Seit dem 1. Januar 2024 gilt das Lieferkettensorgfaltspflichtengesetz (LkSG) für alle deutschen Unternehmen ab 1.000 Mitarbeitern. Was nach einer fernen Großkonzern-Pflicht klingt, trifft Mittelständler sehr konkret: Wer als Lieferant, Subunternehmer oder Dienstleister in einer regulierten Lieferkette sitzt, muss auf Anfrage Auskunft geben, Audits ermöglichen und Vertragspflichten erfüllen — sonst drohen Auftragsausschlüsse. Und wer selbst die 1.000-Mitarbeiter-Schwelle überschreitet oder in absehbarer Zukunft überschreiten wird, steht direkt in der Pflicht.
Die praktische Konsequenz für KMU: Compliance im Lieferkettenrecht ist kein reines Großunternehmen-Thema mehr. Abnehmer wälzen ihre eigenen LkSG-Pflichten über Vertragsklauseln auf Lieferanten ab. Wer keine strukturierten Prozesse vorweisen kann — keine Risikoanalyse, kein Beschwerdeverfahren, kein Verhaltenskodex — verliert Aufträge oder gerät in Haftungsdebatten. Dieser Beitrag zeigt, welche Pflichten konkret bestehen, welche Bußgeld-Risiken real sind und wie ein rechtssicherer Compliance-Rahmen für den Mittelstand aussieht.
Prüfen Sie Ihre aktuelle Lieferketten-Compliance jetzt über /formular — ein spezialisierter Anwalt bewertet Ihren Handlungsbedarf und gibt klare Empfehlungen.
Was verlangt das LkSG konkret — und wen trifft es 2026?
Das Lieferkettensorgfaltspflichtengesetz verpflichtet betroffene Unternehmen, menschenrechtliche und umweltbezogene Sorgfaltspflichten entlang ihrer gesamten Lieferkette zu verankern. Der Kern steht in §§ 3 bis 10 LkSG: Unternehmen müssen ein Risikomanagement einrichten, eine jährliche Risikoanalyse nach § 5 LkSG durchführen, Präventionsmaßnahmen ergreifen, ein internes Beschwerdeverfahren nach § 8 LkSG betreiben und einen Jahresbericht veröffentlichen.
Seit dem 1. Januar 2024 gilt das Gesetz für Unternehmen mit mindestens 1.000 Mitarbeitern in Deutschland — unabhängig von der Rechtsform. Das betrifft GmbHs, AGs, aber auch Personengesellschaften und ausländische Unternehmen mit inländischer Niederlassung. Wer zum Beispiel als mittelgroßer Maschinenbauer in NRW 1.200 Mitarbeiter beschäftigt, fällt unmittelbar in den Anwendungsbereich und muss alle Pflichten vollständig erfüllen.
Für Unternehmen unterhalb der 1.000-Mitarbeiter-Schwelle greift das LkSG formal nicht direkt. Dennoch sind sie faktisch betroffen: Ihre Abnehmer, die direkt unter das Gesetz fallen, sind verpflichtet, bei unmittelbaren Zulieferern Risikoanalysen durchzuführen und Präventionsmaßnahmen vertraglich abzusichern. Das bedeutet in der Praxis: Lieferketten-Fragebögen, Selbstauskunftspflichten, Audit-Rechte in Einkaufsverträgen und in manchen Fällen sogar Vor-Ort-Kontrollen.
Ein wichtiger Blick nach vorn: Die EU-Richtlinie über die Sorgfaltspflichten von Unternehmen im Bereich Nachhaltigkeit (CSDDD) wurde im April 2024 vom Europäischen Parlament verabschiedet. Sie wird, sobald in nationales Recht umgesetzt, die Schwellenwerte absenken und die Haftungsregeln verschärfen. Deutsche Mittelständler, die heute bereits ein belastbares Compliance-System aufbauen, sind für diesen nächsten Schritt erheblich besser positioniert.
Risikoanalyse und Sorgfaltspflichten: So sieht die Pflicht in der Praxis aus
Die jährliche Risikoanalyse nach § 5 LkSG ist das Herzstück des LkSG-Systems. Unternehmen müssen strukturiert bewerten, welche menschenrechtlichen und umweltbezogenen Risiken in ihrer eigenen Geschäftstätigkeit und bei unmittelbaren Zulieferern bestehen. Dabei sind Risikofaktoren wie Herkunftsland, Branche, Rohstoffkategorie und Lieferanten-Volumen zu gewichten. Das Ergebnis muss dokumentiert und intern kommuniziert werden.
