Datenschutzinformationen für hinweisgebende Personen und beteiligte Personen im Rahmen des Hinweisgebersystems
Das CAD-Institut für Compliance, Arbeitsrecht und Datenschutz (im Folgenden: CAD-Institut) wurde von der [FIRMA] mit den Aufgaben einer internen Meldestelle in Erfüllung des Hinweisgeberschutzgesetzes betraut. Das CAD-Institut hat eine entsprechende interne Meldestelle eingerichtet und betreibt diese gemäß den gesetzlichen Bestimmungen, so dass sich hinweisgebende Personen unter Verwendung des auf dieser Webseite angebotenen digitalen Hinweisgebersystems an das CAD-Institut als interne Meldestelle der [FIRMA] wenden können.
Dies vorweggeschickt informieren wir Sie mit diesem Dokument über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Hinweisgebersystems wie folgt:
I. Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
CAD-Institut für Compliance, Arbeitsrecht und Datenschutz
Jasmin und Armin Fladung GbR
Freischwimmer
Pettenkoferstr. 9
67063 Ludwigshafen a.R.
Tel.: 0621-68583357
E-Mail: cad@institut-cad.de
Website: www.institut-cad.de
II. Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Verantwortlichen ist:
Armin Fladung (erreichbar unter den o.g. Kontaktdaten)
III. Allgemeines zur Datenverarbeitung
1. Kategorien/Herkunft der Daten
Wenn Sie eine Meldung über unser Hinweisgebersystem abgeben, also hinweisgebende Person sind, werden die Ihrerseits angegebenen personenbezogenen Daten verarbeitet, um Ihren Hinweis bearbeiten und gegebenenfalls weitere Maßnahmen ergreifen zu können.
Sie haben grundsätzlich die Möglichkeit, anonyme Meldungen durchzuführen, so dass keine personenbezogenen Daten von uns verarbeitet werden können. Welche personenbezogenen Daten konkret verarbeitet werden, hängt damit vom Inhalt Ihrer Meldung und davon ab, ob Sie Ihre Identität offenbaren oder es bevorzugen anonym zu bleiben.
Sofern Sie hingegen eine beteiligte Person sind, können wir personenbezogene Daten zu Ihnen verarbeiten, um die über das Hinweisgebersystem empfangene Meldung zu prüfen und den mitgeteilten Sachverhalt zu untersuchen. Welche Daten hierbei verarbeitet werden, kommt auf den Einzelfall und die jeweils zu Grunde liegende konkrete Meldung an und auch darauf, welche Angaben uns ein Hinweisgeber über oder sonst mit Bezug auf Sie gemacht hat.
2. Art der erhobenen personenbezogenen Daten
Die Meldestellen sind befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist. Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch eine Meldestelle zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. In diesem Fall hat die Meldestelle spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen; § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes ist entsprechend anzuwenden.
Insofern kommen sowohl für hinweisgebende als auch beteiligte Personen beispielsweise folgende Daten als Gegenstand der Verarbeitung in Betracht:
3. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Die Meldung, einschließlich der darin evtl. enthaltenen Informationen über die hinweisgebende Person werden zur Erfüllung der Aufgaben der internen Meldestelle und damit insbesondere zum Zweck der Eingangsbestätigung, der Prüfung des sachlichen Anwendungsbereichs, Kommunikation mit der hinweisgebenden Person, der Prüfung der Stichhaltigkeit der Meldung, der weiteren Informationsbeschaffung und dem Ergreifen von folgemaßnahmen, wie etwa der Klärung der Vorwürfe und der evtl. Abstellung von Fehlverhalten, sowie der Dokumentation verarbeitet.
Wenn Sie ein Hinweisgeber sind, erfolgt die Verarbeitung Ihrer Daten aufgrund Ihrer freiwilligen Angaben (Art. 6 Abs. 1 lit. a) DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO) sowie ggfs. um lebenswichtige Interessen von Personen zu schützen (Art. 6 Abs. 1 lit. d) DSGVO). Zudem besteht ein überwiegendes berechtigtes Interesse des Verantwortlichen in der Erfüllung der Aufgaben und Pflichten aus dem Hinweisgeberschutzgesetz (Art. 6 Abs. 1 lit. d) DSGVO). Ferner ist der Verantwortliche in seiner Funktion als interne Meldestellen gemäß § 10 Hinweisgeberschutzgesetz befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung der gesetzlich bezeichneten Aufgaben erforderlich ist. Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch eine Meldestelle zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. Darüber hinaus besteht die Befugnis zur Verarbeitung von Daten der Beschäftigten der [Firma] auf der Basis der Betriebsvereinbarung i.V.m. § 26 Abs. 4 BDSG i.V.m. Art. 88 Abs. 2 DSGVO über die Einführung und Nutzung eines Hinweisgeberschutz-Systems.
4. Speicherdauer der Daten
Sobald Ihre Daten für die oben genannten Zwecke nicht mehr erforderlich sind und keine weitergehenden Aufbewahrungspflichten mehr bestehen, werden diese gelöscht.
Die Dokumentation der Meldung wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
5. Empfänger der Daten/Kategorien von Empfängern
In unserem Unternehmen sorgen wir dafür, dass nur die Personen Ihre Daten erhalten, die diese zur Bearbeitung des über das Hinweisgebersystem eingereichten Hinweises benötigen.
In bestimmten Fällen unterstützen uns Dienstleister (z. B. IT-Dienstleister), bei der Erfüllung unserer Aufgaben, insbesondere wird unsere digitale Hinweisgeberplattform zur Entgegennahme von Hinweisen über einen beauftragten Dienstleister (hier: whizzla by Lexato GmbH) realisiert. Mit allen Dienstleistern wurde das erforderliche datenschutzrechtliche Vertragswerk abgeschlossen.
Des Weiteren sind wir in gesetzlich vorgeschriebenen Fällen verpflichtet, bestimmte Informationen an Stellen zu übermitteln, wie z. B.: Ermittlungsbehörden, Strafverfolgungsbehörden).
6. Drittlandübermittlung/Drittlandübermittlungsabsicht
Eine Datenübermittlung in Drittstaaten (außerhalb der EU bzw. des Europäischen Wirtschaftsraums) findet nur statt, soweit dies zur Bearbeitung der Meldung zwingend erforderlich, gesetzlich vorgeschrieben ist oder Sie uns dazu Ihre Einwilligung erteilt haben.
Wir übermitteln Ihre personenbezogenen Daten derzeit an keinen Dienstleister oder sonstige Dritte außerhalb des Europäischen Wirtschaftsraums.
7. Automatisierte Einzelfallentscheidungen
Wir nutzen keine automatisierten Verarbeitungsprozesse zur Herbeiführung einer Entscheidung.
IV. Bereitstellung der digitalen Hinweisgeberplattform; Vertraulichkeit
Zur Realisierung unseres Hinweisgebersystems greifen wir auf das Produkt eines Dienstleisters (hier: whizzla by Lexato GmbH) zurück, sodass Sie als Hinweisgeber jederzeit online Hinweise geben können. Sofern Sie sich zur Nutzung dieses Meldekanals entscheiden, werden über die Daten hinaus, die Sie uns in Sachen Ihres Hinweises zur Verfügung stellen, technische Daten verarbeitet damit die Lösung technisch sicher und einwandfrei betrieben werden kann. Zur Sicherstellung Ihrer Anonymität werden jedoch keine personenbezogenen oder -beziehbaren technischen Daten, insbesondere keine IP-Adressen oder Standortdaten verarbeitet.
Wir weisen in diesem Zusammenhang darauf hin, dass unsere Datenverarbeitungssysteme und die der [Firma] vollständig getrennt sind und wir keine Möglichkeit haben, auf technische Daten zuzugreifen, die bei unserem Dienstleister zur technischen Bereitstellung des digitalen Meldeplattform verarbeitet werden. Auch in dieser Hinsicht ist die Vertraulichkeit Ihrer Identität sichergestellt. Zudem erfolgt die Übermittlung zu und Verarbeitung der Hinweise bei unserem Dienstleister jeweils verschlüsselt. Sofern Sie einen Login in unserem Hinweisgebersystem kreieren, werden die Logindaten automatisch und rein zufallsbasiert generiert, sodass eine vertrauliche Kommunikation sichergestellt ist.
V. Rechte der betroffenen Personen
Ihre Rechte als betroffene Person sind in den Art. 15 bis 22 DSGVO normiert und umfassen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und das Recht auf Datenübertragbarkeit. Zudem können Sie Beschwerde gegen die Datenverarbeitung bei einer Datenschutzaufsichtsbehörde an Ihrem Wohnsitz, Aufenthaltsort, unserem Geschäftssitz oder dem Ort des mutmaßlichen Verstoßes einlegen.
Soweit Sie als Hinweisgeber freiwillig Daten angegeben haben, können Sie die Einwilligung für eine etwaige Datenverarbeitung jederzeit mit Wirkung für die Zukunft widerrufen. Bitte berücksichtigen Sie, dass sich dies ggfs. auf die weitere Verfolgung des gemeldeten Vorgangs und unsere Möglichkeiten, Sie in der Sache zu kontaktieren auswirken kann.
Um Ihre Einwilligung zu widerrufen und die übrigen Rechte geltend zu machen, wenden Sie sich bitte an uns unter Verwendung der verschlüsselten Kommunikationsmöglichkeit der digitalen Hinweisgeberplattform oder hilfsweise unter Verwendung der oben genannten Kontaktadresse.
Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen, können Sie dieser Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Mit der Weitergabe von Informationen an die [Firma] zur Durchführung der gesetzlichen Folgemaßnahmen nach dem Hinweisgeberschutzgesetz und dem dort fortschreitenden Bearbeitungsgrad bzw. Ermittlungsstand, ist eine Einstellung der Verarbeitung wie auch eine Löschung Ihrer Identifikationsdaten grundsätzlich durch uns nicht weiter möglich. Sobald Informationen inkl. Namen gegenüber zuständigen Behörden oder Gerichten offengelegt wurden, können diese nicht ohne Weiteres gelöscht werden.
Auch beschuldigte Personen sind über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen zu informieren ist, soweit dies dem Zweck der Datenverarbeitung im Rahmen der Meldung nicht entgegensteht (z.B. bei Beeinträchtigung der Sachverhaltsaufklärung, Verdunkelungsgefahr o.Ä.). Eine Offenlegung Ihrer Identität als Hinweisgeber erfolgt nicht, solange ein überwiegendes Interesse an der Geheimhaltung Ihrer Identität besteht (z.B. Schutz vor Benachteiligung, Konflikten, etc.).