Hinweise zum Datenschutz
Unser Ziel bei der Exyte Group ist es, eine Online-Umgebung bereitzustellen, die sicher und einfach zu bedienen ist und die Rechte, den Schutz und die Erwartungen unserer Informanten ("Informanten"), Verdächtigen ("Verdächtige") und der anderen Beteiligten berücksichtigt.
Wir halten uns an die Bestimmungen der EU-Datenschutzgrundverordnung (EU-DSGVO) sowie an die geltenden nationalen Datenschutzbestimmungen.
Bitte lesen Sie diese Datenschutzerklärung sorgfältig, bevor Sie eine Meldung abgeben.
Nachfolgend wird ausführlich erläutert, wie wir Ihre Identität und Ihre personenbezogenen Daten schützen, welche personenbezogenen Daten Sie uns im Meldeprozess zur Verfügung stellen und wie wir mit diesen personenbezogenen Daten (falls vorhanden) umgehen.
Darüber hinaus werden wir Ihnen weitere Informationen zur Verfügung stellen, soweit nach den geltenden Gesetzen erforderlich oder als Service für Sie.
Verantwortlicher für personenbezogene Daten
Der Verantwortliche für Daten, die über diese Website durch BKMS® System ("Meldesystem") übermittelt werden, ist
Exyte Management GmbH
Löwentorstraße 42
70376 Stuttgart, Deutschland
("Exyte", "wir" oder "uns").
Exyte und die mit ihr verbundenen Unternehmen sind Teil des Exyte Konzerns ("Exyte Group").
Das Meldesystem wird von der EQS Group GmbH ("EQS Group"), Bayreuther Str. 35, 10789 Berlin, in Deutschland, im Auftrag von Exyte als Datenverarbeiter betrieben.
Zu diesem Zweck haben Exyte und EQS Group einen Datenverarbeitungsvertrag gemäß Artikel 28 der Datenschutzgrundverordnung ("DSGVO") abgeschlossen. EQS Group hat technische und organisatorische Maßnahmen ergriffen, um den Zugriff von EQS Group auf Daten, die über das Meldesystem bereitgestellt werden, zu verhindern.
Personenbezogene Daten und Informationen, die in das Meldesystem eingegeben werden, werden in einer von EQS Group betriebenen Datenbank in einem Hochsicherheits-Rechenzentrum gespeichert.
Nur Exyte hat Zugriff auf diese Daten. EQS Group und andere Dritte haben keinen Zugriff auf die Daten. Dies wird in einem zertifizierten Verfahren durch umfangreiche technische und organisatorische Maßnahmen sichergestellt.
Alle Daten werden verschlüsselt gespeichert.
Obwohl Exyte Verantwortlicher ist, hat bei Exyte selber nur eine begrenzte Anzahl von Mitarbeitern aus der Compliance-Abteilung Zugriff auf die Daten, die über BKMS® System eingereicht werden.
Zweck des Meldesystems und Rechtsgrundlage
Das Meldesystem dient dem Zweck, Meldungen über Verstöße gegen Gesetze, Vorschriften und die Compliance-Regeln von Exyte sicher und vertraulich entgegenzunehmen, zu bearbeiten und zu verwalten.
Wenn Sie Informant sind und sich für eine anonyme Meldung entscheiden, verarbeiten wir keine personenbezogenen Daten von Ihnen.
Wenn Sie sich entscheiden, uns Ihre Identität - z.B. personenbezogene Daten - mitzuteilen, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a. Allgemeine Datenschutz-Grundverordnung (2016/679) ("GDPR").
Sie haben das Recht, diese Einwilligung jederzeit zu widerrufen. In diesem Fall werden wir Ihre personenbezogenen Daten löschen oder Hinweise auf Ihre Identität anonymisieren. Die Verarbeitung Ihrer personenbezogenen Daten vor dem Widerruf Ihrer Einwilligung bleibt rechtmäßig.
Sollten Sie uns Ihre Identität offenlegen, werden wir Ihre persönlichen Daten vertraulich behandeln. Aufgrund der Datenschutzgesetze sind wir jedoch grundsätzlich verpflichtet, die Verarbeitung von Daten eines Beschuldigten diesem innerhalb eines Monats nach Meldung offenzulegen (Art. 14 Abs. 3 lit. a GDPR). Dazu zählt auch die Quelle der Daten und betrifft daher auch Ihre Identität. Wenn die Gefahr besteht, dass eine solche Offenlegung unsere Untersuchung oder Beweiserhebung beeinträchtigen könnte, verlängern wir diese Frist. Wenn Ihr berechtigtes Interesse, anonym zu bleiben, das Interesse des Beschuldigten, die oben genannten Informationen zu erhalten, überwiegt, müssen wir Ihre Daten nicht offenlegen.
Wenn Sie sich entscheiden, Ihre Identität oder andere personenbezogenen Daten nicht offenzulegen oder Ihre Einwilligung in deren Verarbeitung zu widerrufen, hat dies keine Nachteile für Sie.
Bei anderen Betroffenen beruht die Verarbeitung personenbezogener Daten auf den berechtigten Interessen von Exyte, Fehlverhalten aufzudecken, zu verhindern und damit Schaden von Exyte, unseren Mitarbeitern und Kunden abzuwenden. Art. 6 Abs. 1 lit f GDPR dient als Rechtsgrundlage für diese Datenverarbeitung.
Die Aufklärung von strafbarem Verhalten deutscher Mitarbeiter erfolgt auf Grundlage von Art. 88 Abs. 1 GDPR i.V.m. Art. 26 Abs. I Satz. 2 Bundesdatenschutzgesetz ("BDSG").
Darüber hinaus dürfen wir personenbezogene Daten zur Verhinderung strafbaren Verhaltens oder zur Abwehr oder Geltendmachung von Rechtsansprüchen nach § 24 Abs. 1 Nr. 1 BDSG verarbeiten.
Informationen, die über das Meldesystem bereitgestellt werden müssen
Das Meldesystem wurde eingerichtet, um schwerwiegende Vorwürfe zu dokumentieren und zu verfolgen. Es ist dient nicht der Erfassung kleinerer Unregelmäßigkeiten.
Zu diesem Zweck haben wir bestimmte Kategorien für die Erfassung im Meldesystem festgelegt. Wenn der Verstoß zu keiner der Kategorien passt, Sie aber der Meinung sind, dass der Verstoß schwerwiegend genug ist, um eine Untersuchung zu rechtfertigen, können Sie die Meldung unter "Anderes Fehlverhalten von ähnlichem Schweregrad" einreichen. Bitte begründen Sie in solchen Fällen die Schwere des Verstoßes.
Art der erhobenen personenbezogenen Daten
Die Nutzung des Meldesystems erfolgt auf freiwilliger Basis.
Wenn Sie eine Meldung über das Meldesystem abgeben und sich entscheiden, uns Ihre Identität mitzuteilen, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen,
- ob Sie bei Exyte beschäftigt sind, und
- die Namen von Personen und andere personenbezogene Daten von Beteiligten, die Sie in Ihrer Meldung nennen, sowie
- andere personenbezogene Daten und Informationen, die Sie in Ihrer Meldung angeben.
Zusätzlicher Hinweis zum Senden von Anhängen
Wenn Sie eine Meldung oder eine Ergänzung zu einer Meldung abgeben, können Sie dabei Anhänge an den zuständigen Compliance Officer bei Exyte senden. Wenn Sie eine anonyme Meldung abgeben möchten, beachten Sie bitte die folgenden Sicherheitshinweise:
Dateien können versteckte persönliche Daten (z.B. Metadaten) enthalten, die Rückschlüsse auf Ihre Identität zulassen könnten. Daher sollten Sie diese vor dem Absenden entfernen.
Vertrauliche Behandlung von Meldungen und Transfer von Daten
Eingehende Meldungen werden von einem kleinen Kreis von ausdrücklich autorisierten und speziell geschulten Mitarbeitern der Compliance-Abteilung von Exyte entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der Compliance-Abteilung von Exyte bewerten den Sachverhalt und führen die im konkreten Fall erforderlichen weiteren Untersuchungen durch.
In der Regel werden wir Ihre Meldung an die regionale Compliance-Organisation weiterleiten, die in einer anderen Gesellschaft der Exyte-Gruppe tätig ist. Dieser Compliance-Beauftragte berichtet nur an die Corporate Compliance-Abteilung und unterliegt strengsten Vertraulichkeitsverpflichtungen, auch innerhalb seiner Einheit.
Während der Bearbeitung einer Meldung oder der Durchführung einer Untersuchung kann es notwendig werden, Informationen einschließlich personenbezogener Daten mit weiteren Mitarbeitern von Exyte und der Exyte Group oder Mitarbeitern anderer Konzernunternehmen, die der Compliance-Abteilung unterstehen oder von ihr beauftragt sind, auszutauschen, z.B. wenn sich die Meldungen auf Vorfälle in Tochterunternehmen beziehen. Letztere können ihren Sitz in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben, in denen andere Regelungen zum Schutz personenbezogener Daten gelten.
Wir stellen stets sicher, dass bei der Weitergabe von Daten die geltenden Datenschutzbestimmungen eingehalten und ggf. erforderliche Schutzmaßnahmen gemäß diesen Datenschutzbestimmungen getroffen werden.
Bitte wenden Sie sich an den Verantwortlichen bei Exyte oder an den Datenschutzbeauftragten, um eine vollständige Liste der Unternehmen, in denen Compliance-Beauftragten beschäftigt sind, oder aller Exyte Gesellschaften oder Informationen über Schutzmaßnahmen zu erhalten.
Wenn in der Untersuchung ein strafbares Verhalten oder eine schwere Ordnungswidrigkeit festgestellt wurde, kann es sein, dass wir Daten an die zuständigen Behörden zur weiteren Untersuchung weitergeben (müssen).
Wenn Sie Ihre Meldung in einer Sprache abgeben, die der Compliance-Beauftragte nicht spricht, werden wir einen Unterauftragsverarbeiter für die Übersetzung einsetzen. Solche Unterauftragsverarbeiter unterliegen der Schweigepflicht und unseren Weisungen.
Alle Personen, die Zugang zu Ihren personenbezogenen Daten erhalten, sind zur Verschwiegenheit verpflichtet.
Information der von der Untersuchung betroffenen Personen
Grundsätzlich führen wir unsere Ermittlungen so transparent wie möglich und gesetzlich vorgeschrieben durch und informieren die Beschuldigten nach Maßgabe der geltenden Datenschutzgesetze. Von einer Information der Betroffenen können wir insbesondere dann absehen, wenn der Ermittlungserfolg durch die Offenlegung der Ermittlungen gefährdet werden könnte.
Als Beschuldigter werden wir Ihnen immer die Möglichkeit geben, Ihre Version der Ereignisse und Ihren Standpunkt darzulegen, bevor wir rechtliche Schritte unternehmen oder Informationen an Behörden weitergeben, es sei denn, der Erfolg der Untersuchung könnte durch die Offenlegung der Untersuchung gefährdet werden.
Aufbewahrungsdauer der personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es zur Aufklärung der Vorfälle erforderlich ist, so lange ein berechtigtes Interesse des Unternehmens besteht oder so lange es gesetzlich vorgeschrieben ist. Nach Abschluss der Untersuchung können wir personenbezogene Daten während eines Rechtsstreits, während der gesetzlichen Verjährungsfristen oder nach anderen gesetzlichen Vorgaben aufbewahren.
Darüber hinaus können Ergebnisse von Untersuchungen so lange gespeichert werden, wie dies unter Beachtung der geltenden Gesetze, insbesondere des Arbeitsrechts, erforderlich ist, um Rechtsansprüche von Exyte geltend zu machen.
Nutzung des Meldesystems
Die Kommunikation zwischen Ihrem Computer und dem Meldesystem findet über eine verschlüsselte Verbindung (SSL) statt. Ihre IP-Adresse wird während Ihrer Nutzung des Meldesystems nicht gespeichert. Um die Verbindung zwischen Ihrem Computer und dem BKMS® System aufrechtzuerhalten, wird auf Ihrem Computer ein Cookie gespeichert, das lediglich die Session-ID enthält (ein sog. Null-Cookie). Dieses Cookie ist nur bis zum Ende Ihrer Sitzung gültig und wird gelöscht, wenn Sie Ihren Browser schließen.
Es besteht die Möglichkeit, innerhalb des Meldesystems einen geschützten Postkasten einzurichten, der mit einem individuell gewählten Pseudonym/Benutzernamen und Passwort gesichert ist. Damit können Sie Antworten an den zuständigen Mitarbeiter bei Exyte entweder unter Nennung Ihres Namens oder auf anonyme, und jeweils sichere Weise senden. Dieses System speichert Daten nur innerhalb des Meldesystems, was die Kommunikation besonders sicher macht.
Meldungsabgabe per Telefon
Ihre Anonymität wird auch bei der telefonischen Übermittlung Ihres Berichts gewahrt. Weder Exyte noch EQS Group haben Zugriff auf Ihre Telefonnummer. Ihre Beschreibung des Vorfalls wird im BKMS® System aufgezeichnet.
Anschließend wird die verschlüsselte Tondatei von dem zuständigen Exyte-Mitarbeiter in Schriftform transkribiert und die Tondatei gelöscht. Wenn Sie einen geschützten Postkasten eingerichtet haben, können Sie mit dem zuständigen Bearbeiter bei Exyte per Sprachnachricht kommunizieren, Rückfragen entgegennehmen oder ggf. Informationen zu Ihrem Bericht ergänzen.
Alternativ können Sie über die Webanwendung auf Ihren geschützten Postkasten zugreifen, die Rückmeldung überprüfen und Ergänzungen in schriftlicher Form vornehmen. Um die Vertraulichkeit Ihrer Meldung oder Ihrer Ergänzung zu schützen, können Sie diese weder am Telefon noch in dem webbasierten geschützten Postkasten abhören.
Ihre Rechte
Auf Anfrage teilen wir Ihnen mit, ob und welche persönlichen Daten über Sie bei Exyte gespeichert sind.
Im Rahmen der gesetzlichen Voraussetzungen haben Sie das Recht, von Exyte die Berichtigung, Einschränkung der Verarbeitung oder die Löschung dieser personenbezogenen Daten zu verlangen.
Sie haben ferner das Recht, der Verarbeitung Ihrer personenbezogenen Daten nach Art. 6 Abs. 1 lit. f GDPR zu widersprechen. In diesem Fall werden wir die Verarbeitung nur fortsetzen, wenn unser berechtigtes Interesse an der Verarbeitung Ihrer Daten Ihr Recht auf Unterlassung der Verarbeitung Ihrer personenbezogenen Daten überwiegt oder wenn dies für die Geltendmachung, Ausübung oder Verteidigung unserer Rechtsansprüche erforderlich ist.
Sie haben außerdem das Recht, Auskünfte zu den personenbezogenen Daten, die Sie bereitgestellt haben, in einem strukturierten, gängigen maschinenlesbaren Format von uns zu erhalten. Sie haben das Recht, diese personenbezogenen Daten an einen anderen Verantwortlichen zu übermitteln (oder übermitteln zu lassen).
Sie haben auch das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde für den Datenschutz einzureichen. Für die Exyte Management GmbH ist die zuständige Behörde der "Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg" in Baden-Württemberg, Deutschland.
Kontakt
Für allgemeine Fragen oder Anregungen zum Thema Datenschutz wenden Sie sich bitte an das Exyte-Datenschutzteam unter privacy@exyte.net und ethics@exyte.net.
Der Verantwortliche und andere deutsche Exyte-Gesellschaften haben einen Datenschutzbeauftragten bestellt.
Wenn Sie Bedenken, Beschwerden oder Anregungen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter
Exyte Management GmbH
Datenschutzbeauftragter
Compliance
Löwentorstraße 42
70376 Stuttgart
Deutschland
E-Mail: privacy@exyte.net
Stand: 08/2021
