Datenschutzrechtliche Informationspflichten nach § 10 HinSchG
Die Meldestellen sind befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 bezeichneten Aufgaben erforderlich ist. Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch eine Meldestelle zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. In diesem Fall hat die Meldestelle spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen; § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes ist entsprechend anzuwenden.
Datenschutzrechtliche Informationspflichten nach Artikel 13 und Artikel 14 DSGVO bzw. § 17, § 18, § 19 DSG-EKD
Wir haben in unserem Unternehmen eine interne Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) eingerichtet.
Nachfolgend informieren wir über Zweck, Art und Umfang der Datenverarbeitung.
Wer ist für Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne des Datenschutzrechts ist die
GESA gGmbH
Hünefeldstraße 14a
42283 Wuppertal
Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?
Sofern Sie als hinweisgebende Person eine Meldung bei der internen Meldestelle machen, verarbeiten wir – soweit Sie dies angeben – personenbezogene Daten von Ihnen.
Sofern Sie eine Person sind, die Gegenstand einer Meldung ist, verarbeiten wir die Informationen, dies uns gegenüber von der hinweisgebenden Person oder weiteren Personen mitgeteilt worden sind. Ferner verarbeiten wir auch die Informationen, die wir im Zusammenhang mit weiteren Maßnahmen, Folgemaßnahmen und weiteren Ermittlungen erhalten.
Sofern Sie uns als unterstützende Person im Zusammenhang mit der Sachverhaltsaufklärung und -aufarbeitung unterstützen, speichern wir Ihren Namen und weitere, von Ihnen gemachte Angaben ebenfalls in dem betreffenden Vorgang.
Der Zweck der Verarbeitung ist die Erfüllung der Pflichten aus dem HinSchG, insbesondere der Aufgaben der internen Meldestelle aus § 13 HinSchG.
Auf welcher rechtlichen Grundlage basiert das?
Rechtsgrundlage für die Verarbeitung ist regelmäßig Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 10 HinSchG bzw. § 6 Absatz 6 DSG-EKD i.V.m. § 10 HinSchG. Weitere Rechtsgrundlage kann eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) bzw. § 6 Absatz 2 DSG-EKD sein. Schließlich kann einer Verarbeitung von personenbezogenen Daten auch auf Basis einer sog. Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO bzw. § 6 Absatz 8 DSG-EKD erfolgen. In diesen Fällen wird das Interesse im Zusammenhang mit der jeweiligen Verarbeitung gesondert mitgeteilt.
Soweit besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO bzw. § 13 DSG-EKD verarbeitet werden, ist Art. 9 Abs. 2 lit. b) und g) DSGVO i.V.m. § 10 HinSchG bzw. § 13 Absatz 2 Satz 2 DSG-EKD die Rechtsgrundlage für Verarbeitung dieser Daten.
Wie lange werden die Daten gespeichert?
Wir sind gesetzlich verpflichtet, Daten im Zusammenhang mit einer Meldung für drei Jahre nach Abschluss des Verfahrens durch die interne Meldestelle aufzubewahren. Eine längere Verarbeitung der Daten kommt in Betracht, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
An welche Empfänger werden die Daten weitergegeben?
Innerhalb des Unternehmens kommt eine Weitergabe Ihrer personenbezogenen Daten in Betracht, wenn z.B. im Zusammenhang mit einem Stellenwechsel eine Prüfung der Eignung und Qualifikation erforderlich wird. Oder falls Ihnen im Unternehmen eine andere oder zusätzlich Aufgabe übertragen wird oder werden soll.
Ferner kann im Kontext der betrieblichen Mitbestimmung eine Weitergabe an die Mitarbeitervertretung erfolgen.
Eine Weitergabe kann auch – soweit die gesetzlichen Voraussetzungen vorliegen (vgl. § 9 HinSchG) – an weitere Stellen erfolgen. Die können insbesondere Strafverfolgungsbehörden, zuständige Verwaltungsbehörden, Gerichte, die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeskartellamt sein.
Empfänger von Daten können zudem die Unternehmen sein, die uns technisch beim Betrieb, der Wartung und Pflege der IT-Systeme unterstützten, mit denen wir die Aufgaben der internen Meldestelle umsetzen.
Wo werden die Daten verarbeitet?
Die Daten werden grundsätzlich auf dedizierten IT-Systemen in unseren Räumlichkeiten verarbeitet. Auf diese IT-Systeme haben neben Administratoren nur Mitglieder der Personalabteilung und der Unternehmensleitung Zugriff.
Sollten Beschäftigtendaten bei Dienstleistern verarbeitet werden, stellen wir sicher, dass dies unter Einhaltung der datenschutzrechtlichen Vorgaben erfolgt. Eine Verarbeitung von Beschäftigtendaten außerhalb der Europäischen Union erfolgt nicht.
Ihre Rechte als „Betroffene“
Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Sie haben ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Gleiches gilt für ein Recht auf Datenübertragbarkeit.
Unseren Datenschutzbeauftragten im Unternehmen erreichen Sie unter
GESA gGmbH
– Datenschutzbeauftragter –
Hünefeldstraße 14a
42283 Wuppertal
E-Mail: datenschutz@gesaonline.de
Transparenzhinweis: Die Datenschutzbeauftragung sowie die Meldestellenbeauftragung werden durch dieselbe Person erfüllt.
Beschwerderecht
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Die zuständige Aufsichtsbehörde lautet:
Der Beauftragte für den Datenschutz der EKD (BfD EKD)
Michael Jacob
Lange Laube 20
30159 Hannover
Die Evangelische Kirche in Deutschland (EKD) ist eine Körperschaft des öffentlichen Rechts und wird insbesondere in allgemeinen Angelegenheiten durch den Präsidenten des Kirchenamtes der EKD, Herrn Dr. Hans-Ulrich Anke, vertreten.
Telefon: + 49 (0)511 768128-0
Telefax: + 49 (0)511 768128-20
E-Mail: info(ät)datenschutz.ekd.de