Skip to main content
  • Krebs Consulting & IT-Services
    GmbH & Co.KG
    Am Stift 4-6
    44263 Dortmund

  • +49-231-477320-0

  • +49-231-477320-50

  • info@krebs-consulting.de

  • Kontaktformular

INFORMATIONSPFLICHTEN

Art 13 Datenschutz-Grundverordnung (DSGVO)

Verantwortlicher

Die Internetseite wird herausgegeben durch Krebs Consulting & IT-Services GmbH & Co.KG.

Weitere Informationen entnehmen Sie bitte dem Impressum.

Datenschutzbeauftragter

Fragen, Anregungen, Kritik oder Beschwerden zum Datenschutz richten Sie bitte an:
Datenschutzbeauftragter
Krebs Consulting & IT-Services GmbH & Co.KG
Am Stift 4 – 6 | 44263 Dortmund
eMail: datenschutz@krebs-itservices.de

Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie aller weiteren maßgeblichen Gesetze.

Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, ist die jeweilige Einwilligung Rechtsgrundlage für die dort genannte Verarbeitung. Sie können diese Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen gemäß Art. 21 DSGVO. Der Widerruf wirkt nur für zukünftige Verarbeitungen.

Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO)

Wir verarbeiten Ihre Daten zur Durchführung unserer Vertragsbeziehung mit Ihnen. Die Zwecke der Datenverarbeitung richten sich im Einzelnen nach dem konkreten Produkt und den Vertragsunterlagen.

Zur Erfüllung von gesetzlichen Auflagen (Art. 6 Abs. 1 lit. c DSGVO)

Wir verarbeiten Ihre Daten zur Erfüllung einer rechtlichen Verpflichtung, der wir als Verantwortlicher unterliegen.

Zur Sicherstellung lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)

Wir verarbeiten Ihre Daten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)

Des Weiteren kann eine Verarbeitung außerdem auf Basis einer Interessenabwägung zur Wahrung der berechtigten Interessen des Verantwortlichen oder von Dritten erfolgen. Unser Interesse an der jeweiligen Verarbeitung ergibt sich aus den jeweiligen Zwecken und wie beispielsweise zur effiziente Aufgabenerfüllung, Vertrieb, Vermeidung von Rechtsrisiken. Soweit es der konkrete Zweck ermöglicht wahren wir den Grundsatz der Datenminimierung und verarbeiten Ihre Daten in pseudonymisierter oder anonymisierter Form.

Allgemeines zur Datenverarbeitung

Im Rahmen unserer Geschäftsbeziehung müssen Sie nur die jenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung einer Geschäftsbeziehung erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind.
Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages oder die Ausführung des Auftrages ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.

Eine Weitergabe Ihrer Daten erfolgt nur soweit eine Rechtsgrundlage dies gestattet. Innerhalb unseres Unternehmens erhalten nur die Personen und Stellen (z.B. IT, Vertrieb, HR, Marketing, Dozent) Ihre personenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen.

Des Weiteren kann eine Übermittlung der personenbezogenen Daten an Empfänger außerhalb des Unternehmens erfolgen, soweit dies zur Erfüllung der vertraglichen und gesetzlichen Pflichten als Verantwortlicher erforderlich ist, wie:

  • Von uns eingesetzte Auftragsverarbeiter (Art. 28 DSGVO) insbesondere im Bereich IT-Dienstleistungen und Verwaltung die Ihre Daten weisungsgebunden für uns verarbeiten.
  • Gemeinsam mit uns Verantwortliche (Art 26 DSGVO) soweit es für die Aufgabenerfüllung erforderlich ist
  • Öffentliche Stellen und Institutionen (z.B. Aufsichtsbehörden, usw.)

Sollten wir personenbezogene Daten an Dienstleister außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt die Übermittlung nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere angemessene Datenschutzgarantien (z.B. verbindliche unternehmensinterne Datenschutzvorschriften oder EU-Standardvertragsklauseln (inkl. Transfer Folgenabschätzung)) vorhanden sind.

Soweit erforderlich, verarbeiten wir Ihre personenbezogenen Daten für die Dauer unserer Geschäftsbeziehung, was auch die Anbahnung und Abwicklung eines Vertrags umfasst. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) oder anderen gesetzlich vorgegebenen Fristen ergeben.

Datenverarbeitung – Kontaktformular

Allgemeines zur Datenverarbeitung

Wir bieten auf unserer Internetseite ein Kontaktformular an, über das Sie Informationen zu unseren Produkten oder Dienstleistungen anfordern oder allgemein Kontakt aufnehmen können. Die von Ihnen zwingend zur Beantwortung einer Anfrage erforderlichen Daten haben wir als Pflichtfelder gekennzeichnet. Angaben zu weiteren Datenfeldern sind freiwillig.

Wir benötigen diese Angaben, um Ihre Anfrage zu bearbeiten, Sie korrekt anzusprechen und Ihnen eine Antwort zukommen zu lassen. Die Datenverarbeitung erfolgt bei konkreten Anfragen zur Erfüllung eines Vertrages bzw. der Vertragsanbahnung. Bei allgemeinen Anfragen erfolgt die Verarbeitung auf Basis einer Interessenabwägung.

Kategorien der personenbezogenen Daten:
Pflichfelder:
– E-Mail
– Nachricht

Optinal:
– Unternehmen
– Unternehmensgröße
– Name

Herkunft der personenbezogenen Daten:
Ihre personenbezogenen Daten werden direkt bei Ihnen erhoben.

Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt mit Ihrer Einwilligung oder auf Basis einer gesetzlichen Erlaubnis.

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, ist Art. 6 Abs. 1 lit. a) EU-Datenschutzgrundverordnung (DS-GVO) Rechtsgrundlage der Verarbeitung. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, ist Art. 6 Abs. 1 lit. b) DS-GVO die Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung von vorvertraglichen Maßnahmen erforderlich sind.

Dauer der Speicherung

Unabhängig von einem möglichen Widerruf Ihrer Einwilligung verarbeiten und speichern wir Ihre personenbezogenen Daten, solange und soweit es für die Erfüllung der jeweiligen Zwecke erforderlich ist.

Sind Ihre Daten für die genannten Zwecke nicht mehr erforderlich, werden diese regelmäßig gelöscht. Dies geschieht unter Berücksichtigung bestehender gesetzlicher Aufbewahrungsfristen sowie u. a. Verpflichtungen nach dem Handelsgesetzbuch (§ 89b HGB).

Datenverarbeitung – Newsletter

Allgemeines zur Datenverarbeitung

Die eingegebene E-Mail-Adresse verwenden wir ausschließlich zum Versand des Newsletters. Kategorien der personenbezogenen Daten: – E-Mail-Adresse Herkunft der personenbezogenen Daten: Ihre personenbezogenen Daten werden direkt bei Ihnen erhoben.

Rechtsgrundlage für die Datenverarbeitung

Die Bestellung und die Eingabe der E-Mail-Adresse stellt die Rechtsgrundlage dar, auf der wir die personenbezogenen Daten verarbeiten (Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO).

Dauer der Speicherung

Die Speicherung der Daten erfolgt bis auf Widerruf, somit bis zur Abbestellung des Newsletters.

Widerruf
Die Einwilligung in die Übersendung des Newsletters kann jederzeit widerrufen werden. In jedem Newsletter befindet sich ein Link, über den man den Newsletter abbestellen kann. Die angegebenen Daten werden dabei gelöscht.

Datenverarbeitung – HINWEISGEBERSYSTEM

Allgemeines zur Datenverarbeitung

Verfahren zum Schutz der Hinweisgeber und der bei der Aufklärung mitwirkenden Personen im Hinweisgebersystem und Information zum Umgang mit personenbezogenen Daten

  1. Meldung an den Ombudsmann

1.1 Jede Meldung wird dokumentiert.

Schriftliche und elektronische Meldungen werden vom Ombudsmann zugriffsgeschützt aufbewahrt bzw. gespeichert.

Für mündliche Meldungen gilt folgendes:

  • Mit Einwilligung des Hinweisgebers werden mündliche Meldungen (z.B. per Telefon) dauerhaft und abrufbar in einer Tonaufzeichnung gespeichert. Alternativ zur Speicherung kann eine vollständige und genaue Niederschrift des Gesprächs durch den Ansprechpartner erfolgen.
  • Erfolgt keine Tonaufzeichnung der mündlichen Meldung, kann ein Gesprächsprotokoll durch den Ansprechpartner angefertigt werden.

Für persönliche Zusammenkünfte gilt folgendes:

  • Erfolgt ein Treffen mit dem Hinweisgeber, kann auch hier mit Einwilligung des Hinweisgebers eine Tonaufzeichnung angefertigt und diese dauerhaft und abrufbar gespeichert oder alternativ ein Protokoll angefertigt werden.

Der Hinweisgeber muss die Möglichkeit erhalten, Niederschriften bzw. Protokolle von mündlichen Meldungen bzw. persönlichen Zusammenkünften zu prüfen, ggf. zu korrigieren und durch seine Unterschrift zu bestätigen.

Zu der Meldung wird zudem dokumentiert, welche weiteren Schritte vorgenommen wurden. Ist der Ombudsmann der Auffassung, dass weitere Ermittlungen erfolgen sollten, dokumentiert er auch dies und leitet die Informationen an den vertraglich festgelegten Ansprechpartner beim Unternehmen weiter.

1.2 Jede Meldung wird vertraulich und unter Berücksichtigung der geltenden Datenschutzgesetze behandelt. Insbesondere ist sichergestellt, dass die Vertraulichkeit der Identität des Hinweisgebers und betroffener Personen gewahrt bleibt und nur zugriffsberechtigte Mitarbeiter des Unternehmens Zugriff auf diese Daten erhalten.

Der Hinweisgeber erhält er innerhalb von sieben Tagen nach Zugang der Meldung eine Bestätigung über deren Eingang.

1.3 Hat der Ombudsmann die Meldung entgegengenommen und ist er der Auffassung, dass Folgemaßnahmen ergriffen werden sollten, wird er dies dokumentieren und dem Hinweisgeber mitteilen. Er wird nach entsprechender vorheriger Freigabe durch den Hinweisgeber die Informationen an die beim Unternehmen zuständige Stelle weiterleiten. Den Namen des Hinweisgebers wird er ebenfalls nur nach dessen entsprechender Freigabe gegenüber dem Unternehmen offenlegen.

