Die FRÄNKISCHE Rohrwerke Gebr. Kirchner GmbH & Co. KG, Hellinger Straße 1, D-97486 Königsberg, Tel: +49 9525 88-0, Fax: +49 952588-150, info@fraenkische.de („FRÄNKISCHE“) sowie die mit ihr nach §§ 15 ff. Aktiengesetz verbundenen Unternehmensgesellschaften (einzeln „Unternehmensgesellschaften“, gemeinsam „FRÄNKISCHE-Unternehmensgruppe“, „wir“) stellen die Einhaltung von Recht und Gesetz durch eine angemessene Compliance-Organisation, rechtssichere Prozesse und sonstige Maßnahmen zur Prävention von und Reaktion auf mögliche Regelverstöße sicher. Zu diesen Aufklärungsmaßnahmen zählt u. a. auch die Einführung und der Betrieb eines Hinweisgebersystems durch FRÄNKISCHE. Mitarbeitende von FRÄNKISCHE („Mitarbeiter“) und Externe können das Hinweisgebersystem nutzen, um FRÄNKISCHE über mögliche Verstöße gegen gesetzliche Vorgaben oder interne Regelungen („Regelverstöße“) zu informieren („Hinweis“) und so zu deren Verfolgung und Aufklärung beizutragen.
Im Folgenden klären wir Sie über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten („Daten“) im Rahmen des Hinweisgebersystems auf. Die FRÄNKISCHE-Unternehmensgruppe verarbeitet personenbezogene Daten im Rahmen des Hinweisgebersystems nur nach Maßgabe der geltenden datenschutzrechtlichen Vorgaben. Diese Vorgaben ergeben sich insbesondere aus der EU-Datenschutz-Grundverordnung („DS-GVO“) und dem Bundesdatenschutzgesetz („BDSG“). Die vorliegende Datenschutzinformation enthält weitergehende Erläuterungen zu Datenverarbeitungen, die der Erfassung und Aufklärung der mittels des Hinweisgebersystems eingegangenen Hinweise dienen („Aufklärungsmaßnahmen“). Diese Datenschutzinformation ergänzt unsere allgemeinen Datenschutzinformationen für Beschäftigte.
Wer ist für die Verarbeitung Ihrer Daten verantwortlich?
Die Unternehmensgesellschaften der FRÄNKISCHE-Unternehmensgruppe betreiben das Hinweisgebersystem als gemeinsam für die Verarbeitung Verantwortliche gem. Art. 26 DS-GVO. Die Unternehmensgesellschaften legen nach Maßgabe der in Ziffer 3 festgelegten Verantwortlichkeiten die Zwecke und Mittel der von ihnen gemeinschaftlich durchgeführten Datenverarbeitungen fest.
Die Unternehmensgesellschaften der FRÄNKISCHE-Unternehmensgruppe haben hierzu eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO („Gruppenweite Vereinbarung“) abgeschlossen. Die gruppenweite Vereinbarung legt die konkreten Pflichten, Rechte und Verantwortlichkeiten der einzelnen Unternehmensgesellschaften bei der gemeinsamen Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystems fest.
Nachstehend informieren wir Sie gem. Art. 26 Abs. 2 Satz 2 DS-GVO über die wesentlichen Inhalte der gruppenweiten Vereinbarung.
Für welche Prozessabschnitte besteht eine gemeinsame Verantwortlichkeit?
Die gemeinsame Verantwortlichkeit gilt in sachlicher Hinsicht für den gesamten Betrieb und die Organisation des Hinweisgebersystems innerhalb der FRÄNKISCHE-Unternehmensgruppe. Dies betrifft insbesondere die interne Verwaltung des Hinweisgebersystems und die Durchführung von konkreten Hinweisgeberfahren. Durch das standardisierte Verfahren soll sichergestellt werden, dass Regelverstöße innerhalb der FRÄNKISCHE-Unternehmensgruppe nach einheitlichen Maßstäben aufgeklärt, abgestellt und ggf. geahndet werden.
Die Unternehmensgesellschaften sind jeweils eigenständig für die Ahndung und ggf. Sanktionierung von im Rahmen von Hinweisgeberverfahren ermittelten Regelverstößen von Mitarbeitern verantwortlich. Die damit verbundenen Datenverarbeitungen sind in der gruppenweiten Vereinbarung geregelt.
Was regelt die gruppenweite Vereinbarung zur gemeinschaftlichen Datenverarbeitung?
Festlegung datenschutzrechtlicher Verantwortlichkeit
Die gruppenweite Vereinbarung legt insbesondere die datenschutzrechtliche Verantwortlichkeit im Rahmen des Hinweisgebersystems fest. FRÄNKISCHE kommt im Rahmen des Hinweisgebersystems eine zentrale Rolle zu. Nachstehend werden die wesentlichen datenschutzrechtlichen Verantwortlichkeiten im Rahmen des Hinweisgebersystems im Überblick dargestellt:
- Prozesse und Strukturen: FRÄNKISCHE stellt die für die effektive Durchführung von Hinweisgeberverfahren notwendige technische und organisatorische Infrastruktur über den Dienstleister EQS Group AG zur Verfügung. Dies umfasst u. a. die Organisation von internen und externen Meldekanälen. FRÄNKISCHE ist für die entsprechenden Strukturen und Prozesse zentral verantwortlich.
- Datenaustausch in Bezug auf eingehende Hinweise: Die Unternehmensgesellschaften, bei denen Hinweise auf mögliche Regelverstöße eingehen, sind verpflichtet, diese zentral an FRÄNKISCHE weiterzuleiten.
- Abwicklung von konkreten Hinweisgeberverfahren – schwere Regelverstöße: Falls eingehende Hinweise auf Regelverstöße durch Mitarbeiter hindeuten, ist FRÄNKISCHE für die Durchführung der einzuleitenden Hinweisgeberverfahren verantwortlich. Dies gilt u. a. für die Plausibilisierung von eingehenden Hinweisen, die Planung und Durchführung von gebotenen Maßnahmen zur Sachverhaltsaufklärung sowie ggf. für die Erstellung eines Abschlussberichts. Die Aufklärungsmaßnahmen können u. a. die Befragung von betroffenen Personen sowie die Auswertung von Datensätzen und Dokumenten umfassen.
- Abwicklung von konkreten Hinweisgeberverfahren – sonstige Regelverstöße: Falls eingehende Hinweise auf sonstige Regelverstöße hindeuten, führen die jeweiligen Unternehmensgesellschaften die einzuleitenden Hinweisgeberverfahren eigenständig durch.
- Zusammenarbeit im Rahmen der Sachverhaltsaufklärung: FRÄNKISCHE und ggf. die beteiligten Unternehmensgesellschaften arbeiten im Rahmen von Hinweisgeberverfahren zusammen, um eine effektive Aufklärung der mitgeteilten Verdachtsmomente sicherzustellen. Diese Zusammenarbeit erfordert ggf. einen gegenseitigen Austausch von personenbezogenen Daten.
- Datenaustausch nach Abschluss der Sachverhaltsaufklärung: FRÄNKISCHE und die beteiligten Unternehmensgesellschaften tauschen sich nach Abschluss der Sachverhaltsaufklärung in Bezug auf ermittelte Erkenntnisse aus und stimmen sich ggf. zu den zu ergreifenden Folgemaßnahmen ab.
- Dokumentation von Hinweisgeberverfahren: FRÄNKISCHE ist für die Dokumentation von durchführten Hinweisgeberverfahren zentral verantwortlich.
- Informationspflichten: FRÄNKISCHE informiert die betroffenen Personen über sie betreffende Datenverarbeitungen in einer allgemeinen Datenschutzinformation zum Hinweisgebersystem. FRÄNKISCHE oder die ggf. für die Durchführung eines konkreten Hinweisgeberverfahrens zuständige Unternehmensgesellschaft stellt den betroffenen Personen darüber hinaus noch spezifischere Informationen zur Verarbeitung ihrer personenbezogenen Daten zur Verfügung.
Weitere Regelungen zur gemeinsamen Verantwortlichkeit
Die gruppenweite Vereinbarung sieht weitere Regelungen zum Schutz von personenbezogenen Daten im Rahmen des Hinweisgebersystems vor. Zu diesen Regelungen zählen insbesondere die nachstehenden Vorgaben:
- Vorgaben für Datenübermittlungen
- Vertraulichkeitspflichten
- von den Unternehmensgesellschaften zu ergreifende technische und organisatorische Maßnahmen zur Datensicherheit
- Einsatz von Auftragsverarbeitern
- gegenseitige Informationspflichten, etwa im Rahmen von Datenpannen oder Anfragen betroffener Personen
Was bedeutet die gemeinsame Verantwortlichkeit für betroffene Personen?
Die betroffenen Personen können sich mit Anfragen direkt an FRÄNKISCHE wenden:
FRÄNKISCHE Rohrwerke
Gebr. Kirchner GmbH & Co. KG
Hellinger Straße 1
D-97486 Königsberg
Tel.: +49 9525 88-0
Fax: +49 9525 88-150
E-Mail: info@fraenkische.de
Unseren Datenschutzbeauftragten erreichen Sie unter:
DataCo GmbH
Herr Kivanc Semen
Dachauer Str. 65
80335 München
Tel: +49 89740045840
E-Mail: datenschutz@fraenkische.de
Die betroffenen Personen können ihre Rechte in Bezug auf die Verarbeitungen in gemeinsamer Verantwortlichkeit aber auch gegenüber einer gemeinsamen verantwortlichen Unternehmensgesellschaft geltend machen.
FRÄNKISCHE stimmt sich im Hinblick auf an sie gerichtete Anfragen ggf. mit den relevanten Unternehmensgesellschaften ab, um die Anfrage effektiv beantworten zu können.
Je nach Art und Umfang der gebotenen Maßnahmen beauftragt FRÄNKISCHE ggf. weisungsfreie Dienstleister mit der konkreten Durchführung der entsprechenden Aufklärungsmaßnahmen. Zu diesen Dienstleistern können etwa Wirtschaftsprüfer, Rechtsanwaltskanzleien oder Steuerberater zählen. In diesem Fall handeln die Dienstleister oftmals als datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO.
Für welche Zwecke werden Ihre Daten verarbeitet?
Die FRÄNKISCHE-Unternehmensgruppe verarbeitet Ihre Daten im Rahmen der geltenden Gesetze, insbesondere für die folgenden konkreten Compliance- und Aufklärungszwecke:
- Prüfung der Plausibilität von Hinweisen
- Aufklärung von Fehlverhalten
- Umsetzung gesetzlicher Pflichten
- Verhinderung zukünftigen Fehlverhaltens
- Rechtsausübung
- Entlastung von Beschäftigten
- Prüfung der Relevanz für andere Unternehmensgesellschaften
- Umsetzung gesetzlicher Mitwirkungspflichten
Ergänzend kommen als mögliche Zwecke der Datenverarbeitung die in der allgemeinen Datenschutzinformation für Beschäftigte genannten Zwecke in Betracht.
Welche Daten bzw. Datenkategorien sind von Aufklärungsmaßnahmen betroffen?
Im Rahmen von Aufklärungsmaßnahmen verarbeiten wir ggf. die nachfolgenden Daten bzw. Datenkategorien über Sie:
- Daten in Bezug auf den Hinweis
- betriebliche Angaben
- Angaben zu relevanten Sachverhalten
- betrieblich veranlasste Dokumente
- Kommunikationsverhalten
- persönliche Angaben
- private Inhalte
- Daten zu strafrechtlichen Verurteilungen und Straftaten
- besondere Kategorien personenbezogener Daten
Auf welchen Rechtsgrundlagen beruht die Verarbeitung Ihrer Daten?
Die FRÄNKISCHE-Unternehmensgruppe verarbeitet Ihre Daten im Rahmen von Aufklärungsmaßnahmen nur, soweit dies mindestens eine anwendbare datenschutzrechtliche Rechtsgrundlage erlaubt. Dazu zählen insbesondere die Bestimmungen der DS-GVO, des BDSG oder vergleichbarer nationaler Vorschriften für Vorgänge außerhalb Deutschlands sowie sonstiger einschlägiger Rechtsvorschriften.
Die jeweilige Unternehmensgesellschaft kann die zulässige Datenverarbeitung im Rahmen von Aufklärungsmaßnahmen im Hinweisgebersystem insbesondere auf folgende Rechtsgrundlagen stützen:
- Umsetzung des Beschäftigungsverhältnisses gem. § 26 Abs. 1 Satz 1 BDSG oder vergleichbarer nationale Vorschriften für Vorgänge außerhalb Deutschlands
- Aufklärung von Straftaten gem. § 26 Abs. 1 Satz 2 BDSG oder vergleichbarer nationale Vorschriften für Vorgänge außerhalb Deutschlands
- Umsetzung gesetzlicher Pflichten gem. § 6 Abs. 1 lit. c) DS-GVO
- Betriebsvereinbarungen gem. Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 4 BDSGoder vergleichbarer nationale Vorschriften für Vorgänge außerhalb Deutschlands
- Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f) DS-GVO, insbesondere zur Rechtsverteidigung, zur Verbesserung der Compliance-Strukturen, zur Unterstützung von Betroffenen und zur Umsetzung ausländischer Rechtsvorschriften
Die jeweilige Unternehmensgesellschaft stellt sicher, dass Aufklärungsmaßnahmen zur Wahrung berechtigter Interessen nur durchgeführt werden, soweit nicht entgegenstehende berechtigte Interessen und Rechte der hiervon betroffenen Mitarbeiter überwiegen.
An welche Stellen werden Ihre Daten weitergegeben?
Die FRÄNKISCHE-Unternehmensgruppe gibt Ihre Daten im Rahmen von Aufklärungsmaßnahmen im Hinweisgebersystem nur an Dritte weiter, wenn dafür eine rechtliche Grundlage besteht oder zuvor Ihre Einwilligung zu der entsprechenden Datenübermittlung eingeholt wurde.
Bei Datenübermittlungen im Rahmen von Aufklärungsmaßnahmen kommen insbesondere die nachfolgenden Empfänger von Daten in Betracht:
- Betriebsräte und andere Interessenvertretungen
- andere Unternehmensgesellschaften der FRÄNKISCHE-Unternehmensgruppe
- Gerichte, Behörden und sonstige öffentliche Stellen
- Dienstleister, wie Wirtschaftsprüfer, Rechtsanwälte und Steuerberater
- weisungsgebundene Auftragsverarbeiter
- sonstige Dritte, z. B. Prozessgegner oder Versicherungen
Die allgemeine Datenschutzinformation für Beschäftigte enthält eine weitergehende Auflistung möglicher Empfänger Ihrer personenbezogenen Daten sowie die Angabe der maßgeblichen Rechtsgrundlagen.
Sofern die FRÄNKISCHE-Unternehmensgruppe Ihre für Compliance-Zwecke verarbeiteten personenbezogenen Daten, nicht direkt bei Ihnen selbst erhoben haben, erhalten wir diese typischerweise von den vorstehend in diesem Abschnitt der Datenschutzinformation genannten Stellen, Geschäftspartnern oder aus ähnlichen Quellen.
Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise im Hinweisgebersystem werden von einem festgelegten Bearbeiterkreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der FRÄNKISCHE-Unternehmensgruppe entgegengenommen und stets vertraulich behandelt. Die festgelegten Bearbeiter prüfen den Sachverhalt und führen ggf. eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Grundsätzlich steht Ihnen die Möglichkeit offen, eine entsprechende Meldung anonym zu übermitteln. Wenn Sie Hinweise anonym mitteilen, beschreiben Sie den Sachverhalt und die festgestellten Rechtsverstöße bitte detailliert und untermauern Sie diesen, sofern vorhanden, durch weitere Unterlagen. Denn nur, wenn sich hinreichend konkrete Untersuchungsansätze und Möglichkeiten der Beweisführung ergeben, kann Ihr Hinweis etwas bewirken.
Die Angabe Ihres Namens und weiterer Kontaktdaten helfen uns jedoch, den Sachverhalt effizient zu prüfen und Rückfragen zu klären. Wenn Sie uns persönliche Informationen im Rahmen eines Hinweises mitteilen, verwenden wir Ihre Daten zur Überprüfung des Sachverhaltes, für etwaige Rückfragen und für die Dokumentation des Sachverhaltes sowie interner Ermittlungen.
In bestimmten Fällen besteht für die FRÄNKISCHE-Unternehmensgruppe die datenschutzrechtliche Verpflichtung, die beschuldigte Person von den gegen sie erhobenen Vorwürfen zu informieren. Wenn das Risiko erheblich wäre, dass eine solche Information die wirksame Untersuchung des Vorwurfs oder die Sammlung der erforderlichen Beweise gefährden würde, kann die zu erfolgende Information der beschuldigten Person so lange aufgeschoben werden, wie diese Gefahr besteht. Dabei wird die Identität als Hinweisgeber – soweit dies im Einklang mit Art. 14 Abs. 3 lit. a) DS-GVO zulässig ist – nicht offengelegt.
Beim wissentlichen Einstellen falscher Hinweise mit dem Ziel, eine Person zu diskreditieren („Denunziation“), kann die Vertraulichkeit nicht gewährleistet werden.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Untersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern der FRÄNKISCHE-Unternehmensgruppe weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften der FRÄNKISCHE-Unternehmensgruppe beziehen.
Bei Erforderlichkeit für die Aufklärung kann eine Übermittlung an Unternehmensgesellschaften der FRÄNKISCHE-Unternehmensgruppe in einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, auf Basis geeigneter oder angemessener datenschutzrechtlicher Garantien zum Schutz von betroffenen Personen, erfolgen.
Die FRÄNKISCHE-Unternehmensgruppe achtet stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Welche Datenschutzrechte haben Sie?
Sie können, als von der Verarbeitung betroffene Person, verschiedene Betroffenenrechte geltend machen. Um von Ihren Rechten Gebrauch zu machen, können Sie die FRÄNKISCHE-Unternehmensgruppe über die oben im ersten Abschnitt genannten Kontaktdaten erreichen.
Zu den Betroffenenrechten zählen insbesondere:
- Recht aus Auskunft gem. Art. 15 DS-GVO
- Recht auf Berichtigung gem. Art. 16 DS-GVO
- Recht auf Löschung gem. Art. 17 DS-GVO
- Recht auf Einschränkung der Verarbeitung gem. Art. 18 DS-GVO
- Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde
Weitere Informationen, um die Möglichkeit Ihrer Betroffenenrechte geltend zu machen, können Sie der Datenschutzinformation für Beschäftigte entnehmen.
Wie lange werden Ihre Daten gespeichert?
Die FRÄNKISCHE-Unternehmensgruppe speichert bzw. löscht die im Rahmen der Aufklärung von Hinweisen erhobenen Daten nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere gem. Art. 17 DS-GVO. Demnach werden Ihre Daten grundsätzlich dann gelöscht, wenn sie für die in dieser Datenschutzinformation genannten Zwecke nicht mehr erforderlich sind.
Gesetzliche Aufbewahrungsvorschriften oder berechtigte Interessen von der FRÄNKISCHE-Unternehmensgruppe können jedoch eine längere Aufbewahrung Ihrer Daten rechtfertigen. Beispielsweise kann die FRÄNKISCHE-Unternehmensgruppe Ihre Daten ggf. während aktueller Rechtstreitigkeiten, welche das Ergebnis möglicher Aufklärungsmaßnahmen sind, weiter aufbewahren.
Die Speicherfristen richten sich dabei im Einzelfall nach dem Aufbewahrungsinteresse der FRÄNKISCHE-Unternehmensgruppe unter Berücksichtigung der Wichtigkeit der Aufbewahrung, der schutzwürdigen Interessen betroffener Personen an der Löschung sowie der Wahrscheinlichkeit, dass ein im Hinweisgebersystem gemeldeter Verdacht zutrifft.
Die allgemeine Datenschutzinformation für Beschäftigte enthält weitere Informationen zu den einschlägigen Vorgaben bei der Speicherung von personenbezogenen Daten von Beschäftigten.
Inwieweit finden automatisierte Einzelfallentscheidungen oder Maßnahmen zum Profiling statt?
Im Rahmen von Aufklärungsmaßnahmen finden weder automatisierte Einzelfallentscheidungen noch Maßnahmen zum Profiling im Sinne von Art. 22 DS-GVO statt.
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Ihnen steht außerdem ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
https://www.lda.bayern.de
Sie können Ihre Beschwerde aber auch an eine andere für den Datenschutz zuständige Aufsichtsbehörde richten, die Ihre Beschwerde an die zuständige Aufsichtsbehörde weiterleitet.