Unternehmensführung
Governance mit klaren Regeln
Compliance
Wir handeln verantwortlich in unseren Arbeits- und Geschäftsbeziehungen, das heißt im Einklang mit geltendem Recht und unseren internen Regelwerken. Wichtiger Maßstab für den Umgang innerhalb der MTU sowie mit Geschäftspartnern und der Gesellschaft sind konzernweite Verhaltensgrundsätze, die für alle verbindlich sind.
Rechtmäßiges und verantwortungsvolles Handeln ist für die MTU wichtige Grundlage eines langfristigen wirtschaftlichen Erfolgs. Verhaltensgrundsätze und interne Richtlinien enthalten klare Vorgaben und geben so Orientierung.
Compliance ist für uns und die Zusammenarbeit mit unseren Stakeholdern essenziell und Grundlage für unseren langfristigen Unternehmenserfolg. Die MTU agiert als fairer Arbeitgeber, Geschäftspartner und Auftraggeber und setzt auf einen gleichberechtigten und transparenten Wettbewerb. Integrität und verantwortungsvolles Handeln sind zentrale Werte der Unternehmenskultur und durch unsere Verhaltensgrundsätze für alle Mitarbeiter:innen, Führungskräfte und Vorstände verbindlich.
Die MTU verurteilt Korruption jeglicher Art sowie jede andere Form von Wirtschaftskriminalität. Wir dulden keine unmoralischen Praktiken zum Beispiel in Form von Bestechung oder Vorteilsnahme in geschäftlichen Transaktionen. Korruption und Bestechung zu verhindern, sind daher erklärte Ziele unserer Compliance-Aktivitäten.
Das Compliance-System der MTU basiert auf den drei Säulen Vorbeugen - Erkennen - Reagieren. Für jedes dieser drei Prinzipien sind Instrumente und Maßnahmen implementiert. Durch einen integrativen Ansatz ist sichergestellt, dass z.B. Erkenntnisse aus der Bearbeitung und Aufklärung von Verdachtsfällen (Reagieren) in die Prävention (Vorbeugen) einfließen. In der Prävention liegt zugleich der Schwerpunkt unserer Aktivitäten.
Compliance-System der MTU
Klare Regeln für Integrität im Arbeits- und Geschäftsalltag
In den Verhaltensgrundsätzen der MTU sind zentrale Compliance-Themen wie z.B. Korruptionsprävention oder der Umgang mit Interessenskonflikten adressiert. Sie definieren klare Standards im Umgang mit Stakeholdern wie Kunden, Lieferanten, Behörden und Partnern und sind daher ein wichtiges Instrument für die Umsetzung verantwortungsvoller Geschäftspraktiken.
Verhaltensgrundsätze der MTU
→ Verhaltensgrundsätze der MTU
Alle Mitarbeiter:innen müssen die für ihre Tätigkeit relevanten gesetzlichen Bestimmungen und betrieblichen Regelungen kennen und einhalten. Dabei kommt den Führungskräften eine besondere Verantwortung und Vorbildfunktion zu. Den Anspruch an Rechtskonformität stellen wir auch an unsere Geschäftspartner. Für Lieferanten gilt ein eigener Verhaltenskodex, der Compliance-Themen beinhaltet. → Verhaltenskodex für Lieferanten Ein übergeordnetes Leitbild („Wir gestalten die Zukunft der Luftfahrt“) ist zentraler Bestandteil der Unternehmenskultur und unterstützt uns darin, einheitlich und zuverlässig zu agieren.
Externe Standards und Mitgliedschaften
Wir haben uns auf die Prinzipien des UN Global Compact (UNGC) verpflichtet und dadurch unter anderem dazu, Korruption im Unternehmen zu unterbinden → Prinzip 10 des UNGC. Wir orientieren uns im Sinne einer nachhaltigen Unternehmensführung am Deutschen Corporate Governance Kodex, dessen Vorgaben wir vollständig erfüllen (Entsprechenserklärung der MTU für 2022), und an internationalen Compliance-Standards wie den Leitlinien Good Practice Guidance on Internal Controls, Ethics, and Compliance der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Wir setzen uns außerhalb des Unternehmens für die Bekämpfung von Korruption ein und sind Mitglied der Anti-Korruptionsinitiative TRACE International. Über den nationalen Luftfahrtverband BDLI sind wir in der Aerospace and Defense Industries Association of Europe (ASD) vertreten und haben deren Standards gegen Korruption und Bestechung und zur Förderung eines gleichberechtigten und fairen Wettbewerbs unterzeichnet.
Compliance ist Teamwork
Der Vorstandsvorsitzende übernimmt als oberster Entscheidungsträger die Verantwortung für Geschäftsethik und Anti-Korruptionspolitik. Zentrale Funktionen zur Umsetzung regeltreuen Verhaltens sind ein Compliance Board und ein Compliance Officer. Sowohl das Compliance Board, das mit Mitgliedern der oberen Führungsebene aus verschiedenen Fachbereichen besetzt ist, als auch der Compliance Officer agieren konzernweit. Zu den Aufgaben des Compliance Officers gehören die Prävention, die Ermittlung in Fällen von Wirtschaftskriminalität und die Weiterentwicklung des Compliance-Systems in enger Abstimmung mit dem Compliance Board. Das Compliance Board tagt regelmäßig und zusätzlich im Bedarfsfall auf Einladung des Compliance Officers. Der Compliance Officer berichtet quartalsweise an den Prüfungsausschuss des Aufsichtsrats, der wiederum das Plenum des Aufsichtsrats informiert. Der Prüfungsausschuss des Aufsichtsrats überwacht die Compliance-Aktivitäten des Vorstands. Darüber hinaus hat der Compliance Officer einen regelmäßigen direkten Berichtsweg an den Vorstandsvorsitzenden.
An den Standorten müssen die Geschäftsführer dafür Sorge tragen, dass in ihrem Verantwortungsbereich alle Compliance-relevanten Regelungen und Vorschriften eingehalten werden und eine angemessene Verankerung von Compliance in der lokalen Organisation gewährleistet ist.
Compliance-Organisation der MTU
Zentrale Funktionen zur Umsetzung regeltreuen Verhaltens im Unternehmen sind der Compliance Officer und das Compliance Board.
Sicherheit kennt keine Kompromisse
Wir wollen Compliance-Verstöße verhindern und integre Geschäftsentscheidungen gewährleisten. Wir tolerieren keinerlei regel- oder rechtswidriges Verhalten, auf Hinweise reagieren wir sofort und angemessen, festgestellte Verstöße ahnden wir konsequent. Diesbezüglich verfolgen wir einen Null-Toleranz-Ansatz, der arbeitsrechtliche Maßnahmen oder zivil- bzw. strafrechtliche Schritte einschließt. Im Berichtsjahr gab es keine bestätigten Korruptionsfälle. Darüber hinaus sind keine wesentlichen Bußgelder oder nicht-monetäre Sanktionen gegen die MTU aufgrund von Verstößen gegen geltendes Recht verhängt worden. Es waren ebenfalls keine Klagen wegen Korruption oder kartellrechts- bzw. wettbewerbswidrigen Verhaltens anhängig.
Globales Hinweisgebersystem
Über ein globales Hinweisgebersystem ist der Compliance Officer Ansprechstelle für Mitarbeiter:innen und externe Stakeholder bei Verdacht auf unrechtmäßiges Verhalten. Hinweise können auch anonym über das webbasierte Meldesystem iTrust abgegeben werden, das in verschiedenen Sprachen verfügbar ist. → iTrust Der Compliance Officer prüft alle eingehenden Meldungen und steuert bei konkreten Verdachtsmomenten erforderliche Aufklärungsmaßnahmen. Wir informieren die Mitarbeiter:innen in den internen Medien beziehungsweise externe Stakeholder schriftlich oder über das Internet über die eingerichteten Meldewege.
