Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Zurück zur Übersicht
Lieferkette15. Mai 202612 Min. Lesezeit

LkSG-Risikoanalyse: Methodik, Struktur und BAFA-konforme Dokumentation

Von Dr. Henrik Bauer12 Min. Lesezeit

Die Risikoanalyse ist das methodische Fundament der LkSG-Compliance. § 5 LkSG schreibt eine jährliche und anlassbezogene Risikobewertung vor – für den eigenen Geschäftsbereich, unmittelbare Zulieferer und bei begründetem Anlass auch mittelbare Zulieferer. Wer hier Lücken lässt, riskiert BAFA-Rückfragen und Nachweislücken.

§ 5 des Lieferkettensorgfaltspflichtengesetzes (LkSG) verpflichtet betroffene Unternehmen zur regelmäßigen Durchführung einer Risikoanalyse. Diese dient der Identifikation menschenrechtlicher und umweltbezogener Risiken im eigenen Geschäftsbereich sowie bei unmittelbaren Zulieferern. Bei begründetem Anlass muss die Risikoanalyse auf mittelbare Zulieferer ausgedehnt werden. Die Analyse ist einmal jährlich sowie anlassbezogen bei wesentlichen Veränderungen durchzuführen (§ 5 Abs. 4 LkSG).

In der Praxis zeigt sich, dass die Risikoanalyse der Bereich ist, der bei BAFA-Prüfungen am häufigsten Anlass zu Rückfragen gibt. Die Gründe: fehlende Gewichtung der identifizierten Risiken, unklare Abgrenzung der Zuliefererebenen, keine Versionshistorie und fehlender Nachweis der Analyse-Grundlage. Dieser Artikel beschreibt, wie eine BAFA-konforme LkSG-Risikoanalyse methodisch aufgebaut und dokumentiert werden muss.

Auf einen Blick

  • Die LkSG-Risikoanalyse muss zwischen dem eigenen Geschäftsbereich, unmittelbaren Zulieferern und – bei begründetem Anlass – mittelbaren Zulieferern unterscheiden; eine undifferenzierte Lieferantenliste ohne Ebenenunterscheidung genügt nicht.
  • Identifizierte Risiken müssen nach Schwere und Eintrittswahrscheinlichkeit priorisiert werden; eine reine Auflistung ohne Bewertung und Gewichtung erfüllt die Anforderungen des § 5 Abs. 1 LkSG nicht.
  • Die Risikoanalyse muss jährlich versioniert wiederholt werden, wobei die Vorjahresversion nachvollziehbar erhalten bleibt; fehlende Versionierung macht es unmöglich nachzuweisen, welche Risiken zu welchem Zeitpunkt bewertet wurden.

Rechtsgrundlage: Was § 5 LkSG konkret verlangt

§ 5 LkSG definiert die Risikoanalyse als Instrument zur angemessenen Identifikation, Gewichtung und Priorisierung menschenrechtlicher und umweltbezogener Risiken. Das Gesetz unterscheidet dabei drei Untersuchungsbereiche: den eigenen Geschäftsbereich (§ 5 Abs. 1 S. 1 LkSG), unmittelbare Zulieferer (§ 5 Abs. 1 S. 2 LkSG) und mittelbare Zulieferer (§ 5 Abs. 2 LkSG) – letztere nur bei begründetem Anlass.

Der eigene Geschäftsbereich umfasst gemäß § 2 Abs. 6 LkSG auch alle in- und ausländischen Tochtergesellschaften, auf die das verpflichtete Unternehmen einen bestimmenden Einfluss ausübt. Die Einbeziehung der eigenen Tochtergesellschaften wird von vielen Unternehmen zunächst unterschätzt – sie erhöht den Umfang der Risikoanalyse erheblich.

Unmittelbare Zulieferer sind gemäß § 2 Abs. 7 LkSG Vertragspartner, von denen eine Ware oder Dienstleistung zur Herstellung des eigenen Produktes benötigt wird. Mittelbare Zulieferer (§ 2 Abs. 8 LkSG) stehen weiter in der Kette, dürfen aber nicht vollständig ignoriert werden, wenn tatsächliche Hinweise auf menschenrechtliche oder umweltbezogene Verstöße vorliegen. Die externe LkSG-Beauftragte bei CIVAC unterstützt bei der methodischen Abgrenzung dieser drei Ebenen.

Risikokategorien: Menschenrechte und Umwelt nach Anlage 1 LkSG

Das LkSG definiert in § 2 Abs. 1 und Abs. 2 sowie in den Anlagen des Gesetzes die spezifischen menschenrechtlichen und umweltbezogenen Risiken, auf die die Analyse auszurichten ist. Menschenrechtliche Risiken umfassen unter anderem:

  • Verbot von Zwangsarbeit und Schuldknechtschaft (§ 2 Abs. 2 Nr. 1 LkSG, ILO-Kernübereinkommen)
  • Verbot von Kinderarbeit (§ 2 Abs. 2 Nr. 2 LkSG, ILO-Übereinkommen Nr. 138, 182)
  • Verbot der Verletzung der Vereinigungsfreiheit (§ 2 Abs. 2 Nr. 7 LkSG)
  • Verbot der Ungleichbehandlung (§ 2 Abs. 2 Nr. 8 LkSG)
  • Verbot des Vorenthaltens angemessener Löhne (§ 2 Abs. 2 Nr. 9 LkSG)

Umweltbezogene Risiken umfassen insbesondere Handlungen, die nach dem Minamata-Übereinkommen (Quecksilber), dem Stockholmer Übereinkommen (persistente organische Schadstoffe) oder dem Basler Übereinkommen (Sonderabfälle) verboten sind (§ 2 Abs. 3 LkSG). Hinzu kommen Risiken im Zusammenhang mit der Verletzung umweltbezogener Sorgfaltspflichten nach dem Pariser Klimaabkommen-konformen Ansatz.

Eine strukturierte Risikoanalyse muss jede dieser Kategorien für jeden relevanten Zulieferer prüfen und einen Risikoscore je Kategorie dokumentieren.

Methodik: Wie eine BAFA-konforme Risikobewertung aufgebaut ist

Eine belastbare Risikoanalyse basiert auf einem dreistufigen Bewertungsmodell:

  1. Identifikation: Welche Risiken sind in welchem Teil der Lieferkette potenziell vorhanden? Diese Phase nutzt Sekundärquellen (Länderindizes, Branchen-Risikoprofile, Datenbanken wie dem Corruption Perceptions Index der Transparency International oder dem CSR Risk Check des BMAS) sowie primäre Lieferantenbefragungen.
  2. Bewertung: Wie hoch ist die Schwere eines möglichen Verstoßes, und wie wahrscheinlich ist sein Eintreten? Die Schwere bewertet sich nach den Faktoren Irreversibilität, Anzahl betroffener Personen und Art des Verstoßes (§ 3 Abs. 2 LkSG).
  3. Priorisierung: Welche Risiken erfordern sofortige Präventionsmaßnahmen, welche werden beobachtet? Das Ergebnis der Priorisierung fließt direkt in den Maßnahmenplan nach § 6 LkSG ein.

Entscheidend ist, dass alle drei Schritte mit Datum, Datengrundlage und verantwortlicher Person dokumentiert werden. Die Nachvollziehbarkeit der Methodik – nicht nur des Ergebnisses – ist das, was eine BAFA-Prüfung prüft.

Anlassbezogene Risikoanalyse: Wann eine Aktualisierung erforderlich ist

§ 5 Abs. 4 S. 2 LkSG verpflichtet zum anlassbezogenen Update der Risikoanalyse bei wesentlichen Veränderungen. Als wesentliche Veränderungen gelten:

  • Aufnahme neuer Lieferanten oder Märkte
  • Eingehen neuer Produktkategorien oder Produktionsprozesse
  • Bekannt gewordene Verletzungen bei bestehenden Zulieferern
  • Wesentliche Änderungen der politischen oder sozioökonomischen Situation in Lieferantenländern
  • Neue regulatorische Anforderungen (z. B. EU-CSDDD-Umsetzung)

In der Praxis besteht das Risiko, dass anlassbezogene Aktualisierungen nicht systematisch ausgelöst und dokumentiert werden. Ein LkSG-Managementsystem muss daher nicht nur die jährliche Analyse terminieren, sondern auch ein Triggersystem bereitstellen, das anlassbezogene Analysen automatisch initiiert und protokolliert.

Der BAFA prüft bei Verdacht auf Verstöße zunächst, ob anlassbezogene Aktualisierungen stattgefunden haben. Unternehmen, die keine anlassbezogenen Analysen dokumentiert haben, obwohl Hinweise vorlagen, setzen sich dem Vorwurf mangelnder Sorgfalt aus. Frist läuft ab Kenntnis – dieses Prinzip gilt auch für die Pflicht zur anlassbezogenen Risikoanalyse.

Lieferantenbefragung: Instrumente und typische Fehler

Lieferantenbefragungen sind ein zentrales Instrument der Risikoanalyse, aber kein Selbstzweck. Das Ziel ist nicht das Ausfüllen eines Fragebogens, sondern die Gewinnung belastbarer Informationen über Risiken in der Lieferkette. Häufige Fehler bei Lieferantenbefragungen:

  • Fehlende Verifizierung: Ein ausgefüllter Fragebogen ist kein Beweis der Risikominimierung. Antworten müssen plausibilisiert werden – insbesondere bei Hochrisikokategorien.
  • Fehlende Rücklaufquoten-Dokumentation: Der BAFA erwartet Angaben darüber, welcher Anteil der Lieferanten befragt wurde und welche Antwortquote erzielt wurde.
  • Englischsprachige Fragebögen ohne Übersetzung: Lieferanten in Nicht-EU-Ländern können komplexe Fragen in Englisch möglicherweise nicht korrekt beantworten. Fehlinterpretationen erzeugen falsche Risikoscores.
  • Einheitlicher Fragebogen ohne Risikoabstufung: Hochrisiko-Lieferanten brauchen tiefergehende Befragungen als Niedrigrisiko-Partner.

Eine LkSG-Software sollte Lieferantenbefragungen in mehreren Sprachen und mit unterschiedlichen Tiefenstufen unterstützen. Die Antworten werden direkt dem Risikoscore des jeweiligen Lieferanten zugeordnet und versioniert gespeichert.

Dokumentation und Versionierung: Der Nachweis gegenüber dem BAFA

Die Risikoanalyse ist nur dann BAFA-konform, wenn ihre Entstehungshistorie lückenlos nachvollziehbar ist. Das bedeutet:

  • Die aktuelle Version der Risikoanalyse ist als solche klar gekennzeichnet
  • Alle Vorversionen sind mit Datum und Änderungsgrund archiviert
  • Die verantwortliche Person und das Datum der Freigabe sind dokumentiert
  • Die verwendeten Quellen und Datengrundlagen sind nachvollziehbar verknüpft

Ohne Versionierung kann nicht nachgewiesen werden, welche Risiken zu welchem Zeitpunkt bekannt waren und welche Maßnahmen daraufhin ergriffen wurden. Insbesondere bei anlassbezogenen Risikoanalysen ist dieser Zeitstempel entscheidend: Der BAFA prüft, ob das Unternehmen zeitnah auf neue Erkenntnisse reagiert hat.

Die LkSG-Beauftragte-Funktion im CIVAC-Workspace bildet diese Anforderungen mit einem integrierten Versionierungssystem ab. Jede Risikoanalyse wird mit Zeitstempel, Vorgängerversion und verantwortlicher Person abgelegt. Der Audit-Log zeichnet alle Änderungen automatisch nach.

Risikoanalyse und Maßnahmenplanung: Der Übergang zu § 6 LkSG

Die Risikoanalyse ist kein Selbstzweck – sie ist der direkte Input für den Maßnahmenplan nach § 6 LkSG. Das Ergebnis der Priorisierung bestimmt, welche Präventionsmaßnahmen für welche Lieferanten und Risikobereiche ergriffen werden müssen. Der Übergang von der Risikoanalyse zur Maßnahmenplanung muss im System nachvollziehbar sein.

Konkret bedeutet das: Für jeden als wesentlich eingestuften Risikobefund muss eine Präventionsmaßnahme mit Verantwortlichkeit, Frist und Wirksamkeitskriterium hinterlegt werden. Unternehmen, die eine vollständige Risikoanalyse vorweisen, aber keine dokumentierten Maßnahmen daraus abgeleitet haben, erfüllen die Anforderungen des § 6 LkSG nicht und setzen sich dem Vorwurf mangelnder Konsequenz aus.

Der BAFA-Jahresbericht (§ 10 LkSG) verlangt ausdrücklich eine Bewertung der Wirksamkeit der ergriffenen Maßnahmen. Unternehmen müssen also nicht nur belegen, dass Maßnahmen geplant wurden, sondern auch, ob und wie sie gewirkt haben. Eine Compliance-Plattform, die Risikoanalyse und Maßnahmenmanagement als verknüpfte Module führt, bildet diese Anforderung strukturell ab und reduziert den Aufwand der BAFA-Berichterstellung erheblich.

Externe Unterstützung: Wann ein LkSG-Beauftragter die Risikoanalyse trägt

Die Durchführung einer methodisch belastbaren LkSG-Risikoanalyse erfordert Fachwissen, das in vielen mittelständischen Unternehmen nicht in ausreichendem Maß intern vorhanden ist. Zu den benötigten Kompetenzen zählen: Kenntnisse der internationalen Menschenrechtsstandards (ILO-Kernübereinkommen, UN-Leitprinzipien für Wirtschaft und Menschenrechte), Vertrautheit mit dem LkSG-Prüfraster des BAFA sowie praktische Erfahrung bei der Lieferantenrisikobewertung.

Ein externer LkSG-Beauftragter bringt diese Kompetenzen mit und übernimmt die methodische Leitung der Risikoanalyse. Das ist besonders relevant für:

  • Unternehmen, die erstmals eine Risikoanalyse durchführen und keine Erfahrung mit dem BAFA-Format haben
  • Unternehmen mit komplexen, international verzweigten Lieferketten
  • Unternehmen, die anlassbezogene Risikoanalysen nach einem Vorfall schnell und revisionssicher nachliefern müssen

CIVAC bietet über sein Partnernetzwerk externe LkSG-Beauftragte mit nachgewiesener Praxiserfahrung in der Risikoanalyse-Methodik an. Die Beauftragung erfolgt mit schriftlicher Urkunde und dokumentierter Berichtslinien-Struktur.

Fazit: Risikoanalyse als Fundament der LkSG-Compliance

Eine BAFA-konforme LkSG-Risikoanalyse ist mehr als eine Lieferantenliste mit Ampelfarben. Sie ist ein strukturierter, methodisch nachvollziehbarer Prozess, der jährlich und anlassbezogen wiederholt, vollständig dokumentiert und mit einem Maßnahmenplan verknüpft wird. Wer hier methodisch sorgfältig arbeitet, legt das Fundament für alle weiteren LkSG-Pflichten – von der Grundsatzerklärung bis zum BAFA-Jahresbericht.

CIVAC als Compliance-Plattform und Officer-as-a-Service-Anbieter stellt beides bereit: den strukturierten Workspace für die interne Durchführung der Risikoanalyse sowie externe LkSG-Beauftragte, die die Methodik verantworten. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. 37 einsatzbereite Audit-Vorlagen, integriertes Maßnahmenmanagement und automatische Versionierung schaffen die Voraussetzungen, dass der Prüfer anruft – und der Nachweis bereit liegt.

Wenn Sie Ihre Risikoanalyse methodisch belastbar aufsetzen wollen: Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.

FAQ

Wie oft muss die LkSG-Risikoanalyse durchgeführt werden?

§ 5 Abs. 4 LkSG schreibt eine jährliche Durchführung der Risikoanalyse vor. Darüber hinaus ist eine anlassbezogene Aktualisierung erforderlich, wenn wesentliche Veränderungen in der Lieferkette eintreten, neue Lieferanten aufgenommen werden oder begründete Hinweise auf Verstöße bei mittelbaren Zulieferern vorliegen.

Müssen mittelbare Zulieferer immer in die Risikoanalyse einbezogen werden?

Nein, mittelbare Zulieferer werden nur bei begründetem Anlass einbezogen (§ 5 Abs. 2 LkSG). Ein solcher Anlass liegt vor, wenn tatsächliche Hinweise auf menschenrechtliche oder umweltbezogene Verstöße bei mittelbaren Zulieferern vorliegen oder wenn das Unternehmen aus anderen Quellen von erhöhten Risiken in bestimmten Beschaffungsregionen Kenntnis erlangt.

Welche Quellen sind für die LkSG-Risikoanalyse zulässig?

Das LkSG schreibt keine spezifischen Quellen vor. Zulässig und in der Praxis etabliert sind: der CSR Risk Check des BMAS, der Corruption Perceptions Index der Transparency International, ILO-Länderberichte sowie branchenspezifische Risikoprofile (z. B. von Branchen-Nachhaltigkeitsinitiativen). Die verwendeten Quellen müssen dokumentiert sein.

Wie detailliert muss die Risikobewertung je Lieferant sein?

Das LkSG verlangt eine angemessene Tiefe, die sich nach Risikostufe und Einflussmöglichkeit richtet (§ 3 Abs. 2 LkSG). Hochrisiko-Lieferanten brauchen tiefergehende Analysen mit Quellenbelegen und direkter Lieferantenbefragung. Bei Niedrigrisiko-Lieferanten genügen eine plausible Kategorisierung und ein Verweis auf die Datengrundlage.

Muss die Risikoanalyse von der Unternehmensleitung freigegeben werden?

Das LkSG schreibt keine explizite Freigabe durch die Unternehmensleitung vor, aber § 4 Abs. 3 LkSG verlangt, dass der LkSG-Beauftragte der Unternehmensleitung berichtet. In der BAFA-Praxis gilt die Freigabe durch die Unternehmensleitung als Nachweis der institutionellen Einbettung der Risikoanalyse und sollte daher dokumentiert werden.

Kann die Risikoanalyse von einem externen Berater durchgeführt werden?

Ja, das LkSG schreibt keine interne Durchführung vor. Die Verantwortung verbleibt beim verpflichteten Unternehmen, auch wenn externe Beauftragte oder Berater die Methodik leiten. Entscheidend ist, dass die Ergebnisse im Unternehmen anerkannt, vom Beauftragten verantwortet und im internen System dokumentiert sind.

Quellen

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Angebot anfordernMit uns sprechen
Weitere Beiträge
NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen
Regulatorik15. April 2026

NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen

Weiterlesen
ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss
Informationssicherheit2. April 2026

ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss

Weiterlesen