Governance

Das Bilfinger Risk Committee (BRC) tagt im Auftrag des Vorstands und berät diesen im Rahmen der Risikobewertung. Es setzt sich aus dem Finanzvorstand (CFO), den Financial Directors der einzelnen Regionen / Divisionen sowie ausgewählten Leitern von Corporate Departments zusammen. Das BRC unterstützt die Ausgestaltung eines wirksamen und pragmatischen Risikomanagementsystems sowie die Überwachung allgemeiner Risikoentwicklungen. Auch die Betrachtung der nichtfinanziellen Risiken, die von der Geschäftstätigkeit von Bilfinger für Gesellschaft und Umwelt ausgehen könnten, erfolgt im Rahmen der BRC-Prozesse. Damit trägt das BRC zu einer übergeordneten Prozessqualität sowie zur Erkennung, Behandlung und Berichterstattung der wesentlichen Konzernrisiken bei.

Der Safety Council liegt in der Verantwortung des Chief Operating Officer (COO) als Vorstandsmitglied und ist das Sondierungs- und Entscheidungsgremium für Bilfinger HSEQ-Themen. Mitglieder des Safety Council sind der COO, die Executive Presidents der einzelnen Regionen / Divisionen und der Leiter von Corporate HSEQ. So verantwortet der Safety Council die konzernweit themenspezifischen Mindestanforderungen an HSEQ und beschließt die jährlichen HSEQ-Ziele für den Konzern. Der Safety Council trägt damit wesentlich zur Umsetzung der HSEQ-Ziele im Konzern bei.

Das Compliance Review Board (CRB) steuert und überwacht die Ausgestaltung und Implementierung unseres Compliance-Management-Systems. Es setzt sich aus dem Gesamtvorstand sowie ausgewählten Leitern von Corporate Departments zusammen und tagt einmal im Quartal unter der Leitung des Chief Compliance Officers. Dem CRB kommt eine zentrale Rolle bei der Sicherstellung der fortwährenden Effektivität unseres Compliance-Management-Systems zu.

Das Independent Allegation Management Committee (IAMC) setzt sich aus Leitern und Vertretern der Corporate Departments von Legal & Insurance, Compliance, Internal Audit and Investigations, Controlling, Accounting & Tax und Human Resources zusammen. Das Gremium steuert und überwacht unter der Leitung des Chief Compliance Officers die Durchführung interner Ermittlungen von möglichen schwerwiegenden Verstößen gegen unseren Verhaltenskodex. Das IAMC berät zudem über erforderliche Reaktionen auf festgestellte Verstöße einschließlich Prozessänderungen, Kontrollaktivitäten und Disziplinarmaßnahmen.

Das Disciplinary Committee setzt sich aus den Leitern der Corporate Departments von Compliance und Human Resources zusammen. Das Gremium wird durch den Leiter von Corporate Human Resources geleitet und beurteilt die Schwere eines nachgewiesenen Fehlverhaltens. Im Falle eines schwerwiegenden Verstoßes gegen den Bilfinger Verhaltenskodex definiert das Disciplinary Committee einzuleitende Disziplinarmaßnahmen, die bei dem jeweiligen Bilfinger Mitarbeitenden zu ergreifen sind.

Über die Vorgaben im Gesetz und der Satzung hinaus hat sich der Aufsichtsrat eine Geschäftsordnung gegeben, in welcher unter anderem Aufgaben, Zustimmungsvorbehalte und Anforderungen an Aufsichtsratsmitglieder niedergelegt sind, wie auch die Formalien für die Vorbereitung, Einberufung und Durchführung von Sitzungen sowie Beschlussfassungen. Diese wird regelmäßig überprüft und bei Bedarf aktualisiert; sie ist auf der Internetseite der Bilfinger SE verfügbar. Zum Zweck einer effizienteren Tätigkeit hat der Aufsichtsrat verschiedene Ausschüsse eingerichtet. Einzelheiten zu den Ausschüssen sind in der Erklärung zur Unternehmensführung und Bericht zur Corporate Governance im Geschäftsbericht erläutert. So hat der Aufsichtsrat unter anderem die Betreuung und Vorbereitung der Themenbereiche Nachhaltigkeit und Environment, Social & Governance (ESG) dem Prüfungsausschuss übertragen, wobei die Gesamt- und Letztverantwortung dafür unverändert beim Aufsichtsrat liegt.

Die Zentrale ist für die grundlegende strukturelle und fachliche Führung sowie die Verwaltung des Bilfinger Konzerns verantwortlich. Sie ist in Corporate Departments, teilweise mit Corporate Functions als Untereinheiten, gegliedert, die jeweils dem Ressort eines Vorstandsmitglieds zugeordnet sind. Operativ ist der Konzern in zwei Geschäftsbereiche (Engineering & Maintenance sowie Technologies) und innerhalb dieser in acht Regionen und zwei Divisionen gegliedert, denen wiederum die einzelnen Konzerngesellschaften zugeordnet sind. Den Regionen und Divisionen kommt im Rahmen der dezentralen Struktur ein hohes Maß an unternehmerischer Eigenverantwortung zu.

Die Verantwortung in den Regionen und Divisionen liegt jeweils bei einem Executive President, der für das operative Geschäft zuständig ist und an den Chief Operating Officer (COO) im Vorstand berichtet, sowie einem Financial Director, der für die kaufmännischen Belange verantwortlich ist und an den Finanzvorstand (CFO) berichtet. Es gibt drei Global Excellence Teams (HSEQ, Global Development und Operational Excellence), ausgestaltet in Form von Corporate Departments, die die Regionen, Divisionen und Konzerngesellschaften gezielt bei der Entwicklung neuer Geschäftsfelder, der Steigerung der Effizienz und noch weitergehend der Sicherstellung unserer HSEQ-Standards unterstützen.

Diese Organisationsform ermöglicht kurze Entscheidungswege und eine schlanke Verwaltung. An dieser Struktur des Bilfinger Konzerns richtet sich die Bilfinger Governance aus.

Die Bilfinger Governance wird dabei im Wesentlichen durch die verschiedenen Elemente der Bilfinger Governance, einschließlich der Governance-Dokumente und der enthaltenen Regelungen, sowie deren Verhältnis zueinander definiert und umgesetzt. Diese Governance-Struktur wurde im Berichtsjahr nochmals geschärft und ein neues Governance-Portal implementiert. Im Governance-Portal werden den Bilfinger Mitarbeitenden alle wesentlichen Governance-Dokumente gebündelt und transparent zur Verfügung gestellt. Hierdurch sollen die Mitarbeitenden in der Nutzung und Umsetzung der Bilfinger Governance bei ihrer täglichen Arbeit effektiv unterstützt werden.

Es gilt eine klare und transparente Strukturierung der Bilfinger Governance (wie sie nachfolgend bildlich zusammengefasst ist).

Unser Leitbild, unsere Konzerngrundsätze und unser Verhaltenskodex bilden zusammen mit der Grundstruktur des Konzerns das Dach der Governance mit vorrangig allgemeineren Vorgaben.

Im Leitbild und den Konzerngrundsätzen sind unsere Unternehmenswerte niedergelegt. Dabei bilden Integrität und Sicherheit das Gerüst und haben entsprechend oberste Priorität. Weiter umfasst das Leitbild unsere Leidenschaft, Werte und Kompetenzen und zeigt die Grundpfeiler unserer Unternehmenskultur auf. Darauf aufbauend geben unsere Konzerngrundsätze Verhaltensweisen in abstrakter Form insbesondere für die Bereiche HSEQ und risikobewusstes Handeln für alle Mitarbeitenden vor.

Weitergehender Maßstab unseres Handelns sind die im Verhaltenskodex festgelegten Grundsätze. Der Bilfinger Verhaltenskodex ist für die weltweiten Aktivitäten gültig und wurde in insgesamt 18 Sprachen übersetzt. Er gibt konkrete Orientierung für verantwortungsbewusstes, regelkonformes und integres Verhalten im Geschäftsalltag und ist für alle Führungskräfte und Mitarbeitende – unabhängig davon, wo sie arbeiten und welche Tätigkeit sie ausführen – verpflichtend. Er ist konzernweit gültig und betrifft den Umgang miteinander wie auch mit Kunden und weiteren Geschäftspartnern. Neben den allgemeinen Verhaltensgrundsätzen im Bereich Compliance enthält der Verhaltenskodex unter anderem Regelungen zur Integrität sowie zum Umgang mit Interessenkonflikten und untersagt Korruption und Diskriminierung in jeder Form. Die einzelnen Themenbereiche werden durch zugehörige Konzernrichtlinien konkretisiert. Der Verhaltenskodex und die konkretisierenden Konzernrichtlinien werden regelmäßig überprüft und an aktuelle Erfordernisse und Entwicklungen angepasst.

Weiter sehen die Elemente der Bilfinger Governance konkrete Vorgaben für die Steuerung und Organisation im Konzern vor. Dabei lassen sich – quasi in drei Säulen – inhaltliche und Prozessvorgaben (Konzernrichtlinien und Standard Operating Procedures - SOPs), Vorgaben für den Rahmen und die Grenzen für Handlungen und Maßnahmen (Geschäftsordnungen sowie Zustimmungs- und Unterschriftsvorgaben) sowie weitere Vorgaben für die Zuständigkeit und Organisation (Berichtslinien und Geschäftsverteilungspläne) unterteilen.

Neben den konkretisierenden Konzernrichtlinien zum Verhaltenskodex sind auch alle anderen konzernweit als regelungsbedürftig eingestuften fachspezifischen Themen und Prozesse in Konzernrichtlinien niedergelegt. Spezielle Prozesse werden in wiederum konkretisierenden Standard Operating Procedures (SOPs) für alle Mitarbeitende verpflichtend geregelt. Dabei sind jeweils lokale Anforderungen zu berücksichtigen. Im Einzelfall erlauben diese konkretisierende Ausführungsregelungen und auch ausnahmsweise Abweichungen. Verantwortlich für die Konzernrichtlinien und SOPs sind die fachlich zuständigen Corporate Departments und Corporate Functions der Zentrale des Konzerns. Die im Zuge der Anpassung der Konzernstruktur im Jahr 2020 begonnene Überprüfung der Konzernrichtlinien und SOPs wurde im Berichtsjahr weitgehend abgeschlossen. In diesem Zusammenhang wurde auch die grundlegende Konzernrichtlinie zur Governance bei Bilfinger aktualisiert. Die Konzernrichtlinien und SOPs werden regelmäßig auf ihre Aktualität überprüft und bei Bedarf angepasst.

Neben den inhaltlichen Vorgaben der Konzernrichtlinien und SOPs erfolgt die Steuerung des Handelns der einzelnen Bilfinger Mitarbeitenden und Führungskräfte im Konzern über Geschäftsordnungen und Zustimmungsvorgaben. Die Regions- und Divisionsleiter wie auch die Geschäftsführer beziehungsweise sonstigen organschaftlichen Vertreter einer Bilfinger Gesellschaft haben jeweils eine Geschäftsordnung, die unter anderem interne Zustimmungsvorgaben für bestimmte Handlungen und Maßnahmen enthält. Zustimmungsvorgaben bestehen für jede Einheit und Ebene des Konzerns, wobei die Zustimmungsvorgaben innerhalb der Regionen und Divisionen durch die jeweilige Leitung in ihrem Handlungsrahmen festgelegt werden. Zudem bestehen für jede Konzerneinheit verbindliche Vorgaben und Grenzen für die Unterzeichnung oder sonstige Ausfertigung bzw. Abgabe geschäftlich relevanter Dokumente und Erklärungen durch die Bilfinger Mitarbeitenden. Durch diese Elemente wird ein klarer Handlungsrahmen für jeden einzelnen Bilfinger Mitarbeitenden und jede Führungskraft sichergestellt. Die Zustimmungs- und Unterschriftsvorgaben werden regelmäßig, zuletzt im Berichtsjahr, auf ihre Aktualität überprüft und bei Bedarf angepasst.

Die Geschäftsordnungen enthalten des Weiteren die jeweiligen Berichtslinien sowie prozessuale Regelungen, beispielsweise die etwaige Aufteilung von Verantwortlichkeiten und Vorgaben für gemeinsame Entscheidungen im relevanten Organ der Konzerngesellschaft beziehungsweise der Regions- oder Divisionsleitung. Berichtslinien bestehen darüber hinaus für jeden Bilfinger Mitarbeitenden. Dabei entspricht die Berichtslinie grundsätzlich der disziplinarischen Verantwortlichkeit, kann aber bei anderweitiger fachlicher Zuordnung auch geteilt sein.

Ergänzt werden die Regelungen in den Geschäftsordnungen durch einen verpflichtenden Geschäftsverteilungsplan, in dem die Zuständigkeiten für jedes Organmitglied einer Konzerngesellschaft beziehungsweise einem Regions-/Divisionsleiter eindeutig zugeordnet sind. Dadurch soll sichergestellt werden, dass es eine eindeutige Verantwortlichkeit und Organisation für jede entsprechende Führungskraft gibt.

Die beschriebene Umsetzung der Governance bei Bilfinger fungiert als Strukturgeber bei der Ausgestaltung der jeweiligen wesentlichen Faktoren, die durch die entsprechenden Fachabteilungen organisiert werden. Die Konzepte werden in den folgenden Kapiteln weiterführend beschriebenen.

Die Bekämpfung von Korruption und Bestechung ist ein zentraler Bestandteil unseres Compliance-Management-Systems. Daher ist das Corporate Department Compliance für das Rahmenwerk zur Bekämpfung von Korruption und Bestechung bei Bilfinger verantwortlich.

Das Bilfinger Compliance-Management-System deckt alle Geschäftsbereiche ab und verfolgt das Ziel, Compliance-Verstöße durch Präventionsmaßnahmen zu vermeiden, etwaiges Fehlverhalten frühzeitig zu erkennen, bei bestätigten Verstößen schnell zu reagieren sowie Fehlverhalten konsequent zu ahnden.

Das Bilfinger Compliance-Management-System findet seinen Ausdruck unter anderem im Verhaltenskodex, der für alle Mitarbeitenden weltweit verpflichtend ist. Darin untersagen wir allen Mitarbeitenden auch Bestechung und Korruption. Sie dürfen Kunden, Lieferanten oder anderen Geschäftspartnern weder direkt noch indirekt Geld oder sonstige wirtschaftliche Vorteile in Aussicht stellen oder gewähren, um deren Entscheidungen zu beeinflussen oder unangemessene Vorteile zu erzielen. Dieser Grundsatz gilt auch im umgekehrten Fall: Niemand, der im Auftrag von oder für Bilfinger handelt, darf sich durch Annahme unlauterer wirtschaftlicher Vorteile von Geschäftspartnern korrumpieren lassen. Auch kleinere Zahlungen zur Sicherstellung oder Beschleunigung einer routinemäßigen Amtshandlung (Beschleunigungszahlungen) sind unseren Mitarbeitenden untersagt.

In unserem Verhaltenskodex beschreiben wir außerdem Konstellationen, die im Geschäftsleben häufig mit einem Korruptionsrisiko verbunden sind. Dazu gehören Spenden, Sponsoring-Aktivitäten, Geschenke, Bewirtung und Unterhaltung, der Umgang mit Amtsträgern sowie die Buchführung.

Corporate Compliance wird vom Chief Compliance Officer geleitet. Er berichtet direkt an den Vorstandsvorsitzenden bzw. übergangsweise im Berichtszeitraum an den COO und hat eine zusätzliche Berichtslinie an den Aufsichtsrat und dessen Prüfungsausschuss. Führungskräften kommt bei der Umsetzung unseres Verhaltenskodex und des Compliance-Management-Systems eine besondere Rolle zu: Sie müssen ihrer Vorbildfunktion gerecht werden. In der Jahresbeurteilung unserer Führungskräfte ist daher eine individuelle Integritätsbeurteilung enthalten, die in den jährlichen Dialog zur Karriereentwicklung eingeht. Darüber hinaus beinhaltet die variable Vergütung für Führungskräfte der Führungskreise 1 und 2 einen individuellen Integritätsfaktor. Dieser Faktor wird jährlich ermittelt und berücksichtigt, inwiefern eine Führungskraft die Themen Integrität und Compliance in ihrem täglichen Handeln umsetzt und diese in ihrem Umfeld aktiv unterstützt und vorantreibt.

Um die Ausgestaltung und Implementierung unseres Compliance-Management-Systems zu steuern und zu überwachen, hat der Vorstand ein Compliance Review Board (CRB) eingerichtet, dessen Aufgaben und Zusammensetzung hier dargestellt sind.

Unsere Tochtergesellschaften werden durch Compliance Manager und Compliance Officer auf Regions- beziehungsweise Divisionsebene betreut. Darüber hinaus übernehmen jede Regions- beziehungsweise Divisionsleitung, jede Geschäftsführung und jeder Fachbereichsleiter von Bilfinger Verantwortung für die Wirksamkeit des Compliance-Management-Systems, einschließlich des internen Kontrollsystems (IKS), in ihrem beziehungsweise seinem jeweiligen Verantwortungsbereich.

Das internationale Netzwerk von Compliance-Botschaftern (Compliance Representatives) soll sicherstellen, dass Mitarbeitende in den Geschäftseinheiten einen zusätzlichen lokalen Compliance-Ansprechpartner haben. Die Compliance Representatives sind speziell geschulte Mitarbeitende, die zusätzlich zu ihrer Hauptfunktion im Unternehmen ihre Kollegen bei Compliance- und Integritätsfragen unterstützen und so die Präsenz und Visibilität des Themas Compliance an ihrem Standort stärken. Die Compliance Representatives tauschen sich regelmäßig mit Corporate Compliance aus und bringen Erfahrungen und Herausforderungen der einzelnen Standorte zur Weiterentwicklung des jeweiligen Compliance-Programms ein.

Allen Mitarbeitenden steht ein zentrales Compliance-Help-Desk zur Verfügung, das Unterstützung in allen Compliance-relevanten Fragestellungen bietet.

Anzahl der Anfragen an das Compliance-Help-Desk

Um unsere Leistungen als Unternehmen am Markt zu erbringen, sind wir auf die Zusammenarbeit mit zahlreichen Geschäftspartnern angewiesen. Da ein Compliance-konformes Verhalten unserer Geschäftspartner für uns eine unabdingbare Voraussetzung ist, überprüfen wir in einem risikobasierten IT-gestützten Prozess unsere potenziellen Geschäftspartner vor der Aufnahme einer Geschäftsbeziehung (sogenannte Drittparteienprüfung oder Third Party Due Diligence). Bei dieser Integritätsprüfung werden die Geschäftseinheiten von Bilfinger durch unsere Compliance-Abteilung in der Risikobeurteilung unterstützt.

Neben der Prävention sind das schnelle Erkennen von etwaigem Fehlverhalten und eine angemessene Reaktion darauf wesentliche Bestandteile unseres Compliance-Management-Systems. Zur Entgegennahme, Dokumentation und Bearbeitung von Verdachtsfällen im Zusammenhang mit möglichen Verstößen gegen unseren Verhaltenskodex dient dabei ein Hinweisgebersystem: Unsere Mitarbeitenden wie auch außenstehende Personen und Stellen können auf vertraulicher Basis – auf Wunsch auch anonym – Hinweise auf etwaiges Fehlverhalten von Bilfinger Mitarbeitenden melden.

Anzahl der Hinweise auf Compliance-Verstösse

Mitarbeitende, Kunden und sonstige Stakeholder müssen sich darauf verlassen können, dass die Bilfinger anvertrauten Daten gegen Missbrauch und Verlust geschützt sind. Daher hat Bilfinger gezielte Regelungen zur Informationssicherheit und zum Datenschutz getroffen und entsprechende organisatorische Maßnahmen ergriffen.

Die grundlegenden Regelungen für einen sicheren und gesetzeskonformen Umgang mit Daten und deren Verarbeitung sind in unserer Konzernrichtlinie zur Informationssicherheit zusammengefasst. Sie ist für alle Mitarbeitende des Konzerns und für alle im Auftrag von Bilfinger tätigen Personen verbindlich. In ihr werden die Komponenten der Informationssicherheit, die Prinzipien beim Umgang mit und der Verarbeitung von Daten sowie die Verpflichtungen der Führungskräfte, der IT-Fachkräfte, der Mitarbeitenden sowie der externen Parteien beschrieben. Verstöße gegen die Vorgaben dieser Konzernrichtlinie und deren Anhänge oder gegen bestehende Gesetze können disziplinarische, vertragliche oder strafrechtliche Konsequenzen nach sich ziehen.

Darüber hinaus sind in Ergänzung der Konzernrichtlinie zur Informationssicherheit diverse Standard Operating Procedures (SOPs) definiert, die zum Ziel haben, die Konzernrichtlinien zur Informationssicherheit in allen Konzerngesellschaften umzusetzen. Hierzu gehören beispielsweise SOPs zu den Themen Information Management Standard, Physischer Schutz der Daten, Notfallsicherheit oder IT-Audit.

Die fachliche Zuständigkeit für die Informationssicherheit liegt beim Fachverantwortlichen für Informationssicherheit der Bilfinger Global IT GmbH, der durch das dedizierte, zentrale Kompetenzzentrum für das Thema Informationssicherheit unterstützt wird. Das Team für Informationssicherheit prüft in Planung oder in Betrieb befindliche IT-Dienste auf die Einhaltung der Konzernrichtlinie zur Informationssicherheit und regulativer Anforderungen. Außerdem hat jede Organisationseinheit eine für den Datenschutz verantwortliche Person zu benennen, die als Koordinator mit dem Fachverantwortlichen für Informationssicherheit zusammenarbeitet.

Wir begegnen den Risiken im sogenannten Cyber-Security-Umfeld durch ein breites Maßnahmenpaket, so zum Beispiel durch eine vermehrte Überwachung von ein- und ausgehendem E-Mail-Verkehr zur Verhinderung von schadhaften E-Mails durch einen cloudbasierten E-Mail-Gateway. Im Falle konkreter Bedrohungen arbeiten wir eng mit den zuständigen Behörden zusammen. Die zentralen Rechenzentren wurden nach Microsoft Azure in die Cloud migriert und werden auch zukünftig der ISO 27001-Zertifizierung unterliegen. Daneben werden die Härtungsmaßnahmen hinsichtlich des Netzwerkzugriffs durch regelmäßige Schwachstellenanalysen überprüft, zum Beispiel durch sogenanntes Friendly Hacking. Bilfinger setzt zur Überwachung von sicherheitsrelevanten Vorfällen ein Security Information and Event Management System (SIEM) ein, welches alle zentralen Logs sammelt und auf Anomalien auswertet. Ein weiterer Schwerpunkt der Aktivitäten ist das zeitnahe Schließen von neu gemeldeten Schwachstellen von Software-Herstellern, wie beispielsweise die Schwachstelle Hafnium der Microsoft Exchange Software. In diesem Fall konnte die Sicherheitslücke innerhalb weniger Tage abgestellt werden und es waren keine Indikationen für eine Kompromittierung mehr sichtbar. Außerdem wurden Trainingsvorgaben für alle Mitarbeitende mit Computerarbeitsplätzen definiert, um für die zunehmende Gefahr zu sensibilisieren.

Jeder Mitarbeitende oder jede im Auftrag des Bilfinger Konzerns tätige Person ist verpflichtet, eine mögliche oder tatsächliche Gefährdung der im Konzern verfügbaren Informationen als Sicherheitsvorfall zeitnah zu melden. Außerdem ist jede Geschäftseinheit dazu verpflichtet, entsprechend ihrem Geschäftsfeld und Zuständigkeitsbereich ein umfassendes, wirksames Notfallmanagement einzurichten und wirksam vorzuhalten. Sollte es zu Sicherheitsvorfällen kommen, wird bei Bedarf das Independent Allegation Management Committee (IAMC) mit der Untersuchung des Verstoßes beauftragt.

Um einen einheitlichen Standard für den Umgang mit personenbezogenen Daten gemäß der europäischen Datenschutz-Grundverordnung zu schaffen, gilt in unserem Konzern eine einheitliche Konzernrichtlinie Datenschutz. Sie basiert auf den Regelungen der Datenschutz-Grundverordnung der Europäischen Union sowie auf weltweit akzeptierten datenschutzrechtlichen Grundprinzipien für die Verarbeitung personenbezogener Daten von Mitarbeitenden, Kunden, Lieferanten und sonstigen Geschäftspartnern. Die Richtlinie beschreibt die Aufgaben und Zuständigkeiten des externen Datenschutzbeauftragten, der internen Datenschutzbeauftragten sowie der Datenschutzkoordinatoren. Sie stellt außerdem die Datenschutzprinzipien, die Vorgaben zur Datenübertragung und Auftragsdatenverarbeitung, die Rechte betroffener Personen sowie die Zuständigkeit der Konzerngesellschaften dar.

Die Richtlinie ist für alle Konzerngesellschaften verbindlich und soll sicherstellen, dass die in der Richtlinie beschriebenen Datenschutzstandards nicht unterschritten werden. Sie gilt auch für Konzerngesellschaften in Ländern, die nicht über eine eigene gesetzliche Datenschutzregelung verfügen.

Für den Fall, dass Datenschutzverletzungen entstanden sind beziehungsweise vermutet werden, gibt die Konzernrichtlinie Datenschutz ein Verfahren zur Meldung von Datenschutzverletzungen vor. Für Mitarbeitende steht hierfür ein Meldeformular als Leitlinie zur Verfügung. Die Meldungen fließen zur weiteren Bearbeitung und zu Auswertungszwecken in eine Datenbank ein, in der die (vermutete) Datenschutzverletzung beschrieben wird.

Der Vorstand wird sowohl über die Datensicherheit als auch über die Ausgestaltung des Datenschutzes mindestens einmal jährlich informiert. Über besondere Ereignisse wird der Vorstand anlassbezogen unterrichtet.