Datenschutzhinweise bei Meldung eines Hinweises über unser Hinweisgebersystem
1. Allgemein
Die Einhaltung von Gesetzen und internen Vorschriften hat für uns höchste Priorität. Das Unternehmen nimmt den Schutz der persönlichen Daten sehr ernst. Diese Datenschutzrichtlinie erklärt, welche personenbezogene Daten wir von Ihnen erheben, wenn Sie das Meldesystem nutzen, welches wir im Sinne des Hinweisgeberschutzgesetzes zur Verfügung stellen. Wir stellen die Einhaltung der geltenden Datenschutzbestimmungen durch technische und organisatorische Maßnahmen sicher. Die in diesen Datenschutzhinweisen verwendeten datenschutzrechtlichen Fachbegriffe haben die ihnen in der Datenschutz-Grundverordnung (DSGVO) zugewiesene Bedeutung.
Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
2. Name und Kontaktdaten des Verantwortlichen
Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Hinweisgebersystems ist
Pühl GmbH & Co KG
Herscheider Str. 33
02391-8107-0
datenschutzbeauftragter@puehl.de
www.puehl.de
3. Kontaktdaten des Datenschutzbeauftragten
Benannter Datenschutzbeauftragter ist
DataCo GmbH
Dachauer Str. 65
80335 München
Tel.: +49 (0) 89 7400 458 40
E-Mail: datenschutz@dataguard.de
4. Art und Kategorie von personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Grundsätzlich kann das Meldesystem ohne Angabe von personenbezogenen Daten genutzt werden. Sie können jedoch im Rahmen des Meldeprozesses freiwillig personenbezogene Daten offenlegen, insbesondere Angaben zu:
- Fallnummer
- Ihren Vor- und Nachnamen (sofern Sie Ihre Identität offenlegen)
- Wohnsitzland
- ob Sie bei uns beschäftigt sind
- (geschäftliche und/oder private) Anschrift, Telefonnummer oder E-Mail Adresse
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Grundsätzlich fragen wir keine besonderen Kategorien personenbezogener Daten ab und verarbeiten diese auch nicht, z. B. Informationen über Rasse und/oder ethnische Herkunft, religiöse und/oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit oder sexuelle Orientierung. Es steht Ihnen jedoch frei, diese Informationen in Freitextfeldern des Meldeformulars anzugeben.
5. Zwecke der Verarbeitung
Das Hinweisgebersystem dient dazu, Hinweise auf Compliance-Verstöße auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten sowie gesetzliche Pflichten zur Bearbeitung von Hinweisen zu erfüllen. In diesem Zusammenhang erfolgt die Verarbeitung für folgende Zwecke:
- Initiale Aufnahme eines Hinweises im Hinweisgebersystem
- Übersetzung des Hinweises in andere Sprachen (falls zur Bearbeitung erforderlich)
- Stichhaltigkeits- und Relevanzprüfung eines Hinweises
- Rückmeldung an den Hinweisgeber (z. B. Eingangsbestätigung, Folgemaßnahmen, Abschluss des Verfahrens)
- Durchführung interner Ermittlungen zur Aufklärung von Missständen und Verstößen einschließlich Aktualisierung und Ergänzung der im Hinweisgebersystem hinterlegten Daten
- Information an Beschuldigte, Zeugen und sonstige Verfahrensbeteiligte zur Einbeziehung in das Verfahren, Gelegenheit zur Stellungnahme und Erfüllung von Informationspflichten
- Beteiligung externer Dritter zur Unterstützung bei internen Ermittlungen (z. B. Kanzleien, Forensiker oder sonstige Sachverständige)
- Information an öffentliche Stellen, Ermittlungs- und Aufsichtsbehörden (soweit aufgrund der Ermittlungsergebnisse erforderlich)
- Durchführung und Überprüfung von unternehmensinternen Folge- und Abhilfemaßnahmen bei Missständen und Verstößen (insbesondere Abwehr und Minimierung von Schäden, Vermeidung weiterer Verstöße und Folgen sowie repressive und disziplinarische Sanktionierung)
6. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystems ist gestützt auf das berechtigte Interesse unseres Unternehmens an der Aufdeckung und Prävention von Missständen und Verstößen zur Überprüfung der Rechtmäßigkeit interner Prozesse und zur Wahrung der Integrität des Unternehmens, und damit an der Abwendung von Schaden für unser Unternehmen, unsere Mitarbeiter und Kunden (Art. 6 Abs. 1 S. 1 lit. f DSGVO), gesetzlichen Pflichten zur Bearbeitung von Hinweisen (Art. 6 Abs. 1 S. 1 lit. c DSGVO iVm. § 10 Abs. 1 Hinweisgeberschutzgesetz) sowie in den Fällen bewusster und gewollter Preisgabe der Identität die Einwilligung des Hinweisgebers (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Sollten Sie weitere Informationen hinsichtlich der Interessenabwägung gem. Art. 6 Abs. 1 S. 1. lit. f DSGVO benötigen, nutzen Sie gerne eine der in dieser Datenschutzerklärung aufgeführten Kontaktmöglichkeiten.
Wenn Sie uns bestimmte besondere Kategorien von personenbezogenen Daten zur Verfügung stellen, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung (Art. 9 Abs. 2 lit. a GDPR) sowie gesetzlicher Pflichten zur Bearbeitung von Hinweisen (Art. 9 Abs. 2 lit. g DSGVO iVm. § 10 Abs. 2 Hinweisgeberschutzgesetz).
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling iSv. Art. 22 Abs. 1 und 4 DSGVO statt.
7. Technische Umsetzung und Sicherheit der Verarbeitung
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der EQS Group AG, Karlstraße 47, 80333 München in Deutschland („EQS“), im Namen von uns technisch umgesetzt. Dieser Dienstleister wurde sorgfältig ausgewählt und entsprechend überprüft.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von EQS betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur uns möglich. EQS hat keinen Zugang zu den oder Zugriff auf die Daten. Dies wird in einem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang und Zugriff auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei uns beschränkt ist. Daneben unterhalten sowohl wir als auch eingesetzte Dienstleister weitere geeignete technische und organisatorische Maßnahmen, um insbesondere die Vertraulichkeit, Verfügbarkeit und Integrität der Daten zu gewährleisten.
8. Vertraulichkeit, Übermittlung personenbezogener Daten und Empfänger
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter entgegengenommen und stets vertraulich behandelt. Die Fallbearbeiter prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern innerhalb des Konzerns weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in anderen Gesellschaften beziehen. Zudem kann es erforderlich sein, externe Dritter zur Unterstützung bei internen Ermittlungen (z. B. Kanzleien, Forensiker oder sonstige Sachverständige) sowie öffentliche Stellen, Ermittlungs- und Aufsichtsbehörden einzubeziehen. Eine Übermittlung Ihrer personenbezogenen Daten in ein Drittland außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) findet nicht statt. [oder] Diese Empfänger können Ihren Sitz auch in Ländern außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) haben, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Jeder Fallbearbeiter, der Zugang oder Zugriff zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
9. Information der Beschuldigten
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet (Art. 14 Abs. 3 lit. a DSGVO). Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
10. Dauer der Speicherung der personenbezogenen Daten
Wir speichern personenbezogene Daten nur so lange, wie es für die Bearbeitung Ihrer Meldung erforderlich ist oder wir ein berechtigtes Interesse an der Speicherung personenbezogenen Daten haben, z. B. dies im Einzelfall für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren oder Einleitung von Strafverfahren geboten ist.
Darüber hinaus können Ihre personenbezogenen Daten gespeichert werden, wenn dies nach europäischem oder nationalem Recht zur Erfüllung rechtlicher Verpflichtungen, wie etwa Aufbewahrungs- und Dokumentationspflichten, erforderlich ist oder entsprechende Behörden im Rahmen externer Ermittlungsverfahren eine (weitere) Vorhaltung der Informationen fordern oder anordnen. Im Anschluss daran werden alle personenbezogenen Daten gelöscht, gesperrt oder anonymisiert.
11. Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, welches lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym / Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem Fallbearbeiter namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation. Zudem kann auch eine mündliche Meldung via Sprachaufzeichnung abgegeben werden, bei der die Stimme automatisch verzerrt wird. Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die weiterhin die Möglichkeit, Anhänge beizufügen. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Die Nutzung des Hinweisgeberportals ist auch anonym möglich. In diesem Fall bitte die entsprechende Option bei Abgabe der Meldung wählen.
12. Betroffenenrechte
Nach der Datenschutz-Grundverordnung (DSGVO) stehen Ihnen folgende Rechte zu:
- Recht auf Auskunft (Artikel 15 DSGVO)
- Recht auf Berichtigung (Artikel 16 DSGVO)
- Recht auf Löschung („Recht auf Vergessenwerden“) (Artikel 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
- Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
- Recht auf Widerspruch (Artikel 21 DSGVO)
- Sollten Sie als Hinweisgeber bewusst und gewollt auf Ihre Anonymität verzichten und uns insoweit Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilen, steht Ihnen zudem das Recht zur Widerruf Ihrer Einwilligung bis zu einem Monat nach erfolgter Meldung zu (Artikel 7 Abs. 3 DSGVO)
- Weiterhin besteht ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Diese können Sie erreichen unter
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Bettina Gayk
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-999
E-Mail: poststelle@ldi.nrw.de
Den vollen Umfang Ihrer Rechte können Sie den entsprechenden Artikeln der DSGVO entnehmen, die Sie unter folgendem Link abrufen können:
http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
Wenn Sie von Ihren Rechten Gebrauch machen wollen oder Fragen zum Datenschutz bei uns haben, nutzen Sie bitte die oben unter Ziffer 2. oder 3. genannten Kontaktdaten.
Annex: Details zur gemeinsamen Verantwortlichkeit
Aktuell hat die Firma Pühl GmbH & CO KG, Plettenberg keine Tochtergesellschaften (Konzern). Sollte sich dies zukünftig ändern gilt: Für sämtliche Datenverarbeitungen entscheiden wir gemeinsam mit weiteren Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Weitere Verantwortliche sind immer die auf Grund des Sachverhalts involvierten lokalen Gesellschaften der Pühl Unternehmensgruppe. Soweit ein Hinweis beispielsweise ein Verhalten in einer ausländischen Gesellschaft (z.B. französischen Gesellschaft in Land A) betrifft, sind gemeinsame Verantwortliche die französische Gesellschaft und wir. Wir stellen Ihnen das Wesentliche der Vereinbarung zwischen uns und den weiteren Verantwortlichen gerne auf Anfrage zur Verfügung (Kontaktdaten siehe oben unter Ziffer 2.).
Im Folgenden erhalten Sie detailliertere Informationen zu sämtlichen Gesellschaften als möglichen gemeinsamen Verantwortlichen:
Pühl GmbH & Co KG
Herscheider Str. 33
02391-8107-0
datenschutzbeauftragter@puehl.de
www.puehl.de