Compliance und Verantwortung

Das Compliance-Management-System wird kontinuierlich auf seine Wirksamkeit geprüft und weiterentwickelt. Es ist nach dem Vorbild des Prüfungsstandards 980 des Instituts der Wirtschaftsprüfer (IDW PS 980) aufgebaut. Der Fokus liegt auf der Prävention von Compliance-Verstößen. Der Teilbereich Antikorruption hat das Ziel, Korruption im Unternehmen zu vermeiden, aufzudecken, zu verfolgen und zu sanktionieren. Im Rahmen regulärer Checks sowie über kurzfristig angesetzte Audits prüft die Konzernrevision die Einhaltung der Compliance-Vorgaben in der KION GROUP AG und ihren konsolidierten Tochtergesellschaften.

Wie schon in den Vorjahren wurde 2023 weiter an den Themen Antikorruption, Datenschutz und IT-Sicherheit, Außenwirtschaft und Exportkontrolle, Bekämpfung von Geldwäsche, Betrugsprävention – insbesondere im Bereich Cyberkriminalität – sowie Organhaftung und Verantwortung der Führungskräfte gearbeitet. Außerdem standen im Berichtsjahr Antidiskriminierung, Hinweisgeberschutz und die Pflege einer sogenannten Speak-up-Kultur – einer Unternehmenskultur, in der Fragen und Bedenken offen zur Sprache gebracht werden können – im Fokus.

Die KION Group unterstützt ausdrücklich den Kampf gegen jede Form der Korruption und Bestechung. Hierzu folgt sie dem Ansatz „prevent, detect, respond“. Im Berichtsjahr wurden keine bestätigten Fälle von Wettbewerbs- oder Kartellrechtsverstößen registriert. Ebenso wurden keine bestätigten Fälle aktiver Korruption durch Beschäftigte festgestellt.

Viele Meldewege

Tatsächliche oder vermutete Verstöße können persönlich, per Telefon, Post, E-Mail oder über ein Webformular gemeldet werden. Alle Beschäftigten der KION Group – ebenso wie externe Stakeholder – haben rund um die Uhr die Möglichkeit, über ein Onlineformular und eine Hotline mögliche Compliance-Verstöße zu melden – auf Wunsch auch anonym. Das Hinweisgeber-System besteht weltweit, ist aber so gut wie möglich auf die lokalen Gegebenheiten ausgerichtet. Das integrierte Fallmanagementsystem ist darauf ausgelegt, sicherzustellen, dass alle eingehenden Hinweise geprüft werden und jeder einzelne Fall systematisch und im Einklang mit den Bestimmungen der EU-Hinweisgeberrichtlinie bearbeitet wird. Das System garantiert Vertraulichkeit und Schutz vor Vergeltungsmaßnahmen.

Das KION Group Compliance Committee, ein funktionsübergreifendes Gremium mit Führungskräften aus der Corporate-Compliance-Abteilung, der Internen Revision und der Rechtsabteilung, steuert die Bearbeitung von Compliance-Hinweisen, die dazugehörigen Untersuchungen und berät über Sanktionen bei festgestellten Compliance-Verstößen.

Mit dem Compliance Committee von Linde MH in Deutschland haben Beschäftigte eine weitere unabhängige und vertrauensvolle Beratungs- und Meldestelle. Wer Diskriminierung oder Belästigung erfährt oder beobachtet, kann sich an seine zuständige Stelle wenden – und zwar absolut vertraulich. Ähnliche Stellen gibt es entsprechend den nationalen Regularien EMEA-weit. In allen Ländern, in denen Linde MH tätig ist, können die sogenannten Compliance Representatives jederzeit angesprochen werden.

Sämtliche gemeldeten Verdachtsfälle werden systematisch geprüft und festgestellte Verstöße mit wirksamen Kontrollmaßnahmen untersucht – zum Beispiel durch regelmäßige oder spezielle Audits. Jedes Fehlverhalten wird mit disziplinarischen Maßnahmen geahndet. Falls erforderlich wird das Compliance-Management-System angepasst, um künftige Verstöße zu verhindern.

Neben eindeutigen Richtlinien gibt es ein großes Angebot an Informationen, Beratungsleistungen und Schulungen. Durch die Arbeit der Compliance Officer und Representatives stellt Linde MH sicher, dass die Belegschaft jederzeit aktuell und vollumfänglich über alle Fragen im Bereich Compliance informiert und sich der hohen Bedeutung des werteorientierten Handelns bewusst ist. Für alle neuen Beschäftigten der KION Group ist die Teilnahme an der Schulung zum KION Group Code of Compliance verpflichtend – entweder über E-Learning oder für Beschäftigte ohne PC als Arbeitsmittel im Rahmen einer Präsenzschulung. Darüber hinaus erhalten Beschäftigte mit Compliance-kritischen Aufgaben – beispielsweise aus Vertrieb und Einkauf – regelmäßig zielgerichtete Live-Schulungen.

