LkSG-Pflicht: Geltungsbereich, Sorgfaltspflichten und Bestellung des Beauftragten

Das Lieferkettensorgfaltspflichtengesetz (LkSG) gilt seit dem 1. Januar 2024 für Unternehmen mit mindestens 1.000 Beschäftigten in Deutschland und betrifft nach BAFA-Schätzungen rund 5.200 Gesellschaften unmittelbar. Die EU-Lieferkettenrichtlinie 2024/1760 (Corporate Sustainability Due Diligence Directive, CSDDD) erweitert den Pflichtenrahmen ab 2027 und senkt die Schwellen schrittweise auf 1.000 Beschäftigte und 450 Mio. Euro Umsatz. Wer heute über LkSG-Pflichten spricht, muss zwei Regelwerke parallel denken: das nationale Gesetz und die EU-Vorgaben, die in den nächsten Jahren über das Umsetzungsgesetz in deutsches Recht überführt werden. Bußgelder nach § 24 LkSG reichen bis 800.000 Euro je Verstoß, bei umsatzstarken Unternehmen sogar bis zwei Prozent des Jahresumsatzes.

Dieser Beitrag beantwortet die zentralen Fragen zur LkSG-Pflicht: Wer ist erfasst, welche neun Sorgfaltspflichten gelten, wie wird die jährliche BAFA-Berichterstattung aufgesetzt, welche Risiken bestehen bei Mittelbar-Lieferanten und welcher Bestellweg führt schneller zur prüfungsfähigen Lieferketten-Compliance. Sie erhalten konkrete Paragrafen, einen Pflichtenkatalog, die Eskalationswege im Beschwerdeverfahren und einen Bestellweg, der über die CIVAC Compliance-Plattform und Officer-as-a-Service in zwei Werktagen abgeschlossen sein kann. Audit-fest, dokumentiert, § 6-fest, mit Versionsstand und Verantwortlichem pro Maßnahme. Der Bericht ist verpflichtend an das BAFA und auf der eigenen Website mindestens sieben Jahre zugänglich zu machen.

Das LkSG erfasst nach § 1 Abs. 1 Unternehmen mit Hauptverwaltung, Hauptniederlassung oder Sitz in Deutschland und mindestens 1.000 Beschäftigten. Ausländische Unternehmen sind über inländische Zweigniederlassungen erfasst, wenn dort 1.000 Beschäftigte erreicht werden. Die Schwelle gilt unabhängig vom Umsatz und unabhängig von der Branche. Konzernintern werden Beschäftigte von Tochterunternehmen nach § 1 Abs. 3 LkSG dem Mutterunternehmen zugerechnet, wenn dieses tatsächlich beherrschenden Einfluss ausübt. Damit kann ein Konzern auch dann erfasst sein, wenn keine einzelne Gesellschaft die Schwelle erreicht.

Mittelständische Zulieferer unterhalb der Schwelle sind formal nicht selbst LkSG-pflichtig, werden aber faktisch über die Pflichten ihrer Großkunden in die Sorgfaltskette eingebunden. Wer als Zulieferer in die Lieferkette eines LkSG-pflichtigen Unternehmens fällt, muss Fragebögen ausfüllen, Audits zulassen und Risiken bei eigenen Sublieferanten beantworten. Praktisch entsteht eine Kaskadenwirkung, die das gesamte deutsche Mittelstandsumfeld erreicht.

Die EU-Lieferkettenrichtlinie 2024/1760 senkt die Schwellen ab 2027 schrittweise: zunächst Unternehmen mit über 5.000 Beschäftigten und 1,5 Mrd. Euro Umsatz, ab 2028 mit 3.000 Beschäftigten und 900 Mio. Euro Umsatz, ab 2029 mit 1.000 Beschäftigten und 450 Mio. Euro Umsatz. Damit weitet sich der direkte Adressatenkreis erheblich aus. Wer heute LkSG-konform aufgestellt ist, hat die meisten Grundbausteine für die CSDDD bereits geschaffen. Die CIVAC Compliance-Plattform und Officer-as-a-Service unterstützt beide Pflichtenrahmen in einem einheitlichen Workspace mit gemeinsamer Risiko- und Maßnahmenarchitektur, sodass Doppelarbeit beim Übergang vom LkSG zur CSDDD vermieden wird. Zwei Drittel der erfassten Unternehmen sind Mittelständler aus Maschinenbau, Automotive, Handel und Konsumgütern, also Branchen mit dichten internationalen Lieferketten.

