Datenschutzhinweis
Der Schutz Ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten ist uns ein wichtiges Anliegen. Mit den folgenden Informationen möchten wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch uns und Ihre Rechte aus dem Datenschutzrecht geben.
Soweit DEKRA personenbezogene Daten verarbeitet, erfolgt dies zu den in dieser Datenschutzerklärung jeweils angegebenen Zwecken.
Verantwortliche Stelle
Die Verantwortliche Stelle im Sinne der DS-GVO für das BKMS® System (im Folgenden „Hinweisgebersystem“) ist je nach Bearbeitungsort die
DEKRA SE
Handwerkstraße 15
70565 Stuttgart
Verantwortlichen Fachabteilung: compliance-report@dekra.com
Datenschutzbeauftragter: konzerndatenschutz.hq@dekra.com
oder ein lokales Unternehmen der DEKRA-Gruppe als jeweils autonom verantwortliche Stelle (Im Folgenden „DEKRA“, „wir“ oder “uns“).
Informationen zu den einzelnen lokalen Unternehmen der DEKRA-Gruppe sowie dem jeweils zuständigen Datenschutzbeauftragten erhalten Sie unter:
https://www.bkms-system.com/bkwebanon/assets/1468/ri/2679/img/Liste_Unternehmen.pdf
Verarbeitete Datenkategorien
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Eine Meldung kann unter Angaben persönlicher Informationen oder anonym erfolgen.
Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten:
Personenbezogene Daten der hinweisgebenden Person (sofern Sie Ihre Identität offenlegen):
- Personendaten (z.B. Vorname, Nachname)
- Kommunikationsdaten (z.B. Telefonnummer, E-Mail-Adresse)
- Beschäftigungsstatus bei DEKRA
- Die Tatsache, dass eine Meldung über das DEKRA Hinweisgebersystem vorgenommen wurde
Personenbezogene Daten der gemeldeten Person (soweit von Meldung umfasst):
- Personendaten (z.B. Vorname, Nachname)
- Kommunikationsdaten (z.B. Telefonnummer, E-Mail-Adresse)
- Beschäftigungsstatus bei DEKRA
- Angaben zu Handlungen die einen Compliance Verstoß begründen könnten
Verarbeitungszwecke und Rechtsgrundlage
Das Hinweisgebersystem dient dazu, einen Kommunikationskanal für Meldungen von Hinweisen auf mögliche Verstöße (vgl. Art. 2 RICHTLINIE (EU) 2019/1937) auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten.
Rechtsgrundlage für die zentrale Verwaltung und Zuweisung konzernübergreifender Compliancevorgänge:
Die zentrale Verwaltung und Zuweisung konzernübergreifender Compliancevorgänge an zuständige Tochterunternehmen, stützen wir auf das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO von DEKRA, eine zentrale Übersicht über Compliance Meldungen im Rahmen der Governance-Funktion zu erhalten sowie Geltendmachung und Verteidigung unserer Rechte. Gemäß dem konzernrechtlichen Trennungsprinzip besteht die Möglichkeit auch bei der Muttergesellschaft eine unabhängige und vertrauliche Stelle als „Dritter“ einzurichten, die auch für mehrere selbständige Unternehmen im Konzern tätig sein kann. Die Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, verbleibt dabei bei dem jeweiligen beauftragenden Tochterunternehmen.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten der hinweisgebenden Person:
Die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystem hinsichtlich der hinweisgebenden Person ist gestützt auf das berechtigte Interesse von DEKRA gem. Art. 6 Abs. 1 lit. f DS-GVO zur Erfüllung ihrer im Hinweisgeberschutzgesetz bezeichneten Aufgaben und insbesondere begangenes Fehlverhalten aufzuklären.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten der gemeldeten Person:
Die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystem hinsichtlich der gemeldeten Person ist gestützt auf das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO seitens DEKRA an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schäden für DEKRA, seine Mitarbeiter und Kunden.
Betrifft ein eingegangener Hinweis einen DEKRA Beschäftigten, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen (Art. 88 DS-GVO).
Speicherung von Login Daten/ Verwendung von Cookies
Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, dass lediglich die Session-ID beinhaltet (sog. Session-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Mitarbeiter von DEKRA namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Weitergabe an Dritte
Im Rahmen der Bearbeitung einer Meldung kann es notwendig sein, Hinweise weiteren Mitarbeitern der DEKRA oder Mitarbeitern von anderen DEKRA Konzerngesellschaften weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in DEKRA Tochtergesellschaften beziehen. Ihre Angaben werden nur denjenigen Mitarbeitern zugänglich gemacht, die die Angaben zwingend zur Bearbeitung Ihrer Meldung benötigen.
Bitte beachten Sie, dass wir aufgrund geltender Datenschutzgesetze dazu verpflichtet sein können, etwaige beschuldigte Personen über Ihre Identität als Quelle personenbezogener Daten oder im Rahmen geltend gemachter Auskunftsansprüche über Ihre Identität, die Sie uns im Rahmen der Compliance Meldung mitgeteilt haben, zu unterrichten.
Ihre personenbezogenen Daten werden von uns nur dann an andere Verantwortliche übermittelt, soweit dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Darüber hinaus können Daten an andere Verantwortliche (z.B. Behörden oder betroffene Personen im Fall von Meldevorgängen) übermittelt werden, soweit wir aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche bzw. gerichtliche Anordnung hierzu verpflichtet sein sollten.
Empfänger personenbezogener Daten können auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen sein, die zu diesen Zwecken Daten erhalten, soweit sie insbesondere Vertraulichkeit und datenschutzrechtliche Anforderungen wahren. Über entsprechend abgeschlossene Verarbeitungsverträge mit beauftragten Dienstleistern stellen wir eine weisungsgebundene, streng vertrauliche Verarbeitung Ihrer personenbezogenen Daten sicher.
Datenübermittlungen in Drittstaaten
Soweit im Rahmen der Bearbeitung notwendig, können personenbezogene Daten auch an DEKRA Konzerngesellschaften oder Behörden mit Sitz in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes weitergeben werden, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Meldungen eingehalten werden.
Sicherheit
Eingehende Meldungen werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance Organisation von DEKRA entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der Compliance Organisation von DEKRA prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
DEKRA setzt technische und organisatorische Sicherungsmaßnahmen ein, um Ihre der DEKRA zur Verfügung gestellten Daten vor zufälligen oder vorsätzlichen Manipulationen, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen. Dies gilt auch, wenn externe Dienstleistungen bezogen werden. Die Wirksamkeit unserer Sicherheitsmaßnahmen wird überprüft und die Maßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgeberportal erfolgt über eine verschlüsselte Verbindung (SSL).
Dienstleister (allgemein)
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von DEKRA betrieben.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur DEKRA möglich. Die EQS Group GmbH und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert und unterliegen einem Berechtigungskonzept, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei DEKRA beschränkt ist.
Zusätzlich werden die in diesem Datenschutzhinweis beschriebenen Datenkategorien in der Anwendung WinRa (Legal Software – On Premise) der Wolters Kluwer Deutschland GmbH, Wolters-Kluwer-Str. 1, 50354 Hürth, verarbeitet. Mit Wolters Kluwer wurde hierzu ein entsprechender Auftragsverarbeitungsvertrag abgeschlossen, der eine weisungsgebundene Verarbeitung Ihrer personenbezogenen Daten nach den Vorgaben des deutschen Datenschutzrechts durch Wolters Kluwer sicherstellt. Weitere Informationen zum Datenschutz bei Wolters Kluwer finden Sie in der Wolters-Kluwer Datenschutzerklärung (https://www.wolterskluwer.com/de-de/privacy-cookies).
Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie und die in der Meldung genannten Personen das Recht auf folgende gesetzliche Betroffenenrechte, sofern deren Voraussetzungen vorliegen:
- Recht auf Auskunft über Ihre bei uns gespeicherten Daten gemäß Art. 15 DS-GVO,
- Recht auf Berichtigung unzutreffender Daten gemäß Art. 16 DS-GVO,
- Recht auf Löschung der bei uns gespeicherten Daten gemäß Art. 17 DS-GVO,
- Recht auf Einschränkung der Verarbeitung der bei uns gespeicherten Daten gemäß Art. 18 DS-GVO,
- Recht auf Datenübertragbarkeit gemäß Art. 20 DS-GVO,
- Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DS-GVO, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen Vorschriften der DS-GVO verstößt.
Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die u.a. aufgrund von Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgt, Widerspruch nach Art. 21 DS-GVO einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Dauer der Speicherung – Aufbewahrungsfristen
Ihre personenbezogenen Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Geltendmachung von Betroffenenrechten
Ein Betroffenenrecht kann formfrei mit einem eindeutig gewählten Betreff unter Angabe Ihres Namens und Ihrer Personalnummer erfolgen. Wenden Sie sich dazu bitte per E-Mail an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten oder die Verantwortliche Stelle.
Änderung des Datenschutzhinweises
Wir behalten uns das Recht vor, Ergänzungen oder Änderungen an der vorliegenden Datenschutzerklärung vorzunehmen. Bitte beachten Sie daher die jeweils aktuelle Version unseres Datenschutzhinweises.
Stand: Mai 2024