Datenschutz
Zweck der Datenverarbeitung
HINSCHG
Gemäß der Verpflichtung nach dem Hinweisgeberschutzgesetz (HinSchG) ist mit dem Hinweisgebersystem AdvoWhistle eine digitale interne Meldestelle eingerichtet. AdvoWhistle ist Teil des Compliance Management Systems.
Mitarbeitende, Kunden, Geschäftspartner oder sonstige hinweisgebende Personen können über AdvoWhistle den Verdacht von Verstößen gegen Gesetze und interne Regeln sicher und vertraulich melden. Hierdurch sollen Aufdeckung und Prävention wesentlicher Regelverstöße gefördert und erhebliche Risiken und Schäden abgewendet werden.
LKSG
Gemäß der Verpflichtung nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) ist mit dem System AdvoWhistle ein digitales Beschwerdeverfahren eingerichtet. Das Beschwerdeverfahren ist Teil des LkSG-Risikomanagements.
Mitarbeitende, Kunden, Geschäftspartner oder sonstige hinweisgebende Personen können über AdvoWhistle auf menschenrechtliche und umweltbezogene Risiken sowie auf Verletzung menschenrechtsbezogener und umweltbezogener Pflichten sicher und vertraulich hinweisen. Hierdurch sollen Aufdeckung und Prävention wesentlicher Risiken und Verletzungen gefördert und erhebliche Risiken und Schäden abgewendet werden.
Verantwortlichkeit
Verantwortlicher für die Verarbeitung von personenbezogenen Daten ist im Rahmen eines anwaltlichen Mandatsverhältnisses: Bette Westenberger Brink Rechtsanwälte PartGmbB, Große Langgasse 1A, 55116 Mainz, Deutschland, Telefon +49 6131 287700, E-Mail advowhistle@bwb-law.de (nachfolgend Vertrauensanwälte).
Inhaltlich verantwortlich sind Rechtsanwältin Stephanie Kappen und Rechtsanwalt Christian Faber. Der betriebliche Datenschutzbeauftragte von Bette Westenberger Brink Rechtsanwälte ist unter der vorgenannten Anschrift sowie unter datenschutz@bwb-law.de erreichbar.
Technische Infrastruktur
Die Vertrauensanwälte nutzen die Hinweisgebersystem-Software des Technikdienstleister iComply GmbH, Große Langgasse 1A, 55116 Mainz, Deutschland.
Personenbezogene Daten und Informationen, welche darin eingegeben werden, werden in einer vom Technikdienstleister betriebenen Datenbank in einem ISO/IEC 27001 zertifizierten Rechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur den ausdrücklich autorisierten Vertrauensanwälten möglich. Durch Ende-zu-Ende-Verschlüsselung aller Daten, mehrstufigen Passwortschutz, technische und organisatorische Maßnahmen und regelmäßige Zertifizierungen ist gewährleistet, dass Technikdienstleister, der Rechenzentrumsbetreiber und sonstige Dritte keinen Zugang zu den Daten haben.
Rechtsgrundlagen
Rechtsgrundlage für die Verarbeitung von Hinweisen, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen, ist die rechtliche Verpflichtung gemäß Art. 6 Abs 1 c) DSGVO in Verbindung mit § 10 Hinweisgeberschutzgesetz (HinSchG).
Rechtsgrundlage für die Verarbeitung von Hinweisen, die sich auf Verstöße gegen interne Regeln beziehen, ist das überwiegende berechtigte Interesse an der Aufdeckung und Prävention wesentlicher Regelverstöße und der damit verbundenen Abwendung von Risiken und Schäden gemäß Art. 6 Abs 1 f) DSGVO.
Betrifft ein Hinweis menschenrechtliche oder umweltbezogenen Risiken oder die Verletzung menschenrechtsbezogene oder umweltbezogene Pflichten, stützt sich die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 c DSGVO i.V.m. § 8 LkSG.
Betrifft ein Hinweis Verstöße gegen geldwäscherechtliche Vorschriften, stützt sich die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 c) DSGVO i.V.m. § 11a GwG.