Das Gesetz nennt in § 3 LkSG neun konkrete Sorgfaltspflichten, die in den folgenden Paragraphen ausgestaltet werden. Erstens das Risikomanagementsystem nach § 4 LkSG mit klar zugewiesenen Verantwortlichkeiten. Zweitens die Benennung einer betrieblichen Zuständigkeit nach § 4 Abs. 3 LkSG, in der Regel ein Menschenrechtsbeauftragter oder LkSG-Beauftragter, der unmittelbar an die Geschäftsleitung berichtet. Drittens die regelmäßige Risikoanalyse nach § 5 LkSG für den eigenen Geschäftsbereich und unmittelbare Zulieferer, anlassbezogen auch für mittelbare Zulieferer. Viertens die Grundsatzerklärung der Geschäftsleitung nach § 6 Abs. 2 LkSG zur Menschenrechtsstrategie.

Fünftens die Verankerung von Präventionsmaßnahmen nach § 6 Abs. 3 bis 4 LkSG im eigenen Geschäftsbereich und gegenüber Zulieferern, einschließlich vertraglicher Zusicherungen und Schulungen. Sechstens die Ergreifung von Abhilfemaßnahmen nach § 7 LkSG, wenn eine Verletzung festgestellt wird, mit klar definierten Eskalationsstufen. Siebtens die Einrichtung eines Beschwerdeverfahrens nach § 8 LkSG, das Hinweisen aus dem In- und Ausland zugänglich ist und die Anforderungen an Vertraulichkeit, Unabhängigkeit und Wirksamkeit erfüllt.

Achtens die Dokumentation aller Maßnahmen nach § 10 Abs. 1 LkSG, mindestens sieben Jahre aufzubewahren. Neuntens die jährliche Berichterstattung nach § 10 Abs. 2 LkSG an das BAFA, spätestens vier Monate nach Geschäftsjahresende. Die Anforderungen an Form und Inhalt sind im Fragenkatalog des BAFA und in der LkSG-Berichtspflicht-Anlage konkretisiert. Über die CIVAC Rollenseite LkSG-Beauftragter erhalten Sie den Pflichtenkatalog als versioniertes Dokument, das sich direkt in den Workspace übertragen lässt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer einen einzelnen Baustein lückenhaft umsetzt, schwächt die Verteidigungsfähigkeit der gesamten Kette gegenüber dem BAFA.

Die Risikoanalyse ist der Kern der LkSG-Pflichten. Sie muss nach § 5 Abs. 1 LkSG einmal jährlich und anlassbezogen durchgeführt werden, wenn sich die Lieferantenstruktur, das Geschäftsmodell oder die Risikolage substantiell ändert. Gegenstand sind menschenrechtliche und umweltbezogene Risiken, die in § 2 LkSG aufgelistet sind: Kinderarbeit, Zwangsarbeit, Sklaverei, Missachtung von Arbeitsschutz, Vorenthaltung angemessener Löhne, Verstoß gegen Versammlungsfreiheit, Diskriminierung sowie konkrete Umweltrisiken wie Quecksilberverwendung nach Minamata-Übereinkommen oder POPs nach Stockholmer Übereinkommen.

Methodisch wird die Risikoanalyse typischerweise in vier Schritten aufgesetzt. Erstens die Bestandsaufnahme der Lieferketten: Lieferantenliste, Länderzuordnung, Warengruppen, Auftragsvolumen. Zweitens die Risikoindikatoren je Land und Warengruppe, gestützt auf Quellen wie ILO-Daten, Global Slavery Index, Corruption Perceptions Index oder ITUC Global Rights Index. Drittens die Bewertung der Eintrittswahrscheinlichkeit und Schadenshöhe in einer Matrix, ergänzt um die Beeinflussbarkeit durch das eigene Unternehmen. Viertens die Ableitung von Präventions- und Abhilfemaßnahmen mit Frist und Verantwortlichem.

Praktisch scheitern viele Risikoanalysen an der Datenqualität in der Lieferkette. Wer keine vollständige Lieferantenliste pflegt, kann auch keine belastbare Risikoanalyse durchführen. Die CIVAC Compliance-Plattform und Officer-as-a-Service strukturiert die Datenbasis im Workspace, integriert externe Risikoindikatoren und erzeugt eine reportingfähige Matrix mit Quellverweis pro Risiko. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Damit lässt sich auch die anlassbezogene Aktualisierung sauber dokumentieren, etwa nach Medienberichten über einen konkreten Zulieferer. Die jährliche und anlassbezogene Aktualisierung wird kalendarisch geplant, damit Berichts- und Auditrhythmus konsistent bleiben. Im Workspace lassen sich auch Auditberichte einzelner Lieferanten verknüpfen, damit die Datenkette zwischen Risiko, Maßnahme und Wirkung lückenlos bleibt.

Das Beschwerdeverfahren nach § 8 LkSG ist eine eigenständige Pflicht, die nicht mit der internen Meldestelle nach Hinweisgeberschutzgesetz (HinSchG) verwechselt werden darf, auch wenn Synergien möglich sind. Das LkSG-Beschwerdeverfahren muss nach § 8 Abs. 1 LkSG Hinweisen aus dem In- und Ausland zugänglich sein, sprachlich angemessen kommuniziert werden und sowohl für eigene Mitarbeiter als auch für externe Personen wie Lieferanten und betroffene Gemeinschaften offen stehen. Die Verfahrensordnung muss veröffentlicht werden, typischerweise in mehreren Sprachen je nach Lieferketten-Geografie.

Die Anforderungen an Vertraulichkeit, Unabhängigkeit und Wirksamkeit sind in § 8 Abs. 3 LkSG konkretisiert. Der Beschwerdeführer muss vor Benachteiligung geschützt sein, das Verfahren transparent und vorhersehbar ablaufen, und die Bearbeitung muss in einer angemessenen Frist erfolgen. Die parallelen Anforderungen des HinSchG, etwa die Sieben-Tage-Eingangsbestätigung nach § 13 HinSchG und die Drei-Monats-Rückmeldung nach § 17 HinSchG, sollten konsistent angewendet werden, auch wenn LkSG keine festen Fristen nennt.

Eine integrierte Lösung mit einem gemeinsamen Eingangskanal, getrennten Bearbeitungspfaden und gemeinsamer Berichtsstruktur ist effizient, muss aber sauber dokumentiert sein. Die Personalunion zwischen LkSG-Beauftragtem und interner Meldestelle nach HinSchG ist möglich, erfordert aber eine klare Funktionsabgrenzung in der Bestellurkunde und getrennte Aktenführung. Auf der Rollenseite zur internen Meldestelle sind die Schnittstellen zwischen HinSchG, LkSG und CMS-Compliance dokumentiert, sodass die Konfiguration des Beschwerdesystems auf einen einzigen Vorgang reduziert werden kann. Damit lässt sich auch der Zugangsweg für betroffene Personen in der Lieferkette über ein gemeinsames Portal pflegen, ohne die Funktionsabgrenzung zu verlieren. Die Pflicht zur regelmäßigen Wirksamkeitsprüfung des Verfahrens, mindestens einmal jährlich, ist im § 8 Abs. 5 LkSG verankert.

