Datenschutz
Verantwortliche Stelle: Ferdinand Voigt GmbH
Bäckerei & Konditorei
Dützhofer Str. 10
53913 Swisttal-Heimerzheim
Datenschutzbeauftragter: Reinhold Goetz, Dipl. Ing. Nachrichtentechnik
Zertifizierte Datenschutzfachkraft
Tel.: 02235 / 9947997
Fax: 02235 / 9947998
E-Mail: rgoetz@wimas.de
Die Webseite des Hinweisgebersystems
1. Bereitstellung der Webseite und Logfiles
Der Anbieter des Hinweisgebersystems ist die Vispato GmbH (folgend Vispato genannt). Für das Angebot seiner Dienste nutzt Vispato die Server aus einem der ISO 27001 zertifizierten DATEV-Rechenzentren, um maximale Sicherheit und Datenschutzkonformität zu gewährleisten.
Serverlogs
Vispato speichert zwingend erforderliche Serverlogs zur Bereitstellung der Webseite. Die erhobenen Daten werden dort für einen Zeitraum von 12 Wochen gespeichert. Eine Widerspruchsmöglichkeit des Nutzers gegen die Serverlogs ist nicht möglich, da die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles für den Betrieb der Internetseite zwingend erforderlich ist.
Cookies
Vispato verwendet bei dem Hinweisgebersystem von Ferdinand Voigt GmbH ausschließlich technische notwendige Cookies, die unmittelbar nach Verlassen der Webseite wieder gelöscht werden. Darüber hinaus werden keine Cookies und keine Tracker gesetzt und damit werden auch keine Daten an Dritte weitergegeben.
Accountdaten
Jeder Hinweisgeber erhält nach Eingabe seines Hinweises einen individualisierten Link (URL) und ein Passwort, mit dem er sich immer wieder im Hinweisgebersystem anmelden kann. An dieser Stelle erfolgt keine Speicherung von personenbezogenen Daten.
Die Accountdaten von Sachbearbeitern und Ansprechpartnern bleiben bis zur Löschung des zuletzt bearbeiteten Hinweises gespeichert, da abgeschlossene Hinweise gemäß des Hinweisgeberschutzgesetzes für 3 Jahre aufbewahrt werden müssen.
Sachbearbeiter und Ansprechpartner können ihre Rechte als betroffene Personen gem. Nr. 8 geltend machen.
Das Nutzen des Hinweisgebersystems
2. Art der personenbezogenen Daten
Die Nutzung des Hinweisgebersystems ist freiwillig. Sofern Sie einen Hinweis abgeben, erheben und verarbeiten wir die folgenden Daten:
Dem Hinweisgeber steht es frei seinen Hinweis entweder anonym oder mit offengelegter Identität abzugeben. Ist der Hinweisgeber bereit seine Identität dem Sachbearbeiter offenzulegen, stellt er seine E-Mailadresse als Identitätsabgleich zur Verfügung. Darüber hinaus werden sämtliche Daten sowie personenbezogene Daten des Hinweises selbst, beispielsweise über andere Personen, die in dem Hinweis genannt werden, verarbeitet.
3. Zweckbestimmung der Datenerhebung, -verarbeitung oder –nutzung
Zweck ist die Verarbeitung der eingegebenen Daten durch den Hinweisgeber über straf- oder bußgeldbewehrte Tätigkeiten im beruflichen Kontext mit Ferdinand Voigt GmbH über das bereitgestellte Hinweisgebersystem. Es dient somit dazu etwaige Missstände im Unternehmen aufzudecken und intern aufzuarbeiten, sowie weiteres Fehlverhalten vorzubeugen bzw. zu erschweren (z.B. durch Schulungen etc.).
Dabei werden die zur Verfügung gestellten Daten unter der Wahrung der Vertraulichkeit durch eine Ombudsperson verarbeitet. Eine Meldung ohne Angabe der eigenen personenbezogenen Daten durch die Angabe sogenannter anonymer Hinweise ist, wie in Nr.1 bereits erwähnt, möglich.
4. Rechtsgrundlage für die Verarbeitung
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unserer Hinweisgeber lässt sich auf die folgenden Normen stützen:
Art. 6 Abs. 1 lit. a) Die Verarbeitung der personenbezogenen Daten erfolgt auf Grundlage einer Einwilligung des Hinweisgebers, da nur so die Hinweise auch an die entsprechenden Empfänger weitergegeben werden dürfen.
Art. 6 Abs. 1 lit. c) DSGVO i.V. m. § 12 HinSchG: Rechtliche Verpflichtung aus dem HinSchG.
§ 26 Abs. 1 BDSG: Umsetzung des Beschäftigungsverhältnisses, sowie die Aufklärung von Straftaten innerhalb des Beschäftigungsverhältnisses.
Art. 6 Abs. 1 lit. f) DSGVO: mögliche Rechtsverteidigung sowie Verbesserung von Compliance-Strukturen im Unternehmen.
5. Empfänger oder Kategorien von Empfängern denen die Daten mitgeteilt werden
Sofern es für die Aufklärung des Sachverhalts aus dem Hinweis erforderlich ist, können sorgfältig ausgewählte Personen von Ferdinand Voigt GmbH zum Sachverhalt hinzugezogen werden. Es kommen folgende Dritte in Betracht:
Ombudspersonen:
Für die Bearbeitung der eingehenden Hinweise haben wir uns für eine Zusammenarbeit mit Dipl. Ing. Reinhold Goetz und seinem Ingenieurbüro für Datenschutz- und Informationsmanagement entschieden. Das Büro ist damit zuständig für die Plausibilitätsprüfung sowie die Bearbeitung der Hinweise.
Das Ingenieurbüro hat mit Ferdinand Voigt GmbH einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO geschlossen. Darüber hinaus hat das Büro einen weiteren Auftragsverarbeitungsvertrag mit Vispato zur Bereitstellung des Hinweisgebersystems geschlossen.
Für die Bearbeitung der eingehenden Hinweise haben wir uns für eine Zusammenarbeit mit Dipl. Ing. Reinhold Goetz und seinem Ingenieurbüro für Datenschutz- und Informationsmanagement entschieden. Das Büro ist damit zuständig für die Plausibilitätsprüfung sowie die Bearbeitung der Hinweise.
Das Ingenieurbüro hat mit Ferdinand Voigt GmbH einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO geschlossen. Darüber hinaus hat das Büro einen weiteren Auftragsverarbeitungsvertrag mit Vispato zur Bereitstellung des Hinweisgebersystems geschlossen.
Behörden, Gerichte und weitere öffentliche Stellen:
Im Rahmen eines eingeleiteten Strafverfahrens kann es sein, dass die Informationen des Hinweises an Strafverfolgungsbehörden und andere öffentliche Stellen in diesem Zusammenhang weitergeleitet werden.
Im Rahmen eines eingeleiteten Strafverfahrens kann es sein, dass die Informationen des Hinweises an Strafverfolgungsbehörden und andere öffentliche Stellen in diesem Zusammenhang weitergeleitet werden.
Weitere Dritte:
Je nach eingegangen Hinweis kann es nötig sein, Wirtschaftsprüfgesellschaften oder Anwaltskanzleien zur Aufklärung hinzuzuziehen.
Personen, die Teil des Hinweises sind:
Grundsätzlich sind Personen, wenn personenbezogene Daten über sie erhoben werden, nach Art. 14 DSGVO im Rahmen der Informationspflichten über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies würde bedeuten, dass auch der Hinweisgeber offengelegt werden würde. Dies widerspricht jedoch dem Vertraulichkeitsgebot aus § 8 HinSchG, wonach der Hinweisgeber nur offengelegt werden darf bei Personen, die den Hinweis entgegennehmen, Folgemaßnahmen ergreifen oder anderweitig bei der Erfüllung der Aufgaben unterstützen. Dem Ausnahmetatbestand des Art. 14 Abs. 5 lit. c DSGVO i.V.m. § 8 HinSchG folgend findet der Transparenzgedanke der DSGVO dementsprechend hier keine Anwendung.
Je nach eingegangen Hinweis kann es nötig sein, Wirtschaftsprüfgesellschaften oder Anwaltskanzleien zur Aufklärung hinzuzuziehen.
Personen, die Teil des Hinweises sind:
Grundsätzlich sind Personen, wenn personenbezogene Daten über sie erhoben werden, nach Art. 14 DSGVO im Rahmen der Informationspflichten über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies würde bedeuten, dass auch der Hinweisgeber offengelegt werden würde. Dies widerspricht jedoch dem Vertraulichkeitsgebot aus § 8 HinSchG, wonach der Hinweisgeber nur offengelegt werden darf bei Personen, die den Hinweis entgegennehmen, Folgemaßnahmen ergreifen oder anderweitig bei der Erfüllung der Aufgaben unterstützen. Dem Ausnahmetatbestand des Art. 14 Abs. 5 lit. c DSGVO i.V.m. § 8 HinSchG folgend findet der Transparenzgedanke der DSGVO dementsprechend hier keine Anwendung.
6. Datenübermittlung in Drittstaaten
Eine Übermittlung der Daten an Staaten außerhalb der EU bzw. EWR (Drittstaaten) findet nicht statt.
7. Aufbewahrungsdauer personenbezogener Daten
Personenbezogene Daten werden für die Dauer aufbewahrt, die zur Aufklärung und abschließenden Beurteilung des Hinweises notwendig ist. Die abschließende Dokumentation des Hinweises wird gem. § 11 Abs. 5 HinSchG für 3 Jahre aufbewahrt und danach gelöscht, sofern die Daten nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden. Diese löschen wir gem. Artikel 17 Abs. 3 lit. e) DSGVO nicht.
Personenbezogene Daten werden für die Dauer aufbewahrt, die zur Aufklärung und abschließenden Beurteilung des Hinweises notwendig ist. Die abschließende Dokumentation des Hinweises wird gem. § 11 Abs. 5 HinSchG für 3 Jahre aufbewahrt und danach gelöscht, sofern die Daten nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden. Diese löschen wir gem. Artikel 17 Abs. 3 lit. e) DSGVO nicht.
Personenbezogene Daten im Zusammenhang mit grundlos abgegebenen Hinweismeldungen werden unverzüglich gelöscht.
8. Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung
Sie haben das Recht, jederzeit Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten. Ebenso haben Sie das Recht auf Berichtigung, Sperrung oder, abgesehen von der vorgeschriebenen Datenspeicherung zur Geschäftsabwicklung, Löschung Ihrer personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungsverpflichtung besteht. Soweit eine solche Verpflichtung besteht, sperren wir Ihre Daten auf Wunsch.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung nach Art. 22 DSGVO findet nicht statt.
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht die Datenschutzaufsichtsbehörde anzurufen und dort Informationen über ihre Rechte aufgrund des Bundesdatenschutzgesetzes (BDSG) und sonstiger Vorschriften über den Datenschutz, einschließlich der Datenschutzgrundverordnung (DSGVO), zu erfahren. Darüber hinaus ist die Aufsichtsbehörde Anlaufstelle für Beschwerden bei der Verarbeitung personenbezogener Daten.
Zuständige Aufsichtsbehörde für Nordrhein-Westfalen:
Landesbeauftragte für Datenschutz und Informationsfreiheit
Postfach 20 04 44
40102 Düsseldorf
0211/38424-0
poststelle@ldi.nrw.de
Postfach 20 04 44
40102 Düsseldorf
0211/38424-0
poststelle@ldi.nrw.de