Im Folgenden informieren wir Sie gemäß Art. 13 der Datenschutzgrundverordnung (DSGVO) darüber, wie das unten genannte Unternehmen der Scheer Group personenbezogene Daten im Rahmen des Meldewesens verarbeitet und über die damit verbundenen Datenschutzbestimmungen, Ansprüche und Rechte.

Die Scheer Group nutzt eine webbasierte Software, eine in Deutschland gehostete Cloud-Lösung, zur Aufdeckung von betrieblichen Unregelmäßigkeiten. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unfaire Handlungen frühzeitig aufgedeckt und verhindert und unkalkulierbare materielle und immaterielle Schäden sowie Reputationsverluste abgewendet werden.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO ist in der Regel das Unternehmen, an das Sie eine Meldung übermitteln. Diese Auswahl treffen Sie selbst, indem Sie z.B. im System angeben, an welches Unternehmen Sie Ihre Meldung senden. Informationen über den jeweiligen Verantwortlichen finden Sie unten:

Wenn Sie Fragen zum Datenschutz haben, wenden Sie sich bitte an das Privacy Team unter der oben genannten Adresse der IDS Scheer Holding GmbH mit dem Zusatz "Attn: Data Protection" oder elektronisch an: datenschutz@scheer-group.com.

Der jeweilige für die Verarbeitung Verantwortliche der Scheer Group verarbeitet die personenbezogenen Daten der meldenden Person, es sei denn, die Meldung wurde anonym eingereicht, sowie die personenbezogenen Daten der beschuldigten Person(en), wie z. B. Name und andere Kommunikations- und Inhaltsdaten, zum Zweck der Untersuchung der Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen zu ergreifen (z. B. Maßnahmen zur Überprüfung der Stichhaltigkeit der in der Meldung erhobenen Vorwürfe und gegebenenfalls zur Behebung des gemeldeten Verstoßes, einschließlich interner Untersuchungen, Ermittlungen, strafrechtlicher Verfolgung, Maßnahmen zur (Wieder-)Einziehung von Geldern oder zur Einstellung des Falls).

Die Erhebung der personenbezogenen Daten der meldenden Person im Falle einer nicht anonymen Meldung beruht auf der Einwilligung in die Verarbeitung durch Übermittlung der Daten (konkludente Einwilligung) (Art. 6 Abs. 1 S. 1 lit. a GDPR).

Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der in der Meldung genannten Personen dient der Wahrung der berechtigten Interessen der oben genannten verantwortlichen Stelle (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Es ist ein berechtigtes Interesse des Unternehmens, Rechtsverstöße und schwerwiegende Pflichtverletzungen von Mitarbeitern effektiv und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu verarbeiten, zu beseitigen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für Unternehmen abzuwenden (§§ 30, 130 Bundesgesetz über Ordnungswidrigkeiten). Auch die Richtlinie (EU) 2019/1937 ("EU-Whistleblower-Richtlinie") und das Hinweisgeberschutzgesetz in Deutschland verlangen die Einrichtung eines Meldesystems, um Mitarbeitern und Dritten die Möglichkeit zu geben, Rechtsverstöße im Unternehmen in geschützter Form zu melden.

Die Weitergabe personenbezogener Daten im Falle einer nicht-anonymen Berichterstattung an andere Empfänger (Art. 4 Nr. 7 DSGVO) kann aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c DSGVO) erforderlich sein.

Die Verarbeitung personenbezogener Daten von Beschäftigten (für Verantwortliche im Geltungsbereich des Bundesdatenschutzgesetzes - BDSG) erfolgt auf der Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten im Sinne des § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht rechtfertigen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Umfang im Hinblick auf den Grund nicht unverhältnismäßig sind.

Grundsätzlich verarbeiten wir personenbezogene Daten, die wir direkt im Rahmen einer Meldung erhalten. Dazu können gehören:

1. Informationen über die meldende Person (es sei denn, sie wünscht, anonym zu bleiben) und die beschuldigte(n) Person(en), wie z. B.

• Vor- und Nachname
• Kontaktangaben
• Sonstige personenbezogene Daten im Zusammenhang mit dem Arbeitsverhältnis, falls zutreffend

2. Persönliche Informationen, wie z. B. betroffene Personen, die in einem Bericht als eine Person identifiziert werden, der ein Fehlverhalten vorgeworfen wird, und die in der Untersuchung identifiziert werden, einschließlich Einzelheiten zu den erhobenen Vorwürfen und Beweisen.
3. Datum und Uhrzeit der Anrufe (wenn die Nachricht per Telefon empfangen wird)
4. Alle anderen Informationen, die in den Ermittlungsergebnissen und in weiteren Verfahren festgestellt werden, z. B. Informationen über kriminelles Verhalten oder Daten über rechtswidriges oder unangemessenes Verhalten, sofern diese gemeldet wurden.
5. Informationen über Verstöße, die auch Rückschlüsse auf eine natürliche Person zulassen können.

