Datenschutzerklärung
Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen, das wir in unseren Geschäftsprozessen berücksichtigen. Wir verarbeiten die im Rahmen einer Meldung von Ihnen bekanntgegebenen (personenbezogenen) Daten streng vertraulich und nur gemäß den gesetzlichen Bestimmungen.
Im Folgenden möchten wir Sie über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen des Hinweisgebersystems aufklären. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
1 Verantwortlicher
Verantwortlicher für das Hinweisgebersystem (BKMS® Incident Reporting – abrufbar unter https://www.bkms-system.net/voestalpine) im Sinne der Datenschutz-Grundverordnung 2 („DSGVO“) ist die
voestalpine AG
voestalpine-Straße 1
4020 Linz, Österreich
E-Mail: group-compliance@voestalpine.com
group-dataprotection@voestalpine.com
Tel.: +43 50304 15 2532
(im Folgenden „voestalpine“, „wir“ oder „uns“)
(Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
2 Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem (BKMS® Incident Reporting) dient dazu, Hinweise auf (mutmaßliche) Verstöße gegen Gesetze oder das Compliance-Regelwerk von voestalpine auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten. Die Verarbeitung der von Ihnen bekanntgegebenen (personenbezogenen) Daten im Rahmen des BKMS® Incident Reportings dient der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden nicht nur für den voestalpine-Konzern sondern auch für unsere Mitarbeiter und unsere Kunden. Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs 1 lit f DSGVO (berechtigtes Interesse des Verantwortlichen zur Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden, nicht nur für den voestalpine-Konzern sondern auch für unsere Mitarbeiter und unsere Kunden). Zudem sind die Mitarbeiter des voestalpine Konzerns aufgrund allgemeiner Weisung arbeitsrechtlich verpflichtet, den voestalpine Verhaltenskodex einzuhalten. Gemäß diesem voestalpine Verhaltenskodex steht es den Mitarbeitern frei, Verstöße gegen Bestimmungen dieses Verhaltenskodex, gegen sonstige interne Richtlinien und Regelungen oder gegen gesetzliche Vorschriften zu melden.
Wir bitten Sie im Rahmen der Meldung keine besonderen Kategorien von personenbezogenen Daten (dazu zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) zu übermitteln. Sofern Sie dennoch derartige Daten übermitteln ist Rechtsgrundlage dieser Verarbeitung Artikel 9 Abs 2 lit f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).
Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln werden nur insoweit verarbeitet, als dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.
3 Nutzung des Hinweisgebersystems und Art der erhobenen personenbezogenen Daten
3.1 Arten der verarbeiteten personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, verarbeiten wir folgende personenbezogene Daten und Informationen, die Sie im Rahmen der Meldung freiwillig bekannt geben, von nachstehenden Betroffenen:
Hinweisgeber/Melder:- Ihren Namen, sofern Sie Ihre Identität (freiwillig) offenlegen;
- ob Sie Mitarbeiter des betroffenen Unternehmens sind;
- Bezeichnung und kurze Beschreibung des Sachverhalts;
- sonstige personenbezogene Daten von Ihnen und den in der Meldung genannten Personen, die Sie im Rahmen der Meldung freiwillig bekannt geben.
Zudem werden wir Sie im Rahmen der Bearbeitung gegebenenfalls um Bereitstellung von weiteren Daten bitten, die bei der Bearbeitung Ihrer Meldung helfen. Die Bereitstellung erfolgt stets freiwillig. Diese Daten betreffen folgende Kategorien:
- private und berufliche Kontaktdaten (z.B. Name, Telefon, E-Mail, Anschrift)
- Geburtsdatum;
- Beziehung zu voestalpine (z.B. Lieferant, Mitarbeiter, Kunde, Geschäftspartner);
- Beschäftigtendaten von voestalpine Mitarbeitern;
- sonstige personenbezogene Daten, die bei der konkreten Fallbearbeitung helfen und die Sie freiwillig bekannt geben;
Sonstige vom Hinweisgeber in der Meldung angeführte Betroffene (z.B. Beschuldigte, Zeugen, Auskunftspersonen):- Name sowie sonstige personenbezogene Daten die vom Hinweisgeber im Rahmen der Meldung bekanntgeben werden;
Die vollständige Beantwortung der im Rahmen der Meldung gestellten Fragen hilft uns, Ihre Meldung zu bearbeiten. Bitte beachten Sie, dass, sofern die genannten (personenbezogenen) Daten nicht oder nicht im benötigten Umfang zur Verfügung gestellt werden bzw. wenn wir nicht in der Lage sind diese zu erheben, wir möglicherweise nicht oder nur verzögert zur Bearbeitung Ihrer Meldung in der Lage sind.
3.2 Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® Incident Reporting wird ein Cookie auf Ihrem Rechner gespeichert das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/Benutzernamen und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Mitarbeiter bei uns namentlich oder anonym und sicher Meldungen senden. Solange Sie selbst keine Daten eingeben, die Rückschlüsse auf Ihre Person zulassen, schützt das Hinweisgebersystem Ihre Anonymität durch ein zertifiziertes Verfahren, das durch umfassende technische und organisatorische Maßnahmen gesichert ist.
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance Organisation der voestalpine AG entgegengenommen und stets vertraulich behandelt.
4 Übermittlung und Weitergabe
Im Rahmen der Bearbeitung einer Meldung ist es notwendig, die Meldung ganz oder teilweise den für die Bearbeitung zuständigen Mitarbeitern der voestalpine AG, den jeweils zuständigen divisionalen Compliance-Stellen bzw. denjenigen Tochtergesellschaften, die die Meldung betrifft sowie gegebenenfalls externen Beratern (z. B. Rechtsanwälte, Wirtschaftsprüfer, Dolmetscher oder forensische Experten, die im Auftrag von voestalpine Ihren Hinweis untersuchen), weiterzugeben. Ihre Angaben werden dabei nur denjenigen Personen zugänglich gemacht, die die Angaben zwingend zur Bearbeitung Ihrer Meldung benötigen. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Darüber hinaus können Daten an andere Verantwortliche (z.B. Behörden) übermittelt werden, soweit wir aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche bzw. gerichtliche Anordnung hierzu verpflichtet sein sollten.
4.1 Auftragsverarbeiter
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der Business Keeper AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von voestalpine betrieben. Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der Business Keeper AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur der voestalpine AG möglich. Die Business Keeper AG und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei voestalpine (siehe dazu oben unter „Übermittlung und Weitergabe“) beschränkt ist. Der Produktfilm auf der Homepage der Business Keeper AG (www.business-keeper.com) erklärt Ihnen kurz und prägnant die Funktionsweise des BKMS® Incident Reportings.
4.2 Weitergabe an Empfänger außerhalb der EU bzw. des EWR
Die in dieser Ziffer 4 beschriebenen Empfänger befinden sich möglicherweise in Ländern außerhalb der Europäischen Union („Drittländer“), in welchen das anwendbare Recht nicht das gleiche Datenschutzniveau wie in Ihrem Heimatland gewährleistet. Diesfalls erfolgt eine Übermittlung entsprechend den gesetzlichen Vorgaben nur dann, wenn für das Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, mit dem Empfänger angemessene Garantien vereinbart wurden (z.B. EU Standardvertragsklauseln), der Empfänger an einem genehmigten Zertifizierungssystem teilnimmt (z.B. EU-US Privacy Shield), verbindliche interne Datenschutzvorschriften gemäß Art 47 DSGVO vorliegen oder eine Ausnahme gemäß Art 49 DSGVO (z.B. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich) vorliegt. Sie können bei uns eine Übersicht über die Empfänger in Drittländern und eine Kopie der konkret vereinbarten Regelungen zur Sicherstellung des angemessenen Datenschutzniveaus erhalten. Bitte nutzen Sie hierfür die Angaben im Abschnitt Kontakt.
5 Dauer der Speicherung; Aufbewahrungsfristen
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben anonymisiert oder gelöscht.
6 Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie als Hinweisgeber und die in einer Meldung genannten sonstigen Betroffenen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Zudem haben Sie die Möglichkeit, Beschwerde bei der Aufsichtsbehörde zu erheben.
7 Information der Sonstigen Betroffenen
Bei Vorliegen einer gesetzlichen Verpflichtung werden wir sonstige Betroffene (z.B. Beschuldigte, Zeuge, Auskunftspersonen etc.) darüber informieren, dass wir einen Hinweis über sie erhalten haben. Dabei wird Ihre Identität als Hinweisgeber - soweit rechtlich zulässig - nicht offengelegt und es wird auch zusätzlich sichergestellt, dass keine Rückschlüsse auf die Identität von Ihnen als Hinweisgeber möglich werden. Beim wissentlichen Einstellen falscher Hinweise mit dem Ziel eine Person zu diskreditieren (Denunziation) kann die Vertraulichkeit nicht gewährleistet werden. Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung).
8 Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Mitarbeiter von voestalpine AG Anhänge zu senden. Wenn Sie eine Meldung anonym abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versand von Dokumenten. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
9 Kontakt
Für Fragen zum Thema Datenschutz sowie die Geltendmachung Ihrer zuvor genannten Rechte erreichen Sie die Datenschutzorganisation der voestalpine AG unter group-dataprotection@voestalpine.com oder
voestalpine AG, Abteilung GB, voestalpine-Straße 1, A-4020 Linz, Österreich.
10 Änderung der Datenschutzerklärung
Diese Datenschutzerklärung wird von Zeit zu Zeit angepasst. Bitte beachten Sie daher die jeweils aktuelle Version unserer Datenschutzerklärung.
(Zur Vereinfachung des Textflusses haben wir die männliche Form von Hinweisgeber, Mitarbeiter, Ansprechpartner usw. gewählt. Es ist selbstverständlich, dass diese Begriffe für die weibliche Geschlechtsform gleichermaßen gelten.)
Stand: 14.11.2018