Externer Menschenrechtsbeauftragter: Kosten, Aufwand und Modelle im Überblick

Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet seit 2023 alle Unternehmen ab 3.000 Mitarbeitern, seit 2024 ab 1.000 Mitarbeitern, eine Person mit der Überwachung des Risikomanagements für Menschenrechte und Umwelt zu betrauen. § 4 Abs. 3 LkSG nennt dafür den Menschenrechtsbeauftragten und schreibt eine direkte Berichtslinie an die Geschäftsleitung vor. Die Bestellung kann intern erfolgen oder an einen externen Beauftragten ausgelagert werden. In der Praxis wählen viele Unternehmen die externe Variante, weil Fachkompetenz für Lieferketten-Compliance schwer aufzubauen ist und die jährliche BAFA-Berichtspflicht eine routinierte Hand erfordert, die den Fragebogen mit über 400 Einzelfragen kennt.

Dieser Artikel ordnet die Kosten realistisch ein und vergleicht drei Modelle: Stundensatz-Beratung, Jahrespauschale und Officer-as-a-Service mit integriertem Workspace. Er erklärt, welche Aufgaben tatsächlich anfallen, wie sich Aufwand zwischen kleinem Mittelstand und Konzernlieferketten unterscheidet, welche Stundensätze marktüblich sind und welche Hebel die Gesamtkosten senken. Auch die Schnittstelle zur EU-Richtlinie über die Sorgfaltspflichten im Bereich der Nachhaltigkeit (CSDDD, Richtlinie 2024/1760) wird beleuchtet, weil sie die Erwartungen an den Beauftragten ab 2026 verschärft. CIVAC bietet die Rolle als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Wege führen zu nachweisfähigen LkSG-Strukturen und einer planbaren Kostenseite, ohne dass die Geschäftsleitung in einer Black Box aus Stundensatz-Rechnungen landet.

§ 4 LkSG verlangt ein angemessenes und wirksames Risikomanagement, das in alle maßgeblichen Geschäftsabläufe verankert ist. Der Menschenrechtsbeauftragte überwacht dieses Risikomanagement, berichtet mindestens einmal jährlich an die Geschäftsleitung und bringt diese in Kenntnis über erkannte Risiken und Verletzungen. Die Funktion ist keine Stabsstelle für Kommunikation, sondern eine fachliche Aufsichtsrolle mit klar geregelter Berichtslinie und einer dokumentierten Bestellurkunde, die im Audit jederzeit vorzulegen ist.

Die konkreten Aufgaben sind in § 3 LkSG aufgezählt: Erlass einer Grundsatzerklärung, Durchführung jährlicher Risikoanalysen im eigenen Geschäftsbereich und bei direkten Zulieferern, Festlegung von Präventionsmaßnahmen, Abhilfemaßnahmen bei festgestellten Verstößen, Einrichtung eines Beschwerdeverfahrens, Dokumentation und Berichterstattung. Der Beauftragte koordiniert diese Pflichten, ohne sie alleine zu erledigen. Die operative Arbeit verbleibt in Einkauf, HR, Rechtsabteilung und Nachhaltigkeit, die Steuerung liegt zentral. Diese Aufgabenteilung ist auch im Hinblick auf die persönliche Haftung des Beauftragten relevant.

Für die Kostenbetrachtung folgt daraus: Die Rolle ist eher Programmleitung als Sachbearbeitung. Der Aufwand schwankt mit Lieferkettenkomplexität, Anzahl der Tier-1-Lieferanten, geografischer Verteilung und Branche. Ein deutscher Maschinenbauer mit 150 Lieferanten aus Europa und einem chinesischen Werk hat ein anderes Risikoprofil als ein Textileinkäufer mit 800 Lieferanten aus Bangladesch und Vietnam. CIVAC liefert dafür einen vorkonfigurierten Workspace für den Lieferkettenbeauftragten mit Audit-Vorlagen, Risiko-Matrizen und Berichtsformaten, die der LkSG-Logik folgen. Wer die Funktion nur als Stellenbeschreibung versteht, unterschätzt den Steuerungsaufwand und kommt am Ende des Geschäftsjahres unter Termindruck. Frist läuft ab Geschäftsjahresende, der BAFA-Bericht wartet nicht. Eine schriftliche Aufgabenmatrix zwischen Beauftragtem, Einkauf, HR und Rechtsabteilung verhindert Lücken und Doppelungen, die sonst im Audit oder bei der Beschwerdeprüfung auffallen würden.

Im Markt haben sich drei Modelle etabliert. Erstens das klassische Stundensatz-Modell: Eine Kanzlei oder Beratung wird mit der Funktion betraut, rechnet stundenweise ab und führt nach Bedarf Audits durch. Stundensätze für Senior-Berater liegen aktuell zwischen 220 und 380 Euro netto. Bei einem mittleren Aufwand von 70 bis 140 Stunden pro Jahr ergibt das ein Volumen von 15.000 bis 53.000 Euro, allerdings mit hoher Streuung und schwacher Planbarkeit, weil Vorfälle und Beschwerden den Aufwand kurzfristig verdoppeln können.

Zweitens die Jahrespauschale: Der externe Beauftragte sichert einen vertraglich definierten Leistungsumfang zu einem Festpreis zu, üblicherweise inklusive Bestellurkunde, jährlicher Risikoanalyse, BAFA-Berichtsentwurf, Schulungen für relevante Mitarbeitende und einer festgelegten Anzahl Reaktionsstunden für Vorfälle. Die Pauschalen bewegen sich je nach Komplexität zwischen 24.000 und 60.000 Euro pro Jahr und bieten den Vorteil planbarer Kosten. Wichtig ist die genaue Definition, was im Festpreis enthalten ist und was nach Aufwand abgerechnet wird, sonst verschiebt sich das Modell faktisch wieder Richtung Stundensatz.

Drittens Officer-as-a-Service mit integriertem Workspace: Hier kombiniert sich die externe Bestellung mit einer Softwareplattform, in der Risikoanalyse, Lieferantenbefragungen, Beschwerden, Berichte und Audit-Vorlagen liegen. Das spart Mehrfachaufwand und integriert den Beauftragten in die operative Datenwelt. CIVAC bietet diese Variante als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Der Prüfer ruft an, der Nachweis liegt bereit, ohne Suche durch Excel-Tabellen oder verteilte E-Mails. Der Vorteil dieses Modells liegt nicht nur in der Kostenstruktur, sondern in der Wiederverwendbarkeit der Daten über die Berichtsjahre hinweg und in der nachvollziehbaren Versionierung der Dokumente.

Die Spannweite der Angebote irritiert oft die Geschäftsleitung. Sie ergibt sich aus fünf Treibern. Erstens die Anzahl direkter Lieferanten: Eine Risikoanalyse für 80 Lieferanten ist schneller fertig als für 800. Zweitens die geografische Verteilung: Lieferanten in Hochrisikoländern nach BAFA-Liste erfordern tiefere Prüfung und in einigen Fällen Vor-Ort-Audits, die Reisekosten und Tageshonorare hinzufügen. Drittens die Branche: Textil, Bergbau, Elektronik und Lebensmittel haben eigene Risikolandschaften mit etablierten Audit-Standards (z. B. SA8000, amfori BSCI, Rainforest Alliance), die der Beauftragte einordnen muss.

Viertens die Beschwerdelage: Wenn ein Beschwerdeverfahren aktiv genutzt wird, fallen Bewertungs-, Untersuchungs- und Abhilfemaßnahmen-Kosten an, die im ersten Jahr selten vorhersehbar sind. Ein einziger ernsthafter Vorfall in einem Drittland kann zwei bis drei Wochen zusätzlichen Beauftragten-Aufwand auslösen. Fünftens die Reifegrad-Frage: Ein Unternehmen ohne bestehende Lieferketten-Compliance startet bei null und braucht Aufbauaufwand für Risikomatrix, Lieferantenkommunikation und Schulungskonzept. Ein Unternehmen mit etablierter Nachhaltigkeitsabteilung kann auf bestehenden Strukturen aufbauen.

Realistische Bandbreiten: Ein Unternehmen mit 1.500 Mitarbeitern und 120 Lieferanten in Europa rechnet mit 22.000 bis 38.000 Euro pro Jahr für einen externen Beauftragten inklusive Workspace. Ein Konzern mit 8.000 Mitarbeitern und 600 Lieferanten weltweit liegt eher zwischen 55.000 und 85.000 Euro. Hinzu kommen einmalige Aufbaukosten im ersten Jahr, üblicherweise zwischen 8.000 und 15.000 Euro für Wesentlichkeitsanalyse, Lieferantenkommunikation und Schulungen, plus laufende Lizenzkosten für den Workspace im Bereich 6.000 bis 18.000 Euro pro Jahr. Bei der Auswahl des Anbieters lohnt sich der Blick auf Referenzen aus der eigenen Branche und auf die Frage, ob der Beauftragte gleichzeitig für direkte Wettbewerber tätig ist.

Workspaces senken die Gesamtkosten nicht, weil der Beauftragte günstiger arbeitet, sondern weil weniger Doppelarbeit anfällt. Drei Hebel sind in der Praxis wirksam. Erstens die Lieferantenkommunikation: Ein vorkonfigurierter Fragebogen, der direkt mit der Risikomatrix verknüpft ist, spart drei bis sechs Stunden pro Lieferant gegenüber Excel-basierter Erfassung. Bei 300 Lieferanten sind das 900 bis 1.800 Stunden, die nicht im Tagessatz des Beauftragten oder seines Teams stecken. Hinzu kommt, dass die Lieferanten selbst weniger Rückfragen produzieren, weil der Fragebogen einheitlich und nachvollziehbar ist.

Zweitens die Berichterstattung an BAFA und Geschäftsleitung: Wer die Daten aus einem strukturierten Workspace zieht, braucht für den Jahresbericht zwei bis drei Tage. Wer aus E-Mails und Excel-Tabellen rekonstruieren muss, braucht zehn bis vierzehn Tage und produziert dabei Inkonsistenzen, die in Folgejahren zu Rückfragen führen. Audit-fest, dokumentiert, § 10-fest. Die Versionierung der Daten ermöglicht es zudem, einen historischen Berichtstand zu rekonstruieren, was bei BAFA-Nachfragen Wochen sparen kann.

Drittens die Schnittstelle zu CSRD und EU-Taxonomie: Ein Workspace, der LkSG- und ESRS-Datenpunkte verbindet, vermeidet die Mehrfacherfassung derselben Lieferanten- und Lieferketten-Daten. Im CIVAC-Workspace teilen sich der LkSG-Beauftragte und der ESG-Beauftragte denselben Datenstand. Das spart pro Berichtsjahr typischerweise 25 bis 40 Personentage in den Fachabteilungen und etwa 10 bis 20 Beauftragten-Tage. Über drei Jahre summieren sich diese Einsparungen auf ein Volumen, das die Workspace-Lizenz mehrfach refinanziert. Hinzu kommt der Effekt, dass die Datenqualität mit jedem Berichtsjahr steigt, weil die Lieferantenangaben validiert und mit Marktdaten abgeglichen werden, was wiederum den Aufwand für die Risikoanalyse senkt.

Die EU-Richtlinie 2024/1760 (Corporate Sustainability Due Diligence Directive, CSDDD) wurde im Juli 2024 verabschiedet und ist bis 26. Juli 2026 in deutsches Recht umzusetzen. Sie ersetzt das LkSG nicht, ergänzt es aber inhaltlich und verschärft den Geltungsbereich. Zunächst sind nur Unternehmen ab 5.000 Mitarbeitern und 1,5 Mrd. Euro Nettoumsatz erfasst, in einer zweiten Stufe ab 3.000 Mitarbeitern und 900 Mio. Euro, schließlich ab 1.000 Mitarbeitern und 450 Mio. Euro. Die deutsche Umsetzung wird voraussichtlich das LkSG anpassen oder durch ein neues Gesetz ersetzen.

Inhaltlich erweitert die CSDDD die Sorgfaltspflichten auf die gesamte Wertschöpfungskette einschließlich indirekter Zulieferer und in begrenztem Umfang auch nachgelagerter Geschäftspartner. Außerdem fordert sie einen Klimatransformationsplan mit 1,5-Grad-Ziel und schärft die zivilrechtliche Haftung. Für externe Beauftragte bedeutet das: Die Risikoanalyse muss tiefer und breiter werden, das Beschwerdeverfahren ist umfassender auszulegen, der Bericht erweitert sich um Klimaaspekte. Auch die Abstimmung mit dem Klimabeauftragten und dem ESG-Verantwortlichen wird formeller geregelt.

Kostenseitig werden Jahrespauschalen für CSDDD-konforme externe Beauftragte voraussichtlich 15 bis 25 Prozent über den heutigen LkSG-Pauschalen liegen. Wer heute mit Workspace und Officer-as-a-Service arbeitet, profitiert vom integrierten Datenmodell und kann CSDDD-Anforderungen mit moderatem Mehraufwand abbilden. Wer mit Excel arbeitet, wird strukturelle Probleme bekommen und ist gezwungen, parallel zur laufenden Umsetzung eine Datenarchitektur aufzubauen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Auch die Auswahl eines externen Beauftragten sollte bereits 2026 die CSDDD-Kompetenz einschließen, weil eine Nachverhandlung im laufenden Mandat üblicherweise teurer ist als die direkte Einbindung in den Erstvertrag und weil die Übergangsphase mehrere überlappende Berichtsregime erzeugt.

