Law and Compliance

Datenschutzhinweise der H-BRS für das interne Hinweisgebersystem

Einleitung

Für uns ist es sehr wichtig, dass mit personenbezogenen Daten sorgfältig und rechtskonform umgegangen wird. Dies gilt insbesondere auch für Daten im Zusammenhang mit Hinweisen des internen Meldesystems. Dies gilt sowohl für die Hotline als auch für unsere webbasierte Applikation. Die folgenden Informationen zeigen Ihnen, wie wir mit Ihren personenbezogenen Daten im Rahmen von Hinweisen des internen Meldesystems zur präventiven Verhütung von Verstößen gegen geltendes Recht oder Unternehmensrichtlinien (z.B. Betrug oder Korruption sowie sonstige Straftatbestände) und/oder zur Aufdeckung von solchen Verstößen umgehen.

Der Begriff personenbezogene Daten meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Personenbezogene Daten sind daher beispielsweise der Vor- und Nachname, Adresse, Geburtsdatum, E-Mail-Adressen oder Telefonnummern.

1       Zwecke der Verarbeitung der personenbezogenen Daten

Die Hochschule Bonn-Rhein-Sieg verarbeitet im Rahmen der Eingabe und Bearbeitung von Meldungen im internen Meldesystem unter anderem folgende Arten an personenbezogenen Daten:

·       Informationen zur persönlichen Identifizierung des Hinweisgebers, wie zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse;

·       Beschäftigteneigenschaft zur Hochschule Bonn-Rhein-Sieg;

·       Informationen zu betroffenen Personen, d.h. natürlichen Personen, die in einer Meldung als eine Person bezeichnet wird, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist. Solche Informationen sind zum Beispiel Vor- und Nachname, Geschlecht, Anschrift, Telefonnummer und E-Mail-Adresse oder sonstige Informationen, die eine Identifikation ermöglichen;

·       Informationen über Verstöße, die ggf. Rückschlüsse auf eine natürliche Person erlauben.

Die Hochschule Bonn-Rhein-Sieg verarbeiten die personenbezogenen Daten zum Zwecke der Untersuchung der Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens) vorzunehmen.

 

2        Rechtsgrundlage

2.1       Informationen zur persönlichen Identifizierung des Hinweisgebers verarbeiten wir nur, wenn uns der Hinweisgeber dazu eine Einwilligung gemäß Art. 6 UAbs. 1 lit. a DSGVO abgegeben hat. Danach ist die Verarbeitung nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

2.2       Informationen zur Beschäftigteneigenschaft, Informationen zu betroffenen Personen sowie sonstige Informationen, die Rückschlüsse auf natürliche Personen zulassen, verarbeiten wir auf der Grundlage Art. 6 UAbs. 1 lit. f DSGVO. Danach ist die Verarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. 

Unser berechtigtes Interesse besteht – je nach zu prüfenden konkreten Einzelfall – in der Bearbeitung von Meldungen, um Folgemaßnehmen durchführen zu können, wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens. Ob Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person einer solchen Datenverarbeitung entgegenstehen, wird im Einzelfall – unter anderem auch mit Blick auf den Verstoß – geprüft.

2.3       Wir verarbeiten gegebenenfalls personenbezogene Daten von Beschäftigten auf Grundlage von § 26 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten i.S.d. § 26 Abs. 8 BDSG zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

  

3      Ihre Rechte 

Sie haben gegenüber uns die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO),
  • Recht auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung (21 DSGVO).
  • Darüber hinaus weisen wir Sie als Hinweisgeber auf Ihr Recht hin, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung davon berührt wird. 

Sie können Ihre Rechte unter anderem ausüben, indem Sie eine E-Mail an folgende E-Mail-Adresse schreiben: datenschutzbeauftragte@h-brs.de

Des Weiteren haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Sie können sich hierfür an die Aufsichtsbehörde unseres Firmensitzes wenden. Die Adresse finden Sie unter nachfolgendem Link im Internet: Aktuelles | LDI - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (nrw.de)

 

4        Allgemeine Informationen zu den Empfängern oder Kategorien von Empfängern

Die personenbezogenen Daten, die im Rahmen einer Meldung verarbeitet werden, werden von der Firma lawcode GmbH, Universitätsstraße 3, 56070 Koblenz, im Auftrag und nach Weisungen der Hochschule Bonn-Rhein-Sieg verarbeitet.

Eine Übermittlung der personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Dies ist insbesondere der Fall, wenn die Übermittlung der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind, dient, Sie uns Ihre Einwilligung dazu erteilt haben oder eine Interessenabwägung dies rechtfertigt.  

Darüber hinaus verarbeiten externe Dienstleistungsunternehmen, wie beispielsweise externe Rechenzentren oder Telekommunikationsanbieter, personenbezogene Daten in unserem Auftrag als Auftragsverarbeiter.

Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an unsere entsprechend zuständigen Fachabteilungen weitergegeben. 

Unter Umständen geben wir die personenbezogenen Daten auch an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Behörden und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Wirtschaftsprüfer/Rechtsanwälte, weiter.

  

5        Allgemeine Informationen über den Aufbewahrungszeitraum

Daten werden in der Regel solange gespeichert, bis die Folgemaßnahmen abgeschlossen sind. In der Regel werden die Daten aus einer Meldung nach 2 Monaten gelöscht, nachdem das Verfahren endgültig abgeschlossen ist, es sei denn, die Einleitung weiterer rechtlicher Schritte erfordert die weitere Aufbewahrung (z.B. Einleitung von Strafverfahren oder Disziplinarverfahren). Personenbezogene Daten im Zusammenhang mit Meldungen werden von uns unverzüglich gelöscht, sofern wir sie als offensichtlich sachlich grundlos erachten.

 

6        Informationen gemäß Art. 13 Abs. 2 lit. e DSGVO 

Die Bereitstellung der Daten über eine Meldung ist weder vertraglich vorgeschrieben noch für einen Vertragsabschluss erforderlich. Unter Umständen bestehen je nach individuellem Einzelfall gesetzliche Pflichten, uns eine Meldung zu erteilen. Für eine sinnvolle Bearbeitung und Untersuchung der Meldung ist eine Verarbeitung der Daten jedoch erforderlich.  

 

Anlaufstellen

The Data Protection Commissioner

Address

Grantham-Allee 20

53757, Sankt Augustin

Opening hours

On weekdays: by prior agreement

Recht und Compliance

Room

G252, G246, E250

Address

Grantham-Allee 20

53757, Sankt Augustin