwägen Sie den Einsatz einer Softwarelösung

Die Einbindung digitaler Tools – wie eine ESG Reporting bzw. Lieferketten Software – kann die Durchführung der Risikoanalyse enorm erleichtern. Vor allem die Verarbeitung umfangreicher Datenmengen, die für die notwendige Transparenz im Rahmen der Risikoanalyse erforderlich sind, ist ohne die rechtzeitige Integration passender Softwarelösungen nahezu unmöglich. Eine automatisierte und standardisierte Datenerhebung ermöglicht die Reduzierung von Fehlern, fördert die Vergleichbarkeit von Daten und gewährleistet die Verfügbarkeit von Echtzeitdaten. Außerdem unterstützt eine geeignete Software, komplexe Organisations-, Produkt- und Lieferkettenstrukturen abzubilden und somit einen zentralen Überblick über Risiken über Abteilungen und Tochtergesellschaften hinweg zu schaffen.

Beobachten Sie die weiteren Entwicklungen des LkSG

Ihr Unternehmen sollte das weitere Geschehen im Zusammenhang mit Änderungen und Anpassungen des Lieferkettengesetzes aufmerksam verfolgen. Es ist damit zu rechnen, dass die BAFA weitere Handreichungen veröffentlichen wird – wie z.B. bereits zu den Themen Zusammenarbeit in der Lieferkette oder Risikoanalyse. Die Handreichungen der BAFA enthalten wichtige Informationen und Anhaltspunkte, die Ihrem Unternehmen bei der erfolgreichen Umsetzung des LkSG helfen können.