In den Hallen der Unternehmenswelt wandelte ein Mann namens Erik Datenbewacher, ein Datenschutzbeauftragter mit einer Vorliebe für Compliance-Themen. Seine Mission: Datenschutz- und Unternehmensrisiken aufzuspüren und zu beseitigen.
Eines Tages erreichte ihn ein verzweifelter Mandant, Herr Müller. Dieser war von einem Kunden zur Einhaltung des Lieferkettensorgfaltspflichtengesetzes aufgefordert worden, obwohl es für sein kleines IT-Unternehmen nicht galt. Herr Müller wusste nicht weiter.
Erik hörte sich Herrn Müllers Geschichte an und erkannte die Dringlichkeit.
Info 1: Wer muss das LkSG einhalten?
Prinzipiell sind vom LkSG nur Unternehmen mit 1.000 oder mehr Mitarbeitern erfasst. Diese Unternehmen müssen die Vorgaben aus dem LkSG erfüllen und die eigenen unmittelbaren und bekannten mittelbaren Zulieferer auf das vorliegende Risikoniveau überprüfen und im Verdachtsfall weitere Nachweise einholen. Wenn ein Verstoß bekannt wird, sind Abhilfemaßnahmen durchzuführen. Diese Abhilfemaßnahmen bleiben dabei nicht komplett am Zulieferer hängen, sondern auch der LkSG-Verpflichtete muss angemessen unterstützen.
Dazu auf einem BAFA-Dokument: „KMU müssen die Pflichten nach dem LkSG nicht selbst erfüllen. Das … (BAFA) … kann und wird KMU auch nicht daraufhin kontrollieren oder mit Sanktionen, wie Bußgeldern, belegen.“
Info 2: Ist es hilfreich, wenn Verpflichtete die Zulieferer „verpflichten“?
Ein verpflichtetes Unternehmen kann laut den, von der BAFA veröffentlichten, FAQs die Pflichten des LkSG nicht pauschal auf die nicht-verpflichteten Zulieferer übertragen. Im Gegenteil: „Um überzogene Forderungen an nicht-verpflichtete Zulieferer … zu vermeiden, sollten Unternehmen in einer … Risikobetrachtung zunächst das Risikoprofil der unmittelbaren Zulieferer … ermitteln.“
Lösungsansatz: Wie soll man mit einer entsprechenden Anforderung umgehen?
Gemeinsam arbeiteten Herr Müller und der Datenbewacher an einer Selbstverpflichtung, die den Kunden zufriedenstellen und die Lage klären sollte. Herr Müller und der Datenbewacher hoffen nun auf Einsicht des Kunden.
So oder so ähnlich hat sich die Geschichte zugetragen und heute – ein paar Tage später – ist in einer Online-Community zudem ein weiterer ähnlicher Fall berichtet worden.
Aus diesem Grund stelle ich die Selbstverpflichtung allen IT-Dienstleistern zur Verfügung, die sich darauf verlassen, dass ich Sie im Dschungel der Compliance-Themen begleite.
ACHTUNG: Haftungsausschluss!
Die Gedanken geben meine persönliche Auffassung wieder und haben keinen Anspruch auf Vollständigkeit und stellen auch keine Rechtsberatung dar!