Governance & Compliance: LkSG & IT – Transparenz bis zum letzten Subunternehmer
Die neue Ära der Corporate Governance im IT-Sektor
Lange Zeit galt die IT-Branche als „saubere“ Industrie. Im Gegensatz zur Textil- oder Bergbauindustrie schienen Menschenrechtsverletzungen hier weit entfernt. Doch der Blick hat sich geschärft: Ob es um die Gewinnung seltener Erden für Hardware, prekäre Arbeitsbedingungen in Klick-Farmen für KI-Training oder mangelnden Arbeitsschutz in globalen Callcentern geht – die IT-Lieferkette steht unter Beobachtung.
Für IT-Entscheider bedeutet Governance & Compliance im Jahr 2026 weit mehr als nur Datenschutz. Es geht um die ethische Integrität der gesamten Wertschöpfungskette. Das Lieferkettensorgfaltspflichtengesetz (LkSG) bildet hierfür das rechtliche Fundament in Deutschland, wird jedoch aktuell durch europäische Richtlinien wie die CSDDD (Corporate Sustainability Due Diligence Directive) massiv erweitert und harmonisiert.
LkSG Aktuell: Was sich 2026 für Unternehmen ändert
Die regulatorische Landschaft ist im Wandel. Während das LkSG bereits seit 2023 für große Unternehmen gilt, bringen die aktuellen Entwicklungen im Jahr 2026 wichtige Neuerungen:
- Harmonisierung durch CSDDD: Die EU-Lieferkettenrichtlinie wird schrittweise in nationales Recht überführt. Ziel ist ein „Level Playing Field“ in Europa, das auch mittelständische IT-Dienstleister indirekt trifft, wenn sie Zulieferer für große Konzerne sind
- Fokus auf reale Risiken statt Bürokratie: Aktuelle Gesetzesnovellen zielen darauf ab, die rein formale Berichtspflicht (wie die Einreichung beim BAFA) zu verschlanken, während die tatsächlichen Sorgfaltspflichten – also das Risikomanagement und die Abhilfemaßnahmen – verschärft werden
- Sanktionsrisiken: Bei schweren Verstößen drohen Bußgelder von bis zu 2 % des weltweiten Jahresumsatzes. Für IT-Riesen ist dies ein massives finanzielles Risiko
Die IT-Lieferkette verstehen: Transparenz als technologische Herausforderung
In der IT endet die Lieferkette nicht beim unmittelbaren Vertragspartner (Tier 1). Transparenz muss bis zum letzten Subunternehmer gewährleistet sein, sobald substanzielle Risiken bekannt werden.
Risikoanalyse in der IT-Infrastruktur
Ein modernes IT-Unternehmen muss folgende Bereiche unter die Lupe nehmen:
- Hardware-Komponenten: Woher stammen die Chips? Werden Umweltstandards bei der Server-Produktion eingehalten?
- Cloud-Infrastruktur: Welche Subunternehmer betreiben die Rechenzentren? Wie sieht es mit der Energieeffizienz und den Arbeitsrechten vor Ort aus?
- Software-Entwicklung: Werden Teile des Codes durch Outsourcing-Partner in Ländern mit geringen Sozialstandards erstellt?
Umsetzung in der Praxis: IT-Lösungen für die Compliance
Als IT-Professional wissen Sie: Manuelle Excel-Listen reichen hier nicht mehr aus. Um das LkSG in der IT effizient umzusetzen, bedarf es automatisierter Lösungen.
Automatisierung des Risikomanagements
Moderne Compliance-Plattformen nutzen KI-gestützte Analysen, um globale Nachrichtenströme und Datenbanken in Echtzeit zu scannen. Sobald ein Subunternehmer in der dritten Ebene (Tier 3) negativ auffällt – etwa durch Umweltverstöße – schlägt das System Alarm.
- Supplier Onboarding: Integrieren Sie LkSG-Fragebögen direkt in Ihren Beschaffungsprozess.
- Audit-Trails: Dokumentieren Sie jede Entscheidung und jede Risikoanalyse revisionssicher. Dies ist essenziell, um bei einer Prüfung durch Behörden die eigene Sorgfalt nachzuweisen.
Double Opt-in und Datenschutz in der Lieferkette
Interessanterweise überschneiden sich LkSG-Anforderungen oft mit anderen Compliance-Themen. Wenn Sie beispielsweise Informationen von Subunternehmern einholen oder Beschwerdemechanismen einrichten, müssen Sie den Datenschutz wahren. Das Prinzip des Double Opt-in, das Sie vielleicht aus dem Marketing kennen, ist hier ein Sinnbild für die explizite Zustimmung und Verifizierung von Datenquellen und Kommunikationswegen in einem sicheren Portal.
Überblick: Richtlinien und Regulationen für die Energie- & IT-Industrie
Besonders spannend ist die Schnittstelle zur Energiebranche. IT-Infrastruktur verbraucht enorme Mengen an Strom. Daher greifen hier oft zusätzliche Regeln:
| Verordnung / Gesetz | Fokus | Relevanz für IT & Energie |
| LkSG | Menschenrechte & Umwelt | Basis für alle Lieferketten |
| CSDDD | EU-weite Sorgfaltspflichten | Verschärfung & Haftung |
| CSRD | Nachhaltigkeitsberichterstattung | Transparenz in den Geschäftsberichten |
| NIS-2 | Cybersicherheit | Schutz der Lieferkette vor digitalen Angriffen |
Diese Gesetze greifen wie Zahnräder ineinander. Ein Verstoß gegen Umweltauflagen im LkSG kann direkt die ESG-Bewertung unter der CSRD ruinieren und somit Investoren abschrecken.
Fazit: Transparenz als Wettbewerbsvorteil
Governance & Compliance sollten nicht als Last, sondern als Chance begriffen werden. Unternehmen, die ihre Lieferkette bis zum letzten Subunternehmer kennen und steuern, reduzieren nicht nur rechtliche Risiken, sondern steigern ihren Markenwert. In einer Zeit, in der Kunden und Talente nach Werten suchen, ist eine ethisch saubere IT-Lieferkette ein unschlagbares Argument.