Unternehmen sind mit vielfältigen neuen ESG-Vorgaben konfrontiert. Deren Einhaltung müssen die Leitungsorgane aufgrund ihrer Compliance-Pflicht organisieren. Verstöße bergen erhebliche Haftungsrisiken für Unternehmen wie Geschäftsleiter.
ESG-Vorgaben für Unternehmen enthalten insbesondere das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG), die EU-Lieferkettenrichtlinie (CSDDD), die EU-Entwaldungsverordnung (EUDR) und die EU-Zwangsarbeitsverordnung (EUFLR). Diese neuen Gesetze adressieren die Nachhaltigkeit in Lieferketten. Sie bestimmen Sorgfaltspflichten im Hinblick auf Menschenrechte und Umwelt – oder setzen, wie im Falle der EUFLR, solche Pflichten voraus. Inhaltlich überschneiden sich die genannten Gesetze in vielen Bereichen, aber ihr Regelungsansatz und zahlreiche Einzelheiten unterscheiden sie voneinander. Die neuen ESG-Vorgaben erfordern den Aufbau oder gezielten Ausbau eines ESG-Compliance-Managementsystems. In diesem Beitrag beleuchten wir die damit verbundenen Anforderungen und Haftungsrisiken für die Geschäftsleiter der betroffenen Unternehmen.
Im LkSG ist die Geschäftsleitung bei den Pflichten ausdrücklich erwähnt
Nach dem LkSG sind deutsche Unternehmen mit mindestens 1.000 Beschäftigten dazu verpflichtet, bei sich und ihren Lieferketten menschenrechtliche und einige umweltbezogene Risiken zu analysieren und, wo nötig, Maßnahmen zur Vermeidung oder Minimierung dieser Risiken zu ergreifen. Ebenfalls erfasst ist die oberste deutsche Gesellschaft eines Unternehmensverbunds, wenn sie und ihre Beteiligungen zusammen auf mindestens 1.000 Beschäftigte in Deutschland kommen.
Bei den LkSG-Pflichten handelt es sich im Wesentlichen um Sorgfaltspflichten. Die Unternehmen haben sich danach ernsthaft darum zu bemühen, die genannten Risiken zu entdecken und zu verhindern oder einzudämmen. Ein Erfolg ist hingegen grundsätzlich nicht geschuldet; kein Unternehmen muss dafür garantieren, dass seine Lieferketten frei von Menschenrechtsverletzungen sind. Außerdem dürfen die Unternehmen risikobasiert vorgehen: Je nach Schwere und Dringlichkeit sind Risiken vorrangig zu bearbeiten oder zurückzustellen. Auch der Verursachungsbeitrag und das Einflussvermögen des Unternehmens sind maßgeblich dafür, wieviel Aufwand ein Unternehmen treiben muss, um die Sorgfaltspflichten zu erfüllen. Über ihre Sorgfaltsmaßnahmen müssen die Unternehmen jedes Jahr einen Bericht veröffentlichen. Nach den Plänen der Bundesregierung genügt dafür der Nachhaltigkeitsbericht nach der Corporate Sustainability Reporting Directive (CSRD).
Das LkSG sieht nur zwei Pflichten der Geschäftsleitung ausdrücklich vor: Erstens muss sie sich regelmäßig, mindestens einmal jährlich, über die Arbeit der Person informieren, die für die Überwachung des Risikomanagements zuständig ist (§ 4 Abs. 3 Satz 2 LkSG). Diese Person wird häufig als „Menschenrechtsbeauftragter″* bezeichnet. Die Pflicht ist prima facie leicht zu erfüllen: Die Geschäftsleitung braucht den Menschenrechtsbeauftragten nur zu verpflichten, regelmäßig an sie zu berichten, etwa im Ernennungsschreiben. Damit ist es aber nicht getan. Vielmehr impliziert die genannte Informationspflicht, dass die Geschäftsleitung den Menschenrechtsbeauftragten ordnungsgemäß ausgewählt, instruiert und mit Ressourcen ausgestattet hat – und ihn, beispielsweise über regelmäßige Berichte, ordnungsgemäß überwacht. Mit anderen Worten: Die Geschäftsleitung muss hier einen Teil ihrer Compliance-Pflicht ordnungsgemäß delegiert haben.
Zweitens hat die Geschäftsleitung die Grundsatzerklärung abzugeben (§ 6 Abs. 2 Satz 2 LkSG). Auch das ist, oberflächlich betrachtet, schnell erledigt, nämlich durch Unterzeichnung oder sonstige Autorisierung. Dahinter steht aber viel mehr: Die Geschäftsleitung muss sich damit auseinandersetzen, welche Strategie sie im Hinblick auf Menschenrechte und Umwelt bei sich und in den Lieferketten verfolgen will. Und das, was sie in der Grundsatzerklärung dazu mitteilt, ist der „tone from the top″ und hat damit eine besondere Bedeutung für die wirksame Umsetzung der Sorgfaltsmaßnahmen im Unternehmen.
Über diese beiden Gesichtspunkte hinaus muss die Geschäftsleitung im Rahmen ihrer Compliance-Pflicht alle zur Erfüllung der LkSG-Pflichten erforderlichen Maßnahmen veranlassen und – je nach Art und Umfang der Delegation an den Menschenrechtsbeauftragten – bei Missständen selbst intervenieren.
Das LkSG sieht ein maximales Bußgeld in Höhe von EUR 800.000 vor
Verstößt das Unternehmen gegen das LkSG, müssen die Mitglieder der Geschäftsleitung – wie auch sonst bei Ordnungswidrigkeiten – damit rechnen, dass sich der Bußgeldbescheid nicht gegen das Unternehmen, sondern gegen sie persönlich richtet (§ 9 Abs. 1 OWiG). Es steht der Behörde prinzipiell frei, das Bußgeld vom Unternehmen oder einem Mitglied der Geschäftsleitung zu verlangen. Allerdings beläuft sich der Maximalbetrag im letzteren Fall auf EUR 800.000, während das Bußgeld bei einem gegen das Unternehmen gerichteten Bescheid bis zu zwei Prozent des weltweiten Umsatzes betragen kann.
Selbst vor einem solch hohen Betrag ist die Geschäftsleitung aber nicht völlig geschützt. Denn zusätzlich zur Haftung nach dem OWiG droht stets die zivilrechtliche Innenhaftung: Muss das Unternehmen ein Bußgeld an die Behörde oder Schadensersatz an den Geschädigten einer Menschenrechtsverletzung zahlen, so kann es grundsätzlich in vollem Umfang Rückgriff bei der Geschäftsleitung nehmen. Eine zivilrechtliche Außenhaftung, also die direkte Haftung eines Mitglieds der Geschäftsleitung gegenüber einem Dritten, ist aber umstritten und derzeit praktisch eher fernliegend.
Die CSDDD erweitert Sorgfaltspflichten und Haftung der Unternehmen – mittelbar auch für die Geschäftsleitung
Aufgrund der EU-Lieferkettenrichtlinie (Corporate Sustainability Due Diligence Directive – CSDDD) muss der deutsche Gesetzgeber das LkSG bis Juli 2026 anpassen. Anwendbar sind die neuen Regeln aber erst später: Je nach Größe müssen die Unternehmen erst ein, zwei oder drei Jahre danach an den Start. Die CSDDD sieht ähnliche Sorgfaltspflichten wie das LkSG vor. Hinzu kommt insbesondere die Einbeziehung von Interessenträgern. Die sorgfaltspflichtigen Unternehmen werden daher künftig den Dialog mit betroffenen Personen suchen müssen. Im Hinblick auf alle Sorgfaltspflichten wird es nicht mehr die grundsätzliche Beschränkung auf die unmittelbaren Zulieferer (Vertragspartner) geben; vielmehr wird die vorgelagerte Lieferkette vollständig zu berücksichtigen sein. Außerdem müssen die Unternehmen mehr Menschenrechte und mehr Umweltbelange beachten. Darüber hinaus verschärft die CSDDD die Konsequenzen für Verstöße: Den Unternehmen drohen Bußgelder in Höhe von bis zu fünf Prozent ihres weltweiten Umsatzes und eine zivilrechtliche Haftung gegenüber Opfern von Menschenrechtsverletzungen in der Lieferkette. Darüber hinaus sind behördliche Entscheidungen über Verstöße gegen die CSDDD sowie Versäumnisse, ein Bußgeld zu zahlen, zu veröffentlichen. Damit besteht für die Unternehmen das Risiko eines Reputationsverlusts.
Speziell die Geschäftsleitung betreffende Regelungen sieht die CSDDD nicht vor. Die von der Europäischen Kommission hierzu vorgeschlagenen Vorschriften wurden im Laufe des Gesetzgebungsverfahrens vollständig gestrichen. Aufgrund ihrer Compliance-Pflicht muss die Unternehmensleitung die CSDDD trotzdem beachten. Möglichst früh sollte sie beispielsweise die Prüfung veranlassen, ob und ggf. ab wann das Unternehmen die neuen Sorgfaltspflichten anzuwenden hat. Daraus wird sich in einer Unternehmensgruppe häufig Abstimmungsbedarf ergeben. Es ist jedenfalls ratsam zu klären, welche Gesellschaften im Konzern CSDDD-pflichtig sind und welche Gesellschaften die Erfüllung der Sorgfaltspflichten für andere Gesellschaften übernehmen sollen. Dazu enthält die CSDDD eine Reihe von Bestimmungen.
Integration von Sorgfaltsmaßnahmen und Erstellung des Klimaplans sind für die Geschäftsleitung besonders wichtig
Davon abgesehen sollte sich die Geschäftsleitung insbesondere mit den folgenden beiden Pflichten näher befassen, obwohl diese sich streng genommen an das Unternehmen richten: zum einen mit der Pflicht, Sorgfaltsmaßnahmen in alle einschlägigen Bereiche der Unternehmenspolitik und der Risikomanagementsysteme einzubeziehen und über eine Strategie zur Erfüllung der Sorgfaltspflichten zu verfügen. Diese Strategie muss ähnliche Bestandteile wie die Grundsatzerklärung nach dem aktuellen LkSG aufweisen. Zum anderen geht es um die Pflicht, einen Plan zur Minderung der Folgen des Klimawandels zu verabschieden und umzusetzen. Da sich der Plan auf das Geschäftsmodell des Unternehmens bezieht, ist letztlich die Unternehmensleitung gefragt. Einen solchen Klimaplan gibt es im derzeitigen LkSG nicht, sehr wohl aber in der CSRD. Diese Pflicht werden wir in einem weiteren Blogbeitrag dieser Serie beleuchten.
Aufgrund der CSDDD werden die Haftungsrisiken für die Mitglieder der Geschäftsleitung zunehmen. Durch das höhere maximale Bußgeld und die gesetzlich angeordnete zivilrechtliche Haftung erhöht sich für das Unternehmen das Risiko einer Zahlungspflicht. Damit steigt zugleich das Risiko des Rückgriffs der Gesellschaft bei der Geschäftsleitung. Es bleibt abzuwarten, ob der Gesetzgeber bei Umsetzung der CSDDD auch die Höchstgrenze für das Bußgeld anheben wird, das einem Mitglied der Geschäftsleitung persönlich droht.
Auch die EU-Entwaldungsverordnung (EUDR) muss Bestandteil des Risikomanagements sein
Sorgfaltspflichten im Hinblick auf Lieferketten können auch nach der EU-Entwaldungsverordnung (EU Deforestation Regulation – EUDR) bestehen. Sie ist nach heutigem Stand ab 30. Dezember 2024 anwendbar, für kleine Unternehmen ab 30. Juni 2025. Jedoch wird der Start voraussichtlich um jeweils ein Jahr verschoben. Die EUDR wird die EU-Holzhandelsverordnung ablösen.
Die Mitgliedstaaten müssen die notwendigen Vorschriften zur Durchführung der Verordnung erlassen. Das Bundesministerium für Ernährung und Landwirtschaft (BMEL) hat dazu am 24. Oktober 2024 den Referentenentwurf (RefE) für das deutsche Durchführungsgesetz veröffentlicht. Erwartungsgemäß ist darin als zuständige Behörde die Bundesanstalt für Landwirtschaft und Ernährung (BLE) vorgesehen.
Anders als LkSG und CSDDD bezieht sich die EUDR auf bestimmte Produkte. Sie ordnet im Ausgangspunkt ein EU-weites Verkaufsverbot für Produkte an, die – irgendwo auf der Welt – zur Entwaldung beigetragen haben. Betroffen sind Produkte, die unter Verwendung eines der folgenden sieben Rohstoffe hergestellt worden sind: Rinder, Ölpalmen, Kakao, Kaffee, Kautschuk, Soja und Holz. Zu beachten haben dies – unabhängig von ihrer Größe – sämtliche Unternehmen, die solche Produkte in der EU in Verkehr bringen oder bereitstellen oder aus der EU ausführen.
Das Verkaufsverbot gilt nicht, wenn das Produkt entwaldungsfrei ist und nach den Rechtsvorschriften des Erzeugerlandes erzeugt wurde und wenn das Unternehmen für das Produkt eine elektronische Sorgfaltserklärung an das zentrale Informationssystem übermittelt hat. Entwaldungsfrei ist das Produkt, wenn der relevante Rohstoff auf Flächen erzeugt wurde, die nach dem 31. Dezember 2020 nicht entwaldet wurden.
In diesem Zusammenhang haben die Unternehmen drei Sorgfaltspflichten zu erfüllen: Vor dem Verkauf müssen sie Informationen gesammelt sowie Risiken bewertet und ggf. gemindert haben. Zu den Informationen gehören u.a. die Koordinaten der oben genannten Erzeugungsflächen. Darüber hinaus müssen größere Unternehmen jedes Jahr öffentlich über die Erfüllung der Sorgfaltspflichten berichten.
Sanktionen für Verstöße gegen die EUDR haben die Mitgliedstaaten festzulegen. Dabei sind aber die Vorgaben aus der Verordnung zu beachten. Insbesondere muss der Höchstbetrag für Bußgelder mindestens vier Prozent des unionsweiten Jahresumsatzes betragen. Darüber hinaus müssen die Mitgliedstaaten etwa die Einziehung der Produkte, die Einziehung der mit ihnen erzielten Einnahmen, den Ausschluss von der Vergabe öffentlicher Aufträge für maximal zwölf Monate und ein vorübergehendes Verkaufsverbot vorsehen.
Die EUDR fällt in die allgemeine Compliance-Pflicht der Geschäftsleitung und kann zu einem Bußgeld von maximal EUR 100.000 führen
Auch die EUDR sieht keine ausdrücklich an die Geschäftsleitung gerichteten Pflichten vor. Allerdings gibt es auch hier wieder Aufgaben, denen sich die Geschäftsleitung in verstärktem Maße widmen sollte. Dazu gehört etwa die Veranlassung der Prüfung, welche Produkte des Unternehmens in welchen Situationen unter die EUDR fallen und durch welche Klauseln in Verträgen das Unternehmen die relevanten Lieferanten zur Unterstützung verpflichten kann. Insbesondere sollte sie die – an das Unternehmen gerichtete – Pflicht beachten, Verfahren und Maßnahmen einzuführen und auf dem neuesten Stand zu halten, um sicherzustellen, dass die vom eigenen Unternehmen in Verkehr gebrachten oder ausgeführten Produkte EUDR-konform sind. Im Rahmen der Risikominderung muss im Ergebnis die Geschäftsleitung dafür sorgen, dass das Unternehmen über Strategien, Kontrollen und Verfahren verfügt, um das Risiko der Nichtkonformität der Produkte zu mindern und wirksam zu steuern. Dazu gehören u.a. ein Risikomanagement und bei größeren Unternehmen auch die Benennung eines Compliance-Beauftragten auf der Führungsebene.
Die Mitglieder der Geschäftsleitung sind auch nach der EUDR dem Risiko eines persönlichen Bußgelds ausgesetzt. Die maximale Höhe des Bußgelds beläuft sich nach dem Referentenentwurf für das deutsche Durchführungsgesetz je nach Art des Verstoßes auf EUR 100.000, EUR 50.000 oder EUR 20.000. Ein Bußgeld bis zu dieser Höhe kann die zuständige Behörde insbesondere auch persönlich gegen ein Mitglied der Geschäftsleitung verhängen. Richtet sich der Bußgeldbescheid gegen das Unternehmen, so kann die Behörde – wie von der EUDR vorgegeben – bei den meisten Ordnungswidrigkeiten ein Bußgeld von bis zu vier Prozent des Umsatzes des Unternehmens festsetzen. Über den Innenregress sind dann also Schadensersatzansprüche der Gesellschaft gegen Leitungsmitglieder in entsprechender Höhe möglich.
Zwangsarbeit ist nach der EUFLR bald noch stärker zu beachten
Die EU-Verordnung zum Verbot von Produkten aus Zwangsarbeit (EU Forced Labour Regulation – EUFLR) verbietet das Inverkehrbringen und die Bereitstellung auf dem Unionsmarkt sowie die Ausfuhr von in Zwangsarbeit hergestellten Waren. Sie gibt den zuständigen nationalen Behörden umfassende Rechte zur Durchsetzung des Verbots.
Die EUFLR wird voraussichtlich in Kürze im Amtsblatt veröffentlicht und tritt am Tag danach in Kraft. Die Anwendbarkeit der Verordnung beginnt drei Jahre nach Inkrafttreten, voraussichtlich also im Sommer 2027.
Die zuständige nationale Behörde kann das bereits in der Verordnung enthaltene allgemeine Verbot konkretisieren, indem sie das Inverkehrbringen oder die Bereitstellung der betreffenden Produkte auf dem Unionsmarkt (insbesondere ihre Einfuhr) oder ihre Ausfuhr verbietet. Darüber hinaus kann sie den Unternehmen aufgeben, bereits auf dem Markt befindliche Produkte vom Markt zu nehmen oder aus dem Verkehr zu ziehen. Dabei arbeiten die Behörden mit den Zollbehörden zusammen. Voraussetzung für solche Entscheidungen ist, dass das betreffende Produkt in Zwangsarbeit hergestellt wurde. Die Beweislast dafür trägt die Behörde.
Die EUFLR gilt für Produkte aller Art und ist von Unternehmen jeder Größe zu beachten.
Sanktionen für die Nichteinhaltung einer behördlichen Entscheidung sind von den Mitgliedstaaten zu bestimmen. Die EUFLR enthält dazu nur allgemeine Vorgaben. Beispielsweise sind Schwere und Dauer des Verstoßes, frühere Verstöße des Unternehmens, der Umfang der Zusammenarbeit mit den zuständigen Behörden oder durch den Verstoß erlangte finanzielle Vorteile zu berücksichtigen. Als faktische Sanktion wirkt die Regelung, dass die Kommission u. a. jede Entscheidung über das Verbot eines Produkts veröffentlichen muss. Es ist davon auszugehen, dass dann auch die Namen der betroffenen Unternehmen erwähnt werden („naming and shaming″).
Im Unterschied zu den zuvor erörterten Gesetzen begründet die EUFLR weder Sorgfalts- noch Berichtspflichten. Auch hier fehlen spezifische Pflichten für die Geschäftsleitung. Den Leitungsmitgliedern ist aufgrund ihrer Compliance-Pflicht jedoch zu empfehlen, frühzeitig Maßnahmen zu veranlassen, um das Risiko von Zwangsarbeit in den eigenen Lieferketten entdecken und verhindern zu können. Dazu kann das Unternehmen das Risikomanagement nutzen, das für die Risiken des LkSG und damit auch für das Zwangsarbeitsrisiko eingerichtet wurde. Dadurch erhöhen sich die Chancen, die Behörde im Falle einer Untersuchung davon überzeugen zu können, dass im konkreten Fall kein Zwangsarbeitsrisiko besteht. Zu einem guten Risikomanagement gehört die frühzeitige Vereinbarung von Klauseln in Lieferverträgen, die die EUFLR berücksichtigen.
Ob und ggf. welche Verstöße gegen die EUFLR der deutsche Gesetzgeber als Ordnungswidrigkeit einstuft und mit einer Bußgeldandrohung verbindet, steht noch nicht fest. Auch hier dürfte das größte Risiko mit dem Innenregress der Gesellschaft verbunden sein. Denn wenn das Unternehmen aufgrund einer Behördenentscheidung seine Produkte nicht verkaufen kann – und sei es nur vorübergehend –, so können hohe Schäden entstehen.
Die Geschäftsleitung muss das Risikomanagement künftig breiter aufstellen
Unternehmen sind und werden weiterhin mit einer Vielzahl neuer Anforderungen aus dem Bereich der ESG-Compliance konfrontiert. Im Mittelpunkt stehen dabei häufig Sorgfaltspflichten in Bezug auf Menschenrechte und Umweltbelange, deren Erfüllung die Leitungsorgane der betroffenen Unternehmen organisieren und kontrollieren müssen. Das Pflichtenspektrum für Unternehmen und die korrespondierenden Compliance-Pflichten der Geschäftsleiter werden kontinuierlich erweitert, zugleich steigen die Haftungsrisiken der Geschäftsleiter im Falle eines unzureichenden Supply-Chain-Compliance-Managements. Die vom LkSG betroffenen Unternehmen können die bereits etablierten Risikomanagementmaßnahmen allerdings nutzen, um sich proaktiv auf die dargestellten neuen Anforderungen weiterer Regulierungen (etwa nach CSDDD und EUDR) vorzubereiten. Zugleich kann ein bereits bestehendes Supply-Chain-Compliance-Management auch für die Risikovermeidung in Bezug auf Zwangsarbeit in der Lieferkette genutzt werden. Die Geschäftsleitung sollte daher proaktiv bestehende Strukturen und Prozesse im Hinblick auf die neuen Sorgfaltspflichten anpassen und gezielt erweitern. Auch im Hinblick auf steigende Haftungsrisiken ist die Geschäftsleitung gut beraten, sich mit den neuen gesetzlichen Anforderungen vertraut zu machen und darüber hinaus ihren D&O-Versicherungsschutz zu prüfen.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.