Datenschutzhinweise Hinweisgebersystem
1. Allgemeine Informationen
a) Einleitung
Mit den folgenden Datenschutzhinweisen möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung unseres Hinweisgebersystems und Ihre Rechte gemäß der Datenschutz-Grundverordnung („DSGVO“) und sonstiger anwendbarer Datenschutzgesetze bezüglich dieser Verarbeitung informieren.
b) Verantwortlicher
Wir, die METRO AG, Metro-Straße 1, 40235 Düsseldorf, sind Verantwortlicher im Sinne der DSGVO und somit für die nachfolgend erläuterte Datenverarbeitung verantwortlich.
c) Datenschutzbeauftragter
Sie können sich jederzeit unter folgenden Kontaktdaten an unseren Datenschutzbeauftragten wenden:
METRO AG, Datenschutzbeauftragter, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
2. Informationen bezüglich der Verarbeitung personenbezogener Daten
a) Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem dient dazu, Hinweise auf Verstöße gegen das Compliance-Gebot der METRO-Unternehmensgruppe (METRO) auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystems ist gestützt auf das berechtigte Interesse unseres Unternehmens an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für die METRO, ihre Mitarbeiter und Kunden. Diese Verarbeitung erfolgt rechtlich auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.
b) Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen, sofern Sie Ihre Identität offenlegen,
- ob Sie bei METRO beschäftigt sind und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
c) Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance Organisation von METRO entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der Compliance Organisation von METRO prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern der METRO oder Mitarbeitern von anderen Konzerngesellschaften weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften beziehen. Letztere können Ihren Sitz auch in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes haben, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
d) Dauer der Speicherung
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
e) Datensicherheit und Empfänger
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig. Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Mitarbeiter von METRO namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Mitarbeiter von METRO Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der EQS Group AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von METRO betrieben. Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur METRO möglich. Die EQS Group AG und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei METRO beschränkt ist.
3. Ihre Rechte
Als Betroffener können Sie sich jederzeit mit einer formlosen Mitteilung unter den oben unter 1. c) genannten Kontaktdaten an unseren Datenschutzbeauftragten wenden, um Ihre Rechte gemäß der DSGVO auszuüben. Diese Rechte sind die folgenden:
- Das Recht, Auskunft über die Datenverarbeitung zu erhalten, sowie eine Kopie der verarbeiteten Daten (Auskunftsrecht, Art. 15 DSGVO),
- das Recht, die Berichtigung unrichtiger Daten oder die Ergänzung unvollständiger Daten zu verlangen (Recht auf Berichtigung, Art. 16 DSGVO),
- das Recht, die Löschung personenbezogener Daten zu verlangen, sowie, falls die personenbezogenen Daten veröffentlicht wurden, die Information an andere Verantwortliche über den Antrag auf Löschung (Recht auf Löschung, Art. 17 DSGVO),
- das Recht, die Einschränkung der Datenverarbeitung zu verlangen (Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO),
- das Recht, die personenbezogenen Daten der betroffenen Person in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und die Übermittlung dieser Daten an einen anderen für die Verarbeitung Verantwortlichen zu verlangen (Recht auf Datenübertragbarkeit, Art. 20 DSGVO),
- das Recht auf Widerspruch gegen die Datenverarbeitung, um sie zu unterbinden (Widerspruchsrecht, Art. 21 DSGVO),
- das Recht, eine erteilte Einwilligung jederzeit zu widerrufen, um eine Datenverarbeitung, die auf Ihrer Einwilligung beruht, zu unterbinden. Der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor dem Widerruf (Widerrufsrecht, Art. 7 DSGVO),
- das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Datenverarbeitung gegen die DSGVO verstößt (Recht auf Beschwerde bei einer Aufsichtsbehörde, Art. 77 DSGVO).
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an die oben unter 1. c) genannten Kontaktdaten.