Art und Zweck der Datenverarbeitung, Datenkategorien und Rechtsgrundlage
Personenbezogene Daten werden verarbeitet, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen vorzunehmen.
Folgende Arten an personenbezogenen Daten werden u. a. in unserem Meldesystem verarbeitet:
- Informationen zur persönlichen Identifizierung des Hinweisgebers (Vor- und Nachname, Datum, Geschlecht, Anschrift, Telefonnummer, E-Mail-Adresse, etc.)
- Informationen einer Meldung die einer Person zugeordnet werden kann (Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer, E-Mail-Adresse, sonstige Informationen, die eine Identifikation ermöglichen, etc.)
- Beschäftigteneigenschaft, Verbindung zum Unternehmen
- Informationen über den gemeldeten Sachverhalt und weitere mit diesem im Zusammenhang stehende Informationen, Informationen zu ergriffenen Maßnahmen, IP-Adresse und sonstige IT-Nutzungsdaten
- Informationen über Verstöße und deren Folgemaßnahmen (Stichhaltigkeit von erhobenen Behauptungen in der Meldung, Vorgehen gegen den gemeldeten Verstoß, interne Nachforschungen, Strafverfolgungsmaßnahmen, Maßnahmen bis zum Abschluss des Verfahrens, etc.)
Die Meldestelle darf personenbezogene Daten nur aufgrund einer Rechtsgrundlage erheben und verarbeiten.
- 6 Abs. 1 lit. c) DS-GVO i. V. m. § 10 HinSchG: Spezielle Rechtsgrundlage für die Datenverarbeitung durch interne Meldestellen. Die Meldestellen sind befugt, unter anderem auch besonderer Kategorien personenbezogener Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben nach §§ 13, 24 HinSchG (für interne Meldestellen: Betreiben von Meldekanälen, Führen des Verfahrens und Ergreifen von Folgemaßnahmen) erforderlich ist.
- 6 Abs. 1 lit. f) DS-GVO: Die Verarbeitung wird i.d.R. erlaubt, wenn dies zur Wahrung berechtigter Interessen des Unternehmens (zur Rechtsverteidigung, ggf. auch im Zusammenhang mit der Erfüllung ausländischer Rechtsvorschriften, an der Abwendung von Schäden und Haftungsrisiken i.V.m. §§ 30, 130 OWiG) erforderlich ist und die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen.
- 6 Abs. 1 a) DS-GVO Einwilligung zur persönlichen Identifizierung der hinweisgebenden Person.
- 26 Abs. 1 BDSG zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten verarbeitet werden.
- Rechtsgrundlage kann nach Art. 88 DS-GVO i. V. m. § 26 BDSG zudem eine Betriebsvereinbarung oder ein Tarifvertrag sein.
- In Einzelfällen können auch besondere Kategorien personenbezogener Daten verarbeitet werden. Dies kann der Fall sein, wenn solche vom Hinweisgeber übermittelt werden oder deren Erhebung im Rahmen von Aufklärungsmaßnahmen erforderlich ist. Solche besonderen Kategorien von personenbezogenen Daten werden durch uns nur entsprechend der datenschutzrechtlichen Vorgaben verarbeitet, insb. Art. 9 Abs. 2 DS-GVO oder § 26 Abs. 3 BDSG.
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt nicht mittels automatisierter Entscheidungsfindung, einschließlich Profiling gemäß Art. 22 Abs. 1,4 DS-GVO.
Anonymität und Vertraulichkeit
Die Abgabe einer Meldung über das Hinweisgebersystem ist vollständig anonym möglich, sodass ein Hinweis auch inhaltlich ohne Angabe personenbezogener Daten möglich ist. Die Angabe eigener personenbezogener Daten des Hinweisgebers in das Hinweisgebersystem erfolgt freiwillig.
Eingehende Hinweise werden stets vertraulich behandelt und sind nur einem engen Kreis speziell geschulter Mitarbeiter zugänglich, welche mit der Bearbeitung der Hinweise beauftragt sind.
In bestimmten Fällen sind wir gesetzlich verpflichtet, die beschuldigte Person über erhobene Vorwürfe zu unterrichten. Das kann insbesondere der Fall sein, wenn objektiv feststeht, dass eine Information an diese Person die Sachverhaltsaufklärung nicht beeinträchtigen kann. Die Identität des Hinweisgebers oder sonstige Informationen, welche Rückschlüsse auf diesen geben könnten, werden – soweit rechtlich zulässig – aber nicht weitergegeben.
Wir weisen darauf hin, dass die Vertraulichkeit im Falle wissentlich falscher Hinweise nicht gewährleistet werden kann, wenn diese die Absicht verfolgen, Personen zu verleumden.
Datenempfänger und Drittlandtransfer
Die personenbezogenen Daten, die im Rahmen einer Meldung verarbeitet werden, werden von der Firma WhistleWeb, Vahrenwalder Straße 269a, 30179 Hannover, im Auftrag und nach Weisungen verarbeitet. Mit den Betreibern der Meldeplattform haben wir einen Vertrag geschlossen.
Bei Einleitung von Folgemaßnahmen werden personenbezogenen Daten an unsere entsprechend zuständigen Fachabteilungen weitergegeben.
Wir geben personenbezogenen Daten an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Gerichte, Behörden oder sonstige öffentliche Stellen und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Anwaltskanzleien oder Wirtschaftsprüfer, Versicherungen oder Prozessgegner von Gerichtsverfahren, weiter. Eine Übermittlung der personenbezogenen Daten an Dritte findet nur statt, wenn dies zur Erfüllung der vorgenannten Zwecke erforderlich ist, eine Rechtsgrundlage vorliegt, z. B. für die Übermittlung der Erfüllung gesetzlicher Vorgaben und keine schutzwürdigen Interessen entgegenstehen.
Eine Übermittlung zur Datenverarbeitung in ein Drittland findet nicht statt und ist auch nicht geplant.
