Datenschutzerklärung
Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen, das wir in unseren Geschäftsprozessen berücksichtigen. Wir verarbeiten die im Rahmen einer Meldung von Ihnen bekanntgegebenen (personenbezogenen) Daten streng vertraulich und nur gemäß den gesetzlichen Bestimmungen.
Im Folgenden möchten wir Sie über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen des Hinweisgebersystems aufklären. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
1 Verantwortlicher
Verantwortlicher für das Hinweisgebersystem (BKMS® System – abrufbar unter https://www.bkms-system.net/voestalpine) im Sinne der Datenschutz-Grundverordnung 1 („DSGVO“) ist die
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Österreich
E-Mail: group-dataprotection@voestalpine.com
2. ihre Tochtergesellschaften
(aktuelle Kontaktdaten siehe https://www.voestalpine.com/standorte)
als eigenständige Verantwortliche (im Folgenden „voestalpine“, „wir“ oder „uns“)
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
2 Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem (BKMS® System) dient dazu, Hinweise auf (mutmaßliche) Verstöße gegen Gesetze oder Regelwerk von voestalpine auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten. Die Verarbeitung der von Ihnen (freiwillig) bekanntgegebenen (personenbezogenen) Daten im Rahmen des BKMS® Systems dient der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden nicht nur für den voestalpine-Konzern sondern auch für unsere Mitarbeiter und unsere Kunden. Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs 1 lit f DSGVO (berechtigtes Interesse des Verantwortlichen zur Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden, nicht nur für den voestalpine-Konzern sondern auch für unsere Mitarbeiter und unsere Kunden). Die Datenverarbeitung ist weiters im wichtigen öffentlichen Interesse (Art. 6 Abs 1 lit e DSGVO), um durch erhaltene Hinweise strafbare Handlungen zu verhindern und aufzudecken und durch das Bestehen von Hinweisgebersystemen von der Begehung strafbarer Handlungen abzuhalten. Für jene Tochtergesellschaften für die ein Hinweisgebersystem gemäß Whistleblowing-Richtlinie und deren nationalen Umsetzungsgesetzen verpflichtend ist, ist zudem Art. 6 Abs. 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung) als Rechtsgrundlage heranzuziehen.
Wir bitten Sie im Rahmen der Meldung keine besonderen Kategorien von personenbezogenen Daten (dazu zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) zu übermitteln. Sofern Sie dennoch derartige Daten übermitteln ist Rechtsgrundlage dieser Verarbeitung Artikel 9 Abs 2 lit a und f DSGVO (Einwilligung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).
Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln werden nur insoweit verarbeitet, als dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.
3 Nutzung des Hinweisgebersystems und Art der erhobenen personenbezogenen Daten
3.1 Arten der verarbeiteten personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, verarbeiten wir folgende personenbezogene Daten und Informationen, die Sie im Rahmen der Meldung freiwillig bekannt geben, von nachstehenden Betroffenen:
Hinweisgeber/Melder:
- Ihren Namen, sofern Sie Ihre Identität (freiwillig) offenlegen
- ob Sie Mitarbeiter des betroffenen Unternehmens sind
- in welcher Beziehung Sie zum betroffenen Unternehmen stehen
- Bezeichnung und kurze Beschreibung des Sachverhalts
- sonstige personenbezogene Daten von Ihnen und den in der Meldung genannten Personen, die Sie im Rahmen der Meldung freiwillig bekannt geben
Zudem werden wir Sie im Rahmen der Bearbeitung gegebenenfalls um Bereitstellung von weiteren Daten bitten, die bei der Bearbeitung Ihrer Meldung helfen. Die Bereitstellung erfolgt stets freiwillig. Diese Daten betreffen folgende Kategorien:
- private und berufliche Kontaktdaten (z.B. Name, Telefon, E-Mail, Anschrift)
- Geburtsdatum
- Beziehung zu voestalpine (z.B. Lieferant, Mitarbeiter, Kunde, Geschäftspartner)
- Beschäftigtendaten von voestalpine Mitarbeitern
- sonstige personenbezogene Daten, die bei der konkreten Fallbearbeitung helfen und die Sie freiwillig bekannt geben
Sonstige vom Hinweisgeber in der Meldung angeführte Betroffene (z.B. Beschuldigte, Zeugen, Auskunftspersonen):
- Name sowie sonstige personenbezogene Daten die vom Hinweisgeber im Rahmen der Meldung bekanntgegeben werden
Die vollständige Beantwortung der im Rahmen der Meldung gestellten Fragen hilft uns, Ihre Meldung zu bearbeiten. Bitte beachten Sie, dass, sofern die genannten (personenbezogenen) Daten nicht oder nicht im benötigten Umfang zur Verfügung gestellt werden bzw. wenn wir nicht in der Lage sind diese zu erheben, wir möglicherweise nicht oder nur verzögert zur Bearbeitung Ihrer Meldung in der Lage sind.
3.2 Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Endgerät (PC, Tablet, Mobiltelefon, etc.) und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Endgeräts wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Endgerät und dem BKMS® System wird ein Cookie auf Ihrem Endgerät gespeichert das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Eingehende Hinweise werden standardmäßig vom Whistleblower Komitee der voestalpine AG bzw. im Einzelfall von der betroffenen Tochtergesellschaft direkt bearbeitet und stets vertraulich behandelt.
4 Übermittlung und Weitergabe
Im Rahmen der Bearbeitung einer Meldung ist es notwendig, die Meldung ganz oder teilweise den für die Bearbeitung zuständigen Mitarbeitern der voestalpine, den jeweils zuständigen Fachbereichen bzw. denjenigen Konzerngesellschaften, die die Meldung betrifft, sowie gegebenenfalls externen Beratern (z. B. Rechtsanwälte, Wirtschaftsprüfer, Dolmetscher oder forensische Experten, die im Auftrag von voestalpine Ihren Hinweis untersuchen), weiterzugeben. Die voestalpine AG und die jeweils betroffenen Konzerngesellschaften haben dabei ein berechtigtes Interesse an der Datenübertragung und -verarbeitung durch die voestalpine AG im Umfang der Fallbearbeitung, weil potenzielle Verstöße auf der lokalen Ebene häufig nicht, oder nicht ausreichend, geklärt und ausgeschlossen werden, und somit eine Überprüfung und einen Eingriff durch die Muttergesellschaft der Gruppe erfordern. Aus diesen Gründen hat das betroffene Konzernunternehmen ein berechtigtes Interesse an der Verarbeitung der Daten und der Übertragung an die voestalpine AG, und die voestalpine AG hat ein berechtigtes Interesse daran, die Daten mithilfe des BKMS® System zu empfangen und weiter zu verarbeiten. Ihre Angaben werden dabei nur denjenigen Personen zugänglich gemacht, die die Angaben zwingend zur Bearbeitung Ihrer Meldung benötigen. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Darüber hinaus können Daten an andere Verantwortliche (z.B. Behörden) übermittelt werden, soweit wir aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche bzw. gerichtliche Anordnung hierzu verpflichtet sein sollten.
4.1 Auftragsverarbeiter
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der EQS Group AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von voestalpine betrieben. Die voestalpine AG handelt als Auftragsverarbeiter im Sinne von Art. 28 DSGVO betreffend die Nutzung des BKMS® System und First-Level-Support für die Konzerngesellschaften.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur der voestalpine möglich. Die EQS Group AG und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei voestalpine (siehe dazu oben unter „Übermittlung und Weitergabe“) beschränkt ist. Der Produktfilm auf der Homepage der EQS Group AG (www.eqs.bkms-system.com) erklärt Ihnen kurz und prägnant die Funktionsweise des BKMS® Systems.
4.2 Weitergabe an Empfänger außerhalb der EU bzw. des EWR
Die in dieser Ziffer 4 beschriebenen Empfänger befinden sich möglicherweise in Ländern außerhalb der Europäischen Union („Drittländer“), in welchen das anwendbare Recht nicht das gleiche Datenschutzniveau wie in Ihrem Heimatland gewährleistet. Diesfalls erfolgt eine Übermittlung entsprechend den gesetzlichen Vorgaben nur dann, wenn für das Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, mit dem Empfänger angemessene Garantien vereinbart wurden (z.B. EU Standarddatenschutzklauseln), der Empfänger an einem genehmigten Zertifizierungssystem teilnimmt, verbindliche interne Datenschutzvorschriften gemäß Art 47 DSGVO vorliegen oder eine Ausnahme gemäß Art 49 DSGVO (z.B. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich) vorliegt. Sie können bei uns eine Übersicht über die Empfänger in Drittländern und eine Kopie der konkret vereinbarten Regelungen zur Sicherstellung des angemessenen Datenschutzniveaus erhalten. Bitte nutzen Sie hierfür die Angaben im Abschnitt Kontakt.
5 Dauer der Speicherung; Aufbewahrungsfristen
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben anonymisiert oder gelöscht.
6 Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie als Hinweisgeber und die in einer Meldung genannten sonstigen Betroffenen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Zudem haben Sie die Möglichkeit, Beschwerde bei der Aufsichtsbehörde zu erheben.
7 Information der Sonstigen Betroffenen
Bei Vorliegen einer gesetzlichen Verpflichtung werden wir sonstige Betroffene (z.B. Beschuldigte, Zeugen, Auskunftspersonen etc.) darüber informieren, dass wir einen Hinweis über sie erhalten haben. Dabei wird Ihre Identität als Hinweisgeber - soweit rechtlich zulässig - nicht offengelegt und es wird auch zusätzlich sichergestellt, dass keine Rückschlüsse auf die Identität von Ihnen als Hinweisgeber möglich werden. Beim wissentlichen Einstellen falscher Hinweise mit dem Ziel eine Person zu diskreditieren (Denunziation) kann die Vertraulichkeit nicht gewährleistet werden. Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung).
8 Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Mitarbeiter von voestalpine Anhänge zu senden. Wenn Sie eine Meldung anonym abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versand von Dokumenten. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
9 Kontakt
Für Fragen zum Thema Datenschutz sowie die Geltendmachung Ihrer zuvor genannten Rechte erreichen Sie die Datenschutzorganisation der voestalpine unter group-dataprotection@voestalpine.com oder
voestalpine AG, Abteilung GB, voestalpine-Straße 1, A-4020 Linz, Österreich.
10 Änderung der Datenschutzerklärung
Diese Datenschutzerklärung wird von Zeit zu Zeit angepasst. Bitte beachten Sie daher die jeweils aktuelle Version unserer Datenschutzerklärung.
Stand: Oktober 2022
(Im Sinne der Sprachvereinfachung sowie einer besseren Lesbarkeit verzichten wir durchgängig auf geschlechtsneutrale Formulierungen. Soweit personenbezogene Angaben nur in männlicher Form angeführt sind, bezieht sich die gewählte Diktion auf alle Geschlechter in gleicher Weise.)