Personenbezogene Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion ein berechtigtes Interesse an der Verarbeitung dieser Daten haben. Geht die Meldung über die Telefon-Hotline ein, wird die Meldung unter Wahrung der Anonymität der meldenden Person im Meldesystem erfasst.

Wir haben eine neutrale Compliance-Ombudsperson mit der Entgegennahme und Qualifizierung eines Berichts beauftragt: THS Treuhand Saar Compliance GmbH, Feldmannstraße 103, 66119 Saarbrücken, Deutschland.

Letztere betreibt in unserem Auftrag unsere interne Meldestelle mit Hilfe einer webbasierten Anwendung der lawcode GmbH, Universitätsstraße 3, 56070 Koblenz, Deutschland.

Je nach Aufgabenschwerpunkt der Meldung und zur effektiven Einleitung von Folgemaßnahmen können die im Rahmen der Meldung benötigten personenbezogenen Daten an die zuständigen internen Fachabteilungen weitergegeben werden.

In einigen Fällen ist der für die Verarbeitung Verantwortliche verpflichtet, die Daten an Behörden (z. B. diejenigen, die für den Arbeitgeber gesetzlich oder aufsichtsrechtlich zuständig sind, Strafverfolgungsbehörden und Rechtsorgane) oder externe Berater (z. B. Wirtschaftsprüfer, Buchhalter, Rechtsanwälte) weiterzugeben.

Hat die meldende Person ihren eigenen Namen oder andere personenbezogene Daten angegeben (nicht anonyme Meldung), wird ihre Identität - soweit rechtlich möglich - nicht preisgegeben und es wird auch sichergestellt, dass keine Rückschlüsse auf die Identität der meldenden Person gezogen werden können.

Werden personenbezogene Daten von externen Dienstleistern verarbeitet, erfolgt dies stets auf der Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 GDPR. In diesen Fällen stellen wir sicher, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Bestimmungen der DSGVO erfolgt und dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

Im Rahmen der einschlägigen Vorschriften (insbesondere Art. 15-21 GDPR) haben Sie verschiedene Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:

• Recht auf Information,
• Recht auf Berichtigung,
• Recht auf Löschung,
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit.
• Sie haben auch das Recht, nicht einer ausschließlich automatisierten Einzelentscheidung unterworfen zu werden.
• Recht auf Einreichung einer Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde.

Das Recht auf Auskunft und das Recht auf Löschung unterliegen gesetzlichen Einschränkungen. Wenn wir Ihre Daten zur Wahrung berechtigter Interessen verarbeiten, können Sie gegen diese Verarbeitung Widerspruch einlegen, wenn in Ihrer besonderen Situation Gründe gegen die Datenverarbeitung sprechen.

Gemäß Art. 7 GDPR haben Sie das Recht, Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Weitere Informationen über das Widerspruchsrecht finden Sie weiter unten.

Nein.

Nein.

Die personenbezogenen Daten werden in dem jeweiligen Verfahren so lange gespeichert, wie es für die Klärung und abschließende Beurteilung erforderlich ist, ein berechtigtes Interesse des Unternehmens oder eine gesetzliche Verpflichtung besteht. Danach werden diese Daten gemäß den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und etwaiger angezeigter Pflichtverletzungen.

Personenbezogene Daten im Zusammenhang mit Meldungen werden von der Compliance-Ombudsperson unverzüglich gelöscht, wenn sie als offensichtlich unbegründet erachtet werden.

Gemäß Art. 21 DSGVO haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Ihre personenbezogenen Daten werden dann nicht mehr verarbeitet, es sei denn, der für die Verarbeitung Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder sie dienen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Der Einspruch kann formlos erfolgen und sollte nach Möglichkeit an den oben genannten für die Verarbeitung Verantwortlichen oder seine interne Meldestelle gerichtet werden.

Die Bereitstellung von Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss notwendig. Je nach Einzelfall kann es gesetzliche Verpflichtungen geben, uns eine Meldung zukommen zu lassen. Die Verarbeitung der Daten ist jedoch erforderlich, um die Meldung sachgerecht bearbeiten und prüfen zu können.

Wir behalten uns das Recht vor, diesen Datenschutzhinweis bei Bedarf zu aktualisieren.

Status: Dezember 2023