Wirtschaftsrecht

Lieferkettengesetz (LkSG) Mandant-Beratung

anymize entfernt Mandanten-, Lieferanten- und Standort-Bezüge automatisch aus den LkSG-Compliance-Unterlagen, bevor sie an GPT, Claude oder Gemini gehen — und setzt sie nach der KI-Antwort wieder ein. So strukturieren Sie Anwendbarkeits-Prüfung § 1 LkSG, Sorgfaltspflichten § 3 (Risikomanagement, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren, BAFA-Berichtspflicht) und das Verhältnis zur EU CSDDD in Stunden statt Tagen, ohne § 43a BRAO, § 203 StGB oder § 2 GeschGehG zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

Verträge analysieren

Die LkSG-Beratung ist eine der dichtesten Compliance-Disziplinen des deutschen Wirtschaftsrechts — § 3 LkSG verlangt Risikomanagement, Risikoanalyse, Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren und Berichterstattung, alles mit dokumentations- und nachweisrelevanten Anforderungen für das BAFA. Mit anymize geht der gesamte Mandanten-Sachverhalt anonymisiert an ein Frontier-Modell — Mandanten-Namen, Lieferanten-Listen, Standorte und Risikoanalysen verlassen das Haus nicht. Die strukturierte Pflichten-Analyse läuft auf pseudonymisiertem Text; die anwaltliche Würdigung des konkreten Risikos und der Mandanten-Statusbericht erfolgen auf der re-identifizierten Matrix.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Wirtschaftsrechts-/Compliance-Anwält:in in mittelständischer bis Großkanzlei, Inhouse-Counsel in Compliance- oder Procurement-Funktion, Senior Associate in Compliance-Praxis, Berater:in für ESG- und Lieferkettens-Sorgfalt.
Seniorität
Fortgeschritten — Associates ab dem dritten Berufsjahr mit Compliance-Workflow-Erfahrung. Bei mittelbaren Zulieferern, CSDDD-Schnittstellen und zivilrechtlichen Klagen § 11 LkSG Senior-Associate- oder fachanwaltliches Niveau erforderlich.
Kanzleigröße
Mittelstand bis Großkanzlei sowie Inhouse-Rechtsabteilungen größerer Unternehmen (LkSG-Anwendungsbereich bei mindestens 1.000 Arbeitnehmer:innen seit 1.1.2024, vorher 3.000). Der Effizienz-Hebel rechnet sich bei Erstaufbau eines LkSG-Systems und bei größeren Lieferanten-Beständen besonders.
Spezifische Kontexte
LkSG-Erstimplementierung; jährliche BAFA-Berichts-Vorbereitung; konkrete Hinweis-Bearbeitung im Beschwerdeverfahren; Abhilfemaßnahme bei Pflichtverletzungs-Befund; zivilrechtliche Klage durch Gewerkschaften oder NGOs § 11 LkSG; parallele CSDDD-Vorbereitung. Anlass ist meist der jährliche BAFA-Berichtszyklus, ein konkreter Hinweis oder ein Risiko-Audit.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Ein deutsches mittelständisches Unternehmen mit 1.200 Arbeitnehmer:innen und 380 direkten Zulieferern fällt seit 1.1.2024 unter den persönlichen Anwendungsbereich des LkSG (§ 1 Abs. 1 Nr. 2 LkSG). § 3 Abs. 1 LkSG verlangt eine angemessene und wirksame Umsetzung von sieben Sorgfaltspflichten: Risikomanagement-System (§ 4), Festlegung interner Zuständigkeiten (§ 4 Abs. 3), regelmäßige Risikoanalyse (§ 5), Grundsatz-Erklärung (§ 6 Abs. 2), Präventionsmaßnahmen (§ 6), Abhilfemaßnahmen (§ 7), Beschwerdeverfahren (§ 8), Dokumentations- und Berichtspflicht (§ 10) sowie jährlicher BAFA-Bericht (§ 10 Abs. 2). Bei mittelbaren Zulieferern gilt der anlassbezogene Maßstab (§ 9). Ein junior Compliance-Counsel braucht 50 bis 80 Stunden für die strukturierte Erstaufbereitung pro Mandanten-System; der jährliche Berichtszyklus addiert weitere 20 bis 40 Stunden. Wer ChatGPT oder Claude direkt nutzt, kommt schneller — verletzt aber § 43a BRAO, § 203 StGB und § 2 GeschGehG, sobald Mandanten-Namen, Lieferanten-Listen oder konkrete Risikoanalysen den KI-Anbieter erreichen. § 203 StGB schützt jede Anvertrauung in der Berufseigenschaft, auch ohne personenbezogene Daten; Lieferanten-Listen und Risikoanalysen sind zusätzlich Geschäftsgeheimnisse nach § 2 GeschGehG. anymize löst diesen Konflikt: Klarnamen, Standorte, Lieferanten-Identitäten und Risikoanalysen werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Die Vertraulichkeit ist strukturell gewahrt.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro LkSG-Erstaufbau

~30 Stunden

Frontier-KI strukturiert die sieben Sorgfaltspflichten und die Anwendbarkeits-Prüfung in unter drei Stunden. Pro Erstaufbau reduziert sich die Compliance-Counsel-Erstdurchsicht von 50 bis 80 auf 20 bis 50 Stunden. Anwaltliche Risiko-Würdigung und Mandanten-Statusbericht kommen obendrauf.

