Datenschutzerklärung für die Nutzung von Hinweisgeber-Systemen bei Merck
Vielen Dank für Ihr Interesse an der Verarbeitung personenbezogener Daten durch die Merck KGaA, Darmstadt, Germany. Wir nehmen die Themen Datenschutz und Vertraulichkeit sehr ernst und folgen den geltenden nationalen und europäischen Datenschutzvorschriften.
Diese Datenschutzerklärung erläutert Ihnen, wie wir Ihre Daten verarbeiten, wenn wir diese von Ihnen oder durch jemand anderen im Rahmen unseres Hinweisgeber-Systems (Compliance Hotline) erlangt haben oder etwa durch eine eingesandte E-Mail/ ein Fax/ einen Brief oder im Rahmen einer Niederschrift zu einem persönlichen oder telefonischen Gespräch.
Verantwortlicher und Datenschutzbeauftragter
Verantwortliche im Sinne des Artikels 4 Nummer 7 der Europäischen Datenschutzgrundverordnung („DSGVO“) ist:
- Merck KGaA, Darmstadt, Germany
- Frankfurter Straße 250
- 64293 Darmstadt
Unseren Datenschutzbeauftragten erreichen Sie unter:
- Merck KGaA, Darmstadt, Germany
- Konzern-Datenschutzbeauftragter
- Frankfurter Straße 250
- 64293 Darmstadt
- privacy@merckkgaa-darmstadt-germany.com
Gegenstand des Datenschutzes und Personenbezug Ihrer Daten
Gegenstand des Datenschutzes sind personenbezogene Daten. Dies sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies kann insbesondere Ihr Name sein, aber auch etwa eine dokumentierte Verhaltensweise, die mit Ihrer Person in Verbindung gebracht wird.
Wir verarbeiten Ihre personenbezogenen Daten im Rahmen des Hinweisgebersystems, wenn Sie uns selbst einen Hinweis geben und uns Ihren Namen nennen oder sich ein Bezug zu Ihrer Person aus einem Hinweis eines Dritten ergibt. Letzteres ist denkbar, wenn Sie selbst eines Fehlverhaltens beschuldigt werden oder ihre Person durch den Hinweisgeber lediglich im Zusammenhang mit dem behaupteten Fehlverhalten eines Anderen erwähnt wird.
Verarbeitete Datenkategorien
Bei der Nutzung des Hinweisgeber-Systems verarbeiten wir Ihren Namen, sofern er uns genannt wird, sowie den Inhalt des jeweiligen Hinweises. Je nach gewähltem Kommunikationsweg kann es außerdem vorkommen, dass wir Daten zu diesem Medium (Ihre E-Mail-Adresse/ Faxnummer etc.) speichern.
Sofern wir den Hinweis von einer anderen Gesellschaft der Unternehmensgruppe erhalten, speichern wir außerdem diese Herkunft der Daten.
Verarbeitungszwecke
Wir verarbeiten Ihre Daten zur Prävention und Aufklärung von möglichen Zuwiderhandlungen gegen geltende Gesetze, unseren Code of Conduct oder weitere bei uns geltende Richtlinien (vgl. hierzu Ziffer 10 dieser Datenschutzerklärung).
Rechtsgrundlagen
Verarbeitung personenbezogener Daten von internen Mitarbeitern
Die Datenverarbeitung bzgl. der Verfolgung möglicher Straftaten durch interne Mitarbeiter im Beschäftigungskontext erfolgt auf Grundlage des § 26 Abs. 1 S. 2 Bundesdatenschutzgesetz („BDSG“) und bei sonstigem Fehlverhalten (etwa bei möglichen Verstößen gegen einen anwendbaren Verhaltenskodex) auf Grundlage des Art. 6 Abs.1 lit. f DSGVO. Die Aufklärung und Vermeidung möglicher Zuwiderhandlungen gegen geltende Gesetze, unseren Code of Conduct oder weitere bei uns geltende Richtlinien stellt unser berechtigtes Interesse an der Verarbeitung Ihrer personenbezogenen Daten dar.
Verarbeitung personenbezogener Daten Dritter
Wenn Sie kein Mitarbeiter von uns sind und Sie entweder das Hinweisgebersystem nutzen oder Ihre Person im Rahmen eines Hinweises durch einen Dritten genannt wird, erfolgt die Verarbeitung Ihrer personenbezogener Daten auf Grundlage des Art. 6 Abs.1 lit. f DSGVO.
Die Aufklärung und Vermeidung rechtswidrigen und/ oder geschäftsschädigenden Verhaltens stellt zugleich unser berechtigtes Interesse an der Verarbeitung Ihrer personenbezogenen Daten dar.
Verarbeitung personenbezogener Daten im Falle einer Zusammenarbeit mit Behörden
In Ausnahmefällen kann es sein, dass wir verpflichtet sind, mit Behörden (etwa bei der Verfolgung von Straftaten) zusammenzuarbeiten. Die Rechtsgrundlage für die damit in Zusammenhang stehenden Datenverarbeitungen ist Artikel 6 Abs. 1 lit. c DSGVO.
Sofern wir ohne eine derartige Verpflichtung mit Behörden zusammenarbeiten, um mögliche strafbare Handlungen aufzuklären, geschieht das auf Grundlage des Art. 6 Abs. 1 lit. e DSGVO. Durch die Datenverarbeitungen wird das öffentliche Interesse an der Verfolgung und Aufdeckung von Straftaten gewahrt.
Keine Pflicht, Daten zu übermitteln und Möglichkeit der Anonymität
Sie sind nicht verpflichtet, uns personenbezogene Daten zur Verfügung zu stellen. In diesem Fall kann es jedoch sein, dass wir einem Fehlverhalten nicht oder nur unzureichend nachgehen können.
Das Hinweisgebersystem bietet Ihnen die Möglichkeit, Hinweise anonym oder nicht-anonym mitzuteilen. Bitte überlegen Sie sich vor Nennung Ihrer Identität gut, ob Sie den entsprechenden Hinweis ggf. anonym erteilen möchten. Denken Sie dabei auch daran, dass Rückschlüsse auf Ihre Person nicht nur durch Ihren Namen, sondern auch auf andere Weise ermöglicht werden können. Dies kann etwa der Fall sein, wenn nur Sie als Zeuge eines Vorgangs in Betracht kommen, etwa aufgrund Ihrer Position im Unternehmen, Ihrer physischen Anwesenheit oder einer gesonderten Zugangsberechtigung.
Sofern Sie Mitarbeiter einer Gesellschaft der Unternehmensgruppe sind, finden Sie weiterführende Hinweise zu der Möglichkeit, Ihre Daten anonym zu übermitteln, im Intranet.
Herkunft der Daten und Maßnahmen zur Gewährleistung der Anonymität
Wir erhalten Ihre personenbezogenen Daten von Hinweisgebern, soweit diese sich aus dem jeweiligen Hinweis ergeben. Außerdem erhalten wir personenbezogene Daten im Zusammenhang mit Hinweisen, die in Gesellschaften der Unternehmensgruppe eingegangen sind, von diesen Gesellschaften.
Das Hinweisgebersystem Compliance Hotline wird durch ein sorgfältig ausgewähltes und darauf spezialisiertes Unternehmen, der EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen der Unternehmensgruppe betrieben. Sofern die Hinweisgeber den Hinweis über die Compliance Hotline telefonisch oder über eine dort speziell eingerichtete Postbox erteilen, werden diese Daten verschlüsselt in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Entschlüsselung der Daten und Einsichtnahme in diese ist nur dem Unternehmen möglich. Weder die EQS Group GmbH noch sonstige Dritte haben Zugang zu interpretierbaren Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen beim Unternehmen beschränkt ist.
Die EQS Group GmbH darf die Daten ausschließlich zu den von uns vorgegebenen Zwecken und gemäß unseren Weisungen verarbeiten und wurde darüber hinaus von uns vertraglich verpflichtet, Ihre Daten ausschließlich gemäß den anwendbaren Datenschutzgesetzen zu behandeln.
Die EQS Group GmbH wird gegebenenfalls weitere weisungsgebundene Dienstleister einsetzen, um die beschriebenen Dienste zu erbringen. In diesem Fall wird die EQS Group GmbH die Dienstleister wiederum streng auf die Vertraulichkeit personenbezogener Daten verpflichten und regelmäßig kontrollieren.
Empfänger der Daten und Drittlandtransfers
Wir geben Ihre personenbezogenen Daten ohne Ihre Einwilligung in den gesetzlich zulässigen Fällen weiter. Rechtlich zulässig kann eine solche Datenübertragung insbesondere sein, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist und/ oder zur Aufklärung einer Straftat erforderlich ist, etwa wegen entsprechender Herausgabeverlangen von Behörden.
Daneben können wir wie beschrieben (insb. über die Postbox) personenbezogene Daten in verschlüsselter Form in das BKMS® System eingeben, um mit dem Hinweisgeber zu Rückfragen zu kommunizieren sowie Informationen an andere Gesellschaften der Unternehmensgruppe übermitteln, um die dort eingegangenen und/ oder diese betreffenden Hinweise zu bearbeiten.
Um den Schutz Ihrer Persönlichkeitsrechte auch insofern zu gewährleisten, wird das Unternehmen Ihre Daten in Staaten außerhalb des Europäischen Wirtschaftsraums grundsätzlich nur übermitteln, wenn ein der DSGVO gleichwertiges, angemessenes Datenschutzniveau gesichert ist. Ist dies nicht der Fall, bedient sich das Unternehmen einer der in Art. 44 ff. DSGVO niedergelegten Mechanismen, insbesondere dem Abschluss von Standarddatenschutzklauseln der Kommission nach Art. 46 Abs. 2 lit.c DSGVO. Diese können unter https://eur-lex.europa.eu/legal-content/ DE/ ALL/?uri=celex%3A32004D0915 jederzeit eingesehen werden.
Speicherdauer
Ihre personenbezogenen Daten werden so lange gespeichert, wie es für die Aufklärung des Hinweises erforderlich ist. Personenbezogene Daten, die für die Bearbeitung des Hinweises nicht relevant sind, werden grundsätzlich unverzüglich gelöscht. Relevante Informationen können so lange gespeichert werden, wie es für Beweiszwecke, zur Durchführung notwendiger Maßnahmen und zur Einleitung von rechtlichen Schritten oder zur Rechtsverteidigung erforderlich ist. Darüber hinaus können gesetzliche Aufbewahrungsfristen eine längere Speicherung erfordern. In der Regel werden Daten zu Hinweisen nach einer Frist von drei Jahren nach Abschluss des Verfahrens gelöscht oder anonymisiert, sofern die Daten nicht für einen der vorstehend genannten Zwecke benötigt werden.
Ihre Rechte als betroffene Person
Auskunftsrecht
Sie haben das Recht, von uns jederzeit auf Antrag eine Auskunft über die von uns verarbeiteten, Sie betreffenden personenbezogenen Daten im Umfang des Art. 15 DSGVO unter den Beschränkungen des § 34 BDSG zu erhalten. Eingeschränkt ist Ihr Anspruch insbesondere, soweit der Auskunft ein überwiegendes Interesse eines Dritten – etwa eines Hinweisgebers – entgegensteht (§ 29 Abs. 1 S. 2 BDSG).
Recht auf Berichtigung
Sie haben das Recht, nach Maßgabe des Art. 16 DSGVO von uns die unverzügliche Berichtigung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern diese unrichtig sein sollten.
Recht auf Löschung
Sie haben das Recht, unter den in Art. 17 DSGVO beschriebenen Voraussetzungen von uns die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen. Diese Voraussetzungen liegen insbesondere vor, wenn der jeweilige Verarbeitungszweck erreicht ist oder anderweitig wegfällt sowie wenn wir Ihre Daten unrechtmäßig verarbeiten sollten, falls Sie der Datenverarbeitung erfolgreich widersprechen (vgl. Ziffer 11.5) und in Fällen des Bestehens einer Löschpflicht auf Grundlage des Unionsrechts oder des Rechts eines EU-Mitgliedstaates, dem wir unterliegen.
Dieses Recht unterliegt den Einschränkungen aus § 35 BDSG, wonach das Recht auf Löschung insbesondere entfallen kann, wenn im Falle nicht automatisierter Datenverarbeitungen ein unverhältnismäßig hoher Aufwand für die Löschung besteht und Ihr Interesse an der Löschung als gering anzusehen ist.
Recht auf Einschränkung der Verarbeitung
Sie können nach Maßgabe des Art. 18 DSGVO von uns verlangen, dass wir Ihre personenbezogenen Daten nur noch eingeschränkt verarbeiten. Dieses Recht besteht insbesondere, wenn die Richtigkeit der personenbezogenen Daten umstritten ist, wenn Sie unter den Voraussetzungen eines berechtigten Löschbegehrens (Ziffer 11.3) anstelle der Löschung eine eingeschränkte Verarbeitung verlangen; ferner für den Fall, dass die Daten für die von uns verfolgten Zwecke nicht länger erforderlich sind, Sie die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen sowie wenn der Erfolg eines Widerspruchs noch umstritten ist.
Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die entweder im öffentlichen Interesse oder zur Wahrung unseres berechtigten Interesses erfolgt, Widerspruch einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Ausübung dieser Rechte
Wenn Sie diese Rechte ausüben möchten, kontaktieren Sie uns bitte, zum Beispiel per E-Mail an: privacy@merckkgaa-darmstadt-germany.com.
Beschwerderecht
Sie haben ferner das Recht, sich bei Beschwerden an eine Aufsichtsbehörde zu wenden, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen das geltende Datenschutzrecht verstößt.