GELTUNGSBEREICH
Pröll (im Folgenden als „Unternehmen“, „Wir“, „Uns“, „Unser“ bezeichnet) ist aufgrund der EU-Richtlinie 2019/1937 verpflichtet, seinen Mitarbeitern, Auftragnehmern, Beratern und Geschäftspartnern sichere Meldewege und Verfahren für die Meldung von Missständen zur Verfügung zu stellen. Um sicherzustellen, dass unser Unternehmen die Richtlinie und alle darin festgelegten Anforderungen erfüllt, haben wir einen Vertrag mit DISS-CO GmbH, Winterhuder Weg 29, 22085 Hamburg (nachstehend „DISS-CO“ genannt) abgeschlossen, das eine von DISS-CO betriebene und über das Internet nutzbare webbasierte Plattform „SMART INTEGRITY PLATFORM“ entwickelt hat, die (zusammen mit der Website von DISS-CO, den Webdiensten, den Entwicklungstools und anderen Diensten, einschließlich Schulungs- und Unterstützungsdiensten) Dienste im Rahmen eines Hinweisgebersystems bereitstellt (nachstehend werden alle vorstehenden und alle Dienste von DISS-CO zusammen als „SIP“ bezeichnet).
Mit Hilfe des SIP kann ein Verstoß gegen den Verhaltenskodex in Übereinstimmung mit der Hinweisgeberrichtlinie gemeldet, untersucht und dokumentiert werden.
In dieser Datenschutzerklärung wird erläutert, wie und warum personenbezogene Daten im SIP verarbeitet werden, wie wir sie schützen und wie lange wir sie aufbewahren, wenn Sie dieses Whistleblowing-Instrument nutzen.
WER PERSONENBEZOGENE DATEN VERARBEITEN WIRD
Pröll bestimmt die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten im Rahmen des SIP. Wir haben die jeweiligen Verantwortlichkeiten zwischen uns und DISS-CO in Bezug auf dieses Hinweisgeber-Tool in einer separaten Vereinbarung festgelegt. Folglich handeln wir als für die Verarbeitung Verantwortliche, während DISS-CO als Auftragsverarbeiter fungiert. Sie können sich jederzeit mit uns in Verbindung setzen, um weitere Informationen über das Wesen dieser Vereinbarung zu erhalten.
ZWECKE DER VERARBEITUNG PERSONENBEZOGENER DATEN
Im Zusammenhang mit dem SIP werden personenbezogene Daten zum Zweck der anfänglichen Meldung und Untersuchung von Meldungen über angebliche Verstöße gegen den Verhaltenskodex unseres Unternehmens sowie Verstöße im Sinne der Hinweisgeberrichtlinie und der anschließenden Überprüfung dieser Meldungen und der Berichterstattung über das entsprechende Ergebnis an das Management sowie gegebenenfalls der zuständigen Behörden verarbeitet.
Unser Unternehmen weist darauf hin, dass es im Unternehmen übliche Informationskanäle gibt, die es den Mitarbeitern ermöglichen, etwaige Missstände zu melden, insbesondere bei ihrem Vorgesetzten oder in der Personalabteilung.
Das Hinweisgebersystem SIP wurde im Rahmen der Einrichtung der internen Meldestelle eingeführt, um Personen die Möglichkeit zu geben, Meldungen zu erstatten, wenn die üblichen Meldewege/andere Meldewege nicht genutzt werden können oder in der betreffenden Situation als ungeeignet angesehen werden.
Darüber hinaus ist die Inanspruchnahme des SIP und des Verfahrens zur Meldung von Missständen im Allgemeinen optional, und die Nichtinanspruchnahme hat keine Konsequenzen für Mitarbeiter oder externe Personen, die für/mit/im Namen des Unternehmens arbeiten.
Allerdings kann eine Person, die dieses Verfahren missbraucht (z. B. Meldung in böswilliger Absicht, um zu schikanieren, in bösem Glauben oder mit der Absicht, sich persönlich zu bereichern), mit Disziplinarmaßnahmen und rechtlichen Schritten rechnen.
