Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Zurück zur Übersicht
Lieferkette14. Mai 202612 Min. Lesezeit

LkSG-Software: Pflichtfunktionen, Auswahlkriterien und der Beauftragten-Nachweis

Von Dr. Henrik Bauer12 Min. Lesezeit

Das Lieferkettensorgfaltspflichtengesetz verpflichtet betroffene Unternehmen zu acht Sorgfaltspflichten, deren Nachweis gegenüber dem BAFA lückenlos sein muss. Eine LkSG-Software, die nur Fragebögen versendet, löst das Compliance-Problem nicht – sie verschiebt es.

Das Lieferkettensorgfaltspflichtengesetz (LkSG) ist seit dem 1. Januar 2023 für Unternehmen ab 3.000 Beschäftigten und seit dem 1. Januar 2024 für Unternehmen ab 1.000 Beschäftigten in Kraft. § 3 LkSG definiert acht Sorgfaltspflichten, die das verpflichtete Unternehmen entlang seiner gesamten Lieferkette einzuhalten hat. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht die Einhaltung und kann gemäß § 14 LkSG jederzeit Auskunft verlangen sowie Prüfungen einleiten.

Eine LkSG-Software ist kein optionales Effizienzwerkzeug – sie ist das Dokumentationsinstrument, das die Nachweiskette für den BAFA-Jahresbericht (§ 10 LkSG) und für etwaige Prüfungen aufbaut. Dieser Artikel erklärt, welche Funktionen eine solche Software zwingend mitbringen muss, worauf Sie bei der Auswahl achten sollten, und wie die Beauftragten-Bestellung im System verankert werden muss.

Auf einen Blick

  • Eine LkSG-Software muss die fünf Kernbausteine des § 3 LkSG – Risikoanalyse, Präventionsmaßnahmen, Abhilfemaßnahmen, Beschwerdeverfahren und Jahresbericht – revisionssicher und versioniert dokumentieren.
  • Die schriftliche Beauftragung des LkSG-Verantwortlichen nach § 4 Abs. 3 LkSG ist kein optionaler Schritt, sondern Pflichtbestandteil des Compliance-Nachweises; sie muss im System abgelegt und der Unternehmensleitung zuordenbar sein.
  • BAFA-Prüfungen verlangen nicht nur Jahresberichte, sondern die vollständige Nachweiskette von der Risikoidentifikation über die Maßnahme bis zur Wirksamkeitsprüfung – Punktlösungen, die nur einen Teilaspekt abdecken, erzeugen strukturelle Nachweislücken.

Das LkSG im Überblick: Acht Sorgfaltspflichten, eine Nachweiskette

Das LkSG strukturiert die unternehmerischen Pflichten in acht Handlungsfelder, die miteinander verzahnt sind und gemeinsam die Grundlage für den BAFA-Jahresbericht nach § 10 LkSG bilden. Diese Pflichten lassen sich in zwei Gruppen einteilen: anlassunabhängige Dauerpflichten und anlassbezogene Reaktionspflichten.

Zu den Dauerpflichten zählen: die Einrichtung eines angemessenen und wirksamen Risikomanagements (§ 4 Abs. 1 LkSG), die Bestellung eines zuständigen Beauftragten (§ 4 Abs. 3 LkSG), die Durchführung einer jährlichen Risikoanalyse (§ 5 Abs. 4 LkSG), die Abgabe einer Grundsatzerklärung zur Menschenrechtsstrategie (§ 6 Abs. 2 LkSG), die Umsetzung präventiver Maßnahmen (§ 6 LkSG) sowie die Einrichtung und Bekanntmachung eines Beschwerdeverfahrens (§ 8 LkSG). Hinzu kommen anlassbezogene Pflichten: Ergreifen von Abhilfemaßnahmen bei bekannt gewordenen Verstößen (§ 7 LkSG) und anlassbezogene Risikoanalysen bei wesentlichen Veränderungen (§ 5 Abs. 4 S. 2 LkSG).

Alle acht Pflichten müssen nicht nur erfüllt, sondern auch nachgewiesen werden können. Das ist die Kernfunktion einer LkSG-Beauftragten-Lösung: sie erzeugt die Nachweiskette, nicht nur den Prozess.

Pflichtfunktionen: Was jede LkSG-Software mitbringen muss

Bei der Bewertung einer LkSG-Software lassen sich Pflichtfunktionen von optionalen Funktionen klar trennen. Die Pflichtfunktionen ergeben sich direkt aus den gesetzlichen Anforderungen:

  • Risikoanalyse-Modul (§ 5 LkSG): Strukturierte Erfassung und Bewertung von Lieferanten nach Risikokategorien (Menschenrechte, Umwelt), mit Zeitstempel, Revisionshistorie und Unterscheidung zwischen eigenem Geschäftsbereich sowie unmittelbaren und mittelbaren Zulieferern.
  • Maßnahmenmanagement (§§ 6–7 LkSG): Zuweisung von Präventions- und Abhilfemaßnahmen an Verantwortliche, mit Fälligkeitsdatum, Statusverfolgung und Wirksamkeitsprüfung.
  • Beschwerdeverfahren (§ 8 LkSG): Digitaler Eingang und Bearbeitung von Hinweisen, mit lückenlosem Protokoll von Eingang bis Abschluss.
  • BAFA-Berichtsexport (§ 10 LkSG): Exportfähige Berichtsstruktur, die den BAFA-Berichtsanforderungen entspricht und vollständig aus den im System erfassten Daten generiert werden kann.
  • Beauftragten-Dokumentation (§ 4 Abs. 3 LkSG): Ablage der schriftlichen Bestellurkunde, Dokumentation der Berichtslinien zur Unternehmensleitung und Protokoll der Berichterstattungen.

Eine Software, die diese fünf Bausteine vollständig und revisionssicher abbildet, ist als LkSG-konform zu bewerten. Fehlende Bausteine müssen manuell durch interne Prozesse kompensiert werden, was den Nachweisverpflichtungen nicht entspricht.

Risikoanalyse: Struktur, Methodik und häufige Fehler

Die Risikoanalyse ist der methodische Kern des LkSG-Managementsystems. § 5 LkSG beschreibt sie als angemessene Identifikation, Gewichtung und Priorisierung menschenrechtlicher und umweltbezogener Risiken. Dabei ist zwischen dem eigenen Geschäftsbereich, unmittelbaren Zulieferern und – bei begründetem Anlass – mittelbaren Zulieferern zu unterscheiden.

Typische Fehler in der Risikoanalyse-Praxis:

  • Fehlende Gewichtung: Unternehmen identifizieren Risiken, priorisieren sie aber nicht nach Schwere und Eintrittswahrscheinlichkeit. Der BAFA erwartet eine begründete Prioritätsreihenfolge.
  • Statische Einmalanalyse: Das Gesetz verlangt eine jährliche und anlassbezogene Aktualisierung. Einmal erstellte Analysen ohne Versionierung sind nicht compliant.
  • Fehlende Differenzierung Zuliefererebenen: Die Unterscheidung zwischen unmittelbaren und mittelbaren Zulieferern ist im Gesetz explizit geregelt. Tools, die nur eine Lieferantenebene abbilden, decken § 5 Abs. 1 LkSG nicht vollständig ab.
  • Kein Nachweis der Analyse-Grundlage: Auf welchen Daten basiert die Risikobewertung? Ohne Quellenangabe und Datenbasis ist die Analyse vor dem BAFA nicht belastbar.

Eine strukturierte LkSG-Software führt die Risikoanalyse als mehrstufigen, dokumentierten Prozess durch und erzeugt dabei automatisch die Nachweisdokumentation, die bei einer BAFA-Prüfung vorzulegen ist.

