Compliance
Managementansatz und Ziele
Für uns ist Compliance integraler Bestandteil der Unternehmenskultur. Im Rahmen der vom Vorstand 2019 beauftragten Initiative für eine starke Compliance wurde auch 2022 das Compliance-Management-System (CMS) im DB-Konzern weiterentwickelt, um weiterhin State of the Art zu bleiben und eine gute Compliance nachhaltig zu prägen. Compliance ist in der Strategie Starke Schiene verankert.
Unser CMS basiert auf nationalen und internationalen rechtlichen Anforderungen und etablierten Standards wie dem Wirtschaftsprüfungsstandard IDW PS 980. Der DB-Konzern wendet zudem die Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung sinngemäß an. Das CMS soll sicherstellen, dass Compliance-Risiken frühzeitig erkannt und entsprechende Gegensteuerungsmaßnahmen implementiert werden. Die Wirksamkeit unseres CMS überprüfen wir kontinuierlich und nehmen ggf. erforderliche Anpassungen vor. Compliance ist Bestandteil des internen Kontrollsystems (IKS). Die Konzernrevision prüft daher u. a. das CMS im DB-Konzern als Teil der IKS-BilMoG-Prüfungen.
2022 wurde die im Vorjahr begonnene konzernweite unabhängige Untersuchung des CMS des DB-Konzerns hinsichtlich Korruption und Wirtschaftskriminalität in Form von Betrug und Untreue durch eine Prüfungs- und Beratungsgesellschaft fortgesetzt und Anfang 2023 abgeschlossen. Während die vorangegangenen Prüfungen auf Angemessenheit und Implementierung abzielten, umfassten die 2021 und 2022 durchgeführten CMS-Prüfungen eine weitere Stufe: Neben Angemessenheit und Implementierung wurde auch die Wirksamkeit des CMS bewertet. Zudem erfolgt insbesondere für international tätige Geschäftsfelder eine Zertifizierung nach der Norm ISO 37001. Die Wirksamkeitsprüfungen wurden in den Geschäftsfeldern (mit Ausnahme des Geschäftsfelds DB Arriva, bei dem letzte Prüfungshandlungen noch ausstanden) und in der Konzernleitung mit uneingeschränktem Prüfungsurteil abgeschlossen.Vorliegende Empfehlungen werden genutzt, um bestehende Prozesse detailliert zu analysieren und ggf. zu verbessern. Die ISO-Zertifizierungsverfahren laufen teilweise noch.
Aufbau- wie ablauforganisatorisch ist das Compliance-Management des DB-Konzerns durch eine Verbindung von zentralen und dezentralen Elementen gekennzeichnet. Der Chief Compliance Officer (CCO) steuert die Weiterentwicklung unseres CMS und berichtet direkt an den Vorstandsvorsitzenden. Bei seinen Aufgaben wird der CCO von mehr als 250 Compliance-Zuständigen (in Vollzeit oder arbeitsanteilig) unterstützt. Die Compliance-Tätigkeit in der Konzernleitung fokussiert sich insbesondere auf ihre zentrale Governance-Tätigkeit. In den Geschäftsfeldern und Serviceeinheiten wird die operative Verantwortung wahrgenommen. Der intensive Austausch zentraler wie dezentraler Compliance-Zuständiger wird durch unterschiedliche Formate wie z. B. eine Fachtagung, monatliche Compliance Officer Meetings, die Verwendung eines Compliance Cockpits als Arbeitsplattform sowie mindestens vierteljährlich stattfindende virtuelle Informationsveranstaltungen für Compliance Officer und Manager gewährleistet.
Der DB-Konzern engagiert sich im nationalen und internationalen Umfeld zu Compliance-Themen. Denn insbesondere Korruption kann u. a. das Vertrauen der Bürger in die Funktionsfähigkeit des Staates und seiner Einrichtungen beschädigen sowie zu finanziellen Schäden auch für den Staat führen. An der Erarbeitung von Präventionsstrategien zu Korruption ist der DB-Konzern im »Initiativkreis Korruptionsprävention Bundesverwaltung/Wirtschaft« des Bundesministeriums des Inneren und für Heimat sowie durch die Zusammenarbeit mit dem DICO (Deutsches Institut für Compliance) beteiligt. Des Weiteren ist der DB-Konzern aktives Mitglied von Transparency International. Auch beteiligt sich der DB-Konzern am regelmäßigen Erfahrungsaustausch zu Compliance-Themen mit anderen, international agierenden Unternehmen.
Compliance-Instrumente
Zielgerichtete Compliance-Instrumente wurden zum Schutz des DB-Konzerns, der Mitarbeitenden und Führungskräfte entwickelt. Dazu gehören bspw. verbindliche Compliance-Regelungen, Risiko- und Prozessanalysen, ein Compliance-Berichtswesen, Kommunikations- und Trainingsmaßnahmen sowie ein Hinweismanagementsystem.
Der Verhaltenskodex des DB-Konzerns bildet das Kernstück unseres CMS. Er definiert Standards und Erwartungen an das tägliche Handeln unserer Organe, Führungskräfte und Mitarbeitenden und wird über die Konzernregelwerksdatenbank und einschlägige Seiten im Intranet den Mitarbeiten-den zur Verfügung gestellt. Außerdem ist das Compliance- Regelwerk Bestandteil einer App, die auf alle zentral gema-nagten dienstlichen Mobilgeräte im DB-Konzern aufgespielt wird. I. d. R. ist der Verhaltenskodex seit 2018 ebenfalls Teil der Arbeitsverträge der Mitarbeitenden des DB-Konzerns. Auf der Internetseite des DB-Konzerns ist der Verhaltenskodex ebenfalls in Deutsch und Englisch veröffentlicht. Ergänzt wird der Verhaltenskodex durch verbindliche Richtlinien, die geltende rechtliche Vorschriften im internationalen wie nationalen Geschäftsverkehr und Kontakt mit Kund:innen konkretisieren. 2022 wurde die Richtlinie zu Spenden überarbeitet und an aktuelle rechtliche Rahmenbedingungen angepasst.
Compliance-Risikoanalysen sind wesentlicher Bestandteil der Risikosteuerung im DB-Konzern und werden durch die Geschäftsfelder und Serviceeinheiten durchgeführt. Es erfolgt eine konzernweite Bestandsaufnahme der Compliance-Risiken gem. den von der Konzernleitung gemachten Governance-Vorgaben. Das verbindliche Rahmenkonzept enthält Mindestvorgaben zu Planung, Durchführung, Berichterstattung und Follow-up. Innerhalb eines Dreijahreszyklus sind alle Konzerngesellschaften mit operativem Geschäft auf Korruptionsrisiken hin zu prüfen. Auf Ebene der Geschäftsfelder ist jährlich nach einem vorgegebenen Format zu den einschlägigen Compliance-Risiken zu berichten. Der Vorstand wird durch einen kompakten Jahresbericht Compliance über Compliance-Risiken bei geschäftlichen Aktivitäten des DB-Konzerns informiert. Differenziert werden die Risikolagen der Geschäftsfelder, Serviceeinheiten sowie Konzernleitungsfunktionen beschrieben sowie vorhandene risikoreduzierende Faktoren und Gegensteuerungsmaßnahmen aufgezeigt. Auch unterjährig wird der Vorstand regelmäßig über den weiteren Ausbau des Compliance-Programms sowie wesentliche Compliance-Fälle informiert. Der CCO berichtet zudem mindestens einmal pro Quartal in dem vom Aufsichtsrat gebildeten Prüfungs- und Compliance-Ausschuss zu Compliance-Themen, einschließlich konzernerheblicher sowie kritischer Themen. Unabhängig davon berichtet die Konzernrevision im März die wesentlichen Erkenntnisse des jeweiligen Geschäftsjahres – einschließlich der wesentlichen Feststellungen der Prüfbereiche und des Abwicklungsstandes des Prüfungsprogramms – an den Prüfungs- und Compliance-Ausschuss und stellt in der Dezember-Sitzung die Prüfungsplanung der Konzernrevision für das kommende Geschäftsjahr vor. Der Chef-Syndikus des DB-Konzerns berichtet in der März-Sitzung über wesentliche Rechtsfälle. Je nach Sachverhalt werden die Gremien im Einzelfall auch unmittelbar über konzernerhebliche und kritische Sachverhalte informiert.
Um unsere Compliance-Ziele nachhaltig zu erreichen, verbessern wir unsere Instrumente kontinuierlich und beraten in Compliance-Fragen. Dies setzt voraus, dass Compliance-Fachkräfte über aktuelle fachliche Entwicklungen informiert sind. Zu ihrer regelmäßigen Qualifizierung steht mit der Compliance Academy ein innerhalb der DB-eigenen Lernplattform implementierter Lernbereich als zentrales Instrument der Wissensvermittlung zur Verfügung. Die Absolvierung definierter Kurse ist obligatorisch vorgeschrieben.
Bei der Prägung unserer Unternehmenskultur kommt den Führungskräften eine besondere Rolle zu. Um diese zu regelkonformem Verhalten zu schulen, um den Konzern und sich vor Compliance-Risiken zu schützen, wurden verschiedene Programme implementiert. Das verpflichtende Schulungsprogramm für das Top-Management wurde 2022 weiterentwickelt. Es ergänzt das etablierte, durch die Leiter der Konzernfunktionen Compliance, Revision und Recht durchgeführte Compliance-Coaching. Im Rahmen des Personalauswahlverfahrens wurden 2022 auch unterhalb der Ebene des Top-Managements Bewerberüberprüfungen (»Pre Employment Checks«) durchgeführt.
Das Compliance-Sensibilisierungskonzept folgt einem risiko- und bedarfsorientierten Ansatz, der vorgibt, in welchem Turnus alle Führungskräfte und Mitarbeitenden zu schulen sind. Mittels Teilnahme an Präsenzveranstaltungen oder Durchführung von E-Learnings kann über einen Zeitraum von zwei bis zweieinhalb Jahren eine nahezu vollständige Trainingsabdeckung von Führungskräften und Mitarbeitenden mit mittlerem und hohem Risiko bzw. Bedarf erreicht werden. Allein an Veranstaltungen mit Trainer:innen nahmen zum Thema Korruptionsprävention 2022 rund 42.000 Führungskräfte und Mitarbeitende teil, seit 2020 rund 117.000. Auch E-Learning-Module kamen in erheblichem Umfang zum Einsatz. Gemeinsam mit bei DB Schenker und DB Arriva spezifisch entwickelten E-Learnings wurden rund 106.000 E-Learning-Einheiten zur Korruptionsprävention absolviert, seit 2020 beläuft sich die Anzahl auf rund 299.000 Einheiten.
Ein Beratungsschwerpunkt lag 2022 wegen der nach dem russischen Angriff auf die Ukraine verhängten Wirtschafts- und Finanzsanktionen auf außenwirtschaftsrechtlichen Themen. Im Zuge dessen wurden Prozesse angepasst und es wurden neue Sensibilisierungsmaßnahmen eingeführt; hierbei wurde u. a. auch das E-Learning »Exportkontrolle, Embargos und Sanktionen« überarbeitet.
Um Informationen über mögliche Verstöße gegen gesetzliche Vorschriften oder interne Regelungen zu erhalten, besteht ein konzernweites Hinweissystem. Der Umgang mit eingehenden Hinweisen ist detailliert geregelt. Die implementierten Prozesse schützen die Hinweisgeber:innen. Den Interessen der betroffenen Personen wird u. a. durch klar definierte Anforderungen an Schlüssigkeit und Erheblichkeit eines Hinweises Rechnung getragen.
Hinweisgeber:innen stehen verschiedene Wege zur Abgabe eines Hinweises offen. Hierzu gehören neben den Compliance-Teams in der Konzernleitung sowie in den Geschäftsfeldern und Serviceeinheiten auch drei Vertrauensanwält:innen, die gesetzlich zur Verschwiegenheit verpflichtet sind. Hinzu kommt ein konzernweit verwendetes elektronisches Hinweissystem, das auch eine anonyme Abgabe von Hinweisen ermöglicht. Es kann in 22 Sprachen genutzt werden und steht neben Mitarbeitenden auch Kunden, Lieferanten sowie anderen Stakeholdern zur Verfügung. 2022 gingen über das Hinweissystem Hinweise auf Korruptionsfälle im einstelligen Bereich zentral ein. 2022 gab es keine Bestätigungen von Vorwürfen von vom Unternehmen ausgehender Korruption. Dementsprechend wurden insoweit keine arbeitsrechtlichen Maßnahmen gegenüber Mitarbeitenden ergriffen. Auch gab es 2022 keine laufenden Gerichtsverfahren zu derartigen Korruptionsvorfällen.
Die Prozesse des Hinweismanagementsystems wurden 2022 analysiert. Dies erfolgte durch eine Prüfungs- und Beratungsgesellschaft, die nicht an der oben beschriebenen CMS-Untersuchung beteiligt war. Die Analyse ergab keinen Handlungsbedarf in Bezug auf die bestehenden Soll- und Ist-Prozesse. Mit Blick auf die verabschiedete europäische Richtlinie für einen besseren Schutz von Hinweisgeber:innen und das zu erwartende deutsche Umsetzungsgesetz wurde ein Projekt zur Analyse der Auswirkungen und Implementierung der Anforderungen aufgesetzt. Des Weiteren wurde 2022 eine Vereinbarung über eine weitere mehrjährige Zusammenarbeit mit einem marktführenden Anbieter für elektronische Hinweissysteme geschlossen.
