Compliance-Management in der K+S Gruppe

Transkript

1 Compliance-Management in der K+S Gruppe Erlassen durch Beschluss des Vorstands der K+S Aktiengesellschaft vom

2 Richtlinie Compliance-Management in der K+S Gruppe 2 von 19 Inhalt 1 Zielsetzung 4 2 Geltungsbereich 4 3 Regelungsverantwortung 4 4 Organisatorische Verantwortlichkeiten Allgemeines Chief Compliance Officer Compliance-Beauftragte Gruppengesellschaften Geschäftsbereiche Compliance-Ausschuss 7 5 Compliance-Management-Prozess Risikoidentifizierung Brutto-Risikobewertung Gegensteuerungsmaßnahmen Netto-Risikobewertung Risikosteuerung Überprüfung bereits identifizierter Risiken 11 6 Geschäftspartner-Compliance Sanktionslisten-Checks Sonstige Integritätschecks Durchführung eines Integritätschecks Auswertung eines Integritätschecks 13 7 Umgang mit Compliance-Verstößen Meldung von Compliance-Verstößen Untersuchung von Compliance-Verstößen Vorgehen bei festgestellten Compliance-Verstößen 14 8 Dokumentation 15

3 Richtlinie Compliance-Management in der K+S Gruppe 3 von 19 9 Berichtswesen Berichterstattung über wesentliche Compliance-Verstöße Jährliche Berichterstattung an den Vorstand Compliance-Erklärung Ermächtigung Inkrafttreten 16 Anlage 1 17 Anlage 2 18 Anlage 3 19

4 Richtlinie Compliance-Management in der K+S Gruppe 4 von 19 1 Zielsetzung Mit dieser Richtlinie wird ein Managementsystem vorgegeben, dessen Ziel es ist, die Einhaltung der zwingenden gesetzlichen Vorschriften, internen Regelungen und vom Unternehmen anerkannten regulatorischen Standards ( Compliance ) sicherzustellen und aus Compliance- Verstößen resultierende straf- und bußgeldrechtliche Sanktionen sowie Schadensersatzansprüche gegen eine Gruppengesellschaft, Mitglieder der Leitungsorgane/Aufsichtsgremien oder Mitarbeiter sowie sonstige direkte oder indirekte (insbesondere durch Imageschäden verursachte) negative Einflüsse auf die Vermögens-, Finanz- oder Ertragslage der K+S Gruppe zu vermeiden, indem Compliance-Risiken rechtzeitig identifiziert und bewertet sowie Maßnahmen zur Verminderung ihrer Eintrittswahrscheinlichkeit sowie ihres Schadenspotentials ergriffen werden. Darüber hinaus soll eine strukturierte interne Compliance-Berichterstattung sichergestellt werden. 2 Geltungsbereich Diese Richtlinie gilt für die gesamte K+S Gruppe, d. h. für die K+S Aktiengesellschaft (K+S AG) und die Gruppengesellschaften, d. h. diejenigen Beteiligungsgesellschaften, an denen der K+S AG unmittelbar oder mittelbar die Mehrheit der Stimmrechte zusteht oder auf die sie per Gesetz, Satzung oder Vertrag in sonstiger Weise unmittelbar oder mittelbar einen beherrschenden Einfluss ausübt und dadurch die Umsetzung dieser Richtlinie anweisen kann. 3 Regelungsverantwortung Die Einheit Governance, Risk, Compliance; Corporate Secretary der K+S AG nachfolgend C-GS ist für die Erarbeitung, Aktualisierung und Kommunikation der Richtlinie verantwortlich. 4 Organisatorische Verantwortlichkeiten 4.1 Allgemeines Compliance ist integrierter Bestandteil der Unternehmenskultur und damit Aufgabe und Verpflichtung jedes Mitarbeiters. Von den Führungskräften wird erwartet, dass sie mit gutem Beispiel vorangehen.