Mehrwert pro Mandat

€ 7.500–15.000

Compliance-Counsel-Stundensatz (€ 250–500/h) angewandt auf 30 Stunden freigespielte Strukturierungs-Zeit. Bei Pauschalhonoraren wird der Effizienzgewinn zur Marge oder zur Kapazitäts-Reserve für die anwaltliche Risiko-Würdigung im Einzelfall.

Vertraulichkeit

strukturell

anymize entfernt 40+ Kategorien — Mandanten-Namen, Lieferanten-Listen, Standorte, Risikobewertungen, Mitarbeitenden-Zahlen, IBANs — bevor der Text das Haus verlässt. § 203 StGB und § 2 GeschGehG sind strukturell entlastet.

Erkennungsrate

>95 %

Dreifach geprüft (Algorithmus plus zwei spezialisierte KI-Prüfungen). Bei gescannten Lieferanten-Stammdaten oder Excel-Exporten empfehlen wir eine erhöhte Stichprobe in der Vorschau.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Anwendbarkeits- und Sorgfaltspflichten-Mapping. Sie prüfen die Anwendbarkeit nach § 1 LkSG (Sitz in Deutschland und mindestens 1.000 Arbeitnehmer:innen seit 1.1.2024) und mappen den konkreten Sachverhalt auf die sieben Sorgfaltspflichten in § 3 LkSG. Die Lieferanten-Liste wird in unmittelbare und mittelbare Zulieferer differenziert; die menschenrechts- und umweltbezogenen Risiken in § 2 Abs. 2 und 3 LkSG werden als Prüfungs-Raster zugrunde gelegt.

Sie

Mandats-Strukturierung und § 43a BRAO-Verschwiegenheit

2

anymize anonymisiert pflichten-getrennt. Über 40 Kategorien — Mandanten-Namen, Lieferanten-Namen und Standorte, Mitarbeitenden-Zahlen, konkrete Risikobewertungen, Beschwerde-Inhalte, IBANs — werden durch semantische Platzhalter ersetzt. Sie sehen die Vorschau vor dem KI-Aufruf; Erkennungsrate über 95 %. Stichproben-Prüfung 5 bis 10 % je Pflichtenklasse (bei Excel-exportierten Lieferanten-Stammdaten 10 bis 15 %).

anymize

§ 43a BRAO · § 203 StGB · § 2 GeschGehG

3

Frontier-KI strukturiert pro Sorgfaltspflicht. Der pseudonymisierte Sachverhalt geht an Ihr gewähltes Modell — GPT, Claude oder Gemini, alle in anymize verfügbar. Mit dem unten stehenden Prompt fragen Sie für jede Sorgfaltspflicht die einschlägigen Umsetzungs-Anforderungen ab: Risikomanagement-System, Risikoanalyse-Methodik, Präventionsmaßnahmen-Katalog, Abhilfemaßnahmen-Eskalation, Beschwerdeverfahrens-Anforderungen, Dokumentations- und BAFA-Berichtspflicht. Die KI sieht keine Klarnamen — sie arbeitet ausschließlich mit den Platzhaltern.

GPT / Claude / Gemini in anymize

Strukturierte Pflichten-Analyse in Minuten

4

Befund-Aggregation im LkSG-Compliance-Tracker. Die Pflichten-Befunde fließen in eine Tracker-Tabelle mit Umsetzungs-Stand (erfüllt / teilweise erfüllt / nicht erfüllt), Risikostufe (hoch/mittel/niedrig) und Handlungs-Empfehlung. Die KI klassifiziert je Pflicht und Bereich; anymize re-identifiziert anschließend, sodass Sie die Befunde mit Mandanten- und Lieferanten-Bezügen lesen.

GPT / Claude / Gemini in anymize

BAFA-Berichts-Vorbereitung

5

Anwaltliche Pflichten-Würdigung. Sie prüfen alle Hoch-Risiko-Befunde manuell — fehlende Risikoanalyse-Aktualisierung (§ 5 Abs. 1: anlassbezogen plus jährlich), unvollständiges Beschwerdeverfahren (§ 8 Abs. 1: zugänglich, vertraulich, identitätsschützend), unklare interne Zuständigkeiten (§ 4 Abs. 3: Menschenrechtsbeauftragte:r oder vergleichbare Funktion), unvollständige BAFA-Berichts-Vorbereitung (§ 10 Abs. 2). Aktenzeichen und BAFA-Auslegungshilfen verifizieren.

