2023/9 | Fachbeitrag | IT-Sicherheit / Datenschutz

Herausforderung Lieferketten-Sorgfaltspflichten-Gesetz – aber für wen eigentlich?

Ein kürzlich veröffentlichter Leitfaden des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (BAFA) soll nun die Umsetzung des Lieferkettengesetzes zwischen verpflichteten Unternehmen und ihren Zulieferern erleichtern. Das Gesetz selbst, das bereits seit Januar 2023 in Deutschland in Kraft ist, wirft allerdings auch aus IT-Security-Sicht Fragen entlang der Lieferkette auf. Daraus leiten sich neue Herausforderungen für die Unternehmen ab.

Bildquelle: (C) Riki32 / Pixabay

- Kommentar von Udo Schneider, IoT Security Evangelist Europe beim IT-Sicherheitsexperten Trend Micro -

Das Lieferkettensorgfaltspflichtengesetz (LkSG) sieht für die betroffenen Unternehmen vor, "menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten" (§ 3 Abs. 1 Satz 1 LkSG). Vom Gesetzestext selbst könnten sich viele Unternehmen jedoch erst einmal unbeeindruckt fühlen. Denn entweder gibt es keine Überschneidungen mit den im Gesetz genannten "menschenrechtlichen und umweltbezogenen" Risiken oder sie selbst gehören nicht zu genannten Unternehmen mit mindestens 3.000 Mitarbeitenden.

Bei der Umsetzung des Lieferkettensorgfaltspflichtengesetzes in Deutschland handelt es sich in den meisten Fällen jedoch nicht um rechtliche, sondern vielmehr vertragliche Verpflichtungen für Zulieferer. Diese Verpflichtungen geben größere Unternehmen vor, um die nötigen Standards gewährleisten zu können, wodurch kleinere Zulieferer gezwungen sind, sich ebenfalls an die Sorgfaltspflichten zu halten. Rechtlich sind diese Zulieferer also nicht verpflichtet, sollten sie die Vorgaben aber nicht einhalten, können sie auf lange Sicht im Wettbewerb nicht bestehen. Zu diesen Sorgfaltspflichten zählt unter anderem ein proaktives Risikomanagement, das entsprechende Risiken entlang der Lieferkette analysiert. Dazu kommt die regelmäßige Durchführung von Risikoanalysen und das Ergreifen von Abhilfemaßnahmen.

Absichern entlang der Lieferkette

Entscheidend bei der Lieferantenauswahl für Unternehmen ist, die Verlässlichkeit der Zulieferer vorab zu prüfen und konstant zu evaluieren. Denn ein unverlässlicher Lieferant ist im schlimmsten Fall geschäfts- und rufschädigend. Um weiterhin im Wettbewerb bestehen zu können, müssen kleinere Unternehmen und Zulieferer also ihr IT-Security-Niveau ausbauen und ökonomische Nachhaltigkeit nachweisen können.

Für die IT-Security ergeben sich zusätzlich zu diesem Zugzwang weitere Herausforderungen. So sind die Regelungen für den IT- und Security-Sektor nicht konkret festgelegt und auch für die Art und Weise des Nachweises gibt es keine echten Vorgaben. Dementsprechend müssen sich entweder die Hersteller in Deutschland innerhalb der nächsten Jahre auf ein einheitliches Format einigen oder große Unternehmen eigene Vorlagen zum Nachweis definieren und isoliert in der eigenen Lieferkette umsetzen. Für kleine Zulieferer bedeutet das einen erheblichen Mehraufwand, da sie für jeden Kunden ein eigenes Nachweis-Mapping anlegen müssen, was den jeweiligen Compliance-Ansprüchen der Vertragspartner entspricht.

Und wie steht es um die digitalen Menschenrechte?

Die digitalen Menschenrechte stellen eine Besonderheit des Rechtssystems in der EU dar. Am stärksten spürbar sind diese derzeit in der Datenschutz-Grundverordnung (DSGVO), die oft im deutlichen Kontrast zu den Regelungen der Nicht-EU-Ländern steht. Für EU-Bürger fällt demnach der Schutz der eigenen Daten unter Menschenrechte. Ob eine Verbindung von LkSG und DSGVO durchgesetzt wird, ist bisher nicht klar. Denn die digitale Welt wird in den aktuellen LkSG-Fassungen nicht explizit genannt. Zählt die DSGVO jedoch zu den Menschenrechten im Sinne des LkSG, bedeutet das, dass diese in der Lieferkette samt Risikomanagement und Abwehr- und Beschwerdemaßnahmen durchgesetzt werden muss. Also sollten Regelungen, wie Datenhoheit über die eigenen Daten und das Recht auf Vergessen, entlang der gesamten Lieferkette nachvollziehbar und dokumentierbar sein. Demnach werden im Optimalfall in jedem Teil der Lieferkette die folgenden Fragen beachtet: Werden personenbezogenen Daten gesammelt und ist das notwendig? Wie werden diese Daten archiviert?

Fazit

Deutschland ist mit dem LkSG im europäischen Vergleich vorangeprescht. Aber auch auf EU-Seite gibt es entsprechende Überlegungen, wie die Diskussion um das "EU supply chain law initiative", was dem LkSG in der Anwendung ähnlich ist, zeigt. Dieses wird in den Mitgliedsstaaten zwar zunächst kein sofort bindendes Gesetz sein. Jedoch sollen die Vorgaben in angemessener Zeit in nationales Recht umgesetzt bzw., wie in Deutschland, bestehendes Recht angepasst oder erweitert werden. Es bleibt zu hoffen, dass eine einheitliche gesetzliche Vorgabe in den nächsten Jahren in Kraft tritt, damit der Nachweis über die Einhaltung des Lieferkettengesetz ressourcenschonend ablaufen kann. Die Teams kleinerer Unternehmen stehen sonst vor einer enorm zeitaufwändigen und unpräzisen Aufgabe.



