Datenschutzhinweis
Das Thema Datenschutz und Vertraulichkeit nehmen wir sehr ernst und folgen den Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) sowie geltenden nationalen Datenschutzvorschriften. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben. Wir stellen sicher, dass die Vertraulichkeit der Identität und des gemeldeten Verstoßes gewahrt bleibt.
Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem (KURZ Incident Reporting) dient dazu, Hinweise auf Verstöße gegen das Compliance-Gebot von LEONHARD KURZ Stiftung & Co. KG und ihrer Konzernunternehmen auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Die Verarbeitung von personenbezogenen Daten im Rahmen des KURZ Incident Reporting erfolgt aufgrund der gesetzlichen Verpflichtung des Hinweisgeberschutzgesetzes und dient der Aufdeckung, Beseitigung und Prävention von Missständen und damit der Abwendung von Schaden, die für die LEONHARD KURZ Stiftung & Co. KG und ihrer Konzernunternehmen sowie deren Mitarbeiter und Kunden entstehen könnten. Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs. 1 S. 1 lit. c EU-DSGVO i.V.m. § 10 HinSchG. Die personenbezogenen Daten werden ausschließlich zum Zweck der Prüfung und Bearbeitung der Meldung des Hinweisgebers verarbeitet.
Verantwortliche Stelle
Die für den Datenschutz verantwortliche Stelle des Hinweisgebersystems ist
- LEONHARD KURZ Stiftung & Co. KG und
- ihre Tochtergesellschaften
als beidseits autonom verantwortliche Stellen (im Folgenden auch: „KURZ“). Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der EQS Group AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen von KURZ betrieben. Mit der EQS Group AG, Bayreuther Str. 35, 10789 Berlin wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur KURZ möglich. Die EQS Group AG und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert und unterliegen einem Berechtigungskonzept, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei KURZ beschränkt ist.
Sofern wir rechtlich dazu verpflichtet sind (Ausnahmefälle nach § 9 HinSchG), werden Daten an externe Stellen wie z.B. Behörden oder Staatsanwaltschaften weitergegeben.
KURZ hat einen Beauftragten für den Datenschutz bestellt. Anfragen zum Datenschutz bei MKM Datenschutz GmbH können an DSB@Kurz.de gesendet werden.
Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen, sofern Sie Ihre Identität offenlegen,
- ob Sie bei KURZ beschäftigt sind und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogenen Daten der Personen, die Sie in Ihrer Meldung nennen.
Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance Organisation von KURZ entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der Compliance Organisation von KURZ prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern von KURZ oder Mitarbeitern von anderen Konzerngesellschaften weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften beziehen. Letztere können Ihren Sitz auch in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes haben, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Information der beschuldigten Person
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie und die im Hinweis genannten Personen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Das Recht auf Auskunft über die gespeicherten Daten im Rahmen des Hinweisgeberschutzes besteht jedoch nur dann, sofern durch die Auskunft keine Informationen offenbart würden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten für die Bearbeitung eines Hinweises noch erforderlich sind. Nicht mehr benötigte Daten werden unverzüglich gelöscht. Außerdem steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde für die LEONHARD KURZ Stiftung & Co KG ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Aufbewahrungsdauer von personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern. Die Dokumentation wird gemäß § 11 Abs. 5 S. 1 HinSchG drei Jahre nach Abschluss des Meldeverfahrens gelöscht. Um den Anforderungen nach dem HinSchG und anderen Rechtsvorschriften gerecht zu werden, können die Daten länger aufbewahrt werden, solange dies erforderlich und verhältnismäßig ist.
Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem KURZ Incident Reporting wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Session-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Mitarbeiter von KURZ namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Mitarbeiter von KURZ Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Stand: 01.01.2024
