Wie das Lieferkettensorgfaltspflichtengesetz zu Krisenpräventionszwecken eingesetzt werden kann

Mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) wird die unternehmerische Verantwortung für die Einhaltung von Menschenrechten und Umweltschutz in den globalen Lieferketten geregelt, in dem es Sorgfaltspflichten entlang der Lieferkette einführt. In Kombination mit KI- basierten Krisenresilienzplattformen wie dem vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projekt Cognitive Economy Intelligence Plattform für die Resilienz wirtschaftlicher Ökosysteme – CoyPu (im Folgenden: CoyPu) können Unternehmen durch die Nutzung und Analyse der gewonnenen Daten aus der Umsetzung dieser Sorgfaltspflichten ihre Krisenpräventionsstrategie stärken und frühzeitig potenzielle Risiken identifizieren. Vielen kleinen und mittelständischen Unternehmen würde dies in Krisenfällen helfen, da sie im Gegensatz zu größeren Unternehmen über begrenzte Ressourcen, Daten und Expertise in den relevanten Bereichen verfügen. Dabei spielen vornehmlich Daten aus dem Risikomanagement und der Risikoanalyse eine zentrale Rolle. Allerdings stellt sich die Frage, ob der Zugang zu bestimmten Daten möglich ist und wie ein angemessener Ausgleich zwischen dem Schutz von Geschäftsgeheimnissen und dem Interesse an der Krisenprävention erreicht werden kann.¹

KI-basierte Krisenresilienzplattformen wie CoyPu unterstützen Unternehmen in erster Linie bei der Krisenprävention, indem sie Daten aus verschiedenen Quellen analysieren und wertvolle Erkenntnisse über wirtschaftliche Fakten und Trends liefern. Durch den Einsatz dieser Plattformen können Unternehmen, einschließlich kleiner und mittelständischer Unternehmen, ihre Entscheidungsfähigkeit verbessern und ihre Widerstandsfähigkeit stärken.

Unter dem Begriff der „Krise“ ist eine über einen gewissen Zeitraum anhaltende massive Störung eines Systems zu verstehen.² Er ist äußerst vielseitig und kann in verschiedensten Kontexten thematisiert werden. Ein Beispiel für die Anwendung einer KI-basierten Krisenresilienzplattform wie CoyPu sind verschiedene Arten von Krisensituationen. Der Fokus dieses Beitrags soll jedoch auf dem speziellen Anwendungsfall einer Unternehmenskrise liegen. Eine Unternehmenskrise tritt auf, wenn ein Unternehmen mit wirtschaftlichen Schwierigkeiten konfrontiert ist, die im schlimmsten Fall seine Existenz bedrohen könnten. Symptome einer Unternehmenskrise können unter anderem langfristige Umsatzrückgänge, Störungen im Produktionsprozess, finanzielle Engpässe sowie Kundenverluste umfassen. Der Begriff der Unternehmenskrise beinhaltet jedoch auch die Möglichkeit einer positiven Wendung. Dies zeigt die Ambivalenz der Entwicklungsmöglichkeiten, nämlich den Untergang oder die Sanierung des Unternehmens.³

Die auferlegten Sorgfaltspflichten werden in § 3 Abs. 1 S. 1 LkSG abschließend aufgezählt. Hierbei handelt es sich nicht um einmalig zu erfüllende Leistungspflichten, sondern um einen dauerhaften, sich wiederholenden Kreislauf verschiedener und aufeinander bezogener Prozessschritte.⁴

Gem. § 4 Abs. 2 LkSG sind die erfassten Unternehmen verpflichtet, ein wirksames Risikomanagement einzurichten und in allen maßgeblichen Geschäftsabläufen zu verankern. Das Risikomanagement ist ein systematischer Prozess, den Unternehmen implementieren, um potenzielle Risiken entlang ihrer Lieferkette zu identifizieren, zu analysieren, zu bewerten, zu überwachen und geeignete Maßnahmen zur Risikobewältigung zu ergreifen. Ziel des Risikomanagements im Sinne des LkSG ist es, menschenrechtliche oder umweltbezogene Risiken bzw. Pflichtverletzungen frühzeitig zu erkennen, um sie dann zu verhindern, zu beenden oder das Ausmaß zu minimieren.⁵

