Im Folgenden informieren wir Sie über die Verarbeitung von personenbezogenen Daten durch das Unternehmen im Rahmen des Hinweisgebersystems sowie über die damit verbundenen datenschutzrechtlichen Regelungen, Ansprüche und Rechte.

Das Unternehmen setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, welche bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert werden. Dadurch können nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsschäden abgewendet werden.

1.  Zweck der Datenverarbeitung

Das Unternehmen verarbeitet die personenbezogenen Daten der/des Hinweisgebenden, sofern der Hinweis nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person/en, wie Name und weitere Kommunikations- und Inhaltsdaten, ausschließlich zu dem Zweck, Hinweise auf kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen auf einem sicheren sowie vertraulichen Wege entgegenzunehmen und diesen nachzugehen.

2.  Kategorien der Datenverarbeitung im Rahmen des Hinweisgebersystems

·        Informationen über die/den Hinweisgeber:in (sofern diese:r nicht anonym bleiben möchte) und die/den Beschuldigte:n, wie

o  Vor- und Nachname

o  Funktion/Titel

o  Kontaktdaten

o  gegebenenfalls andere auf das Arbeitsverhältnis bezogene persönliche Daten

·        Persönliche Informationen, die in den Berichten des Aufklärungsteams (siehe Ziffer 4) identifiziert wurden, einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise

·        Datum und Zeit der Anrufe (bei Eingang des Hinweises über die telefonische Hotline)

·        Jede andere Information, die in den Untersuchungsergebnissen und in dem auf den Bericht folgenden, weiterführenden Verfahren identifiziert wurden, zum Beispiel Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde

3.  Rechtsgrundlage der Datenverarbeitung

Die Erhebung der personenbezogenen Daten der/des Hinweisgebenden bei einem nicht anonymen Hinweis erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung) (§ 6 Nr. 2 DSG-EKG).

Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen des Unternehmen (§ 6 Nr. 4 DSG-EKD). Es ist ein berechtigtes Interesse des Unternehmens, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten zentrumsweit, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für den Verein (§§ 30, 130 OWiG) abzuwenden. Auch die Richtlinie (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das zukünftige (derzeit im Entwurf befindliche) Hinweisgeberschutzgesetz fordern die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.

Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein (§ 6 Nr. 6 DSG-EKD).

4.  Empfänger der Daten und Drittlandübermittlung (EU/EWR-Ausland)

Alle personenbezogenen Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten.

Mit der ersten Bearbeitung der eingehenden Hinweise ist das Unternehmen beauftragt.

Geht der Hinweis über die telefonische Hotline ein, so wird der Hinweis, unter der Wahrung der Anonymität der Hinweisgeberin / des Hinweisgebers, im Hinweisgebersystem aufgenommen. Die Mitarbeiter:innen der Hotline sind zur Verschwiegenheit verpflichtet (siehe weiter unten).

Beim Unternehmen haben nur dazu befugte Mitarbeiter:innen aus folgenden Abteilungen Zugriff auf die Daten (Aufklärungsteam):

·        Dagmar Spandau (QMB)

·        Kerstin Blumenberg (Personalabteilung)

·        Stephanie Scholz (Personalabteilung)

Fallbezogen.

·        Benedikt Kappler (GF)

·        Ulrike Baehr-Zielke (Seelsorgerin)

·        Marina Rademacher (Vorsitzende der MAV)

·        externe Dienstleister, wie Anwälte

In einigen Fällen ist das Unternehmen verpflichtet, die Daten Behörden (wie solche, die die rechtliche oder aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder externen Berater:innen (wie Buchprüfer:innen, Wirtschaftsprüfer:innen, Rechtsanwält:innen) mitzuteilen.

Sofern die/der Hinweisgeber:in ihren/seinen Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonymer Hinweis), wird die Identität – soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als Hinweisgeber:in möglich werden.

Werden personenbezogenen Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach § 30 DSG-EKD. In diesen Fällen stellen der Verein sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DSG-EKD erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Das Hinweisgebersystem wird in unserem Auftrag von der LegalTegrity GmbH,

Platz der Einheit 2, 60327 Frankfurt/Main betrieben.

Eine Übermittlung von personenbezogenen Daten in Drittländer (EU/EWR-Ausland) erfolgt nicht.

5.  Dauer der Verarbeitung, Löschen der Daten

Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse des Unternehmens oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.

6.  Technische Hinweise zur Nutzung des Hinweisgebersystems

Die Kommunikation zwischen dem Rechner der/des Hinweisgebenden und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse ihres/seines Rechners wird während der Nutzung des Hinweisgebersystems nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen dem Rechner der/des Hinweisgebenden und dem Hinweisgebersystem wird ein Cookie auf ihrem/seinem Rechner gespeichert, welcher lediglich die Session-ID beinhaltet. Das Cookie ist nur bis zum Ende ihrer/seiner Session gültig und wird beim Schließen des Browsers ungültig.

7.  Betroffenenrechte nach der DSG-EKD

Der betroffenen Person stehen im Zusammenhang mit der Verarbeitung der sie betreffenden personenbezogenen Daten folgende Rechte zu:   
 

·     Gemäß § 11 DSG-EKD hat sie das Recht, ihre Einwilligung in die Datenverarbeitung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

·     Gemäß § 18 DSG-EKD hat sie das Recht, wenn ihre Daten ohne ihre Kenntnis erhoben werden (etwa, weil sie als beschuldigte Person im Verfahren zur Aufklärung des Hinweises involviert sind), über die Speicherung, die Art der Daten, den Zweck der Verarbeitung und die Identität des Verantwortlichen und gegebenenfalls der Hinweisgeberin oder des Hinweisgebers (sofern der Hinweis nicht anonym abgegeben wurde) informiert zu werden. Wenn allerdings das Risiko erheblich wäre, dass eine solche Unterrichtung die Fähigkeit des Unternehmens zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen Beweise gefährden würde, kann diese Information nach § 18 DSG-EKD so lange aufgeschoben werden, wie diese Gefahr besteht. Die Information muss dann nachgeholt werden, sobald der Grund für den Aufschub entfallen ist.

·     Gemäß § 19 DSG-EKD hat sie das Recht, Auskunft über die personenbezogenen Daten zu ihrer Person zu verlangen, die durch das Unternehmen verarbeitet werden.

·     Gemäß § 20 DSG-EKD hat sie das Recht, die unverzügliche Berichtigung oder Vervollständigung falscher oder unvollständiger bei dem Verein gespeicherter Daten zu verlangen.

·     Gemäß § 20 DSG-EKD hat sie das Recht, die Löschung der sie betreffenden personenbezogenen Daten, die bei dem Unternehmen gespeichert sind, zu verlangen, sofern die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, welcher den Verein unterliegt, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

·     Gemäß Art. § 22 DSG-EKD kann sie die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen, wenn sie die Richtigkeit dieser Daten bestreitet oder die Verarbeitung dieser Daten zu Unrecht erfolgt.

·     Gemäß § 24 DSG-EKD hat sie das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln oder durch das Unternehmen übermitteln zu lassen.

·     Gemäß § 25 DSG-EKD hat sie das Recht, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus ihrer besonderen Situation ergeben. Ihre Daten werden dann nicht mehr verarbeitet, es sei denn, dass das Unternehmen zwingende Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder dass die Verarbeitung der Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen dient.

·     Gemäß § 46 DSG-EKD hat sie das Recht, eine Beschwerde gegen das Unternehmen bei der zuständigen Aufsichtsbehörde vorzubringen.

8.  Verantwortlicher im Sinne des Datenschutzrechts

Verantwortlich für die Verarbeitung der oben genannten personenbezogenen Daten und den damit in Zusammenhang stehenden Anträge und Anfragen ist die:

Örtliche Datenschutzbeauftragte

Sandra Pauly

E-Mail: datenschutz@grotjahn-stiftung.de

Tel.: 05335-808 485