5 Richtlinie Compliance-Management in der K+S Gruppe 5 von 19 Die Leitungsorgane der Gruppengesellschaften, die für die Geschäftsbereiche zuständigen Mitglieder des Vorstands und die Leiter der dem Vorstand unmittelbar unterstellten Einheiten der K+S AG haben in ihrem jeweiligen Verantwortungsbereich durch entsprechende organisatorische Maßnahmen die Umsetzung der Anforderungen dieser Richtlinie sicherzustellen und insbesondere die Funktionsfähigkeit des Compliance-Management-Prozesses sowie der Compliance-Berichterstattung zu gewährleisten. 4.2 Chief Compliance Officer Der Leiter der Einheit C-GS nimmt die Funktion des Chief Compliance Officers der K+S Gruppe (CCO) mit folgenden Aufgaben und Befugnissen wahr: kontinuierliche, konzeptionelle Weiterentwicklung eines zur Erreichung der Zielsetzung gemäß Ziffer 1 geeigneten gruppenweiten Compliance-Management-Systems unter Berücksichtigung der externen und internen Entwicklungen Erarbeitung von Rahmenvorgaben für das Compliance-Management innerhalb der K+S Gruppe (Regelungsverantwortung) gruppenweite Koordination des Compliance-Managements, insbesondere der Tätigkeit der Compliance-Beauftragten Beratung des Vorstands sowie der Gruppengesellschaften/Geschäftsbereiche in gruppenübergreifenden Fragen des Compliance-Managements Einsichtnahme in Unterlagen sowie Verlangen von Auskünften, soweit dies zur Wahrnehmung der Aufgaben erforderlich ist. Der CCO erhält Gelegenheit zur Stellungnahme vor Erlass von internen Regelungen sowie vor der gruppenweiten Anerkennung von regulatorischen Standards durch den Vorstand und wird von diesem in Entscheidungen einbezogen, die die Beurteilung von möglichen Compliance- Risiken erfordern.

6 Richtlinie Compliance-Management in der K+S Gruppe 6 von Compliance-Beauftragte Gruppengesellschaften Für jede Gruppengesellschaft ist von dem Leitungsorgan ein fachlich und persönlich geeigneter Compliance-Beauftragter schriftlich zu bestellen, dem mindestens folgende Aufgaben und Befugnisse zu übertragen sind: Erarbeitung von Regelungen zur Spezifizierung der gruppenweiten Rahmenvorgaben für das Compliance-Management innerhalb der Gruppengesellschaft (Regelungsverantwortung) Koordination des Compliance-Management-Prozesses innerhalb der Gruppengesellschaft (einschließlich der Tätigkeit von ggf. bestellten Compliance-Beauftragten für Teileinheiten) Beratung des Leitungsorgans sowie der Einheiten der Gruppengesellschaft in compliancerelevanten Angelegenheiten, insbesondere Unterstützung bei der Identifizierung und Bewertung von Compliance-Risiken sowie beim Umgang mit Compliance-Verstößen Berichterstattung über die Gruppengesellschaft betreffende Compliance-Risiken und Compliance-Verstöße an den Compliance-Beauftragten des Geschäftsbereichs bzw. soweit die Gruppengesellschaft keinem Geschäftsbereich zugeordnet ist an den CCO Einsichtnahme in Unterlagen sowie Verlangen von Auskünften, soweit dies zur Wahrnehmung der Aufgaben erforderlich ist. Der Compliance-Beauftragte erhält Gelegenheit zur Stellungnahme vor Erlass von internen Regelungen sowie vor Abschluss von (Gesamt-)Betriebsvereinbarungen und vor Anerkennung von regulatorischen Standards durch das Leitungsorgan und wird von diesem in Entscheidungen einbezogen, die die Beurteilung von möglichen Compliance-Risiken erfordern. Die Funktion des Compliance-Beauftragten nimmt - solange keine ausdrückliche anderweitige Bestellung erfolgt ist für Gruppengesellschaften oder Teileinheiten einer Gruppengesellschaft, die einem Geschäftsbereich zugeordnet sind, der für den betreffenden Geschäftsbereich bestellte Compliance-Beauftragte und für Gruppengesellschaften, die keinem Geschäftsbereich zugeordnet sind, der Leiter der Einheit, die nach der Richtlinie Beteiligungsmanagement in der K+S Gruppe für das Beteiligungscontrolling der betreffenden Gruppengesellschaft zuständig ist mit den vorgenannten Aufgaben und Befugnissen wahr.

