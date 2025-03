Aus dem LkSG sowie der EU-Lieferkettenrichtlinie (CSDDD) ergibt sich, dass Unternehmen bei der Umsetzung ihrer Sorgfaltspflichten risikobasiert vorgehen müssen. Dies bedeutet, dass sie Risiken und Maßnahmen priorisieren und dabei die Risikodisposition ihrer Zulieferer in der Lieferkette berücksichtigen sollen.

Im Februar 2025 hat das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) ein sog. genanntes FAQ-Papier zum risikobasierten Vorgehen veröffentlicht. Strukturell ist dieses FAQ-Papier weder Bestandteil des zuletzt im Oktober 2024 aktualisierten FAQ-Katalogs (BAFA - häufig gestellte Fragen (FAQ) zur Umsetzung des Gesetzes) noch einer neuen oder aktualisierten Handreichung geworden, sondern eine separate Publikation. Das macht den Umgang mit den vielfältigen, sich teilweise überschneidenden Hinweisen des BAFA jedenfalls nicht einfacher.

FAQ-Papier: Rechtsauffassung der Aufsichtsbehörde

Und das vorab: Die Erläuterungen des BAFA sind kein Gesetz, sondern Rechtsauffassung der Aufsichtsbehörde, die nicht in jedem Punkt richtig sein muss. Spätestens wenn man als Regelungsadressat mit Auskunftsverlangen des BAFA bedacht wird, lohnt es sich also, fachkundigen Rat hinzuzuziehen, um die richtigen Akzente zu setzen. Das gilt umso mehr angesichts des vom BAFA neu geschaffenen Meldekanals für Zulieferer, die sich von Regelungsadressaten unangemessen behandelt fühlen. Es wäre schon fast ein Wunder, wenn dieser neue, im Übrigen auch anonym nutzbare Meldekanal nicht zu einer Vielzahl von anlassbezogenen Nachfragen des BAFA bei den LkSG-Regelungsadressaten führen würde. Doch dazu gleich noch mehr.

FAQ-Papier steht in Kontinuität zu bisherigen Auffassungen des BAFA

Das FAQ-Papier soll nach dem Bekunden des BAFA zunächst einmal die Handreichungen zur Risikoanalyse, zur Zusammenarbeit in der Lieferkette und zur Angemessenheit (BAFA - Handreichungen) „ergänzen“ mit dem Ziel, „zu erklären, wie Unternehmen ihre Sorgfaltspflichten effektiv umsetzen können“. Ob das BAFA dieses Ziel mit dem FAQ-Papier tatsächlich erreicht hat, liegt im Auge des Betrachters. Jedenfalls baut das neue FAQ-Papier ersichtlich auf den bereits vorhandenen Handreichungen, insbesondere dem Leitfaden zur Zusammenarbeit in der Lieferkette auf, so dass verpflichtete Unternehmen darin zunächst einmal viel Bekanntes finden:

Unternehmen sollen sich einen Überblick über Ihre Lieferanten verschaffen, mit einer abstrakten Risikoanalyse aus allgemeinen Quellen Risikobereiche identifizieren und erst dann ggf. unter Einbeziehung der betreffenden Zulieferer die abstrakt ermittelten Risiken konkret prüfen.

Unternehmen sollen anhand der Angemessenheitskriterien priorisieren und müssen nicht alle Risiken adressieren.

Unternehmen können die Risikoanalyse nicht pauschal durch den Verweis auf vertragliche Zusicherungen oder entsprechende Bescheinigungen risikofreier Lieferketten von Zulieferern ersetzen.

Zulieferer, die nicht in die bei der abstrakten Risikoanalyse ermittelten „allgemeinen Risikobereiche“ in der Lieferkette des Unternehmens fallen, müssen in der konkreten Risikobetrachtung nicht geprüft werden.

Pauschale und unterschiedslose Abfragen bei einem Zulieferer außerhalb der ermittelten allgemeinen Risikobereiche sind unangemessen.

Zulieferer unabhängig von der ermittelten Risikodisposition mit Präventionsmaßnahmen wie Schulungen, vertraglichen Verpflichtungen oder Codes of Conduct unterschiedslos zu konfrontieren, kann vom BAFA als unangemessen und in der Regel unwirksam bewertet werden.

BAFA möchte Zulieferer und Gesetzesadressaten nicht überfordern

Das Bemühen des BAFA, KMU als mittelbar vom LkSG Betroffene vor unzumutbarem Aufwand zu schützen, tritt deutlich hervor. Das BAFA betont aber nun auch die Vorteile für die Gesetzesadressaten: Sie hätten einen großen Entscheidungsspielraum, welche Risiken sie zuerst angehen, welche Maßnahmen sinnvoll sind und auf welche (risikobehafteten) Zulieferer sie sich besonders konzentrieren. Sie dürften und sollten also priorisieren. Eine bestimmte Mindest- oder Maximalanzahl bzw. einen bestimmten prozentualen Anteil sehe das LkSG dabei nicht vor. Es sei auch für die Gesetzesadressaten ein Vorteil, sich mit einer wesentlich geringeren Anzahl von Zuliefererantworten auseinander setzen zu müssen.

Ressourceneinsatz für Präventionsmaßnahmen bleibt offen

Das trifft im Grundsatz sicher zu. Die Lebenswirklichkeit großer Unternehmen ist nicht selten, schon allein über mehr als 10.000 unmittelbare Zulieferer zu verfügen. Schon die abstrakte Risikoanalyse erfordert hier einen hohen Aufwand und selbst wenn nur bei 10% dieser unmittelbaren Zulieferer abstrakte Risiken ermittelt worden sein sollten, wäre es noch immer eine schier unlösbare Mammutaufgabe, die abstrakten Risiken konkret zu überprüfen und im Falle der Feststellung von konkreten Risiken dann individuell maßgeschneiderte Präventionsmaßnahmen mit Hunderten unmittelbarer Zulieferern zu vereinbaren, wie sich das BAFA das ausweislich der Handreichungen und des FAQ-Papiers offenbar vorstellt. Das BAFA weist darauf hin, dass Unternehmen ihre Ressourcen zielgerichtet einsetzen sollen, lässt aber offen, welche Ressourcen das Unternehmen nach seiner Vorstellung einsetzen muss, um der Mammutaufgabe eines konkret-individuellen Vorgehens nachkommen zu können. Als wäre damit noch nicht genug Arbeit verbunden, weist das BAFA nun auch noch darauf hin, dass Unternehmen in der tieferen Lieferkette im Regelfall eine direkte Kontaktaufnahme mit den mittelbaren Zulieferern bevorzugen sollten, bei denen die Risiken nach den Ergebnissen der Risikoanalyse am wahrscheinlichsten auftreten werden. Jedes Unternehmen, das einmal versucht hat, mit Rohstoffproduzenten außerhalb Europas über mehrere Stufen der Lieferkette hinweg in Kontakt zu treten, weiß, dass dies eher Abenteuercharakter hat, als dass es zum üblichen Geschäftsablauf gehört. Wenn man denn dann die Kontaktdaten des mittelbaren Zulieferers überhaupt bekommt. In seiner Handreichung zur Risikoanalyse hat das BAFA bekanntlich formuliert, Unternehmen seien „angehalten“, „sich sukzessive um die Erhöhung der Transparenz in der Lieferkette zu bemühen“. Das hört sich zunächst sinnvoll an, lässt aber essentielle Fragen offen, etwa nach der Rechtsgrundlage für das Angehaltensein und dem Umfang des ggf. geschuldeten sukzessiven Bemühens.

Praxisempfehlung: Konkrete Risikoanalyse und strengere Priorisierung auf relevante Risiken

Was bedeutet dies alles für die Adressaten des LkSG? In jedem Fall sollten Zulieferer, bei denen nach Branchen- und Herkunftsbetrachtung keine Risiken ersichtlich sind, weder mit Fragebögen noch mit Codes of Conduct behelligt werden. Das entlastet zweifellos. Darüber hinaus wird eine Empfehlung allerdings schon schwierig. Der Schlüssel muss aus unserer Sicht zwangsläufig in der Tiefe der konkreten Risikoanalyse und einer strengen Priorisierung auf eine Handvoll wirklich relevanter Risiken liegen, die das Unternehmen tatsächlich realistischerweise mit dem Anspruch und der Erwartung in Angriff nehmen kann, die Situation zu verbessern. Moment, war nicht das eigentlich auch das Ziel des LkSG? Die Befassung mit umfangreichen organisatorischen Maßnahmen mit fraglichem Nutzen für die geschützten Rechtspositionen war es ganz sicher nicht.

Die Gratwanderung der Risikoanalyse: Datenflut ohne Nutzen?

Eine Erklärung, wie das naheliegende Vorgehen sinnvollerweise erfolgen darf, findet sich auch im FAQ-Papier nicht. Stattdessen heißt es bei der konkreten Risikobetrachtung lapidar, es liege „im Ermessen des Unternehmens, bei der Ermittlung der Risiken eine angemessene und wirksame Methode der Informationsbeschaffung zu wählen“. Jedenfalls pauschale und unterschiedslose Abfragen bei einem Zulieferer außerhalb der ermittelten allgemeinen Risikobereiche würden nicht dazu zählen. Und sonst? Pauschale und unterschiedslose Abfragen bei allen Zulieferern innerhalb der ermittelten allgemeinen Risikobereiche? Oder gar das Stellen individuell-konkreter Fragen bei allen Zulieferern innerhalb der allgemeinen Risikobereiche? Den Regelungsadressaten mit Blick auf das vorbezeichnete Ziel Mut zu machen, sich auf realistischerweise handhabbare Abfragen und Datenmengen zu beschränken, dürfte wohl anders aussehen. Allenfalls denkbar wäre ein Baukastensystem für Fragebögen, aus dem nach vorangehender Clusterung der Zulieferer mit abstrakten Risiken je nach Branche und Herkunftsregion nur bestimmte Bausteine verwendet werden. Doch selbst dann dürfte das Unternehmen im Ergebnis mit einer erheblichen Datenflut konfrontiert bleiben. Aber wofür, wenn in der nachfolgenden Priorisierung realistischerweise ohnehin nur wenige prioritäre Risiken übrig bleiben können?

Kritik des BAFA an pauschalen Verhaltenskodizes für Lieferanten

Bei den Präventionsmaßnahmen droht weiteres Ungemach. Unternehmen sollten unseres Erachtens weiterhin die bei den meisten Regelungsadressaten und vor allem auch darüber hinaus verbreiteten Verhaltenskodizes für Lieferanten zumindest mit ihren Risikolieferanten vereinbaren. Eine Individualisierung bei dieser Maßnahme scheint weder praxisgerecht noch erforderlich, auch wenn das BAFA das offenbar nachhaltig anders sieht. Standardisierte Verhaltenskodizes für Lieferanten wurden schon lange vor dem Inkrafttreten des LkSG im Markt verwendet und weithin als wirksam angesehen. Was genau soll auch unzumutbar oder unangemessen sein, seine unmittelbaren Zulieferer zur Einhaltung wesentlicher Menschenrechte zu verpflichten? Schließlich wird auch die unternehmensinterne Praxis, Mitarbeiter einen Verhaltenskodex mit vergleichbaren Verpflichtungen unterzeichnen zu lassen, vom BAFA (bislang?) nicht als unangemessen in Frage gestellt. Klar ist allerdings, dass der Lieferantenkodex nicht über das Ziel hinausschießen und Lieferanten Sorgfaltspflichten auferlegen darf, die originär nur für die Gesetzesadressaten bestehen, wie etwa die Einrichtung eines Risikomanagements insbesondere zwecks Übermittlung der Ergebnisse der Risikoanalyse an den Auftraggeber/Regelungsadressat und eines Beschwerdeverfahrens. Wie die Vereinbarung eines individuell-konkreten Lieferantenkodex im Falle ermittelter konkreter Risiken bei einem Zulieferer ad hoc in einer laufenden Vertragsbeziehung als Präventionsmaßnahme erfolgreich vereinbart werden soll und was der Vorteil gegenüber einem abstrakt-generellen Bekenntnis zu wesentlichen Menschenrechten ist, bleibt das Geheimnis des BAFA.

Zukünftig Sanktionen für nicht risikobasiertes Vorgehen?

Das BAFA nutzt das FAQ-Papier aber auch gleich, um das Fokusthema für die nächsten Abfragen bei Unternehmen anzukündigen: Es wird ab jetzt die Umsetzung des risikobasierten Vorgehens durch die Unternehmen in seinen Kontrollen besonders berücksichtigen und mögliche Verstöße sanktionieren. „Wer nicht risikobasiert vorgeht oder wer versucht, seine Sorgfaltspflichten auf andere Unternehmen abzuwälzen, handelt weder angemessen noch regelmäßig wirksam und erfüllt damit nicht seine eigenen Pflichten.“

Und es kommt noch toller: Zulieferer, die von einem LkSG-pflichtigen Vertragspartner pauschal und nicht risikobasiert kontaktiert werden, können dies nun gegenüber dem BAFA (auch anonym) unter der folgenden Kontaktadresse anzeigen: LKSG.Kontrolle@bafa.bund.de. Solche Hinweise kann das BAFA zur Eröffnung einer Prüfung mit einem schriftlichen Auskunftsersuchen gegenüber dem Unternehmen nutzen. Das Führen von Streitigkeiten mit Zulieferern über die Ausfüllung von pauschalen Fragebögen und überbordenden Verhaltenskodizes kann also in Form eines Auskunftsverlangens des BAFA böse auf den Regelungsadressaten zurückfallen. Das Problem: Nicht jeder Hinweis eines Zulieferers muss auch berechtigt sein.

Zwar sind die Hinweise des BAFA in Handreichungen und FAQ wie gesagt rechtlich nicht verbindlich und Rechtsprechung zu den angesprochenen Themen liegt noch nicht vor, es ist für Unternehmen aber erst einmal unangenehm genug, sich intensiven Prüfungen des BAFA stellen zu müssen und wohlmöglich einen Bußgeldbescheid zu kassieren, auch wenn dieser möglicherweise von einem Gericht später wieder aufgehoben werden sollte.

Fazit: Dokumentiertes Bemühen um angemessenes risikobasiertes Vorgehen erforderlich

Soweit muss es jedoch nicht kommen. Jedenfalls der letzte Satz des BAFA in den FAQ klingt auch für die Gesetzesadressaten versöhnlich: „Das BAFA wird mit Blick auf den Bemühenscharakter der unternehmerischen Sorgfaltspflichten plausible Darstellungen zum risikobasierten Vorgehen in angemessener Weise berücksichtigen.“ Unternehmen wissen damit zumindest im Grundsatz, was sie zu tun haben: Soweit dies noch nicht geschehen ist, sollten sie ein schlüssiges Konzept dokumentieren und umsetzen, bei dem auf der Grundlage der Risikoanalyse ein großer Teil der Zulieferer unbehelligt bleibt und Zulieferer mit konkret ermittelten Risiken mit einem maßvollen Lieferantenkodex verpflichtet und ggf. mit weiteren Präventionsmaßnahmen wie zielgerichteten Schulungen und Kontrollen versehen werden.