Datenschutz Hinweisgebersystem

1. Datenschutz auf einem Blick

Wir nehmen den Schutz von personenbezogenen Daten sehr ernst. Unter Beachtung des EKD-Datenschutzgesetz – (DSG-EKD) sowie der EU-Datenschutz-Grundverordnung (DSGVO) informieren wir Sie, welche Ihrer Daten wer bei der Nutzung des Hinweisgebersystems „hintcatcher“ zu welchem Zweck verarbeitet, welche Rechte Sie als Benutzer haben und wer die Verantwortung für die Datenverarbeitung trägt.

Die technische Umsetzung des Hinweisgebersystems erfolgt durch:
product kitchen GmbH
Rehsteige 12
73035 Göppingen
Deutschland
Tel.: +49 7161 5077775
E-Mail: contact@hintcatcher.com

im Auftrag der Evangelisches Krankenhaus Mettmann GmbH.

Verantwortlich für die Datenverarbeitung:
Evangelisches Krankenhaus Mettmann GmbH
Gartenstraße 4–8, 40822 Mettmann
Tel. 02104 773-0
E-Mail: info@evk-mettmann.de

Fragen zum Schutz Ihrer Daten beantwortet Ihnen gern unsere Datenschutzbeauftragter der Evangelisches Krankenhaus Mettmann GmbH. E-Mail: datenschutz@evk-mettmann.de

2. Personenbezogene Daten

Grundsätzlich ist die Nutzung des Hinweisgebersystems ohne die Angabe personenbezogener Daten möglich. Aufgrund freier Textfelder im Meldeformular können jedoch personenbezogene Daten freiwillig von Ihnen bekanntgegeben werden. Der von Ihnen gegebene Hinweis kann darüber hinaus personenbezogene Daten Dritter enthalten.

Mit Ihrem Hinweis oder hinweisgebenden Ergänzungen haben Sie die Möglichkeit Anhänge zu senden. Bitte beachten Sie, dass auch Anhänge personenbezogene Daten enthalten können. Sollten Sie eine Meldung anonym abgeben wollen entfernen Sie bitte vor dem Versenden die personenbezogenen Daten im Anhang.

3. Zweck des Hinweisgebersystems

Das Hinweisgebersystem ermöglicht Ihnen, mit uns in Verbindung zu treten und Hinweise zu Compliance- und Rechtsverstößen zu melden. Wir verarbeiten Ihre personenbezogenen Daten, um die von Ihnen über das Hinweisgebersystem gemachte Meldung zu prüfen und die mutmaßlichen Compliance- und Rechtsverstöße zu untersuchen. Hierbei kann es vorkommen, dass wir Rückfragen an Sie haben. Dafür nutzen wir die Kommunikation über das Hinweisgebersystem.

Ihre Hinweise werden vom Compliance-Beauftragten entgegengenommen und stets vertraulich behandelt.

4. Weitergabe der personenbezogenen Daten

Im Rahmen der Bearbeitung einer Meldung kann es notwendig sein, Hinweise innerhalb der Evangelisches Krankenhaus Mettmann GmbH weiterzugeben. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.

Zur Erfüllung des zuvor genannten Zwecks kann es zudem erforderlich sein, dass wir Ihre personenbezogenen Daten an externe Stellen wie Anwaltskanzleien, Straf- oder Wettbewerbsbehörden übermitteln.

In sämtlichen Fällen verbleibt die Verantwortung zur Datenverarbeitung bei der Evangelisches Krankenhaus Mettmann GmbH.

5. Auftragsverarbeitung

Für die Verarbeitung Ihrer personenbezogenen Daten setzen wir in gewissem Umfang spezialisierte Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten. Unsere Dienstleister werden von uns sorgfältig ausgewählt und regelmäßig kontrolliert. Sie verarbeiten personenbezogene Daten nur in unserem Auftrag und nach unseren Weisungen auf der Grundlage entsprechender Verträge über eine Auftragsverarbeitung.

6. Übermittlung an Dritte

Wir teilen Ihre personenbezogenen Daten ggf. mit Behörden und sonstigen ermittelnden Stellen insbesondere zum Zweck der Sachverhaltsaufklärung und Bewertung der rechtlichen Folgen.

7. Rechtsgrundlage

Die Verarbeitung Ihrer Identifikationsdaten als Hinweisgeber erfolgt auf Basis Ihrer Einwilligung gem. § 6 DSG-EKD. (Art. 6 Abs. 1 lit. a DSGVO). Die Freiwilligkeit der Einwilligung ist dadurch gegeben, dass der Hinweis stets auch anonym erfolgen kann. Sofern Sie uns besondere Kategorien personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage Ihrer Einwilligung § 11 § 13 DSG-EKD (Art. 9 Abs. 2 lit. a DSGVO).

Die Einwilligung können Sie jederzeit ohne Angabe von Gründen widerrufen § 25 DSG-EKD. Ein Widerruf der Einwilligung kann allerdings (in bestimmten Fällen) nur in einem befristeten Zeitrahmen seine volle Wirkung entfalten.

Das ergibt sich (in bestimmten Fällen) aus der Verpflichtung des Verantwortlichen gem. § 18 DSG-EKD (Art. 14 Abs. 3 lit. a DSGVO), beschuldigte Personen über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen spätestens innerhalb von innerhalb von drei Monaten nach Erhalt der Meldung zu informieren, soweit dies dem Zweck der Erhebung nicht entgegensteht.

Die Information umfasst regelmäßig die Art der Daten, die Zweckbestimmung der Verarbeitung, die Speicherdauer, die Identität des datenschutzrechtlich Verantwortlichen und gegebenenfalls der hinweisgebenden Person. Ab einem fortgeschrittenen Bearbeitungsgrad / Ermittlungsstand ist eine Einstellung der Verarbeitung wie auch eine Löschung der Identifikationsdaten der hinweisgebenden Person i.d.R. nicht weiter möglich. Sobald Informationen inkl. Namen gegenüber zuständigen Behörden oder Gerichtsbarkeiten offengelegt wurden, befindet sich diese sowohl in unseren Unterlagen als auch bei den zuvor genannten Empfängern und können nicht ohne Weiteres gelöscht werden.

Des Weiteren verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Erfüllung rechtlicher Verpflichtungen notwendig ist. Darunter fallen insbesondere Meldungen von straf-, wettbewerbs- und arbeitsrechtlich relevanten Sachverhalten § 6 DSG-EKD (Art. 6 Abs. 1 lit. c DSGVO).

Schließlich erfolgt die Verarbeitung Ihrer personenbezogenen Daten, sofern dies zur Wahrung berechtigter Interessen der Evangelisches Krankenhaus Mettmann GmbH bzw. eines Dritten erforderlich ist § 6 DSG-EKD (Art. 6 Abs. 1 lit. f DSGVO). Wir haben ein berechtigtes Interesse insbesondere an der Verarbeitung der personenbezogenen Daten zur Prävention und Aufdeckung von Verstößen innerhalb des Unternehmens und zur Überprüfung der internen Prozesse auf ihre Rechtmäßigkeit.

In Einzelfällen erheben wir im Rahmen von Aufklärungsmaßnahmen auch besondere Kategorien personenbezogener Daten i.S.v. § 13 DSG-EKD (Art. 9 Abs. 1 DSGVO). Dies kann etwa der Fall sein, wenn ein von einem Hinweisgeber übermittelter Hinweis entsprechende Daten enthält. Zu den besonderen Kategorien personenbezogener Daten zählen insbesondere Gesundheitsdaten, Daten über eine mögliche Gewerkschaftszugehörigkeit oder Daten über politische oder religiöse Einstellungen. Sofern Sie uns besondere Kategorien personenbezogener Daten bekanntgeben, verarbeiten wir diese auf der Grundlage von § 13 DSG-EKD (Art. 9 Abs. 2 lit. b) und g) DSGVO.

Betrifft ein eingegangener Hinweis einen Beschäftigten der Evangelisches Krankenhaus Mettmann GmbH, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen. Dieses richtet sich nach § 49 DSG-EKD Art. 88 Abs. 1 i.V.m. § 26 Abs. 1 BDSG.

Wir weisen ausdrücklich darauf hin, dass Fälle denkbar sind, in denen die Verarbeitung auf mehrere, nebeneinander geltende Rechtsgrundlagen gestützt werden könnte. In einem solchen Fall behalten wir uns vor, die Verarbeitung auch im Falle des Widerrufs der Einwilligung auf eine andere, gesetzliche Rechtsgrundlage zu stützen. Darüber werden wir Sie im Falle des Widerrufs der Einwilligung entsprechend informieren.

Zudem verwenden wir Ihre personenbezogenen Daten in anonymisierter Form zu statistischen Zwecken.

8. Technische Umsetzung und Sicherheit Ihrer Daten

Das Hinweisgebersystem enthält eine Möglichkeit zur anonymen Kommunikation über eine verschlüsselte (TLS) Verbindung (zwischen Client (Browser) und Server). Alle Daten der Datenbank werden zusätzlich zur clientseitigen Ende-zu-Ende Verschlüsselung der Hinweis-Daten vor dem Schreiben auf das Speichermedium nach aktuellem Stand der Technik verschlüsselt.

Die IP Adressen werden entsprechend der technischen Notwendigkeit von Netzwerkverbindungen im Internet nur temporär erfasst und anschließend gelöscht. Pseudonym/Benutzername und Passwort wird vom System automatisch nach Abgabe eines Hinweises dynamisch erzeugt. Die Zugangsdaten gelten nur für den Zugriff auf die Postbox dieses einen Falls, um beispielsweise Rückmeldungen der Verantwortlichen abzurufen oder Informationen nachzureichen. Zur Abgabe eines Hinweises sind keinerlei Zugangsdaten nötig – diese werden nach Abgabe des Hinweises generiert und dem Hinweisgeber angezeigt.

Zur sicheren und zuverlässigen Erbringung der Leistung des Hinweisgebersystems nutzt die product kitchen GmbH Auftragsverarbeiter mit Sitz in einem Mitgliedsstaat der Europäischen Union unter Beachtung der geltenden datenschutzrechtlichen Regelungen insbesondere der DSG-EKD. Die verschlüsselten Hinweis-Daten werden in europäischen und zertifizierten Datencenter verarbeitet. Aufgrund der Ende-zu-Ende Verschlüsselung der Hinweis-Daten zwischen Hinweisgeber und Fallbearbeitern ist ein anderweitiger Zugriff auf den Klartext der Meldung nicht gegeben.

Die Einhaltung der geltenden Datenschutzvorschriften wird durch entsprechende technische und organisatorische Maßnahmen sichergestellt.

9. Dauer der Speicherung

Ihre personenbezogenen Daten werden für einen Zeitraum gespeichert, der sich aus der Notwendigkeit zur Bearbeitung, Aufklärung und Dokumentation des (aus Ihrem Hinweis resultierenden) Sachverhaltes ergibt und anschließend gelöscht. Die Dauer der Speicherung richtet sich insofern insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung. Etwas anderes gilt, wenn geltende gesetzliche Bestimmungen etwas anders verlangen (z.B. in Zusammenhang mit anhängigen Gerichtsverfahren), wobei entsprechende Verfahrensakten i.d.R. 10 Jahre aufbewahrt werden.

10. Recht auf Auskunft, Löschung, Sperrung & Widerspruch

  • Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten § 19 DSG-EKD (Art. 15 DSGVO).
  • Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu § 20 DSG-EKD (Art. 16 DSGVO).
  • Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen §§ 21, 22, 25 DSG-EKD (Art. 17, 18 und 21 Abs. 1 DSGVO).
  • Recht darauf, die Einwilligung in die Datenverarbeitung jederzeit zu widerrufen, ohne dass dadurch die Rechtmäßigkeit der bis zum Widerruf aufgrund der Einwilligung erfolgten Datenverarbeitung berührt wird.

Sollten Sie von Ihren oben genannten Rechten Gebrauch machen wenden Sie sich bitte an den Compliance-Beauftragten der Evangelisches Krankenhaus Mettmann GmbH.

11. Beschwerderecht bei einer Aufsichtsbehörde

Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt § 46 DSG-EKD (Art. 77 der DSGVO). Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen. Für die Evangelisches Krankenhaus Mettmann GmbH ist folgende Aufsichtsbehörde für den Datenschutz zuständig:

Der Beauftragte für den Datenschutz der EKD
Lange Laube 20
30159 Hannover
Tel. 0511 768128-0
Fax: 0511 768128-20

Für eine elektronische Übersendung nutzen Sie bitte die E-Mail-Adresse:
info@datenschutz.ekd.de