Datenschutzhinweise der Kunze & Ritter GmbH gemäß Art. 13 DSGVO im Rahmen der Nutzung unserer internen Meldestelle

Einleitung

Mit den folgenden Datenschutzhinweisen informieren wir Sie darüber, wie wir mit Ihren personenbezogenen Daten im Rahmen von Hinweisen des internen Meldesystems zur präventiven Verhütung von Verstößen gegen geltendes Recht oder Unternehmensrichtlinien (z.B. Betrug oder Korruption sowie sonstige Straftatbestände) und/oder zur Aufdeckung von solchen Verstößen umgehen.

Unser Hinweisgebersystem basiert auf der Open-Source-Software Globaleaks, die das sichere und anonyme Abgeben von Meldungen ermöglicht. Sie wurde vom Hermes-Zentrum für Transparenz und digitale Menschenrechte entwickelt und ermöglicht Ende zu Ende verschlüsselte Kommunikation im Rahmen von Meldungen. Wir hosten die Plattform auf einer eigens dafür eingerichteten Instanz bei der Strato AG.

Der Begriff personenbezogene Daten meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „Betroffener“) beziehen. Personenbezogene Daten sind daher beispielsweise der Vor- und Nachname, Adresse, Geburtsdatum, E-Mail-Adressen oder Telefonnummern aber auch technische eindeutige Merkmale wie die IP-Adresse.

 

1. Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

Kunze & Ritter GmbH
Christaweg 44
79114 Freiburg

Tel: +49 761 455 54 – 0
E-Mail: info(at)kunze-ritter.de
Website: www.kunze-ritter.com 

Geschäftsführer: Dietmar Ritter, Emanuel Krupka

 

 

2. Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des Verantwortlichen ist:

Ingenieurbüro Bernd Hölle GmbH
Gerhard-Kindler-Straße 3
72770 Reutlingen

Tel: +49 7121 820 17 40
E-Mail: kunze-ritter(at)ibh-datenschutz.de

 

3. Art und Zwecke der Verarbeitung personenbezogener Daten

Die Kunze & Ritter GmbH verarbeitet im Rahmen der Eingabe und Bearbeitung von Meldungen im internen Meldesystem unter anderem folgende Arten an personenbezogenen Daten:

  • Informationen zur persönlichen Identifizierung des Hinweisgebers, wie zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse (freiwillige Angaben);
  • Beschäftigteneigenschaft zur Kunze & Ritter GmbH;
  • Informationen zu betroffenen Personen, d.h. natürlichen Personen, die in einer Meldung erwähnt werden. Solche Informationen sind zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse oder sonstige Informationen, die eine Identifikation ermöglichen;
  • Informationen über Verstöße, die ggf. Rückschlüsse auf eine natürliche Person erlauben.

Zweck der Verarbeitung ist die Untersuchung eingegangener Meldungen im Einklang mit den Vorgaben des Hinweisgeberschutzgesetzes, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens) vorzunehmen.

 

4. Rechtsgrundlagen

Die Bearbeitung von Meldungen erfolgt bei der Kunze & Ritter GmbH durch

4.1      Insofern Meldungen durch zur Vertraulichkeit verpflichtete Beschäftigte der Kunze & Ritter GmbH bearbeitet werden, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Demnach ist die Verarbeitung erlaubt, wenn dies zur Erfüllung einer rechtlichen Pflicht erforderlich ist. Die rechtliche Pflicht ergibt sich aus §§10, 12 und 13 des Hinweisgeberschutzgesetzes (HinSchG).

4.2      Meldungen, die über unsere Meldeplattform eingehen, können auch durch unseren externen Datenschutzbeauftragten bearbeitet werden. In diesem Fall erfolgt die Verarbeitung auf Grundlage von von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den rechtlichen Pflichten aus §§ 10 und 16 bis 18 HinSchG.

4.3      Im Rahmen eines Meldeverfahrens kann es notwendig werden, die hierbei erhobenen Daten durch die Kunze & Ritter GmbH zu anderen Zwecken wie z.B. für weitere Untersuchungen oder zur Ergreifung arbeitsrechtlicher Schritte gegen die eines Verstoßes überführten Personen zu nutzen. Die hierfür erforderliche Weitergabe der personenbezogenen Daten des Hinweisgebers und der übrigen in der Meldung genannten Personen von der internen Meldestelle an die zuständige Stelle innerhalb der Kunze & Ritter GmbH richtet sich nach Art. 6 Abs. 1 Satz 1 lit. c DS-GVO und §§ 10, 12, 13, 18 Nr. 4 lit. a und 9 Abs. 3 und 4 Nr. 2 HinSchG.
Rechtsgrundlage für die Weiterverarbeitung ist in diesem Falle Art. 6 Abs. 1 Satz 1 lit. b DS-GVO, welcher Datenverarbeitungen erlaubt, die zur Durchführung des mit der betroffenen Person geschlossenen Arbeitsvertrags erforderlich sind.

4.4      Wir verarbeiten gegebenenfalls personenbezogene Daten von Beschäftigten auf Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten i.S.d. § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

4.5      Informationen zur persönlichen Identifizierung des Hinweisgebers verarbeiten wir nur, wenn uns der Hinweisgeber dazu eine Einwilligung gemäß Art. 6 UAbs. 1 lit. a DSGVO abgegeben hat. Die Einwilligung ist durch konkludentes Verhalten gegeben, wenn im Rahmen einer Meldung freiwillige Angaben zur Identifizierung der meldenden Person getätigt werden.

4.6      Die Bearbeitung einer Meldung kann gegebenenfalls auch die Verarbeitung besonderer personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO umfassen. Eine Ausnahme vom generellen Verbot einer solchen Verarbeitung im Rahmen von Meldungen ergibt sich aus Art. 9 Abs. 2 lit. g DSGVO. Nach § 10 Satz 2 HinSchG ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch unsere interne Meldestelle abweichend von Art. 9 Abs. 1 DS-GVO zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist.

 

5. Ihre Rechte als Betroffene

Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie folgende Betroffenenrechte::

  • ein Recht auf Auskunft und auf Kopie (Art. 15 DSGVO),
  • ein Recht auf Berichtigung, wenn wir falsche Daten über Sie verarbeiten (Art. 16 DSGVO)
  • ein Recht Löschung , es sei denn, dass noch Ausnahmen greifen, warum wir die Daten noch speichern, also zum Beispiel Aufbewahrungspflichten oder Verjährungsfristen (Art. 17 DSGVO),
  • ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • ein jederzeitiges Recht, Einwilligungen in die Datenverarbeitung zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung davon berührt wird,
  • ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • ein Recht auf Widerspruch gegen die Verarbeitung im öffentlichen oder bei berechtigtem Interesse (21 DSGVO).

Sie können Ihre Rechte unter anderem ausüben, indem Sie eine E-Mail an folgende E-Mail-Adresse schreiben: kunze-ritter(at)ibh-datenschutz.de

Des Weiteren haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren, wenn Sie finden, dass wir Ihre Daten nicht ordnungsgemäß verarbeiten. Für unser Unternehmen ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zuständig, den Sie wie folgt erreichen:

Postanschrift:
Postfach 10 29 32
70025 Stuttgart

Hausanschrift:
Lautenschlagerstraße 20
70173 Stuttgart

Telefon: 07 11/61 55 41-0

E-Mail: poststelle@lfdi.bwl.de

Homepage: https://www.baden-wuerttemberg.datenschutz.de

 

6. Empfänger oder Kategorien von Empfängern der Daten

Die personenbezogenen Daten, die im Rahmen einer Meldung verarbeitet werden, werden von dazu autorisierten, geschulten und zur Vertraulichkeit verpflichteten Beschäftigten der Kunze & Ritter GmbH verarbeitet, die im Rahmen ihrer regulären Tätigkeit keinem Interessenkonflikt unterliegen und unabhängig sind. Zudem kann der extern bestellte Datenschutzbeauftragte des Unternehmens Empfänger der Daten sein, insofern er mit der Bearbeitung einer Meldung betraut wird oder dabei unterstützt.

Eine Übermittlung der personenbezogenen Daten an Dritte findet ansonsten nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Dies ist insbesondere der Fall, wenn die Übermittlung der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind, dient, Sie uns Ihre Einwilligung dazu erteilt haben oder eine Interessenabwägung dies rechtfertigt.  

Darüber hinaus verarbeitet die Strato AG als externes Dienstleistungsunternehmen durch Bereitstellung eines Hosting-Servers personenbezogene Daten in unserem Auftrag als Auftragsverarbeiter. Durch getroffene technische und organisatorische Maßnahmen stellen wir dabei sicher, dass jegliche Daten im Rahmen einer Meldung verschlüsselt sind.

Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an unsere entsprechend zuständigen Fachabteilungen weitergegeben. 

Unter Umständen geben wir die personenbezogenen Daten auch an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Behörden und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Wirtschaftsprüfer/Rechtsanwälte, weiter.

 

7. Übermittlung von Daten an ein Drittland (Art. 13 Abs. 1 lit. f DSGVO)

Personenbezogene Daten werden nicht an Drittländer (Staaten außerhalb der Europäischen Union und dem Europäischen Wirtschaftsraum) oder eine internationale Organisation (Artikel 44 ff. DSGVO) übermittelt.

 

8. Dauer der Speicherung von personenbezogener Daten (Art. 13 Abs. 2 lit. a DSGVO)

Gemäß § 11 Abs. 5 HinSchG löschen wir die Daten aus einer Meldung sowohl damit einhergehende Dokumentation drei Jahre nach dem endgültigen Abschluss des Verfahrens. Die Dokumentation kann im Einzelfall länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

 

9. Bereitstellung personenbezogener Daten (Art. 13 Abs. 2 lit. e DSGVO)

Die Bereitstellung der Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss erforderlich. Die interne Meldestelle bearbeitet auch anonym eingehende Meldungen. Unter Umständen bestehen je nach individuellem Einzelfall gesetzliche Pflichten, uns eine Meldung zu erteilen. Für eine sinnvolle Bearbeitung und Untersuchung der Meldung ist eine Verarbeitung der Daten jedoch erforderlich.

 

10. Quelle der personenbezogenen Daten

Die interne Meldestelle der Kunze & Ritter GmbH erhält die personenbezogenen Daten in der Regel durch die hinweisgebende Person. Darüber hinaus dürfen bei der Durchführung der Folgemaßnahmen im Sinne von § 18 HinSchG neue personenbezogene Daten erhoben und weiterverarbeitet werden.