Datenschutzerklärung zum Meldeprozess
(Letzte Änderung 4. Marsch 2024)
- Datenverantwortlicher
- Amadeus IT Group S.A. (nachstehend „Amadeus“), die das BKMS® System im Rahmen des Meldeprozesses implementiert hat bzw. nutzt.
- Zweck der Verarbeitung personenbezogener Daten
- Ermittlung von Unregelmäßigkeiten und Verstößen gegen geltendes Recht betreffend Geschäftsgebahren und -ethik sowie der von Amadeus aufgestellten Melderichtlinie.
- Rechtsgrundlage der Verarbeitung
- Gesetzliche Verpflichtung, da Amadeus zur Umsetzung eines Hinweisgeberverfahrens verpflichtet ist.
Berechtigtes Interesse von Amadeus, wenn die oben genannte Rechtspflicht in der jeweiligen Rechtsordnung nicht besteht. - Wer kann Ihre personenbezogenen Daten einsehen?
- Mitarbeiter in der Verarbeitung und Verwaltung des Meldekanals und des BKMS® System, die Compliance-Abteilung des Unternehmens, die interne oder externe Ermittlungs gruppe gemäß der unter https://amadeusworkplace.sharepoint.com/Sites/CorporatePolicies_official verfügbaren Melderichtlinie.
Hinweis: Um den Link zu öffnen, kopieren Sie diesen bitte und fügen Sie ihn in die Adressleiste Ihres Browsers ein. - Rechte betroffener Personen
- Sie haben das Recht, Zugang zu den personenbezogenen Daten zu erhalten und diese zu prüfen und ihre Verarbeitung einzuschränken. Ferner sind Sie berechtigt, Beschwerde bei einer zuständigen Aufsichtsbehörde einzureichen. Dabei sind stets die Rechte der Hinweisgeber und der beschuldigten Personen gegeneinander abzuwägen.
Um Ihre Rechte auszuüben, schicken Sie eine E-Mail an ethics@amadeus.com oder richten Sie ein entsprechendes Schreiben an unseren Geschäftssitz: Calle Salvador de Madariaga, 1, 28027 Madrid, Spain
Einführung
Der Meldeprozess dient der sicheren Übermittlung, Erfassung und Bearbeitung von Meldungen hinsichtlich Verstößen gegen die Compliance-Richtlinien von Amadeus. Auf diesem Wege können Mitarbeiter (und Subunternehmer) von Amadeus-Unternehmen Verstöße gegen geltendes Recht, die Compliance- oder Ethikrichtlinien der Amadeus Group (Ethik- und Verhaltenskodex, Antibestechungs- und Antikorruptionsrichtlinie, Richtlinie zur Betrugsbekämpfung und Melderichtlinie) melden. Auch Dritte wie Zulieferer und Vertriebshändler können so Meldungen sicher und vertraulich abgeben.
Das Hinweisgebersystem, das im Rahmen des Melde-Prozesses zum Einsatz kommt, wird von einem spezialisierten Unternehmen, der EQS Group GmbH, Bayreuther Str. 35. 10789 Berlin, Deutschland, im Auftrag von Amadeus betrieben.
Amadeus ist zum Schutz der erhobenen und verarbeiteten personenbezogenen Daten verpflichtet. Amadeus befolgt stets die anwendbaren Datenschutzgesetze. Gerne möchten wir Sie mit der Erhebung, Nutzung und Weitergabe von Daten vertraut machen, anhand derer Rückschlüsse auf Ihre Person gezogen werden können (nachstehend „personenbezogene Daten“). Bitte lesen Sie sich diesen Datenschutzhinweis sorgfältig durch, bevor Sie eine Meldung abgeben.
Welche personenbezogenen Daten erheben wir und was ist die Rechtsgrundlage für deren Verarbeitung?
Wir verarbeiten den Namen des Beschwerdeführers (außer im Falle anonymer Meldungen), das Bestehen eines Beschäftigungsverhältnisses gegenüber Amadeus, den Namen der beschuldigten Personen und den Vorfall selbst. Zudem können in der Anschuldigung noch weitere personenbezogene Daten enthalten sein, sofern die Meldung die Namen Dritter enthält.
Diese Daten werden in das BKMS® System (nachstehend „Melde-Tool“) eingepflegt.
Werden Ermittlungen eingeleitet, verarbeiten wir die oben angegebenen personenbezogenen Daten zu deren Zweck. Die Daten werden in unserer vertraulichen Datenbank gespeichert, die nicht mit dem Melde-Tool verbunden ist, solange dies laut anwendbarem Datenschutzrecht notwendig ist.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten bildet die Erfüllung gesetzlicher Verpflichtungen in Rechtsordnungen, in denen die Aufstellung eines Hinweisgebersystems laut geltendem Recht vorgeschrieben ist.
Wenn die oben erwähnte gesetzliche Verpflichtung in der jeweiligen Rechtsordnung nicht besteht, bildet das berechtigte Interesse von Amadeus die Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Wer erhebt und verarbeitet die personenbezogenen Daten und an wen werden diese weitergegeben?
Amadeus IT Group, S.A., ist als Firmenzentrale für den Prozess und somit auch für die Verarbeitung der im Melde-Tool enthaltenen und in den anschließenden Ermittlungen und Verfahren aufkommenden personenbezogenen Daten verantwortlich.
Da es sich um ein globales Unternehmen mit länderübergreifenden IT-Systemen handelt, können personenbezogene Daten sowohl innerhalb der Amadeus-Konzerngesellschaften als auch an Dritte weitergegeben und von diesen gespeichert werden.
Im Rahmen des Meldeprozesses eingehende Meldungen werden nur von einem kleinen Kreis ausdrücklich befugter und eigens geschulter Mitarbeiter von Amadeus, die auf deren Kenntnis angewiesen sind, entgegengenommen und stets vertraulich behandelt. Die entsprechend beauftragten Mitarbeiter von Amadeus beurteilen den Sachverhalt und führen alle weiteren Untersuchungen durch, die der jeweilige Fall verlangt.
Alle Meldungen werden folgendermaßen bearbeitet:
- Corporate Compliance. Alle Meldungen, die über das Melde-Tool abgegeben werden, gehen an die Corporate-Compliance-Abteilung. Nach einer ersten Prüfung entscheidet diese dann, wie der Fall behandelt wird. Sofern sich Ihre Meldung nicht gegen jemanden in der Corporate Compliance-Abteilung richtet, wird die Meldung automatisch an den Leiter der Internal Audit-Abteilung weitergeleitet.
- Leiter Konzerninnenrevision (Director of Group Internal Audit). Wenn Sie nicht möchten, dass Ihre Meldung an Corporate Compliance geht und dort geprüft wird, weil (i) die Meldung Personen in der Corporate-Compliance-Abteilung betrifft oder (ii) Sie aus einem anderen wesentlichen Grund nicht möchten, dass Corporate Compliance involviert wird, kann Ihre Meldung auch vom Leiter Konzerninnenrevision geprüft werden. Diese Option müssen Sie in Ihrer Meldung ausdrücklich auswählen.
- Das PNC Team und Corporate Compliance. Wenn sich Ihre Meldung auf Diskriminierung und/oder Belästigung (moralisch oder sexuell) bezieht, wird die Meldung von PNC und Corporate Compliance entgegengenommen und gemeinsam untersucht. Wenn sich die Meldung gegen ein Mitglied von PNC richtet, wird sie automatisch an Corporate Compliance weitergeleitet. Sofern Ihre Meldung nicht ein Problem mit PNC betrifft, sondern gegen jemanden in der PNC-Abteilung, wird Ihre Meldung automatisch an die Corporate Compliance-Abteilung weitergeleitet.
- Untersuchungsgruppe. Je nach Umfang, Gegenstand und/oder Ort Ihrer Meldung zieht das Team, das die Meldung erhält, ein zuvor zusammengestelltes internes oder externes Team hinzu, das den in Ihrer Beschwerde geschilderten Verfehlungen nachgeht. Sofern die Identität des Hinweisgebers aus der Meldung hervorgeht, wird diese nur dann offengelegt, wenn dies für Ermittlungszwecke zwingend erforderlich ist oder eine Einwilligung der betroffenen Person vorliegt.
Unterliegt Ihre Meldung nicht der Melderichtlinie, wird Sie Corporate Compliance um Ihre Erlaubnis bitten, die Meldung an die zuständige Abteilung weitergeben zu dürfen.
Bitte lesen Sie sich die Regeln und Richtlinien rund um Meldungen von Fehlverhalten sorgfältig durch, um sich mit dem Ablauf vertraut zu machen. Unter bestimmten Umständen kann Amadeus die vorgebrachten Anschuldigungen im Rahmen der gesetzlichen Vorschriften an die zuständigen Behörden oder Dritte weitergeben, sofern dies für Ermittlungszwecke notwendig sein sollte.
Die Verwendung personenbezogener Daten durch verbundene Unternehmen und externe Dienstleister ist für bestimmte Zwecke und gemäß den von Amadeus erteilten Anweisungen zulässig.
Amadeus kann personenbezogene Daten auch kraft Gesetzes, Zwangsvorladung oder Vorschrift sowie auf Verlangen staatlicher Stellen und Strafverfolgungsbehörden sowie im gesetzlich zulässigen und vorgeschriebenen Rahmen offenlegen.
Übertragung personenbezogener Daten ins Ausland
Die Weitergabe personenbezogener Daten durch Amadeus an Konzerngesellschaften und externe Dienstleister, die personenbezogene Daten im Auftrag von Amadeus verarbeiten, kann die Übermittlung personenbezogener Daten in Länder beinhalten, die nicht dem Europäischen Wirtschaftsraum („EWR“) angehören. Personenbezogene Daten, die in solche Drittstaaten übermittelt werden, genießen im Rahmen vertraglicher oder anderweitiger Vereinbarungen denselben Schutz wie bei den Konzerngesellschaften und externen Dienstleistern von Amadeus. Bei der Übermittlung wird stets mindestens eine der folgenden Sicherheitsvorkehrungen getroffen:
- Personenbezogene Daten werden in Länder übermittelt, die laut Europäischer Kommission einen gleichwertigen Schutz personenbezogener Daten gewährleisten;
- Die Standardvertragsklauseln der Europäischen Kommission sorgen in Zusammenwirken mit ergänzenden Maßnahmen dafür, dass die übermittelten personenbezogenen Daten denselben Schutz wie im EWR genießen;
Weitere Informationen zu diesen angemessenen Sicherheitsvorkehrungen, die bei der Übermittlung personenbezogener Daten in Länder außerhalb des EWR angelegt werden, erhalten Sie unter der im Abschnitt „Rechtsanspruch“ angegebenen Anschrift. Wenn Sie entsprechende Informationen anfordern, nennen Sie als Betreff bitte die Übertragung personenbezogener Daten ins Ausland.
Zu welchen Zwecken werden Ihre personenbezogenen Daten genutzt?
Personenbezogene Daten werden genutzt, um den vorgebrachten Anschuldigungen nachzugehen und mutmaßliche Verstöße gegen geltendes Recht oder Vorschrift bezüglich der Compliance- und Ethikrichtlinien von Amadeus zu ermitteln. Um diese Ermittlungen durchführen zu können, muss die Identität der beschuldigten Person bekannt sein.
Die von Ihnen über das Melde-Tool bereitgestellten und im Rahmen der Untersuchungen erhobenen personenbezogenen Daten werden für die folgenden Zwecke verwendet:
- Durchführung der gebotenen Untersuchungen
- Speicherung an einem vertraulichen Speicherort
- Ergreifung von Maßnahmen gegen etwaige Verstöße.
Sicherheit und Unversehrtheit personenbezogener Daten
Amadeus ergreift geeignete technische und organisatorische Vorkehrungen, um die Vertraulichkeit, Verfügbarkeit und Unversehrtheit der personenbezogenen Daten zu gewährleisten.
Aufbewahrung personenbezogener Daten
Führen die Untersuchungen zu keinem Ergebnis oder werden sie eingestellt, werden sie drei Monate lang archiviert. Anschließend werden alle Daten einschließlich der personenbezogenen Daten gemäß geltendem Recht archiviert und mit Zugriffssperrung gespeichert.
Bei allen anderen Untersuchungen werden die personenbezogenen Daten nach Abschluss der Ermittlungen noch zwei Jahre in den internen Systemen von Amadeus gespeichert, um etwaigen Beschwerden nachgehen zu können. Anschließend werden alle Daten einschließlich der personenbezogenen Daten archiviert und mit Zugriffssperrung gespeichert.
So erreichen Sie uns
Bei Fragen zu dieser Datenschutzerklärung stehen wir Ihnen per E-Mail unter ethics@amadeus.com zur Verfügung. Bitte geben Sie in der Betreffzeile Ihrer E-Mail „Vertrauliche Datenschutzanfrage zu Meldungen“ an.
Ihre Rechte
Um Ihr Recht auf Zugang, Prüfung und Einschränkung der Verarbeitung Ihrer personenbezogenen Daten auszuüben, schicken Sie eine E-Mail an ethics@amadeus.com oder richten Sie ein entsprechendes Schreiben an unsere zuständige Niederlassung. Bei entsprechenden Anfragen sind stets die Interessen der Hinweisgeber und der beschuldigten Person(en) gegeneinander abzuwägen.
Amadeus ist bestrebt, allen Anfragen bzw. Beschwerden sorgfältig nachzugehen und Ihre personenbezogenen Daten umsichtig zu verarbeiten. Dessen ungeachtet haben Sie das Recht, bei den zuständigen Datenschutzbehörden Beschwerde einzulegen.
