Skip navigation
SearchDeutsch

Data Protection Notice for personal data processing by Bertelsmann Corporate Audit (Corporate Audit)

pursuant to Articles 13 and 14 GDPR
Deutsche Version untenstehend

With the following information, we provide you with an overview of the processing of your personal data (hereinafter “data”) by Bertelsmann Corporate Audit (Corporate Audit) in due course of conducting internal audits as agreed with the Bertelsmann Supervisory Board and under the authority of the Bertelsmann Executive Board. Your data are processed by Bertelsmann SE & Co. KGaA (Carl-Bertelsmann-Str. 270, 33311 Guetersloh, Germany) as an independent controller (Art. 4 no. 7 GDPR) for the following purposes.

Whenever reference is made below to “we” or “us,” this refers to Bertelsmann SE & Co. KGaA, specifically department Corporate Audit (ZC). We process personal data in accordance with the provisions of the European General Data Protection Regulation (hereinafter “GDPR”) and the German Federal Data Protection Act (“BDSG”).

You can contact our data protection officer at the above postal address, adding “To the Data Protection Officer,” or at the e-mail address: datenschutz@bertelsmann.de.

2. Why is my data processed (purpose of processing) and on what legal basis?

We process your personal data for the purpose of conducting internal audits. Data processing by us, including the collection or generation of personal data can come in various forms; you can contribute to internal audits as an interview partner, which may be electronically transcribed or recorded by us (including means of artificial intelligence (AI)) if announced beforehand, your name and data can be contained in documents we review, or your data could be part of a sample that we pull from the company systems.

All data processing by us pursues the primary purpose of internal auditing and as such is permitted under Art. 6 (1) c GDPR where a specific legal obligation applies in conjunction with Art. 6 (1) f GDPR, reflecting the Executive Board’s duties in ensuring effective governance, risk management, and internal control systems pursuant to §§ 93 German Stock Act (AktG) and 43 German Limited Liability Companies Act (GmbHG).

Bertelsmann Corporate Audit constitutes a key element in fulfilling these governance obligations. The Supervisory Board is responsible for overseeing the diligent management, including the effectiveness of its internal control and risk management systems. In order to meet these requirements, Corporate Audit maintains comprehensive documentation of all audits performed and adheres to professional standards, in particular the Global Internal Audit Standards (GIA) issued by the Institute of Internal Auditors (IIA). In line with GIA external quality assessments of Corporate Audit are conducted on a regular basis by recognized professional external auditors (e.g. Deloitte, EY, KPMG). Accordingly, our legitimate interest under Art. 6 (1) f GDPR includes ensuring consistent quality and methodology, as well as producing audit results that are fair, transparent and comparable.

3. Am I obliged to provide my data?

As a rule, you are not obliged by law to provide personal data about you to Corporate Audit. However, you may be required by your employer by means of a work instruction or due to your role (e.g. head of finance is qua position the respondent to questions by Corporate Audit when it comes to financial queries). With the authorization of the Bertelsmann Executive Board, Corporate Audit is entitled to collect all information necessary and adequate – including personal data – to perform its auditing duties.

The aforementioned purpose and legal basis applies to all data processing by Corporate Audit, including data which are generated by Corporate Audit in the course of an internal audit such as notes, minutes, transcripts or recordings (or calls or meetings). If calls will be recorded or transcribed, we will inform you beforehand with the option for you to invoke your right to object (“opt-out”) under Art. 21 GDPR. If you object and there is no overriding interest by us or your employer in the recording or transcription, we will cease the planned processing.

4. Who receives my data?

Corporate Audit is in general required to treat all information as confidential. However, auditing results (reports, findings, actions, recommendations, etc.) which may contain information that can relate directly or indirectly to you will be shared with the Executive Board and Senior Management of Bertelsmann SE and selected affiliates. In addition to this, we share root data collected during audits with external audit companies as described in section 2 above. Such external auditors are bound equally by professional and legal standards of confidentiality regarding any information they receive and review.

In the context of processing your data, we may use processors as defined in Article 4(8) GDPR, who are contractually bound to our instructions and may not use any data for any other purposes than those agreed with us. All processors, such as Microsoft Ltd. Ireland (with regard to common office applications), only receive access to your data to the extent and for the duration necessary to provide the respective services. This may, for example, in maintenance cases lead to your data being transferred to or accessed from a country outside the EU. In such cases, we contractually or otherwise ensure that the service providers guarantee an equivalent level of data protection. You have the right to be informed about the appropriate safeguards used pursuant to Article 46 GDPR and to obtain a copy of these safeguards from the Controller named in section 1.

5. How long will my data be stored?

Evidence that we collected is stored for six years. This period is set based on the review cycled by external auditors as described under sec. 2 and 4 above. These auditors need to review the root data which formed the basis of findings and results and therefore demonstrate the adherence to professional standards.

In deviation from the aforementioned, sensitive personal data (i.e. all data enumerated in Art. 9, 10 GDPR but also data which are sensitive in the common sense of the word and based on their potential effects on the data subjects (e.g. HR data, salary/royalty data, forensic data) are deleted when the follow up procedure of findings, if any, has been resolved by the auditee.

In rare circumstances, e.g. court proceedings or ongoing supervisory requests, some data may be retained beyond this time. During this period, the data will not be used for any other purposes anymore.

6. Where do my data come from?

As described in section 2 above, we may collect information in due course or an internal audit including personal data about you (and others) from your employer, affiliated companies or from yourself. Data collection may be direct, e.g. when conducting an interview, or indirectly, e.g. if your data are part of a sample taken from your employer or subject to an IT-security penetration test. In both cases, you are entitled to request information about the data shared/collected by Corporate Audit from your employer as well as from us. Please note that we may not share confidential information which may adversely affect the rights and freedoms of others.

7. What rights do I have with regard to my data?

Subject to the limits of Art. 15 GDPR, you are entitled to request access to your information that we store and process about you. If data about you are incorrect or no longer up to date, you have the right to request rectification. You also have the right to request the deletion or restriction of the processing of your data in accordance with Articles 17 and 18 GDPR. If you have provided us with data and the processing is based on your consent or on a contract with you, you have the right to receive these data you have provided in a structured, commonly used and machine-readable format (right to data portability).

You may object to the processing of your data in accordance with Article 21 of the GDPR. In this case, we will no longer process your data unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms, as in the case of correspondence with you in relation to the exercise of your data subject rights.

If you wish to exercise your rights or have general questions about data protection, you can contact the contact person named in section 1 at any time.

In addition, you have the right to lodge a complaint with a data protection authority. The authority responsible for us is the LDI NRW, Kavalleriestraße 2-4, 40213 Düsseldorf. However, you may also contact the data protection authority responsible for your place of residence, which will then forward your concern to the competent authority.

Datenschutzhinweise zur Verarbeitung personenbezogener Daten durch Bertelsmann Corporate Audit (Corporate Audit)

gemäß Artikel 13 und 14 DSGVO

Mit den folgenden Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten (im Folgenden „Daten“) durch Bertelsmann Corporate Audit (Corporate Audit) im Rahmen der Durchführung interner Audits, die mit dem Bertelsmann-Aufsichtsrat abgestimmt sind und im Auftrag des Bertelsmann-Vorstands erfolgen. Ihre Daten werden von der Bertelsmann SE & Co. KGaA (Carl-Bertelsmann-Str. 270, 33311 Gütersloh, Deutschland) als eigenständiger Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die folgenden Zwecke verarbeitet.

Wenn im Folgenden von „wir“ oder „uns“ die Rede ist, ist damit die Bertelsmann SE & Co. KGaA, konkret die Abteilung Corporate Audit (ZC), gemeint. Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der Europäischen Datenschutz-Grundverordnung (im Folgenden „DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“).

Sie können unseren Datenschutzbeauftragten unter der oben genannten Postanschrift mit dem Vermerk „An den Datenschutzbeauftragten“ oder unter der E-Mail-Adresse „datenschutz@bertelsmann.de“ kontaktieren.

2. Warum werden meine Daten verarbeitet (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten Ihre personenbezogenen Daten zum Zweck der Durchführung interner Audits. Die Datenverarbeitung durch uns, einschließlich der Erhebung oder Erzeugung personenbezogener Daten, kann in unterschiedlicher Form erfolgen. Sie können als Gesprächspartner an internen Audits mitwirken. Solche Gespräche können von uns, sofern dies vorab angekündigt wird, elektronisch transkribiert oder aufgezeichnet werden, auch unter Einsatz künstlicher Intelligenz (KI). Ihr Name und Ihre Daten können in Dokumenten enthalten sein, die wir prüfen, oder Ihre Daten können Teil einer Stichprobe sein, die wir aus den Unternehmenssystemen entnehmen.

Sämtliche Datenverarbeitungen durch uns dienen in erster Linie dem Zweck der internen Audits und sind als solche gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO zulässig. Der Vorstand hat gemäß § 93 AktG und § 43 GmbHG die Pflicht, wirksame Governance-, Risikomanagement- und interne Kontrollsysteme sicherzustellen. Corporate Audit ist dabei ein wesentliches Element zur Erfüllung dieser Governance-Verpflichtungen. Der Aufsichtsrat ist für die Überwachung der ordnungsgemäßen Geschäftsführung verantwortlich, einschließlich der Wirksamkeit der internen Kontroll- und Risikomanagementsysteme.

Um diesen Anforderungen gerecht zu werden, führt Corporate Audit eine umfassende Dokumentation aller durchgeführten Prüfungen und hält professionellen Standards ein, insbesondere die vom Institute of Internal Auditors (IIA) herausgegebenen Global Internal Audit Standards (GIA). Im Einklang mit den GIA werden regelmäßig Qualitätsprüfungen der Konzernrevision durch externe Prüfer (z. B. Deloitte, EY, KPMG) durchgeführt. Dementsprechend umfasst unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO die Gewährleistung einer einheitlichen Qualität und Methodik sowie die Erstellung von Prüfungsergebnissen, die fair, transparent und vergleichbar sind.

3. Bin ich verpflichtet, meine Daten anzugeben?

Grundsätzlich sind Sie gesetzlich nicht verpflichtet, Corporate Audit personenbezogene Daten über sich zur Verfügung zu stellen. Es kann jedoch sein, dass Sie aufgrund einer Arbeitsanweisung Ihres Arbeitgebers oder aufgrund Ihrer Funktion dazu verpflichtet sind (z. B. ist der Leiter der Finanzabteilung aufgrund seiner Position der Ansprechpartner für Fragen von Corporate Audit, wenn es um finanzielle Angelegenheiten geht). Mit Genehmigung des Bertelsmann-Vorstands sind wir berechtigt, alle Informationen zu sammeln, die zur Erfüllung der Prüfungsaufgaben erforderlich und angemessen sind – einschließlich personenbezogener Daten.

Der vorgenannte Zweck und die Rechtsgrundlagen gelten für die gesamte Datenverarbeitung durch Corporate Audit, einschließlich der Daten, die von Corporate Audit im Rahmen eines internen Audits generiert werden, wie z. B. Notizen, Protokolle, Transkripte oder Aufzeichnungen (von Telefonaten oder Besprechungen). Wenn Telefonate aufgezeichnet oder transkribiert werden, werden wir Sie vorab darüber informieren und Ihnen die Möglichkeit geben, Ihr Widerspruchsrecht („Opt-out“) gemäß Art. 21 DSGVO geltend zu machen. Wenn Sie Widerspruch einlegen und kein überwiegendes Interesse von uns oder Ihrem Arbeitgeber an der Aufzeichnung oder Transkription besteht, werden wir die geplante Verarbeitung einstellen.

4. Wer erhält meine Daten?

Corporate Audit ist grundsätzlich verpflichtet, alle Informationen vertraulich zu behandeln. Auditergebnisse (Berichte, Feststellungen, Maßnahmen, Empfehlungen usw.), die Informationen enthalten können, die sich direkt oder indirekt auf Sie beziehen, werden jedoch an den Vorstand und die Geschäftsleitung der Bertelsmann SE sowie ausgewählte verbundene Unternehmen weitergegeben. Darüber hinaus geben wir die während der Audits gesammelten Stammdaten an externe Auditunternehmen weiter, wie in Abschnitt 2 oben beschrieben. Diese externen Auditoren sind ebenfalls an berufliche und gesetzliche Vertraulichkeitsstandards hinsichtlich aller Informationen gebunden, die sie erhalten und prüfen.

Im Rahmen der Verarbeitung Ihrer Daten können wir Auftragsverarbeiter im Sinne von Artikel 4 Nr. 8 DSGVO einsetzen, die vertraglich an unsere Weisungen gebunden sind und die Daten nicht für andere als die mit uns vereinbarten Zwecke verwenden dürfen. Alle Auftragsverarbeiter, wie beispielsweise Microsoft Ltd. Ireland (im Hinblick auf gängige Office-Anwendungen), erhalten nur in dem Umfang und für die Dauer, die für die Erbringung der jeweiligen Dienstleistungen erforderlich sind, Zugriff auf Ihre Daten. Dies kann beispielsweise in Wartungsfällen dazu führen, dass Ihre Daten in ein Land außerhalb der EU übertragen oder von dort abgerufen werden. In solchen Fällen stellen wir vertraglich oder auf andere Weise sicher, dass die Dienstleister ein gleichwertiges Datenschutzniveau gewährleisten. Sie haben das Recht, über die gemäß Artikel 46 DSGVO getroffenen geeigneten Garantien informiert zu werden und eine Kopie dieser Garantien von dem in Abschnitt 1 genannten Verantwortlichen zu erhalten.

5. Wie lange werden meine Daten gespeichert?

Die von uns gesammelten Nachweise werden sechs Jahre lang aufbewahrt. Dieser Zeitraum richtet sich nach dem Prüfungszyklus der externen Prüfer, wie oben in den Abschnitten 2 und 4 beschrieben. Die Prüfer müssen die Quelldaten, die den Feststellungen und Ergebnissen zugrunde liegen, überprüfen und damit die Einhaltung der professionellen Standards nachweisen.

Abweichend von den vorstehenden Ausführungen werden sensible personenbezogene Daten (d. h. alle in Art. 9 und 10 DSGVO aufgeführten Daten, aber auch Daten, die im allgemeinen Sinne des Wortes und aufgrund ihrer potenziellen Auswirkungen auf die betroffenen Personen als sensibel gelten (z. B. Personal-, Gehalts- und Vergütungsdaten sowie forensische Daten)) gelöscht, sobald die vom Prüfungsobjekt durchgeführten Folgemaßnahmen zu etwaigen Feststellungen abgeschlossen sind.

In seltenen Fällen, z. B. bei Gerichtsverfahren oder laufenden behördlichen Anfragen, können einige Daten über diesen Zeitraum hinaus aufbewahrt werden. Während dieses Zeitraums werden die Daten nicht mehr für andere Zwecke verwendet.

6. Woher stammen meine Daten?

Wie in Abschnitt 2 oben beschrieben, können wir im Rahmen einer Untersuchung oder eines internen Audits Informationen, einschließlich personenbezogener Daten über Sie (und andere Personen), von Ihrem Arbeitgeber, verbundenen Unternehmen oder von Ihnen selbst erheben. Die Datenerhebung kann direkt erfolgen, z. B. bei der Durchführung eines Interviews, oder indirekt, z. B. wenn Ihre Daten Teil einer Stichprobe Ihres Arbeitgebers sind oder einem IT-Sicherheits-Penetrationstest unterzogen werden. In beiden Fällen haben Sie das Recht, von Ihrem Arbeitgeber sowie von uns Auskunft über die von Corporate Audit weitergegebenen/erhobenen Daten zu verlangen. Bitte beachten Sie, dass wir keine vertraulichen Informationen weitergeben dürfen, die die Rechte und Freiheiten anderer beeinträchtigen könnten.

7. Welche Rechte habe ich in Bezug auf meine Daten?

Vorbehaltlich der Einschränkungen gemäß Art. 15 DSGVO haben Sie das Recht, Auskunft über Ihre Daten zu verlangen, die wir über Sie speichern und verarbeiten. Sind Daten über Sie unrichtig oder nicht mehr aktuell, haben Sie das Recht, deren Berichtigung zu verlangen. Sie haben außerdem das Recht, die Löschung oder Einschränkung der Verarbeitung Ihrer Daten gemäß den Artikeln 17 und 18 DSGVO zu verlangen. Wenn Sie uns Daten zur Verfügung gestellt haben und die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag mit Ihnen beruht, haben Sie das Recht, diese von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit).

Sie können der Verarbeitung Ihrer Daten gemäß Artikel 21 DSGVO widersprechen. In diesem Fall werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, wie beispielsweise im Falle der Korrespondenz mit Ihnen im Zusammenhang mit der Ausübung Ihrer Rechte als betroffene Person.

Wenn Sie Ihre Rechte ausüben möchten oder allgemeine Fragen zum Datenschutz haben, können Sie sich jederzeit an die in Abschnitt 1 genannte Kontaktperson wenden.

Darüber hinaus haben Sie das Recht, eine Beschwerde bei einer Datenschutzbehörde einzureichen. Die für uns zuständige Behörde ist die LDI NRW, Kavalleriestraße 2-4, 40213 Düsseldorf. Sie können sich jedoch auch an die für Ihren Wohnort zuständige Datenschutzbehörde wenden, die Ihr Anliegen dann an die zuständige Behörde weiterleitet.