Datenschutzhinweis
Informationen zum Datenschutz im Rahmen des Hinweisgebersystems
Im Folgenden finden Sie Informationen über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen des Hinweisgebersystems. Bitte lesen Sie diese Datenschutzerklärung sorgfältig durch, bevor Sie eine Verdachtsmeldung absenden.
Art der erfassten personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Grundlage. Wir erfassen die folgenden personenbezogenen Daten und Informationen, wenn Sie eine Verdachtsmeldung über das Hinweisgebersystem einreichen:
- Ihren Namen, sofern Sie Ihre Identität preisgeben,
- Ihre Kontaktdaten, sofern Sie diese zur Verfügung stellen
- Ob Sie Mitarbeiter der AUDI AG sind oder nicht
- Die Tatsache, dass Sie eine Verdachtsmeldung über das Hinweisgebersystem getätigt haben
- Gegebenenfalls die Namen von Personen und andere personenbezogene Daten der in Ihrer Verdachtsmeldung genannten Personen
Die Kommunikation zwischen Ihrem Computer und dem Meldesystem BKMS® erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Computers wird bei der Nutzung des Hinweisgeberportals nicht gespeichert. Um die Verbindung zwischen Ihrem Computer und dem Meldesystem BKMS® aufrechtzuerhalten, wird auf Ihrem Computer ein Cookie gespeichert, das ausschließlich die Sitzungs-ID enthält. Das Cookie ist nur bis zum Ende Ihrer Sitzung gültig und wird ungültig, wenn Sie den Browser schließen.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzernamen und Passwort ein gesichertes Postfach im Meldesystem BKMS® einzurichten. Auf diese Weise können Sie sichere Nachrichten namentlich oder anonym an die zuständigen Mitarbeitenden der AUDI AG senden. Dieses System speichert Daten ausschließlich innerhalb des Meldesystems BKMS®, was es besonders sicher macht. Es handelt sich nicht um eine Form der regulären E-Mail-Kommunikation.
Hinweise zum Versenden von Anlagen
Bei der Übermittlung einer Verdachtsmeldung oder ergänzender Informationen haben Sie die Möglichkeit, Anlagen an die zuständigen Mitarbeitenden der AUDI AG zu senden. Wenn Sie eine Verdachtsmeldung anonym übermitteln möchten, beachten Sie bitte die folgenden Sicherheitshinweise: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden können. Entfernen Sie diese Daten vor der Übermittlung. Wenn Sie diese Daten nicht entfernen können oder sich nicht sicher sind, wie Sie hierfür vorgehen müssen, kopieren Sie den Text der Anlage in Ihren Text der Verdachtsmeldung oder senden Sie das gedruckte Dokument anonym unter Angabe des Aktenzeichens, dass Sie der Eingangsbestätigung entnehmen können, an AUDI AG, Hinweisgebersystem, 85045 Ingolstadt.
Zweck des Hinweisgebersystems und der Datenverarbeitung / Rechtsgrundlage
Das Meldesystem BKMS® dient der sicheren und vertraulichen Entgegennahme und Verarbeitung von Informationen über (vermutete) Verstöße gegen Gesetze oder interne Vorschriften zum Nachteil der AUDI AG bzw. des Volkswagen Konzerns.
Die Verarbeitung personenbezogener Daten innerhalb des Meldesystems BKMS® basiert auf dem berechtigten Interesse der AUDI AG an der Aufdeckung und Verhinderung von Missständen und der damit verbundenen Vermeidung von Schadens- und Haftungsrisiken für die AUDI AG bzw. des Volkswagen Konzerns (Art. 6 (1) (f) DSGVO in Verbindung mit §§ 30, 130 OWiG). Ziffer 4.1.3 des Deutschen Corporate Governance Kodex sieht auch die Einrichtung eines Hinweisgebersystems vor, um Mitarbeitenden und Dritten eine geeignete Möglichkeit zu geben, geschützte Verdachtsmeldungen auf Rechtsverstöße im Unternehmen zu geben. Bisher ist die Verarbeitung personenbezogener Daten innerhalb des Meldesystem BKMS® auch zur Erfüllung einer gesetzlichen Verpflichtung erforderlich (Art. 6 (1) (c) DSGVO).
