Seit dem 1. Januar 2024 gilt das Lieferkettensorgfaltspflichtengesetz (LkSG) für alle deutschen Unternehmen ab 1.000 Mitarbeitern. Was nach einer fernen Großkonzern-Pflicht klingt, trifft Mittelständler sehr konkret: Wer als Lieferant, Subunternehmer oder Dienstleister in einer regulierten Lieferkette sitzt, muss auf Anfrage Auskunft geben, Audits ermöglichen und Vertragspflichten erfüllen — sonst drohen Auftragsausschlüsse. Und wer selbst die 1.000-Mitarbeiter-Schwelle überschreitet oder in absehbarer Zukunft überschreiten wird, steht direkt in der Pflicht.
Die praktische Konsequenz für KMU: Compliance im Lieferkettenrecht ist kein reines Großunternehmen-Thema mehr. Abnehmer wälzen ihre eigenen LkSG-Pflichten über Vertragsklauseln auf Lieferanten ab. Wer keine strukturierten Prozesse vorweisen kann — keine Risikoanalyse, kein Beschwerdeverfahren, kein Verhaltenskodex — verliert Aufträge oder gerät in Haftungsdebatten. Dieser Beitrag zeigt, welche Pflichten konkret bestehen, welche Bußgeld-Risiken real sind und wie ein rechtssicherer Compliance-Rahmen für den Mittelstand aussieht.
Prüfen Sie Ihre aktuelle Lieferketten-Compliance jetzt — ein spezialisierter Anwalt bewertet Ihren Handlungsbedarf und gibt klare Empfehlungen.
Was verlangt das LkSG konkret — und wen trifft es 2026?
Das Lieferkettensorgfaltspflichtengesetz verpflichtet betroffene Unternehmen, menschenrechtliche und umweltbezogene Sorgfaltspflichten entlang ihrer gesamten Lieferkette zu verankern. Der Kern steht in §§ 3 bis 10 LkSG: Unternehmen müssen ein Risikomanagement einrichten, eine jährliche Risikoanalyse nach § 5 LkSG durchführen, Präventionsmaßnahmen ergreifen, ein internes Beschwerdeverfahren nach § 8 LkSG betreiben und einen Jahresbericht veröffentlichen.
Seit dem 1. Januar 2024 gilt das Gesetz für Unternehmen mit mindestens 1.000 Mitarbeitern in Deutschland — unabhängig von der Rechtsform. Das betrifft GmbHs, AGs, aber auch Personengesellschaften und ausländische Unternehmen mit inländischer Niederlassung. Wer zum Beispiel als mittelgroßer Maschinenbauer in NRW 1.200 Mitarbeiter beschäftigt, fällt unmittelbar in den Anwendungsbereich und muss alle Pflichten vollständig erfüllen.
Für Unternehmen unterhalb der 1.000-Mitarbeiter-Schwelle greift das LkSG formal nicht direkt. Dennoch sind sie faktisch betroffen: Ihre Abnehmer, die direkt unter das Gesetz fallen, sind verpflichtet, bei unmittelbaren Zulieferern Risikoanalysen durchzuführen und Präventionsmaßnahmen vertraglich abzusichern. Das bedeutet in der Praxis: Lieferketten-Fragebögen, Selbstauskunftspflichten, Audit-Rechte in Einkaufsverträgen und in manchen Fällen sogar Vor-Ort-Kontrollen.
Ein wichtiger Blick nach vorn: Die EU-Richtlinie über die Sorgfaltspflichten von Unternehmen im Bereich Nachhaltigkeit (CSDDD) wurde im April 2024 vom Europäischen Parlament verabschiedet. Sie wird, sobald in nationales Recht umgesetzt, die Schwellenwerte absenken und die Haftungsregeln verschärfen. Deutsche Mittelständler, die heute bereits ein belastbares Compliance-System aufbauen, sind für diesen nächsten Schritt erheblich besser positioniert.
Risikoanalyse und Sorgfaltspflichten: So sieht die Pflicht in der Praxis aus
Die jährliche Risikoanalyse nach § 5 LkSG ist das Herzstück des LkSG-Systems. Unternehmen müssen strukturiert bewerten, welche menschenrechtlichen und umweltbezogenen Risiken in ihrer eigenen Geschäftstätigkeit und bei unmittelbaren Zulieferern bestehen. Dabei sind Risikofaktoren wie Herkunftsland, Branche, Rohstoffkategorie und Lieferanten-Volumen zu gewichten. Das Ergebnis muss dokumentiert und intern kommuniziert werden.
Bei mittelbaren Zulieferern — also Lieferanten der Lieferanten — besteht eine anlassbezogene Prüfpflicht: Sie greift, wenn das Unternehmen von einem Missstand erfährt, etwa durch eine Beschwerde im Beschwerdeverfahren oder durch Medienberichte. In diesem Fall muss sofort eine Risikoanalyse für den entsprechenden Bereich durchgeführt und gegebenenfalls ein Abhilfeplan nach § 7 LkSG aufgestellt werden.
Präventionsmaßnahmen nach § 6 LkSG umfassen unter anderem die Verankerung von Lieferanten-Verhaltenskodizes (Codes of Conduct), die Aufnahme vertraglicher Sorgfaltspflicht-Klauseln in Lieferantenverträge sowie Schulungen für Einkaufsmitarbeiter. Der Verhaltenskodex sollte konkrete Anforderungen an Kinderarbeit, Zwangsarbeit, Diskriminierung, Arbeitsschutz und Umweltstandards benennen — und von Lieferanten schriftlich bestätigt werden.
Ein typisches Szenario aus der Beratungspraxis: Ein Automobilzulieferer aus dem Stuttgarter Raum mit rund 1.300 Mitarbeitern hatte zwar einen bestehenden Verhaltenskodex für Lieferanten, aber keine dokumentierte Risikoanalyse und kein funktionsfähiges Beschwerdeverfahren. Nach einer BAFA-Stichprobenprüfung wurden erhebliche Nachbesserungen angemahnt. Innerhalb von drei Monaten wurden die fehlenden Prozesse implementiert — die Dokumentationslücke hätte ohne rechtzeitiges Handeln zu einem formellen Bußgeldverfahren führen können.
Das Beschwerdeverfahren nach § 8 LkSG muss intern oder über einen externen Ombudsmann zugänglich sein — für eigene Mitarbeiter, für Beschäftigte von Lieferanten und für sonstige betroffene Personen. Es muss öffentlich bekannt gemacht werden, Vertraulichkeit gewährleisten und eine ernsthafte Bearbeitung eingegangener Hinweise sicherstellen. Wer diesen Kanal nicht einrichtet oder nur auf dem Papier vorweist, riskiert bei einer BAFA-Prüfung eine direkte Beanstandung.
Praxis-Tipp
Das LkSG gilt seit 1. Januar 2024 für Unternehmen ab 1.000 Mitarbeitern in Deutschland — kleinere Zulieferer sind indirekt betroffen, weil Abnehmer Pflichten über Vertragsklauseln weitergeben.
Welche Bußgelder und Haftungsrisiken drohen bei Verstößen?
Das BAFA ist die zuständige Aufsichtsbehörde für das LkSG. Es kann Auskunftsverlangen stellen, Vor-Ort-Prüfungen durchführen und bei festgestellten Verstößen Bußgelder nach § 24 LkSG verhängen. Der Bußgeldrahmen ist erheblich: Bei Unternehmen mit einem Jahresumsatz von mehr als 400 Millionen Euro können Bußgelder bis zu zwei Prozent des globalen Jahresumsatzes betragen. Für kleinere Unternehmen gelten feste Höchstbeträge, die je nach Verstoß zwischen 100.000 und 800.000 Euro liegen.
Besonders einschneidend ist die Konsequenz des § 22 LkSG: Bei rechtskräftigen Bußgeldbescheiden ab 175.000 Euro kann das Unternehmen bis zu drei Jahre von der Vergabe öffentlicher Aufträge ausgeschlossen werden. Für Mittelständler, die im Bereich öffentlicher Beschaffung tätig sind — etwa in der IT, im Bauwesen oder in der kommunalen Dienstleistung — ist das ein erhebliches Geschäftsrisiko.
Zivilrechtliche Haftungsansprüche sind nach dem aktuellen LkSG noch begrenzt: Das Gesetz selbst begründet keine eigenständige zivilrechtliche Haftung gegenüber Geschädigten. Jedoch kann eine mangelhafte LkSG-Compliance in Schadensersatzprozessen nach allgemeinen Deliktsrecht (§ 823 BGB) als Indiz für Organisationsverschulden herangezogen werden. Das OLG Frankfurt hat in einem verwandten Kontext klargestellt, dass Unternehmen, die systematisch Sorgfaltspflichten ignorieren, sich nicht auf fehlende Kenntnis berufen können.
Vertragliche Haftung ist dagegen sehr real: Wenn ein Abnehmer LkSG-Compliance vertraglich verlangt und der Lieferant schriftlich zusagt, entsteht eine eigenständige vertragliche Pflicht. Verstöße können zur Vertragsauflösung, zu Schadensersatzansprüchen des Abnehmers oder zur Vertragsstrafe führen — unabhängig von der Unternehmensgröße. Diese Konstellation ist in vielen Lieferantenverträgen im Automotive- und Maschinenbau-Bereich bereits Standard. Lassen Sie solche Klauseln vor Unterzeichnung rechtlich prüfen — das geht schnell und unkompliziert.
Wichtig zu wissen
Unternehmen, die direkt unter das LkSG fallen, müssen jährlich eine Risikoanalyse nach § 5 LkSG durchführen und einen Beauftragten für Sorgfaltspflichten benennen.


