Hinweisgebersystem gemäß Hinweisgeberschutzgesetz (HinSchG)
Gemäß unserer gesetzlichen Verpflichtung haben wir über unsere Website ein Hinweisgebersystem eingerichtet. Unsere Mitarbeiter*innen undWebseitenbesucher*innen, bei denen es sich neben Interessenten u.a. auch um Kunden, Lieferanten, Ansprechpartner und Dienstleister (Externe) handeln kann, können das Hinweisgebersystem nutzen, um uns über mögliche Verstöße gegen gesetzliche Vorgaben oder interne Regelungen(„Regelverstöße“) zu informieren („Hinweis“) und so zu deren Aufklärung und Verfolgungbeizutragen.
Hiermit informieren wir Sie nach Art. 13, 14 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten („Daten“) im Rahmen unseres Hinweisgeber-systems. Wir werden personenbezogene Daten im Rahmen des Hinweisgebersystems nur nach Maßgabe der geltenden datenschutzrechtlichen Vorgaben verarbeiten. Diese Vorgaben ergeben sich insbesondere aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Die vorliegende Datenschutzinformation enthält weitergehende Erläuterungen zu Datenverarbeitungen, die der Erfassung und Aufklärung der mittels des Hinweisgebersystems eingegangenen Hinweise dienen („Aufklärungsmaßnahmen“). Sie ergänzt unsere allgemeine Datenschutzinformation.
- Wer ist für die Verarbeitung Ihrer Daten verantwortlich?
Verantwortliche für die Verarbeitung Ihrer Daten im Sinne von Art. 4 Nr. 7 DSGVO sind wir.
Je nach Art und Umfang der gebotenen Maßnahmen werden wir gegebenenfalls weisungsfreie Dienstleister mit der konkreten Durchführung der entsprechenden Aufklärungsmaßnahmen betrauen. Zu diesen Dienstleistern können etwa Wirtschaftsprüfer, Rechtsanwaltskanzleien oder Steuerberater zählen. In diesem Fall handeln die Dienstleister oftmals als eigene datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
- Hintergrund der Verarbeitung Ihrer Daten
Wir müssen die Einhaltung geltender Gesetze im Rahmen unseres Geschäftsbetriebs sicherstellen. Dies gilt etwa für Vorgaben des Strafrechts, des Ordnungswidrigkeitenrechts, des Steuerrechts, des Datenschutzrechts, des Arbeitsrechts, des Kartellrechts und für sonstige verbindliche rechtliche Vorgaben. Sofern wir diesen gesetzlichen Anforderungen nicht hinreichend nachkommen, drohen Nachteile, wie etwa Geld- oder Haftstrafen, Bußgelder, Schadensersatzforderungen oder Reputationsschäden. Um unseren rechtlichen Pflichten nachzukommen, treffen wir daher geeignete Maßnahmen zur Sicherstellung der Einhaltung gesetzlicher Vorgaben oder interner Regelungen im Unternehmen. Zu diesen Maßnahmen zählt unter anderem auch die Einführung und der Betrieb eines Hinweisgebersystems.
Unsere Mitarbeiter*innen sind verpflichtet, uns über mögliche Regelverstöße zu informieren. Mitarbeiter*innen und Externe, die einen möglichen Regelverstoß melden („Hinweisgeber“), können für Hinweise auf mögliche Regelverstöße interne und externe Kanäle nutzen. Wir haben angemessene Maßnahmen getroffen, um sicherzustellen, dass den eingehenden Hinweisen zeitnah und effektiv nachgegangen wird. Im Rahmen der durchzuführenden Aufklärungsmaßnahmen wird insbesondere sichergestellt, dass die berechtigten Interessen der von Hinweisen betroffenen oder in Hinweisen genannten Personen („Betroffene“) gewahrt werden.
- Für welche Zwecke verarbeiten wir Ihre Daten?
Wir verarbeiten Ihre Daten im Rahmen der geltenden Gesetze insbesondere für die folgenden konkreten Aufklärungszwecke:
- Prüfung der Plausibilität von Hinweisen: Wir werden vor der Einleitung von Aufklärungsmaßnahmen unter anderem prüfen, ob die von den Hinweisgebern übermittelten Hinweise plausibel erscheinen und auf einen Regelverstoß durch uns oder unserer Mitarbeiter*innen schließen lassen. Die Verarbeitung Ihrer Daten dient unter anderem dieser Plausibilitätsprüfung.
- Aufklärung von Fehlverhalten: Aufklärungsmaßnahmen können der Aufdeckung und Aufklärung von möglichen arbeitsvertraglichen Pflichtverletzungen oder Straftaten von unseren Mitarbeiter*innen in Wahrnehmung ihrer dienstlichen Pflichten sowie sonstiger Regelverstöße und Missstände innerhalb des Unternehmens dienen. Dies betrifft beispielsweise die Aufdeckung und Ahndung von Betrugshandlungen, Steuerstraftaten, Geldwäsche oder sonstigen Wirtschaftsdelikten oder auch von Verletzungen unserer Verhaltensgrundsätze und Richtlinien.
- Umsetzung von gesetzlichen Pflichten: Wir unterliegen umfassenden gesetzlichen Aufsichtspflichten. Diese ergeben sich unter anderem aus §§ 130, 30 Ordnungswidrigkeitengesetz (OWiG). Aufklärungsmaßnahmen dienen der Umsetzung von diesen und anderen gesetzlichen Pflichten. Wir führen beispielsweise Aufklärungsmaßnahmen durch, um sicherzustellen, dass unsere Leistungen den gesetzlichen und behördlichen Vorgaben entsprechen.
- Verhinderung zukünftigen Fehlverhaltens: Weiterhin fließen die Ergebnisse der Aufklärungsmaßnahmen – soweit sie dafür geeignet sind – auch in allgemeine, präventive Maßnahmen (z.B. Schulungen) ein und tragen so dazu bei, dass künftige arbeitsvertragliche Pflichtverletzungen oder Straftaten unserer Mitarbeiter*innen verhindert oder erschwert werden.
- Rechtsausübung: Aufklärungsmaßnahmen können auch der Kompensation und Abwehr von drohenden wirtschaftlichen oder sonstigen Schäden oder Nachteilen für uns und damit der effektiven Rechtsverteidigung, der Ausübung und Durchsetzung von Rechten dienen. Beispielsweise werden wir die durch Aufklärungsmaßnahmen ermittelten Ergebnisse und Informationen gegebenenfalls im Rahmen von arbeitsgerichtlichen Verfahren oder sonstigen Rechtsstreitigkeiten nutzen.
- Entlastung von Beschäftigten: Wir ergreifen in Abstimmung mit dem jeweils Betroffenen auch geeignete Aufklärungsmaßnahmen, um mögliche Vorwürfe gegen zu Unrecht in Verdacht geratene Betroffene aufzuklären und diese zu entlasten (sog. Rehabilitierung).
- Umsetzung Mitwirkungspflichten: Wir können gegebenenfalls aufgrund gesetzlicher Mitwirkungspflichten dazu verpflichtet sein, die im Rahmen der Aufklärungsmaßnahmen erhobenen Daten an Strafverfolgungsbehörden oder sonstige Behörden wei-terzuleiten. Dies kann beispielweise der Fall sein, wenn eine Strafverfolgungsbehörde als Folge einer Aufklärungsmaßnahme ein strafrechtliches Ermittlungsverfahren gegen einen Betroffenen einleitet. Ergänzend kommen als mögliche Zwecke der Datenverarbeitung die in der allgemeinen Da- tenschutzinformation für das Arbeitsverhältnis genannten Zwecke in Betracht.
- Welche Daten bzw. Datenkategorien sind von Aufklärungsmaßnahmen betroffen?
