Lieferketten-Compliance: BAFA veröffentlicht FAQ zum risikobasierten Vorgehen
I. Hintergrund
Am 19.02.2025 hat das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eine neue Orientierungshilfe zum risikobasierten Vorgehen nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) veröffentlicht (FAQ). Die Behörde gibt hierbei insbesondere Antworten darauf, wie verpflichtete Unternehmen priorisiert Risiken analysieren und gegenüber Zulieferern adressieren sollen. Diese FAQ ergänzen und wiederholen zum Teil die Publikationen des BAFA, über die wir bereits ausführlich berichtet hatten, namentlich die Handreichungen zur Risikoanalyse zur Angemessenheit und Wirksamkeit und zur Zusammenarbeit in der Lieferkette. Wichtig zu beachten ist, dass die FAQ Anforderungen der europäischen Corporate Sustainability Due Diligence Directive (CSDDD) berücksichtigen, ohne dies ausdrücklich klarzustellen.
Zur Grundstruktur der Risikoanalyse verhalten sich die FAQ nicht. Sie behandeln aber Detailfragen zum risikobasierten Ansatz und zur Einbindung von Zulieferern (II.). Außerdem kündigt das BAFA an, verstärkt zu kontrollieren, wie Unternehmen den risikobasierten Ansatz umsetzen (III.).
Die wesentlichen Punkte der FAQ fassen wir nachfolgend zusammen und ordnen diese ein:
II. Wesentliche Inhalte
1. Risikobasierter Ansatz
Verpflichtete Unternehmen müssen die Sorgfaltspflichten des LkSG risikobasiert umsetzen. Dies ist kein neuer Gedanke. Er findet sich bereits in den Gesetzesmaterialien. Der Hintergrund liegt auf der Hand: Unternehmen sollen durch diese Fokussierung tatsächlich bedeutsame Risiken bevorzugt adressieren und sowohl Aufwand als auch Ressourcen optimal einsetzen und kanalisieren. Dieser Ansatz führt dazu, dass verpflichtete Unternehmen nicht alle Zulieferer gleichermaßen analysieren und kontrollieren müssen. Daher sieht das BAFA umfangreiche und pauschale Informationsabfragen bei Zulieferern kritisch.
2. Fokussierte Risikoanalyse
a) Transparenz als Ausgangspunkt
Unternehmen sollen sich zunächst einen umfassenden Überblick über ihre Tätigkeiten verschaffen. Dieser Schritt ist für die Risikoanalyse wesentlich und umfasst nicht nur die Geschäftspartner, sondern auch die Tätigkeiten im eigenen Geschäftsbereich (§ 5 Abs. 1 Satz 1 LkSG). In diesem Zusammenhang wird deutlich, dass Unternehmen sich einen Überblick über die internen Zuständigkeiten und bereits bestehenden Informationen verschaffen sollen. Als Ausgangspunkt der Risikoanalyse ist dies sinnvoll und erforderlich, um die richtigen Ansprechpartner innerhalb des Unternehmens einbinden zu können und zu definieren, für welche Aspekte Informationen beschafft werden müssen. Nach Ansicht des BAFA reicht hierfür in der Regel eine Desktop-Recherche aus. Unternehmen sollten daher nur in begründeten Fällen in diesem Stadium Geschäftspartner kontaktieren.
b) Methodisches Vorgehen bei Risikoermittlung und -priorisierung
Unternehmen sollen zunächst die „allgemeinen Risikobereiche“ identifizieren (abstrakte Risikoanalyse). Dabei sollen Unternehmen bevorzugt die eigene Branche, Tätigkeits- und Beschaffungsländer oder bestimmte Rohstofflieferketten betrachten. Nach Ansicht des BAFA reichen hierfür Medienberichte, Studien, Indizes oder auch Informationen von Brancheninitiativen und Multi-Stakeholder-Initiativen aus. Sollten sich Unternehmen in diesem Stadium bei Geschäftspartnern nach Informationen erkundigen, sollten sie diesen Schritt gegenüber der Behörde begründen können.
In einem zweiten Schritt sollen Unternehmen sodann prüfen, ob und inwiefern in den zuvor ermittelten allgemeinen Risikobereichen tatsächliche Risiken in Bezug auf ihre eigenen Lieferketten existieren (konkrete Risikoanalyse). Wie bereits ausgeführt umfasst dies auch den eigenen Geschäftsbereich des verpflichteten Unternehmens. Sollten konkrete Risiken bestehen, muss das Unternehmen diese bewerten und priorisieren. Die FAQ deuten darauf hin, dass das BAFA prüfen wird, ob Unternehmen methodisch konsistent vorgegangen sind. Wichtig ist daher, dass Unternehmen nachvollziehbar dokumentieren, welche Methodik sie entwickelt und wie sie diese angewendet haben.
Missverständlich sind die FAQ zu der Frage, ob Unternehmen alle identifizierten konkreten Risiken (zeitlich abgestuft) adressieren müssen. So heißt es, dass Unternehmen nicht auf alle Zulieferer zugehen müssen und nicht alle identifizierten Risiken adressieren müssen, sondern zunächst nur die prioritären. Bei verständiger Lesart heißt dies wohl, dass Unternehmen alle ihre konkret festgestellten Risiken mitigieren müssen, aber im Rahmen eines weiten Ermessenspielraums gestaffelt vorgehen können. Hierfür sprechen auch die Gesetzesmaterialien, wonach Unternehmen selbst entscheiden können, welche konkreten Risiken sie zuerst adressieren, sollten sie nicht in der Lage sein, alle Risiken gleichzeitig anzugehen.
3. Priorisiertes Vorgehen gegenüber Zulieferern
Die FAQ behandeln auch Fragen, wie Unternehmen in der Lieferkette zusammenarbeiten sollen. Diese wiederholen und ergänzen teilweise Ausführungen in der Handreichung zur Zusammenarbeit in der Lieferkette. Verpflichtete Unternehmen sollen nach Ansicht des BAFA nicht alle ihre Zulieferer anschreiben. Dies entspreche nicht den Anforderungen des LkSG. Vielmehr sollen sie Zulieferer mit schweren und wahrscheinlichen Risiken oder unklarer Risikosituation priorisieren.
Die Ausführungen zur Reichweite der Risikoanalyse werfen Fragen zur Durchführbarkeit und zu der rechtlichen Grundlage auf. Nach den FAQ sollen verpflichtete Unternehmen solche Zulieferer der tieferen Lieferkette im Regelfall direkt kontaktieren, bei denen die Risiken nach den Ergebnissen der Risikoanalyse am wahrscheinlichsten auftreten werden. Dies erscheint schon praktisch schwer durchführbar, weil die Zulieferer der tieferen Lieferkette keineswegs immer bekannt sind. Auch in rechtlicher Hinsicht werfen diese Ausführungen Fragen auf: Nach dem LkSG sind Unternehmen nur verpflichtet, die Risiken ihrer unmittelbaren Zulieferer zu analysieren. Mit der tieferen Lieferkette, also mit ihren mittelbaren Zulieferern, müssen sich Unternehmen nur befassen, wenn sie tatsächliche Anhaltspunkte für ein Risiko oder eine Verletzung haben (§ 9 Abs. 3 Nr. 1 LkSG). Damit knüpfen die FAQ an Anforderungen der noch nicht in deutsches Recht umgesetzten und auf europäischer Ebene kontrovers diskutierten CSDDD an. Dort ist geregelt, dass Unternehmen Risiken entlang ihrer Aktivitätskette analysieren müssen, mithin auch die vorgelagerte Lieferkette (Art. 8 Abs. 1, Art. 2 Abs. 1 lit. g) CSDDD). Hierüber hatten wir bereits eingehend berichtet .
Die Ausführungen zu den Präventionsmaßnahmen müssen ebenfalls genauer betrachtet werden. Nach den FAQ sollen Unternehmen ihre Zulieferer nicht unabhängig von ihrer Risikodisposition vertraglich zu Präventionsmaßnahmen verpflichten. Das BAFA könne solche Vereinbarungen als unangemessen und in der Regel unwirksam bewerten. Unklar bleibt, ob die Behörde hierbei auf eine Unangemessenheit und Unwirksamkeit im Sinne des LkSG oder auf Wertungen des Zivilrechts abstellt. In beiden Fällen obliegt es jedenfalls den Gerichten zu bewerten, ob eine Vertragsklausel unangemessen oder unwirksam ist.
III. Verstärkte Kontrolle des risikobasierten Ansatzes
Das BAFA hat in den FAQ angekündigt, verstärkt zu prüfen, wie Unternehmen den risikobasierten Ansatz umsetzen. Besonders kritisch sieht es das BAFA, wenn sich verpflichtete Unternehmen von ihren Zulieferern pauschal zusichern lassen, dass sie Standards in der gesamten Lieferkette einhalten (sog. Box-Ticking). Dies soll nach Ansicht der Behörde in der Regel keine wirksame und angemessene Maßnahme im Rahmen des Risikomanagements sein.
Zudem werden Geschäftspartner ermutigt, über den anonymen Meldekanal des BAFA auf etwaiges Fehlverhalten verpflichteter Unternehmen hinzuweisen. In diesem Fall kann das BAFA das betroffene Unternehmen schriftlich um Auskunft ersuchen, insbesondere zum risikobasierten Vorgehen und zur Methodik bei der Durchführung der Risikoanalyse.
IV. Fazit
Die neuen FAQ zum risikobasierten Vorgehen bringen sowohl positive als auch nachteilige Aspekte mit sich. Einerseits ist es begrüßenswert, dass die FAQ nochmals betonen, dass verpflichtete Unternehmen im Rahmen des LkSG risikobasiert vorgehen sollen. Diesen pragmatischen Ansatz hatte bereits der Gesetzgeber vor Augen. Er entlastet Wirtschaftsteilnehmer und begegnet der öffentlichen Kritik, wonach Unternehmen mit „masseweisen Fragebögen“ konfrontiert und insbesondere kleinere Unternehmen überfordert werden. Andererseits stellen die FAQ teilweise Anforderungen auf, die verpflichtete Unternehmen nach dem LkSG so nicht erfüllen müssen.
Haben Sie Fragen?
Informationen zu unserem Beratungsspektrum rund um das Thema Lieferketten-Compliance, einschließlich LkSG, CSDDD, CSRD finden Sie hier.
Insights
