Dem Schutz von Kundeninteressen wird besondere Aufmerksamkeit gewidmet und durch den konzernweit gültigen Verhaltenskodex „So denken wir so handeln wir“ sowie interne Überwachungs-, Qualitätssicherungs- und Beschwerdemanagement-Systeme Rechnung getragen.
Compliance basiert in der Energie AG auf einem gemeinsamen Werteverständnis, das im Verhaltenskodex für alle Anspruchsgruppen, Personen in Führungspositionen und Mitarbeiter:innen nachvollziehbar veröffentlicht ist. Der Verhaltenskodex ist die Leitplanke für gesetzes- und richtlinienkonformes Handeln. Er bildet die Grundlage für alle geschäftlichen Aktivitäten und Entscheidungen im Energie AG-Konzern und ist die Basis für moralisch, ethisch und rechtlich einwandfreie Verhaltensweisen aller Beschäftigten des Konzerns. Der Verhaltenskodex ist für alle Mitarbeiter:innen verbindlich und enthält wesentliche Vorgaben für respektvolles Verhalten sowie eine offene Kommunikation. Konzernweit wurden und werden alle Führungskräfte und Mitarbeiter:innen über den internen Verhaltenskodex informiert.
Der „Verhaltenskodex für unsere Auftragnehmer“ adressiert die Themen Menschenwürde, verantwortungsvolle Kommunikation und Datenverwendung, Umwelt und Nachhaltigkeit sowie integres Handeln und weist auch auf Konsequenzen bei Verstößen gegen die Grundsätze und Regeln hin. Darüber hinaus stellt dieser Verhaltenskodex ein wichtiges Bindeglied zu den Lieferanten dar und soll die hohen Ansprüche der Energie AG an ihre Geschäftspartner wiedergeben.
Interne und externe Überprüfungen haben insbesondere den Zweck, Verbesserungspotenziale und Handlungsbedarf aufzuzeigen, sodass eine sukzessive Weiterentwicklung der Managementsysteme sichergestellt werden kann. Audits nehmen in diesem Zusammenhang und unter Beachtung der sich ändernden Rahmenbedingungen einen speziellen Stellenwert in der Energie AG ein.
Compliance-Management-System
Um Compliance wirksam im Unternehmen zu verankern, wurden ein Compliance-Management-System etabliert, entsprechende Regelwerke erarbeitet sowie Schulungs- und bewusstseinsbildende Maßnahmen durchgeführt. Inhalte, Verantwortlichkeiten, Kompetenzverteilungen, Dokumentations- und Berichtspflichten wurden festgelegt. Informationen hinsichtlich Compliance werden den Mitarbeiter:innen unter anderem via E-Learning und Präsenzschulungen vermittelt. Die Mitarbeiter:innen können selbstständig entscheiden, wann sie E-Learning-Module nutzen möchten und diese somit optimal in ihren Berufsalltag integrieren.
Whistleblowing – Hinweisgebersystem
GRI
Mitarbeiter:innen können den Verdacht von Compliance-Verstößen dem Compliance-Beauftragten auch anonym über das in der Energie AG in Österreich eingerichtete, webbasierte Hinweisgebersystem melden. Darüber hinaus stehen für Mitarbeiter:innen und externe Personen weitere Meldekanäle wie eine Compliance-E-Mailadresse und eine Compliance-Telefonnummer zur Verfügung. An anderer Stelle im Konzern eingegangene Verdachtsmeldungen (auch von externen Personen) sind dem Compliance-Beauftragten unverzüglich weiterzuleiten. Allen Hinweisgeber:innen wird strenge Vertraulichkeit sowohl hinsichtlich ihrer Person als auch hinsichtlich des Inhalts der Meldung zugesichert; die Verarbeitung der Meldungen erfolgt nach den datenschutzrechtlichen Vorgaben. Im Geschäftsjahr 2022/2023 sind keine Meldungen über das Energie AG-interne Hinweisgebersystem „Tell Me!“ eingelangt. Es wurden auch keine Compliance-Fälle über externe Meldekanäle bekannt.
Das Monitoring der relevanten nationalen und europäischen Gesetzesgrundlagen erfolgt durch die Expert:innen der Rechtskompetenzbereiche und gehört zu den Due-Diligence-Maßnahmen des Energie AG-Konzerns. Bei konzernweit relevanten Themen ist die Compliance-Organisation eingebunden.
Die Rechtsabteilung dient hierbei als einer von mehreren Multiplikatoren und informiert die jeweiligen Fachbereiche und Gesellschaften über neue juristische Entwicklungen. Der Besuch von Seminaren, Fachtagungen, die Mitwirkung in diversen Ausschüssen und die damit verbundene Beachtung der aktuellen Rechtsentwicklungen/Gesetzesvorhaben sowie Besuche der einzelnen Standorte vermitteln Rechtssicherheit und sorgen für die Einhaltung der geltenden Vorschriften.
Internes Kontrollsystem
Informationen zum internen Kontrollsystem der Energie AG sind im Konzernlagebericht, Internes Kontrollsystem enthalten.
Antikorruption
GRI
Die Organe und Mitarbeiter:innen der Energie AG sind dem Amtsträgerbegriff im Sinne des Korruptionsstrafrechts unterstellt. Die umfassenden Compliance-Vorgaben des Energie AG-Konzerns zur Korruptionsprävention werden durch laufende Schulungen als eine der Due-Diligence-Maßnahmen konzernweit umgesetzt. Das in Österreich angebotene Lernmodul „Antikorruption“ haben bisher 81,0 % der österreichischen Mitarbeiter:innen absolviert (Vorjahr: 80,0 %).
Im Energie AG-Konzern gab es im Geschäftsjahr 2022/2023 sowie in den Vorjahren keine bestätigten Vorfälle von Korruption, die eine Entlassung oder Abmahnung zur Folge hatten. Darüber hinaus wurden keine Verstöße im Zusammenhang mit Korruption bei Geschäftspartnern bestätigt.
Kartellrechtliche Compliance
GRI
Die Energie AG bekennt sich vorbehaltlos zu einem fairen Wettbewerb mit ihren Mitbewerbern, Geschäftspartnern und sonstigen Marktteilnehmern. Der Kartellrechtsleitfaden richtet sich mit seinen Ausführungen zum gebotenen Marktverhalten primär an die vertriebsorientierten Unternehmensbereiche und steht allen Mitarbeiter:innen im Energie AG-Konzern auch via Intranet zur Verfügung. Zum Thema Kartellrecht/Wettbewerbsrecht besteht seit dem Geschäftsjahr 2018/2019 konzernweit ein Lernmodul, um neu eingetretene und vertrieblich agierende Mitarbeiter:innen das Thema in einer gut aufbereiteten Form und nachweislich zugänglich zu machen. Die Zielgruppen für die Absolvierung des Lernmoduls sind vorrangig alle Vertriebs- und vertriebsnahen Unternehmensbereiche sowie der Beschaffungsbereich.
Die im Jahr 2021 eingeleiteten, österreichweiten Ermittlungen der Bundeswettbewerbsbehörde (BWB) in der Abfallwirtschaftsbranche dauern weiter an. Die Umwelt Service GmbH wirkt an der Aufklärung aktiv mit und hat einen Bericht eingereicht. Die Reaktion der BWB darauf ist noch ausständig. Abgesehen davon gab es keine weiteren kartellrechtlichen Vorkommnisse.
Datenschutz
GRI
Mit einem Datenschutz-Management-System stellt die Energie AG sicher, dass die Vorgaben der seit Mai 2018 wirksamen Datenschutz-Grundverordnung (EU 2016/679, DSGVO) und des neuen österreichischen Datenschutzgesetzes (DSG 2018) konzernweit umgesetzt und eingehalten werden.
Die Datenschutzpolitik der Energie AG stellt den wesentlichen Handlungsrahmen des Datenschutz-Management-Systems dar. Die Energie AG ist sich des Vertrauens bewusst, das ihre Kund:innen in sie setzen. Deshalb ist der sichere, integre und vertrauensvolle Umgang mit personenbezogenen Daten oberste Prämisse des täglichen Handelns.
Mittels der implementierten Datenschutzprozesse werden begründete Beschwerden in Bezug auf die Verletzung des Schutzes von Kundendaten erfasst, bearbeitet und gegebenenfalls Korrekturmaßnahmen ergriffen. Im abgelaufenen Geschäftsjahr wurde, wie im Vorjahr, keine melderelevante Datenschutzverletzung gemäß Artikel 33 DSGVO identifiziert.
Seit einer im Herbst 2019 gestarteten Awareness-Kampagne werden die Mitarbeiter:innen unter anderem für den sorgsamen Umgang mit personenbezogenen Daten sowie mögliche Gefahren (Cyberkriminalität etc.) sensibilisiert. Ziel der Kampagne ist es, das Bewusstsein der Mitarbeiter:innen für die Informationssicherheit zu steigern. Je Quartal wurde dafür ein Thema der Informationssicherheit mit diversen Materialien wie Plakaten, Flyern und E-Learnings vorgestellt. Der Fokus lag dabei besonders auf Phishing, Mail- und Internet-Security, weshalb die Awareness-Kampagne durch einen praktischen Teil (Friendly Phishing) ergänzt wurde.
Förderung des Bewusstseins für Compliance
Die Förderung des Bewusstseins für Compliance bei den Mitarbeiter:innen liegt in der Verantwortung der Führungskräfte. Die Energie AG stellt sicher, dass ihre Mitarbeiter:innen die Compliance-Vorgaben sowie die Werte aus dem Verhaltenskodex „So denken wir so handeln wir“ kennen und leben. Der Vorstand hat im Rahmen der jährlich zu definierenden Ziele die Möglichkeit, mit den Führungskräften messbare und beeinflussbare Compliance-Ziele hinsichtlich Führungsperformance zu vereinbaren. Darüber hinaus bestätigen die Führungskräfte die Einhaltung der gültigen und verpflichtenden Compliance-Bestimmungen der Energie AG im Rahmen dieser individuellen Zielvereinbarungen.
Die Netz OÖ GmbH hat dem Verhalten ihrer Geschäftsführung und ihrer Mitarbeiter:innen in Zusammenhang mit Lobbying-Tätigkeiten einen eigenen Verhaltenskodex gemäß § 7 LobbyG zugrunde gelegt. Aufgrund ihrer gesetzlichen Verpflichtung hat die Netz OÖ GmbH als Verteilernetzbetreiber für das Strom- und Gasnetz ein Gleichbehandlungsprogramm erstellt und eine Gleichbehandlungsbeauftragte ernannt.
Compliance-Forum
Um eine nachvollziehbare Bearbeitung von Compliance-Anfragen sicherzustellen, wurde das Compliance-Forum eingerichtet. Durch regelmäßige Treffen ist für den erforderlichen Informationsaustausch gesorgt und eine konzernweit einheitliche Behandlung der Compliance-relevanten Themen gewährleistet. Alle Konzernbereiche haben die Möglichkeit, Compliance-Anfragen zu stellen und Compliance-Beratung in Anspruch zu nehmen.
Compliance-Kontrollen
Das Compliance-Management-System regelt den systematischen Zugang zu Compliance und legt Inhalte, Verantwortlichkeiten, Kompetenzverteilungen, Dokumentations- und Berichtspflichten fest. Das Kernstück für gesetzes- und richtlinien-konformes Handeln bildet der Verhaltenskodex „So denken wir so handeln wir“. Mit der Einrichtung des Compliance-Management-Systems stellt die Energie AG sicher, dass die in diesem Verhaltenskodex festgeschriebenen Grundsätze umgesetzt werden. Die Umsetzung bedarf regelmäßiger Compliance-Kontrollen, die dahingehend auf Konzernebene erstmalig im Geschäftsjahr 2022/2023 implementiert und im Rahmen der Prüfungsausschusssitzung am 27.06.2023 berichtet wurden. Compliance-Kontrollen adressieren die Management-, Geschäfts- und Serviceprozesse und basieren auf definierten Compliance-Risiken auf Ebene dieser Prozesse.
Informationssicherheitsmanagement
Um die bedarfsgerechte, kontinuierliche Servicierung der Kund:innen und anderer Stakeholder verlässlich gewährleisten zu können, betreibt die Energie AG seit Jahren ein konzernweites, umfassendes Informationssicherheitsmanagement. Gerade im Zeitalter von Digitalisierung und Cyber-Attacken kommt der Erkennung und Abwehr derartiger Risiken und Angriffe hohe Bedeutung zu. Zur risikobasierten Bewertung erfolgt konzernweit eine Analyse der Auswirkungen auf die Prozesslandschaft (Business-Impact-Analyse). Diese wird im neu etablierten Governance-Risk-Compliance-(GRC-)System durchgeführt und ist die Ausgangsbasis für die nachgelagerte Risikobewertung. Hierbei analysiert und bewertet die Energie AG ihre Informationssicherheitsrisiken systematisch und periodisch, nimmt eine Risikopositionierung vor und setzt effektive Maßnahmen zur Kontrolle bzw. Reduktion dieser Risiken.
Die im Geschäftsjahr 2018/2019 abgeschlossene und nunmehr aktualisierte Cyberrisiko- und Vertrauensschadensversicherung ist in die Informationssicherheitsmanagement-Risikobewertung 2022/2023 eingeflossen. Schlüsselbereiche verfügen über ein Informationssicherheits-Managementsystem (ISMS), sind nach ISO 27001:2013 zertifiziert und werden regelmäßig überprüft. Ein Überwachungsaudit gemäß ISO 27001:2013 fand im Geschäftsjahr 2022/2023 in der Business Services GmbH – Abteilung Konzern-IT-Services – statt. Die auf dem Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – (NISG) beruhenden Vorgaben wurden zeitgerecht und schrittweise in den betroffenen Bereichen umgesetzt. Über die konzernweite Bewusstseinskampagne „Schlaufuchs“ werden die Anwender:innen regelmäßig proaktiv über Gefahren und Risiken im Zusammenhang mit Informationssicherheit informiert sowie jährliche (elektronische) Schulungsprogramme angeboten. Im Rahmen eines konzernweiten Assessment- und Governance Projekts werden die Anforderungen der Nachfolgeregelungen zum NISG („NIS 2“) analysiert und strukturiert von den verantwortlichen Bereichen adressiert. Dabei profitiert die Energie AG von den bereits hohen Reifegraden der unterschiedlichen Konzerngesellschaften.
Ergänzend setzt die Energie AG zahlreiche technische Maßnahmen zur Etablierung und Erhaltung eines adäquaten Sicherheitsniveaus um. Da es aber selbst bei höchsten Anstrengungen keine absolute Sicherheit in Bezug auf moderne Technologien im Bereich Informations- und Kommunikationsdienstleistungen gibt und somit immer ein gewisses Restrisiko bleibt, verfügt die Energie AG über ein entsprechendes Notfall- und Krisenmanagement, um im Störungsfall möglichst rasch wieder einen geordneten Betrieb und die Versorgung der Kund:innen sicherstellen zu können.