Das Lieferkettensorgfaltspflichtengesetz ist seit dem 1. Januar 2023 in Kraft und musste bisher von Unternehmen ab 3.000 Arbeitnehmerinnen und Arbeitnehmern im Inland umgesetzt werden. Ab Anfang 2024 wird die Umsetzung auch für Unternehmen mit mehr als 1.000 Mitarbeitenden zur Pflicht. Abseits der Verpflichtung, die aus dem LkSG resultierenden Regelungen umzusetzen, ist eine stringente Implementierung der geforderten Maßnahmen insbesondere für den Einzelhandel von besonderer Relevanz. Dort existieren zahlreiche und weitreichende Lieferketten, bei den Sortimenten handelt es sich um Waren von einer Vielzahl von Händlern unterschiedlichsten Ursprungs und die Einhaltung von Menschenrechts- und Umweltstandards ist in den verschiedenen Ländern oftmals sehr unterschiedlich ausgeprägt. Kundinnen und Kunden legen verstärkt Wert auf ethische Geschäftspraktiken, sodass Unternehmen diesen auch aus einem Eigeninteresse heraus große Beachtung schenken sollten.
Unsere bisherigen Erfahrungen zeigen, dass folgende Fragen bei fast jedem Unternehmen im Rahmen der Implementierung relevant sind:
Wie können bestehende Strukturen für die Umsetzung des LkSG genutzt werden?
Anders als bspw. bei der Einführung der DSGVO 2018 verfügen heute die meisten Unternehmen bereits über Corporate-Governance-Strukturen und damit einhergehend über das nötige Bewusstsein. Das erleichtert die Implementierung erheblich: Man kann häufig auf Mechanismen der bestehenden Systeme zurückgreifen. So hilft eine definierte Methodik für ein Compliance Risk Assessment bei der einheitlichen Bewertung der Risiken im eigenen Geschäftsbereich. In Verbindung mit Elementen des Risikomanagementsystems kann die Risikoerhebung bei den unmittelbaren Lieferanten durchgeführt werden. Etablierte interne Kontrollstrukturen ermöglichen es, die Maßnahmen zur Umsetzung der Sorgfaltspflichten auch in die Organisation und insbesondere in die Tochtergesellschaften zu bringen, bspw. durch Ergänzungen des Minimum Control Sets. Zu guter Letzt kann auf bestehende Berichtsstrukturen aufgesetzt und das Management integriert informiert werden.
Wer ist für das LkSG-bezogene Risikomanagement verantwortlich?
Die Wirksamkeit des LkSG-bezogenen Risikomanagements setzt die Benennung einer oder eines Menschenrechtsbeauftragten voraus, auch wenn diese oder dieser nicht zwingend so bezeichnet werden muss. Doch wo ist die Funktion in der Organisation zu verorten? Häufig werden die Implementierungsprojekte aus dem Einkauf initiiert, doch wird dort in der Regel nicht die Verantwortung für den eigenen Geschäftsbereich gesehen. Außerdem fehlt die inhaltliche Nähe zum Hinweisgebersystem, auf das im Rahmen eines Beschwerdeverfahrens zurückgegriffen wird. Es hat sich daher als beste Lösung herausgestellt, die methodische Verantwortung in der zweiten Linie im Sinne des Drei-Linien-Modells zu verorten, meist in der Compliance-Abteilung. So werden auch die nötige Unabhängigkeit und die Nähe zur Geschäftsführung sichergestellt.
Wird zwingend ein eigenes IT-Tool benötigt?
Gerade bei der ersten Analyse der Risiken bei den unmittelbaren Lieferanten stehen viele Unternehmen vor Herausforderungen. Welche Informationen können bzw. müssen herangezogen werden? Welche Lieferanten sind einzubeziehen? Wie oft muss die Risikoanalyse wiederholt werden? Softwareanwendungen können hierbei eine wesentliche Hilfestellung leisten, insbesondere dann, wenn sie per Schnittstelle auf die Lieferantendaten im ERP-System zugreifen können. Gleichzeitig sind diese Anwendungen häufig mit einem erheblichen Aufwand verbunden. Der Mehrwert einer IT-gestützten Lösung sollte daher genau abgewogen und idealerweise erst nach einer initialen Risikoerhebung erfolgen. Dann lässt sich sehr viel genauer abschätzen, wie viele Lieferanten überhaupt so engmaschig überwacht werden müssen, dass es ohne Softwareunterstützung nicht möglich ist. In der Einzelhandelsbranche spricht die Vielzahl der Lieferanten tendenziell für eine IT-Implementierung. Gleichzeitig kann ein intensives lokales Sourcing für eine insgesamt geringere Risikoneigung und somit eine geringere Komplexität bei der Risikoerhebung sprechen.
