Datenschutz

Der Schutz und die Geheimhaltung personenbezogener Daten ist integraler Bestandteil der Architektur jedes Hinweisgebersystems.

Dieser Dienst ist danach ausgelegt, die Verarbeitung personenbezogener Daten über den Hinweisgeber und Metadaten, die im Zuge der Datenverarbeitung anfallen und dem Hinweisgeber zuordenbar sein könnten, zu vermeiden. IP-Adressen und Metadaten aus der Nutzung des Systems durch den Hinweisgeber werden daher, sofern technisch nicht zwingend erforderlich, nicht protokolliert und auch nicht weiter verarbeitet. Dieser Dienst verwendet auch keine Tracking-Technologien oder Third-Party Cookies.

Dieser Dienst setzt unter anderem Secure Socket Layer (SSL) Technologie - die Industrienorm zur Verschlüsselung im Internet - ein, um die Sicherheit der von Hinweisgebern zur Verfügung gestellten Daten zu gewährleisten. Diese Internetverschlüsselungsnorm verschlüsselt Daten während der Übertragung vom Computer des Hinweisgebers zum Server des Dienstes.

Hinweisgeber, die anonym bleiben möchten, können die technische Sicherheit weiter erhöhen, indem sie auch folgende Hinweise beachten:
  • Keine Offenlegung personenbezogener Daten (zB den eigener Namen, Verhältnis zu Beschuldigten) oder sonstiger Angaben in der Meldung, die Rückschlüsse auf die Identität zulassen;
  • Keine Nutzung des Dienstes aus firmen- oder behördeneigenen Netzwerken oder sonstigen Netzwerke, die die Internetnutzung protokollieren.

Hinweis zum Datenschutz
 Über „iWhistle“ können Mitarbeiter, Kunden oder Geschäftspartner der ANDRITZ Gruppe Verstöße gegen Compliance-Bestimmungen melden. Meldungen können via folgender Meldewege abgegeben werden:

  • Insiderhandel
  • Bestechung/Korruption/Interessenskonflikt
  • Wettbewerbsbeschränkende Verhaltensweisen - Marktmissbrauch
  • Exportkontrolle
  • Personalbezogene Themen bei Verstößen gegen Gesetze, insbesondere Diskriminierung, Belästigung, Mobbing
  • Verletzung von Datenschutzvorschriften
  • Einkaufsrelevante Tatbestände
  • Betrug, Bilanzfälschung, Untreue, Geldwäsche, Verletzung von Geschäfts- und Betriebsgeheimnissen
  • Sonstige schwerwiegende Rechtsverletzungen

Verstöße gegen die einschlägigen Bestimmungen der EU-Richtlinie über die Meldung von Missständen:

  • Öffentliches Auftragswesen
  • Finanzdienstleistungen, -produkte und -märkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung
  • Produktsicherheit und Compliance
  • Verkehrssicherheit
  • Umweltschutz, Strahlenschutz und nukleare Sicherheit
  • Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
  • Öffentliche Gesundheit
  • Verbraucherschutz
  • Schutz der Privatsphäre und personenbezogener Daten; Sicherheit von Netzwerken und Informationssystemen
  • Angelegenheiten, die die finanziellen Interessen der Europäischen Union betreffen
  • EU-/nationale Beihilfevorschriften
  • Wettbewerb/Kartellrecht
  • Steuerpolitik für Kapital- und Personengesellschaften
  • Verstöße gegen Richtlinien, die in den sachlichen Anwendungsbereich des jeweiligen nationalen Umsetzungsgesetzes des Landes fallen, in dem die ANDRITZ-Gruppengesellschaft ansässig ist, in deren Betrieb die Verstöße, die Gegenstand der Anzeige sind, begangen wurden.
 
Ein Austausch von Informationen zwischen den Abteilungen findet nur statt, wenn dies zur Bearbeitung eines konkreten Falles ausnahmsweise erforderlich wäre.

Die Infrastruktur des Systems einschließlich Webseiten und Datenbank wird vom Dienstleister iComply GmbH, mit Sitz in 55116 Mainz, Große Langgasse 1A betrieben. Die iComply GmbH ist vertraglich zu strikter Vertraulichkeit und zur Einhaltung sämtlicher datenschutzrechtlicher Anforderungen verpflichtet.

Das System selbst wird von der ANDRITZ AG, Statteggerstraße 18, 8045 Graz, Österreich, betrieben. Die ANDRITZ AG ist daher der für die Verarbeitung der personenbezogenen Daten der Verantwortliche. 

Welche personenbezogenen Daten und Informationen werden erhoben und verarbeitet?
Bei der Meldung von Verstößen über „iWhistle" werden personenbezogene Daten: 

  • desjenigen, der eine Meldung abgibt (z.B. Name, Kontaktdaten) (optional/freiwillig!) und
  • der von einem Vorfall betroffenen Personen (z.B. Beschreibung der Handlungen betroffener Personen)

die in das jeweilige Meldeformular eingetragen oder über das geschützte Postfach übermittelt werden, erhoben und verarbeitet. Die Daten werden von der zuständigen Abteilung verarbeitet, um die gemeldeten Vorfälle zu prüfen, Untersuchungen einzuleiten, durchzuführen und soweit erforderlich Abhilfemaßnahmen zu treffen. 

Im Rahmen der Prüfungen, Untersuchungen und zu treffenden Abhilfemaßnahmen kann es erforderlich sein, Informationen zu einem gemeldeten Vorfall an Mitarbeiter anderer Abteilungen wie der Rechtsabteilung oder an das Management der Muster GmbH, anderer Muster Unternehmen, an externe Berater (z.B. juristische Berater) oder an die zuständigen Behörden zu übermitteln. Auch sind wir unter Umständen verpflichtet, einen gemeldeten Vorfall den zuständigen Behörden und den betroffenen Personen zu melden.

Bearbeitung und Weitergabe Ihres Hinweises innerhalb von ANDRITZ
Nach Eingang Ihres Hinweises prüft die Compliance Abteilung, ob eine vertiefte Untersuchung erforderlich ist. Eine Untersuchung kann über interne oder externe Untersuchungsspezialist/innen durchgeführt werden. Externe Spezialist/innen, die wir einbeziehen, sind uns gegenüber durch vertragliche oder gesetzliche Vertraulichkeitspflichten zur Geheimhaltung der von Ihnen mitgeteilten Informationen verpflichtet.

Abhängig vom Inhalt Ihres Hinweises erhalten die für die weitere Bearbeitung bei ANDRITZ zuständigen Stellen die von Ihnen gemeldeten Informationen. Dies werden v.a. die zuständigen Mitarbeiter/innen der Compliance Abteilung sein. Zudem wird das zuständige Management innerhalb von ANDRITZ informiert, welches auch die Aufgabe hat, die gegebenenfalls im Rahmen der Hinweisbearbeitung entdeckten Defizite zu beheben. Auch die Revisionsabteilung, die Rechtsabteilung und die Personalabteilung sind häufig an der Bearbeitung von Compliance-Hinweisen beteiligt. Falls Ihr Hinweis eine Tochtergesellschaft betrifft, werden die zuständigen Stellen in diesen Gesellschaften benachrichtigt.

Falls Ihr Hinweis dem Inhalt nach keines der Compliance Themen betrifft, die eingangs aufgeführt sind, leiten wir Ihren Hinweis – wenn wir dies für erforderlich und angemessen halten – an die zuständige Stelle innerhalb von ANDRITZ weiter. Dies kann zum Beispiel bei Personalthemen die zuständige Personalabteilung sein. 

Außerdem kann ANDRITZ externe Spezialisten einschalten, wie zum Beispiel Rechtsanwält/innen, Wirtschaftsprüfer/innen oder forensische Expert/innen, die im Auftrag von ANDRITZ Ihren Hinweis untersuchen. Wenn Sie nicht möchten, dass wir Ihre personenbezogenen Daten, insbesondere Ihren Namen, an Personen außerhalb der Compliance Abteilung von ANDRITZ weiter geben (soweit dies nicht für die Wahrung der berechtigten Interessen von ANDRITZ erforderlich ist), teilen Sie uns dies bitte mit. Wir weisen Sie darauf hin, dass wir dann gegebenenfalls Ihren Hinweis nicht umfassend bearbeiten können.

Zugriff staatlicher Stellen
Zudem ist ANDRITZ gegebenenfalls rechtlich verpflichtet, bestimmten staatlichen Stellen, insbesondere staatlichen Ermittlungsbehörden oder Gerichten, Informationen zu Compliance-Verstößen zur Verfügung zu stellen. Bei Auskunfts- und Herausgabepflichten sowie bei Beschlagnahmen können wir die von Ihnen zur Verfügung gestellten Informationen nicht zurückhalten.

Teilweise hat ANDRITZ zwar keine Pflicht, personenbezogene Daten an staatliche Stellen weiter zu geben, ist aber gesetzlich berechtigt, dies freiwillig zu tun. Wenn Sie nicht möchten, dass wir Ihre personenbezogenen Daten, insbesondere Ihren Namen, freiwillig an staatliche Stellen weiter geben (soweit dies nicht für die Wahrung der berechtigten Interessen von ANDRITZ erforderlich ist), teilen Sie uns dies bitte mit. Wir weisen Sie darauf hin, dass wir dann gegebenenfalls Ihren Hinweis nicht umfassend bearbeiten können.

