Lieferkettengesetz (LkSG)
Das Lieferkettengesetz verpflichtet große Unternehmen, Menschenrechte und Umweltstandards bei ihren Zulieferern zu achten. Kleine Betriebe fallen nicht darunter, spüren es aber als Zulieferer. Wichtig zu wissen: Weitergereicht werden dürfen die Pflichten nicht.
Was das Lieferkettengesetz verlangt
Das Lieferkettensorgfaltspflichtengesetz, kurz LkSG, verpflichtet große Unternehmen, menschenrechtliche und umweltbezogene Risiken in ihren Lieferketten zu erkennen, zu vermeiden und zu mindern. Es stützt sich auf die UN-Leitprinzipien für Wirtschaft und Menschenrechte und zielt auf Kinderarbeit, Zwangsarbeit, Diskriminierung und Umweltverstöße entlang der Wertschöpfungskette.
Der Pflichtenkatalog ist konkret: ein Risikomanagement mit benannter Zuständigkeit, eine regelmäßige Risikoanalyse im eigenen Geschäftsbereich und bei direkten Zulieferern, eine Grundsätzerklärung, Präventions- und Abhilfemaßnahmen, ein Beschwerdeverfahren und eine laufende Dokumentation.
Wichtig ist der Maßstab: Das Gesetz verlangt eine Bemühenspflicht, keine Erfolgspflicht. Unternehmen müssen angemessen handeln, sie haften nicht automatisch für jeden Verstoß irgendwo in der Kette. Was angemessen ist, richtet sich nach Größe, Branche, Einflussmöglichkeit und Schwere des Risikos.
Wer betroffen ist und was sich 2025 geändert hat
Das LkSG gilt seit dem 1. Januar 2023 zunächst für Unternehmen ab 3.000 Beschäftigten, seit dem 1. Januar 2024 ab 1.000 Beschäftigten mit Sitz oder Zweigniederlassung in Deutschland. Wer darunter liegt, fällt nicht in den Anwendungsbereich, auch nicht als Zulieferer eines betroffenen Konzerns.
Im Herbst 2025 hat die Bundesregierung den Kurs deutlich entlastet. Eine Novelle streicht die jährliche Berichtspflicht gegenüber dem BAFA rückwirkend und reduziert den Katalog der Ordnungswidrigkeiten von dreizehn auf vier. Das BAFA setzt das bereits um: Es prüft seit Oktober 2025 keine Unternehmensberichte mehr, das digitale Berichtsformular wurde abgeschaltet.
Entscheidend ist die Abgrenzung: Entfallen ist die Berichtspflicht, nicht die Sorgfaltspflicht. Risikoanalyse, Präventionsmaßnahmen, Beschwerdeverfahren und interne Dokumentation gelten unverändert weiter. Betroffene Unternehmen führen ihre Sorgfaltsprozesse also fort, sie berichten nur nicht mehr darüber an die Aufsicht.
Wie das BAFA jetzt prüft
Bußgelder verhängt das BAFA nur noch bei besonders gravierenden Verstößen, gemessen an Ausmaß, Tragweite oder irreversiblem Charakter, und ausdrücklich als letztes Mittel bei eingetretenen schweren Menschenrechtsverletzungen. Der Alltagsfall, das verspätete oder unvollständige Formular, ist damit vom Tisch.
Der wichtigste Punkt für Zulieferer
Wenn du unter 1.000 Beschäftigte hast, gilt für dich ein Satz, den viele nicht kennen: Die Pflichten aus dem LkSG können nicht an Zulieferer weitergegeben werden. Der verpflichtete Konzern muss seine Sorgfaltspflichten selbst erfüllen. Du bist nicht verpflichtet, ein Risikomanagementsystem, ein Beschwerdeverfahren oder einen Menschenrechtsbeauftragten einzurichten, und dir droht dafür auch kein Bußgeld.
Das BAFA wird hier ungewöhnlich deutlich. Es nennt mehrere Verhaltensweisen großer Kunden ausdrücklich unangemessen: die pauschale Verpflichtung nicht betroffener Zulieferer, die LkSG-Pflichten einzuhalten; die Forderung nach schriftlichen Zusicherungen, dass die gesamte Kette sämtliche Bestimmungen einhält; pauschale Ermittlungsmaßnahmen ohne Blick auf das Risikoprofil; und Vorgaben, die einen Zulieferer angesichts seiner Größe und Ressourcen überfordern.