Sie

Anwaltliche Kernverantwortung

6

Mandanten-Statusbericht und CSDDD-Ausblick. Sie konsolidieren die Pflichten-Befunde in den Statusbericht; bei kritischen Lücken (fehlendes Beschwerdeverfahren, fehlende Grundsatzerklärung) erfolgt ein Mandanten-Statusbericht mit konkretem Maßnahmenplan und Zeitplan. Hinweis auf die CSDDD-Umsetzung (RL 2024/1760, deutsche Umsetzung ausstehend mit Frist 26.7.2026): Reichweite-Erweiterung, zivilrechtliche Haftung und sanktionsrechtliche Verschärfung sind in der Compliance-Architektur jetzt schon mitzudenken.

Sie

Mandantenkommunikation

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt 40+ Kategorien personenbezogener und vertraulicher Daten — Mandanten-Namen, Lieferanten-Namen und Standorte, Mitarbeitenden-Zahlen, Beschwerde-Inhalte, IBANs — mit über 95 % Erkennungsrate.
  • Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die auch Kontext berücksichtigen (z. B. ein Lieferanten-Name als unmittelbarer Zulieferer vs. als Erwähnung in einer Risikoanalyse-Liste).
  • Bidirektionale Anonymisierung: Platzhalter werden vor dem KI-Aufruf eingesetzt, das Frontier-Modell antwortet mit denselben Platzhaltern im Kontext, anymize re-identifiziert beim Empfang.
  • Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.

Was Sie als Anwält:in tun

  • Anwendbarkeits-Prüfung nach § 1 LkSG (Sitz, Beschäftigtenschwelle) und Sorgfaltspflichten-Mapping auf den konkreten Sachverhalt.
  • Anonymisierungs-Vorschau sichten — bei Excel-Exporten oder gescannten Lieferanten-Stammdaten 10 bis 15 % Stichprobe, bei nativen Texten 5 bis 10 %.
  • Pflichten-Befunde anwaltlich würdigen: Angemessenheit und Wirksamkeit der Maßnahmen im konkreten Kontext (Größe, Branche, Lieferketten-Tiefe), Aktualität der Risikoanalyse, Compliance des Beschwerdeverfahrens mit § 8 LkSG.
  • Mandanten-Statusbericht und Maßnahmenplan konsolidieren; CSDDD-Reichweite und zivilrechtliche Klagebefugnis § 11 LkSG in der Risiko-Architektur mitberücksichtigen.

Daten-Input

Mandanten-Sachverhalts-Beschreibung (Größe, Sitz, Branche, Lieferketten-Tiefe); Lieferanten-Stammdaten (unmittelbare und ggf. mittelbare Zulieferer); bisherige Risikoanalysen und Compliance-Dokumentation; Beschwerdeverfahrens-Beschreibung; aktueller oder geplanter BAFA-Berichts-Entwurf; ggf. konkrete Hinweise oder Beschwerden.

Output-Kontrolle

Pseudonymisierter Sachverhalt geht an die KI. Re-identifizierte Pflichten-Matrix kommt zurück, befundbasiert (Pflicht-Zuordnung, Umsetzungs-Stand, Risikostufe, Handlungs-Empfehlung) und in die BAFA-Berichts-Vorbereitung einpflegbar. anymize selbst trifft keine inhaltlichen Aussagen — die Strukturierung leistet das Frontier-Modell, die Würdigung machen Sie.

Freigabeprozess

Sie behalten jederzeit die Hoheit: Sichtung der Anonymisierung, Stichprobe der KI-Treffer, anwaltliche Bewertung der Hoch-Risiko-Befunde, Mandanten-Beratung, BAFA-Berichts-Strategie — alles im üblichen Kanzlei-Workflow. anymize ist der Anonymisierungs-Layer, keine Compliance-Software.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Mandanten-Profil oben im Prompt einfügen (Größe, Branche, Lieferketten-Tiefe), Mandats-Anlass ergänzen (Erstaufbau, BAFA-Berichts-Vorbereitung, Beschwerde, Abhilfemaßnahme).

2. Sachverhalt in anymize einfügen — die Anonymisierung läuft automatisch (Mandanten- und Lieferanten-Namen, Standorte, Mitarbeitendenzahlen werden zu Platzhaltern).

3. In anymize unter „Tools → Reasoning“ auf „Max“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück und kann direkt in den Compliance-Tracker und die BAFA-Berichts-Vorbereitung fließen.

Empfohlener Reasoning-Modus in anymize: Max. Bei strukturierten Erstauf-Bauten reicht Thinking-Modus; bei mittelbaren Zulieferern, CSDDD-Schnittstellen und § 11 LkSG-Klagebefugnis Max. Modell-Auswahl (GPT, Claude, Gemini) in anymize.
# Rolle
Du bist Compliance-Strukturierungs-Assistenz für eine LkSG-/ESG-Praxis.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
Mandanten-Profil: [GRÖSSE in Arbeitnehmer:innen / BRANCHE /
LIEFERKETTEN-TIEFE / GEOGRAFISCHE SCHWERPUNKTE] — einfügen.
Mandats-Anlass: Erstaufbau / BAFA-Berichts-Vorbereitung /
konkrete Beschwerde / Abhilfemaßnahme — einfügen.

# Aufgabe
Strukturiere für den vorgelegten Sachverhalt die LkSG-Sorgfaltspflichten
nach § 3 LkSG. Bewerte je Pflicht den Umsetzungs-Stand
(erfüllt / teilweise erfüllt / nicht erfüllt), die Risikostufe für die
BAFA-Berichts-Vorbereitung (hoch / mittel / niedrig) und gib eine
Handlungs-Empfehlung (Sofortmaßnahme / regulärer Maßnahmenplan /
keine Maßnahme erforderlich).

# Sorgfaltspflichten-Raster

1. **Anwendbarkeit § 1 LkSG**
   - Sitz in Deutschland: § 1 Abs. 1 Nr. 1
   - Beschäftigtenschwelle: mind. 1.000 Arbeitnehmer:innen (seit 1.1.2024)
   - Konzernweite Zurechnung § 1 Abs. 3

2. **Risikomanagement-System § 4**
   - Angemessenheit und Wirksamkeit § 4 Abs. 1
   - Interne Zuständigkeiten § 4 Abs. 3
     (Menschenrechtsbeauftragte:r)

3. **Risikoanalyse § 5**
   - Jährliche und anlassbezogene Analyse § 5 Abs. 1
   - Gewichtung und Priorisierung § 5 Abs. 2
   - Bezugnahme auf § 2 Abs. 2 und 3 LkSG-Risiken
     (Menschenrechte, Umwelt)

4. **Grundsatzerklärung § 6 Abs. 2**
   - Inhaltliche Mindestanforderungen § 6 Abs. 2 Nr. 1 bis 3
   - Veröffentlichung und Aktualisierung

5. **Präventionsmaßnahmen § 6**
   - Im eigenen Geschäftsbereich § 6 Abs. 3
   - Gegenüber unmittelbaren Zulieferern § 6 Abs. 4
   - Schulungs- und Kontrollmaßnahmen

6. **Abhilfemaßnahmen § 7**
   - Im eigenen Geschäftsbereich § 7 Abs. 1 (Beendigung)
   - Gegenüber unmittelbaren Zulieferern § 7 Abs. 2
     (Eskalations-Stufen)
   - Geschäftsbeziehungs-Abbruch § 7 Abs. 3 (Ultima Ratio)

7. **Beschwerdeverfahren § 8**
   - Zugänglichkeit, Vertraulichkeit, Identitätsschutz § 8 Abs. 1
   - Verfahrensordnung und Veröffentlichung § 8 Abs. 2
   - Wirksamkeitskontrolle § 8 Abs. 5

8. **Mittelbare Zulieferer § 9**
   - Anlassbezogene Risikoanalyse § 9 Abs. 3 Nr. 1
   - Präventions- und Abhilfemaßnahmen § 9 Abs. 3 Nr. 2 bis 4

9. **Dokumentation und BAFA-Bericht § 10**
   - Laufende Dokumentation § 10 Abs. 1
   - Jährlicher BAFA-Bericht § 10 Abs. 2 (vier Monate nach
     Geschäftsjahresende)

10. **CSDDD-Ausblick (RL 2024/1760)**
    - Deutsche Umsetzung mit Frist 26.7.2026
    - Reichweite-Erweiterung (Tätigkeitskette, mittelbare Zulieferer)
    - Zivilrechtliche Haftung
    - Sanktionsrechtliche Verschärfung

# Ausgabe-Format

- Mandanten-ID: [Kanzlei-Kürzel, z. B. LKSG-MAND-042]
- Mandanten-Profil: [eingefügt]
- Gesamt-Compliance-Stand: hoch / mittel / niedrig
- Tabelle je Sorgfaltspflicht:
  | Pflicht | Sachverhalts-Bezug (max. 3 Sätze) | Umsetzungs-Stand | Risiko | Handlungs-Empfehlung |
- BAFA-Berichts-Hinweise: max. 5 Punkte zu kritischen Berichts-Inhalten.
- § 11 LkSG-Risiko-Hinweis: zivilrechtliche Klagebefugnis
  Dritter durch Gewerkschaften und NGOs prüfen.

Falls eine Pflicht im Sachverhalt nicht adressiert ist:
"Nicht gefunden — keine explizite Aussage zu [Pflicht] im Sachverhalt."

# Verbote
KEINE abschließende Aussage zur strafrechtlichen oder
ordnungswidrigkeitenrechtlichen Verantwortlichkeit konkreter Personen.
KEINE Spekulation zu BAFA-Verfahrens-Praxis ohne offizielle Verlautbarung.
KEIN BGH-/OLG-Zitat ohne explizite Aktenzeichen-Angabe — bei Unsicherheit
"verifikations-bedürftig" markieren.
KEIN Drafting von Grundsatzerklärungen oder Verfahrensordnungen
(eigener Workflow).

# Platzhalter-Regel
Alle Platzhalter im Format [[Kategorie-Hash]] (z. B. [[Unternehmensname-7b3e]],
[[Standort-33e1]], [[Anzahl-9d4f]]) wörtlich in deinen Output übernehmen —
die Re-Identifikation erfolgt außerhalb durch anymize.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

LkSG-Mandanten-Sachverhalt nach anymize-Anonymisierung. Mandanten- und Lieferanten-Bezüge, Standorte, Mitarbeitendenzahlen und Datumsangaben sind durch Platzhalter im Format [[Kategorie-Hash]] ersetzt. Die Compliance-Struktur bleibt sichtbar, weil sie für die Pflichten-Analyse benötigt wird.
LkSG-MANDAT — ERSTAUFBAU
Mandantin: [[Unternehmensname-f11b]] GmbH, Sitz [[Adresse-b2e7]]
Branche: Maschinenbau / Komponenten-Fertigung
Beschäftigte: [[Anzahl-2a91]] (Gruppenweit)
Tochtergesellschaften: [[Anzahl-8c4f]] (Konzernweit, § 1 Abs. 3 LkSG)

Lieferketten-Profil:
- Unmittelbare Zulieferer: [[Anzahl-7e1a]]
- Davon Hauptlieferanten (>5 % Beschaffungsvolumen):
  [[Unternehmensname-02dd]] (Stahlguss, Sitz [[Standort-d5f3]]),
  [[Unternehmensname-7b3e]] (Elektronik-Bauteile, Sitz [[Standort-9d4f]]),
  [[Unternehmensname-a3c1]] (Halbleiter, Sitz [[Standort-4e00]]).
- Mittelbare Zulieferer: nicht systematisch erfasst.

Aktueller Compliance-Stand:
§ 4 Risikomanagement: Compliance-Abteilung vorhanden, Menschenrechts-
beauftragte:r nicht förmlich benannt.
§ 5 Risikoanalyse: einmalige Erstanalyse [[Datum-7f2a]], keine
jährliche Aktualisierung dokumentiert.
§ 6 Abs. 2 Grundsatzerklärung: Entwurf vorhanden, nicht veröffentlicht.
§ 6 Präventionsmaßnahmen: Verhaltenskodex für unmittelbare
Zulieferer integriert in Rahmenverträge.
§ 7 Abhilfemaßnahmen: keine dokumentierte Eskalations-Mechanik.
§ 8 Beschwerdeverfahren: Whistleblower-Hotline für Beschäftigte vorhanden,
für externe Stakeholder nicht zugänglich.
§ 9 Mittelbare Zulieferer: keine Maßnahmen dokumentiert.
§ 10 BAFA-Bericht: bisher nicht eingereicht.

Mandats-Anlass: Erstaufbau (Anwendbarkeit seit 1.1.2024,
erster Berichtszyklus bevorstehend).
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel) nach anymize-Re-Identifikation. Sie sehen den Compliance-Befund mit den richtigen Mandanten- und Lieferanten-Bezügen — im KI-Kontext lief die Pflichten-Strukturierung ausschließlich auf Platzhaltern.
# LkSG-Compliance-Befund — Mandat LKSG-MAND-042

**Mandanten-Profil:** Maschinenbau-Konzern mit [[Anzahl-2a91]] Beschäftigten
**Mandats-Anlass:** Erstaufbau / Erster BAFA-Berichtszyklus
**Gesamt-Compliance-Stand:** NIEDRIG (kritische Lücken in vier Pflichten)

