Einleitung

 

Wir freuen uns über Ihre Kontaktaufnahme. Die ALTENLOH, BRINCK & CO. – Gruppe (nachfolgend „ABC-Gruppe“, „wir“ oder „uns“) legt großen Wert auf die Sicherheit der Daten der Nutzer und die Einhaltung datenschutzrechtlicher Bestimmungen. Gern möchten wir Sie nachstehend über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Compliance-Meldung informieren.

 

Verantwortliche Stelle und Datenschutzbeauftragte/r

 

Verantwortliche Stelle:

 

ALTENLOH, BRINCK & CO. GmbH & Co. KG

Kölner Straße 71-77

58256 Ennepetal

Tel.: +49 2333 799-0

E-Mail: info@altenloh.com

 

Externer Datenschutzbeauftragter:

 

DDSK GmbH

Tel.: 07542 949 21 -0

E-Mail: datenschutz@altenloh.com

 

 

Begriffe

 

Die in dieser Datenschutzerklärung verwendeten Fachbegriffe sind so zu verstehen, wie sie in Art. 4 DSGVO legaldefiniert sind.

 

 

Hinweise zur Datenverarbeitung bei Meldungen von Compliance-Verstößen

 

Wir bieten die Möglichkeit, unseren Ombudsmann zum Zwecke einer Meldung von Compliance-Verstößen zu kontaktieren. Im Falle einer Compliance-Meldung verarbeiten wir die Daten der meldenden Person in dem für die Bearbeitung der Meldung erforderlichen Umfang. Werden Sachverhalte vorgetragen, die eine bestimmte oder bestimmbare Person in unserem Unternehmen betreffen, so verarbeiten wir die Daten über die von diesem Hinweis betroffene Person in dem Umfang, in dem sie uns von der meldenden Person mitgeteilt wurden. Über die weitere Verarbeitung Ihrer personenbezogenen Daten durch unseren Ombudsmann können Sie sich hier informieren.

 

 

Daten, die wir über Sie als meldende Person erheben:

Kategorien Betroffener: meldende Person
Kategorien Daten: Name, Kontaktdaten (z.B. Ihre Adresse, E-Mail-Adresse, Telefon- oder Faxnummer), Sachverhaltsdaten, die Sie ggf. betreffen (je nach Einzelfall und vorgenommener Meldung können die von Ihnen angegebenen Daten variieren)

 

Zwecke der Verarbeitung: Bearbeitung der Meldung eines Compliance-Verstoßes aufgrund und nach Maßgabe unserer gesetzlichen oder betrieblichen Verpflichtungen, insbesondere aufgrund europäischer und nationaler Hinweisgeber-Gesetze

Kontaktaufnahme, um weitere Informationen über die von Ihnen berichteten Verstöße zu erhalten

Auswertung Ihrer Angaben im Zusammenhang mit den angegebenen Verstößen

Rechtsgrundlagen: berechtigtes Interesse an der Einhaltung interner Vorgaben und ethischer Grundsätze (Art. 6 Abs. 1 lit. f) DSGVO), Erfüllung gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO i.V.m. RL (EU) 2019/1937)

 

Daten, die wir über Sie als von einem Hinweis betroffene Person erheben:

Kategorien Betroffener:  von einem Hinweis betroffene Person
Kategorien Daten:  Name, Kontaktdaten, ggf. weitere Merkmale zur genauen Identifizierung der jeweiligen Person im Betrieb
Meldeinhalt:  Einzelheiten zu dem jeweils vorgetragenen Verstoß gegen interne, nationale oder europarechtliche Vorgaben, sofern diese Rückschlüsse auf eine natürliche Person zulassen
Zwecke der Verarbeitung: Bearbeitung der Meldung von Compliance-Verstößen aufgrund und nach Maßgabe unserer gesetzlichen und internen Verpflichtungen, insbesondere aufgrund der entsprechenden nationalen und europäischen Gesetze

Kontaktaufnahme zur Sachverhaltsaufklärung, um weitere Informationen über die im Zusammenhang mit Ihnen vorgetragenen Verstöße zu erhalten

Analyse der des Sachverhalts und Abgleich mit vergangenen Meldungen

Rechtsgrundlagen: berechtigtes Interesse an der Einhaltung interner Vorgaben und ethischer Grundsätze (Art. 6 Abs. 1 lit. f) DSGVO), Erfüllung gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO i.V.m. RL (EU) 2019/1937)

Empfänger der Daten

Innerhalb der EU

 

Innerhalb unseres Hauses erhalten diejenigen internen Stellen bzw. Organisationseinheiten Ihre Daten, die diese zur Erreichung der oben genannten Zwecke, insbesondere der Untersuchung der gemeldeten Compliance-Verstöße, benötigen. Zudem erfolgt innerhalb unserer Unternehmensgruppe eine Zusammenführung aller Erkenntnisse und Meldungen im Zusammenhang mit Compliance-Meldungen, um diese länderübergreifend auf bestimmte Muster überprüfen zu können. Hierfür werden lediglich Sachverhalte ohne Personenbezug verwendet. Alle Berichte speichern wir in unserer Datenbank, welche auch für die Weitergabe der Daten an behördliche Datenbanken genutzt wird. Wir werden Daten ausschließlich so weitergeben, dass ein unmittelbarer Rückschluss auf Ihre Person nicht möglich ist (pseudonymisiert). Eine über die obenstehenden Fälle hinausgehende Übermittlung von Daten erfolgt nicht. Wir setzen einen spezialisierten Dienstleister als sog. Ombudsmann ein, um Meldungen von Compliance-Verstößen nach den gesetzlichen und internen Vorgaben zu erfassen und zu bearbeiten. Ihre Daten unterliegen dort den gleichen Sicherheitsstandards wie bei uns. Eine Nutzung der Daten ist nur im Rahmen der vertraglichen Vereinbarung, in dem zwingend erforderlichen Umfang und für die unsererseits vorgegebenen Zwecke zulässig.

 

Außerhalb der EU

 

Wir übermitteln Daten in Länder außerhalb des EWR, sog. Drittstaaten. Die Übermittlung findet zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder aufgrund einer zuvor erteilten Einwilligung der betroffenen Person statt. Zudem erfolgt eine Übermittlung unter Einhaltung der geltenden Datenschutzgesetze, insbesondere unter Berücksichtigung der Artt. 44 ff. DSGVO, bspw. aufgrund erlassener Angemessenheitsbeschlüsse der europäischen Kommission oder anderer geeigneter Garantien (Bspw. Standarddatenschutzklauseln, etc.).

Empfängerübersicht

 

Folgende Empfänger erhalten Ihre Daten im Rahmen der hier beschriebenen Datenverarbeitung:

 

Empfänger DDSK GmbH, Dr.-Klein-Str. 29, 88069 Tettnang
Drittstaattransfer: Ein Drittstaattransfer findet nicht statt
Empfänger: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Drittstaattransfer: Für die Übermittlung liegt kein Angemessenheitsbeschluss vor. Die Übermittlung beruht auf Art. 46 DSGVO. Eingesetzte Dienste werden von Microsoft, einem US-amerikanischen Anbieter erbracht. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt. Wir haben mit dem Anbieter der Dienstleistungen einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DSGVO entspricht. Die Verlagerung der Daten in ein Drittland erfolgt erst, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Die Vorliegende Übermittlung von Daten in die USA erfolgt auf Basis der Standarddatenschutzklauseln und die geänderten Vertragsbedingungen nach dem Schrems II Urteil. Konkret wurden folgende Regelungen in die neuen Vertragsklauseln durch Microsoft vorgenommen:

• den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;

• die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;

• die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.

 

Speicherdauer

 

Wir speichern die Daten, die uns im Zusammenhang mit der Meldung von Compliance-Verstößen mitgeteilt werden, so lange, wie dies zur Erfüllung unserer Verpflichtung aufgrund von nationalen oder europäischen Gesetzen und Vorschriften, welchen wir unterliegen, vorgesehen wurde. In allen anderen Fällen löschen wir die personenbezogenen Daten nach Erfüllung des Zweckes. Im Fall von Meldungen von Compliance-Verstößen löschen wir die Daten 3 Jahre nach Abschluss der Sachverhaltsbearbeitung jeweils zum Jahresende. Daten, die wir zu Ihrer Person aufgrund bestehender Vertragsbeziehungen bzw. aufgrund anderer Erlaubnistatbestände verarbeiten, bleiben von dieser Speicherdauer unberührt.

Automatisierte Entscheidungsfindung

 

Wir verzichten auf eine automatisierte Entscheidungsfindung oder ein Profiling, gem. Art. 22 DSGVO.

Rechtsgrundlagen

 

Maßgebliche Rechtgrundlagen ergeben sich vorwiegend aus der DSGVO. Diese werden durch nationale Gesetze der Mitgliedstaaten ergänzt und sind ggf. gemeinsam mit oder ergänzend zu der DSGVO anwendbar.

 

 

Einwilligung: Art. 6 Abs.1 lit. a) DSGVO dient als Rechtsgrundlage für Verarbeitungsvorgänge, für die wir eine Einwilligung für einen bestimmten Verarbeitungszweck eingeholt haben.
Vertragserfüllung: Art. 6 Abs. 1 lit. b) DSGVO dient als Rechtsgrundlage für Verarbeitungen, die für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist
Rechtliche Verpflichtung: Art. 6 Abs. 1 lit. c) DSGVO dient als Rechtsgrundlage für Verarbeitungen, welche zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Lebenswichtige Interessen: Art. 6 Abs. 1 lit. d) DSGVO dient als Rechtsgrundlage, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Öffentliches Interesse: Art. 6 Abs. 1 lit. e) DSGVO dient als Rechtsgrundlage für Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Berechtigtes Interesse: Art. 6 Abs. 1 lit. f) DSGVO dient als Rechtsgrundlage für Verarbeitung, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Rechte der Betroffenen

 

Recht auf Auskunft: Betroffene Personen haben gem. Art. 15 DSGVO das Recht, eine Bestätigung zu verlangen, ob wir sie betreffende Daten verarbeiten. Sie können Auskunft über diese Daten sowie die in Art. 15 Abs. 1 DSGVO aufgeführten weiteren Informationen und eine Kopie ihrer Daten verlangen.
Recht auf Berichtigung: Betroffene Personen haben gem. Art. 16 DSGVO das Recht, die Berichtigung oder Vervollständigung der sie betreffenden und durch uns verarbeiteten Daten zu verlangen.
Recht auf Löschung: Betroffene Personen haben das Recht gem. Art. 17 DSGVO, die unverzügliche Löschung der sie betreffenden Daten zu verlangen. Alternativ können sie von uns gem. Art. 18 DSGVO die Einschränkung der Verarbeitung ihrer Daten verlangen
Recht auf Datenübertragbarkeit: Betroffene Personen haben gem. Art. 20 DSGVO das Recht, die Bereitstellung der uns durch sie zur Verfügung gestellten Daten zu fordern und deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Beschwerderecht: Betroffene Personen haben ferner das Recht, sich bei der für sie zuständigen Aufsichtsbehörde nach Maßgabe des Art. 77 DSGVO zu beschweren.
Recht auf Widerspruch: Sofern personenbezogenen Daten auf Grundlage von berechtigten Interessen gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO verarbeitet werden, haben betroffene Personen das Recht, gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben betroffene Personen ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.