LkSG-Software im Vergleich: Worauf Mittelstandler in DACH achten sollten

Das Lieferkettensorgfaltspflichtengesetz (LkSG) gilt seit dem 1. Januar 2023 fur Unternehmen mit mindestens 3.000 Mitarbeitenden und seit dem 1. Januar 2024 fur Unternehmen ab 1.000 Mitarbeitenden mit Sitz in Deutschland. § 4 LkSG verlangt ein risikobasiertes Sorgfaltspflichtenmanagement entlang der gesamten Lieferkette, inklusive jahresweiser Risikoanalyse, Praventionsmasnahmen und einem offentlich zuganglichen BAFA-Bericht. Diese Pflichten sind ohne strukturierte Software kaum revisionssicher zu erfullen.

Dieser Artikel vergleicht die wesentlichen Funktionsmerkmale von LkSG-Software-Losungen fur den deutschsprachigen Mittelstand in Deutschland, Osterreich und der Schweiz. Er zeigt, welche Anforderungen aus dem Gesetz direkt auf Software-Funktionen abbildbar sind, wo typische Lucken entstehen und wie eine Plattform aufgebaut sein muss, damit ein interner oder externer LkSG-Beauftragter damit auditfest arbeiten kann.

Das LkSG definiert keine Mindestanforderungen an die eingesetzte Software, wohl aber an die Ergebnisse: Nach § 4 Abs. 1 LkSG mussen Unternehmen angemessene und wirksame Risikomanagementsysteme einrichten. § 5 LkSG schreibt eine jahrliche und anlassbezogene Risikoanalyse vor. § 6 LkSG verlangt praventive Masnahmen, § 7 LkSG Abhilfemasnahmen bei festgestellten Verletzungen. § 8 LkSG fordert einen zuganglichen Beschwerdeverfahren. § 10 LkSG regelt die Dokumentations- und Berichtspflicht gegenuber dem Bundesamt fur Wirtschaft und Ausfuhrkontrolle (BAFA).

Daraus ergibt sich eine direkte Anforderungsliste an Software: Die Plattform muss Lieferantendaten strukturiert erfassen, Risikofelder gemas Anlage 1 des LkSG auswertbar machen, Masnahmen verfolgen, einen Meldekanal bereitstellen und einen exportierbaren Bericht erzeugen, der dem BAFA-Fragebogen entspricht.

Ein weiterer Aspekt, der im Vergleich haufig ubersehen wird: Die Software muss die Arbeit des LkSG-Beauftragten unterstutzen, also Aufgaben, Fristen, Eskalationswege und Dokumentation in einer Oberflache bundeln. Fehlt dieser Workspace-Aspekt, entstehen parallele Excel-Strukturen, die im Audit nicht standhalten. Die Bestellurkunde fur den Beauftragten muss separat vorliegen und mit dem Beauftragten-Account verknupft sein.

Die Risikoanalyse ist das Herzstuck des LkSG-Managements. § 5 Abs. 2 LkSG verlangt eine Gewichtung nach Wahrscheinlichkeit und Schwere der Verletzung, unter Berucksichtigung der Einflussmoglichkeit des Unternehmens. Software-Losungen unterscheiden sich erheblich darin, wie sie dieses zweistufige Bewertungsmodell umsetzen.

Minimalansatze beschranken sich auf statische Fragebögen, die den Lieferanten per E-Mail zugesendet werden. Leistungsfahigere Losungen integrieren Landerrisiko-Datenbanken, beispielsweise auf Basis von Freedom House Index oder Corruption Perceptions Index, branchen- und produktbezogene Risikoprofile sowie ein scoring-basiertes Priorisierungsmodell, das wesentliche Zulieferer gemas § 5 Abs. 3 LkSG automatisch hervorhebt.

Fur den Vergleich relevant sind folgende Fragen: Kann die Software zwischen unmittelbaren Zulieferern (Tier 1) und mittelbaren Zulieferern (Tier n) unterscheiden? Lasst sich die Risikoanalyse pro Lieferant nachvollziehbar versionieren? Kann ein Auditor die Bewertungslogik reproduzieren? Erzeugt die Plattform einen revisionsgesicherten Zeitstempel, der belegt, wann die Analyse durchgefuhrt wurde? Ohne diesen Zeitstempel ist § 10 Abs. 1 LkSG nicht vollstandig erfullt.

Ein weiterer Unterschied liegt in der Tiefe der Anlage-1-Abdeckung: Einige Tools decken nur einen Teil der in § 2 Abs. 2 LkSG genannten Risikobereiche ab. Prufen Sie vor der Auswahl die vollstandige Abdeckung, insbesondere fur Umweltrisiken nach § 2 Abs. 3 LkSG.

Praventionsmasnahmen nach § 6 LkSG umfassen die Verankerung menschenrechtlicher und umweltbezogener Erwartungen in Lieferantenvertragen, die Durchfuhrung von Schulungen und Audits sowie die Einholung von Selbstauskunft durch Lieferantenbefragungen. Software-Losungen unterscheiden sich hier vor allem in der Tiefe der Workflow-Unterstutzung.