Beschwerdeverfahren: Gesetzliche Anforderungen nach § 8 LkSG

§ 8 LkSG verpflichtet das betroffene Unternehmen zur Einrichtung eines öffentlich zugänglichen Beschwerdeverfahrens, das es Personen ermöglicht, auf Menschenrechtsverletzungen oder Umweltverstöße in der Lieferkette hinzuweisen. Das Verfahren muss allen Beschäftigten und Zulieferern bekannt gemacht werden. Es gibt eine inhaltliche Überschneidung mit dem Hinweisgeberschutzsystem nach dem Hinweisgeberschutzgesetz (HinSchG), das ebenfalls interne Meldestellen vorschreibt.

Die Anforderungen an das Beschwerdeverfahren im Detail:

  • Öffentliche Zugänglichkeit und Bekanntmachung gegenüber Beschäftigten und Lieferanten
  • Unabhängigkeit und Vertraulichkeit der Bearbeitung
  • Dokumentierter Eingang mit Datum und Beschreibung des Hinweises
  • Schriftliche Rückmeldung an den Hinweisgeber über eingeleitete Maßnahmen
  • Vollständiger Abschlussnachweis mit Maßnahmen und Ergebnis

Unternehmen, die das LkSG-Beschwerdeverfahren und das HinSchG-Meldeverfahren getrennt voneinander betreiben, erzeugen unnötige Doppelstrukturen. Eine integrierte Plattform, die beide Verfahren unter einem System abbildet, reduziert den Administrations- und Dokumentationsaufwand erheblich. Der Beauftragte für die interne Meldestelle kann diese Funktion in Abstimmung mit dem LkSG-Beauftragten übernehmen.

Jahresbericht nach § 10 LkSG: Struktur und Einreichung beim BAFA

Der Jahresbericht nach § 10 LkSG ist die nach außen sichtbarste Compliance-Leistung des verpflichteten Unternehmens. Er muss spätestens vier Monate nach Ablauf des Geschäftsjahres auf der BAFA-Plattform eingereicht und anschließend auf der Unternehmenswebsite für mindestens sieben Jahre zugänglich gemacht werden.

Der Bericht muss gemäß § 10 Abs. 2 LkSG folgende Inhalte abdecken:

  1. Beschreibung der ergriffenen Maßnahmen zur Erfüllung der Sorgfaltspflichten
  2. Bewertung der Wirksamkeit dieser Maßnahmen
  3. Schlussfolgerungen für das Folgejahr
  4. Darstellung der identifizierten wesentlichen Risiken
  5. Art und Weise der Grundsatzerklärung und ihrer Verankerung

Eine LkSG-Software muss diese Berichtsstruktur vollständig aus den intern erfassten Daten generieren können. Plattformen, die nur Rohdaten speichern und den Bericht manuell erstellen lassen müssen, erhöhen den Aufwand und erhöhen das Fehlerrisiko bei der BAFA-Einreichung. Der Bericht ist nicht nur eine bürokratische Pflichtübung – er ist das zentrale Dokument, das bei einer BAFA-Prüfung als erster Prüfungspunkt analysiert wird.

Beauftragten-Bestellung: Rechtliche Anforderungen und Dokumentation

§ 4 Abs. 3 LkSG verpflichtet das Unternehmen, eine Person oder Stelle zu benennen, die die Einhaltung der Sorgfaltspflichten überwacht. Diese Person muss der Unternehmensleitung direkt berichten. Die gesetzliche Regelung lässt sowohl interne als auch externe Beauftragte zu.

Für die Nachweisführung sind drei Dokumente unverzichtbar:

  • Schriftliche Bestellurkunde mit Datum, Funktion und Unterschrift der Unternehmensleitung
  • Dokumentierte Berichtsstruktur, aus der die direkte Berichtslinie zur Unternehmensleitung hervorgeht
  • Protokolle der tatsächlichen Berichterstattungen mit Datum und Ergebnis

Bestellurkunde, unterschrieben, abgelegt, belegbar – das ist der Standard, den eine BAFA-Prüfung erwartet. Unternehmen, die die Beauftragung nur mündlich oder per einfacher E-Mail vorgenommen haben, müssen diese Lücke vor dem nächsten Jahresbericht schließen.

