Im Folgenden informieren wir gemäß Art. 13 DS-GVO darüber, wie die imc information multimedia communication AG (im Folgenden als „imc“ bezeichnet) personenbezogene Daten im Rahmen des Meldesystems verarbeitet sowie über die damit verbundenen datenschutzrechtlichen Regelungen, Ansprüche und Rechte.
Die imc setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, die bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert sowie nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsverluste abgewendet werden.
Verantwortliche für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist imc information multimedia communication AG. Gemäß den gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes hat die imc AG eine zentrale Meldestelle für die gesamte imc Unternehmensgruppe eingerichtet.
information multimedia communication AG
Scheer Tower, Uni-Campus Nord
66123 Saarbrücken
Deutschland/ Germany
Tel. +49 681 9476-0
Fax +49 681 9476-530
[email protected]
www.im-c.de
Bei Fragen zum Datenschutz wenden Sie sich bitte an das Privacy-Team der imc elektronisch unter:
3.1 Zu welchen Zwecken verarbeiten wir die Daten?
Die imc verarbeitet die personenbezogenen Daten der meldenden Person, sofern die Meldung nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations- und Inhaltsdaten, zum Zwecke der Untersuchung der Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder )Einziehung von Mitteln oder dem Abschluss des Verfahrens) vorzunehmen.
3.2 Auf welcher Rechtsgrundlage verarbeiten wir die Daten?
Die Erhebung der personenbezogenen Daten der meldenden Person bei einer nicht anonymen Meldung erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung) (Art. 6 Abs. 1 S. 1 lit. a DS-GVO).
Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen des o.g. Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f DS-GVO). Es ist ein berechtigtes Interesse des Unternehmens, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für Unternehmen (§§ 30, 130 OWiG) abzuwenden. Auch die Richtlinien (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das Hinweisgeberschutzgesetz in Deutschland fordern die Einrichtung eines Meldesystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Meldungen auf Rechtsverstöße im Unternehmen zu geben.
Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger (Art. 4 Nr. 7 DS-GVO) kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 S. 1 lit. c DS-GVO).
3.3 Welche Datenkategorien werden verarbeitet?
Grundsätzlich verarbeiten wir personenbezogene Daten, die wir im Rahmen einer Meldung direkt erhalten. Dazu können zählen:
- Informationen über die meldende Person (sofern diese/r nicht anonym bleiben möchte) und den/die Beschuldigte(n), wie
- Vor- und Nachname
- Kontaktdaten
- ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten
- Persönliche Informationen, etwa zu betroffenen Personen, die in einer Meldung als eine Person bezeichnet wird, der ein Fehlverhalten anzulasten sei, sowie die im Rahmen der Aufklärung identifiziert wurden, einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise.
- Jede andere Information, die in den Untersuchungsergebnissen und in einem möglicherweise weiterführenden Verfahren identifiziert wurde, z.B. Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde.
- Informationen über Verstöße, die darüber hinaus ggf. Rückschlüsse auf eine natürliche Person erlauben.
Personenbezogene Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten.
Zur Entgegennahme und Qualifizierung einer Meldung haben wir zwei Ombudsmann beauftragt:
Diese betreiben unsere interne Meldestelle unter Zuhilfenahme einer webbasierten Applikation, die von der Firma Gesellschaft für Datenschutz bereitgestellt wird. Der Sitz der Firma ist in Holzweg 9, 38302 Wolfenbüttel.
Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen, werden die im Rahmen der Meldung erforderlichen personenbezogenen Daten gegebenenfalls an die intern zuständigen Fachabteilungen beim Verantwortlichen weitergegeben.
Eine Weitergabe an die jeweils zuständige Stelle kann jedoch ggf. in gesetzlich geregelten Fällen nach § 9 Abs. 2 und 3 HinSchG erforderlich werden. Darüber hinaus kann eine Weitergabe der Informationen erfolgen, wenn dies für Folgemaßnahmen erforderlich ist und die hinweisgebende Person nach § 9 Abs. 3 HinSchG eingewilligt hat.
Sofern die meldende Person den eigenen Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonyme Meldung), wird die Identität – soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als meldenden Person möglich werden.
Gemäß § 9 Abs. 1 HinSchG wird die Identität einer hinweisgebenden Person, die vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet, nicht nach dem HinSchG geschützt.
Werden personenbezogene Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DS-GVO erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Sie haben im Rahmen der jeweiligen Regelungen (insbesondere Art. 15-21 DS-GVO) vielfältige Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten:
- Recht auf Auskunft,
- Recht auf Berichtigung,
- Recht auf Löschung,
- Recht auf Einschränkung der Verarbeitung,
- Recht auf Datenübertragbarkeit,
- das Recht, einer nicht ausschließlich automatisierten Einzelfallentscheidung zu unterliegen.
- das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.
Das Auskunfts- und das Löschungsrecht unterliegen gesetzlichen Einschränkungen. Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen, können Sie dieser Verarbeitung widersprechen, wenn sich aus Ihrer besonderen Situation Gründe ergeben, die gegen eine Datenverarbeitung sprechen.
Gemäß Art. 7 DS-GVO gilt das Recht, die eigene Einwilligung in die Datenverarbeitung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.
Nein.
Nein.
Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse des Unternehmens oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzungen.
Personenbezogene Daten im Zusammenhang mit Meldungen werden vom Compliance-Ombudsmann unverzüglich gelöscht, sofern sie durch diesen als offensichtlich sachlich grundlos erachtet werden.
Gemäß Art. 21 DS-GVO haben Sie das Recht, Widerspruch gegen die Verarbeitung der eigenen personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus der persönlichen besonderen Situation ergeben. Die eigenen Daten werden dann nicht mehr verarbeitet, es sei denn, dass der Verantwortliche zwingende Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder dass die Verarbeitung der Geltendmachung Ausübung oder Verteidigung von Rechtsansprächen dient.
Der Widerspruch kann formfrei erfolgen und sollte möglichst an den o.g. Verantwortlichen bzw. dessen interne Meldestelle gerichtet werden.
Die Bereitstellung der Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss erforderlich. Unter Umständen bestehen je nach individuellem Einzelfall gesetzliche Pflichten, uns eine Meldung zu erteilen. Für eine sinnvolle Bearbeitung und Untersuchung der Meldung ist eine Verarbeitung der Daten jedoch erforderlich.
Wir behalten uns vor, diese Datenschutzhinweise bei Bedarf zu aktualisieren.