LkSG-Bericht an die BAFA: Leitfaden zum Ausfüllen, Belegen und Einreichen

Nach §§ 10 und 12 des Lieferkettensorgfaltspflichtengesetzes (LkSG) sind verpflichtete Unternehmen gehalten, jährlich einen Bericht über die Erfüllung ihrer Sorgfaltspflichten an die BAFA zu übermitteln und gleichzeitig auf der Unternehmenswebsite zu veröffentlichen. Die BAFA strukturiert den Bericht über einen verbindlichen Fragenkatalog mit rund 437 Einzelfragen, der online im BAFA-Berichtsportal abzuarbeiten ist. Wer Fragen unklar, ohne Beleg oder mit Standardformulierungen beantwortet, riskiert ein Nachprüfungsverfahren und Bußgelder nach § 24 LkSG.

Dieser Leitfaden richtet sich an Geschäftsleitungen, Compliance- und Nachhaltigkeitsbeauftragte sowie LkSG-Verantwortliche im Mittelstand. Sie erfahren, welche Unternehmen ab welchem Stichtag berichten müssen, welche Strukturlogik der Fragenkatalog folgt, welche Belege je Abschnitt vorzuhalten sind und welche typischen Fehlerquellen die BAFA in ihren Prüfungen beanstandet. Ziel ist ein belegbarer Bericht, der die Sorgfaltspflichten dokumentiert und Folgeprüfungen standhält.

Das LkSG gilt seit dem 1. Januar 2023 für Unternehmen mit Sitz oder Hauptverwaltung in Deutschland und mindestens 3.000 Beschäftigten. Seit dem 1. Januar 2024 ist der Schwellenwert auf 1.000 Beschäftigte abgesenkt. Maßgeblich sind im Inland beschäftigte Arbeitnehmer einschließlich ins Ausland entsandter Mitarbeiter, Leiharbeiter ab einer Einsatzdauer von mehr als sechs Monaten und konzernintern verbundene Beschäftigte nach § 1 Abs. 3 LkSG.

Die Berichtspflicht entsteht für jedes abgelaufene Geschäftsjahr. Der Bericht ist spätestens vier Monate nach Ende des Geschäftsjahres bei der BAFA einzureichen und gleichzeitig für sieben Jahre auf der Unternehmenswebsite kostenfrei zugänglich zu veröffentlichen. Für Unternehmen mit Kalenderjahr als Geschäftsjahr ist damit der 30. April der harte Stichtag.

Auch indirekt erfasste Unternehmen kommen in Berührung mit dem LkSG: Mittelständler unterhalb der Schwelle erhalten Lieferantenfragebögen ihrer großen Kunden, müssen menschenrechts- und umweltbezogene Risiken im eigenen Haus dokumentieren und werden in der Berichtskette ihres Auftraggebers genannt. Die geplante EU-Richtlinie CSDDD wird die Schwellen nach Übergangsfristen weiter absenken. Frist läuft ab Kenntnis. Wer den LkSG-Beauftragten erst nach einem Kundenaudit benennt, ist regelmäßig schon zu spät.

Der BAFA-Fragenkatalog ist in elf Themenkomplexe gegliedert, die exakt den Sorgfaltspflichten der §§ 4 bis 10 LkSG folgen. Wer den Bericht inhaltlich vorbereitet, sollte sich an dieser Struktur orientieren und für jeden Komplex einen verantwortlichen Bearbeiter benennen.

1. Allgemeine Angaben zum Unternehmen und zur Berichtszeitraum
2. Risikomanagement nach § 4 LkSG
3. Betriebliche Zuständigkeit, insbesondere Menschenrechtsbeauftragter nach § 4 Abs. 3 LkSG
4. Risikoanalyse nach § 5 LkSG
5. Grundsatzerklärung nach § 6 Abs. 2 LkSG
6. Präventionsmaßnahmen im eigenen Geschäftsbereich nach § 6 Abs. 1 und 3 LkSG
7. Präventionsmaßnahmen bei unmittelbaren Zulieferern nach § 6 Abs. 4 LkSG
8. Abhilfemaßnahmen nach § 7 LkSG
9. Beschwerdeverfahren nach § 8 LkSG
10. Mittelbare Zulieferer und anlassbezogene Risikoanalyse nach § 9 LkSG
11. Dokumentation und Berichterstattung nach § 10 LkSG

Innerhalb jedes Komplexes wechseln sich geschlossene Fragen (Ja/Nein, Mehrfachauswahl) mit Freitextfeldern ab. Bei Ja-Antworten ist häufig eine Vertiefungsfrage anzuschließen. Standardisierte Antworten ohne unternehmensspezifischen Bezug werden in der BAFA-Prüfung regelmäßig als unzureichend bewertet. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Die Risikoanalyse nach § 5 LkSG ist der Anker, an dem alle weiteren Antworten hängen. Sie ist mindestens jährlich sowie anlassbezogen durchzuführen und betrifft den eigenen Geschäftsbereich, unmittelbare Zulieferer und bei substantiierter Kenntnis auch mittelbare Zulieferer.

Der Bericht muss schlüssig darlegen, welche Methodik angewandt wurde, welche Datenquellen einbezogen waren und wie Risiken priorisiert wurden. Die BAFA erwartet eine Kombination aus quantitativen Indikatoren (Länderrisiko-Indizes, Branchenrisiken nach NACE) und qualitativen Quellen (Stakeholder-Befragungen, NGO-Berichte, Audit-Ergebnisse, eigene Beschwerden).

Pflichtbestandteile der Antwort sind: die geprüften menschenrechts- und umweltbezogenen Risiken (Katalog § 2 Abs. 2 und 3 LkSG), die geografische und sektorale Verteilung, die Priorisierungskriterien (Schwere, Wahrscheinlichkeit, Beitrag, Einflussmöglichkeit), die einbezogenen Lieferantenebenen und die abgeleiteten Präventionsmaßnahmen.

Häufige Fehler: rein qualitative Beschreibung ohne Priorisierungslogik, Ausklammerung der Eigenbetriebe, fehlender Bezug zwischen Risikobefunden und konkreten Maßnahmen, keine Dokumentation der Aktualisierung im laufenden Geschäftsjahr. Im CIVAC-Workspace ist die Risikoanalyse als versionierte Vorlage hinterlegt, die Priorisierung, Maßnahmen und Wirksamkeitsprüfung in einer Datensicht zusammenführt. Der Prüfer ruft an, der Nachweis liegt bereit.

Die Grundsatzerklärung nach § 6 Abs. 2 LkSG ist von der Geschäftsleitung abzugeben und muss drei Elemente enthalten: das menschenrechtliche und umweltbezogene Risikoprofil, die Erwartungen an Beschäftigte und Zulieferer, sowie das Verfahren zur Umsetzung der Sorgfaltspflichten. Die BAFA prüft im Bericht, ob die Erklärung auf der Unternehmenswebsite öffentlich verfügbar ist, ob sie Datum und Unterzeichnung enthält und ob sie nach wesentlichen Veränderungen aktualisiert wurde.

Präventionsmaßnahmen im eigenen Geschäftsbereich nach § 6 Abs. 3 LkSG umfassen die Verankerung der Strategie in den relevanten Geschäftsabläufen, Beschaffungspraktiken, Schulungen und risikobasierte Kontrollmaßnahmen. Im Bericht ist jede Maßnahme mit Adressat, Verantwortlichkeit, Frequenz und Wirksamkeitsindikator zu benennen.

Präventionsmaßnahmen bei unmittelbaren Zulieferern nach § 6 Abs. 4 LkSG erfordern die Berücksichtigung menschenrechts- und umweltbezogener Erwartungen bei der Auswahl, vertragliche Zusicherungen, Schulungen und vertragliche Kontrollmechanismen. Pauschale Verweise auf einen Code of Conduct genügen nicht. Erwartet werden differenzierte Maßnahmen je Risikocluster, zum Beispiel für Hochrisikoländer, kritische Rohstoffe oder arbeitsintensive Branchen. Wer die Maßnahmen lediglich in Beschaffungsrichtlinien benennt, aber nicht in Verträgen, Schulungen und Audits operationalisiert, erfüllt die Pflicht nicht. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Das Beschwerdeverfahren ist einer der prüfungsintensivsten Komplexe. Die BAFA fragt detailliert ab, ob ein zugängliches, faires, vertrauliches und in einer für die Zielgruppe verständlichen Sprache geführtes Verfahren existiert, ob Repressalien ausgeschlossen sind und ob es regelmäßig auf Wirksamkeit überprüft wird.

Konkrete Pflichtangaben im Bericht: die zugängliche Stelle (intern oder extern), die Kommunikationskanäle (Web, Telefon, Brief, persönliche Ansprache), die abgedeckten Sprachen, die Vertraulichkeitsregeln, die Eingangsbestätigungs- und Bearbeitungsfristen, die Anzahl eingegangener Hinweise im Berichtszeitraum (aggregiert, ohne Personenbezug), die Art der Hinweise, die getroffenen Maßnahmen und die Wirksamkeitsprüfung.

Die Verfahrensordnung muss auf der Unternehmenswebsite veröffentlicht sein. Eine bloße E-Mail-Adresse ohne dokumentiertes Verfahren genügt nicht. Die Verzahnung mit dem Hinweisgeberschutzgesetz (HinSchG) ist zulässig und in der Praxis sinnvoll, sofern die LkSG-spezifischen Anforderungen erfüllt sind, insbesondere die Erreichbarkeit für externe Betroffene entlang der Lieferkette.

Häufiger Befund der BAFA: das Verfahren existiert, ist aber für Lieferanten der dritten oder vierten Ebene nicht erreichbar; oder es gibt keine dokumentierte Wirksamkeitsprüfung. Der Workspace bündelt LkSG- und HinSchG-Meldungen in einer Pipeline und dokumentiert Eingangs-, Bearbeitungs- und Wirksamkeitsschritte revisionssicher. Audit-fest, dokumentiert, § 8-fest.

Wird die Verletzung einer menschenrechts- oder umweltbezogenen Pflicht im eigenen Geschäftsbereich oder bei unmittelbaren Zulieferern festgestellt, sind unverzüglich angemessene Abhilfemaßnahmen nach § 7 LkSG zu ergreifen. Bei Verstößen im eigenen Geschäftsbereich muss die Verletzung beendet werden. Bei unmittelbaren Zulieferern ist ein Konzept zur Beendigung oder Minimierung zu erstellen, mit konkretem Zeitplan.

Im Bericht sind die wesentlichen Verstöße, die ergriffenen Maßnahmen, die Wirksamkeitsprüfung und gegebenenfalls die zeitweise Aussetzung von Geschäftsbeziehungen zu beschreiben. Eine vollständige Beendigung der Geschäftsbeziehung ist ultima ratio und nur bei schwerwiegenden Verstößen und ergebnisloser Eskalation vorgesehen.

Mittelbare Zulieferer nach § 9 LkSG sind anlassbezogen einzubeziehen, sobald substantiierte Kenntnis von einer möglichen Verletzung vorliegt. Substantiierte Kenntnis liegt vor, wenn tatsächliche Anhaltspunkte glaubhaft sind, etwa durch Beschwerden, NGO-Berichte, Pressemeldungen oder eigene Audits. In diesem Fall sind eine anlassbezogene Risikoanalyse, angemessene Präventionsmaßnahmen, ein Konzept zur Beendigung oder Minimierung und die Aktualisierung der Grundsatzerklärung erforderlich.

Der Bericht muss diese Trigger transparent darstellen und die im Berichtszeitraum substantiiert bekannt gewordenen Fälle beschreiben, soweit ohne Personenbezug möglich. Wer im Berichtsfeld keine substantiierten Kenntnisse angibt, sollte plausibel begründen können, warum keine vorlagen.

Nach § 10 LkSG ist die Erfüllung der Sorgfaltspflichten fortlaufend zu dokumentieren und sieben Jahre aufzubewahren. Diese Dokumentation ist die Belegquelle für jede Antwort im BAFA-Bericht und im Falle einer Nachprüfung vorzulegen.

Der Bericht wird ausschließlich über das BAFA-Berichtsportal eingereicht. Eine vorherige Registrierung des Unternehmens ist erforderlich. Die technische Einreichung erfolgt im strukturierten Online-Formular, eine PDF-Einreichung ist nicht zulässig. Nach Versand erhalten Sie eine Einreichungsbestätigung mit Vorgangsnummer, die zu archivieren ist.

Frist: spätestens vier Monate nach Ende des Geschäftsjahres. Eine Fristverlängerung ist im Regelfall nicht vorgesehen. Bei Verspätung oder Nichtabgabe drohen Zwangsgelder, Bußgelder und nach Wiederholungen der Ausschluss von öffentlichen Vergabeverfahren nach § 22 LkSG für bis zu drei Jahre.

Zur Veröffentlichungspflicht: Der Bericht ist parallel auf der Unternehmenswebsite kostenfrei, ohne Registrierung und für sieben Jahre zugänglich zu machen. Personenbezogene Daten und Geschäftsgeheimnisse sind zu schwärzen. Die BAFA prüft die Verfügbarkeit stichprobenartig und beanstandet fehlende oder schwer auffindbare Veröffentlichungen.

CIVAC verwaltet die LkSG-Dokumentation im Workspace mit EU-Datenresidenz und stellt eine Exportvorlage bereit, deren Felder eins-zu-eins zur BAFA-Berichtsstruktur passen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Aus den BAFA-Auswertungen der ersten Berichtszyklen lassen sich wiederkehrende Schwächen ableiten. Sechs Muster treten besonders häufig auf.

1. Pauschale Antworten ohne Unternehmensbezug. Bausteinformulierungen aus Mustertexten erzeugen Nachfragen. Antworten sollten konkrete Geschäftsbereiche, Länder, Lieferantengruppen oder Maßnahmen benennen.
2. Risikoanalyse ohne Methodik. Ohne explizite Beschreibung der Methodik (Kriterien, Datenquellen, Priorisierung) gilt die Pflicht als nicht erfüllt.
3. Beschwerdeverfahren ohne Zugang für Betroffene in der Tiefe der Lieferkette. Sprache, Niedrigschwelligkeit und Erreichbarkeit sind zu belegen.
4. Maßnahmen ohne Wirksamkeitsprüfung. § 6 Abs. 5 und § 8 Abs. 5 LkSG verlangen mindestens jährliche und anlassbezogene Wirksamkeitsprüfungen.
5. Keine dokumentierte Befassung der Geschäftsleitung. Die Verantwortlichkeit nach § 4 Abs. 3 LkSG verlangt eine schriftlich dokumentierte regelmäßige Information der Geschäftsleitung.
6. Veröffentlichung versäumt oder unauffindbar. Die parallele Webveröffentlichung ist Pflicht. Eine versteckte Verlinkung im Nachhaltigkeitsbericht-PDF erfüllt die Anforderung nicht.

Wer diese sechs Punkte sauber adressiert, vermeidet rund 80 Prozent der typischen Beanstandungen und verkürzt eine etwaige Nachprüfung erheblich.

Der LkSG-Bericht ist die dokumentierte Quittung Ihrer Sorgfaltspflichten. Er entsteht nicht im April, sondern entlang der zwölf Monate davor. Wer die Risikoanalyse, das Beschwerdeverfahren, die Präventions- und Abhilfemaßnahmen sowie die Wirksamkeitsprüfungen in einem geführten Workflow betreibt, beantwortet den BAFA-Fragenkatalog in Tagen statt Wochen.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit 25 Beauftragten-Rollen, 37 einsatzbereiten Audit-Vorlagen und EU-Datenresidenz. Für das LkSG bündelt der Workspace die Risikoanalyse, das Lieferantenregister, das Beschwerdeverfahren (verzahnt mit dem HinSchG), die Maßnahmenliste, die Wirksamkeitsprüfungen und die Geschäftsleitungsbefassung in einer revisionssicheren Linie. Die Exportvorlage spiegelt die BAFA-Struktur, sodass der Bericht ohne Doppelpflege entsteht.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Aus dem Lesen einen Auftrag machen. Wenn Sie den nächsten BAFA-Bericht prüfsicher aufstellen möchten, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir melden uns innerhalb von zwei Werktagen mit einer Einschätzung, ob ein Workspace-Setup oder eine externe Bestellung als LkSG-Beauftragter der geeignete Weg ist.