Datenschutzinformation zum Hinweisgeberportal
Im Folgenden informieren wir Sie über die Datenverarbeitungen bei Nutzung des Hinweisgeberportals
Das Hinweisgeberportal ermöglich die Meldung eines Hinweises, ohne dass dabei Rückschlüsse auf Ihre Person gezogen werden können.
Kontaktdaten des Verantwortlichen:
Verantwortlich im Sinne der Datenschutz-Grundverordnung (DS-GVO) für die Nutzung des Hinweisgeberportals und der damit verbundenen Datenverarbeitungen ist die Pro Arbeit:
Pro Arbeit – Kreis Offenbach - (AöR)
Kommunales Jobcenter
Vorstand Herr Boris Berner
Max-Planck-Straße 1-3
63303 Dreieich
E-Mail- Adresse: office-vorstand@proarbeit-kreis-of.de
Datenschutzbeauftragter:
Unsere Datenschutzbeauftragte kann über folgende Kontaktdaten erreicht werden:
Pro Arbeit – Kreis Offenbach (AöR)
Kommunales Jobcenter
-Datenschutz-
Max-Planck-Straße 1-3
63303 Dreieich
E-Mail-Adresse: datenschutz@proarbeit-kreis-of.de
Um Ihnen die Möglichkeit eines sicheren Meldekanals geben zu können, in dem Sie die Hinweise auch anonym melden können, nutzen wir das Hinweisgeberportal der SDS Schüllermann Dataservice GmbH Robert-Bosch-Straße 5 63303 Dreieich. Mit dieser wurde ein Auftragsverarbeitungsvertrag geschlossen.
Wie wird eine anonyme Nutzung des Hinweisgeberportals gewährleistet?
Über den angegeben Link werden Sie auf die Seite des Hinweisgeberportals der Schüllermann Dataservice GmbH weitergeleitet.
Dabei werden, wie bei allen Internetverbindungen, notwendige Meta- und Kommunikationsdaten ausgetauscht. Diese sind:
- IP-Adresse des Nutzers
- Datum und Uhrzeit des Zugriffs
- Information über den Browsertyp und die verwendete Version
- Betriebssystem des Endgerätes des Nutzers
- Internet-Service-Provider des Nutzers
- Quelle/Verweis, von welchem Sie auf die Seite gelangten
Um dabei ein Höchstmaß an Datensicherheit und Anonymisierung für hinweisgebende Personen zu gewährleisten, wird bei Nutzung des Links ein Reverse-Proxy zur Anonymisierung zwischengeschaltet. Bei dem Hinweisgeberportal kommen damit keine Daten des Nutzers an, das Hinweisgeberportal kommuniziert nur mit dem Proxy-Server. Dieser speichert keine Protokolldaten, eine Übertragung von Verbindungsdaten findet nur während der Nutzung des Portals zur Datenübertragung (TCP/IP-Protokoll) statt.
Die Übertragung der Daten vom Portalbesucher zum Portal selbst wird durch TLS-Verschlüsselung gesichert.
Die Pro Arbeit verpflichtet sich ihrerseits keine Auswertung zu Zugriffen auf das Hinweisgeberportal vorzunehmen.
Durch das Hinweisgeberportal werden keine Daten auf den Servern der Pro Arbeit gespeichert.
Welche Systeme und Server werden genutzt?
Für den Betrieb des Portals nutzt die Firma Schüllermann einen Unterauftragnehmer. Es handelt sich um die „DPMS Data Protection Management System, Thomas Niersmann, Haagscher Weg 17, 47608 Geldern“ https://www.datenschutz-management.software/funktionen/whistleblower-plattform/.
Zwischen der SDS und DPMS besteht ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO. Der AVV stellt dabei sicher, dass der Unterauftragnehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten einhält.
Der Portalbetreiber bedient sich zum Betrieb seiner Server der Hetzner Online GmbH. https://docs.hetzner.com/de/general/general-terms-and-conditions/data-privacy-faq
https://www.hetzner.com/de/legal/privacy-policy
Genutzt werden die Rechenzentren in Nürnberg und Falkenstein. Eine Datenübermittlung in ein Drittland findet nicht statt.
Der Portalbetreiber DPMS hat mit der Hetzner Online GmbH, sowie mit allen Dienstleistern (Unterauftragnehmern) eigene Auftragsverarbeitungsverträge gem. Art. 28 Abs. 3 DS-GVO abgeschlossen.
Wie funktioniert eine anonyme Meldung?
Sie können frei wählen, ob Sie ihre Identität und Kontaktdaten preisgeben. Dazu können Sie ihren Namen und eine E-Mail-Adresse hinterlegen. Diese Angaben sind mit dem Vermerk „freiwillig“ gekennzeichnet. Möchte Sie ihren Hinweis anonym abgeben, so tragen Sie in diesen Feldern Ihren Namen und Ihre E-Mail-Adresse nicht ein.