## Sorgfaltspflichten-Matrix

| Pflicht | Sachverhalts-Bezug (Kurz) | Umsetzungs-Stand | Risiko | Handlungs-Empfehlung |
|---|---|---|---|---|
| Anwendbarkeit § 1 | Sitz in Deutschland, [[Anzahl-2a91]] Beschäftigte gruppenweit | ERFÜLLT | — | LkSG-Anwendbarkeit seit 1.1.2024 bestätigt; konzernweite Zurechnung § 1 Abs. 3 prüfen. |
| Risikomanagement § 4 | Compliance-Abteilung vorhanden, Menschenrechtsbeauftragte:r nicht förmlich benannt | TEILWEISE ERFÜLLT | MITTEL | Sofortmaßnahme: Förmliche Benennung Menschenrechtsbeauftragte:r § 4 Abs. 3 mit dokumentierter Berichts-Linie an Geschäftsführung. |
| Risikoanalyse § 5 | Einmalige Erstanalyse [[Datum-7f2a]], keine jährliche Aktualisierung | NICHT ERFÜLLT | HOCH | Sofortmaßnahme: Jährliche Aktualisierungs-Routine etablieren, anlassbezogene Auslöser definieren, Methodik und Priorisierungs-Maßstab dokumentieren. |
| Grundsatzerklärung § 6 Abs. 2 | Entwurf vorhanden, nicht veröffentlicht | TEILWEISE ERFÜLLT | MITTEL | Regulärer Maßnahmenplan: Finalisierung mit den Mindestinhalten § 6 Abs. 2 Nr. 1 bis 3, Veröffentlichung auf Mandanten-Website und im Intranet, Versions-Pflege. |
| Präventionsmaßnahmen § 6 | Verhaltenskodex in Rahmenverträgen mit unmittelbaren Zulieferern integriert | TEILWEISE ERFÜLLT | MITTEL | Regulärer Maßnahmenplan: Schulungs-Konzept im eigenen Geschäftsbereich § 6 Abs. 3, Kontroll-Mechaniken bei [[Unternehmensname-02dd]], [[Unternehmensname-7b3e]], [[Unternehmensname-a3c1]] (Hauptlieferanten >5 % Volumen). |
| Abhilfemaßnahmen § 7 | Keine dokumentierte Eskalations-Mechanik | NICHT ERFÜLLT | HOCH | Sofortmaßnahme: Eskalations-Mechanik § 7 Abs. 2 (Minderungs-Konzept, Geschäftsbeziehungs-Abbruch als Ultima Ratio § 7 Abs. 3) festlegen und dokumentieren. |
| Beschwerdeverfahren § 8 | Whistleblower-Hotline nur für Beschäftigte | NICHT ERFÜLLT | HOCH | Sofortmaßnahme: Erweiterung auf externe Stakeholder (Beschäftigte der Zulieferer, lokale Communities), Verfahrensordnung § 8 Abs. 2 erstellen und veröffentlichen, Identitätsschutz § 8 Abs. 1 dokumentieren. |
| Mittelbare Zulieferer § 9 | Keine Maßnahmen dokumentiert | NICHT ERFÜLLT | MITTEL | Regulärer Maßnahmenplan: Anlassbezogene Risikoanalyse-Trigger § 9 Abs. 3 Nr. 1 definieren; Hochrisiko-Branchen (Halbleiter [[Unternehmensname-a3c1]] Lieferkette) priorisieren. |
| Dokumentation und BAFA-Bericht § 10 | Bisher nicht eingereicht | NICHT ERFÜLLT | HOCH | Sofortmaßnahme: BAFA-Bericht-Vorbereitung mit den oben aufgelisteten Pflichten-Inhalten, Frist vier Monate nach Geschäftsjahresende § 10 Abs. 2 beachten. |
| CSDDD-Ausblick (RL 2024/1760) | — | — | MITTEL | Regulärer Maßnahmenplan: CSDDD-Umsetzungs-Pfad mit Frist 26.7.2026 mitdenken, Risikoanalyse-Methodik auf Tätigkeitskette ausweiten, zivilrechtliche Haftung in Compliance-Architektur integrieren. |

## BAFA-Berichts-Hinweise

1. Risikoanalyse-Defizit § 5 ist BAFA-berichtskritisch — fehlende jährliche Aktualisierung ist Hauptursache für Beanstandungen in der bisherigen BAFA-Praxis.
2. Beschwerdeverfahren § 8 muss vor der ersten BAFA-Berichts-Einreichung verfahrens- und veröffentlichungsfähig sein, sonst HOCH-Risiko-Befund.
3. Hauptlieferanten [[Unternehmensname-02dd]], [[Unternehmensname-7b3e]], [[Unternehmensname-a3c1]] mit Halbleiter-Lieferkette priorisieren — Halbleiter-Lieferketten enthalten häufig hochrisiko-relevante mittelbare Zulieferer (Conflict-Mineral-Bezüge).
4. Konzernweite Zurechnung § 1 Abs. 3 mit den [[Anzahl-8c4f]] Tochtergesellschaften gesondert dokumentieren.
5. Strafrechtliche oder ordnungswidrigkeitenrechtliche Bewertung bleibt außerhalb dieser Strukturierung — die anwaltliche Würdigung im Einzelfall durch Sie.

## § 11 LkSG-Risiko-Hinweis

Zivilrechtliche Klagebefugnis Dritter (Gewerkschaften, NGOs mit Sitz in Deutschland) nach § 11 LkSG: Bei kritischen Lücken im Beschwerdeverfahren und in den Abhilfemaßnahmen besteht erhöhtes Risiko, dass externe Stakeholder gerichtlich gegen die Mandantin vorgehen. Die Verfahrens-Standsicherheit ist vor BAFA-Berichts-Einreichung zu priorisieren.

[ANWALT-WERTUNG] Verifikation der BAFA-Auslegungshilfen "Risikoanalyse" (Stand 2023/24) und "Beschwerdeverfahren" (Stand 2023). CSDDD-Umsetzungs-Pfad mit aktuellem Stand der Umsetzungs-Diskussion (Bundestags-/Bundesrats-Beratungen) abgleichen.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 43a BRAO Verschwiegenheit

anymize ersetzt 40+ Kategorien — Mandanten-Namen, Lieferanten-Namen und Standorte, Mitarbeitendenzahlen, Beschwerde-Inhalte, IBANs — durch Platzhalter, bevor irgendein KI-Anbieter den LkSG-Sachverhalt sieht. Erkennungsrate über 95 %; Stichprobe vor dem KI-Aufruf bleibt anwaltliche Eigenleistung.

§ 43e BRAO Auftragsverarbeitung

Sie schließen einen AVV mit anymize ab; Datenverarbeitung ausschließlich in deutschen Rechenzentren (Hetzner). Die § 203 StGB-Belehrung der anymize-Mitarbeitenden ist Teil des Standardvertrags. Originaldokumente speichern wir nicht — nur die Zuordnung Platzhalter ↔ Klarname.

§ 203 StGB Geheimnisschutz

LkSG-Mandate enthalten Geschäftsgeheimnisse (Lieferanten-Listen, Risikobewertungen, Compliance-Lücken). § 203 Abs. 1 Nr. 3 StGB erfasst jede Anvertrauung in der Berufseigenschaft — auch ohne Personenbezug. Direkter Upload an einen Public-Cloud-LLM ohne Pseudonymisierung ist auch dann problematisch, wenn kein Name im Sachverhalt steht.

§ 2 GeschGehG Geschäftsgeheimnisschutz

Lieferanten-Listen, Risikoanalysen und Compliance-Lücken erfüllen § 2 Nr. 1 GeschGehG: geheim, wirtschaftlicher Wert, Schutzmaßnahmen durch NDA. Upload ohne angemessene Schutzmaßnahmen kann §§ 4 ff. GeschGehG verletzen — die Pseudonymisierung ist genau diese Schutzmaßnahme.

§ 11 LkSG zivilrechtliche Klagebefugnis

Gewerkschaften und NGOs können nach § 11 LkSG gerichtlich gegen unzureichende Umsetzung der Sorgfaltspflichten vorgehen. Die KI-strukturierte Pflichten-Matrix ist eine erste Befund-Aufnahme; die anwaltliche Risiko-Würdigung im Lichte konkreter Klageschriften oder NGO-Hinweise bleibt anwaltliche Kernaufgabe.

CSDDD-Reichweite-Erweiterung

Die EU-Richtlinie 2024/1760 (CSDDD) erweitert den LkSG-Sorgfalts-Maßstab in Richtung Tätigkeitskette und mittelbare Zulieferer. Deutsche Umsetzung mit Frist 26.7.2026. Die KI-Strukturierung berücksichtigt das im Ausblick — die anwaltliche Beratung zur strategischen Compliance-Architektur muss die Umsetzungs-Diskussion laufend beobachten.

Anbieter-Angaben kritisch lesen

Anbieter-Whitepaper zu LkSG-Tool-Quoten sind nicht unabhängig verifiziert. Die Stanford-Magesh-Studie nennt für spezialisierte Legal-RAG-Tools eine Halluzinationsrate von 17 bis 33 %. Spot-Check der KI-Befunde durch Senior Compliance Counsel bleibt anwaltlicher Standard.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Die juristisch entscheidende Frage bei der LkSG-Beratung: Sieht der KI-Anbieter Mandanten-Namen, Lieferanten-Listen, Standorte und konkrete Risikoanalysen? Antwort mit anymize: nein. Vor dem KI-Aufruf werden Klarnamen, Adressen, Mitarbeitendenzahlen, Beschwerde-Inhalte und Datumsangaben durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Mandatsvertrag); bei besonderen Kategorien personenbezogener Daten aus Beschwerde-Inhalten (z. B. Gesundheits- oder Gewerkschafts-Bezüge) zusätzlich Art. 9 Abs. 2 lit. f i. V. m. § 43a BRAO. Die Klarnamen werden aus dem KI-Kontext gehalten, was § 203 StGB strukturell entlastet und § 2 GeschGehG als Schutzmaßnahme i. S. v. § 2 Nr. 1 lit. b dokumentiert.