Die Frage, ob ein interner oder externer Beauftragter günstiger ist, lässt sich nicht pauschal beantworten. Ein interner Beauftragter, üblicherweise auf Senior-Manager-Niveau angesiedelt, kostet inkl. Lohnnebenkosten zwischen 95.000 und 140.000 Euro pro Jahr Vollkosten, wenn die Funktion zu 50 bis 80 Prozent ausgefüllt wird. Hinzu kommen Schulungen, Fachliteratur, Mitgliedschaften in Branchenverbänden und gegebenenfalls Reisekosten für Lieferanten-Audits. Die Einarbeitungszeit eines neuen internen Beauftragten beträgt sechs bis neun Monate, in denen die Funktion nur eingeschränkt wirksam ist.

Demgegenüber kostet ein externer Beauftragter im Officer-as-a-Service-Modell zwischen 28.000 und 70.000 Euro pro Jahr Vollkosten inklusive Workspace. Die Differenz erklärt sich durch geteilte Auslastung über mehrere Mandate, Standardisierung der Vorlagen und integrierte Software. Der Trade-off liegt nicht in der Qualität, sondern in der Bindung: Ein interner Beauftragter ist nah am Geschäft, ein externer bringt Vergleichswerte aus anderen Mandaten mit und einen frischen Außenblick. Auch das Risiko von Kündigung und damit verbundenem Wissensverlust ist beim externen Modell geringer.

In der Praxis empfehlen wir eine Mischform für Unternehmen ab 3.000 Mitarbeitern: Ein interner Senior-Mitarbeiter mit operativer Verantwortung plus ein externer Beauftragter, der die Funktion nach § 4 LkSG übernimmt, in Audits vertritt und gegenüber BAFA berichtet. Im CIVAC-Workspace ist diese Aufteilung als Rollenkonfiguration vorgesehen, mit klarer Trennung von Pflichten und gemeinsamer Datenbasis. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Mischform reduziert das Personenausfallrisiko und ermöglicht es, in Spitzenzeiten (BAFA-Bericht, Audit, Lieferantenkrise) zusätzliche externe Kapazität flexibel zuzuschalten, ohne fest angestelltes Personal aufzubauen.

Der jährliche BAFA-Bericht nach § 10 Abs. 2 LkSG ist seit dem Berichtsjahr 2023 verpflichtend. Er folgt einem Fragebogen mit über 400 Einzelfragen und muss bis spätestens vier Monate nach Geschäftsjahresende eingereicht werden. Erfahrungswerte zeigen einen Erstaufwand von 25 bis 60 Personentagen, davon ein Drittel beim Beauftragten und zwei Drittel in den Fachabteilungen. Im zweiten Jahr halbiert sich der Aufwand, wenn die Datenstrecken stehen und die Verantwortlichen in Einkauf, HR und Rechtsabteilung mit dem Fragenkatalog vertraut sind.

Versteckte Kosten entstehen typischerweise an drei Stellen. Erstens bei nachträglichen Datenkorrekturen, wenn Lieferantenangaben nicht mit der eigenen Inventur übereinstimmen. Zweitens bei kurzfristigen Beschwerdeuntersuchungen, die das BAFA als Folgemeldung erwartet und die innerhalb von vier Wochen substantiiert dokumentiert sein müssen. Drittens bei Schulungen für Einkauf und Vertrieb, die viele Unternehmen unterschätzen, obwohl § 6 Abs. 2 LkSG sie verpflichtend macht und Bußgelder bei Verstößen vorsieht.

Im CIVAC-Workspace sind die 400+ BAFA-Fragen mit den intern erhobenen Daten verknüpft, sodass der Bericht weitgehend aus dem Datenbestand generiert wird. Die FAQ-Sektion beschreibt typische Stolpersteine. Audit-Vorlagen für Lieferanten-Audits, Schulungsnachweise und Beschwerdebehandlung liegen vorkonfiguriert vor, was den Aufwand für die Auditvorbereitung um etwa 30 Prozent reduziert und Rückfragen der Prüfer verkürzt. Zusätzlich werden die Berichtsjahre versioniert abgelegt, sodass ein Vergleich der Risikoanalyse über drei oder fünf Jahre ohne Mehraufwand möglich ist und Entwicklungen bei einzelnen Lieferanten oder Ländern direkt sichtbar werden, was die BAFA als positives Indiz für ein wirksames Risikomanagement wertet und im Audit als Beleg für die Wirksamkeit der eingerichteten Strukturen herangezogen werden kann.

