NACHHALTIGKEITSBERICHT2017

Rechts­kon­for­mität sicher­stellen: Vorgaben für verant­wort­liches Handeln

GRI 102-16; GRI 102-17; GRI 412-3

Rechts­kon­formes Verhalten wird auf allen Unter­neh­men­sebenen bei Tchibo sicher­ge­stellt. Die Grundlage bildet der Tchibo Code of Conduct (CoC) den wir 2017 aktua­li­siert haben. Er ist für alle Mitar­beiter der Tchibo GmbH und der Landes­ge­sell­schaften verbindlich und regelt den Umgang mit Geschäfts­partnern und Kunden. Der CoC beruht unter anderem auf den Kernar­beits­normen der Inter­na­tio­nalen Arbeits­or­ga­ni­sation (ILO) sowie inter­na­tio­nalen Leitlinien, wie denen der OECD und der Vereinten Nationen für Wirtschaft und Menschen­rechte, und untersagt beispiels­weise jegliche Form von Korruption, Vorteils­ge­währung oder Vorteils­nahme. Verstößt ein Mitar­beiter gegen einen der Grund­sätze, drohen ihm arbeits­recht­liche Sanktionen.

Wir schulen unsere Führungs­kräfte regel­mäßig im Umgang mit dem Verhal­tens­kodex. Die Führungs­kräfte bestä­tigen zudem regel­mäßig schriftlich, dass sie die Regeln des CoC verstanden, einge­halten und ihnen bekannt gewordene Verstöße gemeldet haben. Außerdem versi­chern sie mit ihrer Unter­schrift, dass sie ihren Mitar­beitern den CoC erläutert haben und dass sie die Einhaltung des CoC überwachen. Jeder neue Mitar­beiter erhält eine Ausfer­tigung des CoC. Über Entwick­lungen infor­mieren wir unsere Mitar­beiter per Intranet sowie direkt durch die Vorge­setzten.

Die Einhaltung der internen und externen Vorgaben wird im Rahmen interner Audits durch die Konzern­re­vision der maxingvest ag überprüft. Über eine anonyme, von unabhän­giger Stelle betriebene Kontakt­mög­lichkeit bieten wir Mitar­beitern, Liefe­ranten und Kunden die Möglichkeit, telefo­nisch auf mögliches Fehlver­halten hinzu­weisen (Whist­leblowing). Wenn nötig, werden die einge­gan­genen Hinweise anony­mi­siert an das Compliance Committee als internes Unter­su­chungs­gremium weiter­ge­leitet. Das Compliance Committee besteht aus verschie­denen Bereichs­leitern der maxingvest ag und der Tchibo GmbH sowie dem Betriebs­rats­vor­sit­zenden. Auch über den Betriebsrat, die Perso­nal­ab­teilung, die Rechts­ab­teilung, den Direk­ti­ons­be­reich Unter­neh­mens­ver­ant­wortung und die Konzern­re­vision kann auf Missstände hinge­wiesen werden.

Compliance-Management-System 

Die bishe­rigen zahlreichen Compliance-Aktivi­täten des Unter­nehmens struk­tu­rieren wir nun in einem Compliance Management System (CMS), das sich am Standard PS 980 des Instituts der Wirtschafts­prüfer (IDW) orien­tiert. Die Ausge­staltung des CMS verant­wortet die Compliance Organi­sation. Sie entwi­ckelt konzern­weite Standards und Richt­linien, begleitet Maßnahmen und Prozesse der Unter­neh­mens­be­reiche und berät diese.

Unser CMS unter­teilt sich in sieben Kernele­mente, die mitein­ander in Wechsel­wirkung stehen: Compliance-Kultur, -Ziele, -Risiken, -Programm, -Organi­sation, -Kommu­ni­kation, -Überwa­chung und -Verbes­serung. Mit dem CMS schaffen wir einen festen Rahmen, um die Umsetzung ethisch einwand­freien und recht­mä­ßigen Verhaltens im gesamten Tchibo Konzern zu gewähr­leisten. Das Compliance-Programm – als Teil des CMS – umfasst Grund­sätze und Maßnahmen, die Compliance-Risiken reduzieren sollen. Entspre­chend setzt es sich zusammen aus: Präven­ti­ons­maß­nahmen (Regelungen und Sensi­bi­li­sierung), Überwa­chung regel­kon­formen Verhaltens, Reaktion auf Fehlver­halten und eine konti­nu­ier­liche System­ver­bes­serung, z. B. infolge von Self-Assess­ments. Einen wesent­lichen Aspekt bildet dabei die Integration in die Unter­neh­men­spro­zesse.

Erkennen und vorbeugen: Risiko­ma­na­gement 

Unser Geschäft ist unter­schied­lichen Risiken ausge­setzt, zum Beispiel durch Währungs­schwan­kungen oder Umwelter­eig­nisse, die sich auf die Rohstoff­preise auswirken können. Im Rahmen unseres ganzheit­lichen Risiko­ma­na­ge­ment­systems identi­fi­zieren wir diese Gefahren und begrenzen sie durch wirksame Präven­ti­ons­maß­nahmen. Wir unter­scheiden hierbei grund­sätzlich zwischen Unter­neh­mens­ri­siken und Liefer­ket­ten­ri­siken.

Im Rahmen von Risiko­in­ven­turen nehmen wir eine Bestands­auf­nahme aller wesent­lichen Risiken vor. Hierunter fallen auch Compliance-Risiken, die durch die Missachtung recht­licher Vorgaben entstehen können. Im Berichtsjahr 2018 bilden die Compliance-Risiken das Schwer­punkt­thema unseres Risiko­ma­na­ge­ments.

Risiken sortieren wir in ein Risikocluster mit drei Kategorien ein: kurzfristig-operative Risiken, Einmal­ri­siken und strate­gische Risiken. Innerhalb dieser Kategorien erfolgt eine weitere Diffe­ren­zierung. Akut bedroh­liche Risiken werden der Geschäfts­führung umgehend zum Zeitpunkt ihres Auftretens gemeldet, um poten­zielle Gefahren zeitnah unter Kontrolle zu bringen. Aktuelle Infor­ma­tionen zur Risiko­ent­wicklung fließen mehrfach pro Jahr in die Steue­rungs- und Planungs­systeme von Tchibo ein. Die interne Revision prüft konti­nu­ierlich die Wirksamkeit des Risiko­ma­na­ge­ments. Geschäfts­führung und Aufsichtsrat werden von ihr durch regel­mäßige Berichte über die Risikolage infor­miert. Diese Berichte werden in der risiko­ori­en­tierten Prüfungs­planung der Konzern­re­vision berück­sichtigt. Infor­ma­tionen über bedroh­liche Risiken werden diesen Gremien umgehend mitge­teilt.

Um Risiken im Bereich der Beschaffung vorzu­beugen, integrieren wir Sozial- und Umweltan­for­de­rungen in die Einkaufs- und Quali­täts­pro­zesse. So reduzieren wir beispiels­weise Schritt für Schritt die Anzahl unserer Liefe­ranten für Gebrauchs­ar­tikel, entwi­ckeln die verblei­benden Liefe­ranten zu strate­gi­schen Partnern und unter­stützen sie mit dem Quali­fi­zie­rungs­pro­gramm WE (Worldwide Enhan­cement of Social Quality). Im Rahmen des Issues-Manage­ments analy­sieren wir konti­nu­ierlich relevante Anliegen unserer Stake­holder. So haben wir uns 2014 entschlossen, die dem Detox Commitment zugrun­de­lie­genden Standards von Green­peace in unsere Einkaufs- und Quali­täts­pro­zesse zu integrieren. Darüber hinaus betreiben wir als Teil des Risiko­ma­na­ge­ments ein konse­quentes Liefe­ran­ten­mo­ni­toring.

Die im Rahmen der jährlichen Risiko­analyse identi­fi­zierten und bewer­teten Compliance-Risiken werden nach Topri­siken priori­siert und bilden den Rahmen des Tchibo Compliance-Management-Systems. Hieran richten wir unsere Aktivi­täten, wie beispiels­weise Schulungen, Prozesse und interne Verfah­rens­an­wei­sungen aus. Darüber hinaus bilden die identi­fi­zierten Compliance-Risiken die Grundlage für die stetige Weiter­ent­wicklung unseres Compliance-Programms. 

Infor­ma­ti­ons­si­cherheit & Daten­schutz

Um unseren Kunden ein heraus­ra­gendes Einkaufs­er­lebnis zu ermög­lichen, muss eine Vielzahl verschie­dener Prozesse schnell und zuver­lässig ablaufen. Dafür – ebenso wie für das Perso­nal­ma­na­gement oder für interne Verwal­tungs­pro­zesse – benötigen wir die Unter­stützung von IT-Systemen, die Daten und Infor­ma­tionen speichern und verar­beiten. Diese Daten und Infor­ma­tionen sind häufig schüt­zenswert, z. B. falls sie zur Entschei­dungs­findung im Unter­nehmen erfor­derlich sind oder sie Tchibo schädigen können, wenn sie in unbefugte Hände gelangen. Zu den schüt­zens­werten Daten gehören Kunden- und sonstige perso­nen­be­zogene Daten, für die strenge gesetz­liche Anfor­de­rungen bestehen. Darüber hinaus schützen wir auch Geschäfts­ge­heim­nisse, wie Strategien und Preis­in­for­ma­tionen, Verträge, Rechnungen, Planungs- und Repor­ting­daten sowie Daten, die zum Betrieb der IT-Infra­struktur benötigt werden.

Der rechts­kon­forme Umgang mit schüt­zens­werten Daten ist ein wichtiger Teil unserer unter­neh­me­ri­schen Verant­wortung und entspre­chend in unserem Code of Conduct (CoC) hinterlegt. Unsere Sicher­heits­stan­dards verfolgen insbe­sondere das Ziel, den unrecht­mä­ßigen Gebrauch durch Unbefugte zu verhindern. Auch unsere Geschäfts­partner werden zum sorgsamen Umgang mit perso­nen­be­zo­genen Daten verpflichtet.

Erhöhte Anfor­de­rungen: EU-Daten­schutz-Grund­ver­ordnung (DSGVO)

Deutliche Verän­de­rungen in den Anfor­de­rungen an den Daten­schutz bringt die am 26. Mai 2018 in Kraft getretene EU-Daten­schutz-Grund­ver­ordnung (DSGVO) mit. Die neue DSGVO hat das bisherige Bundes­da­ten­schutz­gesetz (BDSG) und die EU-Daten­schutz­richt­linie, auf der das BDSG basiert, abgelöst. Sie stellt Unter­nehmen – und damit auch Tchibo – vor vielfältige Heraus­for­de­rungen.

Die DSGVO beinhaltet strengere Regeln für Unter­nehmen und Durch­set­zungs­maß­nahmen für Behörden beim Umgang mit perso­nen­be­zo­genen Daten. Damit werden die recht­lichen, betrieb­lichen und technisch-organi­sa­to­ri­schen Anfor­de­rungen an den Daten­schutz erhöht. So müssen Unter­nehmen unter anderem geeignete technische und organi­sa­to­rische Maßnahmen treffen, um Daten­schutz und Daten­si­cherheit zu gewähr­leisten. Eine wesent­liche Verschärfung erfuhr der gesetz­liche Rahmen bei den Rechen­schafts­pflichten. Die Unter­nehmen müssen nun jederzeit die Daten­schutz­kon­for­mität ihrer Prozesse nachweisen können.

Mehr als bisher erfor­derlich ist es somit geboten, Daten­schutz als Manage­ment­thema in alle relevanten Unter­neh­men­spro­zesse fest zu integrieren. So wollen wir den Ansprüchen an Dokumen­tation und Risiko­ab­wägung der neuen DSGVO gerecht werden. Die Sensi­bi­li­sierung unserer Mitar­beiter und eine klare Aufga­ben­ver­teilung innerhalb der natio­nalen und inter­na­tio­nalen Unter­neh­mens­be­reiche sind dafür ebenso unerlässlich wie die Entwicklung eines klaren Zielbildes.

Daten­schutz: Klare Verant­wort­lich­keiten 

Tchibo hat klare Verant­wort­lich­keiten für den Daten­schutz definiert. Der Bereich des betrieb­lichen Daten­schutz­be­auf­tragten entwi­ckelt die internen Vorgaben zum Daten­schutz. Durch die Daten­schutz­stelle erfolgt auch die Prüfung, Sensi­bi­li­sierung und Beratung im Daten­schutz. Die Verant­wortung für die Umsetzung von gesetz­lichen und inner­be­trieb­lichen Vorgaben zum Daten­schutz sowie zur Infor­ma­ti­ons­si­cherheit liegt unmit­telbar bei den Fachbe­reichen. Das bedeutet: Jeder einzelne Mitar­beiter ist für die Einhaltung der Daten­schutz­ge­setze mitver­ant­wortlich.

Bei akuten Daten- oder Infor­ma­ti­ons­ri­siken werden diese direkt an den Bereich IT Gover­nance und den betrieb­lichen Daten­schutz gemeldet. Wenn nötig erfolgt anschließend die Einbindung von Aufsichts­be­hörden, des Krisen­ma­na­ge­ments oder der Geschäfts­führung. Bei daten­schutz­re­le­vanten Vorhaben, wie beispiels­weise dem Outsourcing von Geschäftspro­zessen, sind die Fachbe­reiche verpflichtet den betrieb­lichen Daten­schutz einzu­binden.

Infor­ma­ti­ons­si­cherheit: Management und Maßnahmen 

Voraus­setzung für einen effek­tiven Daten­schutz ist die Sicherheit unserer IT-Systeme. Die Infor­ma­ti­ons­si­cherheit dient zudem dazu, Infor­ma­tionen und Systeme vor verschie­densten Bedro­hungen zu schützen, von einfachen Fehlbe­die­nungen über Hardware-Defekte bis hin zu Cyber­an­griffen. Das dafür notwendige Infor­ma­ti­ons­si­cher­heits-Manage­ment­system (ISMS) orien­tiert sich an den national bzw. inter­na­tional anerkannten Standards ISO 27001, BSI Grund­schutz sowie der NIST-SP-800-Serie und wird im Bereich IT Gover­nance stetig weiter­ent­wi­ckelt.

Zur Gewähr­leistung der Infor­ma­ti­ons­si­cherheit bei Tchibo dienen verschiedene, aufein­ander abgestimmte technische und organi­sa­to­rische Maßnahmen. Zu den techni­schen Maßnahmen zählen beispiels­weise die mehrstufige Erkennung von Schad­software oder die Verschlüs­selung von Daten­spei­cherung und -übertra­gungen. Zudem binden wir spezia­li­sierte Dienst­leister ein, z.B. zur Abwehr von Cyber­an­griffen oder zur Überwa­chung und Reaktion auf neue Bedro­hungen. Organi­sa­to­rische Maßnahmen sind etwa Richt­linien, Standards, Betriebs­ver­ein­ba­rungen und Arbeits­an­wei­sungen.

Vor allem das Zusam­men­wirken verschie­dener Maßnahmen ist entscheidend, um ein angemes­senes Sicher­heits­level zu erreichen. So gehen beispiels­weise die techni­schen Sicher­heits­maß­nahmen Hand in Hand mit der Erstellung und Vermittlung von Richt­linien oder regel­mä­ßigen Kontrollen.

Ebenso wichtig wie diese techni­schen und organi­sa­to­ri­schen Maßnahmen ist auch die Sensi­bi­li­sierung und Schulung der Mitar­beiter sowie deren Beratung. Neben unserer internen Ausein­an­der­setzung mit dem Daten­schutz suchen wir auch den externen Austausch mit anderen Unter­nehmen. So sind wir beispiels­weise Mitglied in der Hamburger Daten­schutz­ge­sell­schaft. Zudem sind Tchibo Mitar­beiter im Arbeits­kreis Daten­schutz des Bundes­ver­bands eCommerce und Versand­handel (bevh) sowie in den Berufs­ver­bänden der IT-Revisoren, IT-Sicher­heits­ma­nager sowie der IT-Gover­nance-Experten vertreten. Regel­mäßig tauschen wir uns auch mit anderen Hamburger Großun­ter­nehmen und Partnern aus. Auf diese Weise können wir vonein­ander lernen und uns weiter­ent­wi­ckeln.

Erfreu­li­cher­weise haben wir im Jahr 2017 keine wesent­lichen Daten­schutz­ver­stöße feststellen können. Lediglich kleinere Verstöße durch unzurei­chende Bearbei­tungen von Auskunfts­an­fragen und durch fehler­haften Versand von Werbung sind vorge­kommen. Diese wurden durch Sensi­bi­li­sie­rungs­maß­nahmen korri­giert.