Datenschutzinformationen Meldestelle (Hinweisgeberschutz)

Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen des Eingangs von Meldungen, der Stichhaltigkeitsprüfung, der Kontaktaufnahme mit Ihnen sowie der Versendung von Eingangsbestätigungen und der Dokumentation von Hinweisen ist die

datenschutz süd GmbH
Wörthstraße 15
97082 Würzburg
Tel.: +49 931 304 976-0
E-Mail: office@datenschutz-sued.de

Verarbeitung personenbezogenen Daten

Die Nutzung der Meldekanäle E-Mail, Telefon und/oder Hinweisgeber-Portal („Plattform“) erfolgt auf freiwilliger Basis. Neben den Inhalten Ihres Hinweises werden dabei insbesondere folgende personenbezogene Daten von Ihnen verarbeitet:

• Name, sofern Sie Ihre Identität offenlegen,
• Position im Unternehmen (sofern Sie diese angeben),
• Kontaktdaten, sofern Sie uns diese zur Verfügung stellen,
• Die Eingangsbestätigung bezüglich Ihres Hinweises und die weitere Kommunikation mit Ihnen,
• Gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die in Ihrem Hinweis genannt sind.

Im Falle der Abgabe eines Hinweises über unsere Plattform werden folgende Angaben von Ihnen abgefragt:

• Kurzzusammenfassung Sachverhalt,
• Ausführliche Darstellung des Sachverhalts,
• Relevanter Zeitraum,
• Ihre Funktionsbeschreibung,
• Beweis/Nachweis als Datei zum Upload in Plattform,
• Name (freiwillig),
• Telefonnummer (freiwillig),
• Wunsch auf Anonymität.

Zweck und Rechtsgrundlage der Datenverarbeitung

Ihre Daten werden im Rahmen der geltenden Gesetze insbesondere für die folgenden Compliance- und Aufklärungszwecke verarbeitet:

• Untersuchung der Plausibilität von zugetragenen Hinweisen: Vor der Einleitung von Aufklärungsmaßnahmen wird unter anderem geprüft, ob die von Ihnen übermittelten Hinweise plausibel erscheinen und auf einen Regelverstoß durch Beschäftigte einer unserer Kunden schließen lassen.
• Aufklärung von Fehlverhalten: Handelt es sich um einen plausiblen Hinweis, können Aufklärungsmaßnahmen zur Aufklärung des Sachverhalts sowie möglicher Verstöße oder Straftaten eingeleitet werden. Dies betrifft beispielsweise die Aufdeckung und Ahndung von Betrugshandlungen, Korruption, Steuerstraftaten, Kartellverstößen, Geldwäsche oder sonstigen Wirtschaftsdelikten oder auch von Verletzungen unserer internen Verhaltensgrundsätze (Code of Conduct). Hierzu werden die in Ihrem Hinweis enthaltenen Informationen sowie weitere verfügbare Informationen an die jeweilige Gesellschaft weitergeleitet. Sofern in diesem Zusammenhang Rückschlüsse auf Ihre Identität absehbar sind, leiten wir die Informationen nur weiter, sofern dies für die Umsetzung von Folgemaßnahem erforderlich ist und Sie zuvor Ihre Einwilligung gemäß § 9 Abs. 3 HinSchG erteilt haben.
• Umsetzung Mitwirkungspflichten: Gegebenenfalls müssen wir aufgrund gesetzlicher Mitwirkungspflichten die im Rahmen der Aufklärungsmaßnahmen erhobenen Daten an Strafverfolgungsbehörden oder sonstige Behörden weiterleiten. Dies kann beispielweise der Fall sein, wenn eine Strafverfolgungsbehörde als Folge einer Aufklärungsmaßnahme ein strafrechtliches Ermittlungsverfahren gegen einen Betroffenen einleitet.

Die Datenverarbeitungen erfolgen grundsätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 10 S. 1 HinSchG. Die oben genannten Datenverarbeitungen können je nach Verarbeitungszweck aber auch auf Grundlage anderer Vorschriften erfolgen. Insbesondere gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit

• §§ 16 ff. HinSchG zu Zwecken der Einrichtung sowie Gestaltung der internen Meldestelle, der Durchführung eines internen Verfahrens oder der Einleitung von Folgemaßnahmen.
• § 11 HinSchG zur Erfüllung der Dokumentationspflichten. Für die Aufzeichnung oder wortgetreue Protokollierung Ihres telefonisch oder mittels einer Sprachmitteilung erfolgten Hinweises benötigen wir Ihre Einwilligung. Diese werden wir in diesem Fall gesondert einholen und dokumentieren.

Soweit sich Ihre Meldung auf menschenrechtliche und umweltbezogene Risiken sowie auf Verletzungen menschenrechtsbezogener oder umweltbezogener Pflichten bezieht, die durch das wirtschaftliche Handeln im Geschäftsbereich einer in Deutschland ansässigen Gesellschaften eines unserer Kunden oder eines unmittelbaren Zulieferers entstanden sind, ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 8 Lieferkettensorgfaltspflichtengesetz (LkSG) Rechtsgrundlage der Verarbeitung personenbezogener Daten für die Bearbeitung von Beschwerden nach dem LkSG.

Sofern zur Erfüllung der Aufgaben der internen Meldestelle die Verarbeitung von besonderen Kategorien personenbezogener Daten zwingend erforderlich ist, erfolgt diese gemäß Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit § 10 Satz 2 HinSchG.

In Einzelfällen erfolgt die Datenverarbeitung auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, sofern keine schutzwürdigen Interessen der betroffenen Personen überwiegen. Dies kann insbesondere im Zusammenhang mit Geltendmachung bzw. Verteidigung von Rechtsansprüchen und der Verbesserung der Compliance-Strukturen der Fall sein.

Empfänger Ihrer Daten

Eine Übermittlung Ihrer Daten an Dritte erfolgt grundsätzlich nicht. Sofern eine Übermittlung Ihrer Daten zur Einleitung von Folgemaßnahmen erforderlich ist, erfolgt die Weitergabe von Informationen zu Ihrer Person ausschließlich, sofern Sie vorab hierin einwilligen oder sofern dies gemäß § 9 Abs. 1 oder Abs. 2 HinSchG legitimiert ist. 

Bei entsprechender gesetzlicher Verpflichtung oder datenschutzrechtlicher Erforderlichkeit für die Hinweisaufklärung kann es in Einzelfällen zu einer Weitergabe Ihrer Daten an Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie unseren externen Rechtsbeistand kommen. Jede Person, die Zugang zu den Daten erhält, ist hierbei vertraglich oder gesetzlich zur Vertraulichkeit verpflichtet.

Im Falle einer Nutzung unserer Plattform werden Ihre im Rahmen des Hinweises getätigten Angaben über unsere beteiligten Dienstleister erhoben und in unserem Auftrag gem. Art. 28 DSGVO (Auftragsverarbeitung) verarbeitet. Bei unserer Dienstleisterin handelt es sich um unsere Schwestergesellschaft First Privacy B.V. mit Sitz in Amsterdam. Hostingpartner ist ein Rechenzentrumsbetreiber innerhalb der Europäischen Union. Mithilfe entsprechender Verträge zur Auftragsverarbeitung gem. Art. 28 DSGVO wurde für einen angemessenen Datenschutz und Datensicherheit Ihrer personenbezogenen Daten Sorge getragen.

Eine Übermittlung Ihrer Daten an Stellen außerhalb der EU bzw. des EWR erfolgt in diesem Zusammenhang nicht.

Speicherdauer

Ihre personenbezogenen Daten werden nach Abschluss des Verfahrens zu Dokumentationszwecken für vier Jahre (§ 11 Abs. 5 HinSchG) aufbewahrt. In Ausnahmefällen kann es zu einer längeren Aufbewahrung kommen, sofern andere Rechtsvorschriften eine längere Aufbewahrung erforderlich machen. Im Falle von Beschwerden nach dem LkSG erfolgt eine Aufbewahrung für mindestens sieben Jahre (§ 9 Abs. 1 LkSG).
 

Ihre Datenschutzrechte

Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit. 

In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Um Ihre Rechte geltend zu machen, wenden Sie sich bitte an folgende Kontaktadresse: 

meldestelle@datenschutz-sued.de 

Sie haben zudem das Recht hat auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.