Nach langem Streit zwischen Union und SPD kommt nun das Sorgfaltspflichtengesetz. Noch im Juni soll darüber im Bundestag abgestimmt werden. Was das Lieferkettengesetz für das Risikomanagement von Unternehmen bedeutet.
Unternehmen müssen ab 2023 bei ihren Lieferketten mehr Sorgfaltspflichten erfüllen.
j-mel / stock.adobe.com
Das Sorgfaltspflichtengesetz verordnet Unternehmen in Deutschland, ihrer Verantwortung in der Lieferkette durch die Erfüllung menschenrechtlicher und umweltbezogener Kriterien besser nachzukommen. Es wird ab dem 1. Januar 2023 für Unternehmen mit mindestens 3.000 Mitarbeitern und ab dem 1. Januar 2024 für Unternehmen mit mindestens 1.000 Mitarbeitern gelten. Die Anforderungen der umgangssprachlich als Lieferkettengesetz bezeichneten Regelung orientieren sich am Sorgfaltsstandard der Vereinte-Nationen-Leitprinzipien und sollen anschlussfähig an eine zukünftige europäische Regelung sein. Zu den wesentlichen Sorgfaltspflichten des Regierungsentwurfs (RegE) zählen:
- Etablierung eines Risikomanagements (§ 4 RegE) und Durchführung von Risikoanalysen (§ 5 RegE)
- Verankerung von Präventionsmaßnahmen (§ 6 RegE) und Ergreifen von Abhilfemaßnahmen zur Verhinderung, Beendigung beziehungsweise Minimierung der Verletzung (§ 7 RegE)
- Etablierung eines Beschwerdeverfahrens (§ 8 RegE)
- Sorgfaltspflichten gegenüber mittelbaren Zulieferern (§ 9 RegE)
- Dokumentationspflichten (§ 10 RegE)
Neue Sorgfaltspflicht: Risikomanagement und Risikoanalyse
Kernelement der Sorgfaltspflichten im Lieferkettengesetz ist es, ein Risikomanagement zu etablieren, in dessen Rahmen eine Risikoanalyse durchgeführt wird. Das Risikomanagement sollte durch konkrete Maßnahmen im Unternehmen verankert werden. Dabei geht es darum, Risiken frühzeitig zu erkennen, Verletzungen geschützter Rechtspositionen oder umweltbezogener Pflichten vorzubeugen, diese zu beenden oder zu minimieren.
Die Bewertungsmethodik bei einer menschenrechtlichen Risikoanalyse ist allerdings anders gelagert als bei anderen Gefahren in der Supply Chain. Denn neben den Unsicherheiten aus Unternehmenssicht geht es vor allem um die Risiken, die originär für Rechteinhaber bestehen. Bei der Bewertung und Priorisierung der Gefährdungen sind folgende Kriterien zu beachten:
- zu erwartende Schwere der Verletzung,
- die Umkehrbarkeit der Verletzung,
- und die Wahrscheinlichkeit des Verletzungseintritts.
Es ist dennoch sinnvoll, auf Grundsätze bestehender Risikoanalysen zurückzugreifen. Sofern Bedrohungen identifiziert wurden, sollen angemessene Präventionsmaßnahmen im eigenen Geschäftsbereich sowie gegenüber unmittelbaren Zulieferern eingeleitet werden.
Lieferkettengesetz in der Organisation verankern
Die Unternehmensleitung steht in der Verantwortung, eine Sorgfaltspflichten-Governance zu etablieren. Dem Regelungskontext des Regierungsentwurfes zufolge werden eine entsprechende Aufbau- und Ablauforganisation sowie ein Managementsystem notwendig sein. Zur Etablierung dieser Governance bietet es sich an, bestehende Strukturen im Unternehmen zu nutzen und diese bei den bereits existierenden Abteilungen wie der Compliance-Organisation oder der Nachhaltigkeitsabteilung zu verankern.
Einer effizienten und pragmatischen Herangehensweise entspricht es auch, das Thema als ein weiteres Rechtsgebiet in das bestehende Compliance Management-System (CMS) zu integrieren. Allerdings kann die Einhaltung der Sorgfaltspflichten nach dem Lieferkettengesetz nicht Aufgabe einer einzelnen Abteilung sein. Um die Anforderungen vollumfänglich zu erfüllen, sollten Unternehmen die Expertise unterschiedlicher Wissensträger und Abteilungen zusammentragen.
Keine zivilrechtliche Haftung, aber ordentliche Bußgelder
Der Regierungsentwurf zum Lieferkettengesetz enthält nun keinen zivilrechtlichen Haftungstatbestand mehr. Nach § 11 RegE können Betroffene aber inländische Gewerkschaften oder bestimmte NGOs im Wege der Prozessstandschaft zur gerichtlichen Geltendmachung ihrer Ansprüche ermächtigen.
Daneben sieht Lieferkettengesetz gestaffelte Bußgelder vor: Der grundsätzliche maximale Rahmen reicht von 100.000 bis 800.000 Euro. Der Bußgeldrahmen für juristische Personen und Personenvereinigungen wird für bestimmte Verletzungen durch den Verweis in § 24 II 2 RegE auf § 30 II 2 OWiG (Ordnungswidrigkeitengesetz) auf fünf beziehungsweise acht Millionen Euro angehoben. Bei den schwerwiegendsten Verstößen, wie der Nichtabhilfe von Verletzungen, können gegen juristische Personen oder Personenvereinigungen mit einem durchschnittlichen Jahresumsatz von mehr als 400 Millionen Euro Bußgelder bis in Höhe von zwei Prozent des durchschnittlichen konzernweiten Jahresumsatzes verhängt werden.
Entschluss des EU-Parlaments erhöht Druck
Ab Januar 2023 müssen die ersten Unternehmen bereits voll funktionsfähige Risikomanagementprozesse implementiert haben. Auch für kleinere Unternehmen ist zu erwarten, dass nachgelagerte Großkunden in ihren Lieferketten sie zu entsprechenden Sorgfaltspflichten vertraglich verpflichten. Unternehmen sollten sich daher frühzeitig Klarheit über die Struktur der eigenen Lieferantenbeziehungen verschaffen und den Aufbau eines Risikomanagementsystems angehen. Durch den Entschluss des europäischen Parlaments am 10. März 2021 zu Empfehlungen für die Ausarbeitung einer Richtlinie über Sorgfalts- und Rechenschaftspflichten von Unternehmen, gewinnt das Thema weiter an Bedeutung.