Risikomanagement und Compliance bedeuten für BDO die Einhaltung von Menschenrechten, aller gesetzlichen Vorschriften und berufsständischen Maßgaben, der einschlägigen Verhaltenskodizes (Verhaltenskodex von BDO, des IDW und IESBA Code of Ethics), sowie der unternehmensinternen Richtlinien. BDO ist sich seiner besonderen gesellschaftlichen Verantwortung bewusst. Ein effektives Risikomanagement und Compliance System hat demnach für BDO oberste Priorität. Um diesem Anspruch gerecht zu werden, muss jegliches Fehlverhalten frühzeitig erkannt und unverzüglich abgestellt werden.
BDO hat daher ein Beschwerdeverfahren eingerichtet, über das sowohl Mitarbeiterinnen und Mitarbeiter von BDO als auch externe Hinweisgeberinnen und Hinweisgeber Meldungen bzw. Beschwerden abgeben können.
Das Beschwerdeverfahren garantiert den größtmöglichen Schutz für Hinweisgeberinnen und Hinweisgeber, Betroffene und weitere Beteiligte. Hierzu bietet das digitale Hinweisgebersystem auch die Möglichkeit der anonymen Meldung und Kommunikation.
Um eine Meldung oder eine Beschwerde abzugeben, stehen die folgenden Meldekanäle zur Verfügung.
Mitarbeiterinnen und Mitarbeiter von BDO und externe Hinweisgeberinnen und Hinweisgeber können über das digitale Hinweisgebersystem vertraulich eine Meldung abgeben. Auf Wunsch können diese Hinweise auch anonym eingereicht werden. Das digitale Hinweisgebersystem von BDO steht auf Deutsch und auf Englisch zur Verfügung.
Hinweise und Beschwerden nimmt auch der Leiter Risk & Compliance entgegen. Dieser ist wie folgt zu erreichen:
Herr André Grasedieck
Telefon: +49 (0) 40 30 29 30
andre.grasedieck@bdo.de
Postanschrift:
BDO AG Wirtschaftsprüfungsgesellschaft
Risk & Compliance
André Grasedieck
Fuhlentwiete 12
20355 Hamburg
Nach vorheriger Absprache steht der Leiter Risk & Compliance auch für ein persönliches Gespräch zur Verfügung.
Zudem stehen die folgenden externen Meldestellen als alternative Beschwerdeverfahren zur Verfügung:
Hinweisgeberstelle des Bundesamtes für Justiz (BfJ)
Hinweisgeberstelle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Weitere Informationen über das digitale Hinweisgebersystem und das dahinterstehende Beschwerdeverfahren sind in dieser Verfahrensordnung zu finden.
1. Zweck der Verfahrensordnung
Diese Verfahrensordnung regelt das an einen eingegangenen Hinweis anknüpfende Verfahren. BDO nimmt das Hinweisgebersystem auch als Frühwarnsystem wahr, um auf potenzielle Risiken in dem eigenen Geschäftsbereich oder der Lieferkette aufmerksam zu werden.
Das Hinweisgebersystem erfüllt sowohl die Anforderungen des Hinweisgeberschutzgesetzes („HinSchG“), als auch die Anforderungen betreffend des Beschwerdeverfahrens nach dem Lieferkettensorgfaltspflichtengesetz („LkSG“).
Die Wirksamkeit des Beschwerdeverfahrens wird jährlich und anlassbezogen überprüft. Bei Bedarf werden Anpassungen am Verfahren oder an den erfolgten Vorbeugungs- und Abhilfemaßnahmen vorgenommen.
2. Vertraulichkeit und Schutz der Hinweisgeberinnen und Hinweisgeber
Die Bearbeitung der Hinweise erfolgt durch den Leiter Risk & Compliance und den Leiter Corporate Legal der BDO („interne Meldestelle“). Die interne Meldestelle ist bei der Erfüllung ihrer Aufgaben unparteiisch, unabhängig, weisungsfrei und zur Verschwiegenheit sowie zur Wahrung der Rechte der Hinweisgeberinnen und Hinweisgeber und anderer Betroffener verpflichtet.
Die Sachverhaltsaufklärung, Erörterung und Prüfung der eingegangenen Hinweise erfolgt grundsätzlich streng vertraulich. Dies gilt jedoch insbesondere nicht, wenn eine Meldung grob fahrlässig oder vorsätzlich falsch abgegeben wird, oder wenn gesetzliche Auskunftspflichten gegenüber Behörden oder Gerichten zu beachten sind.
Das digitale Hinweisgebersystem ermöglicht die Kommunikation mit dem Hinweisgeberinnen und Hinweisgeber über ein anonymes Postfach. Technische Daten, die Rückschlüsse auf den Hinweisgeberinnen und Hinweisgeber zulassen (IP-Adresse, Standortdaten, Gerätespezifikationen etc.), werden vom System nicht gespeichert. Personenbezogene Daten der Hinweisgeberinnen und Hinweisgeber werden nur dann erhoben, wenn die Hinweisgeberinnen und Hinweisgeber diese Daten im digitalen Hinweisgebersystem angibt. Legen die Hinweisgeberinnen und Hinweisgeber seine Identität offen oder nennt in seinem Hinweis andere Personen, so werden diese Informationen bei der weiteren Bearbeitung und Verfolgung des Hinweises vertraulich behandelt.
3. Verfahrensablauf
3.1 Eingang der Meldung
Nachdem eine Meldung eingegangen ist, wird der Eingang im digitalen Hinweisgebersystem dokumentiert und der internen Meldestelle zugeleitet.
Den Hinweisgeberinnen und Hinweisgeber wird nach Abgabe seiner Meldung ein mehrstelliger Code angezeigt. Dieser Code ist sicher aufzubewahren, da der Code benötigt wird, um sich später in das digitale Hinweisgebersystem einzuloggen und das Feedback anzusehen.
Die Hinweisgeberinnen und Hinweisgeber werden umgehend, spätestens innerhalb von sieben Tagen über den Eingang ihrer Meldung informiert.
3.2 Bearbeitung der Meldung
Die interne Meldestelle befasst sich mit der abgegebenen Meldung, prüft, ob diese in den Nutzungsbereich des digitalen Hinweisgebersystems fällt, stellt ggf. Rückfragen, klärt den Sachverhalt auf und ergreift ggf. Folgemaßnahmen.
3.3 Mögliche Maßnahmen
Als Folgemaßnahmen kann die interne Meldestelle insbesondere interne Untersuchungen durchführen und betroffene Personen sowie betroffene Einheiten kontaktieren, die Hinweisgeberinnen und Hinweisgeber an andere zuständige Stellen verweisen, das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen oder zwecks weiterer Untersuchungen abgeben an entweder a) eine für interne Ermittlungen zuständige Abteilung oder b) eine zuständige Behörde.
Kommt die interne Meldestelle zu der Überzeugung, dass ein Verstoß vorliegt, wird ein Vorschlag für das weitere Vorgehen einschließlich der Vorbeugungs- und Abhilfemaßnahmen erarbeitet. Soweit möglich und erforderlich, werden die Hinweisgeberinnen und Hinweisgeber in diesen Prozess einbezogen.
3.4 Rückmeldung an die Hinweisgeberinnen und Hinweisgeber
Spätestens drei Monate nach Bestätigung des Eingangs der Meldung erfolgt eine Rückmeldung an die Hinweisgeberinnen und Hinweisgeber. Diese beinhaltet die Mitteilung geplanter sowie bereits ergriffener Folgemaßnahmen sowie die Gründe für diese oder ggf. auch eine begründete Mitteilung, dass der Vorgang nicht verfolgt wird.
Eine Rückmeldung an die Hinweisgeberinnen und Hinweisgeber darf nur erfolgen, wenn dadurch interne Nachforschungen oder Ermittlungen nicht berührt und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, nicht beeinträchtigt werden.
3.5 Abschluss des Verfahrens
Wenn das Verfahren abgeschlossen ist, werden die Hinweisgeberinnen und Hinweisgeber hierüber informiert.
Die Bearbeitungszeit eines Verfahrens variiert je nach Komplexität des Sachverhaltes und kann daher wenige Tage bis zu mehrere Monate dauern.
für das Hinweisgebersystem
Verantwortlicher
Für die Datenerhebung und Verarbeitung ist die
gegenüber ihren jeweiligen Geschäftspartnern (Kunden, Interessenten, Lieferanten), Beschäftigten sowie jeweiligen Webseiten-Besuchern verantwortlich. Die nachstehenden Hinweise gelten inhaltsgleich für diese Gesellschaften, die nachstehend der Einfachheit halber zusammen als „BDO“ bezeichnet werden.
Kontaktdaten unseres Datenschutzbeauftragten
Unseren Datenschutzbeauftragten können Sie wie folgt erreichen:
Peter Suhren
FIRST PRIVACY GmbH
Konsul-Smidt-Str. 88
28217 Bremen
Telefon: +49 421 69 66 32 80
office@first-privacy.com
Einleitung und Allgemeines zur Datenverarbeitung
Die Meldestelle wurde eingerichtet auf Basis der geltenden gesetzlichen Regelungen, insbesondere § 14 Abs. 2 HinSchG, § 8 LkSG, § 6 Abs. 5 GwG sowie § 55b Abs. 2 Nr. 7 WPO.
Im Rahmen der Nutzung des Portals kann es zur Verarbeitung personenbezogener Daten kommen, deren Schutz uns außerordentlich wichtig ist. Deshalb behandeln wir die personenbezogenen Daten vertraulich und beachten die gesetzlichen Bestimmungen zum Datenschutz, und hierbei speziell der Europäischen Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Diese Datenschutzerklärung soll Sie über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten durch uns als dem o.g. Verantwortlichen informieren.
A. Umfang der Verarbeitung personenbezogener Daten
Wir erheben grundsätzlich nur die personenbezogenen Daten, deren Verarbeitung entweder gesetzlich vorgeschrieben, vertraglich vereinbart, zum Vertragsabschluss sowie zur Vertragsdurchführung erforderlich sind oder uns auf Basis einer Einwilligung freiwillig zur Verfügung gestellt werden.
B. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
1. Datenverarbeitung auf Grundlage einer Einwilligung
Ausschließlich in dem Fall, dass wir uns im Einzelfall mit Ihrer vorherigen ausdrücklichen Einwilligung dazu entscheiden, bei einer telefonisch erfolgten Meldung diese aufzuzeichnen, stützen wir die Verarbeitung von personenbezogenen Daten auf eine Einwilligung gemäß Art. 6 Abs. 1 lit a DSGVO.
2. Datenverarbeitung zur Wahrung berechtigter Interessen
Wir verarbeiten personenbezogene Daten gemäß Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen, wie insbesondere dem Interesse, Hinweisen auf Regelverstöße nachzugehen und Ermittlungen durchzuführen, wenn die weiteren Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO vorliegen, d.h. wenn unsere Interessen an der Datenverarbeitung oder die Interessen eines Dritten im Einzelfall die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person(en) überwiegen.
Weiterhin nutzen wir die personenbezogenen Daten, sofern und soweit dies erforderlich ist, um berechtigte rechtliche Interessen zu wahren, bspw. zur Abwehr und Durchsetzung von Ansprüchen. Auch insoweit beruht die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO.
Sofern und soweit erforderlich verarbeiten wir personenbezogene Daten, um bei Vorliegen tatsächlicher Anhaltspunkte die Aufdeckung von Straftaten von Beschäftigten zu ermöglichen (Art. 6 Abs. 1 lit. f DSGVO, § 26 Abs. 1 S. 2 BDSG).
3. Datenverarbeitung zur Erfüllung rechtlicher Verpflichtungen
Sofern und soweit erforderlich verarbeiten wir personenbezogene Daten, um gesetzlichen Pflichten nachkommen zu können. Die Datenverarbeitung erfolgt in diesem Fall auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Diese Pflichten können sich bei Eröffnung des jeweiligen Anwendungsbereichs ergeben aus § 10 HinSchG, § 8 LkSG, § 6 Abs. 5 GwG sowie § 55b Abs. 2 Nr. 7 WPO.
4. Verarbeitung personenbezogener Daten zum Schutz lebenswichtiger Interessen
Für den Fall, dass Ihre lebenswichtigen Interessen oder die einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
C. Datenlöschung und Speicherdauer
Innerhalb des digitalen Hinweisgebersystems wird die Meldung und die dazugehörige Kommunikation drei Monate nach Abschluss des Verfahrens gelöscht. Dessen ungeachtet dokumentiert die interne Meldestelle den Vorgang lese- und zugriffsgeschützt an anderer Stelle für zwei Jahre nach Abschluss des Verfahrens. Diese Aufbewahrungsfrist ist gesetzlich angeordnet.
Für die Löschung von Logfiles in Zusammenhang mit dem Besuch des Portals gilt eine abweichende Speicherfrist (siehe Ziffer E.)
D. Sicherheit durch Einsatz TLS/SSL
Wir verwenden aktuelle sichere Technologien, insbesondere die sogenannte “Transport Layer Security“-Übertragung (TLS) (zuvor auch bekannt als "Secure Socket Layer"-Übertragung (SSL)). Alle mit diesen sicheren Methoden übertragenen Informationen und Daten werden verschlüsselt, bevor Sie an uns gesendet werden. Wir weisen darauf hin, dass eine Verschlüsselung mittels dieser technischen Methoden nur funktioniert, wenn auch auf Ihrer Seite die entsprechenden technischen Voreinstellungen veranlasst wurden.
E. Bereitstellung des Portals
Das digitale Hinweisgebersystem wird auf vertraglicher Basis von BDO in Dänemark zur Verfügung gestellt und beruht auf der Open Source Software „GlobaLeaks“. BDO in Dänemark betreut das System technisch. Auch die Kollegen von BDO in Dänemark haben keinerlei Zugriff auf den Inhalt der eigentlichen Meldungen und können deren Absender auch nicht zurückverfolgen.
Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union (EU) oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.
F. Dateneingabe der Nutzer
Als Nutzer des Portals können Sie sich dafür entscheiden,
1. Anonyme Meldung
Sofern Sie eine anonyme Meldung abgeben, teilen Sie lediglich mit, welches Unternehmen Ihre Meldung betrifft und geben den Inhalt Ihrer Meldung wieder. Personenbezogene Daten, die Sie betreffen, wie beispielsweise Ihren Namen, Ihre Telefonnummer oder Ihre E-Mailadresse erheben wir in diesem Fall nicht.
2. Persönliche Angaben und Weitergabe
Zusätzlich zu den vorbezeichneten Angaben können Sie uns Ihren Namen, Ihre Position im Unternehmen, Ihre E-Mailadresse und Ihre Telefonnummer mitteilen, um Sie bei Rückfragen zu Ihrer Meldung kontaktieren zu können. Die Angabe dieser personenbezogenen Daten ist freiwillig.
Die Erhebung und Speicherung dieser personenbezogenen Daten beruht auf Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Sie uns erteilen, wenn Sie entsprechende Angaben in Ihre Meldung machen.
Sofern Ihre Daten dabei an ein Unternehmen außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übertragen werden und für das entsprechende Drittland kein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs. 1 DSGVO vorliegt, willigen Sie damit zugleich gemäß Art. 49 Abs. 1 lit. a DSGVO in die Übertragung Ihrer personenbezogenen Daten in das betreffende Drittland ein. In diesem Zusammenhang möchten wir Sie darauf hinweisen, dass in einigen Drittländern (z.B. Indien, China) von einem, mit der EU nicht vergleichbaren Datenschutzniveau auszugehen ist und Ihre Daten dort insbesondere dem Zugriff von Behörden und Geheimdiensten ausgesetzt sein können.
Ihre Einwilligung ist jederzeit widerrufbar. Senden Sie den Widerruf an unsere E-Mailadresse Menschenrechtsbeauftragter@bdo.de. Bitte beachten Sie jedoch, dass die Rechtmäßigkeit der Datenverarbeitung bis zum Eingang des Widerrufs von diesem nicht berührt wird.
3. Konkretisierung Ihrer Angaben und Benennung von Beteiligten und Zeugen
Darüber hinaus können Sie weitere Personen benennen, die Kenntnis von dem zu meldenden Vorfall haben und Beteiligte sowie Zeugen aufführen. Entsprechend dem Umfang der von Ihnen gemachten Angaben werden deren Name, Unternehmen, die Beziehung zum Unternehmen und deren Kontakt- und Adressdaten gespeichert und übertragen.
Die Verarbeitung und Übertragung von personenbezogenen Daten von Beteiligten und Zeugen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Unternehmen sind durch das HinSchG, das LkSG, Das GWG sowie die WPO gesetzlich verpflichtet, Meldestellen einzurichten. Nach § 10 HinSchG bzw. § 8 LkSG, § 6 Abs. 5 GwG sowie § 55b Abs. 2 Nr. 7 WPO ist die Verarbeitung von personenbezogenen Daten zulässig, soweit dies zur Erfüllung der Aufgaben der Meldestellen erforderlich ist. Zu unseren Aufgaben als Meldestelle gehört u.a. die Prüfung des Hinweises, dessen Beurteilung und die sich anschließende Empfehlung an das von uns vertretene Unternehmen. Dazu kann die Verarbeitung von personenbezogenen Daten weiterer Beteiligter sowie von Zeugen notwendig sein.
Die Datenverarbeitung durch das von uns vertretene und gegebenenfalls das betroffene Unternehmen basiert auf Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse besteht in der Vermeidung von rechtlichen Konsequenzen (z.B. durch Strafverfolgung), von Schadensersatzforderungen und sonstigen Schäden (einschließlich Imageschäden).
Im Falle eines drohenden Verstoßes gegen interne Unternehmensrichtlinien erfolgt eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO nur dann, wenn diese Zuwiderhandlung geeignet ist, zu einem Schaden zu führen.
Eine Übertragung der personenbezogenen Daten von Beteiligten und/oder Zeugen an Unternehmen außerhalb der EU/des EWR findet durch uns nur statt, wenn hierfür eine Übermittlungsbefugnis nach Art. 44 ff. DSGVO besteht. In allen anderen Fällen werden diese Daten von uns nicht an Unternehmen in Drittländern weitergegeben.
4. Hochgeladene Dokumente
Auch von Ihnen im Portal hochgeladene Dokumente können personenbezogene Daten enthalten. Dies können sowohl personenbezogene Daten sein, die Sie betreffen, als auch solche von Beteiligten oder Zeugen.
Sofern Sie eine anonyme Meldung abgeben möchten, empfehlen wir Ihnen, die in hochgeladenen Dokumenten enthaltenen personenbezogenen Daten vorab unkenntlich zu machen (z.B. durch Schwärzung). Bitte beachten Sie dabei, dass personenbezogene Daten nicht nur solche Daten sind, die eine natürliche Person unmittelbar identifizieren (z.B. durch den Namen), sondern auch Daten, die eine natürliche Person erst über das Hinzutreten weiterer, nicht notwendigerweise personenbezogener Informationen, identifizierbar machen.
Wenn Sie gleichzeitig weitere Angaben zu Ihrer Person getätigt und sich damit mit Datenverarbeitung und -weitergabe einverstanden erklärt haben, fällt auch die Verarbeitung/Weitergabe Ihrer personenbezogenen Daten, welche gegebenenfalls zusätzlich in hochgeladenen Dokumenten enthalten sind, unter Art. 6 Abs. 1 lit. a DSGVO (siehe Ziffer F, 2.). Sofern die hochgeladenen Dokumente personenbezogene Daten von Beteiligten und/oder Zeugen beinhalten, erfolgt die Datenverarbeitung und -weitergabe aufgrund von Art. 6 Abs. 1 lit. c DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO (siehe Ziffer F, 3.).
G. Datenempfänger
Neben Unternehmen, an die Ihre personenbezogenen Daten mit Ihrem Einverständnis weitergegeben werden, können Ihre Daten auch an externe Dienstleister (z.B. Unternehmen, die Daten vernichten oder archivieren, Cloud Anbieter) übertragen werden. Wir übermitteln Ihre Daten nur an Dritte, sofern eine datenschutzrechtliche Übermittlungsbefugnis besteht.
Die Übermittlung von Daten an Dritte beruht entweder auf der Erfüllung rechtlicher Verpflichtungen, auf berechtigten Interessen oder erfolgt auf Basis einer etwaig erteilten Einwilligung. Sofern der externe Dienstleister als Auftragsverarbeiter tätig wird, erfolgt die Datenübermittlung im Rahmen einer Auftragsverarbeitungsvereinbarung.
Sofern einmal eine Datenübermittlung an Auftragsverarbeiter in Länder außerhalb der EU/des EWR erforderlich sein sollte, erfolgt diese auf Basis der EU Standardvertragsklauseln oder an Länder bzgl. derer ein Angemessenheitsbeschluss der EU vorliegt.
H. Ihre Rechte als betroffene Person
Betroffene Personen haben das Recht auf Auskunft seitens jedes Verantwortlichen über die sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Es besteht zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit. Werden Daten auf Grundlage von Art. 6 Abs. 1 lit. f erhoben (Datenverarbeitung zur Wahrung berechtigter Interessen), steht der betroffenen Person das Recht zu, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Eine Einwilligung kann jederzeit widerrufen werden, ohne dass dies die Rechtmäßigkeit der bisher erfolgten Verarbeitung berührt. Wenn die Einwilligung widerrufen wird, stellen wir die entsprechende Datenverarbeitung ein.
I. Beschwerderecht
Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden. In Hamburg ist dies der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.
Stand: Dezember 2023