Der Vorstand der METRO AG bekennt sich zu verantwortungsbewusstem unternehmerischem Handeln, mithin zur Einhaltung von Regeln und Gesetzen sowie zu stets integrem und ethisch einwandfreiem Verhalten, etwa in Bezug auf unsere Steuerstrategie. METRO versteht unternehmerische Verantwortung und Integrität als Schlüsselelement für ein nachhaltiges Geschäftsmodell.
Bezogen auf unsere Kunden wirkt sich dieses Bekenntnis vor allem im sensiblen Umgang mit Kundendaten entsprechend unserem Anspruch zum Schutz personenbezogener Daten und in verantwortungsvollem Marketing aus. Unser Selbstverständnis ist geprägt durch die Einhaltung von Produktkennzeichnungsvorschriften ebenso wie durch die transparente, klare, ehrliche und korrekte Information zu unseren Produkten. So stärken wir das Vertrauen der Kunden in unser Unternehmen. Wir wollen dazu beitragen, dass Kunden eine informierte Kaufentscheidung treffen können. Durch Kundenumfragen beziehen wir auch ihre Bedürfnisse in unsere Marketingthemen ein und tragen damit zu einer transparenten Kommunikation bei. Mit unseren Markenlieferanten sowie den Werbe- und Medienagenturen stehen wir hinsichtlich des ethischen Verhaltens in Bezug auf den Markenschutz im engen Austausch, um sicherzustellen, dass unsere Lieferanten und damit ggf. unsere eigene Marke nicht in ethisch kritischem Zusammenhang erscheint. Darüber hinaus sind unsere Geschäftspartner und Berater aufgrund vertraglicher Vereinbarungen dem Markenschutz verpflichtet.
Auch der rechtmäßige und sorgsame Umgang mit geistigem Eigentum gehört zu unserer Geschäftsethik. Die Schutzstrategie für geistiges Eigentum umfasst ein Bündel rechtlicher, organisatorischer und technischer Maßnahmen, durch die sichergestellt wird, dass geistiges Eigentum von METRO und vertrauliche Informationen geschützt und zugleich existierende Schutzrechte Dritter nicht verletzt werden.
Strategischer Eckpfeiler des verantwortungsbewussten unternehmerischen Handelns ist das vom Vorstand der METRO AG verantwortete Compliance-Managementsystem als unverzichtbares Element guter Corporate Governance. Es bietet eine Struktur zur dauerhaften Vermeidung, Aufdeckung und Sanktionierung von Verstößen in den wesentlichen Risikobereichen und ist neben dem Risikomanagement- und dem internen Kontrollsystem sowie der internen Revision Teil des Governance-, Risiko- und Compliance-Systems (GRC-System). Im Konzernkomitee für Governance, Risiken und Compliance (GRC-Komitee) unter Leitung des Finanzvorstands der METRO AG erfolgt regelmäßig ein Austausch über die Methoden und die Weiterentwicklung der GRC-Teilsysteme. Über das GRC-Komitee erfolgt auch mindestens halbjährlich die Berichterstattung und strategische Einbindung des Vorstands der METRO AG.
Compliance – einschließlich der Bekämpfung von Korruption und Bestechung sowie von Kartellrechtsverstößen
Mit einem konzernweiten Compliance-Managementsystem (CMS) bündelt METRO Maßnahmen zur Einhaltung von Rechtsvorschriften und selbst gesetzten Verhaltensstandards einschließlich wesentlicher Risiken wie der Bekämpfung von Korruption und Bestechung sowie von Kartellrechtsverstößen. Das CMS zielt darauf ab, Regelverstößen im Unternehmen systematisch und dauerhaft vorzubeugen, sie andernfalls aufzudecken und festgestellte Regelverstöße zu sanktionieren sowie daraus Maßnahmen zur Erreichung künftiger Regeltreue abzuleiten.
Die METRO Geschäftsgrundsätze, die konzernweit vor allem durch fortlaufende Trainingsmaßnahmen nachhaltig verankert werden, bilden den inhaltlichen Kern der Compliance-Initiativen. Das CMS setzt auf den METRO Geschäftsgrundsätzen auf. Geschäftsgrundsatz Nr. 2 verbietet bspw. ausdrücklich Korruption und Bestechung im Umgang mit Geschäftspartnern und Behörden. Geschäftsgrundsatz Nr. 5 stellt klar, dass die Regeln des fairen Wettbewerbs zu respektieren sind. Bei der Einrichtung des CMS hat METRO sich an den im Prüfungsstandard IDW PS 980 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Managementsystemen) dargestellten Grundelementen eines solchen Systems orientiert. Es operationalisiert risikobasiert die 7 CMS-Elemente mit einer Fülle von organisatorischen, strukturellen, prozessualen und individuellen Maßnahmen für alle wesentlichen Konzerngesellschaften.
Der Vorstand der METRO AG und die Geschäftsführungen der METRO Konzerngesellschaften leben das korrekte Verhalten vor. Neben informellem Role Modeling gehören regelmäßige Tone-from-the-Top-Botschaften in den Organisationen zum Standard. Neue Mitglieder von Leitungsgremien und andere Executives erhalten ein Compliance-Onboarding zu Beginn ihrer Tätigkeit. Hinweisen auf Compliance-Vorfälle wird in einem definierten und objektiven Prozess nachgegangen. Daran sind alle wesentlichen Funktionen einschließlich Compliance, Recht, Revision und Personal beteiligt.
Das definierte Ziel des CMS wird über Steuerungstools des Personalwesens zusätzlich in die Organisation getragen. Im Rahmen der regelmäßigen Mitarbeitergespräche fließen Compliance-Aspekte aus den METRO Guiding Principles in die Bewertung ein.
Grundsätzlich erfolgt die Steuerung der Compliance-Risiken im CMS risikobasiert. Im Rahmen von regelmäßigen Risikoüberprüfungen, etwa in Form von Workshops in den jeweiligen Einheiten, werden die Compliance-Risiken laufend auf Vollständigkeit und Relevanz überprüft. Darüber hinaus wird jede relevante Konzerneinheit in 1 von 3 Risikoklassen eingestuft. Hierfür werden externe und interne Indikatoren herangezogen wie etwa Indizes von Transparency International, Mitarbeiterzahl und der Compliance-Reifegrad in vergangenen Perioden.
Für jede Risikoklasse ist ein Compliance-Programm mit unterschiedlichen Intensitäten definiert. Grundlage sind die für jedes wesentliche Compliance-Risiko entwickelten und durch den Vorstand verabschiedeten Richtlinien. Im Bereich der Bekämpfung von Korruption und Bestechung sind dies Richtlinien zum Umgang mit Geschäftspartnern, Amtsträgern und externen Beratern, einschließlich der Leitlinien für eine Geschäftspartnerprüfung. Im Bereich der Vermeidung von Kartellrechtsverstößen ist dies eine Kartellrechtsrichtlinie, einschließlich der Leitlinien für das Verhalten im Rahmen von Verbandstätigkeit und anderen Zusammentreffen mit Wettbewerbern.
Umgesetzt wird das CMS durch die Compliance-Organisation. Hierzu ist in jeder relevanten Konzerngesellschaft ein Compliance-Officer bestellt. Dieser berichtet direkt an den Bereich Corporate Compliance der METRO AG als Teil von Corporate Legal Affairs & Compliance. Corporate Compliance hält das CMS konzeptionell und inhaltlich auf einem risikoangemessenen Stand und gibt für jedes CMS-Element die Konzepte und Tools zur Umsetzung in den METRO Gesellschaften vor. Die disziplinarische und fachliche Führung der Compliance-Officer erfolgt sowohl über institutionalisierte Berichtstermine als auch über Zielvereinbarungen. Die Compliance-Officer berichten in ihren Einheiten regelmäßig direkt an die dortige Geschäftsführung. Daneben werden identifizierte wesentliche Compliance-Risiken im Rahmen der weiteren GRC-Teilsysteme aufgegriffen und auch in den dortigen Systemen nachgehalten.
Beschäftigte wie auch externe Dritte haben über ein IT-gestütztes Hinweisgebersystem sowie über gesonderte Meldestellen in jeder relevanten Konzerngesellschaft die Möglichkeit, (ggf. anonym) Hinweise auf Rechtsverstöße im Unternehmen zu geben. Alle gemeldeten Regelverstöße – unabhängig davon, ob die Maßnahmen zur Einhaltung dieser Regeln in die Zuständigkeit der Compliance-Organisation fallen – werden im Rahmen des CMS durch das etablierte Compliance-Incident-Handling-System, das durch die Compliance-Organisation betrieben wird, systematisch aufgearbeitet und – sofern angemessen und notwendig – sanktioniert.
Compliance-Themen und -Maßnahmen werden über vielfältige Kanäle im Unternehmen systematisch und adressatengerecht an die Belegschaft kommuniziert. Ein Kerninstrument sind verpflichtende Compliance-Schulungen, die entweder als Präsenz- oder E-Training durchgeführt werden. Im Geschäftsjahr 2021/22 wurden gruppenweit Compliance-Schulungen durchgeführt. Die Auswahl der zu schulenden Mitarbeitergruppen erfolgt risikobasiert. Im Rahmen der Schulungen werden praxisnahe Inhalte vermittelt. Neben Schulungen werden viele andere Kommunikationsformate wie z. B. Compliance-Talks, Poster, Flyer, Intranet, Abteilungsbesuche, Funktions- und Führungskräftekonferenzen sowie Personalentwicklungsveranstaltungen genutzt.
Die Gesellschaften von METRO arbeiten mit einer Vielzahl von externen Geschäftspartnern zusammen. Bevor vertragliche Beziehungen eingegangen werden, erfolgt eine risikobasierte Prüfung, ob aus Compliance-Sicht Gründe gegen die Beauftragung sprechen. Insbesondere bestimmte Gruppen von Geschäftspartnern, wie z. B. Berater mit auftragsgemäßem Kontakt zu Amtsträgern, erfordern eine dem Risiko angemessene vertiefte Prüfung. Hierfür steht allen Konzerngesellschaften ein digitales Tool zur Compliance-Prüfung zur Verfügung. Der Prüfungsansatz ist risikobasiert und die Prüfung kann in verschiedenen Intensitätsgraden durchgeführt werden, etwa in Form von Selbstauskünften oder durch Nutzung von externen Datenbanken mit relevanten Risikoinformationen.
Die ordnungsmäßige Durchführung der risikobasiert definierten Maßnahmen zur Umsetzung des CMS wird über ein regelmäßiges KPI-Reporting sichergestellt. Auf Grundlage des KPI-Reportings wird jährlich ein Compliance-Reifegrad ermittelt, der wiederum in die Risikoklassifizierung und die Maßnahmendefinition einfließt. Die Wirksamkeit der internen Compliance-Kontrollen ist regelmäßig Teil des Prüfungsplans der internen Revision. Im Rahmen des GRC-Ansatzes von METRO bewertet die Konzernrevision jährlich die Wirksamkeit des konzernweiten CMS. Diese Bewertung wird Vorstand und Aufsichtsrat als Teil der regelmäßigen Berichterstattung zu Compliance-Themen vorgelegt.
Insgesamt belegen die genannten Kontroll- und Monitoringmaßnahmen einen angemessenen Compliance-Reifegrad.
Steuern
Als international tätiges Unternehmen unterliegt METRO der Besteuerung in zahlreichen Ländern. METRO ist sich der Verantwortung bewusst, in allen Ländern Steuerzahlungen entsprechend den regulatorischen Verpflichtungen zu entrichten. Diese Verantwortung spiegelt sich durch die vom Vorstand der METRO AG verabschiedeten Konzernsteuerrichtlinien und darauf basierenden Prozesse zur Einhaltung der geltenden Gesetze und regulatorischen Bestimmungen sowie in einer kooperativen und fairen Zusammenarbeit mit den Finanzbehörden wider. Die gruppenweit verbindlichen Richtlinien erläutern und regeln die Verantwortung der Gesellschaften im Rahmen der steuerlichen Pflichten von METRO.
Die METRO AG hat für die Umsatzsteuer im Inland sowie auch für die Umsatzsteuer im Ausland ein auf Angemessenheit zertifiziertes Tax-Compliance-Management-System (TCMS) implementiert. Für das Geschäftsjahr 2022/23 ist die Zertifizierung auf Angemessenheit des TCMS der Lohnsteuer vorgesehen. Eine Wirtschaftsprüfungsgesellschaft ist bereits beauftragt, die Prüfung durchzuführen.
Das steuerliche TCMS ist Bestandteil des GRC-Systems der METRO AG.
Schutz personenbezogener Daten1
Der Schutz personenbezogener Daten von Kunden, Mitarbeitern und Geschäftspartnern ist für METRO ein hohes Gut. Dies gilt insbesondere im Hinblick darauf, dass Unternehmensprozesse zunehmend digitalisiert werden und so die Erfassung, Verarbeitung und Speicherung von Daten erforderlich wird.
METRO verpflichtet sich stets, den jeweiligen Datenschutzgesetzen der Länder, in denen METRO aktiv ist, gerecht zu werden. Darüber hinaus verfügt METRO über eine konzernweit verbindliche Datenschutzrichtlinie, die einheitliche Standards zum Umgang mit personenbezogenen Daten für alle Konzernunternehmen beinhaltet, daneben gelten die nationalen Gesetze. Für in Europa tätige Unternehmen umfasst dies insbesondere Vorgaben zum Umgang mit der Datenschutz-Grundverordnung (DSGVO).
METRO hat zudem eine konzernweite Datenschutzorganisation, bestehend aus lokalen Datenschutzbeauftragten und für den Konzerndatenschutz zuständigen Datenschutzmanagern. Sie ermöglicht es, sowohl übergreifende als auch nationale Entwicklungen beim Thema Datenschutz und Digitalisierung zu verfolgen, um weiterhin den gesetzlichen Datenschutzanforderungen konzernweit gerecht werden zu können.
Mithilfe der durch die Datenschutzorganisation geschaffenen Strukturen hat METRO ein System aufgebaut, um die Einhaltung der datenschutzrechtlichen Vorgaben im Konzern kontinuierlich und umfassend zu überprüfen. Die Überprüfung erfasst sowohl interne Vorgaben als auch Vorgaben aus Gesetzen und sonstigen rechtlich verbindlichen Bestimmungen zum Datenschutz.
Aufgrund der fortdauernden Pandemie gab es weiterhin zusätzliche Bedürfnisse zur Verarbeitung personenbezogener Daten. Diesen Bedürfnissen lag das Interesse zugrunde, Kunden und Mitarbeiter zu schützen sowie diverse rechtliche Anforderungen umzusetzen. Bei der Umsetzung wurden die geltenden Vorgaben zum Datenschutz berücksichtigt und es wurde darauf geachtet, vor allem bei Gesundheitsdaten (z. B. Impfstatus/Infektionsstatus), nur unbedingt notwendige Daten zu erheben.
1 METRO ist im Oktober 2022 Opfer eines Cyberangriffs geworden, der zu einem teilweisen Ausfall der IT-Systeme geführt hat. Weitere Erläuterungen zum Sachverhalt sind im Zusammengefassten Lagebericht unter Ereignisse nach dem Bilanzstichtag mit aufgeführt.