Nach § 10 Abs. 2 LkSG ist der Bericht über die Erfüllung der Sorgfaltspflichten spätestens vier Monate nach Geschäftsjahresende beim BAFA einzureichen und auf der eigenen Website kostenfrei und mindestens sieben Jahre lang zugänglich zu halten. Das BAFA stellt einen verbindlichen Fragenkatalog mit rund 437 Fragen bereit, der über das digitale Meldeportal des BAFA befüllt wird. Der Bericht muss die wichtigsten Risiken benennen, die ergriffenen Präventions- und Abhilfemaßnahmen darstellen, die Wirksamkeit der Maßnahmen evaluieren und die Schlussfolgerungen für das kommende Geschäftsjahr ableiten.

Die BAFA-Praxis hat sich in den ersten zwei Berichtsjahren deutlich konkretisiert. Standardisierte Antworten ohne konkreten Bezug zur eigenen Lieferkette werden zurückgewiesen. Auch fehlende Wirksamkeitsbewertungen führen zu Nachfragen, die das BAFA mit kurzen Antwortfristen verbindet. Der Bericht muss konsistent zu dokumentierten internen Maßnahmen sein, weil das BAFA Stichproben an der Aktenlage durchführen kann. Verstöße gegen die Berichtspflicht können nach § 24 Abs. 2 Nr. 8 LkSG mit Bußgeldern bis 100.000 Euro geahndet werden, bei vorsätzlicher Falschberichterstattung auch deutlich höher.

Im CIVAC Workspace werden BAFA-Berichte als versioniertes Dokument erstellt, mit direktem Bezug zu den hinterlegten Risikoanalysen, Maßnahmen und Wirksamkeitskontrollen. Der Prüfer ruft an, der Nachweis liegt bereit. Die 490 Audit-Vorlagen umfassen unter anderem die Grundsatzerklärung, das Risikoanalyseprotokoll, das Beschwerdeverfahren und den Wirksamkeitsbewertungsbericht. Damit ist der BAFA-Bericht keine jährliche Sonderaufgabe, sondern das automatisierte Resultat aus dem laufenden Betrieb der Lieferketten-Compliance. Frist läuft ab Geschäftsjahresende, die Aktenlage muss zuvor vollständig sein. Wer den Bericht aus den laufenden Prozessen erzeugt, vermeidet Inkonsistenzen mit Lagebericht und CSRD-Erklärung.

Die Sanktionen sind in § 24 LkSG geregelt. Bei vorsätzlicher oder fahrlässiger Verletzung wesentlicher Pflichten droht ein Bußgeld bis 800.000 Euro je Verstoß. Für Unternehmen mit einem durchschnittlichen Jahresumsatz von mehr als 400 Mio. Euro tritt nach § 24 Abs. 3 LkSG eine Anhebung in Kraft: Das Bußgeld kann bis zu zwei Prozent des durchschnittlichen Jahresumsatzes betragen. Bei umsatzstarken Unternehmen können damit Bußgelder im zweistelligen Millionenbereich anfallen. Hinzu kommen mögliche zivilrechtliche Folgen und ein Ausschluss von öffentlichen Aufträgen nach § 22 LkSG für bis zu drei Jahre.

Die zweite Sanktionsschicht ist nach § 22 LkSG der Ausschluss von der Vergabe öffentlicher Aufträge. Bei rechtskräftig festgestellten Verstößen mit einem Bußgeld ab 175.000 Euro können öffentliche Auftraggeber das Unternehmen für bis zu drei Jahre von Vergabeverfahren ausschließen. Für Unternehmen mit hoher Abhängigkeit von öffentlichen Aufträgen, etwa Bauindustrie, IT-Dienstleister oder Beratungshäuser, ist diese Sanktion oft härter als das Bußgeld selbst, weil sie den Marktzugang dauerhaft beeinträchtigt.

Drittens entstehen Reputationsrisiken durch die Veröffentlichungspflicht und die Pressearbeit von NGOs, die das BAFA-Meldeportal aktiv beobachten. Eine schlechte Berichtsqualität wird inzwischen systematisch ausgewertet und in Sustainable-Finance-Ratings integriert, was Auswirkungen auf Finanzierungsbedingungen haben kann. Die CIVAC Compliance-Plattform reduziert dieses Risiko, weil die Berichte aus dokumentierten Prozessen erzeugt werden und damit konsistent, vollständig und plausibel ausfallen. Audit-fest, dokumentiert, § 24-fest. Eine frühe, dokumentierte Selbstanzeige bei eigenen Versäumnissen kann nach § 17 OWiG strafmildernd wirken und Reputationsschäden reduzieren. Auch die Möglichkeit eines befristeten Vergabeausschlusses macht eine frühe Aufklärung interner Sachverhalte zur betrieblichen Notwendigkeit.

Der LkSG-Beauftragte arbeitet nicht isoliert, sondern an mindestens vier Schnittstellen. Erstens der Compliance-Beauftragte: Sanktionsprüfung, Korruptionsprävention und Sorgfaltspflichten überlappen sich, weshalb gemeinsame Risikoregister und Maßnahmenpläne sinnvoll sind. Zweitens der ESG-/Nachhaltigkeitsbeauftragte: Die ESRS-Standards der CSRD verlangen Angaben zur Wertschöpfungskette, die mit den LkSG-Daten kongruent sein müssen, sonst entstehen Widersprüche zwischen Lagebericht und BAFA-Bericht.

Drittens der Datenschutzbeauftragte: Lieferantendaten enthalten oft personenbezogene Angaben, etwa zu Ansprechpartnern oder zu Audit-Teilnehmern in der Lieferkette. Internationale Datenflüsse, etwa in Drittstaaten ohne Angemessenheitsbeschluss nach Art. 45 DSGVO, müssen über Standardvertragsklauseln nach Art. 46 DSGVO abgesichert werden. Die Datenverarbeitung im Beschwerdeverfahren ist nach Art. 9 DSGVO bei besonderen Kategorien zusätzlich zu regeln.

Viertens der Einkauf: Hier entstehen die meisten LkSG-relevanten Vertragsklauseln, von Sorgfaltsbedingungen über Audit-Rechte bis zu Eskalations- und Beendigungsklauseln. Die Lieferantenklassifikation nach Risiko muss in den Bestellprozess integriert sein, sonst bleibt die LkSG-Funktion ein Anhängsel. Die CIVAC Compliance-Plattform verwaltet die Schnittstellen über gemeinsame Register und sorgt für Konsistenz zwischen Beauftragten, weil 25 Beauftragten-Rollen in einem Workspace abgebildet sind. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen denselben Datenstand. Zusätzlich besteht eine Schnittstelle zum Datenschutzbeauftragten bei internationalen Lieferantendaten und zu Recht und Vertrieb bei Audit-Klauseln und Beendigungsmechanismen. Eine integrierte Risikomatrix über alle vier Schnittstellen hinweg ist die operative Grundlage für eine konsistente Sorgfaltsstrategie. Die CIVAC Berichtslinie führt die Befunde aller Beauftragten in einem konsolidierten Quartalsbericht zusammen, der dem Vorstand zur Steuerung dient. Damit wird die LkSG-Funktion vom Pflichten- zum Steuerungselement und schafft die Voraussetzung für die spätere CSDDD-Umsetzung mit erweitertem Pflichtenkreis.

Die EU-Lieferkettenrichtlinie 2024/1760 (Corporate Sustainability Due Diligence Directive, CSDDD) wird das LkSG ab 2027 stufenweise überlagern und in deutsches Recht überführen. Wesentliche Änderungen sind erstens die Senkung der Schwellen auf 1.000 Beschäftigte und 450 Mio. Euro Umsatz, zweitens die Erstreckung der Sorgfalt auf die gesamte Wertschöpfungskette, nicht nur unmittelbare Zulieferer, drittens die zivilrechtliche Haftung nach Art. 29 CSDDD für Schäden aus unzureichender Sorgfalt und viertens die Pflicht zur Erstellung und Umsetzung eines Klimatransitionsplans nach Art. 22 CSDDD im Einklang mit dem 1,5-Grad-Ziel.

Die Stufung erfolgt nach Unternehmensgröße. Stufe 1 ab 2027: Unternehmen mit über 5.000 Beschäftigten und 1,5 Mrd. Euro Umsatz. Stufe 2 ab 2028: über 3.000 Beschäftigte und 900 Mio. Euro Umsatz. Stufe 3 ab 2029: über 1.000 Beschäftigte und 450 Mio. Euro Umsatz. Damit erweitert sich der direkte Adressatenkreis erheblich, und mittelständische Unternehmen, die bislang nur indirekt über Lieferketten erfasst waren, werden zu direkten Adressaten.

Wer heute LkSG-konform aufgestellt ist, hat die Grundbausteine für die CSDDD, muss aber die Wertschöpfungskette über unmittelbare Lieferanten hinaus abdecken und einen Klimatransitionsplan integrieren. Die Verzahnung mit CSRD und ESRS E1 wird damit zur Pflicht, nicht zur Option. Die CIVAC Compliance-Plattform unterstützt den Übergang in einem gemeinsamen Workspace, mit EU-Datenresidenz und ISO/IEC 27001:2022 ISMS im Hintergrund. Vorhandene Risikoanalysen und Lieferantendaten werden auf die CSDDD-Logik gemappt, ohne dass Stammdaten neu erfasst werden müssen. Eine frühzeitige Vorbereitung in den Jahren vor der eigenen Geltungsstufe vermeidet Drucksituationen und ermöglicht einen geordneten Übergang. Die nationale Umsetzung der CSDDD wird das LkSG erweitern und teilweise ablösen, mit Übergangsregelungen, die kalendarisch geplant werden sollten.

Wenn Sie unter das LkSG fallen oder als Zulieferer in eine LkSG-pflichtige Lieferkette eingebunden sind, ist die Bestellung eines LkSG-Beauftragten der operative Hebel. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit zwei Bezugsmodellen. Im ersten Modell lizenzieren Sie den Workspace für Ihren internen Beauftragten und nutzen die 490 Audit-Vorlagen, die Risikoanalyse-Module, das Beschwerdeverfahren und den BAFA-Berichtsexport. Im zweiten Modell bestellen unsere Beauftragten Ihre LkSG-Funktion und arbeiten im Workspace, den Ihre Geschäftsleitung jederzeit einsehen kann. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Die SLA für eine Bestellung beträgt 2 Werktage, statt 2 bis 6 Wochen klassisch. Sie erhalten Bestellurkunde, Berichtslinie und Aufgabenkatalog in einem Vorgang, EU-Datenresidenz und ISO/IEC 27001:2022 ISMS mit 93 Controls aktiv. Im Onboarding sind eine erste Lieferanten-Risikomatrix, die Grundsatzerklärung-Vorlage und ein konfiguriertes Beschwerdeverfahren in mindestens zwei Sprachen enthalten, sodass die Funktion ab dem ersten Monat einen messbaren Stand erreicht und auf den nächsten BAFA-Bericht vorbereitet ist.

Wenn Sie konkret prüfen möchten, ob Ihr Unternehmen unter das LkSG fällt, welche Sorgfaltspflichten priorisiert werden müssen und welches Bezugsmodell wirtschaftlich passt, schreiben Sie an info@civac.de oder nutzen das Kontaktformular auf civac.de. Sie erhalten innerhalb von 24 Stunden eine erste Einschätzung mit Geltungsbereichsprüfung, Bestellweg und Kostenrahmen. Aus dem Lesen einen Auftrag machen. Auch ein Schulungsmodul für Einkauf und Vertrieb ist im Onboarding enthalten, weil dort die meisten LkSG-relevanten Vertragsklauseln entstehen. Damit ist die Funktion ab dem ersten Monat prüfungsfähig und integriert sich nahtlos in die CSRD-Berichterstattung.