In der Praxis heißt das: Wenn ein Großkunde dir einen umfangreichen Fragebogen schickt und pauschale Garantien verlangt, musst du das nicht widerspruchslos hinnehmen. Es bleibt eine vertragliche Verhandlung, keine gesetzliche Pflicht. Wer das weiß, verhandelt anders.
Betrifft dich das LkSG?
Schalte ein, was auf dein Unternehmen zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Die vier Sorgfaltspflichten
Was das LkSG von betroffenen Unternehmen verlangt, in vier Prinzipien.
Vier Pflichten, zum Durchtippen
Risiken erkennen, bevor sie eintreten.
Betroffene Unternehmen analysieren regelmäßig die menschenrechtlichen und umweltbezogenen Risiken im eigenen Geschäftsbereich und bei direkten Zulieferern. Der Ansatz ist risikobasiert: Nicht alles auf einmal, sondern das Wichtigste zuerst.
Hilft Jährliche Risikoanalyse, priorisiert nach Risikoprofil der Zulieferer.
Stolperfalle Alle Zulieferer gleich behandeln, ohne Risikobewertung.
Maßnahmen, die Risiken tatsächlich mindern.
Aus der Risikoanalyse folgen Präventionsmaßnahmen im eigenen Betrieb und gegenüber Zulieferern. Eine unterschriebene Selbstauskunft allein genügt dafür nicht, sie muss in ein Vorgehen eingebettet sein.
Hilft Grundsätzerklärung, Schulungen, Lieferantenkodex mit Augenmaß.
Stolperfalle Lieferantenkodex unterschreiben lassen und nie wieder hinsehen.
Ein Kanal für Betroffene und Hinweisgeber.
Betroffene und Personen mit Kenntnis von Risiken müssen auf Missstände hinweisen können. Das Verfahren braucht eine Ordnung, Zuständigkeiten und Schutz vor Benachteiligung.
Hilft Zugängliches, geschütztes Beschwerdeverfahren, auch für Externe.
Stolperfalle Postfach ohne Verfahrensordnung und ohne Schutz der Hinweisgeber.
Bleibt bestehen, auch ohne Bericht ans BAFA.
Die Berichtspflicht gegenüber der Aufsicht ist entfallen, die Pflicht zur internen Dokumentation nicht. Wer sie einstellt, verliert den Nachweis, angemessen gehandelt zu haben.
Hilft Interne Dokumentation der Sorgfaltsprozesse, fortlaufend geführt.
Stolperfalle Annehmen, mit dem Wegfall der Berichtspflicht sei auch die Dokumentation weg.
Der häufigste Irrtum: entfallen gleich erledigt
Seit die Berichtspflicht gestrichen wurde, hält sich der Eindruck, das Lieferkettengesetz sei praktisch abgeschafft. Das stimmt nicht. Entfallen ist die Meldung an die Behörde. Die Sorgfaltspflichten, die interne Dokumentation und das Beschwerdeverfahren gelten weiter, und bei schweren Menschenrechtsverletzungen verhängt das BAFA nach wie vor Bußgelder.
Für kleine Betriebe liegt der Irrtum genau umgekehrt: Sie halten sich für verpflichtet, obwohl sie es nicht sind, und arbeiten Fragebögen ab, die ihnen niemand rechtlich auferlegen darf. Beide Missverständnisse kosten Geld, nur an unterschiedlichen Enden.
Wo stehst du beim Lieferkettengesetz?
Wähle die Situation, die deinem Unternehmen am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Vom nationalen Gesetz zur europäischen Richtlinie
Wie das Lieferkettengesetz kam, entlastet wurde und europäisch abgelöst wird.
- 2021
Das LkSG wird verabschiedet
Nach einer gescheiterten freiwilligen Selbstverpflichtung beschließt der Bundestag das Lieferkettensorgfaltspflichtengesetz.
- 2023 und 2024
Die Schwelle sinkt auf 1.000
Das Gesetz gilt zunächst ab 3.000 Beschäftigten, ein Jahr später ab 1.000. Der Kreis der betroffenen Unternehmen erreicht seinen Höchststand.
- September 2025
Die Berichtspflicht fällt
Das Bundeskabinett bringt eine Novelle auf den Weg: Die Berichtspflicht entfällt rückwirkend, der Bußgeldkatalog schrumpft. Das BAFA stellt die Berichtsprüfung ein und schaltet das Formular ab.
