Datenschutzhinweise für das Hinweisgebersystem
Im Folgenden informieren wir gemäß Art. 13 DS-GVO darüber, wie personenbezogene Daten im Rahmen des Meldesystems verarbeitet sowie über die damit verbundenen datenschutzrechtlichen Regelungen, Ansprüche und Rechte.
Das August-Wilhelm Scheer Institut für digitale Produkte und Prozesse gGmbH setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, die bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert sowie nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsverluste abgewendet werden.
Wer ist für die Verarbeitung verantwortlich?
Verantwortlich im Sinne des Art. 4 Nr. 7 DS-GVO ist regelmäßig diejenige Gesellschaft, gegenüber der Sie eine Meldung abgeben. Sie treffen diese Auswahl selbst, indem Sie z.B. systemseitig angeben, an welche Gesellschaft Sie Ihre Meldung richten. Angaben zum jeweiligen Verantwortlichen finden Sie nachfolgend:
August-Wilhelm Scheer Institut für digitale Produkte und Prozesse gGmbH
z.Hd. Datenschutz Hinweisgebersystem
Uni-Campus D 5 1, 66123 Saarbrücken
E-Mail: datenschutz-hinweisgebersystem@aws-institut.de
Datenschutzbeauftragter
Bei Fragen zum Datenschutz wenden Sie sich bitte an das Privacy-Team unter der oben genannten Adresse des August-Wilhelm Scheer Instituts mit dem Zusatz „z.Hd. Datenschutz Hinweisgebersystem“ oder elektronisch unter: datenschutz-hinweisgebersystem@aws-institut.de
Zu welchen Zwecken verarbeiten wir die Daten?
Der Verantwortliche des August-Wilhelm Scheer Institut für digitale Produkte und Prozesse gGmbH Instituts verarbeitet die personenbezogenen Daten der meldenden Person, sofern die Meldung nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations- und Inhaltsdaten, zum Zwecke der Untersuchung der Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder )Einziehung von Mitteln oder dem Abschluss des Verfahrens) vorzunehmen.
Auf welcher Rechtsgrundlage verarbeiten wir die Daten?
Die Erhebung der personenbezogenen Daten der meldenden Person bei einer nicht anonymen Meldung erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung) (Art. 6 Abs. 1 S. 1 lit. a DS-GVO).
Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen des o.g. Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f DS-GVO). Es ist ein berechtigtes Interesse des Unternehmens, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für Unternehmen (§§ 30, 130 OWiG) abzuwenden. Auch die Richtlinien (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das Hinweisgeberschutzgesetz in Deutschland fordern die Einrichtung eines Meldesystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Meldungen auf Rechtsverstöße im Unternehmen zu geben.
Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger (Art. 4 Nr. 7 DS-GVO) kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 S. 1 lit. c DS-GVO).
Die Verarbeitung personenbezogener Daten von Beschäftigten (für Verantwortliche im Anwendungsbereich des BDSG) erfolgt auf Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten i.S.d. § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Welche Datenkategorien werden verarbeitet?
Grundsätzlich verarbeiten wir personenbezogene Daten, die wir im Rahmen einer Meldung direkt erhalten. Dazu können zählen:
- Informationen über die meldende Person (sofern diese/r nicht anonym bleiben möchte) und den/die Beschuldigte(n), wie
– Vor- und Nachname
– Kontaktdaten
– ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten - Persönliche Informationen, etwa zu betroffenen Personen, die in einer Meldung als eine Person bezeichnet wird, der ein Fehlverhalten anzulasten sei, sowie die im Rahmen der Aufklärung identifiziert wurden, einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise.
- Datum und Zeit der Anrufe (bei Eingang der Meldung über Telefon).
- Jede andere Information, die in den Untersuchungsergebnissen und in einem möglicherweise weiterführenden Verfahren identifiziert wurde, z.B. Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde.
- Informationen über Verstöße, die darüber hinaus ggf. Rückschlüsse auf eine natürliche Person erlauben.
Wer erhält Zugriff auf die personenbezogenen Daten?
Personenbezogene Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten. Geht die Meldung über die telefonische Hotline ein, so wird die Meldung, unter der Wahrung der Anonymität der meldenden Person, im Meldesystem aufgenommen.
Zur Entgegennahme und Qualifizierung einer Meldung haben wir einen neutralen Compliance-Ombudsmann beauftragt: THS Treuhand Saar Compliance GmbH, Feldmannstraße 103, 66119 Saarbrücken.
Dieser betreibt in unserem Auftrag unsere interne Meldestelle unter Zuhilfenahme einer webbasierten Applikation der Firma lawcode GmbH, Universitätsstraße 3, 56070 Koblenz.
Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen, werden die im Rahmen der Meldung erforderlichen personenbezogenen Daten gegebenenfalls an die intern zuständigen Fachabteilungen beim Verantwortlichen weitergegeben.
In einigen Fällen ist der Verantwortliche verpflichtet, die Daten Behörden (wie solche, die die rechtliche oder aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder externen Beratern (wie Buchprüfern, Wirtschaftsprüfern, Rechtsanwälten) mitzuteilen.
Sofern die meldende Person den eigenen Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonyme Meldung), wird die Identität – soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als meldenden Person möglich werden.
Werden personenbezogene Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DS-GVO erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Ihre Rechte als betroffene Person
Sie haben im Rahmen der jeweiligen Regelungen (insbesondere Art. 15-21 DS-GVO) vielfältige Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:
- Recht auf Auskunft,
- Recht auf Berichtigung,
- Recht auf Löschung,
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit.
- Auch haben Sie das Recht, einer nicht ausschließlich automatisierten Einzelfallentscheidung zu unterliegen.
- Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.
Das Auskunfts- und das Löschungsrecht unterliegen gesetzlichen Einschränkungen. Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen, können Sie dieser Verarbeitung widersprechen, wenn sich aus Ihrer besonderen Situation Gründe ergeben, die gegen eine Datenverarbeitung sprechen.
Gemäß Art. 7 DS-GVO gilt das Recht, die eigene Einwilligung in die Datenverarbeitung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.
Nähere Angaben zum Widerspruchsrecht finden Sie unten.
Findet eine ausschließliche automatisierte Entscheidungsfindung statt?
Nein.
Findet Profiling statt?
Nein.
Dauer der Datenspeicherung
Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse des Unternehmens oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzungen.
Personenbezogene Daten im Zusammenhang mit Meldungen werden vom Compliance-Ombudsmann unverzüglich gelöscht, sofern sie durch diesen als offensichtlich sachlich grundlos erachtet werden.
Widerspruchsrecht nach Art. 21 DS-GVO
Gemäß Art. 21 DS-GVO haben Sie das Recht, Widerspruch gegen die Verarbeitung der eigenen personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus der persönlichen besonderen Situation ergeben. Die eigenen Daten werden dann nicht mehr verarbeitet, es sei denn, dass der Verantwortliche zwingende Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder dass die Verarbeitung der Geltendmachung Ausübung oder Verteidigung von Rechtsansprächen dient.
Der Widerspruch kann formfrei erfolgen und sollte möglichst an den o.g. Verantwortlichen bzw. dessen interne Meldestelle gerichtet werden.
Informationen gemäß Art. 13 Abs. 2 lit. e DS-GVO
Die Bereitstellung der Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss erforderlich. Unter Umständen bestehen je nach individuellem Einzelfall gesetzliche Pflichten, uns eine Meldung zu erteilen. Für eine sinnvolle Bearbeitung und Untersuchung der Meldung ist eine Verarbeitung der Daten jedoch erforderlich.
Sonstige Hinweise
Wir behalten uns vor, diese Datenschutzhinweise bei Bedarf zu aktualisieren.
Stand: Dezember 2023