Schwache Losungen stellen lediglich PDF-Vorlagen bereit. Starke Losungen integrieren einen Lieferantenportal-Zugang, uber den der Lieferant eigenstandig Frageboegen ausfüllt, Nachweise hochladt und eine Lieferantenerklarung digital unterzeichnet. Entscheidend ist dabei, ob die Antworten automatisch in die Risikobewertung einfliesen oder manuell ubertragen werden mussen.

Fur den DACH-Mittelstand ist der Mehrsprachigkeits-Aspekt relevant: Lieferanten aus der Turkei, Vietnam, Bangladesch oder Mexiko benotigen Fragebögen in ihrer Sprache. Prufen Sie, ob die Software eine automatisierte Ubersetzungsfunktion oder zumindest vorgefertigte mehrsprachige Vorlagen mitbringt.

Die Verwaltung von Praventionsmasnahmen sollte zudem mit einer Aufgabenverfolgung verknupft sein: Wer hat welche Masnahme bis wann umgesetzt? Ist der Nachweis abgelegt? Diese Verknupfung zwischen Masnahme und Dokumentationsnachweis ist die Grundlage fur den BAFA-Bericht und fur eine externe Prufung nach § 10 Abs. 2 LkSG. Der Prufer ruft an, der Nachweis liegt bereit.

§ 8 LkSG schreibt vor, dass Unternehmen ein zugangliches Beschwerdeverfahren einrichten, uber das Beschaftigte, Lieferanten und betroffene Personen Hinweise auf menschenrechtliche oder umweltbezogene Verstose einreichen konnen. Dieses Verfahren muss vertraulich, barrierefrei und mehrsprachig zuganglich sein.

Im Software-Vergleich ergibt sich eine klare Trennlinie zwischen Losungen, die nur einen E-Mail-Eingang als Meldekanal vorsehen, und solchen, die einen gesonderten, kryptographisch gesicherten Meldekanal mit Pseudonymisierungsoption anbieten. Letzteres ist auch aus DSGVO-Sicht vorzuziehen, da die IP-Adresse des Hinweisgebers nicht protokolliert werden darf.

Fur den praktischen Betrieb wesentlich: Kann der LkSG-Beauftragte eingehende Meldungen intern eskalieren? Gibt es ein Tracking-System, das Fristen fur die Ruckmeldung an den Hinweisgeber abbildet? Das LkSG schreibt keine explizite Ruckmeldefrist vor, jedoch ist eine angemessene Bearbeitungsdauer Teil der Sorgfaltspflicht. Eine gut strukturierte Plattform erinnert automatisch an offene Vorgange.

Beachten Sie die Schnittstelle zum Hinweisgeberschutzgesetz (HinSchG): Wenn das LkSG-Beschwerdeverfahren gleichzeitig als interne Meldestelle nach HinSchG dienen soll, muss die Software die zusatzlichen Anforderungen des § 16 HinSchG erfullen, insbesondere die Unabhangigkeit der meldungsbearbeitenden Person.

Der jahrliche BAFA-Bericht gemas § 10 Abs. 2 LkSG ist offentlich auf der Unternehmenswebseite zu veroffentlichen und dem BAFA auf Anforderung zur Verfugung zu stellen. Das BAFA hat einen Fragebogen veroffentlicht, der die Mindestinhalte des Berichts strukturiert: Beschreibung des Risikomanagements, Ergebnisse der Risikoanalyse, umgesetzte Praventions- und Abhilfemasnahmen, Bewertung der Wirksamkeit sowie Ausblick.

Im Software-Vergleich ist die BAFA-Exportfunktion eines der haufigsten Differenzierungsmerkmale. Schwache Losungen erzeugen lediglich einen Rohexport der Datenbankfelder, der manuell in das BAFA-Format uberfuhrt werden muss. Leistungsstarke Losungen bilden den BAFA-Fragebogen strukturell ab, sodass der LkSG-Beauftragte den Bericht direkt aus der Plattform heraus befuellen und als PDF exportieren kann.

Achten Sie darauf, ob die Software automatisch pruft, ob alle Pflichtfelder befulllt sind. Eine unvollstandige Berichterstattung kann nach § 24 LkSG mit einem Bußgeld von bis zu 400.000 Euro belegt werden; bei einem Jahresumsatz uber 400 Millionen Euro steigt das Maximum auf acht Millionen Euro. Der Bericht muss belegen, dass die Risikoanalyse methodisch korrekt durchgefuhrt wurde.

Wichtig: Der Bericht muss spatestens vier Monate nach Ende des Berichtsjahres veroffentlicht sein. Frist lauft ab dem Ende des Geschaftsjahres. Software sollte eine Erinnerungsfunktion fur diesen Termin integrieren.

