Audits und Zertifizierungen: Risiken und Chancen für nachhaltige Lieferketten 

Diese Form der Selbstregulierung wurde in den vergangenen Jahrzehnten durch drei wesentliche Impulse neu bewertet: Einerseits wurde durch Berichterstattung über fahrlässig verursachte Katastrophen oder zu Unrecht verliehene Zertifikate die Fehleranfälligkeit der Audit- und Zertifizierungsindustrie zunehmend in das öffentliche Bewusstsein gerückt. Die Zuverlässigkeit der Kontrolle von freiwillig – und damit frei – festgelegten Standards in einem nicht-reglementierten Bereich wurde dadurch vermehrt infrage gestellt. Andererseits hat sich die Einsicht manifestiert, dass bloß freiwillige Selbstverpflichtungen nicht zur gewünschten Herbeiführung einer nachhaltigeren unternehmerischen Praxis ausgereicht haben. Hier sind insbesondere die OECD-Leitsätze für multinationale Unternehmen zu verantwortungsvollem unternehmerischem Handeln sowie die UN-Leitprinzipien für Wirtschaft und Menschenrechte zu nennen. So setzte sich in jüngster Vergangenheit auch in sog. „Standortländern“ im globalen Norden die Rechtsauffassung durch, nach welcher Unternehmen im Rahmen ihrer unternehmerischen Aktivität auch Verantwortung für die negativen Auswirkungen derselben auf Menschenrechte und Umwelt tragen. Dass stabile Lieferketten darüber hinaus auch zu einer erhöhten Resilienz des Unternehmens beitragen können, wurde insbesondere im Zuge die Pandemie offenkundig. Aktuell wird auch auf UN-Ebene an einem verbindlichen, globalen Instrument betreffend die unternehmerische Sorgfaltspflicht verhandelt.

Der derzeit stattfindende Trend kann als Überführung von ehemaligen „soft law“ in rechtlich verbindliche Vorschriften beschrieben werden. Als prominente Beispiele im europäischen Kontext können hierbei die EU-Entwaldungsverordnung, die EU-Lieferkettenrichtlinie oder die EU-Zwangsarbeitsverordnung genannt werden. Diese Regelwerke bedeuten, dass Unternehmen - und in der Folge auch die etwaig von ihnen beauftragten Auditunternehmen – nunmehr einer stärkeren Kontrolle und damit einhergehend einer Sanktion bei Nichterfüllung unterliegen. Dies wird auch zu einer diesbezüglichen Anpassung der derzeitigen Praxis in der Audit- und Zertifizierungsindustrie führen. Das Thema erhält insbesondere angesichts der EU-Lieferkettenrichtlinie und der künftig verbindlich zu befolgenden Sorgfaltspflichten eine neue Dynamik: zwar werden Audits und Zertifizierungen auch weiterhin nicht EU-weit harmonisiert geregelt. Praktisch werden diese jedoch im Rahmen der Erfüllung der Richtlinie durch Unternehmen eine große Rolle spielen. So wird die (freiwillige) „Überprüfung durch unabhängige Dritte“ auch an mehreren Stellen der Richtlinie ausdrücklich erwähnt.

Die Überprüfung eines Unternehmens auf menschen- und umweltrechtliche Aspekte kann sowohl positive Aspekte (die Sichtbarmachung von Problemen und die darauf folgende Reaktion des Unternehmens darauf) als auch negative Aspekte (fälschlich ausgestellte Zertifikate und dadurch fahrlässig verursachte Unfälle; Täuschung von Verbraucher:innen über die Eigenschaften eines Produkts oder einer Dienstleistung) mit sich bringen. Zusätzlich zur Schwierigkeit, in einem vertraglichen Schuldverhältnis (d.h. der Auftrag zur Durchführung des Audits) die völlige Unabhängigkeit des Auditunternehmen sicherzustellen, lassen sich darüber hinaus über die gesamte Auditindustrie hinweg Dynamiken erkennen, welche von Wettbewerb und uneinheitlichen Standards geprägt sind.

Insbesondere im Zuge der nationalen Umsetzung der EU-Lieferkettenrichtlinie stellt sich somit die Frage nach der menschenrechtlichen Bewertung und Einordung von Audits- und Zertifizierungen unter den nunmehr verbindlich geltenden Regelungen. Im Dezember 2024 wurde die Studie „Audits und Zertifizierungen im Kontext menschenrechtlicher und umweltbezogener Sorgfaltspflichten von Unternehmen“ vom Ludwig Boltzmann Institut für Grund- und Menschenrechte (LBI-GMR) und dem Institut für Nachhaltigkeit, Unternehmensrecht und Reporting (INUR) der Universität zu Köln abgeschlossen. Die Studie entstand in Kooperation mit der AK Wien als Fördergeberin und widmet sich einer ausführlichen Auseinandersetzung mit der Thematik vor dem Hintergrund der nationalen Umsetzung und Anwendung der EU-Lieferkettenrichtlinie. Im Folgenden sollen einige wenige der wesentlichen Erkenntnisse der Studie vorgestellt werden.

Audits und Zertifizierungen: ein weiter Begriff

Audit- und Zertifizierungsunternehmen können keine Sorgfaltspflichten für das Unternehmen übernehmen. So kann auch ein (positiv) abgeschlossene Überprüfung im Rahmen eines Audits weder als Nachweis einer nachgekommenen Sorgfaltspflicht gewertet werden noch das Unternehmen von der Haftung im Schadensfall befreien („safe harbour“). Vielmehr kann eine solche Überprüfung durch unabhängige Dritte das Unternehmen bei der Erfüllung der Sorgfaltspflichten unterstützen, indem sie auf bestehende Risiken aufmerksam macht. Demzufolge liegt ein etwaiger Mehrwert einer solchen Überprüfung weniger in ihrem positiven oder negativen Ergebnis begründet als vielmehr darin, wie das Unternehmen auf das Ergebnis und die Inhalte dieser Überprüfung reagiert.

Audits sind also kein Selbstzweck: So stellt die Studie selbst zu Beginn auch fest, dass der bloße Einsatz von Audits „bislang noch nicht dazu geführt hat, dass private Akteure Fortschritte bei der Einhaltung menschenrechtlicher und umweltbezogener Sorgfaltspflichten machen“. So würden „nur wenige Hinweise auf unmittelbar positive Effekte hinsichtlich der Einhaltung menschenrechtlicher und umweltbezogener Sorgfaltspflichten“ aufgrund des Einsatzes von Audits existieren. Das grundsätzlich vorhandene, positive Potential könnte aber durch die Überwindung derzeitiger Hindernisse genutzt werden.

Zunächst muss die Rechtsunsicherheit gemindert werden, die derzeit sowohl für Unternehmen als auch Verbraucher:innen betreffend Audits besteht. Ursache hierfür sind die sehr unterschiedlichen und fragmentierten Standards am derzeitigen Markt. Durch diese Uneinheitlichkeit sind in der Vergangenheit rechtliche wie praktische Unschärfen im Umgang mit Audits hervorgegangen. Eine Vereinheitlichung von sowohl dem Einsatz als auch den Prüfkriterien könnte einerseits Rechtssicherheit betreffend den Standard und die Vergleichbarkeit von verschiedenen Auditsystemen bieten, gleichzeitig aber auch die negativen Folgen von Wettbewerb innerhalb der Auditindustrie eindämmen. Die Studie hat diesbezüglich die folgenden Erfordernisse herausgearbeitet, die einen Weg hin zu effektiven und effizienten Audits und Zertifizierungen weisen können.

Staatlicher Regelungsrahme

Die freie Wahl des Audit- bzw. Zertifizierungsunternehmen kann in einem wettbewerbsbedingten Markt zu einem „race to the bottom“ führen, in welchem eine stärkere Nachfrage nach billigeren – aber qualitativ minderwertigeren - Audits vorherrscht als nach teureren Angeboten. Durch minderwertige oder fehlerhafte Auditleistungen können jedoch negative Auswirkungen auf die Menschenrechte und die Umwelt nicht ausgeschlossen werden: denn weder können Unternehmen auf nicht festgestellte Risiken angemessen reagieren noch kann ausgeschlossen werden, dass durch Vertrauen auf ein vermeintlich positiv abgeschlossenes Audit Risiken minimiert und künftige Schäden verhindert werden können. Durch die Vorgabe von klaren, staatlichen Regelungen und der effektiven Implementierung derselben können insofern negative Auswirkungen von Wettbewerb (Preisdumping, Qualitätseinbußen, niedrige Sozial-, Arbeits- und Umweltstandards zwecks Kostensenkung) abgemildert werden.

