Datenschutzerklärung zum Hinweisgebersystem

Hinweis: Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen für alle Geschlechter (m/w/d) verzichtet. Alle Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Diese Datenschutzerklärung informiert Sie in Ihrer Funktion als betroffene Person gemäß Art. 13, 14 Datenschutzgrundverordnung („DSGVO“) über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung des Hinweisgebersystems der CBT Bonn MVZ GmbH („CBT“) sowie die Ihnen nach den datenschutzrechtlichen Bestimmungen zustehenden Rechte. Die Datenschutzerklärung gilt dabei für Sie, wenn Sie das Hinweisgebersystem als hinweisgebende Person (Hinweisgeber) nutzen oder anderweitig von der Nutzung des Hinweisgebersystems betroffen sind (z.B. als potentiell Beschuldiger oder sonstiger involvierter Beteiligter, etwa als benannter Zeuge).

Die CBT hat die St. Vinzenz Klinik-Beteiligungen GmbH („SVK“) mit dem Betrieb sowie der Wahrnehmung verschiedener Aufgaben einer internen Meldestelle gemäß dem Hinweisgeberschutzgesetz (HinSchG) betraut. In dieser Funktion übernimmt die SVK verschiedene Verarbeitungstätigkeiten im Zusammenhang mit dem Hinweisgebersystem. Im Rahmen des Betriebs des Hinweisgebersystems tauschen die CBT und die SVK in bestimmten Fällen personenbezogene Daten aus, soweit dies für die Bearbeitung von Meldungen und gegebenenfalls für die Untersuchung von Vorwürfen innerhalb der Organisation erforderlich ist (z. B. innerhalb der CBT, siehe nachfolgend).

1. Wer ist für die Verarbeitung Ihrer Daten verantwortlich und an wen können Sie sich wenden?

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten sind:

CBT Bonn MVZ GmbH
Am Propsthof 3
53121 Bonn

+49 228 201 800
info@cbtmed.de

Sie erreichen den Datenschutzbeauftragten der CBT unter: datenschutz@cbtmed.de

und

St. Vinzenz Klinik-Beteiligungen GmbH
Landwehrstraße 2
80336 München

E-Mail: info@academia-gruppe.de

Sie erreichen den Datenschutzbeauftragten der SVK unter: dsb@academia-gruppe.de

Aufgrund der gemeinsamen Festlegung der Zwecke und Mittel der Verarbeitung im Zusammenhang mit dem Hinweisgebersystem sind die CBT und die SVK für verschiedene Verarbeitungsvorgänge gemeinsam verantwortlich. Die beiden Parteien haben zu diesem Zweck eine Vereinbarung zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO geschlossen, in der sie die Verantwortlichkeiten für die Einhaltung bestimmter Vorgaben der DSGVO festgelegt haben. Weitere Informationen zur gemeinsamen Verantwortlichkeit, insbesondere welche Verarbeitungsvorgänge hiervon erfasst sind und wie die beiden Parteien die einzelnen Verantwortlichkeiten festgelegt haben, finden Sie in Ziffer 10.

2. Welche personenbezogenen Daten werden verarbeitet und aus welchen Quellen stammen diese?

Grundsätzlich können Sie Ihre Meldung anonym abgeben, also ohne Angaben von Daten. Sie können jedoch freiwillig Ihre Daten preisgeben. Wenn Sie Ihre Daten freiwillig angeben, können im Zusammenhang mit der Nutzung des Hinweisgebersystems die folgenden personenbezogenen Daten bzw. Kategorien personenbezogener Daten verarbeitet werden:

Daten der hinweisgebenden Person: Personen- und Kontaktdaten (z.B. Name, Adresse, E-Mail-Adresse, Telefonnummer), Daten zur beruflichen Tätigkeit (z.B. Position, Funktion, Abteilung), Meldedaten (Datum und Uhrzeit der Meldung, genutzter Meldekanal), Informationen zum gemeldeten Vorfall (Gegenstand, Zeitpunkt, Dauer, Art der Kenntniserlangung), weitere vom Hinweisgeber mitgeteilte oder zu dem Hinweisgeber erfasste Daten.
Daten von mutmaßlich Beschuldigten: Personen- und Kontaktdaten (z.B. Name, Adresse, E-Mail-Adresse, Telefonnummer), Daten zur beruflichen Tätigkeit (z.B. Position, Funktion, Abteilung), Informationen zum gemeldeten Vorfall (Gegenstand, Zeitpunkt, Dauer und Verhalten, das möglicherweise einen Compliance- oder Rechtsverstoß darstellt), weitere vom Beschuldigten mitgeteilte Informationen oder zu dem Beschuldigten erfasste Daten (z.B. im Rahmen von Folgemaßnahmen erfasste Daten).
Daten von sonstigen beteiligten Personen (z.B. Zeugen): Personen- und Kontaktdaten (z.B. Name, Adresse, E-Mail-Adresse, Telefonnummer), Daten zur beruflichen Tätigkeit (z.B. Position, Funktion, Abteilung), sowie sonstige Daten, soweit diese im Zusammenhang mit einer Meldung mitgeteilt oder erfasst werden.

Besondere Kategorien personenbezogener Daten, wie z. B. Angaben zur ethnischen Herkunft, zu religiösen und/oder weltanschaulichen Überzeugungen, zur Gewerkschaftszugehörigkeit oder zur sexuellen Orientierung werden von uns nicht abgefragt und verarbeitet. Sie können jedoch freiwillig solche besonderen Kategorien personenbezogener Daten angeben.

Es handelt sich bei den vorgenannten Daten um personenbezogene Daten, die der Hinweisgeber unmittelbar über das Hinweisgebersystem oder im Zusammenhang mit dem weiteren Verfahren (z.B. weiterer Kommunikation und Ermittlungen) freiwillig bereitstellt.

Ebenfalls sind personenbezogene Daten betroffen, die im Rahmen des weiteren Verfahrens und der Durchführung von Folgemaßnahmen seitens der SVK, der CBT oder sonstiger beteiligter Personen und Stellen erfasst werden.

3. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

Die Verarbeitung Ihrer Daten im Zusammenhang mit der Nutzung des Hinweisgebersystems erfolgt zu folgenden Zwecken und aufgrund folgender rechtlicher Grundlagen.

3.1 Verarbeitung im Zusammenhang mit der Nutzung des Hinweisgebersystems

Die Einführung des Hinweisgebersystems dient dazu, mutmaßliche Compliance- und Rechtsverstöße, die die Organisation der CBT betreffen, zu ermitteln und zu verfolgen. Zu diesem Zweck bietet das Hinweisgebersystem verschiedene Meldekanäle (Webseite, Telefon), die von der SVK betrieben und von Hinweisgebern frei genutzt werden können.

Im Zusammenhang mit der Nutzung des Hinweisgebersystems verarbeitet die SVK die vorgenannten personenbezogenen Daten bzw. Kategorien personenbezogener Daten, um die über das Hinweisgebersystem eingehenden Meldungen zu prüfen, zu bearbeiten und zu dokumentieren und mit dem Hinweisgeber zu kommunizieren. Nach entsprechender Anweisung durch die CBT übernimmt die SVK auch das Ergreifen von Folgemaßnahmen. Diese Folgemaßnahmen können insbesondere die Einleitung einer internen Untersuchung, die Abgabe des Verfahrens an eine bei der CBT zuständige Person oder eine zuständige Behörde (z.B. zur Einleitung von gerichtlichen oder behördlichen Verfahren), das Verweisen des Hinweisgebers an eine andere Stelle und/oder der Abschluss des Verfahrens umfassen. Es steht der CBT jederzeit frei, diese Folgemaßnahmen selber vorzunehmen. Im Rahmen der Folgemaßnahmen bzw. nach Abschluss ebendieser können weitere Maßnahmen zur Aufklärung, Verhütung und Verfolgung von Verstößen durch CBT ergriffen werden. Dies betrifft etwa die Durchsetzung von Ansprüchen (z.B. Schadensersatzforderungen) sowie die Verhängung von arbeitsrechtlichen Sanktionen (z.B. Abmahnung, Kündigung) durch CBT.

Soweit dies im Zusammenhang mit den vorgenannten Zwecken erforderlich ist, übermittelt die SVK die hierfür notwendigen Daten auch an die CBT und/oder andere Personen und Stellen (weitere Informationen zu den konkreten Empfängern sind in Ziffer 4 enthalten). In dem Fall werden die übermittelten Daten von der CBT bzw. den anderen Personen und Stellen im Zusammenhang mit den vorgenannten Zwecken verarbeitet. Ebenfalls ist es möglich, dass die CBT an die SVK verschiedene Daten übermittelt, soweit dies für die vorgenannten Zwecke erforderlich ist (z.B. zur Verifizierung eines Hinweisgebers oder zur Durchführung von Ermittlungsmaßnahmen).

