Daten­schutz­er­klärung Hinweis­ge­ber­strecke

Stand: Januar 2023

Mit dieser Daten­schutz­er­klärung unter­richten wir dich darüber, wie perso­nen­be­zogene Daten erhoben, verar­beitet und genutzt werden, wenn du unsere Hinweis­ge­ber­strecke nutzt und uns perso­nen­be­zogene Daten übermit­telst.

Diese Daten­schutz­er­klärung gilt für unsere Hinweis­ge­ber­strecke, die unter der folgenden URL abrufbar ist: HYPERLINK und über alle weiteren Kommu­ni­ka­ti­ons­kanäle (z.B. posta­lisch).

Die Daten­schutz­hin­weise des Auftrags­ver­ar­beiters (lawcode GmbH; „hintbox.de“) finden sich unter www.hintbox.de/datenschutzerklaerung/

1

Name und Kontakt­daten des Verant­wort­lichen

Verant­wortlich für die Verar­beitung deiner Daten ist:

Europace AG
Heide­straße 8
10557 Berlin

Vorstände: Stefan Münter, Thomas Heise­rowski

2

Kontakt­daten Daten­schutz­themen

Das Daten­schutzteam bei Europace erreichst du unter:

Die Kontakt­daten des Daten­schutz­be­auf­tragten bei Europace sind wie folgt:

ISiCO Daten­schutz GmbH
z.Hd. Daten­schutz­be­auf­tragten Europace AG
Am Hamburger Bahnhof 4
10557 Berlin

Zu diesen Stellen kannst du vertraulich Kontakt aufnehmen. Der Daten­schutz­be­auf­tragte ist gesetzlich zur Verschwie­genheit verpflichtet und auch die Ombuds­per­sonen werden die Vertrau­lichkeit wahren.

3

Daten, die wir verar­beiten und die wir bei Dir / über Dich erheben

Mögli­cher­weise werden perso­nen­be­zogene Daten verar­beitet, die alle Kategorien perso­nen­be­zo­gener Daten umfassen, welche im Rahmen eines Hinweises auftreten können, einschließlich sensibler Daten und mutmaß­licher Geset­zes­ver­stöße. Dazu können auch besondere Kategorien perso­nen­be­zo­gener Daten i.S.d. Art. 9 DSGVO gehören. Hierbei werden Daten teilweise zu der Person, die den Hinweis gibt (Hinweis­geber), verar­beitet, teilweise aber über andere Personen, soweit diese im Rahmen des gemel­deten Sachver­halts eine Rolle spielen.

Von den Hinweis­gebern werden optional der Name, Vorname, E‑Mail-Adresse oder andere Kontakt­daten und die Organi­sa­ti­ons­zu­ge­hö­rigkeit aufge­nommen. Im Rahmen der optio­nalen Bereit­stellung von Nachweisen zu dem Sachverhalt können weitere Daten des Hinweis­gebers, aber auch von Dritten wie beispiels­weise von Ansprech­partnern bei Kunden oder Kolle­ginnen und Kollegen verar­beitet werden.

Von beschul­digten oder verdäch­tigten Personen und Dritten (z.B. Zeugen oder Geschä­digte) werden ggf. Daten bei der Meldung verar­beitet. Verpflichtend bei der Meldung durch die Hinweis­geber ist die Angabe, ob der Vorfall bereits gemeldet wurde. Dabei können Daten von Vorge­setzten oder Beschäf­tigten erfasst werden, welche im Rahmen der Meldung genannt werden. Bei der Beschreibung des Vorfalls, des Schadens sowie der betei­ligten Personen und deren Rollen bei dem Vorfall, können ebenfalls perso­nen­be­zogene Daten Dritter, beispiels­weise von Ansprech­partnern bei Kunden oder Kolle­ginnen und Kollegen oder Ansprech­partner bei Geschäfts­partnern verar­beitet werden. Es können jeweils Name, Vorname, E‑Mail-Adresse oder andere Kontakt­daten und die Organi­sa­ti­ons­zu­ge­hö­rigkeit sowie weitere in der Meldung genannte Angaben verar­beitet werden.

Von den Ombuds­per­sonen werden Daten wie ihr Name und ihre E‑Mail-Adresse bei der Anmeldung auf hintbox.de und der Bearbeitung des Falles verar­beitet.

4

Bearbeitung einer Meldung

Wenn über die Hinweis­ge­ber­strecke eine Meldung eingeht, haben nur die Ombuds­per­sonen bei Europace auf diese Meldung Zugriff. Die Ombuds­per­sonen werden diese Meldungen sichten und bei Verstößen gegen maßgeb­liche Normen und interne Richt­linien weitere Unter­su­chungen einleiten. (Maßgeb­liche Normen betreffen insbe­sondere solche Verstöße, die straf- oder bußgeld­be­wehrt sind und Verstöße gegen Normen des Verga­be­rechts, Steuer­rechts, des Rechts der Aktien­ge­sell­schaften, bestimmter Verstöße gegen das Finanz­dienst­leis­tungs­auf­sichts­gesetz, Vorgaben zur Bekämpfung von Terro­ris­mus­fi­nan­zierung oder produkt­si­cher­heits­recht­liche Vorgaben sowie Verstöße gegen Normen zum Schutz der Privat­sphäre und perso­nen­be­zo­gener Daten sowie zur Sicherheit von Netz- und Infor­ma­ti­ons­sys­temen).

Meldungen über die Hinweis­ge­ber­strecke sind vollständig anonym möglich. Die Angabe eines Namens und der Kontakt­daten ermög­licht es uns jedoch Rückfragen zum Sachverhalt zu stellen und die Ermitt­lungen zu beschleu­nigen.

Die Identität des Hinweis­gebers wird entspre­chend Art. 16 der Hinweis­ge­ber­richt­linie ohne dessen ausdrück­liche Zustimmung keinen anderen Personen als gegenüber den Ombuds­per­sonen oder denje­nigen, die für das Ergreifen von Folge­maß­nahmen zuständig sind, offen­gelegt. Dies gilt auch für alle anderen Infor­ma­tionen, aus denen die Identität des Hinweis­gebers direkt oder indirekt abgeleitet werden kann. Abwei­chend hiervon dürfen bzw. müssen die Identität des Hinweis­gebers sowie alle anderen Infor­ma­tionen dann offen­gelegt werden, wenn dies nach Unions­recht oder natio­nalem Recht eine notwendige und verhält­nis­mäßige Pflicht im Rahmen der Unter­su­chungen durch nationale Behörden oder von Gerichts­ver­fahren darstellt, so auch im Hinblick auf die Wahrung der Vertei­di­gungs­rechte der betrof­fenen Person.

Die Verar­beitung perso­nen­be­zo­gener Daten erfolgt im Rahmen des Hinweis­ge­ber­systems insbe­sondere gem. Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 8 der Hinweis­ge­ber­richt­linie sowie § 26 Abs. 1 BDSG zur Erfüllung der sich aus der Richt­linie ergebenden Verpflichtung von Europace, ein effek­tives Hinweis­ge­ber­system bereit­zu­stellen. Dabei können auch perso­nen­be­zogene Daten für Zwecke des Beschäf­ti­gungs­ver­hält­nisses, insbe­sondere zur Aufde­ckung von Straf­taten, verwendet werden.

Die Verar­beitung perso­nen­be­zo­gener Daten erfolgt außerdem auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, da sie zur Wahrung der berech­tigten Inter­essen von Europace erfor­derlich ist. Das Ziel der Einrichtung des Hinweis­ge­ber­systems ist es, Missstände frühzeitig zu erkennen und diese zu beheben oder Schäden eindämmen zu können.

Meldungen, die nicht auf Verstöße gegen maßgeb­liche Normen und interne Richt­linien verweisen, werden umgehend nach der Eingangs­prüfung gelöscht. Angaben, die für die Bearbeitung einer spezi­fi­schen Meldung offen­sichtlich nicht relevant sind, werden ebenfalls unver­züglich gelöscht. Andern­falls werden die Meldungen spätestens 3 Jahre nach Abschluss der Ermitt­lungen gelöscht.

5

Weitergabe von Daten

In bestimmten Fällen werden wir einen Teil deiner Daten, die wir im Rahmen des Hinweis­ge­ber­ver­fahrens verar­beiten, an Stellen und Personen außerhalb unseres Unter­nehmens weiter­geben (siehe unten). Diese Dritten nennt das Gesetz „Empfänger von perso­nen­be­zo­genen Daten“. Nach Kategorien einge­ordnet, geben wir Daten an folgende Gruppen von Empfängern weiter:

  • Behörden, unter anderem
    — Polizei
    — Staats­an­walt­schaft
    — Finanz­be­hörden
    — Steuer­be­hörden
    — Wettbe­werbs­be­hörden
  • Gerichte
  • Kanzleien, die für Europace tätig werden
  • Wirtschafts­prü­fungs­ge­sell­schaften, die für Europace tätig werden
  • technische Dienst­leister (Google Ireland Ltd., Microsoft Microsoft Ireland Ltd. und lawcode GmbH) sowie die Hypoport Hub SE und weitere mit uns in der Unter­neh­mens­gruppe verbun­denen Unter­nehmen, sofern diese für uns Leistungen erbringen (z.B. IT-Support oder ähnliches) oder zentrale Aufgaben übernehmen (z.B. Aufgaben der Perso­nal­ab­teilung)

Sofern wir zur Weitergabe deiner Daten rechtlich verpflichtet oder deine Daten für die Arbeit der für uns tätigen Steuer­be­ra­tungs­ge­sell­schaften, Kanzleien oder Wirtschafts­prüf­ge­sell­schaften erfor­derlich sind, geben wir deine Daten im erfor­der­lichen Umfang an diese weiter. Diese Stellen sind stets berufs­rechtlich zur Vertrau­lichkeit verpflichtet.

Technische Dienst­leister, die in unserem Auftrag tätig werden, verar­beiten teilweise Daten für uns. Sofern dies der Fall ist, schließen wir mit ihm einen sog. Auftrags­ver­ar­bei­tungs­vertrag ab, durch den wir den Dienst­leister verpflichten, die Verar­beitung der Daten sorgfältig und nach unseren Weisungen vorzu­nehmen. Hierdurch verar­beiten die Dienst­leister die Daten nach unseren Vorgaben und in unserem Auftrag, weswegen sie als Auftrags­ver­ar­beiter bezeichnet werden.

6

Übermittlung an ein Drittland

Perso­nen­be­zogene Daten werden von Europace in bestimmten Konstel­la­tionen auch an Dritt­länder übermittelt. Als Drittland im daten­schutz­recht­lichen Sinne gelten Länder außerhalb des Europäi­schen Wirtschafts­raums. Ein solches Drittland stellen unter anderem auch die USA dar.

Perso­nen­be­zogene Daten werden insbe­sondere im Rahmen des Einsatzes der G‑Suite / Google Workspace von Google ggf. in die USA übermittelt. Mit Google haben wir hierfür einen Auftrags­ver­ar­bei­tungs­vertrag sowie die sog. europäi­schen Standard­ver­trags­klauseln abgeschlossen. Damit verpflichtet sich Google ein der EU vergleich­bares Daten­schutz­niveau auch bei der Verar­beitung in den USA umzusetzen. Zudem sind weitere technische Maßnahmen der Verschlüs­selung imple­men­tiert, die Daten vor einem unberech­tigten Zugriff schützen.

7

Deine Rechte

Dir steht jederzeit das Recht zu, Auskunft über die Verar­beitung deiner perso­nen­be­zo­genen Daten durch uns zu verlangen. Wir werden dir im Rahmen der Auskunfts­er­teilung die Daten­ver­ar­beitung erläutern und eine Übersicht der über deine Person gespei­cherten Daten zur Verfügung stellen.

Falls bei uns gespei­cherte Daten falsch oder nicht mehr aktuell sein sollten, hast du das Recht, diese Daten berich­tigen zu lassen.

Du kannst außerdem die Löschung deiner Daten verlangen. Sollte die Löschung aufgrund anderer Rechts­vor­schriften ausnahms­weise nicht möglich sein, werden die Daten gesperrt, so dass sie nur noch für diesen gesetz­lichen Zweck verfügbar sind.

Du kannst die Verar­beitung deiner Daten außerdem einschränken lassen, z. B. wenn du der Auffassung bist, dass die von uns gespei­cherten Daten nicht korrekt sind. Dir steht auch das Recht auf Daten­über­trag­barkeit zu, d. h. dass wir dir auf Wunsch eine digitale Kopie der von dir bereit­ge­stellten perso­nen­be­zo­genen Daten zukommen lassen.

Um deine hier beschrie­benen Rechte geltenden zu machen, kannst du dich jederzeit an die oben genannten Kontakt­daten wenden. Dies gilt auch, sofern du Kopien von Garantien zum Nachweis eines angemes­senen Daten­schutz­ni­veaus erhalten möchtest.

Zudem hast du das Recht der Daten­ver­ar­beitung zu wider­sprechen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht oder der Direkt­werbung dient (Art. 21 Abs. 1 S. 1 DSGVO). Du hast schließlich das Recht dich bei der für uns zustän­digen Daten­schutz­auf­sichts­be­hörde zu beschweren. Du kannst dieses Recht bei einer Aufsichts­be­hörde in dem Mitglied­staat deines Aufent­haltsorts, deines Arbeits­platzes oder des Orts des mutmaß­lichen Verstoßes geltend machen. In Berlin ist die zuständige Aufsichts­be­hörde: Berliner Beauf­tragte für Daten­schutz und Infor­ma­ti­ons­freiheit, Fried­richstr. 219, 10969 Berlin.

Widerrufs- und Wider­spruchs­recht

Du hast gemäß Art. 7 Abs. 3 DSGVO das Recht, eine einmal erteilte Einwil­ligung jederzeit uns gegenüber zu wider­rufen. Dies hat zur Folge, dass wir die Daten­ver­ar­beitung, die auf dieser Einwil­ligung beruhte, für die Zukunft nicht mehr fortführen. Durch den Widerruf der Einwil­ligung wird die Recht­mä­ßigkeit der aufgrund der Einwil­ligung bis zum Widerruf erfolgten Verar­beitung nicht berührt.

Soweit wir deine Daten auf Grundlage von berech­tigten Inter­essen gemäß Art. 6 Abs. 1 lit. f DSGVO verar­beiten, hast du gemäß Art. 21 DSGVO das Recht, Wider­spruch gegen die Verar­beitung deiner Daten einzu­legen und uns Gründe zu nennen, die sich aus deiner beson­deren Situation ergeben und die deiner Meinung nach für ein Überwiegen deiner schutz­wür­digen Inter­essen sprechen. Geht es um einen Wider­spruch gegen die Daten­ver­ar­beitung zu Zwecken der Direkt­werbung hast du ein generelles Wider­spruchs­recht, das auch ohne die Angabe von Gründen von uns umgesetzt wird.

Möchtest du von deinem Widerrufs- oder Wider­spruchs­recht Gebrauch machen, genügt eine formlose Mitteilung an die oben genannten Kontakt­daten.