Datenschutz Hinweisgebersystem
Wir nehmen den Schutz von personenbezogenen Daten sehr ernst. Unter Beachtung der EU-Datenschutz-Grundverordnung (DSGVO) informieren wir Sie, welche Ihrer Daten wer bei der Nutzung des Hinweisgebersystems „hintcatcher“ zu welchem Zweck verarbeitet, welche Rechte Sie als Benutzer haben und wer die Verantwortung für die Datenverarbeitung trägt.
Die technische Umsetzung des Hinweisgebersystems erfolgt durch das Unternehmen product kitchen GmbH, Rehsteige 12, 73035 Göppingen in Deutschland, im Auftrag der Salus Altmark Holding gGmbH und ihrer konzerngebundenen Gesellschaften
Verantwortlich für die Datenverarbeitung
Salus Altmark Holding gGmbH
Seepark 5
39116 Magdeburg
Telefon: 0391 6075330
E-Mail: gf(at)sah.info
Webseite: https://www.salusaltmarkholding.de
Fragen zum Schutz Ihrer Daten beantwortet Ihnen gern unser*e Datenschutzbeauftragte*r der Salus Altmark Holding gGmbH.
E-Mail: dsb(at)sah.info
Personenbezogene Daten
Grundsätzlich ist die Nutzung des Hinweisgebersystems ohne die Angabe personenbezogener Daten möglich. Aufgrund freier Textfelder im Meldeformular können jedoch personenbezogene Daten freiwillig von Ihnen bekanntgegeben werden. Der von Ihnen gegebene Hinweis kann darüber hinaus personenbezogene Daten Dritter enthalten.
Mit Ihrem Hinweis oder hinweisgebenden Ergänzungen haben Sie die Möglichkeit Anhänge zu senden. Bitte beachten Sie, dass auch Anhänge personenbezogene Daten enthalten können. Sollten Sie eine Meldung anonym abgeben wollen entfernen Sie bitte vor dem Versenden die personenbezogenen Daten im Anhang.
Zweck des Hinweisgebersystems
Das Hinweisgebersystem ermöglicht Ihnen, mit uns in Verbindung zu treten und Hinweise zu Compliance- und Rechtsverstößen zu melden. Wir verarbeiten Ihre personenbezogenen Daten, um die von Ihnen über das Hinweisgebersystem gemachte Meldung zu prüfen und die mutmaßlichen Compliance- und Rechtsverstöße zu untersuchen. Hierbei kann es vorkommen, dass wir Rückfragen an Sie haben. Dafür nutzen wir die Kommunikation über das Hinweisgebersystem.
Ihre Hinweise werden von den Mitgliedern der Compliance Arbeitsgruppe entgegengenommen und stets vertraulich behandelt. Alle zur Einsichtnahme autorisierten Personen sind ausdrücklich zur Vertraulichkeit verpflichtet.
Weitergabe der personenbezogenen Daten
Im Rahmen der Bearbeitung einer Meldung kann es notwendig sein, Hinweise innerhalb des Konzerns weiterzugeben. Dies erfolgt insbesondere, wenn sich der Hinweis auf Vorgänge in den Tochter-oder Enkelgesellschaften bezieht. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Zur Erfüllung des zuvor genannten Zwecks kann es zudem erforderlich sein, dass wir Ihre personenbezogenen Daten an externe Stellen wie Anwaltskanzleien, Straf- oder Wettbewerbsbehörden übermitteln.
In sämtlichen Fällen verbleibt die Verantwortung zur Datenverarbeitung bei der Salus Altmark Holding gGmbH.
Auftragsverarbeitung
Für die Verarbeitung Ihrer personenbezogenen Daten setzen wir in gewissem Umfang spezialisierte Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten. Unsere Dienstleister werden von uns sorgfältig ausgewählt und regelmäßig kontrolliert. Sie verarbeiten personenbezogene Daten nur in unserem Auftrag und nach unseren Weisungen auf der Grundlage entsprechender Verträge über eine Auftragsverarbeitung.
Übermittlung an Dritte
Wir teilen Ihre personenbezogenen Daten ggf. mit Behörden und sonstigen ermittelnden Stellen insbesondere zum Zweck der Sachverhaltsaufklärung und Bewertung der rechtlichen Folgen.
Rechtsgrundlage
Die Verarbeitung Ihrer Identifikationsdaten als Hinweisgeber erfolgt auf Basis Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Die Freiwilligkeit der Einwilligung ist dadurch gegeben, dass der Hinweis stets auch anonym erfolgen kann. Sofern Sie uns besondere Kategorien personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).
Die Einwilligung können Sie jederzeit ohne Angabe von Gründen widerrufen. Ein Widerruf der Einwilligung kann allerdings (in bestimmten Fällen) nur in einem befristeten Zeitrahmen seine volle Wirkung entfalten.
Das ergibt sich (in bestimmten Fällen) aus der Verpflichtung des Verantwortlichen gem. Art. 14 Abs. 3 lit. a DSGVO, beschuldigte Personen über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen spätestens innerhalb eines Monats nach Erhalt der Meldung zu informieren, soweit dies dem Zweck der Erhebung nicht entgegensteht.
Die Information umfasst regelmäßig die Art der Daten, die Zweckbestimmung der Verarbeitung, die Speicherdauer, die Identität des datenschutzrechtlich Verantwortlichen und gegebenenfalls der hinweisgebenden Person. Ab einem fortgeschrittenen Bearbeitungsgrad / Ermittlungsstand ist eine Einstellung der Verarbeitung wie auch eine Löschung der Identifikationsdaten der hinweisgebenden Person i.d.R. nicht weiter möglich. Sobald Informationen inkl. Namen gegenüber zuständigen Behörden oder Gerichtsbarkeiten offengelegt wurden, befindet sich diese sowohl in unseren Unterlagen als auch bei den zuvor genannten Empfängern und können nicht ohne Weiteres gelöscht werden.
Des Weiteren verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Erfüllung rechtlicher Verpflichtungen notwendig ist. Darunter fallen insbesondere Meldungen von straf-, wettbewerbs- und arbeitsrechtlich relevanten Sachverhalten (Art. 6 Abs. 1 lit. c DSGVO).
Schließlich erfolgt die Verarbeitung Ihrer personenbezogenen Daten, sofern dies zur Wahrung berechtigter Interessen der Salus Altmark Holding gGmbH und ihrer konzerngebundenen Gesellschaften bzw. eines Dritten erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO). Wir haben ein berechtigtes Interesse insbesondere an der Verarbeitung der personenbezogenen Daten zur Prävention und Aufdeckung von Verstößen innerhalb des Unternehmens und zur Überprüfung der internen Prozesse auf ihre Rechtmäßigkeit.
In Einzelfällen erheben wir im Rahmen von Aufklärungsmaßnahmen auch besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO. Dies kann etwa der Fall sein, wenn ein von einem Hinweisgeber übermittelter Hinweis entsprechende Daten enthält. Zu den besonderen Kategorien personenbezogener Daten zählen insbesondere Gesundheitsdaten, Daten über eine mögliche Gewerkschaftszugehörigkeit oder Daten über politische oder religiöse Einstellungen. Sofern Sie uns besondere Kategorien personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage von Art. 9 Abs. 2 lit. b) und g) DSGVO.
Betrifft ein eingegangener Hinweis einen Beschäftigten der Salus Altmark Gruppe, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen. Dieses richtet sich nach Art. 88 Abs. 1 i.V.m. § 26 Abs. 1 BDSG.
Wir weisen ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere, nebeneinander geltende Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Sie im Falle des Widerrufs der Einwilligung entsprechend informieren.
Zudem verwenden wir Ihre personenbezogenen Daten in anonymisierter Form zu statistischen Zwecken.
Technische Umsetzung und Sicherheit Ihrer Daten
Das Hinweisgebersystem enthält eine Möglichkeit zur anonymen Kommunikation über eine verschlüsselte (TLS) Verbindung (zwischen Client (Browser) und Server). Alle Daten der Datenbank werden zusätzlich zur clientseitigen Ende-zu-Ende Verschlüsselung der Hinweis-Daten vor dem Schreiben auf das Speichermedium nach aktuellem Stand der Technik verschlüsselt.
Die IP Adressen werden entsprechend der technischen Notwendigkeit von Netzwerkverbindungen im Internet nur temporär erfasst und anschließend gelöscht. Pseudonym/Benutzername und Passwort wird vom System automatisch nach Abgabe eines Hinweises dynamisch erzeugt. Die Zugangsdaten gelten nur für den Zugriff auf die Postbox dieses einen Falls, um beispielsweise Rückmeldungen der Verantwortlichen abzurufen oder Informationen nachzureichen. Zur Abgabe eines Hinweises sind keinerlei Zugangsdaten nötig - diese werden nach Abgabe des Hinweises generiert und dem Hinweisgeber angezeigt.
Zur sicheren und zuverlässigen Erbringung der Leistung des Hinweisgebersystems nutzt die product kitchen GmbH Auftragsverarbeiter mit Sitz in einem Mitgliedsstaat der Europäischen Union unter Beachtung der geltenden datenschutzrechtlichen Regelungen insbesondere der DSGVO. Die verschlüsselten Hinweis-Daten werden in europäischen und zertifizierten Datencenter verarbeitet. Aufgrund der Ende-zu-Ende Verschlüsselung der Hinweis-Daten zwischen Hinweisgeber und Fallbearbeitern ist ein anderweitiger Zugriff auf den Klartext der Meldung nicht gegeben.
Die Einhaltung der geltenden Datenschutzvorschriften wird durch entsprechende technische und organisatorische Maßnahmen sichergestellt.
Dauer der Speicherung
Ihre personenbezogenen Daten werden für einen Zeitraum gespeichert, der sich aus der Notwendigkeit zur Bearbeitung, Aufklärung und Dokumentation des (aus Ihrem Hinweis resultierenden) Sachverhaltes ergibt und anschließend gelöscht. Die Dauer der Speicherung richtet sich insofern insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung. Etwas anderes gilt, wenn geltende gesetzliche Bestimmungen etwas anders verlangen (z.B. in Zusammenhang mit anhängigen Gerichtsverfahren), wobei entsprechende Verfahrensakten i.d.R. 10 Jahre aufbewahrt werden.
Recht auf Auskunft, Löschung, Sperrung & Widerspruch
- Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
- Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
- Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 Abs. 1 DSGVO).
- Recht darauf, die Einwilligung in die Datenverarbeitung jederzeit zu widerrufen, ohne dass dadurch die Rechtmäßigkeit der bis zum Widerruf aufgrund der Einwilligung erfolgten Datenverarbeitung berührt wird.
Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft der zuständige Bereich, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
Beschwerderecht bei einer Aufsichtsbehörde
Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt (Art. 77 der DSGVO). Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen. Für die Salus Altmark Holding gGmbH und der konzerngebundenen Gesellschaften ist folgende Aufsichtsbehörde für den Datenschutz zuständig:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Postadresse:
Postfach 1947
Geschäftsstelle und Besucheradresse:
Leiterstraße 9
39104 Magdeburg
39009 Magdeburg
Telefon: 0391 81803-0
https://datenschutz.sachsen-anhalt.de
poststelle(at)lfd.sachsen-anhalt.de