Datenschutzergänzung der Hinweisgeberhotline (Whistlefox)
Als Teil unseres Compliance Management Systems haben wir eine Hinweisgeberhotline eingerichtet. Sie haben die Möglichkeit, darüber Hinweise zu Sachverhalten abzugeben, die dem Hinweisgeberschutzgesetz (HinSchG) unterliegen oder an deren Kenntniserlangung wir sonst ein berechtigtes Interesse haben.
Zur Entgegennahme und Prüfung solcher Hinweise haben wir die Kanzlei Heuking Kühn Lüer Wojtek als ausgelagerte interne Meldestelle beauftragt (nachfolgend: „Meldestelle“).
Meldungen an die Meldestelle können per Webformular, telefonisch, per Email, postalisch oder persönlich abgegeben werden.
Hinweise an die Meldestelle können anonym erfolgen.
Die Nutzung der Meldestelle ist freiwillig.
Wenn Sie eine Meldung an die Meldestelle abgeben, erfasst diese die von Ihnen übermittelten Informationen. Dies umfasst Ihre personenbezogenen Daten, sofern Sie diese offenlegen, und in der Regel die Namen und sonstigen personenbezogenen Daten der Personen, die Sie in Ihrer Meldung nennen. Näheres zum Umgang der Meldestelle mit Ihren personenbezogenen Daten ergibt sich aus der Datenschutzerklärung der Meldestelle.
a) Kategorien personenbezogener Daten, die wir verarbeiten
Wir erhalten von der Meldestelle, wenn diese die Meldung geprüft hat, einen Bericht, der die folgenden personenbezogenen Daten enthalten kann:
- Namen und sonstige personenbezogene Daten der hinweisgebenden Person nur dann, wenn die hinweisgebende Person nicht anonym bleiben möchte und mit der Weitergabe an uns einverstanden ist;
- Namen und sonstige sich aus der Meldung ergebende personenbezogene Daten der Personen, die in der Meldung genannt werden
Im Zuge der weiteren Aufklärung des gemeldeten Sachverhalts und der weiteren Bearbeitung können weitere personenbezogene Daten erhoben und von uns verarbeitet werden.
b) Zwecke der Datenverarbeitung, Rechtsgrundlage
Die Verarbeitung der uns von der Meldestelle übermittelten Daten dient der Bearbeitung und Verwaltung von Hinweisen auf Compliance-Verstöße, Verstöße gegen gesetzliche Vorschriften und Verstöße im Zusammenhang mit unserem geschäftlichen Betrieb durch Mitarbeiter, Kunden, Lieferanten und sonstige Dritte.
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten als hinweisgebende Person ist, sofern Sie Ihre Identität offenlegen und mit der Weitergabe Ihres Namens durch die Meldestelle an uns einverstanden sind, Ihre Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Soweit Sachverhalte betroffen sind, die dem Hinweisgeberschutzgesetz (HinSchG) unterfallen, ist § 10 HinschG Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten von Ihnen als hinweisgebender Person sowie von der von dem Hinweis betroffenen Person(en).
Außerhalb des Anwendungsbereichs des HinschG ist Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten von Ihnen und der von der Meldung betroffenen Personen unser berechtigtes Interesse an der Aufdeckung und Verhinderung von Rechtsverstößen und Fehlverhalten (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Ein berechtigtes Interesse an der Aufdeckung und Verhinderung von Rechtsverstößen und Fehlverhalten besteht, soweit wir in bestimmten Bereichen gesetzlich hierzu verpflichtet sind. Zudem können solche Verstöße nicht nur erheblichen wirtschaftliche Schäden verursachen, sondern auch zu einem erheblichen Reputationsverlust führen.
Wenn es sich bei der betroffenen Person um einen Beschäftigten von uns handelt, ist Rechtsgrundlage für die Verarbeitung im Zuge der Bearbeitung oder weiteren Ermittlung des gemeldeten Sachverhalts zudem § 26 Abs. 1 S. 1 BDSG (Verarbeitung zu Zwecken des Beschäftigungsverhältnisses) oder § 26 Abs. 1 S. 2 BDSG (Verarbeitung zur Aufdeckung von Straftaten) und gegebenenfalls unser oben beschriebenes berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
c) Weitergabe an Dritte
Die vertrauliche Behandlung aller Meldungen und Daten durch die Meldestelle ist zu jeder Zeit und in jedem Bearbeitungsschritt sichergestellt. Dies betrifft insbesondere die personenbezogenen Daten der hinweisgebenden Person sowie der von dem Hinweis betroffenen Person(en). Nur einzelne, zuvor festgelegte, befugte und zum vertrauensvollen Umgang verpflichtete Personen haben Zugriff auf eingehende Meldungen und Informationen über die Bearbeitung der Meldung bzw. Folgemaßnahmen.
Wenn die Meldung ein anderes Unternehmen unserer Unternehmensgruppe betrifft, werden wir die Inhalte der Meldung und die Ergebnisse der weiteren Aufklärung des Sachverhalts an dieses Unternehmen unserer Unternehmensgruppe weitergeben.
Inhalte der Meldung und die Ergebnisse der weiteren Aufklärung des gemeldeten Sachverhalts werden wir möglicherweise an Gerichte, Behörden und sonstige öffentliche Stellen weitergeben. Dies kann dann der Fall sein, wenn wir zur Offenlegung der Daten gesetzlich verpflichtet sind, oder wenn dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Im Zuge der Aufklärungsmaßnahmen und bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen greifen wir zudem gegebenenfalls auf die Unterstützung durch Anwaltskanzleien oder Wirtschaftsprüfungsgesellschaften zurück.
Zudem binden wir möglicherweise bei der Aufklärung und Aufbereitung des gemeldeten Sachverhalts (technische) Dienstleister ein, die für uns als Auftragsverarbeiter im Sinne der Art. 28 DSGVO und auf Grundlage entsprechender Vereinbarungen weisungsgebunden tätig werden. Auch diese können von den Inhalten der Hinweisgebermeldung Kenntnis erlangen, werden jedoch zum vertraulichen Umgang mit den betroffenen Daten verpflichtet.
Personenbezogene Daten der hinweisgebenden sowie der betroffenen Personen können trotz der Wahrung der Vertraulichkeit in Ausnahmesituationen zur Kenntnis von Behörden, Gerichten oder Dritter gelangen. Dies ist dann der Fall, wenn die Weitergabe dieser Informationen für uns verpflichtend ist, wie beispielsweise im Rahmen einer behördlichen Untersuchung (z.B. im Rahmen eines Ermittlungsverfahrens) oder wenn dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Außerdem müssen die gemeldeten Informationen unter bestimmten Voraussetzungen durch uns auch gegenüber den durch die Meldung betroffenen Personen offengelegt werden.
d) Dauer der Datenspeicherung
Die personenbezogenen Daten werden so lange gespeichert, wie es für die Aufklärung der Meldung und die sich daran gegebenenfalls anschließenden Maßnahmen erforderlich ist, oder ein berechtigtes Interesse unsererseits besteht oder solange dies gesetzlich vorgeschrieben ist. Danach werden die Daten entsprechend den gesetzlichen Vorgaben gelöscht.