ERKLÄRUNG ZUR VERARBEITUNG PERSONENBEZOGENER DATEN NACH ART. 13-14 DER VERORDNUNG (EU) 2016/679 IM RAHMEN DER WHISTLEBLOWING-RICHTLINIE
Mit dieser Mitteilung möchte die BEMM GmbH (im Folgenden "Gesellschaft") die in den Artikeln 13 und 14 der Verordnung (EU) 2016/679 (oder " Datenschutzgrundverordnung" - "DSGVO") geforderten Angaben zur Verarbeitung personenbezogener Daten durch die Gesellschaft im Rahmen ihrer "Whistleblowing-Richtlinie", die gemäß dem am 02-07-2023 2023 in Kraft getretenen HinSchG beschlossen wurde, und insbesondere zu allen Tätigkeiten und Erfüllungen im Zusammenhang mit dem Systems zur Verwaltung von Whistleblowing-Meldungen der Gesellschaft machen.
Die nachstehenden Informationen richten sich an "meldende" Personen und an alle anderen potenziell "betroffenen" Personen, wie z. B. Personen, die als potenziell verantwortlich für rechtswidriges Verhalten angegeben werden, alle "Vermittler" (gemäß der Definition in den einschlägigen Rechtsvorschriften) und alle anderen Personen, die auf unterschiedliche Weise in die "Whistleblowing-Politik" eingebunden sind.
- Für die Verarbeitung Verantwortlicher -
Der Verantwortliche der Datenverarbeitung ist BEMM GmbH.
- Kategorien verarbeiteter personenbezogener Daten und Zwecke
Gemäß dieser Richtlinie können personenbezogene Daten von der Gesellschaft erfasst werden, soweit sie in Meldungen über Missstände oder in den ihnen beigefügten Akten und Dokumenten enthalten sind, die die Gesellschaft über die in der genannten Richtlinie vorgesehenen Kanäle erhalten hat.
Die Entgegennahme und Bearbeitung solcher Meldungen kann je nach ihrem Inhalt die Verarbeitung der folgenden Kategorien personenbezogener Daten zur Folge haben:
- allgemeine personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der Datenschutz-Grundverordnung, z. B. Angaben zur Person (Vorname, Nachname, Geburtsdatum und -ort), Kontaktdaten (Festnetz- und/oder Mobiltelefonnummer, Post-/E-Mail-Adresse), Funktion/Beruf;
- „besondere" personenbezogene Daten gemäß der Definition in Artikel 9 der Datenschutz-Grundverordnung, einschließlich beispielsweise Informationen über den Gesundheitszustand, politische Meinungen, religiöse oder philosophische Überzeugungen, die sexuelle Ausrichtung oder die Mitgliedschaft in einer Gewerkschaft;
- personenbezogene Daten von Richtern und Staatsanwälten gemäß Artikel 10 der Datenschutz-Grundverordnung, die sich auf strafrechtliche Verurteilungen und Straftaten oder auf damit zusammenhängende Sicherheitsmaßnahmen beziehen.
In Bezug auf die oben genannten Kategorien personenbezogener Daten betonen wir, wie wichtig es ist, dass die übermittelten Meldungen frei von Informationen sind, die für die Zwecke der Meldung offensichtlich irrelevant sind, und fordern insbesondere die hinweisgebenden Personen auf, von der Verwendung personenbezogener Daten "besonderer" und "gerichtlicher" Art abzusehen, es sei denn, sie werden für die Zwecke der Meldungen als notwendig und unvermeidbar erachtet, in Übereinstimmung mit Artikel 5 der Datenschutz-Grundverordnung.
Die vorgenannten Informationen werden von der Gesellschaft - dem für die Verarbeitung Verantwortlichen - gemäß den Bestimmungen des HinSchG und somit im Allgemeinen zur Durchführung der erforderlichen Voruntersuchungen verarbeitet, die darauf abzielen, die Gründe für die gemeldeten Tatsachen zu überprüfen und die entsprechenden Maßnahmen zu ergreifen.
Darüber hinaus können die Daten von dem für die Verarbeitung Verantwortlichen zu Zwecken verwendet werden, die sich aus der Notwendigkeit ergeben, die eigenen Rechte im Rahmen von gerichtlichen, verwaltungsrechtlichen oder außergerichtlichen Verfahren sowie von zivil-, verwaltungs- oder strafrechtlichen Streitigkeiten im Zusammenhang mit der Meldung zu verteidigen oder festzustellen.
- Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist in erster Linie die Erfüllung einer rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt - Artikel 6 Absatz 1 Buchstabe c der DSGVO -, der insbesondere aufgrund der oben genannten Rechtsvorschriften verpflichtet ist, Informationskanäle einzurichten und zu verwalten, die für die Entgegennahme von Meldungen über rechtswidriges Verhalten zum Nachteil der Integrität der Gesellschaft und/oder des öffentlichen Interesses bestimmt sind.
In den Fällen, die in denselben Vorschriften vorgesehen sind, kann gemäß Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung die ausdrückliche und freie Zustimmung der meldenden Person verlangt werden, insbesondere wenn ihre Identität offengelegt werden muss oder wenn vorgesehen ist, dass die mündlich, telefonisch oder über Sprachnachrichtensysteme oder durch direkte Treffen mit der für die Bearbeitung der Meldungen zuständigen Person eingeholten Meldungen aufgezeichnet werden.
Die Verarbeitung "besonderer" personenbezogener Daten, die in den Meldungen enthalten sein können, beruht auf der Erfüllung von Pflichten und der Ausübung spezifischer Rechte des für die Verarbeitung Verantwortlichen und der betroffenen Person im Bereich des Arbeitsrechts gemäß Artikel 9 Absatz 2 Buchstabe b der Datenschutz-Grundverordnung.
Wie bei der Feststellung, Ausübung oder Verteidigung von Rechten vor Gericht ist die maßgebliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten das berechtigte Interesse des für die Verarbeitung Verantwortlichen gemäß Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung; für denselben Zweck stützt sich die Verarbeitung personenbezogener Daten mit "besonderem" Charakter, sofern vorhanden, auf Artikel 9 Absatz 2 Buchstabe f der Datenschutz-Grundverordnung.
- Art der Bereitstellung der personenbezogenen Daten
Die Angabe personenbezogener Daten ist freiwillig, da die Möglichkeit besteht, der Gesellschaft auch anonyme Meldungen zu übermitteln, wenn diese präzise, stichhaltige und hinreichend begründete Informationen enthalten, unbeschadet der diesbezüglichen gesetzlichen Bestimmungen über Schutzmaßnahmen für die meldende Person. Wenn sie übermittelt werden, werden die personenbezogenen Daten zur Bearbeitung der Meldung unter Beachtung der Grenzen und der durch die einschlägigen Rechtsvorschriften auferlegten Vertraulichkeitsgarantien verarbeitet.
- Art der Verarbeitung und Dauer der Datenspeicherung
Die Verarbeitung der personenbezogenen Daten, die in den gemäß der "Whistleblowing-Richtlinie" übermittelten Meldungen enthalten sind, erfolgt durch die von der Gesellschaft "dazu ermächtigten" Personen und beruht auf den Grundsätzen der Korrektheit, Rechtmäßigkeit und Transparenz, wie in Artikel 5 der DSGVO dargelegt.
Die personenbezogenen Daten können mit analogen und/oder computergestützten/telematischen Mitteln verarbeitet werden, um sie zu speichern, zu verwalten und zu übermitteln, wobei in jedem Fall geeignete physische, technische und organisatorische Maßnahmen ergriffen werden, um ihre Sicherheit und Vertraulichkeit in jeder Phase des Verfahrens zu gewährleisten, einschließlich der Einreichung der Meldung und der entsprechenden Dokumente - unbeschadet der Bestimmungen des § 9 HinSchG- mit besonderem Bezug auf die Identität der hinweisgebenden Person, der beteiligten und/oder in den Meldungen genannten Personen, den Inhalt der Meldungen und der entsprechenden Dokumente.
