Das EU-Lieferkettengesetz: Verantwortung und Herausforderungen für Unternehmen

In einer globalisierten Wirtschaft sind Liefer- und Wertschöpfungsketten komplex und vielschichtig. Das EU-Lieferkettengesetz, das im April verabschiedet wurde, zielt darauf ab, Menschenrechte und Umwelt in diesen Ketten wirksam zu schützen. Doch was bedeutet es konkret für Unternehmen?

Am 24. April 2024 stimmte das Europäische Parlament für die Verabschiedung der Corporate Sustainability Due Diligence Directive (CSDDD, EU Lieferkettengesetz). Diese erfordert eine Änderung der Einstellung der Unternehmen zu verantwortungsvollem Geschäftsverhalten.

Neue Ansätze und Verpflichtungen

Das Lieferkettengesetz gilt für Unternehmen aus der Europäischen Union (EU) und Nicht-EU-Ländern, deren Aktivitäten in der EU bestimmte Schwellenwerte erfüllen. Zum ersten Mal werden zudem umfassende verbindliche menschenrechtliche und umweltbezogene Sorgfaltspflichten eingeführt, mit erheblichen finanziellen Strafen und zivilrechtlicher Haftung für Unternehmen, die diese nicht vollständig einhalten.

Es wird außerdem eine neue Verpflichtung für Unternehmen schaffen, einen Klimaübergangsplan zu verabschieden und umzusetzen, sowie eine Verpflichtung für Unternehmen, über ihre Due-Diligence-Prozesse zu berichten.

Die neu eingeführten Verpflichtungen gemäß der CSDDD haben Auswirkungen auf die gesamte Lieferkette – sowohl auf die vor- als auch auf die nachgelagerten Aktivitäten. Dies betrifft nicht nur große Unternehmen, die unter den Geltungsbereich der CSDDD fallen, sondern auch deren kleineren Lieferanten und Geschäftspartner. Für diese ergeben sich sowohl praktische als auch rechtliche Herausforderungen.

Die CSDDD gilt im Wesentlichen für zwei Arten von Unternehmen:

  1. EU-Unternehmen mit mehr als 1.000 Mitarbeitern und einem weltweiten Nettoumsatz von über 450 Mio. EUR.
  2. Nicht-EU-Unternehmen, die im Binnenmarkt einen Umsatz von mehr als 450 Mio. EUR erzielen.

Die neuen Verpflichtungen erfordern umfassende Anpassungen im laufenden Geschäftsbetrieb. Unternehmen, die unter diese Regelung fallen, sollten sich daher mit dem neuen Gesetz vertraut machen und den Umsetzungsprozess in den nationalen Rechtsordnungen genau verfolgen.

Das CSDDD verlangt von allen in den Geltungsbereich fallenden Unternehmen, einen Klimaübergangsplan zu verabschieden und umzusetzen, der nach besten Kräften sicherstellen soll, dass das Geschäftsmodell und die Strategie des Unternehmens mit allen folgenden Punkten vereinbar sind:

  • Begrenzung der globalen Erwärmung auf 1,5 Grad Celsius im Einklang mit dem Pariser Abkommen.
  • Das Ziel der EU, bis 2050 klimaneutrale Treibhausgasemissionen zu erreichen, einschließlich aller damit verbundenen Zwischenziele für 2030 (d. h. eine Reduzierung der Netto-Treibhausgasemissionen um mindestens 55 % im Vergleich zu 1990) und 2040.

Im Rahmen des CSDDD sind Unternehmen außerdem dazu verpflichtet, potenzielle und tatsächliche negative Auswirkungen auf die Menschenrechte und die Umwelt zu identifizieren und gegebenenfalls zu priorisieren, zu verhindern, zu mildern, zu beenden, zu minimieren und zu beheben. Unternehmen müssen ihre obligatorischen Due-Diligence-Bewertungen in den Bereichen Menschenrechte und Umwelt mindestens alle 12 Monate aktualisieren und, sofern sie nicht bereits zur Berichterstattung über ihre Prozesse im Rahmen der CSRD verpflichtet sind, eine jährliche Erklärung zu ihren Due-Diligence-Prozessen veröffentlichen.

Zur Vorbereitung auf die Pflichten und zur Sicherstellung eines „CSDDD-sicheren“ Compliance-Management-Systems können unabhängig von der nationalen Umstellung der CSDDD bereits jetzt folgende Maßnahmen ergriffen werden:

Analyse der Geschäftsaktivitäten:

Unternehmen, die unter die CSDDD fallen, sollten bereits jetzt mit der Analyse ihrer Aktivitätskette beginnen. Dabei geht es darum, Bereiche zu identifizieren, in denen Menschenrechtsverletzungen oder Umweltauswirkungen wahrscheinlich und besonders schwerwiegend sind. Dieser Prozess umfasst die Identifizierung von Lieferanten, Produktionsstätten, Vertriebskanälen und anderen relevanten Bereichen. Ziel ist es, diejenigen Teile der Wertschöpfungskette zu identifizieren, die am stärksten von den neuen Verpflichtungen betroffen sind.

