Datenschutzerklärung EY/Ethics

1. Einführung

Diese Datenschutzerklärung soll die Datenverarbeitung beschreiben, die EY im Zusammenhang mit der EY Ethics-Hotline („EY/Ethics“ oder „Tool“ in Bezug auf die Privatsphäre aller Personen anwendet, deren persönliche Daten in EY/Ethics verarbeitet und gespeichert werden. 

EY/Ethics ist ein vertrauliches Online-Meldesystem, das im Namen von EY1 von NAVEX Global, Inc.  betrieben wird und von EY zur Verfügung gestellt wird, um Personen die Möglichkeit zu geben, Fragen zu stellen oder mutmaßliche Verstöße gegen Gesetze, Berufsstandards oder den EY Global Code of Conduct zu melden.

Um den Verpflichtungen gemäß Art. 13 ff der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) nachzukommen, stellt EY Ihnen insbesondere die folgenden Informationen über die Verarbeitung personenbezogener Daten zur Verfügung, die sich aus Ihrem Hinweis bzw. Ihrer Meldung von Rechtsverletzungen oder rechtswidrigem Verhalten ergeben, welches gemäß dem Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen (HinweisgeberInnenschutzgesetz - HSchG) definiert werden. 

Die Informationen, die Sie über sich selbst Mitarbeiter:innen von EY und/oder andere Parteien bereitstellen, können zu Entscheidungen führen, die andere betreffen. Daher ersuchen wir Sie, nur solche Informationen zu übermitteln, von denen Sie glauben, dass sie korrekt sind und auf Fakten beruhen. Beachten Sie daher, dass die wissentliche Weitergabe falscher oder irreführender Informationen einen Verstoß gegen den EY Global Code of Conduct darstellt.

EY-Mitarbeiter:innen werden ermutigt, mögliche Verstöße direkt an ihren Counselor, den Leiter des Risikomanagements, die Rechtsabteilung (GCO), dem Talent Team oder den Client Service Partner zu melden, je nachdem, was angemessen ist. EY/Ethics sollte nur dann genutzt werden, wenn Sie sich nicht wohl dabei fühlen, diese Kommunikationskanäle zu nutzen oder wenn Sie glauben, dass dies nicht zielführend oder unangemessen wäre.

2. Wer verwaltet das Tool?

"EY" bezieht sich auf eine oder mehrere Mitgliedsfirmen von Ernst & Young Global Limited ("EYG"), von denen jede eine separate juristische Person ist und als eigenständige für die Datenverarbeitung Verantwortliche fungieren kann. Das Unternehmen, welches durch die Bereitstellung dieses Tools, durch welches Ihre persönlichen Daten verarbeitet und gespeichert werden, als Verantwortlicher fungiert, ist diejenige EY-Netzwerkgesellschaft, bei der Sie beschäftigt sind bzw. mit welcher Sie in vertraglicher Beziehung stehen. 

Sollten Sie hinsichtlich der korrekten Identifizierung des für die Datenverarbeitung Verantwortlichen Zweifel haben, wenden Sie sich an das Datenschutzteam von EY.

EY verarbeitet Ihre personenbezogenen Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen und dieser Datenschutzerklärung.

3. Sammlung von Informationen und personenbezogenen Daten

Die von Ihnen zur Verfügung gestellten Informationen werden im Rahmen des gesetzlich zulässigen vertraulich behandelt. Wir ermutigen Sie, sich zu identifizieren, um alle notwendigen weiteren Schritte zu erleichtern.

Bei der Verarbeitung von Daten, die Gegenstand dieser Datenschutzerklärung sind, werden personenbezogene Daten verarbeitet, die sich auf Meldungen von Hinweisgeber:innen beziehen, einschließlich des Inhalts der Meldungen selbst, die auch personenbezogene Daten Dritter enthalten können.

EY/Ethics speichert daher diese Informationen und diese personenbezogenen Daten, insofern Sie sich dafür entscheiden, diese anzugeben: Ihren Namen und Ihre Kontaktdaten, etwaige Fragen, welche Sie im Zusammenhang mit Ihrer Meldung als Hinweisgeber:in stellen, das Land und die juristische Person, auf die sich die Meldung bezieht, den Namen und die Bezeichnung der Personen, die Sie melde und eine Beschreibung des mutmaßlichen Rechtsverstoßes oder Compliance-Verstoßes, einschließlich etwaiger Anhänge, die Ihre Meldung unterstützen (alles zusammen als „personenbezogene Daten“ bezeichnet).

