Das deutsche Gesetz über die Sorgfaltspflicht in der Lieferkette und das Risikomanagement für Lieferanten

Befolgen Sie diese bewährten Verfahren, um Menschenrechts- und Umweltrisiken in Ihrer Lieferkette zu bewerten und zu beheben.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Mai 23, 2024 8 min gelesen
Decorative image

Was ist das deutsche Sorgfaltspflichtgesetz?

Das deutsche Sorgfaltspflichtgesetz (LkSG) verpflichtet Unternehmen mit mindestens 3.000 Mitarbeitern, die in Deutschland tätig sind, zur Einhaltung der Menschenrechte in ihren Lieferketten. Dieses Gesetz verlangt von Unternehmen, alle notwendigen Maßnahmen zu ergreifen, um Menschenrechtsrisiken zu verhindern, über ihre Bemühungen zu berichten, Risiken zu beheben und die Dokumentation sieben Jahre lang aufzubewahren. Im Jahr 2024 wird das Gesetz auf Unternehmen mit mehr als 1.000 Mitarbeitern ausgeweitet.

Die Nichteinhaltung kann zu Strafen von bis zu 800.000 € für Einzelpersonen und 400 Millionen € oder 2 % des durchschnittlichen Jahresumsatzes für Unternehmen führen. Das LkSG steht im Einklang mit den globalen ESG-Vorschriften zum Schutz der Menschenrechte und betont die Bedeutung der Integration seiner Anforderungen in die Risikomanagementstrategien der Lieferanten.

Dieser Beitrag untersucht die Anforderungen des LkSG – einschließlich derjenigen, die für das Risikomanagement von Lieferanten am relevantesten sind – und empfiehlt bewährte Verfahren zu deren Umsetzung.

Anforderungen des deutschen Supply-Chain-Due-Diligence-Gesetzes

Das Gesetz verpflichtet Unternehmen zur Erfüllung der folgenden Pflichten. In diesem Beitrag werden wir nur die fettgedruckten Pflichten betrachten.

  • die Sorgfaltspflichten in Bezug auf Menschenrechte und Umwelt in der Lieferkette zu beachten (Abschnitt 3)
  • Einrichtung eines Risikomanagementsystems (Abschnitt 4, Absatz 1)
  • Eine verantwortliche Person benennen (Abschnitt 4, Absatz 3)
  • Regelmäßige Risikoanalysen durchführen (Abschnitt 5)
  • Grundsatzerklärungen abgeben (Abschnitt 6, Absatz 2)
  • Präventive Maßnahmen im eigenen Geschäftsbereich (Abschnitt 6, Absätze 1 und 3) und bei direkten Lieferanten (Abschnitt 6, Absatz 4) umsetzen
  • Ergreifen von Abhilfemaßnahmen im Falle einer Menschenrechtsverletzung (Abschnitt 7, Absätze 1-3)
  • Einrichtung eines Beschwerdeverfahrens für die Meldung von Menschenrechtsverletzungen (Abschnitt 8)
  • Umsetzung der Sorgfaltspflichten für indirekte Lieferanten (Abschnitt 9)
  • Dokument und Bericht (Abschnitt 10, Absätze 1-2)

6 bewährte Verfahren zur Erfüllung der Anforderungen des deutschen Supply Chain Due Diligence Act

Hinweis: In diesem Abschnitt werden nur die wichtigsten Merkmale des LkSG behandelt. Eine vollständige Liste der Anforderungen finden Sie Gesetzestext.

Erwägen Sie die Umsetzung der folgenden Best Practices, um die wichtigsten Bestimmungen des LkSG zum Lieferantenrisikomanagement zu erfüllen.

1. Ein Risikomanagementsystem einrichten

In Abschnitt 4 Absatz 1 heißt es: „Unternehmen müssen ein angemessenes und wirksames Risikomanagementsystem einrichten, um ihrer Sorgfaltspflicht nachzukommen … Das Risikomanagement muss durch geeignete Maßnahmen in allen relevanten Geschäftsprozessen verankert sein.“

Um diese Anforderung zu erfüllen, sollten Sie zunächst die wichtigsten Komponenten Ihres Risikomanagementprogramms für Lieferanten entwickeln und verfeinern, darunter:

  • Richtlinien, Standards, Systeme und Prozesse
  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Lieferantenklassifizierung und Kategorisierungslogik
  • Schwellenwerte für die Risikobewertung auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Kartierung indirekter Lieferanten zum Verständnis des erweiterten Ökosystems Ihres Unternehmens
  • Auswahl der richtigen Bewertungen und Quellen für die kontinuierliche Überwachung (z. B. geschäftliche, rufschädigende und finanzielle Daten)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung

Diese Kriterien sollten die Grundlage für ein Best-Practice-Risikomanagementprogramm für Lieferanten bilden, das eine Sorgfaltspflicht zur Erfüllung der LkSG-Anforderungen umfasst und auf zusätzliche Risikokategorien wie Cybersicherheit ausgedehnt werden kann.

2. Führen Sie regelmäßige Risikoanalysen durch.

In Abschnitt 5 heißt es: „Das Unternehmen muss eine angemessene Risikoanalyse durchführen, um die Risiken im Zusammenhang mit Menschenrechten und Umwelt bei seinen direkten Lieferanten zu ermitteln. Die Risiken müssen angemessen gewichtet und priorisiert werden. Die Risikoanalyse muss einmal jährlich und ad hoc durchgeführt werden.“

Um diese Anforderung zu erfüllen, bewerten Sie die Praktiken Ihrer Lieferanten mithilfe einer zentralisierten Plattform, die die automatische Berechnung von Risiken auf der Grundlage der Antworten der Lieferanten im Vergleich zu akzeptablen Risikoschwellenwerten, das Hochladen von Belegen sowie Workflows und integrierte Empfehlungen zur Behebung von Mängeln und Berichterstellung ermöglicht – all dies erleichtert die Einhaltung von Berichtsanforderungen und Fristen.

Ein weiterer Vorteil einer zentralen Risikomanagementplattform besteht darin, dass Sie Lieferanten anhand verschiedener Risikotypen bewerten und die Daten miteinander verknüpfen können, um ein vollständiges Bild des Lieferantenrisikos zu erhalten (anstelle einer isolierten Betrachtung).

Zwar sind jährliche Bewertungen entscheidend, um einen Einblick in die Menschenrechtspraktiken eines Lieferanten zu erhalten, doch zwischen den jährlichen Berichten kann viel passieren. Deshalb ist es unerlässlich, die Ergebnisse der jährlichen Sorgfaltspflichtbewertung durch kontinuierliche Einblicke in Reputationsinformationen, negative Medienberichte und Nachrichten, regulatorische und rechtliche Maßnahmen, Sanktionen und vieles mehr zu validieren. Anschließend können Sie die Informationen aus der kontinuierlichen Überwachung mit den Ergebnissen der regelmäßigen Bewertungen korrelieren, um eine einheitlichere Risikoberichterstattung zu erzielen. Die Konsolidierung aller Informationen in einer zentralen Übersicht optimiert Ihre Risikoanalyse.

3. Präventive Maßnahmen umsetzen

In Abschnitt 6 Absatz 4 heißt es: „Das Unternehmen muss geeignete Präventivmaßnahmen festlegen … [einschließlich] der Berücksichtigung von Erwartungen bei der Auswahl eines direkten Lieferanten … vertraglicher Zusicherungen … und vertraglicher Kontrollmaßnahmen.“

Um diesen Anforderungen gerecht zu werden, müssen aktuelle Erkenntnisse über das Geschäft und die Reputation, rechtliche Unterlagen, ESG-Bewertungen, Sanktionen und andere relevante Informationen im Rahmen der Bewertung neuer Lieferanten überprüft werden. Anstatt mehrere verschiedene Informationsquellen zu jonglieren, sollten Sie alle Erkenntnisse in einem einzigen Lieferantenprofil zusammenfassen, auf das alle Teams im Unternehmen zugreifen können. Außerdem sollte die Informationsbeschaffung auf umfassendere RFx-Managementprozesse abgestimmt werden, um eine ganzheitlichere Lieferantenbewertung zu ermöglichen.

Sobald Sie in die Vertragsphase eintreten, nehmen Sie Bestimmungen in die Lieferantenverträge auf und verfolgen Sie den Fortschritt der Berichterstattung des Lieferanten im Laufe der Zeit. Behandeln Sie den Vertragsprozess nicht separat, sondern integrieren Sie ihn in Ihren Prozess zur Risikobewertung von Lieferanten. Zentralisieren Sie dazu alle Prozesse zur Verteilung, Besprechung, Aufbewahrung und Überprüfung von Verträgen und nutzen Sie den Workflow während des gesamten Lebenszyklus des Lieferantenvertrags. Dadurch wird die Berichterstattung über vertragliche Kontrollmaßnahmen wie Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) wesentlich vereinfacht.

4. Abhilfemaßnahmen ergreifen

In Abschnitt 7 heißt es: „Stellt das Unternehmen fest, dass eine Verletzung einer menschenrechtsbezogenen oder umweltbezogenen Verpflichtung bereits stattgefunden hat oder unmittelbar bevorsteht, muss es unverzüglich geeignete Abhilfemaßnahmen ergreifen.“ Eine der in dem Gesetz vorgesehenen Abhilfemaßnahmen ist die Beendigung der Lieferantenbeziehung.

Nutzen Sie die Ergebnisse der Lieferantenbewertungen, wie in Abschnitt 5 erläutert, um Empfehlungen an den Lieferanten auszusprechen, um Klarstellungen zu Richtlinien zu bitten und seien Sie bereit, Verstöße an die Behörden zu melden. Lösungen für das Lieferantenrisikomanagement umfassen integrierte Abhilfemaßnahmen für Lieferanten. Die Umsetzung dieses Schritts ist von entscheidender Bedeutung, da er für die vorgeschriebene Berichterstattung unerlässlich ist.

Wenn es notwendig wird, eine Lieferantenbeziehung zu beenden, automatisieren Sie die abschließende Vertragsbewertung und die Offboarding-Verfahren, um das Risiko Ihrer Organisation nach Vertragsende zu verringern. Wesentliche Aufgaben, die hier zu erledigen sind:

  • Bericht über Systemzugang, Datenvernichtung, Zugangsverwaltung, Abschlusszahlungen und mehr
  • Zentrale Speicherung und Verwaltung von Dokumenten und Zertifizierungen, wie NDAs, SLAs, SOWs und Verträge
  • Zuordnung der Bewertungsergebnisse zum Rechtsrahmen zur Vereinfachung der abschließenden Berichterstattung

5. Sorgfaltspflicht für indirekte Lieferanten umsetzen

In Abschnitt 9 Absatz 3 heißt es: „Wenn ein Unternehmen konkrete Anhaltspunkte dafür hat, dass bei indirekten Lieferanten eine Verletzung von Menschenrechts- oder Umweltverpflichtungen möglich sein könnte, […] muss es eine Risikoanalyse durchführen, […] geeignete Präventionsmaßnahmen festlegen und […] ein Präventionskonzept umsetzen.“

Um dieser Verpflichtung nachzukommen, ist es entscheidend, die Unterauftragsverhältnisse mit Viert- und N-Parteien in Ihrem Lieferanten-Ökosystem zu identifizieren. Eine hervorragende Möglichkeit, diesen Prozess zu beginnen, ist die Durchführung einer fragebogenbasierten Bewertung Ihrer Lieferanten oder das passive Scannen der öffentlich zugänglichen Infrastruktur des Lieferanten. Die Beziehungskarte zeigt erweiterte Abhängigkeiten auf, die Ihr Unternehmen Risiken aussetzen könnten. Die durch diesen Prozess ermittelten Lieferanten sollten kontinuierlich überwacht werden, um ESG-, Geschäfts- und Sanktionsrisiken zu identifizieren.

6. Dokumentieren und berichten

In Abschnitt 10, Absätze 1 und 2, heißt es: „Die Sorgfaltspflichten […] müssen kontinuierlich dokumentiert […] und mindestens sieben Jahre lang aufbewahrt werden.“ Außerdem „muss das Unternehmen einen Jahresbericht über die Erfüllung seiner Sorgfaltspflichten erstellen.“

Um diesen Anforderungen gerecht zu werden, sollten Sie Dokumente zu Lieferantenrichtlinien, Bewertungsergebnisse, Überwachungsergebnisse und Abhilfemaßnahmen zentral speichern und verteilen, damit sie während der Berichterstattung für den Dialog und die Bescheinigung zur Verfügung stehen. Lösungen für das Lieferantenrisikomanagement bieten rollenbasierten Zugriff, sodass Sie die Transparenz auf externe Prüfer ausweiten können, die möglicherweise Ihre Due-Diligence-Prozesse überprüfen und Sie zu den Anforderungen der jährlichen Berichterstattung beraten.

Der Aufbau und die Pflege einer zentralen Lieferantendatenbank sind unerlässlich, um ein wirksames Lieferantenrisikomanagement (SRM) zu gewährleisten und die Meldepflichten des Gesetzes zu erfüllen. Die Datenbank sollte umfassende Lieferantenprofile enthalten und einen rollenbasierten Zugriff auf Unternehmenskontakte, Dokumentationen, demografische Daten, Verbindungen zu vierten und weiteren Parteien sowie Risikoinformationen ermöglichen.

Nächste Schritte zur Durchführung einer Sorgfaltsprüfung der Lieferkette

Mit der Prevalent Third-Party Risk Management Platform können Sie Menschenrechts- und Umweltrisiken in Ihrer Lieferkette angehen, indem Sie umfragebasierte Bewertungen der Menschenrechtsrichtlinien Ihrer Lieferanten automatisieren und die Ergebnisse durch kontinuierliche externe Überwachung ihrer tatsächlichen Praktiken validieren. Mit Prevalent können Sie:

  • Integrieren Sie RFx-, Vertrags- und Due-Diligence-Prozesse in einer einzigen Lösung, um Risiken über den gesamten Lieferantenlebenszyklus hinweg zu bewältigen.
  • Erstellen Sie ein zentrales Lieferanteninventar und berechnen Sie die inhärenten Risiken, die Lieferanten in Ihr Umfeld einbringen
  • Bewerten und überwachen Sie Lieferanten kontinuierlich hinsichtlich Menschenrechts-, Umwelt- und Lieferkettenrisiken in einer einzigen Lösung.
  • Liefern Sie automatisierte Abhilfemaßnahmenempfehlungen an Lieferanten, um das Restrisiko zu reduzieren.
  • Messung der Lieferanten anhand vertraglich festgelegter wichtiger Leistungsindikatoren (KPIs) und wichtiger Risikoindikatoren (KRIs)
  • Nutzung von Vorlagen zur Vereinfachung der Berichterstattung an mehrere interne und externe Interessengruppen

Wenn Sie mehr darüber erfahren möchten, wie die Compliance-Lösung „German Supply Chain Due Diligence“ von Prevalent dazu beitragen kann, Menschenrechts- und Umweltrisiken in Ihrer Lieferkette zu minimieren, vereinbaren Sie noch heute einen Termin für eine individuelle Vorführung.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.