Steuerung & Fakten

Seit 2010 lassen wir regelmäßig unser Compliance-Management-System (CMS) nach dem IDW Prüfungsstandard 980 mit Schwerpunkt „Antikorruption“ von unabhängigen Prüfer*innen auditieren. Der letzte Prüfdurchlauf fand in den Jahren 2020 und 2021 statt.  

Insgesamt wurden 22 deutsche und internationale Gesellschaften erfolgreich geprüft. Details zu den Prüfungsergebnissen sind auf der Homepage der Deutschen Telekom veröffentlicht. Im Fokus der Prüfung standen Prozesse, die einem erhöhten Korruptionsrisiko ausgesetzt sind, zum Beispiel in den Bereichen Einkauf, Vertrieb, Events, Spenden, Sponsoring, M&A und Personal. Die nächste externe Prüfung ist für 2024 geplant.

Um Compliance-Risiken für das Unternehmen zu erkennen, zu analysieren und zu bewerten sowie daraus risikoorientiert Maßnahmen zur Prävention von Rechts- und Regelverstößen abzuleiten, steuert das zentrale Compliance-Management jährlich eine übergeordnete Compliance-Risikoerhebung (Compliance Risk Assessment, CRA). Sie umfasst auch Beteiligungen der Deutschen Telekom. Hierfür haben wir einen Compliance-Risiko-Assessment-Prozess etabliert, Verantwortlichkeiten festgelegt und Bewertungskriterien definiert. Die einzelnen Schritte werden nachvollziehbar dokumentiert. Im Einzelnen verlief das Compliance Risk Assessment 2022 wie folgt:

• Die Gesellschaften, die am CRA teilnehmen, wurden nach einem risiko- und reifegradorientierten Modell und in Abhängigkeit von der Governance ausgewählt.
• Im Jahr 2022 durchliefen 69 Einheiten (61 Gesellschaften und 8 Einheiten der Konzernzentrale) diesen Prozess. Dies entspricht einer Abdeckungsquote von 93,6 Prozent (nach FTE/Vollzeitäquivalenten der vollkonsolidierten Gesellschaften und Zentralbereiche; Stand: 31. Dezember 2021). Die T-Mobile US führt ein Risk Assessment nach einer anderen Systematik durch.
• In einer Konzern-Risikolandkarte werden die für unser Unternehmen potenziell möglichen Risiken aufgeführt. Dies ermöglicht den verschiedenen Gesellschaften der Deutschen Telekom mit ihren unterschiedlichen Geschäftsmodellen, eine systematische Risikoanalyse vorzunehmen. Die Risikofelder wurden 2022 überarbeitet und teilweise zusammengefasst. Im Jahr 2022 umfasste die Risikolandkarte 22 Risikofelder, dazu gehörten beispielsweise Korruption, Kartellrechtsverstöße und Verstöße gegen die Menschenrechte. Alle Landesgesellschaften können geschäftsspezifisch und anlassbezogen weitere Kategorien definieren. Für jedes Risiko wird bestimmt, welche konkrete Bedrohung für die jeweilige Landesgesellschaft besteht und welche Schritte bereits eingeleitet wurden, um das Risiko möglichst auszuschließen. Sofern erforderlich, werden weitere Maßnahmen entwickelt, um die Risiken auf ein vertretbares Niveau zu senken.
• Die Durchführung des CRA liegt in der Verantwortung der jeweiligen Gesellschaft oder Konzerneinheit. Auf Grundlage der Ergebnisse des CRA und der Erkenntnisse aus weiteren Compliance Prozessen beschließt die Geschäftsführung für das jeweilige Folgejahr ein Compliance-Programm mit entsprechenden lokalen Maßnahmen und Verantwortlichkeiten. Die zentrale Compliance-Organisation unterstützt sie hierbei und stellt eine einheitliche Methodik zur Verfügung. So lassen sich die Erkenntnisse aus dem CRA nutzen, um risikoorientiert konzernweite Maßnahmen abzuleiten.
• Der Vorstand und der Prüfungsausschuss des Aufsichtsrats der Deutschen Telekom werden über die Ergebnisse des Compliance Risk Assessments informiert.
• Die zentrale Compliance-Abteilung monitort die Durchführung der Maßnahmen aus dem Compliance-Programm.

Das unternehmerische Handeln der Deutschen Telekom fußt auf Compliance und Integrität. Den zentralen Orientierungsrahmen für rechtskonformes und integres Verhalten bildet unser Verhaltenskodex (Code of Conduct). Dieser wird ergänzt durch weitere spezifische Richtlinien, wie beispielsweise die Richtlinie zur Vermeidung von Korruption und sonstigen Interessenkonflikten, die Kartellrechtsrichtlinie und unsere Leitlinien zur digitalen Ethik für Künstliche Intelligenz (KI). Mit den KI-Leitlinien verpflichten wir uns dazu, unsere auf KI basierenden Produkte und Services verantwortungsvoll einzusetzen und weiterzuentwickeln. KI soll menschenzentriert gestaltet werden, um die Souveränität, Diskriminierungsfreiheit und Meinungsfreiheit der handelnden Personen zu schützen.

Eine Übersicht der wichtigsten Richtlinien ist auf unserer Website einsehbar.

Konzernweit unterstützen wir die Beschäftigten mit zahlreichen Maßnahmen, damit sie in ihrem Arbeitsalltag integer und rechtskonform handeln können:

• Richtliniendatenbank, die Beschäftigte bei der Suche nach und der Umsetzung von geltenden Vorschriften unterstützt
• Regelmäßige Compliance- und Antikorruptionsschulungen, die auch Teil unserer Einführungsprozesse für Onboardings von neuen Mitarbeitenden sind (siehe GRI 205-2)
• Internationale Einführung der Online-Schulung „Compliance-Grundlagen“ im Jahr 2021. Diese Schulung muss von unseren Beschäftigten alle zwei bis drei Jahre wiederholt werden.
• Kurze und prägnante Videos zu Compliance-Themen als Hilfestellung im Berufsalltag, auf die Beschäftigte jederzeit über das interne Portal YAM UNITED oder LinkedIn zugreifen können
• Seit 2013 jeweils aus Anlass des weltweiten UN-Antikorruptionstags am 9. Dezember: Jährliche Durchführung von internationalen Kommunikationskampagnen und verschiedenen Awareness-Maßnahmen in den Gesellschaften zum Thema Anti-Korruption. Im Jahr 2022 wurde insoweit zum einen im Rahmen eines internationalen Livestreams ein Interview durch die Vorständin für Personal und Recht Birgit Bohle, der Chief Compliance Officerin Marie von der Groben und dem Wirecard-Whistleblower Pav Gill durchgeführt. Ziel war die Sensibilisierung der Beschäftigten zu den Themen Whistleblowing, Widerspruchskultur und Korruption. Zum anderen hat der Gesamtvorstand in einer gemeinsamen E-Mail alle Beschäftigten zum Thema Antikorruptionstag sensibilisiert.
• AskMe – das Beratungsportal für Fragen zu Compliance und Integrität. Beschäftigte finden im Portal Antworten auf Compliance-Fragen, die im Arbeitsalltag häufig vorkommen (Frequently Asked Questions (FAQs)). Darüber hinaus haben sie die Möglichkeit, das AskMe-Beratungsteam mit Fragen zu Compliance zu kontaktieren. Die Anzahl der Anfragen sowie deren Themenfelder können hier eingesehen werden.
• Jährliches Compliance Risk Assessment, mit dem Compliance-Risiken in Konzerngesellschaften und Organisationseinheiten identifiziert, bewertet und daraus Schwerpunkte für geeignete Präventionsmaßnahmen abgeleitet werden
• Regelmäßige Statements gegen Korruption von den DTAG-Vorstandsmitgliedern
• Weitere aus der Compliance-Risikolage abgeleitete Präventionsmaßnahmen im jährlichen Compliance-Programm

Allen Hinweisen, die sich auf einen Verstoß gegen gesetzliche oder interne Vorschriften beziehen, gehen wir nach, sofern eine hinreichend konkrete Sachverhaltsbeschreibung vorliegt. Um Hinweise entgegenzunehmen, betreiben wir unter anderem das Hinweisgeberportal „TellMe“.

