Das Hinweisgebersystem dient dazu, Hinweise von (mutmaßlichen) Gesetzes- oder schweren internen Regelverletzungen gegen das Unternehmen auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten. Die Verarbeitung von personenbezogenen Daten stützt sich auf das berechtigte Interesse des Unternehmens an der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden und Haftungsrisiken für das Unternehmen (Art. 6 Abs. 1 lit. f DSGVO iVm. §§ 30, 130 OWiG). Auch der Deutsche Corporate Governance Kodex empfiehlt in Punkt 4.2. die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben. Betrifft ein eingegangener Hinweis einen Beschäftigten des Unternehmens, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstöße, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen (§ 26 Abs. 1 BDSG).
Die für den Datenschutz verantwortliche Stelle und Betreiberin des Hinweisgebersystems ist die LEGATO GmbH, Ellernstraße 34, 30175 Hannover. Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der LEGATO GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur der LEGATO GmbH und dem externen Compliance-Team möglich. Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Kreis ausdrücklich autorisierter Personen beschränkt ist. Das Unternehmen hat einen Datenschutzbeauftragten bestellt. Betroffene können den Datenschutzbeauftragten des Unternehmens direkt kontaktieren: Datenschutzdoktor, Arndstraße 4, 90419 Nürnberg beziehungsweise unter info@datenschutzdoktor.de oder unserer Postadresse mit dem Zusatz „der Datenschutzbeauftragte“.
Eingehende Hinweise werden von einem Team ausdrücklich autorisierter und speziell geschulter Rechtsanwälte entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter des Compliance-Teams prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. In bestimmten Fällen besteht für das Unternehmen die datenschutzrechtliche Verpflichtung, die beschuldigte Person von den gegen sie erhobenen Vorwürfen zu informieren. Dies ist in solchen Fällen gesetzlich geboten, wenn objektiv feststeht, dass die Informationserteilung an den Beschuldigten die konkrete Hinweisaufklärung überhaupt nicht mehr beinträchtigen kann. Dabei wird Ihre Identität als Hinweisgeber*in - soweit rechtlich möglich - nicht offengelegt und es wird auch zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität von Ihnen als Hinweisgeber*in möglich werden. Beim wissentlichen Einstellen falscher Hinweise mit dem Ziel eine Person zu diskreditieren (Denunziation), kann die Vertraulichkeit nicht gewährleistet werden. Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Untersuchung kann es notwendig sein, Hinweise an Mitarbeiter des Unternehmens weiterzugeben. Bei Erforderlichkeit für die Aufklärung kann eine Übermittlung auch an eine Person außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, auf Basis geeigneter oder angemessener datenschutzrechtlicher Garantien zum Schutz von Betroffenen, erfolgen. Bei den gennannten Garantien handelt es sich - soweit nicht ein konkreter Angemessenheitsbeschluss der EU-Kommission für das entsprechende Land außerhalb der EU bzw. des EWR vorliegt - um die Standardvertragsklauseln der Europäischen Kommission. Betroffene haben das Recht von dem Unternehmen eine Kopie der geeigneten oder angemessenen Garantien für die Übermittlung personenbezogener Daten in Drittstaaten zu erhalten. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden. Bei entsprechender gesetzlicher Verpflichtung oder datenschutzrechtlicher Erforderlichkeit für die Hinweisaufklärung kommen als weitere denkmögliche Empfängerkategorien Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie vom Unternehmen beauftragte internationale Rechtsanwalts- und Wirtschaftsprüfungsgesellschaften in Frage. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.
Nach dem europäischen Datenschutzrecht haben Sie und die im Hinweis genannten Personen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten noch erforderlich sind; insbesondere für die Bearbeitung eines Hinweises. Nicht mehr benötigte Daten werden unverzüglich gelöscht. Weitere Informationen und die Möglichkeit, Ihre Rechte geltend zu machen, finden Sie unter:
[Datenschutzbeauftragter]
Ihnen steht außerdem ein Beschwerderecht bei einer zuständigen Aufsichtsbehörde zu:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
https://www.lfd.niedersachsen.de/
Nutzung des Hinweisgeberportals und Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:
• Ihren Namen, sofern Sie Ihre Identität offenlegen,
• ob Sie bei dem Unternehmen beschäftigt sind und
• gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgeberportal wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers bzw. automatisch nach einem festgelegten Zeitraum von fünf Minuten ungültig. Sie haben die Möglichkeit, mit dem automatisch generierten Sicherheitsschlüssel den geschützten Postkasten im Hinweisgebersystem zu nutzen. Auf diese Weise können Sie dem zuständigen Compliance-Team namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem Compliance-Team Dateien zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden.