The English version can be found below
Datenschutzinformation
für das Hinweisgebersystem
Mit den folgenden Informationen möchten wir Sie gemäß Art. 13 und 14 DS-GVO über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit unserem Hinweisgebersystem und die Ihnen ge-mäß den datenschutzrechtlichen Bestimmungen zustehenden Rechte und Ansprüche unterrichten.
1. Verantwortlicher
Betreiber der Meldestelle und Verantwortlicher im Sinne der DS-GVO ist die:
ascon-Datenschutz GmbH & Co. KG
Lina-Ammon-Straße 19
90471 Nürnberg
Telefon: 0911 / 148986-50
Telefax: 0911 / 148986-59
E-Mail: info@ascon-datenschutz.de
Gesetzlicher Vertreter der verantwortlichen Stelle: Stefan Auer
Sie können sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an uns wenden. Einen eigenen Datenschutzbeauftragten haben wir nicht bestellt, da unser Unternehmen gesetzlich nicht dazu verpflichtet ist.
2. Zweck und Rechtsgrundlage der Verarbeitung
Die Datenverarbeitung erfolgt zum Zwecke der Erfüllung unserer Aufgaben als interne Meldestelle nach § 13 HinSchG. Dies sind das Betreiben der Meldekanäle, das Führen des Verfahrens bei internen Meldungen und das Ergreifen von Folgemaßnahmen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. c DS-GVO i.V.m. § 10 HinSchG. Soweit wir besondere Kategorien personenbezogener Daten verarbeiten, ist Rechtsgrundlage Art. 9 DS-GVO i.V.m. § 10 HinSchG. Hierfür haben wir spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorgesehen.
Darüber hinaus kann mit Ihrer Zustimmung bei mündlichen Meldungen bzw. Gesprächen zwischen Ihnen und uns der Inhalt des Gesprächs mittels Tonaufzeichnung oder durch ein Wortprotokoll zu Dokumentationszwecken gespeichert werden. Soweit Sie eine Zusammenkunft im Wege der Bild- und Tonübertragung (Videokonferenz) wünschen, erfolgt die Datenverarbeitung außerdem zum Zwecke der Durchführung der Videokonferenz. Rechtsgrundlage ist Ihre Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DS-GVO.
3. Empfänger Ihrer personenbezogenen Daten
Intern erhalten lediglich diejenigen Personen Zugriff auf die Meldungen, die mit der Bearbeitung Ihres Hinweises betraut sind. Für die technische Bereitstellung des Meldekanals nutzen wir über den Anbieter MARKETING2win mit Sitz in Bolgen das Tool „ZoHo“, eine Datenübermittlung in ein Drittland findet dabei nicht statt. Näheres entnehmen Sie den Datenschutzbestimmungen von ZoHo unter: https://www.zoho.com/de/privacy.html.
Sofern die von Ihnen gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen, oder Sie zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatten, dass dies der Fall sei, sind wir als interne Meldestelle verpflichtet, die Vertraulichkeit Ihrer Identität zu wahren. Das Gebot der Vertraulichkeit gilt unabhängig davon, ob wir für die eingehende Meldung zuständig sind. Das Vertraulichkeitsgebot gilt nicht, wenn Sie vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße melden.
Soweit das Vertraulichkeitsgebot gilt, erfolgt eine Übermittlung Ihrer Daten in Übereinstimmung mit dem HinSchG wie folgt:
Wir übermitteln die Tatsache, dass eine Meldung eingegangen ist sowie ggf. den Inhalt Ihrer Meldung grundsätzlich in anonymisierter Form, d.h. ohne Offenlegung Ihrer Identität, an die für die Bearbeitung von Hinweisen zuständige Stelle Ihres Beschäftigungsgebers oder deren Geschäftsleitung.
Informationen über Ihre Identität oder über sonstige Umstände, die Rückschlüsse auf Ihre Identität erlauben, werden jedoch an die zuständige Stelle weitergegeben werden
- in Strafverfahren auf Verlangen der Strafverfolgungsbehörden,
- aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, ein-schließlich verwaltungsbehördlicher Bußgeldverfahren,
- aufgrund einer gerichtlichen Entscheidung.
Darüber hinaus dürfen Informationen über Ihre Identität oder über sonstige Umstände, die Rückschlüsse auf Ihre Identität erlauben, nur weitergegeben werden, wenn
- die Weitergabe für Folgemaßnahmen erforderlich ist und
- Sie zuvor in die Weitergabe eingewilligt hat.
In diesem Fall können die Daten ggf. an eine bei dem Beschäftigungsgeber für interne Ermittlungen zuständige Arbeitseinheit oder eine zuständige Behörde übermitteln.
Soweit Ihre Meldung nicht dem Vertraulichkeitsgebot unterfällt, können wir Ihre Daten ggf. an Ihren Beschäftigungsgeber, eine zuständige Behörde oder an eine beauftragte Rechtsanwaltskanzlei übermitteln, soweit dies zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist und sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.
