BAFA veröffentlicht FAQ-Papier zum risikobasierten Vorgehen

Das Lieferkettensorgfaltspflichtengesetz (LkSG) gibt Unternehmen einen großen Spielraum bei der Durchführung ihrer Risikoanalyse und der Umsetzung angemessener und wirksamer Maßnahmen. Dies bedeutet jedoch nicht, dass Unternehmen unterschiedslos von allen Zulieferern Informationen einfordern oder diese zur Unterzeichnung umfangreicher und undifferenzierter Verhaltenskodizes verpflichten müssen. Ebenso wenig können sie die gesetzlichen Anforderungen einfach entlang der Lieferkette weiterreichen. Vielmehr sieht das LkSG – ebenso wie die EU-Lieferkettenrichtlinie (CSDDD) – ein risikobasiertes Vorgehen vor. Unternehmen sind dazu angehalten, Risiken und Maßnahmen zu priorisieren und dabei die spezifischen Gegebenheiten ihrer Zulieferer in der Lieferkette zu berücksichtigen. Die hier dargestellten FAQ basieren auf häufig gestellten Fragen an das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) und berücksichtigen bereits teilweise die Anforderungen der CSDDD. Ergänzend zu den bereits veröffentlichten BAFA-Handreichungen zur Risikoanalyse, zur Zusammenarbeit in der Lieferkette und zur Angemessenheit bietet dieses Dokument praxisnahe Orientierungshilfen.

Das risikobasierte Vorgehen nach dem LkSG bedeutet, dass Unternehmen ihre gesetzlich eingeräumten Entscheidungsspielräume nutzen dürfen. Sie sind nicht dazu verpflichtet, alle Zulieferer gleichermaßen zu überprüfen oder sämtliche identifizierten Risiken zu adressieren. Vielmehr sollen sie sich auf prioritäre Risiken konzentrieren und ihre Maßnahmen entsprechend ausrichten. Ein solches Vorgehen entlastet sowohl die Unternehmen selbst als auch ihre unmittelbaren und mittelbaren Zulieferer. Beispielsweise wäre die pauschale Versendung, Dokumentation und Auswertung von Tausenden von Lieferantenfragebögen mit erheblichem Aufwand verbunden, sowohl für das Unternehmen als auch für seine Zulieferer. Das LkSG schreibt ein solches Vorgehen jedoch nicht vor. Unternehmen müssen daher sorgfältig prüfen, ob umfassende Informationsanfragen an ihre Zulieferer im jeweiligen Fall tatsächlich erforderlich sind.

Die Risikoanalyse im LkSG folgt einem strukturierten und stufenweisen Verfahren. Zunächst sollten Unternehmen sich einen Überblick über ihre Beschaffungsprozesse und Geschäftsbeziehungen verschaffen. Dazu gehört eine Bestandsaufnahme der internen Zuständigkeiten sowie der bereits verfügbaren Informationen über ihre unmittelbaren Zulieferer und die wichtigsten betroffenen Personengruppen. Dieser Überblick kann in der Regel durch eine Desktop-Recherche gewonnen werden, bei der vorhandene Daten und Informationen aus verschiedenen Quellen gesammelt werden. Unternehmen sollten dabei insbesondere auf bestehendes Wissen des Einkaufs- und Beschaffungsmanagements zurückgreifen. Die allgemeine Abfrage aller Zulieferer ist in dieser Phase nicht erforderlich, es sei denn, es stehen keine anderen Informationsquellen zur Verfügung.

Im nächsten Schritt erfolgt eine abstrakte Risikobetrachtung, bei der das Unternehmen potenzielle menschenrechtliche und umweltbezogene Risiken in seinen Branchen sowie in den Tätigkeits- und Beschaffungsländern identifiziert. Dabei wird ermittelt, welche Risiken typischerweise auftreten und relevant sein können und in welchen Bereichen keine oder nur geringe Risiken bestehen. Unternehmen sollen sich dabei auf externe Informationsquellen wie Medienberichte, Studien, Indizes oder Berichte von Branchen- und Multi-Stakeholder-Initiativen stützen. Diese Phase dient der Identifizierung der Themen und Bereiche, die einer vertieften Analyse bedürfen. Zulieferer müssen in diesem Schritt noch nicht direkt kontaktiert werden.

Sobald diese abstrakte Analyse abgeschlossen ist, geht das Unternehmen zur konkreten Risikobetrachtung über. In dieser Phase werden ausschließlich die zuvor ermittelten Risikobereiche vertieft untersucht. Falls in einer Lieferbeziehung keine relevanten Risikobereiche festgestellt wurden, kann das Unternehmen diese Lieferanten in der weiteren Analyse vernachlässigen. Die konkrete Risikobetrachtung dient dazu, die in der abstrakten Analyse identifizierten Risiken auf ihre tatsächliche Relevanz für die spezifische Lieferkette des Unternehmens zu überprüfen. Dies geschieht durch eine systematische Plausibilisierung der abstrakt ermittelten Risiken. Unternehmen können hierfür verschiedene Informationsquellen heranziehen, darunter interne Unterlagen, öffentliche Berichte, vorhandene Lieferanten-Fragebögen, Ergebnisse aus Beschwerdeverfahren sowie Erkenntnisse aus Audits oder Umfragen. Wichtig ist, dass Unternehmen die Informationsbeschaffung an die spezifischen Risiken, Branchen und Produktionsregionen anpassen. Pauschale und unterschiedslose Anfragen an alle Zulieferer, unabhängig von deren Risikoprofil, sind nicht erforderlich und entsprechen nicht den Anforderungen des LkSG.

Nach der Ermittlung der konkreten Risiken müssen diese priorisiert werden. Unternehmen haben dabei einen gewissen Ermessens- und Gestaltungsspielraum, doch müssen sie ihre Priorisierungen plausibel begründen. Zu den relevanten Kriterien gehören unternehmensbezogene Risikofaktoren, Risikofaktoren der Geschäftstätigkeit, geografische und kontextbezogene Faktoren, produktspezifische Risiken sowie branchenspezifische Risikofaktoren. Unternehmen sind verpflichtet, diese Faktoren in ihrer Gesamtheit zu berücksichtigen, um die für sie wesentlichen Risiken gezielt zu adressieren.

Bei der Einbeziehung von Zulieferern ist es nicht erforderlich, alle Zulieferer in gleicher Weise zu behandeln. Unternehmen sollen sich vorrangig auf Zulieferer konzentrieren, die entweder schwerwiegenden und wahrscheinlichen Risiken ausgesetzt sind oder bei denen die Risikosituation unklar ist. Die gängige Praxis, standardisierte Fragebögen unterschiedslos an alle Zulieferer zu senden, wird als nicht konform mit dem LkSG betrachtet. Auch beim Einsatz von IT-Tools muss sichergestellt werden, dass diese ein risikobasiertes Vorgehen unterstützen. Automatisierte Anfragen oder Fragebögen sollten gezielt an relevante Zulieferer gerichtet werden, anstatt pauschal an alle Akteure in der Lieferkette versandt zu werden. In der tieferen Lieferkette sollten Unternehmen bevorzugt den direkten Kontakt zu den Zulieferern suchen, bei denen aufgrund der Risikoanalyse die höchsten Wahrscheinlichkeiten für relevante Risiken bestehen. Dies trägt dazu bei, insbesondere kleinere Unternehmen zu entlasten, indem unnötige pauschale Auskunftsersuchen vermieden werden.

Ein wesentlicher Aspekt der Umsetzung des LkSG ist die Kontrolle durch das BAFA. Die Behörde führt Prüfungen in Form von risikobasierten Kontrollen durch, beispielsweise im Rahmen der Überprüfung von Risikoanalysen. Zudem kann eine Prüfung anlassbezogen erfolgen, etwa wenn durch Medienberichte oder eingegangene Hinweise konkrete Verdachtsmomente entstehen. Das BAFA wird die Umsetzung des risikobasierten Vorgehens verstärkt in seine Kontrollen einbeziehen und Verstöße sanktionieren. Unternehmen dürfen ihre Sorgfaltspflichten nicht einfach auf Zulieferer abwälzen, etwa indem sie ausschließlich auf vertragliche Zusicherungen oder Bescheinigungen über risikofreie Lieferketten setzen. Solche Vorgehensweisen können vom BAFA als unzureichend gewertet werden, was zu entsprechenden Nachfragen und weiteren Prüfungen führen kann.

Darüber hinaus können Zulieferer, die von einem LkSG-pflichtigen Unternehmen pauschal und nicht risikobasiert kontaktiert wurden, dies direkt beim BAFA melden – auch anonym. In solchen Fällen kann das BAFA eine Prüfung mit einem schriftlichen Auskunftsersuchen an das betreffende Unternehmen einleiten. Die Behörde verfolgt hierbei einen dialogbasierten Ansatz und stellt gezielte Fragen zur Methodik der Risikoanalyse sowie zur Umsetzung des risikobasierten Vorgehens. Dabei wird berücksichtigt, dass die unternehmerischen Sorgfaltspflichten nach dem LkSG dem Charakter eines Bemühensgebots unterliegen.

Zusammenfassend ermöglicht das LkSG den Unternehmen eine flexible und effiziente Umsetzung ihrer Sorgfaltspflichten. Entscheidend ist jedoch, dass Unternehmen tatsächlich eine systematische und risikobasierte Risikoanalyse durchführen und angemessene Maßnahmen ergreifen. Unnötige Bürokratie und pauschale Anfragen an alle Zulieferer sind zu vermeiden, während gezielte Maßnahmen zur Risikoidentifikation und -minimierung im Vordergrund stehen. Die BAFA-Kontrollen werden gezielt auf die Einhaltung dieser Prinzipien ausgerichtet sein.