Wenn Sie das Hinweisgeberportal nutzen, erhalten Sie die Möglichkeit, sich ein Passwort zu wählen. Zu diesem generiert das Portal eine Kennnummer.
Möchten Sie sich über den aktuellen Stand des von Ihnen abgegebenen Hinweises informieren, so können Sie sich beim nächsten Öffnen des Hinweisgeberportals mit Passwort und Kennnummer anmelden und erhalten damit Zugang zu dem gemeldeten Fall.
Das Passwort wird verschlüsselt gespeichert und die Kennnummer zufällig generiert, so dass dadurch keine Rückschlüsse auf ihre Person gezogen werden können.
Sollten Sie Passwort und Kennnummer vergessen, kann Ihnen somit aber auch kein erneuter Zugang zu dem Fall eingeräumt werden.
Die interne Meldestelle kann eine Meldung im Hinweisgebersystem einsehen und hinterlegt dort eine Eingangsbestätigung. Sie kann auch Rückfragen hinsichtlich der gemeldeten Angelegenheit in dem Portal hinterlegen. Wenn die meldenden Personen sich mit ihrem Passwort in den Fall einloggen, werden ihnen die Eingangsbestätigung, und eventuelle Rückfragen angezeigt, die sie wieder über Eingaben im Portal beantworten können. So ist eine anonyme Kommunikation zwischen Meldestelle und hinweisgebenden Personen möglich, ohne dass diese ihre Identität offenbaren müssen.
Es besteht die Möglichkeit, zu dem Hinweis Dokumente hochzuladen. In den Anhängen enthaltene Metadaten werden von dem Portal automatisch entfernt. Sollten Sie anonym bleiben wollen, dann müssen Sie darauf achten, dass die von Ihnen hochgeladenen Dokumente inhaltlich keine Rückschlüsse auf Ihre Person zulassen.
Information zur nicht anonymen Meldung
(falls Sie selbst Angaben zu ihrer Person im Hinweisgeberportal hinterlegen)
Sie haben im Hinweisgeberportal nach eigener Wahl die Möglichkeit, Ihren Namen und Ihre (dienstliche) E-Mail-Adresse zu hinterlegen. Nutzen Sie dies, so ist Ihre Meldung nicht mehr anonym.
Auch nicht anonyme Hinweisgebende werden durch das Hinweisgeberschutzgesetz (HinSchG) durch folgende Punkte geschützt:
- Vertraulichkeits- und Datenschutz
- Schutz vor Repressalien, Beweislastumkehr, materieller Schadensersatz
- Haftungsprivileg und möglicher Ausschluss der Verantwortlichkeit
Dieser Schutz gilt nicht, wenn vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße gemeldet werden.
Ist für die weitere Untersuchung des gemeldeten Vorfalls die Weitergabe Ihrer Identität oder Informationen, die Rückschlüsse auf Ihre Identität zulassen, erforderlich, erfolgt eine Weitergabe nur wenn und soweit Sie eine diesbezügliche Einwilligungserklärung der internen Meldestelle gegenüber abgegeben haben.
Informationen über Ihre Identität dürfen auch ohne Ihre Einwilligung weitergegeben werden an:
- im Strafverfahren auf Verlangen der Strafverfolgungsbehörde
- aufgrund Anordnung in nachfolgenden Verwaltungsverfahren, insb. Bußgeldverfahren
- aufgrund einer gerichtlichen Entscheidung
Gegenüber der von dem Hinweis betroffenen Personen, soll nach Maßgabe des Hinweisgeberschutzgesetzes Ihre Identität nicht offengelegt werden, sofern eine Meldung nicht bewusst falsch erfolgte (s.o.).
Das Recht der betroffenen Personen nach Art. 14 und 15 DS-GVO Informationen und Auskünfte auch über die Identität einer hinweisgebenden Person zu erhalten, wird nach Art. 14 Abs. 5 lit. b DS-GVO und Art. 23 DS-GVO i.V.m.§ 29 Abs. 1 Satz 1 BDSG eingeschränkt, wenn Informationen betroffen sind, die ihrem Wesen nach oder auf Grund berechtigter Interessen Geheimgehalten werden müssen.
Damit ist eine dem Grundsatz der Verhältnismäßigkeit Rechnung tragende Güterabwägung zwischen dem Geheimhaltungsinteresse einerseits und dem Auskunftsinteresse andererseits geboten. Auf Grund des hohen Schutzes der hinweisgebenden Personen, würde eine Offenlegung Ihrer Identität gegenüber den Betroffenen nur in Ausnahmefällen erfolgen.
Es könnte aber dennoch Umstände geben, bei denen wir gezwungen sein könnten, Ihre Identität gegenüber den Betroffenen preiszugeben.
Sollten Sie also sicher verhindern wollen, dass Ihre Identität gegenüber den von Ihrem Hinweis betroffenen Personen aufgedeckt wird, sollten Sie die Möglichkeit der anonymen Meldung nutzen.
Verarbeitung eingegebener Hinweise
Im Hinweisgeberportal enthaltende Meldungen, werden nur innerhalb des Hinweisgeberportals selbst verarbeitet.
Neben der SDS Schüllermann Dataservice GmbH, die uns durch Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO einen datenschutzkonformen Umgang vertraglich zugesichert hat, kann lediglich die interne Meldestelle und deren Vertretung Zugriff auf die eingegangenen Meldungen nehmen.
Es wird sichergestellt, dass gemeldeten Informationen nicht unbefugt weitergegeben oder offengelegt werden.
Sollte sich der gemeldete Verstoß für ein internes Meldeverfahren eignen, prüft die interne Meldestelle die Meldung auf Vollständigkeit, Stichhaltigkeit und ergreift angemessene Folgemaßnahmen.
Diese können beispielsweise sein:
- Einleitung interner Untersuchungen
- Maßnahmen zur Behebung des Problems
- Verweis auf andere zuständige Stellen
- Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
- Abgabe zwecks weiterer Untersuchung an eine andere interne Abteilung oder zuständigen Behörde
Sollten zu gemeldeten Fällen weitere Untersuchungen erforderlich sein, so werden nur die Informationen herausgegeben, die für die Untersuchungen erforderlich sind.
Die Weitergabe der Informationen durch die Interne Meldestelle erfolgt nur an diejenigen Stellen, die direkt an der Untersuchung oder Bearbeitung des Hinweises beteiligt sind und nur in dem Umfang, wie es zur Klärung des Sachverhaltes notwendig ist.
Auch kann die hinweisgebende Person von der internen Meldestelle um ergänzende Angaben oder Klarstellung gebeten werden. Sollte Ihre Meldung anonym erfolgt sein, so werden entsprechende Rückfragen im Hinweisgebersystem interlegt. Wenn Sie sich mit Passwort und Kennnummer beim Hinweisgeberportal anmelden, können Sie diese einsehen und anonym beantworten.
Löschung der Daten
Daten, die im Zusammenhang mit einer Meldung erhoben wurden und die nicht für das Verfahren von Relevanz sind, werden unverzüglich gelöscht.
Im Übrigen werden die auf Grundlage dieser DV erhobenen Daten drei Jahre nach Abschluss des Verfahrens vollständig gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
Rechtsgrundlagen
Rechtsgrundlage zur Datenverarbeitung im Rahmen des Hinweisgebersystems ist das Hinweisgeberschutzgesetz, insbesondere § 10 HinSchG i. V. m. Art. 6 Abs. 1 S. 1 lit. c DS-GVO.
Weitere Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. c DS-GVO i. V. m. der Art. 8 Abs. 1 der Richtlinie (EU) 2019/1937 entsprechenden Norm des deutschen Rechts, sowie Art. 6 Abs. 1 S. 1 lit. b und Art. 88 DS-GVO.
Ergänzend hat die Pro Arbeit ein berechtigtes Interesse an der Sicherstellung der Compliance innerhalb der Pro Arbeit; dazu zählt die Aufdeckung und Aufklärung von betrieblichen Missständen, unternehmensschädigendem Verhalten, Wirtschaftskriminalität u.ä. sowie der Schutz der Mitarbeiter, Geschäftspartner, Kunden etc.
Datenschutzrechte
Sollten Sie das Hinweisgebersystem nicht anonym nutzen, sondern bei Abgabe eines Hinweises personenbezogene Daten von sich selbst angeben, so stehen Ihnen folgende Rechte zu:
- Recht auf Auskunft (Art. 15 DS-GVO)
- Recht auf Berichtigung (Art. 16 DS-GVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
- Recht auf Löschung (Art. 17 DS-GVO)
- Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO)
- Recht auf Widerruf von Einwilligungserklärungen (Art. 7 Abs.3 DS-GVO)
- Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO)
Zur Ausübung dieser Rechte können Sie sich an:
Datenschutz
Max-Planck-Straße 1-3
63303 Dreieich
E-Mail-Adresse: datenschutz@proarbeit-kreis-of.de
wenden.
Hinweis zum Widerruf einer Einwilligung:
Betroffene haben zwar das Recht, ihre datenschutzrechtliche Einwilligung jederzeit zu widerrufen, allerdings wird dadurch die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf gilt also erst für Datenverarbeitung, die ab Erklärung des Widerspruchs stattfinden würden.
Hinweis zur Beschwerde bei einer Aufsichtsbehörde:
Sie haben gem. Art. 77 DS-GVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt.
Zuständige Aufsichtsbehörde ist der Hessische Datenschutzbeauftragter.
Dessen Kontaktdaten lauten:
Der Hessische Datenschutzbeauftragte
Postfach 31 6365021
Wiesbaden