Eine wichtige Voraussetzung für ein wirksames Risikomanagement ist die Risikoanalyse gem. § 5 LkSG. Im Rahmen der Risikoanalyse sind die Auswirkungen der unternehmerischen Aktivität zu verstehen, die in Beziehung zu ihren Geschäftsfeldern, Produkten oder Dienstleistungen stehen. Die Risikoanalyse im Sinne des LkSG zielt darauf ab, menschenrechtliche und umweltbezogene Risiken sowohl für den eigenen Geschäftsbereich als auch für den Bereich der unmittelbaren Zulieferer des Unternehmens zu identifizieren, zu bewerten und entsprechend zu priorisieren. Die gewonnenen Erkenntnisse aus der Analyse dienen als Grundlage für die Fragestellung von wirkungsvollen Präventions- und Abhilfemaßnahmen. Gem. § 5 V LkSG muss das Unternehmen die Wirksamkeit der ergriffenen Maßnahmen mindestens jährlich überprüfen sowie bei Änderung der Risikolage anpassen. Die sich als unwirksam herausgestellten Maßnahmen müssen aktualisiert werden.⁶

Werden Risiken identifiziert, ist gem. § 6 I LkSG das Unternehmen dazu verpflichtet, unverzüglich angemessene Präventionsmaßnahmen zu ergreifen. Diese können unterschiedlich ausfallen und hängen davon ab, ob das Risiko im eigenen Geschäftsbereich, beim Vertragspartner oder tiefer in der Lieferkette identifiziert wurde. Zu Maßnahmen im eigenen Geschäftsbereich gehören zum Beispiel Schulungen der Beschäftigten. Wurden Risiken bei Vertragspartnern oder tiefer in der Lieferkette identifiziert, so können Unternehmen Nachweise über die durchgeführten Schulungen von den Lieferanten einfordern.⁷

Wurde eine menschenrechtliche oder umweltbezogene Pflicht bereits verletzt oder steht eine solche Verletzung unmittelbar bevor, ist gem. § 7 I LkSG Abhilfe zu leisten. Die Abhilfemaßnahmen sind so zu gestalten, dass sie die Verletzung beenden. Werden Verstöße bei den unmittelbaren Zulieferern ermittelt, ist nach § 7 II LkSG ein Konzept zu erstellten und umzusetzen, welches einen Plan zur Beendigung des Verstoßes beinhaltet. Nur wenn die Beendigung des Verstoßes nicht möglich ist, ist gem. § 7 II Nr. 3 LkSG das temporäre Aussetzen der Geschäftsbeziehung in Betracht zu ziehen und gem. § 7 III LkSG als ultima ratio die Geschäftsbeziehung endgültig abzubrechen. Auch hier ist die Wirksamkeit der ergriffenen Maßnahmen einmal im Jahr sowie anlassbezogen zu überprüfen.⁸

Zudem ist gem. § 8 LkSG im Unternehmen ein Beschwerdeverfahren einzurichten. Jedermann soll im Rahmen des Beschwerdeverfahrens das Unternehmen auf menschenrechtliche oder umweltbezogene Risiken oder Verletzungen menschenrechtlicher oder umweltbezogener Pflichten hinweisen können. Erforderlich ist eine substantiierte Kenntnis der Pflichtverletzung. Die aus dem Beschwerdeverfahren gewonnenen Erkenntnisse fließen in die Risikoanalyse ein und sind bei der Prüfung von Präventions- und Abhilfemaßnahmen zu berücksichtigen.⁹  