Im Hinblick auf eine Verdachtsmeldung über einen vermuteten Verstoß eines Mitarbeitenden der AUDI AG dient die Verarbeitung auch der Vorbeugung von Straftaten oder anderen Rechtsverstößen im Zusammenhang mit dem Arbeitsverhältnis (§ 26 (1) BDSG).
Die Verarbeitung übermittelter personenbezogener Daten innerhalb des Meldesystems BKMS® kann auch auf einer Einwilligung basieren (Art. 6 (1) (a) DSGVO).
Als Hinweisgeber_in ist es Ihnen möglich, das Hinweisgebersystem ohne Angabe von Gründen anonym, d. h. ohne Angaben zu Ihrer Identität, zu nutzen. Sofern Sie sich entschließen, gewollt und bewusst Ihre Identität gegenüber der AUDI AG offenzulegen, benötigt die AUDI AG hierfür Ihre Einwilligung. Die AUDI AG wird Ihre Identität während der internen und außergerichtlichen bzw. -behördlichen Schritte eines eventuellen Ermittlungsverfahrens vertraulich behandeln. Es kann aber sein, dass es erforderlich ist, Ihre Identität in der Kommunikation mit Behörden und/oder Gerichten offenzulegen. In bestimmten Fällen besteht für die AUDI AG zudem die datenschutzrechtliche Verpflichtung, die beschuldigte Person über die gegen sie erhobenen Vorwürfe spätestens innerhalb eines Monats zu informieren.
Dabei wird Ihre Identität als Hinweisgeber_in – soweit dies im Einklang mit Art. 14 Abs.3 lit.a DSGVO zulässig ist - nicht offengelegt.
Bitte beachten Sie, dass die AUDI AG keine Einwilligung von Ihnen benötigt, sofern es personenbezogene Daten betrifft, die im Rahmen der Sachverhaltsschilderung angegeben wurden, insbesondere bei der Beschreibung der Beteiligung an den bzw. Betroffenheit durch die geschilderten Vorgänge. Insoweit erfolgt die Verarbeitung aufgrund eines berechtigten Interesses der AUDI AG, von Konzernmitarbeitenden begangene Straftaten und schwere Regelverletzungen aufzuklären, abzustellen und zu ahnden.
Sie haben das Recht, Ihre Einwilligung in die Verarbeitung Ihres Namens in Ihrer Eigenschaft als Hinweisgeber mit Wirkung für die Zukunft jederzeit und ohne Angabe von Gründen zu widerrufen. Bitte senden Sie Ihren Widerruf an folgende Adresse:
AUDI AG
Hinweisgebersystem
85045 Ingolstadt
E-Mail: whistleblower-office@audi.deDer Widerruf der Einwilligung kann allerdings in der Regel nur innerhalb eines Monats nach Erhalt der Verdachtsmeldung erfolgen, da die AUDI AG in bestimmten Fällen nach Art. 14 Abs. 3 lit. a DSGVO verpflichtet ist, die beschuldigte Person über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen innerhalb eines Monats zu informieren, einschließlich der Speicherung, der Art der Daten, der Zweckbestimmung der Verarbeitung und der Identität des Verantwortlichen und gegebenenfalls der_des Hinweisgebers_in und eine Einstellung der Datenverarbeitung der Identifikationsdaten des Meldenden dann nicht mehr möglich ist. Zudem ist die Verarbeitung der Daten nach dem Zeitpunkt bereits so weit fortgeschritten, dass eine Löschung nicht mehr möglich ist. Die Widerrufsfrist kann sich aber auch, teilweise erheblich, verkürzen. Dies ist der Fall, wenn die Art der Verdachtsmeldung die unmittelbare Einschaltung einer Behörde oder eines Gerichts erfordert. Sobald wir den Namen gegenüber der Behörde oder dem Gericht offengelegt haben, befindet sich dieser sowohl in unseren Verfahrensakten als auch bei der Behörde oder dem Gericht und kann nicht mehr gelöscht werden.
Im Fall des Widerrufs wird die AUDI AG Ihre in der Einwilligungserklärung genannten Daten (Ihren Namen, Ihre Kontaktdaten und die Tatsache, dass sie die Verdachtsmeldung über das Hinweisgebersystem getätigt haben) unverzüglich löschen. Der Inhalt der über das Hinweisgebersystem getätigten Verdachtsmeldung wird weiterverwendet, ohne dass Sie als Hinweisgeber_in genannt werden. Sofern die Prüfung Ihrer Meldung ergibt, dass diese vorsätzlich falsch getätigt wurde, kann es sein, dass Audi rechtlich zu einer Archivierung verpflichtet ist oder eine weitere Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
Verantwortliche Stelle und Datensicherheit
1. Verantwortliche Stelle für Verdachtsmeldungen, die die AUDI AG betreffen
Die für den Datenschutz verantwortliche Stelle des Hinweisgebersystems ist die AUDI AG, Auto-Union-Straße 1, 85057 Ingolstadt, sofern die Verdachtsmeldung die AUDI AG betrifft.
Das Meldesystem BKMS® wird von einem darauf spezialisierten Unternehmen, der EQS Group GmbH, Karlstraße 47, 80333 Munich, im Auftrag der Volkswagen AG, die wiederum als Auftragsverarbeiter der AUDI AG handelt, betrieben.
Im Meldesystem BKMS® erfasste personenbezogene Daten und Informationen werden in einer von der EQS Group GmbH betriebenen Datenbank in einem hochsicheren Rechenzentrum gespeichert. Auf diese Daten hat ausschließlich die AUDI AG Zugriff. Die EQS Group GmbH und andere Dritte haben keinen Zugriff auf die Daten. Dies wird durch ein zertifiziertes Verfahren mit umfangreichen technischen und organisatorischen Maßnahmen sichergestellt.
Alle Daten sind verschlüsselt gespeichert, so dass der Zugang auf einen sehr engen Kreis ausdrücklich autorisierter Personen der AUDI AG beschränkt ist.
Die AUDI AG hat einen Datenschutzbeauftragten bestellt. Betroffene können den Datenschutzbeauftragten der AUDI AG direkt kontaktieren:
AUDI AG
Datenschutzbeauftragter
85045 Ingolstadt
E-Mail: datenschutz@audi.de2. Verantwortliche Stellen für Verdachtsmeldungen, die eine Konzerngesellschaft außerhalb der AUDI AG betreffen
Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortlichen Stellen sind die AUDI AG und die mit dem Volkswagen Konzern direkt und indirekt im Mehrheitseigentum stehenden oder mehrheitlich beherrschten verbundenen Unternehmen und Tochtergesellschaften („Volkswagen Konzern“), sofern sich die Verdachtsmeldung auf eine Konzerngesellschaft außerhalb der AUDI AG bezieht. Der Volkswagen Konzern hat die Grundlagen für die gemeinsame Verarbeitung Ihrer personenbezogenen Daten festgelegt und die Verantwortlichkeiten im Volkswagen Konzern in einer konzernweiten Vereinbarung über die Behandlung personenbezogener Daten für Compliance-Zwecke koordiniert. Die folgenden Informationen fassen auch den wesentlichen Inhalt dieser Vereinbarung für Sie zusammen. Weitere Informationen finden Sie am Ende des Datenschutzhinweises unter „Gemeinsame Verantwortung des Volkswagen Konzerns“. Zudem können Sie weitere Informationen jederzeit und kostenlos unter der Anschrift AUDI AG, Hinweisgebersystem, 85045 Ingolstadt oder unter der E-Mail-Adresse whistleblower-office@audi.de anfordern.
Das Meldesystem BKMS® wird von einem darauf spezialisierten Unternehmen, der EQS Group GmbH, Karlstraße 47, 80333 Munich, im Auftrag der Volkswagen AG betrieben.
Im Meldesystem BKMS® erfasste personenbezogene Daten und Informationen werden in einer von der EQS Group GmbH betriebenen Datenbank in einem hochsicheren Rechenzentrum gespeichert. Die EQS Group GmbH und andere Dritte haben keinen Zugriff auf die Daten. Dies wird durch ein zertifiziertes Verfahren mit umfangreichen technischen und organisatorischen Maßnahmen sichergestellt.
Alle Daten werden verschlüsselt gespeichert, sodass der Zugriff auf einen äußerst kleinen Kreis von ausdrücklich autorisierten Personen beschränkt ist.
Die AUDI AG hat einen Datenschutzbeauftragten ernannt. Betroffene Parteien können sich direkt an den Datenschutzbeauftragten der AUDI AG wenden:
AUDI AG
Datenschutzbeauftragter
85045 Ingolstadt
E-Mail: datenschutz@audi.deVertrauliche Behandlung von Verdachtsmeldungen
Eingehende Informationen werden von einer kleinen Gruppe ausdrücklich autorisierter und speziell geschulter Mitarbeitender der Compliance Abteilung der AUDI AG bearbeitet und in jedem Fall vertraulich behandelt. Die Mitarbeitenden der AUDI AG überprüfen den Sachverhalt und können weitere fallbezogene Untersuchungen durchführen.
Die AUDI AG ist nach dem Datenschutzgesetz in bestimmten Fällen verpflichtet, eine_n Verdächtige_n über die gegen sie/ihn erhobenen Vorwürfe zu informieren. Dies ist eine gesetzliche Verpflichtung in Fällen, in denen objektiv nachgewiesen werden kann, dass die Weitergabe von Informationen an den_die Verdächtige_n keine nachteiligen Auswirkungen mehr auf die betreffende Sonderprüfung haben kann. Soweit rechtlich möglich, wird Ihre Identität als Hinweisgeber_in – soweit dies im Einklang mit Art. 14 Abs.3 lit.a DSGVO zulässig ist - nicht offengelegt, und es werden zudem Schritte unternommen, um sicherzustellen, dass keine Rückschlüsse auf Ihre Identität als Hinweisgeber_in gezogen werden können.
Die Vertraulichkeit kann nicht gewährleistet werden, wenn Sie vorsätzlich unrichtige Informationen mit dem Ziel der Diskreditierung einer Person übermitteln (Denunzierung).
Während der Bearbeitung einer Verdachtsmeldung oder der Durchführung einer Untersuchung kann es erforderlich werden, Verdachtsmeldungen an weitere Mitarbeitende der AUDI AG oder ihrer Tochtergesellschaften und deren Mitarbeitenden bzw. der Volkswagen AG und ihrer Tochtergesellschaften weiterzuleiten. Dies ist beispielsweise der Fall, wenn sich die Verdachtsmeldungen auf Aktivitäten in Tochtergesellschaften des Volkswagen Konzerns beziehen. Soweit zur Klarstellung erforderlich, kann auf der Grundlage geeigneter Datenschutzgarantien zum Schutz der Betroffenen eine Übermittlung von Daten an Tochtergesellschaften des Volkswagen Konzerns in einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgen. Bitte beachten Sie, dass nicht in allen Drittländern ein von der Europäischen Kommission als angemessen anerkanntes Datenschutzniveau besteht. Die AUDI AG wird Ihre personenbezogenen Daten nur dann in Drittländer übermitteln, soweit dies nach Art. 44 – 49 DSGVO zulässig ist. Soweit sich die AUDI AG für die Drittlandsübermittlung auf angemessene Garantien gemäß Artikel 46 Abs. 2 DSGVO stützt (z.B. Standardvertragsklauseln oder Binding Corporate Rules) wird die AUDI AG, soweit dies zur Aufrechterhaltung eines angemessenen Schutzes Ihrer personenbezogenen Daten erforderlich ist, zusätzliche technische und/oder organisatorische Maßnahmen ergreifen. Betroffene Personen haben das Recht, von der AUDI AG eine Kopie der entsprechenden oder angemessenen Garantien für die Übermittlung personenbezogener Daten in Drittländer zu erhalten.
Bei der Weitergabe von Verdachtsmeldungen achten wir stets auf die Einhaltung der geltenden Datenschutzbestimmungen.
Weitere mögliche Empfängerkategorien sind Strafverfolgungsbehörden, Kartellbehörden, andere Verwaltungsbehörden, Gerichte sowie internationale Rechtsanwaltskanzleien und Wirtschaftsprüfungsgesellschaften, die von der AUDI AG bzw. vom Volkswagen Konzern beauftragt wurden, soweit dies gesetzlich oder datenschutzrechtlich vorgeschrieben ist.
Alle Personen, die Zugang zu den Daten erhalten, sind zur Vertraulichkeit verpflichtet.
Dauer der Speicherung personenbezogener Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es für die Klärung und abschließende Beurteilung erforderlich ist, wenn das Unternehmen ein berechtigtes Interesse hat oder wenn die Speicherung gesetzlich vorgeschrieben ist. Diese Daten werden dann entsprechend den gesetzlichen Bestimmungen gelöscht.
Betroffenenrechte der betroffenen Person
Gemäß den europäischen Datenschutzbestimmungen haben Sie und die in der Verdachtsmeldung genannten Personen ein Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung Ihrer personenbezogenen Daten sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten und in bestimmten Fällen das Recht auf Datenübertragbarkeit.
Ihr Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Voraussetzung hierfür ist, dass die Datenverarbeitung im öffentlichen Interesse oder auf der Grundlage einer Interessenabwägung erfolgt. Der Widerspruch kann formfrei erfolgen und sollte möglichst an die in diesem Datenschutzhinweis aufgeführten Kontaktdaten erfolgen. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten noch erforderlich sind; insbesondere für die Bearbeitung einer Verdachtsmeldung. Nicht mehr benötigte Daten werden unverzüglich gelöscht.
Ihr Widerrufsrecht
Sie können zudem jederzeit Ihre Einwilligung widerrufen. Bitte beachten Sie in diesem Zusammenhang die Informationen unter „Zweck des Hinweisgebersystems und Datenverarbeitung/ Rechtsgrundlage“.
Weitere Informationen und die Möglichkeit zur Geltendmachung Ihrer Rechte finden Sie unter:
Homepage: https://betroffenenrechte.audi.de
AUDI AG, DSGVO-Betroffenenrechte, 85045 Ingolstadt
Wenn Sie allgemeine Fragen zu diesem Datenschutzhinweis oder zur Verarbeitung Ihrer personenbezogenen Daten durch die Audi AG haben, nutzen Sie bitte folgende Kontaktmöglichkeiten:
AUDI AG
Hinweisgebersystem
85045 Ingolstadt
E-Mail: whistleblower-office@audi.deSie haben des Weiteren das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Dies ist beispielsweise:
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
Deutschland
https://www.lda.bayern.deWeitere Informationen zum Datenschutz bei der AUDI AG finden Sie hier: https://www.audi.de/datenschutz
Zur Wahrung Ihrer Rechte bei einer Verdachtsmeldung, die eine Konzerngesellschaft außerhalb der AUDI AG betrifft, wenden Sie sich bitte grundsätzlich an das Unternehmen des Volkswagen Konzerns, bei dem Sie Ihre Meldung abgegeben haben. Die Unternehmen des Volkswagen Konzerns unterstützen sich gegenseitig bei der Beantwortung Ihres Anliegens.
Gemeinsame Verantwortung des Volkswagen Konzerns
Der Volkswagen Konzern regelt in einer konzernweiten Vereinbarung den Umfang der Rollen und Verantwortlichkeiten sowie der gegenseitigen Verpflichtungen bezüglich der für die gemeinsame Verarbeitung personenbezogener Daten im Sinne eines Hinweisgebersystems bestehenden Verantwortung (siehe oben „Zweck des Hinweisgebersystems“). Eine gemeinsame Verantwortung gemäß Art. 26 DSGVO liegt vor, wenn mehrere Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Eine solche gemeinsame Verantwortung beschränkt sich effektiv auf die mit Ihnen in Verbindung stehenden Unternehmen des Volkswagen Konzerns, da andere Unternehmen in den gemeinsamen Prozessen und Systemen gegebenenfalls nur einen Lese- oder überhaupt keinen Zugriff auf Daten haben.
Die Daten werden innerhalb der Europäischen Union und in Ländern außerhalb der Europäischen Union verarbeitet. Die Parteien haben in ihrer Vereinbarung durch entsprechende Regelungen sichergestellt, dass die Verarbeitung außerhalb der Europäischen Union genauso strengen Regeln und Anforderungen folgt wie die Verarbeitung innerhalb der Europäischen Union.
Alle Parteien haben sich in der Vereinbarung verpflichtet, die für sie geltenden Datenschutzgesetze, insbesondere die strikten Anforderungen der DSGVO wie beispielsweise den Grundsatz der Datenminimierung einzuhalten und diese Verpflichtungen sorgfältig umzusetzen. Die jeweilige Aufgabe und die Systembetreiber stellen sicher, dass die Verarbeitung der Daten innerhalb der Systeme innerhalb eines den Anforderungen des geltenden Datenschutzrechts entsprechenden Rahmens erfolgt. Darüber hinaus wurden für alle Aufgaben der Compliance Funktion, für die eine gemeinsame Verantwortung bestehen soll, die erforderlichen Datenschutz-Folgenabschätzungen durchgeführt. Eine Datenschutz-Folgenabschätzung ist eine Bewertung der Auswirkungen der beabsichtigten Verarbeitungsverfahren auf den Schutz Ihrer personenbezogenen Daten.
Die AUDI AG, die Daten in den gemeinsamen Prozess importiert, oder ein anderes datenänderndes Unternehmen stellen sicher, dass dies in Übereinstimmung mit den geltenden Datenschutzgesetzen geschieht, was durch entsprechende Maßnahmen wie beispielsweise die Einholung von Einwilligungserklärungen gewährleistet wird. Die Unternehmen stellen auch die Einhaltung der Vertraulichkeit und Integrität der Daten sicher, was insbesondere durch eine Vertraulichkeitsverpflichtung von Personen, die Zugang zu den Daten des Prozesses oder eines IT-Systems haben, erfolgt. Das Datengeheimnis wird durch technische und organisatorische Maßnahmen gewährleistet, für die jede Gesellschaft des Volkswagen Konzerns im Rahmen ihrer IT-Systeme verantwortlich ist. Darüber hinaus sind alle Unternehmen verpflichtet, diese Maßnahmen zum Schutz der Daten in Bezug auf die gemeinsame Verantwortung für personenbezogene Daten umzusetzen, regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren.
Im Fall eines möglichen Verstoßes gegen den Schutz personenbezogener Daten informieren sich die Unternehmen im Rahmen eines koordinierten Berichtsverfahrens unverzüglich gegenseitig und helfen der Situation ab. Gegebenenfalls melden die Unternehmen dies der zuständigen Aufsichtsbehörde und/oder informieren die von der Datenpanne betroffenen Personen.