LkSG: 6 Schritte zu größerer Sorgfalt in Lieferketten im Rahmen des Risikomanagements

Zusammenfassung

Überblick

Seit Anfang 2023 greift in Deutschland das Lieferkettensorgfaltspflichtengesetz (LkSG). Unternehmen müssen Menschenrechts- und Umweltstandards in Lieferketten genau prüfen und auf Verbesserungen hinwirken. Um einem Greenwashing-Verdacht vorzubeugen, sind im Risikomanagement neue Strategien gefragt. Das Lieferkettensorgfaltspflichtengesetz besagt: Je direkter ein Unternehmen mit einem Zulieferer zusammenarbeitet, desto größer sind die Sorgfaltspflichten in Bezug auf Menschenrechts- und Umweltstandards. Diese Verpflichtung steigt noch weiter, wenn ein Unternehmen Hauptabnehmer von einem Lieferanten ist. Mögliche vorhandene Lücken im Risikomanagement sind zu identifizieren und zu schließen.

Gesetze, Vorschriften und Rechtsprechung

In § 4 LkSG sind die Anforderungen zum Risikomanagement ausgeführt. In § 5 LkSG sind die Anforderungen an die Risikoanalyse beschrieben.

1 Mögliche Schritte zu größerer Sorgfalt in Lieferketten

1.1 Nicht auf Compliance, sondern auf die Wirkung kommt es an

Unternehmen sollten sich nicht allein auf Zertifikate und Audits verlassen. "Viele Unternehmen und selbst Medien betrachten Zertifikate und die vermeintliche Überwachung von Zulieferern als Inbegriff der Sorgfaltspflicht. Das gaukelt falsche Sicherheit vor", findet Johannes Blankenbach, Referent beim Business & Human Rights Resource Centre in Berlin. Unternehmen haben entsprechende Systeme und Instrumente für Compliance etabliert. Aber das spricht sie nicht von ihren Sorgfaltspflichten und der Verantwortung frei. "Es kommt auf wirksame Maßnahmen für Rechteinhaber und Umwelt an".

1.2 Blindspots von Audits können gefährlich werden

Die meisten Audits sind nicht explorativ. Das heißt, die Standards beruhen auf geschlossenen Fragen, die es abzuhaken gilt. Das funktioniert dann gut, wenn man weiß, was passieren kann. Allerdings ist das kaum zu leisten, denn selbst fundierte Audits haben einen bestimmten Fokus und können nie alles abdecken. Wer sich auf Sozialaudits verlässt, übersieht möglicherweise die Risse in einem Produktionsgebäude. So kommt es trotzdem zu Tragödien wie dem Einsturz von Rana Plaza in Bangladesch oder dem Brand bei Ali Enterprises in Pakistan. Beide Unternehmen wurden kurz vor dem Vorfall auditiert.

In einer Studie von Germanwatch von 2022 wurden Zertifizierungen der Rohstoffindustrie untersucht. Demnach bewertet etwa der Due Diligence Standard der Responsible Mineral Initiative (RMI), "inwieweit Rohstoffschmelzen und Raffinerien Managementprozesse der menschenrechtlichen Sorgfalt gemäß den OECD-Leitlinien in ihren Lieferketten umsetzen, ohne jedoch die Produktionsstätten selbst auf die Einhaltung von ESG-Belangen hin zu überprüfen". RMI beauftrage zwar selbst den Zertifizierungsdienstleister mit dem Audit, sodass es den Einfluss des zertifizierten Unternehmens reduzieren könne. Doch es beziehe die Rechteinhaber (Beschäftigte oder Menschen, die vor Ort leben) nicht ein und mache die Ergebnisse der Zertifizierung auch nicht transparent. Dass die Umwelt einer Mine nicht mit Arsen verseucht ist, kann ein solches Zertifikat also bspw. nicht bescheinigen. Zudem fokussiert sich die RMI auf die OECD Due Diligence Guidance for Minerals from Conflict-Affected and High-Risk Areas (CAHRAs). Damit sind menschenrechtliche Sorgfaltspflichten nur in beschränktem Ausmaß abgedeckt und auf Hochrisikoländer beschränkt, die gemäß der eigenen Methodologie als solche definiert sind.

Generell sollten Unternehmen bedenken, worauf Audits beruhen und wie sie ablaufen:

• Welche Standards und Teile der Menschenrechts- und Sorgfaltspflichten in der Lieferkette deckt das Audit ab?

• Inwiefern ist das Audit angekündigt oder haben Unternehmen die Möglichkeit, vorab auf anderen Wegen davon zu erfahren und mögliche Missstände zu verschleiern?

• Führt eine unabhängige Partei (third party) das Audit durch oder sind die Auditorinnen und Auditoren vom Zulieferer selbst beauftragt und bezahlt?

• Beziehen Besuche und Befragungen die Rechteinhaber ein und beruhen sie auf Interviews, die in entsprechenden Schutzräumen oder vertrauensvollen Rahmenbedingungen stattfinden?

• Welche Expertise bringen die Auditorinnen und Auditoren mit?

• In welchem Turnus finden die Audits statt (in der Regel alle 1 bis 3 Jahre)?

Die Standards und Zertifizierungen bilden inzwischen ein eigenes Ökosystem und Geschäftsfeld. Manche ergänzen sich gegenseitig. Der Zertifikate-Dschungel ist nicht einfach zu durchschauen, wobei hier vor allem große Unternehmen schon viel Erfahrung und Expertise haben. Dennoch bleiben Blindspots. Der Helpdesk Wirtschaft & Menschenrechte, das Unternehmen eine unabhängige Beratung anbietet, brachte 2022 ein Infopaket zur Rolle von Audits im Sorgfaltsprozess heraus. "Bei einem Audit [...] handelt es sich stets um eine Momentaufnahme, die Auskunft über die übliche Situation vor Ort geben kann, aber nicht muss", heißt es in dem Papier. Zeitgründe, Gefälligkeit gegenüber dem Auftraggeber, zu gering qualifiziertes Personal oder Korruption – all das kann die Ergebnisse beeinflussen und dazu führen, dass Unternehmen die tatsächlichen Verhältnisse vor Ort falsch einschätzen. "Ein Zertifikat ist bestenfalls ein gutes Abbild im Moment, schlechte...