Data Protection Academy » Data Protection Wiki » The Supply Chain Sourcing Obligations Act

Blue world map with graphics showing the flow of supply chains

The Supply Chain Act: Corporate obligations from 2023 onwards

Die Produkte, die wir jeden Tag kaufen oder verwenden, haben teilweise sehr lange, globalisierte Produktions- und Lieferketten durchlaufen. Je länger und undurchsichtiger diese Lieferketten sind, desto anfälliger werden sie für Menschenrechtsverletzungen oder Umweltschädigungen. Mit dem Ziel, diesen vorzubeugen, tritt am 1. Januar 2023 das Lieferkettensorgfaltspflichtengesetz (LkSG) oder auch in Deutschland in Kraft.

Aus dem Lieferkettensorgfaltspflichtengesetz entstehen eine Reihe an gesetzlichen Anforderungen. Für wen genau das Lieferkettengesetz gilt und welche Anforderungen auf betroffene Unternehmen jetzt zukommen, haben wir in diesem Artikel zusammengefasst.

Most important information on the Supply Chain Duty of Care Act (LkSG)

  • Das Lieferkettensorgfaltspflichtengesetz gilt für alle größeren Unternehmen mit Sitz in Deutschland unabhängig von der Rechtsform:
    • seit dem 01.01.2023 für Unternehmen mit über 3.000 Beschäftigten in Deutschland.
    • ab dem 01.01.2024 für Unternehmen mit über 1.000 Beschäftigten in Deutschland.
  • Geschäftsführer werden stärker in die Pflicht genommen, in die Lieferketten ihres Unternehmens die Sorgfaltspflichten in Bezug auf Menschenrechte und Umwelt zu beachten.
  • The UN-Leitprinzipien für Wirtschaft und Menschenrechte are to be implemented in a binding manner with the LkSG.
  • The legal requirements defined in the LkSG, refer to the gesamte Wertschöpfungskette, also sowohl auf den eigenen Geschäftsbereich der betroffenen Unternehmen als auf die ihrer Lieferanten.

Content on the topic of the Supply Chain Due Diligence Act:

Whitepaper Gesamtüberblick zum Lieferkettengesetz (LkSG)

Whitepaper: Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

Download the white paper now and benefit:

  • All relevant requirements aus dem Gesetz im Überblick
  • Erläuterung der neuen Definitions
  • Important notes on the Implementation of due diligence

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Background information: What does the German Supply Chain Sourcing Obligations Act say?

Das Lieferkettengesetz verpflichtet die unter den Anwendungsbereich fallenden Unternehmen, in ihren Lieferketten die Sorgfaltspflichten in Bezug auf Menschenrechte und Umwelt angemessen zu beachten. Die gesetzlichen Pflichten der betroffenen Unternehmen sind abhängig von ihren tatsächlichen Einflussmöglichkeiten und beziehen sich konkret auf drei Einflussbereiche:

  • einen eigenen Geschäftsbereich,
  • the actions of a contracting party, and
  • the actions of other (indirect) suppliers.

Zu den Sorgfaltspflichten der Unternehmen gehören:

  • Einrichtung eines Risikomanagements und Durchführung einer Risikoanalyse
  • Verabschiedung einer Grundsatzerklärung der unternehmerischen Menschenrechtsstrategie
  • Verankerung von Präventionsmaßnahmen
  • Sofortige Ergreifung von Abhilfemaßnahmen bei festgestellten Rechtsverstößen
  • Establishment of a complaints procedure
  • Dokumentations- und Berichtspflicht für die Erfüllung der Sorgfaltspflichten

Why was the Supply Chain Duty of Care Act passed?

In order to improve the international human rights situation, the Federal Government in 2016 had the National Action Plan on Business and Human Rights (NAP) beschlossen. Dieser sollte, basierend auf den Leitprinzipien für Wirtschaft und Menschenrechte der Vereinten Nationen, die Gestaltung globaler Lieferketten nachhaltig und sozial gerecht vorantreiben und stellte erstmals die Unternehmen in den Fokus der Verantwortung. Im NAP formulierte die Bundesregierung die Erwartungen an deutsche Unternehmen, dass diese die Einhaltung von Menschenrechten in angemessener Weise (also entsprechend ihrer Größe, Branche und Position) in ihren Wertschöpfungs- und Lieferketten beachten.

Dieser Aktionsplan stellte eine freiwillige Selbstverpflichtung dar. Es stellte sich jedoch heraus, dass weniger als 20% der größeren Unternehmen diese Sorgfaltspflichten tatsächlich wahrnahmen. Das veranlasste die Bundesregierung dazu, die Unternehmen gesetzlich in die Pflicht zu nehmen. So wurde am 22. Juli 2021 das Lieferkettensorgfaltspflichtengesetz verabschiedet.

Areas of application of the Supply Chain Act

How is a Supply chain defined according to LkSG?

The Supply Chain Sourcing Obligations Act applies along the entire supply chain of an affected company. The supply chain refers to all products and services, die das Unternehmen anbietet. Alle Produktionsschritte, angefangen von der Gewinnung der Rohstoffe bis hin zur Lieferung an den Endkunden, sind dabei international zu berücksichtigen.

Der Begriff „Lieferkette“ wird im LkSG sehr weitgreifend ausgelegt. So fallen auch in Anspruch genommene Dienstleistungen, wie bspw. Transport oder Zwischenlagerung von Waren und sogar Hilfsprozesse wie Reinigungsdienstleistungen oder selbst Bürobedarf in den Betrachtungsbereich.

Die Risikobetrachtungen, die das betroffene Unternehmen vornehmen muss, sind dabei jedoch abhängig vom tatsächlichen Einflussbereich des Unternehmens und richten sich nach dem Prinzip der Angemessenheit. So sollten sich Unternehmen zunächst auf unmittelbare Zulieferer fokussieren und auch vorrangig auf die wesentlichen Risiken (Priorisierung). Bei angemessenen Bemühungen hat das betroffene Unternehmen im Falle einer Menschenrechtsverletzung in der Lieferkette keine Sanktionen zu erwarten.

Liegen einem Unternehmen jedoch konkrete Anhaltspunkte vor, die auf eine Verletzung der Sorgfaltspflichten eines mittelbaren Zulieferers schließen lassen, so hat es anlassbezogen unbedingt dort prüfend tätig zu werden.

Welche Menschenrechte werden geschützt?

The Supply Chain Sourcing Obligations Act is directly oriented towards the UN Guiding Principles, in denen die Menschenrechte niedergeschrieben sind. Das Gesetz definiert typische Lieferketten-Risiken, auf die bei der Erfüllung der Sorgfaltspflichten zu achten sind.

Dazu zählen unter anderem:

  • the prohibition of child labour
  • the protection against slavery and forced labour
  • freedom from discrimination
  • protection against unlawful land confiscation
  • der Arbeitsschutz und damit zusammenhängende Gesundheitsgefahren
  • the prohibition of the withholding of a reasonable wage
  • The right to form trade unions or workers' representatives.
  • das Verbot der Herbeiführung einer schädlichen Bodenveränderung oder Gewässerverunreinigung
  • the protection against torture

Zusätzlich werden Umweltrisiken berücksichtigt, die zu Menschenrechtsverletzungen führen, bspw. bei Emissionen von Stoffen, die für Mensch und Umwelt gefährlich sind. Das Lieferkettengesetz greift drei internationale Übereinkommen zu bestimmten, umweltbezogenen Pflichten auf:

  • das Übereinkommen von Minamata über Quecksilber
  • das Stockholmer Übereinkommen über persistente organische Schadstoffe
  • das Basler Übereinkommen über die grenzüberschreitende Verbringung gefährlicher Abfälle und ihrer Entsorgung

Für welche Unternehmen gilt das Lieferkettengesetz und ab wann?

The law applies from 01. Januar 2023 für Unternehmen mit Sitz oder Niederlassung in Deutschland, welche 3.000 Arbeitnehmer in Deutschland beschäftigen. Ab dem 01. Januar 2024 gelten die gesetzlichen Anforderungen des Lieferkettensorgfaltspflichtengesetz dann auch für Unternehmen ab 1.000 Arbeitnehmer im Inland.