Der Autor:

Udo Schneider ist IoT-Security- Evangelist bei Trend Micro. Das Unternehmen hat es sich zum Ziel gesetzt, die Welt für den Austausch digitaler Informationen sicherer zu machen. Es ist davon überzeugt, dass Cyberrisiken gleichzeitig Geschäftsrisiken darstellen. Deshalb ermöglicht Trend Micro Unternehmen vollständige Transparenz und Kontrolle ihrer digitalen Assets. So verstehen sie, wie gut sie geschützt sind und welche Investitionen wichtig sind, um das Risko zu senken.

Bildquelle: (C) Trend Micro

Web: www.trendmicro.com/de_de/business.html

Diese Artikel könnten Sie auch interessieren

Geschäftsprozesse optimieren? So gelingt es nachhaltig!

WISSENplus
Oft entwerfen Unternehmen am "grünen Tisch" Geschäftsprozesse in ihrer Organisation neu. Dann funktioniert deren Einführung meist nicht so reibungslos wie geplant, denn: Wenn sich die Abläufe und Strukturen ändern, muss sich auch das Verhalten der Mitarbeiter ändern. ...

Weiterlesen

To-Dos für die Digital-Agenda: 9 wichtige Punkte, die Sie jetzt in Angriff nehmen sollten!

WISSENplus
Ob Künstliche Intelligenz, hybride Cloud-Lösungen oder nachhaltige IT: In den nächsten Monaten dürften einige Trends, die sich bereits länger am Horizont abzeichnen, an Fahrt aufnehmen. Unternehmen müssen sich damit beschäftigen, wollen sie nicht vom Wettbewerb abgehängt werden. Doch welche Entwicklungen sind zu erwarten? Und welche Maßnahmen sollten Unternehmen in Sachen Digitalisierung im A...

Weiterlesen

6 Fragen, die sich Unternehmen zum GenAI-Einsatz stellen sollten

Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten. Oft nutzen die Mitarbeiter sogar schon einige Tools - was ebenso wie eine überhastete Einführung mit Risiken insbesondere für Datenschutz und Datensicherheit verbunden ist. Um diese Risiken zu vermeiden, ...

Weiterlesen

KI im Projektmanagement: Der Mensch als Erfolgsfaktor!

WISSENplus
Neue Technologien, allen voran die vielbesagte - zugleich beschworene und gefürchtete - KI scheinen dem Menschen in vielen Bereichen den Platz streitig zu machen. Doch etwas darf dabei nicht übersehen werden: Soft Skills bleiben fest in unserer Hand! Immer noch entscheiden zwischenmenschliche Fähigkeiten über Nichterfolg oder Erfolg. Denn: Unternehmen und Projekte bestehen nicht nur aus Zahlen, Te...

Weiterlesen

KI zwischen Innovation und Regulierung

WISSENplus
In der Diskussion um die Nutzung von generativer KI wird immer wieder ein Zielkonflikt zwischen Innovation und Regulierung thematisiert, die sich angeblich gegenseitig behindern. Aber ist das tatsächlich so? Auf den ersten Blick mag das stimmen, aber letztlich ist die rechtskonforme Entwicklung von KI vor allem eine Frage des richtigen Managements. Compliance-Bedenken dürfen daher keine Ausrede dafÃ...

Weiterlesen

Didaktische Reduktion: Weniger ist mehr!

WISSENplus
Effektives Lernen passiert nicht einfach so. Ganz im Gegenteil. Lernen ist ein aktives Tun eines Individuums, das durch entsprechende Anregung ausgeführt wird. Leider ist es in der Welt der beruflichen Erwachsenenbildung oft so, dass diese Tatsache schlicht ignoriert wird. Wohlmeinende Experten referieren stundenlang, durchaus visuell unterstützt mit wenig originellen und dabei inhaltlich völlig Ã...

Weiterlesen

Wissenstransfer in der öffentlichen Verwaltung

WISSENplus
Weiterhin steigt in vielen Behörden die Zahl der Beschäftigten, die in Ruhestand gehen. Viele nehmen wichtiges Erfahrungswissen zu Spezialgebieten mit. Zusätzlich nimmt aber auch der Anteil derer zu, die lange vor dem Ruhestand den Job wechseln, in Elternzeit gehen etc. Immer häufiger müssen daher neue Beschäftigte eingearbeitet und auch Quereinsteigern erstmal Grundlagen vermittelt werden. Ein strukt...

Weiterlesen

KI konkret: Sechs Business Cases entlang des Produktlebenszyklus

Von der Produktentwicklung bis zum Customer Service: Künstliche Intelligenz (KI) transformiert zunehmend Unternehmensprozesse und eröffnet neue Möglichkeiten der Wertschöpfung. Dabei ist es entscheidend, KI-Technologien gezielt und praxisorientiert einzusetzen. Verschiedene KI-Ansätze - von analytischen und prädiktiven Methoden bis hin zu den neuen generativen KI-Modellen (GenAI) - bieten unters...

Weiterlesen