Datenschutzhinweise Meldeportal

Datenschutzhinweise zur Verarbeitung von Daten im Rahmen der Meldestelle für Hinweisgeber

Mit dem Hinweisgeberschutzgesetz soll der Schutz hinweisgebender Personen und sonstiger von einer Meldung betroffener Personen gestärkt und es soll sichergestellt werden, dass ihnen im Rahmen der Vorgaben dieses Gesetzes keine Benachteiligungen drohen. Das HinSchG schützt alle Beschäftigten.

Im Rahmen des Betriebs der Meldestelle und der Durchführung von Meldeverfahren werden personenbezogene Daten verarbeitet.

Die Hinweisgeber.Hamburg wurde von Kunden beauftragt, die Einrichtung und den Betrieb einer internen Meldestelle gemäß § 12 Hinweisgeberschutzgesetz (HinSchG) zu übernehmen. Dieses umfasst den Betrieb der Meldekanäle nach § 16 HinSchG, die Führung des Verfahrens nach § 17 HinSchG und das Ergreifen von Folgemaßnahmen nach § 18 HinSchG für den jeweiligen Kunden.

Die Hinweisgeber.Hamburg verarbeitet als interne Meldestelle im Rahmen einer Auftragsverarbeitung (Art. 28 DSGVO) gemäß § 12 HinSchG personenbezogenen Daten von Kunden und hinweisgebenden Personen oder Personen, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

Um welche Verstöße geht es?

§ 2 HinSchG enthält einen abschließenden Katalog der Tatbestände, die Gegenstand einer Meldung sein können:

  • Straftatbestände
  • Ordnungswidrigkeiten, soweit es um den Schutz von Leben, Leib oder Gesundheit oder den Schutz der Rechte von Beschäftigten oder deren Vertretungen geht
  • bestimmte weitere Rechtsvorschriften auf Bundes-, Landes- oder EU-Ebene, die in § 2 HinSchG einzeln benannt werden, u.a.:
    • Vorschriften zur Geldwäsche-Bekämpfung
    • Vorgaben zur Produktsicherheit
    • Vorgaben zum Umweltschutz
    • Datenschutz

Bitte beachten Sie, dass die Interne Meldestelle nicht zur Meldung von Notfällen geeignet ist! Bei akuter Gefahrensituation wenden Sie sich bitte an die allgemeinen Notrufdienste.

Anmeldung im Melde-Portal, der Meldeprozess

Wenn Sie sich an die interne Meldestelle Ihres Unternehmens wenden, werden Sie auf die Anmeldeseite des von uns betriebenen Portals geleitet. Hier müssen Sie sich einen Zugang mit anonymer Melde-Id und selbstgewähltem Passwort anlegen. Bewahren Sie diese Daten gut auf! Gerade bei (optionalen) anonymen Meldungen ist dies der einzige Weg, mit Ihnen zu kommunizieren.

Innerhalb des Meldeportals geben Sie dann Ihre Meldung gemäß HinSchG ab. Im Portal werden Ihnen auch die fristgerechte Eingangsbestätigung (1 Woche) und die Rückmeldung nach drei Monaten hinterlegt. Wenn Sie eine E-Mailadresse angeben und die entsprechenden Haken gesetzt haben, bekommen Sie eine Nachricht an diese E-Mailadresse, dass Rückmeldungen bzw. andere Nachrichten für Sie vorliegen, die Sie über das Meldeportal abrufen können.

Betroffene Personen können sein:

Der Bereich der Personen, der nach dem HinSchG geschützt ist, ist weit gefasst und umfasst alle natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden (hinweisgebende Personen), insbesondere: Beschäftigte, Beschäftigte in ANÜ, Auszubildende, Praktikanten, Bewerber, auch bereits ausgeschiedene Beschäftigte.

Darüber hinaus werden auch Personen geschützt, die die hinweisgebende Person unterstützen, sowie Personen, die zwar nicht selbst die Meldung erstatten, aber Gegenstand der Meldung oder sonst von der Meldung betroffen sind. Dies sind insbesondere

Kunden bzw. Kundenmitarbeiter als Vertragspartner bzw. benannte Kontaktpersonen

Meldende gemäß § 3 HinSchG können sein: Mitarbeiter, Mitarbeiter in ANÜ, Auszubildende, Bewerber

Personen, die Gegenstand der Meldung sind, können alle Personen sein, die in einer Meldung gemäß HinSchG benannt werden.

Datenkategorien der betroffenen Personen

Folgenden Kategorien von personenbezogenen Daten werden verarbeitet:

Kunden: Vertrags- und Kontaktdaten, Vor- und Nachname, Adress- und Kontaktdaten des Kunden sowie der Kontaktpersonen beim Kunden; Informationen über Verstöße i.S.d. § 3 Abs. 3 HinSchG, Informationen über die Identität von Personen, die nach dem HinSchG geschützt sind.

Meldende, soweit angegeben: Vor- und Nachname bzw. Alias, Kontaktdaten, Informationen über Verstöße i.S.d. § 3 Abs. 3 HinSchG. Sollte ein Kunde die anonyme Meldung (keine Pflicht laut Gesetz) eingerichtet haben und es erfolgt eine anonyme Meldung, werden keine nachverfolgbaren personenbezogenen Daten von Meldenden durch das Meldeportal verarbeitet.

Personen, die Gegenstand der Meldung sind, soweit angegeben: Vor- und Nachname bzw. Alias, Kontaktdaten, Informationen über Verstöße i.S.d. § 3 Abs. 3 HinSchG.

Zweck und Rechtsgrundlage der Datenverarbeitung

Die personenbezogenen Daten von Kunden und deren Ansprechpartnern stammen von diesen selbst. Personenbezogene Daten von Meldenden und betroffenen Personen, die nach dem HinSchG geschützt sind, stammen von dem Meldenden über das Portal. Wir verarbeiten Ihre persönlichen Daten, soweit dies erforderlich ist, zu folgenden Zwecken:

Kunden: Vertragserfüllung gemäß Art. 6 (1) b DSGVO

Kunden, Meldende und Personen, die Gegenstand der Meldung sind: Erfüllung der Aufgaben, Pflichten und Rechte der internen Meldestelle, die durch das HinSchG zugewiesen sind. Die Rechtsgrundlagen sind Art. 6 (1) c DSGVO i.V.m. § 10 HinSchG.

Interne Empfänger

Innerhalb des Unternehmens können folgende Personengruppen eingebunden werden:

Interne Personen, die zur Durchführung von Maßnahmen nach dem HinSchG hinzugezogen werden

Externe Personen, die zur Durchführung von Maßnahmen nach dem HinSchG hinzugezogen werden (müssen)

Dritte

Externe Empfänger

Innerhalb der EU können andere zuständige Stellen i.S.d. HinSchG Empfänger von personenbezogenen Daten sein (z.B. Behörden). Das Meldeportal wird auf Rechenzentren in Deutschland und Finnland gehostet, eine Datenübermittlung in ein Drittland findet nicht statt.

Regelfristen für die Löschung

Kunden: Vertragsdaten, steuerrelevante Daten und Daten, die aufgrund anderer Gesetztesvorschriften aufbewahrt werden müssen: 10 Jahre nach Beendigung der Zusammenarbeit mit dem Kunden.

Daten von internen Kontaktpersonen: 3 Jahre nach Beendigung der Zusammenarbeit, bzw. bei Wechsel der Ansprechperson 3 Jahre, falls noch Fragen aus alten Fällen sind.

Meldeverfahren: Löschung nach 3 Jahren nach Abschluss des Verfahrens i.S.d. § 18 HinSchG.
Hinweis: Eine irrtümlich erfolgte Meldung kann von Ihnen als meldende Person im Meldeportal nicht gelöscht werden. Wenn Sie eine Meldung irrtümlich abgegeben haben und diese zurückziehen wollen, treten Sie bitte mit uns über das Meldeportal in Kontakt.

Ihre Rechte als betroffene Person

Soweit Ihre personenbezogenen Daten verarbeitet werden, stehen Ihnen als „betroffene Person“ im Sinne der DSGVO folgende Rechte zu:

Auskunft

Sie können von uns Auskunft darüber verlangen, ob personenbezogene Daten von Ihnen bei uns verarbeitet werden. Das Auskunftsrecht ist ausgeschlossen, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsfristen nicht gelöscht werden dürfen oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, sofern die Auskunftserteilung einen unverhältnismäßig hohen Aufwand erfordern würde und die Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Sofern in Ihrem Fall das Auskunftsrecht nicht ausgeschlossen ist und Ihre personenbezogenen Daten von uns verarbeitet werden, können Sie von uns Auskunft über folgende Informationen verlangen:

  • Zwecke der Verarbeitung,
  • Kategorien der von Ihnen verarbeiteten personenbezogenen Daten,
  • Empfänger oder Kategorien von Empfängern, gegenüber denen Ihre personenbezogenen Daten offen gelegt werden, insbesondere bei Empfängern in Drittländern,
  • falls möglich die geplante Dauer, für die Ihre personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,
  • das Bestehen eines Rechts auf Berichtigung oder Löschung oder Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten oder eines Widerspruchsrechts gegen diese Verarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde für den Datenschutz,
  • sofern die personenbezogenen Daten nicht bei Ihnen als betroffene Person erhoben worden sind, die verfügbaren Informationen über die Datenherkunft,
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebten Auswirkungen automatisierter Entscheidungsfindungen,
  • ggf. im Fall der Übermittlung an Empfänger in Drittländern, sofern kein Beschluss der EU-Kommission über die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 3 DSGVO vorliegt, Informationen darüber, welche geeigneten Garantien gem. Art. 46 Abs. 2 DSGVO zum Schutze der personenbezogenen Daten vorgesehen sind.

Berichtigung und Vervollständigung

Sofern Sie feststellen, dass uns unrichtige personenbezogene Daten von Ihnen vorliegen, können Sie von uns die unverzügliche Berichtigung dieser unrichtigen Daten verlangen. Bei unvollständigen Sie betreffenden personenbezogenen Daten können sie die Vervollständigung verlangen.

Löschung

Sie haben ein Recht auf Löschung („Recht auf Vergessenwerden“), sofern die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung, des Rechts auf Information oder zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich ist und einer der nachstehenden Gründe zutrifft:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig.
  • Die Rechtfertigungsgrundlage für die Verarbeitung war ausschließlich Ihre Einwilligung, welche Sie widerrufen haben.
  • Sie haben Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten eingelegt, die wir öffentlich gemacht haben.
  • Sie haben Widerspruch gegen die Verarbeitung von uns nicht öffentlich gemachter personenbezogener Daten eingelegt und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Ihre personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer gesetzlichen Verpflichtung, der wir unterliegen, erforderlich.
Kein Anspruch auf Löschung besteht, wenn die Löschung im Falle rechtmäßiger nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und Ihr Interesse an der Löschung gering ist. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung.

Einschränkung der Verarbeitung

Sie können von uns die Einschränkung der Verarbeitung verlangen, wenn einer der nachstehenden Gründe zutrifft:

  • Sie bestreiten die Richtigkeit der personenbezogenen Daten. Die Einschränkung kann in diesem Fall für die Dauer verlangt werden, die es uns ermöglicht, die Richtigkeit der Daten zu überprüfen.
  • Die Verarbeitung ist unrechtmäßig und Sie verlangen statt Löschung die Einschränkung der Nutzung Ihrer personenbezogenen Daten.
  • Ihre personenbezogenen Daten werden von uns nicht länger für die Zwecke der Verarbeitung benötigt, die Sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.
  • Sie haben Widerspruch gem. Art. 21 Abs. 1 DSGVO eingelegt. Die Einschränkung der Verarbeitung kann so lange verlangt werden, wie noch nicht feststeht, ob unsere berechtigten Gründe gegenüber Ihren Gründen überwiegen.

Einschränkung der Verarbeitung bedeutet, dass die personenbezogenen Daten nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden. Bevor wir die Einschränkung aufheben, haben wir die Pflicht, Sie darüber zu unterrichten.

Datenübertragbarkeit

Sie haben ein Recht auf Datenübertragbarkeit, sofern die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 Satz 1 Buchst. a) oder Art. 9 Abs. 2 Buchst. a) DSGVO) oder auf einem Vertrag beruht, dessen Vertragspartei Sie sind und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Das Recht auf Datenübertragbarkeit beinhaltet in diesem Fall folgende Rechte, sofern hierdurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden: Sie können von uns verlangen, die personenbezogenen Daten, die Sie uns bereit gestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung unserseits zu übermitteln. Soweit technisch machbar, können Sie von uns verlangen, dass wir Ihre personenbezogenen Daten direkt an einen anderen Verantwortlichen übermitteln.

Widerruf einer Einwilligung

Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Der Widerruf der Einwilligung kann telefonisch, per E-Mail, oder an unsere Postadresse formlos mitgeteilt werden. Durch den Widerruf wird die Rechtmäßigkeit der Datenverarbeitung, die aufgrund der Einwilligung bis zum Eingang des Widerrufs erfolgt ist, nicht berührt. Nach Eingang des Widerrufs wird die Datenverarbeitung, die ausschließlich auf Ihrer Einwilligung beruhte, eingestellt.

Beschwerde

Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist, können Sie Beschwerde bei einer Aufsichtsbehörde für den Datenschutz einlegen, die für den Ort Ihres Aufenthaltes oder Arbeitsplatzes oder für den Ort des mutmaßlichen Verstoßes zuständig ist.

Widerspruch

Sofern die Verarbeitung auf Art. 6 Abs. 1 Satz 1 Buchst. e) DSGVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt) oder auf Art. 6 Abs. 1 Satz 1 Buchst. f) DSGVO (berechtigtes Interesse des Verantwortlichen oder eines Dritten) beruht, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen. Das gilt auch für ein auf Art. 6 Abs. 1 Satz 1 Buchst. e) oder Buchst. f) DSGVO gestütztes Profiling. Nach Ausübung des Widerspruchsrechts verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie können jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zu Zwecken der Direktwerbung einlegen. Das gilt auch für ein Profiling, das mit einer solchen Direktwerbung in Verbindung steht. Nach Ausübung dieses Widerspruchsrechts werden wir die betreffenden personenbezogenen Daten nicht mehr für Zwecke der Direktwerbung verwenden.

Sie haben die Möglichkeit, Ihren Widerspruch per E-Mail oder postalisch an unsere im Impressum aufgeführte Adresse formlos mitzuteilen.

Externe Meldestellen

Abgesehen von unserer internen Meldestelle können Sie sich auch an eine externe Meldestelle des Bundes (z.B. beim Bundesamt für Justiz) wenden. Die Datenverarbeitung erfolgt dann auf deren Portale.