Darüber hinaus ist das LkSG ebenso für Unternehmen von Bedeutung, die nicht in den direkten Anwendungsbereich fallen. Diese können mittelbar betroffen sein, wenn sie bspw. Lieferant eines Unternehmens sind, welches direkt in der gesetzlichen Verantwortung steht. Unternehmen außerhalb des Anwendungsbereiches des Lieferkettensorgfaltspflichtengesetz können jedoch nicht mit Bußgeldern gelegt werden.

Dienstleister und Lieferanten sollten sich demnach frühzeitig darauf einstellen den Anforderungen aus dem LkSG nachzukommen, um keine Wettbewerbsnachteile zu erfahren.

Impact of the LkSG on SMEs

Grundsätzlich sind alle Unternehmen angehalten, die Sorgfaltspflichten die sich aus dem Nationalen Aktionsplan Wirtschaft und Menschenrechte (NAP) ergeben, umzusetzen. Also auch jene, die nicht direkt in den Anwendungsbereich des LkSG fallen.

The Supply Chain Sourcing Obligations Act now obliges Unternehmen einer gewissen Größe ihre unmittelbaren Zulieferer auf die Einhaltung der Sorgfaltspflichten zu prüfen auch vertraglich zu verpflichten. Aus dieser vertraglichen Verpflichtung ergeben sich auch Anforderungen für viele kleinere und mittelständische Unternehmen (KMUs) bspw. zur Einführung von wirksamen Kontroll-Mechanismen, um die Einhaltung der Menschenrechte bei unmittelbaren Zulieferern zu überprüfen.

Die Pflichten, die sich aus dem Lieferkettengesetz ergeben, können jedoch nicht einfach an die Zulieferer weitergegeben werden, bspw. Berichtspflichten gegenüber der BAFA und der Öffentlichkeit. Auch mit Kontrollmaßnahmen oder Sanktionen hat ein Zulieferer außerhalb des gesetzlichen Anwendungsbereiches nicht zu rechnen. Um bestehende Handlungsbeziehungen und Verträge mit größeren Unternehmen beizubehalten, müssen allerdings auch kleinere und mittelständische Unternehmen die eingeforderte Nachweise erbringen. Andernfalls könnten Geschäftspartner bestehende Verträge kündigen, um der eigenen Sorgfaltspflicht nachzukommen.

Welche Sorgfaltspflichten müssen Unternehmen umsetzen?

Corporate obligations under the Supply Chain Sourcing Obligations Act

Aus dem Lieferkettengesetz ergeben sich folgende wesentliche Pflichten für betroffene Unternehmen:

1. Einrichtung eines Risikomanagements und Durchführung von Risikoanalysen

With the Supply Chain Sourcing Obligations Act, affected companies are placed under the obligation to implement an effective risk management zu implementieren. Die Risikoanalyse ist dabei die Grundlage eines angemessenen und wirksamen Risikomanagements. Ab Inkrafttreten des Gesetzes müssen die betroffenen Unternehmen regelmäßig einmal jährlich, also auch im ersten Geschäftsjahr, eine Risikoanalyse durchführen. Anlassbezogen können Risikoanalysen aber auch mehrfach jährlich notwendig werden. „Anlassbezogen“ sind Risikoanalysen verpflichtend, wenn sich die Risikolage in den Lieferketten wesentlich geändert hat oder es konkrete Hinweise auf eine Verletzung der Sorgfaltspflichten gibt.

Gemäß § 4 Abs. 4 LkSG sind die Interessen von Beschäftigten und von Personen, die in sonstiger Weise durch das wirtschaftliche Handeln des Unternehmens betroffen sein können, bei Errichtung und Umsetzung des Risikomanagements zu berücksichtigen. Der Begriff der „Beschäftigten“ ist dabei sehr weit auszulegen und umfasst auch beschäftige Freelancer. „Personen, die in sonstiger Weise durch das wirtschaftliche Handeln des Unternehmens betroffen sin können“ können beispielsweise Nachbarn oder Grundstückbesitzer sein.

In der Risikoanalyse festgestellte Risiken im Sinne des Lieferkettengesetzes sind durch das betroffene Unternehmen unverzüglich durch angemessene Präventionsmaßnahmen zu vermeiden.

2. Verabschiedung der Grundsatzerklärung

Gem. § 6 Abs. 2 S. 2 LkSG hat die Unternehmensleitung eine Grundsatzerklärung abzugeben und diese auch öffentlich zugänglich zu machen (Bspw. auf der Homepage des Unternehmens). Die Grundsatzerklärung ist das Bekenntnis der Geschäftsführung zur Achtung der sozialen und ökologischen Anforderungen und muss alle gesetzlich geforderten Elemente vollständig und aus sich heraus verständlich in einem Dokument enthalten. Verweise auf ergänzende Dokumente sind dabei aber im Einzelfall möglich.

Die Grundsatzerklärung muss aktiv gegenüber Beschäftigten, ggf. dem Betriebsrat sowie gegenüber unmittelbaren Zulieferern kommuniziert werden. Eine passive Bereitstellung ist gesetzlich nicht zulässig. Bei Zulieferern sind die allgemeinen Lieferbedingungen ein geeigneter Weg der Umsetzung der Kommunikationspflicht.

Aus dieser gesetzlichen Forderung ergibt sich für die Geschäftsleitung die Aufgabe, die eigenen Unternehmensgrundsätze mit den gesetzlich geforderten abzugleichen und in Einklang zu bringen. Die Unternehmensstrategie wird also vom Lieferkettensorgfaltspflichtengesetz direkt beeinflusst.

3. Verankerung von Präventionsmaßnahmen

Werden relevante Risiken ermittelt, müssen diesen gemäß § 6 Abs. 1 LkSG unverzüglich Präventionsmaßnahmen und nach dem Grundsatz der Angemessenheit (also priorisiert) entgegengestellt werden. Präventionsmaßnahmen sind dabei immer dann zu ergreifen, wenn die Risiken im eigenen Geschäftsbereich oder auch innerhalb der Lieferkette bekannt werden.

In folgenden Fällen ist auf jeden Fall unmittelbar zu handeln:

  • Personal im Risikomanagement, dessen Kenntnisse und Erfahrungen angesichts des Risikoprofils des Unternehmens geeignet erscheinen, das Unternehmen auf das betreffende Risiko aufmerksam macht (vgl. § 4 Abs. 3 S. 1 LkSG),
  • das Unternehmen ein Risiko bei Berücksichtigung der Interessen der Personengruppen, die durch das wirtschaftliche Handeln eines Zulieferers in seinen Lieferketten betroffen sind, ermittelt (vgl. § 4 Abs. 4 LkSG),
  • das Unternehmen durch eine anlassbezogene Analyse von Risiken jenseits des unmittelbaren Zulieferers Kenntnis erlangt (vgl. § 5 Abs. 4 LkSG),
  • das Unternehmen von Risiken Kenntnis erlangt, wenn es im Rahmen der Erarbeitung einer Grundsatzerklärung Erwartungen an die Zulieferer in der Lieferkette formuliert (vgl. § 6 Abs. 2 Nr. 3 LkSG),
  • sich um Transparenz in der Lieferkette im Rahmen der Entwicklung und Implementierung geeigneter Beschaffungsstrategien und Einkaufspraktiken (§ 6 Abs. 3 Nr. 2) bemüht,
  • geeignete Maßnahmen gegenüber unmittelbaren Zulieferern im Sinne des § 6 Abs. 4 Nr. 1 und 2 LkSG verankert oder
  • wenn das Unternehmen substantiierte Kenntnis im Sinne des § 9 Abs. 3 LkSG erlangt.

4. Ergreifung von Abhilfemaßnahmen

Wird eine Verletzung der Sorgfaltspflichten nach dem LkSG bekannt, muss das betroffene Unternehmen sofort Abhilfemaßnahmen ergreifen. Die Unternehmen sind bei einer Verletzung innerhalb der Lieferkette dazu angehalten, zunächst mit dem Zulieferer gemeinsame Lösungen zu finden, bevor man die Geschäftsbeziehung aufgibt. Nach Abschalten eines Missstandes durch die Abhilfemaßnahme sollten Präventionsmaßnahmen getroffen werden, damit eine weitere Verletzung ausgeschlossen wird.

5. Establishment of a complaints procedure

The Supply Chain Sourcing Obligations Act also obliges the companies concerned to set up a Complaint management, um Menschenrechtsverstößen mitteilen zu können.

Das Beschwerdeverfahren nach dem LkSG muss folgende Anforderungen erfüllen:

  • Beschwerde-Möglichkeiten müssen öffentlich zugänglich sein
  • Die Identität des Hinweisgebers muss geschützt sein (inkl. Datenschutz) und Schutz vor Repressalien
  • Beschwerdemöglichkeiten sollten in allen notwendigen Sprachen verfügbar & leicht formuliert sein
  • Der für das Beschwerdeverfahren zuständige Mitarbeiter sollten auf Verschwiegenheit verpflichtet sein und unabhängig in seiner Rolle
  • Es sollte eine Eingangsmeldung an den Hinweisgeber geben sowie eine Erörterung des Sachverhalts

6. Documentation and reporting obligation

It is important for companies affected by the Supply Chain Act to Recurring risk analyses and assessments, as well as Präventionsmaßnahmen und Abhilfen entsprechend dokumentieren. Die Dokumentation ist dabei als integraler Bestandteil des übergreifenden Compliance-Managements effizient über ein digitales Management-Tool wie bspw. das ComplianceOS® von Robin Data möglich.

Betroffene Unternehmen sind darüber hinaus einmal im Jahr dazu verpflichtet, spätestens vier Monate nach Ende des Geschäftsjahres einen Bericht über die die Wahrung ihrer Sorgfaltspflichten an das Bundesamt für Wirtschaft und Ausfuhrkontrolle zu senden und online zu veröffentlichen. Betriebs- und Geschäftsgeheimnisse sind dabei stets zu wahren. Das BAFA schafft ein digitales Verfahren zur Einreichung der Berichte.

Der Bericht muss nachvollziehbar Auskunft darüber geben:

  • whether and which human rights and environmental risks the company has identified,
  • was das Unternehmen zur Erfüllung seiner Sorgfaltspflichten unternommen hat,
  • wie das Unternehmen die Auswirkungen und die Wirksamkeit der Maßnahmen bewertet,
  • welche Schlussfolgerungen es aus der Bewertung für zukünftige Maßnahmen zieht.

What impact does the Supply Chain Act have on compliance?

Das Lieferkettengesetz verpflichtet die Unternehmensführung bestehende Compliance-Management-Systeme im Hinblick auf die neuen Anforderungen zu ergänzen. Geschäftsführer werden damit stärker in die Pflicht genommen in ihrem unternehmerischen Handeln die Menschrechte und die Umwelt zu berücksichtigen. Da das LkSG nicht nur die Risiken der eigenen Geschäftsprozesse, sondern auch die der Zulieferer betrachtet, ergeben sich für Compliance-Beauftragte wesentlich weitreichendere Risikobetrachtungen als bisher.

Visit our free demos

Wir bieten regelmäßig Online-Demos an, in denen wir Ihnen unsere Robin Data ComplianceOS® vorstellen. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang des digitalen Löschkonzeptes der Robin Data Software. Unsere Experten geben Ihnen und anderen Interessenten umfassenden Einblick und beantworten Ihre Fragen.

Book a demo

What sanctions can a company face in the event of a breach of due diligence obligations?

Kommen Unternehmen ihren Sorgfaltspflichten des Lieferkettensorgfaltspflichtengesetzes nicht nach, drohen Bußgelder von bis zu 8 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes (für Unternehmen mit mehr als 400 Millionen Euro Jahresumsatz).

Darüber hinaus können Unternehmen ab einem verhängten Bußgeld eines bestimmten Schwellenwertes bis zu drei Jahren von der Vergabe öffentlicher Aufträge ausgeschlossen werden.

Control and enforcement

The implementation of the law is carried out by the Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) kontrolliert, welches dafür weitreichende Kontrollbefugnisse erhält. So müssen betroffene Unternehmen spätestens vier Monate nach Ende des Geschäftsjahres einen Bericht über die Erfüllung ihrer Sorgfaltspflichten zur Prüfung an das BAFA übermitteln.

