Zeitschrift für Corporate Governance (ZCG)

Governance 24 02.

10. Jahrgang

Januar 2015

April 2024

Seiten 1 – 48

45 – 96

www.ZCGdigital.de

ZCG

Zeitschrift für Corporate

Leitung und Überwachung in der Unternehmens- und Prüfungspraxis

Fachbeirat:

Prof. Dr. Alexander Bassen, Universität Hamburg

Prof. Dr. Dr. h. c. Theodor Baums, Johann Wolfgang Goethe-Universität Frankfurt am Main

Prof. Dr. Thomas Berndt, Universität St. Gallen

WP/StB Prof. Dr. Manfred Bolin, International School of Management, Dortmund

Dr. Christine Bortenlänger, Geschäftsführendes Vorstandsmitglied Deutsches Aktieninstitut e. V.

Prof. Dr. Gerrit Brösel, FernUniversität in Hagen

Prof. Dr. Henning Herzog, QIRM Institut für Regulation & Management e.G.

Ulrich Hocker, Hauptgeschäftsführer Deutsche Schutzvereinigung für Wertpapierbesitz e. V.

Prof. Dr. Anja Hucke, Universität Rostock

Prof. Dr. Annette G. Köhler, Universität Duisburg-Essen

Prof. Dr. Stefan Müller, Helmut Schmidt Universität Hamburg

Prof. Dr. Patrick Velte, Leuphana Universität Lüneburg

Prof. Dr. Axel von Werder, Technische Universität Berlin

WP/StB Prof. Dr. Norbert Winkeljohann, Norbert Winkeljohann Advisory & Investments

Prof. Dr. Henning Zülch, Handelshochschule Leipzig (HHL)

ZCG Management

Diversität in der Unternehmensführung [Sure/Wild, 49]

Künstliche Intelligenz [Stöger, 59]

ZCG

Recht

ZCG

Rechnungslegung

LkSG in der Praxis [Lüneborg/Schmelzeisen, 63]

Bekämpfung von Finanzkriminalität [Rinker, 68]

Rechtsprechungsreport [Gebhardt, 74]

ESRS-konfor me Implementierung der Wesentlichkeitsanalyse [Baumüller, 78]

Diversity Reporting im Spannungsfeld zwischen Nachhaltigkeits- und Corporate-Governance-Berichterstattung [Velte, 84]

Ausgeliefert

Liebe Leserinnen und Leser, die EU-Lieferkettenrichtlinie kommt: Nach mehreren erfolglosen Versuchen fand die Corporate Sustainability Due Diligence Directive (CSDDD) im Ausschuss der ständigen Vertreter im EU-Rat die erforderliche Mehrheit – auch ohne die Zustimmung Deutschlands. Dafür hatten sich beispielsweise Mitgliedstaaten wie Italien und Frankreich vom neuerlichen Kompromiss überzeugen lassen. Die abgespeckte Variante sieht die Schwelle für betroffene Unternehmen bei 1.000 Mitarbeitenden und einem Umsatz von 450 Millionen Euro. Dadurch sinkt die Zahl betroffener Unternehmen im Vergleich zur ursprünglichen Vereinbarung im Dezember 2023 um fast 70 Prozent, stellt Prof. Dr. AnneChristin Mittwoch fest. Der Finanzsektor ist von der CSDDD ausgeschlossen worden. Die zivilrechtliche Haftung bleibt im Text zwar enthalten, ist jedoch weiter spezifiziert worden. Das Echo auf den gefundenen Kompromiss ist gemischt. Zur Erleichterung, dass ein Kompromiss nicht nur gefunden, sondern auch verwirklicht wurde, mischt sich ein Beigeschmack wegen der Unstimmigkeiten bis zur Auslieferung.

In Deutschland greift seit vergangenem Jahr bereits das Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten – kurzum das Lieferkettengesetz. Aus den Einkaufs-, Sustainability- und Rechtsabteilungen zahlreicher verpflichteter Unternehmen ist zu vernehmen, dass sie mit Unterstützungsangeboten externer Berater geradezu überschüttet werden, führen Dr. Cäcilie Lüneborg und Niklas Schmelzeisen in ihrem Beitrag aus. Dabei stünden nicht die bei neuen gesetzlichen Anforderungen zuerst in den Sinn kommenden rechtlichen Beratungsleistungen im Vordergrund, sondern innovative digitale Lösungen, die zum Teil mittels Künstlicher Intelligenz Lieferketten überwachen. Unternehmen sollten jedoch nicht vorschnell ein KI-Tool auswählen, sondern abwägen, bei welchen Sorgfaltspflichten ein Einsatz sinnvoll sein kann und welche Leistungen im Einzelnen benötigt werden. Impulse für eine Corporate Governance, die in Sachen Künstlicher Intelligenz auf der Höhe des Geschehens mitspielt, liefert Prof. Dr. Roman Stöger. KI verändert nicht nur Produkte, Dienstleistungen und Geschäftsmodelle. Sie hat auch das Potenzial, Unternehmen zu transformieren und Branchen neu zu definieren. So werden sich alle Organisationen mit KI auseinandersetzen müssen, um frühzeitig Chancen, aber auch Gefahren zu erkennen und entsprechende Maßnahmen zu ergreifen. Diese Aufgaben lassen sich nicht einfach an externe Beratungen, IT-Spezialistinnen und -Spezialisten und an die Wissenschaft weiterreichen.

Die letzte Berichtssaison der nichtfinanziellen Berichterstattung gemäß der Non-Financial Reporting Directive ist abgeschlossen. Nun befassen sich viele Unternehmen bereits mit den Vorbereitungen für die Erstanwendung der Corporate Sustainability

Reporting Directive, kurz CSRD. Ihr „Herzstück“ besteht dabei im Grundsatz in der doppelten Wesentlichkeit, führt Dr. Josef Baumüller aus. In seinem Beitrag skizziert er vier praxisrelevante Fallstricke, mit denen sich Unternehmen dabei konfrontiert sehen, und zeigt mögliche Lösungsansätze auf.

Die Berichterstattung über Vielfalt in der Unternehmensführung und der gesamten Belegschaft betrifft einen wesentlichen Teil der nichtfinanziellen Unternehmenskommunikation. Durch unterschiedliche nationale und internationale Normierungen sind Diversity-Informationen derzeit allerdings auf unterschiedliche Nachhaltigkeits- und Corporate-Governance-Berichte verteilt. Vor diesem Hintergrund gibt Prof. Dr. Patrick Velte eine normative Bestandsaufnahme zum Diversity Reporting innerhalb der Nachhaltigkeitsund Corporate-Governance-Berichterstattung. In einer kritischen Würdigung betont er die Notwendigkeit einer Integration sämtlicher Diversitätsinformationen, um den Risiken zu begegnen, dass Akteure sich entgegen ihrer tatsächlichen Strategie den Anstrich des Fortschritts und der Toleranz verleihen – ganz abgesehen von einer drohenden Informationsüberflutung.

Prof. Dr. Matthias Sure und Franziska Wild befassen sich mit der Frage, wie divers die Unternehmensführungen der Kapitalgesellschaften im Euro-Stoxx-50-Index besetzt sind. Dabei zeigte sich, dass französische Unternehmen die höchste durchschnittliche Frauenquote aufweisen. Jedes deutsche Unternehmen verfügt über mindestens ein weibliches Vorstandsmitglied und erfüllt damit die Regelungen des zweiten Führungspositionengesetzes Zu beobachten ist, dass der gesellschaftliche und regulatorische Druck auf die Kapitalmarktkonzerne zur Etablierung von mehr Diversität in den obersten Führungsgremien zunimmt.

Für die Bekämpfung von Finanzkriminalität hat die Bundesregierung umfassende Reformen geplant. Sie betreffen nicht nur Gesetze, sondern bringen auch veränderte Strukturen von mehreren Bundesbehörden mit sich. Dr. Carola Rinker analysiert kritische Stellungnahmen und zieht einen Vergleich zum Gesetzesentwurf. Fest steht: Unabhängig davon, welche Änderungen im Gesetz landen, wird sich der Aufwand für Unternehmen eher erhöhen als abnehmen.

Ich wünsche Ihnen eine anregende Lektüre!

Ihr

LkSG in der Praxis

Softwarelösungen bei der Umsetzung des Lieferkettensorgfaltspflichtengesetzes

Dr. Cäcilie Lüneborg · Niklas Schmelzeisen

Das Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (LkSG)1 gilt seit dem 1.1.2023 für Unternehmen gleich welcher Rechtsform, die mehr als 3.000 Arbeitnehmende2 in Deutschland beschäftigen. Am 1.1.2024 wurde die Schwelle auf 1.000 Arbeitnehmende abgesenkt. Das Gesetz legt den verpflichteten Unternehmen umfangreiche Sorgfaltspflichten zur Umsetzung der in § 2 LkSG geregelten menschenrechtlichen und umweltbezogenen Verbote auf.

1. Einleitung

Aus den Einkaufs-, Sustainability- und Rechtsabteilungen zahlreicher verpflichteter Unternehmen ist zu vernehmen, dass sie mit Unterstützungsangeboten externer Berater geradezu überschüttet werden. Bemerkenswerterweise stehen dabei nicht die bei neuen gesetzlichen Anforderungen zuerst in den Sinn kommenden rechtlichen Beratungsleistungen im Vordergrund, sondern innovative digitale Lösungen, die z. T. mittels Künstlicher Intelligenz Lieferketten überwachen.3 Auf diesem Markt sind nicht nur Anbieter vertreten, die sich in der verhältnismäßig kurzen Zeit seit Inkrafttreten des LkSG und seines französischen Vorbilds, der Loi de Vigilance, bereits einen Namen gemacht haben, wie etwa Osapiens4, Ecova-

1 BGBl, 2021, Teil I, S. 2959.

2 Zum Anwendungsbereich s. Gehling/Ott/Lüneborg, CCZ 2021 S. 230 ff.; Ott/Lüneborg/Schmelzeisen, DB 2022 S. 238.

3 Vgl. Spiegel-Online, So soll künstliche Intelligenz in der ganzen Welt Firmen über wachen, 29.1.2024, https://www.spiegel.de/wirtschaft/ unternehmen/lieferketten-wie-ki-konzernesozial-und-umweltvertraeglicher-macht-a1ae1f6bb-d4d1-4a83-a323-b7ec57b144e6 (Abruf: 31.1.2024).

4 Osapiens, Grow with Corporate Sustainability, https://www.osapiens.com/ (Abruf: 2.2.2024).

dis5, Prewave6 und Integrity Next7 als FullService-Lösungen oder z. B. Setlog8 als digitales Supply-Chain-Management-Tool Vielmehr machen auch vielfach Anbieter auf sich aufmerksam, denen es bislang nicht gelungen ist, sich auf dem Markt zu etablieren. Der vorliegende Beitrag erläutert im Anschluss an eine Zusammenfassung der Pflichtenlage, im Hinblick auf welche Sorgfaltspflichten und für welche Unternehmen die Auseinandersetzung mit Softwarelösungen zur Erfüllung der LkSG-Anforderungen sinnvoll sein kann und zeigt mögliche Entscheidungsparameter auf.

