Information zur Erhebung personenbezogener Daten nach der DSGVO für Hinweisgeber im Hinweisgebersystem

Die EU-Datenschutz-Grundverordnung verpflichtet uns, Ihnen umfassende Informationen zur Verarbeitung personenbezogener Daten im Rahmen unserer Tätigkeit zur Verfügung zu stellen.

Diese Information bezieht sich auf die Verarbeitung personenbezogener Daten durch uns im Rahmen des

Hinweisgebersystems 

zur Umsetzung der Richtlinie 2019/1937 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, der gesetzlichen Anforderungen an interne Meldestellen gemäß §§ 12 (1), 13 des Gesetzes für einen besseren Schutz hinweisgebender Personen (BGBl. 2023 I Nr. 140 vom 02.06.2023; im Folgenden: HinSchG) und hiernach erlassener landesgesetzlicher Regelungen für Landes- und Kommunalbehörden sowie deren Unternehmen.

Wir betreiben das Hinweisgebersystem im Auftrag unserer Mandanten. Als datenschutzrechtlich Verantwortliche haben diese uns einbezogen, um über das Hinweisgebersystem ihren Beschäftigten und ggf. auch Dritten (sog. Hinweisgebern) die Möglichkeit zu eröffnen, ggf. anonym Hinweise auf mögliche Rechtsverstöße oder ethisches Fehlverhalten durch Mitarbeiter des Unternehmens (Betroffene) zu übermitteln. Ziel ist es dabei, die Hinweise zu prüfen und ggf. Folgemaßnahmen zur Beseitigung von Mängeln oder Ahndung von Verstößen gegen unternehmensinterne oder auch gesetzliche Regelungen einzuleiten.

Dies trifft in gleicher Weise auf die Nutzung als Ombudsstelle im Rahmen des sachlichen Anwendungsbereiches des § 2 (1) Nr. 1 -10 HinSchG zu.

Im Hinweisgebersystem werden deshalb sowohl Daten unserer Mandanten als auch Daten von Dritten, d. h.

  • deren Mitarbeitern als Betroffene,
  • möglichen Zeugen zu Sachverhalten und
  • den Hinweisgebern

aufgrund der vertraglichen Regelung zwischen unserem Mandanten und uns als Auftragsverarbeiter verarbeitet.

Im Rahmen der Funktionsübertragung nimmt ECOVIS die Hinweise von Hinweisgebern entgegen, anonymisiert diese und übermittelt die zur Prüfung möglicher Rechtsverstöße erforderlichen Informationen an die beim Mandanten verantwortlichen Stellen. Nach Aufklärung des Sachverhalts durch den Mandanten informiert dieser ECOVIS über die ergriffenen Folgemaßnahmen. ECOVIS informiert dann – soweit dies möglich ist – den Hinweisgeber über die ergriffenen Folgemaßnahmen.

I. Kontaktdaten

Verantwortlicher

Wir betreiben das Meldetool im Auftrag unserer Mandanten als Auftragsverarbeiter.

Auftragsverarbeiter als interne Meldestelle:

ECOVIS Keller Rechtsanwälte PartG mbB
Am Campus 1-11, 18182 Rostock/Bentwisch
Tel.: 0381 128849-0
E-Mail:  meldestelle380@ecovis.com
Web: https://www.ecovis.com/datenschutzberater/meldestelle/

Externer Datenschutzbeauftragter

Herr Sebastian Fröhlich
E-Mail: datenschutz@ecovis.com

II. Verarbeitungsrahmen

Wenn Sie Hinweisgeber sind:

Im Rahmen unserer Tätigkeit erheben wir in Abhängigkeit der uns vom Hinweisgeber, Mandanten und von Dritten übermittelten Informationen die folgenden Kategorien von Daten:

  • Identifikationsdaten, Kontaktdaten (Anrede / Geschlecht Adressdaten),
  • Berufliche Tätigkeiten, Wohnadresse, gegenwärtige Arbeitsstelle,
  • Angaben zu möglichen Straftaten, Ordnungswidrigkeiten oder Handlungen unter Verstoß gegen unternehmensinterne ethische Regelungen,
  • Angaben zu möglichen Zeugen der angezeigten Sachverhalte

Diese Daten können einen Personenbezug aufweisen, insbesondere wenn es sich bei den Dritten um natürliche Personen handelt oder solche Personen als Organ, sonstiger Vertretungsberechtigter, Ansprechpartner, Rechtsvertreter oder in ähnlicher Funktion für Dritte tätig werden.

Wir erheben die Daten grundsätzlich im direkten Kontakt mit dem Hinweisgeber. Personenbezogene Daten betroffener Mitarbeiter des Mandanten erheben wir erstmalig ebenfalls vom Hinweisgeber. Diese werden ggf. verifiziert und angereichert durch Informationen, die wir vom Mandanten erhalten.

