Hinweisgeberrichtlinie DSGVO
Information gemäß Art. 13 / 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems
Im Folgenden informieren wir Sie über die Verarbeitung von personenbezogenen Daten durch die Dienstleistungsgesellschaft in Vorpommern mbH, nachfolgend DLV genannt, im Rahmen des Hinweisgebersystems sowie über die damit verbundenen datenschutzrechtlichen Regelungen, Ansprüche und Rechte.
Die DLV setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, welche bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert werden. Dadurch können nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsschäden abgewendet werden.
1. Zweck der Datenverarbeitung
Die DLV verarbeitet die personenbezogenen Daten des / der Hinweisgeber(in), sofern der Hinweis nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations- und Inhaltsdaten, ausschließlich zu dem Zweck, Hinweise auf kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen auf einem sicheren und vertraulichen Wege entgegenzunehmen und diesen nachzugehen.
2. Kategorien der Datenverarbeitung im Rahmen des Hinweisgebersystems
- Informationen über den/die Hinweisgeber(in) (sofern diese(r) nicht anonym bleiben möchte) und den/die Beschuldigte(n), wie unter anderem
– Vor- und Nachname
– Funktion / Titel
– Kontaktdaten
– ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten - Persönliche Informationen, die in den Berichten des Aufklärungsteams (siehe Ziffer 4) identifiziert wurden, einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise
- Datum und Zeit der Anrufe (bei Eingang des Hinweises über die telefonische Hotline)
- Jede andere Information, die in den Untersuchungsergebnissen und in dem auf den Bericht folgenden, weiterführenden Verfahren identifiziert wurden, z. B. Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde
3. Rechtsgrundlage der Datenverarbeitung
Die Erhebung der personenbezogenen Daten des/der Hinweisgeber(in) bei einem nicht anonymen Hinweis erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung) (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen der DLV (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Es ist ein berechtigtes Interesse der DLV, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für die DLV (§§ 30, 130 OWiG) abzuwenden.
Zudem fordert das Hinweisgeberschutzgesetz die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.
Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 S. 1 Buchst. c DSGVO).
4. Empfänger der Daten und Drittlandübermittlung (EU/EWR-Ausland)
Alle personenbezogenen Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten.
Mit der ersten Bearbeitung der eingehenden Hinweise ist eine externe fachkundige Stelle beauftragt. Diese ist per Vertrag zur Verschwiegenheit verpflichtet.
Geht der Hinweis über die telefonische Hotline ein, so wird der Hinweis, unter der Wahrung der Anonymität des / der Hinweisgebers / Hinweisgeberin, im Hinweisgebersystem aufgenommen. Die Beschäftigten der Hotline sind zur Verschwiegenheit verpflichtet.
In der DLV haben nur dazu befugte Beschäftigte aus folgenden Abteilungen Zugriff auf die Daten
- Aufklärungsteam
– Personalabteilung – die vom Hinweis betroffene Abteilung (fallbezogen) - Geschäftsleitung
In einigen Fällen ist die DLV verpflichtet, die Daten Behörden (wie solche, die die rechtliche oder aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder externen Beratern (wie Buchprüfern, Wirtschaftsprüfern, Rechtsanwälten) mitzuteilen. Sofern der / die Hinweisgeber(in) seinen / ihren Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonymer Hinweis), wird die Identität– soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als Hinweisgeber(in) möglich werden.
Werden personenbezogenen Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Das Hinweisgebersystem wird in unserem Auftrag von der LegalTegrity GmbH, Platz der Einheit 2, 60327 Frankfurt/Main betrieben und von der ASD ArbeitsSicherheitsDienst GmbH, Steinbeckerstraße 1, 17489 Greifswald betreut.Eine Übermittlung von personenbezogenen Daten in Drittländer (EU/EWR-Ausland) erfolgt nicht.
5. Dauer der Verarbeitung, Löschen der Daten
Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse der DLV oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.
6. Technische Hinweise zur Nutzung des Hinweisgebersystems
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgebersystems nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, welcher lediglich die Session-ID beinhaltet. Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
7. Betroffenenrechte nach der DSGVO
Ihnen stehen im Zusammenhang mit der Verarbeitung der Sie betreffenden personenbezogenen Daten folgende Rechte zu:
- Gemäß Art. 7 DSGVO haben Sie das Recht, Ihre Einwilligung in die Datenverarbeitung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
- Gemäß Art. 14 DSGVO haben Sie das Recht, wenn Ihre Daten ohne Ihre Kenntnis erhoben werden (zum Beispiel, weil sie als beschuldigte Person im Verfahren zur Aufklärung des Hinweises involviert sind), über die Speicherung, die Art der Daten, den Zweck der Verarbeitung und die Identität des Verantwortlichen und gegebenenfalls der Hinweisgeberin oder des Hinweisgebers (sofern der Hinweis nicht anonym abgegeben wurde) informiert zu werden. Wenn allerdings das Risiko erheblich wäre, dass eine solche Unterrichtung die Fähigkeit der DLV zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen Beweise gefährden würde, kann diese Information nach Art. 14 Abs. 5 S. 1 lit. b DSGVO so lange aufgeschoben werden, wie diese Gefahr besteht. Die Information muss dann nachgeholt werden, sobald der Grund für den Aufschub entfallen ist.
- Gemäß Art. 15 DSGVO haben Sie das Recht, Auskunft über die personenbezogenen Daten zu Ihrer Person zu verlangen, die durch die DLV verarbeitet werden.
- Gemäß Art. 16 DSGVO haben Sie das Recht, die unverzügliche Berichtigung oder Vervollständigung falscher oder unvollständiger bei uns gespeicherter Daten zu verlangen.
- Gemäß Art. 17 DSGVO haben Sie das Recht, die Löschung der Sie betreffenden personenbezogenen Daten, die bei uns gespeichert sind, zu verlangen, sofern die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, welcher die DLV unterliegt, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
- Gemäß Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn Sie die Richtigkeit dieser Daten bestreiten oder die Verarbeitung dieser Daten zu Unrecht erfolgt.
- Gemäß Art. 20 DSGVO haben Sie das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln oder durch uns übermitteln zu lassen.
- Gemäß Art. 21 DSGVO haben Sie das Recht, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Ihre Daten werden dann nicht mehr verarbeitet, es sei denn, dass die DLV zwingende Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder dass die Verarbeitung der Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen dient.
- Gemäß Art. 77 DSGVO i.V.m. § 17 BDSG haben Sie das Recht, eine Beschwerde gegen die DLV bei der zuständigen Aufsichtsbehörde vorzubringen.
Diese ist:
Der Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a, 19055 Schwerin
Tel.: +49 (0)385-59494-0
E-Mail: info@datenschutz-mv.de