Hinweisgebersystem

©Blue Planet Studio/stock.adobe.com

Information gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems

Im Folgenden informieren wir Sie über die Verarbeitung von personenbezogenen Daten durch das Helmholtz Zentrum München Deutsches Forschungszentrum für Umwelt und Gesundheit (GmbH) (nachfolgend „Helmholtz Munich“) im Rahmen des Hinweisgebersystems sowie über die damit verbundenen datenschutzrechtlichen Regelungen, Ansprüche und Rechte.

Helmholtz Munich setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, welche bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert werden. Dadurch können nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsschäden abgewendet werden.

1. Zweck der Datenverarbeitung    

Helmholtz Munich verarbeitet die personenbezogenen Daten des/der Hinweisgeber(in), sofern der Hinweis nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations- und Inhaltsdaten, ausschließlich zu dem Zweck, Hinweise auf kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen auf einem sicheren und vertraulichen Wege entgegenzunehmen und diesen nachzugehen.

2. Kategorien der Datenverarbeitung im Rahmen des Hinweisgebersystems   

  • Informationen über den/die Hinweisgeber(in) (sofern diese(r) nicht anonym bleiben möchte) und den/die Beschuldigte(n), wie
    • Vor- und Nachname
    • Funktion/Titel
    • Kontaktdaten
    • ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten 
  • Persönliche Informationen, die in den Berichten des Aufklärungsteams (siehe Ziffer 4) identifiziert wurden, einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise
  • Datum und Zeit der Anrufe (bei Eingang des Hinweises über die telefonische Hotline)
  • Jede andere Information, die in den Untersuchungsergebnissen und in dem auf den Bericht folgenden, weiterführenden Verfahren identifiziert wurden, z. B. Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde

3. Rechtsgrundlage der Datenverarbeitung    

Die Erhebung der personenbezogenen Daten des/der Hinweisgeber(in) bei einem nicht anonymen Hinweis erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten (konkludente Einwilligung) (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen des Helmholtz Munich (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Es ist ein berechtigtes Interesse des Helmholtz Munich, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten zentrumsweit, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für Helmholtz Munich (§§ 30, 130 OWiG) abzuwenden. Auch die Richtlinie (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das zukünftige (derzeit im Entwurf befindliche) Hinweisgeberschutzgesetz fordern die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.
Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 S. 1 Buchst. c DSGVO).

4. Empfänger der Daten und Drittlandübermittlung (EU/EWR-Ausland)    

Alle personenbezogenen Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten.
 
Mit der ersten Bearbeitung der eingehenden Hinweise ist ein externer Anwalt beauftragt. Rechtsanwälte sind aufgrund des für sie gültigen Berufsrechts zur Verschwiegenheit verpflichtet.

Geht der Hinweis über die telefonische Hotline ein, so wird der Hinweis, unter der Wahrung der Anonymität des/der Hinweisgebers/Hinweisgeberin, im Hinweisgebersystem aufgenommen. Die Mitarbeiter:innen der Hotline sind zur Verschwiegenheit verpflichtet (siehe weiter unten).

Am Helmholtz Munich haben nur dazu befugte Mitarbeiter:innen aus folgenden Abteilungen Zugriff auf die Daten (Aufklärungsteam):

  • Compliance
  • Personalabteilung
  • Rechtsabteilung
  • Interne Revision  
  • Gute wissenschaftliche Praxis (fallbezogen)
  • Beschwerdestellen und Beauftragte (fallbezogen)    

In einigen Fällen ist die Hauptabteilung Recht und Compliance verpflichtet, die Daten Behörden (wie solche, die die rechtliche oder aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder externen Beratern (wie Buchprüfern, Wirtschaftsprüfern, Rechtsanwälten) mitzuteilen.

Sofern der/die Hinweisgeber(In) seinen/ihren Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonymer Hinweis), wird die Identität– soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als Hinweisgeber(in) möglich werden.

Werden personenbezogenen Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Das Hinweisgebersystem wird in unserem Auftrag von der LegalTegrity GmbH, Platz der Einheit 2, 60327 Frankfurt/Main betrieben.

Eine Übermittlung von personenbezogenen Daten in Drittländer (EU/EWR-Ausland) erfolgt nicht.

5. Dauer der Verarbeitung, Löschen der Daten    

Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse des Helmholtz Munich oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.

6. Technische Hinweise zur Nutzung des Hinweisgebersystems    

Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgebersystems nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, welcher lediglich die Session-ID beinhaltet. Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.

7. Betroffenenrechte nach der DSGVO    

Ihnen stehen im Zusammenhang mit der Verarbeitung der Sie betreffenden personenbezogenen Daten folgende Rechte zu:   

  • Gemäß Art. 7 DSGVO haben Sie das Recht, Ihre Einwilligung in die Datenverarbeitung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

  • Gemäß Art. 14 DSGVO haben Sie das Recht, wenn Ihre Daten ohne Ihre Kenntnis erhoben werden (etwa weil sie als beschuldigte Person im Verfahren zur Aufklärung des Hinweises involviert sind), über die Speicherung, die Art der Daten, den Zweck der Verarbeitung und die Identität des Verantwortlichen und gegebenenfalls der Hinweisgeberin oder des Hinweisgebers (sofern der Hinweis nicht anonym abgegeben wurde) informiert zu werden. Wenn allerdings das Risiko erheblich wäre, dass eine solche Unterrichtung die Fähigkeit des Helmholtz Munich zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen Beweise gefährden würde, kann diese Information nach Art. 14 Abs. 5 S. 1 lit. b DSGVO so lange aufgeschoben werden, wie diese Gefahr besteht. Die Information muss dann nachgeholt werden, sobald der Grund für den Aufschub entfallen ist.

  • Gemäß Art. 15 DSGVO haben Sie das Recht, Auskunft über die personenbezogenen Daten zu Ihrer Person zu verlangen, die durch Helmholtz Munich verarbeitet werden.

  • Gemäß Art. 16 DSGVO haben Sie das Recht, die unverzügliche Berichtigung oder Vervollständigung falscher oder unvollständiger bei uns gespeicherter Daten zu verlangen.

  • Gemäß Art. 17 DSGVO haben Sie das Recht, die Löschung der Sie betreffenden personenbezogenen Daten, die bei uns gespeichert sind, zu verlangen, sofern die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, welcher Helmholtz Munich unterliegt, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

  • Gemäß Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn Sie die Richtigkeit dieser Daten bestreiten oder die Verarbeitung dieser Daten zu Unrecht erfolgt.

  • Gemäß Art. 20 DSGVO haben Sie das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln oder durch uns übermitteln zu lassen.

  • GEMÄSS ART. 21 DSGVO HABEN SIE DAS RECHT, WIDERSPRUCH GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN EINZULEGEN, SOWEIT DAFÜR GRÜNDE VORLIEGEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN. IHRE DATEN WERDEN DANN NICHT MEHR VERARBEITET, ES SEI DENN, DASS HELMHOLTZ MUNICH ZWINGENDE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN KANN, DIE DIE INTERESSEN, RECHTE UND FREIHEITEN DER BETROFFENEN PERSON ÜBERWIEGEN, ODER DASS DIE VERARBEITUNG DER GELTENDMACHUNG AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN DIENT.

  • Gemäß Art. 77 DSGVO i.V.m. § 17 BDSG haben Sie das Recht, eine Beschwerde gegen das Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) bei der zuständigen Aufsichtsbehörde vorzubringen. Diese ist:
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
    Husarenstr. 30, 53117 Bonn
    Tel.: +49 (0)228-997799-0
    E-Mail:

8. Verantwortlicher im Sinne des Datenschutzrechts

Verantwortlich für die Verarbeitung der oben genannten personenbezogenen Daten und Ihrer damit in Zusammenhang stehenden Anträge und Anfragen ist die:

Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstraße 1
D-85764 Neuherberg

Falls Sie Fragen hinsichtlich des Datenschutzes haben, kontaktieren Sie bitte unseren Datenschutzbeauftragten:

Datenschutzbeauftragter
Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstraße 1
D-85764 Neuherberg
E-Mail: