Datenschutzhinweise für den SWM-Fragebogen „Compliance Questionnaire zur Lieferkette“ der Stadtwerke München GmbH

Das seit dem 01.01.2023 geltende Lieferkettensorgfaltspflichtengesetz (LkSG) stellt, zur Verbesserung der internationalen Menschenrechtslage und des Umweltschutzes, Anforderungen an ein verantwortliches Management von Lieferketten für betroffene Unternehmen. Die Stadtwerke München GmbH (im Folgenden „SWM“ oder „wir/uns“ genannt) unterfällt dem LkSG. Daher bitten wir unsere unmittelbaren Zulieferer, unseren Compliance Questionnaire zur Lieferkette online auszufüllen. Ihre Beantwortung der Fragen ist für die Geschäftsbeziehung mit den SWM erforderlich, damit diese ihren gesetzlichen Sorgfaltspflichten nachkommen können.

Mit diesen Datenschutzhinweisen informieren wir, welche personenbezogenen Daten wir im Zusammenhang mit der Befragung zum LkSG (mittels des „Compliance Questionnaire zur Lieferkette“) verarbeiten. Daneben erfahren Sie in diesen Datenschutzhinweisen, welche Rechte, Wahl- und Widerspruchsmöglichkeiten Sie in Bezug auf Ihre personenbezogenen Daten haben. "Personenbezogene Daten" meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Soweit wir personenbezogene Daten erheben, verarbeiten oder nutzen, beachten wir die anwendbaren gesetzlichen Vorschriften, insbesondere die EU-Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Weitere Hinweise zum allgemeinen Datenschutz bei den SWM finden Sie unter www.swm.de/datenschutz-swm-gmbh oder können Sie auf jedem anderen Wege unter den u.g. Kontaktdaten bei uns erfragen.

Verantwortlicher gem. Art. 4 Nr. 7 EU-Datenschutzgrundverordnung (DSGVO) ist die Stadtwerke München GmbH, Emmy-Noether-Straße 2, 80992 München,

datenschutz.stadtwerke@swm.de.

Den Konzerndatenschutzbeauftragten der SWM erreichen Sie unter:

Stadtwerke München
Datenschutzbeauftragter
Emmy-Noether-Straße 2
80992 München
E-Mail: datenschutz@swm.de

Der Link zum Compliance Questionnaire zur Lieferkette wird per E-Mail von der E-Mail-Adresse noreply@moodys.com verschickt. Für die Versendung der E-Mail, den Betrieb der verlinkten Website und die Durchführung der Befragung setzen wir den Dienstleister Bureau van Dijk Electronic Publishing GmbH im Wege der Auftragsverarbeitung ein:

Ihre dienstliche E-Mail-Adresse und Ihre Kontaktdaten werden von uns für die Erfüllung eines bestehenden Vertragsverhältnisses oder zur Erfüllung vorvertraglicher Maßnahmen mit Ihrem Unternehmen verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 b) (Vertragserfüllung) bzw. f) (berechtigte Interessen, wenn Sie uns für Ihren Arbeitgeber als Ansprechpartner*in benannt worden sind) DSGVO.

Über den Link in der E-Mail werden Sie auf eine Befragungsseite auf einer Internetseite unseres Dienstleisters (URL beginnt mit https://forms.bvdinfo.com//...) (nachfolgend auch „Website“) weitergeleitet. Bei dem Aufruf der Website werden weder IP-Adressen gespeichert noch Cookies (kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden) gesetzt.

Unsere Befragung dient der Umsetzung des Lieferkettensorgfaltspflichtengesetz (LkSG) und bezieht sich hauptsächlich auf Ihr Unternehmen, also nicht auf Sie persönlich oder eine andere natürliche Person. Ihre Antworten im Rahmen unserer Befragung werden lediglich zum Zwecke der Risikoanalyse verarbeitet und genutzt. Ein Rückschluss auf Ihre Person oder andere natürliche Personen über die Befragung kann aber ggf. möglich sein, wenn Sie einen solchen durch Angabe entsprechender Daten in Ihren Antworten selbst ermöglichen (beispielsweise indem Sie Ihren Namen, Ihre E-Mail-Adresse oder Position in ein Antwortfeld unserer Umfrage eingeben; teilweise ist die Angabe von Kontaktdaten von Personen (Name und Funktion des /der Bearbeiter*in des Fragebogens) bzw. von Personen in bestimmten Positionen (z.B. Menschenrechtsbeauftragter) verpflichtend). Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 S. 1 c) (rechtliche Verpflichtung) bzw. f) (berechtigte Interessen) DSGVO.

Bitte informieren Sie die anderen natürlichen Personen in Ihrem Unternehmen, deren Daten Sie im Fragebogen angegeben haben, über diese Datenschutzhinweise.

Wir verarbeiten zu diesen Zwecken personenbezogene Daten, die wir von Ihnen und/oder Ihrem Arbeitgeber bzw. von anderen Ansprechpartner*innen in Ihrem Unternehmen erhalten.

Die Bereitstellung entsprechender Daten ist – soweit nicht ausdrücklich abweichend mitgeteilt – für die Geschäftsbeziehung mit den SWM erforderlich, damit wir unseren gesetzlichen Sorgfaltspflichten nachkommen können. Es gibt jedoch keine gesetzliche Pflicht zur Bereitstellung von Daten. Soweit Sie uns keine Daten zur Verfügung stellen, werden wir im Regelfall keine Geschäftsbeziehung mit Ihrem Unternehmen eingehen können.

Innerhalb der SWM erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese für die unter Ziffer 3 beschriebenen Zwecke benötigen.

Soweit gesetzlich zulässig (etwa im Rahmen einer Auftragsverarbeitung) geben wir personenbezogene Daten an Dienstleister der folgenden Kategorien weiter:

• IT-Dienstleistungen
• Betreiber von Compliance-Datenbank
• Rechtsanwält*innen
• Öffentliche Stellen und Institutionen (z.B. Finanzbehörden, Polizei, Staatsanwaltschaft, Aufsichtsbehörden) bei Vorliegen einer entsprechenden Verpflichtung/Berechtigung.

Compliance-Checks im SWM-Konzern, wie auch die Abfrage zum LkSG, werden zentral durch die Muttergesellschaft, die Stadtwerke München GmbH, gesteuert. Personenbezogene Daten werden deshalb insbesondere im Rahmen der Vereinbarungen zur gemeinsamen Verantwortlichkeit zwischen der Stadtwerke München GmbH und der Gesellschaft ausgetauscht, mit der der Belieferungsvertrag abgeschlossen wird. Das Wesentliche dieser Vereinbarungen stellen wir Ihnen auf Anfrage gerne zur Verfügung.

Eine Drittlandsübermittlung ist nicht beabsichtigt.

Wir nutzen jedoch für bestimmte Aufgaben (IT-)Dienstleister, die ebenfalls (IT-)Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentrumssitz in einem Drittland (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums) haben können.

Soweit eine Übermittlung personenbezogener Daten in ein Drittland erfolgt, muss Folgendes gegeben sein: Die Übermittlung ist zulässig, weil ein gesetzlicher Erlaubnistatbestand besteht oder Sie in die Übermittlung ausdrücklich eingewilligt haben und die besonderen Voraussetzungen für eine Übermittlung in ein Drittland liegen vor. Das bedeutet insbesondere, dass die Europäische Kommission entschieden hat, dass in dem Drittland ein angemessenes Datenschutzniveau besteht (Art. 45 DSGVO) oder geeignete Garantien (z.B. durch sog. EU-Standardvertragsklauseln, die von der Europäische Kommission oder der Aufsichtsbehörde vorgegeben werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe vorgesehen sind.

Wir löschen Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, es sei denn deren – befristete – Weiterverarbeitung ist erforderlich zur:

• Erfüllung von gesetzlichen Aufbewahrungspflichten, die sich etwa aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben können. Die darin vorgegebenen Fristen betragen bis zu zehn Jahren.
• Erhaltung von Beweismitteln im Rahmen gesetzlicher Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahren betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

Sie haben nach Art. 15 DSGVO das Recht, jederzeit Auskunft darüber zu verlangen, welche personenbezogenen Daten bei uns über Sie gespeichert sind. Dies betrifft auch die Empfänger oder Kategorien von Empfängern, an die diese Daten weitergegeben werden, und den Zweck der Speicherung. Sie können jederzeit, unter den Voraussetzungen des Art. 16 DSGVO die Berichtigung und/oder unter den Voraussetzungen des Art. 17 DSGVO die Löschung und/oder unter den Voraussetzungen des Art. 18 DSGVO die Einschränkung der Verarbeitung verlangen. Ferner können Sie nach Art. 20 DSGVO jederzeit eine Datenübertragung verlangen.

Sie haben das Recht auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten, wenn die in Art. 21 DSGVO genannten Voraussetzungen vorliegen.

Ihre Betroffenenrechte können Sie ausüben gegenüber: Stadtwerke München GmbH, Emmy-Noether-Straße 2, 80992 München, datenschutz.stadtwerke@swm.de

Darüber hinaus haben Sie nach Art. 77 DSGVO die Möglichkeit, sich mit einer Beschwerde an eine Datenschutzaufsichtsbehörde zu wenden.

Recht auf Widerruf einer Einwilligung: Sie können die Einwilligung zur Verarbeitung Ihrer Daten jederzeit für die Zukunft widerrufen. Ihren Widerruf richten Sie bitte an: Stadtwerke München GmbH, Emmy-Noether-Straße 2, 80992 München, datenschutz.stadtwerke@swm.de.

Wir nutzen grundsätzlich keine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO. Sollten wir in Einzelfällen diese Verfahren einsetzen, werden wir Sie hierüber im Rahmen der gesetzlichen Bestimmungen gesondert informieren.

Da unsere Datenverarbeitung Änderungen unterliegt und sich die Rechtslage ändern kann, werden wir auch unsere Datenschutzhinweise von Zeit zu Zeit anpassen.