Ähnlich zu vergangenen Maßnahmen etwa im Bereich der Abschlussprüfung bietet es sich insofern an, auch für die Auditindustrie klare Regelungsstrukturen zu fordern. Denn auch bei der Standardsetzung im Rahmen von sog. „Multi-Stakeholder-Initiativen“ (MSI) kann wiederum nicht ausgeschlossen werden, dass ein bloßer Mindeststandard nach dem Prinzip des kleinsten gemeinsamen Nenners das Ergebnis bleibt. Auch freiwillige Prüfsysteme erfordern somit staatliche Kontrolle – gleichzeitig wird aber festgehalten, dass angesichts diverser regional bzw. national unterschiedlicher Herausforderungen idealerweise sowohl staatliche als auch private Prüfungen vorgenommen werden sollten.

Präzise Standards

Unpräzise oder vage formulierte Standards führen dazu, dass Audit- und Zertifizierungsunternehmen zu viel Raum zur individuellen Ausgestaltung ihrer Leistung hätten, womit wiederum keine einheitliche, vergleichbare Leistung über die Industrie hinweg sichergestellt werden kann. Dadurch wird Anbieter:innen von Audits zu viel Spielraum für eine eigene - stark wettbewerbsorientierte - Auslegung gelassen. Es braucht somit klar definierte Regelungen, die nicht nur Rechtssicherheit und Vorhersehbarkeit betreffend der in Auftrag gegebenen Leistung sondern auch eine stärkere Vereinheitlichung des Begriffs einer „Auditleistung“ ermöglichen.

Sorgfaltspflichten für Auditierende

Müssen Audit- oder Zertifizierungsunternehmen auch selbst Sorgfaltspflichten beachten, wenn sie andere Unternehmen auf dieses Kriterium hin überprüfen? Zunächst ist diese Frage natürlich dann zu bejahen, wenn das Audit- oder Zertifizierungsunternehmen selbst in den persönlichen Anwendungsbereich der Richtlinie fällt. Hier gilt es zu beachten, dass selbst bei allfälligen Auslagerungen von Bestandteilen des Audits (im Zuge von bspw. Vor-Ort-Prüfungen) diese in den vorgelagerten Teil der „Aktivitätskette“ fallen würden und damit von der Sorgfaltspflicht nach der EU-Lieferkettenrichtlinie erfasst wären.

Zumindest für diskussionswürdig erachtet die Studie in diesem Zusammenhang eine künftige Überarbeitung der Definition der „Aktivitätskette“ in der Richtlinie: Im Zuge einer solchen Überarbeitung könnte eine Ergänzung der Sorgfaltspflicht „um sektorspezifische Zusätze“ erfolgen, um besonderen Gegebenheiten in Risikosektoren angemessen Rechnung tragen zu können. Hier wäre es zudem denkbar, die Auditindustrie selbst als einen solchen „Risikosektor“ zu bezeichnen. Dadurch würden auch Audit- bzw. Zertifizierungsunternehmen von einer höheren Rechtssicherheit profitieren, insbesondere betreffend ihre Prüftätigkeit und daraus resultierende Haftungsfolgen.

Transparenz und wirksame Beschwerdemechanismen

Ein transparenter Umgang mit Audits und deren Ergebnissen sowie ein offener Diskurs über Voraussetzungen und Begründungen von Zertifikaten kann eine effektive Beteiligung und Einbeziehung von Interessensträger:innen (s.u.) und der Öffentlichkeit ermöglichen. Dies kann in der Folge auch zur Setzung und Überwachung von Mindeststandards beitragen. Ein solcher Mechanismus muss insbesondere auch der Zivilgesellschaft einen niederschwelligen Zugang ermöglichen sowie ein wirksames Schutzsystem für Hinweisgeber etablieren. Zur Ermöglichung der behördlichen Durchsetzung muss an einen wirksamen Beschwerdemechanismus auch ein Sanktionsmechanismus geknüpft werden. So sei laut Studie ein „ein funktionierendes, idealiter separates Haftungsregime für Auditierende bzw. Zertifizierende unerlässlich.“

Unabhängigkeit von Auditierenden

Auditierende bzw. Zertifizierende werden in der Richtlinie unter dem Begriff „unabhängige Dritte“ subsumiert, welche u.a. völlig unabhängig von dem überprüften Unternehmen sowie frei von Interessenkonflikten und externer Einflussnahme zu agieren haben. Nur: wie kann eine solche Unabhängigkeit gewährleistet werden, zumal in einem vertraglichen Auftragsverhältnis und den dadurch inhärenten Interessenskonflikten?

Die Studie stellt einerseits fest, dass die Bezahlung sowie die Existenz einer Beauftragung jedenfalls nicht ergebnisabhängig erfolgen darf. Umgekehrt darf das Auditunternehmen auch kein Ergebnis vom Wunsch abhängig machen, künftig erneut von demselben Unternehmen beauftragt zu werden. Neben einer maximalen Höchstlaufzeit für Auditverträge könnte auch ein Rotationsprinzip eingeführt werden, wonach das Unternehmen sein Prüfunternehmen regelmäßig zu wechseln hat. Als weitere Möglichkeit wird u.a. eine einheitliche Bezahlung in Form einer Gebührenordnung (wie bei anderen Sachverständigen üblich) vorgeschlagen, um den Wettbewerb und den Preisdruck in der Industrie zu mäßigen.

Eine einheitliche zivilrechtliche Haftung

Zusätzlich zur Verhängung von Sanktionen (Art. 27) sieht die Richtlinie auch eine zivilrechtliches Haftungsregime für tatsächlich eingetretene Schäden vor (Art. 29). Die Verantwortung für die Einhaltung der Sorgfaltspflichten (und damit für schuldhaft verursachte Schäden) trägt zwar immer das betreffende Unternehmen. Dieses wird sich in der Folge bei Vorliegen von (Mit-)Verschulden des Auditunternehmens (insb. bei mangelhafter Überprüfung) auch im Innenverhältnis bei diesem verhältnismäßig regressieren.

Neben diesem Regress ist jedoch auch die direkte zivilrechtliche Haftung des prüfenden Unternehmens von Relevanz. Denn oft wurde in der Vergangenheit die Erlangung von Schadenersatz durch juristische Schuldzuweisungen zwischen geprüften und überprüfenden Unternehmen erheblich erschwert oder vereitelt. Geht ein Anspruch gegen das betreffende Unternehmen ins Leere, liegt als folgender Schritt der Rechtsweg gegen das Auditunternehmen nahe. Die Inanspruchnahme des Audit- bzw. Zertifizierungsunternehmen wird jedoch wiederum durch die komplexe Dreieckstruktur der Beteiligten erschwert: so besteht zwar ein vertragliches Verhältnis zwischen den beiden Unternehmen zueinander, nicht aber zwischen dem prüfenden Unternehmen und den zu Schaden gekommenen Arbeiter:innen oder deren Hinterbliebenen.

Auf EU-Ebene hindert die fehlende Harmonisierung eine Vereinheitlichung der Haftungsregelungen diesbezüglich. In Österreich könnte etwa die Konstellation des „Vertrags mit Schutzwirkung zugunsten Dritter“ im Einzelfall aussichtsreich sein. Im Sinne der Rechtssicherheit wird dennoch eine unionsweite einheitliche Kodifizierung der zivilrechtlichen Haftung von „unabhängigen Dritten“ bei nicht ordnungsgemäßer Durchführung der Prüfungsleistung befürwortet – was auch hinsichtlich der Befolgung von etwaigen eigenen Sorgfaltspflichten durch Prüfunternehmen von Nutzen wäre.

Eine effektive Einbeziehung von Stakeholder

Viele rein praktische Herausforderungen in der Einbeziehung von Interessensträger:innen bleiben in der Richtlinie ungeklärt: so wird in der Studie etwa das Problem der „bewusst selektiven Einbindung von Stakeholder“ behandelt (wenn also im Rahmen einer Befragung im Unternehmen nur jene Arbeitnehmer:innen befragt werden, die zu vergleichsweise besseren Arbeitsbedingungen beschäftigt sind). Darüber hinaus ist nicht immer davon auszugehen, dass Arbeitnehmer:innen in der Lage sind, wahrheitsgemäß zu antworten. In vielen Ländern ist bereits die bloße Formierung zu Arbeitnehmer:innenvertretungen oder Gewerkschaften verboten oder nur sehr eingeschränkt möglich; teilweise wird die Gründung von Gewerkschaften auch von den Unternehmen untersagt und mit Repressalien unterdrückt.