Fur Unternehmen in Deutschland, Osterreich und der Schweiz ist die Datenhaltung ein zentrales Auswahlkriterium. LkSG-Software verarbeitet sensible Lieferantendaten, Risikoeinschatzungen und moglicherweise personenbezogene Daten von Hinweisgebern. Art. 28 DSGVO verlangt einen abgeschlossenen Auftragsverarbeitungsvertrag (AVV); die Datenresidenz muss im Europaischen Wirtschaftsraum liegen.

Prufen Sie im Vergleich: Betreibt der Anbieter seine Server in der EU? Wird der AVV automatisch bereitgestellt oder muss er separat verhandelt werden? Liegt ein Verarbeitungsverzeichnis nach Art. 30 DSGVO vor? Fur Schweizer Unternehmen gilt zusatzlich das revidierte Datenschutzgesetz (revDSG), das seit September 2023 in Kraft ist und ahnliche Anforderungen wie die DSGVO stellt.

Auf IT-Sicherheitsebene sollte eine LkSG-Plattform mindestens AES-256-Verschlusselung at rest und TLS 1.3 in transit bieten. Fur KRITIS-nahe Unternehmen oder solche mit einem bestehenden Informationssicherheitsbeauftragten ist die Kompatibilitat mit ISO/IEC 27001:2022 und die Verfugbarkeit eines BSI C5-Testatsdokuments relevant. Diese Anforderungen betreffen nicht alle Mittelstandler, sind aber ein Qualitatssignal fur den Anbieter.

LkSG-Software wird haufig als reines Datenerfassungstool betrachtet. Der eigentliche Engpass liegt jedoch in der Arbeit des Beauftragten: Wer pflegt die Risikoanalyse? Wer stellt sicher, dass Lieferantenbefragungen fristgerecht versendet werden? Wer bereitet den BAFA-Bericht vor? Ohne einen strukturierten Arbeitsbereich fur den Beauftragten bleiben diese Aufgaben im Bereich informeller Prozesse.

Ein leistungsfahiger Workspace fur den LkSG-Beauftragten sollte folgende Elemente enthalten: ein Aufgabenboard mit Falligkeitsdaten und Eskalationspfaden, eine Vorlagenbibliothek fur Risikoanalyse, Praventionsmasnahmen und Beschwerdebearbeitung, eine Projektverwaltung fur Lieferantenaudits mit den funf Schritten Scope, Uploads, Ruckfragen, Risiken und Bericht, sowie ein automatisiertes Dokumentationsmodul, das erledigte Aktivitaten in eine revisionsgesicherte Evidenz uberfuhrt.

Die CIVAC-Plattform baut auf diesem Prinzip auf: Alle 25 Beauftragten-Rollen, einschliesslich der Lieferketten-Beauftragten-Rolle, arbeiten auf demselben Workspace, demselben Audit-Log und demselben Dokumentationsmodul. Lizenzieren Sie den Workspace fur Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Der Beauftragte wechselt, der Workspace und die gesamte Evidenz bleiben.

Der folgende Vergleichsrahmen hilft Ihnen, LkSG-Software-Angebote systematisch zu bewerten. Wenden Sie ihn auf jeden Anbieter an, bevor Sie eine Demo-Phase beginnen.

Entscheiden Sie nach diesem Raster, welche Kriterien fur Ihr Unternehmen k.o.-relevant sind. Ein Unternehmen, das bereits einen Hinweisgeberschutzkanal betreibt, hat andere Prioritaten als eines, das beide Kanale neu einfuhrt. Priorisieren Sie die Pflichtfunktionen nach § 10 LkSG zuerst.

Die Auswahl der Software ist der erste Schritt. Der zweite ist die formale Bestellung des LkSG-Beauftragten. § 4 Abs. 3 LkSG verlangt, dass eine verantwortliche Person fur das Risikomanagement benannt wird. Diese Benennung ist schriftlich zu dokumentieren, der Geschaftsleitung gegenuber berichtspflichtig und muss mit ausreichend Ressourcen ausgestattet sein.

Ohne eine korrekte Bestellurkunde besteht das Risiko, dass die Aufsichtsbehorde die gesamte LkSG-Implementierung als unvollstandig bewertet, unabhangig davon, wie gut die Software-Daten gepflegt sind. Bestellurkunde, unterschrieben, abgelegt, belegbar.

CIVAC bietet beides aus einer Hand: die Compliance-Plattform und Officer-as-a-Service fur den strukturierten LkSG-Prozess und, uber das Beauftragten-Modell, den zertifizierten externen LkSG-Beauftragten. Der Vertrags-, Personen- und Urkundenabschluss erfolgt innerhalb von zwei Werktagen. Das unterscheidet sich erheblich von klassischen Beratungslosungen, die zwei bis sechs Wochen benotigen.

Wenn Sie eine Einstufung wunschen, welches Modell fur Ihre Unternehmensgrosse und Lieferantenstruktur geeignet ist, schreiben Sie an info@civac.de. Aus dem Lesen einen Auftrag machen.