Hinweise zum Datenschutz
Die Hamburger Hafen und Logistik Aktiengesellschaft und ihre Tochtergesellschaften (im Folgenden „HHLA“, „wir“, „uns“) stellt die Einhaltung der gesetzlichen Normen sowie der unternehmensinternen Richtlinien durch ein angemessenes Compliance-Management-System sicher. Dazu zählt unter anderem auch die Implementierung und der Betrieb eines Hinweisgebersystems. Dieser Kommunikationskanal (BKMS® System) dient dazu, Hinweise auf potentielle Compliance-Verstöße in Verbindung mit der HHLA oder ihren Lieferketten auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Die Verarbeitung von personenbezogenen Daten im Rahmen des BKMS® System ist gestützt auf das berechtigte Interesse unseres Unternehmens an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für die HHLA, seine Mitarbeiterinnen und Mitarbeiter und Geschäftspartnern.
Hiermit möchten wir Sie nach Art. 13, 14 Datenschutzgrundverordnung (DSGVO) über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen unseres Hinweisgebersystems aufklären, wenn Sie einen Hinweis über das BKMS® System abgeben. Wir verarbeiten personenbezogene Daten im Rahmen unseres Hinweisgebersystems nur nach Maßgabe der geltenden datenschutzrechtlichen Vorgaben, die sich insbesondere aus der DSGVO und nationalen Rechtsvorschriften ergeben. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
Verantwortlicher für die Datenverarbeitung
Die für den Datenschutz verantwortliche Stelle des Hinweisgebersystems ist:
- Hamburger Hafen und Logistik Aktiengesellschaft Bei St. Annen 1 20457 Hamburg
Ihre Tochtergesellschaften
als beidseits autonom verantwortliche Stellen (im Folgenden gemeinsam als „HHLA“, „wir“, „uns“).
Unseren Konzern-Datenschutzbeauftragten erreichen Sie unter der oben genannten Adresse oder unter datenschutz@hhla.de.
Zweck unseres Hinweisgebersystems und der damit verbundenen Datenverarbeitung sowie Rechtsgrundlagen
Die HHLA verarbeitet Ihre Daten im Rahmen der geltenden Gesetze, insbesondere für die folgenden konkreten Compliance- und Aufklärungszwecke:
- Prüfung von eingehenden Hinweisen
- Sachverhaltsaufklärung bei Fehlverhalten
- Umsetzung gesetzlicher Pflichten
- Verhinderung von künftigen Fehlverhalten
- Abwehr von drohenden wirtschaftlichen oder sonstigen Schäden oder Nachteilen
Folgende Rechtsgrundlagen sind für die Datenverarbeitung im Rahmen der Nutzung des Hinweisgebersystems einschlägig:
- Erfüllung des Arbeitsvertrags, Art. 88 DSGVO i. V. m. den jeweils einschlägigen nationalen Rechtsvorschriften (in Deutschland bspw. § 26 Abs. 1 Satz 1 BDSG)
- Schutz des Eigentums und Aufklärung von Straftaten, Art. 88 DSGVO i. V. m. den jeweils einschlägigen nationalen Rechtsvorschriften (in Deutschland bspw. § 26 Abs. 1 Satz 2 BDSG)
- Umsetzung gesetzlicher Pflichten, Art. 6 Abs. 1 lit. c DSGVO
- Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO
Ein berechtigtes Interesse der HHLA an der Datenverarbeitung besteht insbesondere zur Abwendung potentieller Schäden durch Geltendmachung, Verteidigung und Ausübung von Rechtsansprüchen, zur Fortentwicklung des Compliance-Managementsystems und seiner Strukturen sowie zur Unterstützung von Betroffenen von eingehenden Hinweisen.
Die HHLA stellt sicher, dass Datenverarbeitungen aufgrund berechtigter Interessen stets unter Berücksichtigung der gesetzlichen Vorgaben stattfinden, insbesondere, dass keine entgegenstehenden berechtigten Interessen und Rechte der Betroffenen überwiegen.
Übermittlung von Hinweisen und Verarbeitung von personenbezogenen Daten bzw. Datenkategorien im Rahmen des BKMS® System
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis und umfasst lediglich diejenigen personenbezogenen Daten, die vom Hinweisgeber mitgeteilt werden.
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, welches lediglich die Session-ID beinhaltet (sog. Session-Cookie). Das Cookie ist nur bis zum Ende Ihrer Online-Sitzung (Session) gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem zuständigen Compliance-Mitarbeiter der HHLA namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail Kommunikation.
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Compliance-Mitarbeiter der HHLA Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden, wenn Sie anonym bleiben möchten. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die Anschrift, die Ihnen Ihr Bearbeiter über den Postkasten mitteilt.
Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, können wir gegebenenfalls folgende personenbezogene Daten und Informationen verarbeiten:
- Angaben zu konkreten Sachverhalten, wie z.B. Zeitpunkt, Umstände, Personen und sonstigen Inhaltsdaten in Bezug auf die von Hinweisgeber übermittelten Hinweise
- betriebliche Informationen, wie z.B. Tätigkeitsbereich, Arbeitsort, mögliche Vorgesetztenstellung und berufliche Kontaktdaten
- betriebliche Dokumente und Aufzeichnungen, wie z.B. Reisekostenabrechnungen, Arbeitszeitnachweise, Verträge, Leistungsnachweise, Rechnungen und Kommunikationsnachweise (z.B. E-Mail, Chat-Nachrichten)
- persönliche Angaben, wie z.B. Name, private Anschrift, private Telefonnummer, private E-Mail-Adresse
- besondere Kategorien von personenbezogenen Daten, Art. 9 DSGVO, wenn ein von einem Hinweisgeber übermittelter Hinweis entsprechende Daten enthält. Die HHLA wird solche nur nach Maßgabe und unter Einhaltung der geltenden datenschutzrechtlichen Regelungen, insbesondere gemäß Art. 9 Abs. 2 DSGVO verarbeiten.
Im Rahmen von Aufklärungsmaßnahmen finden weder automatisierte Einzelfallentscheidungen noch Maßnahmen zum Profiling im Sinne von Art. 22 DSGVO statt.
Speicherdauer
Die HHLA bewahrt die im Rahmen der Aufklärung von Hinweisen erhobenen Daten nach Maßgabe der einschlägigen datenschutzrechtlichen Vorgaben auf.
Personenbezogene Daten werden so lange gespeichert, wie es für die vorbezeichneten Zwecke oder aufgrund eines Gesetzes erforderlich ist. Wenn die zugrundeliegenden Zwecken entfallen oder etwaige gesetzliche Aufbewahrungs- und Dokumentationspflichten nicht mehr entgegenstehen, werden diese Daten entsprechend den gesetzlichen Bestimmungen gelöscht. Die Dauer der Speicherung kann sich insbesondere auch nach der Schwere des Verdachts, der Art des gemeldeten eventuellen Compliance-Verstoßes und der Komplexität des Sachverhalts bemessen.
Vertrauliche Behandlung von Hinweisen und Weitergabe an Dritte
Wir übermitteln Ihre Daten grundsätzlich nicht an Dritte. Eine Weitergabe erfolgt nur, sofern die Daten gerade zur Weitergabe bestimmt sind, Sie vorher ausdrücklich in die Übermittlung eingewilligt haben oder wir aufgrund gesetzlicher Vorschriften hierzu verpflichtet bzw. berechtigt sind.
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter der Compliance Organisation der HHLA entgegengenommen und stets vertraulich behandelt. Die Mitarbeiter der Compliance Organisation der HHLA prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern der HHLA oder Mitarbeitern von anderen Konzerngesellschaften weiterzugeben, z.B., wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften beziehen. Letztere können Ihren Sitz auch in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes haben, in denen abweichende Regelungen zum Schutz personenbezogener Daten bestehen können. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
Das Hinweisgebersystem wird durch den spezialisierten und weisungsgebundenen Auftragsverarbeiter (Art. 28 DSGVO) EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen der HHLA betrieben.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die EQS Group GmbH und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert und unterliegen einem Berechtigungskonzept, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen der HHLA Compliance Organisation beschränkt ist.
In Einzelfällen können weitere gesetzliche Verpflichtungen zur Übermittlung von Daten vorliegen, die jedoch nicht allgemein, sondern nur im konkreten Einzelfall entstehen können. Hierunter fällt auch eine Kooperation mit Ermittlungsbehörden und eine Datenweitergabe in diesem Rahmen unter Beachtung des Datenschutzrechts.
Ihre Rechte als betroffene Person
Die folgenden Rechte stehen Ihnen aufgrund der anwendbaren Datenschutzgesetze zur Verfügung:
- Das Recht auf Erteilung von Auskünften über die Verarbeitung der eigenen personenbezogenen Daten gem. Art. 15 DSGVO.
- Das Recht auf Berichtigung sowie Löschung einschließlich des „Rechts auf Vergessenwerden“ gem. Art. 16, 17 DSGVO.
- Das Recht, eine Einschränkung der Verarbeitung zu verlangen gemäß Art. 18 DSGVO.
- Das Recht auf Übertragbarkeit der Daten („Datenportabilität“) gemäß Art. 20 DSGVO.
- Das Recht keiner automatisierten Entscheidungsfindung unterworfen zu sein, die rechtliche Wirkung entfaltet oder eine Beeinträchtigung verursacht gemäß Art. 22 DSGVO.
- Das Recht, einer Verarbeitung einschließlich einem Profiling aufgrund Ihrer besonderen Situation zu widersprechen gemäß Art. 6 Abs. 1 lit. f, 21 DSGVO.
Das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde. Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden. In Hamburg ist die zuständige Aufsichtsbehörde:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg, Ludwig-Erhard-Str 22, 20459 Hamburg, E-Mail: mailbox@datenschutz.hamburg.de.
Sämtliche Betroffenenrechte mit Ausnahme des Beschwerderechts bei der Aufsichtsbehörde können gegenüber dem Konzerndatenschutzbeauftragten bzw. gegenüber dem zuständigen betrieblichen Datenschutzbeauftragten geltend gemacht werden. Nutzen Sie hierfür bitte den unten genannten Ansprechpartner.
Kontakt zum Datenschutzbeauftragten:
Sie haben zudem das Recht, sich jederzeit an unseren Datenschutzbeauftragten zu wenden (datenschutz@hhla.de).
