Compliance und Verantwortung
Mit den Unternehmenswerten Integrity, Collaboration, Courage und Excellence sowie den Prinzipien des konzernweit geltenden KION Group Code of Compliance (KGCC) stellt sich die KION Group den anspruchsvollen Erwartungen des Kapitalmarkts sowie der Kunden, der Mitarbeitenden und weiterer Stakeholder.
Als Teil der KION Group teilt STILL diese Werte und setzt sich für die ausnahmslose Einhaltung von gesetzlichen Vorschriften, Richtlinien und Verhaltensregeln ein. Das umfassende Compliance-Management-System von STILL basiert auf dem KGCC, in dem Richtlinien für ein ethisches, werteorientiertes und rechtskonformes Handeln in der Geschäftswelt festgelegt sind. Darüber hinaus bildet der KGCC einen verbindlichen Rahmen für den Umgang mit Kolleginnen und Kollegen, Kunden- und Partnerunternehmen sowie der Öffentlichkeit.
Als deutsche Gesellschaft unterliegt die KION GROUP AG in erster Linie deutschem Recht. Zugleich ist die KION Group verpflichtet, an ihren Standorten die jeweiligen nationalen Gesetze zu befolgen. Falls diese von deutschem Recht abweichen, beschreibt der KGCC das Vorgehen im Konzern. Ansprechpartner in allen rechtlichen Zweifelsfällen ist die Compliance- oder die Rechtsabteilung.
Der KGCC ist in 24 Sprachen verfügbar und wird bei Bedarf aktualisiert, um neue Themen ergänzt und mit neuen Schwerpunkten versehen, um der jeweils aktuellen Rechtslage und den aktuellen Bedingungen im Unternehmen Rechnung zu tragen. Für Externe ist der KGCC über die Unternehmenswebsite der KION Group zugänglich.
Die Verantwortung für das konzernweite Compliance-Management-System liegt beim Vorstand der KION GROUP AG. Der Chief Compliance Officer leitet den Fachbereich und ist gemeinsam mit dem Compliance-Team für die Weiterentwicklung des Compliance-Management-Systems, die Beratung und Information zu Compliance-Themen und die Aufklärung von Compliance-Verstößen sowie entsprechende Schulungen verantwortlich. Für die Operating Units sind Compliance Officer in Vollzeit zuständig. Diese berichten direkt an den Chief Compliance Officer und unterstützen die Geschäftsführung der jeweiligen Operating Unit bei der Umsetzung der Compliance-Vorgaben. Lokale und regionale Compliance-Beauftragte sichern die gesetzes- und regelkonformen Aktivitäten in den Tochtergesellschaften.
Effektives Compliance-Management-System
Das Compliance-Management-System wird kontinuierlich auf seine Wirksamkeit geprüft und weiterentwickelt. Es ist nach dem Vorbild des Prüfungsstandards 980 des Instituts der Wirtschaftsprüfer (IDW PS 980) aufgebaut. Der Fokus liegt auf der Prävention von Compliance-Verstößen. Der Teilbereich Antikorruption hat das Ziel, Korruption im Unternehmen zu vermeiden, aufzudecken, zu verfolgen und zu sanktionieren. Im Rahmen regulärer Checks sowie über kurzfristig angesetzte Audits prüft die Konzernrevision die Einhaltung der Compliance-Vorgaben in der KION GROUP AG und ihren konsolidierten Tochtergesellschaften.
Wie schon in den Vorjahren wurde 2023 weiter an den Themen Antikorruption, Datenschutz und IT-Sicherheit, Außenwirtschaft und Exportkontrolle, Bekämpfung von Geldwäsche, Betrugsprävention – insbesondere im Bereich Cyberkriminalität – sowie Organhaftung und Verantwortung der Führungskräfte gearbeitet. Außerdem standen im Berichtsjahr Antidiskriminierung, Hinweisgeberschutz und die Pflege einer sogenannten Speak-up-Kultur – einer Unternehmenskultur, in der Fragen und Bedenken offen zur Sprache gebracht werden können – im Fokus.
Die KION Group unterstützt ausdrücklich den Kampf gegen jede Form der Korruption und Bestechung. Hierzu folgt sie dem Ansatz „prevent, detect, respond“. Im Berichtsjahr wurden keine bestätigten Fälle von Wettbewerbs- oder Kartellrechtsverstößen registriert. Ebenso wurden keine bestätigten Fälle aktiver Korruption durch Beschäftigte festgestellt.
