Compliance

Datenschutzinformation zu Compliance-Untersuchungen

Die Compliance-Abteilung der Kreditanstalt für Wiederaufbau („Compliance der KfW“ oder „wir“) stellt die Einhaltung von Recht und Gesetz durch eine geschäftsmodellorientierte Compliance-Organisation, rechtssichere Prozesse und Maßnahmen der Prävention und Reaktion sicher. Hiermit informieren wir Sie nach Art. 13, 14 EU-Datenschutz-Grundverordnung (DSGVO) über die damit verbundene Verarbeitung Ihrer personenbezogenen Daten („Daten“) bei Compliance-Untersuchungen und anderen Maßnahmen zur Einhaltung geltender Gesetze.

Die Compliance der KfW wird Ihre Daten im Rahmen von Compliance-Maßnahmen nur nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben verarbeiten. Diese Vorgaben ergeben sich insbesondere aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Die vorliegende Datenschutzinformation enthält weitergehende Erläuterungen zu Datenverarbeitungen für Zwecke der Durchführung von Compliance-Untersuchungen und für Compliance-Maßnahmen („Compliance-Zwecke“). Sie ergänzt unsere allgemeinen Datenschutzerklärungen (u.a. die Datenschutzgrundsätze der KfW, die produktspezifischen Datenschutzhinweise und Datenschutzhinweise für Beschäftigte).

1. Hintergrund der Verarbeitung Ihrer Daten

Die Compliance der KfW muss die Einhaltung geltender Gesetze im Rahmen ihres Geschäftsbetriebs sicherstellen. Dies gilt etwa für Vorgaben des Strafrechts, des Ordnungswidrigkeitenrechts, des Steuerrechts, des Datenschutzrechts, des Aktienrechts, des Arbeitsrechts, des Kartellrechts und für sonstige verbindliche rechtliche Vorgaben. Sofern die Compliance diesen gesetzlichen Anforderungen nicht hinreichend nachkommt, drohen Nachteile, wie etwa Geld- oder Haftstrafen, Bußgelder, Schadensersatzforderungen oder Reputationsschäden. Um ihren rechtlichen Pflichten nachzukommen, trifft die KfW daher geeignete Maßnahmen zur Sicherstellung von Compliance im Unternehmen. Dies umfasst auch die Verarbeitung Ihrer Daten für Compliance-Zwecke. Verstöße gegen geltendes Recht, oder unternehmensinterne Richtlinien einschließlich der Verhaltensgrundsätze (Code of Conduct) werden nicht akzeptiert, sondern konsequent verfolgt.

Als typische Maßnahmen zur Umsetzung von Compliance-Zwecke kommen beispielsweise die nachfolgend beispielhaft beschriebenen Compliance-Maßnahmen in Betracht:

• Zusammenarbeit mit Staatsanwaltschaften, Polizei und sonstigen deutschen und internationalen Behörden,
• Auswertungen von E-Mails oder sonstigen relevanten Unterlagen oder Laufwerken,
• Abgleich mit Ergebnissen der Arbeit der internen Revision oder von beauftragten externen Prüfern,
• Auswertung von eingehenden Hinweisen (sog. Whistleblowing),
• Einschaltung von Dienstleistern, z.B. Einsatz von Rechtsanwälten, Wirtschaftsprüfern, Detektiven, IT-Spezialisten oder Steuerberatern.

2. Für welche Zwecke verarbeiten wir Ihre Daten?

Die Compliance der KfW verarbeitet Ihre Daten im Rahmen der geltenden Gesetze insbesondere für die folgenden konkreten Compliance-Zwecke:

• Aufklärung von Fehlverhalten: Compliance-Maßnahmen können der Aufdeckung und Aufklärung von möglichen (arbeits-)vertraglichen Pflichtverletzungen oder Straftaten von Kunden und Beschäftigten der KfW sowie sonstiger Missstände innerhalb des Unternehmens dienen; dies betrifft etwa die Aufklärung und Ahndung von Betrugshandlungen, Korruption, Steuerstraftaten, Geldwäsche oder sonstigen Wirtschaftsdelikten;
• Verhinderung zukünftigen Fehlverhaltens: Weiterhin sollen Compliance-Maßnahmen typischerweise auch künftige (arbeits-)vertragliche Pflichtverletzungen oder Straftaten von Kunden und Beschäftigten der KfW verhindern oder zumindest erschweren;
• Rechtsausübung: Compliance-Maßnahmen können auch der Kompensation und Abwehr von drohenden wirtschaftlichen oder sonstigen Schäden oder Nachteilen für die KfW und damit der effektiven Rechtsverteidigung, der Ausübung und Durchsetzung von Rechten dienen. Beispielsweise wird die Compliance-Abteilung der KfW gegebenenfalls Compliance-Maßnahmen zur Vorbereitung arbeitsgerichtlicher Verfahren oder sonstiger Rechtsstreitigkeiten durchführen;
• Entlastung von Kunden und Beschäftigten: Die Compliance der KfW ergreift auch geeignete Compliance-Maßnahmen, um mögliche Vorwürfe gegen zu Unrecht in Verdacht geratene Kunden und Beschäftigte der KfW aufzuklären und diese zu entlasten (sog. Rehabilitierung);
• Umsetzung von gesetzlichen Pflichten: Die Compliance der KfW unterliegt umfassenden gesetzlichen Aufsichts- und Compliance-Pflichten. Diese ergeben sich unter anderem aus §§ 130, 30 Ordnungswidrigkeitengesetz (OWiG) sowie §§ 93, 111 Aktiengesetz (AktG). Compliance-Maßnahmen dienen typischerweise der Umsetzung von diesen und anderen gesetzlichen Pflichten der KfW.
• Umsetzung Mitwirkungspflichten: Compliance-Maßnahmen können auch der Umsetzung gesetzlicher Mitwirkungspflichten der Compliance-Abteilung der KfW im Rahmen von strafrechtlichen Ermittlungsverfahren oder sonstigen behördlichen Verfahren dienen.

Ergänzend kommen als mögliche Zwecke der Datenverarbeitung die in den Datenschutzgrundsätze der KfW, den Datenschutzhinweise für Beschäftigte jeweils unter Ziffer 3 sowie den produktspezifischen Datenschutzhinweise unter Ziffer 4 genannten Zwecke in Betracht.

3. Welche Daten bzw. Datenkategorien sind von Compliance-Maßnahmen betroffen?

Im Rahmen von Compliance-Maßnahmen werden wir gegebenenfalls die nachfolgenden Daten bzw. Datenkategorien über Sie verarbeiten:

• Persönliche Angaben: Gegebenenfalls werden wir im Rahmen von Compliance-Maßnahmen persönliche Angaben über Sie verarbeiten (z.B. Name, private Anschrift, private Telefonnummer, private E-Mail-Adresse);
• Betriebliche Angaben: Zudem werden wir im Rahmen von Compliance-Maßnahmen gegebenenfalls auch betriebliche Informationen über Sie verarbeiten (z.B. Funktion im Unternehmen, Berufsbezeichnung, mögliche Vorgesetztenstellung, berufliche E-Mail-Adresse, berufliche Telefonnummer);
• Angaben zu relevanten Sachverhalten: Compliance-Maßnahmen beziehen sich vielfach auf konkrete Sachverhalte. Die Ermittlung und Auswertung relevanter Angaben zum jeweiligen Sachverhalt kann gegebenenfalls Rückschluss auf Ihr Verhalten oder von Ihnen durchgeführte Handlungen zulassen. Dazu können in Einzelfällen auch Pflichtverletzungen oder Straftaten zählen;
• Dokumente: Die Compliance der KfW wird im Rahmen von Compliance-Maßnahmen gegebenenfalls auch Dokumente auswerten. In der Regel werden dies Dokumente sein, die Kunden zum Zwecke der Antragsstellung einreichen müssen (z.B. Rechnungen, Bescheide, Identitätsnachweise etc.). Für Beschäftigte auch betrieblich veranlasste Dokumente (z.B. Reisekostenabrechnungen, Zeitnachweise bzw. Stundenaufstellungen, Verträge, Leistungsnachweise, Fahrtenbücher oder Rechnungen). Diese Dokumente können auch personenbezogene Daten über Sie enthalten;
• Kommunikationsverhalten: Zudem können Compliance-Maßnahmen Rückschlüsse auf Ihr Kommunikationsverhalten bei der Nutzung betrieblicher Kommunikationssysteme zulassen. Die Compliance der KfW wird beispielsweise im Rahmen von E-Mail-Auswertungen gegebenenfalls auch Zugriff auf die Inhalte von E-Mails in Ihrem betrieblichen E-Mail-Postfach nehmen. Daneben wird die KfW-Compliance gegebenenfalls Log-Daten oder Metadaten auswerten;
• Private Inhalte: In Einzelfällen enthalten auszuwertende Datensätze gegebenenfalls auch private Inhalte über Sie. Dies gilt beispielsweise im Rahmen von E-Mail-Auswertungen. Die Compliance-Abteilung wird aber durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass Datensätze mit rein privatem Inhalt nicht ausgewertet werden;
• Daten zu strafrechtlichen Verurteilungen und Straftaten: Im Rahmen von Compliance-Maßnahmen müssen wir gegebenenfalls auch Daten über Sie erheben, welche Rückschlüsse auf Sie betreffende Straftaten oder strafrechtliche Verurteilungen zulassen. Die Compliance der KfW wird diese Daten aber nur nach Maßgabe der einschlägigen Datenschutzvorgaben, insbesondere Art. 10 DSGVO, verarbeiten;
• Besondere Kategorien personenbezogener Daten: In Einzelfällen erheben wir im Rahmen von Compliance-Maßnahmen auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dazu zählen etwa Gesundheitsdaten, Daten über eine mögliche Gewerkschaftszugehörigkeit, biometrische Daten oder Daten über politische oder religiöse Einstellungen. Die Compliance der KfW wird solche Daten aber nur nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere nach Art. 9 Abs. 2 DSGVO bzw. § 26 Abs. 3 BDSG, verarbeiten.

4. Auf welchen Rechtsgrundlagen beruht die Verarbeitung Ihrer Daten?

Die Compliance-Abteilung der KfW wird Ihre Daten im Rahmen von Compliance-Maßnahmen nur verarbeiten, soweit eine anwendbare Rechtsvorschrift dies erlaubt. Dazu zählen insbesondere die Bestimmungen der DSGVO, des BDSG sowie sonstiger einschlägiger Rechtsvorschriften. Die Compliance der KfW wird Datenverarbeitungen im Rahmen von Compliance-Maßnahmen insbesondere auf die folgenden Rechtsgrundlagen stützen:

• Umsetzung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG): Datenverarbeitungen im Rahmen von Compliance-Maßnahmen können unter anderem für die Begründung, Durchführung und Beendigung des Arbeitsverhältnisses mit dem jeweils betroffenen Beschäftigten erforderlich sein. Dies gilt beispielsweise für allgemeine Compliance-Maßnahmen, die der Verbesserung der internen Compliance-Strukturen der KfW-Compliance dienen. Auch Compliance-Maßnahmen zur Aufdeckung von arbeitsvertraglichen Pflichtverletzungen, welche keine Straftat begründen, können gemäß § 26 Abs. 1 Satz 1 BDSG gerechtfertigt sein. Compliance-Maßnahmen können auch für die Abwicklung von Arbeitsverhältnissen, beispielsweise im Rahmen arbeitsgerichtlicher Streitigkeiten mit dem jeweiligen Beschäftigten, erforderlich sein;
• Aufklärung von Straftaten (§ 26 Abs. 1 Satz 2 BDSG): Falls Compliance-Maßnahmen der Aufdeckung von möglichen Straftaten im Rahmen von Beschäftigungsverhältnissen dienen, können diese gemäß § 26 Abs. 1 Satz 2 BDSG gerechtfertigt sein. Die Compliance der KfW wird die entsprechenden Datenverarbeitungen aber nur dann auf § 26 Abs. 1 Satz 2 BDSG stützen, wenn dokumentierte tatsächliche Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen und die Interessen des betroffenen Beschäftigten nicht überwiegen;
• Umsetzung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Wie bereits unter Ziffer 1 und 4 dargestellt, unterliegt die KfW-Compliance umfassenden gesetzlichen Aufsichts- und Compliance-Pflichten. Die von der Compliance der KfW durchgeführten Compliance-Maßnahmen dienen damit unter anderem auch der Umsetzung dieser gesetzlichen Pflichten der KfW-Compliance;
• Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Compliance-Abteilung der KfW wird Ihre Daten gegebenenfalls auch verarbeiten, um Ihre oder die berechtigten Interessen eines Dritten zu wahren. Zu diesen berechtigten Interessen können im Einzelfall zählen:
  • Rechtsverteidigung: Die KfW-Compliance führt Compliance-Maßnahmen unter anderem auch deshalb durch, um Schaden vom eigenen Unternehmen abzuwenden. Die Datenverarbeitung dient insofern auch den berechtigten Interessen der KfW-Compliance in Form der Geltendmachung, Verteidigung und Ausübung von Rechtsansprüchen.
  • Verbesserung der Compliance-Strukturen: Compliance-Maßnahmen können auch der Verbesserung der internen Compliance-Strukturen der Compliance-Abteilung der KfW dienen. Beispielsweise kann die Compliance der KfW mithilfe von Compliance-Maßnahmen mögliche Schwachstellen in ihrer internen Compliance-Organisation aufdecken und beheben. Auch hierbei handelt es sich um ein berechtigtes Interesse der Compliance-Abteilung der KfW.
  • Unterstützung verdächtiger Beschäftigter: Compliance-Maßnahmen können unter anderem auch der Entlastung beschuldigter Beschäftigter dienen. Hierbei handelt es sich grundsätzlich um ein berechtigtes Interesse eines Dritten.
  • Umsetzung ausländischer Rechtsvorschriften: Neben nationalen und unionsrechtlichen Vorgaben unterliegt die Compliance der KfW im Bereich Compliance auch umfassenden Rechtsvorschriften von Staaten außerhalb der EU. Dazu zählen etwa Anti-Korruptions- oder Wettbewerbsrichtlinien nach US-amerikanischem Recht. Die Umsetzung solcher ausländischen Rechtsvorschriften ist ebenfalls grundsätzlich als berechtigtes Interesse anerkannt.

Die KfW-Compliance wird sicherstellen, dass Compliance-Maßnahmen nur durchgeführt werden, soweit nicht entgegenstehende berechtigte Interessen und Rechte der betroffenen Kunden und Beschäftigten überwiegen.

5. Weitergabe Ihrer Daten

Die Compliance der KfW wird Ihre Daten im Rahmen von Compliance-Maßnahmen nur dann an Dritte weitergeben, wenn dafür eine rechtliche Grundlage besteht oder wir zuvor Ihre Einwilligung zu der entsprechenden Datenübermittlung eingeholt haben. Im Rahmen von Compliance-Maßnahmen kommen insbesondere die nachfolgenden Empfänger in Betracht:

• Andere Konzerngesellschaften: Zur Aufklärung möglicher Compliance-Sachverhalte müssen wir Ihre Daten möglicherweise auch an andere Konzerngesellschaften der KfW übermitteln. Solche konzerninternen Datenübermittlungen kommen insbesondere dann in Betracht, wenn Compliance-Maßnahmen Sachverhalte zugrunde legen, die mehrere Konzerngesellschaften betreffen.
• Gerichte, Behörden und sonstige öffentliche Stellen: Die KfW-Compliance wird die Ergebnisse von Compliance-Maßnahmen möglicherweise auch gegenüber öffentlichen Stellen offenlegen. Dies betrifft etwa deutsche oder ausländische Staatsanwaltschaften, Gerichte oder sonstige Behörden. Eine solche Weitergabe kann insbesondere dann notwendig sein, wenn die Compliance-Abteilung der KfW zur Offenlegung der entsprechenden Daten gesetzlich verpflichtet ist. Dies kann beispielsweise in Rahmen von strafrechtlichen Ermittlungsverfahren der Fall sein.
• Dienstleister: Bei der Durchführung von Compliance-Maßnahmen greifen wir gegebenenfalls auch auf die Unterstützung durch externe Dienstleister, wie etwa Anwaltskanzleien oder Wirtschaftsprüfungsgesellschaften, zurück. Wir werden durch geeignete Maßnahmen sicherstellen, dass diese Dienstleister Ihre Daten nur im Rahmen der einschlägigen datenschutzrechtlichen Vorgaben verarbeiten.
• Weisungsgebundene Auftragsverarbeiter: Wir binden im Rahmen von Compliance-Maßnahmen möglicherweise auch Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein, z.B. im Rahmen des Dokumentenmanagements. Die Compliance der KfW wird sicherstellen, dass diese Auftragsverarbeiter nur auf Basis eines wirksamen Auftragsverarbeitungsvertrages Daten für die KfW-Compliance verarbeiten.
• Sonstige Dritte: Sofern dies zur Durchführung der in dieser Datenschutzinformation genannten Zwecke erforderlich ist und keine entgegenstehenden schutzwürdigen Interessen betroffener Personen überwiegen, kommt zudem eine Weitergabe Ihrer personenbezogenen Daten an Ihre Dienstleister (Energieberater oder sonstige Rechnungssteller) sowie Prozessgegner oder Versicherungen in Betracht.

Die Datenschutzgrundsätze der KfW und die Datenschutzhinweise für Beschäftigte enthalten jeweils unter Ziffer 4, die produktspezifischen Datenschutzhinweise unter Ziffer 6 eine weitergehende Auflistung möglicher Empfänger Ihrer personenbezogenen Daten.

Sofern wir Ihre für Compliance-Zwecke verarbeiteten personenbezogenen Daten nicht direkt bei Ihnen selbst erhoben haben, erhalten wir diese typischerweise von den vorstehend in diesem Abschnitt der Datenschutzinformationen genannten Stellen sowie von internen oder externen Hinweisgebern, Geschäftspartnern oder aus ähnlichen Quellen.

6. Welche Datenschutzrechte haben Sie?

Sie können als von der Datenverarbeitung betroffene Person verschiedene Betroffenenrechte geltend machen. Um von Ihren Rechten Gebrauch zu machen, können Sie die Compliance der KfW über die unter Ziffer 2 genannten Kontaktdaten erreichen.

Zu den Betroffenenrechten zählen insbesondere:

• Recht auf Auskunft (Art. 15 DSGVO);
• Recht auf Berichtigung (Art. 16 DSGVO);
• Recht auf Löschung (Art. 17 DSGVO);
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde;

Die Datenschutzgrundsätze der KfW erläutern unter Ziffer 7, die Datenschutzhinweise für Beschäftigte unter Ziffer 8 und die produktspezifischen Datenschutzhinweise unter Ziffer 2 die Voraussetzungen und den Umfang der einzelnen Betroffenenrechte.

7. Wie lange speichern wir Ihre Daten?

Die Compliance der KfW wird im Rahmen von Compliance-Maßnahmen erhobene Daten nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere gemäß Art. 17 DSGVO, speichern bzw. löschen. Danach wird die Compliance Ihre Daten grundsätzlich dann löschen, wenn sie für die in dieser Datenschutzinformation genannten Compliance-Zwecke nicht mehr erforderlich sind. Gesetzliche Aufbewahrungsvorschriften oder berechtigte Interessen der Compliance-Abteilung können jedoch eine längere Aufbewahrung Ihrer Daten rechtfertigen. Beispielsweise kann die Compliance der KfW Ihre Daten gegebenenfalls während aktueller Rechtsstreitigkeiten, welche das Ergebnis möglicher Compliance-Maßnahmen sind, weiter aufbewahren. Die Speicherfristen und Löschroutinen richten sich dabei im Einzelfall nach dem Aufbewahrungsinteresse der KfW unter Berücksichtigung der Wichtigkeit der Aufbewahrung für die KfW-Compliance, der schutzwürdigen Interessen Betroffener an der Löschung sowie der Wahrscheinlichkeit, dass ein im Hinweisgebersystem gemeldeter Verdacht zutrifft.

Die Datenschutzgrundsätze der KfW unter Ziffer 6, die Datenschutzhinweise für Beschäftigte und die produktspezifischen Datenschutzhinweise unter Ziffer 7 enthalten weitere Informationen zu den einschlägigen Vorgaben bei der Speicherung von personenbezogenen Daten von Kunden und Beschäftigten.

8. Inwieweit finden automatisierte Einzelfallentscheidungen oder Maßnahmen zum Profiling statt?

Im Rahmen von Compliance-Maßnahmen finden weder automatisierte Einzelfallentscheidungen noch Maßnahmen zum Profiling im Sinne von Art. 22 DSGVO statt.

9. Wer ist für die Verarbeitung Ihrer Daten verantwortlich?

Verantwortliche für die Verarbeitung Ihrer Daten im Sinne von Art. 4 Nr. 7 DSGVO ist

KfW Bankengruppe
Palmengartenstraße 5-9
60325 Frankfurt am Main

+49 069 74310

Je nach Umfang und Zuschnitt der geplanten Maßnahmen wird die Compliance der KfW gegebenenfalls weisungsfreie Dienstleister mit der konkreten Durchführung der entsprechenden Compliance-Maßnahmen betrauen. In diesem Fall handeln die Dienstleister oftmals als eigene datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Zu diesen Dienstleistern können etwa Wirtschaftsprüfer, Rechtsanwaltskanzleien oder Steuerberater zählen.

Weitere Informationen zu den Datenschutzgrundsätzen der KfW