Was anymize konkret leistet

  • Erkennt Mandanten-Namen, Lieferanten-Namen und Standorte, Mitarbeitendenzahlen, Beschwerde-Inhalte und IBANs mit über 95 % Genauigkeit.
  • Ersetzt sie durch semantische Platzhalter, bevor der LkSG-Sachverhalt an GPT, Claude oder Gemini geht.
  • Re-identifiziert die KI-Antwort automatisch — Sie sehen die Pflichten-Matrix mit den richtigen Klarnamen zurück und können direkt in den Compliance-Tracker und die BAFA-Berichts-Vorbereitung einpflegen.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
  • Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Anwendbarkeit § 1 LkSG vorab geprüft (Sitz, Beschäftigtenschwelle 1.000 seit 1.1.2024, konzernweite Zurechnung § 1 Abs. 3)?
  • Anonymisierungs-Vorschau gesichtet — Pflichten-Strukturen sichtbar gelassen?
  • Stichprobe 5 bis 10 % je Pflichtenklasse auf Pseudonymisierungs-Vollständigkeit (bei Excel-Exporten 10 bis 15 %)?
  • Lieferanten-Stammdaten und bisherige Risikoanalysen mit erfasst?
  • AVV mit allen eingesetzten Tools (anymize plus LLM-Anbieter) abgeschlossen?

Nach der KI-Antwort

  • Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
  • Pflichten-Matrix vollständig — keine Sorgfaltspflicht ausgelassen?
  • Alle Hoch-Risiko-Befunde manuell anwaltlich verifiziert?
  • BAFA-Auslegungshilfen (Risikoanalyse, Beschwerdeverfahren) gegen aktuellen Stand geprüft?
  • Plausibilitäts-Check der 'erfüllt'-Befunde mit Stichprobe?

Vor dem Mandanten-Statusbericht

  • Hoch-Risiko-Befunde nach Sorgfaltspflicht aggregiert?
  • Sofortmaßnahmen vor erstem BAFA-Berichts-Termin priorisiert?
  • § 11 LkSG-Klagerisiko und CSDDD-Reichweite angesprochen?
  • Eskalations-Pfad zur Mandanten-Geschäftsführung geklärt?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI nimmt LkSG-Anwendbarkeit ohne konzernweite Zurechnung an — § 1 Abs. 3 LkSG mit Tochtergesellschafts-Beschäftigten kann die Schwelle erst erreichen lassen oder erweitern.
  • KI bewertet Risikoanalyse-Aktualisierung pauschal — § 5 Abs. 1 verlangt sowohl jährlich als auch anlassbezogen; KI übersieht den anlassbezogenen Trigger ohne explizite Frage.
  • KI verwechselt Beschwerdeverfahren § 8 LkSG mit HinSchG-Whistleblower-Hotline — § 8 LkSG verlangt Zugänglichkeit für externe Stakeholder, nicht nur für Beschäftigte.
  • KI markiert Geschäftsbeziehungs-Abbruch § 7 Abs. 3 nicht als Ultima Ratio — Eskalations-Stufen müssen vorher dokumentiert sein, sonst BAFA-Beanstandung wahrscheinlich.
  • CSDDD-Reichweite wird mit aktuellem LkSG verwechselt — die Tätigkeitsketten-Erweiterung greift erst ab deutscher CSDDD-Umsetzung (Frist 26.7.2026).
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen Lieferketten-/Compliance-Recht

  • Anwendungsbereich und Beschäftigtenschwelle
  • Menschenrechtliche und umweltbezogene Risiken
  • Sorgfaltspflichten-Katalog
  • Konkretisierung der einzelnen Sorgfaltspflichten
  • Besondere Prozessstandschaft (Gewerkschaften, NGOs)
  • Bußgeld-Tatbestände
  • EU-Lieferketten-Sorgfalts-Richtlinie
  • Geschäftsgeheimnis-Begriff (Lieferanten-Listen, Risikoanalysen)

Berufsrechtliche Grundlagen

  • Anwaltliche Verschwiegenheit
  • Auftragsverarbeitung und IT-Auslagerung
  • Verletzung von Privatgeheimnissen (auch ohne Personenbezug)
  • Rechtsgrundlage Mandatsvertrag
  • Auftragsverarbeitungs-Vertrag

Sekundärquellen

  • Behördliche Konkretisierung § 5 LkSG
  • Behördliche Konkretisierung § 8 LkSG
  • Mandantentransparenz und KI-Einsatz
  • KI in der anwaltlichen Praxis
  • Halluzinations-Quoten 17–33 % bei spezialisierten Legal-Tools

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.