Information gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten
im Rahmen des Hinweisgebersystems
Im Folgenden informieren wir Sie über die Verarbeitung von personenbezogenen Daten durch die Gurtec GmbH (nachfolgend „Gurtec“) im Rahmen des Hinweisgebersystems sowie über die damit verbundenen datenschutzrechtlichen Regelungen, Ansprüche und Rechte.
Gurtec setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, welche bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert werden. Dadurch können nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsschäden abgewendet werden.
- Zweck der Datenverarbeitung
Gurtec verarbeitet die personenbezogenen Daten des Hinweisgebers, sofern der Hinweis nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations- und Inhaltsdaten, ausschließlich zu dem Zweck, Hinweise auf kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen auf einem sicheren und vertraulichen Wege entgegenzunehmen und diesen nachzugehen.
- Kategorien der Datenverarbeitung im Rahmen des Hinweisgebersystems
- Informationen über den Hinweisgeber (sofern dieser nicht anonym bleiben möchte) und den/die
Beschuldigte(n), wie
- Vor- und Nachname
- Funktion/Titel
- Kontaktdaten
- ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten
- Persönliche Informationen, die in den Berichten des Aufklärungsteams (siehe Ziffer 4) identifiziert wurden,
einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise
- Datum und Zeit der Anrufe (bei Eingang des Hinweises über die telefonische Hotline)
- Jede andere Information, die in den Untersuchungsergebnissen und in dem auf den Bericht folgenden, weiterführenden Verfahren identifiziert wurden, z. B. Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde
- Rechtsgrundlage der Datenverarbeitung
Die Erhebung der personenbezogenen Daten des/der Hinweisgeber(in) bei einem nicht anonymen Hinweis erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung) (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen von Gurtec (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Es ist ein berechtigtes Interesse von Gurtec, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten zentrumsweit, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für Gurtec (§§ 30, 130 OWiG) abzuwenden. Auch die Richtlinie (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das zukünftige (derzeit im Entwurf befindliche) Hinweisgeberschutzgesetz fordern die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.
Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 S. 1 Buchst. c DSGVO).
- Empfänger der Daten und Drittlandübermittlung (EU/EWR-Ausland)
Alle personenbezogenen Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten.
Mit der ersten Bearbeitung der eingehenden Hinweise ist die Compliance-Abteilung von Gurtec beauftragt.
Geht der Hinweis über die telefonische Hotline ein, so wird der Hinweis, unter der Wahrung der Anonymität des Hinweisgebers, im Hinweisgebersystem aufgenommen. Die Mitarbeiter der Hotline sind zur Verschwiegenheit verpflichtet (siehe weiter unten).
In einigen Fällen ist das Unternehmen verpflichtet, die Daten Behörden (wie solche, die die rechtliche oder aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder externen Beratern (wie Buchprüfern, Wirtschaftsprüfern, Rechtsanwälten) mitzuteilen.
Sofern der Hinweisgeber seinen Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonymer Hinweis), wird die Identität– soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als Hinweisgeber möglich werden.
Werden personenbezogenen Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Das Hinweisgebersystem wird in unserem Auftrag von der LegalTegrity GmbH, Platz der Einheit 2, 60327 Frankfurt/Main betrieben.
Eine Übermittlung von personenbezogenen Daten in Drittländer (EU/EWR-Ausland) erfolgt nicht.
- Dauer der Verarbeitung, Löschen der Daten
Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse von Gurtec oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.
- Technische Hinweise zur Nutzung des Hinweisgebersystems
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgebersystems nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, welcher lediglich die Session-ID beinhaltet. Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.