Die Identität der Hinweisgeberin oder des Hinweisgebers sowie eingehende Informationen behandeln wir vertraulich – auch wenn sich der Hinweis als nicht stichhaltig herausstellen sollte. Das ist über eine interne Regelung gewährleistet. Selbstverständlich haben Hinweisgeber:innen, die in guter Absicht handeln, keine Sanktionen oder Benachteiligungen durch das Unternehmen zu fürchten - das ist ebenfalls über eine interne Regelung gewährleistet. Mitarbeiter:innen können sich zudem vertrauensvoll an Führungskräfte, die Rechts- oder Personalabteilung wenden.
Im Geschäftsjahr 2022 sind verschiedene Hinweise auf mutmaßliches Fehlverhalten über die angebotenen Meldewege an den Compliance Officer gemeldet worden. In zutreffenden Fällen, d.h. wenn Fehlverhalten nachgewiesen werden konnte, erwies sich die Schwere des Verstoßes jedoch bei keinem der Hinweise als signifikant für das Unternehmen.
Risikobasierter Ansatz
Wir haben verschiedene Kontrollmechanismen installiert, um Compliance im Unternehmen sicherzustellen und Risiken zu minimieren. Alle vollkonsolidierten Standorte werden auf Korruptionsrisiken überprüft und regelmäßig zu Compliance-relevanten Sachverhalten abgefragt. In der Abfrage für 2022 sind keine wesentlichen Vorfälle gemeldet, und es ist für keinen Standort ein erhebliches Korruptionsrisiko ermittelt worden. Zu Compliance- und Governance-Risiken siehe Geschäftsbericht 2022, S. 85 Der Compliance Officer überprüft zusätzlich alle vertriebsunterstützenden Beraterverträge vor Abschluss oder Verlängerung auf mögliche Korruptionsrisiken und hat auch 2022 keine Anhaltspunkte für Korruption festgestellt. Potenzielle Vertriebsberater:innen werden zusätzlich einer Prüfung durch einen unabhängigen externen Dienstleister unterzogen. In den Verträgen mit den Vertriebsberater:innen werden die Anti-Korruptionsstandards der ASD als verpflichtender Maßstab vereinbart. Die Einheit Corporate Audit überprüft regelmäßig in Audits Geschäftsprozesse auf gesetzliche Konformität und auf die Einhaltung interner Richtlinien.
Zudem führen wir einen politischen Dialog nach Regeln. Mehr zu unserem Austausch mit der Politik im Kapitel „Stakeholder-Dialog"
Prävention ist Schwerpunkt der Aktivitäten
Wichtig für eine funktionierende Compliance-Kultur sind die Aufklärung zu möglichem Fehlverhalten, die Kommunikation und die Sensibilisierung der Mitarbeiter:innen zu Compliance-Sachverhalten. Neue Mitarbeiter:innen informieren wir zu Beginn ihrer Beschäftigung über unsere Verhaltensgrundsätze und verpflichten sie per Unterschrift zur Einhaltung. Wir schulen unsere Mitarbeiter:innen und Führungskräfte regelmäßig über alle Hierarchien hinweg zu den Verhaltensgrundsätzen und zu speziellen Compliance-relevanten Themen wie z.B. zum Kartellrecht.
Schulungskonzept für Compliance-relevante Themen
Für Compliance-Schulungen verfolgen wir einen zielgruppenspezifischen Ansatz.
Die Sensibilisierung für Compliance-relevante Themenfelder für alle Mitarbeiter:innen erfolgt unter anderem mittels einer Schulungsunterlage zu den Verhaltensgrundsätzen. Die Trainings haben wir im Berichtsjahr fortgesetzt. Im Berichtsjahr 2022 haben daran insgesamt 3.131 Mitarbeiter:innen teilgenommen. Darüber hinaus finden regelmäßig verpflichtende Antikorruptionsschulungen für Führungskräfte und Mitarbeiter:innen in speziellen Funktionen, zum Beispiel aus dem Vertrieb statt. Im Berichtsjahr standen entsprechende Schulungen zur Korruptionsprävention für relevante Mitarbeiter:innen aus dem Bereich des Maintenance-Vertriebs und der MTU Aero Engines Polska turnusmäßig auf der Agenda. Darüber hinaus informieren und sensibilisieren wir fortlaufend und zielgruppenorientiert zu einzelnen Compliance-Themen, zum Beispiel zum Datenschutz. Zusätzlich beraten der Compliance Officer und die Rechtsabteilung Mitarbeiter:innen und Führungskräfte bei Bedarf.
Mitarbeiter:innen sind allein 2022 zu den Verhaltensgrundsätzen geschult worden.
Verantwortungsvolle Außenwirtschaft
Ein weiteres bedeutsames Compliance-Thema ist für uns die Einhaltung der gesetzlichen Regelungen des Außenwirtschaftsrechts (Trade Compliance). Zoll- und Exportkontrollgesetze regeln, welche Produkte, Dienstleistungen und technische Daten wir wohin, an wen und für welchen Einsatzzweck verkaufen beziehungsweise erbringen dürfen. An diese gesetzlichen Rahmenbedingungen sind weltweit alle Geschäftsbereiche und Gesellschaften des Unternehmens und alle Mitarbeiter:innen gebunden. Die Notwendigkeit der Einhaltung der für uns maßgeblichen Regelungen ist auch in den Verhaltensgrundsätzen der MTU verbindlich niedergelegt. → Exportkontrollrechtliche Vorgaben sind in der Nichtfinanziellen Erklärung im Geschäftsbericht 2022 beschrieben (S. 112f.)
Die MTU verfügt über eine eigene Organisationseinheit, um eine effektive Trade Compliance sicherzustellen. Die Konzernfunktion Außenwirtschaft gibt den internen Rahmen vor, um unternehmensweit einheitliche Prozessstandards zu implementieren. Diese beinhalten unter anderem eine Prüfung auf bestehende Genehmigungspflichten, z.B. vor Versand von Dokumenten, Software oder Bauteilen, sowie Kontrollen in Bezug auf Angebotsverfahren gegenüber sensitiven Ländern. So besitzt die Konzernfunktion Außenwirtschaft ein bereichsübergreifendes Fachweisungsrecht, das bis zur Berechtigung reicht, Lieferungen zu stoppen. Zudem hat der Leiter Außenwirtschaft direktes Vortragsrecht beim Ausfuhrverantwortlichen (Vorstand).
Im Berichtsjahr hat die MTU die Pflichtschulungen für alle Mitarbeiter:innen, die von Regelungen zur Exportkontrolle betroffen sind, nach einem 2020 eingeführten Trainingskonzept fortgesetzt. Das Internal Compliance Program wurde entsprechend der für das Berichtsjahr geltenden gesetzlichen Rahmenbedingungen angepasst.
Datenschutz
In Zeiten fortschreitender Digitalisierung achten wir auf einen umfassenden Datenschutz. Der Schutz personenbezogener Daten gemäß geltender gesetzlicher Bestimmungen ist in den Verhaltensgrundsätzen der MTU verbindlich vorgeschrieben. Dem Schutz personenbezogener Daten unserer Beschäftigten kommen wir beim Einsatz digitaler Anwendungen vollumfänglich nach.
Wir haben ein Managementsystem zum Datenschutz aufgebaut und erwarten von allen Mitarbeiter:innen, dass sie die Bestimmungen einhalten. Dieser Anspruch ist ebenfalls in den Verhaltensgrundsätzen festgeschrieben. Eine Konzerndatenschutzrichtlinie schafft mit einem weltweit gültigen Standard ein einheitliches Niveau. Wir haben in allen Konzerngesellschaften Datenschutzbeauftragte oder -koordinator:innen bestellt, die in allen relevanten Regelungen unterrichtet sind. Das Ziel sind einheitliche Datenschutz- und Datensicherheitsstandards für den Umgang mit personenbezogenen Daten im gesamten Konzern, die die Anforderungen aus der europäischen Datenschutzgrundverordnung DSGVO und aus der jeweiligen nationalen Gesetzgebung der Standorte wie dem deutschen Bundesdatenschutzgesetzt BDSG erfüllen. Der Vorstand erhält monatlich einen Bericht zum Datenschutz. Audits und Prüfungen von Abläufen, in denen personenbezogene Daten verarbeitet werden, werden regelmäßig durchgeführt, insbesondere im Rahmen von Auftragsverarbeitungen.
Der Datenschutz ist Teil kontinuierlicher und zielgruppenorientierter Informations- und Schulungsangebote für Mitarbeiter:innen.
Wir haben auch 2022 keinen meldepflichtigen Verstoß in Bezug auf den Schutz von Kundendaten zu verzeichnen.
IT-Security
Vor dem Hintergrund weit fortgeschrittener Digitalisierung aller wesentlichen Geschäftsprozesse der MTU, ist eine hohe Verfügbarkeit und Integrität der IT-Systeme Voraussetzung für einen reibungslosen Geschäftsbetrieb. Die MTU erzeugt, erhält und verarbeitet umfangreich Daten mit besonderen Vertraulichkeitsanforderungen – nicht nur aber im Besonderen im Militärgeschäft.
Die MTU betreibt ein IT-Security-Management-System, das sich an der internationalen Norm ISO 27001 orientiert, und sorgt mit angemessenen technischen und organisatorischen Schutzmaßnahmen für stabile und sichere IT-Systeme. Ziel ist es, Schäden durch Cyberattacken auf das Unternehmen zu begrenzen sowie Geschäftsinformationen und Know-how zu schützen. Darüber hinaus ist der Schutz von Daten und Systemen in der Zusammenarbeit und Vernetzung mit Geschäftspartnern wichtig.
In globalen und lokalen Regelwerken sind die Vertraulichkeit von Betriebs- und Geschäftsgeheimnissen, der Schutz elektronischer Daten und der Umgang mit IT-Systemen und Datenträgern für alle Mitarbeiter:innen und Führungskräfte verbindlich geregelt.
Ein eigenes Team ist zentral für die IT-Security verantwortlich und Ansprechstelle im Konzern. IT-Sicherheitsverantwortliche in den Centern und in rechtlich eigenständigen Gesellschaften sind lokale Ansprechpartner:innen und setzen die IT-Security-Richtlinien und -Vorgaben vor Ort um. Die Geschäftsleitung der MTU erhält regelmäßig einen Bericht des IT-Sicherheitsbeauftragten zur externen Lage, zu aktuellen Entwicklungen und aktuellen sowie zukünftigen Abwehrmaßnahmen der MTU.
Wir investieren umfassend und laufend in technische und organisatorische Maßnahmen, um die Verfügbarkeit, Vertraulichkeit und Integrität der genutzten oder betriebenen IT-Systeme zu gewährleisten. Wir bewerten kontinuierlich die Risikolage im Bereich der Informationstechnik. Die beiden als am kritischsten bewerteten Risiken sind dabei der Ausfall von Systemen auf Grund von technischen Fehlern sowie Cyberangriffe und als deren Folge die Nichtverfügbarkeit von Systemen, die unberechtigte Offenlegung von Informationen oder der dauerhafte Verlust von Daten. Technische und organisatorische Maßnahmen im Rahmen des IT-Security-Managements begrenzen damit verbundene negative Auswirkungen auf das Unternehmen. Im Berichtszeitraum kam es zu keinen Cyberangriffen oder Ausfällen mit erheblichen und schwerwiegenden Folgen für die MTU.
