Zum Hauptinhalt springen

Datenschutzinformationen

Die nachfolgende Erklärung beschreibt, wie und zu welchem Zweck personenbezogene Daten im Rahmen der internen Meldestelle verarbeitet werden.

1. Für die Datenverarbeitung verantwortliche Stelle und Kontaktdaten

Nach § 14 Abs. 1 S. 1 HinSchG kann eine interne Meldestelle eingerichtet werden, indem eine bei dem jeweiligen Unternehmen/Beschäftigungsgeber (§ 3 Abs. 9 HinSchG) beschäftigte Person mit den Aufgaben einer internen Meldestelle betraut wird. Ebenso kann auch die Betrauung eines Dritten mit den Aufgaben einer internen Meldestelle erfolgen. Die Verantwortlichkeit für die Datenverarbeitung ist von der jeweiligen Organisationsform der Meldestelle abhängig:
  • Sofern der Beschäftigungsgeber die Aufgaben der internen Meldestelle mit eigenen Beschäftigten betreut (Modell 1), ist alleine der Beschäftigungsgeber Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, da er alleine über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Sofern die Meldungen bei Rechtsanwältinnen und Rechtsanwälte von Küttner Rechtsanwälte Partnerschaftsgesellschaft mbB (nachfolgend: „Küttner“) als Dritte im Sinne von § 14 Abs. 1 S. 1 Var. 3 HinSchG eingehen (Modell 2), ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO: Küttner Rechtsanwälte Partnerschaftsgesellschaft mbB, Richmodstraße 8, 50667 Köln.
Die Organisationsform der Meldestelle ergibt sich aus den Informationen auf der Webseite, üblicherweise unter der Kategorie „Wem melde ich“.

2. Interne Meldestelle

Die interne Meldestelle erfüllt die Anforderungen der EU-Hinweisgeberschutzrichtlinie (HinSch-RL) und des Hinweisgeberschutzgesetzes (HinSchG). Die Meldestelle kann dazu beitragen, Missstände, rechtswidriges und fehlerhaftes Verhalten früh zu entdecken und Verstöße gegen geltendes Recht und Compliance-Regeln aufzuklären. Die Meldestelle bzw. der jeweilige Verantwortliche im Sinne von Ziffer 1 sichert einen verantwortungsvollen und sorgfältigen Umgang mit allen eingehenden Hinweisen zu, gewährleistet eine vertrauliche, neutrale und objektive Behandlung und sorgsame Prüfung der erforderlichen Maßnahmen. Die Nutzung der Meldestelle durch die hinweisgebende Person ist freiwillig.

3. Was sind personenbezogene Daten

Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind all diejenigen Informationen, mit denen eine natürliche Person entweder allein oder in Verbindung mit anderen Daten identifizierbar ist. Darunter fallen z. B. Ihr Name oder Ihre Adresse. Keine personenbezogenen Daten sind hingegen jene Informationen, die keinen Rückschluss auf die Identität einer Person zulassen (anonyme Daten).
Im Rahmen der Meldestelle werden ausschließlich die personenbezogenen Daten verarbeitet, die von der hinweisgebenden Person zur Verfügung gestellt haben. Die Daten werden im Einklang mit den Bestimmungen der anwendbaren Datenschutzgesetze, insb. der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verarbeitet.

4. Kategorien von Daten, die verarbeitet werden

Im Fall der Abgabe einer Meldung erfasst die Meldestelle – unabhängig von der Organisationsform – zunächst nur die personenbezogenen Daten, die übermittelt werden. Dies sind in der Regel:
  • Name der hinweisgebenden Person,
  • Kontaktdaten der hinweisgebenden Person (insb. E-Mail, Telefonnummer)
  • Stellung und Position im Unternehmen,
  • weitere personenbezogene Daten, die sich aus Ihrer Meldung ergeben, und
  • ggf. die Namen und sonstigen personenbezogenen Daten der Personen, die in der Meldung benannt sind. Sollten im Zuge der Ermittlungen aufgrund der Meldung weitere personenbezogene Daten erhoben werden, können diese ebenso verarbeitet werden.

5. Zweck der Datenverarbeitung und Rechtsgrundlage

Die Verarbeitung personenbezogener Daten durch die interne Meldestelle dient zunächst der Erfüllung der gesetzlichen Pflichten aus dem HinSchG und der HinSch-RL. Ziel ist die Bearbeitung und Verwaltung von Hinweisen auf Compliance-Verstöße durch Mitarbeiter, Kunden, Lieferanten und sonstige Dritte.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist damit die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Zudem auch das berechtigte Interesse an der Aufdeckung und Verhinderung von Rechtsverstößen und Fehlverhalten (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Zudem erfolgt die Datenverarbeitung nach § 26 Abs. 1 S. 1 BDSG zu Zwecken des Beschäftigungsverhältnisses und/oder nach § 26 Abs. 1 S. 2 BDSG zur Aufdeckung von Straftaten.

