Datenschutzhinweis
Datenschutzinformation
Die Steigenberger Hotels GmbH (im Folgenden „StHG“) stellt die Einhaltung von Recht und Gesetz durch eine geschäftsmodellorientierte Compliance-Organisation, rechtssichere Prozesse und Maßnahmen der Prävention und Reaktion sicher. Über die DH Speak-UP Line können Sie der zuständigen Abteilung International Audit, Risk & Compliance namentlich oder anonym und sicher Compliance/Datenschutz-Verstöße melden. Ihre Privatsphäre ist uns ein wichtiges Anliegen und Sie sollen sich beim Besuch der DH Speak-Up Line stets sicher fühlen können. Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/Benutzernamen und Passwort einen geschützten Postkasten im zur weiteren Kommunikation nach einer Compliance oder Datenschutz Meldung einzurichten. Vor diesem Hintergrund informieren wir Sie nach Art. 13 EU-Datenschutz-Grundverordnung (DSGVO) über die damit verbundene Verarbeitung Ihrer personenbezogenen Daten über die DH Speak-Up Line zu Ihrer Compliance oder Datenschutz-Meldung (https://www.bkms-system.com/grc-speakup).
StHG wird Ihre Daten im Rahmen des Hinweisgebersystems nur nach Maßgabe der geltenden datenschutzrechtlichen Vorgaben verarbeiten. Diese Vorgaben ergeben sich insbesondere aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Die vorliegende Datenschutzinformation enthält Erläuterungen zu Datenverarbeitungen aufgrund des Hinweisgebersystems.
Wer ist der Verantwortliche?
Verantwortlicher im Sinne der EU-Datenschutz-Grundverordnung („DSGVO“) für das BKMS® System ist die
Steigenberger Hotels GmbH
z.Hd. International Audit, Risk & Compliance
Lyoner Strasse 25
60528 Frankfurt am Main
Deutschland
Telefon +49 69 66564-01
Telefax +49 69 66564-888
E-Mail: info@deutschehospitality.com
Wie erreichen Sie den Datenschutzbeauftragten?
Sie erreichen unseren Datenschutzbeauftragten unter
Stefanie Fischer, LL.M.
Consultant IT Security, Business Security & Privacy
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Am TÜV 1, 45307 Essen
Tel.: +49 201 8999-419
E-Mail: s.fischer@tuvit.de
Welche Ihrer personenbezogenen Daten werden von uns verarbeitet?
Die Verwendung der DH Speak-Up Line zu einer Compliance oder Datenschutz Meldung ist freiwillig. Wenn Sie das System nutzen, werden Sie die Möglichkeit haben, personenbezogene Daten von sich und Dritten azugeben, die folgende Datenkategorien betreffen:
- Kommunikationsdaten (z.B. Name, Telefon, E-Mail, Anschrift)
- Beschäftigtendaten von StHG Mitarbeitern oder Mitarbeitern ihrer hundertprozentigen Tochtergesellschaften und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Die vollständige Beantwortung der im Rahmen der Meldung gestellten Fragen hilft uns, Ihre Meldung zu bearbeiten. Sofern Sie uns unvollständige Daten überlassen, sind wir möglicherweise nicht oder nur verzögert zur Bearbeitung Ihrer Meldung in der Lage.
Speicherung von Login Daten / Verwendung von Cookies
Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und der DH Speak-Up Line wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Ziel der DH Speak-Up Line ist es, Ihnen einen Kommunikationskanal für Ihre Compliance oder Datenschutz Meldung zur Verfügung zu stellen und sicherzustellen, dass Ihre Meldung gemäß den Prozessen des Compliance Management Systems als Umsetzung gesellschafts- und ordnungsrechtlicher Bestimmungen von der StHG bearbeitet wird.
Insbesondere verarbeiten wir Ihre personenbezogenen Daten für folgende Zwecke:
- Aufklärung von Fehlverhalten: Hinweise über die DH Speak-Up Line können der Aufdeckung und Aufklärung von möglichen arbeitsvertraglichen Pflichtverletzungen oder Straftaten von Beschäftigten der StHG und deren hundertprozentiger Tochtergesellschaften sowie sonstiger Missstände innerhalb des Unternehmens dienen; dies betrifft etwa die Aufdeckung und Verhinderung von Betrugshandlungen, Korruption, Steuerstraftaten, Kartellverstößen, Geldwäsche oder sonstigen Wirtschaftsdelikten.
- Interessenkonflikte:Hinweise über die DH Speak-Up Line dienen auch der Aufdeckung möglicher Interessenkonflikte, die die Verletzung von Gesetzen oder sonstige Regelverstöße begünstigen könnten.
- Verhinderung zukünftigen Fehlverhaltens: können Hinweise über die DH Speak-Up Line typischerweise auch künftige arbeitsvertragliche Pflichtverletzungen oder Straftaten von Beschäftigten der StHG oder ihrer hundertprozentigen Tochtergesellschaften verhindern oder zumindest erschweren.
- Rechtsausübung: Hinweise über die DH Speak-Up Line können auch der Kompensation und Abwehr von drohenden wirtschaftlichen oder sonstigen Schäden oder Nachteilen für die StHG, sowie ihre hundertprozentigen Tochtergesellschaften und damit der effektiven Rechtsverteidigung, der Ausübung und Durchsetzung von Rechten dienen. Beispielsweise wird die StHG oder eine ihrer hundertprozentigen Tochtergesellschaften gegebenenfalls aufgrund von Hinweisen Compliance-Maßnahmen zur Vorbereitung arbeitsgerichtlicher Verfahren oder sonstiger Rechtsstreitigkeiten durchführen.
- Entlastung von Beschäftigten: StHG ergreift auch geeignete Compliance-Maßnahmen, um mögliche Vorwürfe gegen zu Unrecht in Verdacht geratene Beschäftigte der StHG oder ihrer hundertprozentigen Tochtergesellschaften aufzuklären und diese zu entlasten.
- Umsetzung von gesetzlichen Pflichten: Die StHG, sowie ihre hundertprozentigen Töchter unterliegen umfassenden gesetzlichen Aufsichts- und Compliance-Pflichten. Diese ergeben sich unter anderem aus §§ 130, 30 Ordnungswidrigkeitengesetz (OWiG) sowie §§ 93, 111 Aktiengesetz (AktG). Compliance-Maßnahmen aufgrund des Hinweisgebersystems dienen typischerweise der Umsetzung dieser gesetzlichen Pflichten der StHG und ihrer hundertprozentigen Töchter.
- Einhaltung der gesetzlichen Datenschutzvorschriften: Hinweise über die DH Speak-Up Line können auch der Umsetzung bzw. Einhaltung der gesetzlichen Datenschutzvorschriften dienen.
Die StHG wird zulässige Datenverarbeitungen im Rahmen des Hinweisgebersystems auf die folgenden Rechtsgrundlagen stützen:
- Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 26 Abs. 2 BDSG): Ihre Angaben im Rahmen des Hinweisgebersystems sind freiwillig. Hinweise sind in diesem Zusammenhang auch in anonymer Form möglich.
- Umsetzung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG): Datenverarbeitungen im Rahmen des Hinweisgebersystems können unter anderem für die Begründung, Durchführung und Beendigung des Arbeitsverhältnisses mit einem etwaig betroffenen Beschäftigten erforderlich sein. Auch Compliance-Maßnahmen zur Aufdeckung von arbeitsvertraglichen Pflichtverletzungen, welche keine Straftat begründen, können gemäß § 26 Abs. 1 Satz 1 BDSG gerechtfertigt sein. Compliance-Maßnahmen können auch für die Abwicklung von Arbeitsverhältnissen, beispielsweise im Rahmen arbeitsgerichtlicher Streitigkeiten mit dem jeweiligen Beschäftigten, erforderlich sein.
- Aufklärung von Straftaten (§ 26 Abs. 1 Satz 2 BDSG): Falls Hinweise der Aufdeckung von möglichen Straftaten im Rahmen von Beschäftigungsverhältnissen dienen, können diese gemäß § 26 Abs. 1 Satz 2 BDSG gerechtfertigt sein. StHG wird die entsprechenden Datenverarbeitungen aber nur dann auf § 26 Abs. 1 Satz 2 BDSG stützen, wenn dokumentierte tatsächliche Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen und die Interessen des betroffenen Beschäftigten nicht überwiegen.
- Umsetzung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Die StHG und ihre hundertprozentigen Töchter unterliegen einer umfassenden gesetzlichen Aufsichts- und Compliance-Pflichten. Die von StHG und ihren hundertprozentigen Tochtergesellschaften durchgeführten Compliance-Maßnahmen aufgrund von Hinweisen dienen unter anderem auch der Umsetzung dieser gesetzlichen Pflichten.
- Betriebsvereinbarungen (Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG): Die StHG wird Ihre Daten gegebenenfalls auch auf Basis von geltenden Betriebsvereinbarungen und der Protokollnotiz zur Gesamtbetriebsvereinbarung Einsatz von EDV Anlagen aus September 1989 verarbeiten, die die Durchführung von Compliance-Maßnahmen konkret regeln.
- Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die StHG wird Ihre Daten gegebenenfalls auch verarbeiten, um Ihre oder die berechtigten Interessen eines Dritten zu wahren. Zu diesen berechtigten Interessen können im Einzelfall zählen:
- Rechtsverteidigung: Abwendung von Schäden vom eigenen Unternehmen. Die Datenverarbeitung dient insofern auch den berechtigten Interessen der StHG oder ihrer hundertprozentigen Tochtergesellschaften in Form der Geltendmachung, Verteidigung und Ausübung von Rechtsansprüchen.
- Verbesserung der Compliance-Strukturen: Hinweise können auch der Verbesserung der internen Compliance-Strukturen der StHG oder ihrer hundertprozentigen Töchter dienen. Beispielsweise kann StHG oder eine hundertprozentige Tochter aufgrund von Hinweisen mögliche Schwachstellen in ihrer internen Compliance-Organisation aufdecken und beheben. Auch hierbei handelt es sich um ein berechtigtes Interesse der StHG.
- Unterstützung verdächtiger Beschäftigter: Hinweise können unter anderem auch der Entlastung beschuldigter Beschäftigter dienen. Hierbei handelt es sich grundsätzlich um ein berechtigtes Interesse eines Dritten.
- Umsetzung ausländischer Rechtsvorschriften: Neben nationalen und unionsrechtlichen Vorgaben unterliegt StHG und ihre hundertprozentigen Tochtergesellschaften im Bereich Compliance auch umfassenden Rechtsvorschriften von Staaten außerhalb der EU. Dazu zählen etwa Anti-Korruptions- oder Wettbewerbsrichtlinien nach US-amerikanischem Recht. Die Umsetzung solcher ausländischer Rechtsvorschriften ist ebenfalls grundsätzlich als berechtigtes Interesse anerkannt.
Die StHG wird sicherstellen, dass Compliance-Maßnahmen aufgrund von Hinweisen nur durchgeführt werden, soweit nicht entgegenstehende berechtigte Interessen und Rechte der betroffenen Beschäftigten überwiegen.
Eine automatisierte Entscheidungsfindung einschließlich Profiling findet im Rahmen des Hinweisgebersystems nicht statt.
Weitergabe von Daten an StHG Mitarbeiter, an etwaige Beschuldigte und an andere Verantwortliche
Im Rahmen der Bearbeitung einer Compliance oder Datenschutz Meldung ist es notwendig, die Meldung ganz oder teilweise den für die Bearbeitung zuständigen Mitarbeitern der StHG, weiterzugeben. Ihre Angaben werden nur denjenigen Mitarbeitern zugänglich gemacht, die die Angaben zwingend zur Bearbeitung Ihrer Meldung benötigen. Gegebenenfalls sind wir auch angehalten Ihre Daten gegenüber dem Betriebsrat und/oder anderen Interessenvertretungen der Mitarbeiter nach Maßgabe der geltenden betriebsverfassungs- und datenschutzrechtlichen Vorgaben offenzulegen. Dies kann etwa der Fall sein, wenn bei konkreten Compliance-Maßnahmen die vorherige Zustimmung des Betriebsrats notwendig sein sollte.
Natürlich bevorzugen wir die offene Kommunikation zum gemeldeten Sachverhalt und begrüßen es, wenn Sie uns Ihren Namen nennen. Ein direkter und vertrauensvoller Austausch wird auf diese Weise unkompliziert sichergestellt. Zur Vermeidung von Sanktionen/Repressalien (am Arbeitsplatz) besteht ein überwiegendes berechtigtes Interesse des Hinweisgebers, welches die Geheimhaltung der Informationsquelle gemäß § 29 Abs. 1 S. BDSG rechtfertigt, so dass insoweit die Pflicht zur Information der etwaigen beschuldigten bzw. betroffenen Person entfallen kann. Es werden daher in keinem Fall Daten des Hinweisgebers an die betroffene Person offenbart.
Ihre personenbezogenen Daten werden von uns nur dann an andere Verantwortliche übermittelt, soweit dies zur Erfüllung weiterer rechtlicher Verpflichtungen erforderlich ist.
Darüber hinaus können Daten an andere Verantwortliche (z.B. Gerichte oder Behörden) übermittelt werden, soweit wir aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche bzw. gerichtliche Anordnung hierzu verpflichtet sein sollten.
Dienstleister (allgemein)
StHG hat die Firma EQS Group AG, Bayreuther Str. 35, 10789 Berlin („Dienstleister“) beauftragt, im Namen der StHG das System zur Compliance Meldung zu betreiben und die Daten in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum in der Europäischen Union zu speichern.
StHG hat ferner den Dienstleister sorgfältig ausgewählt und überwacht ihn regelmäßig, insbesondere seinen sorgsamen Umgang mit und die Absicherung der bei ihm gespeicherten Daten. Die Einsichtnahme in die Daten ist nur ausgewählten Mitarbeitern der StHG möglich (siehe dazu oben unter „Weitergabe von Daten an Mitarbeiter der StHG und an andere Verantwortliche“). Der Dienstleister hat keinen Zugang zu den Daten. Dies wird durch ein zertifiziertes Verfahren mittels umfassender technischer und organisatorischer Maßnahmen gewährleistet.
Der Dienstleister ist von StHG zur Vertraulichkeit und zur Einhaltung der gesetzlichen Vorgaben verpflichtet worden.
Gegebenenfalls greifen wir auch auf die Unterstützung durch externe Dienstleister, wie etwa Anwaltskanzleien oder Wirtschaftsprüfungsgesellschaften, zurück. Wir werden durch geeignete Maßnahmen sicherstellen, dass diese Dienstleister Ihre Daten nur im Rahmen der einschlägigen datenschutzrechtlichen Vorgaben verarbeiten, sofern eine Weitergabe überhaupt erforderlich ist.
Weitergabe an Empfänger außerhalb der EU bzw. des EWR
Wir werden ihre personenbezogene Daten unter keinen Umständen an Rechtseinheiten oder Behörden weitergeben, die ihren Sitz außerhalb der EU bzw. des EWR in sogenannten Drittstaaten haben.
Wie lange speichern wir Ihre Daten?
StHG wird im Rahmen des Hinweisgebersystems und aufgrund anschließender von Compliance-Maßnahmen erhobene Daten nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere gemäß Art. 17 DSGVO, speichern bzw. löschen. Danach wird die StHG Ihre Daten grundsätzlich dann löschen, wenn sie für die in dieser Datenschutzinformation genannten Zwecke nicht mehr erforderlich sind. Dies ist in der Regel nach Abschluss der Bearbeitung der Compliance oder Datenschutz Meldung. Gesetzliche Aufbewahrungsvorschriften oder berechtigte Interessen der StHG oder ihrer hundertprozentigen Töchter können jedoch eine längere Aufbewahrung Ihrer Daten rechtfertigen. Beispielsweise kann StHG Ihre Daten gegebenenfalls während aktueller Rechtsstreitigkeiten, welche das Ergebnis möglicher Compliance-Maßnahmen oder Datenschutz Meldungen sind, weiter aufbewahren.
Die Löschung von personenbezogenen Daten, die wir zur Geltendmachung und Verteidigung unserer Rechte weiter speichern und verarbeiten, richtet sich nach dem Ablauf der für Ordnungswidrigkeiten und Straftaten bzw. zur Geltendmachung zivilrechtlicher Ansprüche bestimmten maximalen Verjährungsfrist (§§ 31 Abs. 2, 33 Abs. 3 OWiG; §§ 78 Abs. 3, 78 c Abs. 3 StGB bzw. §§ 195 ff. BGB).
Welche Sicherheitsmaßnahmen haben wir implementiert?
Unsere Mitarbeiter und die von uns beauftragten Dienstleister sind zur Verschwiegenheit und Einhaltung der Bestimmungen der anwendbaren Datenschutzvorschriften verpflichtet.
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der StHG entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der StHG prüfen den Sachverhalt und führen eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Jede dieser Personen, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Wir treffen alle erforderlichen technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten und Ihre durch uns verwalteten Daten insbesondere vor den Risiken der unbeabsichtigten oder unrechtmäßigen Vernichtung, Manipulation, Verlust, Veränderung oder unbefugter Offenlegung bzw. unbefugtem Zugriff zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung regelmäßig verbessert. Die Kommunikation zwischen Ihrem Rechner und der DH Speak-Up Line Reporting zur Compliance oder Datenschutz Meldung erfolgt über eine verschlüsselte Verbindung (TLS).
Welche Datenschutzrechte haben Sie?
Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Ihnen steht ferner das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
Recht auf Einschränkung der Verarbeitung
Unter den in der DSGVO geregelten Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen.
Recht auf Löschung
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern nicht eine gesetzlich geregelte Ausnahme zutrifft.
Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben und deren Verarbeitung auf einer Einwilligung oder auf einem Vertrag mit Ihnen beruht, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie unter den in der DSGVO geregelten Voraussetzungen das Recht, diese Daten -soweit dies technisch machbar ist- einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung unbegrenzt nach Abgabe des Hinweises zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Alle personenbezogenen Daten, die aufgrund der jeweils erteilten Einwilligung gespeichert wurden, werden in diesem Fall gelöscht, sofern nicht nach dem Gesetz eine anderweitige Rechtsgrundlage für die weitergehende Speicherung vorhanden ist.
Wahrnehmung Ihrer Rechte
Um Ihre vorstehenden Rechte wahrzunehmen, kontaktieren Sie uns unter den in Punkt 1 oder 2 genannten Kontaktdaten.
Wir bitten Hinweisgeber zur schnelleren Bearbeitung, sollten sie von ihrem Widerspruchsrecht Gebrauch machen wollen, uns formlos über den geschützten Postkasten zu kontaktieren.
Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Um Ihren Widerruf zu erklären, kontaktieren Sie uns bitte unter den in Punkt 1 oder 2 genannten Kontaktdaten oder nutzen sie formlos ihren geschützten Postkasten und geben ihrem Hinweisbearbeiter Bescheid.
Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO. Zur Erleichterung Ihrer Rechtsausübung finden Sie nachfolgend die Adresse der für uns zuständigen Aufsichtsbehörde:
Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
poststelle@datenschutz.hessen.de
https://datenschutz.hessen.de/service/beschwerde
Besteht eine Pflicht zur Bereitstellung Ihrer personenbezogenen Daten?
Sie können über die DH Speak-Up Line namentlich oder anonym und sicher Compliance oder Datenschutz Verstöße melden. Die Bereitstellung Ihrer personenbezogenen Daten ist vor diesem Hintergrund weder gesetzlich noch vertraglich vorgeschrieben.