Wenn wir mit Kunden zusammenarbeiten, um sie bei der Compliance mit dem neuen deutschen Lieferkettengesetz (kurz: LkSG) zu unterstützen, fragen sie uns häufig, wie weit sie gehen müssen, um die Aufsichtsbehörden zufriedenzustellen. Diese Frage wird sich nun noch häufiger stellen, da die Grenze für die Berichterstattung ab Januar 2024 von Unternehmen mit mehr als 3.000 Beschäftigten in Deutschland auf Unternehmen schon ab 1.000 Beschäftigten herabgesetzt wird. Vereinfacht gesagt, wollen (und müssen) die für die Berichterstattung nach dem Lieferkettengesetz verantwortlichen Personen wissen, wann genug wirklich genug ist.
Die ehrliche Antwort auf diese Frage mag auf den ersten Blick wenig hilfreich erscheinen, denn sie lautet: Es gibt keine richtige Antwort. Dies hängt in der Tat von einer Vielzahl von Faktoren ab. Um zu verstehen, was für Ihr Unternehmen ausreichend ist, müssen wir einen Blick auf die aktuelle Gesetzgebung werfen.
Das Lieferkettengesetz definiert (wie auch ähnliche Rechtsvorschriften, die in Europa und dem Rest der Welt aufkommen) die Erwartungen an die Compliance klar und deutlich. Erstens legt das Lieferkettengesetz eindeutig fest, dass Unternehmen einen risikobasierten Ansatz in Bezug auf die Sorgfaltspflicht in der Lieferkette anwenden müssen. Zweitens muss der Aufwand in einem angemessenen Verhältnis zur Geschäftstätigkeit des Unternehmens und zur Komplexität der Lieferkette stehen.
Insbesondere die Hinweise zur Einreichung beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), die das Offenlegungselement des Lieferkettengesetzes darstellt, verweisen explizit auf die „Angemessenheit der Risikobewertung“ und stellen klar, dass die Risikobewertung keine unzumutbare Belastung sein darf. Die Unternehmen müssen jedoch gewährleisten, dass der Aufwand in einem angemessenen Verhältnis zu ihrer Geschäftstätigkeit und den damit verbundenen Risiken steht.
Bei genauerer Betrachtung ergibt das natürlich Sinn. Das Lieferkettenrisiko-Management in Bezug auf ESG kann niemals nach einem allgemein gültigen Ansatz erfolgen. Eine Burger-Kette in Privatbesitz mit 1.000 Beschäftigten in ganz Deutschland hat beispielsweise ganz andere Risiken als ein multinationales Fertigungsunternehmen, das Rohstoffe aus mehreren Kontinenten bezieht – und die Gesetzgebung berücksichtigt dies zu Recht. Das bedeutet nicht, dass für die Burger-Läden kein Risiko besteht, aber das grundlegende Risikoprofil ist relativ gesehen viel niedriger. Daher sind erwartungsgemäß in diesem Fall die Anforderungen des Lieferkettengesetzes in Bezug auf die Lieferkettenrisiko-Bewertung entsprechend geringer.
Wie finden Sie also heraus, was für Ihr Unternehmen angemessen ist? Zu diesem Zweck empfiehlt der „OECD-Leitfaden für die Erfüllung der Sorgfaltspflicht für verantwortungsvolles unternehmerisches Handeln“ die Durchführung einer „breit angelegten Risikoanalyse“, um ein umfassendes Bild der Risiken in der gesamten Lieferkette zu erhalten. Dieser breite, multidisziplinäre Ansatz ist ein wesentlicher Aspekt einer erfolgreichen Umsetzung der Sorgfaltspflicht in der Lieferkette. Und er ist von entscheidender Bedeutung für Unternehmen, die gegenüber Aufsichtsbehörden in Deutschland und darüber hinaus nachweisen müssen, dass sie ihre Risiken kennen und „genug getan“ haben, um sie zu mindern.
Genug zu tun, wird aber immer schwieriger. Die Struktur und das schiere Ausmaß der heutigen Lieferketten bedeuten, dass ESG-Probleme und ihre Ursachen extrem schwer zu erkennen, zu verstehen und zu beseitigen sind. Es bedarf intensiver und nachhaltiger Anstrengungen, um die Überwachung und Berichterstattung in den vorgeschriebenen Abständen durchzuführen. Die für die Einhaltung von Vorschriften erforderlichen Daten gehen weit über die üblichen betrieblichen Grenzen hinaus. Ohne die gebotene Sorgfalt besteht die Gefahr, dass Datenquellen von zweifelhafter Herkunft, Genauigkeit oder Interpretation zu primären Informationsquellen werden, welche die Grundlage für die Risikobewertung, das Risikomanagement und die nachfolgende Offenlegung untergraben. Dies stellt eine erhebliche Bedrohung für die Reputation eines Unternehmens und die Einhaltung der gesetzlichen Bestimmungen dar.
Aus diesem Grund verlässt sich Achilles bei der Zusammenarbeit mit Unternehmen zur Unterstützung ihrer ESG-Compliance niemals auf Daten aus einer einzigen Quelle oder auf Informationen, die ausschließlich durch Web-Crawling gewonnen wurden. Stattdessen sammeln und bewerten wir zunächst Daten aus einer Vielzahl von Quellen, einschließlich (aber nicht beschränkt auf) Unterlagen der Unternehmen in Ihrer Lieferkette, öffentlich zugängliche und historische Informationen aus dem Internet und Untersuchungsberichte von Nichtregierungs- und Wohltätigkeitsorganisationen. Einzigartig ist, dass wir auch Informationen aus unserem umfassenden, globalen, persönlichen Auditprogramm und die Aussagen von Beschäftigten, die wir über viele Jahre hinweg in ähnlichen Branchen und Regionen befragt haben, einbeziehen, um ein vollständiges Bild Ihres Lieferkettenrisikos zu zeichnen.
Es ist dieses Maß an detaillierten Analysen und Einblicken, das eine umfassende Offenlegung im Sinne des Lieferkettengesetz ermöglicht und Ihnen die Gewissheit gibt, dass Sie „genug getan“ haben. Erst wenn man sich ein genaues Bild gemacht hat, kann man tatsächlich zum nächsten Schritt in Richtung „wirklich genug tun“ übergehen – der Integration von Qualitätsmanagement-Grundsätzen in einen risikobasierten Ansatz der menschenrechtlichen Sorgfaltspflicht. Weitere Informationen finden Sie hier auf unserer speziellen Seite zum Lieferkettengesetz.