Datenschutzhinweise für die Nutzung des Hinweisgebersystems

Die Einhaltung datenschutzrechtlicher Vorgaben hat einen hohen Stellenwert für uns. Nachfolgend möchten wir Sie über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten informieren, die uns im Rahmen eines Hinweises über mögliche Verstöße gegen gesetzliche Vorgaben oder interne Regelungen mitgeteilt werden.

Verantwortlicher
Verantwortlich für die Verarbeitung der im Rahmen eines Hinweises übermittelten personenbezogenen Daten ist die Röwer & Rüb GmbH (Syker Str. 205 – 213, 27321 Thedinghausen, Telefon +49 4204 4803-100, E-Mail: info@roewer-rueb.de).

Verarbeitung Ihrer personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Hinweisgebende Personen können das Hinweisgebersystem grundsätzlich ohne Angaben zu ihrer eigenen Identität nutzen. Personenbezogene Daten werden nur in dem Umfang verarbeitet, in dem sie uns bereitgestellt werden.
Folgende personenbezogene Daten können insbesondere durch die Abgabe eines Hinweises durch uns verarbeitet werden: freiwillige Informationen zur Identität der hinweisgebenden Person (z. B. Name, Kontaktdaten, Position im Unternehmen), Informationen zu beschuldigten Personen oder Dritten (z. B. Zeugen), Informationen über Verstöße, die gegebenenfalls Rückschlüsse auf eine Person oder mehrere Personen zulassen.
Außerdem werden – wenn unser Hinweisgebersystem Parlabox aufgerufen wird – Nutzungsdaten erfasst, ohne deren Verarbeitung die Bereitstellung des Systems nicht möglich ist, wozu auch die IP-Adresse zum Zeitpunkt des Aufrufs gehört. Ferner besteht über das System Parlabox die Möglichkeit, Dokumente und Dateien einem Hinweis anzufügen oder einen Hinweis direkt per Sprachaufnahme an uns abzugeben.
Wenn ein Hinweis über die Parlabox angegeben wurde, erhält die hinweisgebende Person eine Hinweis ID, ein Hinweis Passwort (Hinweis PW) und einen Private Key. Mithilfe dieser Daten können der Status der Bearbeitung des Hinweises überprüft sowie gegebenenfalls Informationen zum Hinweis ergänzt werden. Erforderlich dazu ist die Eingabe dieser Daten innerhalb der Parlabox zur erneuten Öffnung des Hinweises nach dessen Abgabe. Es besteht die Möglichkeit, die Zugangsdaten in eine Zwischenablage zu kopieren oder direkt auszudrucken.

Zwecke der Datenverarbeitung
Durch das Hinweisgebersystem erhobene personenbezogene Daten werden insbesondere für die folgenden Zwecke verarbeitet:

  • Untersuchung der Plausibilität: Vor der Einleitung von Aufklärungsmaßnahmen wird unter anderem geprüft, ob die übermittelten Hinweise plausibel erscheinen und auf einen Verstoß schließen lassen.
  • Aufklärungsmaßnahmen: Handelt es sich um einen plausiblen Hinweis, können Maßnahmen zur Aufklärung des Sachverhalts durchgeführt werden. Hierzu werden die in im Hinweis enthaltenen Informationen sowie gegebenenfalls weitere verfügbare Informationen herangezogen.
  • Einleitung von Folgemaßnahmen: Wird im Rahmen der Sachverhaltsaufklärung ein Verstoß festgestellt, können Folgemaßnahmen (Sanktionen) gegenüber der beschuldigten Person bzw. den beschuldigten Personen ergriffen werden.
  • Verhinderung zukünftiger Verstöße: Weiterhin können die Ergebnisse der Aufklärungsmaßnahmen - soweit sie dafür geeignet sind - auch in allgemeine, präventive Compliance-Maßnahmen (z. B. Schulungen) einfließen, um so dazu beizutragen, dass künftige arbeitsvertragliche Pflichtverletzungen oder Straftaten von Beschäftigten verhindert oder erschwert werden.
  • Geltendmachung oder Verteidigung von Rechtsansprüchen: Sofern ein Verstoß festgestellt wurde, können die im Zuge der Sachverhaltsaufklärung erhobenen Informationen dazu herangezogen werden, rechtliche Ansprüche geltend zu machen oder abzuwehren bzw. drohende wirtschaftliche oder sonstige Schäden abzuwenden.
  • Entlastung von Beschäftigten: In Abstimmung mit der betroffenen Person bzw. den betroffenen Personen werden gegebenenfalls auch geeignete Aufklärungsmaßnahmen ergriffen, sodass mögliche Vorwürfe gegen zu Unrecht in Verdacht Geratene aufgeklärt und diese entlasten werden können.
  • Umsetzung Mitwirkungspflichten: Gegebenenfalls müssen wir aufgrund gesetzlicher Mitwirkungspflichten Daten, die im Rahmen der Aufklärungsmaßnahmen erhobenen wurden, an Strafverfolgungsbehörden oder sonstige Behörden weiterleiten. Dies kann beispielweise der Fall sein, wenn ein strafrechtliches Ermittlungsverfahren gegen einen Betroffenen eingeleitet wird.

