Informationen über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung des Hinweisgebersystems BKMS®
Wir nehmen den Datenschutz und die Vertraulichkeit sehr ernst und halten uns an die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) sowie an die jeweils geltenden nationalen Datenschutzbestimmungen. Bitte lesen Sie diese Datenschutzhinweise sorgfältig durch, bevor Sie eine Meldung einreichen.
Verantwortliche für die Verarbeitung und Kontaktdaten des Datenschutzbeauftragten
Die für den Datenschutz im Hinweisgebersystem BKMS
® gemeinsam verantwortlichen Stellen sind:
thyssenkrupp AG thyssenkrupp Allee 1
45143 Essen
+49 201 844 0
whistleblowing@thyssenkrupp.com
und das im jeweiligen Fall mitverantwortliche thyssenkrupp Konzernunternehmen.
Bitte beachten Sie: Abhängig von der Bewertung datenschutzrechtlicher Verantwortlichkeiten entsprechend nationaler Hinweisgeberschutzgesetze, kann in anderen Ländern außerhalb Deutschlands eine abweichende datenschutzrechtliche Verantwortlichkeit vorliegen.
Dies kann sowohl bedeuten, dass eine alleinige datenschutzrechtliche Verantwortlichkeit der thyssenkrupp AG gegeben ist, oder diese als Auftragsverarbeiter für thyssenkrupp Konzernunternehmen fungiert, bzw. eine getrennte datenschutzrechtliche Verantwortlichkeit zwischen der thyssenkrupp GmbH und thyssenkrupp Konzernunternehmen besteht.
Fragen zum Datenschutz können an datenschutzbeauftragter@thyssenkrupp.com gesendet werden.
Das Hinweisgebersystem wird im Auftrag und ausschließlich nach Weisungen von einem auf diesen Bereich spezialisierten Unternehmen, der EQS Group AG, Karlstraße 47, 80333 München betrieben.
Personenbezogene Daten
Personenbezogene Daten und Informationen, die in das Meldesystem eingegeben werden, werden in einer Datenbank gespeichert, die im Auftrag durch EQS in einem Hochsicherheitsrechenzentrum betrieben wird. Nur die oben genannten, für die Verarbeitung Verantwortlichen haben Zugang zu den Daten. EQS und andere Dritte haben keinen Zugriff auf die Daten. Dies wird in dem zertifizierten Verfahren durch umfangreiche technische und organisatorische Maßnahmen sichergestellt.
Alle Daten werden in verschlüsselter Form mit mehrstufigem Passwortschutz gespeichert und unterliegen einem strengen Berechtigungskonzept, so dass der Zugriff auf einen sehr engen Kreis von ausdrücklich berechtigten Empfängern beschränkt ist.
Zweck der Verarbeitung des Whistleblowing-Systems und Rechtsgrundlage
- Das Hinweisgebersystem (BKMS® System) dient der sicheren und vertraulichen Entgegennahme, Bearbeitung und Verwaltung von Hinweismeldungen über Compliance- und Rechtsverstöße bei thyssenkrupp. Wir verarbeiten Ihre personenbezogenen Daten, soweit dies zur Erfüllung gesetzlicher Pflichten erforderlich ist. Dazu gehören insbesondere Meldungen über straf-, wettbewerbs- und arbeitsrechtlich relevante Sachverhalte (Art. 6 Abs. 1 lit. c) DSGVO i.V.m. dem jeweiligen nationalen Umsetzungsgesetz zur Richtlinie (EU)2019/1937 (EU-Whistleblowing-Richtlinie)).
- Schließlich werden Ihre personenbezogenen Daten verarbeitet, wenn dies zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich ist (Art. 6 Abs. 1 lit. f) DSGVO). Es besteht ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten zur Verhinderung und Aufdeckung von Verstößen innerhalb des thyssenkrupp Konzerns, zur Überprüfung interner Prozesse auf ihre Rechtmäßigkeit und zur Wahrung der Integrität der Unternehmensgruppe.
Art der verarbeiteten personenbezogenen Daten
Die Nutzung des Whistleblowing-Systems erfolgt auf freiwilliger Basis. Wenn Sie eine Meldung über das Whistleblowing-System einreichen, erfassen wir die folgenden personenbezogenen Daten und Informationen:
- Ihren Namen, wenn Sie Ihre Identität freiwillig preisgeben möchten,
- ob Sie bei einem entsprechenden Unternehmen des thyssenkrupp Konzerns beschäftigt sind, und
- die Namen von Personen und andere persönliche Daten von Ihnen und von Personen, die Sie in Ihrem Bericht ggf. angeben.
Vertrauliche Behandlung von Berichten
Eingehende Meldungen werden von einer kleinen Auswahl ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance-Abteilung entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der zentralen Compliance-Abteilung werten den Sachverhalt aus und führen die im Einzelfall erforderlichen weiteren Ermittlungen durch.
Während der Bearbeitung einer Meldung kann es erforderlich werden, Meldungen an weitere Mitarbeiter oder Mitarbeiter anderer Unternehmen im thyssenkrupp Konzern – im Rahmen der gesetzlichen Zulässigkeit – weiterzugeben, z. B. wenn sich die Meldungen auf Vorfälle in Tochtergesellschaften beziehen. Letztere können ihren Sitz auch in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben, für die andere Vorschriften zum Schutz personenbezogener Daten gelten. Wir achten bei der Weitergabe von Berichten stets darauf, dass die geltenden Datenschutzbestimmungen eingehalten werden.
Alle Personen, die Zugang zu den Daten erhalten, sind zur Wahrung der Vertraulichkeit verpflichtet.
Informationen über die beschuldigte Person
Grundsätzlich sind wir gesetzlich verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir eine sie betreffende Meldung erhalten haben, es sei denn, dies gefährdet die weiteren Ermittlungen zu der Meldung. Dabei wird Ihre Identität als Hinweisgeber nicht preisgegeben, soweit dies rechtlich möglich ist.
Betroffenenrechte
Nach der DSGVO haben Sie und die in der Meldung genannten Personen das Recht auf
Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie das
Recht auf Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten. Wird das Widerspruchsrecht ausgeübt, prüfen wir unverzüglich, inwieweit die gespeicherten Daten für die Bearbeitung einer Meldung noch erforderlich sind. Daten, die nicht mehr benötigt werden, werden unverzüglich gelöscht. Darüber hinaus haben Sie das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Speicherfrist für personenbezogene Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es zur abschließenden Klärung des Sachverhalts und zur Auswertung des Berichts erforderlich sind oder ein berechtigtes Interesse der oben genannten Verantwortlichen besteht oder es gesetzlich vorgeschrieben ist. Nach Abschluss der Berichtsverarbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Nutzung des Meldeportals
Die Kommunikation zwischen Ihrem Computer und dem Meldesystem erfolgt über eine verschlüsselte Verbindung (SSL). Ihre IP-Adresse wird während Ihrer Nutzung des Meldesystems nicht gespeichert. Um die Verbindung zwischen Ihrem Computer und dem BKMS
® System aufrechtzuerhalten, wird auf Ihrem Computer ein Cookie gespeichert, das lediglich die Sitzungs-ID enthält (ein sogenannter Session-Cookie). Dieses Cookie ist nur bis zum Ende Ihrer Sitzung gültig und läuft ab, sobald Sie Ihren Browser schließen.
Es besteht die Möglichkeit, innerhalb des Meldesystems ein Postfach einzurichten, das mit einem individuell gewählten Pseudonym/Benutzernamen und Passwort gesichert ist. Damit können Sie Meldungen entweder namentlich oder anonym und sicher an den zuständigen Mitarbeiter senden. Dieses System speichert die Daten nur innerhalb des Meldesystems, was es besonders sicher macht. Es handelt sich nicht um eine Form der regulären E-Mail-Kommunikation.
Übermittlung des Berichts per Telefon
Ihre Anonymität wird auch durch das BKMS
® System geschützt, wenn Sie Ihre Meldung per Telefon einreichen. Weder die oben genannten Verantwortlichen noch EQS haben Zugang zu Ihrer Telefonnummer. Ihre Beschreibung des Vorfalls wird im BKMS
® System aufgezeichnet. Anschließend wird die verschlüsselte Tondatei von dem zuständigen Mitarbeiter transkribiert. Wenn Sie im Anschluss an die telefonische Meldung eine gesicherte Postbox eingerichtet haben, können Sie eine Rückmeldung in Form einer Sprachaufzeichnung durch den zuständigen Mitarbeiter erhalten und gegebenenfalls Informationen zu Ihrer Meldung hinzufügen. Alternativ können Sie auch über die Webanwendung auf Ihre gesicherte Postbox zugreifen, das Feedback überprüfen und Ergänzungen in schriftlicher Form vornehmen. Um die Vertraulichkeit Ihrer Meldung oder Ihres Zusatzes zu schützen, können Sie diese weder am Telefon noch in der webbasierten gesicherten Postbox abhören.
Hinweis zum Versand von Anhängen
Wenn Sie eine Meldung oder einen Zusatz einreichen, können Sie gleichzeitig Anhänge an den zuständigen Mitarbeiter senden. Wenn Sie eine anonyme Meldung einreichen möchten, beachten Sie bitte die folgenden Sicherheitshinweise: Dateien können versteckte persönliche Daten enthalten, die Ihre Anonymität gefährden könnten. Entfernen Sie diese Daten vor dem Versenden. Wenn Sie diese Daten nicht entfernen können oder sich nicht sicher sind, wie Sie dies tun sollen, kopieren Sie den Text Ihres Anhangs in Ihren Meldetext oder senden Sie das ausgedruckte Dokument anonym an die in der Fußzeile angegebene Adresse und geben Sie dabei die am Ende des Meldevorgangs erhaltene Referenznummer an.
Informationen gemäß Art. 26 Abs. 2 DSGVO im Falle einer gemeinsamen Verantwortung:
Die gemeinsame Verantwortung der thyssenkrupp AG mit den Unternehmen des thyssenkrupp Konzerns gilt für den Betrieb und die Organisation des BKMS
® Systems innerhalb des thyssenkrupp Konzerns. Dies umfasst die interne Verwaltung des BKMS
® Systems und die Durchführung von Hinweisgeberverfahren. Dazu nutzen die Parteien ein einheitliches Compliance Management System und einheitliche IT-Systeme. Die Parteien haben vereinbart, dass Betroffene ihre Datenschutzrechte direkt gegenüber dem jeweiligen thyssenkrupp Unternehmen oder direkt gegenüber der thyssenkrupp AG unter den oben genannten Kontaktdaten geltend machen können. Die gemeinsam verantwortlichen Parteien stellen der betroffenen Person die in den Artikeln 13 und 14 DSGVO genannten Informationen unentgeltlich in knapper, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache zur Verfügung. Zu diesem Zweck stellt jede Partei der anderen Partei alle erforderlichen Informationen über ihren jeweiligen Tätigkeitsbereich zur Verfügung. Die Vertragsparteien unterrichten einander unverzüglich über die Geltendmachung der Rechte einer betroffenen Person und erteilen der anderen Partei alle erforderlichen Informationen für die Bearbeitung des Betroffenenrechts. Gemäß den Artikeln 15 bis 22 DSGVO kann die betroffene Person ihre Rechte aus der DSGVO sowohl gegenüber der thyssenkrupp AG als auch gegenüber dem betroffenen Konzernunternehmen geltend machen.