Mit diesem Datenschutzhinweis erläutern wir Ihnen, welche personenbezogenen Daten wir bei der Nutzung des Hinweisgeberportals (Software „Whistleblower“) von Ihnen erheben und wie wir sie verarbeiten. Die Einhaltung der geltenden Datenschutzvorschriften stellen wir durch entsprechende technische und organisatorische Maßnahmen sicher.
1. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?
Verantwortlich für die Datenerhebung ist
Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist das Compliance Management der Bayerischen Versorgungskammer,
letztere vertreten durch den Vorstand, Denninger Str. 37, 81925 München
E-Mail: compliance@versorgungskammer.de
Telefon: +49 (0)89 9235 9281
Sie erreichen unsere behördlichen Datenschutzbeauftragten unter
Bayerische Versorgungskammer
Datenschutzbeauftragte
81921 München
E-Mail: datenschutz@versorgungskammer.de
Telefon: +49 (0)89 9235 9292
2. Welche Quellen und Daten nutzen wir?
Bei der Kontaktaufnahme zwecks Erteilung eines Hinweises auf Verstöße im Zusammenhang mit Betrug, Geldwäsche, Insidergeschäften, Interessenkonflikten, Korruption, Sponsoring und Werbung, Vertraulichkeit, gegen den Verhaltenskodex der BVK oder sonstige erhebliche Verstöße gegen Gesetze oder Richtlinien oder eines Verdachts hierzu über das eingerichtete Hinweisgeberportal (HGP) können von uns folgende personenbezogene Daten verarbeitet werden:
- Ihr Name und Vorname, berufliche Position, Beschäftigungsort und Ihre beruflichen Kontaktdaten (soweit die Meldung nicht anonym erfolgt) und/oder die entsprechenden Daten der von Ihrer Meldung betroffenen Mitarbeiter und Mitarbeiterinnen,
- der Umstand, dass Sie unser HGP für Zwecke einer Meldung genutzt haben,
- gemeldetes Verhalten der betroffenen Mitarbeiter und Mitarbeiterinnen,
- gegebenenfalls besonders schutzwürdige personenbezogene Daten, wie etwa Gesundheitsdaten, sofern diese im Rahmen der Meldungen oder im späteren Ermittlungsverfahren in das HGP eingetragen werden,
- betriebliche Dokumente wie Leistungsnachweise, Reisekostenabrechnungen, Fahrtenbücher, Rechnungen und ähnliche Dokumente, die auch Daten zu Ihrer Person enthalten können, soweit sie für die Aufklärung des gemeldeten Sachverhaltes benötigt werden,
- Informationen zum Verhalten bei der Nutzung von betrieblichen Kommunikationssystemen wie Metadaten, Logdaten oder auch Inhalte betrieblicher E-Mails, soweit sie für die Aufklärung des gemeldeten Sachverhaltes benötigt werden.
3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Das Hinweisgeberportal dient dem Zweck Meldungen unserer Beschäftigten und externer Personen zum Verhalten von Mitarbeitern und Mitarbeiterinnen, das rechtswidrig ist oder dem Ziel oder Zweck von Rechtsvorschriften zuwiderläuft, auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten. Das Hinweisgeberportal dient der Umsetzung der rechtlichen Verpflichtungen, die sich u.a. aus dem HinSchG ergeben.
Die unter Ziffer 1 genannten personenbezogenen Daten verarbeiten wir damit insbesondere für folgende Zwecke:
- Prüfung, ob die übermittelten Hinweise plausibel erscheinen und einen Verstoß gegen Gesetze oder sonstige rechtlich verbindliche Vorgaben oder arbeitsvertragliche Pflichtverletzungen nahelegen,
- gegebenenfalls die weitere Aufklärung des gemeldeten Sachverhalts mit Blick auf etwaige Verstöße gegen Gesetze oder sonstige rechtlich verbindliche Vorgaben oder arbeitsvertragliche Pflichtverletzungen,
- gegebenenfalls die weitere Aufklärung zum Zweck der Entlastung von zu Unrecht verdächtigten Beschäftigten,
- gegebenenfalls für die Abwehr von drohenden wirtschaftlichen und sonstigen Nachteilen und für die Geltendmachung oder / und Durchsetzung von Rechten der BVK und der von ihr verwalteten Versorgungseinrichtungen, und
- gegebenenfalls die Erfüllung etwaiger Mitwirkungspflichten der BVK und der von ihr verwalteten Versorgungseinrichtungen im Rahmen von Ermittlungen durch Strafverfolgungs- oder sonstige Behörden.
Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten bildet Art. 6 Abs. 1 Buchst. c DSGVO i.V.m. §§ 16ff. HinSchG. Soweit im Rahmen der Meldungen oder im späteren Ermittlungsverfahren in das Hinweisgeberportal besonders schutzwürdige personenbezogene Daten nach Art. 9 Abs. 1 DSGVO eingetragen werden, verarbeiten wir diese auf der Rechtsgrundlage von §§ 16ff. HinschG i. V. m. Art. 9 Abs. 2 Buchst. g DSGVO.
Im Rahmen der von Ihnen abgegebenen Meldung kann zur Einleitung von Folgemaßnahmen eine Weitergabe Ihrer Stammdaten an andere interne Stellen erforderlich sein. Das erfordert gemäß § 9 Abs. 3 HinSchG i.V.m. Art. 6 Abs. 1 lit. a DSGVO allerdings Ihre Einwilligung . Falls Sie diese Einwilligung nicht geben, erwachsen Ihnen daraus keinerlei Nachteile. Denn die Einwilligung ist freiwillig und für die Zukunft jederzeit frei widerrufbar.
4. Technische Umsetzung zur Sicherheit Ihrer Daten
Die Kommunikation über das Hinweisgeberportal erfolgt über eine verschlüsselte Verbindung. Bei der Nutzung werden Ihre IP-Adresse und Ihr derzeitiger Standort zu keinem Zeitpunkt gespeichert. Nach dem Absenden eines Hinweises erhalten Sie Zugangsdaten zu einem Postfach, um mit uns weiterhin geschützt kommunizieren zu können.
Die von Ihnen zur Verfügung gestellten Daten werden auf einer besonders gesicherten Datenbank unseres Dienstleisters Whistleblower Software by Formalize in der Europäischen Union gespeichert. Sämtliche auf der Datenbank hinterlegten Daten werden nach dem aktuellen Stand der Technik verschlüsselt. Die Einsichtnahme in die Daten ist nur durch die interne Meldestelle im CM möglich. Auch Whistleblower Software by Formalize oder andere Dritte haben nicht die Möglichkeit, diese Daten zu entschlüsseln und lesbar zu machen.
5. Wer bekommt Ihre Daten?
Personenbezogenen Daten aus dem Hinweisgeberportal werden in erster Linie beim Compliance Management im Rahmen einer Meldung bzw. der Aufklärung des gemeldeten Compliance-Verstoßes verarbeitet. Die Verarbeitung schließt die Anhörung von Zeugen und/oder Führungskräften ein. Weitere Empfänger können sein:
- das Personalmanagement, wenn dieses vom gemeldeten Sachverhalt ebenfalls oder allein betroffen bzw. für die weitere Sachbearbeitung zuständig ist.
- Strafverfolgungsbehörden oder Gerichte, wenn der gemeldete Verstoß den Verdacht strafbarer Handlungen begründet.
Alle zur Einsichtnahme autorisierten Personen sind ausdrücklich zur Vertraulichkeit verpflichtet.
Grundsätzlich besteht für uns die datenschutzrechtliche Verpflichtung, die Person(en), die in Ihrer Meldung genannt werden, von den gegen sie erhobenen Vorwürfen zu informieren. Dies ist nur dann nicht geboten, wenn objektiv feststeht, dass die Informationserteilung an diese Person(en) die Aufklärung des gemeldeten Sachverhaltes noch beeinträchtigen könnte. Wenn Sie Ihre Meldung nicht anonym abgegeben haben, werden wir Ihre Identität als Hinweisgeber/in – soweit rechtlich zulässig (z.B. gem. Art. 14 Abs. 5 DSGVO) – nicht offenlegen und es wird zusätzlich sichergestellt, dass dabei auch sonst keine Rückschlüsse auf Ihre Identität möglich sind. Bitte beachten Sie, dass wir im Falle einer wissentlich falschen Meldung mit der Absicht, eine andere Person zu diskreditieren, verpflichtet sein können, Ihre Identität gegenüber dieser Person offenzulegen.
6. Werden Ihre Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Übermittlung der personenbezogenen Daten in sog. Drittländer (außerhalb der EU und des EWR, also des Geltungsbereichs der DSGVO) erfolgt nicht.
7. Wie lange werden Ihre Daten gespeichert?
Die personenbezogenen Daten aus dem HGS werden grundsätzlich innerhalb von drei Jahren nach Abschluss der jeweiligen Untersuchung gelöscht (§ 11 Abs. 5 HinSchG), soweit sie nicht zu anderen Zwecken weiterverarbeitet werden müssen, z. B. zur Erfüllung von Aufbewahrungspflichten oder zur Ausübung, Geltendmachung oder Verteidigung von Rechtsansprüchen.
Die Daten werden bei Amazon Web Services Inc. (AWS) im Rechenzentrum in Frankfurt, Main, gespeichert und können bei Weitergabe an Dritte auch bei diesen gespeichert sein.
8. Welche Datenschutzrechte haben Sie?
Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüfen wir, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch das Compliance Management der Bayerischen Versorgungskammer ist die zuständige Aufsichtsbehörde der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München, Tel. +49 (0)89 212672 0, poststelle@Datenschutz-Bayern.de
9. Gibt es für Sie eine Pflicht zur Bereitstellung von Daten?
Die Nutzung des Hinweisgeberportal ist rein freiwillig. Es besteht weder eine Verpflichtung zur Nutzung des Hinweisgeberportal noch zur Offenlegung Ihrer Identität.