LkSG-Berichtspflicht: Ab wann sie für Sie greift und wie Sie sie erfüllen

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet seit dem 1. Januar 2023 Unternehmen mit Sitz in Deutschland und mehr als 3.000 Beschäftigten zur Beachtung definierter Sorgfaltspflichten entlang der Lieferkette. Seit dem 1. Januar 2024 gilt die Schwelle für Unternehmen ab 1.000 Beschäftigten nach § 1 Abs. 1 LkSG. Mit der Bestellpflicht der Geschäftsführung kommt eine jährliche Berichtspflicht: vier Monate nach Ende des Geschäftsjahres ist der Bericht beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) einzureichen.

Dieser Beitrag beantwortet drei Fragen, die im Mandantengespräch immer wieder auftauchen: Ab wann greift die Pflicht für mein Unternehmen? Was genau muss im Bericht stehen? Welche Strukturen brauche ich, um den Bericht jedes Jahr ohne Krisensitzung zu liefern? Schwerpunkt ist die operative Sicht: Welche Rollen, welche Vorlagen, welche Fristen, welche Nachweise.

Der Anwendungsbereich ist in § 1 LkSG definiert. Erfasst sind Unternehmen mit Hauptverwaltung, Hauptniederlassung, Verwaltungssitz, satzungsmäßigem Sitz oder Zweigniederlassung in Deutschland, sofern sie die Beschäftigtenschwelle überschreiten.

Bis 31. Dezember 2023 lag die Schwelle bei 3.000 Beschäftigten. Seit 1. Januar 2024 liegt sie bei 1.000 Beschäftigten. Mitgezählt werden auch Arbeitnehmer im Ausland, soweit sie ins Inland entsandt sind, sowie Konzerngesellschaften, wenn die Konzernobergesellschaft bestimmenden Einfluss ausübt (§ 1 Abs. 3 LkSG). Leiharbeitskräfte werden ab einer Einsatzdauer von mehr als sechs Monaten mitgezählt.

Diese Schwellenwerte sind faktisch erweitert worden. Erstens durch das Lieferantendurchschlagsprinzip: Unternehmen unterhalb der Schwelle erhalten Compliance-Anforderungen ihrer LkSG-pflichtigen Kunden weitergereicht (Stichwort Kaskade). Zweitens durch die EU-Lieferkettenrichtlinie (CSDDD, Richtlinie EU 2024/1760), die ab dem Anwendungsjahr 2027 stufenweise auf Unternehmen ab 1.000 Beschäftigten und 450 Mio. Euro Umsatz angewandt wird.

In der Praxis empfehlen wir, das Thema spätestens ab 500 Beschäftigten oder ab signifikanter B2B-Lieferung an LkSG-pflichtige Kunden strukturiert aufzusetzen. Wer in der zweiten Reihe sitzt, antwortet sonst dauerhaft auf Kundenfragebögen mit Ad-hoc-Schätzungen, was im Vertrieb teuer wird.

Das LkSG ordnet die Pflichten entlang einer Prozesslogik in neun Stufen, geregelt in §§ 4 bis 10 LkSG. Erstens: Risikomanagement (§ 4) als überspannendes System, das in alle Geschäftsabläufe integriert ist. Zweitens: Benennung einer zuständigen Person, regelmäßig der Menschenrechtsbeauftragte, mit direkter Berichtslinie an die Geschäftsführung (§ 4 Abs. 3).

Drittens: Risikoanalyse (§ 5), einmal jährlich und anlassbezogen, mit Fokus auf eigenen Geschäftsbereich und unmittelbare Zulieferer. Bei substantiierter Kenntnis auch mittelbare Zulieferer. Viertens: Grundsatzerklärung (§ 6 Abs. 2), in der die Menschenrechtsstrategie öffentlich beschrieben wird.

Fünftens: Präventionsmaßnahmen (§ 6 Abs. 4), darunter Verhaltenskodex, Schulungen, vertragliche Zusicherungen, risikobasierte Kontrollen. Sechstens: Abhilfemaßnahmen bei festgestellten Verletzungen (§ 7). Siebtens: Beschwerdeverfahren (§ 8), niedrigschwellig, vertraulich, ohne Benachteiligung der Hinweisgebenden. Achtens: Dokumentation (§ 10 Abs. 1), mindestens sieben Jahre. Neuntens: Bericht an das BAFA und Veröffentlichung (§ 10 Abs. 2).

Die häufige Fehleinschätzung: Sorgfaltspflichten sind keine Erfolgspflichten. Das Gesetz verlangt nachvollziehbare, angemessene Bemühungen, keine Garantie. Wer mit Schwerpunkten arbeitet (Branche, Land, Risikomatrix) und seine Entscheidungen dokumentiert, erfüllt die Pflicht auch dann, wenn nicht jedes Einzelrisiko adressiert wird. Wer einen LkSG-Beauftragten formal bestellt, schließt die größte Lücke in einem Schritt.

Der jährliche Bericht ist nach § 10 Abs. 2 LkSG binnen vier Monaten nach Geschäftsjahresende elektronisch beim BAFA einzureichen. Für ein Kalenderjahr-Geschäftsjahr 2024 endet die Frist also am 30. April 2025. Der Bericht ist gleichzeitig auf der Webseite des Unternehmens zu veröffentlichen und mindestens sieben Jahre verfügbar zu halten.

Die inhaltliche Struktur folgt dem BAFA-Fragenkatalog, der seit 2023 verbindlich ist. Er umfasst rund 437 Fragen, gruppiert in: Allgemeine Angaben, Risikomanagement, Risikoanalyse mit Top-Risiken, Präventionsmaßnahmen, Abhilfemaßnahmen, Beschwerdeverfahren, Berichterstattung mittelbare Zulieferer, sonstige Angaben.

Wichtig: Die Fragen erlauben keine pauschalen Ja/Nein-Antworten. Sie fordern jeweils eine Beschreibung der Maßnahme, eine Quantifizierung der Reichweite und eine Bewertung der Wirksamkeit. Antworten ohne Substanz werden vom BAFA in Stichproben moniert und führen zu Nachfragen, die Ressourcen binden.

Für die Erstmeldung empfehlen wir, mit der Risikoanalyse zu beginnen, weil sie die meisten Folgekapitel speist. Identifizierte Top-Risiken werden in der Reihenfolge der Schwere benannt, mit Bezug zu Land, Branche und Lieferantengruppe. Die zugeordneten Präventions- und Abhilfemaßnahmen verweisen auf konkrete Programme, nicht auf Absichtserklärungen. Diese Substanz zu liefern ist der eigentliche Aufwand der Berichtspflicht, nicht das Ausfüllen des Formulars.

Die Risikoanalyse ist das Herz der LkSG-Compliance. Methodisch hat sich ein zweistufiger Ansatz bewährt.

Stufe eins: Abstrakte Risikoanalyse. Für jede Lieferantenkategorie wird ein Risikoprofil gebildet aus Land (Index z. B. ITUC Global Rights Index, CPI), Branche (Bergbau, Textil, Landwirtschaft mit höheren A-priori-Risiken), Rohstoff (Mineralien aus Konfliktregionen, Naturkautschuk, Palmöl), Produktionsmodell (informelle Beschäftigung, Saisonarbeit). Auf dieser Basis werden Lieferanten in Risikoklassen eingruppiert.

Stufe zwei: Konkrete Risikoanalyse für Lieferanten mit erhöhtem Risikoprofil. Methoden sind Fragebögen (SAQ, oft auf Basis von SEDEX oder EcoVadis), dokumentengestützte Prüfungen, in begründeten Fällen Vor-Ort-Audits durch akkreditierte Auditoren. Die Ergebnisse fließen in eine Risikomatrix mit Eintrittswahrscheinlichkeit, Schwere und Beeinflussbarkeit.

Wichtig ist die Dokumentation. Das BAFA verlangt im Bericht eine nachvollziehbare Beschreibung der Methode, der Datenquellen und der Schwellenwerte für Risikoklassen. Pauschale Beschreibungen reichen nicht. Wer nach drei Jahren plötzlich ein anderes Indikatorset nutzt, sollte das begründen und die Vergleichbarkeit über die Zeit erläutern.

Die Risikoanalyse wird einmal jährlich aktualisiert sowie anlassbezogen, etwa bei neuen Lieferanten, Länderverlagerungen oder substantiierten Hinweisen über das Beschwerdesystem. Ein dokumentierter Trigger-Mechanismus für anlassbezogene Aktualisierungen ist ein Bestandteil, das in jeder BAFA-Stichprobe abgefragt wird.

Das Beschwerdeverfahren ist die Schnittstelle zwischen Lieferkette und Unternehmen. § 8 LkSG verlangt einen Kanal, der allen potenziell Betroffenen offensteht, vertraulich arbeitet und keine Repressalien zulässt. Die Verfahrensordnung ist schriftlich zu fixieren und öffentlich zugänglich.

Operativ sind drei Komponenten notwendig. Erstens: ein Kanal, der mehrsprachig erreichbar ist (mindestens Englisch und die Sprachen wichtiger Beschaffungsländer). Telefon, E-Mail, Webformular und idealerweise ein Hinweisgeberkanal, der das HinSchG mitabdeckt. Zweitens: ein dokumentiertes Verfahren mit Eingangsbestätigung innerhalb von sieben Tagen, Sachverhaltsklärung, Lösungsangebot, Schließung mit Rückmeldung an den Hinweisgebenden. Drittens: eine Auswertung im jährlichen BAFA-Bericht.

Praktisch sind zwei Fallen häufig. Erstens die Übergabe an den Einkauf ohne klare Trennung der Verantwortlichkeiten. Der Einkauf hat ein Eigeninteresse an der Lieferantenbeziehung und ist daher nicht der richtige Empfänger für Beschwerden gegen denselben Lieferanten. Zweitens fehlende Anonymisierung in der internen Verteilung. Beide Probleme lassen sich durch ein zentrales, vertrauliches Vorfallsregister im Compliance-Workspace lösen, mit definierten Rollen und Zugriffsrechten.

Eingehende Hinweise sind mit Zeitstempel, Status und Lösungsfortschritt zu dokumentieren. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer das Beschwerdeverfahren als rein juristische Pflicht versteht, übersieht den Wert: jeder substantiierte Hinweis ist eine Frühwarnung und reduziert die Wahrscheinlichkeit einer Eskalation in die Öffentlichkeit.

Die Sanktionsmechanik des LkSG umfasst Bußgelder und Ausschluss von öffentlichen Aufträgen. Nach § 24 LkSG drohen Bußgelder bis 800.000 Euro für die Geschäftsführung persönlich, bis 8 Mio. Euro für Unternehmen, bei jahresumsatzbezogener Berechnung bis 2 % des durchschnittlichen Konzernumsatzes der letzten drei Jahre.

Hinzu kommt nach § 22 LkSG der Ausschluss von öffentlichen Vergabeverfahren bis zu drei Jahre nach rechtskräftiger Verhängung eines Bußgelds ab 175.000 Euro. Für Unternehmen mit nennenswertem öffentlichen Auftragsanteil ist diese Folge wirtschaftlich oft gravierender als das Bußgeld selbst.

Die BAFA-Prüfpraxis hat sich seit 2023 verdichtet. Das BAFA prüft Berichte stichprobenartig, fordert bei Ungenauigkeiten Ergänzungen an, initiiert in Auffälligkeitsfällen Verfahren von Amts wegen, oft auf Basis substantiierter Eingaben von NGOs, Gewerkschaften oder einzelnen Hinweisgebenden. Die ersten formalen Bußgeldverfahren laufen seit 2024.

Die häufigsten Beanstandungen aus den BAFA-Prüfberichten 2023 und 2024 sind: pauschale Risikoanalyse ohne länderspezifische Tiefe, fehlende Trennung von eigenem Geschäftsbereich und Zulieferern, lückenhafte Dokumentation der Präventionsmaßnahmen, Beschwerdeverfahren ohne nachvollziehbare Verfahrensordnung. Wer diese vier Punkte sauber aufsetzt, ist in der Stichprobenpraxis unauffällig.

Die EU-Richtlinie 2024/1760 über die Sorgfaltspflichten von Unternehmen im Bereich Nachhaltigkeit (CSDDD) wurde im Mai 2024 verabschiedet. Sie verlangt eine Umsetzung in nationales Recht bis 26. Juli 2026 und wird ab 2027 stufenweise angewandt.

Die Geltungsschwellen sind weiter als beim LkSG. Erfasst werden ab 2027 EU-Unternehmen ab 5.000 Beschäftigten und 1,5 Mrd. Euro Umsatz, ab 2028 ab 3.000 Beschäftigten und 900 Mio. Euro, ab 2029 ab 1.000 Beschäftigten und 450 Mio. Euro. Drittstaatenunternehmen werden auf Basis ihres EU-Umsatzes erfasst.

Inhaltlich erweitert die CSDDD die Pflichten an mehreren Stellen. Erstens: Umweltrisiken werden gleichrangig mit Menschenrechten adressiert, mit konkretem Bezug zu Klimazielen (Übergangsplan nach Pariser Abkommen). Zweitens: Die Lieferkettentiefe geht über unmittelbare Zulieferer hinaus, im Sinne einer Chain-of-Activities-Logik. Drittens: Eine zivilrechtliche Haftung der Unternehmen für Schäden in der Lieferkette wird eingeführt, mit eigener Haftungsnorm.

Für deutsche Unternehmen heißt das: Wer das LkSG sauber implementiert hat, kann die CSDDD-Anforderungen schrittweise daran anschließen. Wer das LkSG nur formal erfüllt, wird die CSDDD-Pflichten in Eile umsetzen müssen. Eine konsolidierte Lieferkettenakte im Compliance-Workspace, die LkSG-Risikoanalyse, CSDDD-Anforderungen und CSRD-Berichterstattung in einem Datenmodell zusammenführt, ist die operativ effiziente Antwort.

Wer den Erstbericht hinter sich hat, weiß: 80 % des Aufwands liegen im Aufsetzen, 20 % in der jährlichen Aktualisierung. Eine operative Jahresroutine reduziert den Aufwand des Folgejahres deutlich.

Übliche Jahresplanung: Januar bis Februar Aktualisierung der Lieferantenstammdaten und der abstrakten Risikoanalyse. März bis April Versand der jährlichen Self-Assessment-Fragebögen an Lieferanten der höheren Risikoklasse. Mai bis Juli Konsolidierung der Ergebnisse, Bewertung neuer Top-Risiken, Anpassung des Maßnahmenplans. August bis Oktober Durchführung anstehender Audits und Schulungen. November Vorbereitung des BAFA-Berichts. Dezember interne Freigaben durch Vorstand und Aufsichtsrat. Januar bis April des Folgejahres Berichtseinreichung beim BAFA.

Die zentrale operative Voraussetzung ist eine zentrale Akte. Verteilte Excel-Listen genügen für die Erstmeldung, kollabieren aber spätestens im dritten Berichtsjahr unter dem Gewicht der Versionsstände. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Der Workspace enthält 37 Audit-Vorlagen, darunter LkSG-Risikoanalyse, BAFA-Berichtsentwurf, Lieferantenfragebögen und Vorfallsregister mit Beschwerdeverfahren. Lizenzieren Sie den Workspace für Ihren internen LkSG-Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Bestellung in zwei Werktagen, Daten in der EU.

Die LkSG-Berichtspflicht ist keine einmalige Übung. Sie wird mit jedem Jahr datentiefer, durch BAFA-Stichproben, NGO-Eingaben und Kundenfragebögen aus der CSRD-Welt. Wer das System einmal sauber aufsetzt, mit Risikoanalyse, Beschwerdeverfahren, Audit-Routine und einer zentralen Akte, kommt durch jeden Berichtszyklus mit überschaubarem Aufwand. Wer den Bericht jedes Jahr neu erfindet, riskiert nicht nur Bußgelder, sondern verliert Wettbewerbsfähigkeit bei Großkunden mit eigener LkSG-Pflicht.

Wenn Sie vor dem ersten BAFA-Bericht stehen, Ihre Risikoanalyse nach der CSDDD-Logik konsolidieren wollen, oder einen externen LkSG-Beauftragten suchen, sprechen Sie mit uns. CIVAC stellt 25 Beauftragten-Rollen, 37 Audit-Vorlagen und einen Workspace mit EU-Datenresidenz. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder über das Kontaktformular auf civac.de. Sie erhalten innerhalb von 48 Stunden eine Einschätzung Ihrer LkSG-Reife, einen Vorschlag für die nächsten 90 Tage und, auf Wunsch, eine Bestellurkunde zur sofortigen Übernahme der Rolle.