Datenschutzerklärung - Hinweisgebersystem
Im Rahmen dieser Datenschutzerklärung informiert Sie die Gruppe Deutsche Börse (GDB) (im Folgenden „Wir" oder „Uns") darüber, wie wir die von Ihnen im Zusammenhang mit dem Whistleblower-System zur Verfügung gestellten personenbezogenen Daten verarbeiten. Ihre personenbezogenen Daten sind alle Informationen, die Sie betreffen, wie Name oder Kontaktdaten (nachfolgend "personenbezogene Daten").
Wir achten besonders auf die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung EU 2016/679 ("DS-GVO") und den geltenden nationalen Datenschutzgesetzen.
Verantwortlicher
Unsere Identität und Kontaktdaten
Das Whistleblowing-System der Gruppe Deutsche Börse wird bereitgestellt von:
Deutsche Börse AG
Compliance
60485 Frankfurt am Main
Germany
Tel. +49-(0) 69-2 11-0
E-Mail compliance@deutsche-boerse.com
Kontaktdaten unseres Datenschutzbeauftragten
Unser Datenschutzbeauftragter ist:
Deutsche Börse AG
Datenschutzbeauftragte(r) (Group Data Protection)
Mergenthalerallee 61, 65760 Eschborn, Germany
Email: dataprotection@deutsche-boerse.com
Tel.: +49 69 2 11-1 38 40
Zweck, Kategorien personenbezogener Daten, Rechtsgrundlagen und Aufbewahrung
Kategorien Ihrer personenbezogenen Daten und Zwecke unserer Verarbeitung
Der Whistleblower kann wählen, ob er seine Identität (z. B. Vorname, Nachname) preisgibt oder nicht. Im Falle einer Offenlegung durch den Whistleblower können die angegebenen Informationen personenbezogene Daten des Whistleblowers und/oder anderer Personen enthalten. Wir verarbeiten die angegebenen personenbezogenen Daten, um den Sachverhalt je nach Einzelfall der zuständigen Abteilung zuzuordnen. Wenn der Whistleblower seine Identität preisgibt und weitere Maßnahmen von uns ergriffen werden, können die personenbezogenen Daten zu Dokumentationszwecken gespeichert werden. Wir verarbeiten nur die personenbezogenen Daten, die für die oben beschriebenen Zwecke unbedingt erforderlich sind.
Die Kategorien personenbezogener Daten hängen von den Informationen ab, die der Whistleblower zur Verfügung stellt. Wir können diese Daten im Zusammenhang mit der Nutzung des Whistleblowing-Tools erhalten. Insbesondere können wir personenbezogene Daten erhalten, weil Sie uns diese übermitteln (z.B. durch die Abgabe einer Meldung), weil andere sie uns übermitteln (z.B. weil Ihre Daten in einer Meldung vorkommen) oder weil sie durch die Bearbeitung des Einzelfalls bekannt werden (z.B. weil Sie bei der Untersuchung einer Meldung vorkommen).
Rechtliche Grundlage für die Verarbeitung Ihrer personenbezogenen Daten
Unsere unter 2.1 beschriebene Verarbeitung Ihrer personenbezogenen Daten ist gesetzlich erlaubt:
Die rechtliche Grundlage für die Bereitstellung des Whistleblowing-Systems und/oder die Verarbeitung Ihrer personenbezogenen Daten innerhalb eines Falles ist Art. 6 Abs. 1 (f) der DS-GVO. Danach ist die Verarbeitung personenbezogener Daten zum Zwecke der Wahrung unserer berechtigten Interessen an der Überwachung der Einhaltung unseres Verhaltenskodex und der geltenden Gesetze und Vorschriften sowie der Untersuchung und Verhinderung illegaler und/oder geschäftsschädigender Handlungen erlaubt. In dieser Hinsicht werden wir immer von Fall zu Fall entscheiden, ob unsere Interessen nicht von den Interessen, Grundrechten und Grundfreiheiten der betroffenen Personen überlagert werden.
In Ländern mit verpflichtenden Anforderungen zur Bereitstellung eines Whistleblowing-Systems und/oder zur Verarbeitung Ihrer personenbezogenen Daten innerhalb eines Falles ist die rechtliche Grundlage Art. 6 Abs. 1 (c) der DS-GVO, der die Verarbeitung von Personendaten zur Erfüllung einer gesetzlichen Verpflichtung erlaubt.
In Ausnahmefällen können wir verpflichtet sein, mit Behörden zusammenzuarbeiten (z.B. bei der Verfolgung von Straftaten). Die gesetzliche Grundlage für die damit verbundene Datenverarbeitungen ist Artikel 6 Abs. 1 (c) DS-GVO. Wenn wir ohne eine solche Verpflichtung mit Behörden zusammenarbeiten, um mögliche Straftaten aufzuklären, so geschieht dies auf der Grundlage von Art. 6 Abs. 1 (e) DS-GVO. Durch die Datenverarbeitung unter diesen Umständen wird das öffentliche Interesse an der Verfolgung und Aufdeckung von Straftaten gewahrt.
Treffen wir automatisierte Entscheidungen über Sie?
Abgesehen von der automatischen Verarbeitung, einschließlich der Profilerstellung, treffen wir keine automatisierten Entscheidungen, die für Sie rechtliche Auswirkungen oder ähnliche Auswirkungen haben.
Müssen Sie uns Ihre personenbezogenen Daten mitteilen?
Die Angabe Ihrer personenbezogenen Daten im Rahmen des Whistleblowing-Prozesses ist im Allgemeinen freiwillig. Je nach Einzelfall kann die Angabe personenbezogener Daten zur Untersuchung des Falles notwendig sein.
Das Whistleblowing-System bietet Ihnen die Möglichkeit, Informationen entweder anonym oder namentlich zu übermitteln. Bevor Sie Ihre Identität angeben, überlegen Sie bitte sorgfältig, ob Sie entsprechende Informationen zur Verfügung stellen möchten. Bitte denken Sie auch daran, dass Rückschlüsse auf Ihre Person nicht nur über Ihren Namen, sondern auch auf andere Weise möglich sind. Dies kann z.B. der Fall sein, wenn nur Sie als Zeuge eines Ereignisses in Betracht kommen, z.B. aufgrund Ihrer Position im Unternehmen, Ihrer physischen Anwesenheit oder einer besonderen Zugangsberechtigung.
Aufbewahrungsfristen
Die Aufbewahrungsfristen für personenbezogene Daten hängen vom Zweck der Verarbeitung ab. Wir werden die in Abschnitt 2.1 oben genannten personenbezogenen Daten so lange aufbewahren, wie (i) für den jeweiligen Zweck erforderlich und/oder (ii) durch die geltenden gesetzlichen Aufbewahrungsvorschriften vorgeschrieben. In Ihrem Fall werden wir personenbezogene Daten, die Sie uns zur Verfügung stellen, so lange aufbewahren, wie es erforderlich ist, um den Whistleblower-Fall abzuschließen oder wie es die geltenden gesetzlichen Aufbewahrungsfristen erfordern.
Herkunft der Daten und Maßnahmen zur Anonymität
Wir erhalten Ihre personenbezogenen Daten von Whistleblowern, soweit sich diese aus dem jeweiligen Hinweis ergeben.
Im Auftrag der GDB wird das Whistleblowing System von dem spezialisierten und sorgfältig ausgewählten Unternehmen EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, Deutschland, betrieben. Geben die Whistleblower über das telefonische Meldesystem über einen speziell eingerichteten Postkasten Auskunft, so werden diese Daten verschlüsselt in einem Hochsicherheits-Rechenzentrum der EQS Group GmbH gespeichert. Nur autorisierte Bearbeiter der GDB können die Daten entschlüsseln und verwenden. Weder die EQS Group GmbH noch andere Dritte können Daten entschlüsseln oder verwenden. Dies wird durch ein zertifiziertes Verfahren und durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten werden durch einen mehrfachen Passwortschutz geschützt und verschlüsselt gespeichert, so dass der Zugriff nur durch autorisierte Personen der GDB beschränkt ist.
Die EQS Group GmbH verarbeitet die Daten ausschließlich zu den von uns angegebenen Zwecken und nach unseren Weisungen. Sie ist von uns vertraglich verpflichtet worden, Ihre Daten ausschließlich nach den geltenden Datenschutzgesetzen zu verarbeiten.
Die EQS Group GmbH wird sich zur Erbringung der beschriebenen Leistungen gegebenenfalls weiterer weisungsgebundener Dienstleister bedienen. In diesem Fall wird die EQS Group GmbH die Dienstleister zur strikten Einhaltung der Vertraulichkeit hinsichtlich der personenbezogener Daten verpflichten.
Übermittlung personenbezogener Daten an Dritte
Wir werden Ihre personenbezogenen Daten nicht an Dritte weitergeben, es sei denn, eine solche Weitergabe ist gesetzlich erlaubt oder Sie haben der Weitergabe ausdrücklich zugestimmt.
Wir können Ihre personenbezogenen Daten an Behörden weitergeben, wenn dies gesetzlich vorgeschrieben ist (z.B. nach dem deutschen Börsengesetz oder dem deutschen Wertpapierhandelsgesetz). Eine Übermittlung Ihrer personenbezogenen Daten ist auch dann zulässig, wenn der Verdacht auf eine Straftat besteht. In diesem Fall sind wir berechtigt, Ihre personenbezogenen Daten an die Strafverfolgungsbehörde zu übermitteln.
Ansonsten werden Ihre personenbezogenen Daten ausschließlich in unserer Datenbank und auf unseren Servern bzw. denen unserer beauftragten Dienstleister gespeichert. Wir werden Ihre personenbezogenen Daten nur unter der Bedingung an andere für die Verarbeitung Verantwortliche für deren eigene Zwecke weitergeben, dass Sie einer solchen Weitergabe Ihrer personenbezogenen Daten ausdrücklich und freiwillig zugestimmt haben; in diesem Fall werden wir Ihre Zustimmung getrennt von diesem Hinweis einholen.
Darüber hinaus können, wie oben beschrieben, autorisierte Personen personenbezogene Daten in verschlüsselter Form in das BKMS® System eingeben (insbesondere über den Postkasten), um im Falle von Rückfragen mit dem Whistleblower zu kommunizieren, sowie, um den anderen Unternehmen der GDB die erhaltenen Informationen und/oder die sie betreffenden Informationen zu kommunizieren.
Um den Schutz Ihrer Persönlichkeitsrechte zu gewährleisten, werden wir Ihre Daten nur dann an Länder außerhalb des Europäischen Wirtschaftsraums übermitteln, wenn ein angemessenes Datenschutzniveau gewährleistet ist, das dem der DS-GVO entspricht. Ist dies nicht der Fall, macht das Unternehmen von einer der in Art. 44 ff. DS-GVO genannten Methoden Gebrauch, insbesondere durch den Abschluss von Standarddatenschutzklauseln von der EU-Kommission gemäß Art. 44 ff. 46 Abs. 2 (c) DS-GVO. Diese können jederzeit unter https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32004D0915 eingesehen werden.
Zusätzlich handelt die Deutsche Börse AG als Auftragsverarbeiter für die Tochterunternehmen der GDB, die das Whistleblowing-System nutzen.
Unter diesen Bedingungen können Empfänger Ihrer personenbezogenen Daten zum Beispiel sein:
- öffentliche Einrichtungen und Institutionen bei Vorliegen einer gesetzlichen oder regulatorischen Verpflichtung (z.B. Finanzbehörden),
- Dienstleistungsanbieter (Verarbeiter) in den folgenden Bereichen: Whistleblowing Dienstleister
Ihre Rechte
Nach den geltenden Datenschutzgesetzen haben Sie das Recht
- Zugang, Berichtigung und/oder Löschung Ihrer personenbezogenen Daten zu verlangen;
- Einschränkung der Verarbeitung zu verlangen oder Einspruch gegen die Verarbeitung erheben;
- uns mitzuteilen, dass Sie keine Marketinginformationen erhalten möchten; und
- (unter bestimmten Umständen) zu verlangen, dass bestimmte Ihrer personenbezogenen Daten an Sie oder eine dritte Partei übermittelt werden.
Soweit unsere Verarbeitung Ihrer personenbezogenen Daten auf Ihrer Einwilligung beruht, haben Sie auch das Recht, Ihre Einwilligung zu widerrufen, ohne die Rechtmäßigkeit unserer Verarbeitung aufgrund Ihrer Einwilligung vor deren Widerruf zu beeinträchtigen.
Um Ihre Rechte auszuüben, können Sie uns wie in Abschnitt 1 oben beschrieben kontaktieren. Sie können auch eine Beschwerde über die Verarbeitung Ihrer personenbezogenen Daten bei einer Datenschutzbehörde einreichen.