Rechtsgrundlagen der Datenverarbeitung
Soweit ein Hinweis Informationen über Verstöße enthält, die in § 2 des Hinweisgeberschutzgesetzes (HinSchG) genannt sind, ist Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten Art. 6 Abs. 1 S. 1 lit. c DSGVO i. V. m. § 10 S. 1 HinSchG. Ferner kann die Datenverarbeitung – je nach Verarbeitungszweck – auch auf andere Vorschriften gestützt werden: Wenn der Zweck in der Einrichtung und Gestaltung der internen Meldestelle, der Durchführung eines internen Verfahrens oder der Ergreifung von Folgemaßnahmen liegt, ist Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 S. 1 lit. c DSGVO i. V. m. §§ 16 ff. HinSchG. Wenn eine Einwilligung für eine Aufzeichnung oder wortgenaue Protokollierung zur Erfüllung von Dokumentationspflichten abgefragt wird, ist die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. c DSGVO i. V. m. § 11 HinSchG. Sofern eine Verarbeitung von besonderen Kategorien personenbezogener Daten zur Erfüllung der Verarbeitungszwecke zwingend erforderlich ist, ist Rechtsgrundlage für diese Datenverarbeitung Art. 6 Abs. 1 S. 1 lit. c DSGVO, Art 9 Abs. 2 lit. g DSGVO i. V. m. § 10 S. 2 HinSchG.
Sofern ein Hinweis Verstöße betrifft, die nicht in § 2 des Hinweisgeberschutzgesetzes genannt sind, erfolgt die Datenverarbeitung auf Grundlage eines berechtigten Interesses an der Prüfung und Bearbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO, sofern keine schutzwürdigen Interessen im Einzelfall überwiegen.

Datenempfänger
Die über das Hinweisgebersystem mitgeteilten Daten werden an einen sehr kleinen Kreis ausdrücklich autorisierter Mitarbeitender (interne Meldestelle) zur Stichhaltigkeitsprüfung weitergeleitet. Der gemeldete Sachverhalt wird geprüft und gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durchgeführt. Dabei werden die Daten stets vertraulich behandelt. Sofern eine Übermittlung personenbezogener Daten zur Einleitung von Folgemaßnahmen erforderlich ist, erfolgt diese nur dann, wenn die Anforderungen aus § 9 HinSchG erfüllt sind. Bei entsprechender gesetzlicher Verpflichtung oder datenschutzrechtlicher Erforderlichkeit für die Hinweisaufklärung kann es in Einzelfällen zu einer Weitergabe Ihrer Daten an Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie einen externen Rechtsbeistand kommen.
Sofern sich einzelne Hinweise als grob fahrlässig oder vorsätzlich erteilte unrichtige Informationen erweisen, kann die Identität der hinweisgebenden Person nicht vertraulich behandelt werden.
Im Zusammenhang mit der technischen Bereitstellung des Hinweisgebersystems Parlabox werden wir durch einen weisungsgebundenen Dienstleister (Auftragsverarbeiter), die Cookiebox GmbH (Hafenweg 24, 48155 Münster) unterstützt. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde vereinbart. Das Datenhosting erfolgt auf Servern des Unterauftragsverarbeiters Google Cloud EMEA Limited (Velasco, Clanwilliam Palace, Dublin 2, Irland).
In bestimmten Fällen besteht die datenschutzrechtliche Verpflichtung, die beschuldigte Person von den gegen sie erhobenen Vorwürfen gemäß des gesetzlichen Transparenzgebots zu informieren. Dies trifft regelmäßig zu, sofern die Informationserteilung an die beschuldigte(n) Person(en) die konkrete Hinweisaufklärung nicht mehr beinträchtigen kann. Sofern keine gesetzlichen Ausnahmen vorliegen wird die Identität der hinweisgebenden Person nicht offengelegt und es wird sichergestellt, dass keine anderweitigen Rückschlüsse auf ihre Identität möglich sind.

Speicherdauer/Kriterien für die Festlegung der Speicherdauer
Personenbezogenen Daten in Bezug auf Hinweise, die unter § 2 des Hinweisgeberschutzgesetzes fallen, werden nach Abschluss des Verfahrens zu Dokumentationszwecken über drei Jahre (§ 11 Abs. 5 S. 1 HinSchG) aufbewahrt. Sie können auch länger aufbewahrt werden, wenn dies erforderlich und verhältnismäßig ist, um Anforderungen nach dem Hinweisgeberschutzgesetz oder nach anderen Rechtsvorschriften zu erfüllen (§ 11 Abs. 5 S. 2 HinSchG).
Hinweise, die nicht in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen, werden so lange aufbewahrt, wie es für die Klärung und abschließende Beurteilung des Hinweises und Einhaltung der gesetzlichen Vorgaben erforderlich ist. Im Falle der Einleitung von gerichtlichen und/oder disziplinarischen Verfahren kann die Aufbewahrung bis zum Verfahrensabschluss bzw. bis zum Ablauf von Rechtsbehelfsfristen andauern.

Ihre Datenschutzrechte
Sie haben gemäß Art. 15 DSGVO das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten und gegebenenfalls Vervollständigung unvollständiger Daten gemäß Art. 16 DSGVO oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Sie haben zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.
Sofern die Datenverarbeitung auf einer Einwilligung basiert, besteht das Recht auf Widerruf gemäß Art. 7 Abs. 3 DSGVO.
In Fällen, in denen wir Ihre personenbezogenen Daten auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Um Ihre Rechte geltend zu machen, wenden Sie sich bitte an folgende Kontaktadresse:
datenschutz@roewer-rueb.de
Sie haben zudem das Recht hat auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.

Kontaktdaten des Datenschutzbeauftragten
Bei der Erfüllung unserer datenschutzrechtlichen Pflichten werden wir von unserem externen Datenschutzbeauftragten unterstützt. Nennen Sie im Falle einer Anfrage bitte das betreffende Unternehmen. Die Kontaktdaten unseres Datenschutzbeauftragten lauten:
datenschutz nord GmbH
Konsul-Smidt-Straße
8828217 Bremen
E-Mail: office@datenschutz-nord.de
Web: https://www.dsn-group.de/