Informationen zum Datenschutz für Hinweisgeber (m/w/d)

Für uns ist es sehr wichtig, dass mit personenbezogenen Daten sorgfältig und rechtskonform umgegangen wird. Dies gilt insbesondere auch für die Verarbeitung von Daten im Zusammenhang mit dem internen Meldesystem zur Umsetzung der Richtlinie 2019/1937 DES EU-ROPÄISCHEN PARLAMENTS UND DES RATES vom 23.10.2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden sowie hierzu erlassener mitgliedstaatlicher Regelungen und Betriebsvereinbarungen von Unternehmen.

Die folgenden Informationen zeigen Dir, wie wir mit personenbezogenen Daten im Rahmen von Hinweisen unseres internen Meldesystems zur präventiven Verhütung von Verstößen gegen geltendes Recht oder Unternehmensrichtlinien (z.B. Betrug oder Korruption sowie sonstige Straftatbestände) und/oder zur Aufdeckung von solchen Verstößen umgehen.

Die SOLASOLUTION GmbH (SOLASOLUTION) betreibt das interne Meldesystem für sich sowie für die solamento Reisen GmbH (SOLAMENTO). Hierüber ermöglichen wir Mitarbeitenden der SOLASOLUTION und der SOLAMENTO und ggf. auch Dritten (im Folgenden „Hinweisgeber“) die Übermittlung von Hinweisen auf mögliche Rechtsverstöße oder ethisches Fehlverhalten durch Mitarbeiter der genannten Unternehmen mit dem Ziel der Prüfung solcher Hinweise und ggf. der Einleitung von Folgemaßnahmen zur Beseitigung von Mängeln oder Ahndung von Verstößen gegen unternehmensinterne oder auch gesetzliche Regelungen.

Der Begriff personenbezogene Daten meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Personenbezogene Daten sind daher beispielsweise der Vor- und Nachname, Adresse, Geburtsdatum, E-Mail-Adressen oder Telefonnummern.

I. Datenverarbeiter
1. Name und Kontaktdaten des Verantwortlichen

für SOLASOLUTION

solasolution GmbH (im Folgenden solasolution)

Güterstr. 23 b, 45219 Essen
E-Mail: mail@solasolution.de
Tel.: +49-2054-86030-80
Fax: 02054-86030-99

2. Kontaktdaten des Datenschutzbeauftragten

Interne Datenschutzbeauftragte:

Kristina Wilker

E-Mail: datenschutz@solasolution.de

II. Verarbeitungsrahmen
1. Datentypen:

Hinweisdaten:

  • Freiwillig im Hinweis enthaltene personenbezogene Daten, wie Name oder andere identifizierende Informationen.
  • Beschäftigteneigenschaft zur Verifizierung
  • Informationen zu Betroffenen, d.h. natürliche Personen, die in einer Meldung als eine Person bezeichnet wird, die den Verstoß begangen hat oder mit der die bezeichnete Person verbunden ist. Solche Informationen sind z.B. Name oder andere identifizierende Informationen
  • Informationen über Verstöße, die ggfs. Rückschlüsse auf eine natürliche Person erlauben

Technische Daten:

  • Zum Betrieb des Meldesystems werden technische Daten des durch die hinweisgebende Person verwendeten Endgeräts (IP-Adresse, Browser-Version, Betriebssystem) im erforderlichen Umfang durch den Auftragsverarbeiter verarbeitet.
2. Zweck der Erhebung:

Bereitstellen einer internen Meldestelle, über die Missstände oder rechtswidriges Verhalten im Unternehmen vertraulich gemeldet und bearbeitet werden können.

3. Rechtsgrundlagen:

Wir verarbeiten personenbezogene Daten nur dann, wenn hierfür eine Rechtsgrundlage besteht.

Die Verarbeitung personenbezogener Daten erfolgt auf der gesetzlichen Grundlage des Art. 6 Abs. 1 lit. c) DSGVO und Art. 9 Abs. 2 lit. g) DSGVO in Verbindung mit § 10 HinSchG, soweit dies zur Erfüllung der Aufgabe der Meldestelle erforderlich ist.

Wir verarbeiten ggf. personenbezogene Daten von Beschäftigten auf Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten i. S. d. § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu  dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Informationen zur persönlichen Identifizierung des Hinweisgebers verarbeiten wir, wenn uns der Hinweisgeber dazu eine Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO gegeben hat.

Informationen zur Beschäftigteneigenschaft verarbeiten wir auf der Grundlage von Art. 6 Abs. 1 lit. f DS-GVO um verifizieren zu können, dass der eingegangene Hinweis von einer Person, die in einer geschäftlichen Beziehung zu unseren Unternehmen steht, stammt.

Wir weisen ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere nebeneinander geltenden Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Dich im Falle des Widerrufs der Einwilligung entsprechend informieren.

4. Empfänger

Hinweisdaten:

Interne Meldestelle: Personen, die für die Entgegennahme und Bearbeitung der Meldungen zuständig sind sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen haben Zugriff auf die eingehenden Meldungen. Die Zugriffsberechtigungen werden nach dem „Need-to-know“-Prinzip vergeben.

Sonstige Empfänger: Bei Bedarf kann der Auftragsverarbeiter oder der Datenschutzbeauftragte Zugriff erhalten sowie weitere interne Stellen, die ggfs. im Rahmen von Folgemaßnahmen aktiv werden.

Technische Daten:

Interne Meldestelle: Personen, die für die Entgegennahme und Bearbeitung der Meldungen zuständig sind sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen haben Zugriff auf die eingehenden Meldungen. Die Zugriffsberechtigungen werden nach dem „Need-to-know“-Prinzip vergeben.

5. Absicht der Weiterleitung an ein Drittland oder int. Organisation (inkl. Info über Angemessenheitsbeschluss der Kommission bzw. geeigneter Garantien)

Nein

6. Dauer der Datenspeicherung

Die erhobenen Daten werden nach Ablauf der Datenschutzerklärung und -hinweise

regelmäßigen Verjährungsfrist gem. § 195 BGB nach 3 Jahren gelöscht.

7. Verpflichtung zur Bereitstellung personenbezogener Daten (z. B. aufgrund gesetzlicher bzw. vertraglicher Regelungen) / Notwendigkeit

Nein

8. Folgen bei Zuwiderhandlung (bei Nichtbereitstellung der benötigten Daten)

Es besteht keine Verpflichtung zur Bereitstellung personenbezogener Daten.

9. Bestehen einer automatisierten Entscheidungsfindung

In diesem Zusammenhang verzichten wir auf eine automatische Entscheidungsfindung.

10. Herkunft der Daten (falls nicht direkt beim Betroffenen erhoben)

Hinweisdaten:

Direkterhebung: Die Daten des Hinweisgebers werden direkt von der betroffenen Person erhoben. Ggfs. werden weitere personenbezogene Daten Dritter verarbeitet, wenn diese Teil der Meldung sind. Dies ist insbesondere dann der Fall, wenn uns Daten von unseren Kunden und Geschäftspartnern, Rechtsvertretern, Versicherungen, öffentlichen Stellen, Gutachtern, Gerichten oder Behörden übermittelt werden. Aus öffentlichen Quellen erheben wir – soweit nicht vorhanden – Kontaktdaten und ergänzende Informationen.

Technische Daten:

Direkterhebung: Die Daten werden bei der betroffenen Person direkt erhoben.

Eine gesetzliche Pflicht zur Bereitstellung von Daten des Hinweisgebers besteht nicht. Die Nichtbereitstellung personenbezogener Daten des Hinweisgebers kann dazu führen, dass nicht über Folgemaßnahmen informiert werden kann. Möglicherweise kann der Sachverhalt nicht vollständig aufgeklärt werden.

 III) Deine Rechte

1. Als betroffene Person hast Du nach der Datenschutz-Grundverordnung verschiedene Rechte. Dies sind

  • das Recht auf Auskunft über die bei uns zu Dir gespeicherten Daten (Art. 15 DSGVO)
  • das Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • das Recht auf Löschung der Daten, wenn keine Rechtsgrundlage für eine weitere Speicherung vorliegt (Art. 17 DSGVO)
  • das Recht auf Einschränkung der Verarbeitung der Daten auf bestimmte Zwecke (Art. 18 DSGVO)
  • das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und
  • das Widerspruchsrecht gegen die Verarbeitung Deiner Daten (Art. 21 DSGVO).

Beruht die Verarbeitung Deiner Daten auf einer Einwilligung, dann hast Du das Recht, die von Dir erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der erteilten Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

Wir weisen noch einmal ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere nebeneinander geltende Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Dich im Falle des Widerrufs der Einwilligung entsprechend informieren.

Bitte beachte, dass die Informationspflicht gemäß § 29 Abs. 1 S. 1 BDSG und Art. 14 Abs. 5 lit. b DSGVO gegenüber betroffenen Personen, deren personenbezogene Daten wir im Rahmen interner Ermittlungen aufgrund eingegangener Hinweise nicht bei diesen selbst erheben, nicht anzuwenden ist.

Auch das Recht von betroffenen Personen auf Auskunft nach Art. 15 DS-GVO ist insoweit eingeschränkt, als dies die entgegenstehenden Rechte und Freiheiten des Hinweisgebers oder Dritter beeinträchtigen würde. (siehe § 29 Abs. 1 S. 2 BDSG)

Bitte beachte, dass das Widerspruchsrecht nach Art. 21 Abs. 1 S. 2 DS-GVO nicht dazu führt, dass die Verarbeitung eingestellt wird, wenn diese der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Darüber werden wir Dich im Falle des Widerrufs der Einwilligung entsprechend informieren.

 

Gesonderte Information über das Widerspruchsrecht nach Artikel 21 DSGVO

Nach Art. 21 Abs. 1 DSGVO hast Du das Recht, aus Gründen, die sich aus Deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung Dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 lit. f der DSGVO (Verarbeitung zur Wahrung der berechtigten Interessen der verantwortlichen Stelle oder eines Dritten) erfolgt, Widerspruch einzulegen.

Dies trifft zu für:

  • Betrugsprävention;
  • Maßnahmen zur Gewährleistung und Verbesserung der Sicherheit von IT-Systemen;
  • Maßnahmen zum Schutz unseres Unternehmens vor rechtswidrigen Handlungen;
  • Geltendmachung von Schadensersatzansprüchen.

Legst Du Widerspruch ein, werden wir Deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Daneben hast Du nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Du der Ansicht bist, dass die Verarbeitung der Dich betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Postfach 20 04 44

40102 Düsseldorf

Telefonzentrale: +49 (0)211 / 38424 – 0

E-Mail: poststelle@ldi.nrw.de

2. Schließlich hast Du das Recht, Dich jederzeit an unsere Datenschutzbeauftragte zu wenden. Diese ist hinsichtlich Deiner Anfrage zur Verschwiegenheit verpflichtet, soweit es um die Verarbeitung Deiner Daten geht

Unsere Datenschutzbeauftragte erreichst Du unter den in Ziffer I. 2) genannten Kontaktdaten.

 

Stand: November 2023