• Alle Hinweise werden vertraulich behandelt, plausibilisiert und sorgfältig untersucht.
• Hierbei festgestelltes Fehlverhalten wird im Rahmen der rechtlichen Bestimmungen konsequent und ausnahmslos ohne Berücksichtigung von Rang und Position der handelnden Personen sanktioniert. Dies schließt auch eine eventuelle Beendigung des Beschäftigungsverhältnisses und das Erheben von Schadensersatzansprüchen ein. Bei den Untersuchungen erkannte Schwächen im internen Kontrollsystem werden systematisch analysiert und behoben.

Mit dem Hinweisgeberportal „TellMe“ haben neben unseren Mitarbeitenden auch externe Personen, zum Beispiel Geschäftspartner*innen oder Kund*innen, die Möglichkeit, Hinweise auf regelwidriges Verhalten abzugeben – auch anonym. Zur Steuerung und Überwachung der eingehenden Hinweise haben wir einen konzernweit einheitlichen Prozess umgesetzt.

• Alle Compliance-relevanten Hinweise werden vertraulich behandelt, plausibilisiert und sorgfältig untersucht. Das gilt auch für Hinweise, die uns über andere Kanäle erreichen.
• Die überwiegende Anzahl der Hinweise bezog sich 2022 auf den Schwerpunkt „Vermögensinteressen“ (mögliche Fälle von Betrug, Untreue, Zielemanipulation sowie unlautere Vertriebsmethoden).
• Bestätigte Fälle werden konsequent, tat- und schuldangemessen sowie im Einklang mit den einschlägigen Rechtsvorschriften sanktioniert. Weitere Einzelheiten, unter anderem Angaben zu den verfolgten Maßnahmen, veröffentlichen wir auf unserer Website.

Eingang und Bearbeitung von Hinweisen auf dem „TellMe“-Portal*

* Hinweiseingänge, die direkt bei den internationalen Gesellschaften eingehen, sind hier nur berücksichtigt, sofern sie Konzernrelevanz haben.

Compliance und Integrität sind zentraler Bestandteil unserer Unternehmenskultur.

Da die Welt immer komplexer wird und wir jeden Tag mit neuen Herausforderungen und Vorschriften konfrontiert werden, ist es wichtiger denn je, allen Beschäftigten zuverlässige Orientierungshilfen zu bieten, damit sie in den unterschiedlichen Situationen handlungssicher und integer agieren können.

Unser E-Learning-Angebot zu Compliance ist etabliert. Konzernweit schließen die E-Learnings auch wertebasierte, kulturelle und integritätsbezogene Aspekte ein – unter anderem unser E-Learning  „Code of Conduct“, „Ethische Grundlagen im Geschäftsalltag“ sowie „Compliance-Grundlagen“. Im Jahr 2022 haben wir zudem Präsenztrainings mit Vorstandsmitgliedern und dem Top-Management durchgeführt, bei denen anhand von Fallbeispielen das richtige Verhalten in typischen Compliance-Dilemmasituationen bearbeitet und diskutiert wurde.

Mit unserem ICARE-Check, einem Selbsttest mit fünf einfachen Fragen, unterstützen wir unsere Beschäftigten, in schwierigen Situation eine richtige und verantwortungsvolle Entscheidung zu treffen.

Unterschiedliche Rahmenbedingungen in den Ländern, in denen die Deutsche Telekom vertreten ist, stellen für uns eine wesentliche Compliance-Herausforderung dar. Auch die zunehmend dynamische Entwicklung der globalen Märkte, neue, digitale Geschäftsmodelle und der verschärfte internationale Wettbewerb beeinflussen unsere Compliance-Strategie.

Um der internationalen Ausrichtung des Konzerns gerecht zu werden, besprechen wir strategische Compliance-Themen regelmäßig mit den Compliance-Verantwortlichen in unseren internationalen Konzerngesellschaften. 2022 tauschten sich die Compliance Officer der größten beziehungsweise strategisch wichtigsten internationalen Einheiten erstmals seit der Corona-Pandemie wieder persönlich auf einer Konferenz mit den Expert*innen des Bereichs Group Compliance aus. Zum Onboarding unserer neuen, internationalen Compliance-Manager*innen wurden diese im Jahr 2022 nach Deutschland eingeladen, um ihnen neben dem persönlichen Kennenlernen der Kolleg*innen aus dem zentralen Compliance Team auch die zentralen Compliance-Prozesse und Themen und -Kultur sowie die Herausforderungen im Konzern zu vermitteln. Weiterer internationaler Austausch findet in regelmäßigen, virtuell durchgeführten „Compliance Community Calls“ statt. Die Themen 2022 lauteten unter anderem: „Vorstellung der Neuerungen im Compliance-Reporting-Tool“, „Compliance-Aufgaben im Rahmen der ESG  Governance“, „Digitale Ethik“ und „Vorstellung der internationalen Compliance-Teams und Arbeitsschwerpunkte“. Darüber hinaus wurden in den internationalen Compliance Community Calls Best Practices, die sich im Rahmen der Compliance-Auditierungen im Konzern herausgestellt haben, vorgestellt und durch die Einheiten erläutert.

Auch mit anderen Unternehmen sowie Fachkreisen tauschen wir uns über Compliance-Fragen aus. Darüber hinaus bringen wir uns regelmäßig mit Fachvorträgen, Publikationen und anderen Beiträgen in die Weiterentwicklung von Compliance-Standards und Management-Systemen ein.

Wir arbeiten regelmäßig in nationalen und internationalen Organisationen mit, die sich schwerpunktmäßig mit Compliance-Fragen beschäftigen. Als Mitglied in Verbänden und Organisationen wie dem Deutschen Institut für Compliance (DICO e. V.), dem Forum Compliance & Integrity des ZfW (Zentrum für Wirtschaftsethik) und dem Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.) nutzen wir die Möglichkeit zum Erfahrungsaustausch über Compliance-Fragen.

Den internationalen Antikorruptionstag der Vereinten Nationen am 9. Dezember nehmen wir seit Jahren zum Anlass, im Konzern auf das Thema Bestechung und Bestechlichkeit aufmerksam zu machen. Weitere Details hierzu sind im Kapitel „Sensibilisierung der Beschäftigten für Compliance-Risiken“ beschrieben.

Digitale Verantwortung  ist eine gesamtgesellschaftliche Aufgabe. Als Deutsche Telekom entwickeln wir Künstliche Intelligenz (KI) und setzen sie in verschiedenen Produkten ein. In die Diskussion zu dem Thema bringen sich unsere Vorständinnen Claudia Nemat und Birgit Bohle aktiv ein. KI-Systeme sind längst ein integraler Bestandteil unserer Arbeitsweise und werden zum Beispiel genutzt, um Anfragen so schnell wie möglich zu beantworten.
Ebenso wie für hohe Service-Qualität und digitale Souveränität engagieren wir uns für einen ethischen Umgang mit KI, bei dem der Mensch und seine Bedürfnisse stets im Mittelpunkt stehen.

Vor diesem Hintergrund haben wir 2018 als eines der ersten Unternehmen der Welt Leitlinien für den ethischen Umgang mit unserer KI entwickelt. Sie verdeutlichen, wie wir verantwortungsvoll mit KI umgehen und unsere auf KI basierenden Produkte und Services entwickeln wollen. Unsere KI-Leitlinien folgen dem Ansatz einer KI, die sich um und für den Menschen entwickelt, und verweisen auf gesetzliche Grundlagen sowie auf unseren Menschenrechtskodex & Soziale Grundsätze, in dem wir uns unter anderem dazu verpflichten, Menschenrechte zu achten und zu fördern.

Um unsere KI-Leitlinien zu konkretisieren und operativ umzusetzen, haben wir unter anderem folgende Maßnahmen eingeleitet:

• Unter dem Motto „Teilen und Aufklären“ („Share and Enlighten“) haben wir für unsere Mitarbeitenden eine Online-Schulung „Digitale Ethik“ erstellt sowie auf deutscher und internationaler Ebene Vorträge zu KI-Themen durchgeführt.
• Im Zuge unserer Gremienarbeit teilen wir unsere Erfahrungen und Erkenntnisse mit anderen Unternehmen – unter anderem im Rahmen unserer Arbeit im Bundesverband der Deutschen Industrie (BDI), im Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) und im Bundesverband Digitale Wirtschaft (BVDW) sowie in der Digitalisierungsinitiative D21.

Folgende Maßnahmen wurden umgesetzt, um die KI-Leitlinien mit Leben zu füllen:

• Gemeinsam mit unseren technologischen Expert*innen und Projektverantwortlichen haben wir den Leitfaden „Professionsethik“ entwickelt. Er bietet Best Practices, Methoden und Tipps, die dabei helfen sollen, die KI-Leitlinien auf die Anwendung in Entwicklungsprozessen zu übertragen. So wollen wir erreichen, dass sich alle mit KI befassten Entwickler*innen an die Leitlinien für den verantwortungsvollen Umgang mit KI halten beziehungsweise diese in die von ihnen entwickelten Systeme und Produkten implementieren.
• Durch ein „Digital Ethics Assessment“ stellen wir sicher, dass unsere ethischen KI-Anforderungen in unseren Entwicklungsprozessen im Rahmen von „Ethics by Design“ weiter unkompliziert mitgedacht und umgesetzt werden können.
• Darüber hinaus haben wir die KI-Leitlinien in diverse Aus- und Weiterbildungen für unsere Beschäftigten integriert. Zum Beispiel haben wir entsprechende Trainings für die Fortbildung zum Data Scientist und für unsere „Re-Skilling Academy“ entwickelt; dazu bieten wir verschiedene attraktive Formate an, darunter virtuelle Rundgänge, Online-Schulungen und „Digital Learning Journeys“ im Rahmen der Telekom-Ausbildung.
• Um auch in der Lieferkette unsere hohen ethischen Anforderungen an KI-Entwicklung einzubringen, haben wir unseren Lieferantenkodex (Supplier Code of Conduct) im Jahr 2020 um entsprechende Inhalte unserer KI-Leitlinien erweitert und im Berichtsjahr aktualisiert – auch bei diesem Thema gehören wir zu den Vorreitern.
• 2022 wurde zudem ein interdisziplinär agierendes Team „Digitale Ethik“ gegründet, das sich mit der Weiterentwicklung, Begleitung und Umsetzung des Themas „Digitale Ethik“ im Konzern Deutsche Telekom auch mit Blick auf die kommende KI-Regulierung der EU kümmert. Die Gruppe wird im Rahmen eines Co-Creation-Ansatzes durch die Vorständinnen für Technologie und Innovation (VTI) und für Personal und Recht, Arbeitsdirektorin (VP) gesteuert.

Die dynamischen Herausforderungen in unserem Marktumfeld, die steigenden regulatorischen Anforderungen und die Veränderungen der Arbeitswelt machen eine kontinuierliche Anpassung unseres Compliance-Management-Systems erforderlich. Auch die Kenntnisse der Compliance-Mitarbeitenden halten wir unter anderem mithilfe von bedarfsorientierten und anlassbezogenen Schulungen sowie unternehmensübergreifenden Austauschformen stets aktuell. Die Schulungen umfassen über die fachliche Fortbildung hinaus auch Themen wie „Agilität “, „Modernes Arbeiten“ und „Tools und Prozesse“.

Um unsere Compliance-Organisation an die zunehmenden internen und externen Kundenanforderungen sowie digitale und agile Arbeitsformen anzupassen, sind wir im Bereich Group Compliance seit 2021 nach einem agilen Organisationsmodell aufgestellt und arbeiten mit agilen Methoden . Die Organisation wurde im Jahr 2022 mit Kunden-, Prozess- und Digitalisierungsfokus weiterentwickelt.  

Mit der Weiterentwicklung unserer Compliance-Organisation wollen wir zu einem kundenorientierten, rechtssicheren und nachhaltigen Unternehmenserfolg beitragen. Mit unserer Compliance-Strategie haben wir uns auf das Zielbild eines Leading Digital Compliance Management System (Leading Digital CMS) ausgerichtet.

Darunter verstehen wir ein CMS,

• das Compliance Anforderungen möglichst nahtlos in Businessprozesse integriert,
• den konzernweiten Status des CMS und bestehende Compliance-Risiken jederzeit aktuell und transparent aufzeigt und
• neue Entwicklungen im geschäftlichen und regulatorischen Bereich aktiv aufnimmt und adressiert und gewonnene Erkenntnisse zum Zwecke kontinuierlicher Verbesserung nutzt.

Die wesentlichen Bausteine des Leading Digital CMS sind Kultur, Vertrauen und Einfachheit.

• Kultur ist die Basis unserer Zusammenarbeit. Ohne eine gute und offene Unternehmenskultur, in der jede und jeder Einzelne dazu bereit ist, Verantwortung zu übernehmen, Fehler einzugestehen und auf Risiken hinzuweisen, kann Compliance nicht erfolgreich sein.
• Vertrauen geht in zwei Richtungen: Die Compliance-Funktion agiert als vertrauenswürdiger Berater, der gemeinsam mit dem Business Lösungen zum Umgang mit Compliance-Risiken erarbeitet. Umgekehrt gibt Compliance das Vertrauen aber auch zurück, indem nur dort verbindliche Vorgaben gemacht werden, wo dies unter Risikogesichtspunkten erforderlich ist.  
• Einfachheit bedeutet, dass wir es allen im Unternehmen so einfach wie möglich machen wollen, sich an die Regeln zu halten und Compliance-Vorgaben umzusetzen. Dazu gehört beispielsweise, dass Regeln klar und einfach gefasst und auf das Wesentliche reduziert sein sollten.

Um das Ziel eines Leading Digital CMS zu erreichen, haben wir konkrete Maßnahmen definiert, die wir schrittweise umsetzen. Im Jahr 2022 haben wir dabei bereits erste Erfolge erzielt:

• Wir haben das Cluster Compliance Digital Transformation geschaffen, um Digitalisierungs-Know-how zu bündeln und die kontinuierliche Weiterentwickelung und Digitalisierung von Compliance-Prozessen voranzutreiben.
• Digitalisierung startet mit der kritischen Analyse bestehender Prozesse. Wir haben im letzten Jahr erhebliche Vereinfachungen im Compliance-Baukasten identifiziert, die funktionsübergreifende Zusammenarbeit mit allen Risk Ownern in Bezug auf das Compliance Risk Assessment intensiviert und ein Digitales Compliance Reporting Tool konzipiert.  
• Um „Vertrauen“, „Kultur“ und „Einfachheit“ auch gesamthaft zu adressieren, haben wir den ICARE-Check entwickelt, einen einfachen Selbsttest mit fünf Fragen für kritische Situationen. Der Test soll allen Beschäftigten dabei helfen, schwierige Situationen zu meistern und zu beurteilen, ob vor einer Entscheidung zum weiteren Vorgehen Rat eingeholt werden sollte.
• Wir haben außerdem unsere Präsenzschulungen mit Dilemma-Situationen aus dem Geschäftsalltag ergänzt. Die gemeinsame und interaktive Diskussion von Situationen aus dem Geschäftsalltag, in denen die richtige Antwort oftmals schwer zu finden ist, hat in den Trainings zu einem vertrauensvollen und offenen Austausch geführt und zahlt sowohl auf „Kultur“ als auch auf „Vertrauen“ ein.
• Gemeinsam mit Kolleg*innen aus dem Vorstandsbereich Technik und Innovation haben wir den Squad „Digitale Ethik“ initiiert, um gemeinsam sicherzustellen, dass wir auch in der digitalen Welt und bei Nutzung von Künstlicher Intelligenz im Einklang mit unsere Anforderungen an Compliance und Integrität handeln und zudem auf neue europäische Rahmenbedingungen, wie den EU AI Act, vorbereitet sind.
• Darüber hinaus haben wir auch auf weitere neue gesetzliche Anforderungen reagiert und im Rahmen des von Corporate Responsibility geleiteten Projekts zur Umsetzung des Lieferkettengesetzes Anpassungen beim Compliance Risk Assessment und in Bezug auf unser Whistleblower-Portal TellMe vorgenommen.