Hinweise zum Datenschutz
Im Folgenden möchten wir Sie über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen des Hinweisgebersystems aufklären. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
Zweck des Hinweisgebersystems
Das Hinweisgebersystem (BKMS® System) dient dazu, sowohl Hinweise auf (mutmaßliche) Gesetzes- oder interne Regelverletzungen gegen die Schörghuber Gruppe als auch Hinweise auf Unregelmäßigkeiten im eigenen Geschäftsbereich sowie in der Lieferkette der Schörghuber Gruppe auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten. Ziel ist es, solche Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten, inkl. unternehmensschädigendem Verhalten und Wirtschaftskriminalität sowie Missstände bei Lieferanten und Geschäftspartnern konzernweit, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für die Schörghuber Stiftung & Co. Holding KG, ihre verbundenen Unternehmen, alle Mitarbeiterinnen und Mitarbeiter sowie Kunden und Geschäftspartner als auch für Menschen und Umwelt abzuwenden (§§ 30, 130 OWiG).
Verarbeitung personenbezogener Daten und Rechtsgrundlage
Im Rahmen des BKMS® Systems werden personenbezogene Daten erhoben und gespeichert. Der Umgang mit diesen Daten erfolgt unter Einhaltung der geltenden Datenschutzgesetze.
Es werden nur die Daten verarbeitet, die für die Zwecke des Hinweisgebersystems (s.o.) objektiv erforderlich sind.
Die erhobenen Daten werden ausschließlich für die oben beschriebenen Zwecke des Hinweisgebersystems genutzt. Die Bereitstellung der Daten erfolgt insbesondere um die gesetzlichen Pflichten des Unternehmens bzw. Compliance im Unternehmen sicherzustellen. Die Verarbeitung der Daten erfolgt einerseits auf Grundlage des § 26 Abs. 1 (Bundesdatenschutzgesetz (BDSG) im Rahmen der Erfüllung arbeitsvertraglicher Pflichten bzw. andererseits auf Grundlage des Art. 6 Abs. 1 lit. f) Datenschutzgrundverordnung (DSGVO) für berechtigte Interessen der Schörghuber Stiftung & Co. Holding KG, die gegenüber den Interessen des jeweils Betroffenen überwiegen. Berechtigte Interessen sind die Sicherstellung der Compliance im Unternehmen; dazu zählt die Aufdeckung und Aufklärung von Gesetzesverstößen und schweren Pflichtverletzungen von Beschäftigten, inkl. unternehmensschädigendem Verhalten und Wirtschaftskriminalität als auch von Missständen im eigenen Geschäftsbereich und in der Lieferkette der Schörghuber Gruppe sowie der Schutz aller Mitarbeiterinnen und Mitarbeiter, Kunden und Geschäftspartner sowie von Menschen und der Umwelt. Weitere Rechtsgrundlage ist Art. 6 Abs. 1 lit. c) DSGVO in Verbindung mit dem Lieferkettensorgfaltspflichtengesetz.
Verantwortliche Stelle und Datensicherheit
Die für den Datenschutz verantwortliche Stelle des Hinweisgebersystems ist die:
Schörghuber Stiftung & Co. Holding KG
Möhlstraße 10
81675 München
Telefon 49 89 3074917-0
E-Mail: kontakt@schoerghuber.group
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, die EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Deutschland im Auftrag der Schörghuber Stiftung & Co. Holding KG betrieben.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum in Deutschland getrennt von den übrigen in der Schörghuber Stiftung & Co. Holding KG gespeicherten Daten gespeichert. Die Einsichtnahme in die Daten ist nur der Schörghuber Stiftung & Co. Holding KG möglich. Die EQS Group GmbH und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch entsprechende Berechtigungssysteme und umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Kreis ausdrücklich autorisierter Personen der Schörghuber Stiftung & Co. Holding KG beschränkt ist. Zusätzlich wurde zwischen der Schörghuber Stiftung & Co. Holding KG und der EQS Group GmbH eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um einen hohen Grad an Datenschutz und Datensicherheit sicherzustellen.
Die Schörghuber Stiftung & Co. Holding KG hat einen Beauftragten für den Datenschutz bestellt. Anfragen zum Datenschutz können direkt gerichtet werden an:
Schörghuber Stiftung & Co. Holding KG
Datenschutzbeauftragter
Möhlstraße 10
81675 München
Telefon 49 89 3074917-0
E-Mail: datenschutz@schoerghuber.group
Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Sie sind zur Bereitstellung Ihrer personenbezogenen Daten weder gesetzlich noch vertraglich verpflichtet.
Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen bzw. private Kontakt- und Identifikationsdaten, sofern Sie Ihre Identität und diese Daten offenlegen (nicht anonyme Meldung),
- ob Sie bei einer Gesellschaft der Schörghuber Gruppe beschäftigt sind, d.h. berufliche Kontakt- und Organisationsdaten, sofern Sie diese bereitstellen (nicht anonyme Meldung) und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter zuständiger Mitarbeiter der Schörghuber Stiftung & Co. Holding KG entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Nur diese Mitarbeiter haben Zugriff auf die im Hinweisgeberportal gespeicherten Daten.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer internen Untersuchung kann es in begründeten Einzelfällen notwendig sein, Hinweise weiteren Mitarbeitern der Schörghuber Stiftung & Co. Holding KG oder Mitarbeitern einer anderen, mit der Schörghuber Stiftung & Co. Holding KG verbundenen Konzerngesellschaft weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften der Schörghuber Stiftung & Co. Holding KG beziehen. Bei Erforderlichkeit für die Aufklärung kann eine Übermittlung an Tochtergesellschaften der Schörghuber Gruppe in einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes erfolgen, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden und geeignete datenschutzrechtliche Garantien zum Schutz von Betroffenen erfolgen (z.B. EU Standarddatenschutzklauseln oder Ausnahmetatbestände gemäß Art. 49 der DSGVO).
Bei Bedarf wird der von Ihnen abgegebene Hinweistext an unterbeauftragte Partner der EQS Group GmbH zur Übersetzung weitergegeben. Für diese gilt ebenfalls die mit der EQS Group GmbH abgeschlossene Datenschutzvereinbarung.
Bei entsprechender gesetzlicher Verpflichtung oder im Falle eines berechtigten Interesses der Schörghuber Stiftung & Co. Holding KG oder eines Dritten an der Hinweisaufklärung kommen als weitere mögliche Empfängerkategorien Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie von der Schörghuber Stiftung & Co. Holding KG oder einer anderen, mit der Schörghuber Stiftung & Co. Holding KG verbundenen, Konzerngesellschaft beauftragte und beruflich bzw. gesetzlich zur Verschwiegenheit verpflichtete Rechtsanwalts- und Wirtschaftsprüfungsgesellschaften sowie externe Datenschutz- und IT-Sicherheitsbeauftragte in Frage.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Information der beschuldigten Person
Jede von einem Hinweis betroffene Person wird zu gegebener Zeit und unter Berücksichtigung unserer datenschutzrechtlichen Informationspflichten gem. Art. 13, 14 DSGVO automatisch über die gegen sie gerichteten Verdachtsäußerungen benachrichtigt, sofern diese Benachrichtigung nicht den Fortgang des Verfahrens zur Feststellung des Sachverhalts erheblich erschweren würde. Besteht diese Gefahr nicht, erfolgt die Benachrichtigung grundsätzlich innerhalb eines Monats, anderenfalls spätestens nach Abschluss der Ermittlungen. In bestimmten Fällen hat die beschuldigte Person gem. Art. 15 DSGVO das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und Informationen zu verlangen.
Auch wenn Sie uns Ihren Namen oder andere personenbezogene Daten mitgeteilt haben (nicht anonyme Meldung), wird weder im Rahmen der Erfüllung unserer Informationspflichten noch bei der Auskunftserteilung an die beschuldigte Person Ihre Identität als Hinweisgeber/in – soweit rechtlich möglich –offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf Ihre Identität als Hinweisgeber/in möglich werden. Abweichendes kann gelten, wenn Sie die Offenlegung Ihrer Identität gestatten oder eine entsprechende Rechtspflicht besteht. Dies gilt insbesondere dann, wenn die Offenlegung unerlässlich ist, damit die von dem Hinweis betroffenen Personen ihr Recht auf Anhörung wahrnehmen können. Sie werden in jedem Fall vorab von der Offenlegung ihrer Identität unterrichtet. Eine Offenlegung ist allerdings unsererseits ausgeschlossen, solange es überwiegende berechtigte Interessen des Hinweisgebers an einer Geheimhaltung seiner Identität gibt (§ 29 Abs. 1 BDSG), was grundsätzlich der Fall sein wird, solange das Ermittlungsverfahren zur Bearbeitung und Aufklärung des Hinweises noch nicht abgeschlossen ist. Damit Abschluss des Ermittlungsverfahrens (insbesondere, wenn dies ergebnislos geblieben ist) grundsätzlich alle Informationen bezüglich des Hinweisgebers gelöscht oder vollständig anonymisiert werden (s.u.), ist auch dann eine Offenlegung Ihrer Identität weitgehend ausgeschlossen.
Betroffenenrechte
Nach der DSGVO haben Sie und die im Hinweis genannten Personen neben dem zuvor dargestellten Recht auf Auskunft und Information auch das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung bzw. Sperrung sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten für die Bearbeitung eines Hinweises noch erforderlich sind und legen dem Betroffenen gegenüber überwiegende schutzwürdige Gründe dar, die die Verarbeitung erlauben. Für die Zeit dieser Überprüfung erfolgt eine Sperrung der Daten für diese Zwecke. Nicht mehr benötigte Daten werden unverzüglich gelöscht.
Wenn die Daten an einen Dritten weitergegeben wurden, werden wir den Empfänger der Daten im Einklang mit den gesetzlichen Regelungen über die Berichtigung, Löschung oder Sperrung der Daten benachrichtigen. Außerdem steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Die für uns zuständige Behörde ist das Bayerische Landesamt für Datenschutzaufsicht.
Aufbewahrungsdauer von personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern sowie darüber hinaus, sofern einschlägige gesetzliche, vertragliche oder satzungsgemäße Aufbewahrungsfristen bestehen. Kommt es infolge eines Hinweises zu einem Straf-, Disziplinar- oder Zivilgerichtsverfahren, kann die Speicherdauer bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens betragen. Daten, die im Zusammenhang mit einem Hinweis erhoben wurden und die nicht für das Verfahren von Relevanz sind, werden unverzüglich gelöscht. Nach Abschluss der Hinweisbearbeitung werden die Daten entsprechend den gesetzlichen Vorgaben gelöscht oder anonymisiert. Bei einer Anonymisierung wird der Bezug zu Ihrer Identität als Hinweisgeber endgültig und irreversibel entfernt.
Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Mitarbeiter der Schörghuber Stiftung & Co. Holding KG namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Mitarbeiter der Schörghuber Stiftung & Co. Holding KG Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym (personenbezogene Daten geschwärzt) unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Stand: 15. März 2023