Datenschutz Hinweisgebersystem

Verantwortlich für die Datenverarbeitung ist die M. Busch GmbH & Co. KG, Ruhrstraße 1, 59909 Bestwig.

Telefon: Telefon: 02904/ 988-0, E-Mail: info@mbusch.de

Sie erreichen unseren Datenschutzbeauftragten unter der E-Mail: datenschutz@mbusch.de

Die M. Busch GmbH & Co. KG verarbeitet personenbezogene Daten im Rahmen der Meldung von Verstößen gegen Verhaltensregeln (sog. „Whistleblowing“) über ein eigenes Hinweisgebersystem. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verhaltensverstöße, die entsprechenden Sachverhalte sowie ggf. Angaben zum Hinweisgeber^[1].

Als Hinweisgebersystem kommt die webbasierte Whistleblowing-Lösung „Trusty“ zum Einsatz. Die Trusty AG stellt als Plattformanbieter die allgemeine technische Verfügbarkeit der Plattform sicher. Trusty wird auf einem virtuellen Server in einem Hochsicherheitsrechenzentrum in Deutschland gehostet, welches nach der Norm ISO 27001 zertifiziert ist und von der Hetzner Online GmbH Gunzenhausen bereitgestellt wird. Das Hinweisgebersystem besteht aus den mehrsprachigen Frontend-Webseiten (manuelle Sprachauswahl ohne Setzen von Cookies), die für die Hinweisgeber bestimmt sind, und dem Fallmanagement-Tool für die interne Bearbeitung der Meldungen durch die berechtigten Mitarbeiter der M. Busch GmbH & Co. KG. Diese sind speziell im Umgang mit sensiblen Daten geschult und zur Vertraulichkeit verpflichtet.

Die Eingabe personenbezogener Daten des Hinweisgebers in das Hinweisgebersystem erfolgt auf freiwilliger Basis. Im Rahmen des Meldeverfahrens werden daher nur die personenbezogenen Daten erhoben, die der jeweilige Hinweisgeber bewusst mitteilt und die für die Nachverfolgung und Aufklärung des konkreten Sachverhaltes notwendig sind. Für eine erfolgreiche Bearbeitung einer Meldung ist es wichtig, dass die Hinweisgeber so viele Informationen wie möglich zum Thema angeben. Obligatorisch zu beantwortende Fragen sind mit einem Sternchen (*) gekennzeichnet. Hinweisgeber können mit einer Meldung erst fortfahren, wenn sie die entsprechenden gekennzeichneten Pflichtfelder ausgefüllt haben. Informationen, die in nicht obligatorischen Feldern freiwillig bereitgestellt werden, sind nicht zwingend auszufüllen. Solche Felder können auch übersprungen werden.

Bei der Meldung werden Angaben zu folgenden Punkten abgefragt:

·         Wann und wo ereignete sich der Sachverhalt (Zeit und Ort) (optional);

·         am Sachverhalt beteiligte Personen (Vor- und Nachname, Position, Organisation) (optional);

·         sonstige Personen, die ggf. vom Sachverhalt Kenntnis erlangt haben (Vor- und Nachname, Position, Organisation) (optional);

·         Sachverhaltsbeschreibung (ggf. Angabe weiterer personenbezogener Daten, abhängig vom jeweiligen Sachverhalt).

Zudem werden folgende Angaben des Hinweisgebers abgefragt:

·         Vor- und Nachname;

·         E-Mail-Adresse (optional);

·         Telefonnummer;

·         Beziehung zur Organisation (optional).

Darüber hinaus sind die berechtigten Mitarbeiter der M. Busch GmbH & Co. KG im Hinweisgebersystem mit Vorname, Nachname, E-Mail-Adresse und Funktion erfasst.

Rechtsgrundlage ist Art. 6 Abs. 1 lit c) DSGVO (Erfüllung einer rechtlichen Verpflichtung). Die Verpflichtung zur Einrichtung eines Hinweisgebersystems ergibt sich aus der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sog. Hinweisgeberrichtlinie) sowie aus dem Gesetz für einen besseren Schutz hinweisgebender Personen (sog. Hinweisgeberschutzgesetz – HinSchG).

