Datenschutzerklärung Hinweisgebersystem

Datenschutzrechtlich verantwortlich ist die

Salzgitter AG
Compliance-Management / Konzernrechtsabteilung der Salzgitter AG
Eisenhüttenstraße 99
38239 Salzgitter
Telefon: +49 5341 / 21-9229
compliance.hotline@salzgitter-ag.de
Datenschutzbeauftragte: datenschutz.holding@salzgitter-ag.de

gemeinsam mit dem jeweiligen Konzernunternehmen, auf welches sich der Hinweis bezieht und welches den Hinweisen nachgehen wird.

Eine Auflistung der Konzernunternehmen der Salzgitter AG finden Sie hier Unsere Geschäftsbereiche | Salzgitter AG (salzgitter-ag.com) und hier Anteilsbesitzliste | Salzgitter AG (salzgitter-ag.com).

Das Hinweisgebersystem dient dem Zweck, dass Mitarbeiter, Geschäftspartner und alle sonst von der Tätigkeit des Salzgitter-Konzerns Betroffenen vertraulich Hinweise auf mögliche Gesetzes- oder sonstige Verstöße abgeben können, die durch die zuständigen Stellen im Konzern einer Aufklärung zugeführt werden. Zugleich ermöglicht es allen Personen, auf menschenrechtliche und umweltbezogene Risiken sowie auf Verletzungen menschenrechts- und umweltbezogener Pflichten von Konzernunternehmen oder deren Lieferanten hinzuweisen.

1. Umfang der Datenverarbeitung

Bei jedem Aufruf des elektronischen Meldeportals erfasst das System automatisiert folgende Daten und Informationen vom Computersystem des aufrufenden Rechners:

(1) Teilanonymisierte IP-Adresse
(2) Gerät
(3) Betriebssystem
(4) Internetbrowser
(5) Verweis- und Ausstiegsseiten
(6) Datum-/Zeitstempel

Die Daten werden in den Logfiles des Systems auf Servern in der EU gespeichert, um die Funktionsfähigkeit des elektronischen Meldeportals und die Sicherheit der informationstechnischen Systeme sicherzustellen. Eine Auswertung der Daten oder eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten der Nutzenden finden in diesem Zusammenhang nicht statt.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens 14 Tagen der Fall.

2. Rechtsgrundlage und Zweck der Datenverarbeitung

Rechtsgrundlage für die Erhebung der Daten und ihre vorübergehende Speicherung in Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Der Zugriff auf die o.g. Informationen durch das System ist notwendig, um eine Nutzung des elektronischen Meldeportals mittels der Endgeräte der Nutzenden zu ermöglichen. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

3. Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung des elektronischen Meldeportals und die Speicherung der Daten in Logfiles ist für Betrieb des elektronischen Meldeportals zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.

4. Verwendung von Cookies

Das elektronische Meldeportal verwendet ausschließlich technisch notwendige Cookies, die erforderlich sind, um die Funktionalität des elektronischen Meldeportals zu gewährleisten. In diesen Zwecken liegt auch unser erforderliches berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten auf der Grundlage des Art. 6 Abs. 1 lit. f DSGVO.

Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.

Folgende Cookies werden eingesetzt:

1. Umfang und Zweck der Datenverarbeitung

Innerhalb des elektronischen Meldeportals haben Sie die Möglichkeit, sich freiwillig einen Beschwerdeführer-Account anzulegen. Dies ist keine Voraussetzung für die Einreichung einer Beschwerde.

Wird kein Account angelegt, werden beim Einreichen einer Beschwerde ausschließlich die unter Ziffer III.1. beschriebenen personenbeziehbaren Daten unter den dort dargestellten Bedingungen erhoben.

Im Zuge der Erstellung dieses Accounts wird zumindest ein vom Nutzenden selbst zu vergebenes Passwort sowie ein zu wählendes Pseudonym benötigt. Optional und auf freiwilliger Basis können die Nutzenden ihren Vor- und Nachnamen angeben und auch eine E-Mail-Adresse hinterlegen, falls Sie auf diesem Wege über Neuigkeiten im Zusammenhang mit der Bearbeitung ihrer Beschwerde erhalten wollen.

2. Rechtsgrundlage, Dauer der Speicherung, Beseitigungsmöglichkeit

Die Rechtsgrundlage für die Verarbeitung der im Zuge der Account-Erstellung verarbeiteten personenbezogenen Daten ist die Einwilligung der Nutzenden gem. Art. 6 Abs. 1 lit. a DSGVO, welche bei der Erstellung des Accounts transparent abgefragt wird. Diese Einwilligung kann jederzeit ohne eine Angabe von Gründen und ohne, dass den Nutzenden dadurch Nachteile entstehen, widerrufen werden. Auf dieser Grundlage werden dann keine personenbezogenen Daten mehr verarbeitet. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf wird durch diesen nicht berührt.

Die personenbezogenen Daten der Nutzenden, welche im Zuge der Erstellung des Beschwerdeführer-Accounts erhoben wurden, werden so lange gespeichert, bis die Nutzenden sich dazu entschließen, den bestehenden Account innerhalb des elektronischen Meldeportals zu löschen (das ist möglich über „Profil bearbeiten“/“Benutzerkonto löschen“), worin zugleich der Widerruf der Einwilligung liegt. In diesem Zuge werden die Daten bezogen auf den Account umgehend gelöscht. Auf die Speicherung von Daten, welche ggf. im Zuge von Beschwerden bereits an uns gesandt wurden, hat dies jedoch keine Auswirkungen.

Wir nutzen das elektronische Meldeportal zur Erfassung und Bearbeitung aller Hinweise/Beschwerden, die bei der Salzgitter AG eingehen. Sollten Sie Hinweise per E-Mail, Brief, Telefonat oder durch persönliches Erscheinen bei der Salzgitter AG abgeben, werden sämtliche Angaben, die Sie zu dem Hinweis oder Ihrer Person machen, in das elektronische Meldeportal eingeben. Die ursprüngliche Meldung wird im elektronischen Meldeportal digital hinterlegt, das Original grundsätzlich vernichtet, soweit eine Aufbewahrung nicht im Einzelfall zu Beweiszwecken erforderlich sein sollte.

Sollten Sie den Hinweis über die Ombudsfrau einreichen, und den Wunsch haben, dass der Hinweis anonym behandelt wird, werden keine Informationen zu Ihrer Person an uns weitergegeben und auch nicht im elektronischen Meldeportal hinterlegt.

Informationen zur Verarbeitung Ihrer Daten im elektronischen Meldeportal finden Sie im Folgenden im nächsten Abschnitt VI.

1. Umfang und Zweck der Verarbeitung personenbezogener Daten

Im Rahmen der Eingabe und Bearbeitung von Meldungen im elektronischen Meldeportal verarbeiten wir sämtliche Daten, welche zur Verfügung gestellt werden. Insbesondere können hier folgende Daten betroffen sein:

• Informationen zur persönlichen Identifizierung des Hinweisgebers (z.B. Name, Anschrift, Kontaktdaten, Geschlecht),
• Beschäftigteneigenschaft bzw. andere Beziehung, in welcher der Hinweisgeber zu einem Unternehmen des Salzgitter-Konzerns steht,
• Informationen zu natürlichen Personen, die in einer Meldung als eine Person bezeichnet werden, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist (z.B. Name, Anschrift, Kontaktdaten, Geschlecht, sonstige Informationen, die eine Identifikation ermöglichen),
• Informationen über Verstöße, die ggf. Rückschlüsse auf eine natürliche Person erlauben.

Wir verarbeiten diese Daten zum Zwecke der Untersuchung von Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-) Einziehung von Mitteln oder Abschluss des Verfahrens) vorzunehmen.

2. Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt aufgrund folgender Rechtsgrundlagen:

• Informationen zur Identität des Hinweisgebers verarbeiten wir nur, soweit uns der Hinweisgeber dazu seine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO gegeben hat, indem er uns diese Daten von sich aus zur Verfügung gestellt hat.
• Informationen zur Beschäftigteneigenschaft, Informationen zu betroffenen Personen sowie sonstige Informationen, die Rückschlüsse auf natürliche Personen zulassen, verarbeiten wir auf der Grundlage des Art. 6 Abs. 1 lit. f DSGVO. Unser hierfür erforderliches berechtigtes Interesse besteht – je nach zu prüfendem konkretem Einzelfall – in der Bearbeitung von Meldungen, um Folgemaßnehmen durchführen zu können, wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-) Einziehung von Mitteln oder Abschluss des Verfahrens. Ob Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person einer solchen Datenverarbeitung entgegenstehen, wird im Einzelfall – unter anderem auch mit Blick auf den Verstoß – geprüft.
• Sofern ein eingegangener Hinweis einen Beschäftigten der Salzgitter AG oder eines Salzgitter-Konzernunternehmens betrifft, dient die Verarbeitung zudem der Verhinderung oder Verfolgung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen. Rechtsgrundlage für die Verarbeitung ist in diesem Fall § 26 Abs. 1 Satz 2 BDSG (Erforderlichkeit der Datenverarbeitung zur Aufdeckung von Straftaten).

3. Wie lange werden Ihre Daten gespeichert?

Daten werden in der Regel so lange gespeichert, bis die Folgemaßnahmen, welche aus der Meldung ggf. resultieren, abgeschlossen sind. In der Regel wird die Dokumentation einer Meldung nach drei Jahren gelöscht, nachdem das Verfahren abgeschlossen ist, es sei denn, anwendbare Gesetze enthalten hierüber hinausgehende Aufbewahrungspflichten (z.B. nach Lieferkettensorgfaltspflichtengesetz (7 Jahre ab Erstellung) oder die Einleitung weiterer rechtlicher Schritte erfordert die weitere Aufbewahrung (z.B. die Einleitung von Strafverfahren oder Disziplinarverfahren). Enthalten Meldungen, welche wir nach Prüfung als offensichtlich sachlich grundlos erachten, personenbezogene Daten, werden diese von uns – soweit dies möglich und zumutbar ist – unverzüglich gelöscht. Dies bezieht sich jedoch nicht auf die Dokumentation der Meldung als solche.

1. Konzerninterne Stellen

Alle Hinweise werden vertraulich behandelt und sind nur den Mitarbeitenden zugänglich, die für die Bearbeitung des Vorgangs auf diese Daten notwendigerweise zugreifen müssen.

Die Konzernunternehmen und/oder der zuständige Compliance-Bereich der Salzgitter AG bzw. der Salzgitter Flachstahl GmbH, im Geschäftsbereich Handel die Salzgitter Mannesmann Handel GmbH oder KHS GmbH für Ihre Tochter- und Beteiligungsgesellschaften prüfen jeden Hinweis auf Stichhaltigkeit. Die Aufklärung des zugrundeliegenden Sachverhaltes erfolgt entweder durch die Konzernrevision der Salzgitter AG oder die Geschäftsführung des betroffenen Konzernunternehmens, soweit erforderlich mit Unterstützung des zuständigen Compliance-Bereichs oder der zuständigen Rechtsabteilung; dabei werden die Daten stets vertraulich behandelt. Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an unsere zuständigen Fachabteilungen weitergegeben.

Im Rahmen der Bearbeitung einer Meldung oder einer Untersuchung kann es notwendig sein, personenbezogene Daten an Mitarbeitende in anderen Konzernunternehmen weiterzugeben, z.B. wenn sich die Hinweise auf Vorgänge in anderen Konzernunternehmen der Salzgitter AG beziehen oder Mitarbeiter in anderen Konzernunternehmen über besondere Fachkenntnisse verfügen, die für eine Untersuchung erforderlich sind. Bei Erforderlichkeit für die Aufklärung kann eine Übermittlung an Tochtergesellschaften des Salzgitter-Konzerns in einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgen, allerdings stets auf Basis geeigneter oder angemessener datenschutzrechtlicher Garantien zum Schutz von Betroffenen. Für Datenübermittlungen in Drittländer, in denen kein angemessenes Datenschutzniveau besteht, wird vor der Weitergabe sichergestellt, dass beim Empfänger entweder ein angemessenes Datenschutzniveau besteht (z.B. auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission oder durch Vereinbarung sog. EU - Standardvertragsklauseln der Europäischen Union mit dem Empfänger) oder eine ausdrückliche Einwilligung der betroffenen Personen vorliegt.

Der Vorstand und die Konzerngeschäftsleitung der Salzgitter AG wird über Meldungen und deren Bearbeitungsstand – ohne Nennung der Hinweisgeber - unterrichtet.

Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen beachtet werden.

2. Konzernexterne Stellen

Eine Übermittlung personenbezogener Daten an Dritte findet grundsätzlich nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Dies ist insbesondere der Fall, wenn die Übermittlung der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind, dient, Sie uns Ihre Einwilligung dazu erteilt haben oder eine Interessenabwägung dies rechtfertigt.

Eine solche Interessenabwägung wird z.B. dann erforderlich, wenn eine in einem Hinweis genannte Person Auskunft gem. Art. 15 DSGVO über ihre bei uns gespeicherten personenbezogenen Daten verlangt. Dieses Auskunftsverlangen kann sich auch auf Informationen über die Quelle, aus welcher wir diese Daten erhoben haben, erstrecken. In einem solchen Fall muss das Interesse der betroffenen Person an der Erteilung dieser Informationen und das Interesse eines Hinweisgebers an Anonymität gegeneinander abgewogen werden. Das Interesse der betroffenen Person überwiegt in der Regel dann, wenn der Hinweisgeber vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet.

Unter Umständen geben wir personenbezogene Daten auch an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Behörden und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Wirtschaftsprüfer/Rechtsanwälte, weiter.

3. Auftragsverarbeiter

Für die Bereitstellung des elektronischen Meldeportals arbeiten wir mit der osapiens Services GmbH („osapiens“), Julius-Hatry-Straße 1, 68163 Mannheim, zusammen. Diese hat das elektronische Meldeportal entwickelt und hostet das System für uns. Daher kann osapiens von den in dieser Datenschutzerklärung beschriebenen personenbezogenen Daten Kenntnis nehmen. osapiens ist als Auftragsverarbeiter für uns tätig. Ein gemäß Art. 28 Abs. 3 DSGVO erforderlicher Auftragsverarbeitungsvertrag wurde abgeschlossen. Darin wurde osapiens zur Vertraulichkeit verpflichtet sowie dazu, personenbezogene Daten, welche unter unsere datenschutzrechtliche Verantwortlichkeit fallen, nur gemäß unseren Weisungen zu verarbeiten.

4. Ombudsfrau

Wenn Sie Hinweise an die Ombudsfrau - Frau Rechtsanwältin Nina Weigel-Grabenhorst, SQR Rechtsanwälte LLP, Wolfenbütteler Straße 45, 38124 Braunschweig, salzgitter-ombudsfrau@sqr-law.com - richten, ist unsere Ombudsfrau als Auftragsverarbeiterin verpflichtet, die in Ihrem Hinweis enthaltenen Informationen an die Salzgitter AG (vgl. I. 1.) weiterzuleiten. Falls vom Hinweisgeber gefordert, erfolgt dies in anonymer Form. Ein gemäß Art. 28 Abs. 3 DSGVO erforderlicher Auftragsverarbeitungsvertrag wurde abgeschlossen, der die Ombudsfrau zur Vertraulichkeit verpflichtet.

Es besteht keine gesetzliche oder vertragliche Verpflichtung für Nutzende, uns personenbezogene Daten bereitzustellen, da eine Beschwerde oder eine Meldung eines Vorfalls auf freiwilliger Basis erfolgt.

Werden personenbezogene Daten von Ihnen verarbeitet und stehen Ihnen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte gegenüber uns als Verantwortlichen zu:

(1) Recht auf Auskunft nach Art. 15 DSGVO
(2) Recht auf Berichtigung nach Art. 16 DSGVO
(3) Recht auf Löschung nach Art. 17 DSGVO
(4) Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
(5) Recht auf Datenübertragbarkeit aus Art. 20 DSGVO
(6) Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Art. 7 Abs. 3 DSGVO). Bitte beachten Sie, dass im Falle eines Widerrufs ggf. bereits Daten entsprechend VII. auch an externe Stelle weitergegeben worden sein könnten.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 e) DSGVO (Datenverarbeitung im öffentlichen Interesse) und Art. 6 Abs. 1 f) DSGVO (Datenverarbeitung auf Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen. Der Widerspruch kann formfrei erfolgen und sollte möglichst an die in diesem Datenschutzhinweisen unter 1. aufgeführten Kontaktdaten erfolgen.
Ihre personenbezogenen Daten werden dann nicht mehr verarbeitet, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Recht und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Betroffenen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.