Datenschutzhinweise
Diese Datenschutzhinweise informieren Sie darüber, wie BAUHAUS im Rahmen des Betriebs des Hinweisgebersystems und der Bearbeitung von Hinweismeldungen personenbezogene Daten verarbeitet, welche Datenschutzrechte Ihnen zustehen und wie Sie sich diesbezüglich und bei Fragen zum Datenschutz an uns wenden können.
I. Verantwortlicher und dessen Datenschutzbeauftragter
Welche BAUHAUS Gesellschaft Verantwortlicher für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist, hängt davon ab, welches Unternehmen von einem Hinweisgeber ausgewählt wird. Die von Hinweisgebern gewählte Gesellschaft ist Adressat der Hinweismeldung und gleichzeitig Verantwortlicher.
Im Folgenden aus Sicht des für die Datenverarbeitung Verantwortlichen als „wir“ oder „uns“ oder „BAUHAUS“ bezeichnet.
Das Hinweisgebersystem wird auf technischer Ebene die EQS Group AG, Karlstraße 47, 80333 München im Namen von BAUHAUS betrieben, ohne dass dieser Dienstleister in der Lage ist, auf im Hinweisgebersystem gespeicherte Daten im unverschlüsseltem Zustand zuzugreifen. Die Meldung wird von dem System automatisch der zuständigen Compliance Abteilung der jeweiligen BAUHAUS Gesellschaft weitergeleitet.
Für spezielle Anfragen für Deutschland können Sie sich jederzeit gerne auch direkt an den bestellten Datenschutzbeauftragten per E-Mail an datenschutzbeauftragter@bauhaus.info wenden. Die dabei angesprochenen Themen und Inhalte unterliegen dabei der Vertraulichkeit. Für allgemeine Anfragen zum Datenschutz und zur Ausübung von Betroffenenrechten, wenden Sie sich bitte unter genauer Angabe Ihres Anliegens an den internen Datenschutz von BAUHAUS unter: datenschutz@bauhaus.info
II. Cookie-Einsatz
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine SSL-verschlüsselte Verbindung. Die IP-Adresse wird während der Nutzung des Hinweisgebersystems nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem System wird ein Cookie gespeichert, der lediglich die Session-ID enthält, nur bis zum Ende Ihrer Session gültig ist und beim Schließen des Browsers gelöscht wird. Das Cookie ist erforderlich zum Betrieb des web-basierten Hinweis-Meldeformulars und deshalb von uns automatisch gesetzt.
III. Datenverarbeitungen und deren Zwecke
Die konkret erfolgende Datenverarbeitung hängt maßgeblich davon ab, welche Informationen BAUHAUS in Zukunft in Form von Hinweisen erhält. Die mithilfe des Hinweisgebersystems vorgenommenen Datenverarbeitungen dienen dazu, Hinweise zu (mutmaßlichen) Gesetzesverstößen oder erheblichen Verletzungen von Compliance Vorschriften auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Personenbezogene Daten und andere Informationen, die Sie uns über das Hinweisgebersystem übermitteln, werden in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur der internen Meldestelle der vom Hinweisgeber angegebenen Gesellschaft möglich. Dies wird innerhalb der zertifizierten Lösung durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Welche Daten wir mithilfe des Hinweisgebersystems verarbeiten, hängt maßgeblich von den Hinweismeldungen ab, die uns gegenüber im Einzelfall erteilt werden. In jedem Fall ist von Hinweisgebern anzugeben, zu welchem Land eine Meldung abgegeben wird und was für eine Art von mutmaßlichem Verstoß (bspw. Korruption) gemeldet werden soll. Zudem werden Hinweisgeber innerhalb des Formulars zur Abgabe eines Hinweises dazu aufgefordert, den mutmaßlichen Verstoß zu beschreiben und für die Aufklärung dienliche Angaben zu machen. Sofern vom Hinweisgeber im Einzelfall angegeben, erfassen wir auch den Namen des Hinweisgebers und weitere Kontaktdaten, Namen von in Hinweismeldungen erwähnten Personen und Informationen zu deren Beteiligung an einem mutmaßlichen Verstoß und Zugehörigkeit zu einer BAUHAUS-Gesellschaft. Zudem erfassen wir zu jeder abgegebenen Hinweismeldung eine dazugehörige Referenznummer. Wenn Sie sich einen Postkasten im Hinweisgebersystem einrichten, verarbeiten wird das gewählte Pseudonym und das gewählte Passwort in gehashter Form und eine zum Postkasten dazugehörige ID.
