Datenschutzerklärung Hinweisgeberstrecke

Stand: März 2022

Mit dieser Datenschutzerklärung unterrichten wir dich darüber, wie personenbezogene Daten erhoben, verarbeitet und genutzt werden, wenn du unsere Hinweisgeberstrecke nutzt und uns personenbezogene Daten übermittelst.

Diese Datenschutzerklärung gilt für unsere Hinweisgeberstrecke, die unter der folgenden URL abrufbar ist:
https://europaceag.whistlelink.com/ und über alle weiteren Kommunikationskanäle (z.B. postalisch).

Die Datenschutzhinweise des Auftragsverarbeiters (Whistlelink AB) finden sich unter https://www.whistlelink.com/data-security/

Name und Kontaktdaten des Verantwortlichen

Verantwortlich für die Verarbeitung deiner Daten ist:

Europace AG
Heidestraße 8
10557 Berlin
Vorstände: Stefan Kennerknecht, Thomas Heiserowski

Kontaktdaten Datenschutzthemen

Das Datenschutzteam bei Europace erreichst du unter:

Die Kontaktdaten des Datenschutzbeauftragten bei Europace sind wie folgt:

ISiCO Datenschutz GmbH
z.Hd. Datenschutzbeauftragten Europace AG
Am Hamburger Bahnhof 4
10557 Berlin

Zu diesen Stellen kannst du vertraulich Kontakt aufnehmen. Der Datenschutzbeauftragte ist gesetzlich zur Verschwiegenheit verpflichtet und auch die Ombudspersonen werden die Vertraulichkeit wahren.

Daten, die wir verarbeiten und die wir bei Dir / über Dich erheben

Möglicherweise werden personenbezogene Daten verarbeitet, die alle Kategorien personenbezogener Daten umfassen, welche im Rahmen eines Hinweises auftreten können, einschließlich sensibler Daten und mutmaßlicher Gesetzesverstöße. Dazu können auch besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO gehören. Hierbei werden Daten teilweise zu der Person, die den Hinweis gibt (Hinweisgeber), verarbeitet, teilweise aber über andere Personen, soweit diese im Rahmen des gemeldeten Sachverhalts eine Rolle spielen.

Von den Hinweisgebern werden optional der Name, Vorname, E-Mail-Adresse oder andere Kontaktdaten und die Organisationszugehörigkeit aufgenommen. Im Rahmen der optionalen Bereitstellung von Nachweisen zu dem Sachverhalt können weitere Daten des Hinweisgebers, aber auch von Dritten wie beispielsweise von Ansprechpartnern bei Kunden oder Kolleginnen und Kollegen verarbeitet werden.

Von beschuldigten oder verdächtigten Personen und Dritten (z.B. Zeugen oder Geschädigte) werden ggf. Daten bei der Meldung verarbeitet. Verpflichtend bei der Meldung durch die Hinweisgeber ist die Angabe, ob der Vorfall bereits gemeldet wurde. Dabei können Daten von Vorgesetzten oder Beschäftigten erfasst werden, welche im Rahmen der Meldung genannt werden. Bei der Beschreibung des Vorfalls, des Schadens sowie der beteiligten Personen und deren Rollen bei dem Vorfall, können ebenfalls personenbezogene Daten Dritter, beispielsweise von Ansprechpartnern bei Kunden oder Kolleginnen und Kollegen oder Ansprechpartner bei Geschäftspartnern verarbeitet werden. Es können jeweils Name, Vorname, E-Mail-Adresse oder andere Kontaktdaten und die Organisationszugehörigkeit sowie weitere in der Meldung genannte Angaben verarbeitet werden.

Von den Ombudspersonen werden Daten wie ihr Name und ihre E-Mail-Adresse bei der Anmeldung auf Whistlelink und der Bearbeitung des Falles verarbeitet.

Bearbeitung einer Meldung

Wenn über die Hinweisgeberstrecke eine Meldung eingeht, haben nur die Ombudspersonen bei Europace auf diese Meldung Zugriff. Die Ombudspersonen werden diese Meldungen sichten und bei Verstößen gegen maßgebliche Normen und interne Richtlinien weitere Untersuchungen einleiten. (Maßgebliche Normen betreffen insbesondere solche Verstöße, die straf- oder bußgeldbewehrt sind und Verstöße gegen Normen des Vergaberechts, Steuerrechts, des Rechts der Aktiengesellschaften, bestimmter Verstöße gegen das Finanzdienstleistungsaufsichtsgesetz, Vorgaben zur Bekämpfung von Terrorismusfinanzierung oder produktsicherheitsrechtliche Vorgaben sowie Verstöße gegen Normen zum Schutz der Privatsphäre und personenbezogener Daten sowie zur Sicherheit von Netz- und Informationssystemen).

Meldungen über die Hinweisgeberstrecke sind vollständig anonym möglich. Die Angabe eines Namens und der Kontaktdaten ermöglicht es uns jedoch Rückfragen zum Sachverhalt zu stellen und die Ermittlungen zu beschleunigen.

Die Identität des Hinweisgebers wird entsprechend Art. 16 der Hinweisgeberrichtlinie ohne dessen ausdrückliche Zustimmung keinen anderen Personen als gegenüber den Ombudspersonen oder denjenigen, die für das Ergreifen von Folgemaßnahmen zuständig sind, offengelegt. Dies gilt auch für alle anderen Informationen, aus denen die Identität des Hinweisgebers direkt oder indirekt abgeleitet werden kann. Abweichend hiervon dürfen bzw. müssen die Identität des Hinweisgebers sowie alle anderen Informationen dann offengelegt werden, wenn dies nach Unionsrecht oder nationalem Recht eine notwendige und verhältnismäßige Pflicht im Rahmen der Untersuchungen durch nationale Behörden oder von Gerichtsverfahren darstellt, so auch im Hinblick auf die Wahrung der Verteidigungsrechte der betroffenen Person.

Die Verarbeitung personenbezogener Daten erfolgt im Rahmen des Hinweisgebersystems insbesondere gem. Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 8 der Hinweisgeberrichtlinie sowie § 26 Abs. 1 BDSG zur Erfüllung der sich aus der Richtlinie ergebenden Verpflichtung von Europace, ein effektives Hinweisgebersystem bereitzustellen. Dabei können auch personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses, insbesondere zur Aufdeckung von Straftaten, verwendet werden.

Die Verarbeitung personenbezogener Daten erfolgt außerdem auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, da sie zur Wahrung der berechtigten Interessen von Europace erforderlich ist. Das Ziel der Einrichtung des Hinweisgebersystems ist es, Missstände frühzeitig zu erkennen und diese zu beheben oder Schäden eindämmen zu können.

Meldungen, die nicht auf Verstöße gegen maßgebliche Normen und interne Richtlinien verweisen, werden umgehend nach der Eingangsprüfung gelöscht. Angaben, die für die Bearbeitung einer spezifischen Meldung offensichtlich nicht relevant sind, werden ebenfalls unverzüglich gelöscht. Andernfalls werden die Meldungen spätestens 2 Jahre nach Abschluss der Ermittlungen gelöscht.

Weitergabe von Daten

In bestimmten Fällen werden wir einen Teil deiner Daten, die wir im Rahmen des Hinweisgeberverfahrens verarbeiten, an Stellen und Personen außerhalb unseres Unternehmens weitergeben (siehe unten). Diese Dritten nennt das Gesetz „Empfänger von personenbezogenen Daten“. Nach Kategorien eingeordnet, geben wir Daten an folgende Gruppen von Empfängern weiter:

  • Behörden, unter anderem
    • Polizei
    • Staatsanwaltschaft
    • Finanzbehörden
    • Steuerbehörden
    • Wettbewerbsbehörden
  • Gerichte
  • Kanzleien, die für Europace tätig werden
  • Wirtschaftsprüfungsgesellschaften, die für Europace tätig werden
  • technische Dienstleister (Google Ireland Ltd., Microsoft Microsoft Ireland Ltd. und Whistlelink AB) sowie die Hypoport Hub SE und weitere mit uns in der Unternehmensgruppe verbundenen Unternehmen, sofern diese für uns Leistungen erbringen (z.B. IT-Support oder ähnliches) oder zentrale Aufgaben übernehmen (z.B. Aufgaben der Personalabteilung)

Sofern wir zur Weitergabe deiner Daten rechtlich verpflichtet oder deine Daten für die Arbeit der für uns tätigen Steuerberatungsgesellschaften, Kanzleien oder Wirtschaftsprüfgesellschaften erforderlich sind, geben wir deine Daten im erforderlichen Umfang an diese weiter. Diese Stellen sind stets berufsrechtlich zur Vertraulichkeit verpflichtet.

Technische Dienstleister, die in unserem Auftrag tätig werden, verarbeiten teilweise Daten für uns. Sofern dies der Fall ist, schließen wir mit ihm einen sog. Auftragsverarbeitungsvertrag ab, durch den wir den Dienstleister verpflichten, die Verarbeitung der Daten sorgfältig und nach unseren Weisungen vorzunehmen. Hierdurch verarbeiten die Dienstleister die Daten nach unseren Vorgaben und in unserem Auftrag, weswegen sie als Auftragsverarbeiter bezeichnet werden.

Übermittlung an ein Drittland

Personenbezogene Daten werden von Europace in bestimmten Konstellationen auch an Drittländer übermittelt. Als Drittland im datenschutzrechtlichen Sinne gelten Länder außerhalb des Europäischen Wirtschaftsraums. Ein solches Drittland stellen unter anderem auch die USA dar.

Personenbezogene Daten werden insbesondere im Rahmen des Einsatzes der G-Suite / Google Workspace von Google ggf. in die USA übermittelt. Mit Google haben wir hierfür einen Auftragsverarbeitungsvertrag sowie die sog. europäischen Standardvertragsklauseln abgeschlossen. Damit verpflichtet sich Google ein der EU vergleichbares Datenschutzniveau auch bei der Verarbeitung in den USA umzusetzen. Zudem sind weitere technische Maßnahmen der Verschlüsselung implementiert, die Daten vor einem unberechtigten Zugriff schützen.

Deine Rechte

Dir steht jederzeit das Recht zu, Auskunft über die Verarbeitung deiner personenbezogenen Daten durch uns zu verlangen. Wir werden dir im Rahmen der Auskunftserteilung die Datenverarbeitung erläutern und eine Übersicht der über deine Person gespeicherten Daten zur Verfügung stellen.

Falls bei uns gespeicherte Daten falsch oder nicht mehr aktuell sein sollten, hast du das Recht, diese Daten berichtigen zu lassen.

Du kannst außerdem die Löschung deiner Daten verlangen. Sollte die Löschung aufgrund anderer Rechtsvorschriften ausnahmsweise nicht möglich sein, werden die Daten gesperrt, so dass sie nur noch für diesen gesetzlichen Zweck verfügbar sind.

Du kannst die Verarbeitung deiner Daten außerdem einschränken lassen, z. B. wenn du der Auffassung bist, dass die von uns gespeicherten Daten nicht korrekt sind. Dir steht auch das Recht auf Datenübertragbarkeit zu, d. h. dass wir dir auf Wunsch eine digitale Kopie der von dir bereitgestellten personenbezogenen Daten zukommen lassen.

Um deine hier beschriebenen Rechte geltenden zu machen, kannst du dich jederzeit an die oben genannten Kontaktdaten wenden. Dies gilt auch, sofern du Kopien von Garantien zum Nachweis eines angemessenen Datenschutzniveaus erhalten möchtest.

Zudem hast du das Recht der Datenverarbeitung zu widersprechen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht oder der Direktwerbung dient (Art. 21 Abs. 1 S. 1 DSGVO). Du hast schließlich das Recht dich bei der für uns zuständigen Datenschutzaufsichtsbehörde zu beschweren. Du kannst dieses Recht bei einer Aufsichtsbehörde in dem Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. In Berlin ist die zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.

Widerrufs- und Widerspruchsrecht

Du hast gemäß Art. 7 Abs. 3 DSGVO das Recht, eine einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Soweit wir deine Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeiten, hast du gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung deiner Daten einzulegen und uns Gründe zu nennen, die sich aus deiner besonderen Situation ergeben und die deiner Meinung nach für ein Überwiegen deiner schutzwürdigen Interessen sprechen. Geht es um einen Widerspruch gegen die Datenverarbeitung zu Zwecken der Direktwerbung hast du ein generelles Widerspruchsrecht, das auch ohne die Angabe von Gründen von uns umgesetzt wird.

Möchtest du von deinem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine formlose Mitteilung an die oben genannten Kontaktdaten.