Liefern Sie an deutsche Unternehmen? Das bedeutet LkSG für Sie als Lieferant.
Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet große deutsche Unternehmen, jährlich eine Sorgfaltsprüfung bei ihren Lieferanten durchzuführen. Wenn Sie an ein deutsches Unternehmen mit 1.000 oder mehr Mitarbeitern liefern, werden Sie einen LkSG-Fragebogen erhalten.
Key regulations in Germany
LkSG — Lieferkettensorgfaltspflichtengesetz (Sorgfaltspflichtengesetz)
Das LkSG verpflichtet betroffene deutsche Unternehmen, menschenrechtliche und umweltbezogene Risiken in ihren Lieferketten zu identifizieren, zu verhindern und zu beheben. Unternehmen müssen jährliche Risikoanalysen durchführen, Präventivmaßnahmen umsetzen und Beschwerdeverfahren einrichten. Lieferanten werden aufgefordert, Sorgfaltspflicht-Fragebögen auszufüllen und können zur Unterzeichnung von Verhaltenskodizes verpflichtet werden.
BAFA — Bundesamt für Wirtschaft und Ausfuhrkontrolle (Durchsetzungsbehörde)
Das BAFA ist die zuständige Behörde für die Durchsetzung des LkSG. Es kann Prüfungen durchführen, Unterlagen anfordern und Bußgelder verhängen. Sanktionen können bis zu 8 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Unternehmen können außerdem für bis zu 3 Jahre von der öffentlichen Auftragsvergabe ausgeschlossen werden.
CSRD — Corporate Sustainability Reporting Directive (EU)
Die CSRD verpflichtet betroffene Unternehmen zur detaillierten Nachhaltigkeitsberichterstattung nach den European Sustainability Reporting Standards (ESRS). Deutsche Unternehmen, die bereits dem LkSG unterliegen, sind gut positioniert. Für Lieferanten bedeutet dies: LkSG-ähnliche Fragebögen werden zum Standard bei allen EU-Käufern — nicht nur bei deutschen.
CSDDD — Corporate Sustainability Due Diligence Directive (EU)
Die CSDDD ist die EU-Richtlinie, die LkSG-ähnliche Anforderungen in allen EU-Mitgliedstaaten einführen wird. Deutsche Unternehmen, die bereits LkSG-konform sind, werden gut vorbereitet sein. Für Lieferanten bedeutet dies, dass Sorgfaltspflicht-Fragebögen EU-weit zum Standard werden.
German BDSG & BSI Cyber Obligations
Germany implements GDPR through the Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG) with 72-hour breach notification to the relevant state data protection authority (Landesdatenschutzbehörde) or the Federal Commissioner for Data Protection and Freedom of Information (BfDI). Germany's Federal Office for Information Security (BSI — Bundesamt für Sicherheit in der Informationstechnik) coordinates national cybersecurity and mandates incident reporting for critical infrastructure operators (KRITIS) under the IT Security Act 2.0 (IT-Sicherheitsgesetz 2.0). NIS2 implementation through the NIS2UmsuCG requires essential and important entities to report significant incidents to the BSI within 24 hours (initial) and 72 hours (detailed). The BSI issues binding security standards and can impose fines of up to EUR 10 million for NIS2 violations. Suppliers processing German customer data must align incident response to the state DPA 72-hour GDPR window and BSI NIS2 reporting requirements.
What this means for you as a supplier
Wenn Sie an ein deutsches Unternehmen mit 1.000 oder mehr Mitarbeitern liefern, ist dieses Unternehmen gesetzlich verpflichtet, jährlich eine Sorgfaltsprüfung bei Ihnen durchzuführen. Sie werden einen Fragebogen zu Menschenrechtspolitik, Umweltmanagement, Gesundheits- und Sicherheitspraktiken sowie Antikorruptionsmaßnahmen erhalten. Eine unzureichende Antwort kann dazu führen, dass Ihr Käufer die Geschäftsbeziehung beendet oder alternative Lieferanten sucht.
Key dates
Januar 2023
LkSG Phase 1 — Unternehmen mit ≥3.000 Mitarbeitern müssen comply
Januar 2024
LkSG Phase 2 — Unternehmen mit ≥1.000 Mitarbeitern müssen comply
Jährlich
LkSG-Sorgfaltspflicht-Fragebögen an alle direkten Lieferanten
2025
CSRD Phase 1 — große Unternehmen mit >500 Mitarbeitern
2026
CSRD Phase 2 — Unternehmen mit >250 Mitarbeitern oder >40 Mio. € Umsatz
July 2029
CSDDD Phase 1 — EU-weite Lieferketten-Sorgfaltspflicht für größte Unternehmen
2029
CSDDD Phase 3 — Unternehmen mit ≥1.000 Mitarbeitern in allen EU-Mitgliedstaaten
BAFA-Durchsetzung: Was Sie wissen müssen
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) ist die zentrale Durchsetzungsbehörde für das LkSG. Seit Januar 2023 hat das BAFA umfassende Befugnisse zur Prüfung, Untersuchung und Sanktionierung von Unternehmen, die ihren Sorgfaltspflichten nicht nachkommen.
1Prüfungsauslöser (Audit Triggers)
Das BAFA kann eine Prüfung aus eigener Initiative einleiten oder auf Grundlage einer Beschwerde. Typische Auslöser sind:
- •Eingaben von Nichtregierungsorganisationen, Gewerkschaften oder betroffenen Personen
- •Medienberichte über Menschenrechtsverletzungen in der Lieferkette
- •Fehlende oder unvollständige Risikoberichte (§ 10 LkSG)
- •Hinweise aus anderen Behörden oder Zollprüfungen
- •Stichprobenartige Überprüfungen im Rahmen der allgemeinen Marktaufsicht
2Dokumentationspflichten
Im Falle einer BAFA-Prüfung müssen Unternehmen folgende Unterlagen vorlegen können:
Risikoanalyse
Jährliche Dokumentation identifizierter Risiken im eigenen Geschäftsbereich und bei direkten Lieferanten
Präventivmaßnahmen
Nachweis implementierter Maßnahmen zur Risikovermeidung (Verhaltenskodex, Schulungen, Vertragsklauseln)
Abhilfemaßnahmen
Dokumentation von Maßnahmen bei festgestellten Verstößen, einschließlich Zeitplan und Verantwortlichkeiten
Beschwerdeverfahren
Nachweis eines funktionierenden internen oder externen Beschwerdeverfahrens gemäß § 8 LkSG
Lieferantenbefragungen
Ausgefüllte Fragebögen und Selbstauskünfte direkter Lieferanten mit Datum und Unterzeichnung
Jahresbericht
Veröffentlichter Bericht gemäß § 10 LkSG auf der BAFA-Berichtsplattform
3Bußgeldrahmen und Sanktionen
| Verstoß | Max. Bußgeld | Umsatzschwelle |
|---|---|---|
| Keine Risikoanalyse durchgeführt | € 8.000.000 | 2 % des Jahresumsatzes (wenn höher) |
| Keine Präventivmaßnahmen implementiert | € 8.000.000 | 2 % des Jahresumsatzes (wenn höher) |
| Kein Beschwerdeverfahren eingerichtet | € 500.000 | — |
| Kein Jahresbericht veröffentlicht | € 500.000 | — |
| Ausschluss von öffentlichen Aufträgen | Bis zu 3 Jahre | Bei Bußgeldern über € 175.000 |
Quelle: § 24 LkSG. Bußgelder gelten für Unternehmen, nicht für Lieferanten direkt. Lieferanten können jedoch indirekt betroffen sein, wenn ihr Käufer sanktioniert wird.
BAFA-Berichtsplattform (offiziell)
Unternehmen, die dem LkSG unterliegen, müssen ihren jährlichen Bericht gemäß §10 LkSG elektronisch über die offizielle BAFA-Berichtsplattform einreichen. Die Frist beträgt vier Monate nach Ende des Geschäftsjahres.
Kostenlose Checkliste: 6 Schritte zur BAFA-Bereitschaft
Laden Sie unsere strukturierte Checkliste herunter — mit allen sechs Pflichtschritten des LkSG, Dokumentationsanforderungen und dem vollständigen Bußgeldrahmen. Ideal für Steuerberater und Compliance-Verantwortliche.
Checkliste herunterladen (PDF)Was bedeutet das für Sie als Lieferant?
Als Lieferant sind Sie nicht direkt dem BAFA-Bußgeldrahmen ausgesetzt — aber Ihr Käufer ist es. Das bedeutet: Wenn Sie auf LkSG-Fragebögen nicht oder unzureichend antworten, gefährden Sie die Compliance Ihres Käufers und riskieren den Verlust des Auftrags.
Gut vorbereitete Lieferanten, die strukturierte Nachweise zu Menschenrechten, Umwelt und Governance bereitstellen können, werden von deutschen Käufern bevorzugt — insbesondere wenn das BAFA den Druck auf Unternehmen erhöht.
Last reviewed: April 2026. This guide is for general information only and does not constitute legal advice. Regulations change — verify current requirements with a qualified adviser.
LkSG-Fragebogen erhalten?
Laden Sie unsere kostenlose LkSG-Lieferanten-Checkliste herunter — eine Schritt-für-Schritt-Anleitung zur Beantwortung deutscher Käuferanfragen.