Nachfolgend informieren wir Sie über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen des Meldeprozesses, d.h. wenn Sie eine Beschwerde einreichen oder einen möglichen Compliance-Verstoß über einen unserer Meldekanäle melden oder ein Zeuge oder Beschuldigter sind. Diese Datenschutzhinweise gelten nicht für eine Meldung an die externe Meldestelle beim Bundesamt für Justiz, deren Datenverarbeitung wir nicht verantworten.
Bitte lesen Sie diese Datenschutzhinweise sorgfältig durch, bevor Sie eine Beschwerde bzw. Meldung abgeben.
I. Informationen zur verantwortlichen Stelle:
Bei Beschwerden oder Meldungen an die interne Meldestelle unter compliance-meldung@esolutions.de sowie bei Meldungen mit dem Schwerpunkt „Datenschutz“ an datenschutzbeauftragter@esolutions.de ist die e.solutions GmbH, Despagstr. 4a, 85055 Ingolstadt, die verantwortliche Stelle im Sinne der DSGVO, also jene Stelle, die über den Umgang mit Daten entscheidet.
Die e.solutions GmbH hat einen Datenschutzbeauftragten bestellt, an den Sie sich bei Fragen zum Thema Datenschutz gerne direkt wenden können:
Herr Dr. Carlo Piltz
PL Services GmbH
Südwestkorso 3
12161 Berlin
Tel: + 49 30 814 53 50 00
Fax: + 49 30 814 53 50 09
Mail: datenschutzbeauftragter@esolutions.de
Web: www.piltz.legal
Sofern Sie eine Beschwerde oder Meldung an unsere Ombudsstelle per E-Mail an compliance-meldung@ombudsstelle.net senden, geht diese an eine von der e.solutions GmbH getrennte eigenständig Verantwortliche: die Rechtsanwaltskanzlei Dr. Etzel Seifert Bär Rechtsanwälte PartmbB, Campestraße 10, 90419 Nürnberg. Die Datenschutzhinweise der Ombudsstelle finden Sie unter folgender URL: https://esb-compliance.de/datenschutz/. Sofern die Ombudsstelle die e.solutions GmbH über die Meldung informiert, ist ab dem Zeitpunkt des Erhalts der Informationen nur noch die e.solutions GmbH die verantwortliche Stelle für die Verarbeitung von darin enthaltenen personenbezogenen Daten.
II. Informationen zum Umfang und Zweck der Verarbeitung von personenbezogenen Daten
Wir stellen den Meldeprozess zur Verfügung, um Hinweise auf (mutmaßliche) Gesetzesverstöße, potenzielle Missstände im Unternehmen oder entlang der Lieferkette oder schwerwiegende Verletzungen interner Regelungen zu ermöglichen. Der Meldeprozess ist somit ein wichtiger Bestandteil zur Wahrung unserer Unternehmenswerte. Er dient der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden und Haftungsrisiken.
Bei Meldungen oder Beschwerden an die oben genannte interne Meldestelle sowie an den Datenschutzbeauftragten werden folgende personenbezogenen Daten erfasst und verarbeitet, sofern Sie uns oder der Ombudsstelle diese im Einzelfall mitteilen. In der Regel sind dies die folgenden Angaben und etwaig uns übersandte Dokumente und Beweise:
Wir nutzen die Daten aus Ihrer Meldung unter Wahrung der Vertraulichkeit im Rahmen der gesetzlichen Regelungen zur Prüfung der Meldung, d.h. zur Aufklärung des Sachverhalts, um gegebenenfalls Abhilfemaßnehmen, Sanktionen oder Präventionsmaßnahmen umsetzen zu können..
III. Rechtsgrundlagen der Verarbeitung von personenbezogenen Daten
Ihre Nutzung des Meldesystems erfolgt auf freiwilliger Grundlage, Rechtsgrundlagen für die Datenverarbeitung sind Art. 6 Abs. 1 c) DSGVO (zur Erfüllung einer rechtlichen Verpflichtung) und Art. 6 Abs. 1 f) DSGVO (zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten). Darüber hinaus sind wir aufgrund des Hinweisgeberschutzgesetzes („HinSchG“),des Lieferkettensorgfaltspflichtengesetzes („LkSG“) und der Bundesrechtsanwaltsordnung („BRAO“) zur Vornahme einer Reihe von Tätigkeiten einschließlich der Aufbewahrung der Informationen verpflichtet und diese Handlungen erfordern auch Verarbeitungen personenbezogener Daten.
Die Rechtsgrundlagen für die Datenverarbeitungen zur Erfüllung von Pflichten aus dem HinSchG sind Art. 6 Abs. 1 lit. c DSGVO i.Vm. §§ 8, 11 Abs. 1 und 5, 12 Abs. 1 HinSchG oder i.V.m. § 10 Satz 1 HinSchG und §§ 13 bis 18 HinSchG. Sofern wir im Anwendungsbereich des HinSchG besondere Kategorien personenbezogener Daten für der Erfüllung von Pflichten aus diesem Gesetz verarbeiten, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.Vm. Art. 9 Abs. 2 lit. b und g DSGVO i.V.m. § 10 Satz 2 HinSchG.
Die Rechtsgrundlagen für die Datenverarbeitungen, die der Erfüllung von Pflichten aus dem LkSG dienen, sind Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. §§ 5, 6, 8 und 10 LkSG.
Darüber hinaus verarbeiten wir auf Grundlage unserer berechtigten Interessen an der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen oder Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von materiellen und immateriellen Schäden und Haftungsrisiken auf Basis von Art. 6 Abs. 1 lit. f) DSGVO personenbezogene Daten. Sofern dabei auch besondere Kategorien personenbezogener Daten verarbeitete werden, ist die zusätzliche Rechtsgrundlage Art. 9 Abs. 2 lit. f DSGVO.
Die Verarbeitung von personenbezogenen Daten von Personen, die in einer Meldung oder Beschwerde erwähnt werden (bspw. Beschuldigte und Zeugen), erfolgt ebenfalls zur Wahrung unserer berechtigten Interessen, Gesetzesverstöße und Pflichtverletzungen im Unternehmen aufzudecken und abzustellen. Die Rechtsgrundlagen sind Art. 6 Abs. 1 c), f) DSGVO und § 10 HinSchG.
Sofern Sie uns separat Ihre Einwilligung zur Verarbeitung Ihrer Daten erteilen, ist die Rechtsgrundlage Art. 6 Abs. 1 a) DSGVO.
IV. Art und Dauer der Verarbeitung
Es ist nicht pauschal bestimmbar, wie lange genau jegliche Kategorien von Daten gespeichert werden, da hierfür eine Einzelfallbetrachtung notwendig ist. Ihre personenbezogenen Daten werden vorwiegend intern und nach dem Stand der Technik sicher verarbeitet. Sie werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse des Unternehmens oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Die Dauer der Speicherung Ihrer personenbezogenen Daten wird insbesondere nach gesetzlichen Aufbewahrungspflichten festgelegt. Als Maßstab für die Festlegung der Speicherdauer dient uns die Erforderlichkeit der weiteren Speicherung, um die oben festgelegten Zwecke erfüllen zu können. Dies ist mindestens so lange, wie es dauert, Ihre Meldung oder Beschwerde zu bearbeiten. Da die bei unserer internen Meldestelle tätigen Mitarbeiter als Syndikusrechtsanwälte zugelassen sind, unterliegen sie den gesetzlichen Aufbewahrungsfristen aus § 50 Abs. 1 BRAO. Nach Abschluss der Bearbeitung eines gemeldeten potenziellen Verstoßes speichern wir daher die mit der Meldung im Zusammenhang stehenden Daten im Einklang mit § 50 Abs. 1 BRAO für 6 Jahre. Sofern uns mitgeteilte Daten für die Bearbeitung eines Hinweises offensichtlich nicht relevant sind, werden wir solche Daten zeitnah nach Kenntnis der Irrelevanz löschen.
V. Empfänger der Daten und Quellen der Daten
Zu den Empfängern einiger Daten von Hinweisgebern zählen – sofern eine Weitergabe rechtlich erforderlich ist – die Beschuldigten und Zeugen, die von Hinweisgebern benannt wurden. Außerdem kann es vorkommen, dass wir Daten zu Hinweisgebern, Beschuldigten und Zeugen an Rechtsberater weitergeben oder Daten einer Ermittlungsbehörde oder Gerichten zur Verfügung stellen. Für die Bearbeitung von Hinweismeldungen bei uns intern nutzen wir unterstützende Systeme, deren Anbieter ebenfalls Empfänger der Daten sind.
Wenn Sie ein Beschuldigter oder Zeuge sind, dann ist die Quelle der Daten zu Ihrer Person vor allem der Hinweisgeber. Sofern sich ein Hinweisgeber an die Ombudsstelle wendet, so ist die Quelle der Daten zum Hinweisgeber, zu Beschuldigten und Zeugen die Ombudsstelle.
VI. Ihre Rechte in Bezug auf Ihre personenbezogenen Daten
Sie haben nach Art. 15 DSGVO das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden und ein Recht auf Auskunft über diese personenbezogenen Daten und weitere Informationen. Sie haben auch das Recht, unverzüglich nach Art. 16 DSGVO die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Zudem haben Sie das Recht zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern eine der in Art. 17 Abs. 1 DSGVO benannten Voraussetzungen vorliegt. Auch haben Sie das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen gegeben ist, und nach Art. 20 DSGVO ein Recht auf Datenübertragbarkeit.
Schließlich haben Sie nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO oder nationale Vorgaben der Mitgliedstaaten verstößt. Die für e.solutions GmbH zuständige Aufsichtsbehörde ist: Bayerisches Landesamt für Datenschutzaufsicht, Promenade 27 (Schloss), 91522 Ansbach.
Sie haben nach Art. 21 DSGVO ein Widerspruchsrecht gegen die Verarbeitung, sofern die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgt. Sollten Sie von Ihrem Widerspruchsrecht Gebrauch machen, verarbeitet der Verantwortliche Ihre personenbezogenen Daten nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung auf Seiten des Verantwortlichen vor, die Ihre Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Erfolgt die Verarbeitung Ihrer Daten auf der Grundlage einer Einwilligung, haben Sie nach Art. 7 Abs. 3 DSGVO das Recht, die Einwilligung jederzeit, mit Wirkung für die Zukunft, zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Bitte beachten Sie, dass in diesem Fall aber eventuell eine Verarbeitung der betreffenden Daten in der Zukunft nicht mehr möglich sein wird.