Lieferketten-Compliance bedeutet: Unternehmen müssen nicht nur das eigene Handeln rechtmäßig gestalten, sondern auch die Praktiken ihrer Zulieferer, Subunternehmer und Dienstleister kennen und gegebenenfalls steuern. Drei Rechtsrahmen greifen dabei gleichzeitig — und alle drei haben Auswirkungen auf KMU als Zulieferer.
Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG), die EU-Richtlinie zur unternehmerischen Sorgfaltspflicht (CSDDD) und die Lieferkettenanforderungen aus NIS2 stellen zwar unterschiedliche Anforderungen — aber alle drei fordern dasselbe Grundprinzip: strukturierte Risikoanalyse, vertragliche Absicherung und Dokumentation entlang der Lieferkette.
Der Rechtsrahmen im Überblick
Das LkSG (Deutschland, seit 1. Januar 2023) gilt für Unternehmen mit mindestens 1 000 Mitarbeitern in Deutschland. Es verpflichtet sie, Menschenrechts- und Umweltrisiken in der eigenen Lieferkette — einschließlich direkter Zulieferer (Tier 1) — zu analysieren, zu reduzieren und zu dokumentieren.
Die CSDDD (EU Corporate Sustainability Due Diligence Directive, 2024/1760) weitet diese Pflichten auf EU-Ebene aus. Sie gilt stufenweise ab 2027 für Unternehmen ab 5 000 Mitarbeitern und 1,5 Mrd. € Umsatz, ab 2028 für Unternehmen ab 3 000 Mitarbeitern / 900 Mio. €, ab 2029 für Unternehmen ab 1 000 Mitarbeitern / 450 Mio. €. Sie erfasst explizit auch die gesamte Wertschöpfungskette (upstream und downstream) — nicht nur direkten Zulieferer.
Indirekte Betroffenheit österreichischer KMU: Das LkSG und die CSDDD gelten zwar für große Unternehmen — aber diese leiten ihre Pflichten per Vertrag an ihre Zulieferer weiter. Wenn Sie Lieferant eines deutschen Konzerns oder eines CSDDD-pflichtigen EU-Unternehmens sind, werden Sie mit Fragebögen, Selbstauskunftspflichten und vertraglichen Anforderungen konfrontiert. Vorbereitung zahlt sich aus.
Schritt 01 · Kartierung
Lieferkette kartieren — Tier 1 und Tier 2
Der erste Schritt jeder Lieferketten-Compliance ist die vollständige Kartierung der eigenen Lieferantenbasis. LkSG verlangt zunächst nur die Tier-1-Lieferanten (direkte Zulieferer) systematisch zu erfassen; CSDDD geht tiefer in die Lieferkette hinein.
Für jede Lieferbeziehung sollten festgehalten werden: Produkt/Dienstleistung, Herkunftsland, Umsatzvolumen, strategische Bedeutung und Einstufung als kritisch oder nicht-kritisch. Daraus ergibt sich die Risikopriorisierung für den nächsten Schritt.
Schritt 02 · Risikoanalyse
Menschenrechts-, Umwelt- und IT-Sicherheitsrisiken bewerten
LkSG und CSDDD verlangen eine strukturierte Risikoanalyse für die definierten Schutzgüter: Menschenrechte (Kinderarbeit, Zwangsarbeit, Diskriminierung, Vereinigungsfreiheit), Umwelt (Boden, Wasser, Luft, Klimawandel) und Sozialstandards.
NIS2 ergänzt einen dritten Risikobereich: IT-Sicherheitsrisiken in der Lieferkette. Wer NIS2-betroffen ist, muss sicherstellen, dass seine IT-Dienstleister, Software-Lieferanten und Cloud-Anbieter angemessene Sicherheitsstandards einhalten. Das erfordert eigene Lieferantenaudits oder zumindest Selbstauskunftsprozesse.
Praxistipp: Hochrisiko-Lieferanten (strategisch wichtig, aus Risikoländern oder mit kritischer IT-Funktion) erhalten zunächst einen Selbstauskunftsfragebogen; danach entscheidet das Ergebnis, ob ein Audit oder Vertragsanpassungen nötig sind.
Schritt 03 · Präventionsmaßnahmen
Vertragliche Anforderungen und Verhaltenskodex
Identifizierte Risiken müssen durch Präventionsmaßnahmen adressiert werden. Das zentrale Instrument ist der Verhaltenskodex für Lieferanten (Supplier Code of Conduct), der Mindestanforderungen zu Menschenrechten, Umwelt, Arbeitsbedingungen und — soweit relevant — IT-Sicherheit definiert.
Ergänzend sollten Lieferverträge CSDDD/LkSG-konforme Klauseln enthalten:
Schritt 04 · Beschwerdeverfahren & Dokumentation
Beschwerdemechanismus einrichten und Maßnahmen dokumentieren
LkSG verlangt einen wirksamen Beschwerdemechanismus, über den Mitarbeiter, Lieferanten und Betroffene Verstöße melden können. Das kann ein internes Hinweisgeberportal, eine externe Ombudsperson oder — für KMU — eine gemeinsame Branchenlösung sein.
Alle Maßnahmen — Risikoanalyse, Präventionsmaßnahmen, Audit-Ergebnisse, Reaktionen auf gemeldete Vorfälle — müssen dokumentiert und mindestens 7 Jahre aufbewahrt werden. Bei CSDDD kommt eine öffentliche Berichtspflicht hinzu (jährlicher Sorgfaltspflichtenplan und Statusbericht).
Bußgelder und zivilrechtliche Haftung: Verstöße gegen das LkSG werden mit Bußgeldern bis zu 8 Mio. € oder 2 % des weltweiten Jahresumsatzes sanktioniert. Die CSDDD führt zusätzlich eine zivilrechtliche Haftung gegenüber geschädigten Personen ein — Unternehmen können direkt für Schäden haftbar gemacht werden, die durch mangelnde Sorgfalt in ihrer Lieferkette entstehen.
NIS2 und die Lieferketten-IT-Sicherheit
NIS2 enthält eine eigenständige Lieferkettenpflicht für IT-Sicherheit: Betroffene Unternehmen müssen sicherstellen, dass ihre IKT-Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten. Das umfasst vertragliche Mindestanforderungen, Audit-Rechte und — für kritische Dienstleister — regelmäßige Sicherheitsüberprüfungen.
Praktisch bedeutet das: Ein NIS2-betroffenes Unternehmen, das Cloud-Dienste, Software oder IT-Outsourcing nutzt, muss diese Lieferanten im Rahmen seines Risikomanagements erfassen und bewerten. Analog zu einem Auftragsverarbeitungsvertrag nach DSGVO empfiehlt sich hier ein strukturierter IT-Sicherheitsanhang im Liefervertrag.
Lieferketten-Compliance ist kein Bürokratieprojekt. Es ist Risikomanagement — für Ihr Unternehmen und für die Menschen in Ihrer Lieferkette. Aus der Beratungspraxis
Was konkret zu tun ist
Der erste Schritt ist eine Betroffenheitsanalyse: Beliefern Sie deutsche oder EU-weit tätige Großunternehmen, die unter LkSG oder CSDDD fallen? Sind Sie selbst NIS2-betroffen? Und haben Sie bereits strukturierte Lieferantenverträge mit den notwendigen Compliance-Klauseln?
Im kostenlosen Erstgespräch klären wir, welche Lieferketten-Compliance-Pflichten für Ihr Unternehmen konkret relevant sind und wie Sie Ihre Lieferantenverträge und -prozesse mit vertretbarem Aufwand compliance-gerecht gestalten.
