Compliance und Verantwortung
Mit den Unternehmenswerten Integrity, Collaboration, Courage und Excellence sowie den Prinzipien des konzernweit geltenden KION Group Code of Compliance (KGCC) stellt sich die KION Group den anspruchsvollen Erwartungen des Kapitalmarkts, der Kunden und weiterer Stakeholder.
Als Teil der KION Group teilt STILL diese Werte und setzt sich für die ausnahmslose Einhaltung von gesetzlichen Vorschriften, Richtlinien und Verhaltensregeln ein. Das umfassende Compliance-Management-System von STILL basiert auf dem KGCC, in dem Richtlinien für ein ethisches, werteorientiertes und rechtskonformes Handeln in der Geschäftswelt festgelegt sind. Darüber hinaus bildet der KGCC einen verbindlichen Rahmen für den Umgang mit Kolleginnen und Kollegen, Kunden- und Partnerunternehmen sowie der Öffentlichkeit.
Als deutsche Gesellschaft unterliegt die KION Group AG in erster Linie deutschem Recht. Zugleich ist die KION Group verpflichtet, an ihren Standorten die jeweiligen nationalen Gesetze zu befolgen. Falls diese von deutschem Recht abweichen, beschreibt der KGCC das Vorgehen im Konzern. Ansprechpartner in allen rechtlichen Zweifelsfällen ist die Compliance- oder die Rechtsabteilung.
Der KGCC ist in 24 Sprachen verfügbar und wird bei Bedarf aktualisiert, um neue Themen ergänzt und mit neuen Schwerpunkten versehen, um der jeweils aktuellen Rechtslage und den aktuellen Bedingungen im Unternehmen Rechnung zu tragen. Für Externe ist der KGCC über die Unternehmenswebsite der KION Group zugänglich.
Die Verantwortung für das konzernweite Compliance-Management-System liegt beim Vorstand der KION GROUP AG. Der Chief Compliance Officer leitet den Fachbereich und ist gemeinsam mit dem Compliance-Team für die Weiterentwicklung des Compliance-Management-Systems, die Beratung und Information zu Compliance-Themen und die Aufklärung von Compliance-Verstößen sowie entsprechende Schulungen verantwortlich. Für die Operating Units sind Compliance Officer in Vollzeit zuständig. Diese berichten direkt an den Chief Compliance Officer und unterstützen die Geschäftsführung der jeweiligen Operating Unit bei der Umsetzung der Compliance-Vorgaben. Lokale und regionale Compliance-Beauftragte sichern die gesetzes- und regelkonformen Aktivitäten in den Tochtergesellschaften.
Effektives Compliance-Management-System
Das Compliance-Management-System wird kontinuierlich auf seine Wirksamkeit geprüft und weiterentwickelt. Es ist nach dem Vorbild des Prüfungsstandards 980 des Instituts der Wirtschaftsprüfer (IDW PS 980) aufgebaut. Der Fokus liegt auf der Prävention von Compliance-Verstößen. Im Teilbereich Antikorruption lautet das Ziel, Korruption im Unternehmen zu vermeiden, aufzudecken, zu verfolgen und zu sanktionieren. Im Rahmen regulärer Checks sowie über kurzfristig angesetzte Audits prüft die Konzernrevision die Einhaltung der Compliance-Vorgaben in der KION GROUP AG und ihren konsolidierten Tochtergesellschaften.
Im Berichtsjahr wurde die externe Prüfung des Compliance-Management-Systems im Teilbereich Antikorruption nach IDW PS 980 in Anlehnung an ISO 19600 abgeschlossen. Neben der Wirksamkeit standen dabei auch die Angemessenheit und die Konzeption des Compliance-Management-Systems im Fokus. Im Jahr 2022 wurde bestätigt, dass die Maßnahmen in Übereinstimmung mit den angewandten Grundsätzen wirksam sind, um Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern.
Wie schon in den Vorjahren wurde 2022 weiter an den Themen Antikorruption, Datenschutz und IT-Sicherheit, Außenwirtschaft und Exportkontrolle, Bekämpfung von Geldwäsche, Betrugsprävention – insbesondere im Bereich Cyberkriminalität – sowie Organhaftung und Verantwortung der Führungskräfte gearbeitet. Außerdem standen im Berichtsjahr die Integration von Compliance-Aspekten in das interne Kontrollsystem, der Whistleblower-Schutz sowie das Thema Antidiskriminierung weiterhin im Fokus.
Die KION Group unterstützt ausdrücklich den Kampf gegen jede Form der Korruption und Bestechung. Hierzu folgt sie dem Ansatz „prevent, detect, respond“. Im Berichtsjahr wurden keine bestätigten Fälle von Wettbewerbs- oder Kartellrechtsverstößen registriert. Ebenso wurden keine bestätigten Fälle aktiver Korruption durch Beschäftigte festgestellt.
| 2022 | 2021 | 2020 |
|---|---|---|
| 0 | 0 | 0 |
Viele Meldewege
Tatsächliche oder vermutete Verstöße können persönlich, per Telefon, Post, E-Mail oder über ein Webformular gemeldet werden. Alle Beschäftigten der KION Group – ebenso wie externe Stakeholder – haben rund um die Uhr die Möglichkeit, über ein Whistleblowing-Tool oder eine -Hotline mögliche Compliance-Verstöße zu melden – auf Wunsch auch anonym. Das Whistleblower-System besteht weltweit, ist aber so gut wie möglich auf die lokalen Gegebenheiten ausgerichtet. Überwacht und bearbeitet werden die Meldungen über das System von der Compliance-Organisation und letztlich auch vom Compliance Committee, das sich aus dem Chief Compliance Officer sowie der Revisions- und Rechtsabteilung zusammensetzt. Die Übernahme der EU-Whistleblower-Richtlinie in die deutsche Gesetzgebung wird durch eine entsprechende Anpassung des Whistleblower-Systems der KION Group berücksichtigt.
Sämtliche gemeldeten Verdachtsfälle werden systematisch geprüft und festgestellte Verstöße mit wirksamen Kontrollmaßnahmen untersucht – zum Beispiel durch regelmäßige oder spezielle Audits. Jedes Fehlverhalten wird mit disziplinarischen Maßnahmen geahndet. Falls erforderlich, wird das Compliance-Management-System angepasst, um künftige Verstöße zu verhindern.
Mit den Compliance Committees von STILL in Deutschland wurden 2021 neue unabhängige, vertrauensvolle Anlaufstellen geschaffen. Wer Diskriminierung oder Belästigung erfährt oder beobachtet, kann sich an seine zuständige Stelle wenden – und zwar absolut vertraulich! Ähnliche Stellen gibt es entsprechend den nationalen Regularien EMEA-weit. In allen STILL Ländern können die sogenannten Compliance Representatives jederzeit angesprochen werden.
| 2022 | 2021 | 2020 |
|---|---|---|
| 27 | 34 | 14 |
Schulungen
Neben eindeutigen Richtlinien gibt es ein großes Angebot an Informationen, Beratungsleistungen und Schulungen. Durch die Arbeit der Compliance-Officer und -Representatives stellt STILL sicher, dass die Belegschaft jederzeit aktuell und vollumfänglich über alle Fragen der Compliance informiert und sich der hohen Bedeutung des werteorientierten Handelns bewusst ist. Für alle neuen Beschäftigten der KION Group ist die Teilnahme an der Schulung zum KION Group Code of Compliance verpflichtend – entweder über E-Learning oder für Beschäftigte ohne PC als Arbeitsmittel im Rahmen einer Präsenzschulung. Darüber hinaus erhalten Beschäftigte mit compliancekritischen Aufgaben, beispielsweise aus dem Vertrieb, regelmäßig zielgerichtete Live-Schulungen.
| Präsenzschulungen (KION Group Code of Compliance, Antikorruption, Antidiskriminierung, Antigeldwäsche, Interessenkonflikte) |
|---|
| E-Learning: KION Group Code of Compliance |
| E-Learning: Korruption in der KION Group vermeiden – die allgemeinen Regeln der ABC Policy |
| E-Learning: Professionelles Verhalten bei KION: respektvoller Umgang miteinander am Arbeitsplatz |
| E-Learning: Verhinderung von Geldwäsche und Betrug bei KION |
| E-Learning: Vermeidung von Interessenkonflikten bei KION |
| E-Learning: KION Group – wettbewerbswidriges Verhalten verhindern |
| E-Learning: General Data Protection |
| E-Learning: Information Security Employee Awareness Training |
Ziel ist es, alle Beschäftigten der KION Group regelmäßig zu den wichtigsten Themen (Antikorruption, Vermeidung von Interessenskonflikten, Kartell- und Wettbewerbsrecht, Antigeldwäsche, Datenschutz, IT-Sicherheit und Menschenrechte) zu schulen. Änderungen bei der Gesetzgebung oder bei internen Regelungen fließen ebenso in die Präsenzschulungen ein, wie weiterführende Erkenntnisse aus dem Compliance-Management-System. 2021 wurde das Weiterbildungsprogramm um ein E-Learning zum respektvollen Umgang am Arbeitsplatz (Antidiskriminierung), zu Interessenskonflikten, zum Hinweisgeberschutz sowie zu Betrug mit Fokus auf Geldwäsche erweitert. Ebenfalls neu sind E-Learnings zu den Themen Cyber Security und Kartellrecht.
| 2022 | 2021 | 2020 |
|---|---|---|
| 100 % | 100 % | 84 % |
Compliance-Prüfung von Geschäftspartnern
Bevor KION eine neue geschäftliche Beziehung eingeht, müssen externe Geschäftspartner überprüft und entsprechende Unterlagen hinterlegt werden. Dabei wird der wirtschaftliche Hintergrund des Geschäftspartners geprüft und festgestellt, ob es darüber hinaus weitere Gründe gibt, die gegen die Aufnahme der Geschäftsbeziehung sprechen, etwa weil der Geschäftspartner auf einer Sanktionsliste steht oder es negative Berichte über ihn gibt. Falls sich Zweifel ergeben, wird KION möglicherweise von Geschäften mit diesem Partner absehen. Auch bei externen Partnern ist KION bestrebt, Audits auf der Grundlage einer Risikobewertung durchzuführen.
Die Basisprüfung erfolgt mit dem Geschäftspartner-Tool, das von Corporate Compliance verwaltet wird. Hierbei werden Kunden und Lieferanten anhand von Compliance-Listen auf Hinweise überprüft. Der Abgleich mit solchen Listen, deren Bewertung und die Einleitung gegebenenfalls erforderlicher Maßnahmen erfolgt durch Corporate Compliance. Bei externen Vertriebspartnern mit erhöhtem Korruptionsrisiko, wie z. B. Händlern, Importeuren, Distributoren, Agenten oder Integratoren, wird vor Aufnahme der Geschäftsbeziehung eine mehrstufige Due-Diligence-Prüfung durch den zuständigen Compliance Officer durchgeführt. Dabei werden Informationen von den Vertriebspartnern über Due-Diligence-Fragebögen, Prüfungen mit dem Geschäftspartner-Tool und/oder über externe Due-Diligence-Anbieter eingeholt. Die Ergebnisse der Due-Diligence-Prüfung werden den verantwortlichen Stellen, wie z. B. der Geschäftsführung, zusammen mit empfohlenen Maßnahmen, wie z. B. verschärften Vertragsklauseln mit Prüfungsrechten oder einer zusätzlichen Überwachung der Zahlungsströme, übermittelt.
Regelmäßige Risikoanalyse
Im Zuge einer systematischen Analyse erfasst und bewertet die KION Group in einem regelmäßigen Turnus im gesamten Konzern die Korruptions- und Bestechungsrisiken. Außerdem werden Geldwäsche-, wettbewerbsrechtliche, steuerrechtliche und Menschenrechts-Risiken erhoben. Laufend aufkommende nichtfinanzielle Risiken werden gescreent, bewertet und gesteuert. In der Folge werden adäquate Maßnahmen zur Beseitigung von Prozess- und Regelungsschwächen abgeleitet. Bei der Risikobetrachtung spielen die Ausprägung des Korruptionswahrnehmungsindex für das jeweilige Land, die Größe und Struktur der Einkaufs- oder Vertriebsorganisation vor Ort sowie die Kontakte zu Amtsträgern eine wesentliche Rolle. Für alle STILL Tochtergesellschaften ist die Analyse bereits abgeschlossen. Dabei zeigten sich weiterhin keine erheblichen Compliance-Risiken.
| 2022 | 2021 | 2020 |
|---|---|---|
| 100% | 100% | 100% |
Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit haben bei STILL höchste Priorität und sind in für die gesamte KION Group geltenden Richtlinien geregelt. Während die Datenschutzrichtlinie auf die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten zielt, hat die KION Informationssicherheitsleitlinie die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – und damit den Schutz der KION Group vor entsprechenden Angriffen – im Fokus. Zu Themen wie IT-Sicherheit am Arbeitsplatz oder Management von IT-Systemen, E-Mail und Internet gibt es verschiedene Konzernbetriebsvereinbarungen und verpflichtende Standards. Darüber hinaus gibt es Muster und Vorlagen für den täglichen Umgang mit personenbezogenen Daten und sensiblen Geschäftsdaten. Für die Umsetzung der zentralen Vorgaben sind die Operating Units zuständig. Verantwortliche für Datenschutz und dessen Koordination in den einzelnen Gesellschaften berichten an die jeweilige Geschäftsführung. Auf Konzernebene berichtet der Konzerndatenschutzbeauftragte an den Chief Compliance Officer und der Chief Information Security Officer der KION Group an den dem Vorstand der KION GROUP AG unterstellten Chief Information Officer der KION Group.
Der Schutz sensibler, personenbezogener Daten ist eine große Verantwortung. Daher wurden geeignete und sichere Prozesse und Maßnahmen definiert, um diese Daten zu schützen und die gesetzlichen Vorschriften einzuhalten. Mit Schulungen und regelmäßigen Meldungen im Social-Intranet wird die gesamte Belegschaft mit den Grundlagen des Datenschutzes, den Meldepflichten und dem konzernweiten Compliance-Meldesystem vertraut gemacht und kontinuierlich weitergebildet.
Jedes Jahr erfolgen rund 100 Millionen Angriffe auf das IT-Netzwerk der KION Group, die bislang alle abgewehrt werden konnten. Ein wichtiger Faktor für diesen Erfolg ist die kontinuierliche Überprüfung auf Schwachstellen in der gesamten Infrastruktur für IT und operative Technologie. Regelmäßige Schulungen zur IT-Sicherheit, globale Anti-Phishing-Kampagnen, eine monatliche Videoserie im Social-Intranet und Anweisungen zur Sicherung der IT-Infrastruktur tragen ebenfalls zur IT-Sicherheit bei.
Informationssicherheit-Managementsystem
Ende 2022 startete KION mit der Einführung eines Informationssicherheits-Managementsystems (ISMS), um sicherzustellen, dass sensible Informationen weiterhin geschützt und die Wettbewerbsfähigkeit in der Branche erhalten bleiben. Das ISMS der KION Group beruht auf den Vorgaben von ISO 27001 (Einrichtung, Implementierung, Aufrechterhaltung, kontinuierliche Verbesserung dokumentierter Sicherheitsmanagementprozesse) für den gesamten Konzern. Es wurde ein Regelwerk für die Dokumentation erarbeitet, das die Anforderungen für die Informationssicherheit darlegt.
Die KION Group analysiert in diesem Zusammenhang regelmäßig potenzielle oder bestehende Risiken für die Informationssicherheit. Wird bei den Risikoanalysen ein IT-Sicherheitsrisiko oder eine Abweichung von einem Sicherheitsstandard der KION Group festgestellt, wird das Risiko beschrieben und entsprechende Maßnahmen werden festgelegt. Nach der Bewertung des Restrisikos entscheidet der Risikoeigner über die Akzeptanz des Restrisikos, das regelmäßig neu bewertet und durch eine erneute Risikoakzeptanz abgesichert werden muss.
Konzernrevision führt regelmäßig spezielle IT-Audits durch, die auch die Informationssicherheit berücksichtigen.
Im April und Mai 2023 durchliefen das KION Group Headquarter in Frankfurt am Main und das Linde Material Handling Headquarter in Aschaffenburg als erste zwei Standorte das TISAX1 Assessment. Beide Standorte haben das Audit erfolgreich bestanden und sind nun offiziell für die nächsten drei Jahre TISAX-zertifiziert.
Beim Audit wurde ein Reifegrad von 2,8 (2,1 ist erforderlich, um ein vorläufiges Label zu erhalten, und 2,7, um ein dauerhaftes Label zu erhalten) erreicht. Im Rahmen der Bewertung mussten dem Prüfer rund 200 verschiedene Nachweise vorgelegt werden, z. B. Informationssicherheitsstandards, Standardarbeitsanweisungen, Sicherheitskonzepte, KPIs und mehr.
Neben der Arbeit an weiteren Standorten, die im Laufe des Jahres in einen ISMS-Umfang aufgenommen werden sollen, wird der Schwerpunkt nun auch auf der Aufrechterhaltung dieses etablierten, hohen Niveaus der Informationssicherheit liegen und darauf, dass die Bausteine des Systems im Tagesgeschäft reibungslos funktionieren: zum Beispiel die Durchführung regelmäßiger interner Audits und Überprüfungen, Informationssicherheits-Risikomanagement, Planung und Umsetzung von Verbesserungen usw.
| 2022 | 2021 | 2020 |
|---|---|---|
| 0 | 1 | 0 |
[1] TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Dabei geht es um den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen.