Datenschutzhinweis der Sartorius-internen Meldekanäle und -verfahren
Dieser Datenschutzhinweis informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Betrieb der internen Meldekanäle und –verfahren und sich hieran ggf. anschließende Compliance-Untersuchungen bei Sartorius.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Verarbeitung meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
The data controller for the data processing is
Sartorius AG
Otto-Brenner-Str. 20
37079 Goettingen, Germany
E-Mail: info@sartorius.com
Phone: +49 551 308 0
Fax: +49 551 308 3289
(“Sartorius”, “we”, “us”)
You can reach our Data Protection Officer at:
E-Mail: dataprotection@sartorius.com
Sartorius ist aufgrund europäischer und lokaler Umsetzungsgesetze verpflichtet, interne Meldekanäle und -verfahren einzurichten und zu betreiben, die es ermöglichen, mutmaßliche Verstöße gegen geltende Gesetze, Vorschriften und Menschenrechtsgrundsätze zu melden. Sartorius hat Meldekanäle eingerichtet, um dieser gesetzlichen Vorgabe nachzukommen. Sie sind berechtigt, diese Meldewege zu nutzen, um Umstände zu melden, die Ihrer Meinung nach einen Verstoß gegen diese Gesetze oder gegen die Richtlinien und Grundsätze von Sartorius darstellen. Sie haben die Möglichkeit, eine Meldung anonym abzugeben. Wir empfehlen Ihnen jedoch, Ihren Namen und Ihre Kontaktdaten zu hinterlassen, damit wir uns zur Klärung von Fakten und Hintergründen an Sie wenden können.
Wenn Sie die Meldung nicht anonym abgeben, werden Ihre Daten zum Zweck der Untersuchung und Klärung der gemeldeten Compliance-Thematik verarbeitet. Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 (1) (c) der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) in Verbindung mit den lokalen Gesetzen zum Schutz von Hinweisgebern, die in Ihrer Rechtsordnung zur Umsetzung der Europäischen Whistleblowing-Richtlinie (EU) 2019/1937 gelten (“lokale Whistleblowing-Gesetze“), u.a. § 10 des deutschen Hinweisgeberschutzgesetzes („HinschG“). Die Verarbeitung Ihrer personenbezogenen Daten beruht außerdem auf dem berechtigten Interesse von Sartorius an der Bereitstellung des Meldekanals, der Erfassung und Verhinderung von Fehlverhalten und damit der Abwendung von Schäden oder der Durchsetzung damit verbundener Ansprüche oder auf Ihrer Einwilligung, wenn Sie eine solche erteilt haben.
Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Ihre Einwilligung, wenn Sie eine solche erteilt haben oder alternativ Art. 6 (1) (f) DSGVO, bzw. Art. 9 (2) (f), (g) DSGVO, wenn personenbezogene Gesundheitsdaten betroffen sind; beide Rechtsgrundlagen sind jeweils in Verbindung mit den lokalen Whistleblowing-Gesetzen anwendbar.
Wenn wir Ihre personenbezogenen Daten im Rahmen einer Meldung oder sich hieran anschließenden Untersuchung erhalten haben, verarbeiten wir diese zu denselben oben bereits genannten Zwecken und Rechtsgrundlagen.
Im Rahmen der Untersuchung kann es erforderlich sein, Ihre Meldung oder die von Ihnen im Rahmen einer Compliance-Untersuchung gemachten Angaben an andere an der
Untersuchung beteiligte Mitarbeiter weiterzugeben. Dabei kann es sich um Mitarbeiter von verbundenen Unternehmen der Sartorius-Gruppe (“Sartorius Affiliates“) handeln. Wir können Ihre personenbezogenen Daten auch an vertrauenswürdige Anbieter weitergeben, die uns beim Betrieb des Meldekanals unterstützen und die vertraglich zur Geheimhaltung und Einhaltung der geltenden Datenschutzgesetze verpflichtet sind, (z.B. Whistleblower Portal®).
Darüber hinaus sind wir gesetzlich verpflichtet, die beschuldigten Personen, die Gegenstand der gemeldeten Thematik sind, zu informieren, sobald dies die Untersuchung der Meldung nicht mehr gefährdet. Ihre Identität als Hinweisgeber wird dabei nicht preisgegeben, soweit dies gesetzlich zulässig ist.
Im Hinblick auf die Herkunft Ihrer Daten können wir Ihre personenbezogenen Daten im Rahmen einer Meldung von Hinweisgebern oder Beschuldigten erhalten.
Ihre personenbezogenen Daten werden so lange aufbewahrt, wie es für die Untersuchung des gemeldeten Verstoßes und für die abschließende Beurteilung des Falles erforderlich ist. Nach Abschluss der Untersuchung werden die entsprechenden Daten in Übereinstimmung mit den geltenden Datenschutz- und lokalen Whistleblowing-Gesetzen gelöscht. Die Standardaufbewahrungsfrist nach Abschluss der Untersuchung beträgt in Deutschland drei
Jahre, § 11 (5) des deutschen Gesetzes zum Schutz von Hinweisgebern - HinSchG. Wir können Ihre personenbezogenen Daten über diese Aufbewahrungsfrist hinaus aufbewahren, wenn Sartorius hierzu ein berechtigtes Interesse hat (z. B. zur Durchsetzung oder Verteidigung von rechtlichen Interessen und Ansprüchen), oder gesetzlich zur Aufbewahrung dieser Daten verpflichtet ist. Sobald die Rechtsgrundlage für die rechtmäßige Verarbeitung und Speicherung Ihrer personenbezogenen Daten wegfällt, werden die Daten gemäß den geltenden Datenschutzgesetzen gelöscht.
Für die Zwecke der Untersuchung kann es erforderlich sein, Ihre personenbezogenen Daten an Sartorius Affiliates zu übermitteln, die ihren Sitz in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben können. Eine Übermittlung findet nur statt, wenn die Europäische Kommission entschieden hat, dass das Drittland ein angemessenes Schutzniveau bietet (Angemessenheitsbeschluss), oder wenn geeignete Garantien vorhanden sind, die ein angemessenes Schutzniveau für Ihre Daten gewährleisten, wie z.B. der Abschluss von Standardvertragsklauseln zwischen Sartorius und dem Datenimporteur in dem Drittland. Sie haben die Möglichkeit, eine Kopie der geltenden Standardvertragsklauseln beim Datenschutzbeauftragten anzufordern (siehe Abschnitt 1).
Jede betroffene Person hat das Recht Auskunft über die gespeicherten personenbezogenen Daten und eine Kopie dieser Daten gemäß und unter den Bedingungen von Art. 15 DSGVO zu erhalten. Jede Person hat ferner das Recht, ihre Einwilligung jederzeit gemäß Art. 7 DSGVO zu widerrufen, ihre personenbezogenen Daten gemäß Art. 16 DSGVO zu berichtigen, ihre personenbezogenen Daten gemäß Art. 17 DSGVO zu löschen, die Verarbeitung ihrer personenbezogenen Daten gemäß Art. 18 DSGVO einzuschränken, auf ungehinderte Datenübertragbarkeit gemäß Art. 20 DSGVO und Widerspruch gegen die Verarbeitung ihrer Daten gemäß Art. 21 DSGVO zu erheben, sofern die Verarbeitung in diesem Fall auf dem berechtigten Interesse von Sartorius beruht.
Jede betroffene Person hat außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Meinung ist, dass die Verarbeitung ihrer Daten nicht mit den geltenden Datenschutzgesetzen übereinstimmt.
Um Ihre Rechte geltend zu machen, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter: dataprotection@sartorius.com
Wenn Sie eine Meldung abgeben, ist die Bereitstellung der Daten freiwillig. Dies gilt nicht, wenn Sie als Mitarbeitender im Rahmen Ihrer arbeitsrechtlichen Pflichten dazu angehalten sind, an der Sachverhaltsaufklärung mitzuwirken.