Die Verarbeitung der personenbezogenen Daten erfolgt zur Erfüllung der gesetzlichen Verpflichtungen nach dem HinSchG. Rechtsgrundlage ist in dem Fall Art. 6 Abs. 1 lit. c) DSGVO i. V. m. §§ 10, 12 ff. HinSchG. Darüber hinaus erfolgt die Verarbeitung Ihrer Daten aufgrund von Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Wahrung berechtigter Interessen). Das berechtigte Interesse liegt in der Verfolgung von Compliance- und Rechtsverstößen innerhalb der Organisation der CBT und der Durchführung der hierfür erforderlichen Maßnahmen. Sofern die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der Durchführung und/oder Beendigung des Beschäftigungsverhältnisses erforderlich ist, kann diese zudem auf Art. 6 Abs. 1 S. 1 lit. b) DSGVO (ggfs. i.V.m. § 26 BDSG) gestützt werden. Wenn in Ausnahmefällen besondere Kategorien personenbezogener Daten verarbeitet werden (sensible Daten), ist die Rechtsgrundlage für die Verarbeitung Art. 9 DSGVO, § 10 HinSchG und § 22 BDSG.

3.2 Verarbeitung im Zusammenhang mit dem technischen Betrieb des Hinweisgebersystems

Es handelt sich bei dem Hinweisgebersystem um eine webbasierte Plattform, die Hinweisgebern verschiedene Meldekanäle zur Verfügung stellt und von SVK zur Wahrnehmung der betrauten Aufgaben als interne Meldestelle von CBT genutzt wird.

Um eine anonyme Hinweisabgabe zu ermöglichen, werden alle HTTP-Aufrufe zunächst über den Anonymisierungsproxy geleitet, bevor sie die Plattform erreichen. Dabei werden auf dem Anonymisierungsproxy keine Protokolldaten gespeichert. Eine Übertragung von Verbindungsdaten findet nur während der Nutzung der Plattform zur technischen Übertragung (TCP/IP-Protokoll) statt. Die Plattform selbst sieht als Gegenstelle immer den Proxyserver und nicht den Besucher (Hinweisgeber). Die gesamte Kommunikation zwischen dem Rechner des Hinweisgebers und der Plattform erfolgt über eine TLS-verschlüsselte Verbindung.

Anbieter des Hinweisgebersystems ist die LegalInnovate Technologies GmbH, Issumer Tor 45, 47608 Geldern, Deutschland die für den technischen Betrieb, einschließlich des Hostings sowie der Pflege und Weiterentwicklung des Hinweisgebersystems zuständig ist. SVK hat mit der LegalInnovate Technologies GmbH eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Das Hinweisgebersystem wird bei der Hetzner Online GmbH (Industriestraße 25, D-91710 Gunzenhausen, Deutschland) im externen Rechenzentrum gehostet. Dieses Rechenzentrum befindet sich in der Europäischen Union. Hetzner Online GmbH ist demnach der Unterauftragsverarbeiter von LegalInnovate Technologies GmbH, welcher vertraglich gleichen Verpflichtungen unterliegt, an die LegalInnovate Technologies GmbH gebunden ist.

Die Verarbeitung Ihrer Daten zu den vorgenannten Zwecken erfolgt zur Wahrung unserer berechtigten Interessen, namentlich um die Sicherheit und Funktionsfähigkeit des Hinweisgebersystems zu gewährleisten. Rechtsgrundlage für die Verarbeitung Ihrer Daten für die aufgeführten Zwecke ist in dem Fall Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

4. An wen werden Ihre personenbezogenen Daten weitergegeben und werden Ihre Daten in Drittländer übermittelt?

Nur autorisierte Personen erhalten im Rahmen der Bearbeitung von Meldungen Kenntnis von den übermittelten Daten. Durch entsprechende Berechtigungssysteme und angemessene technisch-organisatorische Maßnahmen wird sichergestellt, dass ausschließlich die jeweils zuständigen Personen Zugriff auf diese Daten bekommen. Die mit der Bearbeitung der Verstöße intern betrauten Personen werden ausdrücklich auf Vertraulichkeit verpflichtet.

