Datenschutzhinweise für das Hinweisgebersystem
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Rahmen dieses Hinweisgebersystems ist
OSR Rechtsanwälte (im Folgenden: OSR)
Eugenstraße 18, D-73033 Göppingen
E-Mail: info@ombudservice.de
Telefon: +49 (0) 7161 / 98 77 957
Fax: +49 (0) 7161 / 98 77 956
OSR handelt als externer Ombudsanwalt. OSR ist hinsichtlich der Entgegennahme und Erstprüfung von Hinweisen eigenständig Verantwortlicher im Sinne der Datenschutz-Grundverordnung (Art. 4 Nr. 7 DSGVO). Eine Tätigkeit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO liegt nicht vor.
Die im Rahmen des Hinweisgebersystems erfolgende Weitergabe personenbezogener Daten zwischen dem Ombudsanwalt und dem Unternehmen erfolgt als Übermittlung zwischen eigenständigen Verantwortlichen. Die jeweilige Verarbeitung erfolgt auf Grundlage eigener Rechtsgrundlagen nach Art. 6 DSGVO.
2. Zwecke und Umfang der Datenverarbeitung
Im Rahmen des Hinweisgebersystems verarbeiten wir personenbezogene Daten, soweit dies zur Entgegennahme, Prüfung und Bearbeitung von Hinweisen erforderlich ist. Dazu gehören insbesondere Angaben zur hinweisgebenden Person (z. B. Name, Kontaktdaten), sofern diese freiwillig mitgeteilt werden, Angaben zu betroffenen Personen (z. B. Name, Funktion) sowie Sachverhaltsinformationen einschließlich übermittelter Dokumente. Die Nutzung des Hinweisgebersystems ist grundsätzlich auch anonym oder pseudonym möglich.
Die Verarbeitung dient der Entgegennahme und Dokumentation von Hinweisen, der Prüfung ihrer Stichhaltigkeit, der Durchführung von Folgemaßnahmen, insbesondere interner Untersuchungen, sowie der Kommunikation mit der hinweisgebenden Person.
3. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den Vorgaben des Hinweisgeberschutzgesetz, soweit eine gesetzliche Verpflichtung zum Betrieb einer internen Meldestelle besteht. Soweit keine gesetzliche Verpflichtung besteht, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen, insbesondere zur Aufdeckung und Verhinderung von Rechtsverstößen.
Eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO erfolgt nur, sofern eine ausdrückliche Einwilligung, etwa zur Offenlegung der Identität der hinweisgebenden Person, vorliegt. Eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO erfolgt nicht.
4. Vertraulichkeit und Schutz der Hinweisgeber
Die Identität der hinweisgebenden Person wird grundsätzlich vertraulich behandelt. Eine Offenlegung erfolgt nur mit ausdrücklicher Einwilligung der hinweisgebenden Person oder soweit eine gesetzliche Verpflichtung hierzu besteht. In allen anderen Fällen erfolgt eine Weitergabe von Informationen ausschließlich in anonymisierter Form, sodass keine Rückschlüsse auf die Identität möglich sind.
5. Weitergabe von Daten
Personenbezogene Daten werden nur weitergegeben, soweit dies zur Bearbeitung des Hinweises erforderlich ist. Dies kann insbesondere die Weitergabe an zuständige interne Stellen, beauftragte externe Dienstleister sowie an Behörden im Falle gesetzlicher Verpflichtungen umfassen. In allen Fällen erfolgt die Weitergabe unter strikter Beachtung der Vertraulichkeitspflichten.
6. Information betroffener Personen
Betroffene Personen werden grundsätzlich über die Verarbeitung ihrer personenbezogenen Daten informiert. Diese Information kann jedoch eingeschränkt oder aufgeschoben werden, soweit dies erforderlich ist, um die Vertraulichkeit der hinweisgebenden Person zu schützen oder die Aufklärung des Sachverhalts nicht zu gefährden. Eine Offenlegung der Identität der hinweisgebenden Person erfolgt ausschließlich unter den oben genannten Voraussetzungen.
7. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Bearbeitung des Hinweises erforderlich ist. In der Regel erfolgt eine Löschung spätestens zwei bis drei Jahre nach Abschluss des Verfahrens, sofern keine weiteren rechtlichen Gründe für eine längere Speicherung bestehen. Eine längere Speicherung kommt insbesondere in Betracht, soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Unbegründete oder offensichtlich missbräuchliche Hinweise werden zeitnah gelöscht.
8. Technische und organisatorische Maßnahmen
Zur Sicherstellung eines angemessenen Schutzniveaus werden geeignete technische und organisatorische Maßnahmen getroffen. Hierzu gehören insbesondere Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, Verschlüsselung bei der Datenübertragung, Protokollierung von Zugriffen sowie rollenbasierte Berechtigungskonzepte.
9. Betroffenenrechte
Betroffene Personen haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten (Art. 15 DSGVO), auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO), auf Datenübertragbarkeit (Art. 20 DSGVO) sowie auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Darüber hinaus besteht ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO).
10. Widerspruchsrecht
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, kann aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit Widerspruch gegen die Verarbeitung eingelegt werden.