Um den Kontext vollständig zu erfassen, ist es erwähnenswert, dass der Begriff der Lieferkette nach § 2 Abs. 5 2 Nr.3 LkSG auch mittelbare Zulieferer erfasst. Die in §§ 4 bis 8 LkSG normierten Sorgfaltspflichten beschränken sich jedoch nahezu durchgehend auf den eigenen Geschäftsbereich des Unternehmens und den der unmittelbaren Zulieferer. Dennoch erstreckt sich das Beschwerdeverfahren nach § 9 Abs. 1 LkSG ebenfalls auf mittelbare Zulieferer.¹⁰

Schließlich besteht nach § 10 LkSG eine Dokumentations- und Berichtspflicht. Die Dokumentationspflicht umfasst die fortlaufende Dokumentierung der Erfüllung aller Sorgfaltspflichten. Die Dokumentation ist für die Öffentlichkeit nicht zugänglich und kann deshalb auch sensible Informationen enthalten, die Geschäfts- und Betriebsgeheimnisse berühren. Sie ist sieben Jahre lang aufzuheben.¹¹ Die Berichtspflicht umfasst die Offenlegung aller Schritte der Risikoanalyse. Unternehmen müssen angeben, ob und welche Risiken sie identifiziert haben und welche präventiven und korrektiven Maßnahmen sie ergriffen haben, sowohl in ihrem eigenen Unternehmen als auch bei direkten und indirekten Lieferanten. Dabei sollten die einzelnen Schritte, Vorkehrungen und Maßnahmen im Zusammenhang mit der Menschenrechtsstrategie erläutert und mögliche Handlungsalternativen erwähnt werden. Unternehmen müssen auch die Auswirkungen der ergriffenen Maßnahmen bewerten und einen Ausblick auf zukünftige Maßnahmen geben. Die Berichtspflicht gilt nur für das rechtlich Zulässige und Gebotene, und Unternehmen dürfen¹² keine Betriebs- und Geschäftsgeheimnisse gem. § 10 IV LkSG offenlegen. Der Bericht muss jährlich für das vergangene Geschäftsjahr erfolgen und auf der Internetseite des Unternehmens veröffentlicht werden. ¹³

Die Umsetzung der Sorgfaltspflichten gemäß dem Lieferkettensorgfaltspflichtengesetz kann wertvolle Daten liefern. Diese können mithilfe von KI-basierten Krisenresilienzplattformen wie CoyPu frühzeitig auf potenzielle Risiken hinweisen und somit die Widerstandsfähigkeit eines Unternehmens stärken.

Das Risikomanagement im Sinne des LkSG identifiziert potenzielle menschenrechtliche und umweltbezogene Risiken und Gefahren entlang der Lieferkette. Dadurch dass die gesamte Lieferkette analysiert wird, können durch das Risikomanagement und der Risikoanalyse auch andere Risiken identifiziert werden. So können Störungen in der Lieferkette identifiziert werden, wie Produktionsausfälle oder Qualitätsmängel, die sich ebenfalls negativ auf das Unternehmen auswirken können. Diese Daten ermöglichen es dem Unternehmen, potenzielle Krisenherde frühzeitig zu erkennen und rechtzeitig darauf zu reagieren.

Im Rahmen der Risikoanalyse werden Ursachen und Auslöser von möglichen menschenrechtlichen und umweltbezogenen Risiken ermittelt. Darüber hinaus können auch die Ursachen von Risiken ermittelt werden, die nicht im Zusammenhang mit Menschenrechten oder Umweltrecht stehen. Diese Daten helfen dabei, die zugrunde liegenden Faktoren zu verstehen, die zu einer Krise führen können, und ermöglichen es dem Unternehmen, gezielt präventive Maßnahmen zu ergreifen.

Das Risikomanagement bewertet die identifizierten menschenrechtlichen und umweltbezogenen Risiken hinsichtlich ihrer Auswirkungen und Eintrittswahrscheinlichkeit. Diese Daten helfen auch dabei, andere unternehmensrelevante Risken zu bewerten und sie zu priorisieren, sodass Unternehmen ihre Ressourcen auf besonders kritische Bereiche fokussieren können.

Im Rahmen der Risikobewältigung werden Maßnahmen ergriffen, um die menschenrechtlichen und umweltbezogenen Risiken zu minimieren oder zu verhindern. Durch die Überwachung der Wirksamkeit dieser Maßnahmen können Unternehmen feststellen, welche Maßnahmen auch für andere Arten von Risiken möglich und effektiv sind.

Darüber hinaus können diese Daten Unternehmen bei der Entwicklung von Notfallplänen und der Identifizierung alternativer Lieferanten helfen, um die Kontinuität der Lieferkette in Krisensituationen aufrechtzuerhalten.

Gäbe es einen Zugang der Öffentlichkeit zu diesen Daten, könnten Unternehmen – mithilfe von KI-basierten Krisenresilienzplattformen wie CoyPu – von ihnen profitieren. So können diese Daten genutzt werden, damit Unternehmen ihre Krisenpräventionsstrategien stärken, frühzeitig auf potenzielle Risiken reagieren können und die Widerstandsfähigkeit ihres Geschäftsbetriebs erhöhen. Fraglich ist daher, ob und inwieweit der Zugang zu diesen Daten möglich ist.

Zur Gewinnung der relevanten Daten bieten sich zunächst die internen Dokumentationen an. Diese Dokumentationen sind jedoch nicht öffentlich zugänglich und bleiben unveröffentlicht, wodurch ein Zugriff auf die darin enthaltenen Informationen nicht realisierbar ist. Einzig der jährliche Bericht zur Erfüllung der Sorgfaltspflicht ist öffentlich zugänglich. Diese Berichte können voraussichtlich nützliche Informationen enthalten. Jedoch fehlen in diesen Berichten Angaben zu den Lieferantenbeziehungen, welche für die Bewältigung von Krisen sowie der Aufrechterhaltung der Lieferkette in Krisenzeiten bedeutend sein können. Diese sind in den internen Dokumentationen enthalten. Somit stellt sich die Frage, ob ein Zugang zu diesen Informationen in den Dokumentationen möglich ist.

Eine andere Möglichkeit liegt darin, Zugang zu den Lieferantenbeziehungen durch eine vertragliche Vereinbarung zwischen KI-basierten Krisenresilienzplattformen und Unternehmen zu erhalten. Unsicher bleibt aber, ob und in welchem Umfang Unternehmen einer solchen vertraglichen Vereinbarung zustimmen würden, da die Offenlegung den Unternehmen einen Wettbewerbsnachteil verschaffen könnte. Die Offenlegung dieser sensiblen Informationen könnte es nämlich Wettbewerbern ermöglichen, Einblicke in die Lieferkettenstruktur und wichtige Geschäftsbeziehungen zu gewinnen. Dadurch können Wettbewerber strategische Vorteile erlngen, indem sie das Wissen über Lieferanten oder Markttrends nutzen, um ihre eigene Geschäftsstrategie anzupassen oder effizienter zu handeln. Darüber hinaus ist es von entscheidender Bedeutung, dass KI-basierte Krisenresilienzplattformen wie CoyPu mit ausreichenden Daten versorgt werden damit sie qualitative und präzise Ableitungen zur Krisenprävention treffen können. Ohne die notwendigen Daten können die KI-Plattformen keine solide Grundlage für ihren Einsatz in der Krisenprävention schaffen.¹⁴ Angesichts dessen scheint sich die Abhängigkeit von der vertraglichen Zustimmung der Unternehmen für die Weitergabe der Daten als ungünstig zu erweisen. Es wäre zu ungewiss, ob die KI-Plattformen die erforderliche Menge an qualitativen Daten erhalten würden.

Gem. Art. 14 des EU Data Act¹⁵ besteht die Möglichkeit, dass Dateninhaber dazu verpflichtet werden können, Daten herauszugeben, wenn eine außergewöhnliche Notwendigkeit für deren Nutzung nachgewiesen wird. Eine solche außergewöhnliche Notwendigkeit kann gemäß Art. 15 EU Data Act darin bestehen, einen öffentlichen Notstand einzudämmen oder zu überwältigen. Darüber hinaus können öffentliche Stellen die Herausgabe von Daten verlangen, wenn das Fehlen dieser Daten dazu führt, dass eine bestimmte im öffentlichen Interesse vorgesehene Aufgabe nicht erfüllt werden kann und diese Daten anderweitig nicht rechtzeitig beschafft werden können. Hiernach wäre der Zugang zu den Lieferantenbeziehungen jedoch immer noch nicht möglich. Denn der vorliegende Anwendungsfall der KI-basierten Krisenresilienzplattformen wie CoyPu – die Unternehmenskrise – deckt sich nicht mit dem Anwendungsfall von Art. 14 EU Data Act, der sowohl den öffentlichen Notstand als auch die Erfüllung von Aufgaben im öffentlichen Interesse umfasst. Eine öffentliche Stelle kann Daten nur dann verlangen, wenn sie bestimmte Aufgaben im öffentlichen Interesse erfüllt, die gesetzlich vorgesehen sind, wie etwa die Erstellung amtlicher Statistiken.¹⁶ Öffentlicher Notstand bezeichnet gem. Art. 2 Nr. 29 EU Data Act eine zeitlich begrenzte Ausnahmesituation, wie etwa Notfälle im Bereich der öffentlichen

Gesundheit, Notfälle infolge von Naturkatastrophen sowie von Menschen verursachte Katastrophen größeren Ausmaßes, einschließlich schwerer Cybersicherheitsvorfälle. Die Einführung der Regelung in Art. 14 EU Data Act verdeutlicht dennoch das Bedürfnis nach einer Möglichkeit, Dateninhaber unter bestimmten außergewöhnlichen Umständen zur Herausgabe von Daten verpflichten zu können.

Angesichts der Tatsache, dass es keine klare gesetzliche Verpflichtung zu geben scheint, die den Zugang zu den Lieferantenbeziehungen aus den internen Dokumentationen ermöglicht und - abgesehen von vertraglichen Vereinbarungen – es auch keine andere Möglichkeit zu geben scheint, Zugang zu den Lieferantenbeziehungen zu erhalten, könnte der Zugang zu diesen Daten durch eine gesetzliche Verpflichtung zur Offenlegung seitens der Unternehmen erfolgen. Zu prüfen ist daher, ob eine gesetzliche Verpflichtung zur Offenlegung der Lieferantenbeziehung überhaupt möglich wäre. Die Lieferantenbeziehungen eines Unternehmens werden gemäß § 2 GeschGehG als Geschäftsgeheimnis betrachtet.¹⁷ Obwohl der Schutz von Betriebs- und Geschäftsgeheimnissen primär einfachgesetzlich gewährleistet ist, findet er seine verfassungsrechtliche Grundlage in Art. 12 Abs. 1 GG.¹⁸ Die Verpflichtung zur Offenlegung von Lieferantenbeziehungen stellte dementsprechend einen Eingriff in Art. 12 Abs. 1 GG dar, welcher verfassungsrechtlich gerechtfertigt sein müsste. Dafür müsste das Interesse an der Krisenprävention dem Interesse an der Geheimhaltung der Lieferantenbeziehung überwiegen.

Eine Abwägung zwischen dem Interesse an der Krisenprävention und dem Schutz der Geschäftsgeheimnisse zeigt, dass das Geheimhaltungsinteresse der Unternehmen überwiegt. Zwar kann die Offenlegung der Lieferantenbeziehungen Unternehmen in ihren Krisenpräventionsstrategien stärken. Unternehmen investieren jedoch erhebliche Ressourcen in die sorgfältige Auswahl von Lieferanten, die ihren hohen Qualitätsstandards gerecht werden. Die Offenlegung dieser Lieferanten würde einen erheblichen Wettbewerbsnachteil mit sich bringen, insbesondere in Anbetracht der begrenzten Kapazitäten dieser Lieferanten, sowohl in Bezug auf ihre Produktions- als auch ihre logistischen Möglichkeiten.¹⁹ Darüber hinaus könnte die Offenlegung der Lieferantenbeziehung die Einzigartigkeit einer unternehmerischen Leistung beeinträchtigen, wodurch ein weiterer Wettbewerbsnachteil entstünde. Bereits getätigte Investitionen in Forschungen und Produktentwicklung würden dadurch obsolet. Die ausnahmslose Verpflichtung zur Offenlegung der Lieferantenbeziehung wäre demnach nicht gerechtfertigt.

Eine alternative Herangehensweise wäre, die Offenlegung nur in den Fällen zu fordern, in denen eine Krise schwerwiegende Beeinträchtigungen für das Gemeinwohl verursacht und es gilt, diese Krise zu verhindern oder zu beseitigen. Es wäre auch möglich, technisch-organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Informationen nicht für jedermann zugänglich und einsehbar sind. Sie würden nur für konkrete Zwecke und besonders privilegierte Nutzergruppen bereitgestellt. Denkbar wäre auch, die Informationen so zu aggregieren oder generalisieren, dass diese lediglich zur Auswertung durch die KI-Plattform bereitgestellt würden, wobei ein die Unternehmen benachteiligender Rückschluss auf Geschäfts- und Betriebsgeheimnisse ausgeschlossen wäre. Insgesamt müsste also hier ein Ausgleich zwischen dem Schutz von Geschäftsgeheimnissen und das Interesse an der Krisenprävention geschaffen werden.

Das Lieferkettensorgfaltspflichtengesetz regelt die unternehmerische Verantwortung für die Einhaltung von Menschenrechten und Umweltschutz in globalen Lieferketten. Dabei liefert die Umsetzung der gesetzlichen Sorgfaltspflichten Daten in Bezug auf menschenrechtliche und umweltbezogene Risiken. Darüber hinaus können aber auch andere Daten gewonnen werden, welche Unternehmen in ihren Krisenpräventionsstrategien stärken können. Mithilfe von KI-basierten Krisenresilienzplattformen wie CoyPu können diese Daten Unternehmen bei der Identifikation, Bewertung und Bewältigung von Risiken helfen. Der Großteil dieser Daten ist den Berichten gem. § 10 LkSG zu entnehmen. Allerdings fehlen in diesen Berichten Angaben zu den Lieferantenbeziehungen, die für die Krisenbewältigung und Lieferkettenkontinuität im Krisenfall von großer Bedeutung sind. Informationen zu den Lieferantenbeziehungen sind aber in den internen Dokumentationen enthalten, welche nicht öffentlich zugänglich sind. Angesichts des scheinbar fehlenden Zugangs zu diesen Daten könnte eine gesetzliche Verpflichtung zur Offenlegung der Lieferantenbeziehung Abhilfe verschaffen. Dies stellt jedoch einen Eingriff in das Grundrecht auf Berufsfreiheit gem. Art. 12 Abs. 1 GG dar und bedarf einer Abwägung zwischen dem Interesse an der Krisenprävention und dem Schutz der Geschäftsgeheimnisse der Unternehmen. Im Falle einer allgemeinen und uneingeschränkten Verpflichtung zur Offenlegung der Lieferantenbeziehungen überwiegt das Interesse der Unternehmen an der Geheimhaltung der Lieferantenbeziehung. Es bedarf daher einer differenzierteren Herangehensweise, in der die Offenlegung nur in schwerwiegenden Krisenfällen gefordert werden kann und technisch-organisatorische Maßnahmen ergriffen werden müssen, wodurch das Geheimhaltungsinteresse der Unternehmen gewahrt wird.

Aus der Regelung in Art. 14 des EU Data Act lässt sich aber ableiten, dass das Bedürfnis besteht, Dateninhabern unter bestimmten Voraussetzungen zur Herausgabe von Daten verpflichten zu können. Auch kann Art. 14 EU Data Act als Leitfaden dienen, wie eine gesetzliche Regelung diesbezüglich gestaltet werden kann. Insgesamt ist es entscheidend, einen angemessenen Rahmen für den Zugang zu Daten zu schaffen, der die Interessen der Unternehmen schützt, aber gleichzeitig das Gemeinwohlinteresse an der Krisenprävention berücksichtigt.