Information gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO)   über die Verarbeitung personenbezogener Daten   

im Rahmen des Hinweisgebersystems   

Im Folgenden informieren wir Sie über die Verarbeitung von personenbezogenen Daten durch die Gurtec GmbH  (nachfolgend  „Gurtec“)   im  Rahmen  des  Hinweisgebersystems  sowie  über  die  damit  verbundenen  datenschutzrechtlichen Regelungen, Ansprüche und Rechte.  

Gurtec setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, welche bei der Aufdeckung  betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch  verwerfliche  oder  unlautere  Handlungen  frühzeitig  aufgedeckt  und  verhindert  werden.  Dadurch  können  nicht  kalkulierbare materielle und immaterielle Schäden sowie Reputationsschäden abgewendet werden.  

  1. Zweck der Datenverarbeitung  

Gurtec verarbeitet die personenbezogenen Daten des Hinweisgebers, sofern der Hinweis nicht anonym abgegeben  wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations-  und Inhaltsdaten, ausschließlich zu dem Zweck, Hinweise auf kriminelle, illegale, moralisch verwerfliche oder unlautere  Handlungen auf einem sicheren und vertraulichen Wege entgegenzunehmen und diesen nachzugehen.  

  1. Kategorien der Datenverarbeitung im Rahmen des Hinweisgebersystems  
  • Informationen über den Hinweisgeber (sofern dieser nicht anonym bleiben möchte) und den/die

    Beschuldigte(n), wie

    • Vor- und Nachname
    • Funktion/Titel
    • Kontaktdaten
    • ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten
  • Persönliche  Informationen,  die  in  den  Berichten  des  Aufklärungsteams  (siehe  Ziffer  4)  identifiziert  wurden,  

einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise  

  • Datum und Zeit der Anrufe (bei Eingang des Hinweises über die telefonische Hotline)  
  • Jede  andere  Information,  die  in  den  Untersuchungsergebnissen  und  in  dem  auf  den  Bericht  folgenden,  weiterführenden Verfahren identifiziert wurden, z. B. Informationen über strafbares Verhalten oder Daten über  rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde  
  1. Rechtsgrundlage der Datenverarbeitung  

Die Erhebung der personenbezogenen Daten des/der Hinweisgeber(in) bei einem nicht anonymen Hinweis erfolgt auf  der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung)  (Art. 6 Abs. 1 S. 1 lit. a DSGVO).  

Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt  werden, dient der Wahrung berechtigter Interessen von Gurtec (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Es ist ein  berechtigtes Interesse von Gurtec, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten  zentrumsweit, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu  sanktionieren und damit verbundene Schäden und Haftungsrisiken für Gurtec (§§ 30, 130 OWiG) abzuwenden.  Auch die Richtlinie (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das zukünftige (derzeit im Entwurf befindliche)  Hinweisgeberschutzgesetz fordern die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf  geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.   

Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger kann aufgrund  einer gesetzlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 S. 1 Buchst. c DSGVO). 

  1. Empfänger der Daten und Drittlandübermittlung (EU/EWR-Ausland)  

Alle personenbezogenen Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen  zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten.   

Mit der ersten Bearbeitung der eingehenden Hinweise ist die Compliance-Abteilung von Gurtec beauftragt.   

Geht  der  Hinweis  über  die  telefonische  Hotline  ein,  so  wird  der  Hinweis,  unter  der  Wahrung  der  Anonymität  des  Hinweisgebers,  im  Hinweisgebersystem  aufgenommen.  Die  Mitarbeiter  der  Hotline  sind  zur  Verschwiegenheit  verpflichtet (siehe weiter unten).  

In  einigen  Fällen  ist  das  Unternehmen  verpflichtet,  die  Daten  Behörden  (wie  solche,  die  die  rechtliche  oder  aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder  externen Beratern (wie Buchprüfern, Wirtschaftsprüfern, Rechtsanwälten) mitzuteilen.  

Sofern der Hinweisgeber seinen Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonymer  Hinweis), wird die Identität– soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass  dabei auch keine Rückschlüsse auf die Identität als Hinweisgeber möglich werden.  

Werden personenbezogenen Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis  von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von  personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO erfolgt und alle zur Verarbeitung  personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen  gesetzlichen Verschwiegenheitspflicht unterliegen. Das Hinweisgebersystem wird in unserem Auftrag von der  LegalTegrity GmbH, Platz der Einheit 2, 60327 Frankfurt/Main betrieben.  

Eine Übermittlung von personenbezogenen Daten in Drittländer (EU/EWR-Ausland) erfolgt nicht.  

  1. Dauer der Verarbeitung, Löschen der Daten  

Die  personenbezogenen  Daten  werden  im  jeweiligen  Verfahren  so  lange  aufbewahrt,  wie  es  die  Aufklärung  und  abschließende Beurteilung erfordert, ein berechtigtes Interesse von Gurtec oder ein gesetzliches Erfordernis besteht.  Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich  insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.  

  1. Technische Hinweise zur Nutzung des Hinweisgebersystems  

Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung  (SSL).  Die  IP-Adresse  Ihres  Rechners  wird  während  der  Nutzung  des  Hinweisgebersystems  nicht  gespeichert.  Zur  Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem  Rechner gespeichert, welcher lediglich die Session-ID beinhaltet. Das Cookie ist nur bis zum Ende Ihrer Session gültig  und wird beim Schließen des Browsers ungültig.