6. Datensicherheit

Wenn Sie das Webformular der Meldestelle nutzen, werden alle Daten verschlüsselt gespeichert und übermittelt. Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um die Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Die Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Zur Erhöhung der Sicherheit sind Meldungen nur über eine sichere Internetverbindung vorzunehmen.

7. Logfiles des Servers

Bei einem Besuch der Eingabemaske werden serverseitig sog. Logfiles erzeugt. Logfiles sind Protokolldaten, in denen Prozesse eines Computer- oder Netzwerksystems protokolliert werden. Diese Daten werden lediglich zum ordnungsgemäßen Betrieb und der Sicherheit des Hinweisgebersystems verarbeitet. Die Informationen in den Logfiles umfassen regelmäßig:
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL der abgerufenen Datei,

8. Vertraulichkeit und Weitergabe von Daten

Die vertrauliche Behandlung aller Meldungen und personenbezogenen Daten ist zu jeder Zeit und in jedem Bearbeitungsschritt sichergestellt. Dies betrifft insbesondere die personenbezogenen Daten der hinweisgebenden Person sowie der von dem Hinweis betroffenen Personen.
Zugriff auf die Daten haben nur einzelne, zuvor festgelegte, befugte und zum vertrauensvollen Umgang verpflichtete Personen. Sofern die Meldungen durch die Kanzlei Küttner als „Dritter“ im Sinne des § 14 Abs. 1 S. 1 Var. 3 HinSchG bearbeitet werden (Modell 2), handelt es sich um eine Datenverarbeitung im Auftrag. Im Zuge der Aufklärungsmaßnahmen und bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen können weitere Rechtsanwältinnen und Rechtsanwälte von Küttner eingebunden werden. Diese unterliegen ebenso einer besonderen berufsständischen Verschwiegenheitsverpflichtung.
Personenbezogene Daten können trotz der Wahrung der Vertraulichkeit in Ausnahmesituationen zur Kenntnis von Behörden, Gerichten oder Dritter gelangen. Dies ist dann der Fall, wenn die Weitergabe dieser Informationen verpflichtend ist, wie beispielsweise im Rahmen einer behördlichen Untersuchung (z.B. im Rahmen eines Ermittlungsverfahrens) oder wenn dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 6 Abs. 1 S. 1 lit. c), f) DS-GVO). Gleiches gilt, wenn Folgemaßnahmen nach § 18 HinSchG ergriffen werden müssen oder sonstige schwerwiegende Pflichtverletzung einer Aufklärung bedürfen. Außerdem müssen die gemeldeten Informationen unter bestimmten Voraussetzungen auch gegenüber der durch die Meldung betroffenen Personen offengelegt werden.
In jedem Verarbeitungsschritt werden die Grundsätze des Art. 5 DSGVO umfassend berücksichtigt.

9. Kein Datentransfer an Drittländer

Alle an die interne Meldestelle übermittelten Daten werden ausschließlich in der Europäischen Union (EU) verarbeitet. Eine Übermittlung in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) findet nicht statt.

10. Dauer der Speicherung

Die Dokumentation der Meldung wird grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann jedoch länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz oder nach anderen Rechtsvorschriften zu erfüllen, wenn und soweit dies erforderlich und verhältnismäßig ist.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten und Rechte nicht mehr erforderlich, werden sie regelmäßig gelöscht. Dies gilt nicht, wenn ihre Weiterverarbeitung zur Erfüllung gesetzlicher Vorgaben aus einem überwiegenden berechtigten Interesse erforderlich ist.

11. Datenschutz- und Betroffenenrechte

Die betroffene Person hat gegenüber dem Verantwortlichen (vgl. Ziffer 1) das Recht
  • gemäß Art. 15 DS-GVO Auskunft über die verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere kann Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei der betroffenen Person erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  • gemäß Art. 16 DS-GVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung der gespeicherten personenbezogenen Daten zu verlangen;
  • gemäß Art. 17 DS-GVO die Löschung der gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
  • gemäß Art. 18 DS-GVO die Einschränkung der Verarbeitung der personenbezogenen Daten zu verlangen, (a) soweit die Richtigkeit der Daten von der betroffenen Person bestritten wird, (b) die Verarbeitung unrechtmäßig ist, die betroffene Person aber deren Löschung ablehnen, (c) die Daten vom Verantwortlichen nicht mehr benötigt werden, die betroffene Person jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder (d) die betroffene Person gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt haben;
  • gemäß Art. 20 DS-GVO die personenbezogenen Daten, die die betroffene Person dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
  • gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen, sofern die personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO verarbeitet werden. Dies gilt, soweit dafür Gründe vorliegen, die sich aus der besonderen Situation ergeben.
  • eine etwaige gemäß Art. 7 Abs. 3 DS-GVO erteilte Einwilligung jederzeit gegenüber dem Verantwortlichen zu widerrufen. Dies hat zur Folge, dass die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführt werden darf;
  • gemäß Art. 77 DS-GVO bei einer Aufsichtsbehörde zu beschweren. In der Regel kann sich die betroffene Person hierfür an die Aufsichtsbehörde ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden.