Einleitung
Wir freuen uns über Ihre Kontaktaufnahme. Die ALTENLOH, BRINCK & CO. – Gruppe (nachfolgend „ABC-Gruppe“, „wir“ oder „uns“) legt großen Wert auf die Sicherheit der Daten der Nutzer und die Einhaltung datenschutzrechtlicher Bestimmungen. Gern möchten wir Sie nachstehend über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Compliance-Meldung informieren.
Verantwortliche Stelle und Datenschutzbeauftragte/r
Verantwortliche Stelle:
ALTENLOH, BRINCK & CO. GmbH & Co. KG
Kölner Straße 71-77
58256 Ennepetal
Tel.: +49 2333 799-0
E-Mail: info@altenloh.com
Externer Datenschutzbeauftragter:
DDSK GmbH
Tel.: 07542 949 21 -0
E-Mail: datenschutz@altenloh.com
Begriffe
Die in dieser Datenschutzerklärung verwendeten Fachbegriffe sind so zu verstehen, wie sie in Art. 4 DSGVO legaldefiniert sind.
Hinweise zur Datenverarbeitung bei Meldungen von Compliance-Verstößen
Wir bieten die Möglichkeit, unseren Ombudsmann zum Zwecke einer Meldung von Compliance-Verstößen zu kontaktieren. Im Falle einer Compliance-Meldung verarbeiten wir die Daten der meldenden Person in dem für die Bearbeitung der Meldung erforderlichen Umfang. Werden Sachverhalte vorgetragen, die eine bestimmte oder bestimmbare Person in unserem Unternehmen betreffen, so verarbeiten wir die Daten über die von diesem Hinweis betroffene Person in dem Umfang, in dem sie uns von der meldenden Person mitgeteilt wurden. Über die weitere Verarbeitung Ihrer personenbezogenen Daten durch unseren Ombudsmann können Sie sich hier informieren.
Daten, die wir über Sie als meldende Person erheben:
Kategorien Betroffener: | meldende Person |
Kategorien Daten: | Name, Kontaktdaten (z.B. Ihre Adresse, E-Mail-Adresse, Telefon- oder Faxnummer), Sachverhaltsdaten, die Sie ggf. betreffen (je nach Einzelfall und vorgenommener Meldung können die von Ihnen angegebenen Daten variieren)
|
Zwecke der Verarbeitung: | Bearbeitung der Meldung eines Compliance-Verstoßes aufgrund und nach Maßgabe unserer gesetzlichen oder betrieblichen Verpflichtungen, insbesondere aufgrund europäischer und nationaler Hinweisgeber-Gesetze
Kontaktaufnahme, um weitere Informationen über die von Ihnen berichteten Verstöße zu erhalten Auswertung Ihrer Angaben im Zusammenhang mit den angegebenen Verstößen |
Rechtsgrundlagen: | berechtigtes Interesse an der Einhaltung interner Vorgaben und ethischer Grundsätze (Art. 6 Abs. 1 lit. f) DSGVO), Erfüllung gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO i.V.m. RL (EU) 2019/1937)
|
Daten, die wir über Sie als von einem Hinweis betroffene Person erheben:
Kategorien Betroffener: | von einem Hinweis betroffene Person |
Kategorien Daten: | Name, Kontaktdaten, ggf. weitere Merkmale zur genauen Identifizierung der jeweiligen Person im Betrieb |
Meldeinhalt: | Einzelheiten zu dem jeweils vorgetragenen Verstoß gegen interne, nationale oder europarechtliche Vorgaben, sofern diese Rückschlüsse auf eine natürliche Person zulassen |
Zwecke der Verarbeitung: | Bearbeitung der Meldung von Compliance-Verstößen aufgrund und nach Maßgabe unserer gesetzlichen und internen Verpflichtungen, insbesondere aufgrund der entsprechenden nationalen und europäischen Gesetze
Kontaktaufnahme zur Sachverhaltsaufklärung, um weitere Informationen über die im Zusammenhang mit Ihnen vorgetragenen Verstöße zu erhalten Analyse der des Sachverhalts und Abgleich mit vergangenen Meldungen |
Rechtsgrundlagen: | berechtigtes Interesse an der Einhaltung interner Vorgaben und ethischer Grundsätze (Art. 6 Abs. 1 lit. f) DSGVO), Erfüllung gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO i.V.m. RL (EU) 2019/1937) |
Empfänger der Daten
Innerhalb der EU
Innerhalb unseres Hauses erhalten diejenigen internen Stellen bzw. Organisationseinheiten Ihre Daten, die diese zur Erreichung der oben genannten Zwecke, insbesondere der Untersuchung der gemeldeten Compliance-Verstöße, benötigen. Zudem erfolgt innerhalb unserer Unternehmensgruppe eine Zusammenführung aller Erkenntnisse und Meldungen im Zusammenhang mit Compliance-Meldungen, um diese länderübergreifend auf bestimmte Muster überprüfen zu können. Hierfür werden lediglich Sachverhalte ohne Personenbezug verwendet. Alle Berichte speichern wir in unserer Datenbank, welche auch für die Weitergabe der Daten an behördliche Datenbanken genutzt wird. Wir werden Daten ausschließlich so weitergeben, dass ein unmittelbarer Rückschluss auf Ihre Person nicht möglich ist (pseudonymisiert). Eine über die obenstehenden Fälle hinausgehende Übermittlung von Daten erfolgt nicht. Wir setzen einen spezialisierten Dienstleister als sog. Ombudsmann ein, um Meldungen von Compliance-Verstößen nach den gesetzlichen und internen Vorgaben zu erfassen und zu bearbeiten. Ihre Daten unterliegen dort den gleichen Sicherheitsstandards wie bei uns. Eine Nutzung der Daten ist nur im Rahmen der vertraglichen Vereinbarung, in dem zwingend erforderlichen Umfang und für die unsererseits vorgegebenen Zwecke zulässig.
Außerhalb der EU
Wir übermitteln Daten in Länder außerhalb des EWR, sog. Drittstaaten. Die Übermittlung findet zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder aufgrund einer zuvor erteilten Einwilligung der betroffenen Person statt. Zudem erfolgt eine Übermittlung unter Einhaltung der geltenden Datenschutzgesetze, insbesondere unter Berücksichtigung der Artt. 44 ff. DSGVO, bspw. aufgrund erlassener Angemessenheitsbeschlüsse der europäischen Kommission oder anderer geeigneter Garantien (Bspw. Standarddatenschutzklauseln, etc.).
Empfängerübersicht
Folgende Empfänger erhalten Ihre Daten im Rahmen der hier beschriebenen Datenverarbeitung:
Empfänger | DDSK GmbH, Dr.-Klein-Str. 29, 88069 Tettnang |
Drittstaattransfer: | Ein Drittstaattransfer findet nicht statt |
Empfänger: | Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA |
Drittstaattransfer: | Für die Übermittlung liegt kein Angemessenheitsbeschluss vor. Die Übermittlung beruht auf Art. 46 DSGVO. Eingesetzte Dienste werden von Microsoft, einem US-amerikanischen Anbieter erbracht. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt. Wir haben mit dem Anbieter der Dienstleistungen einen Auftragsverarbeitungsvertrag geschlossen, der den Anforderungen von Art. 28 DSGVO entspricht. Die Verlagerung der Daten in ein Drittland erfolgt erst, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Die Vorliegende Übermittlung von Daten in die USA erfolgt auf Basis der Standarddatenschutzklauseln und die geänderten Vertragsbedingungen nach dem Schrems II Urteil. Konkret wurden folgende Regelungen in die neuen Vertragsklauseln durch Microsoft vorgenommen:
• den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat; • die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben; • die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten. |
Speicherdauer
Wir speichern die Daten, die uns im Zusammenhang mit der Meldung von Compliance-Verstößen mitgeteilt werden, so lange, wie dies zur Erfüllung unserer Verpflichtung aufgrund von nationalen oder europäischen Gesetzen und Vorschriften, welchen wir unterliegen, vorgesehen wurde. In allen anderen Fällen löschen wir die personenbezogenen Daten nach Erfüllung des Zweckes. Im Fall von Meldungen von Compliance-Verstößen löschen wir die Daten 3 Jahre nach Abschluss der Sachverhaltsbearbeitung jeweils zum Jahresende. Daten, die wir zu Ihrer Person aufgrund bestehender Vertragsbeziehungen bzw. aufgrund anderer Erlaubnistatbestände verarbeiten, bleiben von dieser Speicherdauer unberührt.
Automatisierte Entscheidungsfindung
Wir verzichten auf eine automatisierte Entscheidungsfindung oder ein Profiling, gem. Art. 22 DSGVO.
Rechtsgrundlagen
Maßgebliche Rechtgrundlagen ergeben sich vorwiegend aus der DSGVO. Diese werden durch nationale Gesetze der Mitgliedstaaten ergänzt und sind ggf. gemeinsam mit oder ergänzend zu der DSGVO anwendbar.
Einwilligung: | Art. 6 Abs.1 lit. a) DSGVO dient als Rechtsgrundlage für Verarbeitungsvorgänge, für die wir eine Einwilligung für einen bestimmten Verarbeitungszweck eingeholt haben. |
Vertragserfüllung: | Art. 6 Abs. 1 lit. b) DSGVO dient als Rechtsgrundlage für Verarbeitungen, die für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist |
Rechtliche Verpflichtung: | Art. 6 Abs. 1 lit. c) DSGVO dient als Rechtsgrundlage für Verarbeitungen, welche zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. |
Lebenswichtige Interessen: | Art. 6 Abs. 1 lit. d) DSGVO dient als Rechtsgrundlage, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. |
Öffentliches Interesse: | Art. 6 Abs. 1 lit. e) DSGVO dient als Rechtsgrundlage für Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. |
Berechtigtes Interesse: | Art. 6 Abs. 1 lit. f) DSGVO dient als Rechtsgrundlage für Verarbeitung, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. |
Rechte der Betroffenen
Recht auf Auskunft: | Betroffene Personen haben gem. Art. 15 DSGVO das Recht, eine Bestätigung zu verlangen, ob wir sie betreffende Daten verarbeiten. Sie können Auskunft über diese Daten sowie die in Art. 15 Abs. 1 DSGVO aufgeführten weiteren Informationen und eine Kopie ihrer Daten verlangen. |
Recht auf Berichtigung: | Betroffene Personen haben gem. Art. 16 DSGVO das Recht, die Berichtigung oder Vervollständigung der sie betreffenden und durch uns verarbeiteten Daten zu verlangen. |
Recht auf Löschung: | Betroffene Personen haben das Recht gem. Art. 17 DSGVO, die unverzügliche Löschung der sie betreffenden Daten zu verlangen. Alternativ können sie von uns gem. Art. 18 DSGVO die Einschränkung der Verarbeitung ihrer Daten verlangen |
Recht auf Datenübertragbarkeit: | Betroffene Personen haben gem. Art. 20 DSGVO das Recht, die Bereitstellung der uns durch sie zur Verfügung gestellten Daten zu fordern und deren Übermittlung an einen anderen Verantwortlichen zu verlangen. |
Beschwerderecht: | Betroffene Personen haben ferner das Recht, sich bei der für sie zuständigen Aufsichtsbehörde nach Maßgabe des Art. 77 DSGVO zu beschweren. |
Recht auf Widerspruch: | Sofern personenbezogenen Daten auf Grundlage von berechtigten Interessen gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO verarbeitet werden, haben betroffene Personen das Recht, gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben betroffene Personen ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird. |