Betrifft ein Hinweis Verstöße gegen bankaufsichtsrechtliche Vorschriften wie das Gesetz über das Kreditwesen (KWG) und Verordnungen auf Grundlage dessen sowie weitere Bestimmungen, deren Beachtung die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Rahmen der Finanzmarktaufsicht überprüft (z.B. CRR-Verordnung, Marktmissbrauchsverordnung, SSM-Verordnung, PRIIPS-Verordnung, Prospektverordnung), das Wertpapierhandelsgesetz (WpHG) und Verordnungen auf Grundlage dessen, stützt sich die Verarbeitung von personenbezogenen Daten im Rahmen dieses Hinweisgebersystems auf Art. 6 Abs. 1 c) DSGVO i.V.m. den jeweiligen finanzaufsichtsrechtlichen Vorschriften.
Nutzung des Meldeportals
Die Nutzung von AdvoWhistle erfolgt auf freiwilliger Basis. Bei der Abgabe eines Hinweises erhebt AdvoWhistle folgende personenbezogene Daten und Informationen:
- hinweisgebende Person: Name (sofern Sie Ihre Identität offenlegen), Kontaktdaten (sofern Sie diese zur Verfügung stellen)
- von Vorfällen betroffene Personen: Vor- und Nachname, Informationen über Vorfälle und Verdacht auf Gesetzesverletzungen und Regelverstöße
- Zeugen und/oder Dritte, welche im Hinweis genannt werden (z.B. Kunden, Lieferanten, Kollegen oder Geschäftspartner): Vor- und Nachname, Kontaktdaten
Bei Hinweisabgabe und Versand von Ergänzungen können Dateianhänge übermittelt werden. Soweit Anonymität gewahrt werden soll, müssen versteckte personenbezogene Daten vor dem Versand entfernt werden. Sollte das nicht gelingen, kann etwa lediglich der Text aus diesen Dateien in das digitale Meldeformular einkopiert werden, oder Ausdrucke dieser Dateien an die Postanschrift der Vertrauensanwälte gesandt werden.
Vertraulichkeit
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter Vertrauensanwälte entgegengenommen und stets vertraulich behandelt. Die Vertrauensanwälte prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch. Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Zur weiteren Bearbeitung eingehender Hinweise ist es regelmäßig notwendig, Hinweise an den Mandanten weiterzugeben. Soweit vereinbart, holen die Vertrauensanwälte vor einer solchen Weitergabe stets das ausdrückliche Einverständnis der hinweisgebenden Person ein.
Soweit der Mandant seinen Sitz außerhalb der Europäischen Union hat und dort abweichende Regelungen zum Schutz personenbezogener Daten bestehen, achten die Vertrauensanwälte stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Information beschuldigter Personen
Die Vertrauensanwälte sind grundsätzlich nicht dazu verpflichtet, beschuldigte Personen darüber zu informieren, dass diese betreffende Hinweise eingingen, da für Rechtsanwälte die Bereichsausnahme aus Art. 14 Abs. 5 d) DSGVO aus dem Berufsgeheimnis gilt. Der Inhalt der Hinweise wird innerhalb des Mandatsverhältnisses erhoben und verarbeitet.
Betroffenenrechte
Personen, deren personenbezogene Daten verarbeitet werden (Betroffene) haben das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die über Sie gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung. Sofern wir Ihre Daten auf Grundlage unseres berechtigten Interesses verarbeiten, haben Sie bei Vorliegen berechtigter Gründe, die sich aus Ihrer besonderen Situation ergeben, das Recht der Verarbeitung zu widersprechen (Widerspruchsrecht).
Zusätzlich haben Betroffene das Recht auf Berichtigung unrichtiger personenbezogener Daten, das Recht auf Löschung personenbezogener Daten, das Recht auf Einschränkung der Verarbeitung personenbezogener Daten, das Recht auf Datenübertragbarkeit.
Betroffene haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Betroffene können sich hierfür an die Aufsichtsbehörde ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder die Vertrauensanwälte wenden.
Aufbewahrungsdauer von Daten
HINSCHG
Die Dokumentation von Hinweisen und darin enthaltene personenbezogene Daten werden grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann in Einzelfällen länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz (HinSchG) oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Zu Dokumentationszwecken wird darüber hinaus eine abschließende Einschätzung gespeichert.
LKSG
Die Dokumentation von Hinweisen und darin enthaltene personenbezogene Daten werden grundsätzlich sieben Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann in Einzelfällen länger aufbewahrt werden, um die Anforderungen nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Zu Dokumentationszwecken wird darüber hinaus eine abschließende Einschätzung gespeichert.