Eine Übermittlung Ihrer Daten in ein Drittland oder eine internationale Organisation ist nicht geplant.
4. Speicherdauer
Wir sind verpflichtet, alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots zu dokumentieren. Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
5. Pflicht zur Bereitstellung von Daten
Sie sind nicht verpflichtet, die personenbezogenen Daten bereitzustellen. Es steht Ihnen insbesondere frei, Ihre Meldung auch anonym einzureichen. Mögliche Folge der Nichtbereitstellung ist jedoch, dass ggf. aufgrund fehlender Informationen nicht so effektive Folgemaßnahmen ergriffen werden können.
6. Automatisierte Entscheidungsfindung
Von uns werden keine rein automatisierten Entscheidungsverfahren gemäß Art. 22 DSGVO eingesetzt. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.
7. Ihre Rechte als betroffene Person
Data protection information
for the whistleblowers system
With the following information, we would like to inform you about the processing of your personal data in context with our whistleblowing system and your rights under the data protection laws in accordance with Art. 13 and 14 GDPR.
1. Controller
The operator of the reporting office and controller acc. the GDPR is:
ascon-Datenschutz GmbH & Co. KG
Lina-Ammon-Straße 19
90471 Nuremberg
Phone: +49 (0)911 / 148986-50
Fax: +49 (0)911 / 148986-59
E-Mail: info@ascon-datenschutz.de
Legal representative of the responsible body: Stefan Auer
You can contact us directly at any time with any questions or suggestions regarding data protection. We have not appointed our own data protection officer, as our company is not legally obliged to do so.
2. Purpose and legal basis of the processing
Data processing is used for the purpose of fulfilling our duties as an internal reporting office in accordance with § 13 Whistleblower Protection Act. These are the operation of the reporting channels, the management of the procedure for internal reports and the taking of follow-up measures. The legal basis is Art. 6 para. 1 sentence 1 lit. c GDPR in conjunction with § 10 Whistleblower Protection Act. As far as we process special categories of personal data, the legal basis is Art. 9 GDPR in conjunction with § 10 Whistleblower Protection Act. We have taken specific and appropriate measures to protect the interests of the data subject.
Furthermore, with your consent, the content of verbal messages between you and us may be stored for documentation purposes by means of audio recordings or verbatim transcripts. If you request a meeting with video and audio transmission (video conference), the data will also be processed for the purpose of conducting the video conference. The legal basis is your consent, Art. 6 para. 1 sentence 1 lit. a GDPR.
3. Recipients of your personal data
Internally, only those persons who are responsible for processing your report will have access to the reports. For the provision of the web form, we use the tool “ZoHo”. The provider of the tool is MARKETING2win based in Bolgen. A transfer of data to a third country does not occur. You can find more details in the data protection regulations of ZoHo at: https://www.zoho.com/de/privacy.html.
If the information you report concerns violations that fall within the scope of the Whistleblower Protection Act, or if you had sufficient reason to believe that this was the case at the time of the report, we are obliged as an internal reporting office to maintain the confidentiality of your identity. The confidentiality requirement applies regardless of whether we are responsible for the incoming report. The confidentiality requirement does not apply if you intentionally or grossly negligently report incorrect information about violations.
As far as the confidentiality requirement applies, your data will be transmitted in accordance with the Whistleblower Protection Act as follows:
We transmit the fact that a report has been received and, if applicable, the content of your report in anonymized form, means without disclosing your identity, to the office of your employer responsible for processing reports or its management.
However, information about your identity or other circumstances that allow conclusions about your identity will be passed on to the competent authority
- in criminal proceedings at the request of the criminal prosecution authorities,
- on the basis of an order in administrative proceedings following a report, including administrative fine proceedings,
- on the basis of court decision.
In addition, information about your identity or other circumstances that allow conclusions about your identity may only be passed on if
- the disclosure is necessary for follow-up measures and
- you have previously consented to the disclosure.
In this case, the data may be transferred to a work unit responsible for internal investigations at the employer or to a responsible authority. If your report is not subject to the confidentiality requirement, we may transfer your data to your employer, a responsible authority or a commissioned law firm, insofar as this is necessary to protect our legitimate interests or the legitimate interests of a third party and provided that your interests or fundamental rights and freedoms that require the protection of personal data do not prevail.
A transfer of your data to a third country or an international organization is not planned.
4. Storage period
We are obliged to document all incoming reports in a permanently retrievable manner in compliance with the confidentiality requirement. The documentation is deleted 3 years after completion of the procedure. The documentation may be kept for longer in order to fulfill the requirements of the Whistleblower Protection Act or other legal provisions, as long as this is necessary and proportionate.
5. Obligation to provide personal data
You are not obligated to provide the personal data. You are free to submit your report anonymously. However, a possible consequence of not providing this information is that it may not be possible to take such effective follow-up measures due to a lack of information.
6. automated decision-making
We do not use any purely automated decision-making processes in accordance with Art. 22 GDPR. Should we use these procedures in individual cases, we will inform you of this separately if this is required by law.