Datenschutzhinweise zur Verarbeitung personenbezogener Daten durch die interne Meldestelle
Die Konzerneinheit Recht und Compliance (RCC) der Flughafen München GmbH („FMG“ oder „wir“) bietet Beschäftigten und Externen die Möglichkeit, Hinweise auf Compliance-Verstöße an eine interne Meldestelle zu geben. An die interne Meldestelle können sich Beschäftigte sowie Externe wie Anbieter, Auftragnehmer, Lieferanten und Kunden wenden und Verstöße gegen Rechtsvorschriften im Anwendungsbereich von § 2 Hinweisgeberschutzgesetz (HinSchG), insbesondere im Zusammenhang mit Korruption, Betrug, Diebstahl, Unterschlagung, Veruntreuung, Vandalismus, Sachbeschädigung, Wettbewerbsdelikten melden. Gemeldet werden können zudem Sachverhalte im Zusammenhang mit dem Lieferkettensorgfaltspflichtengesetz (LkSG), mit der Prävention und Behandlung sexueller Belästigung, Verstöße gegen den Code of Conduct und gegen Richtlinien des FMG-Konzerns wie die „Geschenke- und Einladungsrichtlinie“ und sonstige Regelungen mit Geltung im FMG-Konzern.
Name und Kontaktdaten des Verantwortlichen
Die datenschutzrechtliche Verantwortung für die interne Meldestelle liegt bei der FMG. Im Rahmen der im Hinweisgeberschutzgesetz (HinSchG) vorgesehenen Möglichkeit der Betrauung eines Dritten mit den Aufgaben einer internen Meldestelle übernimmt die FMG in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO auch die Aufgaben einer internen Meldestelle für folgende Konzernunternehmen:
- aerogate München Gesellschaft für Luftverkehrsabfertigungen mbH
- AeroGround Flughafen München GmbH
- Allresto Flughafen München Hotel und Gaststätten GmbH
- Cargogate Munich Airport GmbH
- eurotrade Flughafen München Handels-GmbH
- FMSicherheit Flughafen München Sicherheit GmbH
- FMV - Flughafen München Versicherungsvermittlungsgesellschaft mbH
- LabCampus GmbH
- Flughafen München Realisierungsgesellschaft mbH
- Terminal 2 Gesellschaft mbH & Co oHG
Betroffene können sich grundsätzlich an den Verantwortlichen der internen Meldestelle (FMG) sowie an den Verantwortlichen der Konzerngesellschaften, die die FMG mit den Aufgaben der internen Meldestelle betraut haben, wenden. Im Rahmen der Vereinbarung zur gemeinsamen Verantwortlichkeit haben die FMG und die oben genannten Konzernunternehmen zudem eine enge Abstimmung bei der Erfüllung von Betroffenenersuchen sowie bei der Meldung etwaiger Datenschutzverletzungen und möglicher Benachrichtigungen von Betroffenen gem. Art. 34 DSGVO vereinbart. Die interne Meldestelle der FMG erreichen Sie unter folgenden Kontaktdaten:
Interne Meldestelle (RCC)
Flughafen München GmbH
Nordallee 25
85356 München
Deutschland
Tel. +49 89 975-40340 (Montag bis Freitag zu den üblichen Bürozeiten)
E-Mail: hinweise@munich-airport.de
Die Kontaktdaten der betrauenden Konzernunternehmen sowie die Kontaktdaten der jeweiligen Datenschutzbeauftragten können unter https://www.munich-airport.de/datenschutzerklaerung-hinweise-zum-datenschutz-376066#6882f2bb abgerufen werden.
Kontaktdaten des Datenschutzbeauftragten der FMG:
Datenschutzbeauftragter
Flughafen München GmbH
Nordallee 25
85356 München
Deutschland
E-Mail: datenschutzbeauftragter@munich-airport.de
Kategorien personenbezogener Daten
Die Abgabe von Hinweisen an die Meldestelle erfolgt auf freiwilliger Basis, eine Meldung kann auch erfolgen, ohne dass wir Daten der hinweisgebenden Person verarbeiten.
Zur sicheren und vertraulichen Bearbeitung von Hinweisen nutzen wir insbesondere das Online-Portal „Business Keeper Monitoring System“ der EQS Group GmbH, Karlstraße 47, 80333 München (im Folgenden: BKMS® System). Bitte beachten Sie in diesem Kontext, dass anonyme Hinweise ausschließlich von privaten Geräten außerhalb des Firmennetzwerks abgegeben werden sollten, da nur auf diesem Wege die gebotene Vertraulichkeit zugesichert werden kann.
Im Rahmen der Aufgabenwahrnehmung werden regelmäßig folgende personenbezogene oder personenbeziehbare Daten durch die Meldestelle verarbeitet:
- Daten von Personen, die im Rahmen von Meldungen benannt werden;
- Daten von Personen, die im Rahmen der Aufgabenwahrnehmung einer Meldestelle, insbesondere im Bereich des Verfahrens und der Dokumentation, verarbeitet werden;
- Daten von Personen, die durch die Meldestelle für die Aufgabenwahrnehmung hinzugezogen werden;
- Daten von hinweisgebenden Personen, die diese freiwillig gegenüber der Meldestelle offenlegen.
Zwecke
Die FMG bietet Beschäftigten und Geschäftspartnern an, Compliance-Verstöße direkt an die interne Meldestelle zu melden. Dies kann über verschiedene Meldewege erfolgen, z.B. persönliches Gespräch, Telefon, Brief, E-Mail oder das BKMS® System.
Die interne Meldestelle dient der Aufrechterhaltung zuverlässiger Grundsätze der Unternehmensführung im täglichen Betrieb, die Möglichkeit der Abgabe von Meldungen von Verstößen über das BKMS® System ist dabei als zusätzlicher Mechanismus für Beschäftigte wie auch Externe angelegt, um auch anonym Hinweise abgeben und für Rückfragen zur Verfügung stehen zu können.
Rechtsgrundlage
Für Verarbeitungen bei Meldungen nach dem HinSchG:
Die Meldestelle verarbeitet personenbezogene Daten von hinweisgebenden Personen, am Verfahren beteiligten und möglicherweise beschuldigten Personen aufgrund rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO). Diese Verpflichtungen ergeben sich für das HinSchG für
- die Einrichtung und Gestaltung der Meldestelle (§ 10 S. 1 iVm den §§ 16 HinSchG),
- das Verfahren bei internen Meldungen (§ 17 HinSchG),
- die Durchführung von Folgemaßnahmen (§ 18 HinSchG).
Sofern besondere Kategorien personenbezogener Daten durch die Meldestelle verarbeitet werden, wird dies mit der Erforderlichkeit für die Aufgabenerfüllung begründet (Art. 9 Abs. 2 lit. g DSGVO iVm § 10 Satz 2 HinSchG).
Sofern durch das HinSchG eine Einwilligung Voraussetzung für bestimmte Handlungen der Meldestelle vorschreibt (bspw. für die Weitergabe personenbezogener Daten der hinweisgebenden Person oder Telefonaufzeichnungen oder Wortprotokolle bei telefonischen Meldungen) wird eine solche eingeholt. Die Verarbeitung wird in diesen Fällen mit Art. 6 Abs. 1 lit. a DSGVO begründet.
Sofern berechtigte Interessen des Verantwortlichen oder eines Dritten weitere Verarbeitungen erfordern und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen, können bspw. zum Schutz des Vorwurfs von Repressalien auch Verarbeitungen auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO begründet werden.
Für Verarbeitungen bei Meldungen außerhalb des Anwendungsbereichs des HinSchG:
Für Meldungen, die dem Lieferkettensorgfaltspflichtengesetz (LkSG) zuzuordnen sind, ergibt sich die Rechtsgrundlage für die Verarbeitung aus Art. 6 Abs. 1 lit. c DSGVO i.V.m § 8 LkSG (Ermöglichung eines und Verfahrensordnung für das Beschwerdeverfahren, Bestätigung des Eingangs von Hinweisen, Erörterung des Sachverhaltes. Datenverarbeitungen im Rahmen der Ergreifung von Abhilfemaßnahmen werden mit Art. 6 Abs. 1 lit. c DSGVO i.V.m § 7 LkSG begründet.
Die Verarbeitung personenbezogener Daten im Rahmen der Bearbeitung von Hinweisen, die Verstöße gegen Regelungen außerhalb des Anwendungsbereichs des HinSchG zum Inhalt haben, werden mit der Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO) begründet. Das berechtigte Interesse liegt an der Aufdeckung und Prävention von Missständen und somit an der Abwendung von Schaden für den FMG-Konzern, Mitarbeiter und Kunden. Die Hinweisbearbeitung dient vor allem zur Aufdeckung und Prüfung von Missständen und Gesetzesverstößen, und ist eingebettet in unser Compliance Management System. Vor dem Hintergrund dieses Regelungs- und Haftungsregimes müssen auch die für die Hinweisbearbeitung notwendigen personenbezogenen Daten verarbeitet werden. Dahinter tritt das Interesse von Betroffenen an einer Nichtverarbeitung der Daten zurück, da Meldungen freiwillig und anonym erfolgen können und für die Vertraulichkeit und Integrität der Daten des Hinweisgebers und möglicher beteiligter Dritter durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau gewährleistet wird.
Art und Umfang der Datennutzung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bearbeitung von Hinweisen und strikt unter der Maßgabe, dass ein Zugriff auf Daten nur bestimmten Personen und nur in einem Umfang eingeräumt wird, der für die Hinweisbearbeitung zwingend erforderlich ist. Selbstverständlich sind alle Personen, die Zugang zu Daten erhalten, zur Vertraulichkeit verpflichtet.
Empfänger
- Interne Verwendung der Daten und mögliche Weitergabe von Daten im Konzern
Die konkreten Empfänger von Daten sind abhängig vom Inhalt des Hinweises. Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Beschäftigter der Compliance- Organisation der FMG entgegengenommen (Beschäftigte der Meldestelle) und stets vertraulich behandelt.
Die Meldestelle prüft, ob eine vertiefte Untersuchung erforderlich ist und welche Stellen unternehmensintern zur Aufklärung des Sachverhalts hinzugezogen werden müssen. Die Meldestelle informiert regelmäßig auch die oberste Führungsebene zu den Inhalten eingegangener Hinweise, da die Behebung gemeldeter Verstöße zu deren Aufgabenbereich zählt. Zudem werden oftmals die Abteilungen Revision, die Konzernsicherheit sowie die Rechts- und die Personalabteilung zur Bearbeitung von Hinweisen hinzugezogen oder weitere Ansprechpartner identifiziert, die im Rahmen der Durchführung der Folgemaßnahmen erforderlich sind.
Sofern Meldungen für Tochtergesellschaften im Rahmen des Betrauungsverhältnisses bei der Meldestelle eingehen oder an die Muttergesellschaft gerichtete Hinweise auch Konzerngesellschaften betreffen, wird das Management der Tochtergesellschaften sowie erforderlichenfalls zuständige Stellen oder Abteilungen der Konzerngesellschaften informiert und zur Bearbeitung des Hinweises hinzugezogen, da die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, bei den jeweils betroffenen Konzernunternehmen liegt.
Wir bitten Sie, der Meldestelle nur solche Hinweise zukommen zu lassen, die die in Absatz 1 dieser Datenschutzhinweise angeführten Meldekategorien betreffen. Sofern Ihr Hinweis außerhalb des Aufgabenbereichs der Meldestelle liegt, werden wir Ihr Anliegen aus Gründen der Vertraulichkeit grundsätzlich nicht weiterleiten, sondern Sie bitten, sich an eine geeignete Stelle zu wenden. - Weitergabe von Daten an Verantwortliche außerhalb des FMG-Konzerns
Untersuchungen können erfordern, weitere FMG-Beschäftigte oder Beschäftigte von Konzernunternehmen sowie möglicherweise auch Externe wie bspw. spezialisierte Kanzleien, Wirtschaftsprüfer oder Forensikexperten einzubinden. Selbstverständlich sind alle intern wie extern am Verfahren Beteiligten zur vertraulichen Behandlung offengelegter Informationen verpflichtet. - Weitergabe an staatliche Stellen
Gegebenenfalls kann die FMG rechtlich dazu verpflichtet sein, gegenüber staatlichen Stellen (z.B. Ermittlungsbehörden oder Gerichten) Auskunft zu Compliance Verstößen zu geben. Im Falle solcher Pflichten sowie bei Beschlagnahmen ist es uns nicht möglich, die von Ihnen eingereichten Informationen zurückzuhalten. - Dienstleister Hinweisgebersystem
Das BKMS® System wird im Rahmen eines Auftragsverarbeitungsverhältnisses durch die EQS Group GmbH (Mitglied der EQS Group), Bayreuther Str. 35, 10789 Berlin in Deutschland bereitgestellt.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden im BKMS® System in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur der FMG möglich, der Auftragsverarbeiter und Dritte haben keinen Zugang zu den Daten. Dies wird in einem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen sichergestellt.
Weitergabe von Daten in Drittländer
Personenbezogene Daten werden im Rahmen der Aufgabenwahrnehmung der Meldestelle grundsätzlich nicht in Drittländer außerhalb der EU/EWR übertragen.
Abhängig vom Inhalt des Hinweises kann es in einzelnen Fällen erforderlich sein, die Daten auch an Empfänger in Drittländer weiterzugeben. In Drittländern können die Rechte betroffener Personen und eine vertrauliche Behandlung personenbezogener Daten nicht in gleichem Maße gesetzlich garantiert werden wie in der EU.
Wenn Sie als hinweisgebende Person nicht möchten, dass wir Ihre personenbezogenen Daten in Länder außerhalb der EU weitergeben, teilen Sie uns dies bitte in Ihrer Meldung mit und wir prüfen, ob eine Weitergabe nicht zur Wahrung unserer berechtigten Interessen erforderlich ist. Bitte beachten Sie, dass Ihre Meldung ohne die Weitergabe Ihrer Daten möglicherweise nicht vollständig aufgearbeitet werden kann.
Dauer der Speicherung
Nach erfolgter Plausibilitätsprüfung wird durch die Meldestelle geprüft, ob eine Aufbewahrung erforderlich ist.
Unabhängig von den im folgenden angeführten Aufbewahrungszeiträumen werden nach Abschluss der Prüfung des Hinweises sowie nach Abschluss des Hinweisverfahrens Maßnahmen ergriffen, um die Verfahrensdokumentation bspw. mittels Schwärzungen oder Pseudonymen weitestgehend datensparsam auszugestalten.
Die Verfahrensunterlagen werden grundsätzlich nach erfolgter Einzelfallprüfung 3 Jahre nach Abschluss des Hinweisverfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
Rechte der Betroffenen
Als hinweisgebende Person, am Verfahren beteiligte und möglicherweise beschuldigte Person stehen Ihnen folgende Betroffenenrechte der DSGVO zu:
- Recht auf Auskunft,
- Recht auf Berichtigung oder Löschung,
- Recht auf Einschränkung der Verarbeitung,
- Recht auf Widerspruch gegen die Verarbeitung,
- Recht auf Datenübertragbarkeit.
Zur Wahrnehmung Ihrer Rechte und zum Widerruf erteilter Einwilligungen wenden Sie sich bitte an die oben angegebene Kontaktadresse des Verantwortlichen. Alternativ können Sie Ihre Datenschutzrechte auch über das BKMS® System oder unter folgender E-Mail-Adresse geltend machen: datenschutzanfrage@munich-airport.de
Bitte beachten Sie, dass die Meldestelle auch die Rechte Dritter schützen muss und Informationen daher ggf. nur gekürzt oder mit Schwärzungen bereitstellen kann oder darf, wenn dadurch die Verwirklichung der Ziele der Verarbeitung ernsthaft beeinträchtigt würden (Art. 14 Abs. 5 lit. b DSGVO) oder Informationen offenbart werden würden, die ihrem Wesen nach geheim zu halten sind (§ 29 Abs.1 BDSG).
Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht auf Beschwerde bei der Aufsichtsbehörde wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist. Die Kontaktdaten der für uns zuständigen Aufsichtsbehörde lauten: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Postfach 1349, 91504 Ansbach, Deutschland, Tel.: +49 (0) 981 / 53 1228, poststelle@lda.bayern.de, www.lda.bayern.de.
Änderung der Datenschutzhinweise
Wir behalten uns das Recht vor, unsere Sicherheits- und Datenschutzmaßnahmen zu verändern, soweit dies wegen rechtlicher oder technischer Entwicklungen erforderlich ist. In diesen Fällen werden wir auch unsere Hinweise zum Datenschutz entsprechend anpassen. Bitte beachten Sie daher die jeweils aktuelle Version unserer Datenschutzhinweise.
Sonstiges
Die Kommunikation zwischen Ihrem Endgerät und dem BKMS® System erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig. Als hinweisgebende Person haben Sie die Möglichkeit, mit einem selbst gewählten Pseudonym / Benutzernamen und Passwort einen geschützten Postkasten im BKMS® System einzurichten. Auf diese Weise können Sie mit der Meldestelle unter Nennung Ihres Namens oder anonym sicher kommunizieren.
Stand: 23. Juni 2023