- bis 2028
Die CSDDD löst das LkSG ab
Die europäische Lieferkettenrichtlinie CSDDD tritt an die Stelle des LkSG. Nach dem Omnibus-Paket greift sie erst ab 5.000 Beschäftigten und 1,5 Mrd. € Umsatz.
Die Rechtslage: LkSG, CSDDD und ein Gesetz im Umbau
Das LkSG gilt weiter, aber in faktisch reduzierter Form: Die Aufsicht nimmt keine Berichte mehr entgegen, der Bußgeldkatalog ist auf schwere Fälle zusammengeschmolzen, das Gesetzgebungsverfahren zur Novelle war zuletzt noch nicht abgeschlossen. Längerfristig soll das LkSG durch ein neues Gesetz abgelöst werden, das die europäische Lieferkettenrichtlinie CSDDD umsetzt.
Die CSDDD wurde durch das Omnibus-Paket ebenfalls stark eingegrenzt: Sie greift erst ab 5.000 Beschäftigten und 1,5 Mrd. € Nettoumsatz, umzusetzen bis Juli 2028. Der Kreis der direkt verpflichteten Unternehmen wird also kleiner, nicht größer. Wer heute unter der LkSG-Schwelle liegt, wird auch unter der CSDDD-Schwelle liegen.
Was der AppCore Audit hier leistet und was nicht
Ein Lieferketten-Risikomanagement baut der AppCore Audit nicht auf, das ist Sache spezialisierter Berater. Was er prüft, ist die Stelle, an der die Lieferkette auf deiner Website sichtbar wird: Aussagen wie faire Lieferketten, sauber produziert oder ohne Kinderarbeit. Die Lösung GreenClaims liest sie aus und zeigt, wo ein Beleg fehlt. Genau dort entsteht das Risiko, das auch nicht verpflichtete Unternehmen trifft.
Die Folgen: Bußgeld für die einen, Abmahnung für die anderen
Für verpflichtete Unternehmen bleibt das Bußgeld möglich, aber nur noch bei gravierenden Verstößen. Hinzu kommt eine Folge, die oft unterschätzt wird: der Ausschluss von öffentlichen Ausschreibungen. Der trifft härter als jede Geldbuße, weil er den Markt verschließt.
Für alle anderen liegt das Risiko bei der Aussage, nicht beim Gesetz. Wer mit fairen Lieferketten oder sauberer Produktion wirbt, macht eine Werbeaussage, die belegbar sein muss. Ohne Nachweis ist sie über das Wettbewerbsrecht abmahnfähig, unabhängig davon, ob das LkSG greift.
Was jetzt sinnvoll ist
Drei Fragen ordnen die Lage. Erstens: Haben wir mehr als 1.000 Beschäftigte? Wenn nein, gelten die Pflichten nicht für uns, auch nicht über den Umweg eines Großkunden. Zweitens: Was verlangen unsere Kunden vertraglich, und ist das angemessen? Drittens: Was behaupten wir selbst auf unserer Website über unsere Lieferkette, und können wir es belegen?
Für die meisten kleinen und mittleren Betriebe ist die dritte Frage die einzige mit unmittelbarer Kostenfolge. Sie hat mit dem LkSG rechtlich nichts zu tun und wird gerade deshalb übersehen. Wer erleichtert feststellt, nicht betroffen zu sein, prüft selten noch, was auf seiner Nachhaltigkeitsseite steht.
Genau hier setzt der AppCore Audit an. Er liest die Aussagen zu Lieferkette und Nachhaltigkeit systematisch aus, ordnet jede nach Risiko ein und zeigt, wo ein Beleg fehlt. Die Sorgfaltspflicht bleibt die Pflicht der Großen. Die Aussage auf deiner Website ist deine.
Wo stehst du gerade?
Dann prüfe, was davon rechtlich verlangt ist und was nur vertraglich gefordert wird. Pauschale Garantien und überfordernde Vorgaben hält das BAFA ausdrücklich für unangemessen. Du verhandelst, du erfüllst nicht.
Dann bleibt eine Pflicht, auch ohne LkSG: Was du über deine Lieferkette sagst, musst du belegen können. Der AppCore Audit liest deine Aussagen aus und zeigt dir, wo der Nachweis fehlt.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.