2023 | 2022 | 2021 |
---|---|---|
0 | 0 | 0 |
Viele Meldewege
Tatsächliche oder vermutete Verstöße können persönlich, per Telefon, Post, E-Mail oder über ein Webformular gemeldet werden. Alle Beschäftigte der KION Group – ebenso wie externe Stakeholder – haben rund um die Uhr die Möglichkeit, über ein Onlineformular und eine Hotline mögliche Compliance-Verstöße zu melden – auf Wunsch auch anonym. Das Hinweisgeber-System besteht weltweit, ist aber so gut wie möglich auf die lokalen Gegebenheiten ausgerichtet. Das integrierte Fallmanagementsystem ist darauf ausgelegt, sicherzustellen, dass alle eingehenden Hinweise geprüft werden und jeder einzelne Fall systematisch und im Einklang mit den Bestimmungen der EU-Hinweisgeberrichtlinie bearbeitet wird. Das System garantiert Vertraulichkeit und Schutz vor Vergeltungsmaßnahmen.
Das KION Group Compliance Committee, ein funktionsübergreifendes Gremium mit Führungskräften aus der Corporate-Compliance-Abteilung, der Internen Revision und der Rechtsabteilung, steuert die Bearbeitung von Compliance-Hinweisen, die dazugehörigen Untersuchungen und berät über Sanktionen bei festgestellten Compliance-Verstößen.
Mit dem Compliance Committee von STILL in Deutschland haben Beschäftigte eine weitere unabhängige und vertrauensvolle Beratungs- und Meldestelle. Wer Diskriminierung oder Belästigung erfährt oder beobachtet, kann sich an seine zuständige Stelle wenden – und zwar absolut vertraulich. Ähnliche Stellen gibt es entsprechend den nationalen Regularien EMEA-weit. In allen Ländern, in denen STILL tätig ist, können die sogenannten Compliance Representatives jederzeit angesprochen werden.
Sämtliche gemeldeten Verdachtsfälle werden systematisch geprüft und festgestellte Verstöße mit wirksamen Kontrollmaßnahmen untersucht – zum Beispiel durch regelmäßige oder spezielle Audits. Jedes Fehlverhalten wird mit disziplinarischen Maßnahmen geahndet. Falls erforderlich wird das Compliance-Management-System angepasst, um künftige Verstöße zu verhindern.
2023 | 2022 | 2021 |
---|---|---|
30 | 27 | 34 |
Schulungen
Neben eindeutigen Richtlinien gibt es ein großes Angebot an Informationen, Beratungsleistungen und Schulungen. Durch die Arbeit der Compliance Officer und Representatives stellt STILL sicher, dass die Belegschaft jederzeit aktuell und vollumfänglich über alle Fragen im Bereich Compliance informiert und sich der hohen Bedeutung des werteorientierten Handelns bewusst ist. Für alle neuen Beschäftigten der KION Group ist die Teilnahme an der Schulung zum KION Group Code of Compliance verpflichtend – entweder über E-Learning oder für Beschäftigte ohne PC als Arbeitsmittel im Rahmen einer Präsenzschulung. Darüber hinaus erhalten Beschäftigte mit Compliance-kritischen Aufgaben – beispielsweise aus Vertrieb und Einkauf – regelmäßig zielgerichtete Live-Schulungen.
Präsenzschulungen (KION Group Code of Compliance, Antikorruption, Antidiskriminierung, Interessenkonflikte, Hinweisgeberschutz, Speak-up-Kultur) |
---|
E-Learning: KION Group Code of Compliance |
E-Learning: Korruption in der KION Group vermeiden – die allgemeinen Regeln der ABC Policy |
E-Learning: Professionelles Verhalten bei KION: respektvoller Umgang miteinander am Arbeitsplatz |
E-Learning: Verhinderung von Geldwäsche und Betrug bei KION |
E-Learning: Vermeidung von Interessenkonflikten bei KION |
E-Learning: KION Group – wettbewerbswidriges Verhalten verhindern |
E-Learning: General Data Protection |
E-Learning: Information Security Employee Awareness Training |
E-Learning: Einfluss von unbewussten Vorurteilen am Arbeitsplatz |
E-Learning: Speaking up – wir hören zu |
Ziel ist es, alle Beschäftigten der KION Group regelmäßig zu den wichtigsten Themen (Antikorruption, Vermeidung von Interessenskonflikten, Kartell- und Wettbewerbsrecht, Antigeldwäsche, Hinweisgeberschutz, Datenschutz, IT-Sicherheit und Menschenrechte) zu schulen. Änderungen bei der Gesetzgebung oder bei internen Regelungen fließen ebenso in die Präsenzschulungen ein wie weiterführende Erkenntnisse aus dem Compliance-Management-System. 2023 wurde das Weiterbildungsprogramm um ein E-Learning zu unbewussten Vorurteilen, der Speak-up-Kultur und dem Schutz von Hinweisgebern erweitert. Nachgelagert erhalten die Beschäftigten ohne PC-Zugang im Jahr 2024 eine für die Zielgruppe entwickelte Präsenzschulung zu den Hinweisgeberkanälen von KION und dem Hinweisgeberschutz.
2023 | 2022 | 2021 |
---|---|---|
79 % | 100 % | 100 % |
Compliance-Prüfung von Geschäftspartnern
Bevor KION eine neue geschäftliche Beziehung eingeht, müssen externe Geschäftspartner überprüft und entsprechende Unterlagen hinterlegt werden. Dabei wird der wirtschaftliche Hintergrund des Geschäftspartners geprüft und festgestellt, ob es darüber hinaus weitere Gründe gibt, die gegen die Aufnahme der Geschäftsbeziehung sprechen, etwa weil der Geschäftspartner auf einer Sanktionsliste steht oder es negative Berichte über ihn gibt. Falls sich Zweifel ergeben, wird KION möglicherweise von Geschäften mit diesem Partner absehen. Auch bei externen Partnern ist KION bestrebt, Audits auf der Grundlage einer Risikobewertung durchzuführen.
Die Basisprüfung erfolgt mit dem Geschäftspartner-Tool, das von Corporate Compliance verwaltet wird. Hierbei werden Kunden und Lieferanten anhand von Compliance-Listen auf Hinweise überprüft. Der Abgleich mit solchen Listen, deren Bewertung und die Einleitung gegebenenfalls erforderlicher Maßnahmen erfolgt durch Corporate Compliance. Bei externen Vertriebspartnern mit erhöhtem Korruptionsrisiko – wie zum Beispiel Händlern, Importeuren, Distributoren, Agenten oder Integratoren – wird vor Aufnahme der Geschäftsbeziehung eine mehrstufige Due-Diligence-Prüfung durch den zuständigen Compliance Officer durchgeführt. Dabei werden einerseits mögliche Länderrisiken anhand von Subindizes seriöser internationaler Organisationen bestimmt; andererseits werden Informationen von den Vertriebspartnern über Due-Diligence-Fragebögen, Prüfungen mit dem Geschäftspartner-Tool und/oder über externe Due-Diligence-Anbieter eingeholt. Die Ergebnisse der Due-Diligence-Prüfung werden den verantwortlichen Stellen – wie beispielsweise der Geschäftsführung – zusammen mit empfohlenen Maßnahmen – wie zum Beispiel verschärften Vertragsklauseln mit Prüfungsrechten oder einer zusätzlichen Überwachung der Zahlungsströme – übermittelt.
Regelmäßige Risikoanalyse
Im Zuge einer systematischen Analyse erfasst und bewertet die KION Group in einem regelmäßigen Turnus im gesamten Konzern die Korruptions- und Bestechungsrisiken. Außerdem werden Geldwäsche-, wettbewerbsrechtliche, steuerrechtliche, Cybersicherheits- und Menschenrechtsrisiken erhoben. Laufend aufkommende nichtfinanzielle Risiken werden gescreent, bewertet und gesteuert. In der Folge werden adäquate Maßnahmen zur Beseitigung von Prozess- und Regelungsschwächen abgeleitet. Bei der Risikobetrachtung spielen die Ausprägung des Korruptionswahrnehmungsindex für das jeweilige Land, die Größe und Struktur der Einkaufs- oder Vertriebsorganisation vor Ort sowie die Kontakte zu Amtsträgern eine wesentliche Rolle. Für alle Tochtergesellschaften von STILL ist die Analyse bereits abgeschlossen. Dabei zeigten sich weiterhin keine erheblichen Compliance-Risiken.
2023 | 2022 | 2021 |
---|---|---|
100 % | 100 % | 100 % |
Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit haben bei STILL höchste Priorität und sind in für die gesamte KION Group geltenden Richtlinien geregelt. Während die Datenschutzrichtlinie auf die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten zielt, hat die Informationssicherheitsleitlinie von KION die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – und damit den Schutz der KION Group vor entsprechenden Angriffen – im Fokus. Zu Themen wie IT-Sicherheit am Arbeitsplatz oder Management von IT-Systemen, E-Mail und Internet gibt es verschiedene Konzernbetriebsvereinbarungen und verpflichtende Standards. Darüber hinaus gibt es Muster und Vorlagen für den täglichen Umgang mit personenbezogenen Daten und sensiblen Geschäftsdaten. Für die Umsetzung der zentralen Vorgaben sind die Operating Units zuständig. Verantwortliche für Datenschutz und dessen Koordination in den einzelnen Gesellschaften berichten an die jeweilige Geschäftsführung. Auf Konzernebene berichtet der Konzerndatenschutzbeauftragte an den Chief Compliance Officer und der Chief Information Security Officer der KION Group an den dem Vorstand der KION GROUP AG unterstellten Chief Information Officer der KION Group.
Auch der Schutz sensibler, personenbezogener Daten ist eine große Verantwortung. Daher wurden geeignete und sichere Prozesse und Maßnahmen definiert, um diese Informationen zu schützen und die gesetzlichen Vorschriften einzuhalten. Mit Schulungen und regelmäßigen Meldungen im Social Intranet wird die gesamte Belegschaft mit den Grundlagen des Datenschutzes, den Meldepflichten und dem konzernweiten Compliance-Meldesystem vertraut gemacht und kontinuierlich weitergebildet.
Im Berichtsjahr erfolgten rund 63 Millionen Angriffe auf das IT-Netzwerk der KION Group, die abgewehrt werden konnten. Ein wichtiger Faktor für diesen Erfolg ist die kontinuierliche Überprüfung auf Schwachstellen in der gesamten Infrastruktur für IT und operative Technologie. Regelmäßige Schulungen zur IT-Sicherheit, globale Anti-Phishing-Kampagnen, eine monatliche Videoserie im Social Intranet und Anweisungen zur Sicherung der IT-Infrastruktur tragen ebenfalls zur IT-Sicherheit bei.
Informationssicherheits-Managementsystem
Ende 2022 startete KION die Einführung eines Informationssicherheits-Managementsystems (ISMS), um sicherzustellen, dass sensible Informationen weiterhin geschützt sind und die Wettbewerbsfähigkeit in der Branche erhalten bleibt. Das ISMS der KION Group beruht auf den Vorgaben von ISO 27001 (Einrichtung, Implementierung, Aufrechterhaltung, kontinuierliche Verbesserung dokumentierter Sicherheitsmanagementprozesse) für den gesamten Konzern. Es wurde ein Regelwerk für die Dokumentation erarbeitet, das die Anforderungen für die Informationssicherheit darlegt.
Die KION Group analysiert in diesem Zusammenhang regelmäßig potenzielle oder bestehende Risiken für die Informationssicherheit. Wird bei den Risikoanalysen ein IT-Sicherheitsrisiko oder eine Abweichung von einem Sicherheitsstandard der KION Group festgestellt, wird das Risiko beschrieben und entsprechende Maßnahmen werden festgelegt. Nach der Bewertung des Restrisikos entscheidet der Risikoeigner über die Akzeptanz des Restrisikos, das regelmäßig neu bewertet und durch eine erneute Risikoakzeptanz abgesichert werden muss.
Die Konzernrevision führt regelmäßig spezielle IT-Audits durch, die auch die Informationssicherheit berücksichtigen.
Im April und Mai 2023 durchlief das KION Group Headquarter in Frankfurt am Main als erster Standort das TISAX1-Assessment. Im November 2023 haben die ersten STILL Gesellschaften – STILL GmbH Niederlassung in Berlin und in Hannover – das Audit erfolgreich bestanden und sich damit offiziell für die nächsten drei Jahre TISAX-zertifiziert.
Bei den TISAX-Audits wurde jeweils direkt im ersten Assessment ein hoher Reifegrad bestätigt und ein TISAX-Label ohne Auflagen erteilt. Im Rahmen der Bewertung mussten dem Prüfer rund 200 verschiedene Nachweise vorgelegt werden, zum Beispiel Informationssicherheitsstandards, Standardarbeitsanweisungen, Sicherheitskonzepte, KPIs und mehr.
Neben der Arbeit an weiteren Standorten, die im Laufe des Jahres in einen ISMS-Umfang aufgenommen werden sollen, wird der Schwerpunkt nun auch auf der Aufrechterhaltung dieses etablierten hohen Niveaus der Informationssicherheit liegen und auf der reibungslosen Funktion der Bausteine des Systems im Tagesgeschäft. Das umfasst unter anderem die Durchführung regelmäßiger interner Audits und Überprüfungen, das Informationssicherheits-Risikomanagement, die Planung sowie die Umsetzung von Verbesserungen und weitere Maßnahmen.
2023 | 2022 | 2021 |
---|---|---|
1 | 0 | 1 |
Fußnoten:
[1] TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Dabei geht es um den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen.