Datenschutzhinweise Hinweisgeber
1. Allgemeine Informationen
a) Einleitung
Mit den folgenden Datenschutzhinweisen möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung unserer Hinweisgeberkanäle und Ihre Rechte gemäß der Datenschutz-Grundverordnung („DSGVO“) und sonstiger anwendbarer Datenschutzgesetze bezüglich dieser Verarbeitung informieren.
b) Verantwortlicher
Bei der datenschutzrechtlichen Verantwortlichkeit für die in unseren Hinweiskanälen erfolgende Datenverarbeitung ist zu unterscheiden:
Bei einer lokalen Meldestelle einer Konzerngesellschaft (Kontaktangaben), für die ein eigener Mitarbeitender zuständig ist, ist die jeweilige Konzerngesellschaft gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO zusammen mit der METRO AG.
Bei einer lokalen Meldestelle einer Konzerngesellschaft (Kontaktangaben), für die ein Mitarbeitender einer anderen Gesellschaft zuständig ist („Betreuende Gesellschaft“), ist die jeweilige Konzerngesellschaft gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO zusammen mit der METRO AG und der Betreuenden Gesellschaft.
Bei dem zentralen Online-Hinweisgebersystem („Hinweisgebersystem“) ist die betroffene Konzerngesellschaft, für die der Hinweis abgegeben wird, gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO zusammen mit der METRO AG.
Die METRO AG ist für den Betrieb des Hinweisgebersystems sowie die Zuweisung der darüber eintreffenden Hinweise an die jeweiligen Konzerngesellschaften verantwortlich. Die bei der METRO AG ansässige Corporate Compliance Abteilung ist allgemein für die Betreuung und Nachverfolgung aller Hinweise im Konzern verantwortlich. Darauf beschränkt sich die Verantwortlichkeit der METRO AG bei Hinweisen, die über lokale Meldestellen eingehen, soweit sie nicht selbst von dem Hinweis in anderer Funktion betroffen ist.
Die Betreuende Gesellschaft nimmt die Aufgaben der internen Meldestelle für die entsprechende Konzerngesellschaft war und ist für die in diesem Zusammenhang erfolgende Datenverarbeitung verantwortlich. In der Regel handelt es sich bei der Betreuenden Gesellschaft um die METRO AG.
Die jeweils von dem Hinweis betroffene Konzerngesellschaft ist für Handhabung und Bearbeitung solcher Hinweise verantwortlich. Dies umfasst insbesondere die Maßnahmen, um einen Verstoß abzustellen, und die Pflicht zur Rückmeldung an die hinweisgebende Person.
Kontaktadresse der METRO AG ist die Metro-Straße 1, 40235 Düsseldorf. Kontaktadressen der jeweiligen Konzerngesellschaften können Sie den Datenschutzhinweisen auf den Websites entnehmen, auf denen die jeweilige lokale Meldestelle bekannt gemacht ist.
Allgemeine Hinweise zur gemeinsamen Verantwortlichkeit zwischen METRO-Unternehmen finden Sie unter:
https://www.metroag.de/de/datenschutz/jointcontrol
c) Datenschutzbeauftragte
Sie können sich jederzeit an die zuständigen Datenschutzbeauftragten wenden:
METRO AG, Datenschutzbeauftragter, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
Kontaktadressen der Datenschutzbeauftragten der jeweiligen Konzerngesellschaften können Sie den Datenschutzhinweisen auf den Websites entnehmen, auf denen die jeweilige lokale Meldestelle bekannt gemacht ist.
2. Informationen bezüglich der Verarbeitung personenbezogener Daten
a) Zweck und Rechtsgrundlage
Die Hinweisgeberkanäle dienen dazu, Hinweise auf Verstöße gegen das Compliance-Gebot der METRO-Unternehmensgruppe (METRO) auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten.
Soweit eine Konzerngesellschaft gesetzlich zur Vorhaltung einer Meldestelle verpflichtet ist, erfolgt die Verarbeitung von personenbezogenen Daten, die an die Hinweise anschließt, rechtlich auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Soweit dabei besondere Kategorien von personenbezogenen Daten verarbeitet werden, ist die Grundlage ergänzend Art. 9 Abs. 2 lit. g) DSGVO bzw. einschlägige nationale Rechtsgrundlagen zu den besonderen Kategorien. Im Übrigen ist die Datenverarbeitung auf das berechtigte Interesse der Konzerngesellschaften an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für die METRO, ihre Mitarbeitenden und Kunden gestützt. Diese Verarbeitung erfolgt rechtlich auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Soweit eine Datenverarbeitung auf einer gesonderten Einwilligung beruht, insbesondere bei der Weitergabe von Informationen über die Identität, ist die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a) DSGVO bzw. – bei Vorliegen besonderer Kategorien von personenbezogenen Daten – ergänzend Art. 9 Abs. 2 lit. a) bzw. lit. g) DSGVO.
Folgemaßnahmen der einzelnen Konzerngesellschaften können erforderlich zur Durchführung oder Beendigung von Dienst- oder Arbeitsverhältnissen sein und rechtlich insoweit auf Art. 6 Abs. 1 S. 1 lit. b) DSGVO sowie entsprechender nationaler Rechtsgrundlagen gestützt sein.
b) Art der erhobenen personenbezogenen Daten
Die Nutzung der Hinweisgeberkanäle erfolgt auf freiwilliger Basis. Wenn Sie über die Hinweisgeberkanäle eine Hinweis abgeben, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen, sofern Sie Ihre Identität offenlegen,
- ob Sie bei METRO beschäftigt sind und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrem Hinweis nennen.
c) Vertrauliche Behandlung von Hinweisen und Empfänger
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulten Mitarbeitenden der Compliance Organisation von METRO entgegengenommen und stets vertraulich behandelt. Die Mitarbeitenden der Compliance Organisation von METRO prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung eines Hinweises oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitenden der METRO oder Mitarbeitenden von anderen Konzerngesellschaften weiterzugeben, z.B. wenn sich die Hinweise auf Vorgänge in anderen Konzerngesellschaften beziehen. Letztere können Ihren Sitz auch in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes haben, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
An externe Stellen werden Informationen aus den Hinweisen mit Ihrer Einwilligung weitergegeben, im Übrigen nur – soweit rechtlich zulässig – an die jeweils zuständigen Ermittlungs- und Strafverfolgungsbehörden bzw. in diesem Zusammenhang an Gerichte und berufsrechtlich zur Verschwiegenheit verpflichtete Berater.
d) Dauer der Speicherung
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Im Regelfall werden die Daten bis zu drei Jahre nach abschließender Beurteilung des Falls aufbewahrt. Bei Anzeige besonderer Umstände in Einzelfällen kann der Zeitraum auch bis zu sieben Jahre betragen.
e) Datensicherheit im Hinweisgebersystem
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig. Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Mitarbeitenden von METRO namentlich oder anonym und sicher Hinweise senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Bei der Abgabe von Hinweisen oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Mitarbeitenden von METRO Anhänge zu senden. Wenn Sie anonym einen Hinweis abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Hinweistext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldeprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der Business Keeper AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von METRO betrieben. Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der Business Keeper AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur METRO möglich. Die Business Keeper AG und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei METRO beschränkt ist.
3. Ihre Rechte
Als Betroffener können Sie sich jederzeit mit einer formlosen Mitteilung unter den oben unter 1. c) genannten Kontaktdaten an unsere Datenschutzbeauftragten wenden, um Ihre Rechte gemäß der DSGVO auszuüben. Diese Rechte sind die folgenden:
- Das Recht, Auskunft über die Datenverarbeitung zu erhalten, sowie eine Kopie der verarbeiteten Daten (Auskunftsrecht, Art. 15 DSGVO),
- das Recht, die Berichtigung unrichtiger Daten oder die Ergänzung unvollständiger Daten zu verlangen (Recht auf Berichtigung, Art. 16 DSGVO),
- das Recht, die Löschung personenbezogener Daten zu verlangen, sowie, falls die personenbezogenen Daten veröffentlicht wurden, die Information an andere Verantwortliche über den Antrag auf Löschung (Recht auf Löschung, Art. 17 DSGVO),
- das Recht, die Einschränkung der Datenverarbeitung zu verlangen (Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO),
- das Recht, die personenbezogenen Daten der betroffenen Person in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und die Übermittlung dieser Daten an einen anderen für die Verarbeitung Verantwortlichen zu verlangen (Recht auf Datenübertragbarkeit, Art. 20 DSGVO),
- das Recht auf Widerspruch gegen die Datenverarbeitung, um sie zu unterbinden (Widerspruchsrecht, Art. 21 DSGVO),
- das Recht, eine erteilte Einwilligung jederzeit zu widerrufen, um eine Datenverarbeitung, die auf Ihrer Einwilligung beruht, zu unterbinden. Der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor dem Widerruf (Widerrufsrecht, Art. 7 DSGVO),
- das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Datenverarbeitung gegen die DSGVO verstößt (Recht auf Beschwerde bei einer Aufsichtsbehörde, Art. 77 DSGVO).
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an die oben unter 1. c) genannten Kontaktdaten.
(v 3.1)