Aktualisierung und Verbesserung von Compliance-Management-Systemen:

Unternehmen sollten risikobasierte Due-Diligence-Richtlinien einführen und regelmäßig aktualisieren. Diese Richtlinien sollten klare Anforderungen für die Überprüfung von Lieferanten und Geschäftspartnern enthalten. Die Due-Diligence-Prozesse sollten in Risikomanagementsysteme und interne Kontrollen integriert werden. Zudem sollten klare Rollen und Verantwortlichkeiten gemäß Best-Practice-Compliance-Management-Systemen festgelegt werden. Die Wirksamkeit von Richtlinien und Maßnahmen sollte regelmäßig überwacht werden, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen.

Implementierung einer maßgeschneiderten Compliance-Dokumentation:

Es ist entscheidend, eine Compliance-sichere Dokumentation einzuführen. Diese sollte die Regeln und Grundsätze enthalten, die von den betroffenen Unternehmen und ihren Tochtergesellschaften eingehalten werden müssen. Dazu gehören beispielsweise Verhaltenskodizes für Tochtergesellschaften und Geschäftspartner. Bereits vorhandene Dokumente sollten überprüft und gegebenenfalls angepasst werden, um sicherzustellen, dass sie die neuen Anforderungen erfüllen.

Vorbereitung der Geschäftspartner auf neue Pflichten:

Geschäftspartner müssen den betroffenen Unternehmen Informationen zur Verfügung stellen, um die Einhaltung der CSDDD sicherzustellen. Dies birgt nicht nur wirtschaftliche Herausforderungen, sondern erfordert auch ein vorsichtiges Vorgehen, um Kollisionen mit anderen Gesetzen (z. B. Wettbewerbsrecht, Datenschutz) zu vermeiden. Sowohl die betroffenen Unternehmen als auch ihre Geschäftspartner sollten ihre Pflichten gemäß der CSDDD kennen und die Grenzen anderer Gesetze beachten.

Anleitung und Schulung:

Ein erfolgreiches Compliance-Management-System sieht die Anleitung und Schulung der Mitarbeiter vor. Unternehmen, die unter die CSDDD fallen, sollten daher ein Schulungsprogramm einrichten, um Mitarbeiter zu sensibilisieren, die regelmäßig mit Lieferanten und Kunden interagieren. Dabei ist ein sollten Entscheidungsträger einen Ansatz implementieren, der die Unternehmenswerte und Ethik betont. Dies kann Schulungen, Workshops, Informationsveranstaltungen und klare Kommunikation von Führungskräften umfassen. Mitarbeiter sollten verstehen, wie sie zur Einhaltung der CSDDD beitragen können.

Die Nichteinhaltung der CSDDD kann ernsthafte Konsequenzen für Unternehmen haben.

Unternehmen, die nicht den Anforderungen der CSDDD entsprechen, können rechtlich zur Verantwortung gezogen werden. Dies kann in den gravierendsten Fällen zu zivilrechtlicher Haftung führen.

Die CSDDD wird national durch die Behörden der EU-Mitgliedstaaten durchgesetzt. Unternehmen, die sich nicht an die CSDDD halten, können von nationalen Verwaltungsbehörden mit Sanktionen belegt werden – einschließlich Geldstrafen von bis zu 5 % ihres weltweiten Umsatzes.

Mit der CSDDD wird eine zivilrechtliche Haftungsregelung eingeführt, nach der Unternehmen für Schäden haftbar gemacht werden können, wenn sie es „vorsätzlich oder fahrlässig“ versäumt haben, eine nachteilige Auswirkung auf die Menschenrechte, die zu dem Schaden geführt hat, zu verhindern, zu mildern, zu beenden oder zu minimieren.

Wie geht es weiter?

Die CSDDD tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. Vor der Veröffentlichung muss das CSDDD vom Europäischen Rat offiziell genehmigt werden, was voraussichtlich noch diesen Monat passieren wird. Dies bedeutet, dass die CSDDD voraussichtlich im dritten Quartal 2024 in Kraft treten wird. Die Mitgliedstaaten haben nach Inkrafttreten zwei Jahre Zeit, die Rechtsvorschriften in nationales Recht umzusetzen.

Compliance: Neu Erfunden

VinciWorks ist der führende Anbieter individuell anpassbarer, innovativer Online-Compliance-Schulungen

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

“In a world older and more complete than ours they move finished and complete, gifted with extensions of the senses we have lost or never attained, living by voices we shall never hear.”

Picture of James

James

VinciWorks CEO, VInciWorks

Spending time looking for your parcel around the neighbourhood is a thing of the past. That’s a promise.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.