WERNER-Logistik GmbH
Die Einhaltung von Gesetzen und internen Richtlinien ist uns sehr wichtig. Um von potenziellen Verstößen gegen Gesetze und interne Richtlinien erfahren und Maßnahmen einleiten zu können, stellen wir unseren Beschäftigten, aber auch Dritten, z.B. unseren Lieferanten und Dienstleistern, ein Hinweisgebersystem zur Verfügung, über das vertraulich oder anonym Verstöße gemeldet werden können. Unser Hinweisgebersystem steht hier zur Verfügung: https://werner.compliance.one
Compliance with laws and internal policies is very important to us. In order to learn of potential breaches of laws and internal policies and to be able to initiate measures, we provide our employees and also third parties, e.g. our suppliers and service providers, with a whistleblowing system through which breaches can be reported confidentially or anonymously. Our whistleblowing system is available here: https://werner.compliance.one
Le respect des lois et des politiques internes est très important pour nous. Afin d'être informés d'éventuelles violations des lois et des politiques internes et de pouvoir prendre des mesures, nous mettons à la disposition de nos employés et de tiers, par exemple nos fournisseurs et prestataires de services, un système d'alerte qui permet de signaler des violations de manière confidentielle ou anonyme. Notre système d'alerte est disponible ici : https://werner.compliance.one
Stand: 15. Oktober 2023
1. GEGENSTAND UND GELTUNGSBEREICH
Wir nehmen Datenschutz und Informationssicherheit sehr ernst – insbesondere auch bei der Nutzung unseres Hinweisgebersystems, bei der potenziell vertrauliche und sensible Daten verarbeitet werden.
Wir gewährleisten stets einen umfassenden Schutz der personenbezogenen Daten, die im Zusammenhang mit der Nutzung unseres Hinweisgebersystems erhoben werden, und verarbeiten diese auch stets entsprechend der gesetzlichen Vorschriften.
Mit dieser Datenschutzerklärung möchten wir Sie transparent darüber informieren, welche personenbezogenen Daten wir im Zusammenhang mit der Nutzung unseres Hinweisgebersystems erheben und wie und zu welchen Zwecken diese verarbeitet werden.
2. VERANTWORTLICHER UND DATENSCHUTZBEAUFTRAGTER
Verantwortlicher im Sinne der DSGVO ist die Gesellschaft bzw. Organisation, die das Hinweisgebersystem zur Verfügung stellt und an die die jeweilige Meldung gerichtet ist. Dies ist grundsätzlich die Gesellschaft bzw. Organisation, die im Impressum der Hinweisgeberseite genannt wird.
Sofern das Hinweisgebersystem zentral für mehrere Gesellschaften bzw. Organisationen zur Verfügung gestellt wird, ist Verantwortlicher im Sinne der DSGVO die Gesellschaft bzw. Organisation, die die hinweisgebende Person als Adressat einer Meldung im Dropdown-Menü auswählt.
Bei einzelnen Verarbeitungen liegt eine gemeinsame Verantwortlichkeit mit dem Dienstleister Compliance.One GmbH vor, der das Hinweisgebersystem zur Verfügung stellt – dazu jeweils unten im Kontext der jeweiligen Verarbeitung.
Den Datenschutzbeauftragten des Verantwortlichen erreichen Sie unter den im Impressum angegebenen Kontaktdaten.
3. HINWEISGEBERSYSTEM
Wir möchten und wir müssen die Einhaltung geltender Gesetze bzw. interner Regelungen im Rahmen unseres Geschäftsbetriebs sicherstellen. Wir haben daher geeignete Maßnahmen getroffen, um die Einhaltung geltender Gesetze bzw. interner Regelungen sicherzustellen. Dazu zählt, unter anderem, unser Hinweisgebersystem, über das Meldungen zu Verstößen gegen geltende Gesetze bzw. interne Regelungen abgegeben werden können. Eingehende Meldungen werden von unserer internen Meldestelle zeitnah bearbeitet.
Bei der Bearbeitung von Meldungen werden sämtliche datenschutzrechtlichen Anforderungen und die Rechte und Interessen sowohl der hinweisgebenden Personen wie auch der von einer Meldung Betroffenen umfassend gewahrt. Nachfolgend informieren wir transparent und umfassend über die Datenverarbeitung im Rahmen unseres Hinweisgebersystems, im Einzelnen zu folgenden Aspekten:
Welche Daten werden verarbeitet?
Zu welchen Zwecken werden die Daten verarbeitet?
Auf welchen Rechtsgrundlagen beruht die Verarbeitung?
Wie lange werden Daten aufbewahrt?
An wen werden Daten übermittelt?
Auftragsverarbeitung und gemeinsame Verantwortlichkeit
3.1 Welche Daten werden verarbeitet?
Bei der Bearbeitung der Meldungen können einerseits personenbezogene Daten zur Identität der hinweisgebenden Person und andererseits personenbezogene Daten der von einer Meldung betroffenen Person(en) bzw. von sonstigen Dritten, die Gegenstand einer Meldung sind, verarbeitet werden.
3.1.1 Daten zur Identität der hinweisgebenden Person
Unser Hinweisgebersystem ermöglicht unterschiedliche Meldungsarten, bei denen die Verarbeitung der Daten zur Identität der hinweisgebenden Person je nach gewählter Meldungsart wie nachfolgend erläutert erfolgt:
Anonyme Meldung
Sofern eine anonyme Meldung angeboten wird, werden im Rahmen der Abgabe einer anonymen Meldung keine personenbezogenen Daten zur Identität der hinweisgebenden Person erhoben. Die hinweisgebende Person kann von dem Verantwortlichen dementsprechend nicht aktiv kontaktiert werden, z.B. für eine Eingangsbestätigung oder Rückfragen, aber eine Kommunikation ist über die im Anschluss an die Abgabe der Meldung angezeigte Meldungsseite möglich, wenn die hinweisgebende Person sich die URL bzw. den QR-Code der Meldungsseite merkt. Auf der Meldungsseite wird die hinweisgebende Person über den Status der Bearbeitung der Meldung informiert.
Pseudonyme Meldung
Bei einer pseudonymen Meldung werden die Informationen zur Identität der hinweisgebenden Person nur an den Dienstleister übermittelt, der das Hinweisgebersystem zur Verfügung stellt. Dieser Dienstleister ist die Compliance.One GmbH in Deutschland (nachfolgend „Compliance.One“).
Der Dienstleister Compliance.One wahrt die Vertraulichkeit der Identität der hinweisgebenden Person auch gegenüber dem Verantwortlichen, an den die Meldung adressiert ist. Der Verantwortliche kann über den Dienstleister Compliance.One mit der hinweisgebenden Person kommunizieren, um z.B. den Eingang der Meldung zu bestätigen, um Rückfragen zu dem gemeldeten Sachverhalt zu stellen und um eine Rückmeldung zu Folgemaßnahmen zu geben. Der Verantwortliche, an den die Meldung adressiert ist, erhält dabei keine Kenntnis von der Identität der hinweisgebenden Person oder von deren Kontaktdaten.
Der Dienstleister Compliance.One gewährleistet eine effektive Pseudonymisierung der personenbezogenen Daten der hinweisgebenden Person gegenüber dem Verantwortlichen, an den die Meldung adressiert ist.
Der Dienstleister Compliance.One wird in diesem Kontext gemeinsam mit dem Verantwortlichen, an den die Meldung adressiert ist, als gemeinsamer Verantwortlicher tätig – zu den Details dieser gemeinsamen Verantwortlichkeit ausführlich weiter unten unter Ziffer 3.6.
Transparente Meldung
Bei einer transparenten Meldung erhält die interne Meldestelle des Verantwortlichen die von der hinweisgebenden Person angegebenen Informationen zu ihrer Identität, einschließlich der angegebenen Kontaktdaten.
Vertraulichkeitsverpflichtung der internen Meldestelle
Bei der Bearbeitung der Meldung besteht die Verpflichtung, die Vertraulichkeit der Identität der hinweisgebenden Person zu wahren. Nur die internen Meldestellenbeauftragten, die mit der Bearbeitung der Meldung betraut sind, haben Kenntnis von der Identität der hinweisgebenden Person. Die internen Meldestellenbeauftragten sind im Rahmen ihrer Tätigkeit zu strikter Vertraulichkeit verpflichtet.
Sofern die interne Meldestelle von dem externen Dienstleister Compliance.One als ausgelagerte interne Meldestelle betrieben wird, unterliegt der externe Dienstleister Compliance.One genau wie die interne Meldestelle einer strikten Verpflichtung zur Vertraulichkeit hinsichtlich der Identität der hinweisgebenden Person. Der Dienstleister Compliance.One wird in diesem Kontext gemeinsam mit dem Verantwortlichen, an den die Meldung adressiert ist, als gemeinsamer Verantwortlicher tätig – zu den Details dieser gemeinsamen Verantwortlichkeit ausführlich weiter unten unter Ziffer 3.6.
3.1.2 Daten Dritter aus Meldungen
In Meldungen sind regelmäßig personenbezogenen Daten Dritter, insbesondere der Personen, die eines potenziellen Verstoßes gegen geltende Gesetze bzw. interne Regelungen bezichtigt werden, enthalten. In Meldungen können unterschiedlichste Datenkategorien enthalten sein, einschließlich besonderer Kategorien personenbezogenen Daten gem. Art. 9 DSGVO und Daten über Straftaten gem. Art. 10 DSGVO.
3.2 Zu welchen Zwecken werden die Daten verarbeitet?
Wenn über das Hinweisgebersystem eine Meldung eines potenziellen Verstoßes gegen geltende Gesetze bzw. interne Regelungen abgegeben wird, werden die im Rahmen der Meldung erhobenen Daten verarbeitet, um die Meldung gemäß den gesetzlichen Regelungen bzw. der internen Regelungen zum Hinweisgeberschutz zu bearbeiten.
Daten zur Identität der hinweisgebenden Person
Daten zur Identität der hinweisgebenden Person werden gegebenenfalls verarbeitet, um der hinweisgebenden Person eine Bestätigung des Eingangs der Meldung zukommen zu lassen, um Rückfragen zum gemeldeten Sachverhalt zu stellen, um den gemeldeten Sachverhalt zu ermitteln bzw. zu substantiieren, um Folgemaßnahmen zu ergreifen und um, im Falle eines Missbrauchs des Hinweisgebersystems, Rechte gegen die hinweisgebende Person geltend zu machen.
Daten Dritter aus Meldungen
Daten Dritter aus Meldungen, insbesondere der Personen, die eines potenziellen Verstoßes gegen geltende Gesetze bzw. interne Regelungen bezichtigt werden, werden im Rahmen der Bearbeitung der Meldungen ausschließlich verarbeitet, um den gemeldeten Sachverhalt zu ermitteln bzw. zu substantiieren und um Folgemaßnahmen zu ergreifen.
3.3 Auf welchen Rechtsgrundlagen beruht die Verarbeitung?
Rechtliche Verpflichtung
Die Datenverarbeitung im Rahmen der Nutzung des Hinweisgebersystem und im Rahmen von Ermittlungen und sonstigen Folgemaßnahmen erfolgt grundsätzlich zur Erfüllung einer rechtlichen Verpflichtung, nämlich der rechtlichen Verpflichtung zur Zurverfügungstellung einer internen Meldestelle, zur Entgegennahme von Meldungen zu Verstößen gegen geltende Gesetze bzw. interne Regelungen und zur anschließenden Durchführung von Folgemaßnahmen. Dies umfasst auch die Verarbeitung besonderer Kategorien personenbezogener Daten durch die interne Meldestelle, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. Die Erfüllung einer rechtlichen Verpflichtung umfasst auch die Aufbewahrung der Dokumentation der Meldungen, soweit die gesetzliche vorgeschrieben ist.
Berechtigte Interessen
Die Datenverarbeitung kann auch zur Wahrung überwiegender berechtigter Interessen des Verantwortlichen bzw. eines Dritten erfolgen.
Die überwiegenden berechtigten Interessen können die Interessen des Verantwortlichen an der Aufdeckung und Verfolgung von Verstößen gegen geltende Gesetze bzw. interne Regelungen, die nicht von der oben genannten rechtlichen Verpflichtung umfasst sind, sein. Dies kann auch die Umsetzung ausländischer Rechtsvorschriften beinhalten, denen der Verantwortliche nicht direkt, sondern beispielsweise nur mittelbar über verbundene Unternehmen, unterliegt.
Die überwiegenden berechtigten Interessen können auch die Interessen des Verantwortlichen an einer Rechtsverteidigung bzw. einer Geltendmachung, Verteidigung und Ausübung von Rechtsansprüchen des Verantwortlichen sein.
Die überwiegenden berechtigten Interessen können auch darin liegen, dass die Compliance-Kultur und allgemein die interne Kultur des Verantwortlichen insgesamt verbessert werden soll und dass zugleich das Compliance-Management-Systems des Verantwortlichen kontinuierlich evaluiert und optimiert werden soll.
Erfüllung des Arbeitsvertragsverhältnisses
Die Datenverarbeitung kann auch zur Erfüllung des Arbeitsvertragsverhältnisses erfolgen, sofern die Datenverarbeitung dafür erforderlich ist.
Betriebsvereinbarung
Die Datenverarbeitung kann gegebenenfalls auch auf Basis einer geltenden Betriebs- bzw. Personalvereinbarung verarbeiten, die die Einführung und den Betrieb des Hinweisgebersystems regelt.
3.4 Wie lange werden Daten aufbewahrt?
Die im Rahmen der Entgegennahme und der anschließenden Bearbeitung von Meldungen und im Rahmen von Folgemaßnahmen erhobenen personenbezogenen Daten werden nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben gespeichert bzw. gelöscht. Dies bedeutet, dass die personenbezogenen Daten grundsätzlich dann gelöscht werden, wenn sie für die genannten Zwecke nicht mehr erforderlich sind.
Gesetzliche Aufbewahrungsvorschriften bzw. berechtigte Interessen des Verantwortlichen können jedoch eine längere Aufbewahrung der Daten rechtfertigen. Dies ist beispielsweise in Deutschland im Rahmen des Hinweisgeberschutzgesetzes (HinSchG) der Fall, das eine Aufbewahrung der Dokumentation der Meldungen für einen Zeitraum von drei Jahren nach Abschluss des jeweiligen Verfahrens vorsieht.
Entfällt der Verarbeitungszweck oder das berechtigte Interesse an der Speicherung oder läuft eine gesetzliche Aufbewahrungsfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften anonymisiert bzw. gelöscht.
3.5 An wen werden Daten übermittelt?
Übermittlung an Stellen außerhalb der internen Meldestelle
Die im Rahmen der internen Meldestelle verarbeiteten personenbezogenen Daten werden grundsätzlich nur innerhalb der internen Meldestelle verarbeitet. Eine Übermittlung an Dritte, unabhängig davon, ob es sich um Dritte innerhalb oder außerhalb des Verantwortlichen handelt, kommt nur in Betracht, sofern für eine solche Übermittlung eine gesetzliche Grundlage besteht.
Im Rahmen von Ermittlungen bzw. sonstiger Folgemaßnahmen kommt eine Übermittlung insbesondere an Gerichte, Behörden und sonstige öffentliche Stellen, an Dritte im Rahmen von Gerichtsverfahren, an Rechtsanwälte und sonstige Dienstleister, die im Rahmen der Folgemaßnahmen eingesetzt werden, an den zuständigen Betriebsrat und an verbundene Unternehmen in Betracht.
Es soll betont werden, dass das Vertraulichkeitsgebot im Rahmen des Hinweisgeberschutzes absolut zentral ist und eine Übermittlung an Dritte dementsprechend ausschließlich auf Basis einer gesetzlichen Grundlage und nur im Rahmen der unbedingten Erforderlichkeit erfolgt.
Übermittlung in Drittländer
Die Datenverarbeitung erfolgt grundsätzlich innerhalb der EU bzw. des EWR bzw. in Ländern, für die ein Angemessenheitbeschluss der EU-Kommission vorliegt. Das Hinweisgebersystem von Compliance.One wird in Deutschland gehostet und sämtliche im Rahmen der Zurverfügungstellung des Hinweisgebersystem eingesetzten Unterauftragsverarbeiter verarbeiten die Daten ausschließlich innerhalb der EU.
Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur im Falle der Erforderlichkeit im Rahmen von Folgemaßnahmen, insbesondere bei Ermittlungen in Drittländern bzw. im Rahmen eines Gerichtsverfahrens in einem Drittland. In diesen Fällen wird stets gewährleisten, dass für die Übermittlung geeignete Garantien gemäß Art. 46 DSGVO vorgesehen sind.
3.6 Auftragsverarbeitung und gemeinsame Verantwortlichkeit
Auftragsverarbeitung
Das Hinweisgebersystem wird von dem Dienstleister Compliance.One in Deutschland als Auftragsverarbeiter auf Basis einer Vereinbarung Auftragsverarbeitung gemäß Art. 28 DSGVO zur Verfügung gestellt.
Sofern das Hinweisgebersystem zentral für mehrere Gesellschaften bzw. Organisationen zur Verfügung gestellt wird, agiert die im Impressum der Hinweisgeberseite genannte Gesellschaft bzw. Organisation als Auftragsverarbeiter für die anderen Gesellschaften bzw. Organisationen, an die über die Hinweisgeberseite Meldungen abgegeben werden können. Compliance.One ist in diesem Fall entsprechend als Unterauftragsverarbeiter tätig.
Gemeinsame Verantwortlichkeit bei pseudonymen Meldungen
Im Rahmen der Entgegennahme von pseudonymen Meldungen werden die Informationen zur Identität der hinweisgebenden Person nur an den Dienstleister Compliance.One übermittelt. Der Dienstleister Compliance.One wahrt die Vertraulichkeit der Identität der hinweisgebenden Person auch gegenüber dem Verantwortlichen, an den die Meldung adressiert ist. Der Dienstleister Compliance.One wird in diesem Kontext gemeinsam mit dem Verantwortlichen, an den die Meldung adressiert ist, als gemeinsamer Verantwortlicher tätig. Der Dienstleister Compliance.One GmbH erfüllt dabei als Ansprechpartner der hinweisgebenden Person die Betroffenenrechte der hinweisgebenden Person gem. Art. 12 ff. DSGVO. Im Übrigen erfüllt der Verantwortliche die Betroffenenrechte.
Gemeinsame Verantwortlichkeit bei der ausgelagerten internen Meldestelle
Sofern die interne Meldestelle von dem Dienstleister Compliance.One als ausgelagerte interne Meldestelle betrieben wird, unterliegt der Dienstleister Compliance.One genau wie die interne Meldestelle einer strikten Verpflichtung zur Vertraulichkeit hinsichtlich der Identität der hinweisgebenden Person.
Der Dienstleister Compliance.One wird in diesem Kontext gemeinsam mit dem Verantwortlichen, an den die Meldung adressiert ist, als gemeinsamer Verantwortlicher tätig.
Der Dienstleister Compliance.One GmbH erfüllt in diesem Fall die Betroffenenrechte der Betroffenen.
4. LOGFILES
Bei jedem Aufruf der Hinweisgeberseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Endgeräts. Folgende Daten werden dabei protokolliert bzw. geloggt:
IP-Adresse des aufrufenden Endgeräts (gekürzt/anonymisiert)
Betriebssystem des aufrufenden Endgeräts
Browser-Version des aufrufenden Endgeräts
Name der abgerufenen Datei bzw. Website
Datum und Uhrzeit des Abrufs
Übertragene Datenmenge
Diese Daten werden verarbeitet, um die Hinweisgeberseite darstellen zu können, um die Sicherheit, Verfügbarkeit und Integrität der Hinweisgeberseite zu gewährleisten (z.B. Erkennung und Abwehr von DoS-Angriffen oder Zugriffen von Bots), um die Qualität und Darstellung der Hinweisgeberseite zu verbessern und um Fehler identifizieren und beheben zu können.
Diese Daten werden unverzüglich nach Aufruf der Hinweisgeberseite wieder gelöscht, es erfolgt keine Speicherung über den Zeitraum des Aufrufs hinaus.
Die Hinweisgeberseite wird bei einem Dienstleister in Deutschland gehostet (Hetzner GmbH als Unterauftragsverarbeiter der Compliance.One GmbH).
Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f) DSGVO. Unsere überwiegenden berechtigten Interessen sind, wie oben bereits dargestellt, die Darstellung der Hinweisgeberseite, die Gewährleistung von Sicherheit, Verfügbarkeit und Integrität der Hinweisgeberseite (z.B. Erkennung und Abwehr von DoS-Angriffen oder Zugriffen von Bots), die Verbesserung der Qualität und Darstellung der Hinweisgeberseite und die Identifikation und Behebung von Fehlern der Hinweisgeberseite.
5. NACHRICHTEN PER E-MAIL
Wenn die hinweisgebende Person ihre E-Mail-Adresse angegeben hat, werden im Rahmen der Bearbeitung von Meldungen E-Mail-Nachrichten an die hinweisgebende Person versandt, z.B. die gesetzlich vorgeschriebene Bestätigung des Eingangs der Meldung.
Für die Versendung dieser Nachrichten wird der externe Dienstleister Sendinblue GmbH in Deutschland als Unterauftragsverarbeiter des Dienstleisters Compliance.One auf Basis einer Vereinbarung Auftragsverarbeitung gemäß Art. 28 DSGVO eingesetzt.
Die Verarbeitung der im Rahmen der E-Mail-Versendung verarbeiteten personenbezogenen Daten erfolgt dabei ausschließlich in der EU.
6. FRIENDLY CAPTCHA
Auf der Hinweisgeberseite wird der Dienst Friendly Captcha der Friendly Captcha GmbH in Deutschland eingesetzt. Die Friendly Captcha GmbH wird als Unterauftragsverarbeiter des Dienstleisters Compliance.One auf Basis einer Vereinbarung Auftragsverarbeitung gemäß Art. 28 DSGVO eingesetzt.
Mit Friendly Captcha wird festgestellt, ob eine natürliche Person oder ein Bot eine bestimmte Eingabe in einem Formular vornimmt. Friendly Captcha erfasst im Rahmen dieses Vorgangs die IP-Adresse des anfragenden Endgeräts, um eine kryptografische Aufgabe an das Endgerät zu versenden. Diese Aufgabe wird im Hintergrund gelöst und sobald diese gelöst ist, erfolgt eine Bestätigung durch Friendly Captcha an den Server, dass es sich bei dem User um eine natürliche Person und nicht um einen Bot handelt. Friendly Captcha prüft dabei anhand folgender Daten, ob eine natürliche Person oder ein Bot eine Eingabe vornimmt: Anonymisierte IP-Adresse des anfragenden Rechners, Informationen über den verwendeten Browser sowie Betriebssystem, anonymisierten Zähler pro IP-Adresse zur Steuerung der kryptographischen Aufgaben, Website, von der aus der Zugriff stattgefunden hat (sog. Referrer-URL).
Rechtsgrundlage für die beschriebene Datenverarbeitung sind die überwiegenden berechtigten Interessen des Verantwortlichen an der Zurverfügungstellung und der Sicherheit der Hinweisgeberseite, konkret der Schutz vor automatisierten Eingaben und Angriffen durch Bots.
7. BETROFFENENRECHTE
Von einer Datenverarbeitung Betroffene haben die nachfolgend erläuterten Rechte im Hinblick auf die von dem Verantwortlichen verarbeiteten personenbezogenen Daten, die sie betreffen:
Recht auf Auskunft
Betroffene können Auskunft nach Maßgabe von Art. 15 DSGVO über ihre von dem Verantwortlichen verarbeiteten personenbezogenen Daten verlangen.
Recht auf Berichtigung
Sollten Angaben nicht (mehr) zutreffend sein, können Betroffene nach Art. 16 DSGVO eine Berichtigung verlangen. Sollten Daten unvollständig sein, kann eine Vervollständigung verlangt werden.
Recht auf Löschung
Betroffene können nach Maßgabe von Art. 17 DSGVO die Löschung ihrer personenbezogenen Daten verlangen.
Recht auf Einschränkung der Verarbeitung
Betroffene haben nach Maßgabe von Art. 18 DSGVO das Recht, eine Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Recht auf Widerspruch gegen die Verarbeitung
Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder lit. f) DSGVO erfolgt, nach Art. 21 Abs. 1 DSGVO Widerspruch einzulegen. Der Verantwortliche wird ihre Daten in diesem Fall nicht weiterverarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechten und Freiheiten der Betroffenen überwiegen, zudem, wenn die Verarbeitung der Geltendmachung und Ausübung von oder der Verteidigung gegen Rechtsansprüche dient (Art. 21 Abs. 1 DSGVO).
Recht auf Widerruf der Einwilligung
Soweit Betroffene für eine Verarbeitung ihre Einwilligung erteilt haben, steht ihnen nach Art. 7 Abs. 3 DSGVO ein Widerrufsrecht zu.
Recht auf Datenübertragbarkeit
Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten („Datenübertragbarkeit“) sowie das Recht auf Weiterübermittlung dieser Daten an einen anderen Verantwortlichen, wenn die Voraussetzung des Art. 20 Abs. 1 lit. (a) und (b) DSGVO vorliegen.
Ausübung der Rechte
Betroffene können ihre Rechte durch Mitteilung an den oben definierten Verantwortlichen geltend machen. Bei Vorliegen einer gemeinsamen Verantwortlichkeit (siehe oben, z.B. bei pseudonymisierten Meldungen bzw. gegebenenfalls bei einer ausgelagerten internen Meldestelle) können die Betroffenenrechte jeweils bei dem oben angegebenen Verantwortlichen geltend gemacht werden.
Recht auf Beschwerde bei den Datenschutzaufsichtsbehörden
Wenn Betroffene der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen gegen Datenschutzrecht verstößt, haben sie nach Art. 77 DSGVO das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.
8. PFLICHTANGABEN UND PROFILING
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben, es besteht auch keine Verpflichtung, personenbezogene Daten bereitzustellen. Eine automatisierte Entscheidungsfindung einschließlich eines Profiling wird nicht durchgeführt.
9. INFORMATIONSSICHERHEIT
Der Verantwortliche trifft dem Stand der Technik entsprechende angemessene technische und organisatorische Maßnahmen, um ein dem Risiko der jeweiligen Verarbeitung angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten und um die verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.
Die Hinweisgeberseite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-Verschlüsselung. Die im Rahmen des Hinweisgebersystems verarbeiteten Daten werden sowohl bei der Übermittlung („in transit“) wie auch bei der Speicherung („at rest“) verschlüsselt.
10. ÄNDERUNG DER DATENSCHUTZERKLÄRUNG
Eine gelegentliche Änderung bzw. Aktualisierung dieser Datenschutzerklärung bleibt ausdrücklich vorbehalten, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Für den Besuch der Hinweisgeberseite bzw. die Nutzung des Hinweisgebersystems gilt stets die jeweils aktuelle Datenschutzerklärung.