7 Richtlinie Compliance-Management in der K+S Gruppe 7 von 19 Die Funktion des Compliance-Beauftragten der K+S AG (mit Ausnahme der Einheiten, die einem Geschäftsbereich zugeordnet sind) nimmt der Leiter der Einheit C-GS wahr Geschäftsbereiche Für jeden Geschäftsbereich ist von dem zuständigen Mitglied des Vorstands ein fachlich und persönlich geeigneter Compliance-Beauftragter schriftlich zu bestellen, dem mindestens folgende Aufgaben und Befugnisse zu übertragen sind: Erarbeitung von Regelungen zur Spezifizierung der gruppenweiten Rahmenvorgaben für das Compliance-Management innerhalb des Geschäftsbereichs (Regelungsverantwortung) Koordination des Compliance-Management-Prozesses innerhalb des Geschäftsbereichs (einschließlich der Tätigkeit der Compliance-Beauftragten der dem Geschäftsbereich zugeordneten Gruppengesellschaften) Beratung des für den Geschäftsbereich zuständigen Mitglieds des Vorstands in compliancerelevanten Angelegenheiten, insbesondere Unterstützung bei der Identifizierung und Bewertung von Compliance-Risiken sowie beim Umgang mit Compliance-Verstößen Berichterstattung über den Geschäftsbereich betreffende Compliance-Risiken und Compliance-Verstöße an den CCO Einsichtnahme in Unterlagen sowie Verlangen von Auskünften, soweit dies zur Wahrnehmung der Aufgaben erforderlich ist. Der Compliance-Beauftragte erhält Gelegenheit zur Stellungnahme vor Erlass von internen Regelungen durch das für den Geschäftsbereich zuständige Mitglied des Vorstands und wird von diesem in Entscheidungen einbezogen, die die Beurteilung von möglichen Compliance- Risiken erfordern. 4.4 Compliance-Ausschuss Der zentrale Compliance-Ausschuss hat die Aufgabe, allgemeine Themen des Compliance- Managements zu beraten und gruppenweit abzustimmen sowie die generelle Eignung des Compliance-Management-Systems zur Erreichung der sich aus Ziffer 1 ergebenden Zielsetzung regelmäßig zu analysieren und bei erkanntem Anpassungsbedarf gegenüber dem jeweils verantwortlichen Management Handlungsempfehlungen auszusprechen. Der CCO hat in dem Ausschuss den Vorsitz. Ihm gehören die Compliance-Beauftragten der Geschäftsbereiche sowie weitere vom CCO zu benennende Mitglieder (Leiter von Einheiten der K+S AG mit compliance-relevanten Funktionen) an.

8 Richtlinie Compliance-Management in der K+S Gruppe 8 von 19 Soweit notwendig oder zweckmäßig sollten auf Geschäftsbereichsebene oder geschäftsbereichsübergreifend regionale (z. B. Europa, Nordamerika, Südamerika) Ausschüsse ähnlicher Art gebildet werden. 5 Compliance-Management-Prozess Jede Organisationseinheit der K+S Gruppe trägt dafür Sorge, dass Compliance-Verstöße, die straf- und bußgeldrechtliche Sanktionen gegen eine Gruppengesellschaft, Mitglieder der Leitungsorgane/Aufsichtsgremien oder Mitarbeiter und/oder direkt oder indirekt einen negativen Einfluss auf die Vermögens-, Finanz- oder Ertragslage der K+S Gruppe zur Folge haben können ( Schadenspotential ) und den jeweiligen Verantwortungsbereich der Einheit betreffen, rechtzeitig identifiziert und bewertet sowie mögliche Maßnahmen zur Verminderung ihres Schadenspotentials und/oder ihrer Eintrittswahrscheinlichkeit beschrieben und ggf. umgesetzt werden. Unabdingbare Voraussetzung für die Identifizierung und Vermeidung von Compliance- Verstößen ist die fortlaufende Beobachtung der jeweils relevanten Gesetzgebung und Rechtsprechung sowie das Vertraut machen der Mitglieder von Leitungsorganen/Aufsichtsgremien und der Mitarbeiter mit dem für sie relevanten rechtlichen Umfeld und den einschlägigen internen Regelungen. 5.1 Risikoidentifizierung Mindestens die in Anlage 1 aufgeführten Beobachtungsfelder sind fortlaufend auf mögliche Compliance-Risiken, die den Aufgabenbereich der jeweiligen Einheit betreffen, zu untersuchen. 5.2 Brutto-Risikobewertung Für erstmalig identifizierte Risiken ist zunächst eine Bewertung ihres Schadenspotentials und ihrer Eintrittswahrscheinlichkeit vor Durchführung evtl. Gegensteuerungsmaßnahmen jeweils für einen kurz-, mittel- und langfristigen Betrachtungszeitraum, d. h. für die kommenden 12, 36 und 120 Monate (jeweils ab dem Zeitpunkt der Risikoidentifikation) durchzuführen ( Brutto- Bewertung ). Soweit erforderlich sind alternative Szenarien zu bewerten.

9 Richtlinie Compliance-Management in der K+S Gruppe 9 von 19 Die Wahrscheinlichkeit des Eintritts des betreffenden Risikos innerhalb jedes der drei Betrachtungszeiträume ist jeweils einer der nachfolgenden Kategorien zuzuordnen ( Brutto- Eintrittswahrscheinlichkeit ): < 10 % (unwahrscheinlich) 10 % - 25 % (weniger möglich) > 25 % - 50 % (möglich) > 50 % - 75 % (wahrscheinlich) > 75 % (sehr wahrscheinlich). Dabei ist allein auf die Wahrscheinlichkeit eines Compliance-Verstoßes, nicht jedoch auf die Wahrscheinlichkeit seiner Aufdeckung und Sanktionierung abzustellen. 5.3 Gegensteuerungsmaßnahmen Mindestens für Compliance-Risiken, a) die zu straf- oder bußgeldrechtlichen Sanktionen führen können und/oder b) die ein Brutto-Schadenspotential im langfristigen Betrachtungsraum von > 100 Mio. und eine Brutto-Eintrittswahrscheinlichkeit von > 10 % oder von > 50 Mio. und eine Brutto-Eintrittswahrscheinlichkeit von > 25 % im mittelfristigen Betrachtungsraum von > 25 Mio. und eine Brutto-Eintrittswahrscheinlichkeit von > 10 % oder von > 10 Mio. und eine Brutto-Eintrittswahrscheinlichkeit von > 25 % im kurzfristigen Betrachtungszeitraum von > 5 Mio. und eine Brutto-Eintrittswahrscheinlichkeit von > 10 % oder von > 0,5 Mio. und eine Brutto-Eintrittswahrscheinlichkeit von > 25 % aufweisen und/oder die unabhängig von Betrachtungszeitraum und Brutto-Schadenspotential eine Brutto- Eintrittswahrscheinlichkeit von > 10 % haben und für die betreffende Gruppengesellschaft bestandsgefährdend sein können, sind mögliche Gegensteuerungsmaßnahmen zu erarbeiten und zu beschreiben. Dabei ist zwischen Maßnahmen zu unterscheiden, die vorbeugend zur Vermeidung/ Verminderung des Schadenspotentials und/oder der Eintrittswahrscheinlichkeit ( proaktive Gegensteuerungsmaßnahmen ), und solchen, die im Fall der Eintritts des betreffenden Risikos zur Vermin-

10 Richtlinie Compliance-Management in der K+S Gruppe 10 von 19 derung des Schadenspotentials ( reaktive Gegensteuerungsmaßnahmen ) ergriffen werden können. Die voraussichtlichen Durchführungskosten sind zu ermitteln. Proaktive Maßnahmen können z. B. sein: Anpassung geplanter Projekte, Maßnahmen, Vertragsabschlüsse etc. oder Verzicht auf die Durchführung organisatorische oder technische Prozessveränderungen Schulungen der Mitglieder von Leitungsorganen/Aufsichtsgremien sowie der relevanten Mitarbeiter Einrichtung von Meldesystemen ( Hotlines ) Anpassung bestehender bzw. Einrichtung neuer Kontrollsysteme, Berechtigungskonzepte, Auditverfahren, Vertragsgestaltungen etc. Beschaffung von Versicherungsdeckung für den Schadensfall. Reaktive Maßnahmen können z. B. sein: Selbstanzeigen Zusammenarbeit mit Ermittlungsbehörden. 5.4 Netto-Risikobewertung Anschließend ist das Schadenspotential analog zum Vorgehen nach Ziffer 5.2 erneut unter der Annahme zu bewerten, dass die möglichen proaktiven Gegensteuerungsmaßnahmen ( Netto- Schadenspotential I ) und zusätzlich die möglichen reaktiven Gegensteuerungsmaßnahmen ( Netto-Schadenspotential II ) vollständig umgesetzt werden. Ferner ist die Eintrittswahrscheinlichkeit analog zum Vorgehen nach Ziffer 5.2 erneut unter der Annahme zu bewerten, dass die möglichen proaktiven Gegensteuerungsmaßnahmen vollständig umgesetzt werden ( Netto-Eintrittswahrscheinlichkeit ). 5.5 Risikosteuerung Nach Vorliegen der Brutto-Risikobewertung, der Beschreibung möglicher Gegensteuerungsmaßnahmen einschließlich ihrer Umsetzungskosten und der Netto-Risikobewertung ist von der verantwortlichen Einheit unter Einbeziehung des zuständigen Compliance-Beauftragten und Beachtung ggf. bestehender Abstimmungserfordernisse und Zustimmungsvorbehalte darüber zu entscheiden, ob ein Risiko ohne weitere Maßnahmen getragen wird oder ob - und wenn ja,

11 Richtlinie Compliance-Management in der K+S Gruppe 11 von 19 welche und zu welchem Zeitpunkt - proaktive Gegensteuerungsmaßnahmen durchgeführt werden. Bei der dazu vorzunehmenden Abwägung ist insbesondere auf ein angemessenes Verhältnis der zur Durchführung von Gegensteuerungsmaßnahmen aufzuwendenden Kosten im Vergleich mit dem Umfang der damit erzielbaren Verringerung des Schadenspotentials und/oder der Eintrittswahrscheinlichkeit zu achten. Hinsichtlich der Eintrittswahrscheinlichkeit ist von einem angemessenen Verhältnis in der Regel nur dann auszugehen, wenn mit der Durchführung von Gegensteuerungsmaßnahmen mindestens die Einstufung des Risikos in die nächstniedrige Kategorie erreicht werden kann. 5.6 Überprüfung bereits identifizierter Risiken Die für bereits identifizierte Risiken durchgeführten Bewertungen sowie die beschriebenen und ggf. durchgeführten Gegensteuerungsmaßnahmen sind bei wesentlichen Änderungen der internen oder externen Rahmenbedingungen mindestens aber halbjährlich für die drei Betrachtungszeiträume (Beginn ist jeweils der Zeitpunkt der Überprüfung) analog dem Vorgehen nach den Ziffern 5.2 bis 5.5 auf ihre Aktualität und Wirksamkeit zu überprüfen und ggf. anzupassen. 6 Geschäftspartner-Compliance Aus der Zusammenarbeit der Gruppengesellschaften mit Geschäftspartnern, insbesondere Kunden, Lieferanten, Handelsvertretern und Beratern können sich erhebliche Haftungs- und Reputationsrisiken für die K+S Gruppe sowie die Leitungsorgane und Mitarbeiter der Gruppengesellschaften ergeben, wenn sich Geschäftspartner nicht gesetzeskonform verhalten. Insbesondere im Falle eines korrupten Verhaltens des Geschäftspartners bestehen erhebliche Risiken. Die nachfolgenden Bestimmungen regeln, in welchen Fällen und in welcher Weise ein Integritätscheck durchzuführen und wie mit den Ergebnissen eines solchen Integritätschecks umzugehen ist. 6.1 Sanktionslisten-Checks Die Gruppengesellschaften haben vorzugsweise durch die Verwendung automatisierter Verfahren sicherzustellen, dass zu natürlichen und juristischen Personen, die von Sanktionslisten erfasst werden, die nach dem entsprechenden Landesrecht für die jeweilige Gruppenge-

12 Richtlinie Compliance-Management in der K+S Gruppe 12 von 19 sellschaft maßgeblich sind, keine Geschäftsbeziehungen aufgenommen oder aufrecht erhalten werden. Entsprechendes gilt für Geschäftsbeziehungen zu natürlichen und juristischen Personen, die von einer Sanktionsliste erfasst werden, die durch die vom CCO veranlasste Veröffentlichung im K+S Portal als für alle Gruppengesellschaften verbindlich festgelegt wurde. 6.2 Sonstige Integritätschecks Für sonstige Integritätschecks gilt - vorbehaltlich weitergehender spezialgesetzlicher Anforderungen Folgendes: Jede für die Beziehung zu einem Geschäftspartner verantwortliche Einheit ist gehalten, Anhaltspunkten für ein nicht regelkonformes Verhalten von Geschäftspartnern nachzugehen. Unabhängig von dieser stets zu beachtenden allgemeinen Sorgfalt im Umgang mit Geschäftspartnern ist ein systematischer Integritätscheck durchzuführen, wenn Kenntnis von einem oder mehreren der nachfolgenden Anhaltspunkte erlangt wurde und es um die Aufnahme neuer oder die erhebliche Ausweitung bestehender Geschäftsbeziehungen zu Geschäftspartnern geht: Der Geschäftspartner hat seinen Sitz oder seine Hauptniederlassung in einem Staat, in dem Korruption im geschäftlichen Verkehr weit verbreitet ist. Der Geschäftspartner verlangt anlässlich der Eingehung oder Ausweitung der Geschäftsbeziehung Provisionszahlungen, Rabatte oder sonstige Sonderzahlungen oder Sonderkonditionen, die dazu führen, dass Leistung und Gegenleistung in keinem angemessenen Verhältnis mehr zueinander stehen. Der Geschäftspartner verlangt Barzahlung oder Zahlung auf Nummernkonten oder an Banken in sogenannten "Steuerparadiesen". Der Geschäftspartner verfügt an der angegebenen Geschäftsadresse nicht über eigene Geschäftsräume oder lediglich über Geschäftsräume, die nach Art und Umfang der Geschäftstätigkeit völlig unangemessen erscheinen. Das Management des Geschäftspartners ist auffällig geworden im Zusammenhang mit Wirtschafts- oder Steuerdelikten. 6.3 Durchführung eines Integritätschecks Folgende Informationen zum Geschäftspartner sind - soweit zur Integritätsprüfung erforderlich - einzuholen: Unternehmensstruktur, -organisation und -aktivitäten Gesellschafterstruktur und wirtschaftlich Berechtigte

13 Richtlinie Compliance-Management in der K+S Gruppe 13 von 19 bisheriges Fehlverhalten oder Gesetzesverstöße des Geschäftspartners oder der verantwortlich für den Geschäftspartner agierenden Personen Verbindungen des Geschäftspartners oder der für ihn verantwortlich handelnden Personen zu Amtsträgern oder Politikern Üblichkeit der Geschäftspraktiken des Geschäftspartners seit wann der Geschäftspartner besteht und er ausreichend kreditwürdig erscheint. Zur Durchführung der Prüfung sind möglichst viele verfügbare Informationsquellen auszuschöpfen. Neben subjektiven Informationsquellen wie Selbstdarstellung des Geschäftspartners oder Referenzen Dritter sollen nach Möglichkeit auch objektive Informationsquellen wie Datenbank- oder Registerauskünfte herangezogen werden. Die nachfolgende Liste zeigt mögliche Informationsquellen auf: Selbstdarstellung des Geschäftspartners Referenzen von Dritten innerhalb der K+S Gruppe aufgrund früherer Zusammenarbeit einholbare Informationen sonstige Berichte über den Geschäftspartner sowie über die für ihn verantwortlich handelnden Personen oder über das jeweilige Geschäftsgebaren öffentliche Register und Datenbankauskünfte. 6.4 Auswertung eines Integritätschecks Die im Rahmen des Integritätschecks gewonnenen Informationen sind in Abstimmung mit dem zuständigen Compliance-Beauftragten und der zuständigen Rechts- bzw. Steuerabteilung auszuwerten und zu würdigen. Ergeben sich hiernach Zweifel an der Integrität des (potenziellen) Geschäftspartners, muss die (beabsichtigte) Zusammenarbeit kritisch hinterfragt und gegebenenfalls verworfen werden. 7 Umgang mit Compliance-Verstößen 7.1 Meldung von Compliance-Verstößen Jeder Mitarbeiter ist aufgerufen, ihm bekannte Compliance-Verstöße bzw. konkrete Verdachtsfälle zu melden, vorzugsweise an seinen Vorgesetzten oder den zuständigen Compliance- Beauftragten. Für den Fall, dass ein Mitarbeiter anonym bleiben möchte, kann er sich über die eingerichteten Hotlines an externe Ombudsleute wenden.

14 Richtlinie Compliance-Management in der K+S Gruppe 14 von 19 Mitarbeiter oder Dritte dürfen aufgrund der Meldung eines tatsächlichen oder der gutgläubigen Meldung eines vermeintlichen Compliance-Verstoßes nicht benachteiligt werden. Soweit dem nicht zwingende gesetzliche Vorschriften entgegenstehen, sind ihnen auf Wunsch das Ergebnis der Untersuchungen und die daraus gezogenen Konsequenzen mitzuteilen. 7.2 Untersuchung von Compliance-Verstößen Liegen hinreichende Anhaltspunkte für das Vorliegen eines Compliance-Verstoßes vor, ist der jeweilige Sachverhalt von dem Leiter der betroffenen Einheit (bzw. dem Vorgesetzen des Leiters, soweit dieser selbst betroffen ist oder sein könnte) dem jeweiligen Vorgesetzten und der zuständigen Personalfunktion mitzuteilen und unter Einbeziehung des zuständigen Compliance-Beauftragten sowie ggf. der internen Revision und/oder der zuständigen (Strafverfolgungs-) Behörde aufzuklären. Betroffene Mitarbeiter sind über das Ergebnis der Untersuchungen zu informieren. 7.3 Vorgehen bei festgestellten Compliance-Verstößen Wird ein Compliance-Verstoß festgestellt, ist von der verantwortlichen Einheit unter Einbeziehung des zuständigen Compliance-Beauftragten und Beachtung ggf. bestehender Abstimmungserfordernisse und Zustimmungsvorbehalte über die Durchführung reaktiver Gegensteuerungsmaßnahmen (z. B. Selbstanzeige) sowie ggf. die Erstattung von Strafanzeigen zu entscheiden. Bei Compliance-Verstößen von Mitgliedern von Leitungsorganen/Aufsichtsgremien und Mitarbeitern sind unter Beachtung ggf. bestehender Abstimmungserfordernisse und Zustimmungsvorbehalte in der Regel - je nach Schwere des Verstoßes angemessene zivil- / arbeitsrechtliche Sanktionen zu verhängen und ggf. bestehende Schadensersatzansprüche geltend zu machen. Wird ein Compliance-Verstoß durch die Selbstbelastung von Mitgliedern von Leitungsorganen/Aufsichtsgremien und Mitarbeitern aufgedeckt, kann fallweise von Sanktionen abgesehen werden bzw. eine Sanktionsmilderung erfolgen. Dies kommt insbesondere dann in Betracht, wenn durch die Selbstbelastung weiterer Schaden vom Unternehmen abgewendet werden kann.

15 Richtlinie Compliance-Management in der K+S Gruppe 15 von 19 Entsprechendes gilt bei Compliance-Verstößen, die weder vorsätzlich noch grob fahrlässig erfolgt sind und der Verstoß in nicht vorwerfbarer Unkenntnis der Norm, gegen die verstoßen wurde, erfolgt ist oder der Verstoß begangen wurde, weil der Betroffene den relevanten Sachverhalt in nicht vorwerfbarer Weise unzutreffend beurteilt hat. In einem solchen Fall können dem betroffenen Mitglied eines Leitungsorgans / Aufsichtsgremiums oder Mitarbeiter unter Beachtung ggf. bestehender Abstimmungserfordernisse und Zustimmungsvorbehalte auch finanzielle Nachteile aus dem Compliance-Verstoß (z. B. Geldstrafen, Bußgelder, Schadensersatzzahlungen an Dritte) ganz oder teilweise durch die jeweilige Gruppengesellschaft ersetzt werden. 8 Dokumentation Mindestens für Risiken, die die Kriterien der Ziffer 5.3 b) erfüllen, sind die Durchführung der in den Ziffern 5.1 bis 5.6, 6 sowie 7.2 und 7.3 vorgegebenen Prozessschritte durch die jeweils verantwortliche Einheit unter Angabe der für die getroffenen Entscheidungen maßgeblichen Gründe nachvollziehbar zu dokumentieren. Evtl. bestehende gesetzliche Aufbewahrungsfristen (z. B. nach dem deutschen Geldwäschegesetz) sind zu beachten. 9 Berichtswesen 9.1 Berichterstattung über wesentliche Compliance-Verstöße Die Compliance-Beauftragten der Geschäftsbereiche sowie die Compliance-Beauftragten derjenigen Gruppengesellschaften, die keinem Geschäftsbereich zugeordnet sind, berichten über die Untersuchung möglicher wesentlicher Compliance-Verstöße sowie die Feststellung tatsächlicher wesentlicher Compliance-Verstöße unter Angabe des jeweiligen Sachverhalts des Schadenspotentials sowie der ggf. beabsichtigten reaktiven Gegensteuerungsmaßnahmen unverzüglich an den CCO. Soweit die entsprechenden Informationen vertraulich zu behandeln sind, ist dies kenntlich zu machen; dies gilt insbesondere für Insiderinformationen. Der CCO berichtet entsprechend an den Vorstand.