4. Zwecke, Rechtsgrundlage der Verarbeitung und Dauer der Speicherung personenbezogener Daten und Art der Bereitstellung dieser

EY erhebt und verarbeitet personenbezogene Daten in Übereinstimmung mit den Bestimmungen zur Rechtmäßigkeit gemäß Art 6 DSGVO und ausschließlich für die folgenden Zwecke:

a) Entgegennahme, Erfassung, Analyse und Bewertung sowie Verwaltung der eingegangenen Meldungen

Rechtsgrundlage: Die Verarbeitung ist erforderlich, um eine rechtliche Verpflichtung zu erfüllen, die EY gemäß des HinweisgeberInnenschutzgesetz unterliegt.

Aufbewahrungsfrist: Die zu diesem Zweck verarbeiteten personenbezogenen Daten werden so lange aufbewahrt, wie es für die Verwaltung der Meldung unbedingt erforderlich ist, in jedem Fall aber nicht länger als 5 Jahre ab dem Datum der Mitteilung des endgültigen Ergebnisses der Meldung (§ 8 Abs 11 und 12 HSchG). Danach werden die in der Meldung enthaltenen personenbezogenen Daten gelöscht oder anonymisiert, falls dies für statistische Zwecke erforderlich ist. Personenbezogene Daten, die in unbegründeten Meldungen enthalten sind, werden gelöscht, unbeschadet der Möglichkeit für EY, diese Daten in einem separaten Archiv zum Zwecke der Untersuchung, Ausübung oder Verteidigung eines Rechts von EY aufzubewahren. 

Bitte beachten Sie, dass im Falle einer anonymen Meldung keine personenbezogenen Daten des:der Hinweisgeber:in verarbeitet werden. 

b) Offenlegung der Identität des:der Hinweisgeber:in gegenüber Personen, die nicht für die Entgegennahme und Weiterverfolgung der Meldung zuständig sind

Dieser Zweck kann nur in einem Stadium erfüllt werden, das sich an die Voruntersuchung der Meldung anschließt und in dem die meldende Person in den Fällen und innerhalb der Grenzen, die in den geltenden Rechtsvorschriften vorgesehen sind, ihre Zustimmung erteilt hat. 

Rechtsgrundlage: Die Verarbeitung beruht auf der Einwilligung in die Verarbeitung personenbezogener Daten. 

Aufbewahrungsfrist: Personenbezogene Daten, die zu diesem Zweck verarbeitet werden, werden so lange aufbewahrt, wie es für die Verwaltung der Meldung unbedingt erforderlich ist, oder bis die Zustimmung widerrufen wird, es sei denn, die Identität des:der Hinweisgeber:in wurde bereits offengelegt, in jedem Fall aber nicht länger als fünf Jahre ab dem Datum der Mitteilung des endgültigen Ergebnisses der Meldung. Danach werden die in der Meldung enthaltenen personenbezogenen Daten gelöscht oder anonymisiert, falls dies für statistische Zwecke erforderlich ist. 

Die Angabe von personenbezogenen Daten durch die:den Hinweisgeber:in ist in diesem Fall fakultativ, aber die Nichtangabe kann zur Ungültigkeit der Meldung führen.

5. Sensible Daten

Sensible personenbezogene Daten umfassen Daten rassischer oder ethnischer Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft, genetische Daten, biometrische Daten, Daten zur Gesundheit oder Daten zum Sexualleben oder zur sexuellen Orientierung.

EY sammelt über das Umfrage-Tool keine sensiblen persönlichen Daten von Ihnen, es sei denn Sie stellen solche sensiblen Daten im Zusammenhang mit Ihrer Meldung ausdrücklich zur Verfügung.

6. Wer hat Zugang zu Ihren Informationen und personenbezogenen Daten?

Sofern Sie keinen besonderen Wunsch geäußert haben und sofern dies nicht gesetzlich vorgeschrieben ist, werden Meldungen, die über EY/Ethics eingereicht werden, an ein bestimmtes Berichtsteam weitergeleitet (Personen, die zur Verarbeitung solcher personenbezogenen Daten ermächtigt wurden). Zu dieser Personengruppe gehören unter andere Mitarbeiter:innen des General Counsel Office´s (GCO), Risk Managements, Talent Teams von EY, externe Berater:innen von EY, welche mit der Untersuchung einer Meldung beauftragt werden oder (falls erforderlich) technische Mitarbeiter:innen von Navex Global Inc. In jedem Fall wird die Identität des:der Hinweisgeber:in, sofern überhaupt angegeben, nur und ausschließlich den Personen bekannt gegeben, die von dem für die Verarbeitung Verantwortlichen ausdrücklich für diesen Zweck benannt wurden. 

Ihre personenbezogenen Daten können auch von Justizbehörden, Gerichten oder öffentlichen Stellen, sofern für die Aufarbeitung Ihrer Meldung notwendig, verarbeitet werden. 

Die von Ihnen zur Verfügung gestellten Informationen werden im Namen von EY auf Servern gespeichert, die von NAVEX Global, Inc. in den Vereinigten Staaten betrieben werden. Für Daten, die im Europäischen Wirtschaftsraum (EWR) erhoben werden oder die sich auf Personen im EWR beziehen, verlangt EY einen geeigneten Übermittlungsmechanismus, der erforderlich ist, um die geltenden Gesetze einzuhalten. Die Übermittlung personenbezogener Daten an EY/Ethics wird durch eine Vereinbarung zwischen EY und NAVEX Global, Inc. geregelt, die die von der Europäischen Kommission angenommenen Standarddatenschutzklauseln enthält. 

Unabhängig von Ihrer Wahl werden die von Ihnen zur Verfügung gestellten Informationen nur von denjenigen Personen  verwendet  und  überprüft,  die  sie  zur  Erfüllung  ihrer  beruflichen  Pflichten benötigen, und Ihre Vertraulichkeit wird gewahrt.

7. Wie geht es weiter? 

Sobald Sie Ihre Meldung abgeschlossen haben, erhalten Sie nach Fertigstellung Ihrer Meldung einen einen persönlichen Code und werden aufgefordert, ein Passwort zu erstellen. Sie benötigen beides, um auf die von Ihnen gemeldete Angelegenheit zuzugreifen, indem Sie entweder zur EY /Ethic-Website zurückkehren oder sich an das Call Center wenden. 

Das EY/Ethik-Team (oder die zuständige Abteilung) wird die von Ihnen bereitgestellten Informationen auswerten und gegebenenfalls eine Untersuchung durchführen. Ihre Mitarbeit und Unterstützung bei dieser Untersuchung können erforderlich sein. Wenn eine Untersuchung ergibt, dass ein Verstoß gegen den EY-Verhaltenskodex oder geltende Gesetze oder Vorschriften vorliegt, wird EY die Maßnahmen ergreifen, die es unter den gegebenen Umständen für angemessen hält. Je nach Art der Angelegenheit ist es EY unter Umständen nicht möglich, Ihnen das Ergebnis der Untersuchung mitzuteilen. 

Bitte beachten Sie, dass unter Umständen Personen, die Sie über EY/Ethics identifizieren, über die Tatsache informiert werden können, dass eine Meldung gemacht wurde. Soweit dies (rechtlich) möglich ist, wird EY Sie nicht identifizieren bzw. Ihre Identität bekannt machen, außer Sie stimmen diesbezüglich ausdrücklich zu. Alle Personen, die Sie identifizieren, haben das Recht, auf die von Ihnen gemeldeten Informationen zu reagieren oder sie zu korrigieren.

8. Methoden der Verarbeitung personenbezogener Daten

Die oben beschriebenen Zugriffsrechte beinhalten die Übertragung persönlicher Daten in verschiedene Gerichtsbarkeiten (einschließlich Gerichtsbarkeiten außerhalb der Europäischen Union), in denen EY tätig ist (die Standorte der EY-Büros sind unter www.ey.com/ourlocations aufgeführt). EY wird Ihre persönlichen Daten im Umfrage-Tool in Übereinstimmung mit dem anwendbaren Recht und den berufsrechtlichen Vorschriften in Ihrer Gerichtsbarkeit verarbeiten. Übertragungen von persönlichen Daten innerhalb des EY-Netzwerkes werden durch die Verbindlichen Unternehmensregeln von EY geregelt (www.ey.com/bcr).

In dem Maße, in dem personenbezogene Daten in einer Weise anonymisiert wurden, dass Sie oder Ihr Gerät nicht mehr vernünftigerweise identifizierbar sind, werden diese Informationen als nicht-personenbezogene Daten behandelt und die Bedingungen dieser Datenschutzerklärung gelten nicht.

Für Daten, die im Europäischen Wirtschaftsraum (EWR) gesammelt wurden oder die sich auf Personen im EWR beziehen, bedarf einen angemessenen Transfermechanismus, um den geltenden Gesetzen zu entsprechen. Die Übertragung von persönlichen Daten wird durch eine Vereinbarung zwischen EY und dem Dienstleister geregelt, die von der Europäischen Kommission angenommene Standarddatenschutzklauseln enthält.

EY ist bestrebt, die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Um einen unbefugten Zugriff oder eine unbefugte Offenlegung zu verhindern, hat EY angemessene technische und organisatorische Maßnahmen zum Schutz und zur Sicherung Ihrer personenbezogenen Daten ergriffen. EY verpflichtet auch Navex Global, Ihre persönlichen Daten angemessen zu schützen und sie nicht für unbefugte Zwecke zu verwenden.

9. Kontrolle über Ihre persönlichen Daten

Als Hinweisgeber:in können Sie Ihre Rechte gemäß Art 15 ff DSGVO im Rahmen der Vereinbarkeit mit den Rechtsvorschriften des Hinweisgebeschutzgesetzes ausüben. Was den:die Hinweisgeber:in betrifft, sie müssen die in den genannten Artikeln vorgesehen Rechte in Bezug auf die Identität des:der Hinweisgeber:in eingeschränkt werden, soweit sie mit dem Recht des:der Hinweisgeber:in auf Anonymität in Konflikt stehen.

EY bietet Ihnen die Möglichkeit, sich zu vergewissern, dass Ihre personenbezogenen Daten richtig und auf dem neuesten Stand sind. Wenn Sie zu irgendeinem Zeitpunkt möchten, dass EY die Verarbeitung Ihrer personenbezogenen Daten berichtigt, löscht oder einschränkt, oder wenn Sie eine Bestätigung darüber erhalten möchten, ob Ihre personenbezogenen Daten von EY verarbeitet werden oder nicht, wenn Sie auf Ihre personenbezogenen Daten zugreifen möchten, wenn Sie Ihr Recht auf Datenübertragbarkeit ausüben möchten oder wenn Sie Ihre Zustimmung zur Verarbeitung widerrufen möchten, kontaktieren Sie bitte das Datenschutzteam von EY. Wir werden uns in angemessener Weise bemühen, Sie bezüglich Ihrer Anfrage zu kontaktieren.

Sie sind gesetzlich berechtigt, Einzelheiten zu den persönlichen Daten über Sie von EY anzufordern.

Um zu bestätigen, ob Ihre persönlichen Daten im Tool verarbeitet werden, oder um Zugang zu Ihren persönlichen Daten im Tool zu erhalten, wenden Sie sich an Ihren üblichen EY-Vertreter oder das Datenschutzteam von EY.

10. Berichtigung, Löschung, Einschränkung der Verarbeitung oder der Übertragbarkeit von Daten

Sie können die Berichtigung, Löschung, Einschränkung der Verarbeitung oder eine übertragbare Kopie Ihrer persönlichen Daten beantragen, indem Sie das Datenschutzteam von EY kontaktieren.

11. Beschwerden über den Datenschutz 

Wenn Sie über einen mutmaßlichen Verstoß gegen das Datenschutzgesetz oder eine andere rechtliche Vorschrift durch EY besorgt sind, können Sie sich an den Datenschutzbeauftragten von EY in Österreich, Wagramer Straße 19, IZD Tower, 1220 Wien oder per E-Mail an datenschutz@at.ey.com wenden. Ein:e Mitarbeiter:in des EY-Datenschutzteams wird Ihre Beschwerde untersuchen und Sie darüber informieren, wie sie behandelt wird. 

Wenn Sie mit der Art und Weise, wie EY eine Datenschutzbeschwerde gelöst hat, nicht zufrieden sind, haben Sie das Recht, sich bei der Datenschutzbehörde in Ihrem Land zu beschweren. Die zuständige Behörde in Österreich ist die österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at. Sie können die Angelegenheit auch an ein zuständiges Gericht weiterleiten.

Einige EY-Mitgliedsunternehmen in Ländern außerhalb der Europäischen Union (EU) haben einen Vertreter in der EU ernannt, der in ihrem Namen handelt, wenn sie Datenverarbeitungstätigkeiten durchführen, für die die EU-Datenschutzgrundverordnung (DSGVO) gilt. Weitere Informationen und die Kontaktdaten dieser Vertreter finden Sie hier.

12. Kontaktieren Sie uns

Wenn Sie Fragen zur EY/Ethik-Hotline haben, können Sie eine Frage auf der EY/Ethik-Website stellen. Wenn Sie Bedenken hinsichtlich des Datenschutzes haben, die in dieser Datenschutzerklärung nicht angesprochen wurden, kontaktieren Sie bitte das Datenschutzteam von EY.