Datenschutz
1 Zweck der Datenverarbeitung
1.1 Gemäß unserer Verpflichtung nach dem Hinweisgeberschutzgesetz (HinSchG) haben wir eine digitale interne Meldestelle eingerichtet. Die interne Meldestelle ist Teil unseres Compliance Management Systems.
1.2 Mitarbeitende, Kunden, Geschäftspartner oder sonstige hinweisgebende Personen können hierüber den Verdacht von Verstößen gegen Gesetze und interne Regeln sicher und vertraulich melden. Hierdurch sollen Aufdeckung und Prävention wesentlicher Regelverstöße gefördert und erhebliche Risiken und Schäden abgewendet werden.
2 Verantwortlichkeit
2.1 Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist (nachfolgend auch Organisation):
EHI Retail Institute GmbH, Spichernstr. 55, 50672 Köln, Deutschland, Telefon: +49 221 57993-0, Telefax: +49 221 57993-45, E-Mail: info@ehi.org
2.2 Im Rahmen der Bearbeitung von Hinweisen und zu treffenden Folgemaßnahmen kann es erforderlich sein, Informationen zu einem gemeldeten Vorfall an rechtliche Berater oder zuständige Behörden zu übermitteln.
2.3 Für Fragen zum Datenschutz steht unser Datenschutzbeauftragter postalisch unter EHI Retail Institute GmbH, Spichernstr. 55, 50672 Köln, Deutschland oder per E-Mail datenschutz@ehi.org zur Verfügung.
3 Technische Infrastruktur
3.1 Die interne Meldestelle wird mit der Hinweisgebersystem-Software AdvoWhistle des Technikdienstleister iComply GmbH, Große Langgasse 1A, 55116 Mainz, Deutschland, betrieben.
3.2 Personenbezogene Daten und Informationen, welche in das Hinweisgebersystem eingegeben werden, werden in einer vom Technikdienstleister betriebenen Datenbank in einem ISO/IEC 27001 zertifizierten Rechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur den ausdrücklich autorisierten Bearbeitenden möglich. Durch Ende-zu-Ende-Verschlüsselung aller Daten, mehrstufigen Passwortschutz, technische und organisatorische Maßnahmen und regelmäßige Zertifizierungen ist gewährleistet, dass Technikdienstleister, der Rechenzentrumsbetreiber und sonstige Dritte keinen Zugang zu den Daten haben.
4 Rechtsgrundlagen
4.1 Rechtsgrundlage für die Verarbeitung von Hinweisen, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen, ist die rechtliche Verpflichtung gemäß Art. 6 Abs 1 c) DSGVO in Verbindung mit § 10 Hinweisgeberschutzgesetz (HinSchG).
4.2 Rechtsgrundlage für die Verarbeitung von Hinweisen, die sich auf Verstöße gegen interne Regeln beziehen, ist das überwiegende berechtigte Interesse an der Aufdeckung und Prävention wesentlicher Regelverstöße und der damit verbundenen Abwendung von Risiken und Schäden gemäß Art. 6 Abs 1 f) DSGVO.
5 Nutzung des Meldeportals
5.1 Die Nutzung von AdvoWhistle erfolgt auf freiwilliger Basis. Bei der Abgabe eines Hinweises erhebt AdvoWhistle folgende personenbezogene Daten und Informationen:
- hinweisgebende Person: Name (sofern Sie Ihre Identität offenlegen), Kontaktdaten (sofern Sie diese zur Verfügung stellen)
- von Vorfällen betroffene Personen: Vor- und Nachname, Informationen über Vorfälle und Verdacht auf Gesetzesverletzungen und Regelverstöße
- Zeugen und/oder Dritte, welche im Hinweis genannt werden (z.B. Kunden, Lieferanten, Kollegen oder Geschäftspartner): Vor- und Nachname, Kontaktdaten
5.2 Bei Hinweisabgabe und Versand von Ergänzungen können Dateianhänge übermittelt werden. Soweit Anonymität gewahrt werden soll, müssen versteckte personenbezogene Daten vor dem Versand entfernt werden. Sollte das nicht gelingen, kann etwa lediglich der Text aus diesen Dateien in das digitale Meldeformular einkopiert werden, oder Ausdrucke dieser Dateien an die Postanschrift der Verantwortlichen gesandt werden.
6 Vertraulichkeit
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter Bearbeitender entgegengenommen und stets vertraulich behandelt. Die Bearbeitenden prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
7 Betroffenenrechte
7.1 Personen, deren personenbezogene Daten verarbeitet werden (Betroffene) haben das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die über sie gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung. Sofern wir Ihre Daten auf Grundlage unseres berechtigten Interesses verarbeiten, haben Sie bei Vorliegen berechtigter Gründe, die sich aus Ihrer besonderen Situation ergeben, das Recht der Verarbeitung zu widersprechen (Widerspruchsrecht).
7.2 Zusätzlich haben Betroffene das Recht auf Berichtigung unrichtiger personenbezogener Daten, das Recht auf Löschung personenbezogener Daten, das Recht auf Einschränkung der Verarbeitung personenbezogener Daten, das Recht auf Datenübertragbarkeit.
7.3 Betroffene haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Betroffene können sich hierfür an die Aufsichtsbehörde ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden.
8 Aufbewahrungsdauer von Daten
Die Dokumentation von Hinweisen und darin enthaltene personenbezogene Daten werden grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann in Einzelfällen länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz (HinSchG) oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Zu Dokumentationszwecken wird darüber hinaus eine abschließende Einschätzung gespeichert.