Hinweise zur Datenverarbeitung für Hinweisgeber bei Nutzung des Hinweisgebersystems
(Informationen nach Art. 13, 14 DSGVO)
Mit diesen Hinweisen werden Hinweisgeber über die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems, die Zwecke, Speicherfristen und den Betroffenen zustehenden Rechte in Zusammenhang mit der Datenverarbeitung informiert.
Wer ist für Datenverarbeitung verantwortlich und wer ist Datenschutzbeauftragter?
Marco Eck, Firma Curacon GmbH
Telefon: 02102 1669-731
E-Mail:
Zwecke der Datenverarbeitung
Das Hinweisgebersystem dient der sicheren und vertraulichen Entgegennahme, Bearbeitung und Verwaltung von Hinweisen auf Compliance-Verstöße, Verstöße gegen gesetzliche Vorschriften und unternehmensinterne Regeln der Organisation durch Mitarbeiter, Kunden, Lieferanten und sonstige Dritte. Es soll damit die Aufdeckung und Aufklärung solcher Verstöße fördern, um Schaden von Personen und dem Verband abzuwenden bzw. abzumildern.
Der Hinweisgeber kann entscheiden, ob er anonym bleiben möchte. In jedem Fall erhält die hinweisgebende Person nach drei Monaten eine Rückmeldung zu seinem Hinweis.
Rechtsgrundlagen der Datenverarbeitung
Die Datenverarbeitung im Hinweisgebersystem erfolgt auf Grundlage gesetzlicher Bestimmungen (Art. 6 Abs. 1 lit. c) DSGVO i. V. m. § 10 HinSchG), die für die verantwortliche Stelle im Rahmen des Betriebs eines Hinweisgebersystems gelten:
- Betrieb der Meldekanäle gem. § 16 HinSchG (Einrichtung, Gestaltung, verantwortlicher Personenkreis etc.)
- Verfahren bei internen Meldungen gem. § 17 HinSchG (Prüfung der Meldung, Kontaktpflege mit Ihnen als Hinweisgeber, Erbitten weiterer Informationen)
- Folgemaßnahmen gem. § 18 (etwa interne Untersuchungen, Abschluss des Verfahrens, Weitergabe an eine zuständige Behörde für weitere Untersuchungen)
Die Informationen, die der Hinweisgeber über den Meldekanal übermittelt, enthalten personenbezogene Daten. Diese müssen von der verantwortlichen Stelle verarbeitet werden, um den rechtlichen Verpflichtungen des HinSchG nachzukommen. Dies erfolgt ergänzend zur gesetzlichen Befugnis zu folgenden Zwecken (§ 10 HinSchG):
- Dokumentation der Meldungen gem. § 11 HinSchG
- Vertraulichkeitsgebot gem. § 8 HinSchG
Eine Weiterverarbeitung oder Übermittlung der Daten ist gegebenenfalls zur Verfolgung von Straftaten oder Ordnungswidrigkeiten oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte eines Dritten erforderlich (§ 24 Abs. 1 BDSG).
Soweit neben der speziellen Befugnis oder der rechtlichen Verpflichtung erforderlich, werden personenbezogene Daten zur Wahrung berechtigter Interessen verarbeitet (Art. 6 Abs. 1 lit. f) DSGVO). Dies erfolgt u. a. zum Zweck der Erfüllung berufsmäßiger Verpflichtungen und Anforderungen.
Für den Fall, dass der Hinweisgeber eine Einwilligung zur Verarbeitung von personenbezogenen Daten (Art. 6 Abs. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DSGVO) für bestimmte Zwecke erteilt, ist die jeweilige Einwilligung Rechtsgrundlage für die dort genannte spezifische Verarbeitung. Wenn die Datenverarbeitung auf einer Einwilligung beruht, kann diese jederzeit durch eine Mitteilung gegenüber dem Verantwortlichen mit Wirkung für die Zukunft widerrufen werden. In diesem Fall werden die personenbezogenen Daten gelöscht, wenn es keine anderweitigen schwerer wiegenden Interessen an oder gesetzlichen Pflichten für eine weitere Speicherung und Verarbeitung der Daten gibt.
Welche personenbezogenen Daten werden verarbeitet?
Bei Nutzung des Hinweisgebersystems werden die nachfolgenden personenbezogenen Daten verarbeitet:
- Name sowie Kontaktdaten des Hinweisgebers, wenn dieser nicht anonym bleiben möchte;
- Information, ob der Hinweisgeber im Verband beschäftigt, ist bzw. in welchem Bereich;
- Weitere personenbezogene Daten, die sich aus der Meldung ergeben können;
- ggf. die Namen und sonstigen personenbezogenen Daten zu Personen, die in der Meldung oder der Folgekommunikation benannt werden.
Empfänger der Daten
Die personenbezogenen Daten werden im Falle einer Meldung nur weitergegeben, sofern dies zur Erfüllung vertraglicher und gesetzlicher Pflichten unbedingt erforderlich ist oder die innerbetriebliche Organisation die Weitergabe erfordert. Das bezieht sich nur auf Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie die bei der Erfüllung dieser Aufgaben unterstützenden Personen (§ 8 Abs. 1 Nr. 3 HinSchG).
Es bestehen jedoch gesetzliche Verpflichtungen zur Weitergabe, insbesondere nach § 9 Abs. 2 und 3 HinSchG. Demnach dürfen Informationen über die Identität einer hinweisgebenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben, weitergegeben werden
- in Strafverfahren auf Verlangen der Strafverfolgungsbehörden,
- aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, einschließlich verwaltungsbehördlicher Bußgeldverfahren,
- aufgrund einer gerichtlichen Entscheidung,
- die Weitergabe für Folgemaßnahmen Ihres Beschäftigungsgebers erforderlich ist.
In den ersten drei Fällen wird der Hinweisgeber vorab über die Weitergabe und die Gründe dafür informiert. Das gilt nicht, wenn die Strafverfolgungsbehörde, die zuständige Behörde oder das Gericht mitgeteilt hat, dass durch die Information die entsprechenden Ermittlungen, Untersuchungen oder Gerichtsverfahren gefährdet würden.
Wie lange werden meine Daten gespeichert?
Die personenbezogenen Daten werden für die Dauer der vertraglichen oder gesetzlichen Pflichten gespeichert und nach Zweckerfüllung oder auf Ihre Aufforderung hin unter Beachtung der entsprechenden gesetzlichen Aufbewahrungspflichten des Verantwortlichen datenschutzkonform gelöscht (§ 11 Abs. 5 HinSchG).
- Die grundsätzliche Löschpflicht der Dokumentation Ihrer personenbezogenen Daten beträgt drei Jahre nach Abschluss des Verfahrens.
- Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
Eine über den Zweck erforderliche Aufbewahrungspflicht besteht u. a. in folgenden Fällen:
- Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten nach z.B. Handelsgesetzbuch (HGB), Abgabenordnung (AO), Geldwäschegesetz (GwG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.
Inwieweit finden automatisierte Einzelfallentscheidungen oder Profiling statt?
Im Rahmen des Hinweisgebersystems erfolgen keine automatisierten Verarbeitungsprozesse zur Herbeiführung einer Entscheidung (einschließlich Profiling).
Werden Daten in ein Drittland übermittelt?
Eine Übermittlung in Drittländer ist nicht vorgesehen.
Besteht eine Pflicht zur Bereitstellung personenbezogener Daten?
Nein. Für die Nutzung der Meldestelle als Hinweisgeber besteht keine Pflicht zur Bereitstellung personenbezogener Daten. Dem Hinweisgeber steht es frei, den digitalen Meldekanal auch anonym für Meldungen zu nutzen.
Welche Datenschutzrechte kann ein Betroffener geltend machen?
Betroffene können Auskunft über die zu ihrer Person gespeicherten Daten verlangen. Darüber hinaus können unter bestimmten Voraussetzungen die Berichtigung oder die Löschung der personenbezogenen Daten verlangt werden. Betroffenen steht weiterhin ein Recht auf Einschränkung der Verarbeitung ihrer Daten zu, d. h. auf Markierung der gespeicherten personenbezogenen Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Schließlich kann Betroffenen auch ein Recht auf Herausgabe der von ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zustehen.
Diese Rechte können Sie jederzeit unter der o.g. Adresse geltend machen.
Für den Fall, dass personenbezogene Daten der Hinweisgeber auf Grundlage einer Einwilligung genutzt werden, kann diese Einwilligung jederzeit ohne Angabe von Gründen widerrufen werden.
Der Hinweisgeber hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen. Die Verarbeitung der betreffenden personenbezogenen Daten erfolgt dann nicht mehr, es sei denn, es können zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, dass die Interessen, Rechte und Freiheiten der verantwortlichen Stelle überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Darüber hinaus hat der Hinweisgeber das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn dieser der Ansicht ist, dass eine Verarbeitung der ihn betreffenden personenbezogenen Daten durch die verantwortliche Stelle gegen geltendes Datenschutzrecht verstößt.
Die für uns zuständige Datenschutzaufsichtsbehörde ist
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-999
E-Mail: