Datenschutzhinweise für das Hinweisgebersystem
1. Einleitung
Für uns ist es sehr wichtig, dass mit personenbezogenen Daten sorgfältig und rechtskonform umgegangen wird. Dies gilt insbesondere auch für Daten im Zusammenhang mit Hinweisen des internen Meldesystems. Dies gilt sowohl für die Hotline als auch für unsere webbasierte Applikation. Die folgenden Informationen zeigen Ihnen, wie wir mit Ihren personenbezogenen Daten im Rahmen von Hinweisen des internen Meldesystems zur präventiven Verhütung von Verstößen gegen geltendes Recht oder Unternehmensrichtlinien (z.B. Betrug oder Korruption sowie sonstige Straftatbestände) und/oder zur Aufdeckung von solchen Verstößen umgehen.
Der Begriff personenbezogene Daten meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Personenbezogene Daten sind daher beispielsweise der Vor- und Nachname, Adresse, Geburtsdatum, E-Mail-Adressen oder Telefonnummern.
2. Kontaktdaten des Verantwortlichen
Hawesko Holding SE
Head of Corporate Legal
Große Elbstraße 145 D
22767 Hamburg
datenschutz@hawesko-holding.com
3. Zwecke der Verarbeitung der personenbezogenen Daten
Die Hawesko Holding SE und verbundene Unternehmen verarbeiten im Rahmen der Eingabe und Bearbeitung von Meldungen im internen Meldesystem unter anderem folgende Arten an personenbezogenen Daten:
- Informationen zur persönlichen Identifizierung der hinweisgebenden Person, wie zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse;
- Beschäftigteneigenschaft zur Hawesko Holding SE und/oder verbundenen Unternehmen;
- Informationen zu betroffenen Personen, d.h. natürlichen Personen, die in einer Meldung als eine Person bezeichnet wird, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist. Solche Informationen sind zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse oder sonstige Informationen, die eine Identifikation ermöglichen;
- Informationen über Verstöße, die ggf. Rückschlüsse auf eine natürliche Person erlauben.
Die Hawesko Holding SE und verbundene Unternehmen verarbeiten die personenbezogenen Daten zum Zwecke der Untersuchung der Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens) vorzunehmen.
4. Rechtsgrundlage
4.1 Informationen zur persönlichen Identifizierung des Hinweisgebers verarbeiten wir nur, wenn uns die hinweisgebende Person dazu eine Einwilligung gemäß Art. 6 UAbs. 1 lit. a DSGVO abgegeben hat. Danach ist die Verarbeitung nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
4.2 Informationen zur Beschäftigteneigenschaft, Informationen zu betroffenen Personen sowie sonstige Informationen, die Rückschlüsse auf natürliche Personen zulassen, verarbeiten wir auf der Grundlage Art. 6 UAbs. 1 lit. f DS-GVO. Danach ist die Verarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Unser berechtigtes Interesse besteht – je nach zu prüfenden konkreten Einzelfall – in der Bearbeitung von Meldungen, um Folgemaßnehmen durchführen zu können, wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens. Ob Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person einer solchen Datenverarbeitung entgegenstehen, wird im Einzelfall – unter anderem auch mit Blick auf den Verstoß – geprüft.
4.3 Wir verarbeiten gegebenenfalls personenbezogene Daten von Beschäftigten auf Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten i.S.d. § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
5. Ihre Rechte
Sie haben gegenüber uns die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO),
- Recht auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
- Recht auf Widerspruch gegen die Verarbeitung (21 DSGVO).
Darüber hinaus weisen wir Sie als hinweisgebende Person auf Ihr Recht hin, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung davon berührt wird.
Sie können Ihre Rechte unter anderem ausüben, indem Sie eine E-Mail an folgende E-Mail-Adresse schreiben: datenschutz@hawesko-holding.com.
Des Weiteren haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Sie können sich hierfür an die Aufsichtsbehörde unseres Firmensitzes wenden. Die Adresse finden Sie hier.
6. Allgemeine Informationen zu den Empfängern oder Kategorien von Empfängern
Die personenbezogenen Daten, die im Rahmen einer Meldung verarbeitet werden, werden von der Firma lawcode GmbH, Universitätsstraße 3, 56070 Koblenz als Subunternehmer der Kanzlei Elke Schaefer Rechtsanwälte Philippistrasse 11, D-14059 Berlin, im Auftrag und nach Weisungen der Hawesko Holding SE gemäß Auftragsverarbeitungsvertrag verarbeitet.
Eine Übermittlung der personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Dies ist insbesondere der Fall, wenn die Übermittlung der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind, dient, Sie uns Ihre Einwilligung dazu erteilt haben oder eine Interessenabwägung dies rechtfertigt.
Darüber hinaus verarbeiten externe Dienstleistungsunternehmen, wie beispielsweise externe Rechenzentren oder Telekommunikationsanbieter, personenbezogene Daten in unserem Auftrag als Auftragsverarbeiter.
Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an unsere entsprechend zuständigen Fachabteilungen weitergegeben.
Unter Umständen geben wir die personenbezogenen Daten auch an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Behörden und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Wirtschaftsprüfer/Rechtsanwälte, weiter.
7. Allgemeine Informationen über den Aufbewahrungszeitraum
Daten werden in der Regel solange gespeichert, bis die Folgemaßnahmen abgeschlossen sind. In der Regel werden die Daten aus einer Meldung nach 2 Monaten gelöscht, nachdem das Verfahren endgültig abgeschlossen ist, es sei denn, die Einleitung weiterer rechtlicher Schritte erfordert die weitere Aufbewahrung (z.B. Einleitung von Strafverfahren oder Disziplinarverfahren). Personenbezogene Daten im Zusammenhang mit Meldungen werden von uns unverzüglich gelöscht, sofern wir sie als offensichtlich sachlich grundlos erachten.
8. Informationen gemäß Art. 13 Abs. 2 lit. e DS-GVO
Die Bereitstellung der Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss erforderlich. Unter Umständen bestehen je nach individuellem Einzelfall gesetzliche Pflichten, uns eine Meldung zu erteilen. Für eine sinnvolle Bearbeitung und Untersuchung der Meldung ist eine Verarbeitung der Daten jedoch erforderlich.