Im Gegenteil, eine Person, die dieses Verfahren in gutem Glauben in Anspruch nimmt, wird nicht mit Disziplinarmaßnahmen konfrontiert, selbst wenn sich die gemeldeten Fakten später als unzutreffend erweisen oder keine Folgemaßnahmen nach sich ziehen. Es werden alle notwendigen und angemessenen Maßnahmen ergriffen, um den Hinweisgeber zu schützen, wenn die Meldung in gutem Glauben und unter Einhaltung dieses Verfahrens erfolgt, insbesondere um ihn vor Vergeltungsmaßnahmen, Kritik oder Disziplinarverfahren zu schützen.
RECHTLICHE GRUNDLAGE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
Im Zusammenhang mit der Nutzung des SIP werden wir Ihre personenbezogenen Daten hauptsächlich auf der Grundlage einer der folgenden Rechtsgrundlagen verarbeiten:
Weil es notwendig ist, einer gesetzlichen Verpflichtung nachzukommen, da in im Land, in dem unser Unternehmen ansässig ist, Systeme zur Meldung von Missständen vorgeschrieben sind.
Für die Zwecke Unserer berechtigten Interessen, insbesondere um die Einhaltung unserer Vision und Werte zu überwachen. In dieser Hinsicht werden Wir immer von Fall zu Fall entscheiden, ob unsere Interessen nicht durch die Interessen, Grundrechte und Freiheiten der betroffenen Personen überlagert werden.
Wenn wir gesetzlich verpflichtet sind, Ihre freie, informierte, spezifische und eindeutige Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke einzuholen, werden wir Ihre Daten für diese Zwecke nur in dem Umfang verarbeiten, in dem wir diese Zustimmung von Ihnen erhalten haben. Alle nicht benötigten personenbezogenen Daten, die wir erhalten, werden gefiltert und nicht weiter verarbeitet.
WIE WIR IHRE PERSONENBEZOGENEN DATEN ERFASSEN
Wir werden nur personenbezogene Daten verarbeiten, die für die oben beschriebenen Zwecke unbedingt erforderlich sind.
Wir können diese Daten im Zusammenhang mit der Nutzung des SIP erhalten. Insbesondere können wir diese Daten erhalten, weil Sie sie uns zur Verfügung stellen (z. B. durch Einreichen einer Meldung als Hinweisgeber), weil andere sie uns zur Verfügung stellen (z. B. weil Sie in einer Meldung als die Person auftauchen, gegen die eine Anschuldigung erhoben wurde) oder weil sie durch die Nutzung der Plattform generiert werden (z. B. weil Sie bei der Untersuchung einer Meldung als Zeuge oder Dritter auftreten).
VERARBEITUNG IHRER PERSÖNLICHEN DATEN
Wir können die folgenden Kategorien personenbezogener Daten erfassen:
Zu den oben genannten Zwecken können wir im Rahmen des Whistleblowing-Prozesses die folgenden personenbezogenen Daten erfassen und verarbeiten:
• Identität, berufliche Stellung und Kontaktdaten des Hinweisgebers;
• Identität, Position und Kontaktdaten der im Bericht genannten Person(en);
• Identität, Funktion und Kontaktdaten der Personen, die an der Entgegennahme oder Bearbeitung der Meldung beteiligt sind;
• berichtete Fakten;
• Informationen, die bei der Untersuchung des gemeldeten Sachverhalts gesammelt wurden;
• Bericht über die Ermittlungsmaßnahmen;
• Ergebnis des Berichts.
Wenn Sie sich für die Nutzung des SIP als Hinweisgebersystem registrieren lassen, werden Sie gebeten, uns die folgenden personenbezogenen Daten mitzuteilen (wobei nur die mit einem (*) gekennzeichneten Daten obligatorisch sind):
• Ihre Anmeldedaten für die SIP (*);
• Sprache (*);
• Ob Sie ein Angestellter des Unternehmens oder ein Externer sind;
• Ob Sie anonym bleiben möchten (*);
• Ihre Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer) bei vertraulichen Meldungen;
• Alle optionalen Informationen, die Sie über den Vorfall und sich selbst aufzeichnen.
Wir behandeln personenbezogene Daten vertraulich
Wir gewähren niemandem außer Ihnen Zugang zu Ihren persönlichen Daten:
• DISS-CO als die Partei, die die SIP verwaltet, aber keinen Zugang zum Inhalt der Meldungen hat
• Der nachfolgende Auftragsverarbeiter, mit dem wir vertragliche Verpflichtungen eingegangen sind und der als Datenverarbeiter gilt, um sicherzustellen, dass Ihre personenbezogenen Daten im Einklang mit dem geltenden Recht sicher aufbewahrt werden; und
• oder Die bevollmächtigte Person, die für die Untersuchung von Berichten zuständig ist, deren Beteiligung streng auf eine Need-to-know-Basis beschränkt ist und die speziell geschult wurde und einer Vertraulichkeitsverpflichtung unterliegt.
Wir behalten uns außerdem das Recht vor, Ihre persönlichen Daten offenzulegen, wenn dies gesetzlich vorgeschrieben ist oder wenn wir der Meinung sind, dass die Offenlegung notwendig ist, um unsere Rechte zu schützen und/oder einem Gerichtsverfahren, einem Gerichtsbeschluss, einer Aufforderung einer Aufsichtsbehörde oder einem anderen uns zugestellten rechtlichen Verfahren nachzukommen.
Alle Ihre personenbezogenen Daten fallen unter die Datenschutzgrundsätze der DSGVO.
Wir achten die Aufbewahrungsfristen
Wir bewahren personenbezogene Daten nur so lange auf, wie es für die Erfüllung der Zwecke, für die wir sie erhoben haben, erforderlich ist. Daher werden wir je nach den im Bericht enthaltenen Informationen und der Art der Bearbeitung des Falls unterschiedliche Aufbewahrungsfristen anwenden:
• Falls ein Gerichts- oder Disziplinarverfahren eingeleitet wird, werden die übermittelten personenbezogenen Daten bis zum endgültigen Abschluss dieses Verfahrens aufbewahrt, und zwar nur, wenn es für uns notwendig ist, diese Informationen aufzubewahren;
• Wenn kein Gerichts- oder Disziplinarverfahren eingeleitet wird, werden die übermittelten personenbezogenen Daten nicht länger als drei Jahre nach Abschluss der Ermittlungen aufbewahrt.
• Falls eine längere Aufbewahrungsfrist vorgesehen ist, wird der Zugang zu den personenbezogenen Daten dennoch eingeschränkt (siehe Sicherheitsmaßnahmen unten).
Ihre Daten sind bei uns sicher und geschützt!
Wir wenden strenge technische und organisatorische Maßnahmen an, um ein Sicherheitsniveau zu gewährleisten, das den Risiken, die mit der Verarbeitung und der Art der erhaltenen personenbezogenen Daten verbunden sind, angemessen ist. Wir haben die nachstehenden Sicherheitsmaßnahmen getroffen, um Ihre personenbezogenen Daten wirksam vor dem Zugriff durch Unbefugte und vor unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung und Beschädigung sowohl online als auch offline zu schützen.
Eine Auflistung unserer technischen und organisatorischen Maßnahmen zum Schutz Ihrer Daten erhalten Sie auf Anfrage.
Wir verweisen im Übrigen auf die technisch organisatorischen Maßnahmen der DISS-CO und der Smart Integrity Plattform.
Obwohl wir angemessene Sicherheitsmaßnahmen ergreifen, ist unsere Haftung auf Umstände beschränkt, die unserer Kontrolle unterliegen.
IHRE RECHTE
Unter bestimmten Umständen haben Sie gemäß den Datenschutzgesetzen die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:
Zugang zu Ihren personenbezogenen Daten beantragen (allgemein bekannt als „Antrag auf Zugang zu personenbezogenen Daten“). Auf diese Weise können Sie eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben, eine Bestätigung erhalten, dass wir Ihre personenbezogenen Daten verarbeiten, und überprüfen, ob wir sie rechtmäßig verarbeiten.
Wir bewerten das Auskunftsrecht der Person und die Einschränkungen;
wir führen eine Einzelfallbewertung jedes einzelnen Falles durch, wobei wir den Status des Antragstellers und den aktuellen Stand der Untersuchung, den Umfang und die Sensibilität der gespeicherten Informationen (und die damit verbundenen Risiken bei der Offenlegung) sowie die bereitgestellten Informationen berücksichtigen, und wir dokumentieren die Gründe, die einer Entscheidung zur Einschränkung des Auskunftsrechts einer Person zugrunde liegen.
die Berichtigung der personenbezogenen Daten, die wir über Sie gespeichert haben, über den Kommunikationsbereich der Smart Integrity Plattform vorzunehmen. Bitte beachten Sie, dass alle eingereichten Informationen aus Sicherheitsgründen geloggt werden und nicht manipulierbar sind.
die Löschung Ihrer personenbezogenen Daten zu verlangen, die wir über Sie gespeichert haben, oder die Art und Weise einzuschränken, in der wir diese personenbezogenen Daten verwenden, wenn Sie der Meinung sind, dass es für uns keinen rechtmäßigen Grund (mehr) gibt, diese zu verarbeiten;
die Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten durch uns zu widerrufen (sofern diese Verarbeitung auf einer Zustimmung beruht);
Antrag auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten. Auf diese Weise können Sie uns bitten, die Verarbeitung Ihrer personenbezogenen Daten in den folgenden Fällen auszusetzen: (a) wenn Sie möchten, dass wir die Richtigkeit der Daten überprüfen; (b) wenn unsere Verwendung der Daten rechtswidrig ist, Sie aber nicht möchten, dass wir sie löschen; (c) wenn wir die Daten aufbewahren müssen, auch wenn wir sie nicht mehr benötigen, da Sie sie benötigen, um Rechtsansprüche zu begründen, auszuüben oder zu verteidigen; oder (d) wenn Sie unserer Verwendung Ihrer Daten widersprochen haben, wir aber überprüfen müssen, ob wir zwingende legitime Gründe für ihre Verwendung haben.
die Übermittlung Ihrer personenbezogenen Daten an Sie oder an einen Dritten beantragen. Wir werden Ihnen oder einem von Ihnen gewählten Dritten Ihre personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zur Verfügung stellen. Beachten Sie, dass dieses Recht nur für automatisierte Daten gilt, deren Verwendung Sie ursprünglich zugestimmt haben, oder wenn wir die Daten zur Erfüllung eines Vertrags mit Ihnen verwendet haben.
Automatisierte Einzelentscheidungen (einschließlich Profiling). Sie haben das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruht und die rechtlichen Folgen hat oder Sie in ähnlicher Weise erheblich beeinträchtigt. In der Regel verarbeiten wir Ihre personenbezogenen Daten nicht ausschließlich auf der Grundlage einer automatisierten Entscheidungsfindung.
Sie können Ihre Einwilligung jederzeit widerrufen, wenn wir uns auf die Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten berufen. Dies hat jedoch keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf Ihrer Einwilligung erfolgt ist. Wenn Sie Ihre Einwilligung widerrufen, können wir möglicherweise den Zweck, für den wir die Daten erhoben haben, nicht mehr erfüllen. Wir werden Sie darüber informieren, wenn dies der Fall ist, wenn Sie Ihre Einwilligung zurückziehen (z. B. wenn Sie die SIP als Hinweisgeber genutzt haben und die Untersuchung noch nicht abgeschlossen ist).
Wenn Sie eines der oben genannten Rechte ausüben möchten, wenden Sie sich bitte an den Datenschutzbeauftragten der Pröll GmbH.
KONTAKT
Wir hoffen, dass diese Datenschutzerklärung die wichtigsten Punkte erläutert, um Ihre Fragen zu beantworten und Ihnen ein gutes Gefühl zu geben, wenn Sie das SIP nutzen möchten. Wir sind jedoch gerne bereit, Ihnen weitere Unterstützung zu geben, wenn Sie dies wünschen. Bitte kontaktieren Sie uns unter datenschutz@proell.de oder +49-9141-906-20.
Stand: 08.11.2023
