Navigation überspringen
SucheEnglish

Datenschutzhinweise zur Verarbeitung personenbezogener Daten durch Corporate Audit (ZC)

gemäß Artikel 13 und 14 DSGVO
English Version below

Mit den folgenden Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten (im Folgenden „Daten“) durch Corporate Audit (ZC) im Rahmen der Durchführung von Audits, die mit dem Bertelsmann-Aufsichtsrat vereinbart wurden und unter der Aufsicht des Bertelsmann-Vorstands stehen. Ihre Daten werden von der Bertelsmann SE & Co. KGaA (Carl-Bertelsmann-Str. 270, 33311 Gütersloh, Deutschland) als eigenständige Verantwortliche (Art. 4 Nr. 7 DSGVO) zu folgenden Zwecken verarbeitet.

Wenn im Folgenden von „wir“ oder „uns“ die Rede ist, ist damit die Bertelsmann SE & Co. KGaA gemeint. Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der Europäischen Datenschutz-Grundverordnung (im Folgenden „DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“).

Sie können unseren Datenschutzbeauftragten unter der oben genannten Postanschrift mit dem Vermerk „An den Datenschutzbeauftragten“ oder unter der E-Mail-Adresse „datenschutz@bertelsmann.de" kontaktieren.

2. Warum werden meine Daten verarbeitet (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten Ihre personenbezogenen Daten zum Zweck der Durchführung von Audits. Die Datenverarbeitung durch uns, einschließlich der Erhebung oder Generierung personenbezogener Daten, kann unterschiedlich vorkommen: Sie können als Interviewpartner zu Audits beitragen, die von uns elektronisch transkribiert oder aufgezeichnet werden können (auch mit Hilfe künstlicher Intelligenz (KI)), wenn dies zuvor angekündigt wurde. Ihr Name und Ihre Daten können in Dokumenten enthalten sein, die wir prüfen, oder Ihre Daten können Teil einer Stichprobe sein, die wir aus den Unternehmenssystemen ziehen.

Jede Datenverarbeitung durch uns verfolgt den Meta-Zweck der Prüfung und ist als solche gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO zulässig, wobei die Rechtsgrundlage für Ersteres in der gesetzlichen Pflicht des Vorstands gemäß § 93 AktG, § 43 GmbHG zur Gewährleistung eines risikogerechten Managementsystems und der Pflicht des Aufsichtsrats zur Überprüfung der sorgfältigen Geschäftsführung liegt. Beide Pflichten werden von externen Wirtschaftsprüfern wie EY, KPMG, Deloitte, PwC oder ähnlichen anerkannten Wirtschaftsprüfern überprüft, weshalb wir die durchgeführten Prüfungen und die von unseren Wirtschaftsprüfern angewandten Berufsstandards wie DIIR (Deutsches Institut für Interne Revision) oder IAIA (International Association of Internal Auditors) umfassend dokumentieren müssen. Unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO besteht daher darin, unsere hohen professionellen Standards nachweisen zu können, eine einheitliche Qualität und Vorgehensweise bei den Prüfungen sicherzustellen und damit die Prüfungsergebnisse fair, nachvollziehbar und miteinander vergleichbar zu machen.

3. Bin ich verpflichtet, meine Daten anzugeben?

Grundsätzlich sind Sie gesetzlich nicht verpflichtet, Corporate Audit personenbezogene Daten über sich zur Verfügung zu stellen. Es kann jedoch sein, dass Sie aufgrund einer Arbeitsanweisung Ihres Arbeitgebers oder aufgrund Ihrer Funktion dazu verpflichtet sind (z. B. ist der Leiter der Finanzabteilung aufgrund seiner Position der Ansprechpartner für Fragen von Corporate Audit, wenn es um finanzielle Angelegenheiten geht). Mit Genehmigung des Bertelsmann-Vorstands sind wir berechtigt, alle Informationen zu sammeln, die zur Erfüllung der Prüfungsaufgaben erforderlich und angemessen sind – einschließlich personenbezogener Daten.

Der vorgenannte Zweck und die Rechtsgrundlagen gelten für die gesamte Datenverarbeitung durch Corporate Audit (ZC), einschließlich der Daten, die von ZC im Rahmen einer Revision erstellt werden, wie z. B. Notizen, Protokolle, Transkripte oder Aufzeichnungen (von Telefonaten oder Besprechungen). Wenn Telefonate aufgezeichnet oder transkribiert werden, werden wir Sie vorab darüber informieren und Ihnen die Möglichkeit geben, Ihr Widerspruchsrecht („Opt-out“) gemäß Art. 21 DSGVO geltend zu machen. Wenn Sie Widerspruch einlegen und kein überwiegendes Interesse von uns oder Ihrem Arbeitgeber an der Aufzeichnung oder Transkription besteht, werden wir die geplante Verarbeitung einstellen.

4. Wer erhält meine Daten?

Die Unternehmensrevision ist grundsätzlich verpflichtet, alle Informationen vertraulich zu behandeln. Auditergebnisse (Berichte, Feststellungen, Maßnahmen, Empfehlungen usw.), die Informationen enthalten können, die sich direkt oder indirekt auf Sie beziehen, werden jedoch an den Vorstand und die Geschäftsleitung der Bertelsmann SE sowie ausgewählte verbundene Unternehmen weitergegeben. Darüber hinaus geben wir die während der Audits gesammelten Stammdaten an externe Auditunternehmen weiter, wie in Abschnitt 2 oben beschrieben. Diese externen Auditoren sind ebenfalls an berufliche und gesetzliche Vertraulichkeitsstandards hinsichtlich aller Informationen gebunden, die sie erhalten und prüfen.

Im Rahmen der Verarbeitung Ihrer Daten können wir Auftragsverarbeiter im Sinne von Artikel 4 Nr. 8 DSGVO einsetzen, die vertraglich an unsere Weisungen gebunden sind und die Daten nicht für andere als die mit uns vereinbarten Zwecke verwenden dürfen. Alle Auftragsverarbeiter, wie beispielsweise Microsoft Ltd. Ireland (im Hinblick auf gängige Office-Anwendungen), erhalten nur in dem Umfang und für die Dauer, die für die Erbringung der jeweiligen Dienstleistungen erforderlich sind, Zugriff auf Ihre Daten. Dies kann beispielsweise in Wartungsfällen dazu führen, dass Ihre Daten in ein Land außerhalb der EU übertragen oder von dort abgerufen werden. In solchen Fällen stellen wir vertraglich oder auf andere Weise sicher, dass die Dienstleister ein gleichwertiges Datenschutzniveau gewährleisten. Sie haben das Recht, über die gemäß Artikel 46 DSGVO getroffenen geeigneten Garantien informiert zu werden und eine Kopie dieser Garantien von dem in Abschnitt 1 genannten Verantwortlichen zu erhalten.

5. Wie lange werden meine Daten gespeichert?

Die von uns gesammelten Nachweise werden fünf Jahre lang aufbewahrt. Dieser Zeitraum richtet sich nach dem oben in Abschnitt 2 und 4 beschriebenen Überprüfungszyklus durch externe Prüfer. Diese Prüfer müssen die Stammdaten überprüfen, die die Grundlage für die Feststellungen und Ergebnisse bildeten, und damit die sorgfältige Behandlung durch den Vorstand gemäß seinen gesetzlichen Verpflichtungen nachweisen. In seltenen Fällen, z. B. bei Gerichtsverfahren oder laufenden Aufsichtsanfragen, können einige Daten über diesen Zeitraum hinaus aufbewahrt werden. Während dieses Zeitraums werden die Daten nicht mehr für andere Zwecke verwendet.

6. Woher stammen meine Daten?

Wie in Abschnitt 2 oben beschrieben, können wir im Rahmen einer Untersuchung oder eines Audits Informationen, einschließlich personenbezogener Daten über Sie (und andere Personen), von Ihrem Arbeitgeber, verbundenen Unternehmen oder von Ihnen selbst erheben. Die Datenerhebung kann direkt erfolgen, z. B. bei der Durchführung eines Interviews, oder indirekt, z. B. wenn Ihre Daten Teil einer Stichprobe Ihres Arbeitgebers sind oder einem IT-Sicherheits-Penetrationstest unterzogen werden. In beiden Fällen haben Sie das Recht, von Ihrem Arbeitgeber sowie von uns Auskunft über die von Corporate Audit weitergegebenen/erhobenen Daten zu verlangen. Bitte beachten Sie, dass wir keine vertraulichen Informationen weitergeben dürfen, die die Rechte und Freiheiten anderer beeinträchtigen könnten.

7. Welche Rechte habe ich in Bezug auf meine Daten?

Vorbehaltlich der Einschränkungen gemäß Art. 15 DSGVO haben Sie das Recht, Auskunft über Ihre Daten zu verlangen, die wir über Sie speichern und verarbeiten. Sind Daten über Sie unrichtig oder nicht mehr aktuell, haben Sie das Recht, deren Berichtigung zu verlangen. Sie haben außerdem das Recht, die Löschung oder Einschränkung der Verarbeitung Ihrer Daten gemäß den Artikeln 17 und 18 DSGVO zu verlangen. Wenn Sie uns Daten zur Verfügung gestellt haben und die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag mit Ihnen beruht, haben Sie das Recht, diese von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit).

Sie können der Verarbeitung Ihrer Daten gemäß Artikel 21 DSGVO widersprechen. In diesem Fall werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, wie beispielsweise im Falle der Korrespondenz mit Ihnen im Zusammenhang mit der Ausübung Ihrer Rechte als betroffene Person.

Wenn Sie Ihre Rechte ausüben möchten oder allgemeine Fragen zum Datenschutz haben, können Sie sich jederzeit an die in Abschnitt 1 genannte Kontaktperson wenden.

Darüber hinaus haben Sie das Recht, eine Beschwerde bei einer Datenschutzbehörde einzureichen. Die für uns zuständige Behörde ist die LDI NRW, Kavalleriestraße 2-4, 40213 Düsseldorf. Sie können sich jedoch auch an die für Ihren Wohnort zuständige Datenschutzbehörde wenden, die Ihr Anliegen dann an die zuständige Behörde weiterleitet.

Data Protection Notice for personal data processing by Corporate Audit (ZC)

pursuant to Articles 13 and 14 GDPR

With the following information, we provide you with an overview of the processing of your personal data (hereinafter “data”) by Corporate Audit (ZC) in due course of conducting audits as agreed with the Bertelsmann Supervisory Board and under the authority of the Bertelsmann Executive Board. Your data are processed by Bertelsmann SE & Co. KGaA (Carl-Bertelsmann-Str. 270, 33311 Guetersloh, Germany) as an independent controller (Art. 4 no. 7 GDPR) for the following purposes.

Whenever reference is made below to “we” or “us,” this refers to Bertelsmann SE & Co. KGaA. We process personal data in accordance with the provisions of the European General Data Protection Regulation (hereinafter “GDPR”) and the German Federal Data Protection Act (“BDSG”).

You can contact our data protection officer at the above postal address, adding “To the Data Protection Officer,” or at the e-mail address: datenschutz@bertelsmann.de.

2. Why is my data processed (purpose of processing) and on what legal basis?

We process your personal data for the purpose of conducting audits. Data processing by us, including the collection or generation of personal data can come in various forms; you can contribute to audits as an interview partner, which may be electronically transcribed or recorded by us (including means of artificial intelligence (AI)) if announced beforehand, your name and data can be contained in documents we review, or your data could be part of a sample that we pull from the company systems.

All data processing by us pursues the meta purpose of auditing and as such is permitted under Art. 6 (1) c GDPR in conjunction with Art. 6 (1) f GDPR, whereas the legal basis for the former lies in the Executive Board’s statutory duty under § 93 German Stock Act (AktG), § 43 GmbHG to ensure a risk appropriate management system and the Supervisory Board’s obligation to verify the diligent management. Both duties are externally reviewed by statutory auditors such as EY, KPMG, Deloitte, PwC, or similar recognized professional auditors, which is why we must keep a comprehensive record of the audits performed and the applied professional standards such as DIIR (Deutsches Institut für Interne Revision) or IAIA (International Association of Internal Auditors) by our auditors. Therefore, our legitimate interest pursuant to Art. 6 (1) f GDPR rests in the ability to prove our high professional standards, ensure a consistent quality and approach towards audits and thereby make audit results fair, explainable and comparable to each other.

3. Am I obliged to provide my data?

As a rule, you are not obliged by law to provide personal data about you to Corporate Audit. However, you may be required by your employer by means of a work instruction or due to your role (e.g. head of finance is qua position the respondent to questions by Corporate Audit when it comes to financial queries). With the authorization of the Bertelsmann Executive Board, Corporate Audit is entitled to collect all information necessary and adequate – including personal data – to perform its auditing duties.

The aforementioned purpose and legal basis applies to all data processing by Corporate Audit (ZC), including data which are generated by ZC in the course of an audit such as notes, minutes, transcripts or recordings (or calls or meetings). If calls will be recorded or transcribed, we will inform you beforehand with the option for you to invoke your right to object (“opt-out”) under Art. 21 GDPR. If you object and there is no overriding interest by us or your employer in the recording or transcription, we will cease the planned processing.

4. Who receives my data?

Corporate audit is in general required to treat all information as confidential. However, auditing results (reports, findings, actions, recommendations, etc.) which may contain information that can relate directly or indirectly to you will be shared with the Executive Board and Senior Management of Bertelsmann SE and selected affiliates. In addition to this, we share root data collected during audits with external audit companies as described in section 2 above. Such external auditors are bound equally by professional and legal standards of confidentiality regarding any information they receive and review.

In the context of processing your data, we may use processors as defined in Article 4(8) GDPR, who are contractually bound to our instructions and may not use any data for any other purposes than those agreed with us. All processors, such as Microsoft Ltd. Ireland (with regard to common office applications), only receive access to your data to the extent and for the duration necessary to provide the respective services. This may, for example, in maintenance cases lead to your data being transferred to or accessed from a country outside the EU. In such cases, we contractually or otherwise ensure that the service providers guarantee an equivalent level of data protection. You have the right to be informed about the appropriate safeguards used pursuant to Article 46 GDPR and to obtain a copy of these safeguards from the Controller named in section 1.

5. How long will my data be stored?

Evidence that we collected is stored for five years. This period is set based on the review cycled by external auditors as described under sec. 2 and 4 above. These auditors need to review the root data which formed the basis of findings and results and therefore demonstrate the diligent treatment by the Executive Board in accordance with their legal obligations. In rare circumstances, e.g. court proceedings or ongoing supervisory requests, some data may be retained beyond this time. During this period, the data will not be used for any other purposes anymore.

6. Where do my data come from?

As described in section 2 above, we may collect information in due course or an audit including personal data about you (and others) from your employer, affiliated companies or from yourself. Data collection may be direct, e.g. when conducting an interview, or indirectly, e.g. if your data are part of a sample taken from your employer or subject to an IT-security penetration test. In both cases, you are entitled to request information about the data shared/collected by Corporate Audit from your employer as well as from us. Please note that we may not share confidential information which may adversely affect the rights and freedoms of others.

7. What rights do I have with regard to my data?

Subject to the limits of Art. 15 GDPR, you are entitled to request access to your information that we store and process about you. If data about you are incorrect or no longer up to date, you have the right to request rectification. You also have the right to request the deletion or restriction of the processing of your data in accordance with Articles 17 and 18 GDPR. If you have provided us with data and the processing is based on your consent or on a contract with you, you have the right to receive these data you have provided in a structured, commonly used and machine-readable format (right to data portability).

You may object to the processing of your data in accordance with Article 21 of the GDPR. In this case, we will no longer process your data unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms, as in the case of correspondence with you in relation to the exercise of your data subject rights.

If you wish to exercise your rights or have general questions about data protection, you can contact the contact person named in section 1 at any time.

In addition, you have the right to lodge a complaint with a data protection authority. The authority responsible for us is the LDI NRW, Kavalleriestraße 2-4, 40213 Düsseldorf. However, you may also contact the data protection authority responsible for your place of residence, which will then forward your concern to the competent authority.