Datenschutzhinweis Datenschutzerklärung für das Beschwerde-/Hinweisgebersystem
für Hinweisgeber

„SpeakUp“ ermöglicht es Ihnen, mit uns in Verbindung zu treten und Hinweise zu Compliance und Rechtsverstößen zu geben. Das System dient somit übergeordnet dem Zweck, Hinweise zu potenziellen Gesetzes- oder internen Regelverstößen auf einem sicheren und vertraulichen Weg zu übermitteln.

Mit Blick auf die hinweisgebende Person verarbeiten wir personenbezogene Daten zu dem Zweck, Fehlverhalten innerhalb der INDUS-Firmengruppe zu erkennen und aufzuklären. Wenn Sie eine Meldung abgeben, können Sie sich frei entscheiden, ob Sie dies unter Ihrem Namen oder anonym tun möchten. Bitte beachten Sie, dass wir Ihren Namen ggf. aufgrund gesetzlicher Vorgaben den von Ihnen Beschuldigten oder anderen Betroffenen (z. B. von Ihnen benannte Zeugen) mitteilen müssen. Bitte nennen Sie in Ihrer Meldung keine sensiblen personenbezogenen Daten wie ethnische Herkunft, Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder Daten zur sexuellen Orientierung.

Hinweise können als Textnachricht gegeben und mit Anlagen (beispielsweise Fotos oder Dokumenten) versehen werden. Eine Meldung kann aber auch per Sprachnachricht erfolgen. Zur Wahrung Ihrer Anonymität wird dafür die aufgezeichnete Stimme verschriftlicht.

Hierbei ist es möglich, dass wir Rückfragen haben. Diese können beiderseitig über das im SpeakUp-System bereitgestellte sichere Postfach abgesetzt und beantwortet werden. Der Zugriff ist nur mit Fall-ID (PIN) und dem entsprechenden Passwort möglich. Personenbezogene Daten verarbeiten wir in diesem Kontext insbesondere zur Prüfung, ob die uns übermittelten Hinweise plausibel erscheinen und einen Verstoß nahelegen sowie um eine weitere Sachverhaltsaufklärung herbeizuführen. Die Verarbeitung kann auch aufgrund weiterer Aufklärung zum Zweck der Entlastung von zu Unrecht verdächtigten Personen, der Abwehr von drohenden wirtschaftlichen und sonstigen Nachteilen und für die Geltendmachung und / oder Durchsetzung von Rechten unseres Unternehmens und der Erfüllung etwaiger Mitwirkungspflichten unseres Unternehmens im Rahmen von Ermittlungen Strafverfolgungsoder sonstigen Behörden erfolgen.

Wir sichern zu, den Fall sorgfältig zu prüfen. Entscheidungen werden nicht automatisiert durch ein IT-System / eine KI-Anwendung, sondern in jedem einzelnen Fall nach sorgfältiger Abwägung von Menschen getroffen.

Folgende personenbezogene Daten können in diesem Zuge verarbeitet werden:

• (Kontakt-)Informationen zum Hinweisgeber
  Grundsätzlich ist die Nutzung von SpeakUp ohne die Angabe personenbezogener Daten möglich. Natürlich steht es Ihnen frei, im Rahmen des Prozesses freiwillig personenbezogene Daten bekanntzugeben, wie z. B. Ihren Vornamen und Nachnamen, Kontaktdaten und ob Sie in einem Beschäftigungsverhältnis zur INDUS stehen.
• Hinweisbezogene Fallinformationen
  In dem von Ihnen gemeldeten Sachverhalt selbst können Ihre personenbezogenen Daten (wie z. B. Vorname, Nachname, Berufsbezeichnung, personenbeziehbare Orts- und Zeitdaten oder weitere Informationen, die einen Rückschluss auf Sie / Ihre Identität zulassen) enthalten sein. Des Weiteren ist es möglich, dass betriebliche Dokumente (wie Leistungsnachweise, Reisekostenabrechnungen, Fahrtenbücher, Rechnungen und ähnliche Dokumente), die auch Daten zu Ihrer Person enthalten können, verarbeitet werden, soweit sie für die Aufklärung des gemeldeten Sachverhaltes benötigt werden.
• Systemtechnische Daten
  Im Zuge der Meldung werden in SpeakUp systemtechnische Daten von Ihnen verarbeitet. Ebenso ist es möglich, dass Informationen zum Verhalten bei der Nutzung von betrieblichen Kommunikationssystemen wie Metadaten, Logdaten oder auch Inhalte betrieblicher E-Mails, soweit sie für die Bearbeitung und Aufklärung des gemeldeten Sachverhaltes benötigt werden, verarbeitet werden.
• Besondere Kategorien personenbezogener Daten
  Grundsätzlich erheben wir keine besonderen Kategorien personenbezogener Daten, wie beispielsweise Informationen zur ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeiten, Gesundheitsdaten sowie Daten zur sexuellen Orientierung. Aufgrund der zur größtmöglichen Barrierefreiheit verwendeten Freitextfelder ist eine Eingabe durch Sie jedoch möglich.

Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten sind insbesondere rechtliche Verpflichtungen aufgrund des Hinweisgeberschutz-Gesetzes (Art. 6. Abs. 1. lit. c DSGVO i.V.m. Art. 17 der Richtlinie (EU) 2019/1937 („EU-Hinweisgeberrichtlinie“)) sowie etwaigen anderen nationalen Vorschriften (beispielsweise mit Blick auf straf-, wettbewerbs- und arbeitsrechtlich relevante Sachverhalte) zur Implementierung der EUHinweisgeberrichtlinie. Gemäß der Hinweisgeberrichtlinie und den nationalen Vorschriften zu deren Implementierung sind wir zur Bereitstellung eines Hinweisgebersystems rechtlich verpflichtet. Betrifft ein eingegangener Hinweis einen Beschäftigten der INDUS oder einer Beteiligung, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen. Dies richtet sich nach Art. 6 Abs., 1 Buchst. f DSGVO. Soweit im Rahmen der Meldungen oder im späteren Ermittlungsverfahren die bereits genannten besonderen Kategorien personenbezogener Daten Bestandteil sind oder werden, verarbeiten wir diese auf Grundlage von Art. 9 Abs. 2 lit. b DSGVO i.V.m. Art. 9 Abs. 2 lit. f) DSGVO sowie anwendbarer nationaler Vorschriften. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt darüber hinaus auf Grundlage unseres berechtigten Interesses (auch in Bezug auf Dritte) gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO i.V.m. mit etwaigen anwendbaren Vorschriften der nationalen Gesetze zur Prävention und Aufdeckung von Straftatbeständen, Pflichtverletzungen und anderen Verstößen sowie unserem berechtigten Interesse an der damit verbundenen Abwendung von Schäden und Haftungsrisiken für unser Unternehmen. Wir haben ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten zur Prävention und Aufdeckung von Verstößen innerhalb unseres Unternehmens, zur Überprüfung der internen Prozesse auf ihre Rechtmäßigkeit und zur Wahrung der Integrität unseres Unternehmens. Insbesondere wird diesbezüglich auf die Vermeidung und Abwehr von Ordnungswidrigkeiten und Straftaten i.S.d. §§ 30, 130 des OWiG verwiesen.

Ebenfalls erfolgt die Verarbeitung personenbezogener Daten im Rahmen eines Hinweisgebersystems (Beschwerdeverfahrens) u.a. auf Grundlage des § 8 des Lieferkettensorgfaltspflichtengesetzes (LkSG). Das Beschwerdeverfahren ermöglicht Personen, auf menschenrechtliche und umweltbezogene Risiken sowie auf Verletzungen menschenrechtsbezogener oder umweltbezogener Pflichten hinzuweisen, die durch das wirtschaftliche Handeln eines Unternehmens im eigenen Geschäftsbereich oder eines unmittelbaren Zulieferers entstanden sind.

Die Verarbeitung Ihrer Identifikationsdaten als Hinweisgeber erfolgt auf Basis Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO. Sofern Sie uns besondere Kategorien
personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung (Art. 9 Abs. 2 lit. a) DSGVO). Die Freiwilligkeit der Einwilligung ist dadurch gegeben, dass der Hinweis stets anonym erfolgen kann. Sie können Ihre Mitteilung anonym hinterlassen oder Ihren Namen und Ihre Kontaktdaten im Freitext angeben.

Ein Widerruf der Einwilligung kann allerdings (in bestimmten Fällen) nur in einem befristeten Zeitrahmen seine volle Wirkung entfalten. Das ergibt sich (in bestimmten Fällen) aus der Verpflichtung der INDUS gem. Art. 14 Abs. 3 lit. a) DSGVO, beschuldigte Personen und andere Betroffene (z. B. Zeugen) über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen spätestens innerhalb eines Monats nach Erhalt der Meldung zu informieren, soweit dies dem Zweck der Erhebung nicht entgegensteht. Die Information umfasst regelmäßig die Art der Daten, die Zweckbestimmung der Verarbeitung, die Speicherdauer, die Identität des datenschutzrechtlich Verantwortlichen und gegebenenfalls der hinweisgebenden Person. Ab einem fortgeschrittenen Bearbeitungsgrad / Ermittlungsstand ist eine Einstellung der Verarbeitung wie auch eine Löschung der Identifikationsdaten der hinweisgebenden Person im Regelfall nicht weiter möglich. Wurden Informationen inklusive Namen gegenüber zuständigen Behörden oder Gerichtsbarkeiten offengelegt, befinden sich diese sowohl in unseren Unterlagen als auch bei den zuvor genannten Empfängern und können nicht ohne Weiteres gelöscht werden.

Ihre personenbezogenen Daten werden bei uns für einen Zeitraum gespeichert, der sich aus der Notwendigkeit zur Bearbeitung des (aus Ihrem Hinweis resultierenden) Sachverhaltes ergibt. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung. Die Löschung richtet sich grundsätzlich nach den gesetzlichen Vorgaben zum Hinweisgeberschutz – regelmäßig 3 Jahre, § 11 Abs. 5 Hinweisgeberschutzgesetz (HinSchG). Etwas anderes gilt, wenn geltende gesetzliche Bestimmungen etwas anders verlangen (beispielsweise in Zusammenhang mit anhängigen Gerichtsverfahren), wobei entsprechende Verfahrensakten regelmäßig 10 Jahre nach Abschluss des Verfahrens / Falls aufbewahrt werden.

SpeakUp enthält eine Möglichkeit zur anonymen Kommunikation über eine verschlüsselte Verbindung. Bei der Nutzung werden Ihre IP-Adresse und Ihr derzeitiger Standort zu keinem Zeitpunkt gespeichert. Beachten Sie bitte, dass, sollten Sie ein betriebseigenes Endgerät, insbesondere PC verwenden, die technische Möglichkeit bestünde, Ihre Daten dort zurückzuverfolgen. Vor dem endgültigen Absenden eines Hinweises erstellen Sie ein Passwort und erhalten eine persönliche Fall-ID. Mittels der Fall-ID und dem entsprechenden Passwort erhalten Sie Zugang zu Ihrem sicheren Postfach, um mit uns geschützt und unter Wahrung Ihrer Anonymität kommunizieren zu können.

Die von Ihnen zur Verfügung gestellten Daten werden auf einer besonders gesicherten Datenbank von SpeakUp auf Servern in der Europäischen Union gespeichert. Sämtliche auf der Datenbank hinterlegten Daten werden nach dem aktuellen Stand der Technik verschlüsselt.

Wir teilen Ihre personenbezogenen Daten gegebenenfalls mit Behörden und sonstigen ermittelnden Stellen insbesondere zum Zweck der Sachverhaltsaufklärung und Bewertung der rechtlichen Folgen.

Je nach Fall werden personenbezogenen Daten aus dem SpeakUp-System nach den oben beschriebenen Grundsätzen an unsere Beteiligungsgesellschaften übermittelt.

In bestimmten Fällen besteht für uns die datenschutzrechtliche Verpflichtung, die Person(en), die in Ihrer Meldung genannt werden, von den gegen sie erhobenen Vorwürfen zu informieren. Dies ist beispielsweise gesetzlich dann geboten, wenn objektiv feststeht, dass die Informationserteilung an diese Person(en) die Aufklärung des gemeldeten Sachverhaltes nicht mehr beeinträchtigen kann. Wenn Sie Ihre Meldung nicht anonym abgegeben haben, werden wir Ihre Identität als Hinweisgeber – soweit rechtlich zulässig – nicht offenlegen und es wird zusätzlich sichergestellt, dass dabei auch sonst keine Rückschlüsse auf Ihre Identität möglich sind. Dies kann sich jedoch durch Ihre eigenen Angaben aus der Sachverhaltsdarstellung ergeben. Bitte beachten Sie, dass wir im Falle einer wissentlich falschen Meldung mit der Absicht, eine andere Person zu diskreditieren, verpflichtet sein können, Ihre Identität gegenüber dieser Person offenzulegen.

Zudem kann eine Weitergabe Ihrer personenbezogenen Daten an Dritte (außerhalb unseres Unternehmens) in den Fällen erfolgen, in denen das für die Durchführung der Tätigkeit notwendig ist, so beispielsweise an Sachverständige oder externe Prüfungsgesellschaften zur Durchführung eines Audits.

Im Übrigen können IT-Dienstleister Ihre Daten verarbeiten, die wir zur Erfüllung unserer Aufgaben einsetzen, insbesondere der Betreiber von SpeakUp. Die Datenweitergabe und -verarbeitung erfolgt auch hier stets zweckgebunden aufgrund einer bestehenden Gesetzesgrundlage.

Übermittlung in Drittländer:

Eine Übermittlung in Drittländer außerhalb der EU erfolgt grundsätzlich nicht beziehungsweise ist nicht vorgesehen. Sollten Ihre personenbezogenen Daten in Drittländer übermittelt werden, bezüglich derer die Europäische Union nicht befunden hat, dass sie ein ausreichendes Datenschutzniveau bieten, verwenden wir als geeignete Garantie, die von der Europäischen Kommission verabschiedeten, datenschutzrechtlichen Standard-Vertragsklauseln. Eine Kopie können Sie in solchen Fällen von unserem Datenschutzbeauftragten erhalten.

Soweit eine Übermittlung Ihrer personenbezogenen Daten an ein Gericht oder eine Behörde in einem nicht europäischen Staat ohne angemessenes Datenschutzniveau zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen unseres Unternehmens erforderlich und rechtlich zulässig ist, kann diese auf der Grundlage des Art. 49 Abs. 1 Satz 1 lit. e) DSGVO erfolgen, ohne dass zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus erforderlich sind.

In Bezug auf Ihre personenbezogenen Daten stehen Ihnen die im Einzelnen genannten folgenden Rechte zu:

• Recht auf Auskunft über und Zugriff auf Ihre personenbezogenen Daten,
• Recht, eine Berichtigung oder Löschung Ihrer Daten zu verlangen,
• Recht, eine eingeschränkte Verarbeitung Ihrer Daten zu verlangen oder dieser gänzlich zu widersprechen,
• Recht auf Übertragbarkeit Ihrer Daten,
• Recht, sich bei den Datenschutz-Aufsichtsbehörden zu beschweren.

Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese erteilte Einwilligung zur Verarbeitung der Daten jederzeit vollständig oder teilweise mit Wirkung für die Zukunft zu widerrufen.

Soweit die Datenverarbeitung auf einer Abwägung der berechtigten Interessen beruht, haben Sie das Recht, dieser Verarbeitung der Daten zu widersprechen. Hierfür müssen berechtigte Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Sollten Sie Fragen in Zusammenhang mit dem Datenschutz haben oder von Ihren Rechten Gebrauch machen wollen, wenden Sie sich bitte an die verantwortliche Stelle.