Datenschutzrichtlinie SIP

Smart Integrity Platform Datenschutzrichtlinie

1. Geltungsbereich dieser Richtlinie

1. Die REWE Dortmund SE & Co. KG, Asselner Hellweg 1-3, 44309 Dortmund und die mit ihr verbundenen Unternehmen (im Folgenden auch als „Unternehmen“, „Wir“, „Uns“, „Unser“ bezeichnet) sind aufgrund der EU-Richtlinie 2019/1937 verpflichtet, ihren Mitarbeitern, Auftragnehmern, Beratern und Geschäftspartnern sichere Meldewege und Verfahren für die Meldung von Missständen zur Verfügung zu stellen. Um sicherzustellen, dass unser Unternehmen die Richtlinie und alle darin festgelegten Anforderungen erfüllt, haben wir einen Vertrag mit der DISS-CO GmbH, Winterhuder Weg 29, 22085 Hamburg (nachstehend „DISS-CO“ genannt) abgeschlossen, die eine von DISS-CO betriebene und über das Internet nutzbare webbasierte Plattform „SMART INTEGRITY PLATFORM“ entwickelt hat, die (zusammen mit der Website von DISS-CO, den Webdiensten, den Entwicklungstools und anderen Diensten, einschließlich Schulungs- und Unterstützungsdiensten) Dienste im Rahmen eines Hinweisgebersystems bereitstellt (nachstehend werden alle vorstehenden und alle Dienste von DISS-CO zusammen als „SIP“ bezeichnet).
2. Mit Hilfe des SIP können Hinweise auf kriminelle Handlungen oder Verstöße gegen unseren Verhaltenskodex in Übereinstimmung mit der Hinweisgeberrichtlinie gemeldet, untersucht und dokumentiert werden.
3. In dieser Datenschutzerklärung wird erläutert, wie und warum personenbezogene Daten im SIP verarbeitet werden, wie wir sie schützen und wie lange wir sie aufbewahren, wenn Sie dieses Whistleblowing-Instrument nutzen.

2. Wer personenbezogene Daten verarbeiten wird

Die REWE Dortmund SE & Co. KG bestimmt die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten im Rahmen des SIP. Wir haben die jeweiligen Verantwortlichkeiten zwischen uns und DISS-CO in Bezug auf dieses Hinweisgeber-Tool in einer separaten Vereinbarung festgelegt. Folglich handeln wir als für die Verarbeitung Verantwortlicher , während DISS-CO als Auftragsverarbeiter fungiert. Sie können sich jederzeit mit uns in Verbindung setzen, um weitere Informationen über das Wesen dieser Vereinbarung zu erhalten.

3. Zwecke der Verarbeitung personenbezogener Daten

1. Im Zusammenhang mit dem SIP werden personenbezogene Daten zum Zweck der anfänglichen Meldung und Untersuchung von Meldungen über angebliche Verstöße gegen den Verhaltenskodex unseres Unternehmens sowie Verstöße im Sinne der Hinweisgeberrichtlinie und der anschließenden Überprüfung dieser Meldungen und der Berichterstattung über das entsprechende Ergebnis an das Management sowie gegebenenfalls die zuständigen Behörden verarbeitet.
2. Unser Unternehmen weist darauf hin, dass es im Unternehmen übliche Informationskanäle gibt, die es den Mitarbeitern ermöglichen, etwaige Missstände zu melden, insbesondere bei ihrem Vorgesetzten, bei der Personalabteilung oder beim Betriebsrat.
3. Das Hinweisgebersystem SIP wurde im Rahmen der Einrichtung der internen Meldestelle eingeführt, um Personen die Möglichkeit zu geben, Meldungen zu erstatten, wenn die üblichen Meldewege/andere Meldewege nicht genutzt werden können oder in der betreffenden Situation als ungeeignet angesehen werden.
4. Darüber hinaus ist die Inanspruchnahme des SIP und des Verfahrens zur Meldung von Missständen im Allgemeinen optional, und die Nichtinanspruchnahme hat keine Konsequenzen für Mitarbeiter oder externe Personen, die für/mit/im Namen des Unternehmens arbeiten.
5. Eine Person, die dieses Verfahren in gutem Glauben in Anspruch nimmt, wird nicht mit Disziplinarmaßnahmen konfrontiert, selbst wenn sich die gemeldeten Fakten später als unzutreffend erweisen oder keine Folgemaßnahmen nach sich ziehen. Es werden alle notwendigen und angemessenen Maßnahmen ergriffen, um den Hinweisgeber zu schützen, wenn die Meldung in gutem Glauben und unter Einhaltung dieses Verfahrens erfolgt, insbesondere um ihn vor Vergeltungsmaßnahmen, Kritik oder Disziplinarverfahren zu schützen.

4. Rechtliche Gründe für die Verarbeitung personenbezogener Daten

Im Zusammenhang mit der Nutzung des SIP werden wir Ihre personenbezogenen Daten hauptsächlich auf der Grundlage einer der folgenden Rechtsgrundlagen verarbeiten:

1. Weil es notwendig ist, einer gesetzlichen Verpflichtung nachzukommen, da in dem Land, in dem unser Unternehmen ansässig ist, Systeme zur Meldung von Missständen vorgeschrieben sind;
2. Für die Zwecke Unserer berechtigten Interessen, insbesondere um die Einhaltung unseres Verhaltenskodex zu überwachen. In dieser Hinsicht werden wir immer von Fall zu Fall entscheiden, ob unsere Interessen nicht durch die Interessen, Grundrechte und Freiheiten der betroffenen Personen überlagert werden. Wenn wir gesetzlich verpflichtet sind, Ihre freie, informierte, spezifische und eindeutige Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke einzuholen, werden wir Ihre Daten für diese Zwecke nur in dem Umfang verarbeiten, in dem wir diese Zustimmung von Ihnen erhalten haben. Alle nicht benötigten personenbezogenen Daten, die wir erhalten, werden gefiltert und nicht weiterverarbeitet.

5. Wie wir Ihre personenbezogenen Daten erfassen

1. Wir werden nur personenbezogene Daten verarbeiten, die für die oben beschriebenen Zwecke unbedingt erforderlich sind.
2. Wir können diese Daten im Zusammenhang mit der Nutzung des SIP erhalten. Insbesondere können wir diese Daten erhalten, weil Sie sie uns zur Verfügung stellen (z. B. durch Einreichen einer Meldung als Hinweisgeber), weil andere sie uns zur Verfügung stellen (z. B. weil Sie in einer Meldung als die Person auftauchen, gegen die eine Anschuldigung erhoben wurde) oder weil sie durch die Nutzung der Plattform generiert werden (z. B. weil Sie bei der Untersuchung einer Meldung als Zeuge oder Dritter auftreten).

6. Behandlung Ihrer Persönlichen Daten

1. Wir können die folgenden Kategorien personenbezogener Daten erfassen:
2. Zu den oben genannten Zwecken können wir im Rahmen des Whistleblowing-Prozesses die folgenden personenbezogenen Daten erfassen und verarbeiten:
   • Identität, berufliche Stellung und Kontaktdaten des Hinweisgebers;
   • Identität, Position und Kontaktdaten der im Bericht genannten Person(en);
   • Identität, Funktion und Kontaktdaten der Personen, die an der Entgegennahme oder Bearbeitung der Meldung beteiligt sind;
   • berichtete Fakten;
   • Informationen, die bei der Untersuchung des gemeldeten Sachverhalts gesammelt wurden;
   • Bericht über die Ermittlungsmaßnahmen;
   • Ergebnis des Berichts.
3. Wenn Sie sich für die Nutzung des SIP als Hinweisgebersystem registrieren lassen, werden Sie gebeten, uns die folgenden personenbezogenen Daten mitzuteilen (wobei nur die mit einem (*) gekennzeichneten Daten obligatorisch sind):
   • Ihre Anmeldedaten für die SIP (*);
   • Sprache (*);
   • Ob Sie ein Angestellter des Unternehmens oder ein Externer sind;
   • Ob Sie anonym bleiben möchten (*);
   • Ihre Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer) bei vertraulichen Meldungen;
   • Alle optionalen Informationen, die Sie über den Vorfall und sich selbst aufzeichnen.
4. Wir behandeln personenbezogene Daten vertraulich
5. Wir gewähren außer Ihnen ausschließlich folgenden Personen Zugang zu Ihren persönlichen Daten:
   • DISS-CO als der Partei, die die SIP verwaltet, aber keinen Zugang zum Inhalt der Meldungen hat; und
   • Der bevollmächtigten Person, die für die Untersuchung von Berichten zuständig ist, deren Beteiligung streng auf eine Need-to-know-Basis beschränkt ist und die speziell geschult wurde und einer Vertraulichkeitsverpflichtung unterliegt.
6. 6.2.2 Wir behalten uns außerdem das Recht vor, Ihre persönlichen Daten offenzulegen, wenn dies gesetzlich vorgeschrieben ist oder wenn wir der Meinung sind, dass die Offenlegung notwendig ist, um unsere Rechte zu schützen und/oder einem Gerichtsverfahren, einem Gerichtsbeschluss, einer Aufforderung einer Aufsichtsbehörde oder einem anderen uns zugestellten rechtlichen Verfahren nachzukommen.
7. Alle Ihre personenbezogenen Daten fallen unter die Standarddatenschutz-klauseln der DSGVO.
8. Wir achten die Aufbewahrungsfristen
   Wir bewahren personenbezogene Daten nur so lange auf, wie es für die Erfüllung der Zwecke, für die wir sie erhoben haben, erforderlich ist. Daher werden wir je nach den im Bericht enthaltenen Informationen und der Art der Bearbeitung des Falls unterschiedliche Aufbewahrungsfristen anwenden:
   • Falls ein Gerichts- oder Disziplinarverfahren eingeleitet wird, werden die übermittelten personenbezogenen Daten bis zum endgültigen Abschluss dieses Verfahrens aufbewahrt, und zwar nur, wenn es für uns notwendig ist, diese Informationen aufzubewahren;
   • Wenn kein Gerichts- oder Disziplinarverfahren eingeleitet wird, werden die übermittelten personenbezogenen Daten nicht länger als drei Jahre nach Abschluss der Ermittlungen aufbewahrt.
   • Falls eine längere Aufbewahrungsfrist vorgesehen ist, wird der Zugang zu den personenbezogenen Daten dennoch eingeschränkt (siehe Sicherheitsmaßnahmen unten).
9. Ihre Daten sind bei uns sicher und geschützt!
10. Wir wenden strenge technische und organisatorische Maßnahmen an, um ein Sicherheitsniveau zu gewährleisten, das den Risiken, die mit der Verarbeitung und der Art der erhaltenen personenbezogenen Daten verbunden sind, angemessen ist. Wir haben die nachstehenden Sicherheitsmaßnahmen getroffen, um Ihre personenbezogenen Daten wirksam vor dem Zugriff durch Unbefugte und vor unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung und Beschädigung sowohl online als auch offline zu schützen.
11. Diese Maßnahmen umfassen:
    • 2 Faktoren Authentifizierung für die Bearbeiter der Meldungen
    • Strenge Passwortregelung
    • Nutzung von VPN
    • Firewalls
    • Virenscanner
    • Verschlüsselte Kommunikation und Anwendung
    • Verschlüsselte Datenbanken und Container
    • Routinemäßige Auswertung der Zugriffe
    • Schulung der Mitarbeiter
    • Regelmäßige Backups
    • ISO 27001 zertifizierte Rechenzentren
    • Regelmäßige Updates
    • Regelmäßige Audits zur Sicherstellung der Einhaltung der Sicherheitsstandards
    • administrative Kontrollen zur Beschränkung des Zugriffs auf personenbezogene Daten nach dem Grundsatz „Kenntnis nur, wenn nötig“ (Rollen- und Rechtemechanismen, Passwörter)
    • physische Sicherheitsmaßnahmen, wie z. B. Sicherheitsausweise der Mitarbeiter für den Zugang zu unseren Räumlichkeiten Wir verweisen im Übrigen auf die technisch organisatorischen Maßnahmen der DISS-CO und der Smart Integrity Platform.
12. Obwohl wir angemessene Sicherheitsmaßnahmen ergreifen, ist unsere Haftung auf Umstände beschränkt, die unserer Kontrolle unterliegen.

7. Ihre Rechte

Unter bestimmten Umständen haben Sie gemäß den Datenschutzgesetzen die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

1. Zugang zu Ihren personenbezogenen Daten beantragen (allgemein bekannt als „Antrag auf Zugang zu personenbezogenen Daten“). Auf diese Weise können Sie eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben, eine Bestätigung erhalten, dass wir Ihre personenbezogenen Daten verarbeiten, und überprüfen, ob wir sie rechtmäßig verarbeiten. Wir bewerten das Auskunftsrecht der Person und die Einschränkungen; wir führen eine Einzelfallbewertung jedes einzelnen Falles durch, wobei wir den Status des Antragstellers und den aktuellen Stand der Untersuchung, den Umfang und die Sensibilität der gespeicherten Informationen (und die damit verbundenen Risiken bei der Offenlegung) sowie die bereitgestellten Informationen berücksichtigen, und wir dokumentieren die Gründe, die einer Entscheidung zur Einschränkung des Auskunftsrechts einer Person zugrunde liegen.
2. die Berichtigung der personenbezogenen Daten, die wir über Sie gespeichert haben, über den Kommunikationsbereich der Smart Integrity Platform vorzunehmen. Bitte beachten Sie, dass alle eingereichten Informationen aus Sicherheitsgründen geloggt werden und nicht manipulierbar sind.
3. die Löschung Ihrer personenbezogenen Daten zu verlangen, die wir über Sie gespeichert haben, oder die Art und Weise einzuschränken, in der wir diese personenbezogenen Daten verwenden, wenn Sie der Meinung sind, dass es für uns keinen rechtmäßigen Grund (mehr) gibt, diese zu verarbeiten;
4. die Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten durch uns zu widerrufen (sofern diese Verarbeitung auf einer Zustimmung beruht);
5. Antrag auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten. Auf diese Weise können Sie uns bitten, die Verarbeitung Ihrer personenbezogenen Daten in den folgenden Fällen auszusetzen: (a) wenn Sie möchten, dass wir die Richtigkeit der Daten überprüfen; (b) wenn unsere Verwendung der Daten rechtswidrig ist, Sie aber nicht möchten, dass wir sie löschen; (c) wenn wir die Daten aufbewahren müssen, auch wenn wir sie nicht mehr benötigen, da Sie sie benötigen, um Rechtsansprüche zu begründen, auszuüben oder zu verteidigen; oder (d) wenn Sie unserer Verwendung Ihrer Daten widersprochen haben, wir aber überprüfen müssen, ob wir zwingende legitime Gründe für ihre Verwendung haben.
6. die Übermittlung Ihrer personenbezogenen Daten an Sie oder an einen Dritten beantragen. Wir werden Ihnen oder einem von Ihnen gewählten Dritten Ihre personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zur Verfügung stellen. Beachten Sie, dass dieses Recht nur für automatisierte Daten gilt, deren Verwendung Sie ursprünglich zugestimmt haben, oder wenn wir die Daten zur Erfüllung eines Vertrags mit Ihnen verwendet haben.
7. Automatisierte Einzelentscheidungen (einschließlich Profiling). Sie haben das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruht und die rechtliche Folgen hat oder Sie in ähnlicher Weise erheblich beeinträchtigt. In der Regel verarbeiten wir Ihre personenbezogenen Daten nicht ausschließlich auf der Grundlage einer automatisierten Entscheidungsfindung.
8. Sie können Ihre Einwilligung jederzeit widerrufen, wenn wir uns auf die Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten berufen. Dies hat jedoch keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf Ihrer Einwilligung erfolgt ist.

Wenn Sie Ihre Einwilligung widerrufen, können wir möglicherweise den Zweck, für den wir die Daten erhoben haben, nicht mehr erfüllen. Wir werden Sie darüber informieren, wenn dies der Fall ist, wenn Sie Ihre Einwilligung zurückziehen (z. B. wenn Sie die SIP als Hinweisgeber genutzt haben und die Untersuchung noch nicht abgeschlossen ist). Wenn Sie eines der oben genannten Rechte ausüben möchten, wenden Sie sich bitte an unseren Compliance-Beauftragten, Herrn Jochen Trautmann unter jochen.trautmann@rewe-dortmund.de.

8. Weitere Rückfragen

Wir gehen davon aus, dass diese Datenschutzerklärung klar genug ist, um Ihre Fragen zu beantworten und Ihnen ein gutes Gefühl zu geben, wenn Sie das SIP nutzen möchten. Wir sind jedoch gerne bereit, Ihnen weitere Unterstützung zu geben, wenn Sie dies wünschen. Bitte kontaktieren Sie uns unter office@datenschutz-nord.de.

9. Änderungen an dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit einseitig ändern oder ergänzen, und nach einer solchen Änderung wird das Datum am Anfang der Richtlinie geändert. Die neue geänderte oder ergänzte Richtlinie gilt ab dem Datum der Änderung.