  1. Folgemaßnahmen beim Unternehmen

2.1 Die beim Unternehmen zuständige Stelle ergreift nach Mitteilung durch den Ombudsmann die Folgemaßnahmen bzw. führt interne Ermittlungen durch.

2.2 Mitarbeiter sind verpflichtet, die für die Untersuchung zuständige Stelle bei ihren Ermittlungen zu unterstützen und nach bestem Gewissen an der Aufklärung des Verdachts mitzuwirken. Sie sind zur Vertraulichkeit verpflichtet. Die Mitarbeiter sind nicht verpflichtet, Informationen mitzuteilen, die sie selbst belasten würden.

2.3 Die ermittelten Informationen werden dokumentiert, wobei nur die erforderlichen Daten erhoben und verarbeitet werden. Soweit aufgrund der ermittelten Ergebnisse erforderlich, werden die weiteren zuständigen Stellen, die Entscheidungsberechtigten sowie im Anschluss ggf. die Behörden eingeschaltet und die entsprechenden Daten an diese übermittelt.

2.4. Die Untersuchung wird zeitlich so schnell wie im angemessenen Rahmen möglich durchgeführt.

2.5. Der Hinweisgeber wird von der für die Untersuchung zuständigen Stelle über den Fortlauf des Verfahrens bzw. die Folgemaßnahmen informiert. Die Rückmeldung an den Hinweisgeber erfolgt maximal drei Monate nach Bestätigung des Eingangs der Meldung bzw. – sollte in Ausnahmefällen keine Bestätigung erfolgt sein – drei Monate nach Ablauf der Frist von sieben Tagen nach Eingang der Meldung.

2.6. Stellt sich eine Meldung als falsch heraus oder kann sie nicht ausreichend mit Fakten belegt werden, wird dies entsprechend dokumentiert und das Verfahren unverzüglich eingestellt.

2.7. Für die betroffene Person dürfen keine Konsequenzen entstehen, insbesondere wird der Vorgang nicht in der Personalakte dokumentiert.

2.8. Das Unternehmen wird sich im Übrigen bemühen, die Ergebnisse und Vorschläge einer jeden Untersuchung so zu nutzen, dass ein Fehlverhalten, soweit dies nach den bestehenden Umständen möglich ist, korrigiert werden kann.

  1. Schutz des Hinweisgebers und der bei der Aufklärung mitwirkenden Personen

3.1. Der Hinweisgeber sowie jede Person, die an der Aufklärung mitwirken soll, sind vor den weiteren Verfahrensschritten einmalig zu belehren über

–           das Verfahren,

–           das Recht, sich nicht selbst belasten zu müssen;

–           den Vorwurf, zu dem ermittelt werden soll, soweit es für die Befragung erforderlich ist.

3.2. Die Belehrung ist zu dokumentieren. Die Belehrung ist zu unterzeichnen, sofern sie nicht telefonisch erfolgt.

3.3. Der Schutz eines Hinweisgebers wird durch die vertrauliche Behandlung seiner Identität gewährleistet. Sofern er seine Kontaktdaten mitteilt, werden diese nur unter Berücksichtigung der datenschutzrechtlichen Vorgaben gespeichert und genutzt. Ihm werden bei einer Erhebung seiner Daten sowohl die Zwecke der Datenspeicherung als auch -nutzung mitgeteilt. Gleiches gilt, wenn seine Daten an andere Stellen aufgrund einer gesetzlichen oder gerichtlichen Anordnung übermittelt werden sollen.

3.4 Grundsätzlich wird der Name des Hinweisgebers nicht bekannt gegeben. Abweichendes kann gelten, wenn der Hinweisgeber die Offenlegung seiner Identität freigibt oder eine entsprechende Rechtspflicht aufgrund eines Gesetzes oder einer behördlichen Anordnung, z. B. der Staatsanwaltschaft, besteht. Der Hinweisgeber wird in jedem Fall vorab von der Offenlegung seiner Identität unterrichtet, sofern dies nicht durch die Staatsanwaltschaft oder ein Gericht untersagt wird. In einem solchen Fall wird die Information nach Wegfall des Grundes unverzüglich nachgeholt. Gleiches gilt für Personen, die an der Aufklärung des Verdachts mitgewirkt haben.

3.5 Sofern der Hinweisgeber im Rahmen der Meldung seine Identität bewusst mitteilt, gewollt darlegt bzw. die Offenlegung seiner Identität gestattet, besteht für den Ombudsman grundsätzlich die Möglichkeit das Unternehmen innerhalb eines Monats nach erfolgter Meldung bezüglich der Identität den Hinweigeber ion Knntnis zu setzen wenn nicht berechtigte Geheimhaltungsinteressen, insbesondere laufende Ermittlungsmaßnahmen, dem entgegenstehen. Der Hinbweisgeber kann bis zum Ablauf dieser Frist seine entsprechende Einwilligung gegenüber dem Unternehmen widerrufen und damit die Mitteilung seiner Identität unterbinden.

3.6 Jeder Hinweisgeber, der eine Meldung in gutem Glauben abgibt oder an der Aufklärung eines entsprechenden Verdachts mitwirkt, muss nicht aufgrund der Meldung an sich bzw. der Mitwirkung an der Meldung mit negativen Konsequenzen bzw. Repressalien rechnen (z.B. Suspendierung, Kündigung, Herabstufung, Aufgabenverlagerung, schlechte Beurteilungen, Disziplinarmaßnahmen oder Diskriminierung). Ebenso wenig ist die Androhung oder der Versuch von Repressalien zulässig.

Dies gilt auch für Mittler, Dritte, die mit dem Hinweisgeber in Verbindung stehen und im beruflichen Kontext Repressalien erleiden könnten bzw. Unternehmen, die im Eigentum des Hinweisgebers stehen, für die er arbeitet oder mit denen er in einem beruflichen Kontext in Verbindung steht.

Sollte sich trotz des oben aufgeführten Verbots, ein solcher Vorfall ereignen, kann dieser entsprechend über die dort vorgesehenen Meldewege mitgeteilt werden. Jegliche Benachteiligung, Diskriminierung, Belästigung oder ähnliches wird seitens des Unternehmens nicht geduldet. Das Unternehmen prüft die Umstände des jeweiligen Falles und kann vorübergehende oder dauerhafte Maßnahmen ergreifen, um den Hinweisgeber, etc. zu schützen und die Interessen des Unternehmens zu wahren. Das Unternehmen informiert die Betroffenen schriftlich über das Ergebnis der jeweiligen Untersuchung.

Jeder Mitarbeiter oder Vorgesetzte, der gegen dieses Verbot von Repressalien verstößt, muss mit disziplinarischen Maßnahmen rechnen, die im äußersten Fall zu seiner Entlassung führen können.

3.7 Jeder ist aufgefordert, Missstände, Fehlverhalten etc. zu melden. Der Hinweisgeber sollte dabei darauf achten, dass er die Fakten objektiv, akkurat und vollständig darstellt. Persönliche Erfahrungen, mögliche Vorurteile oder subjektive Auffassungen sollten als solche kenntlich gemacht werden.

Eine Meldung sollte in gutem Glauben erfolgen. Ergibt die Überprüfung des Hinweises, dass bspw. kein begründeter Verdacht besteht oder die Fakten nicht ausreichen, um einen Verdacht zu erhärten, haben Hinweisgeber, die einen Hinweis gutgläubig melden, keine disziplinarischen Maßnahmen zu befürchten.

Anderes gilt für Hinweisgeber, die das Hinweisgebersystem bewusst für falsche Meldungen missbrauchen; diese müssen mit disziplinarischen Maßnahmen rechnen. Auch eine Beeinträchtigung des Hinweisgebersystems durch bspw. Manipulation, Vertuschung oder der Bruch von Absprachen betreffend die Vertraulichkeit können disziplinarische Maßnahmen nach sich ziehen. Als Maßnahmen kommen bspw. Abmahnungen oder Kündigungen in Betracht. Daneben kann dies zivilrechtliche oder strafrechtliche Folgen nach sich ziehen.

  1. Schutz der gemeldeten Person

4.1. Informationsrecht

Jede von einem Hinweis betroffene Person wird zu gegebener Zeit und unter Berücksichtigung der datenschutzrechtlichen Vorgaben über die gegen sie gerichteten Verdachtsäußerungen benachrichtigt, sofern diese Benachrichtigung nicht den Fortgang des Verfahrens zur Feststellung des Sachverhalts bzw. die Durchführung der Folgemaßnahmen erheblich erschweren würde. Die Benachrichtigung erfolgt spätestens nach Abschluss der Ermittlungen bzw. wenn die Ermittlungen nicht mehr gefährdet werden können.

Die Benachrichtigung enthält in der Regel Informationen über

  • den Namen des Verantwortlichen und die Kontaktdaten des Datenschutzbeauftragten,
  • die Einzelheiten der eingereichten Meldung,
  • die Zwecke der Verarbeitung,
  • die Rechtsgrundlage für die Verarbeitung sowie die berechtigten Interessen der des Untzernehmens, die der Verarbeitung zugrunde liegen,
  • die Kategorien der personenbezogenen Daten, die verarbeitet werden,
  • die Abteilungen, die über die Meldung informiert sind sowie die zum Zugriff auf die Daten berechtigten Personen,
  • die Empfänger bzw. Kategorien der Empfänger,
  • die Absicht, die Daten an einen Empfänger mit Sitz in einem unsicheren Drittland zu übermitteln sowie die Rechtsgrundlage für die Übermittlung,
  • den Hinweisgeber bzw. die Quelle, soweit dieser der Offenlegung seiner Daten zugestimmt hat oder dies zur Wahrung der Interessen der betroffenen Person erforderlich ist,
  • die Dauer der Speicherung der Daten bzw. die Kriterien für die Festlegung der Dauer,
  • die Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung oder Löschung bzw. etwaige Widerspruchsrechte,
  • Beschwerderechte bei der Aufsichtsbehörde.