Das BAFA führt zudem risikobasierte Kontrollen bei Unternehmen durch. Es kann verantwortliche Personen vorladen, Geschäftsräume betreten und Unterlagen prüfen sowie konkrete Handlungsanweisungen zur Behebung von Missständen geben. Darüber hinaus kann die Behörde Zwangs- und Bußgelder verhängen.

Companies affected by the Supply Chain Act are supposed to be Principle of appropriateness entscheiden, welche Risiken sie betrachten und welche Maßnahmen angemessen sind. Diese Abwägungen müssen für das BAFA nachvollziehbar und plausibel dokumentiert sein.

Rechtsunsicherheiten für Unternehmen

Die möglichen Risiken sind durch den Anhang und die Begriffsdefinitionen des LkSG klar definiert. Die Maßnahmen, jedoch sind die ein Unternehmen auf Basis der ermittelten Risiken trifft, sind auf deren Wirksamkeit und Angemessenheit im Vorfeld nicht hinreichend überprüfbar. Daher ist am Anfang der Umsetzung des LkSG nicht vor Berichtabgabe abschätzbar, ob die geplanten und getroffenen Maßnahmen als ausreichend erachtet werden.

Zudem ist im Gesetz nicht definiert, für wen genau das Beschwerdeverfahren zugänglich gemacht werden soll. Es ist naheliegend, dass das Verfahren öffentlich zugänglich sein soll. Dies ist jedoch zum aktuellen Zeitpunkt nicht klar.

Das Gesetz besagt, dass die betroffenen Unternehmen unmittelbare Zulieferer über die Durchsetzung der vertraglichen Zusicherung schulen müssen. Es ist jedoch nicht klar definiert, wer genau geschult werden muss.

Aus dem Gesetz ergibt sich, dass komplexe Vertragswerke mit unmittelbaren Zulieferern ausgearbeitet werden, müssen um die Sorgfaltspflichten einhalten zu können. Deren rechtliche Zulässigkeit und deren notwendiger Regelungsgehalt ist heute noch nicht absehbar.

What is the difference between the EU Supply Chain Act and the German Supply Chain Sourcing Obligations Act?

The EU Commission has im Februar 2022 einen Entwurf für ein EU-Lieferkettengesetz presented. This draft looks much stricter than the German law.
Die wesentlichen Unterschiede im Überblick:

  • Requirement to cover the entire supply chain
  • Anwendung für Unternehmen ab 250 Mitarbeitenden gelten
  • Klagemöglichkeiten gegen Verstöße sowie die Definition für Schäden am Allgemeinwohl sind wesentlich weitreichender
  • Significant expansion of due diligence obligations

Der Entwurf muss im weiteren Verfahren vom Europäischen Parlament und Rat gebilligt werden. Anschließend haben die EU-Mitgliedsstaaten zwei Jahre Zeit, die Richtlinie in nationale Gesetze zu überführen. In diesem Fall müsste Deutschland dann sein geltendes Lieferkettengesetz (LkSG) noch einmal nachschärfen und an die EU-Bedingungen anpassen.

Conclusion

Even if the Supply Chain Act imposes further sufficient obligations on the companies concerned, the law is nevertheless an important step towards global compliance with human rights and environmental protection.

Der Gesetzgeber hat mit dem Lieferkettengesetz eine Möglichkeit geschaffen, seine fehelenden Kontrollmöglichkeiten gegenüber ausländischen Unternehmen durch die Sorgfaltspflichten der Unternehmen zu kompensieren.

Weiterführende Links

Zudem haben die Bunderegierung und die BAFA zahlreiche Informationsangebote und Hilfen veröffentlicht. Hier eine hilfreiche Auswahl:

Nadine Porrmann
Latest posts by Nadine Porrmann (see all)

Das könnte Sie auch interessieren:

Tätigkeitsbericht nach DSGVO

Vorlagen, Whitepaper und Umsetzung des Tätigkeitsbericht nach DSGVO. In wenigen Schritten automatisiert den Tätigkeitsbericht erstellen.
Read more

Löschkonzept nach DSGVO

Muster, Vorlagen und Beispiele für Ihr DSGVO Löschkonzept gemäß DIN 66398. Automatisiert das Löschkonzept erstellen.
Read more

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.
Read more