Ein robuster Vertrag für die externe Bestellung umfasst sieben Elemente. Erstens den Geltungsbereich: Welches Unternehmen, welche Tochtergesellschaften, welche Standorte, welche Joint Ventures. Zweitens den Leistungskatalog: Bestellurkunde, jährliche Risikoanalyse, BAFA-Bericht, Beschwerdeverfahren, Schulungskonzept, Reaktionspflichten. Drittens die Berichtslinie und Frequenz: typischerweise quartalsweise Berichte an die Geschäftsleitung plus anlassbezogen bei akuten Vorfällen.

Viertens die Stundenkontingente für ungeplante Vorfälle, fünftens die Vertretungsregelung im Urlaubs- oder Krankheitsfall, sechstens die Haftungsgrenzen und die Versicherungsdeckung des Auftragnehmers, siebtens die Beendigungsregelung mit Übergabe der Dokumentation. Die Dokumentationsübergabe ist kritisch, weil ohne sie ein Wechsel des Beauftragten den Verlust der gewachsenen Belegbasis bedeuten würde, was im Audit zu schwerwiegenden Befunden führt. Auch Datenschutzklauseln und Geheimhaltungspflichten gehören in den Vertrag, weil der Beauftragte Zugang zu sensiblen Lieferanten- und Mitarbeiterdaten erhält.

CIVAC-Verträge enthalten diese Elemente standardisiert. Der Workspace bleibt im Eigentum des Auftraggebers, die Daten verbleiben in deutscher EU-Datenresidenz, der Beauftragte hat protokollierten Zugriff. Im Wechselfall können die Daten direkt an einen Nachfolger übergeben werden, ohne Migrationsprojekt. Andere führen Compliance wie einen Aktenschrank, wir führen sie wie Software, mit Versionierung, Audit-Trail und nachweisbaren Verantwortlichkeiten. Diese Architektur reduziert das Risiko, dass eine Schlüsselperson das Unternehmen verlässt und die Compliance-Belegkette dadurch reißt. Auch die Frage der Insourcing-Option sollte vertraglich geregelt sein, falls das Unternehmen mittelfristig eine interne Stelle aufbaut und den externen Beauftragten in eine beratende Rolle überführen möchte, ohne den Workspace zu verlieren oder die Belegkette aufzubrechen, was im Streitfall mit BAFA kritisch wäre. Im CIVAC-Modell bleibt der Workspace beim Auftraggeber, unabhängig davon, ob die Beauftragtenrolle intern oder extern besetzt ist, was die strategische Flexibilität deutlich erhöht.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für 25 Beauftragten-Rollen, darunter den Lieferkettenbeauftragten und den ESG-Beauftragten. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Im Workspace finden Sie vorkonfigurierte LkSG-Risikomatrizen, Lieferanten-Fragebögen, BAFA-Berichtsvorlagen, Beschwerde-Workflows und Schulungspfade. Die EU-Datenresidenz ist standardmäßig in Deutschland aktiv, was sowohl für die DSGVO-Konformität als auch für sensible Lieferanten-Daten relevant ist.

Im Officer-as-a-Service-Modell stellt CIVAC Ihnen einen externen Lieferkettenbeauftragten zur Seite, dessen Bestellurkunde nach zwei Werktagen unterzeichnet vorliegt. Die quartalsweise Berichtslinie an die Geschäftsleitung ist im Modell enthalten, ebenso die Reaktionsbereitschaft bei akuten Vorfällen. Die Jahrespauschalen sind transparent und planbar, was Diskussionen über variable Honorare und Stundenabrechnungen erspart. In der Praxis liegen wir je nach Komplexität bei 28.000 bis 70.000 Euro pro Jahr, je nach Lieferantenstruktur und Branche.

Aus dem Lesen einen Auftrag machen. Wenn Sie die Kosten für einen externen Menschenrechtsbeauftragten konkret abschätzen oder die Bestellung kurzfristig auslagern wollen, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Eine kurze Vorabklärung umfasst typischerweise Mitarbeiterzahl, Anzahl der Tier-1-Lieferanten, geografische Verteilung und Branche. Wir melden uns innerhalb eines Werktags mit einem konkreten Vorschlag inklusive Termin für ein Onboarding-Gespräch und einer schriftlichen Honorarübersicht. Auf Wunsch erhalten Sie auch eine Vergleichsrechnung gegen das Stundensatz-Modell und gegen eine Eigenbestellung, sodass die Geschäftsleitung die Entscheidung auf einer belastbaren Datengrundlage treffen kann. Diese Vergleichsrechnung lässt sich anschließend ohne Mehraufwand für interne Genehmigungs- und Budgetprozesse aufbereiten. Bei Bedarf koordinieren wir auch die Übergabe von einem bestehenden externen Beauftragten und übernehmen die Migration der historischen Daten in den CIVAC-Workspace, sodass keine Belegkette verloren geht.