Datenschutzerklärung Hinweisgebersystem und interne Meldestelle

Mit dieser Datenschutzerklärung möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Abgabe von Meldungen über das Hinweisgebersystem an die interne Meldestelle informieren. Das Hinweisgebersystem dient in erster Linie der Entgegennahme von Meldungen über Verstöße im Sinne des Hinweisgeberschutzgesetzes vom 31. Mai 2023 („HinSchG“). Selbstverständlich werden dabei die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) sowie der geltenden nationalen Datenschutzvorschriften beachtet.

Diese Datenschutzerklärung wurde zuletzt am 28. September 2023 aktualisiert.

Hinweis: Aus Gründen der besseren Lesbarkeit wird in dieser Datenschutzerklärung auf die gleichzeitige Verwendung der Sprachformen für männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Inhaltsverzeichnis
1.   Verantwortliche und Datenschutzbeauftragte
2.   Datenverarbeitungsvorgänge
3.   Betroffene Personen
4.   Art der erhobenen personenbezogenen Daten
5.   Zwecke und Rechtsgrundlage
6.   Speicherdauer und Löschung der Daten
7.   Vertraulichkeit
8.   Empfänger von Daten
9.   Datenübermittlung
10. Gemeinsame Verantwortlichkeit
11. Ihre Rechte
12. Keine automatisierte Entscheidungsfindung oder Profiling
13. Sicherheitsstandards
14. Änderung der Datenschutzerklärung
 

1. Verantwortliche und Datenschutzbeauftragte

Für die Verarbeitungsvorgänge im Zusammenhang mit dem Hinweisgebersystem und der internen Meldestelle haben die 

Felsomat GmbH & Co. KG, Gutenbergstraße 13, 75203 Koenigsbach-Stein, E-Mail: info@felsomat.de, Telefonnummer: +49 (0) 7232 401-0,

- nachfolgend auch „Beschäftigungsgeber“ genannt -

und die 

L|A Business Services GmbH & Co. KG
Brienner Straße 29 
80333 München 
E-Mail: hgs@lutzabel.com
Telefonnummer: +49 89 544147-0

- nachfolgend auch „LUTZ | ABEL“ genannt -

die Zwecke und Mittel der nachfolgend näher beschriebenen Verarbeitungsvorgänge gemeinsam festgelegt. Sie sind insofern gemeinsam Verantwortliche im Sinne der Art. 4 Nr. 7, 26 DSGVO. 

Den Datenschutzbeauftragten der Felsomat GmbH & Co. KG erreichen Sie unter: Bernd Schieber, schieber@felsomat.de. 

Den Datenschutzbeauftragten von LUTZ | ABEL erreichen Sie unter: datenschutz@lutzabel.com. 

2. Datenverarbeitungsvorgänge

Die Datenverarbeitung im Rahmen des Betriebs des Hinweisgebersystems und der internen Meldestelle gliedert sich in drei Bereiche. 

2.1 Bereich 1: Betrieb des Hinweisgebersystems Vispato (Meldekanal)

Der Beschäftigungsgeber hateinen softwaretechnischen Meldekanal (iSv § 16 HinSchG) eingerichtet, über den Meldungen an LUTZ | ABEL (interne Meldestelle) eingereicht werden können. Als Meldekanal setzt der Beschäftigungsgeber das digitale Hinweisgebersystem des deutschen Dienstleisters Vispato GmbH, Hansaallee 299, 40549 Düsseldorf („Vispato“) ein. Das System ist über das Internet abrufbar. Aus Sicherheitsgründen ist es Ende-zu-Ende verschlüsselt, so dass der Beschäftigungsgeber die Eingaben im Hinweisgebersystem nicht einsehen kann. Das System erlaubt darüber hinaus auch anonyme Meldungen.

Der Meldekanal über Vispato ist durch eine Auftragsverarbeitung abgesichert. Der Beschäftigungsgeber ist datenschutzrechtlich verantwortlich für den Betrieb des Meldekanals, soweit es seine Beschäftigten und sie betreffende Meldungen angeht.

2.2 Bereich 2: Entgegennahme und Auswertung von Meldungen (Interne Meldestelle)

Der Beschäftigungsgeber hat LUTZ | ABEL mit dem Betrieb der internen Meldestelle (iSv §§ 12, 13 HinSchG) beauftragt. In diesem Zusammenhang sichtet LUTZ | ABEL die eingehenden Meldungen, prüft die Zuständigkeit und führt die Meldungen einer weiteren Bearbeitung und Auswertung zu. Nur zuvor besonders auf die Vertraulichkeit verpflichtete Sachbearbeiter und Rechtsanwälte erhalten Einsicht in die Meldungen. 

Für diesen Bereich der Datenverarbeitung ist LUTZ | ABEL verantwortlich.

2.3 Bereich 3: Bereitstellung von Informationen an den Beschäftigungsgeber und weiteres Vorgehen

Nachdem LUTZ | ABEL als interne Meldestelle den Vorgang rund um die Meldung abschließend bearbeitet hat, gibt es die Informationen aus der Meldung in einem Bericht an den Beschäftigungsgeber zur Ergreifung angemessener Maßnahmen weiter. Dabei wird die Vertraulichkeit der Hinweisgeber entsprechend der gesetzlichen Vorgaben gewahrt (siehe dazu unten mehr). 

Für diesen Bereich der Datenverarbeitung ist der Beschäftigungsgeber verantwortlich.

Der Beschäftigungsgeber entscheidet dann, ob er das Verfahren einstellt oder welche Art von weiteren Maßnahmen er ergreift. Für die in diesem Rahmen anfallenden Datenverarbeitungen ist der Beschäftigungsgeber allein datenschutzrechtlich Verantwortlicher iSv Art. 4 Nr. 7 DSGVO. Die Betroffenenrechte (siehe dazu unten mehr im Abschnitt 11) können für damit verbundene Datenverarbeitungen nur gegenüber dem Beschäftigungsgeber geltend gemacht werden.

3. Betroffene Personen

Folgende Kategorien an betroffenen Personen können Gegenstand der Verarbeitung personenbezogener Daten sein:
  • Hinweisgebende Personen. 
  • In der Meldung oder der anschließenden Kommunikation genannte Personen.
Sofern Sie Ihre Meldung anonym machen, werden keine personenbezogenen Daten von Ihnen verarbeitet. Insbesondere wird Ihre Meldung nicht mit der IP-Adresse des Endgeräts, über welches die Meldung erfolgt, verknüpft.

4. Art der erhobenen personenbezogenen Daten

4.1 Für die Verarbeitungsbereiche 1-2 gilt:
Sie sind nicht verpflichtet, Daten bereit zu stellen. Die Hinweiserteilung erfolgt freiwillig. Sollten Sie eine Meldung abgeben, gilt:

Es können folgende personenbezogene Daten verarbeitet werden:
  • Der Name des Hinweisgebers, sofern dieser seine Identität bei der Meldung offen legt.
  • Der Beschäftigungsstatus des Hinweisgebers und sonstige ihn betreffende personenbezogene Umstände (wie die E-Mail-Adresse), sofern er diese in der Meldung offen legt.
  • Gegebenenfalls der Namen von Personen sowie sonstige personenbezogene Daten der Personen, die in der Meldung genannt werden.
  • Der sonstige Inhalt der Meldung, soweit dieser personenbeziehbar ist.
  • Unter Umständen auch Sprachaufzeichnungen und andere Medien wie z.B. Fotografien, sofern Sie solche über das Hinweisgeberportal bereitstellen.
Sollten Sie die Meldung unter Angabe Ihres Namens und weiterer personenbezogener Angaben (z.B. Ihrer E-Mail-Adresse) machen, werden diese Daten verschlüsselt im Hinweisgebersystem hinterlegt und zur Bearbeitung der Meldung sowie für die weitere Kommunikation mit Ihnen gespeichert. Der Beschäftigungsgeber hat aufgrund der Ende-zu-Ende-Verschlüsselung des Hinweisgebersystems jedoch keinen Zugriff auf diese Daten. Zugriff hat allein LUTZ | ABEL als zur Vertraulichkeit verpflichtete interne Meldestelle. Im Hinblick auf die Datenweitergabe beachten Sie bitte die weiteren Angaben in dieser Datenschutzerklärung.

4.2          Für den Verarbeitungsbereich 3 gilt:
Sofern Hinweisgeber personenbezogene Daten zu sich selbst im Rahmen der Meldung bekannt geben, entfernt LUTZ | ABEL eindeutig identifizierende Hinweise auf die Hinweisgeber, bevor der Bericht mit den Informationen aus der Meldung an den Beschäftigungsgeber gegeben wird. Dies soll dazu dienen, eine größtmögliche Vertraulichkeit der Hinweisgeber zu gewährleisten. Bitte beachten Sie aber: Es kann nicht mit letzter Gewissheit ausgeschlossen werden, dass im Einzelfall der Inhalt einer Meldung indirekt Rückschlüsse auf den möglichen Kreis der Hinweisgeber zulässt. 

Die Berichte können darüber hinaus folgende personenbezogene Daten und Informationen enthalten:
  • Namen von Personen sowie sonstige personenbezogene Daten der Personen, auf die sich die Meldung bezieht.
  • Den sonstigen Inhalt der Meldung, soweit dieser personenbeziehbar ist.

5. Zwecke und Rechtsgrundlage

Zweck der Datenverarbeitung ist in erster Linie die Erfüllung der Pflichten aus dem HinSchG. Hierzu gehören insbesondere 
  • die Bereitstellung eines Meldekanals für interne Meldungen iSv § 16 HinSchG, 
  • die Prüfung und Bearbeitung von Meldungen im Rahmen des Verfahrens nach § 17 HinSchG, wozu ggf. auch die Erteilung einer Rückmeldung zu den aufgrund der Meldung geplanten und/oder ergriffenen Folgemaßnahmen gehört, 
  • die Einleitung von Folgemaßnahmen nach § 18 HinSchG und
  • die Dokumentation der Meldung und des Verfahrens nach § 11 HinSchG.
Rechtsgrundlage für die damit einhergehenden Datenverarbeitungen ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 10 HinSchG.

Darüber hinaus gilt in Fällen, in denen das HinSchG nicht anwendbar ist: Soweit personenbezogene Daten in den Hinweisen enthalten sind, ist deren Verarbeitung zum einen gestützt auf das berechtigte Interesse 
  • an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für die Mitarbeiter,
  • an der Aufdeckung und Untersuchung von möglichen Compliance-Verstößen.
Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Art. 6 Abs. 1 lit. f DSGVO. Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen insofern nicht. Sollten in der Meldung besondere Kategorien personenbezogener Daten iSv Art. 9 Abs. 1 DSGVO enthalten sein, erfolgt die Verarbeitung auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO, soweit sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Nachdem LUTZ | ABEL als interne Meldestelle den Bericht über eine Meldung entsprechend Verarbeitungsbereich 3 an denBeschäftigungsgeber übergeben hat, entscheidet dieser, ob er das Verfahren einstellt oder welche Art von weiteren Maßnahmen er ergreift. Für die in diesem Rahmen anfallenden Datenverarbeitungen ist der Beschäftigungsgeber allein datenschutzrechtlich Verantwortlicher iSv Art. 4 Nr. 7 DSGVO. Über die Zwecke und Rechtsgrundlagen dieser Verarbeitung klärt dieser gesondert auf.

6. Speicherdauer und Löschung der Daten

Personenbezogene Daten werden nur so lange gespeichert, wie es zur Zweckerreichung und Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. 

Meldungen, die dem HinSchG unterfallen, sind zwingend zu dokumentieren (§ 11 HinSchG). Die Dokumentation wird grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht. Ausnahmsweise ist eine länge Speicherung zulässig, um die übrigen Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

Sofern eine Weitergabe der Daten zur rechtlichen Bearbeitung an Rechtsanwaltskanzleien erfolgt, gelten darüber hinaus insbesondere die gesetzliche Aufbewahrungsfristen für Rechtsanwälte. Danach unterliegen Handakten und die darin enthaltenen Daten der sechsjährigen Aufbewahrungsfrist aus § 50 Abs. 1 S. 2 Bundesrechtsanwaltsordnung (BRAO) ggf. i.V.m. § 50 Abs. 4 BRAO.

7. Vertraulichkeit

Die interne Meldestelle beachtet die Vorgaben zur Vertraulichkeit nach § 8 HinSchG. Insbesondere die Vertraulichkeit der Identität der hinweisgebenden Personen wird entsprechend den gesetzlichen Vorgaben gewahrt. Auf die Ausnahmeregelung vom Vertraulichkeitsgebot in § 9 HinSchG wird hingewiesen. 

8. Empfänger von Daten

Als Auftragsverarbeiterin im Rahmen der Bereitstellung und des Betriebs des Hinweisgebersystems wird die Vispato GmbH, Hansaallee 299, 40549 Düsseldorf eingebunden. 

Im Übrigen können personenbezogene Daten an folgende Empfänger beziehungsweise Kategorien von Empfängern übermittelt werden:  
  • Dritte, insbesondere Rechtsberater, im Zusammenhang mit der Ergreifung von Folgemaßnahmen nach § 18 HinSchG und sonstigen weiteren Maßnahmen,
  • Staatliche Stellen wie Staatsanwaltschaften, Gerichte oder Behörden, soweit rechtliche Verpflichtungen vorliegen,
  • Weitere externe Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Dabei werden die strengen anwendbaren nationalen und europäischen Datenschutzbestimmungen beachtet. Die Dienstleister sind Weisungen unterworfen und unterliegen strengen vertraglichen Beschränkungen in Bezug auf die Verarbeitung von personenbezogenen Daten. Hiernach ist eine Verarbeitung nur erlaubt, soweit es für die Durchführung der Dienstleistungen oder zur Einhaltung rechtlicher Anforderungen erforderlich ist. Es wird im Vorhinein genau festgelegt, welche Rechte und Pflichten die Dienstleister in Bezug auf personenbezogene Daten haben sollen.

9. Datenübermittlung

Eine Übermittlung der personenbezogenen Daten in außereuropäische Drittländer findet nicht statt.

10. Gemeinsame Verantwortlichkeit

10.1       Zur Gewährleistung Ihrer Rechte und unter Berücksichtigung der Vorgaben der DSGVO wurde mit LUTZ | ABEL eine Vereinbarung geschlossen, die Regeln über die Verarbeitung Ihrer personenbezogenen Daten aufstellt (Vereinbarung über die gemeinsame Verantwortlichkeit iSv Art. 26 DSGVO). Der betroffenen Person sind die wesentlichen Inhalte dieser Vereinbarung gem. Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung zu stellen. Sie finden in dieser Datenschutzerklärung (insbesondere unter den Ziffern 1 und 2) bereits wichtige Inhalte hierzu. Im Übrigen gilt:

10.2       Sowohl der Beschäftigungsgeber als auch LUTZ | ABEL werden technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust treffen, die den Anforderungen der entsprechenden datenschutzrechtlichen Bestimmungen der DSGVO entsprechen.

10.3       Sowohl der Beschäftigungsgeber als auch LUTZ | ABEL sind verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitungsschritt(e) (siehe Ziffer 2 dieser Datenschutzerklärung) zuständig ist.

10.4       Die betroffenen Personen können ihre Rechte gemäß Art. 15-21 DSGVO sowohl gegenüber dem Beschäftigungsgeber als auch LUTZ | ABEL ausüben. Die Parteien informieren sich über entsprechende Anträge und deren Bearbeitung und unterstützen sich gegenseitig.

10.5       Sowohl dem Beschäftigungsgeber als auch LUTZ | ABEL obliegen die aus Art. 33 DSGVO sowie Art. 34 DSGVO resultierenden Informationspflichten gegenüber der Aufsichtsbehörde bzw. den von einer Verletzung des Schutzes personenbezogener Daten Betroffenen gleichermaßen.

11. Ihre Rechte

Soweit Ihre personenbezogenen Daten verarbeitet werden, sind Sie „betroffene Person“ im Sinne der DSGVO. Als betroffener Person stehen Ihnen grundsätzlich die nachfolgenden Rechte zu: 

Das Recht, 
  • Auskunft über die Datenverarbeitung sowie eine Kopie der verarbeiteten Daten zu erhalten (Auskunftsrecht, Art. 15 DSGVO), 
  • die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten zu verlangen (Recht auf Berichtigung, Art. 16 DSGVO), 
  • die unverzügliche Löschung personenbezogener Daten zu verlangen (Recht auf Löschung, Art. 17 DSGVO), 
  • die Einschränkung der Datenverarbeitung zu verlangen (Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO), 
  • sowie die Sie betreffenden personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und zudem diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen zu übermitteln (Recht auf Datenübertragbarkeit Art. 20 DSGVO),
  • das Recht, eine erteilte Einwilligung zur Datenverarbeitung zu widerrufen (Recht, Einwilligungen zu widerrufen, Art. 7 DSGVO).
  • Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Folge des Widerspruchs ist es, dass die Sie betreffenden personenbezogenen Daten nicht mehr verarbeitet werden dürfen, es sei denn, es können zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Über Ihren Widerspruch können Sie entweder den jeweiligen Beschäftigungsgeber oder LUTZ | ABEL unter den oben in Abschnitt 1 genannten Kontaktdaten informieren.
  • Wenn Sie der Ansicht sind, dass eine der an der Verarbeitung beteiligten Parteien mit der Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gem. Art. 77 DSGVO das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

Bitte beachten Sie, dass einige Betroffenenrechte in gewissen Fällen aufgrund von Vorschriften wie § 29 BDSG (i.V.m. dem HinSchG) nicht bestehen können bzw. eingeschränkt sind.

12. Keine automatisierte Entscheidungsfindung oder Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO findet nicht statt.

13. Sicherheitsstandards

Angemessene physikalische, technische und administrative Sicherheitsstandards sind implementiert, um Ihre personenbezogenen Daten im Rahmen der Datenverarbeitungen vor Verlust, Missbrauch, Änderung oder Zerstörung zu schützen. Sämtliche Dienstleister sind vertraglich verpflichtet, die Vertraulichkeit personenbezogener Daten zu wahren. Zudem dürfen sie die Daten nicht für Zwecke nutzen, welche nicht vorab genehmigt wurden. 

14.  Änderung der Datenschutzerklärung

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden, damit sie stets den jeweils aktuellen rechtlichen Anforderungen entspricht oder um Änderungen bei der Datenverarbeitung widerzuspiegeln. Ob sich etwas seit Ihrem letzten Besuch geändert hat, können Sie der Datumsangabe am Anfang dieser Datenschutzerklärung entnehmen.