Hinweisgebersystem
Direkt zum Hinweisgebersystem.
Diese Richtlinie gilt für die Kryolan GmbH sowie für die folgenden Tochtergesellschaften und verbundenen Unternehmen:
- Kryolan Logistics & Services GmbH
- Kryolan City Hamburg, Köln und München
Die Vision von Kryolan (im Folgenden als "Unternehmen" bezeichnet) ist die Einhaltung der Unternehmensrichtlinien zu gewährleisten und eine ethische Unternehmenskultur zu fördern, indem wir bei unseren Geschäftstätigkeiten die höchsten Standards für faires Handeln, Ehrlichkeit und Integrität einhalten.
Um unsere Vision zu erreichen, ist es entscheidend, dass unsere Mitarbeiter und Partner unsere Unternehmensvision und -werte verstehen, befolgen und einhalten. Wir haben diese Richtlinien und Grundsätze eingeführt, um unsere Mitarbeiter zu ermutigen, ihre Meinung zu äußern, wenn sie Aktivitäten oder Verhaltensweisen sehen, die sie für falsch halten, um so sicherzustellen, dass wir unsere Unternehmenswerte in unserer täglichen Arbeit leben.
Das Ziel dieser Richtlinie ist es, klare Vorgaben über den Umgang von internen und externen Meldungen von Verstößen und Fehlverhalten (auch kurz „Meldungen“ oder „Hinweise“ genannt) zur Verfügung zu stellen.
Mit unserer Hinweisgeber-Richtlinie wollen wir sicherstellen, dass:
Jede Person, die in Bezug auf das Unternehmen eine der folgenden Tätigkeiten ausübt oder ausgeübt hat, gilt als "berechtigte Person" und fällt unter die Whistleblowing-Richtlinie des Unternehmens:
Berechtigte Personen können eine Meldung über ein Verstoß abgeben, der Folgendes darstellen könnte:
Die Liste ist nicht erschöpfend. Ereignisse jeder Art, die einen Verstoß gegen das nationale oder EU-Recht darstellen, sollten gemeldet werden. Es ist ausreichend, einen begründeten Verdacht zu haben.
Der Begriff „Verstoß“ wird definiert als missbräuchliche Praktiken im Sinne der Rechtsprechung des Gerichtshofs, also Handlungen oder Unterlassungen, die in formaler Hinsicht nicht als rechtswidrig erscheinen, die jedoch mit dem Ziel oder Zweck der einschlägigen Rechtsvorschriften unvereinbar sind.
Sobald die Meldung abgesendet wurde, wird die berechtigte Person zu einem „Hinweisgeber“ in Sinne dieser Richtlinie.
Hinweisgeber können auch folgendes melden:
Das bösgläubige bzw. wissentliche Melden von falschen Informationen ist nicht gestattet und führt zu Sanktionen gegen den Hinweisgeber. Sollte Gefahr für Leib und Leben bestehen, sollte unverzüglich der Notruf 110 kontaktiert werden.
Am 31.08.2023 wurde für die Einrichtung der internen Meldestelle eine Vereinbarung mit dem Betriebsrat geschlossen. An dieser Stelle verweisen wir auf die Betriebsvereinbarung.
Meldungen können über die Smart Intergrity Platform an die interne Meldestelle gesendet werden. Der Link ist auch auf unserer Homepage veröffentlicht und für die Berechtigten zugänglich. Mitarbeiter/innen können die Meldungen mit und ohne persönliche Registrierung durchführen. Meldungen können trotz Anmeldung mit der Firmen-E-Mail-Adresse anonym erfolgen. Der Anbieter der Software bietet einen sicheren und anonymen Meldekanal. Wir verweisen an dieser Stelle auf Teil 2, Punkt 2.2. dieser Richtlinie.
Verantwortlich für die interne Meldestelle und die Bearbeitung der Meldungen ist:
Sebastian Langer (Geschäftsleitung)
Papierstr. 10
13409 Berlin
Deutschland
Telefon: +49 30/499 892-0
E-Mail: info@kryolan.eu
Bei Fragen zur Datenschutzerklärung wenden Sie sich bitte an:
Jens Krügermann
kpp-group GmbH
Berliner Str. 112a
13189 Berlin
Deutschland
Telefon: +49 30/20 67 37 20
E-Mail: datenschutz@kryolan.eu
Die Betreiberin der Smart Integrity Platform ist die DISS-CO GmbH, Hamburg, eine Tochter der DISS-CO Ltd. Der technische Support ist unter support@diss-co.tech zu den üblichen Geschäftszeiten (ausgenommen an Wochenenden und Feiertagen) zu erreichen.
Über unsere webbasierte Plattform können Berechtigte komfortabel und sicher Hinweise an die interne Meldestelle senden. Sie haben die Möglichkeit vertraulich oder anonym zu melden. In beiden Fällen wird Ihre Identität als Hinweisgeber/in geschützt.
Sie sollten so viele Details wie möglich in der Meldung aufführen. Sie können Ihrer Meldung Dateien anhängen. Die Metadaten der Dateianhänge, die Rückschlüsse auf Ihre Identität zulassen, werden automatisch von der Smart Integrity Platform entfernt. Die Dateitypen sind dabei eingeschränkt. Die üblichen Dateitypen wie MS word, excel, pdf, txt und gängige Bild- und Videodateien sind zulässig.
Sollten Sie anonym melden, berücksichtigen Sie folgendes:
Sollte Gefahr für Leib und Leben bestehen, wenden Sie sich unverzüglich an den Notruf.
Beispiele für Meldungen vom öffentlichen Interesse sind:
Hinweisgeber können für die Beschaffung, den Zugriff, die Offenlegung oder Meldung von betriebsinternen Informationen in keiner Weise haftbar gemacht werden. Für die Meldung oder Offenlegung reicht ein hinreichender Grund zu der Annahme, dass die Meldung oder Offenlegung der Information notwendig war, um einen Verstoß gemäß dieser Richtlinie aufzudecken.
Dies gilt, sofern die Beschaffung oder der Zugriff nicht als solche bzw. solcher eine eigenständige Straftat dargestellt hat. Im Fall, dass die Beschaffung oder der Zugriff eine eigenständige Straftat darstellt, unterliegt die strafrechtliche Haftung weiterhin dem nationalen Recht.
Beispiele sind das Hacken von Systemen, die unzulässige Verwendung von Zugängen von Kollegen zu bestimmten Systemen, Software oder anderen Applikationen, der Abzug und die Übertragung von betrieblichen Massendaten und die unerlaubte Aufnahme von Gesprächen.
Die interne Meldestelle ist verantwortlich für die Wahrung der Vertraulichkeit der Informationen, die im Zusammenhang mit der Meldung stehen.
Die interne Meldestelle ist verantwortlich für den Schutz des Hinweisgebers, der im guten Glauben ein meldenswertes Ereignis im Sinne dieser Richtlinie über die Smart Integrity Platform oder über andere Wege an die interne Meldestelle gemeldet hat. Der Hinweisgeber ist vor Repressalien zu schützen. Hierzu verweisen wir auf Teil 4 dieser Richtlinie. Hinweisgeber, die eine anonyme Meldung abgegeben haben, und die im Laufe der internen Untersuchung identifiziert wurden oder ihre Identität freiwillig offengelegt haben, sind ebenfalls zu schützen. Die interne Meldestelle ist verpflichtet, die Identität des Hinweisgebers in jedem Fall zu schützen.
Betroffene Personen sind natürliche oder juristische Personen, die in der Meldung oder in der Offenlegung als eine Person bezeichnet wird, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist.
Beispiel: es wird der Verdacht gemeldet, dass Frau Müller die falschen Stundenabrechnungen der Firma Muster GmbH wissentlich als sachlich korrekt abgezeichnet hat. Betroffene sind in diesem Fall Frau Müller und die Muster GmbH, sowie Verwandte von Frau Müller, die Mitarbeiter und das Management der Muster GmbH.
Die interne Meldestelle wird den Hinweisgeber über die Smart Integrity Platform innerhalb von sieben Tagen über den Eingang der Meldung benachrichtigen. Der Status der Meldung wird von „Neu“ auf „Offen“ oder „Zugewiesen“ gesetzt, sobald die Meldung gelesen und verarbeitet wurde.
Hinweisgeber sind angehalten, im Laufe der internen Untersuchung zu kooperieren und Rückfragen der internen Meldestelle zeitnah und wahrheitsgemäß zu beantworten.
Innerhalb von drei Monaten nach Eingang der Meldung werden Hinweisgeber durch die interne Meldestelle über die Folgemaßnahmen informiert. Folgemaßnahmen sind ergriffene Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen und rechtliche Mittel.
Besteht eine Konfliktsituation in der internen Meldestelle, ist das Management unverzüglich zu informieren. Die Verantwortung für die internen Untersuchungen ist an einer unabhängigen internen Person oder an einer externen Stelle zu übertragen. Das Management stellt sicher, dass die Personen, die im Konflikt mit der Meldung stehen, keinen Zugriff auf die entsprechende Meldung auf der Smart Integrity Platform haben. Besteht eine Konfliktsituation im Management, sind die Eskalationsstufen unter Punkt 6. einzuhalten.
Die interne Meldestelle nimmt nach Erhalt der Meldungen eine erste Verifizierung des Sachverhaltes vor und stellt Rückfragen beim Hinweisgeber zwecks Aufklärung. Stellen sich die gemeldeten Verdachtsmomente als korrekt oder teilweise korrekt heraus, nimmt die interne Meldestelle eine erste Risikobewertung vor. An dieser Stelle wird auf das Dokument Prozess für Risikobewertung von Meldungen verwiesen.
Wird das Risiko der Meldung als hoch oder sehr hoch eingestuft, ist das Management unverzüglich zu kontaktieren.
Besteht eine Konfliktsituation im Management, ist die interne Meldestelle befugt und verpflichtet, das Audit Komitee zu kontaktieren und über die Meldung zu informieren. Die Konfliktsituation und die ergriffenen Maßnahmen zur Bewältigung sind im internen Kommunikationsbereich der entsprechenden Meldung auf der Smart Integrity Platform zu dokumentieren.
Das Unternehmen behält sich vor, für die interne Untersuchung externe Unterstützung zu beauftragen. Mit den beauftragten Personen ist eine Auftrags-datenverarbeitungsvereinbarung bzw. eine Vertraulichkeitsvereinbarung abzuschließen.
Mitarbeiter, die im Rahmen einer internen Untersuchung von der externen Unterstützung kontaktiert werden, sind zur Kooperation und wahrheitsgemäßer Auskunft zum Sachverhalt angehalten.
Die Betroffenen haben das Recht auf Information im Rahmen einer internen Untersuchung, sofern die Meldung sie persönlich betrifft. Entsprechende Informationen können von der internen Meldestelle verschlüsselt an die Betroffenen kommuniziert werden. In bestimmten Fällen kann die interne Meldestelle die Informationen unter bestimmten Voraussetzungen zurückhalten, bis die interne Untersuchung abgeschlossen ist. In jedem Fall ist die Identität des Hinweisgebers zu schützen und vertraulich zu behandeln.
Die interne Meldestelle ist verpflichtet, die Meldungen DSGVO-konform zu löschen. Enthalten die Meldungen keine relevanten Informationen oder fiktive oder nicht reelle Informationen, können die Meldungen sofort nach Erhalt und Prüfung gelöscht werden.
In anderen Fällen ist wie folgt vorzugehen:
Sobald die Aufbewahrungsfrist von 5 Jahren bzw. 3 Jahren nach Ende des Verfahrens (bei zivil-, arbeits- oder strafrechtlichen Verfahren) abgelaufen ist, setzt der Analyst die Meldung unter Angabe einer Begründung auf Löschen und ein Analyst Admin kann die Löschung bestätigen. In Ausnahmefällen kann auch eine längere Aufbewahrungszeit begründet werden. Die Begründung ist im internen Kommunikationsbereich einzugeben.
Sobald die Löschung bestätigt wurde, werden die Meldeinhalte sowie die Dateien, die Kommunikationsdetails extern sowie intern vollständig und unwiderruflich nach 24 Stunden gelöscht.
Der Analyst Admin kann die Liste der gelöschten Meldungen (das Löschprotokoll) einsehen.
Die folgenden Daten werden zwecks Nachverfolgung der Datenlöschungen auf unbestimmte Zeit aufbewahrt:
Repressalien sind direkte oder indirekte Handlungen oder Unterlassungen in einem beruflichen Kontext, die durch eine interne oder externe Meldung oder eine Offenlegung ausgelöst werden und durch die dem Hinweisgeber ein ungerechtfertigter Nachteil entsteht oder entstehen kann. Dies gilt auch, wenn verbundene oder nahestehende Personen Repressalien ausgesetzt sind.
Beispiele für Repressalien:
Sollten Betroffene trotz Verbot Maßnahmen gegen den Hinweisgeber ergreifen, die als Repressalie definiert werden könnten, sind diese unverzüglich der internen Meldestelle zu melden. Bitte verwenden Sie hierfür die Kommunikationsmöglichkeit über die Smart Integrity Platform. Verknüpfte Leitlinien, Prozessbeschreibungen und Richtlinien:
Diese Richtlinie gilt für die Kryolan GmbH sowie für die folgenden Tochtergesellschaften und verbundenen Unternehmen:
- Kryolan Logistics & Services GmbH
- Kryolan City Hamburg, Köln und München
Teil 1: Einzelheiten der Richtlinie
1. Geltungsbereich
Die Vision von Kryolan (im Folgenden als "Unternehmen" bezeichnet) ist die Einhaltung der Unternehmensrichtlinien zu gewährleisten und eine ethische Unternehmenskultur zu fördern, indem wir bei unseren Geschäftstätigkeiten die höchsten Standards für faires Handeln, Ehrlichkeit und Integrität einhalten.
Um unsere Vision zu erreichen, ist es entscheidend, dass unsere Mitarbeiter und Partner unsere Unternehmensvision und -werte verstehen, befolgen und einhalten. Wir haben diese Richtlinien und Grundsätze eingeführt, um unsere Mitarbeiter zu ermutigen, ihre Meinung zu äußern, wenn sie Aktivitäten oder Verhaltensweisen sehen, die sie für falsch halten, um so sicherzustellen, dass wir unsere Unternehmenswerte in unserer täglichen Arbeit leben.
Das Ziel dieser Richtlinie ist es, klare Vorgaben über den Umgang von internen und externen Meldungen von Verstößen und Fehlverhalten (auch kurz „Meldungen“ oder „Hinweise“ genannt) zur Verfügung zu stellen.
Mit unserer Hinweisgeber-Richtlinie wollen wir sicherstellen, dass:
- Jede/r Mitarbeiter/in die Möglichkeit hat, sich anonym oder vertraulich zu äußern, wenn sie/er das Gefühl hat, dass wir uns nicht an unsere Unternehmenswerte halten. Sie sollen einen Ort haben, an dem sie Fehlverhalten melden können, jede Meldung wird angehört und bearbeitet, und wir werden auf der Grundlage der Ergebnisse Verbesserungen vornehmen.
- Das Unternehmen ist der Ansicht, dass jeder in der Lage sein sollte, Meldungen anonym zu erstatten. Wir verpflichten uns, die Identität von Hinweisgebern zu schützen und sie müssen sich nur dann zu erkennen geben, wenn sie es wünschen.
- Wir werden jeder Meldung von Fehlverhalten nachgehen. Am Ende der Untersuchung werden wir die Ergebnisse dokumentieren und innerhalb der gesetzlichen Fristen Rückmeldung über die Folgemaßnahmen geben.
2. Berechtigte Personen
Jede Person, die in Bezug auf das Unternehmen eine der folgenden Tätigkeiten ausübt oder ausgeübt hat, gilt als "berechtigte Person" und fällt unter die Whistleblowing-Richtlinie des Unternehmens:
- Arbeitnehmer.
- Definition Arbeitnehmer: Personen, die während eines bestimmten Zeitraums Dienstleistungen, für die sie eine Vergütung erhalten, für und unter der Leitung einer anderen Person erbringen.
- Arbeitnehmer in atypischen Beschäftigungsverhältnissen, einschließlich Teilzeitbeschäftigten und befristet Beschäftigten, sowie Personen, die einen Arbeitsvertrag oder ein Arbeitsverhältnis mit einem Leiharbeitsunternehmen geschlossen haben.
- Freie Mitarbeiter und Selbständige, die ein Auftragsverhältnis mit dem Unternehmen haben.
- Auftragnehmer einschließlich Unterauftragnehmer und Lieferanten.
- Personen, die unter der Aufsicht und Leitung von Auftragnehmern, Unterauftragnehmern und Lieferanten arbeiten.
- Praktikanten, Werkstudenten und Bewerber.
- Agenten und Distributionsgesellschaften.
- Berater, Dienstleister, Lieferanten, sonstige Geschäftspartner, Prüfer.
- Verwandte, Angehörige, Ehepartner oder Angehörige eines Ehepartners einer der oben genannten Personen.
- Aufsichtsorgane, Geschäftsführer, Beiräte, Vorstände.
- Andere Stakeholder.
3. Meldenswerte Ereignisse
Berechtigte Personen können eine Meldung über ein Verstoß abgeben, der Folgendes darstellen könnte:
- Betrug, Unterschlagung, Untreue
- Korruption (aktive und passive Bestechung)
- Konsum oder Handel mit Drogen
- Gewalt oder Gewaltandrohung
- Sachbeschädigung
- Unethisches Verhalten
- Preisabsprachen
- Belästigung, Diskriminierung, Viktimisierung, Mobbing
- Verstoß gegen die Richtlinien des Unternehmens
Die Liste ist nicht erschöpfend. Ereignisse jeder Art, die einen Verstoß gegen das nationale oder EU-Recht darstellen, sollten gemeldet werden. Es ist ausreichend, einen begründeten Verdacht zu haben.
Der Begriff „Verstoß“ wird definiert als missbräuchliche Praktiken im Sinne der Rechtsprechung des Gerichtshofs, also Handlungen oder Unterlassungen, die in formaler Hinsicht nicht als rechtswidrig erscheinen, die jedoch mit dem Ziel oder Zweck der einschlägigen Rechtsvorschriften unvereinbar sind.
Sobald die Meldung abgesendet wurde, wird die berechtigte Person zu einem „Hinweisgeber“ in Sinne dieser Richtlinie.
Hinweisgeber können auch folgendes melden:
- Informationen, die zur Aufdeckung von bereits eingetretenen Verstößen notwendig sind.
- Verstöße, die zwar noch nicht eingetreten sind, aber mit deren Eintreten mit hoher Wahrscheinlichkeit zu rechnen ist.
- Handlungen oder Unterlassungen, die der Hinweisgeber aus hinreichendem Grund als Verstöße erachtet Versuche zur Verschleierung von Verstößen.
Das bösgläubige bzw. wissentliche Melden von falschen Informationen ist nicht gestattet und führt zu Sanktionen gegen den Hinweisgeber. Sollte Gefahr für Leib und Leben bestehen, sollte unverzüglich der Notruf 110 kontaktiert werden.
4. Betriebsvereinbarung
Am 31.08.2023 wurde für die Einrichtung der internen Meldestelle eine Vereinbarung mit dem Betriebsrat geschlossen. An dieser Stelle verweisen wir auf die Betriebsvereinbarung.
Teil 2: Verfahren zur Abgabe einer Meldung
1. Interne Meldestelle
Meldungen können über die Smart Intergrity Platform an die interne Meldestelle gesendet werden. Der Link ist auch auf unserer Homepage veröffentlicht und für die Berechtigten zugänglich. Mitarbeiter/innen können die Meldungen mit und ohne persönliche Registrierung durchführen. Meldungen können trotz Anmeldung mit der Firmen-E-Mail-Adresse anonym erfolgen. Der Anbieter der Software bietet einen sicheren und anonymen Meldekanal. Wir verweisen an dieser Stelle auf Teil 2, Punkt 2.2. dieser Richtlinie.
Verantwortlich für die interne Meldestelle und die Bearbeitung der Meldungen ist:
Sebastian Langer (Geschäftsleitung)
Papierstr. 10
13409 Berlin
Deutschland
Telefon: +49 30/499 892-0
E-Mail: info@kryolan.eu
Bei Fragen zur Datenschutzerklärung wenden Sie sich bitte an:
Jens Krügermann
kpp-group GmbH
Berliner Str. 112a
13189 Berlin
Deutschland
Telefon: +49 30/20 67 37 20
E-Mail: datenschutz@kryolan.eu
Die Betreiberin der Smart Integrity Platform ist die DISS-CO GmbH, Hamburg, eine Tochter der DISS-CO Ltd. Der technische Support ist unter support@diss-co.tech zu den üblichen Geschäftszeiten (ausgenommen an Wochenenden und Feiertagen) zu erreichen.
2. Meldung über die Smart Integrity Platform
Über unsere webbasierte Plattform können Berechtigte komfortabel und sicher Hinweise an die interne Meldestelle senden. Sie haben die Möglichkeit vertraulich oder anonym zu melden. In beiden Fällen wird Ihre Identität als Hinweisgeber/in geschützt.
2.1 Vertrauliche Meldungen
Sie haben die Möglichkeit Meldungen vertraulich zu senden. Das bedeutet, dass Ihre Benutzerdaten an die interne Meldestelle weitergeleitet werden, sofern Sie mit Ihrer Firmen-E-Mail-Adresse eingeloggt sind. Nutzen Sie den Link auf der Webseite des Unternehmens, werden Sie bei der vertraulichen Meldung aufgefordert, Ihre Kontaktdaten anzugeben.2.2 Anonyme Meldungen
Sie haben die Möglichkeit Meldungen anonym zu senden. Das bedeutet, dass Ihre Benutzerdaten (Nutzername, Kontaktdaten, IP-Adresse, Endgerät, Browserdaten) nicht an die interne Stelle weitergeleitet werden.Sie sollten so viele Details wie möglich in der Meldung aufführen. Sie können Ihrer Meldung Dateien anhängen. Die Metadaten der Dateianhänge, die Rückschlüsse auf Ihre Identität zulassen, werden automatisch von der Smart Integrity Platform entfernt. Die Dateitypen sind dabei eingeschränkt. Die üblichen Dateitypen wie MS word, excel, pdf, txt und gängige Bild- und Videodateien sind zulässig.
Sollten Sie anonym melden, berücksichtigen Sie folgendes:
- Überlegen Sie vorab, welche Personen im Unternehmen Zugriff auf die Ihnen bekannten Informationen haben, die Sie melden möchten. Damit kann der Kreis der Hinweisgeber eingegrenzt werden.
- Versuchen Sie den Sachverhalt neutral zu formulieren. Achten Sie darauf, übliche Redewendungen oder Formulierungen zu vermeiden, die Rückschlüsse auf Ihre Identität zulassen würden.
3. Weitere Meldewege
Sollte Gefahr für Leib und Leben bestehen, wenden Sie sich unverzüglich an den Notruf.
3.1 Treffen vereinabren
Sie haben die Möglichkeit, ein Treffen für die Abgabe einer persönlichen Meldung zu vereinbaren. Nutzen Sie die Funktion „Meeting vereinbaren“ auf der Smart Integrity Platform und geben Sie einige Informationen über den Sachverhalt an. Dies hilft der internen Meldestelle, den Sachverhalt einzuordnen und einen Ansprechpartner für das Treffen zu benennen. Nutzen Sie die Smart Integrity Platform, um sich über den Sachverhalt vorab auszutauschen. So bleiben die Daten im sicheren Umfeld der Plattform.3.2 Externe Meldungen
Wir halten unsere Mitarbeiter an, Verstöße, die im beruflichen Kontext stehen, stets intern zu melden. Beruflicher Kontext bedeutet, dass der Sachverhalt mit der laufenden oder früheren Tätigkeit in unserem Unternehmen im Zusammenhang steht. Erhalten Hinweisgeber nach einer internen Meldung keine Rückmeldung innerhalb der gesetzlichen Frist, ist es Ihnen gestattet, extern zu melden. Die Voraussetzung hierfür ist, dass die Meldung bzw. der Verstoß, der gemeldet werden soll, vom öffentlichen Interesse ist.Beispiele für Meldungen vom öffentlichen Interesse sind:
- Untreue des Managements, die einen erheblichen Schaden für Betroffene verursacht hat oder haben könnte.
- Umweltschäden, verursacht durch Fehlentscheidungen oder Maßnahmen von Betroffenen im Unternehmen, die erhebliche Auswirkungen für die Öffentlichkeit haben oder haben könnten.
- Systematische Maßnahmen, die als Betrug gegenüber Anlegern, Aktionären oder Gesellschaftern des Unternehmens gewertet werden könnten.
- Preisabsprachen mit Wettbewerbern.
- Maßnahmen oder Zustände, die die physische Sicherheit von Kunden und Mitarbeitern gefährden können oder könnten, beispielsweise systematische Fehler bei der Wartung von Zügen oder Flugzeugen.
- Diebstähle.
4. Die Verarbeitung von Betriebsgeheimnissen
Hinweisgeber können für die Beschaffung, den Zugriff, die Offenlegung oder Meldung von betriebsinternen Informationen in keiner Weise haftbar gemacht werden. Für die Meldung oder Offenlegung reicht ein hinreichender Grund zu der Annahme, dass die Meldung oder Offenlegung der Information notwendig war, um einen Verstoß gemäß dieser Richtlinie aufzudecken.
Dies gilt, sofern die Beschaffung oder der Zugriff nicht als solche bzw. solcher eine eigenständige Straftat dargestellt hat. Im Fall, dass die Beschaffung oder der Zugriff eine eigenständige Straftat darstellt, unterliegt die strafrechtliche Haftung weiterhin dem nationalen Recht.
Beispiele sind das Hacken von Systemen, die unzulässige Verwendung von Zugängen von Kollegen zu bestimmten Systemen, Software oder anderen Applikationen, der Abzug und die Übertragung von betrieblichen Massendaten und die unerlaubte Aufnahme von Gesprächen.
Teil 3: Verfahren zur Bearbeitung einer Meldung
1. Vertraulichkeit
Die interne Meldestelle ist verantwortlich für die Wahrung der Vertraulichkeit der Informationen, die im Zusammenhang mit der Meldung stehen.
2. Schutz des Hinweisgebers
Die interne Meldestelle ist verantwortlich für den Schutz des Hinweisgebers, der im guten Glauben ein meldenswertes Ereignis im Sinne dieser Richtlinie über die Smart Integrity Platform oder über andere Wege an die interne Meldestelle gemeldet hat. Der Hinweisgeber ist vor Repressalien zu schützen. Hierzu verweisen wir auf Teil 4 dieser Richtlinie. Hinweisgeber, die eine anonyme Meldung abgegeben haben, und die im Laufe der internen Untersuchung identifiziert wurden oder ihre Identität freiwillig offengelegt haben, sind ebenfalls zu schützen. Die interne Meldestelle ist verpflichtet, die Identität des Hinweisgebers in jedem Fall zu schützen.
3. Schutz der Betroffenen
Betroffene Personen sind natürliche oder juristische Personen, die in der Meldung oder in der Offenlegung als eine Person bezeichnet wird, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist.
Beispiel: es wird der Verdacht gemeldet, dass Frau Müller die falschen Stundenabrechnungen der Firma Muster GmbH wissentlich als sachlich korrekt abgezeichnet hat. Betroffene sind in diesem Fall Frau Müller und die Muster GmbH, sowie Verwandte von Frau Müller, die Mitarbeiter und das Management der Muster GmbH.
4. Bearbeitungsprozess
Die interne Meldestelle wird den Hinweisgeber über die Smart Integrity Platform innerhalb von sieben Tagen über den Eingang der Meldung benachrichtigen. Der Status der Meldung wird von „Neu“ auf „Offen“ oder „Zugewiesen“ gesetzt, sobald die Meldung gelesen und verarbeitet wurde.
Hinweisgeber sind angehalten, im Laufe der internen Untersuchung zu kooperieren und Rückfragen der internen Meldestelle zeitnah und wahrheitsgemäß zu beantworten.
Innerhalb von drei Monaten nach Eingang der Meldung werden Hinweisgeber durch die interne Meldestelle über die Folgemaßnahmen informiert. Folgemaßnahmen sind ergriffene Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen und rechtliche Mittel.
5. Konfliktsituation
Besteht eine Konfliktsituation in der internen Meldestelle, ist das Management unverzüglich zu informieren. Die Verantwortung für die internen Untersuchungen ist an einer unabhängigen internen Person oder an einer externen Stelle zu übertragen. Das Management stellt sicher, dass die Personen, die im Konflikt mit der Meldung stehen, keinen Zugriff auf die entsprechende Meldung auf der Smart Integrity Platform haben. Besteht eine Konfliktsituation im Management, sind die Eskalationsstufen unter Punkt 6. einzuhalten.
6. Eskalationsstufen
Die interne Meldestelle nimmt nach Erhalt der Meldungen eine erste Verifizierung des Sachverhaltes vor und stellt Rückfragen beim Hinweisgeber zwecks Aufklärung. Stellen sich die gemeldeten Verdachtsmomente als korrekt oder teilweise korrekt heraus, nimmt die interne Meldestelle eine erste Risikobewertung vor. An dieser Stelle wird auf das Dokument Prozess für Risikobewertung von Meldungen verwiesen.
Wird das Risiko der Meldung als hoch oder sehr hoch eingestuft, ist das Management unverzüglich zu kontaktieren.
Besteht eine Konfliktsituation im Management, ist die interne Meldestelle befugt und verpflichtet, das Audit Komitee zu kontaktieren und über die Meldung zu informieren. Die Konfliktsituation und die ergriffenen Maßnahmen zur Bewältigung sind im internen Kommunikationsbereich der entsprechenden Meldung auf der Smart Integrity Platform zu dokumentieren.
7. Externe Unterstützung
Das Unternehmen behält sich vor, für die interne Untersuchung externe Unterstützung zu beauftragen. Mit den beauftragten Personen ist eine Auftrags-datenverarbeitungsvereinbarung bzw. eine Vertraulichkeitsvereinbarung abzuschließen.
Mitarbeiter, die im Rahmen einer internen Untersuchung von der externen Unterstützung kontaktiert werden, sind zur Kooperation und wahrheitsgemäßer Auskunft zum Sachverhalt angehalten.
8. Herausgabe von Informationen
Die Betroffenen haben das Recht auf Information im Rahmen einer internen Untersuchung, sofern die Meldung sie persönlich betrifft. Entsprechende Informationen können von der internen Meldestelle verschlüsselt an die Betroffenen kommuniziert werden. In bestimmten Fällen kann die interne Meldestelle die Informationen unter bestimmten Voraussetzungen zurückhalten, bis die interne Untersuchung abgeschlossen ist. In jedem Fall ist die Identität des Hinweisgebers zu schützen und vertraulich zu behandeln.
9. Löschen von Meldungen
Die interne Meldestelle ist verpflichtet, die Meldungen DSGVO-konform zu löschen. Enthalten die Meldungen keine relevanten Informationen oder fiktive oder nicht reelle Informationen, können die Meldungen sofort nach Erhalt und Prüfung gelöscht werden.
In anderen Fällen ist wie folgt vorzugehen:
Sobald die Aufbewahrungsfrist von 5 Jahren bzw. 3 Jahren nach Ende des Verfahrens (bei zivil-, arbeits- oder strafrechtlichen Verfahren) abgelaufen ist, setzt der Analyst die Meldung unter Angabe einer Begründung auf Löschen und ein Analyst Admin kann die Löschung bestätigen. In Ausnahmefällen kann auch eine längere Aufbewahrungszeit begründet werden. Die Begründung ist im internen Kommunikationsbereich einzugeben.
Sobald die Löschung bestätigt wurde, werden die Meldeinhalte sowie die Dateien, die Kommunikationsdetails extern sowie intern vollständig und unwiderruflich nach 24 Stunden gelöscht.
Der Analyst Admin kann die Liste der gelöschten Meldungen (das Löschprotokoll) einsehen.
Die folgenden Daten werden zwecks Nachverfolgung der Datenlöschungen auf unbestimmte Zeit aufbewahrt:
- Fall ID
- Meldedatum
- Kategorie
- Betreff
- Grund der Löschung
- Datum der Löschung
- Name des Analysten, der die Meldung gelöscht hat
- Name des Analyst Admins, der die Löschung bestätigt hat
Teil 4: Verbot von Repressalien
1. Definition
Repressalien sind direkte oder indirekte Handlungen oder Unterlassungen in einem beruflichen Kontext, die durch eine interne oder externe Meldung oder eine Offenlegung ausgelöst werden und durch die dem Hinweisgeber ein ungerechtfertigter Nachteil entsteht oder entstehen kann. Dies gilt auch, wenn verbundene oder nahestehende Personen Repressalien ausgesetzt sind.
Beispiele für Repressalien:
- Kündigung von Arbeitsverträgen
- Versetzung
- Übergehung bei der Beförderung
- Zuweisung von niederen Aufgaben bzw. Aufgaben, die keinem Zusammenhang mit der bisherigen Tätigkeit stehen
- Entzug von Verantwortung
- Üble Nachrede bzw. Verleumdung
- Kündigung von Verträgen bei Dienstleistern oder freien Mitarbeitern
- Nichtverlängerung von Verträgen
- Ausschluss von Bewerbungsverfahren
- Absage bei Bewerbungen
- Setzen des Dienstleisters auf einer „schwarzen Liste“
- Nichtberücksichtigung der Bewerbung des Dienstleisters bei Ausschreibungen
- Finanzielle Benachteiligung
2. Meldungen von Repressalien
Sollten Betroffene trotz Verbot Maßnahmen gegen den Hinweisgeber ergreifen, die als Repressalie definiert werden könnten, sind diese unverzüglich der internen Meldestelle zu melden. Bitte verwenden Sie hierfür die Kommunikationsmöglichkeit über die Smart Integrity Platform. Verknüpfte Leitlinien, Prozessbeschreibungen und Richtlinien:
- Nutzungsrichtlinie der Smart Integrity Platform
- Datenschutzrichtlinie der Smart Integrity Platform
- Betriebsvereinbarung zur Implementierung eines internen Meldekanals