Bei Fragestellungen zu Compliance werden Führungskräfte und Mitarbeitende durch Kolleg:innen der Compliance-Organisation beraten. Zu diesem Zweck betreibt der DB-Konzern schon seit vielen Jahren einen Compliance-Helpdesk.
Geschäftspartner-Compliance
Für eine erfolgreiche und nachhaltige Geschäftstätigkeit ist es auch notwendig, Geschäftspartner und Lieferanten sorgfältig auszuwählen und über die Werte und Mindestanforderungen des DB-Konzerns zu informieren. Der DB-Konzern hat unterschiedliche Formate entwickelt, um seine Geschäftspartner zu sensibilisieren und nachhaltiges Handeln in der Lieferkette stärker zu verankern.
Frei im Internet zugänglich ist das E-Learning zum DB-Ver-haltenskodex für Geschäftspartner∞, der wie der interne Verhaltenskodex vom Vorstand beschlossen wurde. Es informiert über das Thema Integrität, einzuhaltende rechtliche Standards und ethische Fragen und formuliert klare Compliance-Anforderungen, wie sie sich auch in unserem Verhaltenskodex für Geschäftspartner widerspiegeln. Anhand von Beispielen aus der Praxis wird gezeigt, wie unsere Prinzipien anzuwenden sind.
Verträge und Vertragspartner werden auf Compliance-Risiken geprüft. Mittels der in den allgemeinen Einkaufsbedingungen enthaltenen Integritätsklauseln wird potenziellen Compliance-Risiken entgegengesteuert. Risikoabhängig werden weitere Compliance-Regelungen vereinbart. Dies gilt etwa für die Beauftragung von Intermediären. Bei Vorliegen schwerer Verfehlungen entscheidet der Entscheiderkreis Vergabesperre auf Basis festgelegter transparenter Kriterien über den Umgang mit dem Auftragnehmer oder Lieferanten. Kommt es zu einer Sperre, kann frühestens nach Ablauf der festgelegten Sperrfrist oder nach einem vom Auftraggeber als hinreichend bewerteten und oft viele Jahre in Anspruch nehmenden Selbstreinigungsprozess der Firma eine Geschäftspartnerschaft neu aufgebaut bzw. fortgesetzt werden. 2022 wurden neun Vergabesperren verhängt, darunter war kein Fall aufgrund von Korruptionsverstößen.
2022 wurde ein neu entwickeltes Konzept für konzernweite, standardisierte und IT-unterstützte Compliance-Prüfungen von Geschäftspartnern einem sog. Proof of Concept unterzogen. Hierbei wurden mehr als 70.000 Lieferantendatensätze zum Zwecke der Aufdeckung von Auffälligkeiten und Risiken in einem mehrstufigen Prozess geprüft und analysiert, und ggf. wurden bzw. werden konkrete lieferantenbezogene Maßnahmen ergriffen.
Kartellrechts-Compliance und Kartellschadensprävention
Im Rahmen von Schulungen mit Trainer:innenpräsenz werden Führungskräfte und Mitarbeitende fortlaufend für das Thema Kartellrecht sensibilisiert. Die Trainingsformate sind individuell auf die Anforderungen der Geschäftsfelder und der zentralen Einheiten zugeschnitten. Zielgruppe sind alle Führungskräfte und Mitarbeitenden, die Kontakt mit Wettbewerbern haben oder in anderen wettbewerblich sensiblen Funktionen tätig sind. Ergänzt werden die Trainings insbesondere durch geschäftsfeldspezifische Regelwerke und eine enge (kartell-)rechtliche Beratung.
Ein wichtiger Bestandteil der kartellrechtlichen Compliance sind auch Maßnahmen der Kartellschadensprävention. Wir betreiben zu diesem Zweck ein umfassendes Kartellschadenspräventionssystem. Ein wichtiger Teil des Systems ist es, auf kartellgeneigten Märkten Vertragsbedingungen einzusetzen, die die Lieferanten zur Einführung bzw. Beibehaltung von kartellrechtlichen Compliance-Programmen verpflichten.