Im Rahmen der Sachverhaltsprüfung werden uns daneben ggf. auch ergänzende Daten durch den jeweiligen Mandanten oder von Dritten offengelegt. Dies ist insbesondere dann der Fall, wenn uns Daten von Kunden und Geschäftspartnern unserer Mandanten, Rechtsvertretern, Versicherungen, öffentlichen Stellen, Gutachtern, Gerichten oder Behörden übermittelt werden.

Aus öffentlichen Quellen erheben wir – soweit nicht vorhanden – Kontaktdaten und ergänzende Informationen.

Eine gesetzliche Pflicht zur Bereitstellung von Daten des Hinweisgebers besteht nicht.

Die Nichtbereitstellung personenbezogener Daten des Hinweisgebers hat in der Regel zur Folge, dass nicht über Folgemaßnahmen informiert werden kann. Möglicherweise kann der Sachverhalt nicht vollständig aufgeklärt werden.

Sofern der Hinweisgeber seine personenbezogenen Daten zur Verfügung stellt, werden diese ausschließlich im Rahmen der uns gegenüber erteilten Einwilligung und nur im für die Aufklärung des Sachverhaltes erforderlichen Umfang verarbeitet. Wir gewährleisten die Anonymität des Hinweisgebers sowohl durch eine Datentrennung innerhalb des Hinweisgebersystems als auch durch die Übermittlung ausschließlich anonymisierter Daten an den Mandanten.

Bei der Datenverarbeitung in unserem Unternehmen werden keine automatischen Überwachungs- oder Bewertungssysteme eingesetzt.

III. Rechtsgrundlage

Rechtsgrundlagen der Datenverarbeitung im Rahmen Erfüllung der vertraglichen Funktionsübertragung zur Bereitstellung eines Hinweisgebersystems:

  • Die Datenverarbeitung der Hinweisgeber erfolgt auf Basis einer Einwilligung gem. Art. 6 (1) a DSGVO zu der Verarbeitung der sie betreffenden personenbezogenen Daten für den Zweck der Information über den Fortgang des Verfahrens und ggf. Rückfragen zur Klärung des Sachverhaltes. Schließlich kann es vorkommen, dass wir die Datenverarbeitung auf eine vom Hinweisgeber freiwillig, informiert und unmissverständlich für einen konkreten Zweck abgegebenen Einwilligung stützen. In diesem Fall informieren wir den Hinweisgeber im Zusammenhang mit der Einwilligung gesondert.
  • Die Datenverarbeitung der durch den Hinweisgeber bereitgestellten eigenen personenbezogenen Daten, möglicherweise benannter Dritter als Zeugen oder als Verursacher eines zu untersuchenden Sachverhaltes erfolgt auf der Basis von Art. 6 Abs. 1 lit. c DSGVO in Umsetzung der gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes (HinSchG), hier insbesondere nach §§ 9, 10.
  • Die Datenverarbeitung möglicherweise benannter Dritter als Zeugen eines zu untersuchenden Sachverhaltes erfolgt zur Wahrung unserer berechtigten Interessen.

Unsere berechtigten Interessen bestehen in der Erfüllung unserer vertraglichen Pflichten im Rahmen des Hinweisgebersystems auf der Basis von Art. 6 Abs. 1 lit. c DSGVO i.V.m. HinSchG.

Als berechtigte Interessen kommen daneben

  • das Bestehen eines Rechtsverhältnisses (Arbeitsverhältnisses);
  • die Betrugsprävention;
  • Maßnahmen zur Gewährleistung und Verbesserung der Sicherheit von IT- Systemen;
  • Maßnahmen zum Schutz des Unternehmens vor rechtswidrigen Handlungen;
  • Durchsetzung unternehmensinterner Regelungen und Weisungen sowie Betriebsvereinbarungen gem. Betriebsverfassungsgesetz,
  • sowie interne Verwaltungszwecke in Betracht.

Wir weisen ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere, nebeneinander geltende Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Sie im Falle des Widerrufs der Einwilligung entsprechend informieren.

Eigene Berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO

Wir stützen die Datenverarbeitung und insbesondere Weitergabe auch auf eigene berechtige Interessen, soweit es die oben genannten Zwecke erfordern. Dies betrifft beispielsweise

  • die Sicherung einheitlicher Qualitätsstandards innerhalb der zur ECOVIS- Gruppe gehörenden Unternehmen,
  • den Abschluss von Versicherungen, insbesondere über die Leistung bei Eintritt eines Versicherungsfalls (Betriebsunterbrechungs- / Betriebsausfallversicherung, Betriebsinhaltsversicherung, Vermögensschadenshaftpflichtversicherung),
  • für uns tätige Rechtsvertreter,
  • andere Unternehmen der ECOVIS-Gruppe, soweit zur Bearbeitung des Mandats eine interdisziplinäre Zusammenarbeit erforderlich und gewünscht ist.

IV. Dauer der Datenspeicherung

Die von uns erhobenen personenbezogenen Daten werden bis zum Abschluss des Prüfverfahrens und Ablauf der gesetzlichen Aufbewahrungspflicht gespeichert und danach gelöscht, insbesondere wenn nach Artikel 6 Abs. 1 S. 1 lit. c DSGVO aufgrund von berufsrechtlichen Vorschriften gesetzliche Verpflichtungen gem. § 50 BRAO zur sechsjährigen Speicherung nach Ende des Jahres, in dem das Verfahren abgeschlossen wurde, der Daten bestehen oder einer der Betroffenen in eine darüberhinausgehende Speicherung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO i.V.m. HinSchG eingewilligt hat.

V. Weitergabe und Auslandsbezug

Empfänger oder Kategorien von Empfängern der personenbezogenen Daten:

  • Die von uns erhobenen Daten werden unter Beachtung der gesetzlichen Vorschriften ausschließlich dann an andere Empfänger und Dritte weitergeleitet, wenn dies unter Wahrung der Anonymität des Hinweisgebers möglich ist oder durch diesen im Einzelfall eine Einwilligung vorliegt.
  • Zum technischen Betrieb der Kommunikations- und Datenverarbeitungssysteme werden externe Datenverarbeiter als Auftragsverarbeiter im Sinne von Art. 4 Nr. 10 DSGVO einbezogen, so dass die Verarbeitung der Daten durch sie keine Übermittlung im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Diese wurden sorgfältig insbesondere im Hinblick auf die erforderliche Vertraulichkeit der Datenverarbeitung ausgewählt, vertraglich gebunden und werden regelmäßig überwacht.

Eine Übermittlung Ihrer personenbezogenen Daten in ein Drittland erfolgt nicht und ist nicht beabsichtigt.

VI. Ihre Rechte

Als betroffene Person haben Sie nach der Datenschutz-Grundverordnung verschiedene Rechte. Dies sind

  • Recht auf Auskunft über die bei uns zu Ihnen gespeicherten Daten (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung der Daten, wenn keine Rechtsgrundlage für eine weitere Speicherung vorliegt (Art. 17 DSGVO) und
  • Recht auf Einschränkung der Verarbeitung der Daten auf bestimmte Zwecke (Art. 18 DSGVO).

Beruht die Verarbeitung Ihrer Daten auf einer Einwilligung, dann haben Sie das Recht, die von Ihnen erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der erteilten Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt. Wir weisen daneben noch einmal ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere nebeneinander geltenden Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Sie im Falle des Widerrufs der Einwilligung entsprechend informieren.

Bitte beachten Sie, dass die Informationspflicht gemäß Art. 14 Abs. 5 lit. d DSGVO gegenüber betroffenen Personen, deren personenbezogene Daten wir im Rahmen unserer Tätigkeit für unsere Mandanten nicht bei diesen selbst erheben, nicht anzuwenden ist. Auch das Recht von betroffenen Personen auf Auskunft nach Art. 15 DSGVO ist insoweit eingeschränkt, als dies die entgegenstehenden Rechte und Freiheiten unserer Mandanten, des Hinweisgebers oder Dritter beeinträchtigen würde. Soweit uns daher Ihre Daten im Rahmen eines uns erteilten Auftrages Daten von Dritten übermittelt wurden, ersuchen wir Sie, die Betroffenenrechte bei diesen Unternehmen (Arbeitgeber) direkt einzufordern.

Uns ist eine Erfüllung dieser Betroffenenrechte aus berufsrechtlichen Gründen nicht erlaubt, soweit wir mit deren Erfüllung gegen die uns gesetzlich treffende Berufsverschwiegenheit verstoßen würden.

Bitte beachten Sie ferner, dass das Widerspruchsrecht nach Art. 21 Abs. 1 S. 2 DSGVO nicht dazu führt, dass die Verarbeitung eingestellt wird, wenn diese der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Darüber werden wir Sie im Falle des Widerrufs der Einwilligung entsprechend informieren.

Daneben haben Sie nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Schloss Schwerin
Lennéstraße 1
19053 Schwerin
Telefon: +49 385 59494 0
Telefax: +49 385 59494 58
E-Mail: info@datenschutz-mv.de
Web: https://www.datenschutz-mv.de/kontakt/kontaktformular/

Schließlich haben Sie das Recht, sich jederzeit an unseren Datenschutzbeauftragten zu wenden. Dieser ist hinsichtlich Ihrer Anfrage zur Verschwiegenheit verpflichtet, soweit es um die Verarbeitung Ihrer Daten geht.  Unseren Datenschutzbeauftragten erreichen Sie unter den in Ziffer 1 genannten Kontaktdaten.