CIVAC bietet über seinen Workspace die Möglichkeit, den gesamten Bestellprozess digital und revisionssicher abzubilden. Unternehmen, die keinen geeigneten internen Kandidaten haben, können den externen LkSG-Beauftragten über CIVAC bestellen – mit Urkunde und Berichtslinien-Dokumentation in zwei Werktagen.

Datenresidenz und Datenschutz: Was bei LkSG-Software gilt

LkSG-Daten enthalten häufig sensible Informationen: Namen von Lieferanten mit identifizierten Verstößen, Ergebnisse von Audits, Inhalte von Beschwerdeverfahren, personenbezogene Daten von Hinweisgebern. Letztere unterliegen direkt der DSGVO (Art. 5, Art. 9 DSGVO bei besonderen Kategorien), wenn Betroffene in den Hinweisen identifizierbar sind.

Für die Tool-Auswahl bedeutet das:

  • Die Datenverarbeitung muss im EU-Raum stattfinden (keine Drittland-Transfers ohne angemessene Schutzmaßnahmen gemäß Art. 44 ff. DSGVO)
  • Der Anbieter muss als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich eingebunden werden
  • Anonymität und Vertraulichkeit für Hinweisgeber im Beschwerdeverfahren müssen technisch sichergestellt sein
  • Zugriffskontrollen müssen sicherstellen, dass nur berechtigte Personen Einblick in Beschwerdeverfahren und Risikobewertungen erhalten

CIVAC betreibt alle Daten ausschließlich auf EU-Servern, ist ISO/IEC 27001:2022-konform und bietet AES-256-Verschlüsselung at rest sowie TLS 1.3 in transit. Der Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist standardmäßig Bestandteil des Vertragspakets.

Integration und Skalierung: LkSG-Software in komplexen Unternehmensstrukturen

Mittelständische Unternehmen mit mehreren Gesellschaften, Tochterunternehmen oder internationalen Lieferketten stellen besondere Anforderungen an die Skalierbarkeit einer LkSG-Software. Das Gesetz verpflichtet grundsätzlich das Unternehmen mit Sitz in Deutschland, verlangt aber, dass der eigene Geschäftsbereich des Unternehmens – inklusive aller in- und ausländischen Tochtergesellschaften, die unter der bestimmenden Einflussnahme des verpflichteten Unternehmens stehen – in die Risikoanalyse einbezogen wird.

Praktische Anforderungen an die Skalierbarkeit:

  • Mandantenfähigkeit: Mehrere Gesellschaften mit getrennter Datenhaltung und getrennten Beauftragten
  • Rollentrennung: Unterschiedliche Zugriffsrechte für LkSG-Beauftragten, Unternehmensleitung und operative Einheiten
  • API-Anbindung: Integration mit bestehenden ERP-Systemen, Lieferantenmanagement-Datenbanken und ESG-Reporting-Tools
  • Mehrsprachigkeit: Lieferantenbefragungen und Beschwerdeverfahren in mehreren Sprachen

Unternehmen, die eine LkSG-Software für eine Unternehmensgruppe evaluieren, sollten frühzeitig prüfen, ob das Tool mandantenfähig ist und ob separate BAFA-Berichte pro Gesellschaft erstellt werden können, sofern mehrere Gesellschaften eigenständig verpflichtet sind.

Nächste Schritte: LkSG-Software implementieren und Beauftragten bestellen

Die Implementierung einer LkSG-Software ist ein mehrphasiger Prozess: Zunächst muss die Beauftragten-Bestellung formalisiert werden, dann die Risikoanalyse strukturiert erfasst, anschließend das Beschwerdeverfahren eingerichtet und bekannt gemacht werden. Parallel läuft die Grundsatzerklärung durch die Unternehmensleitung. Wer diesen Prozess ohne strukturierte Unterstützung aufzusetzen versucht, verliert typischerweise mehrere Monate.

CIVAC als Compliance-Plattform und Officer-as-a-Service-Anbieter bietet beide Wege: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Der Workspace enthält 37 einsatzbereite Audit-Vorlagen, ein vollständiges Risikoanalyse-Modul, ein integriertes Beschwerdeverfahren und einen BAFA-Berichtsexport. Externe Beauftragte aus dem CIVAC-Netzwerk werden in zwei Werktagen mit schriftlicher Urkunde und dokumentierter Berichtsstruktur bestellt.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wenn Sie Ihre LkSG-Implementierung fundiert aufsetzen wollen: Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.

FAQ

Was ist der Unterschied zwischen einer LkSG-Software und einem allgemeinen Compliance-Management-Tool?

Eine LkSG-Software ist spezifisch auf die Anforderungen des Lieferkettensorgfaltspflichtengesetzes ausgerichtet: Risikoanalyse nach § 5 LkSG, BAFA-Berichtsstruktur nach § 10 LkSG und Beauftragten-Bestellung nach § 4 Abs. 3 LkSG. Allgemeine Compliance-Tools bilden diese spezifischen Nachweisanforderungen meist nicht vollständig ab und erfordern manuelle Ergänzungen.

Muss die Risikoanalyse jährlich wiederholt werden?

Ja, § 5 Abs. 4 LkSG schreibt eine jährliche Wiederholung der Risikoanalyse vor. Darüber hinaus ist eine anlassbezogene Aktualisierung erforderlich, wenn sich wesentliche Änderungen in der Lieferkette oder im eigenen Geschäftsbereich ergeben. Eine LkSG-Software muss diese Versionierung automatisch dokumentieren.

Wie lange müssen LkSG-Dokumente aufbewahrt werden?

Gemäß § 10 Abs. 2 LkSG ist der Jahresbericht sieben Jahre lang auf der Unternehmenswebsite zugänglich zu halten. Die Aufbewahrungspflicht für interne Nachweisdokumente ergibt sich aus den allgemeinen handelsrechtlichen und steuerrechtlichen Fristen (§§ 238, 257 HGB), die in der Regel zehn Jahre betragen.

Kann das Beschwerdeverfahren nach LkSG und das Hinweisgebersystem nach HinSchG in einem Tool abgebildet werden?

Ja, beide Verfahren haben strukturelle Überschneidungen – insbesondere bei der Vertraulichkeit, der Protokollierung und der Rückmeldung an Hinweisgeber. Eine integrierte Plattform, die beide Anforderungen in einem System abdeckt, reduziert Doppelstrukturen und vereinfacht die Nachweisführung gegenüber BAFA und Behörden nach HinSchG.

Was passiert, wenn der Jahresbericht beim BAFA nicht fristgerecht eingereicht wird?

Das BAFA kann gemäß § 24 LkSG bei Verstößen gegen die Berichtspflicht Bußgelder verhängen. Die Frist beträgt vier Monate nach Ablauf des Geschäftsjahres. Zusätzlich droht bei wiederholten oder schwerwiegenden Verstößen der Ausschluss von öffentlichen Vergabeverfahren für bis zu drei Jahre.

Wie schnell kann ein LkSG-Beauftragter über CIVAC bestellt werden?

CIVAC bestellt den externen LkSG-Beauftragten innerhalb von zwei Werktagen – inklusive schriftlicher Bestellurkunde und dokumentierter Berichtslinien zur Unternehmensleitung. Klassische Berater-Mandate benötigen hierfür typischerweise zwei bis sechs Wochen.

Quellen

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Angebot anfordernMit uns sprechen
Weitere Beiträge
NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen
Regulatorik15. April 2026

NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen

Weiterlesen
ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss
Informationssicherheit2. April 2026

ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss

Weiterlesen