Ziel ist es, alle Beschäftigten der KION Group regelmäßig zu den wichtigsten Themen (Antikorruption, Vermeidung von Interessenskonflikten, Kartell- und Wettbewerbsrecht, Antigeldwäsche, Hinweisgeberschutz, Datenschutz, IT-Sicherheit und Menschenrechte) zu schulen. Änderungen bei der Gesetzgebung oder bei internen Regelungen fließen ebenso in die Präsenzschulungen ein wie weiterführende Erkenntnisse aus dem Compliance-Management-System. 2023 wurde das Weiterbildungsprogramm um ein E-Learning zu unbewussten Vorurteilen, der Speak-up-Kultur und dem Schutz von Hinweisgebern erweitert. Nachgelagert erhalten die Beschäftigten ohne PC-Zugang im Jahr 2024 eine für die Zielgruppe entwickelte Präsenzschulung zu Hinweisgeberkanälen von KION und dem Hinweisgeberschutz.

Bevor KION eine neue geschäftliche Beziehung eingeht, müssen externe Geschäftspartner überprüft und entsprechende Unterlagen hinterlegt werden. Dabei wird der wirtschaftliche Hintergrund des Geschäftspartners geprüft und festgestellt, ob es darüber hinaus weitere Gründe gibt, die gegen die Aufnahme der Geschäftsbeziehung sprechen, etwa weil der Geschäftspartner auf einer Sanktionsliste steht oder es negative Berichte über ihn gibt. Falls sich Zweifel ergeben, wird KION möglicherweise von Geschäften mit diesem Partner absehen. Auch bei externen Partnern ist KION bestrebt, Audits auf der Grundlage einer Risikobewertung durchzuführen.

Die Basisprüfung erfolgt mit dem Geschäftspartner-Tool, das von Corporate Compliance verwaltet wird. Hierbei werden Kunden und Lieferanten anhand von Compliance-Listen auf Hinweise überprüft. Der Abgleich mit solchen Listen, deren Bewertung und die Einleitung gegebenenfalls erforderlicher Maßnahmen erfolgt durch Corporate Compliance. Bei externen Vertriebspartnern mit erhöhtem Korruptionsrisiko – wie zum Beispiel Händlern, Importeuren, Distributoren, Agenten oder Integratoren – wird vor Aufnahme der Geschäftsbeziehung eine mehrstufige Due-Diligence-Prüfung durch den zuständigen Compliance Officer durchgeführt. Dabei werden einerseits mögliche Länderrisiken anhand von Subindizes seriöser internationaler Organisationen bestimmt; andererseits werden Informationen von den Vertriebspartnern über Due-Diligence-Fragebögen, Prüfungen mit dem Geschäftspartner-Tool und/oder über externe Due-Diligence-Anbieter eingeholt. Die Ergebnisse der Due-Diligence-Prüfung werden den verantwortlichen Stellen – wie beispielsweise der Geschäftsführung – zusammen mit empfohlenen Maßnahmen – wie zum Beispiel verschärften Vertragsklauseln mit Prüfungsrechten oder einer zusätzlichen Überwachung der Zahlungsströme – übermittelt.

Im Zuge einer systematischen Analyse erfasst und bewertet die KION Group in einem regelmäßigen Turnus im gesamten Konzern die Korruptions- und Bestechungsrisiken. Außerdem werden Geldwäsche-, wettbewerbsrechtliche, steuerrechtliche, Cybersicherheits- und Menschenrechtsrisiken erhoben. Laufend aufkommende nichtfinanzielle Risiken werden gescreent, bewertet und gesteuert. In der Folge werden adäquate Maßnahmen zur Beseitigung von Prozess- und Regelungsschwächen abgeleitet. Bei der Risikobetrachtung spielen die Ausprägung des Korruptionswahrnehmungsindex für das jeweilige Land, die Größe und Struktur der Einkaufs- oder Vertriebsorganisation vor Ort sowie die Kontakte zu Amtsträgern eine wesentliche Rolle. Für alle Tochtergesellschaften von Linde MH ist die Analyse bereits abgeschlossen. Dabei zeigten sich weiterhin keine erheblichen Compliance-Risiken.

Datenschutz und Informationssicherheit haben bei Linde MH höchste Priorität und sind in für die gesamte KION Group geltenden Richtlinien geregelt. Während die Datenschutzrichtlinie auf die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten zielt, hat die Informationssicherheitsleitlinie von KION die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – und damit den Schutz der KION Group vor entsprechenden Angriffen – im Fokus. Zu Themen wie IT-Sicherheit am Arbeitsplatz oder Management von IT-Systemen, E-Mail und Internet gibt es verschiedene Konzernbetriebsvereinbarungen und verpflichtende Standards. Darüber hinaus gibt es Muster und Vorlagen für den täglichen Umgang mit personenbezogenen Daten und sensiblen Geschäftsdaten. Für die Umsetzung der zentralen Vorgaben sind die Operating Units zuständig. Verantwortliche für Datenschutz und dessen Koordination in den einzelnen Gesellschaften berichten an die jeweilige Geschäftsführung. Auf Konzernebene berichtet der Konzerndatenschutzbeauftragte an den Chief Compliance Officer und der Chief Information Security Officer der KION Group an den dem Vorstand der KION GROUP AG unterstellten Chief Information Officer der KION Group.

Auch der Schutz sensibler, personenbezogener Daten ist eine große Verantwortung. Daher wurden geeignete und sichere Prozesse und Maßnahmen definiert, um diese Informationen zu schützen und die gesetzlichen Vorschriften einzuhalten. Mit Schulungen und regelmäßigen Meldungen im Social Intranet wird die gesamte Belegschaft mit den Grundlagen des Datenschutzes, den Meldepflichten und dem konzernweiten Compliance-Meldesystem vertraut gemacht und kontinuierlich weitergebildet.

Im Berichtsjahr erfolgten rund 63 Millionen Angriffe auf das IT-Netzwerk der KION Group, die abgewehrt werden konnten. Ein wichtiger Faktor für diesen Erfolg ist die kontinuierliche Überprüfung auf Schwachstellen in der gesamten Infrastruktur für IT und operative Technologie. Regelmäßige Schulungen zur IT-Sicherheit, globale Anti-Phishing-Kampagnen, eine monatliche Videoserie im Social Intranet und Anweisungen zur Sicherung der IT-Infrastruktur tragen ebenfalls zur IT-Sicherheit bei.

Informationssicherheits-Managementsystem

Ende 2022 startete KION die Einführung eines Informationssicherheits-Managementsystems (ISMS), um sicherzustellen, dass sensible Informationen weiterhin geschützt sind und die Wettbewerbsfähigkeit in der Branche erhalten bleibt. Das ISMS der KION Group beruht auf den Vorgaben von ISO 27001 (Einrichtung, Implementierung, Aufrechterhaltung, kontinuierliche Verbesserung dokumentierter Sicherheitsmanagementprozesse) für den gesamten Konzern. Es wurde ein Regelwerk für die Dokumentation erarbeitet, das die Anforderungen für die Informationssicherheit darlegt.

Die KION Group analysiert in diesem Zusammenhang regelmäßig potenzielle oder bestehende Risiken für die Informationssicherheit. Wird bei den Risikoanalysen ein IT-Sicherheitsrisiko oder eine Abweichung von einem Sicherheitsstandard der KION Group festgestellt, wird das Risiko beschrieben und entsprechende Maßnahmen werden festgelegt. Nach der Bewertung des Restrisikos entscheidet der Risikoeigner über die Akzeptanz des Restrisikos, das regelmäßig neu bewertet und durch eine erneute Risikoakzeptanz abgesichert werden muss.

Die Konzernrevision führt regelmäßig spezielle IT-Audits durch, die auch die Informationssicherheit berücksichtigen.

Im Juni 2024 haben Unternehmensbereiche der KION Group, die für die Entwicklung, Bereitstellung und den Betrieb der cloudbasierten Flottenmanagementsysteme zuständig sind, eine ISO-27001-Zertifizierung erhalten. Bei Linde MH betrifft das die Gesellschaften Linde Material Handling GmbH in Aschaffenburg und Linde Material Handling Ibérica, S.A.U. in Spanien. Bei TISAX¹-Audits, die das KION Group Headquarter in Frankfurt am Main, das Linde Material Handling Headquarter in Aschaffenburg und die Willenbrock Fördertechnik GmbH in Bremen (ebenfalls eine Gesellschaft von Linde MH) im Jahr 2023 durchlaufen haben, wurde jeweils direkt im ersten Assessment ein hoher Reifegrad bestätigt und das TISAX-Label wurde ohne Auflagen erteilt. Im Rahmen der Bewertung mussten dem Prüfer rund 200 verschiedene Nachweise vorgelegt werden, zum Beispiel Informationssicherheitsstandards, Standardarbeitsanweisungen, Sicherheitskonzepte und KPIs. Neben der Arbeit an weiteren Standorten, die im Laufe des Jahres in einen ISMS-Umfang aufgenommen werden sollen, wird der Schwerpunkt nun auch auf der Aufrechterhaltung dieses etablierten hohen Niveaus der Informationssicherheit liegen. Dass die Bausteine des Systems im Tagesgeschäft reibungslos funktionieren, zum Beispiel die Durchführung regelmäßiger interner Audits und Überprüfungen, das Informationssicherheits-Risikomanagement und die Planung und Umsetzung von Verbesserungen, rundet das Sicherheitskonzept ab.

Fußnoten:
[1] TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Dabei geht es um den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen.