Datenschutzhinweis
DATENSCHUTZHINWEIS
INTERNE MELDESTELLE NACH DEM HINSCHG
INTERNE MELDESTELLE NACH DEM HINSCHG
A. Allgemeines
I. Verantwortlicher
Mit diesem Datenschutzhinweis wird von der
CDV Consulting GmbH & Co. KG
Ferdinand-Sauerbruch-Straße 28
56073 Koblenz
I. Verantwortlicher
Mit diesem Datenschutzhinweis wird von der
CDV Consulting GmbH & Co. KG
Ferdinand-Sauerbruch-Straße 28
56073 Koblenz
ihre bestehende gesetzliche Informationspflicht gemäß Art. 13 Datenschutz-Grundverordnung, "DS-GVO", im Hinblick auf eine Verarbeitung von personenbezogenen Daten im Rahmen der internen Meldestelle nach dem Hinweisgeberschutzgesetz, "HinSchG", erfüllt.
Im Folgenden erläutern wir Ihnen daher anhand unseres Datenschutzhinweises, welche personenbezogenen Daten wir von Ihnen in welcher Weise verarbeiten. Wenden Sie sich bitte an uns, wenn Sie weitere Fragen haben.
Im Folgenden erläutern wir Ihnen daher anhand unseres Datenschutzhinweises, welche personenbezogenen Daten wir von Ihnen in welcher Weise verarbeiten. Wenden Sie sich bitte an uns, wenn Sie weitere Fragen haben.
II. Personenbezogene Daten
Personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO sind alle Informationen, welche sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, welche direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO sind alle Informationen, welche sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, welche direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
III. Verarbeitung personenbezogener Daten
Eine Verarbeitung von personenbezogenen Daten gemäß Art. 4 Nr. 2 DS-GVO liegt in jedem mit oder ohne Hilfe automatisierten Verfahren, ausgeführten Vorgang oder in jeder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten vor. Eine Datenverarbeitung ist insbesondere in dem Erheben, dem Erfassen, der Organisation, dem Ordnen, der Speicherung, der Anpassung, der Veränderung, dem Auslesen, dem Abfragen, der Verwendung, der Offenlegung durch Übermittlung, der Verbreitung oder in einer anderen Form der Bereitstellung, dem Abgleich oder der Verknüpfung, der Einschränkung, dem Löschen oder der Vernichtung personenbezogener Daten zu sehen.
Eine Verarbeitung, z.B. Erhebung, Speicherung, Übermittlung, Nutzung, von personenbezogenen Daten ist zulässig, wenn diese Vorgänge gesetzlich erlaubt sind oder wenn Sie eingewilligt haben. Entsprechende Rechtsgrundlagen für unsere Datenverarbeitungen stellen wir Ihnen nachstehend vor. Der Verarbeitungsumfang Ihrer personenbezogenen Daten wird durch den jeweiligen Zweck begrenzt.
Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling gemäß Art. 22 DS-GVO findet nicht statt.
Eine Verarbeitung von personenbezogenen Daten gemäß Art. 4 Nr. 2 DS-GVO liegt in jedem mit oder ohne Hilfe automatisierten Verfahren, ausgeführten Vorgang oder in jeder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten vor. Eine Datenverarbeitung ist insbesondere in dem Erheben, dem Erfassen, der Organisation, dem Ordnen, der Speicherung, der Anpassung, der Veränderung, dem Auslesen, dem Abfragen, der Verwendung, der Offenlegung durch Übermittlung, der Verbreitung oder in einer anderen Form der Bereitstellung, dem Abgleich oder der Verknüpfung, der Einschränkung, dem Löschen oder der Vernichtung personenbezogener Daten zu sehen.
Eine Verarbeitung, z.B. Erhebung, Speicherung, Übermittlung, Nutzung, von personenbezogenen Daten ist zulässig, wenn diese Vorgänge gesetzlich erlaubt sind oder wenn Sie eingewilligt haben. Entsprechende Rechtsgrundlagen für unsere Datenverarbeitungen stellen wir Ihnen nachstehend vor. Der Verarbeitungsumfang Ihrer personenbezogenen Daten wird durch den jeweiligen Zweck begrenzt.
Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling gemäß Art. 22 DS-GVO findet nicht statt.
B. Zweck der Verarbeitung personenbezogener Daten im Rahmen der internen Meldestelle / Compliance
Im Hinblick auf die Erfüllung unserer gesetzlichen Verpflichtungen zur Einrichtung und dem Betrieb eines Hinweisgebersystems nach dem HinSchG ist § 10 HinSchG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DS-GVO entsprechende Rechtsgrundlage. Wir verarbeiten Ihre personenbezogenen Daten abhängig von der jeweiligen gesetzlichen Pflicht, insbesondere basierend auf der Erfüllung der Pflichten aus dem HinSchG, insbesondere den §§ 13 - 24 HinSchG.
Wir verarbeiten von Ihnen im Rahmen des Hinweisgebersystems "CDV Whisper" angegebenen Informationen u.a. zum Zweck der Überprüfung und Dokumentation der Meldungen, für interne Ermittlungen wegen möglichen Verstößen (einschließlich der Weitergabe an externe Rechtsanwälte, Wirtschaftsprüfer oder andere berufsrechtlich zur Verschwiegenheit verpflichtete Berufsträger), zur Durchführung der Verfahren bei internen Meldungen, wegen Folgemaßnahmen und ggf. zur Weitergabe an staatliche Stellen (wie Polizei, Staatsanwaltschaft oder Gerichte).
Zudem kann eine Datenverarbeitung zur Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis gemäß § 26 Abs. 1 S. 2 BDSG erfolgen. Bewerber werden gemäß § 26 Abs. 8 S. 2 BDSG Arbeitnehmern gleichgestellt, d.h. für sie gelten identische Vorgaben im Hinblick auf den Datenschutz.
Hilfsweise ist unsere Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DS-GVO, berechtigtes Interesse, da eine Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist und Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Insbesondere ist eine Durchführung von Compliance Maßnahmen als unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu qualifizieren
Unser Hinweisgebersystem gewährleistet grundsätzlich eine Anonymität des Hinweisgebers und stellt sicher, dass dessen Identität auf technischem Weg nicht zurückverfolgt werden kann. Auf den bei der DATEV eG in Nürnberg gehosteten Servern werden keinerlei IP-Adressen, Standortdaten, Gerätespezifikationen oder sonstige Daten gespeichert, welche Rückschlüsse auf den Hinweisgeber zulassen.
Im Hinblick auf die Erfüllung unserer gesetzlichen Verpflichtungen zur Einrichtung und dem Betrieb eines Hinweisgebersystems nach dem HinSchG ist § 10 HinSchG i.V.m. Art. 6 Abs. 1 S. 1 lit. c DS-GVO entsprechende Rechtsgrundlage. Wir verarbeiten Ihre personenbezogenen Daten abhängig von der jeweiligen gesetzlichen Pflicht, insbesondere basierend auf der Erfüllung der Pflichten aus dem HinSchG, insbesondere den §§ 13 - 24 HinSchG.
Wir verarbeiten von Ihnen im Rahmen des Hinweisgebersystems "CDV Whisper" angegebenen Informationen u.a. zum Zweck der Überprüfung und Dokumentation der Meldungen, für interne Ermittlungen wegen möglichen Verstößen (einschließlich der Weitergabe an externe Rechtsanwälte, Wirtschaftsprüfer oder andere berufsrechtlich zur Verschwiegenheit verpflichtete Berufsträger), zur Durchführung der Verfahren bei internen Meldungen, wegen Folgemaßnahmen und ggf. zur Weitergabe an staatliche Stellen (wie Polizei, Staatsanwaltschaft oder Gerichte).
Zudem kann eine Datenverarbeitung zur Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis gemäß § 26 Abs. 1 S. 2 BDSG erfolgen. Bewerber werden gemäß § 26 Abs. 8 S. 2 BDSG Arbeitnehmern gleichgestellt, d.h. für sie gelten identische Vorgaben im Hinblick auf den Datenschutz.
Hilfsweise ist unsere Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f DS-GVO, berechtigtes Interesse, da eine Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist und Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Insbesondere ist eine Durchführung von Compliance Maßnahmen als unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu qualifizieren
Unser Hinweisgebersystem gewährleistet grundsätzlich eine Anonymität des Hinweisgebers und stellt sicher, dass dessen Identität auf technischem Weg nicht zurückverfolgt werden kann. Auf den bei der DATEV eG in Nürnberg gehosteten Servern werden keinerlei IP-Adressen, Standortdaten, Gerätespezifikationen oder sonstige Daten gespeichert, welche Rückschlüsse auf den Hinweisgeber zulassen.
Davon abgesehen entscheidet der Hinweisgeber selbst, ob er anonym bleiben möchte oder persönliche Angaben zu seiner Person weitergibt.
Unabhängig davon werden in jedem Fall Inhalte der Meldung verschlüsselt. Zudem erfolgt unsere gesamte Serverkommunikation über eine gesicherte HTTPS-Verbindung.
C. Dauer der Datenverarbeitung
Die Höchstdauer der Speicherung ist abhängig davon, welchem Zweck die Datenverarbeitung dient. Die Dauer der Speicherung richtet sich grundsätzlich danach, für welchen Zeitraum die Verarbeitung zur Zweckerfüllung erforderlich ist.
Datenschutzrechtliche Löschungsfristen gelten dann nicht, wenn und soweit gesetzliche Aufbewahrungspflichten längere Löschfristen erfordern.
Die Höchstdauer der Speicherung ist abhängig davon, welchem Zweck die Datenverarbeitung dient. Die Dauer der Speicherung richtet sich grundsätzlich danach, für welchen Zeitraum die Verarbeitung zur Zweckerfüllung erforderlich ist.
Datenschutzrechtliche Löschungsfristen gelten dann nicht, wenn und soweit gesetzliche Aufbewahrungspflichten längere Löschfristen erfordern.
D. Empfänger der personenbezogenen Daten
Eine Weitergabe der Daten kann an externe Rechtsanwälte, Wirtschaftsprüfer oder andere berufsrechtlich zur Verschwiegenheit verpflichtete Berufsträger sowie an staatliche Stellen, z.B. Polizei, Staatsanwaltschaft oder Gerichte, erfolgen, soweit es zur Erreichung des jeweiligen Zwecks erforderlich ist.
Eingesetzte Auftragsverarbeiter sind vertraglich auf die Vorgaben des Art. 28 DS-GVO verpflichtet. Auftragsverarbeiter werden Ihre Daten nur entsprechend den gesetzlichen Vorgaben, nach Weisungen von uns und nur im Rahmen der Auftragserfüllung verarbeiten.
Wir setzen das Beratungsunternehmen CDV Consulting GmbH & Co. KG, Ferdinand-Sauerbruch-Straße 28, 56073 Koblenz, als Auftragsverarbeiter ein. Der Auftragsverarbeiter erbringt als ausgelagerte interne Meldestelle nach dem HinSchG für uns Software as a Service, "SaaS",-Leistungen als digitale Umsetzung einer internen Meldestelle zur Mitteilung von Verstößen in unserem Unternehmen. Eine Übertragung der Inhalte erfolgt mit einer Ende-zu-Ende Verschlüsselung. Das digitale Hinweisgebersystem "CDV Whisper" des Auftragsverarbeiters wird auf in Deutschland gehosteten Servern eines ISO 27001 zertifizierten Rechenzentrums betrieben. Ein den Anforderungen des Art. 28 DS-GVO entsprechender Auftragsverarbeitungsvertrag wurde abgeschlossen.
Als Unterauftragsverarbeiter wird vom Auftragsverarbeiter das Unternehmen Vispato GmbH, Hansaallee 299, 40549 Düsseldorf, hinsichtlich der Entwicklung, Zurverfügungstellung und dem Hosting des digitalen Hinweisgebersystems "CDV Whisper" eingesetzt. Ein den Anforderungen des Art. 28 DS-GVO entsprechender Auftragsverarbeitungsvertrag wurde abgeschlossen.
Eine Weitergabe der Daten kann an externe Rechtsanwälte, Wirtschaftsprüfer oder andere berufsrechtlich zur Verschwiegenheit verpflichtete Berufsträger sowie an staatliche Stellen, z.B. Polizei, Staatsanwaltschaft oder Gerichte, erfolgen, soweit es zur Erreichung des jeweiligen Zwecks erforderlich ist.
Eingesetzte Auftragsverarbeiter sind vertraglich auf die Vorgaben des Art. 28 DS-GVO verpflichtet. Auftragsverarbeiter werden Ihre Daten nur entsprechend den gesetzlichen Vorgaben, nach Weisungen von uns und nur im Rahmen der Auftragserfüllung verarbeiten.
Wir setzen das Beratungsunternehmen CDV Consulting GmbH & Co. KG, Ferdinand-Sauerbruch-Straße 28, 56073 Koblenz, als Auftragsverarbeiter ein. Der Auftragsverarbeiter erbringt als ausgelagerte interne Meldestelle nach dem HinSchG für uns Software as a Service, "SaaS",-Leistungen als digitale Umsetzung einer internen Meldestelle zur Mitteilung von Verstößen in unserem Unternehmen. Eine Übertragung der Inhalte erfolgt mit einer Ende-zu-Ende Verschlüsselung. Das digitale Hinweisgebersystem "CDV Whisper" des Auftragsverarbeiters wird auf in Deutschland gehosteten Servern eines ISO 27001 zertifizierten Rechenzentrums betrieben. Ein den Anforderungen des Art. 28 DS-GVO entsprechender Auftragsverarbeitungsvertrag wurde abgeschlossen.
Als Unterauftragsverarbeiter wird vom Auftragsverarbeiter das Unternehmen Vispato GmbH, Hansaallee 299, 40549 Düsseldorf, hinsichtlich der Entwicklung, Zurverfügungstellung und dem Hosting des digitalen Hinweisgebersystems "CDV Whisper" eingesetzt. Ein den Anforderungen des Art. 28 DS-GVO entsprechender Auftragsverarbeitungsvertrag wurde abgeschlossen.
E. Ort der Datenverarbeitungsmaßnahmen
Die gesamte Verarbeitung von personenbezogenen Daten findet ausschließlich in Deutschland statt. Alle Daten werden im Rechenzentrum der DATEV eG in Nürnberg gespeichert.
Die gesamte Verarbeitung von personenbezogenen Daten findet ausschließlich in Deutschland statt. Alle Daten werden im Rechenzentrum der DATEV eG in Nürnberg gespeichert.
F. Sicherheit / Technische und organisatorische Maßnahmen
Eine Kommunikation über das System wird direkt in Ihrem Browser verschlüsselt und entschlüsselt. Es handelt sich um eine Ende-zu-Ende-Verschlüsselung. Damit ist sichergestellt, dass wirklich nur involvierte Personen Inhalte lesen können.
Darüber hinaus werden übertragene Daten (Data in transit) über TLS unter Verwendung von branchenweit anerkannten starken Verschlüsselungsmechanismen verschlüsselt. Eine Speicherung von Daten (Data at rest) erfolgt ebenfalls nur verschlüsselt.
Wir treffen auch ansonsten alle notwendigen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Vorgaben der Art. 24, 25 und 32 DS-GVO, um personenbezogene Daten vor Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen und Missbrauch zu schützen.
So beachten wir die rechtlichen Vorgaben zur Pseudonymisierung und Verschlüsselung personenbezogener Daten, zur Vertraulichkeit, Integrität, Verfügbarkeit und der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, zur Verfügbarkeit der personenbezogenen Daten und der Möglichkeit, diese bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen sowie zur Einrichtung von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Des Weiteren beachten wir auch die Vorgaben des Art. 25 DS-GVO im Hinblick auf die Grundsätze des "privacy by design", Datenschutz durch Technikgestaltung, und des "privacy by default", Datenschutz durch datenschutzfreundliche Voreinstellungen.
Eine Kommunikation über das System wird direkt in Ihrem Browser verschlüsselt und entschlüsselt. Es handelt sich um eine Ende-zu-Ende-Verschlüsselung. Damit ist sichergestellt, dass wirklich nur involvierte Personen Inhalte lesen können.
Darüber hinaus werden übertragene Daten (Data in transit) über TLS unter Verwendung von branchenweit anerkannten starken Verschlüsselungsmechanismen verschlüsselt. Eine Speicherung von Daten (Data at rest) erfolgt ebenfalls nur verschlüsselt.
Wir treffen auch ansonsten alle notwendigen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Vorgaben der Art. 24, 25 und 32 DS-GVO, um personenbezogene Daten vor Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen und Missbrauch zu schützen.
So beachten wir die rechtlichen Vorgaben zur Pseudonymisierung und Verschlüsselung personenbezogener Daten, zur Vertraulichkeit, Integrität, Verfügbarkeit und der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, zur Verfügbarkeit der personenbezogenen Daten und der Möglichkeit, diese bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen sowie zur Einrichtung von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Des Weiteren beachten wir auch die Vorgaben des Art. 25 DS-GVO im Hinblick auf die Grundsätze des "privacy by design", Datenschutz durch Technikgestaltung, und des "privacy by default", Datenschutz durch datenschutzfreundliche Voreinstellungen.
G. Ihre Rechte / Datenschutzbeauftragter
Sie haben ein Recht auf unentgeltliche Auskunft über Ihre personenbezogenen Daten sowie, bei Vorliegen der gesetzlichen Voraussetzungen, ein Recht auf Berichtigung, Sperrung und Löschung Ihrer Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie ein Widerspruchsrecht.
Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf eine Interessenabwägung gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht, wie von uns durchgeführt, verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.
Sie haben zudem die Möglichkeit, sich bei einer zuständigen Aufsichtsbehörde zu beschweren, z.B. in Rheinland-Pfalz Landesbeauftragter für den Datenschutz und Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz.
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten, bei Fragen bezogen auf die vorstehend genannten Rechte sowie deren Geltendmachung ebenso wie bei Anregungen wenden Sie sich bitte an oben dargestellte Kontaktdaten oder an den Geschäftsführer der CDV Consulting GmbH & Co. KG:
Sie haben ein Recht auf unentgeltliche Auskunft über Ihre personenbezogenen Daten sowie, bei Vorliegen der gesetzlichen Voraussetzungen, ein Recht auf Berichtigung, Sperrung und Löschung Ihrer Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie ein Widerspruchsrecht.
Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf eine Interessenabwägung gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht, wie von uns durchgeführt, verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.
Sie haben zudem die Möglichkeit, sich bei einer zuständigen Aufsichtsbehörde zu beschweren, z.B. in Rheinland-Pfalz Landesbeauftragter für den Datenschutz und Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz.
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten, bei Fragen bezogen auf die vorstehend genannten Rechte sowie deren Geltendmachung ebenso wie bei Anregungen wenden Sie sich bitte an oben dargestellte Kontaktdaten oder an den Geschäftsführer der CDV Consulting GmbH & Co. KG:
Dr. Thomas Kehr
c/o CDV Consulting GmbH & Co. KG
Ferdinand-Sauerbruch-Straße 28
56073 Koblenz
c/o CDV Consulting GmbH & Co. KG
Ferdinand-Sauerbruch-Straße 28
56073 Koblenz
Version: 1, gültig ab 01.08.2024
Es gilt jeweils unsere aktuellste Fassung dieses Datenschutzhinweises.
Es gilt jeweils unsere aktuellste Fassung dieses Datenschutzhinweises.