4.2 Recht zur Stellungnahme

Die betroffene Person ist von der zuständigen Stelle des Unternehmens bzw. den Entscheidungsberechtigten anzuhören, bevor am Ende des oben erläuterten Verfahrens Schlussfolgerungen unter namentlicher Benennung der Person gezogen werden. Ist eine Anhörung aus objektiven Gründen nicht möglich, fordert die zuständige Stelle bzw. fordern die Entscheidungsberechtigten die betroffene Person auf, ihre Argumente schriftlich zu formulieren. Im Anschluss beschließen die Entscheidungsberechtigten die im Interesse des Unternehmens notwendigen Maßnahmen.

4.3 Recht auf Löschung

Bestätigt sich der in der Meldung geltend gemachte Verdacht nicht, hat die betroffene Person ein Recht auf Löschung ihrer in diesem Zusammenhang vom Unternehmen gespeicherten Daten.

4.4 Weitere Rechte

4.4.1 Recht auf Auskunft

Sämtliche Personen, deren Daten im Rahmen des Verfahrens vom Unternehmen verarbeitet werden (z.B. der Hinweisgeber, die betroffene Person oder die bei der Aufklärung mitwirkenden Personen), haben grundsätzlich das Recht, vom Unternehmens nach Art. 15 DSGVO Auskunft über die von des Unternehmensüber sie gespeicherten Daten und weitere Informationen, wie z.B. die Verarbeitungszwecke oder die Empfänger der Daten zu verlangen. Das Recht besteht nicht, wenn durch die Auskunft Informationen offenbart werden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.

4.4.2 Recht auf Berichtigung, Sperrung und Löschung

Sämtliche Personen, deren Daten im Rahmen des Verfahrens von des Unternehmensverarbeitet werden (z.B. der Hinweisgeber, die betroffene Person, die Mittler oder andere bei der Aufklärung mitwirkenden Personen), haben das Recht auf Berichtigung ihrer unrichtigen Daten, das Recht auf deren Vervollständigung, das Recht, die Sperrung ihrer Daten oder deren Löschung zu verlangen, sofern dafür die Voraussetzungen nach Art. 16 ff. DSGVO vorliegen. Ein Löschungsverlangen ist z.B. berechtigt, wenn die Daten unrechtmäßig verarbeitet wurden oder die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden.

4.4.3 Benachrichtigung der Empfänger

Wenn das Unternehmen die Daten an einen Dritten weitergegeben hat, wird es den Empfänger der Daten im Einklang mit den gesetzlichen Regelungen über die Berichtigung, Löschung oder Sperrung der Daten benachrichtigen.

4.4.4 Widerrufs- und Widerspruchsrechte

Erfolgt die Verarbeitung auf Grundlage einer Einwilligung, kann diese grundsätzlich jederzeit ohne Begründung widerrufen werden. Für die Einwilligung eines Hinweisgebers gelten abweichend die Regelungen in Ziffern 3.3. bis 3.5.

Werden Daten auf Grundlage von berechtigten Interessen des Unternehmens verarbeitet, kann die von dieser Verarbeitung betroffene Person jederzeit aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung ihrer Daten beim Unternehmens Widerspruch einlegen. Das Unternehmen wird dann entweder überwiegende schutzwürdige Gründe, die die Verarbeitung erlauben, nachweisen oder es verarbeitet die Daten nicht mehr. Für die Zeit dieser Überprüfung erfolgt eine Sperrung der Daten für diese Zwecke.

4.4.5 Beschwerderecht

Sowohl der Hinweisgeber als auch die betroffene Person können sich bei Hinweisen auf Verletzung dieser Richtlinie an den Ombudsmann oder ein anderes Mitglied der Geschäftsführung des Unternehmens wenden. Die Hinweise werden überprüft und an die zuständigen Stellen zur weiteren Aufklärung und Einleitung von Folgemaßnahmen weitergeleitet.

Sowohl der Hinweisgeber als auch die betroffene Person können sich weiter an ein anders Mitglied der Geschäftsführung des Unternehmens oder den DSB wenden, wenn sie die durchgeführten Ermittlungen für fehlerhaft bzw. unzureichend halten oder sie nach ihrer Auffassung im Rahmen der Ermittlungen ungerechtfertigt benachteiligt werden. Die erforderlichen Maßnahmen zur Überprüfung der Angelegenheit werden in diesem Fall eingeleitet und der Beschwerdeführer entsprechend informiert.

4.4.6 Aufsicht

Sofern ein Betroffener der Ansicht ist, dass das Unternehmen die Daten nicht im Einklang mit dem geltenden Datenschutzrecht verarbeitet, kann er Beschwerde bei einer Datenschutzaufsichtsbehörde einlegen. Die Beschwerde kann insbesondere gegenüber einer Behörde in dem Mitgliedsstaat seines Aufenthaltsorts, seines Arbeitsplatzes oder dem Ort des mutmaßlichen Verstoßes erfolgen.

Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung der Daten erfolgt auf Grundlage des Art. 6 Abs. 1 lit. f sowie Art 6 Abs.1 lit c DSGVO für berechtigte Interessen des Unternehmens, die gegenüber den Interessen des jeweils Betroffenen überwiegen. Berechtigte Interessen sind die Sicherstellung der Compliance beim Unternehmen; dazu zählt die Aufdeckung und Aufklärung von betrieblichen Missständen, unternehmensschädigendem Verhalten, Wirtschaftskriminalität u.ä. sowie der Schutz der Mitarbeiter, Geschäftspartner, Kunden etc.

Bei Beschäftigten kann sich die Rechtsgrundlage für die Verarbeitung der Daten auch aus § 26 Abs. 1 Satz 2 BDSG ergeben, wenn zu dokumentierende tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Verarbeitung überwiegu. Ansonsten basiert die Verarbeitung auf einer rechtlichen Verpflichtung der der Verantwortliche unterliegt.

Erteilt ein Hinweisgeber seine Einwilligung in die Offenlegung seiner Daten, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a, Art. 7 DSGVO bzw. § 26 Abs. 2 BDSG. Die infolge einer Meldung erhobenen Daten der gemeldeten Person werden getrennt von ihren übrigen bei des Unternehmensgespeicherten Daten aufbewahrt. Durch entsprechende Berechtigungssysteme und angemessene technisch-organisatorische Maßnahmen ist sichergestellt, dass nur die jeweils zuständigen Personen Zugriff auf diese Daten erlangen. Dies gilt auch für die Daten des Hinweisgebers.

Die Daten werden lediglich an berechtigte Personen übermittelt und nur soweit dies für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist. Bei den Empfängern der Daten handelt es sich um interne Stellen, die bei den Ermittlungsmaßnahmen eingebunden werden müssen, externe Stellen wie den Ombudsmann bei Beschwerden oder Polizeibehörden und staatliche Stellen und Behörden im Rahmen der Ermittlungsmaßnahmen.

Für die Verarbitung von personenbezogenen Daten im Hinweisgeberschutzgesetz gilt als primäre Rechtsgrundlage Art 6 (1) lit c DSGVO

Dauer der Speicherung

Die Speicherdauer der Daten berträgt maximal 3 Jahre nach letztmaligem Kontakt mit dem Hinweisgeber gem. der gesetzlichen Vorschriften. Sofern und soweit Daten auch nach Ablauf der üblichen Speicherdauer aufbewahrt werden, erfolgt diese Verarbeitung auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen des Unternehmens, die gegenüber den Interessen des jeweils Betroffenen überwiegen. Berechtigte Interessen sind hier die Geltendmachung, die Ausübung eigener oder die Verteidigung gegen Rechtsansprüche, wobei hier im Einzelfall die Speicherdauer zu bestimmen ist.

Datenverarbeitung – Bewerber

Allgemeines zur Datenverarbeitung

Ihre Daten werden nach Eingang Ihrer Bewerbung von der Personalabteilung gesichtet. Geeignete Bewerbungen werden dann intern an die Vorgesetzten der betreffenden Fachabteilungen weitergeleitet. Alle mit dem Bewerbungsprozess betrauten Mitarbeiter sind verpflichtet, die Vertraulichkeit Ihrer personenbezogenen Daten zu wahren.

Wir erheben und verarbeiten Ihre personenbezogenen Daten nur zur Bearbeitung ihrer Bewerbung und für Zwecke, die sich durch eine mögliche zukünftige Beschäftigung bei dem Verantwortlichen ergeben. Es erfolgt zu keinem Zeitpunkt eine Übermittlung an Dritte.

Kategorien der personenbezogenen Daten:
Wir erheben die von Ihnen übermittelten personenbezogenen Daten zu den gehören insbesondere aber nicht abschließend:

  • Stammdaten (wie Vorname, Nachname, Namenszusätze, Staatsangehörigkeit)
  • Kontaktdaten (wie private Anschrift, E-Mail, Telefonnummer)
  • Bewerbungsunterlagen wie Zeugnisse, Lebenslauf, Anschreiben, Hochschulabschluss, Berufsausbildung, eingereichte Unterlagen usw.
  • Personalausweiskopien (soweit für die Vertragserfüllung notwendig).
  • Hierunter können auch besondere Kategorien personenbezogener Daten wie Gesundheitsdaten fallen.
  • Korrespondenz (z. B. Schriftverkehr mit Ihnen)

Herkunft der personenbezogenen Daten:
Ihre personenbezogenen Daten werden in aller Regel direkt bei Ihnen im Rahmen des Bewerbungs-/ Einstellungsprozesses erhoben. In bestimmten Konstellationen werden aufgrund gesetzlicher Vorschriften Ihre personenbezogenen Daten auch bei anderen Stellen erhoben. Daneben können wir Daten von Dritten (z.B. Stellenvermittlung) erhalten haben.

Rechtsgrundlage für die Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der Bestimmungen DSGVO, des BDSG sowie aller weiteren maßgeblichen Gesetze.
In erster Linie dient die Datenverarbeitung der Begründung des Beschäftigungsverhältnisses. Die vorrangige Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit a und b DSGVO i. V. m. § 26 Abs. 1 BDSG.

Eine weitere Rechtsgrundlage stellt Ihre Einwilligung nach § 51 BDSG dar, die Sie uns konkludent durch Einreichen Ihrer Bewerbung gegeben haben.

Dauer der Speicherung

Sollten wir Ihnen keine Beschäftigung anbieten können, werden wir Ihre Bewerberdaten nach Abschluss des Bewerbungsverfahrens sechs Monate zu dem Zweck aufbewahren, eventuelle Fragen im Zusammenhang mit Ihrer Bewerbung beantworten zu können. Eine Löschung der Daten erfolgt ausnahmsweise nicht, sofern gesetzliche Bestimmungen einer Löschung entgegenstehen, die weitere Speicherung zum Zwecke der Beweisführung erforderlich ist oder Sie einer längeren Speicherung ausdrücklich zugestimmt haben.

Falls Ihre Bewerbungsunterlagen für die Verantwortlichen jedoch längerfristig von Interesse sind und lediglich aktuell keine geeignete Beschäftigung in unserem Haus zur Verfügung steht, erfragen wir Ihre Einwilligung, Ihre Daten aus der Bewerbung für eine Dauer von bis zu zwei Jahre vorzuhalten und zu speichern. So können wir Sie bei künftigen Stellenangeboten ggf. kontaktieren.

Sie können Ihre Bewerbung jederzeit zurücknehmen und auch Ihr Einverständnis zur Verarbeitung und Nutzung Ihrer personenbezogenen Daten widerrufen. Wenn Sie Ihr Einverständnis widerrufen möchten, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter den angegebenen Kontaktdaten.

Ihre Bewerbung samt den darin enthaltenen personenbezogenen Daten wird in diesem Fall gelöscht, Papierunterlagen datenschutzgerecht entsorgt, sofern nicht gesetzliche Aufbewahrungsfristen dem entgegenstehen. Wir sind auch gerne bereit, Ihnen die Bewerbungsunterlagen per Post zurückzusenden, sofern Sie dies wünschen.

Datenverarbeitung – Mitarbeiter

Allgemeines zur Datenverarbeitung

Innerhalb unseres Unternehmens erhalten nur die Personen und Stellen (z. B. Fachbereich, Betriebsrat) Ihre personenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen.
Daneben bedienen wir uns zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten zum Teil unterschiedlicher externer Dienstleister für die Verarbeitung sowie für Support- und Wartungszwecke unserer Datenverarbeitungssysteme und elektronischen Kommunikationssysteme. Mit diesen sind Verträge gem. Artikel 28 DSGVO geschlossen.

Darüber hinaus können wir Ihre personenbezogenen Daten an weitere Empfänger außerhalb des Unternehmens übermitteln, soweit dies zur Erfüllung der vertraglichen und gesetzlichen Pflichten als Arbeitgeber erforderlich ist. Dies können z. B. sein:

  • Behörden (z. B. Rentenversicherungsträger, berufsständische Versorgungseinrichtungen, Sozialversicherungsträger, Finanzbehörden, Gerichte)
  • Bank des Mitarbeiters (SEPA-Zahlungsträger)
  • Krankenkassen
  • Stellen, um Ansprüche aus der betrieblichen Altersversorgung gewährleisten zu können
    Stellen, um die vermögenwirksamen Leistungen ausbezahlen zu können
    Drittschuldner im Falle von Lohn- und Gehaltspfändungen
  • Insolvenzverwalter im Falle einer Privatinsolvenz

Kategorien der personenbezogenen Daten:
Zu den verarbeiteten Kategorien personenbezogener Daten gehören insbesondere aber nicht abschließend:

  • Ihre Stammdaten (wie Vorname, Nachname, Namenszusätze, Staatsangehörigkeit und Personalnummer),
  • Kontaktdaten (etwa private Anschrift, (Mobil-)Telefonnummer, E-Mailadresse),
  • Die bei der Nutzung der IT-Systeme anfallenden Protokolldaten
  • Daten aus dem Bewerbungsverfahren (wie Lebenslauf, Berufsausbildung, Hochschulabschluss, Zertifikate, Zeugnisse usw.)
  • Weitere Daten aus dem Beschäftigungsverhältnis (z.B. Zeiterfassungsdaten, Urlaubszeiten, Bankverbindung, Fortbildung, Bildungsurlaub, unbezahlter Urlaub, Mitarbeitergespräche),
  • Vertragliche Regelungen (wie Arbeitsvertrag sowie ggf. Änderungen, Urkunden, Sozialdaten, Sozialversicherungsnummer, Rentenversicherungsnummer, Gehaltsdaten sowie die Steueridentifikationsnummer, Nebentätigkeiten (Ersthelfer, Brandschutz, Sicherheitsbeauftragter usw.), Soziale Nebenleistungen und Zulagen)
  • Gehaltsabrechnungen, Lohnsteuerbescheinigungen, betriebliche Altersversorgung, Soziale Nebenleistungen.
    Gesundheitsnahe Daten (z.B. Arbeitsunfähigkeitszeiten, Gefährdungsbeurteilung, Schwangerschaft, betriebliches Wiedereingliederungsmanagement)
  • Personalausweiskopien (soweit für die Vertragserfüllung notwendig).
  • Korrespondenz (z.B. Schriftverkehr mit Ihnen).

Herkunft der personenbezogenen Daten:
Ihre personenbezogenen Daten werden in aller Regel direkt bei Ihnen im Rahmen des Einstellungsprozesses oder während des Beschäftigungsverhältnisses erhoben. In bestimmten Konstellationen werden aufgrund gesetzlicher Vorschriften Ihre personenbezogenen Daten auch bei anderen Stellen erhoben. Dazu gehören insbesondere anlassbezogene Abfragen von steuerrelevanten Informationen beim zuständigen Finanzamt sowie Informationen über Arbeitsunfähigkeitszeiten bei der jeweiligen Krankenkasse. Daneben können wir Daten von Dritten (z.B. Stellenvermittlung) erhalten haben.

Rechtsgrundlage für die Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der Bestimmungen der DSGVO, des BDSG sowie aller weiteren maßgeblichen Gesetze (z. B. BetrVG, ArbZG, etc.).

In erster Linie dient die Datenverarbeitung der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses. Die vorrangige Rechtsgrundlage hierfür ist Art. 6 Abs. 1 b) DSGVO i. V. m. § 26 Abs. 1 BDSG.

Daneben können Kollektivvereinbarungen (Konzern-, Gesamt- und Betriebsvereinbarungen sowie tarifvertragliche Regelungen) gem. Art. 6 Abs. 1 b) i. V. m. Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 4 BDSG sowie ggf. Ihre gesonderten Einwilligungen gem. Art. 6 Abs. 1 a), Art. 7 DSGVO i. V. m. § 26 Abs. 2 BDSG (z. B. bei Videoaufnahmen) als datenschutzrechtliche Erlaubnisvorschrift herangezogen werden.

Ihre Daten verarbeiten wir auch, um unsere rechtlichen Pflichten als Arbeitgeber insbesondere im Bereich des Steuer- und Sozialversicherungsrechts erfüllen zu können. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 c) DSGVO i.V.m. § 26 BDSG.

Soweit erforderlich verarbeiten wir Ihre Daten zudem auf Grundlage von Art. 6 Abs. 1 f DSGVO, um berechtigte Interessen von uns oder von Dritten zu wahren. Dies gilt insbesondere bei der Aufklärung von Straftaten (Rechtsgrundlage § 26 Abs. 1 S. 2 BDSG) oder im Konzern zu Zwecken der Konzernsteuerung, der internen Kommunikation und sonstiger Verwaltungszwecke.

Soweit besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO verarbeitet werden, dient dies im Rahmen des Beschäftigungsverhältnisses der Ausübung von Rechten oder der Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozialschutz (z. B. Angabe von Gesundheitsdaten gegenüber der Krankenkasse, Erfassung der Schwerbehinderung wegen Zusatzurlaub und Ermittlung der Schwerbehindertenabgabe). Dies erfolgt auf Grundlage von Art. 9 Abs. 2 b) DSGVO i. V. m. § 26 Abs. 3 BDSG. Zudem kann die Verarbeitung von Gesundheitsdaten für die Beurteilung Ihrer Arbeitsfähigkeit gem. Art. 9 Abs. 2 h) i.V.m. § 22 Abs. 1 b) BDSG erforderlich sein. Daneben kann die Verarbeitung besonderer Kategorien personenbezogener Daten auf einer Einwilligung nach Art. 9 Abs. 2 a DSGVO i. V. m. § 26 Abs. 2 BDSG beruhen (z.B. betriebliches Gesundheitsmanagement).

Dauer der Speicherung

Wir verarbeiten Ihre personenbezogenen Daten solange dies für die Begründung, Durchführung oder Abwicklung des Beschäftigungsverhältnisses erforderlich ist.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgeschriebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.

Schließlich richtet sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z. B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.

Rechte der Betroffenen

Art. 15 DSGVO – Recht auf Auskunft

Mit dem Recht auf Auskunft erhält der Betroffene eine umfassende Einsicht in die ihn angehenden Daten und einige andere wichtige Kriterien, wie beispielsweise die Verarbeitungszwecke oder die Dauer der Speicherung.

Art. 16 DSGVO – Recht auf Berichtigung

Das Recht auf Berichtigung beinhaltet die Möglichkeit für den Betroffenen, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen.

Art. 17 DSGVO – Recht auf Löschung

Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, Daten beim Verantwortlichen löschen zu lassen. Dies ist allerdings nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde.

Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Betroffenen, eine weitere Verarbeitung der ihn angehenden personenbezogenen Daten vorerst zu verhindern. Eine Einschränkung tritt vor allem in der Prüfungsphase anderer Rechtewahrnehmungen durch den Betroffenen ein.

Art. 20 DSGVO – Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Betroffenen, die ihn angehenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen. Gemäß Art. 20 Abs. 3 Satz 2 DSGVO steht dieses Recht aber dann nicht zur Verfügung, wenn die Datenverarbeitung der Wahrnehmung öffentlicher Aufgaben dient.

Art. 21 DSGVO – Recht auf Widerspruch

Das Recht auf Widerspruch beinhaltet die Möglichkeit für Betroffene, in einer besonderen Situation der weiteren Verarbeitung ihrer personenbezogenen Daten zu widersprechen, soweit diese durch die Wahrnehmung öffentlicher Aufgaben oder öffentlicher sowie privater Interessen gerechtfertigt ist.

Aufsichtsbehörde

Im Falle datenschutzrechtlicher Verstöße steht Ihnen ein Beschwerderecht (Art 77 DSGVO) bei der zuständigen Aufsichtsbehörde zu.

Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat.

Kontaktdaten können folgendem Link entnommen werden:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Alle anderen Datenschutzbehörden in den jeweiligen EU-Mitgliedsstaaten sind unter folgendem Link zu finden:
http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm