Information über die Verarbeitung von personenbezogenen Daten beim Einsatz eines Hinweisgebersystems
Die nachfolgende Erklärung gibt Ihnen alle gem. Art. 13 Datenschutzgrundverordnung (DSGVO) erforderlichen Informationen zur Verarbeitung Sie betreffender personenbezogener Daten durch die medac GmbH beim Einsatz eines Hinweisgebersystems, sofern Sie personenbezogene Daten freiwillig bei der Meldung angeben. Eine anonyme Meldung ohne Verarbeitung personenbezogener Daten wird durch das eingesetzte Hinweisgebersystem ermöglicht.
1. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO
Medac Gesellschaft für klinische Spezialpräparate m.b.H. (medac GmbH)
Theaterstraße 6
22880 Wedel
2. Datenschutzbeauftragter
medac GmbH
Datenschutzbeauftragter
Theaterstraße 6
22880 Wedel
Telefon +49 (0)4103 - 8006-0
mail@planit.legal
3. Kategorien personenbezogener Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, werden nur dann Ihr Name und weitere personenbezogene Daten, die Sie ggf. im Rahmen der Beschreibung des Hinweises angeben, verarbeitet, wenn Sie diese freiwillig bei Ihrer Meldung offenlegen.
Bei der Meldung müssen Sie einen geschützten Postkasten einrichten. Hierfür müssen Sie einen Benutzernamen und ein Passwort festlegen. Um anonym zu bleiben, können Sie als Benutzernamen ein Pseudonym verwenden. Sofern Sie Ihren Namen oder Ihre E-Mail-Adresse als Benutzernamen verwenden, wird entweder Ihr Name oder Ihre E-Mail-Adresse verarbeitet.
Bei der Nutzung des Hinweisgebersystems werden Geräteinformationen des von Ihnen verwendeten Endgeräts verarbeitet. Um auch hier eine Zuordnung zu Ihrer Person auszuschließen, empfehlen wir, ein privates Gerät und kein von der medac GmbH gestelltes Endgerät zu verwenden, da bei diesen eine Zuordnung des Endgeräts zu Ihrer Person theoretisch möglich wäre.
Wenn Sie anonym eine Meldung abgeben möchten und Anhänge beifügen, beachten Sie bitte, dass Dateien versteckte personenbezogene Daten enthalten können, die ggf. Rückschlüsse auf Ihre Person ermöglichen. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die medac GmbH.
4. Rechtsgrundlage und Zwecke
Sofern Sie freiwillig personenbezogene Daten bei der Hinweismeldung angeben, verarbeiten wir Ihre Daten auf Grundlage einer gesetzlichen Pflicht gemäß Art. 6 Abs. 1 lit. b DSGVO i.V.m. Hinweisgeberschutzgesetz.
Das Hinweisgebersystem dient dazu, Hinweise auf Verstöße auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Diese Verstößen können im Wesentlichen folgende Unternehmensbereiche betreffen:
- Rechnungswesen, Prüfungen und interne Finanzkontrollen (z.B. Unregelmäßigkeiten in der Buchführung, Rechnungslegung und Abschlussprüfung, finanzielles Fehlverhalten bei internen Kontrollen)
- Unternehmensintegrität (z.B.: Bestechung, Korruption und Betrug, Geschenke und Bewirtung, Dokumentenfälschung, Interessenkonflikte, Wettbewerb und Kartellrecht, Vertraulichkeit und Datenschutzverstöße)
- Umwelt, Gesundheit und Sicherheit (z.B.: Verstöße gegen Umweltvorschriften sowie Arbeits- und Gesundheitsschutzvorschriften, inklusive Körperverletzungen)
- Personalwesen, Diversität und Respekt am Arbeitsplatz (z.B.: Diskriminierung, (sexuelle) Belästigung und Mobbing, Menschenrechtsverletzungen, sonstiges Fehlverhalten oder unangemessenes Verhalten)
- Missbrauch/Veruntreuung von Vermögenswerten oder Dienstleistungen (z.B. unerlaubte Nutzung von unternehmenseigenen Ressourcen oder Ausrüstungen aus nicht-geschäftlichen Gründen, Diebstahl von Unternehmenseigentum, Arbeitszeitbetrug)
- Sonstiges (Sonstige Verstöße gegen Vorschriften, Gesetze und Richtlinien)
5. Empfänger / Drittstaatenübermittlung
Bei der Meldung von Verstößen erhält die Compliance-Abteilung sowie die je nach gemeldetem Verstoß zuständige Fachabteilung die personenbezogenen Daten zur weiteren internen Verarbeitung, sofern freiwillig personenbezogene Daten bei der Meldung angegeben worden sind. Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern der medac GmbH oder Mitarbeitern von anderen Konzerngesellschaften weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften beziehen. Sofern es zur Weitergabe an Niederlassungen oder Tochtergesellschaften kommt, die ihren Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben, kann es zu entsprechenden Datenübermittlungen in diese Länder kommen. Es finden ansonsten keine regelmäßigen Übermittlungen Ihrer Daten in Drittstaaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums statt.
Ihre personenbezogenen Daten werden im Rahmen der Datenverarbeitung an den Anbieter der eingesetzten Lösung, die EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin weitergeleitet, die das Hinweisgebersystem technisch für medac betreibt. Für diesen Fall hat die medac GmbH vertragliche Vereinbarungen über den Schutz Ihrer personenbezogenen Daten getroffen. Solche Vereinbarungen bestehen auch gegenüber der EQS Group GmbH.
medac GmbH ist schließlich grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass medac GmbH einen Hinweis über sie erhalten hat, sobald diese Information die Weiterverfolgung des Hinweises nicht gefährdet. Ihre Identität als Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
6. Dauer der Aufbewahrung
Ihre personenbezogenen Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder eine gesetzliche Pflicht zur Aufbewahrung besteht und im Anschluss entsprechend den Anforderungen des Datenschutzrechts gelöscht.
7. Ihre Rechte als Betroffener/-e
Als Betroffener der Datenverarbeitung haben Sie ein Recht auf Bestätigung, ob zu Ihrer Person bezogene Daten verarbeitet werden und sofern dies zutrifft, das Recht auf Auskunft über diese personenbezogenen Daten (Art. 15 DSGVO) sowie ein Recht auf Berichtigung Ihrer unrichtigen Daten (Art. 16 DSGVO), ein Recht auf Löschung (Art. 17 DSGVO) und ein Recht auf Einschränkung (Sperrung) Ihrer Daten (Art. 18 DSGVO). Ob und in welchem Fall diese Rechte bestehen, hängt von gesetzlich definierten Anforderungen ab.
Außerdem können Sie im Falle einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO Widerspruch gegen die Verarbeitung erheben (Art. 21 DSGVO). Wir verarbeiten Ihre personenbezogenen Daten dann nur noch, wenn dafür zwingende Gründe vorliegen und ihre Interessen nicht überwiegen.
Sofern Sie die Daten bereitgestellt haben, können Sie die Übertragung der Daten verlangen (Art. 20 DSGVO). Ob und in welchem Umfang diese Rechte im Einzelfall bestehen und unter welchen Bedingungen sie gelten, ist gesetzlich in den benannten Normen festgelegt. Außerdem haben Sie das Recht, sich an die zuständige Datenschutzaufsichtsbehörde zu wenden (Art. 77 DSGVO). Wenn Sie Fragen oder Beschwerden zum Datenschutz haben, empfehlen wir Ihnen, sich zunächst an unseren Datenschutzbeauftragten zu wenden.
8. Automatische Entscheidungsfindung/Profiling
Die Verarbeitung wird nicht für automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO benutzt.