The English version can be found below

Datenschutzinformation
für das Hinweisgebersystem

Mit den folgenden Informationen möchten wir Sie gemäß Art. 13 und 14 DS-GVO über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit unserem Hinweisgebersystem und die Ihnen ge-mäß den datenschutzrechtlichen Bestimmungen zustehenden Rechte und Ansprüche unterrichten.

1. Verantwortlicher

Betreiber der Meldestelle und Verantwortlicher im Sinne der DS-GVO ist die:

ascon-Datenschutz GmbH & Co. KG
Lina-Ammon-Straße 19
90471 Nürnberg

Telefon: 0911 / 148986-50
Telefax: 0911 / 148986-59
E-Mail: info@ascon-datenschutz.de

Gesetzlicher Vertreter der verantwortlichen Stelle: Stefan Auer

Sie können sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an uns wenden. Einen eigenen Datenschutzbeauftragten haben wir nicht bestellt, da unser Unternehmen gesetzlich nicht dazu verpflichtet ist.

2. Zweck und Rechtsgrundlage der Verarbeitung

Die Datenverarbeitung erfolgt zum Zwecke der Erfüllung unserer Aufgaben als interne Meldestelle nach § 13 HinSchG. Dies sind das Betreiben der Meldekanäle, das Führen des Verfahrens bei internen Meldungen und das Ergreifen von Folgemaßnahmen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. c DS-GVO i.V.m. § 10 HinSchG. Soweit wir besondere Kategorien personenbezogener Daten verarbeiten, ist Rechtsgrundlage Art. 9 DS-GVO i.V.m. § 10 HinSchG. Hierfür haben wir spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorgesehen.

Darüber hinaus kann mit Ihrer Zustimmung bei mündlichen Meldungen bzw. Gesprächen zwischen Ihnen und uns der Inhalt des Gesprächs mittels Tonaufzeichnung oder durch ein Wortprotokoll zu Dokumentationszwecken gespeichert werden. Soweit Sie eine Zusammenkunft im Wege der Bild- und Tonübertragung (Videokonferenz) wünschen, erfolgt die Datenverarbeitung außerdem zum Zwecke der Durchführung der Videokonferenz. Rechtsgrundlage ist Ihre Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DS-GVO.

3. Empfänger Ihrer personenbezogenen Daten

Intern erhalten lediglich diejenigen Personen Zugriff auf die Meldungen, die mit der Bearbeitung Ihres Hinweises betraut sind. Für die technische Bereitstellung des Meldekanals nutzen wir über den Anbieter MARKETING2win mit Sitz in Bolgen das Tool „ZoHo“, eine Datenübermittlung in ein Drittland findet dabei nicht statt. Näheres entnehmen Sie den Datenschutzbestimmungen von ZoHo unter: https://www.zoho.com/de/privacy.html.

Sofern die von Ihnen gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen, oder Sie zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatten, dass dies der Fall sei, sind wir als interne Meldestelle verpflichtet, die Vertraulichkeit Ihrer Identität zu wahren. Das Gebot der Vertraulichkeit gilt unabhängig davon, ob wir für die eingehende Meldung zuständig sind. Das Vertraulichkeitsgebot gilt nicht, wenn Sie vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße melden.

Soweit das Vertraulichkeitsgebot gilt, erfolgt eine Übermittlung Ihrer Daten in Übereinstimmung mit dem HinSchG wie folgt:

Wir übermitteln die Tatsache, dass eine Meldung eingegangen ist sowie ggf. den Inhalt Ihrer Meldung grundsätzlich in anonymisierter Form, d.h. ohne Offenlegung Ihrer Identität, an die für die Bearbeitung von Hinweisen zuständige Stelle Ihres Beschäftigungsgebers oder deren Geschäftsleitung.

Informationen über Ihre Identität oder über sonstige Umstände, die Rückschlüsse auf Ihre Identität erlauben, werden jedoch an die zuständige Stelle weitergegeben werden

  • in Strafverfahren auf Verlangen der Strafverfolgungsbehörden,
  • aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, ein-schließlich verwaltungsbehördlicher Bußgeldverfahren,
  • aufgrund einer gerichtlichen Entscheidung.

Darüber hinaus dürfen Informationen über Ihre Identität oder über sonstige Umstände, die Rückschlüsse auf Ihre Identität erlauben, nur weitergegeben werden, wenn

  • die Weitergabe für Folgemaßnahmen erforderlich ist und
  • Sie zuvor in die Weitergabe eingewilligt hat.

In diesem Fall können die Daten ggf. an eine bei dem Beschäftigungsgeber für interne Ermittlungen zuständige Arbeitseinheit oder eine zuständige Behörde übermitteln.

Soweit Ihre Meldung nicht dem Vertraulichkeitsgebot unterfällt, können wir Ihre Daten ggf. an Ihren Beschäftigungsgeber, eine zuständige Behörde oder an eine beauftragte Rechtsanwaltskanzlei übermitteln, soweit dies zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist und sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.

Eine Übermittlung Ihrer Daten in ein Drittland oder eine internationale Organisation ist nicht geplant.

4. Speicherdauer

Wir sind verpflichtet, alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots zu dokumentieren. Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

5. Pflicht zur Bereitstellung von Daten

Sie sind nicht verpflichtet, die personenbezogenen Daten bereitzustellen. Es steht Ihnen insbesondere frei, Ihre Meldung auch anonym einzureichen. Mögliche Folge der Nichtbereitstellung ist jedoch, dass ggf. aufgrund fehlender Informationen nicht so effektive Folgemaßnahmen ergriffen werden können.

6. Automatisierte Entscheidungsfindung

Von uns werden keine rein automatisierten Entscheidungsverfahren gemäß Art. 22 DSGVO eingesetzt. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.

7. Ihre Rechte als betroffene Person

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden.

Sie haben das Recht, jederzeit von uns unentgeltliche Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten sowie eine Kopie dieser Daten zu erhalten.

Sie haben das Recht, die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Sie haben das Recht, von uns zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der gesetzlich vorgesehenen Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist. Wir möchten Sie darauf hinweisen, dass die Dokumentation der Kontaktdaten des Ansprechpartners für die Durchführung des bestehenden Vertrages mit dem Verantwortlichen erforderlich ist.

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, welche uns durch Sie bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO oder Art. 9 Abs. 2 lit. a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche uns übertragen wurde.
Ferner haben Sie bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Sie haben das Recht, sich einer für Datenschutz zuständigen Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die Kontaktdaten der für uns zuständigen Aufsichtsbehörde lauten:
Bayerisches Landesamt für Datenschutzaufsicht

Promenade 18
91522 Ansbach
Tel.: 0981/180093-0
E-Mail: poststelle@lda.bayern.de

Data protection information
for the whistleblowers system

With the following information, we would like to inform you about the processing of your personal data in context with our whistleblowing system and your rights under the data protection laws in accordance with Art. 13 and 14 GDPR.

1. Controller

The operator of the reporting office and controller acc. the GDPR is:

ascon-Datenschutz GmbH & Co. KG
Lina-Ammon-Straße 19
90471 Nuremberg

Phone: +49 (0)911 / 148986-50
Fax: +49 (0)911 / 148986-59
E-Mail: info@ascon-datenschutz.de

Legal representative of the responsible body: Stefan Auer

You can contact us directly at any time with any questions or suggestions regarding data protection. We have not appointed our own data protection officer, as our company is not legally obliged to do so.

2. Purpose and legal basis of the processing

Data processing is used for the purpose of fulfilling our duties as an internal reporting office in accordance with § 13 Whistleblower Protection Act. These are the operation of the reporting channels, the management of the procedure for internal reports and the taking of follow-up measures. The legal basis is Art. 6 para. 1 sentence 1 lit. c GDPR in conjunction with § 10 Whistleblower Protection Act. As far as we process special categories of personal data, the legal basis is Art. 9 GDPR in conjunction with § 10 Whistleblower Protection Act. We have taken specific and appropriate measures to protect the interests of the data subject.

Furthermore, with your consent, the content of verbal messages between you and us may be stored for documentation purposes by means of audio recordings or verbatim transcripts. If you request a meeting with video and audio transmission (video conference), the data will also be processed for the purpose of conducting the video conference. The legal basis is your consent, Art. 6 para. 1 sentence 1 lit. a GDPR.

3. Recipients of your personal data

Internally, only those persons who are responsible for processing your report will have access to the reports. For the provision of the web form, we use the tool “ZoHo”. The provider of the tool is MARKETING2win based in Bolgen. A transfer of data to a third country does not occur. You can find more details in the data protection regulations of ZoHo at: https://www.zoho.com/de/privacy.html.

If the information you report concerns violations that fall within the scope of the Whistleblower Protection Act, or if you had sufficient reason to believe that this was the case at the time of the report, we are obliged as an internal reporting office to maintain the confidentiality of your identity. The confidentiality requirement applies regardless of whether we are responsible for the incoming report. The confidentiality requirement does not apply if you intentionally or grossly negligently report incorrect information about violations.

As far as the confidentiality requirement applies, your data will be transmitted in accordance with the Whistleblower Protection Act as follows:

We transmit the fact that a report has been received and, if applicable, the content of your report in anonymized form, means without disclosing your identity, to the office of your employer responsible for processing reports or its management.

However, information about your identity or other circumstances that allow conclusions about your identity will be passed on to the competent authority

  • in criminal proceedings at the request of the criminal prosecution authorities,
  • on the basis of an order in administrative proceedings following a report, including administrative fine proceedings,
  • on the basis of court decision.

In addition, information about your identity or other circumstances that allow conclusions about your identity may only be passed on if

  • the disclosure is necessary for follow-up measures and
  • you have previously consented to the disclosure.

In this case, the data may be transferred to a work unit responsible for internal investigations at the employer or to a responsible authority. If your report is not subject to the confidentiality requirement, we may transfer your data to your employer, a responsible authority or a commissioned law firm, insofar as this is necessary to protect our legitimate interests or the legitimate interests of a third party and provided that your interests or fundamental rights and freedoms that require the protection of personal data do not prevail.

A transfer of your data to a third country or an international organization is not planned.

4. Storage period

We are obliged to document all incoming reports in a permanently retrievable manner in compliance with the confidentiality requirement. The documentation is deleted 3 years after completion of the procedure. The documentation may be kept for longer in order to fulfill the requirements of the Whistleblower Protection Act or other legal provisions, as long as this is necessary and proportionate.

5. Obligation to provide personal data

You are not obligated to provide the personal data. You are free to submit your report anonymously. However, a possible consequence of not providing this information is that it may not be possible to take such effective follow-up measures due to a lack of information.

6. automated decision-making

We do not use any purely automated decision-making processes in accordance with Art. 22 GDPR. Should we use these procedures in individual cases, we will inform you of this separately if this is required by law.

7. Your rights as a data subject

You have the right to ask us to confirm whether personal data concerning you is being processed.

You have the right to receive information from us at any time about the personal data stored about you and receive a copy.

You have a right to rectification and/or completion if the processed personal data is inaccurate or incomplete.

You have the right to demand that we erase the personal data relating to you be deleted without delay, provided that one of the reasons provided by law applies and if processing or further storage is not required. The right to erasure does not apply in cases of Art. 17 para. 3 GDPR.

You have the right obtain personal data relating to you that you provided us in a structured, commonly used and machine-readable format. You also have the right to transfer this data to another controller without hindrance by us, to whom the personal data was provided, provided that the processing is based on the consent pursuant to Art. 6 (1) lit. a) GDPR or Art. 9 (2) lit. a) GDPR or on a contract pursuant to Art. 6 (1) lit. b) GDPR, and the data are processed using automated procedures, unless processing is necessary to complete a task, is in the public interest or is carried out in the exercise of an official authority assigned to us.

Furthermore, when exercising your right to data transferability pursuant to Art. 20 (1) GDPR, you have the right to have personal data transferred directly from one controller to another, provided this is technically feasible and does not impede the rights and freedoms of other persons.

You have the right to complain to a supervisory authority responsible for data protection about our processing of personal data. The contact details of the supervisory authority responsible for us are:

Bayerisches Landesamt für Datenschutzaufsicht

Promenade 18
91522 Ansbach
Tel.: +49 (0)981/180093-0
E-Mail: poststelle@lda.bayern.de