Die bei der Gesellschaft eingegangenen Meldungen werden zusammen mit den beigefügten Urkunden und Dokumenten so lange aufbewahrt, wie es für ihre Verwaltung erforderlich ist, und in jedem Fall, wie in den Rechtsvorschriften vorgesehen, für einen Zeitraum von höchstens fünf Jahren ab dem Datum der Mitteilung ihres endgültigen Ergebnisses. Nach Ablauf dieses Zeitraums werden die Meldungen entweder aus dem System gelöscht oder in anonymisierter Form gespeichert.
Im Einklang mit den Angaben in Absatz 1 werden personenbezogene Daten in Meldungen, die für den Zweck der Meldungen offensichtlich irrelevant sind, unverzüglich gelöscht.
- Bereiche der Kommunikation und Übermittlung personenbezogener Daten
- Anbieter von Beratungsdiensten und Unterstützung bei der Umsetzung der Whistleblowing-Richtlinie, wie z. B. der Anbieter der IT-Plattform für Whistleblowing;
- Unternehmen und IT-Fachleute im Hinblick auf die Anwendung geeigneter technischer, informatischer und/oder organisatorischer Sicherheitsmaßnahmen für die im System des Unternehmens verarbeiteten Informationen.
Gegebenenfalls können personenbezogene Daten an Justiz- und/oder Polizeibehörden weitergegeben werden, die diese im Rahmen von gerichtlichen Ermittlungen anfordern.
Die personenbezogenen Daten werden im Europäischen Wirtschaftsraum (EWR) verarbeitet und auf dortigen Servern gespeichert. Wenn die "Whistleblowing-Richtlinie" des Unternehmens jedoch die Nutzung elektronischer Plattformen für die Entgegennahme und Verwaltung von Hinweisen vorsieht, kann es erforderlich sein, dass Anbieter aus Nicht-EU-Ländern zu Zwecken, die ausschließlich mit ihren vertraglichen Verpflichtungen in Verbindung stehen, auf die Daten zugreifen, die mit der unvermeidlichen Implementierung und Wartung des Systems zusammenhängen.
Die konsequente Übermittlung personenbezogener Daten in Länder außerhalb der EU wäre in jedem Fall nur dann zulässig, wenn die in Artikel 44 ff. der Datenschutz-Grundverordnung vorgesehenen Bedingungen und Garantien gegeben sind, z. B. bei Vorliegen einer Entscheidung der EU-Kommission über die Angemessenheit des Datenschutzniveaus des Empfängerlandes.
Unter keinen Umständen werden personenbezogene Daten weitergegeben.
- Rechte der betroffenen Person
Jede betroffene Person hat das Recht, die in Artikel 15 ff. der DSGVO genannten Rechte auszuüben, um von dem für die Verarbeitung Verantwortlichen beispielsweise Auskunft über ihre personenbezogenen Daten, deren Berichtigung oder Löschung oder die Einschränkung der sie betreffenden Verarbeitung zu verlangen, unbeschadet der Möglichkeit, bei Ausbleiben einer zufriedenstellenden Antwort eine Beschwerde bei der Datenschutzbehörde einzureichen.
Um diese Rechte auszuüben, ist es erforderlich, einen konkreten Antrag in freier Form an die folgende Adresse des für die Verarbeitung Verantwortlichen zu richten: info@bemm.de , oder das auf der Website der Datenschutzbehörde verfügbare Formular an dieselbe Adresse zu senden.
In diesem Zusammenhang informieren wir Sie darüber, dass die oben genannten Rechte der betroffenen Personen bei der Verarbeitung personenbezogener Daten gemäß und im Sinne des Bundesdatenschutzgesetzes (BDSG) für die Dauer und in dem Umfang eingeschränkt werden können, in dem dies eine notwendige und verhältnismäßige Maßnahme darstellt, wenn ihre Ausübung eine konkrete und tatsächliche Beeinträchtigung der Vertraulichkeit der Identität der meldenden Personen zur Folge haben kann.
In solchen Fällen haben die Betroffenen in jedem Fall das Recht, die Datenschutz-Aufsichtsbehörde anzurufen, damit diese prüft, ob die vertraulichen Daten rechtskonform verarbeitet werden.