1. Einleitung
Der einzige Direktor von Avature Spain, S.L.U. (im Weiteren „Avature“ oder das „Unternehmen“) hat zur Förderung der Verpflichtung gegenüber der aktuellen Gesetzgebung und den höchsten ethischen und beruflichen Standards diese Richtlinie für das Interne Informationssystem des Unternehmens (im Weiteren die „Richtlinie“) vorbereitet und genehmigt.
Durch diese Richtlinie erfüllt das Unternehmen die Anforderungen des Gesetzes 2/2023 vom 20. Februar 2020, das den Schutz von Personen, die Verletzungen von Vorschriften zur Anzeige bringen, und die Korruptionsbekämpfung regelt (im Weiteren „Gesetz 2/2023“). Es entstand als Ergebnis der Übertragung der Direktive (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 über den Schutz von Personen, die Verletzungen des Unionsrechts zur Anzeige bringen.
2. Gegenstand
Diese Richtlinie ist ein Kernelement des Internen Informationssystems von Avature (im Weiteren „IIS“) und soll Avature die Ressourcen und Prinzipien für Handlungen geben, die erforderlich sind, um die Verwendung des Internen Whistleblowing-Kanals von Avature (im Weiteren der „Kanal“) zu fördern und die Rechte aller beteiligten Parteien gewährleisten, insbesondere das Recht auf Vertraulichkeit, das Vergeltungsverbot sowie die Rechte auf Verteidigung, Ehre und Unschuldsvermutung derjenigen, die von diesen Mitteilungen betroffen sind.
Die IIS von Avature umfasst hauptsächlich Folgendes:
- Diese Richtlinie.
- Das Kommunikationsmanagementverfahren (das „Verfahren“), das diese Richtlinie entwickelt und die Leitlinien festlegt, denen gefolgt werden muss beim Einreichen einer Mitteilung über ethische Sorgen hinsichtlich potenzieller Irregularitäten oder Non-Compliances, sowie das Verfahren, dem Avature folgt, wenn das Unternehmen Mitteilungen, die über diesen Kanal erfolgen, erhält und verwaltet.
- Der IIS-Manager, der für das IIS-Management verantwortlich ist und die Behandlung der Untersuchungsunterlagen.
3. Subjektiver Anwendungsbereich
Diese Richtlinie betrifft den IIS-Schutz von Avature und erweitert ihnauf:
a) Mitglieder des Managements von Avature einschl. nicht leitender Mitglieder soweit anwendbar.
b) Alle Mitarbeitende von Avature, einschl. Trainees, Auszubildende und Personen, deren Arbeitsverhältnis noch nicht begonnen hat, als die Information über Verletzungen, die sie berichten wollen, während des Recruitment-Prozesses oder der vorvertraglichen Verhandlung erlangt wurde.
c) Alle Personen, die für oder unter Aufsicht von Avature-Auftragnehmern, Unterauftragnehmern und Lieferanten arbeiten.
d) Die Rechtsvertreter der Mitarbeitenden in Ausübung ihrer Pflicht, die berichtende Person zu beraten und zu unterstützen.
e) Natürliche Personen, die – im Rahmen der Organisation, in denen die berichtende Person Dienstleistungen erbringt, – die berichtende Person in dem Verfahren unterstützen.
f) Natürliche Personen, die mit der berichtenden Person in Beziehung stehen und Repressalien erleiden könnten, beispielsweise Mitarbeiter oder Verwandte der berichtenden Person.
g) Juristische Personen, für die die berichtende Person arbeitet oder mit denen sie eine andere Art von Beziehung im Arbeitskontext unterhält, oder an denen sie eine signifikante Beteiligung hat; signifikant wird verstanden als das, was es der Person ermöglicht, die juristische Person zu beeinflussen.
4. Materieller Anwendungsbereich
Diese Richtlinie schützt vor jeder Art von Vergeltung, die gegen eine natürliche oder juristische Person gerichtet sein könnte, die den Avature Kanal benutzt, um über Handlungen oder Unterlassungen zu berichten, die Folgendes darstellen könnten:
(i) Verletzungen des Rechts der Europäischen Union, die u. a. folgende Bereiche betreffen: öffentliches Beschaffungswesen, Finanzsektor, Verhinderung von Geldwäsche oder Terrorfinanzierung, Produktsicherheit und Compliance, Verkehrssicherheit, Umweltschutz, Strahlenschutz und nukleare Sicherheit, Nahrungs- und Futtermittelsicherheit, Tiergesundheit und Tierschutz, öffentliches Gesundheitswesen, Verbraucherschutz, Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netzwerken und Informationssystemen, finanzielle Interessen der Union und Binnenmarkt .
(ii) Straftaten oder schwere oder sehr schwere administrative Verstöße, einschließlich solcher, die finanzielle Verluste für die Staatskasse und die Sozialversicherung verursachen.
(iii) Vergehen gegen Arbeitsgesundheit und -sicherheit im Rahmen des Arbeitsrechts.
(iv) Verletzungen des Verhaltenskodex von Avature und jeglicher anderer geltenden Richtlinien und Verfahren.
Der Avature-Kanal ist nicht eingerichtet für Beschwerden oder Belange von Human Resources wie Leistungsbewertung, Vergütung, Karriereentwicklung und andere Probleme im Bereich von Human Resources. Für solche Angelegenheiten sollten die lokalen Beschwerdekanäle verwendet werden.
Der durch diese Richtlinie gewährte Schutz und der Rest der IIS-Elemente schließt nicht die Anwendung von Regeln betreffend strafrechtliche Verfolgung aus und beeinträchtigt nicht den vom Arbeitsrecht für Arbeitsgesundheit und -sicherheit gewährten Schutz für diejenigen Personen, die Verletzungen auf diesem Gebiet berichten.
5. Prinzipienerklärung
Das IIS ist der bevorzugte Kanal, um Non-Compliances in seinem Anwendungsbereich zu berichten und wird von folgenden Arbeits- und Managementprinzipien geleitet:
- Wirksamkeit und Barrierefreiheit: Das IIS muss eine einfache Formulierung der Mitteilungen und ihre wirksame Behandlung ermöglichen, um so zu begünstigen, dass das Unternehmen die erste Stelle ist, die von einer möglichen Irregularität erfährt.
- Unabhängigkeit: Alle am Management des IIS Beteiligten und insbesondere der ISS-Manager müssen ihre Unabhängigkeit gewährleisten, sodass mögliche Interessenskonflikte oder persönliche oder berufliche Bindungen, die das Urteilsvermögen oder die Glaubwürdigkeit der am Kommunikationsmanagementprozess Beteiligten beeinträchtigen könnten, über jeden Verdacht erhaben sind.
- Vertraulichkeit: Das IIS ist so zu gestalten und zu managen, dass die Vertraulichkeit der berichtenden Person, der betroffenen Personen und jeglicher in den Mitteilungen erwähnten Drittpartei sowie die beim Management und der Verarbeitung ausgeführten Verhandlungen gewährleistet ist. Das Register der Mitteilungen, das vom IIS-Manager überwacht wird, ist so zu regeln, dass nicht nur der Schutz personenbezogener Daten, sondern auch eine angemessene Zugangsbeschränkung für nicht autorisiertes Personal gewährleistet sind.
- Unschuldsvermutung und Recht auf Ehre: Die betroffenen Personen haben das Recht auf Unschuldsvermutung und auf Verteidigung in der Art, dass unter keinen Umständen eine Vermutung gegen die betroffene Person vorausgesetzt wird, während eine eingereichte Mitteilung untersucht oder gelöst wird.Zu diesen Zwecken und mit dem Ziel, diese Rechte wirksam zu machen, haben die betroffenen Personen das Recht, die Akte zu den im Gesetz 2/2023 festgelegten Bedingungen einzusehen, denselben Schutz zu genießen wie die berichtende Person und im internen Untersuchungsverfahren gehört zu werden und Einlassungen präsentieren zu können, wenn immer sie es für angemessen halten.
- Vergeltungsverbot: Vergeltung gegen diejenigen, die berichten oder an einem Kommunikations- oder Informationsprozess im Rahmen des Anwendungsbereichs dieser Richtlinie mitwirken, ist ausdrücklich untersagt.Vergeltung wird verstanden als jegliche vom Gesetz verbotene Handlung oder Unterlassung oder eine, die direkt oder indirekt eine nachteilige Behandlung bedeutet, die für die unter ihr leidende Person einen besonderen Nachteil im Arbeits- oder beruflichen Kontext bedeutet, ausschließlich aufgrund ihres Status als berichtende Person oder wegen ihrer Mitwirkung an der Informierung des Managements.Beispielsweise kann Folgendes als Vergeltung angesehen werden:a) Aussetzung des Beschäftigungsvertrags, Entlassung oder Beendigung des Beschäftigungsverhältnisses oder Nichterneuerung desselben, es sei denn, dies findet in der regulären Ausübung der Managementbefugnisse im Rahmen des Arbeitsrechts statt.b) Schäden einschl. Rufschädigung, wirtschaftlicher Verlust, Nötigung, Einschüchterung, Schikanieren oder Ausgrenzung.c) Negative Referenzen über berufliche Tätigkeit.
d) Aufnahme in schwarze Listen oder Verbreitung von Informationen in einem Sektor, die den Zugang zur Arbeit oder Beförderung behindern.
e) Verweigerung oder Zurücknahme von Urlaub oder Training.
- Prinzip des guten Glaubens: Ebenso wie Vergeltung untersagt ist, erlaubt Avature nicht die Verwendung von IIS für illegitime, persönliche oder ungesetzliche Zwecke oder solche, die dem guten Glauben widersprechen.Im Fall eines Missbrauchs von IIS durch eine berichtende Person oder eine beteiligte Drittpartei, kann eine solche Handlung zur Verhängung der entsprechenden Disziplinarmaßnahme durch das Unternehmen – falls anwendbar – führen oder angemessene zivile oder strafrechtliche Handlungen zur Folge haben.
6. IIS-Manager
In Erfüllung seiner Pflichten in Zusammenhang mit der Leitung und Förderung des IIS hat der einzige Avature-Direktor den IIS-Manger ernannt, der diese Position unbegrenzt innehaben wird.
Die Unabhängige Behörde für den Schutz des Informanten wird innerhalb von zehn (10) Werktagen nach der Ernennung oder Abberufung der individuell ernannten natürlichen Person informiert; im Fall der Abberufung werden die Gründe dafür mitgeteilt.
Der IIS-Manager übt seine/ihre Pflichten unabhängig und autonom von den übrigen Organen des Unternehmens und in Übereinstimmung mit dem Kommunikationsmanagementverfahren aus. Die Funktionen des IIS-Managers beinhalten:
- die Implementierung und Wirksamkeit dieser Richtlinie ständig zu fördern und zu leiten, indem er/sie;
- den Zugang aller Avature-Mitglieder und interessierter Drittparteien gewährleistet;
- Verfahren implementiert, um die durch diesen Kanal erhaltenen Mitteilungen zu verwalten;
- indem er/sie die Berichte über die Untersuchungen aufgrund der über den Kanal erhaltenen Mitteilungen zur Kenntnis nimmt, anleitet und ausfertigt;
- den einzigen Avature-Direktor über die relevantesten Ergebnisse der Aktivität des Kanals im Rahmen der Berichtsaufgaben informiert, damit der Direktor die letzte Entscheidung trifft.
7. Öffentlichkeit des Kanals
In Übereinstimmung mit den Vorschriften des Gesetzes 2/2023 hat Avature auf seiner Website in einem getrennten und leicht zugänglichen Abschnitt den Zugang zum Kanal und zu dieser Richtlinie veröffentlicht.
Das Unternehmen verpflichtet sich, diese Richtlinie und die Existenz des Kanals angemessen bekannt zu machen, indem es allen Mitgliedern der juristischen Person und mit ihrer Geschäftstätigkeit verbundener Drittparteien die Informationen und im Bedarfsfall die notwendige Schulung zur Verfügung stellt, um den freien Zugang zu diesen und allen Tools des IIS zu gewährleisten, sodass sie ihre legitimen Rechte ausüben können.
Die Personen, auf die diese Richtlinie anwendbar ist, können über Handlungen oder Unterlassungen, die eine Verletzung oder Irregularität im Anwendungsbereich dieses Verfahrens auch direkt oder nach einer Mitteilung über den Avature-Kanal auch an die Unabhängige Behörde für den Schutz des Informanten oder an die zuständigen regionalen Behörden oder Organe sowie, falls angemessen, an die Institutionen, Organe und Agenturen der Europäischen Union berichten.
8. Datenschutz
Unter dem Gesichtspunkt des Schutzes personenbezogener Daten sind die im Rahmen des IIS anwendbaren Hauptaspekte im Titel VI des Gesetzes 2/2023 enthalten. Sie werden im Folgenden dargestellt:
- Die Verarbeitung von personenbezogenen Daten durch Anwendung des Gesetzes 2/2023 wird geregelt durch die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rats vom 27. April 2016 (DVGSO), durch das Organgesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und Gewährleistung digitaler Rechte, durch das Organgesetz 7/2021 vom 26. Mai über den Schutz personenbezogener Daten, die für den Zweck der Verhinderung, Entdeckung, Untersuchung und Verfolgung von Straftaten und Verhängung von strafrechtlichen Sanktionen verwendet werden, sowie durch Titel VI des Gesetzes 2/2023.
- Personenbezogene Daten dürfen nicht gesammelt werden, wenn sie offensichtlich für die Verarbeitung der spezifischen Information nicht relevant sind, oder sie müssen umgehend gelöscht werden, wenn sie versehentlich gesammelt wurden.
- Die Verarbeitung von personenbezogenen Daten, die für die Umsetzung des Gesetzes 2/2023 erforderlich sind, gilt als gesetzmäßig.
- Da das Unternehmen eine juristische Person mit der Verpflichtung ist, ein IIS zu haben, gilt das Verarbeiten von personenbezogenen Daten im Fall interner Kommunikation als gesetzeskonform entsprechend den Bestimmungen der Paragrafen 6.1c) der DSGVO – die Verarbeitung ist erforderlich für die Compliance mit einer rechtlichen Verpflichtung des kontrollierenden Unternehmens – und 11 des Organgesetzes 7/2021 vom 26. Mai.
- Im Fall dass die Verarbeitung einer speziellen Kategorie von personenbezogenen Daten aus Gründen eines berechtigten öffentlichen Interesses ausgeführt wird, kann sie in Übereinstimmung mit den Vorschriften von Paragraf 9.2.g) der DSGVO vorgenommen werden.
- Wenn die personenbezogenen Daten direkt von den Dateninhabern stammen, werden sie mit der Information aus den Paragrafen 13 der DSGVO und 11 des Gesetzes über den Schutz personenbezogener Daten und Garantie der digitalen Rechte versehen, wie in der Vertraulichkeitsrichtlinie für IIS und den Kanal festgelegt ist (sp. Abkürzung PPGDR).
- Berichtende Personen und solche, die eine öffentliche Offenlegung vorantreiben, werden ausdrücklich informiert, dass ihre Identität auf jeden Fall vertraulich behandelt wird, und dass sie nicht den Personen mitgeteilt wird, auf die sich die berichteten Fakten beziehen, und auch nicht Drittparteien.
- Die Person, auf die sich die berichteten Fakten beziehen, wird keinesfalls über die Identität der berichtenden Person oder der Person, die die Offenlegung veranlasst hat, informiert.
- Dateninhaber können die Rechte, die in den Paragrafen 15 bis 22 der DSGVO enthalten sind, geltend machen.
- Im Fall, dass eine Person, auf die sich die in der Mitteilung enthaltenen Informationen oder die öffentliche Offenlegung beziehen, das Widerspruchsrecht in Anspruch nimmt, wird angenommen, dass – solange es keine Gegenbeweise gibt – zwingende legitime Gründe für die Verarbeitung ihrer personenbezogenen Daten vorliegen.
- Das IIS erlangt keine Daten, die die Identifikation der berichtenden Person ermöglichen und verfügt über angemessene technische und organisatorische Maßnahmen, die die Identität und Vertraulichkeit der Daten bewahren, sie sich auf die besorgten Personen und in den Informationen genannten Drittparteien beziehen, insbesondere, wenn sich die berichtende Person identifiziert hat.
- Die Identität der berichtenden Person darf nur der Justiz, der Staatsanwaltschaft oder der zuständigen Verwaltungsbehörde im Rahmen einer Untersuchung zum Zweck strafrechtlicher, disziplinärer oder Sanktionsmaßnahmen bekannt gegeben werden.
- Die Datenverarbeitung durch andere Personen oder ihre Weitergabe an Drittparteien ist dann gesetzeskonform, wenn sie notwendig ist für die Verhängung von Korrekturmaßnahmen im Unternehmen oder die ggf. erforderliche Verarbeitung von Verfahren.
- Der Zugang auf personenbezogene Daten ist auf den Controller oder, falls anwendbar, auf die Person beschränkt, die der Controller zu diesem Zweck autorisiert hat.
- Der für Datenschutz Zuständige ist erreichbar unter privacyofficer@avature.net.