Sie sind hier: Home » Markt » Hintergrund

Absichern entlang der Lieferkette


Herausforderung Lieferkettensorgfaltspflichtengesetz – Aber für wen eigentlich?
Für die IT-Security ergeben sich zusätzlich zu diesem Zugzwang weitere Herausforderungen



Von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro

Das Lieferkettensorgfaltspflichtengesetz (LkSG) sieht für die betroffenen Unternehmen vor, "menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten" (§ 3 Abs. 1 Satz 1 LkSG). Vom Gesetzestext selbst könnten sich viele Unternehmen jedoch erst einmal unbeeindruckt fühlen. Denn entweder gibt es keine Überschneidungen mit den im Gesetz genannten "menschenrechtlichen und umweltbezogenen" Risiken oder sie selbst gehören nicht zu genannten Unternehmen mit mindestens 3.000 Mitarbeitenden.

Bei der Umsetzung des Lieferkettensorgfaltspflichtengesetzes in Deutschland handelt es sich in den meisten Fällen jedoch nicht um rechtliche, sondern vielmehr vertragliche Verpflichtungen für Zulieferer. Diese Verpflichtungen geben größere Unternehmen vor, um die nötigen Standards gewährleisten zu können, wodurch kleinere Zulieferer gezwungen sind, sich ebenfalls an die Sorgfaltspflichten zu halten. Rechtlich sind diese Zulieferer also nicht verpflichtet, sollten sie die Vorgaben aber nicht einhalten, können sie auf lange Sicht im Wettbewerb nicht bestehen. Zu diesen Sorgfaltspflichten zählt unter anderem ein proaktives Risikomanagement, das entsprechende Risiken entlang der Lieferkette analysiert. Dazu kommen die regelmäßige Durchführung von Risikoanalysen und das Ergreifen von Abhilfemaßnahmen.

Entscheidend bei der Lieferantenauswahl für Unternehmen ist, die Verlässlichkeit der Zulieferer vorab zu prüfen und konstant zu evaluieren. Denn ein unverlässlicher Lieferant ist im schlimmsten Fall geschäfts- und rufschädigend. Um weiterhin im Wettbewerb bestehen zu können, müssen kleinere Unternehmen und Zulieferer also ihr IT-Security-Niveau ausbauen und ökonomische Nachhaltigkeit nachweisen können.

Für die IT-Security ergeben sich zusätzlich zu diesem Zugzwang weitere Herausforderungen. So sind die Regelungen für den IT- und Security-Sektor nicht konkret festgelegt und auch für die Art und Weise des Nachweises gibt es keine echten Vorgaben. Dementsprechend müssen sich entweder die Hersteller in Deutschland innerhalb der nächsten Jahre auf ein einheitliches Format einigen oder große Unternehmen eigene Vorlagen zum Nachweis definieren und isoliert in der eigenen Lieferkette umsetzen. Für kleine Zulieferer bedeutet das einen erheblichen Mehraufwand, da sie für jeden Kunden ein eigenes Nachweis-Mapping anlegen müssen, was den jeweiligen Compliance-Ansprüchen der Vertragspartner entspricht.

Und wie steht es um die digitalen Menschenrechte?
Die digitalen Menschenrechte stellen eine Besonderheit des Rechtssystems in der EU dar. Am stärksten spürbar sind diese derzeit in der Datenschutz-Grundverordnung (DSGVO), die oft im deutlichen Kontrast zu den Regelungen der Nicht-EU-Ländern steht. Für EU-Bürger fällt demnach der Schutz der eigenen Daten unter Menschenrechte. Ob eine Verbindung von LkSG und DSGVO durchgesetzt wird, ist bisher nicht klar. Denn die digitale Welt wird in den aktuellen LkSG-Fassungen nicht explizit genannt. Zählt die DSGVO jedoch zu den Menschenrechten im Sinne des LkSG, bedeutet das, dass diese in der Lieferkette samt Risikomanagement und Abwehr- und Beschwerdemaßnahmen durchgesetzt werden muss. Also sollten Regelungen, wie Datenhoheit über die eigenen Daten und das Recht auf Vergessen, entlang der gesamten Lieferkette nachvollziehbar und dokumentierbar sein. Demnach werden im Optimalfall in jedem Teil der Lieferkette die folgenden Fragen beachtet: Werden personenbezogenen Daten gesammelt und ist das notwendig? Wie werden diese Daten archiviert?

Fazit
Deutschland ist mit dem LkSG im europäischen Vergleich vorangeprescht. Aber auch auf EU-Seite gibt es entsprechende Überlegungen, wie die Diskussion um das "EU supply chain law initiative", was dem LkSG in der Anwendung ähnlich ist, zeigt. Dieses wird in den Mitgliedsstaaten zwar zunächst kein sofort bindendes Gesetz sein. Jedoch sollen die Vorgaben in angemessener Zeit in nationales Recht umgesetzt bzw., wie in Deutschland, bestehendes Recht angepasst oder erweitert werden. Es bleibt zu hoffen, dass eine einheitliche gesetzliche Vorgabe in den nächsten Jahren in Kraft tritt, damit der Nachweis über die Einhaltung des Lieferkettengesetz ressourcenschonend ablaufen kann. Die Teams kleinerer Unternehmen stehen sonst vor einer enorm zeitaufwändigen und unpräzisen Aufgabe. (Trend Micro: ra)

eingetragen: 19.09.23
Newsletterlauf: 07.11.23

Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hintergrund

  • Datenkontrolle im Zeitalter der KI

    Keepit veröffentlichte ihren Berichts "Intelligent Data Governance: Why taking control of your data is key for operational continuity and innovation" (Intelligente Data-Governance: Warum die Kontrolle über Ihre Daten entscheidend für betriebliche Kontinuität und Innovation ist). Der Bericht befasst sich mit der grundlegenden Bedeutung der Datenkontrolle im Zeitalter der KI, wobei der Schwerpunkt auf der Sicherstellung der Cyber-Resilienz und Compliance moderner Unternehmen liegt.

  • Vorbereitung wird zum Wettbewerbsfaktor

    Zwischen dem 14. und dem 28. April 2025 mussten Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) geraten damit viele IT-Dienstleister ohne unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck.

  • Investitionen in Photovoltaikprojekte

    Vor 25 Jahren schuf das Erneuerbare-Energie-Gesetz (EEG) die Grundlage für den erfolgreichen Ausbau der Photovoltaik in Deutschland. Feste Einspeisevergütungen, garantierte Laufzeiten und unbürokratische Abwicklung sorgten für Vertrauen - nicht nur bei Projektierern, sondern auch bei Banken und institutionellen Investoren. "Diese Planbarkeit ermöglichte umfangreiche Investitionen in Photovoltaikprojekte", weiß Thomas Schoy, Mitinhaber und Geschäftsführer der Unternehmensgruppe Privates Institut. "Die damals garantierten Erlöse deckten Finanzierungskosten, Betriebsausgaben und Risikozuschläge gleichermaßen zuverlässig ab."

  • Bayern verstärkt Kampf gegen Geldwäsche

    Allein in Deutschland ist nach Schätzungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Geldwäsche bis zu 100 Milliarden Euro im Jahr auszugehen. Bayern verstärkt im Kampf gegen Geldwäsche seine Strukturen erneut und erweitert die Kompetenzen der bei der Generalstaatsanwaltschaft München angesiedelten Zentral- und Koordinierungsstelle Vermögensabschöpfung (ZKV) auf Geldwäsche.

  • Von Steuerreform bis Deutschlandfonds

    Benjamin Bhatti, Geschäftsführer der bhatti.pro Steuerberatungsgesellschaft mbH, durchforstet die Wahlprogramme der möglichen Koalitionspartner und betrachtet ihre Steuervorhaben aus wirtschaftlicher und politischer Sicht.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen