BAFA-Risikoprofil
BAFA-Risikoprofil
Das BAFA-Risikoprofil ist die strukturierte Bewertungs-Heuristik der Bundesanstalt für Wirtschafts- und Ausfuhrkontrolle, mit der Unternehmen die menschenrechts- und umweltbezogenen Risiken ihrer Lieferanten nach §5 LkSG abstrakt und konkret zu ermitteln, zu gewichten und zu priorisieren haben.
Detaillierte Erklärung
Das Profil basiert auf der BAFA-Handreichung Risiken ermitteln, gewichten und priorisieren, deren Erstfassung im August 2022 publiziert und in der Aktualisierung von 2024 um sektorale Schwellenwerte und eine Risiko-Matrix-Vorlage ergänzt wurde. Der Aufbau folgt dem Drei-Schritt-Modell der BAFA. Erstens die Vorbereitung mit Sammlung von Geschäftsdaten, Sourcing-Standorten, Produktionsverfahren und Stammdaten der direkten Lieferanten. Zweitens die abstrakte Risikoanalyse, die ohne Lieferantenbezug nur über Sektor-Risiko (etwa Textilien, Bergbau, Elektronik, Bau) und Länder-Risiko (BAFA-Risikodatenbank mit Quellen wie ITUC Global Rights Index, Transparency International CPI, US TIP Report, ILO Country Reports) eine Heatmap für die 11 LkSG-Schutzgüter erstellt. Drittens die konkrete Risikoanalyse, die einzelne unmittelbare Lieferanten anhand von Selbstauskunft, Audits, Zertifikaten (SA8000, SMETA, BSCI) und Indikatoren wie Produktionsstätten-Transparenz bewertet. Die jährliche Risikoanalyse nach §5 Abs. 1 LkSG und die anlassbezogene Analyse nach §5 Abs. 4 LkSG sind getrennt zu dokumentieren. Seit dem 1.1.2024 erstreckt sich der LkSG-Anwendungsbereich auf Unternehmen ab 1.000 Beschäftigten in Deutschland; die EU-CSDDD ergänzt den Rahmen ab 2027 progressiv für Unternehmen ab 1.000 Mitarbeitern und 450 Mio. Euro Umsatz und verschärft die zivilrechtliche Haftung.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Hessischer Maschinenbauer mit 1.420 Beschäftigten und 312 unmittelbaren Lieferanten erstellt 2026 die jährliche Risikoanalyse. Die abstrakte Bewertung identifiziert 4 Cluster mit erhöhtem Risiko: 18 Lieferanten elektronischer Baugruppen aus Vietnam und Malaysia (Sektor: Elektronik, Land: erhöht), 7 Stahlguss-Lieferanten aus Indien (Sektor: Metallverarbeitung, Land: hoch), 12 Verpackungs-Lieferanten aus der Türkei (Sektor: Papier/Druck, Land: erhöht) und 4 Textil-Lieferanten für Schutzbekleidung aus Bangladesch (Sektor: Textil, Land: hoch). Die konkrete Bewertung ergibt nach Selbstauskunft mit 87 Prozent Rücklauf und 14 Audits durch ein externes SMETA-Audithaus, dass 6 Lieferanten in Bangladesch und Indien Hochrisiko-Status erhalten und in den Präventionsplan überführt werden. Die Risikomatrix dokumentiert je Lieferant Eintrittswahrscheinlichkeit von 1 bis 5 und Schadensschwere von 1 bis 5 für die 11 LkSG-Schutzgüter, das Maximum-Score-Modell führt zu einer Prioritätsliste der Top-25-Risikolieferanten. Der BAFA-Bericht 2026 wird über das Online-Portal mit 38 Pflichtfeldern und 24 Anhängen eingereicht; das Vertragsmanagement-System hält 6 Versionsstände der Risikomatrix vor.
Typische Fehler & Verhandlungskontext
Vier Schwächen zeigt die BAFA-Prüfpraxis. Erstens reduzieren Unternehmen die abstrakte Risikoanalyse auf eine reine Länderbetrachtung und ignorieren das Sektorrisiko, womit ein deutscher Tier-1-Elektroniklieferant fälschlich als unbedenklich eingestuft wird, obwohl seine Vorprodukte aus Hochrisiko-Sektoren stammen. Zweitens beschränken Unternehmen die konkrete Analyse auf den Tier-1, obwohl §5 Abs. 1 LkSG bei substantiierter Kenntnis explizit auf Tier-N erweitert. Drittens fehlt die Verzahnung mit dem Beschwerdeverfahren nach §8 LkSG, womit anlassbezogene Risiken nicht in die Risikomatrix zurückfließen. Viertens wird die Dokumentation in dezentralen Excel-Tabellen statt in einer revisionssicheren Datenbank geführt, was bei einer BAFA-Anlassprüfung mit Aufforderung zur Vorlage innerhalb von 14 Tagen zu Compliance-Bußgeldern bis 8 Mio. Euro nach §24 LkSG führen kann. Im Verhandlungskontext fordern Sie vom Lieferanten eine ausgefüllte Selbstauskunft mit den 28 BAFA-Kernfragen, ein gültiges SMETA-2-Pillar-Audit, das Recht auf eigene Audits binnen 30 Tagen und eine Cure-Period-Klausel von 90 Tagen für identifizierte Risiken vor Vertragskündigung.
Verwandte Begriffe
Verzahnt mit [[risikoanalyse-lieferkette]], [[bafa-pruefung-lksg]] und [[bafa-berichtspflicht-lksg]]. Methodisch verbunden mit [[sektorrisiko]], [[laenderrisiko]] und [[lieferantenrisikomanagement]]. Auditseitig flankiert von [[sedex-smeta-audit]] und [[sozialaudit]]. Vertragsrechtlich angekoppelt an [[code-of-conduct-lieferanten]] und [[sorgfaltspflicht-lieferkette]].