Der Vorstand der METRO AG stellt an sich selbst und seine Mitarbeiter hohe Ansprüche hinsichtlich des integren und ethisch einwandfreien Verhaltens sowie der Einhaltung von Regeln und Gesetzen, um durch verantwortungsbewusstes unternehmerisches Handeln einen vertrauensvollen Umgang mit Kunden, Aktionären, Geschäftspartnern sowie der Öffentlichkeit zu erlangen. Strategischer Eckpfeiler des verantwortungsbewussten unternehmerischen Handelns ist das vom Vorstand der METRO AG verantwortete Compliance-Managementsystem als unverzichtbares Element guter Corporate Governance. Es bietet eine Struktur zur dauerhaften Vermeidung, Aufdeckung und Sanktionierung von Verstößen in den wesentlichen Risikobereichen und ist neben dem Risikomanagement- und dem internen Kontrollsystem sowie der internen Revision Teil des Governance-, Risiko- und Compliance-Systems (GRC-System). Im Konzernkomitee für Governance, Risiken und Compliance (GRC-Komitee) unter Leitung des Finanzvorstands der METRO AG erfolgt regelmäßig ein Austausch über die Methoden und die Weiterentwicklung der GRC-Teilsysteme. Über das GRC-Komitee erfolgt auch mindestens halbjährlich die Berichterstattung und strategische Einbindung des Vorstands der METRO AG.
Compliance – einschließlich der Bekämpfung von Korruption und Bestechung sowie von Kartellrechtsverstößen
Mit einem konzernweiten Compliance-Managementsystem (CMS) bündelt METRO Maßnahmen zur Einhaltung von Rechtsvorschriften und selbst gesetzten Verhaltensstandards einschließlich wesentlicher Risiken wie der Bekämpfung von Korruption und Bestechung sowie von Kartellrechtsverstößen. Das CMS zielt darauf ab, Regelverstößen im Unternehmen systematisch und dauerhaft vorzubeugen, sie andernfalls aufzudecken und festgestellte Regelverstöße zu sanktionieren sowie daraus Maßnahmen zur Erreichung künftiger Regeltreue abzuleiten.
Die METRO Geschäftsgrundsätze, die konzernweit vor allem durch fortlaufende Trainingsmaßnahmen nachhaltig verankert werden, bilden den inhaltlichen Kern der Compliance-Initiativen. Das CMS setzt auf den METRO Geschäftsgrundsätzen auf. Geschäftsgrundsatz Nr. 2 verbietet bspw. ausdrücklich Korruption und Bestechung im Umgang mit Geschäftspartnern und Behörden. Geschäftsgrundsatz Nr. 5 stellt klar, dass die Regeln des fairen Wettbewerbs zu respektieren sind. Bei der Einrichtung des CMS hat METRO sich an den im Prüfungsstandard IDW PS 980 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Managementsystemen) dargestellten Grundelementen eines solchen Systems orientiert. Es operationalisiert risikobasiert die 7 CMS-Elemente mit einer Fülle von organisatorischen, strukturellen, prozessualen und individuellen Maßnahmen für alle wesentlichen Konzerngesellschaften.
Der Vorstand der METRO AG und die Geschäftsführungen der METRO Konzerngesellschaften leben das korrekte Verhalten vor. Neben informellem Role Modeling gehören regelmäßige Tone-from-the-Top-Botschaften in den Organisationen zum Standard. Neue Mitglieder von Leitungsgremien und andere Executives erhalten ein Compliance-Onboarding zu Beginn ihrer Tätigkeit. Hinweisen auf Compliance-Vorfälle wird in einem definierten und objektiven Prozess nachgegangen. Daran sind alle wesentlichen Funktionen einschließlich Compliance, Recht, Revision und Personal beteiligt.
Das definierte Ziel des CMS wird über Steuerungstools des Personalwesens zusätzlich in die Organisation getragen. Im Rahmen der regelmäßigen Mitarbeitergespräche fließen Compliance-Aspekte in die Bewertung ein.
Grundsätzlich erfolgt die Steuerung der Compliance-Risiken im CMS risikobasiert. Im Rahmen von regelmäßigen Risikoüberprüfungen in den jeweiligen Einheiten auf Grundlage eines standardisierten Prüfungsprozesses werden die Compliance-Risiken laufend auf Vollständigkeit und Relevanz überprüft. Darüber hinaus wird jede relevante Konzerneinheit in 1 von 3 Risikoklassen eingestuft. Hierfür werden externe und interne Indikatoren herangezogen wie etwa Indizes von Transparency International, Mitarbeiterzahl und der Compliance-Reifegrad in vergangenen Perioden.
Für jede Risikoklasse ist ein Compliance-Programm mit unterschiedlichen Intensitäten definiert. Grundlage sind die für jedes wesentliche Compliance-Risiko entwickelten und durch den Vorstand verabschiedeten Richtlinien. Im Bereich der Bekämpfung von Korruption und Bestechung sind dies Richtlinien zum Umgang mit Geschäftspartnern, Amtsträgern und externen Beratern, einschließlich der Leitlinien für eine Geschäftspartnerprüfung. Im Bereich der Vermeidung von Kartellrechtsverstößen ist dies eine Kartellrechtsrichtlinie, einschließlich der Leitlinien für das Verhalten im Rahmen von Verbandstätigkeit und anderen Zusammentreffen mit Wettbewerbern.
Umgesetzt wird das CMS durch die Compliance-Organisation. Hierzu ist in jeder relevanten Konzerngesellschaft ein Compliance-Officer bestellt. Dieser berichtet direkt an den Bereich Corporate Compliance der METRO AG als Teil von Corporate Legal Affairs & Compliance. Corporate Compliance hält das CMS konzeptionell und inhaltlich auf einem risikoangemessenen Stand und gibt für jedes CMS-Element die Konzepte und Tools zur Umsetzung in den METRO Gesellschaften vor. Die disziplinarische und fachliche Führung der Compliance-Officer erfolgt über institutionalisierte Berichtstermine und Zielvereinbarungen. Die Compliance-Officer berichten in ihren Einheiten regelmäßig direkt an ihre Geschäftsführung. Daneben werden identifizierte wesentliche Compliance-Risiken im Rahmen der weiteren GRC-Teilsysteme aufgegriffen und auch in den dortigen Systemen nachgehalten.
Beschäftigte wie auch externe Dritte haben über ein IT-gestütztes Hinweisgebersystem sowie über gesonderte Meldestellen in jeder relevanten Konzerngesellschaft die Möglichkeit, (ggf. anonym) Hinweise auf vermutetes oder vorliegendes Fehlverhalten und Risiken im Geschäftsbereich von METRO und ihren direkten und indirekten Zulieferern zu geben. Alle gemeldeten Regelverstöße – unabhängig davon, ob die Maßnahmen zur Einhaltung dieser Regeln in die Zuständigkeit der Compliance-Organisation fallen – werden im Rahmen des CMS durch das etablierte Compliance-Incident-Handling-System, das durch die Compliance-Organisation betrieben wird, systematisch aufgearbeitet und (sofern angemessen und notwendig) sanktioniert.
Compliance-Themen und -Maßnahmen werden über vielfältige Kanäle im Unternehmen systematisch und adressatengerecht an die Belegschaft kommuniziert. Ein Kerninstrument sind verpflichtende Compliance-Schulungen, die entweder als Präsenz- oder E-Training durchgeführt werden. Im Geschäftsjahr 2022/23 wurden gruppenweit Compliance-Schulungen durchgeführt. Die Auswahl der zu schulenden Mitarbeitergruppen erfolgt risikobasiert. Im Rahmen der Schulungen werden praxisnahe Inhalte vermittelt. Neben Schulungen werden viele andere Kommunikationsformate wie z. B. Compliance-Talks, Poster, Flyer, Intranet, Abteilungsbesuche, Funktions- und Führungskräftekonferenzen sowie Personalentwicklungsveranstaltungen genutzt.
Die Gesellschaften von METRO arbeiten mit einer Vielzahl von externen Geschäftspartnern zusammen. Bevor vertragliche Beziehungen eingegangen werden, erfolgt eine risikobasierte Prüfung, ob aus Compliance-Sicht Gründe gegen die Beauftragung sprechen. Insbesondere bestimmte Gruppen von Geschäftspartnern, wie z. B. Berater mit auftragsgemäßem Kontakt zu Amtsträgern, erfordern eine dem Risiko angemessene vertiefte Prüfung. Hierfür steht allen Konzerngesellschaften ein digitales Tool zur Compliance-Prüfung zur Verfügung. Der Prüfungsansatz ist risikobasiert und die Prüfung kann in verschiedenen Intensitätsgraden durchgeführt werden, etwa in Form von Selbstauskünften oder durch Nutzung von externen Datenbanken mit relevanten Risikoinformationen.
Die ordnungsmäßige Durchführung der risikobasiert definierten Maßnahmen zur Umsetzung des CMS wird über ein regelmäßiges KPI-Reporting sichergestellt. Auf Grundlage des KPI-Reportings wird jährlich ein Compliance-Reifegrad ermittelt, der wiederum in die Risikoklassifizierung und die Maßnahmendefinition einfließt. Die Wirksamkeit der internen Compliance-Kontrollen ist regelmäßig Teil des Prüfungsplans der internen Revision. Im Rahmen des GRC-Ansatzes von METRO bewertet die Konzernrevision jährlich die Wirksamkeit des konzernweiten CMS. Diese Bewertung wird Vorstand und Aufsichtsrat als Teil der regelmäßigen Berichterstattung zu Compliance-Themen vorgelegt.
Insgesamt hat METRO weitreichende Prozesse und Maßnahmen implementiert, die einen angemessenen Compliance-Reifegrad sicherstellen sollen.
Schutz personenbezogener Daten1
Der Schutz personenbezogener Daten von Kunden, Mitarbeitern und Geschäftspartnern ist für METRO ein hohes Gut. Dies gilt insbesondere im Hinblick darauf, dass Unternehmensprozesse zunehmend digitalisiert werden und so die Erfassung, Verarbeitung und Speicherung von Daten erforderlich wird.
METRO verpflichtet sich stets, den jeweiligen Datenschutzgesetzen der Länder, in denen METRO aktiv ist, gerecht zu werden. Dazu verfügt METRO über eine konzernweite Datenschutzorganisation mit verschiedenen Verantwortlichkeiten sowie eine verbindliche Datenschutzrichtlinie, die einheitliche Standards zum Umgang mit personenbezogenen Daten für alle Konzernunternehmen beinhaltet, daneben gelten die nationalen Gesetze. Für in Europa tätige Unternehmen umfasst dies insbesondere Vorgaben zum Umgang mit der Datenschutz-Grundverordnung (DSGVO). Die Einhaltung der datenschutzrechtlichen Vorgaben im Konzern soll dadurch kontinuierlich und umfassend überprüft werden. Im Geschäftsjahr wurden die datenschutzrechtlich gebotenen Folgemaßnahmen zur Cyberattacke vom Oktober 2022 in die Wege geleitet, wie z. B. die Information der Betroffenen. Im Übrigen wurde das interne Prüfverfahren zur Einhaltung der datenschutzrechtlichen Vorgaben durch die Konzernunternehmen fortentwickelt.
1 METRO ist im Oktober 2022 Opfer eines Cyberangriffs geworden, der zu einem teilweisen Ausfall der IT-Systeme geführt hat. Weitere Erläuterungen zum Sachverhalt sind im zusammengefassten Lagebericht aufgeführt (u. a. Kapitel 1 Grundlagen des Konzerns).