2.

Pflichtenlage

§ 2 LkSG regelt die menschenrechtlichen und umweltbezogenen Verbote wie etwa Kinder- und Zwangsarbeit, Missachtung

5 Ecovadis, The World's Most Trusted Business Sustainability Ratings, https://ecovadis.com/ (Abruf: 2.2.2024).

6 Prewave, Supply Chain Risk Intelligence, https://www.prewave.com/ (Abruf: 2.2.2024).

7 Integrity Next, Deutsches Lieferkettengesetz (LkSG), https://www.integritynext.com/de/ deutsches-lieferkettengesetz-lksg (Abruf: 2.2.2024).

8 Setlog, Für das Lieferkettengesetz gewappnet, https://www.setlog.com/lieferkettengesetz (Abruf: 2.2.2024).

der Koalitionsfreiheit oder Vorenthaltung eines angemessenen Lohns, die Bezugspunkt der Sorgfaltspflichten nach dem LkSG sind.

Kernsorgfaltspflicht ist die Einrichtung eines angemessenen und wirksamen Risikomanagements und dessen Verankerung in allen maßgeblichen Geschäftsabläufen (§ 4 LkSG).

§§ 4 ff. LkSG sehen die folgenden Elemente des Risikomanagementsystems vor:

c Benennung einer Person, die für die Überwachung des Systems zuständig ist, z. B. eines Menschenrechtsbeauftragten

c regelmäßige und anlassbezogene Durchführung einer Risikoanalyse

c Abgabe einer Grundsatzerklärung über die Menschenrechtsstrategie des Unternehmens

c Etablierung angemessener Präventions- und Abhilfemaßnahmen bei der Feststellung von Risiken

c Einrichtung eines Beschwerdeverfahrens

c Dokumentation der Erfüllung der Sorgfaltspflichten und interne und externe Berichterstattung

3. Toolbasierte Lösungen

Die genaue Betrachtung der einzelnen Sorgfaltspflichten zeigt, dass jedenfalls die Festlegung der Zuständigkeiten für die Überwachung des Risikomanagementsystems und die Beschreibung der Menschenrechtsstrategie in der Grundsatzerklärung unternehmensindividuell erfolgen müssen und einer Unterstützung durch toolbasierte Lösungen nicht zugänglich sind.9

9 Weiterführende Informationen enthalten etwa die „30 FAQ zum Menschenrechtsbeauftragten“ des DICO von August 2022; die Handlungs-

Dr. Cäcilie Lüneborg

Rechtsanwältin und Partnerin bei SZA Schilling, Zutt & Anschütz, Frankfurt am Main

Niklas Schmelzeisen

Rechtsanwalt bei SZA Schilling, Zutt & Anschütz, Frankfurt am Main

Ähnlich verhält es sich mit der Berichtspflicht: Jedes Unternehmen muss jährlich einen Bericht über die Erfüllung der Sorgfaltspflichten im vergangenen Geschäftsjahr erstellen und auf seiner Internetseite kostenfrei öffentlich zugänglich machen.10 Dieser Bericht muss zudem über einen elektronischen Zugang bei dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eingereicht werden.11 Zwar enthalten manche Softwarelösungen den Service, die erforderlichen Analysen, Kennzahlen und Methodikbeschreibungen für die Berichterstattung bereitzustellen. Wohl um die Vergleichbarkeit der Berichtsinhalte zu erleichtern, gibt das BAFA den Unternehmen allerdings auf, einen vorgegebenen Fragenkatalog zu beantworten.12 Dieser enthält teilweise Multiple-Choice-Fragen, teilweise Freitextfelder zur näheren Erläuterung. Ein „Prosafließtext“ ist damit nicht vorgesehen. Diese Vorgabe schränkt den Einsatz digitaler Möglichkeiten tendenziell ein.

Abhilfemaßnahmen müssen auf den Einzelfall zugeschnitten sein und setzen häufig Vor-Ort-Audits voraus. Wie Präventionsmaßnahmen sind sie zumeist vor allem rechtlich determiniert, sodass Online-Tools allenfalls bei der Kommunikation mit dem Zulieferer und der Dokumentation von besonderem Nutzen sein können.

Toolbasierte Lösungen können demnach vor allem im Rahmen des allgemeinen Lieferantenmanagements, das auch für Präventions- und Abhilfemaßnahmen genutzt werden kann (dazu 3.1), sowie bei Durchführung der Risikoanalyse (dazu 3.2) und bei Einrichtung des Beschwerdeverfahrens (dazu 3.3) zum Einsatz kommen und einen echten Mehrwert bieten.

anleitung des Branchendialogs Automobilindustrie zur Erstellung der Grundsatzerklärung sowie die Handlungsanleitung des KMU Kompass, einer Initiative des Helpdesks Wirtschaft und Menschenrechte und der Agentur für Wirtschaft und Entwicklung, https://kompass.wirtschaftentwicklung.de/ (Abruf: 2.2.2024).

10 § 10 Abs. 2 LkSG.

11 § 12 Abs. 1 LkSG.

12 Vgl. BAFA, Berichtspflicht, https://www.bafa.de/ DE/Lieferketten/Berichtspflicht/berichtspflicht_ node.html (Abruf: 2.2.2024).

3.1 Lieferantenmanagement

Der erste Schritt zur Umsetzung des LkSG in Unternehmensgruppen besteht in der Festlegung der selbstständig verpflichteten Gesellschaften sowie der Gesellschaften, die in den eigenen Geschäftsbereich einbezogen sind.13 Hierbei handelt es sich um eine primär rechtliche Frage, zu deren Klärung neben der Gruppenstruktur und der Beschäftigtenzahl in den einzelnen Gesellschaften festgestellt werden muss, auf welche Gesellschaften die ultimative Konzernmutter bestimmenden Einfluss i. S. d. § 2 Abs. 6 Satz 3 LkSG ausübt.14

In einem zweiten Schritt schließt sich die Identifikation der unmittelbaren Zulieferer an. Unter einem unmittelbaren Zulieferer versteht das Gesetz gem. § 2 Abs. 7 LkSG den Partner eines Vertrags über die Lieferung von Waren oder die Erbringung von Dienstleistungen, die für die Herstellung des Produkts des Unternehmens oder zur Erbringung seiner Dienstleistungen notwendig sind. Das BAFA weist darauf hin, dass Unternehmen sich zunächst einen Überblick über ihre Beschaffungsstruktur verschaffen müssen.15 Hierzu zählt laut BAFA die Zusammenstellung der folgenden Informationen:16

c Beschaffungskategorien (Produkte, Rohstoffe, Dienstleistungen)

c Definition der beschafften Produkttypen/Dienstleistungen pro Kategorie

c Beschaffungsländer pro Kategorie

c Anzahl der unmittelbaren Zulieferer pro Beschaffungskategorie und Land

c Auftragsvolumen pro Beschaffungskategorie im letzten Geschäftsjahr (prozentualer Anteil am Gesamtvolumen)

Während viele Unternehmen ihre unmittelbaren Zulieferer per Knopfdruck abrufen und kategorisieren können (etwa nach Umsatzvolumen, Sitzland und Zugehörigkeit zum direkten oder indirekten Einkauf), stellt deren Identifikation andere Unternehmen vor beträchtliche Her-

13 Schmelzeisen, in: Gehling/Ott, LkSG, 2022, § 1 Rn. 47 ff.

14 Gehling/Fischer, in: Gehling/Ott, LkSG, 2022, § 2 Rn. 349 ff.

15 BAFA, Risiken ermitteln, gewichten und priorisieren, 2022, S. 10.

16 BAFA, Risiken ermitteln, gewichten und priorisieren, 2022, S. 10.

c Toolbasierte Lösungen können vor allem im allgemeinen Lieferantenmanagement sowie bei Durchführung der Risikoanalyse und bei Einrichtung des Beschwerdeverfahrens zum Einsatz kommen. b

ausforderungen, etwa, wenn und weil Stammdaten nicht gepflegt und nicht zentral und einheitlich abgelegt sind oder keine Ansprechpartner hinterlegt sind. Diese Unternehmen können davon profitieren, zu Beginn des LkSG-Projekts eine Softwarelösung zu implementieren, die die Zuliefererlandschaft abbildet. Hierbei ist die grundsätzliche Entscheidung zu treffen, ob eine rein unternehmensintern nutzbare Zuliefererdatenbank mit Stammdaten und Vertragsdokumenten der Zulieferer ausreicht, in der das Unternehmen von den Zulieferern erhaltene zusätzliche Dokumente, beispielsweise deren Grundsatzerklärungen oder Supplier Code of Conduct, ablegen kann. Alternativ können eine Unterstützung bei der Risikoanalyse und eine Kommunikationsschnittstelle zu den Zulieferern zur Umsetzung von Präventions- und Abhilfemaßnahmen bereitgestellt werden, über die Zulieferer etwa den Lieferantenkodex des verpflichteten Unternehmens einsehen und dessen Akzeptanz bestätigen können und ein Tracking des Fortschritts möglich ist. Eine weitere Stufe besteht in der Einrichtung eines echten Lieferantenportals, in dem Mitarbeitende von Zulieferern etwa Lieferantenfragebögen beantworten, an Schulungen zu den menschenrechts- und umweltbezogenen Erwartungen des verpflichteten Unternehmens teilnehmen und Corrective-Action-Plans von Zulieferern, bei denen ein Risiko aufgetreten ist, gemanagt werden können. Während manche Anbieter Unterstützung bei der Formulierung von Lieferantenfragebögen und Schulungsunterlagen und bei der Auswertung der von den Zulieferern erhaltenen Informationen leisten, pflegen andere von dem Unternehmen bereitgestellte Inhalte ein und überlassen diesen die Auswertung.

An ein Unternehmen mit mehreren tausend Zulieferern, von denen die Mehrzahl ihren Sitz in Hochrisikoländern hat, werden insoweit andere Anforderungen gestellt als an ein Unternehmen mit einer kurzen, fokussierten Lieferkette, dessen unmittelbare Zulieferer ihren Sitz überwiegend in Europa haben und das damit bei einem risikobasierten Ansatz Präventionsmaßnahmen nur hinsichtlich eines kleinen Kreises von Zulieferern ergreifen

c Aus einer anlassbezogen durchzuführenden Risikoanalyse sind die Präventionsund Abhilfemaßnahmen abzuleiten. b

wird. Neben dem Grad an Transparenz, den Kosten und möglichen Schnittstellen zu bestehenden Systemen haben i. d. R. auch Datensicherheit und Datenschutz Priorität bei der Auswahl. Ein weiteres Unterscheidungskriterium besteht darin, dass manche der angebotenen Lösungen darauf ausgerichtet sind, weitere gesetzliche Anforderungen abzudecken, etwa indem ein Sanktionslistenscreening und KYC-Prüfungen zur Geldwäsche- und Korruptionsprävention möglich sind.

Ob Unternehmen indes mit einer ExcelMatrix oder einer externen Softwarelösung arbeiten: Die Identifikation und Einspeisung der Daten muss i. d. R. das Unternehmen selbst leisten. Für viele Unternehmen dürfte diese Übung jedenfalls zugleich Gelegenheit bieten, sich einen Überblick über ggf. doppelt bei mehreren Gruppengesellschaften verpflichtete Zulieferer zu verschaffen und „Karteileichen“ zu entfernen.

3.2 Risikoanalyse

Aus einer im eigenen Geschäftsbereich und hinsichtlich der unmittelbaren Zulieferer jährlich und anlassbezogen durchzuführenden Risikoanalyse sind die Präventions- und Abhilfemaßnahmen abzuleiten. Bezüglich mittelbarer Zulieferer ist eine Risikoanalyse nur dann vorzunehmen, wenn dem Unternehmen tatsächliche Anhaltspunkte vorliegen, die eine Verletzung einer menschenrechts- oder umweltbezogenen Pflicht bei einem mittelbaren Zulieferer möglich erscheinen lassen (substantiierte Kenntnis).17

Wie die Risikoanalyse durchzuführen ist, ist gesetzlich nicht geregelt. Unternehmen ist daher zu empfehlen, sich methodisch im Ausgangspunkt an folgenden Punkten zu orientieren:

c BAFA-Handreichungen zur Risikoanalyse und zur Angemessenheit18 c Risikodatenbank des BAFA mit Angaben zu öffentlich verfügbaren Quellen zu länder-, sektor- und produktspezi-

17 Näher Lüneborg, MDR 2023, S. 1009/1011 ff. 18 BAFA, Lieferketten, https://www.bafa.de/DE/ Lieferketten/Ueberblick/ueberblick_node.html (Abruf: 2.2.2024).

fischen Risiken (veröffentlicht im Dezember 2023)19

c FAQ des BAFA zum LkSG20

c Abschnitt zur Risikoanalyse aus dem elektronischen Berichtsfragebogen des BAFA21

Die Methodik der Risikoanalyse im eigenen Geschäftsbereich weicht aufgrund der divergierenden Einfluss- und Informationsmöglichkeiten deutlich von der Herangehensweise im Hinblick auf unmittelbare Zulieferer ab. Hieraus folgt, dass eine digitale Lösung im Zusammenhang mit der Risikoanalyse im eigenen Geschäftsbereich tendenziell selten von nennenswertem Nutzen sein kann. Demgegenüber kann die Effizienz der Risikoanalyse im Bereich der unmittelbaren Zulieferer hierdurch unter Umständen deutlich gesteigert werden:

c In verpflichteten Unternehmen besteht regelmäßig bereits jetzt ein Bewusstsein, ob sie gesteigerten produkt-, dienstleistungs- oder branchenspezifischen Risiken unterliegen. Einem in der Textilverarbeitung tätigen Unternehmen ist üblicherweise bekannt, dass die Branche mit erhöhten Risiken für Kinder- und Zwangsarbeit sowie Missachtung der Koalitionsfreiheit und sonstigen Arbeitnehmerrechten assoziiert wird. Über derartige Risiken können ferner Publikationen von Branchenverbänden, den zuständigen Ministerien22 und Produktlisten Auskunft geben, in die das Unternehmen Einsicht nehmen kann. Verpflichtete Unternehmen mit Gruppengesellschaften im außereuropäischen Ausland, die Teil des eigenen Geschäftsbereichs

19 BAFA, BAFA Risikodatenbank, https://www.bafa. de/SharedDocs/Downloads/DE/Lieferketten/lksg_ risikodatenbank.html (Abruf: 2.2.2024).

20 CSR, Lieferkettengesetz, https://www.csr-indeutschland.de/DE/Wirtschaft-Menschenrechte/ Gesetz-ueber-die-unternehmerischen-Sorgfalts pflichten-in-Lieferketten/FAQ/faq.html#doc977f 9a9d-bfdd-4d31-9e31-efab307ceee6bodyText3 (Abruf: 2.2.2024).

21 Vgl. auch Wagner/Ruttloff/Schuler, ESG 2022, S. 263/265; Gehne/Humbert/Philippi, in: Johann/ Sangi, LkSG, 2023, § 5 Rn. 13, 24.

22 Vgl. etwa die NAP-Branchenstudie „Die Achtung von Menschenrechten entlang globaler Wertschöpfungsketten – Risiken und Chancen für Branchen der deutschen Wirtschaft“.

sind, sollten die betroffenen Länder zwar auf besondere menschenrechtliche und umweltbezogene Risiken analysieren. Jedenfalls bei einer überschaubaren Anzahl von betroffenen Ländern kann diese Analyse indes i. d. R. mit Bordmitteln auf Basis öffentlich verfügbarer allgemeiner Länderindizes wie etwa der Amfori-Länderliste23 und dem CSR Risk Check von MVO Nederland24 oder den auf spezifische Risiken fokussierten Länderindizes (z. B. der Childhood Index von Save the Children25 oder der Global Slavery Index der Walk Free Foundation26) durchgeführt werden. Für die Risikoanalyse im eigenen Geschäftsbereich bedeutsamer als die Auswertung externer Informationsquellen ist die Sammlung unternehmensinterner Informationen. Diese beginnt üblicherweise mit einer Definition der internen Risk Owners für jedes LkSG-Risiko (etwa Mitarbeitende aus dem HR-Bereich hinsichtlich der Kinder- und Zwangsarbeits- sowie der arbeitssicherheits- und gleichbehandlungsbezogenen Risiken). Im Rahmen eines Bottom-up-Ansatzes stellt das LkSG-Team mit diesen Risk Owners – etwa über eine Kombination auszufüllender Fragebögen und strukturierter Risiko-Interviews – die erforderlichen Informationen zur Bewertung der Risikolage zusammen. Die Ergebnisse sollten sodann Top-down plausibilisiert werden. Das Risk Mapping in Bezug auf den eigenen Geschäftsbereich, d. h., die Einschätzung, ob und welche Risiken prioritär behandelt werden müssen, wie ihre Eintrittswahrscheinlichkeit zu bemessen ist und von welchem Schadensumfang auszugehen ist, setzt i. d. R. folglich vor allem die Auswertung unternehmens-

23 Amfori, About the amfori ESG Risk Compass, https://www.amfori.org/en/solutions/governance/ amfori-esg-risk-compass (Abruf: 2.2.2024).

24 MVO Nederland, CSR Risk Check Tool, https:// internationaal.mvonederland.nl/csr-risk-checkduplicate/ (Abruf: 2.2.2024).

25 Save the Children, Aktuelle Berichte und Studien, https://www.savethechildren.de/infor mieren/downloads/berichte-und-studien/ (Abruf: 2.2.2024).

26 Walkfree, Understanding the scale of modern slavery, https://www.walkfree.org/global-slaveryindex/ (Abruf: 2.2.2024).

interner Quellen voraus und kann daher üblicherweise mit Bordmitteln erfolgen.

c Auch im Hinblick auf die Risikoanalyse bei Zulieferern ist Unternehmen zu empfehlen, eine Regelauswertung maßgeblicher öffentlich verfügbarer Informationsquellen auf Risikohinweise zu etablieren, etwa durch ein Pressescreening und die Auswertung einschlägiger Newsletter zu menschenrechtlichen Fokusthemen – z. B. der Newsletter von Business & Human Rights, des BAFA, von NGOs und von Branchenvereinigungen –, die sich anders als etwa die Handreichungen und FAQ des BAFA nicht mit der Methodik des Risikomanagements, sondern mit konkreten, aktuellen Risikoindikatoren oder Fallbeispielen befassen. Da über die Zulieferer naturgemäß eine geringere Informationsdichte vorhanden ist als betreffend den eigenen Geschäftsbereich, ist die länderbezogene Risikoanalyse von besonderer Bedeutung. Unternehmen mit einer geringen Anzahl unmittelbarer Zulieferer oder Unternehmen, deren unmittelbare Zulieferer ihren Sitz überwiegend in Europa haben, können sich – obwohl insoweit keine White List besteht – zunächst auf die Länderrisikoanalyse der außereuropäischen Lieferanten fokussieren und diese üblicherweise mit Bordmitteln durchführen und dokumentieren. Unternehmen, die dagegen über eine Vielzahl von Zulieferern im nicht-europäischen Ausland verfügen, sollten eine Softwarelösung erwägen, die die Risiken des Sitzlandes automatisch bestimmt und die Zulieferer risikobasiert clustert. Vermutet das Unternehmen zahlreiche Risikozulieferer in seiner Lieferkette oder nimmt es an, dass diese besonders lang ist, kann sich eine Software- bzw. KI-Lösung anbieten, die nicht nur die Transparenz in der Lieferkette erhöht (etwa durch die Auswertung von Zolldaten), sondern die Zuliefererfirmen zugleich gegen OpenSource-Datenbanken laufen lässt und mittels Algorithmen etwa Presseartikel in unterschiedlichen Sprachen mit Bezug zu menschenrechtlichen und um-

weltbezogenen Risiken bei bestimmten Zulieferern identifiziert. Derartige Software- bzw. KI-Lösungen können sowohl die abstrakte als auch die konkrete Risikoanalyse und die sich anschließende Risikopriorisierung beträchtlich erleichtern. In Bezug auf mittelbare Zulieferer ist pflichtenauslösend dagegen allein objektive Risikokenntnis.27 Insoweit trifft verpflichtete Unternehmen keine Pflicht zur pro-aktiven Informationsbeschaffung bzw. Nachforschung, deren Verletzung eine Kenntnisfiktion zur Folge haben könnte.28 Zu berücksichtigen ist ferner, dass nicht über alle Zulieferer Daten online verfügbar sind, sodass Auskunftsersuchen bei Zulieferern hierdurch nicht (vollständig) obsolet werden dürften.

3.3 Beschwerdeverfahren

Eine weitere Sorgfaltspflicht, hinsichtlich derer die Anwendung einer Softwarelösung sinnvoll sein kann, ist die Einrichtung des Beschwerdeverfahrens.29 Über den Beschwerdemechanismus muss im Ergebnis jeder Risiken und Verstöße gegen die menschenrechtlichen und umweltbezogenen Verbote bei dem verpflichteten Unternehmen selbst oder bei dessen unmittelbaren oder mittelbaren Zulieferern melden können.30 Wie ein Hinweisgebermeldekanal für Compliance-Sachverhalte kann auch das Beschwerdeverfahren im Unternehmen oder z. B. bei einer externen Ombudsperson eingerichtet werden.31 Brancheninitiativen wie der Bangladesh Accord oder Auditierungsdienstleister wie Amfori arbeiten dem Vernehmen nach daran, unternehmensübergreifende Beschwerdeverfahren anzubieten, die den Anforderungen des LkSG genügen und räumlich für Mitarbeitende von Zulieferern aus Hochrisikoländern erreichbar sind.

27 Lüneborg, MDR 2023, S. 1009/1012.

28 Lüneborg, MDR 2023, S. 1009/1012; Lüneborg, in Gehling/Ott, LkSG, 2022, § 9 Rn. 26; Gehling/ Ott/Lüneborg, CCZ 2021 S. 230/237; Herrmann/ Rünz, DB 2021 S. 3078 f.; Stemberg, NZG 2022 S. 1093/1099.

29 §§ 8, 9 Abs. 1 LkSG.

30 Vgl. Lüneborg, in: Gehling/Ott, LkSG, 2022, § 8 Rn. 24, 29.

31 Näher Lüneborg, in: Gehling/Ott, LkSG, 2022, § 8 Rn. 11 ff.

c Eine weitere Sorgfaltspflicht, hinsichtlich derer die Anwendung einer Softwarelösung sinnvoll sein kann, ist die Einrichtung des Beschwerdeverfahrens. b

Soweit ersichtlich, etablieren sich dagegen gegenwärtig keine Softwarelösungen neu, die ausschließlich der Umsetzung der gesetzlichen Anforderungen an ein Beschwerdeverfahren dienen sollen. Vielmehr bieten einige auf holistische LkSG-Compliance fokussierte Anbieter wie etwa Osapiens neben Unterstützung bei der Risikoanalyse etc. auch die Einrichtung eines LkSG-konformen Beschwerdekanals an. Ferner sind Hinweisgebersysteme bereits seit längerem als zentrale Bestandteile eines wirksamen Compliance-Management-Systems (CMS) anerkannt. Durch Inkrafttreten des deutschen Hinweisgeberschutzgesetzes (HinSchG) im Juli 2023 ist ihre Einrichtung für alle Unternehmen mit mehr als 50 Beschäftigten Pflicht.32 Etablierte Anbieter von Online-Hinweisgebertools wie etwa EQS33 haben ihre bestehenden Softwarelösungen daher mitunter um zusätzliche Module erweitert, die den Anforderungen des LkSG genügen. Bei genauer Betrachtung ist dies auch sinnvoll, da die Anforderungen von HinSchG und LkSG zahlreiche Parallelen (Gewährleistung von Hinweisgeberschutz; Eingangsbestätigungs- und Rückmeldepflichten im Verhältnis zum Hinweisgeber; Aufklärung durch unabhängige Hinweisbearbeiter) aufweisen.34 Daher sprechen insbesondere die Kosten- und Ressourcenersparnis sowie eine höhere Übersichtlichkeit für Hinweisgeber dafür, einen einzigen, integrierten Meldekanal vorzuhalten.35 Auch das BAFA empfiehlt in seiner Handreichung zum Beschwerdeverfahren, zu prüfen, ob auf bestehende Mechanismen aufgebaut und diese ggf. angepasst werden können.36 Daher sind im Grundsatz dieselben Entscheidungsparameter relevant, die der generellen Entscheidung für und

32 Zum Ganzen Lüneborg, GmbHR 2023, S. 765 ff.

33 EQS, Die Compliance Management Plattform zur Umsetzung Ihrer Sorgfaltspflichten – einfach, effizient und gesetzeskonform, https:// www.eqs.com/de/ (Abruf: 2.2.2024).

34 Vgl. nur Lüneborg, DB 2022 S. 375 f.; Lüneborg, in: Gehling/Ott, LkSG, 2022, § 8 Rn. 20.

35 Vgl. nur Lüneborg, DB 2022 S. 375 f.; Lüneborg, in: Gehling/Ott, LkSG, 2022, § 8 Rn. 20; Gehling/ Ott/Lüneborg, CCZ 2021 S. 230/238; Hembach, LkSG, 2022, S. 176.

36 BAFA, Handreichung „Beschwerdeverfahren nach dem Lieferkettensorgfaltspflichtengesetz“, 2022, Ziff. 4.1.

c Unternehmen schulden unter dem LkSG zwar überwiegend Handlungs- und keine Erfolgspflichten. b

gegen internetbasierte Hinweisgebersysteme37 zugrunde gelegt werden können: Preis, Erreichbarkeit (24 Stunden/sieben Tage die Woche bzw. innerhalb der Bürozeiten), Sprachabdeckung, Möglichkeit der Vernetzung zwischen unterschiedlichen Hinweisbearbeitern, wenn mehrere Hinweisbearbeiter, ggf. auch in unterschiedlichen Ländern tätig werden sowie Hilfestellungen bei der Einhaltung der formalen gesetzlichen Anforderungen wie etwa Eingangsbestätigungs- und Rückmeldepflichten.38 Entscheidet sich ein Unternehmen für eine derartige integrierte Lösung, sollte es bei allen Unterschieden in den gesetzlichen Anforderungen indes jeweils die strengeren Vorgaben zum Maßstab machen.39 Anders als das HinSchG sieht § 8 Abs. 4 Satz 2 LkSG insbesondere vor, dass das Beschwerdeverfahren für potenzielle Beschwerdeführer „zugänglich“ sein muss. Ausweislich der Gesetzesbegründung können mögli-