Die Studie schlägt vor, gezielt darauf gerichtete Schutzmaßnahmen in privatrechtliche Verträgen zwischen Unternehmen sowie in globale Rahmenübereinkünfte oder MSI aufzunehmen. Die Richtlinie verlangt, dass Unternehmen bei der Konsultation von Interessenträgern Hindernisse für ihre Einbeziehung ermitteln, beseitigen und sicherzustellen haben, dass konsultierte Interessensträger nicht Opfer von Repressalien sind. Die Studie gelangt zum Schluss, dass dies jedenfalls auch für Auditunternehmen in ihrer unterstützenden Tätigkeit gelten sollte. Wird die Konsultation von Interessensträger:innen als Teil der notwendigen Sammlung von erforderlichen Informationen über tatsächliche oder potenzielle negative Auswirkungen verstanden, liegt gar die Annahme einer effektiven Pflicht der Einbeziehung von Interessensträger:innen nicht fern - und zwar direkt aus der Richtlinie, unabhängig von einer expliziten, nationalen Bestimmung dahingehend.

Fazit und Ausblick

Mangels rechtlich verbindlicher, EU-weit harmonisierter Vorschriften für Audits und Zertifizierungen stehen der Etablierung von effektiven Standards noch manche offenen Fragen bevor. Auch die EU-Lieferkettenrichtlinie bewertet den Einsatz von Audits- und Zertifizierungen weiterhin als eine freiwillige Unterstützungs- bzw. Begleitmaßnahme, weshalb sie auch keine rechtlich verbindlichen Regelungen zu dieser beinhaltet. Hier bleibt zu hoffen, dass die angekündigten Leitlinien der Kommission Klarheit schaffen können. Sollten diese wie angekündigt erst verhältnismäßig spät veröffentlicht werden wäre das unklug: Denn dann können diese Leitlinien nicht mehr effektiv in der Vorbereitungsphase der zuerst erfassten (sehr großen) Unternehmen herangezogen werden.

Zusammengefasste „Good Practices“ der Vergangenheit können hier zwar durchaus eine Anleitung hin zu einer in der Wirkung positiven Nutzung von Audits bieten – und damit letzten Endes zu einer Verbesserung der Situation für Beschäftigte und Umwelt. Tatsächliche „Best Practice“ Beispiele müssen sich jedoch erst noch etablieren und bleiben womöglich mehr ein anzustrebendes Ziel als eine erreichbare Realität; dies auch aufgrund struktureller Probleme (wie bereits angeführt): Denn immerhin können Audits stets nur eine Momentaufnahme liefern und keine allgemeine Aussage zur generellen Einhaltung von Menschen- und Umweltrechten treffen. Dazu kommt die fehlende oder nur unzulängliche staatliche Überwachung, mangelnde Ausbildung von Auditierenden, fehlende Objektivität und Unabhängigkeit aufgrund der vertraglichen Nahebeziehung zwischen Auftraggeberin und -nehmerin sowie der allgegenwärtigen Konkurrenzdruck unter den Auditierenden und damit verbundene Effektivitäts- und
Effizienzeinbußen.

Eine wesentliche Einschätzung der Studienautor:innen lautet demnach auch: „[Audits und Zertifizierungen] stellen Hilfsmittel dar, jedoch keinen Selbstzweck oder gar eine Garantie für die Abwesenheit von schlechtem Management, Unfällen, Betrug oder Korruption“. Im Zusammenhang mit der Umsetzung der Lieferkettenrichtlinie, in deren praktischen Vollzug die Überprüfung durch unabhängige Dritte eine nicht unbedeutende Rolle spielen werden, stellt die vorliegende Studie einen wichtigen, fundierten Beitrag zum Verständnis der derzeitigen Herausforderungen dar und bietet bereits klare Ideen zu deren Lösung an. Es bleibt zu hoffen, dass auch andere Akteur:innen diese Lösungen aufgreifen oder eigene Lösungskompetenz an den Tag legen anstatt vor etwaiger noch offener Fragestellungen zurückzuschrecken.