Bei mittelbaren Zulieferern — also Lieferanten der Lieferanten — besteht eine anlassbezogene Prüfpflicht: Sie greift, wenn das Unternehmen von einem Missstand erfährt, etwa durch eine Beschwerde im Beschwerdeverfahren oder durch Medienberichte. In diesem Fall muss sofort eine Risikoanalyse für den entsprechenden Bereich durchgeführt und gegebenenfalls ein Abhilfeplan nach § 7 LkSG aufgestellt werden.
Präventionsmaßnahmen nach § 6 LkSG umfassen unter anderem die Verankerung von Lieferanten-Verhaltenskodizes (Codes of Conduct), die Aufnahme vertraglicher Sorgfaltspflicht-Klauseln in Lieferantenverträge sowie Schulungen für Einkaufsmitarbeiter. Der Verhaltenskodex sollte konkrete Anforderungen an Kinderarbeit, Zwangsarbeit, Diskriminierung, Arbeitsschutz und Umweltstandards benennen — und von Lieferanten schriftlich bestätigt werden.
Ein typisches Szenario aus der Beratungspraxis: Ein Automobilzulieferer aus dem Stuttgarter Raum mit rund 1.300 Mitarbeitern hatte zwar einen bestehenden Verhaltenskodex für Lieferanten, aber keine dokumentierte Risikoanalyse und kein funktionsfähiges Beschwerdeverfahren. Nach einer BAFA-Stichprobenprüfung wurden erhebliche Nachbesserungen angemahnt. Innerhalb von drei Monaten wurden die fehlenden Prozesse implementiert — die Dokumentationslücke hätte ohne rechtzeitiges Handeln zu einem formellen Bußgeldverfahren führen können.
Das Beschwerdeverfahren nach § 8 LkSG muss intern oder über einen externen Ombudsmann zugänglich sein — für eigene Mitarbeiter, für Beschäftigte von Lieferanten und für sonstige betroffene Personen. Es muss öffentlich bekannt gemacht werden, Vertraulichkeit gewährleisten und eine ernsthafte Bearbeitung eingegangener Hinweise sicherstellen. Wer diesen Kanal nicht einrichtet oder nur auf dem Papier vorweist, riskiert bei einer BAFA-Prüfung eine direkte Beanstandung.
Praxis-Tipp
Das LkSG gilt seit 1. Januar 2024 für Unternehmen ab 1.000 Mitarbeitern in Deutschland — kleinere Zulieferer sind indirekt betroffen, weil Abnehmer Pflichten über Vertragsklauseln weitergeben.
Welche Bußgelder und Haftungsrisiken drohen bei Verstößen?
Das BAFA ist die zuständige Aufsichtsbehörde für das LkSG. Es kann Auskunftsverlangen stellen, Vor-Ort-Prüfungen durchführen und bei festgestellten Verstößen Bußgelder nach § 24 LkSG verhängen. Der Bußgeldrahmen ist erheblich: Bei Unternehmen mit einem Jahresumsatz von mehr als 400 Millionen Euro können Bußgelder bis zu zwei Prozent des globalen Jahresumsatzes betragen. Für kleinere Unternehmen gelten feste Höchstbeträge, die je nach Verstoß zwischen 100.000 und 800.000 Euro liegen.
Besonders einschneidend ist die Konsequenz des § 22 LkSG: Bei rechtskräftigen Bußgeldbescheiden ab 175.000 Euro kann das Unternehmen bis zu drei Jahre von der Vergabe öffentlicher Aufträge ausgeschlossen werden. Für Mittelständler, die im Bereich öffentlicher Beschaffung tätig sind — etwa in der IT, im Bauwesen oder in der kommunalen Dienstleistung — ist das ein erhebliches Geschäftsrisiko.
Zivilrechtliche Haftungsansprüche sind nach dem aktuellen LkSG noch begrenzt: Das Gesetz selbst begründet keine eigenständige zivilrechtliche Haftung gegenüber Geschädigten. Jedoch kann eine mangelhafte LkSG-Compliance in Schadensersatzprozessen nach allgemeinen Deliktsrecht (§ 823 BGB) als Indiz für Organisationsverschulden herangezogen werden. Das OLG Frankfurt hat in einem verwandten Kontext klargestellt, dass Unternehmen, die systematisch Sorgfaltspflichten ignorieren, sich nicht auf fehlende Kenntnis berufen können.
Vertragliche Haftung ist dagegen sehr real: Wenn ein Abnehmer LkSG-Compliance vertraglich verlangt und der Lieferant schriftlich zusagt, entsteht eine eigenständige vertragliche Pflicht. Verstöße können zur Vertragsauflösung, zu Schadensersatzansprüchen des Abnehmers oder zur Vertragsstrafe führen — unabhängig von der Unternehmensgröße. Diese Konstellation ist in vielen Lieferantenverträgen im Automotive- und Maschinenbau-Bereich bereits Standard. Lassen Sie solche Klauseln vor Unterzeichnung rechtlich prüfen — das geht schnell und unkompliziert über /formular.
Wichtig zu wissen
Unternehmen, die direkt unter das LkSG fallen, müssen jährlich eine Risikoanalyse nach § 5 LkSG durchführen und einen Beauftragten für Sorgfaltspflichten benennen.
So bauen KMU einen rechtssicheren Compliance-Rahmen auf
Für Mittelständler, die direkt unter das LkSG fallen, empfiehlt sich ein strukturierter Aufbau in vier Phasen: Bestandsaufnahme, Risikoanalyse, Prozessimplementierung und Dokumentation. Die Bestandsaufnahme erfasst alle unmittelbaren Lieferanten, bewertet die Beschaffungsvolumina und identifiziert risikobehaftete Branchen und Herkunftsländer. Ohne diese Basis ist eine gesetzeskonforme Risikoanalyse nicht möglich.
Bei der Prozessimplementierung sind drei Elemente besonders wichtig: erstens ein schriftlicher Lieferanten-Verhaltenskodex, der konkrete Standards für Menschenrechte, Umwelt und Arbeitsschutz definiert und von jedem neuen Lieferanten vor Vertragsschluss unterzeichnet wird; zweitens ein Beschwerdeverfahren, das über eine Hotline, ein digitales Meldeformular oder einen externen Ombudsmann betrieben wird; drittens eine klare interne Zuständigkeit — typischerweise ein LkSG-Beauftragter in Einkauf oder Compliance.
Für Unternehmen unterhalb der Schwellenwerte lohnt sich ein abgespeckter, aber dokumentierter Ansatz: Ein kurzer Verhaltenskodex (zwei bis vier Seiten), eine Selbstauskunft für Lieferanten als standardisierter Fragebogen und ein einfaches internes Meldesystem reichen aus, um auf Abnehmer-Anfragen professionell zu reagieren und vertragliche Risiken zu minimieren. Der Aufwand ist überschaubar — der Nutzen in Form von Auftragssicherung ist erheblich.
Lieferanten-Audits müssen nicht zwingend als kostspielige Vor-Ort-Prüfungen durchgeführt werden. Risikobasierte Desktop-Audits — also die Auswertung von Zertifikaten, Selbstauskünften und öffentlich verfügbaren Informationen — sind für das LkSG ausreichend, solange das Risikoprofil des Lieferanten dies rechtfertigt. Nur bei Hochrisiko-Lieferanten aus kritischen Ländern oder Branchen sind intensivere Prüfungen erforderlich.
Ein weiterer kritischer Punkt ist der Jahresbericht nach § 10 LkSG: Er muss spätestens vier Monate nach Ende des Geschäftsjahres auf der Unternehmenswebseite veröffentlicht und beim BAFA eingereicht werden. Der Bericht muss beschreiben, welche Risiken identifiziert, welche Maßnahmen ergriffen und welche Ergebnisse erzielt wurden. Fehlt der Bericht oder ist er offensichtlich unvollständig, kann das BAFA bereits auf dieser Basis ein Bußgeldverfahren einleiten — auch ohne dass ein konkreter Menschenrechtsverstoß vorliegt.
Vertragsklauseln mit Lieferanten: Was rechtssicher vereinbart werden muss
Der Einkaufsvertrag ist das wichtigste Werkzeug zur Umsetzung der LkSG-Präventionspflichten. Unternehmen, die direkt dem LkSG unterliegen, müssen bei unmittelbaren Lieferanten vertragliche Zusicherungen einholen, die das Einhalten der gesetzlichen Standards belegen. Gleichzeitig muss der Vertrag Audit-Rechte, Informationspflichten und Abhilfemaßnahmen bei Verstößen regeln.
Typische Klauseln umfassen eine Compliance-Zusicherung des Lieferanten (Representation and Warranty zur LkSG-Konformität), ein Audit-Recht des Abnehmers — schriftlich oder vor Ort mit angemessener Voranmeldefrist — sowie eine Pflicht zur Meldung von Risiken oder Verstößen innerhalb einer definierten Frist. Wichtig ist auch eine Regelung zu Abhilfemaßnahmen: Der Lieferant verpflichtet sich, bei festgestellten Verstößen innerhalb einer gesetzten Frist Korrekturmaßnahmen umzusetzen, und räumt dem Abnehmer ein außerordentliches Kündigungsrecht für den Fall ein, dass er dies nicht tut.
Vorsicht bei zu weitgehenden Klauseln: Einige Abnehmer verlangen in ihren AGB pauschale Haftungsübernahmen des Lieferanten für sämtliche Schäden, die aus LkSG-Verstößen entstehen. Solche Klauseln können nach § 307 BGB unwirksam sein, wenn sie den Lieferanten unangemessen benachteiligen — insbesondere wenn sie Haftung für Risiken begründen, die der Lieferant weder kannte noch kennen musste. Das BAG und der BGH haben in ähnlichen Konstellationen betont, dass vertragliche Haftungserweiterungen klar und transparent formuliert sein müssen, um wirksam zu sein. Lassen Sie neue Rahmenvertragsklauseln grundsätzlich prüfen, bevor Sie unterzeichnen.
Ein strukturierter Umgang mit Bestandslieferanten ist ebenso wichtig: Bestehende Lieferverträge, die vor Einführung des LkSG geschlossen wurden, enthalten in der Regel keine LkSG-Klauseln. Hier empfiehlt sich ein systematisches Nachtragsmanagement — mit einer priorisierten Überarbeitung für Hoch-Risiko-Lieferanten (nach Volumen und Herkunftsland) und einer vereinfachten Selbstauskunft für Lieferanten mit niedrigem Risikoprofil. Wer diesen Prozess strukturiert angeht, kann ihn in der Regel innerhalb weniger Monate abschließen.
Ihre Checkliste auf einen Blick
- Das LkSG gilt seit 1. Januar 2024 für Unternehmen ab 1.000 Mitarbeitern in Deutschland — kleinere Zulieferer sind indirekt betroffen, weil Abnehmer Pflichten über Vertragsklauseln weitergeben.
- Unternehmen, die direkt unter das LkSG fallen, müssen jährlich eine Risikoanalyse nach § 5 LkSG durchführen und einen Beauftragten für Sorgfaltspflichten benennen.
- Das Bundesamt für wirtschaftliche Ausfuhrkontrolle (BAFA) kann bei Verstößen Bußgelder von bis zu zwei Prozent des globalen Jahresumsatzes verhängen und Unternehmen von öffentlichen Vergaben ausschließen.
- Auch Mittelständler unterhalb der Schwellenwerte sollten einen Verhaltenskodex für Lieferanten und ein dokumentiertes Beschwerdeverfahren einrichten — das schützt vor vertraglichen Haftungsansprüchen der Abnehmer.
- Die geplante EU-Lieferketten-Richtlinie (CSDDD) wird die Anforderungen weiter verschärfen und die Schwellenwerte für direkte Pflichten absehbar absenken.
Fazit
Das Lieferkettensorgfaltspflichtengesetz ist kein bürokratisches Randthema — es verändert die Vertragsbeziehungen in deutschen Lieferketten strukturell. Unternehmen, die direkt betroffen sind, müssen 2026 funktionierende Prozesse vorweisen: dokumentierte Risikoanalysen, eingereichte Jahresberichte und belastbare Lieferantenverträge. Wer noch Lücken hat, sollte jetzt handeln — nicht erst, wenn das BAFA Auskunft verlangt oder ein Abnehmer die Zusammenarbeit wegen fehlender Compliance-Nachweise beendet. Über /formular können Sie Ihren aktuellen Stand bewerten lassen und erhalten konkrete Empfehlungen, welche Maßnahmen prioritär sind.
Dieser Beitrag wurde von RA Marek Schauer (Fachanwalt für Unternehmens- und Vertragsrecht) fachlich geprüft — Details zur Person unter /anwaelte/marek-schauer. Er ersetzt keine individuelle Rechtsberatung — bei konkreten Fragen zu Ihrem Unternehmen wenden Sie sich an einen spezialisierten Rechtsanwalt.
