A. Einleitung
In der Theorie ist stets eine umfassende Risikoanalyse der Ausgangspunkt aller Compliance-Bemühungen. Wenn Unternehmen ihre individuellen Risikoindikatoren erhoben und gewichtet haben, können sie ein adäquates Konzept zur wirksamen Vermeidung und Steuerung der identifizierten Risiken einführen und somit dem höchsten Gut der Compliance-Welt, dem Angemessenheitserfordernis, bestmöglich Rechnung tragen.
In der Praxis scheuen viele Unternehmen jedoch den nicht unerheblichen Aufwand, den vor allem die erstmalige Erstellung einer umfassenden Risikoanalyse mit sich bringt: Zu Beginn des Analyseprozesses müssen die wichtigsten Risikofelder identifiziert werden (sog. Relevanzanalyse). Die notwendigen Informationen werden durch standardisierte Fragebögen und Gespräche mit der Führungsebene sowie die Auswertung von Brancheninformationen erhoben. In den identifizierten Risikofeldern werden anschließend in einem zweiten Schritt vertieft die Abläufe und Besonderheiten einzelner Unternehmensabteilungen (z.B. Einkauf, Forschung & Entwicklung oder Operations) durch Interviews und Workshops geprüft. Die gesammelten Informationen müssen schließlich in geeigneter Form aggregiert, gewichtet und priorisiert werden. Die Ergebnisse sind mit der Geschäftsleitung zu erörtern. Der gesamte Prozess ist zu dokumentieren und anschließend periodisch zu wiederholen.
Während bisher nur das Geldwäschegesetz eine explizite Pflicht zur Risikoanalyse kannte, sieht ab dem 01.01.2023 auch das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Lieferkettensorgfaltspflichtengesetz - LkSG, BGBl I 2021, 2959) als zentralen Baustein des verantwortungsvollen Lieferkettenmanagements eine Risikoanalyse vor. Diese müssen von Beginn an etwa 900 Unternehmen und ab dem 01.01.2024 weitere ca. 4.800 Unternehmen1 vorhalten. Vertreter des zuständigen Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) haben bei einigen Fortbildungsveranstaltungen deutlich zum Ausdruck gebracht, dass das BAFA zwar in der Durchsetzungspraxis Augenmaß walten lassen wird, jedoch Sanktionen ergreifen wird, wenn die Risikoanalyse nicht ab dem jeweiligen Geltungsdatum vorliegt.
Um die eher vagen gesetzlichen Anforderungen, die Gegenstand zahlreicher Diskussionen in Wissenschaft und Praxis2 sind, weiter zu konkretisieren, hat das BAFA Handreichungen veröffentlicht, entsprechend der Priorisierung zuerst für die Risikoanalyse.3
Der vorliegende Beitrag beleuchtet zunächst die insbesondere in § 5 LkSG niedergelegten gesetzlichen Anforderungen sowie deren Konkretisierung durch die Handreichung des BAFA (B). Anschließend folgen eine Einordnung und Analyse des möglichen weiteren Klärungsbedarfs (C).
B. Anforderungen an die Risikoanalyse
I. Grundzüge der Risikoanalyse nach dem LkSG
Das Gesetz legt die Grundzüge der Risikoanalyse nur rudimentär fest – allerdings mit festem Blick auf den Heiligen Gral: So sieht § 5 Abs. 1 Satz 1 LkSG vor, dass die „Unternehmen eine angemessene Risikoanalyse“ durchzuführen haben. Und auch nach § 5 Abs. 2 Satz 1 LkSG sind die „ermittelten menschenrechtlichen und umweltbezogenen Risiken […] angemessen zu gewichten und zu priorisieren.“ Der Gesetzgeber unternimmt in § 3 Abs. 2 LkSG sodann den Versuch, die „angemessene Weise eines Handelns, das den Sorgfaltspflichten genügt“ weiter zu definieren. Der Verweis auf die Abhängigkeit von „Art und Umfang der Geschäftstätigkeit“ (§ 3 Abs. 2 Nr. 1 LkSG) lässt zunächst noch befürchten, dass seit dem Compliance-Urteil des LG München I4 keinerlei Weiterentwicklung an staatlicher Guidance stattgefunden hat. Doch folgen mit den Hinweisen auf das Einflussvermögen des Unternehmens auf den unmittelbaren Verursacher (Nr. 2), die Eintrittswahrscheinlichkeit und die zu erwartende Schwere der Verletzung (Nr. 3) und die Art des Verursachungsbeitrags des Unternehmens selbst zu dem Risiko oder der Pflichtverletzung (Nr. 4) einige Leitlinien, aus denen die Unternehmen erste Maßstäbe für die Risikobewertung bilden können.
Die Unternehmen haben die menschenrechts- und umweltbezogenen Risiken nicht nur in ihrem eigenen Geschäftsbereich, sondern entsprechend einer Drittpartnerprüfung entlang der gesamten Lieferkette zu ermitteln, vgl. § 5 Abs. 1 Satz 1 LkSG. Außerdem sieht § 5 Abs. 3 LkSG vor, dass „die Ergebnisse der Risikoanalyse intern an die maßgeblichen Entscheidungsträger […] kommuniziert werden“ und ist damit ganz auf Linie der Rechtsprechung, wonach die Compliancepflicht letztlich Bestandteil der unveräußerlichen Leitungspflichten der Geschäftsleitung ist.5
II. Anlass und Umfang der Risikoanalyse
Das LkSG unterscheidet zwischen zwei Formen der Risikoanalyse: der regelmäßigen Risikoanalyse und der anlassbezogenen Risikoanalyse. Gegenstand der regelmäßigen, jährlichen Risikoanalyse sind gemäß § 5 Abs. 1, 4 LkSG alle Risiken im eigenen Geschäftsbereich und bei den unmittelbaren Zulieferern.
Neben dieser regelmäßigen Risikoanalyse verlangt § 9 Abs. 3 Nr. 1 LkSG von Unternehmen eine anlassbezogene Risikoanalyse in Bezug auf mittelbare Zulieferer, wenn sie substantiierte Kenntnis von der Verletzung einer menschenrechts- oder umweltbezogenen Pflicht erlangt haben. Tatsächliche Anhaltspunkte für eine solche Pflichtverletzung können sich aus verschiedenen Quellen ergeben, etwa aus Meldungen an einen Beschwerdekanal, Medieninformationen oder Berichten aus der Zivilgesellschaft sowie aus Fachgesprächen in bestehenden Brancheninitiativen.6 Diesbezüglich scheint der Vorschlag des BAFA zur Risikoanalyse im Bereich der mittelbaren Zulieferer weiterzugehen als die sich unmittelbar aus dem LkSG ergebenden Anforderungen. Nach Einschätzung des BAFA ist es effektiver, zu erwartende hohe Risiken präventiv im Blick zu behalten, als nachträglich, wenn eine Menschenrechtsverletzung droht oder bereits eingetreten ist, weitreichende Maßnahmen ergreifen zu müssen. Die Handreichung schlägt daher vor, die relevanten Teile der tieferen Lieferkette proaktiv in die jährliche regelmäßige Risikoanalyse einzubeziehen, sofern einem Unternehmen hohe menschenrechtliche oder umweltbezogene Risiken bei einzelnen Zulieferern bereits bekannt sind.7
Darüber hinaus werden gemäß § 5 Abs. 4 Alt. 2 LkSG alle Risiken entlang der gesamten Lieferkette (d.h. im eigenen Geschäftsbereich, bei unmittelbaren Zulieferern sowie bei mittelbaren Zulieferern) einer Ad-hoc-Bewertung unterzogen, wenn sich die Risikolage in der Lieferkette wesentlich verändert hat oder aufgrund neuer Umstände zusätzliche Risiken entstanden sind. Eine solche anlassbezogene Risikoanalyse kann durch eine Veränderung der Geschäftstätigkeit, z.B. den Eintritt in ein neues Beschaffungsland oder die Entwicklung eines neuen Produktes, ausgelöst werden.8
III. Umsetzung der Risikoanalyse
Wer sich vom BAFA eine Vorlage zur Erstellung der Risikoanalyse erhofft hat, wird von der Handreichung enttäuscht. Ganz im Gegenteil stellt die Behörde in der Handreichung fest, dass den Unternehmen bei der Gestaltung und Wahl der Methoden zur Identifizierung, Bewertung und Priorisierung der menschenrechtlichen und ökologischen Risiken ein Ermessensspielraum zukommt – vorausgesetzt, der gewählte Ansatz ist angemessen und systematisch.9
Die Handreichung des BAFA bietet Unternehmen aber eine Hilfestellung für die konkrete Ausgestaltung einer angemessenen Risikoanalyse. Danach soll die Bewertung in drei Schritten erfolgen:
- 1.
Zunächst sollte ein Unternehmen ein allgemeines Verständnis seiner Geschäftstätigkeit und der Geschäftsbeziehungen in seiner Lieferkette erlangen.
- 2.
Aufbauend auf diesen Informationen muss das Unternehmen eine abstrakte Risikoanalyse durchführen.
- 3.
Schließlich ist die Risikobewertung durch eine konkrete Analyse einschließlich der Gewichtung und Priorisierung der Risiken zu ergänzen.
Als Ausgangspunkt für die Risikoanalyse sind Unternehmen gehalten, einen Überblick über ihre eigenen Beschaffungsprozesse zu gewinnen und möglichst große Transparenz in ihren Lieferketten zu schaffen. Ein Risikomapping nach Geschäftsbereichen, Standorten, Produkten, Rohstoffen oder Herkunftsländern kann hier eine geeignete Methode sein.
Zu diesem Zweck sollten Unternehmen Informationen zu ihrer Unternehmens- und Beschaffungsstruktur sowie zu Art und Umfang ihrer Geschäftstätigkeit zusammenstellen.10 Dabei gehören zu den Angaben zur Struktur des eigenen Unternehmens Namen, Branchen und weitere grundlegende Informationen zu allen konzernangehörigen Gesellschaften. Die zu ermittelnde Beschaffungsstruktur umfasst etwa die Beschaffungskategorien, Beschaffungsländer, das Auftragsvolumen und die Anzahl der unmittelbaren Zulieferer pro Beschaffungskategorie. Basierend darauf ist eine Übersicht der umsatzmäßig wichtigsten Produkte oder Dienstleistungen des Unternehmens sowie der aktuellen Tätigkeits- und Beschaffungsländer zu entwerfen.
In einem zweiten Schritt werden öffentlich zugängliche Quellen wie Indizes, Rankings, UN- oder OECD-Leitlinien und Berichte von Nichtregierungsorganisationen herangezogen, um Niederlassungen, Standorte und Zulieferer mit einem erhöhten Risikoprofil zu identifizieren.
Auf der Grundlage der Ergebnisse dieser abstrakten Risikobewertung müssen Unternehmen in einem dritten Schritt die spezifischen Risiken entlang ihrer Lieferketten ermitteln. Anschließend müssen sie entscheiden, welche Risiken sie zuerst angehen wollen, wobei die Gewichtung anhand der in § 3 Abs. 2 LkSG Art genannten Kriterien erfolgt. Die bei der spezifischen Risikobewertung ermittelten Risiken sind, beispielsweise in einem Risikoinventar, systematisch zu dokumentieren.11
Dass Unternehmen nicht von Anfang an eine vollständige, umfassende Risikoanalyse durchführen können, erkennt auch der Gesetzgeber an. Die BAFA-Handreichung empfiehlt deshalb einen risikobasierten Ansatz.12 Unternehmen können sich zunächst auf eine abstrakte Risikoanalyse stützen und die konkrete Risikoanalyse nur bei priorisierten Branchen, Standorten und Lieferbeziehungen vornehmen. Sind einem Unternehmen bereits Niederlassungen oder Zulieferer mit besonders erhöhter Risikodisposition bekannt, sollte es seine Ressourcen zunächst auf die Analyse der Unternehmens- und Beschaffungsstrukturen dieser Einheiten konzentrieren. Unternehmen sind jedoch verpflichtet, die Transparenz in ihren Lieferketten nach und nach zu verbessern und die konkrete Risikoanalyse schrittweise auf alle Niederlassungen, Standorte und unmittelbaren Zulieferer auszuweiten.
C. Bewertung und Auswirkungen für die Praxis
Die Handreichung ist eine wertvolle erste Ressource für Unternehmen und veranschaulicht die Erwartungen des BAFA an eine angemessene Risikoanalyse. Allerdings bleiben die Konkretisierungen in einigen Aspekten hinter dem Erhofften13 zurück und lassen Fragen weiter offen. Es ist beispielsweise unklar, ob die jährliche Risikoanalyse kollektiv für alle konzernangehörigen Gesellschaften durchgeführt werden kann. Diese Möglichkeit würde die in der Praxis häufigen Überschneidungen in den Lieferketten innerhalb von Konzernen abbilden.
Da die Handreichung des BAFA Unternehmen einen weiten Ermessensspielraum bei der Risikoanalyse einräumt, werden sich detaillierte Best Practices erst im Laufe der Zeit herausbilden. So ist etwa der richtige Zeitpunkt für die Risikoanalyse vor dem Hintergrund, dass in vielen Branchen Aufträge mit einer langen Vorlaufzeit vergeben werden, weiterhin ungewiss. Es bleibt abzuwarten, ob Behörden und Gerichte die Durchführung einer Risikoanalyse bei einem Zulieferer bereits bei Vertragsschluss oder erst bei Erbringung der Dienstleistung bzw. Lieferung des Produktes verlangen werden. Ebenso werden sich genauere Anforderungen an das Monitoring von Medien und Plattformen in Bezug auf risikorelevante Berichte über mittelbare Zulieferer erst mit ausreichender Anwendungspraxis herausstellen.
Die Handreichung wirft auch neue Fragen auf, zum Beispiel hinsichtlich der Definition des Verursachungsbeitrags eines Unternehmens i.S.d. § 3 Abs. 2 LkSG. Das LkSG unterscheidet in § 3 Abs. 2 Nr. 4 LkSG zwischen Verursachungsbeiträgen zu dem menschenrechtlichen oder umweltbezogenen Risiko und Beiträgen zu der Verletzung einer solchen Pflicht. Nach Fußnote 14 der Handreichung leistet ein Unternehmen hingegen nur dann einen Verursachungsbeitrag, wenn es „in irgendeiner Weise die Verletzung einer konkreten Pflicht erlaubt, ermöglicht oder motiviert“.14 Dass das BAFA tatsächlich ausschließlich Beiträge eines Unternehmens zu Pflichtverletzungen, nicht hingegen Beiträge zu Risiken erfassen wollte, ist jedoch nicht anzunehmen.
Eine weitere Unsicherheit ergibt sich aus der Anregung des BAFA, bestimmte mittelbare Zulieferer proaktiv in die jährliche Risikoanalyse einzubeziehen. Wenn ein Unternehmen der BAFA-Empfehlung nicht folgt, sondern, entsprechend der gesetzlichen Vorgabe in § 9 Abs. 3 Nr. 1 LkSG, eine Risikoanalyse im Bereich der mittelbaren Zulieferer nur bei tatsächlichen Anhaltspunkten für die Verletzung einer Pflicht durchführt, könnte sich die Behörde zur Einleitung von Ermittlungen gegen das Unternehmen veranlasst sehen, wenn sich diese Pflichtverletzungen nachfolgend bestätigen. Allerdings ist das BAFA nicht gesetzlich dazu ermächtigt, die Pflichten des LkSG auszuweiten. Deshalb dürften keine Bußgelder drohen, wenn ein Unternehmen die gesetzliche Verpflichtung einhält, aber den zusätzlichen Vorgaben aus der Handreichung nicht nachkommt.
Die Handreichung des BAFA zur Risikoanalyse ist ein erster Schritt hin zu mehr Klarheit für Unternehmen im Zusammenhang mit der Umsetzung des LkSG. Branchendialoge und weitere BAFA-Handreichungen sollen die Umsetzungshilfen ergänzen. Ende September 2022 fand bereits der Branchendialog Automobilindustrie statt.15 Darüber hinaus hat das BAFA inzwischen eine Handreichung zum Beschwerdeverfahren nach dem LkSG veröffentlicht.16