16 Richtlinie Compliance-Management in der K+S Gruppe 16 von 19 Compliance-Verstöße sind wesentlich, wenn sie strafrechtrechtliche Sanktionen gegen eine Gruppengesellschaft, Mitglieder der Leitungsorgane/Aufsichtsgremien oder Mitarbeiter zur Folge haben können und/oder ein Schadenspotential größer 0,5 Mio. Euro aufweisen und/oder das Ansehen der K+S Gruppe in der Öffentlichkeit nachhaltig schädigen können. 9.2 Jährliche Berichterstattung an den Vorstand Der CCO berichtet einmal jährlich dem Gesamtvorstand über die Eignung des Compliance- Management-Systems zur Erreichung der in Ziffer 1 beschriebenen Zielsetzung. 10 Compliance-Erklärung Die in Anlage 2 Genannten geben bis zum 31. März eines jeden Jahres gegenüber dem CCO eine Erklärung gemäß Anlage 3 ab. 11 Ermächtigung Das für die Einheit C-GS zuständige Mitglied des Vorstands wird ermächtigt, geänderte Fassungen dieser Richtlinie sowie ergänzende Regelungen zu erlassen, soweit dadurch der wesentliche Inhalt dieser Richtlinie nicht berührt wird. 12 Inkrafttreten Diese Richtlinie tritt am in Kraft und ersetzt die Richtlinien Compliance- Organisation in der K+S Gruppe und Geschäftspartner-Compliance.

17 Anlagen zur Richtlinie Compliance-Management in der K+S Gruppe 17 von 19 Anlage 1 Einhaltung der gesetzlichen Vorschriften und (ergänzenden) internen Regelungen und vom Unternehmen anerkannten regulatorischen Standards in den Bereichen: Kartell- und Wettbewerbsrecht Korruption Geldwäsche Außenhandelsrecht Umweltschutz Arbeitssicherheit, Gesundheitsschutz Produktsicherheit IT-Sicherheit, Datenschutz Gesellschaftsrecht Kapitalmarkrecht Rechnungslegung Steuerrecht Vergaberecht Vermögens- und Eigentumsdelikte ( Fraud )

18 Anlagen zur Richtlinie Compliance-Management in der K+S Gruppe 18 von 19 Anlage 2 Die jährliche Compliance-Erklärung gemäß Ziffer 10 ist abzugeben von: a) der Geschäftsführung der Chemischen Fabrik Kalk GmbH esco Verwaltungs GmbH für die Gesellschaft sowie für die esco - european salt company GmbH & Co. KG und für deren unmittelbare und mittelbare Beteiligungsgesellschaften K+S Entsorgung GmbH für die Gesellschaft und für deren unmittelbare und mittelbare Beteiligungsgesellschaften K+S Kali GmbH für die Gesellschaft und für deren unmittelbare und mittelbare Beteiligungsgesellschaften K+S Transport GmbH für die Gesellschaft und für deren unmittelbare und mittelbare Beteiligungsgesellschaften MSW-Chemie GmbH b) dem CEO der K+S Chile S.A. für die Gesellschaft und für deren unmittelbare und mittelbare Beteiligungsgesellschaften K+S Windsor Salt Ltd. K+S Potash Canada General Partnership Morton Salt, Inc. für die Gesellschaft und für deren unmittelbare und mittelbare Beteiligungsgesellschaften Salina Diamante Branco Ltda. c) den direkt dem Vorstand unterstellten Leitern der Einheiten der K+S AG.

19 Anlagen zur Richtlinie Compliance-Management in der K+S Gruppe 19 von 19 Anlage 3 Attachment 3 An den Leiter Governance, Risk, Compliance; Corporate Secretary (C-GS) K+S Aktiengesellschaft, Kassel To the Head Governance, Risk, Compliance; Corporate Secretary (C-GS) K+S Aktiengesellschaft, Kassel Compliance-Erklärung Compliance-statement Hiermit teile(n) ich/wir mit, dass ich/wir Ihnen über alle mir/uns bekannten wesentlichen Compliance-Verstöße innerhalb meines/unseres Verantwortungsbereichs aus dem Jahr gemäß Ziffer 10 der Richtlinie Compliance-Management in der K+S Gruppe berichtet habe(n). I/We hereby like to announce that I/we have reported you about all key compliance violations within my/our area of responsibility I/we know from the year in accordance with section 10 of the directive "Compliance Management in the K+S Group". Datum, Unterschrift(en) Date, Signature(s) Gesellschaft/Einheit Company/Unit