Datenschutzerklärung für die digitale Meldestelle WhistleProtect nach dem Hinweisgeberschutzgesetz

Wir freuen uns über Ihren Besuch auf unserem digitalen Hinweisgeberportal WhistleProtect und Ihr Interesse zur Abgabe von vertraulichen Meldungen nach dem Hinweisgeberschutzgesetz (HinSchG). Über unser digitales Hinweisgebersystem WhistleProtect können Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, diese vertraulich melden.


Der Schutz Ihrer personenbezogenen Daten, insbesondere im Zusammenhang mit der Abgabe von vertraulichen Meldungen durch Hinweisgeber ist uns ein wichtiges Anliegen. Der Zweck dieser Datenschutzerklärung besteht darin, Sie über die Verarbeitung Ihrer personenbezogenen Daten zu informieren, die wir bei einem Seitenbesuch von Ihnen sammeln. Unsere Datenschutzpraxis steht im Einklang mit den gesetzlichen Regelungen der Datenschutzgrundverordnung der EU (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Die nachfolgende Datenschutzerklärung dient der Erfüllung der sich aus der DSGVO ergebenden Informationspflichten. Diese finden sich z.B. in Art. 13 und Art. 14 ff. DSGVO.

1. Abschnitt - Allgemeine Informationen

1.1. Verantwortlicher & Datenschutzbeauftragter

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Im Hinblick auf unser Hinweisgeberportal ist der Verantwortliche:
DURY LEGAL Rechtsanwälte
Beethovenstraße 24
66111 Saarbrücken
Deutschland
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
Tel.: +49(0)68194005430

1.2. Technische Bereitstellung des Hinweisgeberportals und Erstellung von Logfiles

Um für unsere Mandanten die gesetzlichen Pflichten aus dem Hinweisgeberschutzgesetz zu erfüllen, haben wir eine interne Meldestelle eingerichtet, die als SaaS Lösung in eigener datenschutzrechtlicher Verantwortlichkeit betrieben wird.
Bei jedem Aufruf unseres Hinweisgeberportals erfasst das System automatisiert Daten und Informationen des jeweils abrufenden Gerätes (z.B. Computer, Mobiltelefon, Tablet, etc.). Dies ist bereits aus technischen Gründen notwendig und nicht vermeidbar.
Es werden außerhalb des Hostings durch die STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin keine Auftragsverarbeiter eingesetzt.
Welche personenbezogenen Daten werden erhoben und in welchem Umfang werden diese verarbeitet?
(1) Informationen über den Browsertyp und die verwendete Version;
(2) Das Betriebssystem des Abrufgerätes;
(3) Hostname des zugreifenden Rechners;
(4) Die teilanonymisierte IP-Adresse des Abrufgerätes;
(5) Datum und Uhrzeit des Zugriffs;
(6) Websites und Ressourcen (Bilder, Dateien, weitere Seiteninhalte), die auf unserer Internetseite aufgerufen wurden;
(7) Websites, von denen das System des Nutzers auf unsere Internetseite gelangte (Referrer-Tracking);
(8) Meldung, ob der Abruf erfolgreich war;
(9) Übertragene Datenmenge.

Diese Daten werden in den Logfiles unseres Systems gespeichert. Der Serverstandort befindet sich in der Europäischen Union.

Die IP-Adresse wird vom Hinweisgeberportal verschlüsselt verarbeitet. Hierzu werden die IP-Adressen beim Aufruf des Hinweisgeberportals zwar aus technischen Gründen erhoben, jedoch nur auf der Ebene des Hosting-Servers verarbeitet.

Eine Speicherung dieser Daten zusammen mit personenbezogenen Daten eines konkreten Nutzers findet nicht statt, so dass eine Identifizierung einzelner Seitenbesucher nicht erfolgt. Die IP-Adressen werden durch spezielle technische und organisatorische Maßnahmen vor dem Zugriff geschützt.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die Verarbeitung der Daten dient der Erfüllung unserer rechtlichen Pflichten gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht insbesondere darin, die Meldepflichten nach dem Hinweisgeberschutzgesetz (HinSchG) durch Schaffung einer internen Meldestelle in Form eines einfachen vertraulichen Onlineportals als beauftragte Dritte Person für unsere Mandanten zu erfüllen.

Zweck der Datenverarbeitung

Die vorübergehende (automatisierte) Speicherung der Daten ist für die Bereitstellung des Hinweisgeberportals technisch erforderlich, um eine Auslieferung des Hinweisgeberportals zu ermöglichen. Die Speicherung und Verarbeitung der personenbezogenen Daten erfolgt zudem zur Erhaltung der Kompatibilität des Hinweisgeberportals für möglichst alle Besucher und zur Missbrauchsbekämpfung und Störungsbeseitigung. Hierfür ist es notwendig, die technischen Daten des abrufenden Rechners zu loggen, um so auf Angriffe auf unsere IT-Systeme reagieren zu können.

Dauer der Speicherung

Die Löschung der vorgenannten technischen Daten erfolgt, sobald sie nicht mehr benötigt werden, um die Kompatibilität der Internetseite für alle Besucher zu gewährleisten, spätestens aber nach 14 Tagen nach Abruf unseres Hinweisgeberportals.

Widerspruchs- und Löschungsmöglichkeit

Sie können der Verarbeitung jederzeit gem. Art. 21 DSGVO widersprechen und eine Löschung von Daten gem. Art. 17 DSGVO verlangen. Welche Rechte Ihnen zustehen und wie Sie diese geltend machen, finden Sie im unteren Bereich dieser Datenschutzerklärung.

2. Abschnitt – Datenverarbeitung bei Nutzung der Meldefunktionen des Hinweisgeberportals

2.1. Besondere Funktionen des Hinweisgeberportals

Das Hinweisgeberportal bietet Funktionen zur Abgabe einer Meldung und Kommunikation mit dem Hinweisgeber nach dem Hinweisgeberschutzgesetz. Beim Betrieb des digitalen Hinweisgeberportals und der Kommunikation mit dem Hinweisgeber über das Portal werden von uns personenbezogene Daten erhoben, verarbeitet und gespeichert. Nachfolgend erklären wir, was mit diesen Daten geschieht, wenn eine der Funktionen des Hinweisgeberportals genutzt wird:

Meldung eines Vorfalls unter Nutzung des Meldeformulars und Nachrichtenfunktion

  • Welche personenbezogenen Daten werden erhoben und in welchem Umfang werden diese verarbeitet?
    Die von Ihnen in die Formularfelder des Meldeformulars eingegebenen und ggf. hochgeladenen Daten werden zur Erfüllung des unten genannten Zwecks verarbeitet.
    Das Meldeformular erhebt bei der Eingabe einer Meldung nach dem Hinweisgeberschutzgesetz die nachfolgenden Daten:
    - Welcher Verstoß/Vorfall ist passiert?
    - Wann ist der Verstoß/Vorfall passiert?
    - Wo ist der Verstoß/Vorfall passiert?
    - In welchem Unternehmen ist der Verstoß/Vorfall passiert?
    - In welcher Beziehung stehen Sie zu den in der Meldung genannten Personen oder dem genannten Unternehmen?

Freiwillig können weitere Informationen über das Formular gemeldet werden:
- Vorname
- Nachname
- E-Mail-Adresse
- Haben andere Personen von dem Sachverhalt Kenntnis erlangt?
- Upload von Dateien
- Sprachnotiz

Bei der Nutzung des Meldeformulars ist die Angabe von Daten zur direkten Identifizierung des Hinweisgebers wie z.B. Name, E-Mail-Adresse, etc. nicht notwendig bzw. verpflichtend.

Sofern eine Meldung über das Meldeformular eingereicht wird, werden die erhobenen Daten vom Hinweisgeberportal gespeichert und nach den Vorgaben des Hinweisgeberschutzgesetzes unter Beachtung des Vertraulichkeitsgebots dokumentiert. Es erfolgt eine Benachrichtigung an den anwaltlichen Ombudsmann, dass eine Meldung eingegangen ist. Zur Bearbeitung der Meldung loggt sich der anwaltliche Ombudsmann sowie gegebenenfalls weitere Personen, die den anwaltlichen Ombudsmann bei der Bearbeitung von Meldungen unterstützen, in das Hinweisgeberportal ein und bearbeitet die Meldung anhand der Vorgaben des Hinweisgeberschutzgesetzes.

Die Daten aus der Meldung werden dafür verwendet die Meldung entgegenzunehmen, eine Stichhaltigkeitsprüfung durchzuführen, zu anonymisieren sowie nach der Anonymisierung den Personen innerhalb des auf der Webseite genannten Unternehmens zukommen zu lassen, die für das Ergreifen von Folgemaßnahmen gemäß §§ 3 Abs. 7, 6 Abs. 4, 17 HinSchG zuständig sind. Die Daten aus der Meldung in anonymisierter Form werden auch dazu verwendet den Mandanten bei Folgemaßnahmen rechtlich zu unterstützen.

Bei Rückfragen an den Hinweisgeber wird der anwaltliche Ombudsmann über die Nachrichtenfunktion des Hinweisgeberportals den Hinweisgeber vertraulich um weitere Informationen ersuchen und den Kontakt mit dem Hinweisgeber halten.

Die Kommunikation über das Portal wird durch einen Sicherheitsschlüssel ermöglicht. Über den Sicherheitsschlüssel kann der Hinweisgeber seine Meldung innerhalb der gesetzlichen Fristen nach dem Hinweisgeberschutzgesetz einsehen und vertraulich mit dem anwaltlichen Ombudsmann kommunizieren.

  • Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die Verarbeitung der Daten nach Abgabe der Meldung gemäß des HinSchG werden gemäß Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. §§ 10 ff. HinSchG verarbeitet (Sicherstellung und Durchführung des Beschwerdeverfahrens einer internen Meldestelle durch einen Dritten gemäß § 14 Abs. 1 HinSchG und Beratung des Unternehmens bei der Ergreifung von Folgemaßnahmen).

Sofern es sich bei den gemeldeten Daten nach dem Hinweisgeberschutzgesetz um besondere Kategorien von Daten handelt, erfolgt eine Verarbeitung gemäß Art. 9 Abs. 2 lit. g DSGVO i.V.m. §§ 10 ff. HinSchG, da die Verarbeitung auf der Grundlage des Rechts eines Mitgliedstaats aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist, nämlich zur Sicherstellung und Durchführung des Beschwerdeverfahrens einer internen Meldestelle und zur Durchführung von Folgemaßnahmen.

Soweit Daten erfasst werden, die zur Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozialschutz verarbeitet werden, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG beziehungsweise Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG.

  • Zweck der Datenverarbeitung

Der Zweck der Verarbeitung der Daten aus der Meldung besteht in der Stichhaltigkeitsprüfung und Bearbeitung der von Ihnen über das Formular abgegebenen Meldung durch den mit der Durchführung des Verfahrens betrauten anwaltlichen Ombudsmann als Dritter gemäß §§ 11 Abs. 1, 12 Abs. 1, 14 Abs. 1 HinSchG. Ebenfalls besteht der Zweck der Verarbeitung in der Durchführung der Aufgaben der internen Meldestelle gemäß § 13 HinSchG zum Betrieb des Meldekanals gemäß § 12 Abs. 1, 16 HinSchG, der Verfahrensführung gemäß § 17 HinSchG und der Ergreifung von Folgemaßnahmen gemäß § 18 HinSchG. Eine Datenverarbeitung erfolgt auch zur Benachrichtigung der hinweisgebenden Person hinsichtlich einer Rückmeldung zum Verfahrensstand gemäß § 17 Abs. 2 HinSchG und der Dokumentation der Meldungen gemäß § 11 HinSchG innerhalb der Dokumentationsfristen gemäß § 11 Abs. 5 HinSchG.

Ebenfalls hat die meldende Person die Möglichkeit eine E-Mail-Adresse bei der Einreichung der Beschwerde mit anzugeben. Die E-Mail-Adresse wird dazu genutzt der meldenden Person Statusinformationen über den Verfahrensgang der Beschwerde zukommen zu lassen.

Sofern eine meldende Person freiwillig ihren Namen eingibt wird der Name dazu verwendet die Person persönlich ansprechen zu können.

Sofern eine meldende Person freiwillig eine Sprachnotiz über das digitale Hinweisgebersystem aufnimmt, wird die Sprachnotiz vom anwaltlichen Ombudsmann dazu verwendet eine kurze Zusammenfassung des Sachverhalts in anonymisierter Form zu erstellen und der Meldung an das Unternehmen beizufügen.

Sofern eine meldende Person freiwillig Dateien über die Uploadfunktion des digitalen Hinweisgebersystems aufnimmt, werden die Dateien vom anwaltlichen Ombudsmann dazu verwendet eine kurze Zusammenfassung des sich aus den hochgeladenen Dokumenten enthaltenen Sachverhalts in anonymisierter Form zu erstellen und der Meldung an das Unternehmen beizufügen.

Bitte beachten Sie, dass durch Eingabe von Namen und E-Mail-Adressen sowie weiteren Informationen in Dokumenten und Sprachnotiz die Abgabe der Beschwerde einer konkreten Person zugeordnet werden kann und ein direkter Personenbezug hergestellt wird.

  • Dauer der Speicherung
    Die Löschung der Daten erfolgt, sobald die Meldung bearbeitet wurde und kein berechtigtes Interesse an der Speicherung der Meldung mehr besteht. Dies ist dann der Fall, wenn der anwaltliche Ombudsmann für das Unternehmen keine Pflichten aus dem HinSchG mehr zu erfüllen hat. Gemäß § 11 HinSchG ist dies regelmäßig drei Jahre nach Abschluss des Verfahrens der Fall, sofern keine anderweitigen gesetzlichen Aufbewahrungspflichten des Unternehmens oder des anwaltlichen Ombudsmanns, insbesondere hinsichtlich dessen Berufspflichten bestehen.
  • Ihre Rechte
    Ihre Rechte richten sich nach den nachfolgend in dieser Datenschutzerklärung geschilderten generellen Betroffenenrechten.

  • Erforderlichkeit der Angabe personenbezogener Daten
    Die Pflichtangaben im Beschwerdeportal sind weder vertraglich noch gesetzlich vorgeschrieben, jedoch zum Absenden und zur Bearbeitung der Meldung über das digitale Hinweisgeberportal notwendig. Sofern Sie die vorhandenen Pflichtfelder nicht oder nicht vollständig ausfüllen, kann die von Ihnen gewünschte Meldung über das Beschwerdeportal nicht abgesendet oder bearbeitet werden. Sofern die freiwilligen Felder nicht ausgefüllt werden, kann der anwaltliche Ombudsmann die dort ggf. einzureichenden Informationen bei der Bearbeitung der Meldung nicht berücksichtigen. Dem Hinweisgeber steht es frei die anderen Meldekanäle des anwaltlichen Ombudsmanns zu verwenden, wie z.B. per Telefon.


2.4. Verwendung des localStorage und des sessionStorage

Bei der Technologie „Web Storage“ handelt es sich um eine technische Möglichkeit, bei der , ähnlich wie in Cookies, Daten und Informationen auf dem Rechner bzw. Endgerät des Nutzers gespeichert werden können. Daten können generell auf zwei Arten im Web Storage gespeichert werden. Die Bezeichnung des Web Storage hängt dabei von der Speicherdauer ab. Unterschieden wird zwischen einer dauerhaften Speicherung (localStorage) oder eine auf die „Session“ begrenzte Speicherung (sessionStorage). Eine Session beginnt mit Aufrufen der Seite und endet mit dem Verlassen der Seite (z.B. durch Schließen des Tabs oder des Browsers). Der Zugriff auf den localStorage bzw. den sessionStorage erfolgt über die auf der Website eingesetzten Skripte und Webdienste. Vorliegend haben wir eine Tabelle erstellt, in der wir Sie über die Art der Daten und den Zweck des local- bzw. sessionStorage aufklären.

 Name  Art   Zweck  Rechtsgrundlage
 ngldle.expiry   Security   Der Local Storage-Service wird verwendet, um sicherzustellen, dass ein sicherer Seitenbesuch und ein sicheres Einloggen erfolgen kann.   Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

 

3. Abschnitt – Ihre Rechte

3.1. Auskunftsanspruch

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Sofern dies der Fall ist, haben Sie ein Recht auf Auskunft über die in Art. 15 Abs. 1, 2 DSGVO benannten Informationen. Gerne stellen wir Ihnen auch eine Kopie der Daten zur Verfügung, soweit nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden (vgl. Art. 15 Abs. 4 DSGVO).

3.2. Berichtigungsanspruch

Sie haben gem. Art. 16 DSGVO das Recht, bei uns ggf. falsch hinterlegte personenbezogene Daten (wie z.B. Adresse, Name, etc.) jederzeit korrigieren zu lassen. Auch können Sie jederzeit eine Vervollständigung der bei uns gespeicherten Daten verlangen. Eine entsprechende Anpassung erfolgt unverzüglich.

3.3. Recht auf Löschung

Sie haben gem. Art. 17 Abs. Abs. 1 DSGVO das Recht darauf, dass wir die über Sie erhobenen personenbezogenen Daten löschen, wenn

  • die Daten nicht mehr benötigt werden;
  • aufgrund des Widerrufs Ihrer Einwilligung die Rechtsgrundlage der Verarbeitung ersatzlos entfallen ist;
  • Sie Widerspruch gegen die Verarbeitung eingelegt haben und keine vorrangigen berechtigte Gründe für die Verarbeitung vorliegen;
  • Ihre Daten unrechtmäßig verarbeitet werden;
  • eine rechtliche Verpflichtung dies erfordert
  • eine Erhebung gem. Art. 8 Abs. 1 DSGVO stattgefunden hat.

Das Recht besteht gem. Art. 17 Abs. 3 DSGVO dann nicht, wenn

  • die Verarbeitung zur Ausübung des Rechtes auf freie Meinungsäußerung und Information erforderlich ist;
  • Ihre Daten auf Grundlage einer rechtlichen Verpflichtung erhoben worden sind;
  • die Verarbeitung aus Gründen des öffentlichen Interesses erforderlich ist;
  • die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

3.4. Recht auf Einschränkung der Verarbeitung

Gem. Art. 18 Abs. 1 DSGVO haben Sie in einzelnen Fällen das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Dies ist dann der Fall, wenn

  • die Richtigkeit der personenbezogenen Daten von Ihnen bestritten wird;
  • die Verarbeitung unrechtmäßig ist und Sie einer Löschung nicht zustimmen;
  • die Daten nicht länger für den Verarbeitungszweck benötigt werden, aber die erhobenen Daten der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen;
  • ein Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DSGVO eingelegt worden ist und noch unklar ist, welche Interessen überwiegen.

3.5. Recht auf Widerruf

Sofern Sie uns eine ausdrückliche Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten erteilt haben (Art. 6 Abs. 1 lit. a DSGVO) können Sie diese jederzeit widerrufen. Bitte beachten Sie, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung hierdurch nicht berührt wird.

3.6. Recht auf Widerspruch


Soweit Sie bei der Speicherung und Verarbeitung Ihrer Daten aufgrund einer besonderen Situation nicht mehr möchten, dass wir die Daten verarbeiten, können Sie bei Daten, die wir auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erhoben haben, gemäß Art. 21 DSGVO jederzeit Widerspruch einlegen.



3.7. Recht auf Datenübertragbarkeit

Wir stellen Ihnen oder einen von Ihnen benannten Verantwortlichen auf Anfrage gem. Art. 20 Abs. 1 DSGVO folgende Daten in einem gängigen maschinenlesbaren Format bereit:

  •  Daten, die aufgrund einer ausdrücklichen Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO erhoben wurden;
  • Daten, die wir gemäß gem. Art. 6 Abs. 1 lit. b DSGVO im Rahmen bestehender Verträge von Ihnen erhalten haben; soweit die Daten im Rahmen eines automatisierten Verfahrens verarbeitet worden sind.

3.8. Wie nehmen Sie Ihre Rechte wahr?

Ihre Rechte können Sie jederzeit wahrnehmen, indem Sie sich an die unten stehenden Kontaktdaten wenden:

DURY LEGAL Rechtsanwälte
Beethovenstraße 24
66111 Saarbrücken
Deutschland
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
Tel.: +49(0)68194005430

3.9. Beschwerderecht bei der Aufsichtsbehörde gem. Art. 77 Abs. 1 DSGVO

Sofern Sie den Verdacht haben, dass auf unserer Seite Ihre Daten rechtswidrig verarbeitet werden, können Sie selbstverständlich jederzeit eine gerichtliche Klärung der Problematik herbeiführen. Zudem steht Ihnen jede andere rechtliche Möglichkeit offen. Unabhängig davon steht Ihnen gem. Art. 77 Abs. 1 DSGVO die Möglichkeit zur Verfügung, sich an eine Aufsichtsbehörde zu wenden. Das Beschwerderecht gem. Art. 77 DSGVO steht Ihnen in dem EU-Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes und/oder des Ortes des vermeintlichen Verstoßes zu, d.h. Sie können die Aufsichtsbehörde, an die Sie sich wenden, aus den oben genannten Orten wählen. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet Sie dann über den Stand und die Ergebnisse Ihrer Eingabe, einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs gem. Art. 78 DSGVO.

© DURY LEGAL Rechtsanwälte – www.dury.de

Autor
Janine Rieger
Janine Rieger
Marketingmanagerin
Frau Janine Rieger ist seit dem Jahr 2019 als Marketingmanagerin bei DURY LEGAL beschäftigt. Neben dem Marketing gehört auch die Unternehmenskommunikation zu ihren Aufgabengebieten. Zudem unterstützt sie die anderen Mitglieder der DURY Group bei der Durchführung und Planung von Marketingaktivitäten.