Hinweise zum Datenschutz
Im Folgenden möchten wir Sie über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen des Hinweisgebersystems der secunet Security Networks AG gemäß Art. 13 und 14 DSGVO aufklären. Die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten erfolgt, sobald Sie eine Meldung per E-Mail, Telefonanruf, Brief, persönlichem Erscheinen im Compliance Office oder über das BKMS-Hinweisgebersystem abgeben. Die rechtlichen Vorgaben für die Verarbeitung von personenbezogenen Daten ergeben sich aus der DSGVO und des Bundesdatenschutzgesetzes (BDSG). Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
Verantwortlicher/ Ihr Ansprechpartner
Ihr Ansprechpartner im Sinne der DSGVO und sonstiger in den Mitgliedsstaaten der Europäischen Union (EU) geltenden Datenschutzgesetzen ist:
secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen
Vorstand: Axel Deininger (Vorstandsvorsitzender), Torsten Henn, Dr. Kai Martius, Jessica Nospers
Tel.: +49 (0) 201 5454-0
Fax.: +49 (0) 201 5454-1000
E-Mail: info@secunet.com
Unseren Datenschutzbeauftragten erreichen Sie unter der o.g. Adresse oder unter datenschutz@secunet.com
Verarbeitete Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung oder Beschwerde abgeben, erheben wir folgende personenbezogenen Daten und Informationen:
- Ihren Namen und Ihre Kontaktdaten (geschäftlich und/oder privat), sofern Sie Ihre Identität offenlegen,
- die Tatsache, dass Sie eine Meldung getätigt haben und in welcher Form,
- weitere Daten zum Hinweis (z.B. Zeitpunkt, Inhalt und sonstige Umstände der Meldung),
- Angaben zu relevanten Sachverhalten, inklusive der von Ihnen ggf. zur Verfügung gestellten Anlagen und ggf. privat geschilderter Inhalte,
- ob Sie bei secunet beschäftigt sind,
- ggf. Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen,
- ggf. besondere Kategorien personenbezogener Daten, sofern Ihr Hinweis entsprechende Daten enthält und die Aufklärungsmaßnahmen die gesetzeskonforme Verarbeitung der Daten erforderlich machen.
Grund und Zweck der Datenverarbeitung
Die secunet Security Networks AG hat die Einhaltung der geltenden gesetzlichen Vorschriften im Rahmen ihres Geschäftsbetriebs sicherzustellen. Dies gilt für die Vorgaben des Strafrechts, des Ordnungswidrigkeitengesetzes, des Steuerrechts, des Datenschutzrechts, des Aktienrechts, des Arbeitsrechts, des Kartellrechts, des Lieferkettensorgfaltspflichtengesetzes (LkSG) und für sonstige verbindliche Rechtsvorgaben. Bei einer Verletzung der zuvor benannten gesetzlichen Vorschriften drohen der secunet Security Networks AG Geld- oder Haftstrafen, Bußgelder, Schadensersatzanforderungen oder Reputationsschäden. Um diesen entgegenzuwirken, hat der secunet Konzern geeignete Maßnahmen zur Sicherstellung der Einhaltung gesetzlicher Vorschriften und interner Regelungen im Unternehmen getroffen. Eine dieser Maßnahmen stellt das Hinweisgebersystem/ Beschwerdeverfahren dar.
Das Hinweisgebersystem dient dazu, Hinweise von Gesetzes- oder internen Regelverletzungen gegen die secunet Security Networks AG auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten. Der Zweck der Datenverarbeitung im Rahmen des Beschwerdeverfahrens ist die Annahme und Aufklärung von schwerwiegenden Verdachtsfällen über Verletzungen der menschenrechtlichen und umweltbezogenen Sorgfaltspflichten.
Die secunet Security Networks AG verarbeitet Ihre Daten im Rahmen der geltenden Gesetze insbesondere für die folgenden konkreten Compliance- und Aufklärungszwecke:
- Plausibilitätsprüfung
- ggf. Kommunikation mit dem Hinweisgeber bzw. Beschwerdeführer z.B. bei weiteren Fragen zum gemeldeten Sachverhalt
- Aufklärung von Fehlverhalten z.B. Betrugshandlungen, Korruptionsstraftaten, Kartellverstößen und sonstigen Verstößen gegen die secunet-Verhaltenskodizes
- Aufklärung von schwerwiegenden Verdachtsfällen über die Verletzung der menschenrechtlichen und umweltbezogenen Sorgfaltspflichten
- Umsetzung der gesetzlichen Pflichten z.B. §§30, 130 OWiG, §§ 93, 111 AktG
- Verhinderung von zukünftigem Fehlverhalten
- Gerichtsverfahren
- Prüfung der Relevanz für die Tochtergesellschaften
- Umsetzung der Mitwirkungspflichten
- Dokumentation von Hinweisgeber- bzw. Beschwerdeverfahren
Beabsichtigt das Compliance Office, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt es der betroffenen Person vor der Weitergabe Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Art. 13 Abs. 2 DSGVO zur Verfügung.
Rechtsgrundlagen für die Verarbeitung der Daten
Die secunet Security Networks AG kann zulässige Datenverarbeitungen im Rahmen von Aufklärungsmaßnahmen insbesondere auf die folgenden Rechtsgrundlagen stützen:
Die Verarbeitung der personenbezogenen Daten im Rahmen des Hinweisgebersystems erfolgt auf Grundlage, der für die secunet geltenden gesetzlichen Bestimmungen (Art. 6 Abs. 1 lit. c DSGVO), insbesondere des §8 des LkSGs sowie der Richtlinie 2019/1937 der EU bzw. dem Hinweisgeberschutzgesetz. Die Verarbeitung von personenbezo-genen Daten im Rahmen des Hinweisgebersystems erfolgt auf Grundlage der berechtigten Interessen von secunet an der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden und Haftungsrisiken für die secunet Security Networks AG (Art. 6 Abs. 1 lit. f DSGVO) i.V.m. §§ 30, 130 Ordnungswidrigkeitengesetz (OWiG) sowie §§ 93, 111 Aktiengesetz (AktG).
Betrifft ein eingegangener Hinweis oder eine Beschwerde einen Beschäftigten der secunet Security Networks AG, dient die Verarbeitung zudem der Verhinderung von Straftaten und sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigungsverhältnis stehen (§26 Abs. 1 BDSG).
Personenbezogene Daten des Hinweisgebers werden nur mit seiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) verarbeitet, die dadurch gegeben ist, dass der Hinweis auch anonym abgegeben werden kann.
Empfänger der personenbezogenen Daten
Wenn Sie eine Meldung über das Hinweisgebersystem der secunet Security Networks AG abgeben, werden Ihre Daten zum Zweck der Meldungsbearbeitung und Überprüfung direkt an das Compliance Office geleitet.
Das Compliance Office prüft den gemeldeten Sachverhalt und führt ggf. eine weitergehende Sachverhaltsaufklärung durch; dabei werden die Daten stets vertraulich behandelt. Bei wissentlicher Abgabe falscher Hinweise mit dem Ziel eine Person zu diskreditieren, ist die Vertraulichkeit der Daten stets gewährleistet, ggf. werden diese den zuständigen Behörden/ Stellen offengelegt.
In bestimmten Fällen besteht für die secunet Security Networks AG die gesetzliche Verpflichtung, die beschuldigte Person von den gegen sie erhobenen Vorwürfen zu informieren. Dies ist gesetzlich geboten, wenn objektiv feststeht, dass die Informationserteilung an den Beschuldigten die konkrete Hinweisaufklärung nicht mehr beeinträchtigen kann.
Dabei wird Ihre Identität als Hinweisgeber – soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf Ihre Identität gezogen werden können (Art 14 Abs. 3 lit. a DSGVO).
Sofern zur Aufklärung des Sachverhaltes erforderlich, können personenbezogene Daten an einzelne ausgewählte Personen der secunet Security Networks AG oder – sofern vom Sachverhalt ebenfalls betroffen – an Tochtergesellschaften der secunet im erforderlichen Umfang übermittelt werden. Jede Person, die Zugang zu den personenbezogenen Daten erhält, ist zur Vertraulichkeit verpflichtet. Bei entsprechender gesetzlicher Verpflichtung oder in begründeten Fällen kann eine Übermittlung der Daten an Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie beauftragte Rechtsanwalts- und Wirtschaftsprüfungsgesellschaften erfolgen.
Dauer der Datenspeicherung
Die secunet Security Networks AG setzt technische und organisatorische Maßnahmen (TOMs) ein, um die durch Nutzung des Hinweisgebersystems/ Beschwerdeverfahrens zu verwaltenden personenbezogenen Daten bei ihrer Erhebung, Verarbeitung und Nutzung von unbefugtem Zugriff, Weitergabe, Missbrauch, Manipulation, Verlust und Zerstörung zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend dem Stand der Technologie fortlaufend verbessert und angepasst.
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse der secunet oder ein gesetzliches Erfordernis besteht. Die Dauer der Speicherung richtet sich im Einzelfall insbesondere nach der Kritikalität der gemeldeten Pflichtverletzung. Ihre Daten werden entsprechend der gesetzlichen Vorgaben gelöscht, sobald sie zur Erreichung des Zwecks der Datenverarbeitung nicht mehr erforderlich sind, kein berechtigtes Interesse der secunet an der Speicherung besteht oder die gesetzlich vorgeschriebene Speicherfrist abgelaufen ist.
Automatisierte Entscheidungsfindung
Im Rahmen des Hinweisgebersystems findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt.
Drittlandsübermittlungen
Die personenbezogenen Daten werden innerhalb des EWR und der EU verarbeitet. Sollte das Compliance Office beabsichtigen, die personenbezogenen Daten z.B. zur Aufklärung des Sachverhaltes oder durch eine gesetzliche Pflicht in Drittländer zu übermitteln, so wird diese Absicht der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt. Der BKMS Server befindet sich in einem Hochsicherheitsrechenzentrum in Deutschland, sodass eine Übermittlung der Daten in ein Drittland ausgeschlossen werden kann.
Ihre Rechte als Betroffener
Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen nach EU DSGVO auch bestimmte Rechte zu:
- das Recht auf Auskunft nach Art. 15 DSGVO - ob und welche Ihrer Daten verarbeitet werden,
- das Recht auf die Berichtigung gemäß Art. 16 DSGVO unrichtiger bzw. unvollständiger Daten,
- das Recht auf Löschung von Daten unter der in Art. 17 DSGVO im Einzelnen genannten Voraussetzungen,
- das Recht auf Einschränkung der Verarbeitung auf bestimmte Zwecke unter den Voraussetzungen des Art. 18 DSGVO,
- das Recht auf Datenübertragbarkeit unter den in Art. 20 DSGVO aufgeführten Voraussetzungen,
- das Recht auf jederzeitigen Widerruf einer Einwilligung. Von Ihrem Widerruf wird die Rechtmäßigkeit der Verarbeitung der bis dahin aufgrund Ihrer Einwilligung verarbeiteten Daten nicht berührt,
- das Widerspruchsrecht gegen bestimmte in Art. 21 DSGVO genannten Datenvereinbarungen,
- das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
Diesen Widerspruch können sie per E-Mail oder per Post formlos an die im Punkt „Verantwortlicher/ Ihr Ansprechpartner“ aufgeführten Kontaktdaten richten.
Änderung der Datenschutzerklärung
Wir behalten uns das Recht vor, die Datenschutzerklärung zu ändern, um diese an geänderte Rechtslagen oder bei Änderungen der Dienste sowie der Datenverarbeitung anzupassen.
secunet Security Networks AG