SpeakUP!

Warum soll ich Rat suchen / eine Meldung abgeben?

Es ist die Verantwortung jedes einzelnen Mitarbeiters, die geltenden gesetzlichen Regelungen und Miba Richtlinien einzuhalten.

Es kann jedoch vorkommen, dass Miba Mitarbeiter Verstöße gegen den Miba Verhaltenskodex, Miba Richtlinien oder gesetzliche Vorschriften feststellen oder ernstlich für möglich halten – entweder weil sie Zeugen eines Vorfalls, bei einem Vorfall beteiligt oder Ziel eines Vorfalls sind. Falls Sie sich nicht sicher sind, was Sie beobachtet haben oder ob Sie eine Meldung abgeben sollten, können Sie bei den erfahrenen Mitgliedern unseres Compliance Teams nach Rat fragen. Durch Ihren Hinweis helfen Sie, schwerwiegende negative Folgen für die Miba und ihre Mitarbeiter zu vermeiden und sichern somit den nachhaltigen Erfolg und das Fortbestehen der Miba.

Welche Meldungen sollten abgegeben werden?

Sie können Hinweise zu Verstößen/Straftaten mit folgenden Schwerpunkten geben, die sich gegen das Unternehmensinteresse richten:

• Korruption / Interessenkonflikt / Geldwäsche
• Betrug / Untreue / Unterschlagung
• Unlauterer Wettbewerb / Kartellrecht
• Verletzung von Datenschutzrecht / Betriebs- und Geschäftsgeheimnisse
• Diskriminierung / Mobbing / Gewalt oder Bedrohung / Arbeitsrecht
• Zoll / Warenursprung / Präferenzen / Exportkontrolle
• Probleme in der Lieferkette/Schäden für die Umwelt oder die Menschenrechte innerhalb der Lieferkette
• Umweltschäden/Verstöße gegen Umweltgesetze oder -vorschriften

Sie haben darüber hinaus die Möglichkeit, Fragen zu Compliance und zur Einhaltung des Miba Verhaltenskodex zu stellen.

Wie wird meine Anonymität sichergestellt?

Wenn Sie anonym bleiben wollen, schützt SpeakUP! (BKMS^® System) Ihre Anonymität technisch. Ihre Meldung wird durch Verschlüsselungs- und andere spezielle Sicherheitsroutinen anonym gehalten. Solange Sie selbst keine Daten eingeben, die Rückschlüsse auf Ihre Person zulassen, ist es weder für den Systembetreiber noch für die Miba möglich, Ihre Identität herauszufinden.

Die Kommunikation zwischen Ihrem Rechner und dem System erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem SpeakUP! wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.

Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym / Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise kann Ihnen ein Bearbeiter der Miba Rückmeldung geben, was mit Ihrem Hinweis geschieht, oder Fragen stellen, falls Einzelheiten noch unklar sein sollten – Sie bleiben auch während des Dialogs anonym. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.

Ihre Sicherheit ist uns wichtig. Falls Sie sich beim Schutz Ihrer Anonymität noch nicht sicher fühlen, können Sie für eine Meldung alternativ auch einen privaten PC oder ein mobiles Endgerät verwenden.

Wie wird der Schutz meiner Daten gewährleistet?

Die Datensicherheit sowie die Datenschutzkonformität von SpeakUP! mit den geltenden, öffentlich einsehbaren Kriterien unter Berücksichtigung der Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) sind von unabhängigen Experten geprüft und zertifiziert.

Das SpeakUP! ist eine internetbasierte Anwendung und wird auf autarken Servern in einem Hochsicherheitsrechenzentrum der EQS Group GmbH betrieben. Das Rechenzentrum ist ISO 27001:2013 zertifiziert. Alle Meldungen die in SpeakUP! eingegeben werden, sowie durch die Postbox eingegangen sind, werden einzeln verschlüsselt gespeichert. Anders als in einfachen html-Webportalen können bei SpeakUP! weder Mitarbeiter der EQS Group GmbH noch sonstige Dritte Einsicht in die Meldungen der Kunden nehmen.

Wie läuft eine Meldung ab?

Wenn Sie eine namentliche oder eine anonyme Meldung senden möchten, klicken Sie links oben auf unserer Einführungsseite den Button „Meldung abgeben / Rat suchen“.

Der Meldeprozess umfasst 4 Schritte:

1. Zunächst werden Sie gebeten, einen Informationstext zum Schutz Ihrer Anonymität zu lesen sowie eine Sicherheitsabfrage zu beantworten.
2. Auf der folgenden Seite werden Sie nach dem Schwerpunkt Ihrer Meldung gefragt.
3. Auf der Meldeseite formulieren Sie Ihren Hinweis in eigenen Worten und beantworten Fragen zum Fall über einfache Antwortauswahl. Für den freien Text haben Sie 4.096Zeichen zur Verfügung, was einer vollgeschriebenen Seite entspricht. Sie können zur Unterstützung Ihrer Meldung auch eine Datei bis zu 5 MB mitsenden. Denken Sie daran, dass Dokumente Informationen über den Autor enthalten können. Nach Absenden Ihrer Meldung erhalten Sie eine Referenznummer als Beleg, dass Sie diese Meldung gesendet haben.
4. Um Ihrer Meldung bestmöglich nachgehen zu können, bitten wir Sie, sich Ihren eigenen, geschützten Postkasten einzurichten. Über diesen erhalten Sie von uns Rückmeldungen, beantworten Fragen und werden über den Fortgang Ihres Hinweises informiert.

Falls Sie bereits einen geschützten Postkasten haben, gelangen Sie direkt über den Button „Login“ zu diesem Postkasten. Auch hier müssen Sie zunächst die Sicherheitsabfrage bestätigen.

Solange Sie selbst keine Daten eingeben, die Rückschlüsse auf Ihre Person zulassen, ist Ihre Anonymität durch das BKMS^® System technisch sichergestellt.

Wir versichern Ihnen, dass wir ausschließlich an dem von Ihnen gemeldeten Fall interessiert sind. Missstände sollen aufgedeckt werden, um (psychische) Gesundheit und Sicherheit am Arbeitsplatz zu sichern und finanzielle Schäden abzuwenden.

Was passiert, wenn sich mein Verdacht als unbegründet herausstellt?

Wenn sich ein Hinweis oder ein Verdacht als unbegründet herausstellt, haben Sie keine negativen Konsequenzen zu befürchten. Es kann vorkommen, dass Situationen falsch interpretiert werden oder dass einzelne Handlungen im Gesamtkontext, der Ihnen nicht bekannt ist, anders zu beurteilen sind. Da aber ein tatsächlicher Compliance-Verstoß ohne Ihren Hinweis möglicherweise erst gar nicht aufgedeckt würde, ist es für ein wirksames Hinweisgebersystem wichtig, dass ein beobachtetes Fehlverhalten oder ein derartiger Verdacht immer gemeldet werden.

Selbstverständlich darf SpeakUP! keinesfalls dazu verwendet werden, bewusst falsche bzw. verleumderische Hinweise abzugeben.

Datenschutzerklärung für SpeakUP!

Sehr geehrte Damen und Herren,

als Familienunternehmen übernimmt die Miba seit mehr als 90 Jahren Verantwortung als Arbeitgeber und Geschäftspartner. Die Einhaltung der jeweils geltenden Gesetze sowie sonstiger externer und interner Vorschriften ist für uns Bestandteil und Grundlage unserer unternehmerischen Aktivitäten und Entscheidungen.

Die Miba nimmt daher auch das Thema Datenschutz ernst. Mit dieser Datenschutzerklärung informieren wir Sie über die von uns durchgeführten Verarbeitungstätigkeiten im Zusammenhang mit dem Miba Hinweisgebersystem SpeakUP! und kommen damit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) nach.

Verantwortlicher:

Die für den Datenschutz verantwortliche Stelle von SpeakUP! ist die Miba AG, Dr.-Mitterbauer-Str. 3, 4663 Laakirchen, Österreich, und ihre Tochtergesellschaften als jeweils autonom verantwortliche Stellen (im Folgenden jeweils als „Miba“ bezeichnet). Verantwortlicher zu sein bedeutet, pflichtbewusst mit der Verarbeitung personenbezogener Daten umzugehen. Tochtergesellschaften im Sinne dieser Datenschutzerklärung sind alle Unternehmen, an denen die Miba AG direkt oder indirekt mehr als 50 % der Anteile hält. Eine Übersicht der Miba Standorte samt Kontaktdaten finden Sie auf unserer Website unter http://www.miba.com/de/unternehmen/globale-standorte/.

SpeakUP! wird durch ein darauf spezialisiertes Unternehmen, der EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von Miba betrieben. Personenbezogene Daten und Informationen, die in SpeakUP! eingegeben werden, werden in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur Miba möglich. Die EQS Group GmbH und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.

Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei Miba beschränkt ist.

Kategorien personenbezogener Daten:

Die Miba verarbeitet die nachfolgenden Datenkategorien oder Teile davon. Bitte beachten Sie, dass nicht alle Punkte in der Liste auch auf Sie zutreffen müssen. Welche Daten konkret verarbeitet werden, hängt vor allem von der konkreten Meldung in SpeakUP! ab. Bitte beachten Sie außerdem, dass die zu den Kategorien genannten Beispiele nicht erschöpfend sind.

• Kontaktdaten (je nach Angabe betriebliche oder private Kontaktdaten): z. B. Name, Anrede, Titel, Adresse, Telefonnummer, Mobiltelefonnummer, E-Mail-Adresse und andere zur Adressierung erforderliche Informationen, die sich durch moderne Kommunikationstechniken ergeben
• Unternehmens- und Arbeitsplatzdaten: z. B. Unternehmensname, berufliche Funktion und Position, organisatorische Zuordnung im Betrieb, Umfang der Vertretungsbefugnis
• Tätigkeits- und vorfallsbezogene Daten: z. B. von Ihnen bearbeitete Geschäftsfälle, Rechtsfälle und Verträge, von Ihnen gestellte Fragen, von Ihnen unterfertigte Verträge und Vertragsdokumente, Zollanmeldungen, Rolle bei compliance-relevanten Sachverhalten (z. B. Hinweisgeber, Zeuge, Vorgesetzter, Geschenkgeber oder -nehmer, Einladender oder Eingeladener, Genehmiger), genehmigte oder abgelehnte Einladungen oder Geschenke, vorgenommene Zahlungen oder Spenden, Zahlungsbelege, Interessenskonflikte, Reise- und Besuchsdaten, Veranstaltungen, Land, in dem sich der Vorfall ereignet hat; betroffenes Miba Unternehmen, Verfahrensablauf und ergriffene Maßnahmen
• Sonstige personenbezogene Daten, die in einer Meldung angegeben werden

Zweck und Rechtsgrundlagen:

SpeakUP! dient dazu, Hinweise auf Verstöße gegen das Compliance-Gebot von Miba auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten.

Die Miba verarbeitet Ihre personenbezogenen Daten zur Wahrung berechtigter Interessen der Miba an der Verarbeitung Ihrer Daten (Art. 6 Abs. 1 lit. f DSGVO). Das berechtigte Interesse der Miba besteht darin, die Einhaltung von Gesetzen und Compliance-Vorgaben durch die Miba und ihre Mitarbeiter und damit auch den reibungslosen Geschäftsbetrieb sicherzustellen. Die Miba hat ein berechtigtes Interesse an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für Miba, ihre Mitarbeiter und Geschäftspartner.

Sofern derartige Daten in der Meldung enthalten sind, verarbeitet die Miba auch besondere Kategorien personenbezogener Daten (sogenannte sensible Daten), zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder für Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit (Art 9 Abs 2 lit f DSGVO).

Die Nutzung von SpeakUP! erfolgt auf freiwilliger Basis. Eine Nichtbereitstellung von personenbezogenen Daten könnte je nach Datenkategorie zur Folge haben, dass wir die aufgelisteten Zwecke (insbesondere Aufdeckung von Missständen) nicht erfüllen können.

Vertrauliche Behandlung von Hinweisen:

Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance Organisation von Miba entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der Compliance Organisation von Miba prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern der Miba oder Mitarbeitern von anderen Konzerngesellschaften weiterzugeben, z. B. wenn sich die Hinweise auch auf Vorgänge in anderen Konzerngesellschaften beziehen. Letztere können Ihren Sitz auch in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes haben, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.

Information der beschuldigten Person:

Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Selbst wenn Sie eine Meldung nicht anonym, sondern namentlich abgegeben haben, wird Ihre Identität als Hinweisgeber – soweit rechtlich zulässig – nicht offenbart. Der Schutz eines Hinweisgebers hat für uns stets höchste Priorität.

Nutzung des Hinweisgeberportals:

Die Kommunikation zwischen Ihrem Rechner und SpeakUP! erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung von SpeakUP! nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und SpeakUP! wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben nach der initialen Meldungsabgabe die Möglichkeit, mit einem selbst gewählten Pseudonym/Benutzername und Passwort einen geschützten Postkasten in SpeakUp! einzurichten. Über diesen geschützten Postkasten innerhalb des BKMS^® Systems können Sie in Folge mit den zuständigen Mitarbeitern von Miba namentlich oder anonym weitergehende Informationen austauschen.
Bei diesem System sind die Daten ausschließlich in SpeakUP! gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.

Hinweise zum Versand von Anhängen:

Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, den zuständigen Mitarbeitern von Miba Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, per Post an „Miba AG, Legal & Compliance, Dr.-Mitterbauer-Str. 3, 4663 Laakirchen, Österreich“.

Quellen:

Die verarbeiteten personenbezogenen Daten stammen in erster Linie vom Hinweisgeber; sie können aber auch von in der Meldung genannten Zeugen und sonstigen Auskunftspersonen stammen.

Empfänger:

Um einen Verarbeitungszweck zu erfüllen, kann eine Übermittlung der im jeweiligen Einzelfall relevanten Daten an andere Unternehmen der Miba Gruppe oder an Dritte, möglicherweise auch außerhalb der EU/des EWR, erforderlich sein. Mögliche Empfänger können sein:

• Zuständige Behörden und Gerichte (z. B. Finanzbehörden, Sicherheitsbehörden);
• Rechtsvertreter, Steuerberater, Wirtschaftsprüfer;
• Geschäftsführung und Vorgesetzte in einer anderen Miba Gesellschaften, deren Mitarbeiter am konkreten Sachverhalt beteiligt sind.

Ist zur Erfüllung des Verarbeitungszwecks eine Übermittlung der im jeweiligen Einzelfall relevanten Daten an Empfänger außerhalb der EU/des EWR erforderlich, ergibt sich das angemessene Schutzniveau in der Regel aus dem Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission, aus der Nutzung zwischenbetrieblicher oder externer Vereinbarungen auf der Basis von EU-Standarddatenschutzklauseln (nach Art. 46 Abs. 2 lit. c und d DSGVO) oder aus dem Vorliegen einer von der DSGVO vorgesehenen Ausnahme für den bestimmten Fall (nach Art. 49 Abs. 1 DSGVO, z. B. die Übermittlung ist für die Erfüllung des Vertrages zwischen Ihnen und der Miba erforderlich, die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich). Sie können eine Kopie der anwendbaren geeigneten oder angemessenen Garantien erhalten, indem Sie uns unter compliance@miba.com kontaktieren.

Speicherdauer:

Die gemeldeten personenbezogenen Daten werden spätestens fünf, Logdaten acht Monate nach Beendigung der Untersuchung gelöscht, sofern sie nicht weiter für die Durchführung eines Gerichts- oder Verwaltungsverfahrens oder für weitere disziplinäre oder andere amtliche Verfahren benötigt werden; in diesen Fällen werden die gemeldeten Daten solange und in dem Umfang gespeichert, soweit dies für die Führung und den Abschluss derartiger Verfahren erforderlich ist.

Ihre Rechte:

Ihnen stehen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu. Bitte beachten Sie jedoch, dass die Miba möglicherweise nicht immer dazu verpflichtet ist, eine Bitte um Löschung, Einschränkung oder Datenübertragbarkeit zu erfüllen oder einem Widerspruch nachzukommen. Dies ist im Einzelfall auf Basis der gesetzlichen Verpflichtungen der Miba und etwaig geltender Ausnahmen zu beurteilen. Beruht die Verarbeitung auf Ihrer Einwilligung, haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Sollte ein Hinweisgeber der Ansicht sein, dass die Verarbeitung der personenbezogenen Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, kann dieser sich an das Miba Compliance Team(compliance@miba.com) wenden, damit wir Abhilfe schaffen können. Der Hinweisgeber hat aber auch das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für die Miba AG und deren österreichische Tochtergesellschaften zuständige Datenschutzaufsichtsbehörde ist die Österreichische Datenschutzbehörde.

Weitere Informationen:

Wir hoffen, Ihnen mit dieser Datenschutzerklärung Klarheit darüber verschafft zu haben, für welche Zwecke die Miba Ihre personenbezogenen Daten verarbeitet. Sollte es noch Fragen zum Thema Datenschutz oder Wünsche geben, die zuvor genannten Rechte geltend zu machen, wenden Sie sich bitte an das Miba Compliance Team (compliance@miba.com).

Diese Datenschutzerklärung für das Miba Hinweisgebersystem SpeakUP! kann von Zeit zu Zeit angepasst werden, um den aktuellen Gegebenheiten zu entsprechen.

Miba, AG
Legal & Compliance
August 2023

Wie richte ich einen anonymen Postkasten ein?

Warum ist es wichtig, einen Postkasten einzurichten?

Wie richte ich einen Postkasten ein?

Wie funktioniert der Postkasten?

Sie fühlen sich noch nicht sicher?