Compliance-System erleichtert Einhaltung des Lieferkettengesetzes
Mittelständische Unternehmen werden zunehmend von Geschäftspartnern aufgefordert zu bestätigen, dass sie die im Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten („Lieferkettengesetz“ oder „LkG“) festgelegten menschenrechtlichen und umweltbezogenen Sorgfaltspflichten in angemessener Weise beachten. Diese Aufforderungen kommen typischerweise von Geschäftspartnern mit mehr als 1.000 Arbeitnehmern im Inland, die ab 2024 unter das Lieferkettengesetz fallen; bisher lag die Grenze bei 3.000 Arbeitnehmern. Manche Geschäftspartner fordern eine vertragliche Erklärung, dass das Unternehmen die Sorgfaltspflichten aus dem Lieferkettengesetz beachtet, andere legen eine komplette interne Richtlinie (Code of Conduct) vor und verlangen, dass das Unternehmen diese als verbindlich anerkennt. Jedes Unternehmen, das eine derartige Anfrage erhält, sollte idealerweise bereits ein Compliance-System haben oder ohne Verzug einführen, unabhängig davon, ob es selbst unter das Lieferkettengesetz fällt oder nicht. Folgende Gründe sprechen dafür:
Wenn das mittelständische Unternehmen selbst unter das Lieferkettengesetz fällt, sollte es bereits ein „angemessenes und wirksamen Risikomanagement zur Einhaltung der Sorgfaltspflichten“ aus dem Lieferkettengesetz eingeführt haben. Diese Pflicht steht ausdrücklich in § 4 des Lieferkettengesetzes. Zwar ist sie nicht sanktioniert, aber wer dem Geschäftspartner gegenüber erklärt, dass er die unternehmerischen Sorgfaltspflichten aus dem Lieferkettengesetz erfülle, setzt die Geschäftsbeziehung aufs Spiel, wenn dies nicht zutreffen sollte.
Ein angemessenes und wirksames Risikomanagement setzt eine Organisation, d. h. ein Compliance-System, voraus, die nicht nur die im Lieferkettengesetz genannten menschenrechtlichen und umweltbezogenen Risiken, sondern alle wesentlichen Risiken erfasst. Zwar sind nur Kapitalgesellschaften rechtlich zum Risikomanagement verpflichtet, aber auch die Geschäftsführung von Personengesellschaften riskiert, persönlich in Anspruch genommen zu werden, wenn sie ohne Risikomanagement operiert. Vor allem bei Vertragsverstößen oder Ordnungswidrigkeiten, die aus dem Unternehmen heraus begangen werden, liegt es nahe, dass diese durch ein angemessenes und wirksames Risikomanagement hätten vermieden werden können und dass die Geschäftsführung ihre Organisationspflichten vorsätzlich verletzt hat, wenn sie ohne Risikomanagement operiert. In einem solchen Fall wird die Geschäftsführung kaum damit rechnen können, dass sie nicht in Anspruch genommen wird.
Doch wie ist ein entsprechendes Compliance-System inhaltlich auszugestalten? Zunächst muss das Unternehmen die sich aus seinem Geschäftsbetrieb ergebenden wesentlichen Risiken systematisch erfassen und analysieren, entsprechende Präventions- und Abhilfemaßnahmen treffen, die Geschäftspartner überprüfen (Third-Party Checks), ein Beschwerdeverfahren (Whistleblower Hotline) einführen, das Ergebnis dokumentieren und laufend überprüfen und im Bedarfsfall berichten.
Dies gilt auch für kleinere Unternehmen, die nicht selbst unter das Lieferkettengesetz fallen, aber Geschäftspartner beliefern, die unter die Vorgaben des Lieferkettengesetzes fallen. Diese müssten jedenfalls Maßnahmen zur Prävention von Menschenrechtsverstößen und Umweltschäden im eigenen Unternehmen und bei ihren unmittelbaren Zulieferern und ein Beschwerdeverfahren einrichten, wenn sie die Geschäftsbeziehung nicht gefährden wollen. Die eben beschriebenen Gründe für die Einführung eines Compliance-Systems gelten auch hier. Wenn also das Unternehmen schon derartige Präventionsmaßnahmen treffen und ein Beschwerdeverfahren einrichten muss, ist der mit der Einführung eines kompletten Compliance-Systems verbundene Mehraufwand gering im Vergleich zu den Risiken, die ohne Compliance-System bestehen.
In naher Zukunft ist damit zu rechnen, dass Bestätigungen, wonach bestimmte Sorgfaltspflichten eingehalten werden, auch außerhalb des Anwendungsbereichs des Lieferkettengesetzes eingefordert werden. So verlangt jedes Compliance-System im Prinzip ThirdParty Checks, d. h. die Überprüfung der wesentlichen Geschäftspartner (nicht nur der Lieferanten) in Bezug auf die Einhaltung von Rechtsbestimmungen, die Korruption, Bestechlichkeit, Terrorismusfinanzierung oder Geldwäsche bekämpfen oder den freien Wettbewerb schützen sollen. Hinzu kommen die Berichtspflichten nach der europäischen corporate social responsibility Gesetzgebung. Vertragliche Regelungen, die sich (nur) auf den Schutz der Menschenrechte und der Umwelt beziehen, können dann ohne großen Aufwand entsprechend angepasst werden.