Startseite

Sie sind hier: Über uns > Compliance

Hinweise zum Datenschutz

Im Folgenden möchten wir Sie über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen des Hinweisgebersystems der SGG Städtische Gebäudeeigenreinigung GmbH (nachfolgend „Auftraggeber“) aufklären.

1. Zweck des Hinweisgebersystems

Das Hinweisgebersystem dient dazu, Hinweise von (mutmaßlichen) Gesetzes- oder schweren internen Regelverletzungen des Auftraggebers und deren Beschäftigten1 im Zusammenhang mit ihrer beruflichen Tätigkeit auf einem sicheren und vertraulichen Weg entgegenzunehmen und zu bearbeiten.

Die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystems erfolgt zum einen nach § 10 Hinweisgeberschutzgesetz (HinSchG) und stützt sich zum anderen auf das berechtigte Interesse des Auftraggebers an der Aufdeckung und Prävention von Missständen und der damit verbundenen Abwendung von Schäden und Haftungsrisiken für das Unternehmen (Art. 6 Abs. 1 Buchst. f Datenschutz-Grundverordnung – DSGVO i.V.m. §§ 30, 130 Gesetz über Ordnungswidrigkeiten – OWiG).

Betrifft ein eingegangener Hinweis einen Beschäftigten des Auftraggebers, dient die Verarbeitung zudem der Verhinderung von Straftaten oder sonstigen Rechtsverstöße, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen (§ 26 Abs. 1 Bundesdatenschutzgesetz – BDSG bzw. Art. 6 Abs. 1 S. 1 b) und f) DSGVO: Erfüllung von Verträgen und berechtigte Interessen an der Verfolgung der vorgenannten Zwecke).

2. Verantwortliche Stelle und Datensicherheit

Die für den Datenschutz verantwortliche Stelle des Hinweisgebersystems sind die SGG Städt. Gebäudeeigenreinigung GmbH, Willhoop 7, 22453 Hamburg, sowie die ESC Unternehmensberatung GmbH, Am Sandtorkai 44, 20457 Hamburg. Der Auftraggeber hat ESC Unternehmensberatung GmbH (nachfolgend auch „ESC UB“) mit den Aufgaben der internen Meldestelle betraut. Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten und Informationen durch ESC Unternehmensberatung GmbH sind § 10 HinSchG und Art. 6 Abs. 1 S. 1 f) DSGVO (berechtigte Interessen). Das maßgebliche berechtigte Interesse liegt in der Umsetzung der von dem Gesetzgeber vorgesehenen Möglichkeit der Einrichtung einer internen Meldestelle durch Betrauung eines Dritten (§ 14 Abs. 1 S. 1 HinSchG).

Die ESC Unternehmensberatung GmbH hat einen Datenschutzbeauftragten bestellt. Betroffene Personen können den Datenschutzbeauftragten der ESC Unternehmensberatung GmbH direkt kontaktieren:

Datenschutzbeauftragter der     
ESC Unternehmensberatung GmbH     
c/o beck Service GmbH    
Ericusspritze 4     
20457 Hamburg    
E-Mail: datenschutz.esche.ub@remove-this.beckservice.remove-this.gmbh

Der betriebliche Datenschutzbeauftragte des Auftraggebers ist erreichbar unter folgenden Kontaktdaten:

Dominik Fünkner
E-Mail: datenschutzbeauftragter@datenschutzexperte.de

3. Vertrauliche Behandlung von Hinweisen

Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter Personen von ESC Unternehmensberatung GmbH entgegengenommen und stets vertraulich behandelt. Diese Personen prüfen den Sachverhalt, halten zu der hinweisgebenden Person Kontakt und führen gegebenenfalls in Abstimmung mit dem Auftraggeber unter Einhaltung des gesetzlichen Vertraulichkeitsgebots eine weitergehende fallbezogene Sachverhaltsaufklärung durch. ESC Unternehmensberatung GmbH offenbart gegenüber dem Auftraggeber Ihre Identität und die Identität der von einer Meldung betroffenen Personen nur, soweit dies nach den gesetzlichen Vorschriften zulässig ist.

In bestimmten Fällen besteht für ESC Unternehmensberatung GmbH und / oder den Auftragsgeber die datenschutzrechtliche Verpflichtung, die beschuldigte Person von den gegen sie erhobenen Vorwürfen zu informieren. Dies ist in solchen Fällen gesetzlich geboten, wenn objektiv feststeht, dass die Informationserteilung an den Beschuldigten die konkrete Hinweisaufklärung überhaupt nicht mehr beinträchtigen kann. Dabei wird Ihre Identität als Hinweisgeber – soweit rechtlich möglich – nicht offengelegt und es wird auch zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität von Ihnen als Hinweisgeber möglich werden.

Beim wissentlichen Einstellen falscher Hinweise mit dem Ziel eine Person zu diskreditieren (Denunziation) kann die Vertraulichkeit nicht gewährleistet werden.

Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Untersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern des Auftraggebers oder ihren verbundenen Unternehmen und deren Mitarbeitern weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in verbundenen Unternehmen beziehen.

Bei Erforderlichkeit für die Aufklärung kann eine Übermittlung an Unternehmen in einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, auf Basis geeigneter oder angemessener datenschutzrechtlicher Garantien zum Schutz von Betroffenen, erfolgen. Bei den gennannten Garantien handelt es sich - soweit nicht ein konkreter Angemessenheitsbeschluss der EU-Kommission für das entsprechende Land außerhalb der EU bzw. des EWR vorliegt - um die Standardvertragsklauseln der Europäischen Kommission. Betroffene haben das Recht vom Auftraggeber eine Kopie der geeigneten oder angemessenen Garantien für die Übermittlung personenbezogener Daten in Drittstaaten zu erhalten.

Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.

Bei entsprechender gesetzlicher Verpflichtung oder datenschutzrechtlicher Erforderlichkeit für die Hinweisaufklärung kommen als weitere denkmögliche Empfängerkategorien Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte sowie vom Auftraggeber beauftragte Rechtsanwalts- und Wirtschaftsprüfungsgesellschaften in Frage.

Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.

4. Empfänger

Zu den Kategorien von Empfängern Ihrer personenbezogenen Daten können neben den Verantwortlichen zählen:

  • Ggf. externe Dienstleister, die für die einen Verantwortlichen Dienstleistungen im Rahmen von Auftragsdatenverarbeitungen oder sonstigen Dienstleistungsverträgen erbringen (z.B. IT- Dienstleistungen; Kommunikationsdienstleistungen, Vernichtung von Datenträgern);
  • Ggf. öffentliche Stellen und Institutionen (z. B. Aufsichtsbehörden) bei Vorliegen einer gesetzlichen Verpflichtung;
  • Ggf. Gerichte im Rahmen von Rechtsstreitigkeiten;
  • Rechtsanwälte im Rahmen von Rechtsstreitigkeiten und sonstigen rechtlichen Auseinandersetzungen sowie der Rechtsberatung;
  • Beschuldigte Person(en) und sonstige von der Meldung betroffene Person(en) bei Vorliegen einer gesetzlichen Verpflichtung oder eines berechtigten Interesses (z.B. weitere Sachverhaltsaufklärung oder Rechtsdurchsetzung);
  • Ggf. ein externer Datenschutzbeauftragter.

5. Übermittlung in Drittstaaten

Eine Übermittlung Ihrer personenbezogenen Daten an ein Drittland oder eine internationale Organisation ist nicht beabsichtigt, aber – sofern diese unter Berücksichtigung von Art. 44 ff. DSGVO zulässig ist – auch nicht ausgeschlossen.

6. Aufbewahrungsdauer von personenbezogenen Daten

Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert oder ein berechtigtes Interesse des Auftraggebers besteht oder dies aufgrund eines Gesetzes erforderlich ist. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dokumentation über Meldungen von Rechtsverstößen wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach dem Hinweisgeberschutzgesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

7. Betroffenenrechte

In Bezug auf die Verarbeitung Ihrer personenbezogenen Daten können Sie bei Vorliegen der jeweiligen Voraussetzungen der DSGVO und des Bundesdatenschutzgesetzes folgende Rechte haben. Beachten Sie bitte insofern auch die untenstehenden Angaben zu dem Verhältnis zwischen dem Auftraggeber und der ESC UB.

a. Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit

Ihnen stehen nach der DSGVO u.a. die folgenden Betroffenenrechte zu:

  • Art. 13, 14 DSGVO: Informationsrecht: Sie haben unter den Voraussetzungen der Art. 13, 14 DSGVO das Recht, Informationen über die Verarbeitung Ihrer personenbezogenen Daten zu erhalten. Einschränkungen dieses Rechts können sich aus §§ 32, 33 BDSG ergeben.
  • Art. 15 DSGVO: Auskunftsrecht: Sie haben unter den Voraussetzungen des Art. 15 DSGVO das Recht, Auskunft darüber zu erhalten, welche Daten zu Ihrer Person verarbeitet werden. Einschränkungen dieses Rechts können sich aus § 34 BDSG ergeben.
  • Art. 16 DSGVO: Recht auf Berichtigung: Sollten personenbezogen Daten nicht richtig oder unvollständig sein, können Sie nach Art. 16 DS-GVO die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Angaben verlangen.
  • Art. 17 DSGVO: Recht auf Löschung: Unter den Voraussetzungen des Art. 17 DSGVO können Sie grundsätzlich die Löschung Ihrer personenbezogenen Daten verlangen. Einschränkungen dieses Rechts können sich aus § 35 BDSG ergeben.
  • Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung: Unter den Voraussetzungen des Art.18 DSGVO können Sie grundsätzlich die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen.
  • Art. 20 DSGVO: Recht auf Datenübertragbarkeit: Unter den Voraussetzungen des Art. 20 DSGVO können Sie grundsätzlich Ihre personenbezogenen Daten, die Sie bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format erhalten oder die Übermittlung an einen anderen Verantwortlichen verlangen.

b. Widerspruch gegen bestimmte Verarbeitungen gemäß Art. 21 DSGVO

Soweit die Verarbeitung personenbezogener Daten im Einzelfall aufgrund eines öffentlichen Interesses oder aufgrund einer Interessenabwägung und berechtigten Interessen des Auftraggebers oder der ESC UB beruhen sollte (Art. 6 Abs. 1 S. 1 e) und f) DSGVO), können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der betreffenden personenbezogenen Daten Widerspruch einlegen (Art. 21 DSGVO). Im Falle eines Widerspruchs wird die Sachlage geprüft und es wird die Datenverarbeitung eingestellt oder aus zwingenden schutzwürdigen Gründen fortgeführt.

8. Zum Verhältnis der Datenverarbeitung durch den Auftraggeber und die ESC UB, Erfüllung Ihrer Rechte als betroffene Person

8.1. Grundsätze der Zusammenarbeit in Bezug auf die Erfüllung der Rechte der betroffenen Personen

8.1.1. Der Auftraggeber und die ESC UB ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO frist- und ordnungsgemäß erfüllt werden.

8.1.2. Der Auftraggeber und die ESC UB stimmen sich bzgl. der Erfüllung der Rechte ab und werden sich ggf. bei der Erfüllung von Rechten der betroffenen Personen in angemessenem Umfang, z.B. durch Übermittlung der erforderlichen Informationen unterstützen, soweit dies datenschutzrechtlich zulässig und für die Erfüllung der Rechte der betroffenen Personen erforderlich ist.

8.1.3. Ungeachtet der Einzelheiten dieser Vereinbarung kann jede betroffene Person ihre Rechte aus der DSGVO und anderen datenschutzrechtlichen Bestimmungen bei und gegenüber jedem der Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

8.1.4. Die Erfüllung der Rechte der betroffenen Personen soll nicht gegen den Willen der betroffenen Person zu einer Verletzung des Vertraulichkeitsgebots nach dem HinSchG führen. Soweit erforderlich soll deshalb eine getrennte und ggf. parallele Erfüllung der Rechte der betroffenen Personen erfolgen, um die gebotene Vertraulichkeit der Datenverarbeitung durch die ESC UB nicht zu gefährden.

8.2. Erfüllung von Auskunftsansprüchen

8.2.1. Beantragen betroffene Personen eine Auskunft nach Art. 15 DSGVO werden die ESC UB und der Auftraggeber diese Auskunftsansprüche mit dem Ziel erfüllen, das Vertraulichkeitsgebot bzgl. der Datenverarbeitung durch die ESC UB – auch sofern diese gegenüber dem Auftraggeber zu wahren ist – zu gewährleisten.

8.2.2. Deshalb erfüllt die ESC UB den Auskunftsanspruch in Bezug auf die von ihr in dem Meldestellenverfahren verarbeiteten personenbezogenen Daten – sofern datenschutzrechtlich zulässig – eigenständig.

8.2.3. Der Auftraggeber erfüllt Auskunftsansprüche in Bezug auf ihre Datenverarbeitung außerhalb des Meldeverfahrens der internen Meldestelle und in Bezug auf seine etwaige Beteiligung an einem Hinweisgeberverfahren.

8.2.4. Anträge auf Auskunft, die bei einem der Verantwortlichen (Auftraggeber oder ESC UB) eingehen, aber ausschließlich oder zusätzlich die Datenverarbeitung des anderen Verantwortlichen betreffen, werden – ggf. nach Rücksprache mit der hinweisgebenden Person und ggf. Einholung einer etwaig erforderlichen Einwilligung – an den jeweils anderen Verantwortlichen weitergeleitet. Alternativ kann mit der Antragstellerin oder dem Antragsteller abgestimmt werden, dass sie bzw. er sich unmittelbar an die oder den anderen Verantwortlichen wendet.

8.2.5. Richtet sich ein Antrag auf Auskunft an den Auftraggeber (ohne Erwähnung eines Hinweisgeberverfahrens) wird der Auftraggeber mit Hinweis auf die Vertraulichkeit des Meldestellenverfahrens die betroffene Person darauf hinweisen, dass sie Auskünfte zur Datenverarbeitung in einem etwaigen Meldestellenverfahren von der ESC UB erhalten kann.

8.2.6. Richtet sich ein Antrag auf Auskunft an die ESC UB, klärt die ESC UB – ggf. durch Nachfrage bei dem Antragsteller – ob sich der Antrag ausschließlich auf die Datenverarbeitung durch die ESC UB oder auch die Datenverarbeitung des Auftraggebers (insgesamt) bezieht, wenn der Auftraggeber (ggf. auf Basis einer Einwilligung der hinweisgebenden Person) in das Verfahren einbezogen wurde.

8.2.7. Ist ein Antrag auf die Auskunft zu der Datenverarbeitung durch den Auftraggeber und die (vertrauliche) Verarbeitung durch ESC UB gerichtet, werden die Beteiligten parallel – jeweils bezogen auf ihren Verarbeitungsbereich – den Auskunftsanspruch erfüllen, um eine ggf. rechtswidrige Datenübermittlung zwischen ESC UB und dem Auftraggeber zu vermeiden.

8.3. Erfüllung sonstiger Rechte der betroffenen Personen

Das vorstehend zu Auskunftspflichten Geregelte gilt für die sonstigen Rechte der betroffenen Personen nach der DSGVO und dem BDSG (Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Mitteilungspflichten wegen Berichtigungen und Löschungen, Datenübertragbarkeit, Widerspruchsrecht sowie das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu sein) entsprechend. Automatisierte Entscheidungen finden jedoch nicht statt.

9. Beschwerderecht, Rechtsbehelf

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs (nach Art. 79 DSGVO) das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die für ESC UB und den Auftraggeber zuständige Aufsichtsbehörde ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Straße 22, 20459 Hamburg, Tel.: (040) 4 28 54 - 40 40, E-Fax: (040) 4 279 – 11811, E-Mail: mailbox@datenschutz.hamburg.de.

Nutzung des Hinweisgeberportals

Art der erhobenen personenbezogenen Daten

Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:

  • Ihren Namen, sofern Sie Ihre Identität offenlegen,
  • ob Sie beim Auftraggeber beschäftigt sind und
  • gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.

Hinweise zum Versand von Anhängen

Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem zuständigen Bearbeiter der ESC Unternehmensberatung GmbH Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.

Stand: 30.01.2024

1 Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt; nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.