Compliance

Managementansatz und Ziele

Für uns im DB-Konzern ist Compliance integraler Bestandteil der Unternehmenskultur und leitet unser Handeln bei all unseren Geschäftsaktivitäten. Wir entwickeln unser Compliance-Management-System (CMS) stetig weiter, da wir weiterhin State of the Art bleiben und eine gute Compliance nachhaltig prägen wollen. Compliance ist in der Strategie Starke Schiene verankert.

Unser CMS basiert auf nationalen und internationalen rechtlichen Anforderungen und etablierten Standards wie dem Wirtschaftsprüfungsstandard IDWPS 980. Der DB-Konzern wendet zudem die Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung sinngemäß an. Das CMS soll sicherstellen, dass Compliance-Risiken frühzeitig erkannt und entsprechende Gegensteuerungsmaßnahmen implementiert werden. Die Wirksamkeit unseres CMS überprüfen wir kontinuierlich und nehmen ggf. erforderliche Anpassungen vor. Compliance ist Bestandteil des internen Kontrollsystems (IKS). Die Konzernrevision prüft daher u. a. das CMS im DB-Konzern als Teil der IKS-Prüfungen im Rahmen des Bilanzrechtsmodernisierungsgesetzes (BilMoG).

Nachdem 2022/2023 die konzernweite unabhängige Untersuchung der Wirksamkeit des CMS des DB-Konzerns hinsichtlich Korruption und Wirtschaftskriminalität in Form von Betrug und Untreue durch eine Prüfungs- und Beratungsgesellschaft in allen Geschäftseinheiten mit uneingeschränktem Prüfungsurteil abgeschlossen wurde, wurde zur Kontrolle der Umsetzung der ausgesprochenen Empfehlungen ein von der Prüfungs- und Beratungsgesellschaft begleiteter Follow-up-Prozess durchgeführt, der Anfang 2025 abgeschlossen wurde. Aufbau- wie ablauforganisatorisch ist das Compliance-Management des DB-Konzerns durch eine Verbindung von zentralen und dezentralen Elementen gekennzeichnet. Der Chief Compliance Officer (CCO) steuert die Weiterentwicklung unseres CMS und berichtet direkt an den Vorstandsvorsitzenden. Bei seinen Aufgaben wird der CCO von mehr als 250 Compliance-Zuständigen (in Vollzeit oder arbeitsanteilig) unterstützt. Die Compliance-Tätigkeit in der Konzernleitung fokussiert sich insbesondere auf ihre zentrale Governance-Tätigkeit. In den Geschäftsfeldern und Serviceeinheiten wird die operative Verantwortung unter Umsetzung der CMS-Mindestvorgaben aus der Konzernleitung wahrgenommen. Der intensive Austausch zentraler wie dezentraler Compliance-Zuständiger wird durch unterschiedliche Formate wie z. B. eine Fachtagung, i. d. R. monatliche Compliance Officer Meetings, die Verwendung eines Compliance Cockpits als Arbeitsplattform sowie mindestens vierteljährlich stattfindende virtuelle Informationsveranstaltungen für Compliance Officer und Manager gewährleistet.

Der DB-Konzern engagiert sich im nationalen und internationalen Umfeld zu Compliance-Themen. Denn insbesondere Korruption kann u. a. das Vertrauen der Bürger:innen in die Funktionsfähigkeit des Staates und seiner Einrichtungen beschädigen sowie zu finanziellen Schäden auch für den Staat führen. An der Erarbeitung von übergeordneten Präventionsstrategien zu Korruption ist der DB-Konzern u. a. auch im Rahmen einer Zusammenarbeit mit dem Deutschen Institut für Compliance (DICO) sowie als aktives Mitglied von Transparency International beteiligt. Auch bringt der DB-Konzern seine Compliance-Expertise in regelmäßigen Erfahrungsaustauschen und Benchmark-Runden mit anderen national und international agierenden Unternehmen ein.

Compliance-Instrumente

Zielgerichtete Compliance-Instrumente wurden zum Schutz des DB-Konzerns, der Mitarbeitenden und Führungskräfte entwickelt. Dazu gehören bspw. verbindliche Compliance-Regelungen, Risiko- und Prozessanalysen, ein Compliance- Berichtswesen, Kommunikations- und Trainingsmaßnahmen sowie ein Hinweissystem.

Der Verhaltenskodex des DB-Konzerns bildet das Kernstück unseres CMS. Er definiert Standards und Erwartungen an das tägliche Handeln unserer Organe, Führungskräfte und Mitarbeitenden und wird über die Konzernregelwerksdatenbank und einschlägige Seiten im Intranet den Mitarbeitenden zur Verfügung gestellt. Außerdem ist das Compliance-Regelwerk Bestandteil einer App, die auf alle zentral gemanagten dienstlichen Mobilgeräte im DB-Konzern aufgespielt wird. Der DB-Verhaltenskodex ist seit 2018 ebenfalls Teil der Arbeitsverträge der Mitarbeitenden des DB-Konzerns. Auf der Internetseite des DB-Konzerns ist der DB-Verhaltenskodex ebenfalls in Deutsch und Englisch veröffentlicht. In Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG) wurde der DB-Verhaltenskodex mit Beschluss des Vorstands erweitert. Die neue Fassung trat am 1. Januar 2024 in Kraft. Ergänzt wird der DB-Verhaltenskodex durch verbindliche Richtlinien, die geltende rechtliche Vorschriften im internationalen wie nationalen Geschäftsverkehr und Kontakt mit Kund:innen konkretisieren.

Compliance-Risikoanalysen sind wesentlicher Bestandteil der Risikosteuerung im DB-Konzern und werden durch die Geschäftsfelder und Serviceeinheiten durchgeführt. Es erfolgt eine konzernweite Bestandsaufnahme der Compliance-Risiken gem. den von der Konzernleitung gemachten Governance-Vorgaben. Das verbindliche Rahmenkonzept enthält Mindestvorgaben zu Planung, Durchführung, Berichterstattung und Follow-up. Innerhalb eines Dreijahreszyklus sind alle Konzerngesellschaften mit operativem Geschäft auf Korruptionsrisiken hin zu prüfen. Auf Ebene der Geschäftsfelder ist jährlich nach einem vorgegebenen Format zu den einschlägigen Compliance-Risiken zu berichten.

Durchgeführte Compliance-Risikoanalysen zeigen auf, dass die Geschäftsfelder auf unterschiedliche Art von Korruptionsrisiken betroffen sind. Einige unserer Gesellschaften sind in Auslandsmärkten mit hoher Korruptionsanfälligkeit tätig. Dies trifft neben DB Schenker und der DB E.C.O. Group auch auf DB Cargo zu. Für Geschäftsfelder des Ressorts Infra­struktur ergeben sich aufgrund hoher Beschaffungsvolumina Risiken, dass Korruptions- oder Betrugshandlungen von Lieferanten oder Subunternehmern zulasten des DB-Konzerns erfolgen. Auch der ordnungsgemäße Umgang mit Fördermitteln ist Gegenstand der Compliance-Arbeit. Dies betrifft verschiedene Geschäftsfelder. Über die Compliance-Risiken wird der Vorstand durch einen kompakten Jahresbericht Compliance informiert. Differenziert werden die Risikolagen der Geschäftsfelder, Serviceeinheiten sowie Konzernleitungsfunktionen beschrieben sowie vorhandene risikoreduzierende Faktoren und Gegensteuerungsmaßnahmen aufgezeigt.

Auch unterjährig wird der Vorstand regelmäßig über den weiteren Ausbau des Compliance-Programms sowie wesentliche Compliance-Fälle informiert und zu Risiken sowie zu neuen Rechtsentwicklungen instruiert. Der CCO berichtet zudem einmal pro Quartal in dem vom Aufsichtsrat gebildeten Prüfungs- und Compliance-Ausschuss zu Compliance-Themen, einschließlich konzernerheblicher sowie kritischer Themen. Unabhängig davon berichtet die Konzernrevision im März die wesentlichen Erkenntnisse des jeweiligen Geschäfts­jahres – einschließlich der wesentlichen Feststellungen der Prüfbereiche und des Abwicklungsstandes des Prüfungsprogramms – an den Prüfungs- und Compliance-Ausschuss und stellt in der Dezember-Sitzung die Prüfungsplanung der Konzernrevision für das kommende Geschäftsjahr vor. Der Chef-Syndikus des DB-Konzerns berichtet in der März-Sitzung über wesentliche Rechtsfälle. Je nach Sachverhalt werden die Gremien im Einzelfall auch unmittelbar über konzernerhebliche und kritische Sachverhalte informiert.

Um unsere Compliance-Ziele nachhaltig zu erreichen, wollen wir unsere Instrumente kontinuierlich verbessern und zu Compliance-Fragen beraten. Dies setzt voraus, dass Compliance-Fachkräfte über aktuelle fachliche Entwicklungen informiert sind. Zu ihrer regelmäßigen Qualifizierung steht mit der Compliance Academy ein innerhalb der DB-eigenen Lernplattform implementierter Lernbereich als zentrales Instrument der Wissensvermittlung zur Verfügung. Die Absolvierung definierter Kurse ist vorgeschrieben.

Bei der Prägung unserer Unternehmenskultur kommt den Führungskräften eine besondere Rolle zu. Um diese zu regelkonformem Verhalten zu schulen, um den DB-Konzern und sich vor Compliance-Risiken zu schützen, wurden verschiedene Programme implementiert. Das verpflichtende Schulungsprogramm für das Top-Management wurde 2024 um ein neues Modul erweitert. Es ergänzt das etablierte, durch die Leiter der Konzernfunktionen Compliance, Revision und Recht durchgeführte Compliance-Coaching. Im Rahmen des Personalauswahlverfahrens wurden 2024 auch unterhalb der Ebene des Top-Managements Bewerbendenüberprüfungen (»Pre Employment Checks«) für leitende Angestellte durchgeführt.

Das Compliance-Sensibilisierungskonzept folgt einem risiko- und bedarfsorientierten Ansatz, der vorgibt, in welchem Turnus alle Führungskräfte und Mitarbeitenden zu schulen sind. Mittels Teilnahme an Präsenzveranstaltungen oder Durchführung von E-Learnings kann über einen Zeitraum von zwei bis zweieinhalb Jahren eine nahezu vollständige Trainingsabdeckung von Führungskräften und Mitarbeitenden mit mittlerem und hohem Risiko bzw. Bedarf erreicht werden. Allein an Veranstaltungen mit Trainer:innen nahmen zum Thema Korruptionsprävention 2024 knapp 36.000 Führungskräfte und Mitarbeitende teil. Auch E-Learning-Module kamen in erheblichem Umfang zum Einsatz. Gemeinsam mit bei DB Schenker spezifisch entwickelten E-Learnings wurden 2024 über 108.000 E-Learning-Einheiten zur Korruptionsprävention absolviert.

Die auch 2024 weiter verschärften Sanktionen gegen Russland und Belarus, aber auch gegen den Iran, führten dazu, dass die fortlaufende Beratung sowie Anpassung von Prozessen, Vertragsklauseln und Sensibilisierungen zu außenwirtschaftsrechtlichen Themen erneut einen Schwerpunkt der Compliance-Arbeit bildeten. Die wachsenden Anforderungen im Bereich des Außenwirtschaftsrechts, die sich auch aufgrund der zum Teil divergierenden Anforderungen verschiedener Rechtsordnungen ergeben, spiegelten sich auch in der Beteiligung der zentralen Compliance-Funktion an zahlreichen Vertragsverhandlungen sowie Gesprächen mit Versicherungen und Banken wider. In diesem Zusammenhang wurden die Geschäftspartner des DB-Konzerns durch das im DB-Konzern eingesetzte Sanktionslistentool fortlaufend geprüft.

Um Informationen über mögliche Verstöße gegen gesetzliche Vorschriften oder interne Regelungen zu erhalten, besteht ein konzernweites Hinweissystem. Der Umgang mit eingehenden Hinweisen ist detailliert geregelt. Die implementierten Prozesse sollen die Hinweisgeber:innen schützen. Den Interessen der betroffenen Personen soll u. a. durch klar definierte Anforderungen an Schlüssigkeit und Erheblichkeit eines Hinweises Rechnung getragen werden.

Hinweisgeber:innen stehen verschiedene Wege zur Abgabe eines Hinweises offen. Hierzu gehören neben den Com­pliance-Teams in der Konzernleitung sowie in den Geschäfts­feldern und Serviceeinheiten auch drei Vertrauensanwält:in- ­nen, die gesetzlich zur Verschwiegenheit verpflichtet sind. Hinzu kommt ein konzernweit verwendetes elektronisches Hinweissystem, das auch eine anonyme Abgabe von Hinweisen ermöglicht. Es kann in 22 Sprachen genutzt werden und steht neben Mitarbeitenden auch Kunden, Lieferanten sowie anderen Stakeholdern zur Verfügung.

2024 gingen über das Hinweissystem Hinweise auf Korruptionsfälle im unteren zweistelligen Bereich zentral ein. Diese Hinweise betrafen Korruptionshandlungen bzw. -versuche von Geschäftspartnern gegenüber dem DB-Konzern bzw. seinen Mitarbeitenden. Sie werden gem. den etablierten Prozessen intern und bei hinreichender Belastbarkeit auch ge­meinsam mit den zuständigen Ermittlungsbehörden aufgear­beitet. 2024 gab es keine Bestätigungen von Vorwürfen von vom DB-Konzern ausgehender Korruption. Dementsprechend wurden insoweit keine arbeitsrechtlichen Maßnahmen gegenüber Mitarbeitenden ergriffen. Auch gab es 2024 keine laufenden Gerichtsverfahren zu derartigen Korruptionsvorfällen.

Mit Blick auf die deutschen und europäischen Umsetzungsgesetze zur EU-Richtlinie für einen besseren Schutz von Hinweisgeber:innen wurden weitere Anpassungen in Prozessen und Kommunikation beim bestehenden Meldesystem vorgenommen. U. a. wurden neue Meldestellen zu Jahresbeginn 2024 im DB-Konzern eingerichtet, um die Möglichkeiten der Meldung von Verstößen um weitere Sachverhalte, z. B. aus den Bereichen Konzernsicherheit, Einkauf oder Informationssicherheit, fachlich zu erweitern. Sie komplementieren die bestehenden Meldestellen für Korruption und Wirtschaftskriminalität sowie für Datenschutz- und Umweltverstöße sowie Verstöße gegen arbeitsrechtliche Schutzvorschriften und LkSG-Beschwerden.

Bei Fragestellungen zu Compliance-Themen werden Führungskräfte und Mitarbeitende durch die Compliance-Organisation beraten. Zu diesem Zweck betreibt der DB-Konzern schon seit über zehn Jahren einen Compliance-Helpdesk.

2024 wurdenin verschiedenen Projekten Workflows der Compliance-Tätigkeiten daraufhin analysiert, in welchem Umfang sich Arbeitsabläufe digitalisieren lassen. Dies führte in Zusammenarbeit mit dem Deutschen Institut für Compliance (DICO) zu einer Software, mittels derer automatisiert Verhaltenskodizes verschiedener Unternehmen verglichen werden können. Des Weiteren wurde ein Governance-, Risk- and Compliance-(GRC-)Tool, also eine Softwareanwendung, um bspw. Maßnahmen zu verwalten und Risiken zu bewerten, beschafft und auf die Bedürfnisse des DB-Konzerns angepasst. Ziel ist es, die Plattform als zentrale Lösung für das Compliance-Management zu etablieren und einen Beitrag zur Risikominimierung und Effizienzsteigerung im gesamten Unternehmen zu leisten.

Geschäftspartner-Compliance

Für eine erfolgreiche und nachhaltige Geschäftstätigkeit ist es auch notwendig, Geschäftspartner und Lieferanten sorgfältig auszuwählen und über die Werte und Mindestanforderungen des DB-Konzerns zu informieren. Der DB-Konzern hat unterschiedliche Formate entwickelt, um seine Geschäftspartner zu sensibilisieren und nachhaltiges Handeln in der Lieferkette stärker zu verankern.

Frei im Internet zugänglich ist das 2023 aktualisierte E-Learning zum DB-Verhaltenskodex für Geschäftspartner. Es informiert über das Thema Integrität, einzuhaltende rechtliche Standards und ethische Fragen und formuliert klare Compliance-Anforderungen, wie sie auch in unserem DB-Verhaltenskodex für Geschäftspartner definiert sind. Anhand von Beispielen aus der Praxis wird gezeigt, wie unsere Prinzipien anzuwenden sind. Der DB-Verhaltenskodex für Geschäftspart­ner wurde 2023 in Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG) geändert und vom Vorstand verabschiedet. Die neue Fassung trat am 1. Februar 2024 in Kraft.

Verträge und Vertragspartner werden auf Compliance-­Risiken geprüft. Mittels der in den allgemeinen Einkaufs­bedingungen enthaltenen Integritätsklauseln soll potenziellen Compliance-Risiken entgegengesteuert werden. Risikoabhängig werden weitere Compliance-Regelungen vereinbart. Dies gilt etwa für die Beauftragung von Intermediären. Bei Vorliegen schwerer Verfehlungen entscheidet der Entscheiderkreis Vergabesperre (EKV) auf Basis festgelegter transparenter Kriterien über den Umgang mit dem Auftragnehmer oder Lieferanten. Kommt es zu einer Sperre, kann frühestens nach Ablauf der festgelegten Sperrfrist oder nach einem vom Auftraggeber als hinreichend bewerteten und oft viele Jahre in Anspruch nehmenden Selbstreinigungsprozess der Firma eine Geschäftspartnerschaft neu aufgebaut bzw. fortgesetzt werden. 2024 wurden gegen fünf Unternehmen Vergabesperren verhängt und eine Person gesperrt. Keine der Vergabesperren war durch Korruptionsverstöße begründet. Darüber hinaus wurde die Vergabesperre gegen einen weiteren sanktionsgelisteten Kreditor intern verankert.

Das neu entwickelte Konzept für konzernweite, standardisierte und IT-unterstützte Compliance-Prüfungen von Geschäftspartnern wurde nach dem 2022 durchgeführten sog. Proof of Concept weiterentwickelt. Die Implementierung des Verfahrens als Teil der DB-Beschaffungsprozesse soll erfolgen, sobald nach Abschluss der laufenden SAP-bezogenen Konzernprojekte die technischen Voraussetzungen hierfür geschaffen sind. Bis dahin soll – unter Einbeziehung eines externen Dienstleisters – ab Ende 2024 ein Interimsverfahren zur Compliance-Geschäftspartnerprüfung angewendet werden, das qualitativ weitgehend dem neu entwickelten Konzept für den finalen Prozess entspricht.

Kartellrechts-Compliance und Kartellschadensprävention

Im Rahmen von virtuellen oder Präsenzschulungen sollen Führungskräfte und Mitarbeitende fortlaufend für das Thema Kartellrecht sensibilisiert werden. Die Trainingsformate sind individuell auf die Anforderungen der Geschäftsfelder und der zentralen Einheiten zugeschnitten. Zielgruppe sind alle Führungskräfte und Mitarbeitenden, die Kontakt mit Wettbewerbern haben oder in anderen wettbewerblich sensiblen Funktionen tätig sind. Ergänzt werden die Trainings insbesondere durch geschäftsfeldspezifische Regelwerke und eine enge (kartell-)rechtliche Beratung.

Ein wichtiger Bestandteil der kartellrechtlichen Compliance sind auch Maßnahmen der Kartellschadensprävention. Wir betreiben zu diesem Zweck ein umfassendes Kartellschadenspräventionssystem. Ein wichtiger Teil des Systems ist es, auf kartellgeneigten Märkten Vertragsbedingungen einzusetzen, die die Lieferanten zur Einführung bzw. Beibehaltung von kartellrechtlichen Compliance-Programmen verpflichten.