Das deutsche Lieferkettengesetz bei IT-Lieferanten anzuwenden, ist für größere Unternehmen schon seit Januar 2023 Pflicht. Es verpflichtet sie, ihrer Sorgfaltspflicht bezüglich Menschenrechte und Nachhaltigkeit bei allen Zulieferern (nicht nur bei IT-Lieferanten) nachzukommen. Ab Januar 2024 sind weitere Unternehmen von diesem Gesetz betroffen. Wir nehmen das zum Anlass, die Gesetzesvorgaben aus der Sicht externer IT-Leistungen für das eigene Unternehmen zu betrachten: Was sind konkrete Risiken in der IT-bezogenen Lieferkette und wie kann bei Einsatz externer IT-Lieferanten mit diesen Risiken umgegangen werden?
Ausgangssituation
Das deutsche Lieferkettengesetz (offizieller Name: Lieferkettensorgfaltspflichtengesetz) ist seit Januar 2023 für Unternehmen mit mehr als 3000 Mitarbeitern in Kraft. Ab Januar 2024 sind auch Unternehmen mit mehr als 1000 Mitarbeitern von diesem Gesetz betroffen.
Das aktuelle Lieferkettengesetz fordert von betroffenen Unternehmen folgende einzurichtende Kernelemente:
Abbildung 1: Kernelemente des deutschen Lieferkettengesetzes
In 2022 ist parallel auf europäischer Ebene die Gesetzesinitiative CSDDD (Corporate Sustainability Due Diligence Directive), auf den Weg gebracht worden: im Dezember 2022 einigten sich die EU-Länder auf ein EU-Lieferkettengesetz („Europäische Lieferkettenrichtlinie“). Der Gesetzgebungsprozess ist auf EU-Ebene voraussichtlich frühestens Anfang 2024 abgeschlossen. Im Anschluss haben die EU-Länder zwei Jahre Zeit, das EU-Gesetz in ein landesspezifisches Gesetz zu überführen.
Für Deutschland heißt das, dass das aktuelle deutsche Lieferkettengesetz dann verschärft wird, da die EU-Vorgaben noch weiter gehen: nicht nur direkte, sondern auch indirekte Lieferanten sowie die Nutzung und Entsorgung von Produkten stehen im Fokus. Des Weiteren sind dann auch Unternehmen mit 500 Mitarbeitern und Nettoumsatz > 150 Mio. Euro, 2 Jahre später zusätzlich Unternehmen mit 250 Mitarbeitern und Nettoumsatz > 40 Mio. Euro betroffen.
Typische Risiken in der IT-Lieferkette
Mit dem Lieferkettengesetz werden betroffene deutsche Unternehmen dazu verpflichtet, geeignete Maßnahmen zu ergreifen, um Menschenrechtsverletzungen und Umweltauswirkungen in ihren globalen Lieferketten zu verhindern. Im Folgenden geben wir einige Beispiele für typische Risiken bei IT-Zulieferern. Die Risiken entstehen insbesondere, weil IT-Dienstleister ihre Kosten möglichst niedrig halten wollen und sich Vorteile gegenüber der Konkurrenz in der eigenen Branche erwarten.
Typische Risiken bzgl. Menschenrechtsverletzungen
Zulieferer begehen bei der Erbringung ihrer IT-Services oder der Erstellung von IT-Produkten unter anderem potenziell folgende Menschenrechtsverletzungen:
- Kinderarbeit
- Zwangsarbeit
- Diskriminierung von Mitarbeitern
- Ungleichbehandlung von Mitarbeitern
- Unangemessen niedrige Löhne
- Eingriffe in die Privatsphäre von Mitarbeitern
- Einschränkung der Meinungsfreiheit von Mitarbeitern
- Nichtbeseitigung von gesundheitsgefährdenden Arbeitsbedingungen
Typische Risiken bzgl. Umweltauswirkungen
Zulieferer nehmen bei der Erbringung ihrer IT-Services oder der Erstellung von IT-Produkten unter anderem folgende Beeinträchtigungen der Umwelt in Kauf:
- Umweltschädigung bei Rohstoffabbau für IT-Produkte und -Services
- Umweltverschmutzung durch die Fertigung von IT-Produkten
- Hoher Energieverbrauch bei eingesetzten Technologien (z.B. Server, Kühltechnologien)
- Einsatz stark CO2-generierender Energiequellen für Produktion und IT-Betrieb
- Keine Verwendung nachhaltiger Materialien,
- hohe Abfallquote
- Nicht-umweltgerechte Entsorgung bzw. Wiederverwertung (z.B. von Abfällen, alter IT-Ausrüstung, Abwärme von Rechenzentren)
- Einsatz von Gebäuden für Büros, Fertigung und Betrieb, die nicht-umweltgerecht gestaltet und betrieben werden
Einige der oben genannten Risiko-Beispiele betreffen nicht nur die IT-Branche, sondern können bei Zulieferern aus verschiedenen Branchen auftreten. Dies gilt insbesondere für fast alle Menschenrechte betreffende Risiken.
Umsetzung der Gesetzesvorgaben
Zuständigkeiten
Da das Lieferkettengesetz Vorgaben für alle Zulieferer (und nicht nur die IT-Dienstleister) eines Unternehmens macht, wird die Verantwortung für die Umsetzung in Unternehmen häufig durch zentrale Einheiten wie den Einkauf oder Compliance-Verantwortliche wahrgenommen. Aber auch in diesem Fall ist der zentral Verantwortliche bei einigen Arbeiten auf die jeweilige Fachabteilung angewiesen, welche die Leistungen des Zulieferers bezieht.
Das gilt insbesondere für die IT-Abteilung beziehungsweise die IT-Dienstleister steuernde Einheit: Sie sollte bei der Risikoanalyse und -bewertung unterstützen, um die schon zentral identifizierten Risiken um IT-spezifische Risiken zu ergänzen. Auch kann die IT-Abteilung die Risiken von IT-Zulieferern in der Regel besser bewerten, da sie neben Vertragsinhalten auch Details zur internen Bedeutung der externen IT-Leistungen, zu deren externe Erbringung, zur Gestaltung der Kooperation und der Steuerung der IT-Dienstleister kennt. Diese Kompetenz prädestiniert die IT-Abteilung, auch bei der Ableitung von Präventionsmaßnahmen eine bedeutende Rolle zu übernehmen.
Wenn ein Unternehmen keine zentralen Einheiten für die Umsetzung der Liefergesetz-Vorgaben hat oder einsetzen will, muss dies dezentral in den betroffenen Bereichen passieren, d.h. die IT-Abteilung muss dann die komplette Umsetzung der Gesetzesvorgaben für IT-Dienstleister übernehmen.
Nutzung bestehender Verfahren und Tools
In beiden Fällen – komplette Übernahme durch die IT-Abteilung oder nur Mitwirkung an der Umsetzung – gilt: im eigenen Unternehmen bestehende Verfahren und Tools sollten genutzt werden. Auf diese Weise lassen sich die Gesetzesvorgaben schneller umsetzen und die Umsetzungsergebnisse sind gut in die bestehende Organisation integriert. Im Einkauf kann zum Beispiel das bestehende Supplier Relationship Management (SRM-) System genutzt werden: es stellt Daten zu allen Zulieferern bereit. Zudem kann der Einkauf schon auf bestehende Funktionen aufsetzen. Zum Beispiel kann er die bestehende Lieferantenkategorisierung verwenden, um die Präventionsmaßnahmen zu priorisieren. Einige SRM-Systeme bieten inzwischen auch Erweiterungen für Lieferkettengesetz-Anforderungen bzw. Schnittstellen zu Lieferkettengesetz unterstützenden Systemen, die eingesetzt werden können.
Wenn Unternehmen Verfahren und Tools für das Risikomanagement etabliert haben, so können diese idealerweise auch für die Umsetzung des Lieferkettengesetzes genutzt werden. Dies gilt genauso für Anforderungen wie Beschwerdeverfahren, Dokumentation und Reporting: sind im Unternehmen schon für ähnliche Anwendungszwecke Systeme wie zum Beispiel eine Enterprise-Service-Management- (ESM-) Plattform eingerichtet, so können diese auch für die Umsetzung des Lieferkettengesetzes verwendet werden.
Fazit: Lieferkettengesetz bei IT-Lieferanten anwenden
Das deutsche Lieferkettengesetz wird konkret ab Januar 2024 und später in weiteren Stufen für zusätzliche, kleinere Unternehmensgrößen gelten. Zudem werden die derzeitigen Regelungen weiter verschärft. Zukünftig vom Gesetz betroffene Unternehmen sollten sich rechtzeitig auf die Umsetzung der Gesetzesvorgaben vorbereiten.
Für Unternehmen, die IT-Leistungen von mehreren Dienstleistern beziehen, empfiehlt es sich, die Lieferkettengesetz-Anforderungen durch ein eng kooperierendes Team aus Vertretern der zuständigen zentralen Instanzen wie Einkauf und Compliance sowie der betroffenen Fachabteilung wie IT-Abteilung bzw. Providermanagement umzusetzen. Die Umsetzung geht einfacher und schneller, je höher der Reifegrad der eigenen Organisation und Prozesse ist.