Zudem werden die betroffenen personenbezogenen Daten an externe Empfänger weitergegeben, die die Daten entweder als Auftragsverarbeiter (vgl. Art. 4 Nr. 8 DSGVO) oder als datenschutzrechtliche Verantwortliche (vgl. Art. 4 Nr. 7 DSGVO) verarbeiten. Soweit Dienstleister im Rahmen einer Auftragsverarbeitung beauftragt werden, erfolgt dies auf Basis einer entsprechenden Vereinbarung zur Auftragsverarbeitung (vgl. Art. 28 DSGVO), die sicherstellt, dass diese Dienstleister Ihre Daten weisungsgemäß verarbeiten.

Konkret werden die Daten an die folgenden Empfänger bzw. Kategorien von Empfängern weitergegeben:

LegalInnovate Technologies GmbH (technische Bereitstellung und Support des Hinweisgebersystems und Auftragsverarbeiter)
Aufsichts- und Strafverfolgungsbehörden, Gerichte und sonstige staatliche Stellen
Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Buchprüfer
Sonstige bei einer Aufklärung eines Vorfalls eingebundene Beteiligte (z.B. externe Auditoren).

Eine Übermittlung der Daten an Dienstleister und Empfänger in Ländern außerhalb der EU bzw. des EWR (sog. Drittländer) erfolgt nicht.

5. Wie lange werden Ihre personenbezogenen Daten gespeichert?

Die gespeicherten personenbezogenen Daten werden grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht (§ 11 Abs. 5 HinSchG). In bestimmten Fällen und für bestimmte Dokumente kann eine längere Frist angemessen sein, insbesondere wenn im Zusammenhang mit dem gemeldeten Vorfall ein gerichtliches oder behördliches Verfahren anhängig ist. Eine Speicherung kann auch erfolgen, wenn dies vom europäischen oder nationalen Gesetzgeber zur Erfüllung rechtlicher Verpflichtungen, wie z. B. Aufbewahrungspflichten, vorgesehen ist. Danach werden alle Daten gelöscht, gesperrt oder anonymisiert.

6. Besteht eine Pflicht zur Bereitstellung Ihrer Daten?

Es besteht keine gesetzliche oder vertragliche Pflicht des Hinweisgebers zur Bereitstellung personenbezogener Daten. Die Nutzung des Hinweisgebersystems ist für den Hinweisgeber freiwillig. Es steht Ihnen daher frei, ob Sie eine Meldung abgeben und ob bzw. welche Daten Sie hierbei angeben.

7. Welche Rechte stehen Ihnen als betroffene Person zu?

Betroffenen Personen stehen die folgenden Rechte zu: Sie haben das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Soweit personenbezogene Daten auf Grundlage einer Einwilligung der betroffenen Personen verarbeiten werden, können die betroffenen Personen diese jederzeit formfrei widerrufen.

Soweit die Verarbeitung personenbezogenen Daten zur Wahrnehmung berechtigter Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO erfolgt, können die betroffenen Personen dieser Verarbeitung nach Maßgabe der gesetzlichen Vorgaben in Art. 21 DSGVO widersprechen. Weitere Hinweise zu dem Widerspruchsrecht finden Sie am Ende dieser Datenschutzerklärung in den besonderen Informationen zum Widerspruchsrecht gemäß Art. 21 DSGVO.

Zur Ausübung der vorgenannten Rechte wenden Sie sich bitte an die SVK über die in Ziffer 1 enthaltenen Kontaktdaten. Die SVK fungiert insoweit als primäre Anlaufstelle für die betroffenen Personen (vgl. Art. 26 Abs. 1 DSGVO). Unabhängig hiervon steht es Ihnen jederzeit frei, sich an die anderen in Ziffer 1 angegebenen Kontaktdaten der CBT oder den von der CBT benannten Datenschutzbeauftragten zu wenden.

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), wenn die betroffenen Personen der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.

Die Anschrift der für CBT zuständigen Datenschutzbehörden lautet:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf, Deutschland

Die Anschrift der für SVK zuständigen Datenschutzbehörden lautet:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18, 91522 Ansbach, Deutschland
Postfach 1349, 91504 Ansbach, Deutschland

8. Besondere Informationen zum Widerspruchsrecht nach Art. 21 DSGVO

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) oder Art. 6 Abs. 1 S. 1 lit. e) DSGVO (Datenverarbeitung im öffentlichen Interesse) erfolgt, Widerspruch einzulegen, wenn dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden Ihre personenbezogenen Daten nicht mehr verarbeitet, es sei denn, der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an die SVK über die in Ziffer 1 enthaltenen Kontaktdaten.

9. Besteht eine automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO?

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

10. Informationen zur gemeinsamen Verantwortlichkeit

Wie bereits in der Einleitung dargestellt, haben die CBT und SVK für bestimmte Verarbeitungsvorgänge im Zusammenhang mit dem Hinweisgebersystem die Zwecke und Mittel gemeinsam festgelegt und agieren insoweit als gemeinsame Verantwortliche. Konkret betrifft dies die folgenden Verarbeitungsvorgänge:

Erhebung, Speicherung und Verwendung von Hinweisgeberdaten, Beschuldigtendaten und Drittdaten durch die SVK im Zusammenhang mit dem Betrieb des Hinweisgebersystems, einschließlich dem Betrieb der Meldekanäle, der Durchführung der Verfahren sowie der Durchführung von Folgemaßnahmen gemäß § 16 ff. HinSchG (z.B. der Erfassung und Bearbeitung von eingegangenen Meldungen bis zum Abschluss einer Eingabe) sowie Übermittlung der Daten an die CBT im Zusammenhang mit den vorgenannten Zwecken.
Übermittlung von Hinweisgeberdaten, Beschuldigtendaten und Drittdaten durch die CBT an die SVK im Zusammenhang mit den vorgenannten Zwecken.

Im Rahmen der bestehenden gemeinsamen Verantwortlichkeit haben CBT und SVK gemäß Art. 26 DSGVO vereinbart, wer welche Verpflichtungen nach der DSGVO erfüllt. Konkret erfüllen die Parteien die datenschutzrechtlichen Pflichten für die vorgenannten Verarbeitungsvorgänge wie folgt:

Die SVK informiert die betroffenen Personen gemäß Artt. 13, 14 DSGVO auf der Webseite des Hinweisgebersystems, indem sie dort die vorliegenden Datenschutzerklärung bereitstellt.
Die SVK und die CBT informieren sich unverzüglich gegenseitig über Anfragen von Betroffenen zur Geltendmachung der Betroffenenrechte gemäß Art. 15 ff. DSGVO. Sie stellen einander sämtliche für die Beantwortung von Anfragen der betroffenen Personen notwendigen Informationen zur Verfügung.
Die SVK fungiert gegenüber den betroffenen Personen als primäre Anlaufstelle zur Ausübung der Betroffenenrechte gemäß Art. 15 ff. DSGVO. Unabhängig hiervon steht es den betroffenen Personen frei, ob Sie ihre Betroffenenrechte bei der SVK oder CBT geltend machen, soweit dies die Verarbeitungen betreffen, die der gemeinsamen Verantwortlichkeit unterliegen. Betroffene Personen erhalten die Auskunft grundsätzlich von der Stelle, bei der die Rechte geltend gemacht wurden.
SVK und CBT ergreifen technische und organisatorische Maßnahmen, die nach Maßgabe der Art. 32 und 25 DSGVO geeignet und erforderlich sind, ein dem Risiko für Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und die Datenschutzgrundsätze zu wahren.
Bei Verletzungen des Schutzes von personenbezogenen Daten (Art. 33, 34 DSGVO), die die gemeinsame Verantwortlichkeit von SVK und CBT betreffen, ist jeweils die Partei für die Einhaltung der gesetzlichen Melde- und Benachrichtigungspflichten gegenüber den Aufsichtsbehörden und Betroffenen verantwortlich, bei der die Verletzung aufgetreten ist. Die andere Partei unterstützt die von der Verletzung betroffenen Partei bei der Einhaltung der Melde- und Benachrichtigungspflichten im angemessenen Umfang.

Hinweisgebersystem-Richtlinie (“Richtlinie”)

Hinweis: Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen für alle Geschlechter (m/w/d) verzichtet. Alle Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Compliance und Integrität haben bei uns einen hohen Stellenwert. Sie bilden die Grundlage für eine vertrauensvolle Zusammenarbeit mit unseren Mitarbeitern und allen weiteren Beteiligten.

Daher erwarten wir von allen Mitarbeitern bei, dass sie gesetzliche Bestimmungen und behördliche Vorgaben einhalten. Gleiches gilt für unsere internen Anweisungen und Richtlinien.

1. Ziel der Richtline

Das eingerichtete Hinweisgebersystem dient der Aufdeckung von Rechts- und Regelverstöße im Sinne des Hinweisgeberschutzgesetzes („HinSchG“) und trägt zum besseren Schutz hinweisgebender Personen (“Hinweisgeber”) bei. Ferner hilft es dabei, nachgewiesenes Fehlverhalten zu beenden. Das Hinweisgebersystem bietet den Hinweisgebern eine sichere und vertrauliche Möglichkeit, Verstöße gegen Gesetze, interne Richtlinien oder ethische Standards im Unternehmen zu melden. Es fördert die Integrität, Transparenz und Compliance stellt sicher, dass Meldungen sorgfältig geprüft und angemessen behandelt werden.

2. Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeiter, Vertragspartner, Lieferanten und andere Beteiligte, die mit uns in Verbindung stehen.

3. Meldung von Hinweisen

Das durch diese Richtlinie etablierte Hinweisgebersystem bietet allen Mitarbeitern und anderen unter Ziffer 2 genannten Hinweisgebern bei uns die Möglichkeit, Verstöße gegen geltende Gesetze, behördliche Vorgaben sowie interne Anweisungen und Richtlinien im Sinne des HinSchG zu melden. Die Bandbreite der Verstöße, die gemeldet werden können und sollten, ist umfassend. Alle Verstöße oder begründeten Verdachtsmomente im Rahmen der beruflichen oder unternehmerischen Tätigkeit, die straf- oder bußgeldbewehrt sind, sowie Verstöße gegen Rechtsvorschriften und interne Regelungen (z. B. den Verhaltenskodex), können gemeldet werden. Dazu gehören unter anderem Betrug, Bestechung und Korruption, Geldwäsche, Diebstahl, Wettbewerbs- und Kartellverstöße, Datenschutz, Diskriminierung und Belästigung, Arbeitsschutz, Umwelt-, Gesundheits- und Sicherheitsfragen, Verstöße gegen Menschenrechte sowie Interessenkonflikte. Diese Auflistung ist nicht abschließend. Eine vollständige Aufzählung der meldepflichtigen Sachverhalte finden Sie in § 2 HinSchG.

Das Hinweisgebersystem ist für alle Mitarbeiter und andere unter Ziffer 2 genannten Hinweisgeber zugänglich und kann bei allen konkreten Anhaltspunkten für solche Verstöße genutzt werden.

Außerdem können auch Hinweise erteilt werden, um präventiv einen Sachverhalt aufzulösen, der zu einem Verstoß führen kann, oder um Fragen klären zu lassen, etwa ob ein Sachverhalt das Risiko eines Verstoßes birgt. Die Beschuldigung anderer wider besseres Wissen ist kein Hinweis, der nach dieser Richtlinie geschützt ist.

Explizit nicht erfasst sind persönliche, arbeitsbezogene Beschwerden. Hierbei handelt es sich um Anliegen, die das gegenwärtige oder frühere Arbeitsverhältnis eines Hinweisgebers betreffen und persönliche Auswirkungen auf die betroffene Person haben, jedoch keine weitergehenden Folgen für das Unternehmen haben. Dazu zählen insbesondere zwischenmenschliche Konflikte, Entscheidungen des Unternehmens zu Einstellung, Versetzung, Vergütung oder Beförderung sowie Entscheidungen zu den Einstellungsbedingungen oder zur Suspendierung oder Beendigung eines Beschäftigungsverhältnisses, sofern diese nicht zugleich straf- oder bußgeldbewehrte Verstöße oder Verstöße gegen gesetzliche Vorschriften darstellen. In solchen Fällen wird darum gebeten, die Meldung direkt an den Vorgesetzten zu richten.

4. Schutz von Hinweisgebern und Verschwiegenheitspflicht

Mitarbeiter , die einen Hinweis erteilen, werden aufgrund dieser Handlung nicht benachteiligt oder sanktioniert. Jeder Hinweisgeber sollte jedoch bedenken, dass andere Mitarbeiter durch einen Hinweis ggf. belastet werden und ihnen rechtliche Konsequenzen drohen können. Jeder Hinweisgeber sollte sich daher vergewissern, dass Hinweise nach bestem Wissen richtig und vollständig erteilt werden. Im Falle eines Missbrauchs, z. B. dem absichtlichen Mitteilen falscher Hinweise, behalten wir uns vor, gegen den Hinweisgeber vorzugehen.

Hinweisgeber sollten – mit Blick auf etwaige (gesetzliche und vertragliche) Verschwiegenheitsverpflichtungen unser internes Hinweisgebersystem vorrangig vor einer Weitergabe von geschützten Informationen an externe Stellen (z.B. Meldestellen des Bundes oder der Länder für Hinweisgeber, Ermittlungsbehörden) nutzen. Sofern keine Verschwiegenheitspflichten bestehen, können Hinweise auch an externe Stellen mitgeteilt werden. Nachfolgend sind die externen Meldestellen aufgeführt.

Meldestelle des Bundes

Die externe Meldestelle des Bundes ist beim Bundesamt für Justiz (BfJ) angesiedelt. Auf der Website https://www.bundesjustizamt.de/DE/MeldestelledesBundes/MeldestelledesBundes_node.html sind die Meldekanäle sowie weitere Informationen zur externen Meldestelle des BfJ veröffentlicht.

Meldestelle des Bundeskartellamtes

Eine externe Meldestelle finden Sie auch bei dem Bundeskartellamt. Auf der Website https://www.bundeskartellamt.de/DE/Aufgaben/Kartelle/HinweiseAufKartellverstoesse/hinweiseaufverstoesse_node.html finden Sie detaillierte Informationen zu den jeweiligen Meldemöglichkeiten.

5. Stellen für Hinweise

Hinweisgeber können über den webbasierten Hinweisgebermeldekanal der LegalInnovate Technologies GmbH, Issumer Tor 45, 47608 Geldern, Deutschland, eine Online-Meldung abgeben. Der Hinweisgebermeldekanal ist auf unserer Homepage zu finden. Der Zugang zu ist durch angemessene Sicherheitsmaßnahmen geschützt.

Ihre Identität wird gemäß den gesetzlichen Bestimmungen vertraulich behandeln, auch gegenüber den jeweils weiteren intern zuständigen Ansprechpartnern, sofern dies gewünscht wird. Zudem besteht die Möglichkeit, Hinweise anonym abzugeben. Wir befürworten es allerdings, wenn sich die Hinweisgeber identifizieren, da sich dann viele Untersuchungen schneller und effektiver bearbeiten lassen.

Externe Meldestellen sind unter Ziffer 4 aufgeführt.

6. Weiterer Prozess, Rückmeldung an Hinweisgeber, vertrauliche Behandlung von Hinweisen

Alle Hinweise werden ernst genommen und unverzüglich und umfassend durch die zuständigen Stellen bewertet und aufgeklärt.

Allgemein werden folgende Verfahrensschritte nach Eingang eines Hinweises umgesetzt:

Wenn es nach der ersten Bewertung der Meldung über das Hinweisgebersystem Anhaltspunkte für ein relevantes Fehlverhalten gibt, werden geeignete Maßnahmen ergriffen, um den Fall im Detail zu untersuchen. Der Hinweisgeber erhält eine Rückmeldung zum Verlauf der Untersuchung innerhalb der gesetzlich vorgeschriebenen Fristen.

Die zuständigen Stellen werden dem Hinweisgeber den Eingang des Hinweises innerhalb von sieben Tagen zunächst bestätigen. Sie prüfen dann im Rahmen einer ersten Bewertung, ob und inwiefern auf Grundlage des mitgeteilten Hinweises der Verdacht eines Verstoßes besteht. Ggf. gibt es nach der ersten Bewertung noch Rückfragen oder offene Punkte, um entscheiden zu können, ob der Verdacht eines Verstoßes besteht. Dann kommen die zuständigen Stellen regelmäßig auf den Hinweisgeber zu. Besteht ein Verdacht eines Verstoßes, wird eine interne Untersuchung eingeleitet oder es werden andere geeignete Folgemaßnahmen ergriffen. Bei internen Untersuchungen können je nach Einzelfall unterschiedliche Ermittlungsmaßnahmen wie Gespräche mit unterschiedlichen Personen (insb. Hinweisgeber, Verdächtige, Zeugen) oder die Sichtung von Daten erforderlich sein. Je nach Bewertung des Hinweises und der Ergebnisse einer internen Untersuchung können weitere Maßnahmen angezeigt sein, um einen eventuellen Verstoß abzustellen.

Jede Untersuchung oder sonstige Maßnahme findet objektiv ohne Ansehen der Position einer Person oder ihrer Beziehung, die sie zu uns hat, statt.

Der Hinweisgeber erhält - spätestens innerhalb von drei Monaten nach der Bestätigung des Eingangs der Meldung oder, wenn der Eingang nicht bestätigt wurde, spätestens drei Monate und sieben Tage nach Eingang der Meldung - eine Rückmeldung. Die Rückmeldung umfasst die Mitteilung geplanter sowie bereits ergriffener Folgemaßnahmen sowie die Gründe für diese. Eine Rückmeldung erfolgt nur insoweit, als dadurch interne Nachforschungen oder Ermittlungen nicht berührt und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, nicht beeinträchtigt werden.

Alle Hinweise werden von den zuständigen Ansprechpartnern und Stellen gemäß den gesetzlichen Bestimmungen streng vertraulich behandelt. Zu beachten ist dabei, dass gesetzlich die Identität eines Hinweisgebers, der vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet, nicht geschützt ist. Generell gilt: Informationen werden nur in dem Umfang weitergeleitet, wie dies zur Aufklärung des im Hinweis beschriebenen Verdachtsfalls erforderlich ist. Die Nennung des Hinweisgebers erfolgt – auch bei nicht anonym erteilten Hinweisen – gegenüber der/den beschuldigten Person/en nur in Ausnahmefällen, z. B. aufgrund gesetzlicher Bestimmungen. Wenn sich der Verdacht erhärtet, kommt ggf. auch die Übergabe an eine zuständige Ermittlungsbehörde in Betracht.

7. Angaben im Rahmen des Hinweises

Um eine effektive Aufklärung eines Hinweises zu gewährleisten, sollten diese möglichst präzise formuliert werden und z.B. folgende Angaben enthalten:

Zu welchem Unternehmen gehören Sie?
Was ist passiert? (Genaue Beschreibung des verdächtigen Vorfalls/möglichen Regelverstoßes, der Umstände und der Rahmenbedingungen)
Wer hat gehandelt? (z. B. Namen der beteiligten Personen)
Wo und wann ist es passiert? (Ort, Datum, Uhrzeit, Dauer, Häufigkeit, etc.)
Wer hat außer Ihnen das verdächtige Verhalten wahrgenommen? (Namen und Kontaktdaten)
Weitere hilfreiche Informationen.

8. Datenschutz

Alle personenbezogenen Daten – sowohl die des Hinweisgebers als auch die etwaiger beschuldigter Personen – werden gemäß den Vorgaben der Datenschutz-Grundverordnung („DSGVO“) verarbeitet, sofern es sich um personenbezogene Daten handelt. Ferner werden ausschließlich diejenigen personenbezogenen Daten erhoben, die für die Bearbeitung der Meldung und die Untersuchung des gemeldeten Vorfalls erforderlich sind. Der Zugriff auf personenbezogene Daten ist auf autorisierte Personen beschränkt, die für die Bearbeitung der Meldungen und die Untersuchung der Vorwürfe zuständig sind. Diese Personen sind zur strikten Wahrung der Vertraulichkeit verpflichtet.

Personenbezogene Daten, die im Rahmen eines Hinweises verarbeitet werden, werden solange gespeichert, wie dies für die Untersuchung des Hinweises erforderlich ist. Anschließend werden Hinweise in der Regel spätestens drei Jahre nach Beendigung der Untersuchung gelöscht oder anonymisiert. Eine weitere Verarbeitung kann für eventuell sich daran anschließende rechtliche Verfahren, zur Beweissicherung oder aufgrund gesetzlicher Aufbewahrungspflichten erforderlich sein. Weitere Informationen erhalten Sie in der Datenschutzerklärung zum Hinweisgebersystem.

Bei Fragen wenden Sie bitte an unseren Datenschutzbeauftragten.

9. Sonstiges

Diese Richtlinie tritt am 2. Januar 2025 in Kraft und ersetzt alle bisherigen Fassungen. Sie gilt für unbestimmte Zeit.

Verstoß melden

Anmelden