Datenschutz Hinweisgebersystem hintcatcher

Wir nehmen den Schutz von personenbezogenen Daten sehr ernst. Unter Beachtung der EU-Datenschutz-Grundverordnung (DSGVO) informieren wir Sie, welche Ihrer Daten wer bei der Nutzung des Hinweisgebersystems „hintcatcher“ zu welchem Zweck verarbeitet, welche Rechte Sie als Benutzer haben und wer die Verantwortung für die Datenverarbeitung trägt.

Die technische Umsetzung des Hinweisgebersystems erfolgt durch das Unternehmen product kitchen GmbH, Rehsteige 12, 73035 Göppingen in Deutschland, im Auftrag der THORWART Consult GmbH und deren Mandanten

 

Verantwortlich für die Datenverarbeitung

THORWART Consult GmbH
Am Stadtpark 2
90409 Nürnberg

Telefon: 09114007990

E-Mail: consultNO SPAM SPAN!@thorwart.de

Webseite: https://www.thorwart-consult.de/

 

Fragen zum Schutz Ihrer Daten beantwortet Ihnen gern unser Datenschutzbeauftragter von THORWART:

E-Mail: datenschutzNO SPAM SPAN!@thorwart.de

 

Personenbezogene Daten

Grundsätzlich ist die Nutzung des Hinweisgebersystems ohne die Angabe personenbezogener Daten möglich. Aufgrund freier Textfelder im Meldeformular können jedoch personenbezogene Daten freiwillig von Ihnen bekanntgegeben werden. Der von Ihnen gegebene Hinweis kann darüber hinaus personenbezogene Daten Dritter enthalten.

Mit Ihrem Hinweis oder hinweisgebenden Ergänzungen haben Sie die Möglichkeit Anhänge zu senden. Bitte beachten Sie, dass auch Anhänge personenbezogene Daten enthalten können. Sollten Sie eine Meldung anonym abgeben wollen entfernen Sie bitte vor dem Versenden die personenbezogenen Daten im Anhang.

 

Zweck des Hinweisgebersystems

Das Hinweisgebersystem ermöglicht Ihnen, mit uns in Verbindung zu treten und für unseren Mandanten Hinweise zu Compliance- und Rechtsverstößen zu melden. Wir verarbeiten Ihre personenbezogenen Daten, um die von Ihnen über das Hinweisgebersystem gemachte Meldung zu prüfen und die mutmaßlichen Compliance- und Rechtsverstöße zu untersuchen. Hierbei kann es vorkommen, dass wir Rückfragen an Sie haben. Dafür nutzen wir die Kommunikation über das Hinweisgebersystem.

Ihre Hinweise werden von Mitarbeitern der THORWART Consult GmbH entgegengenommen und stets vertraulich behandelt. Alle zur Einsichtnahme autorisierten Personen sind ausdrücklich zur Vertraulichkeit verpflichtet.

 

Weitergabe der personenbezogenen Daten

Im Rahmen der Bearbeitung einer Meldung kann es notwendig sein, Hinweise an unseren Mandanten weiterzugeben. Zudem kann eine Weitergabe an verbundene Unternehmen unseres Mandanten erfolgen. Dies erfolgt insbesondere, wenn sich der Hinweis auf Vorgänge in den Tochter- oder Enkelgesellschaften bezieht. Unser Mandant ist verpflichtet, dass dabei die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.

Zur Erfüllung des zuvor genannten Zwecks kann es zudem erforderlich sein, dass wir Ihre personenbezogenen Daten an externe Stellen wie Anwaltskanzleien, Straf- oder Wettbewerbsbehörden übermitteln. Insbesondere kommt dabei eine Übermittlung an die Anwaltskanzleien THORWART Rechtsanwälte Steuerberater Wirtschaftsprüfer PmbB, Nürnberg sowie THORWART Rechtsanwälte Steuerberater Wirtschaftsprüfer PmbB Gera, Gera, in Betracht.

 

Auftragsverarbeitung

Für die Verarbeitung Ihrer personenbezogenen Daten setzen wir in gewissem Umfang spezialisierte Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten. Unsere Dienstleister werden von uns sorgfältig ausgewählt und regelmäßig kontrolliert. Sie verarbeiten personenbezogene Daten nur in unserem Auftrag und nach unseren Weisungen auf der Grundlage entsprechender Verträge über eine Auftragsverarbeitung.

 

Übermittlung an Dritte

Wir bzw. unser Mandant teilen Ihre personenbezogenen Daten ggf. mit Behörden und sonstigen ermittelnden Stellen insbesondere zum Zweck der Sachverhaltsaufklärung und Bewertung der rechtlichen Folgen.

 

Rechtsgrundlage

Die Verarbeitung Ihrer Identifikationsdaten als Hinweisgeber erfolgt auf Basis Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Die Freiwilligkeit der Einwilligung ist dadurch gegeben, dass der Hinweis stets auch anonym erfolgen kann. Sofern Sie uns besondere Kategorien personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

Die Einwilligung können Sie jederzeit ohne Angabe von Gründen widerrufen. Ein Widerruf der Einwilligung kann allerdings (in bestimmten Fällen) nur in einem befristeten Zeitrahmen seine volle Wirkung entfalten.

Das ergibt sich (in bestimmten Fällen) aus der Verpflichtung des Verantwortlichen gem. Art. 14 Abs. 3 lit. a DSGVO, beschuldigte Personen über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen spätestens innerhalb eines Monats nach Erhalt der Meldung zu informieren, soweit dies dem Zweck der Erhebung nicht entgegensteht.

Die Information umfasst regelmäßig die Art der Daten, die Zweckbestimmung der Verarbeitung, die Speicherdauer, die Identität des datenschutzrechtlich Verantwortlichen und gegebenenfalls der hinweisgebenden Person. Ab einem fortgeschrittenen Bearbeitungsgrad / Ermittlungsstand ist eine Einstellung der Verarbeitung wie auch eine Löschung der Identifikationsdaten der hinweisgebenden Person i.d.R. nicht weiter möglich. Sobald Informationen inkl. Namen gegenüber zuständigen Behörden oder Gerichtsbarkeiten offengelegt wurden, befindet sich diese sowohl in unseren Unterlagen als auch bei den zuvor genannten Empfängern und können nicht ohne Weiteres gelöscht werden.

Des Weiteren verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Erfüllung rechtlicher Verpflichtungen notwendig ist. Darunter fallen insbesondere Meldungen von straf-, wettbewerbs- und arbeitsrechtlich relevanten Sachverhalten (Art. 6 Abs. 1 lit. c DSGVO).

Schließlich erfolgt die Verarbeitung Ihrer personenbezogenen Daten, sofern dies zur Wahrung berechtigter Interessen der THORWART Consult GmbH, unseres Mandanten und dessen konzerngebundenen Gesellschaften bzw. eines Dritten erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO). Wir bzw. unser Mandant haben ein berechtigtes Interesse insbesondere an der Verarbeitung der personenbezogenen Daten zur Prävention und Aufdeckung von Verstößen innerhalb des Unternehmens und zur Überprüfung der internen Prozesse auf ihre Rechtmäßigkeit.

 

In Einzelfällen erheben wir im Rahmen von Aufklärungsmaßnahmen auch besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO. Dies kann etwa der Fall sein, wenn ein von einem Hinweisgeber übermittelter Hinweis entsprechende Daten enthält. Zu den besonderen Kategorien personenbezogener Daten zählen insbesondere Gesundheitsdaten, Daten über eine mögliche Gewerkschaftszugehörigkeit oder Daten über politische oder religiöse Einstellungen. Sofern Sie uns besondere Kategorien personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage von Art. 9 Abs. 2 lit. b) und g) DSGVO.

Betrifft ein eingegangener Hinweis einen Beschäftigten unseres Mandanten, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen. Dieses richtet sich nach Art. 88 Abs. 1 i.V.m. § 26 Abs. 1 BDSG.

Wir weisen ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere, nebeneinander geltende Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Sie im Falle des Widerrufs der Einwilligung entsprechend informieren.

Zudem verwenden wir Ihre personenbezogenen Daten in anonymisierter Form zu statistischen Zwecken.

 

Technische Umsetzung und Sicherheit Ihrer Daten

Das Hinweisgebersystem enthält eine Möglichkeit zur anonymen Kommunikation über eine verschlüsselte (TLS) Verbindung (zwischen Client (Browser) und Server). Alle Daten der Datenbank werden zusätzlich zur clientseitigen Ende-zu-Ende Verschlüsselung der Hinweis-Daten vor dem Schreiben auf das Speichermedium nach aktuellem Stand der Technik verschlüsselt.

Die IP Adressen werden entsprechend der technischen Notwendigkeit von Netzwerkverbindungen im Internet nur temporär erfasst und anschließend gelöscht. Pseudonym/Benutzername und Passwort wird vom System automatisch nach Abgabe eines Hinweises dynamisch erzeugt. Die Zugangsdaten gelten nur für den Zugriff auf die Postbox dieses einen Falls, um beispielsweise Rückmeldungen der Verantwortlichen abzurufen oder Informationen nachzureichen. Zur Abgabe eines Hinweises sind keinerlei Zugangsdaten nötig - diese werden nach Abgabe des Hinweises generiert und dem Hinweisgeber angezeigt.

Zur sicheren und zuverlässigen Erbringung der Leistung des Hinweisgebersystems nutzt die product kitchen GmbH Auftragsverarbeiter mit Sitz in einem Mitgliedsstaat der Europäischen Union unter Beachtung der geltenden datenschutzrechtlichen Regelungen insbesondere der DSGVO. Die verschlüsselten Hinweis-Daten werden in europäischen und zertifizierten Datencenter verarbeitet. Aufgrund der Ende-zu-Ende Verschlüsselung der Hinweis-Daten zwischen Hinweisgeber und Fallbearbeitern ist ein anderweitiger Zugriff auf den Klartext der Meldung nicht gegeben.

Die Einhaltung der geltenden Datenschutzvorschriften wird durch entsprechende technische und organisatorische Maßnahmen sichergestellt.

 

Dauer der Speicherung

Ihre personenbezogenen Daten werden für einen Zeitraum gespeichert, der sich aus der Notwendigkeit zur Bearbeitung, Aufklärung und Dokumentation des (aus Ihrem Hinweis resultierenden) Sachverhaltes ergibt und anschließend gelöscht. Die Dauer der Speicherung richtet sich insofern insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung. Standardmäßig ist eine Dauer von 6 Monaten nach Ablehnung oder Abschluss eines Vorgangs hinterlegt, die nur in begründeten Ausnahmefällen verlängert werden kann.

Etwas anderes gilt, wenn geltende gesetzliche Bestimmungen etwas anders verlangen (z.B. in Zusammenhang mit anhängigen Gerichtsverfahren), wobei entsprechende Verfahrensakten i.d.R. 10 Jahre aufbewahrt werden.

 

Recht auf Auskunft, Löschung, Sperrung & Widerspruch

Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).

Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 Abs. 1 DSGVO).

Recht darauf, die Einwilligung in die Datenverarbeitung jederzeit zu widerrufen, ohne dass dadurch die Rechtmäßigkeit der bis zum Widerruf aufgrund der Einwilligung erfolgten Datenverarbeitung berührt wird.

 Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft der zuständige Bereich, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.

 

Beschwerderecht bei einer Aufsichtsbehörde

Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt (Art. 77 der DSGVO). Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen. Für die THORWART Consult GmbH ist folgende Aufsichtsbehörde für den Datenschutz zuständig:

Landesamt für Datenschutzaufsicht

Promenade 18
91522 Ansbach
Postfach 1349
91504 Ansbach

Tel.: 0981/180093-0
Fax: 0981/180093-800

poststelleNO SPAM SPAN!@lda.bayern.de,
https://www.lda.bayern.de

Welche Aufsichtsbehörde für unseren Mandanten zuständig ist, richtet sich nach dem jeweiligen Hauptsitz des Mandanten. In Deutschland sind die jeweiligen Behörden des Bundeslands zuständig, in dem sich der Hauptsitz befindet. Eine Übersicht über die Landesbehörden finden sie hier:

https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html