Datenschutzerklärung für Hinweise nach dem Hinweisgeberschutzgesetz (HinSchG)

Einleitung

In der folgenden Erklärung möchten wir Sie darüber informieren, wie wir personenbezogene Daten sammeln, verarbeiten und nutzen, wenn Sie uns einen Hinweis an die E-Mail-Adresse hinweisgeberschutz@evernest.com senden.

Alle eingehenden Hinweise werden auf vertrauliche und faire Weise untersucht und bearbeitet. Bitte nehmen Sie sich einen Moment Zeit, um diese Datenschutzhinweise sorgfältig durchzulesen, bevor Sie uns einen Hinweis abgeben.

1. Identität und Kontaktdaten des Verantwortlichen und seine Vertreter

Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten, sowie sonstiger datenschutzrechtlicher Bestimmungen ist

Evernest GmbH
Mönkedamm 9-11
20457 Hamburg
Deutschland

Vertretungsberechtigte Personen (Geschäftsführer):
Christian Evers, Luisa Haxel

E-Mail-Adresse: info@evernest.com
Impressum: https://www.evernest.com/de/impressum/

2. Kontaktdaten des Datenschutzbeauftragten

Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@evernest.com.

3. Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten

a) Betrieb der Meldestelle und Führung des Verfahrens

Die Verarbeitung personenbezogener Daten dient dazu, den Betrieb des Meldekanals zu gewährleisten, das Verfahren zur Untersuchung und Beurteilung von Hinweisen zu führen und geeignete Folgemaßnahmen auf Grundlage der Untersuchungsergebnisse zu ergreifen. Rechtsgrundlage ist Art. 6 Absatz 1 lit. c) DSGVO in Verbindung mit § 10 Satz 1 HinSchG.

Sofern die Verarbeitung sensibler Daten gemäß Artikel 9 Absatz 1 DSGVO erforderlich ist, erfolgt dies auf der Grundlage von Artikel 9 Absatz 2 lit. b) und g) DSGVO, welche die Verarbeitung für arbeitsrechtliche Pflichten und für die Verarbeitung im öffentlichen Interesse erlauben. Die Erhebung beruht auf der Rechtsgrundlage des § 10 Satz 2 HinSchG. Um die Interessen der betroffenen Personen zu wahren, werden entsprechende Maßnahmen gemäß § 10 Satz 3 HinSchG in Verbindung mit § 22 Absatz 2 Satz 2 BDSG getroffen. Diese Maßnahmen stellen sicher, dass die Verarbeitung sensibler Daten unter strikter Beachtung der Datenschutzprinzipien und unter Einhaltung höchster Sicherheitsstandards erfolgt.

b) Einwilligung der meldenden Person

Da Sie freiwillig einen Hinweis senden, erfolgt die Bereitstellung Ihrer Kontaktdaten und gegebenenfalls Identität auf freiwilliger Basis (Art. 6 Absatz 1 lit. a) DSGVO).
Ihre Identität und Kontaktdaten werden von uns vertraulich behandelt und ausschließlich dazu verwendet, um mit Ihnen Kontakt aufzunehmen. In einigen Fällen kann es notwendig sein, Informationen über Ihre Identität oder über sonstige Umstände, die Rückschlüsse auf Ihre Identität zulassen, weiterzugeben. Dies ist nur dann zulässig, wenn die Weitergabe für Folgemaßnahmen zur Behebung des gemeldeten Missstandes erforderlich ist und Sie zuvor ausdrücklich und in Textform in diese Weitergabe eingewilligt haben. Die Einwilligung würde für jede einzelne Weitergabe von personenbezogenen Daten gesondert eingeholt werden. Rechtsgrundlage ist § 9 Absatz 3 HinSchG.

c) Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

Sollten Sie selbst von einer dritten Person gemeldet worden sein, dient die Verarbeitung Ihrer personenbezogenen Daten zudem der Entscheidung über die Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses und Ausübung oder Erfüllung der sich aus Rechtsnormen ergebenden Rechte und Pflichten. Die hierfür relevante Rechtsgrundlage ergibt sich aus Artikel 6 Absatz 1 lit. b) DSGVO in Verbindung mit § 26 Absatz 1 BDSG für die Durchführung des Beschäftigungsverhältnisses und aus § 26 Absatz 1 Satz 1 BDSG für die Aufdeckung von Straftaten, sofern dokumentierte, begründete Verdachtsmomente vorliegen und das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung nicht überwiegt.

d) Offenlegung an die zuständigen Stellen

Die Weitergabe von Informationen über die Identität sowohl der meldenden Person als auch der Personen, die Gegenstand einer Meldung sind, sowie von sonstigen in der Meldung genannten Personen, dient dazu, eine effiziente Untersuchung und Bearbeitung der Hinweise zu ermöglichen und die notwendige rechtliche oder interne Aktion einzuleiten. Die Verarbeitung dieser personenbezogenen Daten erfolgt auf der Grundlage des § 9 Absatz 2 und 4 HinschG.

4. Kategorien personenbezogener Daten

Im Rahmen unserer Tätigkeiten erfassen und verarbeiten wir verschiedene Arten personenbezogener Daten. Diese Informationen sind notwendig, um den gemeldeten Missstand effektiv zu beheben. Im Folgenden finden Sie eine Übersicht über die Kategorien personenbezogener Daten, die wir erheben könnten, sowie einige Beispiele für die spezifischen Datenarten in jeder Kategorie.

  • Identifikations- und Kontaktdaten: Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum und andere Daten, die zur Identifizierung oder Kontaktaufnahme mit Ihnen notwendig sind
  • Beschäftigungsbezogene Daten: Beschäftigungsgeber, Beruf, und sonstige berufsbezogene Informationen.
  • Details zur gemeldeten Angelegenheit: Informationen über die Art des gemeldeten Vorfalls, Verstoßes oder Fehlverhaltens, einschließlich relevanter Daten, Orte und Umstände.
  • Daten über beteiligte oder beschuldigte Personen: Namen und andere Identifikationsmerkmale von Personen, die in der Meldung genannt werden, einschließlich ihrer Rolle in der Angelegenheit.
  • Dokumentation und Beweismittel: Alle Dokumente, Fotos, Videos oder andere Beweismittel, die Sie einreichen.
  • gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die in der Meldung genannt sind.
  • Besondere Kategorien personenbezogener Daten (nach Art. 9 DSGVO): Dies beinhaltet, sofern zutreffend, sensible Daten, die im Rahmen der Meldung erfasst werden könnten, wie Gesundheitsdaten, Gewerkschaftszugehörigkeit oder andere Informationen, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, das Sexualleben oder die sexuelle Orientierung offenbaren. Die Rechtsgrundlage für die Verarbeitung finden Sie unter 3. a).

5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Der Zugriff auf Ihre personenbezogenen Daten ist auf einen sehr engen Kreis autorisierter Mitarbeiter von Evernest GmbH beschränkt.
Eine Übermittlung der personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Abhängig vom Sachverhalt und den rechtlichen Anforderungen kann es sein, dass Informationen über die Identität der meldenden Person, der Personen, die Gegenstand einer Meldung sind, sowie von sonstigen in der Meldung genannten Personen oder über sonstige Umstände, die Rückschlüsse auf ihre Identität zulassen, an bestimmte Empfänger weitergegeben werden müssen. Dies können unter anderem Strafverfolgungsbehörden, Verwaltungsbehörden, Gerichte oder bestimmte Aufsichtsbehörden sein (vgl. hierzu Punkt 3. d)). Darüber hinaus verarbeiten externe Dienstleistungsunternehmen, wie beispielsweise externe Rechenzentren oder Telekommunikationsanbieter, personenbezogene Daten in unserem Auftrag als Auftragsverarbeiter. Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an die entsprechend zuständige Sachbearbeiterin auf Seiten der Evernest GmbH weitergegeben. Sollten Sie selbst die meldende Person sein, wird Ihre Identität dagegen nur mit Ihrer Einwilligung weitergegeben (vgl. Punkt 3. b)).

6. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

Das E-Mail-Postfach wird auf Servern in Deutschland gehostet und der Zugriff auf Nachrichten ist ausschließlich autorisierten Benutzern vorbehalten.

7. Speicherfristen für personenbezogene Daten

Personenbezogene Daten werden bis zur abschließenden Beurteilung des Hinweises und danach gemäß § 11 Absatz 5 des HinSchG für drei weitere Jahre aufbewahrt. Nach Ablauf dieser Frist werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.

8. Ihre Rechte

Ihre Rechte als Betroffener können Sie unter den eingangs unter 1. angegebenen Kontaktdaten jederzeit geltend machen. Bitte beachten Sie, dass Ihre Rechte unter Umständen eingeschränkt werden können, wenn dies notwendig und verhältnismäßig ist, um beispielsweise die Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten oder den Schutz der Betroffenen oder der Rechte und Freiheiten anderer zu gewährleisten. Sie haben als Betroffener folgende Rechte:

  • Recht auf Auskunft gemäß Art. 15 DSGVO: Sie können Auskunft über Ihre von uns verarbeiteten Daten zu verlangen. Dieses Recht kann nach Art. 15 Abs. 4 DSGVO eingeschränkt werden, wenn die Gewährung der Auskunft die Rechte und Freiheiten anderer Personen beeinträchtigen würde. Im Fall von Beschäftigungsverhältnissen kann die Auskunft zusätzlich nach Artikel 23 Absatz 1 der DSGVO in Verbindung mit § 29 Absatz 1 Satz 2 des BDSG wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden.
  • Recht auf Berichtigung gemäß Art. 16 DSGVO: Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen.
  • Recht auf Löschung gemäß Art. 17 DSGVO: Sie haben das Recht die Löschung Ihrer bei uns gespeicherten Daten zu verlangen, soweit die Verarbeitung nicht zur Erfüllung unserer rechtlichen Verpflichtung zur Führung des Meldeverfahrens erforderlich ist.
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO: Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, soweit die Richtigkeit von Ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist.
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO: Sie haben das Recht Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen ("Datenübertragbarkeit").
  • Widerrufsrecht gemäß Art. 7 Abs. 3 DSGVO: Sollten Sie zur Weitergabe der Informationen über Ihre Identität oder über sonstige Umstände, die Rückschlusse auf diese zulassen, eingewilligt haben, können Sie diese widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen. Bitte beachten Sie, dass wir für jede Weitergabe eine gesonderte Einwilligung bei Ihnen einholen,
  • Beschwerderecht gemäß Art. 77 DSGVO: Sie haben das Recht sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren, etwa bei der für uns zuständigen Datenschutz-Aufsichtsbehörde:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str 22, 7. OG
20459 Hamburg
mailbox@datenschutz.hamburg.de

9. Sicherheit Ihrer personenbezogenen Daten

Wir haben umfassende technische und organisatorische Maßnahmen getroffen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten und vor unbefugtem Zugriff oder Missbrauch zu schützen. Der Zugriff auf die Daten ist nur für autorisierte Benutzer nach erfolgreicher Anmeldung möglich. Zudem erfolgt eine sichere Transportverschlüsselung (TLS 1.2) und eine Verschlüsselung aller übermittelten Daten im Hinweissystem selbst.