Soweit der Hinweisgeber freiwillige Angaben macht oder in die verlängerte Aufbewahrung seiner Daten Einwilligt, ist die Rechtsgrundlage für diese Angaben Art. 6 Abs. 1 Satz 1 lit. a) DSGVO.

Die Verarbeitung von Mitarbeiterdaten, welche im Case-Management als Nutzer angelegt sind, erfolgt auf Grundlage von § 26 Abs. 1 Satz 1 BDSG i. V. m. Art. 88 DSGVO.

Mit Einwilligung des Hinweisgebers können die Daten auch an die Personen weitergegeben werden, die von der Organisation autorisiert sind, die Meldung oder Frage zu bearbeiten. Darüber hinaus dürfen die Identität und alle anderen mit dem jeweiligen Fall verbundenen Informationen nur offengelegt werden, wenn dies nach EU-Recht oder nationalem Recht im Rahmen von Ermittlungen nationaler Behörden oder Gerichtsverfahren erforderlich und verhältnismäßig ist, auch um die Verteidigungsrechte der betroffenen Personen zu wahren.

Ihre Daten werden nur innerhalb der Europäischen Union (EU) und Staaten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet. Eine Übermittlung in Länder außerhalb der EU und des EWR (sog. Drittländer) findet nicht statt.

Die Daten zu einzelnen Meldungen werden so lange aufbewahrt, wie es zur Aufklärung und abschließenden Beurteilung des gemeldeten Sachverhaltes erforderlich ist. Nach Abschluss der Meldungsbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.

Die bei der Kontaktaufnahme sowie in der Bearbeitung des Hinweises erhobenen personenbezogenen Daten werden nach Abschluss der Untersuchung des gemeldeten Sachverhalts nach Zweckerfüllung gelöscht. Aufgrund gesetzlicher Verjährungsfristen können die Daten, je nach Schwere des gemeldeten Sachverhalts, bis zu 10 Jahre aufbewahrt werden (§§ 199 Abs. 3 S. 1 Nr. 1 BGB, 6 Abs. 1 lit. f DSGVO). Danach werden die Daten vollständig gelöscht bzw. datenschutzkonform vernichtet, so dass sie von Dritten nicht wiederhergestellt werden können.

Etwas anderes gilt nur, sofern aufgrund sonstiger gesetzlicher Bestimmungen (z. B. der Abgabenordnung, des Geldwäschegesetzes etc.) eine längere Speicherung/Aufbewahrung erforderlich ist und/oder der Hinweisgeber, sowie ggf. weitere betroffene Personen, in eine längerfristige Speicherung/Aufbewahrung ihrer Daten eingewilligt haben.

Es werden nur die Daten verarbeitet, die für die Nachverfolgung und Aufklärung des konkreten Sachverhaltes notwendig sind. Pflichtfelder sind im Meldeformular entsprechend markiert. Ohne diese Angaben ist die Nachverfolgung des gemeldeten Sachverhalts nicht möglich.

Im Rahmen des Hinweisgebersystems nutzen wir keine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren.

Wir verarbeiten Ihre Daten nicht automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (sog. „Profiling“ gemäß Art. 4 Nr. 4 DSGVO).

Sie haben unter den jeweiligen gesetzlichen Voraussetzungen das Recht, jederzeit eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten und das Recht auf Auskunft (Art. 15 DSGVO, § 34 BDSG) über diese personenbezogenen Daten. Daneben steht Ihnen das Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO, § 35 BDSG) und Einschränkung der Datenverarbeitung (Art. 18 DSGVO) zu, sowie das Recht, jederzeit Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) der personenbezogenen Daten einzulegen, bzw. die Einwilligung zur Datenverarbeitung jederzeit zu widerrufen oder die Datenübertragung (Art. 20 DSGVO) zu fordern. Darüber hinaus haben Sie das Recht, sich im Falle von Datenschutzverletzungen bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO, § 19 BDSG).