Personenbezogene Daten, die für die Bearbeitung einer bestimmten Meldung offensichtlich nicht relevant sind, werden unverzüglich gelöscht. Des Weiteren schwärzen wir personenbezogene Daten soweit erforderlich, zum Schutz der Identität von Hinweisgebern und zum Schutz von Personen, die in Hinweismeldungen benannt werden (bspw. vor der internen Weitergabe zur Bearbeitung einer Meldung).
IV. Informationserteilung gegenüber Beschuldigten
Wir sind grundsätzlich gesetzlich nach Art. 14 DSGVO dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
V. Vertrauliche Behandlung und Weitergabe von Hinweisen
Eingehende Hinweise werden von einer kleinen Anzahl an ausdrücklich autorisierten Personen entgegengenommen und stets vertraulich behandelt. Nach Empfang einer Hinweismeldung wird diese und der darin geschilderte Sachverhalt geprüft und wir führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Im Rahmen der Bearbeitung einer Hinweismeldung und im Rahmen einer Untersuchung kann es notwendig sein, Hinweismeldungen Mitarbeitern von BAUHAUS, einschließlich Mitarbeitern von verbundenen Unternehmen oder an Rechtsanwaltskanzleien oder Beratungsgesellschaften oder in besonderen Fällen, an Strafverfolgungsbehörden weiterzugeben. Sofern für die Bearbeitung einer Hinweismeldung oder im Rahmen der Sachverhaltsaufklärung notwendig, lassen wir Texte übersetzen. Jede Person, die Zugang zu den Daten erhält, ist vertraglich oder gesetzlich zur Vertraulichkeit verpflichtet.
VI. Hinweise zur Möglichkeit, anonyme Meldungen abzugeben
Falls Sie bei der Abgabe einer Meldung Ihre Anonymität wahren möchten, schützt das Hinweisgebersystem Sie auf technischer Ebene. Achten Sie darauf, dass die von Ihnen innerhalb des Hinweismelde-Formulars getätigten Angaben und übermittelten Dokumente keine Rückschlüsse auf Ihre Person zulassen. Wenn Sie die Postkasten-Funktion nutzen, sind Informationen in Bezug auf Sie in der Regel nicht mehr anonym, sondern nur pseudonym.
VII. Hinweise zum Übersenden von Anhängen
Bei der Abgabe einer Hinweismeldung und beim Versand einer Ergänzung zu einer vorherigen Meldung haben Sie die Möglichkeit, im System Anhänge hochzuladen. Wenn Sie anonym eine Hinweismeldung abgeben möchten, beachten Sie bitte die Sicherheitshinweise.
VIII. Hinweise zur Möglichkeit, einen Postkasten einzurichten
Sie haben nach Abgabe einer Hinweismeldung die Möglichkeit, mit einem selbst gewählten Pseudonym und Passwort einen geschützten elektronischen Postkasten im Hinweisgeberportal einzurichten. Das Passwort wird als Hash gespeichert, der Postkasten ist verschlüsselt und ihm ist eine ID zugeordnet. Bei einem Verlust der Zugangsdaten gibt es keine Möglichkeit, die Zugangsdaten wiederherzustellen. Hinweisgeber können über den Postkasten Informationen über den Bearbeitungsstand einsehen ergänzende Informationen und Dateien hochladen und Berichte lesen und ausdrucken. Sofern Sie uns Ihren Namen nicht mitteilen möchten, achten Sie bitte darauf, dass Ihr Pseudonym und uns gegenüber gemachte Angaben keine Rückschlüsse auf Ihre Identität zulassen und dass Sie im Rahmen der Kommunikation mit uns nicht ihren Namen preisgeben.
IX. Rechtsgrundlagen
Die Vornahme der in diesen Datenschutzhinweisen beschriebenen Verarbeitungen von personenbezogenen Daten stützen wir zum einen auf unser berechtigtes Interesse an der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von materiellen und immateriellen Schäden und Haftungsrisiken für BAUHAUS (Art. 6 Abs. 1 lit. f DSGVO und im Fall einer deutschen BAUHAUS-Gesellschaft, i.V.m. §§ 30, 130 OWiG). Wenn hierfür die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich ist, nehmen wir solche Datenverarbeitungen zusätzlich auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO vor. Betrifft ein eingegangener Hinweis einen Beschäftigten von BAUHAUS, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstöße, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen, und erfolgt in Deutschland zusätzlich auf Grundlage von § 26 Abs. 1 S. 2 BDSG.
Im Laufe einer Untersuchung zu einem mutmaßlichen Verstoß und nach abschließender Klärung, verarbeitet BAUHAUS mitunter im Einzelfall Daten zur Ausübung und Verteidigung unserer Interessen, Rechte und Ansprüche auf Grundlage unserer berechtigten Interessen an der Ausübung und Verteidigung unserer Interessen, Rechte und Ansprüche nach Art. 6 Abs. 1 lit. f DSGVO. Wenn zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich ist, nehmen wir solche Datenverarbeitungen zusätzlich auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO vor.
Zudem verarbeiten wir personenbezogene Daten über das Hinweisgebersystem auf der Grundlage rechtlicher Verpflichtungen, Art. 6 Abs. 1 lit. c DSGVO (i.V.m. Richtlinie (EU) 2019/1937 und entsprechender (zukünftiger) nationaler Umsetzungen). Wir sind bspw. auch dazu verpflichtet, Daten zu löschen, wenn wir keine Rechtsgrundlage für die Speicherung mehr haben.
Wenn Sie als Hinweisgeber sich zum Zeitpunkt der Abgabe einer Hinweismeldung außerhalb der EU/ des EWR befinden, erfolgen unweigerlich Datenübermittlungen im Rahmen Ihrer Abgabe der Hinweismeldung. Solche Datenübermittlungen werden in dem Fall auf Grundlage von Art. 49 Abs. 1 lit. d DSGVO vorgenommen.
X. Drittquellen
In der Regel erhalten wir Informationen über Personen, die mutmaßlich einen Verstoß begangen haben, durch einen Hinweisgeber. Die Quelle der Daten im Sinne von Art. 14 Abs. 2 f DSGVO ist in solchen Fällen der Hinweisgeber. Zudem kann es auch erforderlich sein, Daten bei der BAUHAUS-Gesellschaft zu erheben, bei der eine Person angestellt ist, die mutmaßlich einen gemeldeten Verstoß begangen hat, oder bei anderen BAUHAUS-Gesellschaften. Sofern im Einzelfall relevant und notwendig, nutzen wir auch öffentlich verfügbare Daten.
XI. Speicherdauer
Es ist nicht pauschal bestimmbar, wie lange genau die Daten gespeichert werden, da hierfür eine Einzelfallbetrachtung notwendig ist. Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung eines Hinweises im Einzelfall erfordern oder ein überwiegendes berechtigtes Interesse von BAUHAUS besteht oder dies aufgrund eines Gesetzes erforderlich ist. Personenbezogene Daten, die für die Bearbeitung einer bestimmten Meldung offensichtlich nicht relevant sind, werden unverzüglich gelöscht. Des Weiteren schwärzen wir personenbezogene Daten, zum Schutz der Identität von Hinweisgebern und zum Schutz von Personen, die in Hinweismeldungen benannt werden (bspw. vor der internen Weitergabe zur Bearbeitung einer Meldung, soweit diese Daten nicht zur Bearbeitung erforderlich sind).
XII. Betroffenenrechte
Als betroffene Person stehen Ihnen bei Erfüllung der jeweils geltenden Voraussetzungen die folgenden Datenschutzrechte zu:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Des Weiteren haben Sie ein Recht auf Widerspruch (Art. 21 DSGVO), sofern wir eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO vornehmen. Bitte beachten Sie, dass bei Datenverarbeitungen zu anderen Zwecken als der Direktwerbung Gründe anzugeben sind, die sich aus Ihrer besonderen Situation ergeben. Ihren Widerspruch können Sie uns per E-Mail an unseren Datenschutzbeauftragten in Deutschland (datenschutzbeauftragter@bauhaus.info) senden. Dieser wird an die betreffende Stelle weitergeleitet.
Stand Dezember 2021