Wir betreiben für unsere Mandanten die interne Meldestelle gem. dem Hinweisgeberschutzgesetz. Im Rahmen der eingehenden Hinweismeldungen werden zwangsläufig auch personenbezogene Daten verarbeitet.
Nachfolgend finden Sie weitere Informationen in Bezug auf unseren Umgang mit Ihren personenbezogenen Daten, sofern Sie eine Hinweismeldung über die von uns bereitgestellten Meldewege abgeben.
Unter Berücksichtigung der Verpflichtungen unserer Mandanten zur Bereitstellung einer internen Meldestelle haben wir gem. dem Hinweisgeberschutzgesetz ein Hinweisgebersystem implementiert und stellen dies unseren Mandanten zur Verfügung.
Unter den Begriff Hinweise fallen sachlich jedwede Informationen zu mutmaßlich rechtswidrigen oder unethischen Verhalten des Unternehmens, aber auch präventive Informationen über diesbezügliche mögliche Gefahren. Insbesondere können auch Informationen hinsichtlich menschenrechtlichen oder umweltbezogenen Risiken und/oder der Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten zu den Meldungen zählen.
Informationspflichten nach Art. 13 DSGVO
Mit der Datenschutzgrundverordnung sind wir nach Art. 13 DSGVO verpflichtet, bei jeder Erhebung personenbezogener Daten, die direkt bei der betroffenen Person erfolgt, entsprechende Informationen bereitzustellen.
Sie können die Meldung grundsätzlich auch anonym einreichen. Wir verarbeiten nur die personenbezogenen Daten, die Sie uns im Rahmen Ihrer Meldung oder im Rahmen der weiteren Kommunikation zur Verfügung stellen. Allerdings regen wir an, dass Sie die Meldung nicht anonym einreichen, damit eine effektive Bearbeitung Ihres Hinweises möglich ist. Mögliche Rückmeldungen erreichen Sie im Rahmen der anonymen Bereitstellung möglicherweise nicht.
Im Rahmen der Bearbeitung Ihrer Hinweismeldung werden die von Ihnen gemachten Angaben verarbeitet. Dazu gehören möglicherweise Ihr Name und Ihre Kontaktdaten, jedoch vor allem alle gemachten Angaben zum Sachverhalt.
Die Verarbeitung erfolgt zur Sicherstellung der Compliance unserer Auftraggeber; dazu zählt die Aufdeckung und Aufklärung von betrieblichen Missständen, unternehmensschädigendem und rechtswidrigem Verhalten sowie der Schutz der Mitarbeiter, Geschäftspartner, Kunden. In diesen Fällen werden Ihre personenbezogenen Daten nur verarbeitet, sofern Ihre schutzwürdigen Interessen nicht überwiegen. Als Rechtsgrundlage kommt dabei die gesetzliche Verpflichtung des Auftraggebers gem. Art. 6 Abs. 1 lit. c DSGVO i.V.m. dem Hinweisgeberschutzgesetz (HinSchG) zur Anwendung. Wir unterstützen unsere Auftraggeber bei der Erfüllung dieser gesetzlichen Verpflichtung, haben jedoch selbst keine Zwecke an den von Ihnen eingegebenen Daten.
Grundsätzlich verarbeiten wir Ihre Daten nur zur Bearbeitung Ihrer Hinweise, eine Weitergabe Ihrer Daten ist nicht vorgesehen – auch nicht an unsere Auftraggeber.
Sollte zur Aufklärung des von Ihnen gemeldeten Sachverhaltes eine Einbeziehung von Fachabteilungen notwendig sein, erfolgt diese Einbeziehung ohne Preisgabe von Informationen zu Ihrer Person. Werden von der Fachabteilung weitere Angaben zu Ihrer Person benötigt, werden die Daten nur dann weitergegeben, wenn dies zur Erfüllung unserer Aufgaben unbedingt notwendig ist und Sie der Weitergabe zugestimmt haben. Wir beachten dabei die Vorgaben des Hinweisgeberschutzgesetzes (§ 8 und 9 HinSchG).
Sofern eine dritte Person von Ihrem Hinweis betroffen ist, geben wir Ihre Identität nicht an diese Person weiter. Gem. den Einschränkungen aus Art. 23 DSGVO i.V.m. §29 Abs. 1 BDSG werden Ihre Daten im Rahmen der Transparenzpflichten der DSGVO nicht weitergegeben.
Sollten Ihre Hinweise eine strafrechtliche Relevanz haben, kann eine Weitergabe der Daten an die Strafverfolgung notwendig werden. Diese Weitergabe benötigt jedoch eine Aufforderung durch eine öffentliche Stelle. Sofern uns dies von der öffentlichen Stelle nicht untersagt wird, werden wir Sie über diese Weitergabe informieren.
Während und nach der Bearbeitung Ihres Hinweises bleiben die Daten bei uns gespeichert. Die Speicherdauer richtet sich dabei vor allem nach den Vorgaben aus dem Hinweisgeberschutzgesetz und beträgt in der Regel 3 Jahre.
Informationspflichten nach Art. 14 DSGVO
Sofern Sie nicht der Hinweisgebende sind, sondern beispielsweise innerhalb einer an uns übermittelten Hinweismeldung als Beschuldigter zu betrachten sind, können wir Sie nicht gem. Art. 14 DSGVO über den Erhalt der Daten und in Bezug auf die Datenverarbeitung informieren.
Nach Art. 14 Abs. 5 lit. b) DSGVO besteht die Informationspflicht nicht, wenn durch eine Information die Verwirklichung der Verarbeitungsziele unmöglich gemacht oder ernsthaft beeinträchtigt wird. Da eine Ermittlung im Rahmen eines Hinweises in hohem Umfang beeinflusst werden könnte, wenn eine unter Verdacht geratene Person von den Ermittlungen erfährt, kann aufschiebend von einer Information abgesehen werden. Zudem kann von der Information dauerhaft im Einzelfall abgesehen werden, wenn der Schutz der Identität des Hinweisgebers dadurch beeinträchtigt werden würde (siehe auch EWG 84 zur WBRL).
Zudem sehen auch die Regelung in §8,9 Hinweisgeberschutzgesetz eine strikte Vertraulichkeit vor, die nur aufgehoben werden darf, wenn dies zur Strafverfolgung unbedingt notwendig ist, oder wenn der Hinweisgebende einer Offenlegung zugestimmt hat. Dabei sind Vorgaben an die Einwilligung einzuhalten, die sich aus §9 Abs. 3 Nr. 2 HinSchG ergeben, sind einzuhalten.
Die vorgenannten Vorgaben gelten gleichbedeutend für einen eventuellen Auskunftsanspruch gem. Art. 15 DSGVO.
Anstelle von Art. 14 Abs. 5 lit. b DSGVO kann bei der Einbeziehung von Rechtsanwälten das Berufsgeheimnis gem. Art. 14 Abs. 5 lit. d DSGVO die Informationspflicht einschränken. Je nach Fall können die Betroffenenrechte auch durch Art. 23 DSGVO i.V.m. §29 Abs. 1 BDSG eingeschränkt werden.
Ihre Rechte – Rechte der betroffenen Person nach DSGVO
Art. 12 – 23 DSGVO regeln die Rechte der betroffenen Person, d.h. Ihre Rechte bezüglich des Umgangs mit Ihren personenbezogenen Daten. Diese sind uns gegenüber im Wesentlichen:
Recht auf Informationen spätestens zum Zeitpunkt der Erhebung nach Art. 13 DSGVO, welchem wir durch diese Datenschutzerklärung nachkommen.
- Recht auf Auskunft nach Art. 15 DSGVO
- Recht auf Berichtigung nach Art. 16 DSGVO
- Recht auf Löschung nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
- Soweit anwendbar: Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht auf Widerspruch gegen die Verarbeitung nach Art. 21 DSGVO
- Beschwerderecht: Sie haben letztendlich jederzeit das Recht, bei einer Datenschutzaufsichtsbehörde Beschwerde einzulegen.
Alle Informationen finden Sie in ausführlicher Form in unseren Datenschutzinformationen auf https://www.complipro.de/datenschutz.
Wir weisen jedoch darauf hin, dass die Betroffenenrechte im Rahmen des Hinweisgeberschutzes eingeschränkt werden können. So sind die Transparenzpflichten einschränkbar, sofern eine Rechtsvorschrift der EU oder eines Mitgliedsstaates der EU eine Einschränkung der Betroffenenrechte vorsieht und diese Rechtsvorschrift den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und verhältnismäßig ist.
Zudem sehen auch die Regelung in §8,9 Hinweisgeberschutzgesetz eine strikte Vertraulichkeit vor, die nur aufgehoben werden darf, wenn dies zur Strafverfolgung unbedingt notwendig ist, oder wenn der Hinweisgebende einer Offenlegung zugestimmt hat. Dabei sind Vorgaben an die Einwilligung einzuhalten, die sich aus §9 Abs. 3 Nr. 2 HinSchG ergeben, sind einzuhalten. Wenn der Schutz der Identität des Hinweisgebers durch die Transparenzpflichten beeinträchtigt werden würde, kann von der Information dauerhaft abgesehen werden (siehe auch EWG 84 zur WBRL).
Unsere Richtlinie zum Einsatz des Hinweisgebersystems
§ 1 Zielsetzung, Zweck und Geltungsbereich dieser Richtlinie
(1) Diese Richtlinie dient u.a. der Umsetzung der gem. Hinweisgeberschutzgesetz (HinSchG) geforderten internen Meldestelle. Die Einrichtung einer internen Meldestelle wird dabei gem. §12 des HinSchG gefordert.
(2) Diese Richtlinie soll die Rahmenbedingungen für die Mitteilung von Hinweisen an bestimmte Personen bzw. über ein elektronisches Hinweisgebersystem schaffen. Hierbei soll diese Richtlinie die ausreichende Berücksichtigung der berechtigten Interessen des Unternehmens, der Hinweisgeber, der vom Hinweis betroffenen Personen sowie der Allgemeinheit gewährleisten.
(3) Diese Richtlinie soll darüber hinaus in technisch-organisatorischer Hinsicht gewährleisten, dass Hinweise entsprechend den Vorgaben von Datenschutz und Datensicherheit entgegengenommen und unter Berücksichtigung der gebotenen Vertraulichkeit verarbeitet, gespeichert, weitergegeben und archiviert werden können.
(4) Unter den Begriff Hinweise fallen sachlich jedwede Informationen zu mutmaßlich rechtswidrigen oder unethischen Sachverhalten im Zusammenhang mit dem Betrieb des Unternehmens, als auch die präventive Information über diesbezügliche mögliche Gefahren. Beispielsweise über mutmaßliche Fälle oder Risiken mit Bezug zu Betrug, Korruption, Geldwäsche, Finanzierung terroristischer Aktivitäten, Bestechung und Bestechlichkeit bei Geschäftspartnern, Vorteilsannahme und -gewährung bei Amtsträgern, Fälschung von Dokumenten, Diebstahl oder Veruntreuung, Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz und Informationssystemen, Gemeingefahren, Gefahren für die Gesundheit bzw. Sicherheit unserer Mitarbeiter, insbesondere auch hinsichtlich menschenrechtlichen oder umweltbezogenen Risiken und/oder der Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten.
(5) Diese Richtlinie regelt unseren Umgang mit eingehenden Hinweismeldungen und gilt auch für die Weitergabe von Hinweismeldungen an unsere Auftraggeber.
§ 2 Hinweisgeber
(1) Zur Abgabe von Hinweisen ist jede Person berechtigt.
(2) Durch diese Richtlinie wird niemand verpflichtet, Hinweise abzugeben. Sofern jedoch gesetzliche, vertragliche oder anderweitige Pflichten oder Obliegenheiten zur Abgabe von Hinweisen bestehen, bleiben diese von Satz 1 unberührt.
§ 3 Relevante Hinweise, Gutgläubigkeit, keine arbeitsrechtlichen Sanktionen
(1) Das Hinweisgebersystem dient ausschließlich der Entgegennahme und Bearbeitung von Meldungen zu Hinweisen im Sinne von § 1.
(2) Das Hinweisgebersystem steht jedoch insbesondere nicht für allgemeine Beschwerden oder allgemeine Anfragen zur Verfügung. Bitte wenden Sie sich in diesem Fall direkt an das betreffende Unternehmen. Wir weisen schon jetzt darauf hin, dass wir entsprechende eingehende Meldungen ablehnen werden.
(3) Es sollen nur solche Hinweise abgegeben werden, bei denen der Hinweisgeber im guten Glauben ist, dass die von ihm mitgeteilten Tatsachen zutreffend sind. Der Hinweisgeber ist nicht im guten Glauben, wenn ihm bekannt ist, dass eine gemeldete Tatsache unwahr ist. Bei Zweifeln sind entsprechende Sachverhalte nicht als Tatsache, sondern als Vermutung, Wertung oder als Aussage anderer Personen darzustellen. Arbeitsrechtliche Sanktionen erfolgen im Falle der Gutgläubigkeit ebenfalls nicht.
(4) Es wird darauf hingewiesen, dass sich ein Hinweisgeber strafbar machen kann, wenn er wider besseren Wissens unwahre Tatsachen über andere Personen und Sachverhalte behauptet.
§ 4 Abgabe von Hinweisen, Verfahren
(1) Die Abgabe von Hinweisen zu tatsächlichem oder vermutetem rechtswidrigem/unethischem Verhalten soll an uns erfolgen.
(2) Die Abgabe von Hinweisen ist nicht an bestimmte Formen gebunden. Insbesondere können diese persönlich, fernmündlich, in Schrift- oder Textform (z. B. per Brief oder E-Mail) mitgeteilt werden.
(3) Um eine vertrauliche Bearbeitung von per Post übermittelten Hinweisen zu gewährleisten, soll unbedingt der vorgegebene Adresszusatz genutzt werden.
(4) Der Hinweis kann auch anonym abgegeben werden. Da bei einem anonymen Hinweis Rückfragen erschwert sind und von der Mithilfe des Hinweisgebers abhängig sind, sollten anonyme Hinweise nur dann erfolgen, wenn dem Hinweisgeber eine ihm zurechenbare Meldung unzumutbar erscheint und er sicherstellen möchte, dass z.B. betroffene Personen keinesfalls seine Identität erfahren.
(5) Der Eingang des Hinweises wird – wenn dem die Anonymität des Hinweisgebers nicht entgegensteht – innerhalb von sieben Tagen von uns bestätigt. Wir prüfen, ob weitere Ermittlungen notwendig sind und führen diese durch. Sind wir der Auffassung, dass weitere Folgemaßnahmen (insbesondere interne Ermittlungen beim Auftraggeber) vorgenommen werden müssen, so werden wir den Hinweis und die Informationen nach Freigabe durch Sie an die vorgesehene Stelle im Unternehmen weiterleiten. Den Namen des Hinweisgebers werden wir ebenfalls nur nach Ihrer Freigabe offenlegen. Die Untersuchung wird zeitlich so schnell wie im angemessenen Rahmen möglich durchgeführt. Der Hinweisgeber wird von uns über den Fortlauf des Verfahrens informiert. Stellt sich eine Meldung als falsch heraus, oder kann sie nicht ausreichend mit Fakten belegt werden, wird dies entsprechend dokumentiert und das Verfahren unverzüglich eingestellt.
§ 5 Schutz des Hinweisgebers
(1) Sämtliche Hinweise, einschließlich der Bezüge zum Hinweisgeber, werden vertraulich und im Rahmen der geltenden Gesetze verarbeitet. Gutgläubige Hinweise nach § 3 Abs. 3 werden nicht sanktioniert.
(2) Gem. den Vorgaben aus §8 Hinweisgeberschutzgesetz sind die Daten der hinweisgebenden Person vertraulich zu behandeln.
§ 6 Vertraulichkeit und Datenschutz
(1) Sämtliche Hinweise sind unabhängig von ihrem Wahrheitsgehalt geeignet, das Ansehen der Betroffenen, der Hinweisgeber und/oder Dritter sowie des Unternehmens in höchstem Maße zu beschädigen. Sie werden daher von uns über die sich aus den Datenschutzgesetzen ergebenden Pflichten hinaus gem. den Vorgaben des Hinweisgeberschutzgesetzes besonders vertraulich behandelt.
(2) Mit der Hinweisbearbeitung befasste Personen im Unternehmen werden über etwaige datenschutzrechtliche Anforderungen hinaus zur Wahrung der Vertraulichkeit des Hinweisgebers verpflichtet.
(3) Die von einer Meldung betroffene Person erhält keine Information über den Hinweisgeber. Dies steht im Einklang mit der Verpflichtung zur Vertraulichkeit, die sich aus §8 Hinweisgeberschutzgesetz ergibt. Eine Information bzw. Auskunft gem. der Artt. 14, 15 DSGVO ist nicht notwendig, da Art. 23 DSGVO i.V.m. §29 Abs. 1 BDSG Ausnahmen von den Transparenzpflichten vorsieht, sofern ein Gesetz eines Mitgliedsstaates der EU eine Geheimhaltung verlangt.
(4) Weitere Angaben zum Datenschutz finden Sie in der Anlage „Datenschutz“ (Anlage).
§ 7 IT- und Datensicherheit
(1) Die Mindestanforderungen an den Schutz der Hinweisgeber ergeben sich für den Geltungsbereich der Datenschutz-Grundverordnung aus Art. 32 DSGVO. Der besonderen Sensibilität der Hinweise sowie der Gefahren für Personen und das Unternehmen im Fall des Bekanntwerdens von hinweisbezogenen Daten wird in besonderer Weise Rechnung getragen.
§ 8 Löschkonzept
(1) Daten, die im Zusammenhang mit einer Meldung erhoben wurden und die für das Verfahren nicht relevant sind, werden unverzüglich gelöscht. Im Übrigen werden die erhobenen Daten grundsätzlich für drei Jahre gespeichert, um möglichen Nachweispflichten nachkommen zu können (gem. §11 Abs. 3 HinSchG).
(2) Im Falle der hinreichenden Wahrscheinlichkeit behördlicher oder gerichtlicher Verfahren, wie insbesondere eines Straf-, Disziplinar- oder Zivilgerichtsverfahrens aufgrund eines Hinweises, werden die Daten – abweichend von Abs. 1 – bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens gespeichert.
(3) Gesetzliche Vorschriften wie insbesondere gesetzliche Aufbewahrungspflichten bleiben von den Abs. 1 bis 2 unberührt und sind entsprechend vorrangig zu beachten. Gleiches gilt, soweit die Aufbewahrung gerichtlich oder behördlich angeordnet wurde.