DATENSCHUTZHINWEISE ZUM HINWEISGEBERSYSTEM

  1. Zwecke der Verarbeitung der personenbezogenen Daten

1.1

Wir verarbeiten im Rahmen der Eingabe und Bearbeitung von Meldungen im Meldesystem unter anderem folgende Arten an personenbezogenen Daten:

  • Informationen zur persönlichen Identifizierung des Hinweisgebers, wie zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse;
  • Beschäftigteneigenschaft zum Unternehmen, auf das sich die Meldung bezieht;
  • Informationen zu betroffenen Personen, d. h. natürlichen Personen, die in einer Meldung als eine Person bezeichnet wird, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist. Solche Informationen sind zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse oder sonstige Informationen, die eine Identifikation ermöglichen;
  • Informationen über Verstöße, die ggf. Rückschlüsse auf eine natürliche Person erlauben.

1.2

Wir verarbeiten die personenbezogenen Daten zum Zweck der Untersuchung der Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens) vorzunehmen.

  1. Rechtsgrundlage

2.1

Informationen zur persönlichen Identifizierung des Hinweisgebers verarbeiten wir nur, wenn uns der Hinweisgeber dazu eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO abgegeben hat. Danach ist die Verarbeitung nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

2.2

Informationen zur Beschäftigteneigenschaft, Informationen zu betroffenen Personen sowie sonstige Informationen, die Rückschlüsse auf natürliche Personen zulassen, verarbeiten wir auf der Grundlage Art. 6 Abs. 1 lit. f DSGVO. Danach ist die Verarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Unser berechtigtes Interesse besteht – je nach zu prüfendem konkreten Einzelfall – in der Bearbeitung von Meldungen, um Folgemaßnahmen durchführen zu können, wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens. Ob Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person einer solchen Datenverarbeitung entgegenstehen, wird im Einzelfall – unter anderem auch mit Blick auf den Verstoß – geprüft.

2.3

Wir verarbeiten gegebenenfalls personenbezogene Daten von Beschäftigten auf Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten i.S.d. § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

  1. Ihre Rechte

3.1

Sie haben uns gegenüber die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO, § 34 BDSG),
  • Recht auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO, § 35 BDSG),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

Darüber hinaus weisen wir Sie als Hinweisgeber auf Ihr Recht hin, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung davon berührt wird.

3.2

Des Weiteren haben Sie das Recht, sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Sie können sich hierfür an jede Aufsichtsbehörde wenden, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die Adresse finden Sie unter nachfolgendem Link im Internet: www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

  1. Allgemeine Informationen zu den Empfängern oder Kategorien von Empfängern

4.1

Unsere Beschwerdesachbearbeiter sowie unser Datenschutzbeauftragter haben Zugriff auf personenbezogene Daten, die im Rahmen unseres digitalen Hinweisgebersystems verarbeitet werden, soweit sie für die Bearbeitung von Meldungen berechtigt sind.

4.2

Für die technische Bereitstellung des digitalen Hinweisgebersystems setzen wir die Trusty AG ein, die in unserem Auftrag und nach Weisung (Art. 28 DSGVO) personenbezogene Daten verarbeitet. Darüber hinaus verarbeiten weitere externe Dienstleistungsunternehmen, wie beispielsweise externe Rechenzentren, personenbezogene Daten als Auftragsverarbeiter.

4.3

Eine Übermittlung der personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Dies ist insbesondere der Fall, wenn die Übermittlung der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind, dient, Sie uns Ihre Einwilligung dazu erteilt haben oder eine Interessenabwägung dies rechtfertigt.

4.4

Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an die zuständigen und befugten Personen in den Unternehmen weitergegeben, auf die sich die Meldung bezieht.

4.5

Unter Umständen geben wir die personenbezogenen Daten auch an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Behörden und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Wirtschaftsprüfer oder Rechtsanwälte, weiter.

4.6

Eine Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU/EWR ist nicht geplant.

  1. Allgemeine Informationen über den Aufbewahrungszeitraum

Daten werden grundsätzlich so lange gespeichert, bis die Folgemaßnahmen abgeschlossen sind. In der Regel werden die Daten aus einer Meldung 2 Monate nach endgültigem Abschluss eines Verfahrens gelöscht, es sei denn, die Einleitung weiterer rechtlicher Schritte erfordert die weitere Aufbewahrung (z.B. Einleitung von Strafverfahren oder Disziplinarverfahren). Personenbezogene Daten im Zusammenhang mit Meldungen werden von uns unverzüglich gelöscht, sofern wir sie als offensichtlich sachlich grundlos erachten.

  1. Informationen gemäß Art. 13 Abs. 2 lit. e, f DSGVO

Die Bereitstellung der Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss erforderlich. Unter Umständen bestehen je nach individuellem Einzelfall gesetzliche Pflichten, uns eine Meldung zu erteilen. Für eine sinnvolle Bearbeitung und Untersuchung der Meldung ist eine Verarbeitung der Daten jedoch erforderlich. Eine automatisierte Entscheidungsfindung einschließlich Profiling (Art. 22 Abs. 1, 4 DSGVO) besteht nicht.