1.1 Nicht auf Compliance, sondern auf die Wirkung kommt es an
Unternehmen sollten sich nicht allein auf Zertifikate und Audits verlassen. "Viele Unternehmen und selbst Medien betrachten Zertifikate und die vermeintliche Überwachung von Zulieferern als Inbegriff der Sorgfaltspflicht. Das gaukelt falsche Sicherheit vor", findet Johannes Blankenbach, Referent beim Business & Human Rights Resource Centre in Berlin. Unternehmen haben entsprechende Systeme und Instrumente für Compliance etabliert. Aber das spricht sie nicht von ihren Sorgfaltspflichten und der Verantwortung frei. "Es kommt auf wirksame Maßnahmen für Rechteinhaber und Umwelt an".
1.2 Blindspots von Audits können gefährlich werden
Die meisten Audits sind nicht explorativ. Das heißt, die Standards beruhen auf geschlossenen Fragen, die es abzuhaken gilt. Das funktioniert dann gut, wenn man weiß, was passieren kann. Allerdings ist das kaum zu leisten, denn selbst fundierte Audits haben einen bestimmten Fokus und können nie alles abdecken. Wer sich auf Sozialaudits verlässt, übersieht möglicherweise die Risse in einem Produktionsgebäude. So kommt es trotzdem zu Tragödien wie dem Einsturz von Rana Plaza in Bangladesch oder dem Brand bei Ali Enterprises in Pakistan. Beide Unternehmen wurden kurz vor dem Vorfall auditiert.
In einer Studie von Germanwatch von 2022 wurden Zertifizierungen der Rohstoffindustrie untersucht. Demnach bewertet etwa der Due Diligence Standard der Responsible Mineral Initiative (RMI), "inwieweit Rohstoffschmelzen und Raffinerien Managementprozesse der menschenrechtlichen Sorgfalt gemäß den OECD-Leitlinien in ihren Lieferketten umsetzen, ohne jedoch die Produktionsstätten selbst auf die Einhaltung von ESG-Belangen hin zu überprüfen". RMI beauftrage zwar selbst den Zertifizierungsdienstleister mit dem Audit, sodass es den Einfluss des zertifizierten Unternehmens reduzieren könne. Doch es beziehe die Rechteinhaber (Beschäftigte oder Menschen, die vor Ort leben) nicht ein und mache die Ergebnisse der Zertifizierung auch nicht transparent. Dass die Umwelt einer Mine nicht mit Arsen verseucht ist, kann ein solches Zertifikat also bspw. nicht bescheinigen. Zudem fokussiert sich die RMI auf die OECD Due Diligence Guidance for Minerals from Conflict-Affected and High-Risk Areas (CAHRAs). Damit sind menschenrechtliche Sorgfaltspflichten nur in beschränktem Ausmaß abgedeckt und auf Hochrisikoländer beschränkt, die gemäß der eigenen Methodologie als solche definiert sind.
Generell sollten Unternehmen bedenken, worauf Audits beruhen und wie sie ablaufen:
- Welche Standards und Teile der Menschenrechts- und Sorgfaltspflichten in der Lieferkette deckt das Audit ab?
- Inwiefern ist das Audit angekündigt oder haben Unternehmen die Möglichkeit, vorab auf anderen Wegen davon zu erfahren und mögliche Missstände zu verschleiern?
- Führt eine unabhängige Partei (third party) das Audit durch oder sind die Auditorinnen und Auditoren vom Zulieferer selbst beauftragt und bezahlt?
- Beziehen Besuche und Befragungen die Rechteinhaber ein und beruhen sie auf Interviews, die in entsprechenden Schutzräumen oder vertrauensvollen Rahmenbedingungen stattfinden?
- Welche Expertise bringen die Auditorinnen und Auditoren mit?
- In welchem Turnus finden die Audits statt (in der Regel alle 1 bis 3 Jahre)?
Die Standards und Zertifizierungen bilden inzwischen ein eigenes Ökosystem und Geschäftsfeld. Manche ergänzen sich gegenseitig. Der Zertifikate-Dschungel ist nicht einfach zu durchschauen, wobei hier vor allem große Unternehmen schon viel Erfahrung und Expertise haben. Dennoch bleiben Blindspots. Der Helpdesk Wirtschaft & Menschenrechte, das Unternehmen eine unabhängige Beratung anbietet, brachte 2022 ein Infopaket zur Rolle von Audits im Sorgfaltsprozess heraus. "Bei einem Audit [...] handelt es sich stets um eine Momentaufnahme, die Auskunft über die übliche Situation vor Ort geben kann, aber nicht muss", heißt es in dem Papier. Zeitgründe, Gefälligkeit gegenüber dem Auftraggeber, zu gering qualifiziertes Personal oder Korruption – all das kann die Ergebnisse beeinflussen und dazu führen, dass Unternehmen die tatsächlichen Verhältnisse vor Ort falsch einschätzen. "Ein Zertifikat ist bestenfalls ein gutes Abbild im Moment, schlechtestenfalls ein reines Feigenblatt", resümiert auch Johannes Blankenbach.
1.3 Es gibt keine "sicheren Zulieferer-Länder"
Das LkSG sieht vor, dass eine Risikoanalyse erstellt und bestehende Risiken priorisiert werden dürfen. Kritisch ist die Frage, ob ein Unternehmen Risiken richtig und sorgfältig einschätzen kann.
Es gibt Indikatoren dafür, wie es in bestimmten Ländern um Umweltschutz und Menschenrechte bestellt ist. Marokko belegt z. B. auf dem Environmental Performance Index Platz 160 von 180. Zum Vergleich: Australien liegt auf Platz 17. Daraus folgt zwar einerseits, dass Unternehmen sich die Umweltschutzmaßnahmen in Marokko genauer anschauen sollten. Anderseits ist man selbst in Australien oder Europa nicht vor Verstößen gefeit. "Risiken lassen sich nicht ausschließlich anhand von geographischen Grenzen erschließen", sagt Alex Graf, Senior Consultant von Kumi Consulting, einer Beratung, die unter anderem auf Due...