Zum Hauptinhalt springen

DATENSCHUTZBESTIMMUNGEN HINWEISGEBER SYSTEM

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher ist Carthago Reisemobilbau GmbH, Carthago-Ring 1, 88326 Aulendorf, +49 (0)7525 92000.

Datenschutzbeauftragter: Christoph Boser
Carthago Ring 1, 88326 Aulendorf
Telefon: +49 7525 9200 3000
E-Mail: datenschutz@carthago.com
 
Bei Fragen zum Datenschutz können Sie sich jederzeit per E-Mail unter an unseren Datenschutzbeauftragten wenden. E-Mail datenschutz@carthago.com.
 

2. Zweck unseres internen Hinweisgebersystems

Wir stellen ein internes Hinweisgebersystem zur Verfügung, um Hinweise auf potenzielle Missstände, Gesetzesverstöße und sonstiges Fehlverhalten im Unternehmen auf einem sicheren und vertraulichen Weg entgegennehmen, bearbeiten und verwalten zu können.
 

3. Hinweisgeber

Unser internes Hinweisgebersystem steht Mitarbeitern und ehemaligen Mitarbeitern unseres Unternehmens und Dritten (z.B. Kunden, Geschäftspartner, Lieferanten, Mitarbeiter verbundener Unternehmen) zur Verfügung.
 

4. Art der Hinweise

  • Bei einem anonymen Hinweis erhebt und verarbeitet unser Hinweisgebersystem keinerlei personenbezogene Daten des jeweiligen Hinweisgebenden.
  • Bei einem vertraulichen Hinweis liegen nur dem externen Betreiber unseres Hinweisgebersystems CONFDNT die Kontaktdaten der Hinweisgebenden vor, diese werden uns gegenüber jedoch nicht offengelegt. Bei einem vertraulichen Hinweis besteht für uns die Möglichkeit der unmittelbaren Kommunikation mit den Hinweisgebenden, um z.B. den Eingang des jeweiligen Hinweises bestätigen, Rückfragen zum Sachverhalt stellen und die Hinweisgebenden über ergriffene Maßnahmen informieren zu können. Wir erhalten dabei jedoch keine Information zur Identität des Hinweisgebenden. Der externe Betreiber unseres Hinweisgebersystems CONFDNT steht als „Anonymisierungs-Layer“ zwischen uns und den Hinweisgebenden.
  • Bei einem transparenten Hinweis erhält der intern bei uns im Unternehmen für die Bearbeitung von Hinweisen zuständige Ansprechpartner Zugriff auf die Daten zur Identität der/des Hinweisgebenden und kann unmittelbar mit der/dem Hinweisgebenden kommunizieren. Wir sind dabei gemäß der EU-Whistleblower-Richtlinie verpflichtet, die Vertraulichkeit der Identität der Hinweisgebenden zu wahren, d.h. nur der bzw. die Mitarbeiter, die den jeweiligen Hinweis bearbeiten, dürfen die Identität der/des Hinweisgebenden kennen, sonst niemand im Unternehmen.

 

5. Verarbeitete personenbezogene Daten

Wenn über das Hinweisgebersystem ein Hinweis gegeben wird, verarbeiten wir dabei folgende personenbezogenen Daten:

  • Name und Kontaktdaten des Hinweisgebenden, sofern diese bei einem transparenten Hinweis angegeben werden, bei einem vertraulichen Hinweis wird der externen Betreiber unseres Hinweisgebersystems CONFDNT die personenbezogenen Daten der/des Hinweisgebenden nicht an uns weitergeben, bei einer anonymen Meldung werden keinerlei personenbezogene Daten der/des Hinweisgebenden verarbeitet
  • Die IP-Adresse der/des Hinweisgebenden wird zur Verarbeitung einer Meldung innerhalb der Anwendung nicht gespeichert. Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität des Servers und der mit dem Server verbundenen Anwendungen und Schnittstellen, werden Zugriffe auf dem Server protokolliert, um potenzielle Sicherheitsverstöße erkennen und behandeln zu können. Zugriffe, die mit keinem Sicherheitsverstoß in Verbindung gebracht werden können, werden wartungsintervallbedingt spätestens nach einem Kalendermonat gelöscht.
  • Unternehmenszugehörigkeit bzw. Funktion werden verarbeitet, sofern diese im Rahmen eines Hinweises angegeben werden
  • Personenbezogene Daten von Personen, die in einem Hinweis genannt werden, werden zur Untersuchung bzw. Behandlung eines Hinweises verarbeitet

Die Kommunikation zwischen dem Rechner der/des Hinweisgebenden und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Zur Aufrechterhaltung der Verbindung zwischen dem Rechner und dem Hinweisgebersystem wird ein Cookie auf dem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende der jeweiligen Session gültig und wird beim Schließen des Browsers gelöscht.
 

6. Vertrauliche Behandlung von Hinweisen und Weitergabe

Eingehende Hinweise werden von wenigen autorisierten Mitarbeitern entgegengenommen und bearbeitet. Diese Mitarbeiter sind ausdrücklich dazu verpflichtet, sämtliche Hinweise stets vertraulich zu behandeln. Diese zuständigen Mitarbeiter prüfen den Hinweis und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Im Rahmen der Sachverhaltsaufklärung und gegebenenfalls der anschließenden Einleitung von Maßnahmen kann es erforderlich sein, Hinweise an weitere Mitarbeiter des Unternehmens weiterzugeben. Dies erfolgt ausschließlich im Rahmen der Erforderlichkeit für die Aufklärung bzw. Einleitung von Maßnahmen und wir achten stets darauf, die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen einzuhalten. In bestimmten Fällen besteht die datenschutzrechtliche Verpflichtung, die beschuldigte Person von den gegen sie erhobenen Vorwürfen zu informieren. Dies ist in solchen Fällen gesetzlich geboten, wenn objektiv feststeht, dass die Informationserteilung an den Beschuldigten die konkrete Hinweisaufklärung nicht (mehr) beinträchtigen kann. Dabei wird die Identität der/des Hinweisgebenden, soweit dies rechtlich möglich ist, nicht offengelegt und es wird sichergestellt, dass bei der Information keine Rückschlüsse auf die Identität der/des Hinweisgebenden möglich werden. Beim wissentlichen Einstellen falscher Hinweise mit dem Ziel, eine Person zu diskreditieren (Denunziation), kann die Vertraulichkeit der Identität der/des Hinweisgebenden nicht gewährleistet werden. Bei entsprechender gesetzlicher Verpflichtung oder datenschutzrechtlicher Erforderlichkeit für die Hinweisaufklärung kommen als weitere Kategorien von. Empfängern Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie von uns beauftragte Rechtsanwalts- und Wirtschaftsprüfungsgesellschaften in Frage.
 

7. Einrichten eines Accounts

Hinweisgebenden richten einen Account für ihren Hinweis ein. Der Account ist über einen QR-Code und/oder über einen individuellen Link zu erreichen- Über den Account kann die Kommunikation zwischen den im Unternehmen mit der Bearbeitung des Hinweises betrauten Mitarbeitenden und der/dem Hinweisgeber erfolgen. Bei der Erstellung und Nutzung des Accounts werden keine zusätzlichen personenbezogenen Daten erhoben. Es kann eine anonyme Erfassung der Nutzung des Hinweisgebersystems erfolgen, wobei jedoch keinerlei Rückschlüsse auf einzelne Nutzer möglich sind. Einzelne Hinweise werden durch eine Identifikationsnummer eindeutig gekennzeichnet. Die Identifikationsnummer dient dabei keinesfalls dazu, die/den Hinweisgebenden zu identifizieren, sondern lediglich dazu, verschiedene Hinweise und Hinweisgebenden logisch voneinander zu separieren. Die im Hinweisgebersystem angegebenen personenbezogenen Daten können von der/dem Hinweisgebenden im Account jederzeit eingesehen werden. Weitere personenbezogene Daten als die im Account angegebenen personenbezogenen Daten werden vom Hinweisgebersystem nicht gespeichert. Alle von der/dem Hinweisgebenden eingegebenen Daten werden individuell verschlüsselt in einer Datenbank gespeichert.
 

8. Rechtsgrundlagen

Die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystems stützt sich auf die Erfüllung rechtlicher Verpflichtungen sowie unser überwiegendes berechtigtes Interesse an der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden und Haftungsrisiken für das Unternehmen. Rechtsgrundlage ist dementsprechend Art. 6 Abs. 1 lit. c) und lit. f) DSGVO iVm. §§ 30, 130 OWiG.
Betrifft ein Hinweis einen unserer Mitarbeitenden, dient die Verarbeitung zudem der Verhinderung und Aufdeckung von Straftaten oder sonstigen Rechtsverstöße, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen. Rechtsgrundlage in diesem Fall ist § 26 Abs. 1 BDSG.
 

9. Aufbewahrung und Löschung

Personenbezogene Daten werden so lange aufbewahrt, wie es für die Aufklärung und abschließende Beurteilung eines Hinweises erforderlich ist oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist.
Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.
Die Löschung der erhobenen Daten erfolgt dabei grundsätzlich innerhalb von zwei Monaten nach Abschluss der internen Ermittlungen.
Kommt es infolge eines Fehlverhaltens im Sinne dieser Richtlinie oder eines Missbrauchs des Hinweisgebersystems zu einem Straf-, Disziplinar- oder Zivilgerichtsverfahren, kann sich die Speicherdauer bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens verlängern.
Personenbezogene Daten, die für die Bearbeitung eines spezifischen Hinweises offensichtlich nicht relevant sind, werden nicht erhoben bzw. unverzüglich wieder gelöscht, falls sie unbeabsichtigt erhoben wurden.
 

10. Dienstleister

Unser Hinweisgebersystem wird vom Dienstleister Compliance.One GmbH in Deutschland auf Basis einer Vereinbarung Auftragsverarbeitung gem. Art. 28 DSGVO zur Verfügung gestellt.
 

11. Ihre Rechte als Betroffener

Als Betroffener stehen Ihnen die folgenden Rechte zu, soweit die gesetzlichen Voraussetzungen dafür erfüllt sind:

  • Recht auf Auskunft, Art. 15 DSGVO
  • Recht auf Berichtigung, Art. 16 DSGVO
  • Recht auf Löschung, Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
  • Recht auf Datenübertragbarkeit, Art. 20 DSGVO
  • Widerspruchsrecht, Art. 21 DSGVO

Soweit die Datenverarbeitung auf einer Abwägung der berechtigten Interessen beruht, haben Sie das Recht, dieser Verarbeitung der Daten zu widersprechen. Hierfür müssen berechtigte Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Sie besitzen außerdem das Recht, sich bei den Datenschutzaufsichtsbehörden über die Datenverarbeitung zu beschweren.
 

12. Änderung dieser Datenschutzinformationen

Wir behalten uns vor, diese Datenschutzinformationen gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht und/oder um Änderungen der Datenverarbeitung entsprechend abzubilden. Für Ihre erneute Nutzung gelten dann die neuen Datenschutzinformationen.