Im Rahmen von Aufklärungsmaßnahmen werden wir gegebenenfalls die nachfolgenden Daten bzw. Datenkategorien über Sie verarbeiten:
- Daten in Bezug auf Hinweise: Im Rahmen des Hinweisgeberverfahrens erfassen wir unter anderem den Zeitpunkt, den Inhalt und sonstige relevante Umstände in Bezug auf die von Hinweisgebern übermittelten Hinweise. Beispielweise werden wir erfassen, ob der Hinweisgeber den Hinweis über einen internen oder einen externen Meldekanal eingereicht hat. Falls ein Hinweisgeber im Rahmen des Hinweises seine Identität offenlegt, werden wir diese ebenfalls erfassen.
- Betriebliche Angaben: Wir werden im Rahmen von Aufklärungsmaßnahmen gegebenenfalls auch betriebliche Informationen über Sie verarbeiten (z.B. Funktion im Unternehmen, Berufsbezeichnung, mögliche Vorgesetztenstellung, berufliche E-Mail-Adresse, berufliche Telefonnummer).
- Angaben zu relevanten Sachverhalten: Typische Aufklärungsmaßnahmen beziehen sich vielfach auf konkrete Sachverhalte. Die Ermittlung und Auswertung relevanter Anga-ben zum jeweiligen Sachverhalt kann gegebenenfalls Rückschluss auf Ihr Verhalten oder von Ihnen durchgeführte Handlungen zulassen. Dazu können in Einzelfällen auch Pflicht-verletzungen oder Straftaten zählen.
- Betrieblich veranlasste Dokumente: Wir werden im Rahmen von Aufklärungsmaßnahmen gegebenenfalls auch betrieblich veranlasste Dokumente auswerten. Dazu können im Einzelfall Zeitnachweise bzw. Stundenaufstellungen, Verträge, Leistungsnachweise, Fahrtenbücher oder Rechnungen zählen. Diese Dokumente können auch personenbezogene Daten über Sie enthalten.
- Kommunikationsverhalten: Zudem können Aufklärungsmaßnahmen Rückschlüsse auf Ihr Kommunikationsverhalten bei der Nutzung unserer Kontaktaufnahmemöglichkeiten oder unserer betrieblichen Kommunikationssysteme zulassen. Wir werden beispielsweise im Rahmen von E-Mail-Auswertungen gegebenenfalls auch Zugriff auf die Inhalte von E-Mails im betrieblichen E-Mail-Postfach von Mitarbeiter*innen oder Ihrer E-Mailkommunikation mit uns nehmen. Daneben werden wir gegebenenfalls Log-Daten oder Metadaten auswerten.
- Persönliche Angaben: Im Rahmen von Aufklärungsmaßnahmen werden wir gegebenenfalls allgemeine persönliche Angaben über Sie verarbeiten (z. B. Name, private Anschrift, private Telefonnummer, private E-Mail-Adresse).
- Private Inhalte: In Einzelfällen können auszuwertende Datensätze gegebenenfalls auch Rückschlüsse auf Sie betreffende private Inhalte zulassen. Dies kann etwa der Fall sein, wenn eine von einem Hinweisgeber übermittelte Hinweis entsprechende Inhalte enthält. Wir werden aber durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass Datensätze mit rein privatem Inhalt nicht ausgewertet werden.
- Daten zu strafrechtlichen Verurteilungen und Straftaten: Im Rahmen von Aufklärungsmaßnahmen müssen wir gegebenenfalls auch Daten über Sie erheben, welche Rückschlüsse auf Sie betreffende Straftaten oder strafrechtliche Verurteilungen zulassen. Wir werden diese Daten aber nur nach Maßgabe der einschlägigen Datenschutzvorgaben, insbesondere Art. 10 DSGVO, verarbeiten.
- Besondere Kategorien personenbezogener Daten: In Einzelfällen erheben wir im Rahmen von Aufklärungsmaßnahmen auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dies kann etwa der Fall sein, wenn ein von einem Hinweisgeber übermittelter Hinweis entsprechende Daten enthält. Zu den besonderen Kategorien personenbezogener Daten zählen etwa Gesundheitsdaten, Daten über eine mögliche Gewerkschaftszugehörigkeit, biometrische Daten oder Daten über politische oder religiöse Einstellungen. Wir werden solche Daten nur nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere nach Art. 9 Abs. 2 DSGVO bzw. – sofern es sich um Mitarbeiter*innen handelt – § 26 Abs. 3 BDSG, verarbeiten.
- Auf welchen Rechtsgrundlagen beruht die Verarbeitung Ihrer Daten?
Wir werden Ihre Daten im Rahmen von Aufklärungsmaßnahmen nur verarbeiten, soweit mindestens eine anwendbare datenschutzrechtliche Regelung dies erlaubt. Dazu zählen insbesondere die Bestimmungen der DSGVO, des BDSG sowie sonstiger einschlägiger Rechtsvorschriften. Wir können zulässige Datenverarbeitungen im Rahmen von Aufklärungsmaßnahmen insbesondere auf die folgenden Rechtsgrundlagen stützen:
- Umsetzung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG): Datenverarbeitungen im Rahmen von Aufklärungsmaßnahmen können unter anderem für die Durchführung und Beendigung des Arbeitsverhältnisses mit unseren Mitarbeiter*innen erforderlich sein. Dies gilt beispielweise für Aufklärungsmaßnahmen zur Aufdeckung von arbeitsvertraglichen Pflichtverletzungen, welche keine Straftat begründen. Aufklärungsmaßnahmen können auch für die Abwicklung von Arbeitsverhältnissen erforderlich sein. Dies kann beispielweise der Fall sein, wenn wir auf Basis der im Rahmen einer Aufklärungsmaßnahme gewonnenen Erkenntnisse arbeitsrechtliche Sanktionen gegen einen Betroffenen verhängt.
- Aufklärung von Straftaten (§ 26 Abs. 1 Satz 2 BDSG): Falls Aufklärungsmaßnahmen der Aufdeckung von möglichen Straftaten im Rahmen von Beschäftigungsverhältnissen dienen, können diese gemäß § 26 Abs. 1 Satz 2 BDSG gerechtfertigt sein. Wir werden die entsprechenden Datenverarbeitungen aber nur dann auf § 26 Abs. 1 Satz 2 BDSG stützen, wenn dokumentierte tatsächliche Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen und die Interessen des Betroffenen nicht überwiegen.
- Umsetzung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Wie bereits dargestellt, unterliegen wir umfassenden gesetzlichen Aufsichtspflichten. Die von uns durchgeführten Aufklärungsmaßnahmen dienen damit unter anderem auch der Umsetzung dieser gesetzlichen Pflichten.
- Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO): Wir werden Ihre Daten gegebenenfalls auch verarbeiten, um unere oder die berechtigten Interessen eines Dritten zu wahren. Zu diesen berechtigten Interessen können im Einzelfall zählen:
- Rechtsverteidigung: Wir führen Aufklärungsmaßnahmen unter anderem auch deshalb durch, um Schaden von unserem Unternehmen abzuwenden. Die Datenverarbeitung kann insofern auch unseren berechtigten Interessen in Form der Geltendmachung, Verteidigung und Ausübung von Rechtsansprüchen dienen.
- Unterstützung von Betroffenen: Aufklärungsmaßnahmen können unter anderem auch der Entlastung von Betroffenen dienen. Hierbei handelt es sich grundsätzlich um ein berechtigtes Interesse eines Dritten.
- An welche Stellen werden wir Ihre Daten weitergeben?
Wir werden Ihre Daten im Rahmen von Aufklärungsmaßnahmen nur dann an Dritte weitergeben, wenn dafür eine rechtliche Grundlage besteht oder wir zuvor Ihre Einwilligung zu der entsprechenden Datenübermittlung eingeholt haben. Wir werden Ihre Daten möglicherweise gegenüber den folgenden Empfängern offengelegt:
- Gerichte, Behörden und sonstige öffentliche Stellen: Wir werden die Ergebnisse von Aufklärungsmaßnahmen möglicherweise auch gegenüber öffentlichen Stellen offenlegen. Dies betrifft etwa deutsche oder ausländische Staatsanwaltschaften, Gerichte oder sonstige Behörden. Eine solche Weitergabe kann insbesondere dann notwendig sein, wenn wir zur Offenlegung der entsprechenden Daten gesetzlich verpflichtet sind. Dies kann beispielsweise in Rahmen von strafrechtlichen Ermittlungsverfahren der Fall sein, die als Folge von Aufklärungsmaßnahmen eingeleitet werden.
- Dienstleister: Bei der Durchführung von Aufklärungsmaßnahmen greifen wir gegebenenfalls neben der promota.de GmbH auch auf die Unterstützung durch externe Dienstleister, wie etwa Anwaltskanzleien oder Wirtschaftsprüfungsgesellschaften, zurück. Wir werden durch geeignete Maßnahmen sicherstellen, dass diese Dienstleister Ihre Daten nur im Rahmen der einschlägigen datenschutzrechtlichen Vorgaben verarbeiten.
- Sonstige Dritte: Sofern dies zur Durchführung der in dieser Datenschutzinformation genannten Zwecke erforderlich ist und keine entgegenstehenden schutzwürdigen Interessen betroffener Personen überwiegen, kommt zudem eine Weitergabe Ihrer personenbezogenen Daten an Prozessgegner oder an Versicherungen in Betracht. Sofern wir Ihre personenbezogenen Daten nicht direkt bei Ihnen selbst erhoben haben, erhalten wir diese typischerweise von den vorstehend in diesem Abschnitt der Datenschutzinformation genannten Stellen, Geschäftspartnern oder aus ähnlichen Quellen.
- Welche Datenschutzrechte haben Sie?
Sie können als von der Datenverarbeitung betroffene Person verschiedene Betroffenenrechte geltend machen. Um von Ihren Rechten Gebrauch zu machen, können Sie uns über die oben genannten Kontaktdaten erreichen.
Zu den Betroffenenrechten zählen insbesondere:
- Recht auf Auskunft (Art. 15 DSGVO);
- Recht auf Berichtigung (Art. 16 DSGVO);
- Recht auf Löschung (Art. 17 DSGVO);
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
- Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
- Wie lange speichern wir Ihre Daten?
Wir werden die im Rahmen der Aufklärung von Hinweisen erhobene Daten nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere gemäß Art. 17 DSGVO, speichern bzw. löschen. Danach werden wir Ihre Daten grundsätzlich dann löschen, wenn sie für die in dieser Datenschutzinformation genannten Zwecke nicht mehr erforderlich sind.
Gesetzliche Aufbewahrungsvorschriften oder unsere berechtigten Interessen können jedoch eine längere Aufbewahrung Ihrer Daten rechtfertigen. Beispielsweise können wir Ihre Daten gegebenenfalls während aktueller Rechtsstreitigkeiten, welche das Ergebnis möglicher Aufklärungsmaßnahmen sind, weiter aufbewahren.
Die Speicherfristen richten sich dabei im Einzelfall nach unserem Aufbewahrungsinteresse unter Berücksichtigung der Wichtigkeit der Aufbewahrung für uns, der schutzwürdigen Interessen Betroffener an der Löschung sowie der Wahrscheinlichkeit, dass ein im Hinweisgebersystem gemeldeter Verdacht zutrifft.
- Inwieweit finden automatisierte Einzelfallentscheidungen oder Maßnahmen zum Profiling statt?
Im Rahmen von Aufklärungsmaßnahmen finden weder automatisierte Einzelfallentscheidungen noch Maßnahmen zum Profiling im Sinne von Art. 22 DSGVO statt.