Datenschutzhinweis
Um die Meldung potenzieller Compliance-Verstöße zu erleichtern und wirksame Folgemaßnahmen zu gewährleisten, hat die Münchener Rückversicherungs-Gesellschaft AG in München (im weiteren Verlauf als „Munich Re“ bezeichnet) dieses sichere und vertrauliche Hinweisgebersystem eingerichtet, das auch die Anforderungen der EU-Hinweisgeberrichtlinie (Richtlinie (EU) 2019/1937) erfüllt. Daher ermöglicht das System eine sichere und vertrauliche Entgegennahme und Verarbeitung von Informationen zu Rechtsverletzungen. Die Nutzung des Hinweisgebersystems ist freiwillig.
Das Hinweisgebersystem wird von der EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, Deutschland im Auftrag von Munich Re betrieben. Die Kommunikation zwischen Ihrem Computer und dem Hinweisgebersystem ist verschlüsselt (SSL). Im Hinweisgebersystem eingegebene personenbezogene Daten werden verschlüsselt, sind durch ein Kennwort geschützt und werden in einer Datenbank gespeichert, die von EQS Group in einem in Deutschland gelegenen Hochsicherheitsrechenzentrum betrieben wird. Die EQS Group GmbH hat keinen Zugriff auf die Daten.
Wer ist für die Verarbeitung der Daten verantwortlich?
1) Verantwortlicher für Meldungen, die an Group Compliance and Legal (GCL) gerichtet werden, ist das folgende Unternehmen:
Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München
Königinstr. 107
80802 München
Telefon: +49 (89) 38 91 22 55
Fax: +49 (89) 39 91 7 22 55
E-Mail: group.whistleblowing@munichre.com
Bitte wenden Sie sich bei Fragen zum vorliegenden Datenschutzhinweis an den Datenschutzbeauftragten von Munich Re. Sie erreichen den Datenschutzbeauftragten per Post an den „Datenschutzbeauftragten“ unter der vorstehenden Anschrift oder per E-Mail an datenschutz@munichre.com.
2) Verantwortlicher für Meldungen, die an die zentrale Ombudsperson von Munich Re gerichtet werden, ist das folgende Unternehmen:
BDO AG Wirtschaftsprüfungsgesellschaft
Fuhlentwiete 12
20355 Hamburg
Deutschland
Telefon: +49 (40) 33 47 53 74 35
E-Mail: ombudsmann.mr@bdo.de
3) Verantwortlicher für Meldungen an die jeweilige(n) Compliance-Funktion(en) einzelner lokaler Gesellschaften ist die jeweilige lokale Gesellschaft.
Welche Kategorien von Daten verwenden wir und woher stammen die Daten?
Die Nutzung des Hinweisgebersystems ist freiwillig. Sofern von Ihnen mitgeteilt, erheben wir die folgenden personenbezogenen Daten und Informationen im Rahmen Ihrer Meldung:
- Ihren Vor- und Nachnamen sowie Ihre Kontaktdaten
- Ob Sie bei Munich Re angestellt sind
- Die Namen und weitere personenbezogene Daten von Personen, die Sie in Ihrer Meldung nennen.
Die IP-Adresse Ihres Computers wird während bzw. nach der Nutzung des Hinweisgebersystems nicht gespeichert. Um die Verbindung zwischen Ihrem Computer und dem Hinweisgebersystem aufrechtzuerhalten, wird ein Cookie auf Ihrem Computer gespeichert, welches lediglich die Session-ID enthält (ein sogenanntes Session-Cookie). Dieses Cookie ist nur bis zum Ende Ihrer Session gültig und verfällt, wenn Sie Ihren Browser schließen. Ungeachtet dessen kann Ihr Besuch des Hinweisgebersystems Spuren auf Ihrem Computer hinterlassen. Sofern Sie das Hinweisgebersystem von einem Firmencomputer aus aufrufen, sollten Sie daher darauf achten, insbesondere die temporären Daten (Cache) in Ihrem Browser zu löschen.
Sie haben die Möglichkeit, im Hinweisgebersystem einen geschützten Postkasten mit einem selbst gewählten Pseudonym/Benutzernamen und Kennwort einzurichten. Auf diese Weise können Sie Nachrichten und Dateien in anonymer und sicherer Weise mit der Ihre Meldung bearbeitenden Compliance-Funktion austauschen. Bei dieser Art der Kommunikation handelt es sich nicht um einen üblichen E-Mail-Verkehr. Die Daten werden ausschließlich im Hinweisgebersystem gespeichert und sind daher besonders geschützt.
Für welche Zwecke und auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?
Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie aller anderen anwendbaren nationalen Rechtsvorschriften, z. B. des Bundesdatenschutzgesetzes (BDSG).
Zweck der Datenverarbeitung ist die u.a. in § 23 Absatz 6 des deutschen Versicherungsaufsichtsgesetzes verankerte Pflicht von Munich Re, einen Prozess vorzusehen, der es Mitarbeitern und Dritten unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, potenzielle oder tatsächliche Verstöße gegen maßgebliche Gesetze und Verordnungen zu melden. Es liegt im berechtigten Interesse von Munich Re, Rechtsverstöße und schwerwiegende Pflichtverletzungen durch Mitarbeiter konzernweit in wirksamer Weise und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu untersuchen, abzustellen und zu sanktionieren, um Schaden und Haftungsrisiken abzuwenden. Die Gesellschaft, an die Sie Ihre Meldung richten, wird personenbezogene Daten ebenso wie die Namen und sonstigen Daten im Zusammenhang mit der Mitteilung und deren Inhalt vertraulich und allein zum Zwecke der sicheren und vertraulichen Entgegennahme und Bearbeitung verarbeiten. Wenn Sie im Hinweisgebersystem Angaben machen, werden Sie vom System um Ihre Einwilligung gebeten. Diese Einwilligung bildet die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten gemäß Art. 6 Abs. 1 Buchstabe a DSGVO. Wenn Sie Ihre Einwilligung widerrufen, kann die Verarbeitung auf Art. 6 Abs. 1 Buchstabe f DSGVO und nationale Vorschriften zur Implementierung der EU-Hinweisgeberrichtlinie gestützt werden, sofern Ihre personenbezogenen Daten im Einzelfall notwendig sind, um überwiegende oder zwingende vorstehende berechtigte Interessen von Munich Re zu schützen.
Werden Daten weitergegeben?
Wenn Sie Ihren Namen im Hinweisgebersystem angeben, stellen wir sicher, dass Ihre Identität als Hinweisgeber vertraulich behandelt wird.
Lediglich ein sehr kleiner Kreis ausdrücklich befugter Personen der jeweiligen Compliance-Funktion, die Ihre Meldung bearbeitet (basierend auf Ihrer Auswahl des Empfängers Ihrer Meldung), erhält Zugang zu den von Ihnen mitgeteilten Daten. Abhängig vom Inhalt der Meldung können im Einzelfall bestimmte ausdrücklich befugte Personen aus der internen Prüfungsabteilung, zusammen mit dem Datenschutzbeauftragten und einzelnen befugten Personen in Tochtergesellschaften Zugang zu den Daten erhalten, soweit dies zur Verarbeitung einer bestimmten Information erforderlich ist. Sofern diese Tochtergesellschaften ihren Hauptsitz in Ländern außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums unterhalten, werden geeignete bzw. angemessene Datenschutzgarantien gewährleistet. Soweit nicht ein konkreter Angemessenheitsbeschluss der Europäischen Kommission für das entsprechende Drittland vorliegt, bestehen diese Sicherheitsmaßnahmen insbesondere aus verbindlichen internen Datenschutzvorschriften bzw. Standardvertragsklauseln der Europäischen Kommission. In Ausnahmefällen können wir von den in Art. 49 DSGVO vorgesehenen Sicherheitsmaßnahmen abweichen. Beispielsweise dann, wenn die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Untersuchungen der gemeldeten Informationen erfolgen streng vertraulich. Jede Person mit Zugang zu den Daten ist zu deren Geheimhaltung verpflichtet. Ihr Name bzw. etwaige Umstände, die Ihre Identität als Hinweisgeber gefährden könnten, werden grundsätzlich nicht offengelegt. Gleichwohl sind wir in bestimmten Ausnahmefällen gegebenenfalls verpflichtet, Ihren Namen anzugeben, beispielsweise im Rahmen einer Rechtspflicht.
Sofern sich ein Anfangsverdacht bestätigt, können die Informationen an eine andere interne Abteilung zwecks Einleitung von Sanktionen bzw. an eine staatliche Strafverfolgungsbehörde weitergegeben werden.
Information der von der Meldung betroffenen Person(en)
In bestimmten Fällen sind wir rechtlich verpflichtet, betroffene Personen darüber zu unterrichten, dass wir Informationen über sie erhalten haben. Dies kann erst dann erfolgen, wenn die Benachrichtigung der betroffenen Personen die Untersuchung der erhaltenen Informationen nicht länger gefährdet. Darüber hinaus steht der betroffenen Person gegebenenfalls ein Auskunftsrecht in Bezug auf die sie betreffenden Daten zu. Im gesetzlich zulässigen Umfang werden im Zuge dieses Verfahrens keine direkten oder indirekten Informationen zum Hinweisgeber offengelegt.
Wie lange werden Ihre Daten gespeichert?
Wir speichern personenbezogene Daten im Zusammenhang mit Ihrer Meldung so lange, wie dies für die Untersuchung erforderlich ist und darüber hinaus gesetzliche oder vertragliche Aufbewahrungsfristen uns zur Speicherung personenbezogener Daten verpflichten. Im Anschluss an diesen Zeitraum werden die erhaltenen Informationen übereinstimmend mit den länderspezifischen rechtlichen Anforderungen entweder gelöscht oder anonymisiert, d. h. dass jede Bezugnahme auf Ihre Identität als Hinweisgeber endgültig und unwiderruflich gelöscht wird.
Recht zum Widerruf der Einwilligung und Widerspruchsrecht
Sie haben das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen und der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, ohne dass Ihnen hierdurch Nachteile entstehen. Wir werden die Verarbeitung sodann einstellen, soweit nicht auf der Grundlage von Art. 6 Abs. 1 Buchstabe f und Art. 21 DSGVO (Datenverarbeitung auf der Grundlage berechtigter Interessen) unsererseits zwingende berechtigte Interessen für eine Verarbeitung vorliegen, die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden oder nationale Vorschriften zur Implementierung der EU-Hinweisgeberrichtlinie uns die weitere Verarbeitung gestatten.
Der Widerruf und Widerspruch können formlos erhoben werden und sollten an die vorgenannte Gesellschaft, an die Sie Ihre Meldung gerichtet haben, adressiert werden.
Welche weiteren Rechte stehen Nutzern des Hinweisgebersystems zu?
Neben Ihrem Recht, über die Verarbeitung Ihrer personenbezogenen Daten informiert zu werden, stehen Ihnen nach den gesetzlichen Bestimmungen ein Auskunftsrecht gemäß Art. 15 DSGVO, das Recht auf Berichtigung gemäß Art. 16 DSGVO, das Recht auf Löschung gemäß Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO und das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO zu. Auf Anforderung stellen wir die von Ihnen übermittelten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung. Bitte wenden Sie sich zur Ausübung dieser Rechte an die vorgenannte Gesellschaft, an die Sie Ihre Meldung gerichtet haben.
Des Weiteren besteht das Recht, Beschwerde bei einer Aufsichtsbehörde Ihrer Wahl einzureichen (Art. 77 DSGVO i. V. m. § 19 BDSG). Für Munich Re ist die folgende Behörde zuständig:
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
Telefon: 0981/180093-0
Telefax: 0981/180093-800
E-Mail: poststelle@lda.bayern.de
Internet: https://www.lda.bayern.de/de/kontakt.html
Stand: Februar 2023