Weitergabe in andere Länder
Wenn Sie persönliche Angaben in Ihrem Hinweis gemacht haben, werden diese gegebenenfalls in andere EU-Länder oder Länder außerhalb der EU übertragen, in denen die vertrauliche Behandlung von personenbezogenen Daten nicht in gleichem Maße durch das Gesetz garantiert wird wie in Deutschland. Dies gilt insbesondere für Länder, die nach den Bestimmungen der EU als Länder ohne angemessenes Datenschutzniveau gelten. Innerhalb von ANDRITZ wird jedoch ein angemessenes Datenschutzniveau durch verbindliche konzerninterne Richtlinien zum Datenschutz auch in den Ländern außerhalb Deutschlands gewährleistet.

Wenn Sie nicht möchten, dass wir Ihre personenbezogenen Daten, insbesondere Ihren Namen, in Länder außerhalb von Deutschland weiter geben (soweit dies nicht für die Wahrung der berechtigten Interessen von ANDRITZ erforderlich ist), teilen Sie uns dies bitte mit. Wir weisen Sie darauf hin, dass wir dann gegebenenfalls Ihren Hinweis nicht umfassend bearbeiten können.

Unterrichtung der Betroffenen
Das Gesetz verlangt häufig, dass die Personen unterrichtet und angehört werden, über die ein Hinweis zu Anhaltspunkten für einen Compliance Verstoß eingegangen ist. Diese Personen erhalten im Laufe der Untersuchung die Möglichkeit, zu dem Hinweis Stellung zu nehmen.

Bitte teilen Sie uns mit, wenn wir den Namen Ihrer Person als Hinweisgeber/in nicht nennen sollen. Wir weisen Sie darauf hin, dass der Betroffene gegebenenfalls gesetzliche Auskunftsrechte hat, die uns möglicherweise verpflichten, Ihren Namen mitzuteilen. Auch staatliche Stellen können entsprechende Auskunfts- oder Beschlagnahmerechte haben, die Ihren Namen offenlegen. Dies kann v.a. dann der Fall sein, wenn der/die Betroffene geltend macht, dass die gegen ihn vorgebrachten Hinweise wissentlich oder fahrlässig nicht der Wahrheit entsprechen und hiergegen Strafanzeige erstattet.

Aufbewahrung der personenbezogenen Daten
Die von Ihnen zu Ihrer Person mitgeteilten Daten werden so lange aufbewahrt, wie die Aufklärung des Compliance Hinweises und dessen abschließende Bearbeitung, einschließlich der Behebung eventuell festgestellter Defizite sowie die Abwicklung gegebenenfalls damit verbundener Gerichtsverfahren, es erfordern. Ihre personenbezogenen Daten werden auch danach aufbewahrt, wenn dies aufgrund von gesetzlichen, behördlichen oder vertraglichen Aufbewahrungspflichten erforderlich ist oder per Gesetz gestattet ist. Ihre personenbezogenen Daten werden gelöscht, sobald dies rechtlich erforderlich ist.

Ihre Rechte
Nach dem anwendbaren Datenschutzrecht haben Sie das Recht:

  • eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten und Auskunft über die von uns verarbeiteten personenbezogene Daten zu erhalten,
  • die Berichtigung unrichtiger personenbezogener Daten zu verlangen,
  • die Löschung der von uns verarbeiteten personenbezogenen Daten zu verlangen,
  • die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen,
  • die Übertragung der personenbezogenen Daten, die Sie uns aktiv bereitgestellt haben, zu verlangen,
  • der Verarbeitung personenbezogener Daten, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen.
Unsere Datenschutzorganisation unterstützt bei allen Fragen rund um das Thema Datenschutz. Auch können Beschwerden gegenüber unserer Datenschutzorganisation angebracht und die in dieser Datenschutzerklärung genannten Rechte geltend gemacht werden. Unsere Datenschutzorganisation kann unter dataprotection@andritz.com kontaktiert werden. Unsere Datenschutzorganisation ist immer bestrebt, Ihre Anfragen und Beschwerden zu adressieren und diesen abzuhelfen. Neben der Kontaktaufnahme mit der Datenschutzorganisation haben Sie aber auch jederzeit die Möglichkeit, die zuständige Datenschutzaufsichtsbehörde zu kontaktieren.

Wenn Sie nicht möchten, dass ANDRITZ personenbezogene Daten von Ihnen wie beschrieben erhebt, verarbeitet und nutzt, können Sie Ihre Meldung anonym abgeben. Die Angabe Ihrer personenbezogenen Daten ist freiwillig, ebenso die Nutzung des Hinweisgebersystems. Wir würden es jedoch begrüßen, wenn Sie uns Ihren Namen mitteilen. Viele Untersuchungen lassen sich schneller und effektiver abwickeln, wenn der Name des/der Hinweisgeber/in bekannt ist, da der/die Bearbeiter/in dann direkt mit dem/der Hinweisgeber/in Kontakt aufnehmen kann.

Indem Sie dieses Hinweisgebersystem nutzen, stimmen Sie zu, dass Ihre personenbezogenen Daten, soweit diese von Ihnen angegeben wurden, so erhoben, verarbeitet und genutzt werden, wie oben beschrieben.

ANDRITZ AG, Your Group Corporate Compliance Team