Lieferkettengesetz & Datenschutz für KMU – Praktische Sorgfaltspflichten in der Supply Chain

Datenschutz
Verfasst von Pietro Maniscalco

Andreas Gutsell

24.September, 2025

Seit 2025 betrifft das Lieferkettensorgfaltspflichtengesetz (LkSG) auch Unternehmen ab 1.000 Mitarbeitenden – und damit zahlreiche mittelständische Betriebe. Neben Umwelt- und Menschenrechtsaspekten spielt auch der Datenschutz entlang der Lieferkette eine zentrale Rolle.

Für KMU wirkt das auf den ersten Blick wie eine zusätzliche Belastung. In der Praxis lassen sich DSGVO-Anforderungen jedoch mit klaren Prozessen und schlanken Tools integrieren. Dieser Beitrag zeigt, wie Sie Datenschutz und LkSG effizient zusammenbringen.

1.LkSG und KMU: Was ändert sich konkret?

  • Geltungsbereich: Ab 1. Januar 2025 gilt das LkSG für Unternehmen ab 1.000 Beschäftigten.

  • Verantwortung: KMU müssen sicherstellen, dass auch ihre direkten Zulieferer Datenschutz- und Compliance-Vorgaben einhalten.

  • Praxisbeispiel: Ein Maschinenbauer mit 500 Beschäftigten beliefert einen OEM. Dieser prüft künftig, ob auch die nächste Stufe der Lieferkette datenschutzkonform arbeitet – das KMU wird also mittelbar Teil der Prüfung.

2. Datenschutz-Herausforderungen in der KMU-Lieferkette

Begrenzte Ressourcen im Einkauf

  • Kleine Teams benötigen Checklisten und Vorlagen für schnelle Umsetzung.

Fehlender IT-Support

  • Cloud-Dokumentenmanagement oder Online-Formulare helfen, Prozesse zu dokumentieren.

Datenarten in Lieferketten

  • Kontaktinformationen von Lieferanten

  • Zertifizierungsnachweise (teilweise personenbezogen)

  • Auditberichte mit Fotos von Mitarbeitenden

3. Rechtliche Grundlagen & Vertragsgestaltung

  • Auftragsverarbeitungsverträge (AVVs): Nutzen Sie Standardvorlagen der Aufsichtsbehörden.

  • Standardvertragsklauseln (SCC): Für Drittlandübermittlungen (z. B. Schweiz) die aktuellen EU-SCC einsetzen.

  • Zusatzklauseln fürs LkSG: Lieferanten vertraglich verpflichten, personenbezogene Daten DSGVO-konform zu verarbeiten und Löschfristen einzuhalten.

4. Schritt-für-Schritt-Datenschutz-Risikoanalyse für KMU

  1. Dateninventar: Liste aller LkSG-relevanten personenbezogenen Daten (Excel genügt).

  2. Rechtsgrundlage prüfen: Kennzeichnung je Kategorie – Art. 6 Abs. 1 lit. c oder lit. f DSGVO.

  3. Mini-DSFA: Für sensible Daten (z. B. Gesundheitsinfos bei Audits) eine vereinfachte Folgenabschätzung durchführen.

  4. Verzeichnis von Verarbeitungstätigkeiten (VVT): Ergänzen Sie einen Abschnitt „LkSG-Datenverarbeitung“.

  5. Interne Schulung: Ein 30-Minuten-Webinar für Einkauf und QS reicht oft aus.

5.Monitoring & Audit-Praxis für KMU

  • Lieferanten-Selbstauskunft: Halbjährliche Online-Fragebögen (z. B. mit Microsoft Forms).

  • Stichproben-Audits: Kurze Vor-Ort-Prüfungen bei den wichtigsten Zulieferern.

  • Berichterstattung: Jährliche Präsentation mit den umgesetzten Datenschutzmaßnahmen genügt für den LkSG-Bericht.

Fazit

Für KMU ist das Lieferkettengesetz kein bürokratisches Monster, sondern eine Chance, Datenschutz entlang der Wertschöpfungskette zu stärken. Mit klaren AVVs, einfachen Mini-DSFAs und halbjährlichen Lieferantenselbstauskünften schaffen Sie praxisgerechte Prozesse – effizient, DSGVO-konform und ohne übermäßigen IT-Aufwand.

Sie benötigen praxisnahe Vorlagen für AVVs, DSFA-Checklisten?

Bei Fragen oder Beratungsbedarf rund ums Thema stehen wir Ihnen jederzeit gern zur Seite.

Pietro Maniscalco
Weiter

Datenschutz im ISO 27001-Audit – was wird geprüft?