Datenschutzhinweis
Syntegon respektiert Ihre Privatsphäre
Der Schutz Ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten sowie die Sicherheit aller Geschäftsdaten ist uns ein wichtiges Anliegen, das wir in unseren Geschäftsprozessen berücksichtigen. Wir verarbeiten personenbezogene Daten vertraulich und nur gemäß den gesetzlichen Bestimmungen.
Verantwortlicher
Verantwortlicher im Sinne der EU-Datenschutzgrundverordnung („DSGVO“) für das BKMS® System zu Ihrer Compliance Meldung ist die Syntegon Technology GmbH, Stuttgarter Str. 130, 71332 Waiblingen als Muttergesellschaft (im Folgenden „Syntegon GmbH“, „wir“ oder „uns“).
Unsere Kontaktdaten für Compliance lauten wie folgt:
- Syntegon Technology GmbH
- Corporate Legal and Compliance
- Stuttgarter Str. 130
- 71332 Waiblingen
- DEUTSCHLAND
- E-Mail: Compliance.management@syntegon.com
Unsere Kontaktdaten für Datenschutz lauten wie folgt:
- Syntegon Technology GmbH
- Corporate Information Security and Privacy
- Stuttgarter Str. 130
- 71332 Waiblingen
- DEUTSCHLAND
- E-Mail: DPO@syntegon.com
Verarbeitung personenbezogener Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also beispielsweise Namen, Anschriften, Telefonnummern, E-Mail-Adressen, Vertrags-, Buchungs- und Abrechnungsdaten, die Ausdruck der Identität einer natürlichen Person sind.
Wir verarbeiten personenbezogene Daten nur dann, wenn hierfür eine gesetzliche Rechtsgrundlage gegeben ist oder Sie uns diesbezüglich Ihre Einwilligung erteilt haben.
Verarbeitete Datenkategorien
Die Verwendung des BKMS® Systems zu einer Compliance oder Datenschutz Meldung, bzw. Betroffenenanfrage ist freiwillig. Wenn Sie das System nutzen, werden wir Sie um Bereitstellung von Daten bitten, die folgende Datenkategorien betreffen:
- Kommunikationsdaten (z.B. Name, Telefon, E-Mail, Anschrift)
- Beschäftigtendaten von Syntegon Mitarbeitern und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Die vollständige Beantwortung der im Rahmen der Compliance Meldung, einer Datenschutzmeldung bzw. der Stellung einer Betroffenenanfrage gestellten Fragen hilft uns, Ihre Meldung zu bearbeiten. Sofern Sie uns unvollständige Daten überlassen, sind wir möglicherweise nicht oder nur verzögert zur Bearbeitung Ihrer Meldung in der Lage.
Verarbeitungszwecke und Rechtsgrundlagen
Ziel des BKMS® Systems ist es, Ihnen einen Kommunikationskanal für Ihre Compliance Meldung oder Datenschutzmeldung zur Verfügung zu stellen und sicherzustellen, dass Ihre Meldung gemäß den Prozessen des Compliance Management Systems als Umsetzung gesellschafts- und ordnungsrechtlicher Bestimmungen und der gesetzlichen Bestimmungen zum Datenschutzrecht von der Syntegon Technology GmbH bearbeitet wird.
Insbesondere verarbeiten wir Ihre personenbezogenen Daten für folgende Zwecke:
- Compliance Meldung: Hinweise und Nachverfolgung von Meldungen, die einen potenziellen Verstoß gegen das Compliance-Gebot betreffen. Über das BKMS® System können Sie der zuständigen Abteilung der Syntegon namentlich oder anonym und sicher solche Verstöße melden.
Rechtsgrundlage: Berechtigtes Interesse der Syntegon Technology GmbH zur Verfolgung von Straftaten, der Geltendmachung zivilrechtlicher Ansprüche, zur Durchführung oder Beendigung eines Arbeitsverhältnisses bzw. zur Aufdeckung von Straftaten im Beschäftigungsverhältnis sowie zur Verhinderung von Verstößen gegen Ordnungsrecht (Art. 6 Abs. 1 f) DSGVO i.V.m. § 24 Abs. 1 BDSG, Art. 88 DSGVO i.V.m. § 26 Abs. 1 BDSG i.V.m. §§ 30, 130 OWiG).
- Compliancemanagement: Zentrale Verwaltung und Zuweisung konzernübergreifender Compliancevorgänge.
Rechtsgrundlage: Berechtigtes Interesse der Syntegon Technology GmbH, eine zentrale Übersicht über Compliance Meldungen im Rahmen der Governance-Funktion zu erhalten (Art. 6 Abs. 1 f) DSGVO) sowie Geltendmachung und Verteidigung unserer Rechte.
- Datenschutzmeldung: Hinweise und Nachverfolgung von Meldungen, die einen potenziellen Datenschutzverstoß (Art. 33 DS-GVO) betreffen. Über das BKMS® System können Sie dem zuständigen Mitarbeiter von Syntegon namentlich oder anonym und sicher Datenschutzverstöße melden.
Rechtsgrundlage: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 c) DS-GVO).
- Betroffenenanfrage: Nachverfolgung und Auskunft zu einer eingereichten Betroffenenanfrage (Art. 12 - 21 DS-GVO). Eine anonyme Einreichung von Betroffenenanfragen ist nicht möglich, da wir hierfür Ihre Identität zweifelsfrei feststellen müssen.
Rechtsgrundlage: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 c) DS-GVO).
- Datenschutzmanagement: Zentrale Verwaltung und Bearbeitung konzernübergreifender Datenschutzvorgänge.
Rechtsgrundlage: Berechtigtes Interesse der Syntegon Technology GmbH eine zentrale Übersicht über Betroffenenanfragen und Datenschutzmeldungen zu erhalten (Art. 6 Abs. 1 f) DS-GVO) sowie Geltendmachung und Verteidigung unserer Rechte.
Speicherung von Login Daten/ Verwendung von Cookies
Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, dass lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzernamen und Passwort einen geschützten Postkasten im BKMS® System zur weiteren Kommunikation nach einer Compliance Meldung einzurichten.
Weitergabe von Daten an Syntegon Mitarbeiter, an etwaige Beschuldigte und an andere Verantwortliche
Im Rahmen der Bearbeitung einer Compliance Meldung ist es notwendig, die Meldung ganz oder teilweise den für die Bearbeitung zuständigen Mitarbeitern der Syntegon Technology GmbH bzw. derjenigen Tochtergesellschaften, die die Meldung betrifft, weiterzugeben. Ihre Angaben werden nur denjenigen Mitarbeitern zugänglich gemacht, die die Angaben zwingend zur Bearbeitung Ihrer Meldung benötigen.
Geben Sie Ihre Identität im Rahmen der Compliance Meldung an, sind wir wegen der DSGVO verpflichtet, spätestens einen Monat nach Ihrer Compliance Meldung etwaige beschuldigte Personen über Ihre Identität als Quelle personenbezogener Daten zu unterrichten (Art. 14 Abs. 3 lit. a DSGVO). Ist das Risiko erheblich, dass eine solche Unterrichtung unsere Fähigkeit zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen Beweise gefährden würde, kann die zu erfolgende Unterrichtung der beschuldigten Personen so lange aufgeschoben werden, wie diese Gefahr besteht (Art. 14 Abs. 5 lit. b DSGVO). Ihre personenbezogenen Daten werden von uns nur dann an andere Verantwortliche übermittelt, soweit dies zur Erfüllung weiterer rechtlicher Verpflichtungen erforderlich ist.
Darüber hinaus können Daten an andere Verantwortliche (z.B. Behörden) übermittelt werden, soweit wir aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche bzw. gerichtliche Anordnung hierzu verpflichtet sein sollten.
Dienstleister (allgemein)
Die Syntegon Technology GmbH hat die Firma EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin („Dienstleister“) beauftragt, im Namen der Syntegon Technology GmbH das System zur Compliance Meldung zu betreiben und die Daten in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum in der Europäischen Union zu speichern.
Die Syntegon Technology GmbH hat den Dienstleister sorgfältig ausgewählt und überwacht ihn regelmäßig, insbesondere seinen sorgsamen Umgang mit und die Absicherung der bei ihm gespeicherten Daten. Die Einsichtnahme in die Daten ist nur ausgewählten Syntegon Mitarbeitern möglich (siehe dazu oben unter „Weitergabe von Daten an Syntegon Mitarbeiter und an andere Verantwortliche“). Der Dienstleister hat keinen Zugang zu den Daten. Dies wird durch ein zertifiziertes Verfahren mittels umfassender technischer und organisatorischer Maßnahmen gewährleistet.
Der Dienstleister ist von der Syntegon Technology GmbH zur Vertraulichkeit und zur Einhaltung der gesetzlichen Vorgaben verpflichtet worden.
Weitergabe an Empfänger außerhalb der EU bzw. des EWR
Wir können personenbezogene Daten auch an Syntegon Rechtseinheiten oder Behörden weitergeben, die ihren Sitz außerhalb der EU bzw. des EWR in sogenannten Drittstaaten haben. In diesem Fall stellen wir vor der Weitergabe sicher, dass beim Empfänger entweder ein angemessenes Datenschutzniveau besteht (z. B. aufgrund eines Angemessenheitsbeschlusses der EU Kommission für das jeweilige Land oder der Vereinbarung sogenannter EU Standarddatenschutzklauseln mit dem Empfänger) oder Ihre Einwilligung in die Weitergabe vorliegt.
Sie können bei uns eine Übersicht über die Empfänger in Drittländern und eine Kopie der konkret vereinbarten Regelungen zur Sicherstellung des angemessenen Datenschutzniveaus erhalten. Bitte nutzen Sie hierfür die Angaben im Abschnitt Kontakt.
Dauer der Speicherung; Aufbewahrungsfristen
Compliance:
Wir speichern Ihre Daten grundsätzlich solange, wie dies zur Aufklärung des Compliancevorfalls erforderlich ist, auf den sich Ihre Meldung bezieht.
Nach Abschluss der Bearbeitung der Compliance Meldung löschen wir Ihre personenbezogenen Daten mit Ausnahme solcher Daten, deren weitere Speicherung und Verarbeitung zur Geltendmachung und Verteidigung unserer Rechte erforderlich ist.
Die Löschung von personenbezogenen Daten, die wir zur Geltendmachung und Verteidigung unserer Rechte weiter speichern und verarbeiten, richtet sich nach dem Ablauf der für Ordnungswidrigkeiten und Straftaten bzw. zur Geltendmachung zivilrechtlicher Ansprüche bestimmten maximalen Verjährungsfrist (§§ 31 Abs. 2, 33 Abs. 3 OWiG; §§ 78 Abs. 3, 78 c Abs. 3 StGB bzw. §§ 195 ff. BGB).
Datenschutz:
Wir speichern Ihre Daten grundsätzlich solange, wie dies zur Aufklärung des Datenschutzvorfalls oder zur Bearbeitung Ihrer Anfrage erforderlich ist.
Nach Abschluss der Bearbeitung der Datenschutzmeldung bzw. der Betroffenenanfrage löschen wir Ihre personenbezogenen Daten mit Ausnahme solcher Daten, deren weitere Speicherung und Verarbeitung zur Geltendmachung und Verteidigung unserer Rechte erforderlich ist.
Die Löschung von personenbezogenen Daten, die wir zur Geltendmachung und Verteidigung unserer Rechte weiter speichern und verarbeiten, richtet sich nach dem Ablauf der für Ordnungswidrigkeiten bestimmten maximalen Verjährungsfrist (§§ 31 Abs. 2, 33 Abs. 3 OWiG). Die Löschung erfolgt spätestens sechs Jahre nach Abschluss der Bearbeitung der Datenschutzmeldung bzw. der Betroffenenanfrage.
Sicherheit
Unsere Mitarbeiter und die von uns beauftragten Dienstleister sind zur Verschwiegenheit und Einhaltung der Bestimmungen der anwendbaren Datenschutzvorschriften verpflichtet.
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter von Syntegon entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter von Syntegon prüfen den Sachverhalt und führen eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Jede dieser Personen, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Wir treffen alle erforderlichen technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten und Ihre durch uns verwalteten Daten insbesondere vor den Risiken der unbeabsichtigten oder unrechtmäßigen Vernichtung, Manipulation, Verlust, Veränderung oder unbefugter Offenlegung bzw. unbefugtem Zugriff zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung regelmäßig verbessert. Die Kommunikation zwischen Ihrem Rechner und dem BKMS® System zur Compliance Meldung erfolgt über eine verschlüsselte Verbindung (TLS).
Informations- und Auskunftsrecht
Sie haben das Recht, von uns Informationen über die Verarbeitung Ihrer Daten zu erhalten. Hierzu können Sie ein Recht auf Auskunft in Bezug auf die personenbezogenen Informationen, die wir von Ihnen verarbeiten, geltend machen.
Berichtigungs- und Löschungsrecht
Sie können von uns die Berichtigung falscher Daten und – soweit die gesetzlichen Voraussetzungen erfüllt sind – Vervollständigung oder Löschung Ihrer Daten verlangen. Dies gilt nicht für Daten, die für Abrechnungs- und Buchhaltungszwecke erforderlich sind oder der gesetzlichen Aufbewahrungspflicht unterliegen. Soweit der Zugriff auf solche Daten nicht benötigt wird, wird deren Verarbeitung aber eingeschränkt (siehe nachfolgend).
Einschränkung der Verarbeitung
Sie können von uns – soweit die gesetzlichen Voraussetzungen erfüllt sind – verlangen, dass wir die Verarbeitung Ihrer Daten einschränken.
Widerspruch gegen die Datenverarbeitung
Zudem haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Datenverarbeitung durch uns zu widersprechen, soweit diese auf der Rechtsgrundlage „berechtigtes Interesse“ beruht. Wir werden dann die Verarbeitung Ihrer Daten einstellen, es sei denn wir können – gemäß den gesetzlichen Vorgaben – zwingende schutzwürdige Gründe für die Weiterverarbeitung nachweisen, welche Ihre Rechte überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, eine Beschwerde bei einer Datenschutzbehörde einzureichen. Sie können sich dazu an die Datenschutzbehörde wenden, die für Ihren Wohnort bzw. Ihr Bundesland zuständig ist, oder an die für uns zuständige Datenschutzbehörde. Dies ist:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit
- Hausanschrift:
- Lautenschlagerstraße 20
- 70173 Stuttgart
- Postanschrift:
- Postfach 10 29 32
- 70025 Stuttgart
- Tel.: 0711/615541-0
- FAX: 0711/615541-15
- E-Mail:poststelle@lfdi.bwl.de
Telefonische Meldungsabgabe
Ihre Anonymität wird auch bei der telefonischen Meldungsabgabe technisch geschützt. Weder unsere Organisation noch die EQS Group GmbH erhalten Zugriff auf Ihre Telefonnummer. Ihre Beschreibung des Sachverhalts sprechen Sie mittels Tonaufzeichnung in das BKMS® System. Anschließend wird die verschlüsselte Tondatei zunächst durch den zuständigen Mitarbeiter transkribiert. Sofern Sie sich zum Ende der telefonischen Meldungsabgabe einen geschützten Postkasten eingerichtet haben, können Sie Rückmeldungen in Form einer Sprachaufzeichnung des zuständigen Mitarbeiters erhalten und Ihre Meldung bei Bedarf ergänzen. Alternativ erreichen Sie Ihren geschützten Postkasten über die Webapplikation und können dort in Textform sowohl Rückmeldungen einsehen als auch Ergänzungen abgeben. Zum Schutz der Vertraulichkeit Ihrer Meldung oder Ergänzung können Sie diese weder in Ihrem telefonischen- noch in Ihrem web-basierten, geschützten Postkasten anhören.
Änderung des Datenschutzhinweises
Wir behalten uns das Recht vor, unsere Sicherheits- und Datenschutzmaßnahmen zu verändern. In diesen Fällen werden wir auch unsere Hinweise zum Datenschutz entsprechend anpassen. Bitte beachten Sie daher die jeweils aktuelle Version unseres Datenschutzhinweises.
Kontakt
Wenn Sie mit uns in Kontakt treten möchten, erreichen Sie uns unter der im Abschnitt „Verantwortlicher“ angegebenen Anschrift.
Stand: 04.12.2019