37 Vgl. auch Dilling, CCZ 2019 S. 214 f.; Lüneborg, DB 2022 S. 375/377/380.

38 Näher Lüneborg, ZIP 2023 S. 941/947.

39 Näher Lüneborg, ZIP 2023 S. 941/950.

c ZCG-Nachrichten

che Zugangshindernisse u. a. mangelnde Sprachkenntnisse und mangelndes Leseund Schreibvermögen sein.40 Damit kann ein zentrales Auswahlkriterium einer Softwarelösung sein, ob diese auch eine Erteilung von Hinweisen mittels Sprachaufnahmebuttons und eine Hinführung zu denselben mittels einfacher Symbolik bietet, der Online-Meldekanal auch über Bar-Codes niedrigschwellig erreichbar ist oder auch eine parallele Telefonhotline für Personen ohne Internetzugang enthält. Gleichgültig, ob ein Online-Tool zum Einsatz kommt oder nicht: Die Hinweisbearbeitung muss das Unternehmen selbst organisieren. Auch die Einspeisung relevanter Hinweise in die Risikoanalyse leisten nur Anbieter ganzheitlicher Risikomanagementsysteme.

4. Zusammenfassung

Unternehmen schulden unter dem LkSG zwar überwiegend Handlungs- und keine Erfolgspflichten. Gleichwohl müssen sie nachweisen können, dass sie ein angemessenes und wirksames Risikomanagement aufgebaut haben. Eine Vorstufe ist neben der Klärung der vielfältigen Rechtsfragen eine intensive Auseinandersetzung mit den vielfach ausschließlich unternehmensintern vorhandenen Informationen und den Organisationsstrukturen. Kein Softwaretool kann Unternehmen hiervon (vollständig) entlasten.

40 BT-Drucks. 19/28649, S. 50. Näher zur Barrierefreiheit Nietsch/Wiedmann, CCZ 2001 S. 101/108; Lüneborg, in: Gehling/Ott, LkSG, 2022, § 8 Rn. 32; Kämpf, in: Johann/Sangi, LkSG, 2023, § 8 Rn. 50.

Softwarelösungen können Unternehmen vor allem beim Lieferantenmanagement, der Risikoanalyse im Zuliefererbereich und in Bezug auf das Beschwerdeverfahren unterstützen; hinsichtlich der sonstigen Sorgfaltspflichten allenfalls partiell. Unternehmen sollten daher nicht vorschnell ein Tool auswählen, sondern eingehend abwägen, hinsichtlich welcher Sorgfaltspflichten ein Einsatz sinnvoll sein kann und welche Leistungen im Einzelnen benötigt werden.

EU-Lieferkettenrichtlinie nimmt entscheidende Hürde

Die EU-Lieferkettenrichtlinie Corporate Sustainability Due Diligence Directive (CSDDD) hat die entscheidende Hürde genommen, da eine ausreichende Mehrheit der EU-Staaten sie unterstützt, um Menschenrechte zu schützen. Der Ausschuss der ständigen Vertreter im Rat der Europäischen Union stimmte mehrheitlich für die CSDDD.

Die belgische Ratspräsidentschaft hatte sich zuvor intensiv um einen Kompromiss bemüht. Nach mehreren erfolglosen Versuchen war die Abstimmung im EU-Rat erfolgreich aufgrund der Unterstützung wichtiger EU-Mitgliedstaaten wie Italien und Frankreich, kommentiert Prof. Dr. Anne-Christin Mittwoch, Inhaberin des Lehrstuhls für Bürgerliches Recht, Europäisches und Internationales Wirtschafts-

recht an der Universität Halle-Wittenberg. Die Schwelle für von der CSDDD betroffene Unternehmen sei auf 1.000 Mitarbeitende und einen Umsatz von 450 Millionen Euro festgelegt und Verweise auf Hochrisikosektoren seien entfernt worden, so Anne-Christin Mittwoch. Dadurch sei die Zahl betroffenen Unternehmen im Vergleich zur ursprünglichen Vereinbarung im Dezember 2023 um fast 70 Prozent gesunken. Der Finanzsektor sei von der CSDDD ausgeschlossen worden. Die zivilrechtliche Haftung bleibe im Text enthalten, sei jedoch weiter spezifiziert worden.

Auch der Bund für Umwelt und Naturschutz Deutschland (BUND) wertet die Zustimmung der EU-Staaten als ein gutes Signal. Damit werde der Weg frei für einheitliche Wettbewerbsbedingungen in der gesamten EU. „Das sind gute Nachrichten für mehr Menschenrechte und

2 Tüv-Verband, Erfolg ohne Deutschland: EU-Lieferkettenrichtlinie kommt, 15.3.2024, https:// www.tuev-verband.de/pressemitteilungen/ erfolg-ohne-deutschland-eu-lieferkettenricht linie-kommt (Abruf: 18.3.2024). Jetzt

mehr Klimagerechtigkeit und ebnet dringend notwendigen Innovationen im Umweltschutz den Weg“, kommentiert der BUND.1 Da das Gesetz noch einmal abgeschwächt worden sei, bleibe jedoch ein „übler Nachgeschmack“.

Der TÜV-Verband sieht nun ebenfalls Planungs- und Rechtssicherheit für Unternehmen.2 Für eine erfolgreiche Realisierung der CSDDD in der Praxis sei es „elementar, dass die Anforderungen und Leitlinien ausreichend konkret formuliert werden“.

1 BUND, Kommentar: Weg frei. EU-Lieferkettengesetz kommt, 15.3.2024, https://www.bund.net/ service/presse/pressemitteilungen/detail/news/ kommentar-weg-frei-eu-lieferkettengesetzkommt/ (Abruf: 18.3.2024).