Datenschutzhinweis: Zurich Ethics Line

Die vorliegende Datenschutzhinweis legt dar, welche Daten die Zürich Versicherungs-Gesellschaft AG und ihre jeweiligen Tochtergesellschaften („wir“, „unser/e“, „uns“) über die Zurich Ethics Line („Plattform“) erheben und wie diese Daten verarbeitet werden.

Wir nehmen Datenschutz sehr ernst und und verfolgen diesbezüglich das Ziel grösstmöglicher Transparenz. Bitte lesen Sie diese Datenschutzhinweis sorgfältig durch, da sie wichtige Informationen darüber enthält, wie wir Ihre personenbezogenen Daten verwenden werden.

Wenn Sie eine Frage oder eine Meldung über die Zurich Ethics Line einreichen, kann Ihr Anliegen bei Bedarf für Compliance und Legal auf lokaler, regionaler und Konzernebene zugänglich gemacht werden, um sicherzustellen, dass es ordnungsgemäss von der jeweils zuständigen Stelle bearbeitet wird. Wenn Sie nicht möchten, dass Ihre Meldung ausserhalb Ihres Landes einsehbar ist, wenden Sie sich bitte direkt an Ihre lokalen Vertreter von Compliance oder Legal und sprechen Sie das Problem dort an, bevor Sie eine Meldung über diese Plattform einreichen.

Letztes Update: 12. Juli 2022

Datenverantwortliche und Kontakt:

Zürich Versicherungs-Gesellschaft AG, Mythenquai 2, 8002 Zürich, Schweiz, sowie die jeweiligen Tochtergesellschaften, mit denen Sie hier interagieren, handeln in Bezug auf diese Plattform als gemeinsame Datenverantwortliche.

Falls Sie Fragen oder Anmerkungen in Zusammenhang mit der Plattform haben, können Sie sich an das Datenschutzteam der jeweiligen Tochtergesellschaft wenden oder uns per E-Mail unter privacy@zurich.com erreichen.

Welche personenbezogenen Daten können erhoben und verarbeitet werden?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Diese Plattform kann folgende personenbezogenen Daten erfassen, die Sie eingeben, wenn Sie eine Meldung oder Anfrage einreichen/aktualisieren:

• Ihren Namen, Ihre Kontaktdaten (sofern Sie Ihr Anliegen nicht anonym einreichen) und ob Sie im Unternehmen angestellt sind;
• den Namen und andere personenbezogene Daten von Personen, die Sie in Ihrem Beitrag nennen (d. h. Beschreibung von Funktionen und Kontaktdaten); und
• eine Beschreibung der Frage oder des Vorwurfs sowie eine Beschreibung der Umstände des Vorfalls.

Nach den Gesetzen mancher Länder sind anonyme Meldungen möglicherweise nicht erlaubt. Ihre personenbezogenen Daten werden vertraulich behandelt und nur in der Weise weitergegeben, die in dieser Datenschutzinformation dargelegt ist.

Für welche Zwecke verarbeiten wir Ihre personenbezogenen Daten?

Wir verarbeiten Ihre personenbezogenen Daten, damit wir Beschwerden und Anfragen aus dem Bereich Ethik und Compliance entgegennehmen, untersuchen und klären können.

Auf welcher Rechtsgrundlage verarbeiten wir Ihre personenbezogenen Daten?

Wir verarbeiten Ihre personenbezogenen Daten auf der Grundlage eines berechtigten Interesses. Dieses besteht darin, die Einhaltung von Gesetzen, Vorschriften, internen Richtlinien und unseres Verhaltenskodex sicherzustellen.

In Ländern, in denen Whistleblowing-Systeme gesetzlich vorgeschrieben sind, ist die Rechtsgrundlage die Erfüllung der entsprechenden gesetzlichen Verpflichtung.

Wie werden die personenbezogenen Daten nach erfolgter Meldung verarbeitet und wer hat Zugriff darauf?

Zum Zweck der Bearbeitung und Untersuchung Ihrer Meldung und vorbehaltlich der geltenden lokalen Gesetze können die von Ihnen zur Verfügung gestellten personenbezogenen Daten streng nach dem Prinzip des Kenntnisbedarfs von zuständigen Mitarbeitenden unseres Unternehmens und externen Beratern (z. B. Rechtsberatern) eingesehen, verarbeitet und verwendet werden, oder, unter bestimmten Umständen, mit unserer schriftlichen Zustimmung und zum Zweck der Bereitstellung von technischem Support, vom technischen Fachpersonal der GCS Compliance Services Europe Ltd. Co., die als NAVEX firmiert.

Personenbezogene Daten, die Sie uns zur Verfügung stellen, können auf der Grundlage des Kenntnisbedarfs auch an bestimmte Strafverfolgungs- oder Aufsichtsbehörden weitergegeben werden, um gesetzliche oder behördliche Anforderungen zu erfüllen, z. B. in Zusammenhang mit der Verhütung von Geldwäsche oder wenn wir glauben, dass die Weitergabe vernünftigerweise notwendig ist, um uns vor Betrug zu schützen oder um unser Eigentum oder andere Rechte oder die Rechte anderer Nutzer der Plattform, Dritter oder der Öffentlichkeit insgesamt zu schützen.

Datenspeicherung

Wir nutzen die Dienste von NAVEX, um personenbezogene Daten in Datenbanken auf Servern in Frankfurt, Deutschland und Amsterdam, Niederlande zu speichern.

NAVEX verbietet den unberechtigten Zugriff auf und die Nutzung der auf seinen Servern gespeicherten personenbezogenen Daten. Ein solcher Zugriff stellt einen Gesetzesverstoss dar; NAVEX wird jeden illegalen Zugriff auf Informationen in seinen Systemen umfassend untersuchen und entsprechende rechtliche Schritte gegen den Urheber einleiten.

Sind Ihre personenbezogenen Daten sicher?

Es werden strenge technische und organisatorische Massnahmen ergriffen, um Ihre personenbezogenen Daten sowohl online als auch offline vor einem Zugriff durch Unbefugte und vor unrechtmässiger Verarbeitung, versehentlichem Verlust, Zerstörung und Beschädigung zu schützen.

Zu den Massnahmen gehören:

• Schulung der zuständigen Mitarbeitenden, um sicherzustellen, dass sie mit unseren Schutzpflichten im Hinblick auf personenbezogene Daten vertraut sind,
• administrative und technische Kontrollen zur Beschränkung des Zugriffs auf personenbezogene Daten nach dem Prinzip des Kenntnisbedarfs („Kenntnis nur wenn nötig“: Zuweisung von Rollen, Rechten und Passwörtern),
• technische Sicherheitsvorkehrungen (darunter Firewalls, Verschlüsselungs- und Antivirensoftware, Zugriffskontrollen, kundenspezifische Kontrollen, regelmässige Überprüfung der Benutzerkonten, regelmässige Backups usw.),
• Vorfallmanagement (strenge Vorschriften für das Vorgehen bei Zwischenfällen, Fehlerbehebung, Datenschutzverstössen usw.),
• physische Sicherheitsmassnahmen (z. B. Sicherheitsausweise für Mitarbeitende für den Zugang zu unseren Räumlichkeiten).

Trotz der strengen Sicherheitsmassnahmen, die greifen, sobald wir Ihre personenbezogenen Daten erhalten haben, ist die Übertragung von Daten – insbesondere über das Internet – nie völlig sicher. Daher können wir die absolute Sicherheit der an uns oder von uns gesendeten Daten nicht garantieren.

NAVEX hat branchenübliche administrative, physische und technologische Sicherheitsmassnahmen zum Schutz vor Verlust, Missbrauch, unbefugtem Zugriff und Veränderung personenbezogener Daten in seinen Systemen implementiert. NAVEX stellt sicher, dass alle Mitarbeitenden, Auftragnehmer, Unternehmen, Organisationen oder Lieferanten, die Zugriff auf personenbezogene Daten in seinen Systemen haben, den gesetzlichen und branchenspezifischen Verpflichtungen zum Schutz dieser personenbezogenen Daten unterliegen. Die Datenschutzinformationen von NAVEX können Sie hier nachlesen.

Grenzüberschreitende Übermittlung

NAVEX hat seinen Stammsitz im Vereinigten Königreich.

Wir unterhalten Rechtseinheiten in den Regionen APAC, EMEA, LATAM und Nordamerika. Es ist daher möglich, dass Meldungen aus diesen Regionen eingehen oder personenbezogene Daten an Empfänger in diesen Ländern übermittelt werden. Der Benutzerzugang ist so konfiguriert, dass personenbezogene Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder der Schweiz nicht in Länder ausserhalb des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder der Schweiz übertragen werden können.

Wie lange speichern wir Ihre personenbezogenen Daten?

Die von Ihnen bereitgestellten personenbezogenen Daten werden so lange aufbewahrt, wie es für die Bearbeitung Ihrer Meldung erforderlich ist, oder gegebenenfalls so lange, wie es für die Einleitung von Sanktionen oder die Erfüllung gesetzlicher oder finanzieller Pflichten erforderlich ist. Falls es zu einem Gerichts- oder Disziplinarverfahren kommt, werden die verarbeiteten personenbezogenen Daten bis zum endgültigen Abschluss dieses Verfahrens gespeichert. Wir bewahren personenbezogene Daten in dem Umfang auf, den das Gesetz und unsere Aufbewahrungsrichtlinien erlauben. Darüber hinaus löschen oder anonymisieren wir alle personenbezogenen Daten, die nicht mehr benötigt werden, soweit dies gesetzlich zulässig ist.

Ihre Rechte

Sie haben verschiedene Rechte, über die wir Sie im Folgenden informieren möchten: das Recht auf Zugang zu Ihren eigenen personenbezogenen Daten, das Recht auf Datenberichtigung (wenn Ihre personenbezogenen Daten unrichtig sind), das Recht auf Löschung (wenn die Speicherung Ihrer personenbezogenen Daten im Hinblick auf den vorgesehenen Verarbeitungszweck nicht mehr erforderlich ist), das Recht auf Einschränkung der Datenverarbeitung (z. B. wenn Sie die Richtigkeit Ihrer von uns verarbeiteten personenbezogenen Daten bestreiten), das Recht auf Datenübertragbarkeit unter bestimmten Umständen und das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

Im Zuge einer laufenden Untersuchung können die hier aufgeführten Rechte eingeschränkt oder ausgesetzt sein. Wird eines der aufgelisteten Rechte eingeschränkt oder ausgesetzt, sind die Gründe hierfür zu dokumentieren. Wenn Zugang zu den personenbezogenen Daten einer betroffenen Person gewährt wird, können die personenbezogenen Daten mutmasslicher Täter oder Dritter wie Informanten, Hinweisgeber oder Zeugen aus den Dokumenten entfernt werden, sofern keine aussergewöhnlichen Umstände vorliegen.