Die Ombudsanwälte der Sozietät Elke Schaefer messen dem Datenschutz und der Beachtung datenschutzrechtlicher Vorschriften einen hohen Stellenwert bei. Die nachfolgende Datenschutzerklärung dient im Interesse datenschutzrechtlicher Transparenz dazu, das Hinweisgebersystem „Vertrauenssachen.de“ zu erläutern und den Hinweisgebern (männl. Form meint auch Hinweisgeberin) bei Nutzung dieses Systems über den Umgang mit eingegangenen Hinweismeldungen und über Art, Umfang und Zweck der Erhebung und Verwendung von Daten zu informieren. Die Ombudsanwälte als für den Datenschutz verantwortliche Stelle erkennen die nachstehende Datenschutzerklärung als Bestandteil des anonymen Hinweisgebersystems als verbindlich an:
Die Grundlage dieser Erklärung sind die DSGVO und das Bundesdatenschutzgesetz (BDSG) in ihrer jeweils aktuellen Fassung, insbesondere Art. 6 Abs. 1 lit. f DSGVO, Art. 88 DSGVO i.V.m. § 26 BDSG. Vom Gesetz abweichende Regelungen sind nichtig, die restlichen Ziele und/oder Regelungen bleiben hiervon unberührt.
Das Hinweisgebersystem dient der Entgegennahme und Aufklärung von schwerwiegenden Verdachtsfällen über Regelverstöße bei den Auftraggebern des Hinweisgebersystems, insbesondere über strafbare Handlungen, die zu einer Gefährdung ihres Vermögens führen können. Meldungen ohne diesen Themenbezug werden nicht weiterverfolgt und gelöscht.
Ziel ist es, die Daten der Hinweisgeber unter Wahrung ihrer Anonymität zu verarbeiten. Das anonyme Hinweisgebersystem erhebt Daten über die Art der Nutzung. Diese umfassen die Häufigkeit der Zugriffe, die Anzahl der Hinweise, die Anzahl der Dialoge sowie die Anzahl der Meldungen. Durch das Hinweisgebersystem können keine statistischen Daten verwendet werden, welche Rückschlüsse auf einen einzelnen Benutzer zulassen. Das Hinweisgebersystem stellt eine internetbasierte Alternative zu den üblichen Kommunikationswegen zu den Ombudsanwälten und/oder den unternehmensinternen Funktionsträgern dar und fragt daher keine personenbezogenen Daten beim Hinweisgeber ab. Die Eingabe personenbezogener Daten des Hinweisgebers in das Hinweisgebersystem ist nicht vorgesehen.
Das elektronische Hinweisgebersystem steht Mitarbeitern und Dritten (z.B. Kunden, Geschäftspartner, Lieferanten, Mitarbeiter verbundener Unternehmen) der von den Ombudsanwälten betreuten Unternehmen und Institutionen zur Hinweismeldung offen.
Der Hinweisgeber erhält systembedingt die Möglichkeit, einen Benutzernamen und ein Passwort für ein virtuelles Postfach zu verwenden. Die Einrichtung eines solchen Postfaches beinhaltet das Einverständnis des Hinweisgebers, die eingegebenen Daten in der Datenbank des Hinweisgebersystems zu hinterlegen.
Für die Einrichtung eines virtuellen Postfaches kann ein Benutzername angegeben und muss ein Passwort ausgewählt werden. Der Benutzername ist nur für die Benutzer des Postfaches sichtbar. Das Passwort wird mittels einer Hashfunktion in der Webapplikation und Datenbank unkenntlich gemacht.
Bei der Kommunikation mittels Postfach ist sichergestellt, dass der im Dialog befindliche Account eines Hinweisgebers nicht identifiziert werden kann.
Das Nutzerverhalten wird durch das Hinweisgebersystem anonymisiert erfasst.
a) IP Erfassung
Die IP-Adresse des Hinweisgebers wird zur Verarbeitung einer Meldung innerhalb der Anwendung nicht gespeichert.
Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität des Servers und der mit dem Server verbundenen Anwendungen und Schnittstellen, werden Zugriffe auf dem Server protokolliert, um potentielle Sicherheitsverstöße aufzunehmen. Zugriffe, die mit keinem Sicherheitsverstoß in Verbindung gebracht werden können, werden wartungsintervallbedingt spätestens nach einem Kalendermonat gelöscht.
b) Protokollierung
Hinweise werden durch eine Identifikationsnummer (ID) eindeutig markiert. Die ID soll jedoch den Hinweisgeber nicht identifizieren, sondern lediglich mehrere Hinweisgeber voneinander unterscheiden.
Im Hinweisgebersystem werden keine personenbezogenen Daten abgefragt. Die durch den Dialog mit dem Ombudsanwalt freiwillig weitergegebenen persönlichen Daten können von Hinweisgebern mit einem virtuellen Briefkasten jederzeit eingesehen werden. Eine weitergehende Auskunft über die im Hinweisgebersystem gespeicherten personenbezogenen Daten ist technisch nicht möglich. Alle eingegebenen Daten des Hinweisgebers werden individuell verschlüsselt in einer Datenbank gespeichert. Weder Administratoren, Webseitenbetreiber oder sonstige Personen haben die Möglichkeit, Zugriff auf den Inhalt der vom Hinweisgeber hinterlegten, personenbezogenen Daten zu erlangen.
Die freiwillig während eines Dialogs übermittelten personenbezogenen Daten können nur der Ombudsanwalt und der Hinweisgeber selbst einsehen. Bei Offenlegung der Identität gegenüber dem Ombudsanwalt bleibt die Anonymität des Hinweisgebers immer gewahrt. Eine Weitergabe und die Verarbeitung der Daten an einen Mitarbeiter in dem vom Hinweis betroffenen Unternehmen, soweit dies zur Aufklärung erforderlich ist, bedarf der vorherigen Einwilligung des Hinweisgebers. Wir weisen darauf hin, dass im Fall dieser Einwilligung der Empfänger gem. Art. 14 DSGVO verpflichtet sein kann, den vom Hinweis Betroffenen einen Monat nach Kenntniserlangung auch von der Identität des Hinweisgebers zu informieren, spätestens jedoch, wenn diese Unterrichtung eine wirksame Untersuchung des Vorwurfs oder die Sammlung der erforderlichen Beweise nicht gefährden würde. Wenn ein Hinweisgeber eine Einwilligung zur Offenlegung seiner Identität erteilt, kann er diese gem. Art. 7 Abs. 2 DS-GVO bis zu einem Monat nach erfolgter Meldung widerrufen.
Die Verarbeitung personenbezogener Daten des vom Hinweis Betroffenen bedarf in den Fällen des Art. 6 Abs. 1 lit. f DS-GVO und des § 26 Abs. 1 Satz 2 BDSG keiner Einwilligung. Für den Fall, dass personenbezogene Daten gespeichert werden, wird der davon Betroffene über die Verarbeitung und Nutzung dieser Daten informiert, sobald davon keine Gefahr für die Sachverhaltsaufklärung besteht. Der vom Hinweis Betroffene hat in diesem Fall auch einen Anspruch auf Auskunft der über ihn gespeicherten personenbezogenen Daten. Die Identität des Hinweisgebers bleibt von diesem Auskunftsrecht vorbehaltlich der vorstehenden Regelungen grundsätzlich ausgenommen.
Hinweisgeber und Betroffene haben bei Vorliegen der gesetzlichen Voraussetzungen das Recht, unrichtige Daten korrigieren, ändern, sperren oder löschen zu lassen. An den Ombudsanwalt übermittelte Nachrichten können nur durch diesen gelöscht werden. Es gelten die gesetzlichen Löschfristen. Sollten Hinweisgeber im Dialog personenbezogene Daten übermittelt haben, werden diese so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des gemeldeten Sachverhaltes erfordert. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Zur Wahrung der Integrität der Daten werden von der Anwendung und der Datenbank regelmäßig Sicherungen durchgeführt. Die Aufbewahrungszeit einer Sicherung beträgt maximal einen Kalendermonat. Ältere Sicherungen sowie alle entsprechenden Kopien werden automatisch gelöscht.
Unsere Internetseiten verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden.
Durch die weitere Nutzung dieser Webseite erklären Sie sich mit unserer Cookie-Richtlinie einverstanden.
Technisch notwendige Cookies
Unbedingt erforderliche Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich. Daher kann man sie nicht deaktivieren. Diese Art von Cookies wird ausschließlich von dem Betreiber der Website verwendet (First-Party-Cookie) und sämtliche Informationen, die in den Cookies gespeichert sind, werden nur an diese Website gesendet.
Login-Cookies
Anbieter: Eigentümer der Webseite
Zweck: Prüft, ob ein Nutzer eingeloggt und ob der Zugriff berechtigt ist
Cookie Name: JSESSIONID, HASH_JSESSIONID
Cookie Laufzeit: 1 Tag
Hiermit informieren wir Sie gemäß Artikel 13 der EU-Datenschutzgrundverordnung (DSGVO) über den Schutz personenbezogener Daten von Personen, die Hinweise auf mögliche Verstöße bei der Hinweisgeberstelle oder der Beschwerdestelle abgeben. Hierbei handelt es sich um die Hinweisgeberstelle der Unternehmen des Stadtwerkeverbunds („Hinweisgebersystem“) und das Beschwerdeverfahren nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) („LkSG- Beschwerdeverfahren“).
Für die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems und des LkSG-Beschwerdeverfahrens sind das jeweilige Unternehmen des Stadtwerkeverbunds und die externe anwaltliche Ombudsfrau gemeinsam verantwortlich. Auf Seiten des Stadtwerkeverbunds sind im Einzelfall die folgenden Unternehmen verantwortlich – je nachdem welches Unternehmen betroffen ist:
Stadtwerke Potsdam GmbH
Steinstraße 104-106, Haus 14
14480 Potsdam
datenschutz@swp-potsdam.de
– im Folgenden SWP GmbH –
Energie und Wasser Potsdam GmbH
Steinstraße 101
14480 Potsdam
datenschutz@ewp-potsdam.de
datenschutz@ewp-potsdam.de
– im Folgenden EWP GmbH –
Stadtentsorgung Potsdam GmbH
Drewitzer Straße 47
14478 Potsdam
datenschutz@step-potsdam.de
– im Folgenden STEP GmbH –
ViP Verkehrsbetriebe Potsdam GmbH
Fritz-Zubeil-Straße 96
14482 Potsdam
datenschutz@vip-potsdam.de
– im Folgenden ViP GmbH –
Bäderlandschaft Potsdam GmbH
Steinstraße 104-106, Haus 14
14480 Potsdam
datenschutz@blp-potsdam.de
– im Folgenden BLP GmbH –
Netzgesellschaft Potsdam GmbH
Großbeerenstraße 231, Haus 2
14480 Potsdam
datenschutz@ngp-potsdam.de
– im Folgenden NGP GmbH –
Stadtbeleuchtung Potsdam GmbH
Steinstraße 101,
14480 Potsdam
datenschutz@sbp-potsdam.de
– im Folgenden SB GmbH –
Kommunale Fuhrparkservice Potsdam GmbH
Steinstraße 104-106, Haus 8
14480 Potsdam
datenschutz@kfp-potsdam.de
– im Folgenden KFP GmbH –
jeweils mit ihrem Datenschutzbeauftragten
Herrn Dr. Martin Schmidt
Comfield Unternehmensberatung GmbH & Co. KG
Uhlandstraße 162
10719 Berlin
persönlich erreichbar unter martin.schmidt@comfield.eu
Das jeweilige Verbundunternehmen ist gemeinsam verantwortlich mit
Rechtsanwältin Dr. Kathrin J. Niewiarra
Rechtsanwälte Elke Schäfer
Philippistrasse 11
14059 Berlin
stadtwerkepotsdam@ombudskanzlei.de
– im Folgenden „Ombudsstelle“ –
Informationen zur gemeinsamen Verantwortlichkeit finden Sie unter Ziffer 8.
Die personenbezogenen Daten, die Sie als hinweisgebende Person zur Verfügung stellen, werden ausschließlich zum Zweck der Bearbeitung und Untersuchung von Hinweisen im Rahmen des Hinweisgebersystems bzw. des LkSG-Beschwerdeverfahrens des Stadtwerkeverbundes verarbeitet.
Dies umfasst im Fall der Ombudsstelle die Prüfung, ob die Meldungen den Anfangsverdacht eines Rechts- oder Regelverstoßes begründen, der vom Hinweissystem des Stadtwerkeverbundes erfasst ist. Das Prüfungsergebnis wird dokumentiert. Unterfällt der Hinweis dem Anwendungsbereich des Hinweisgeberschutzgesetzes gemäß §§ 1 und 2 HinSchG, beachtet die Ombudsstelle bei der Bearbeitung des Hinweises das Vertraulichkeitsgebot gemäß § 8 HinSchG, sowie die Vorgaben zur Dokumentation gemäß § 11 HinSchG. In den übrigen Fällen gelten die unternehmensinternen Regelungen des Stadtwerkeverbundes zur Behandlung der Meldungen im Hinweisgebersystem.
Personenbezogene Daten, die über das Hinweisgebersystem erfasst werden, können sich auf die hinweisgebende Person beziehen, sofern die hinweisgebende Person ihre Identität im Rahmen der Abgabe des Hinweises offenlegt, sowie auf Personen, die Gegenstand eines Hinweises sind, („betroffene Personen“) oder weitere Dritte wie zum Beispiel Zeugen oder Personen, die relevante Informationen zum abgegebenen Hinweis haben.
Gegenstand der Verarbeitung sind personenbezogene Daten, die im Hinweis erwähnt werden oder die sich aus dem Hinweis ergeben. Abhängig vom Inhalt des Hinweises können dies auch personenbezogene Daten besonderer Kategorien nach Artikel 9 Absatz 1 DSGVO sein.
Die Ombudsstelle verarbeitet personenbezogene Daten im Rahmen des Hinweisgebersystems ausschließlich zum Zwecke der Erfüllung der Aufgaben als Ombudspersonen/Vertrauensanwälte und/oder Meldekanal i.S.d. § 16 HinSchG sowie der Beauftragung als interne Meldestelle nach § 13 HinSchG. Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c) DSGVO in Verbindung mit § 10 Absatz 1, 13 Abs. 1 des Hinweisgeberschutzgesetzes (HinSchG), wenn der abgegebene Hinweis in dessen Anwendungsbereich fällt (siehe hierzu § 3 HinSchG), oder Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c) DSGVO in Verbindung mit § 8 LkSG, wenn der abgegebene Hinweis in den Anwendungsbereich des LkSG fällt. In Fällen, in denen der abgegebene Hinweis außerhalb des Anwendungsbereichs des HinSchG oder des LkSG liegt und etwa Verstöße gegen interne Vorgaben betrifft, erfolgt die Verarbeitung der personenbezogenen Daten auf Grundlage von Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.
Die Ombudsstelle hat auf Grundlage der Stellung als Ombudspersonen/Vertrauensanwälte oder
als interne Meldestelle für die Verbundunternehmen ein berechtigtes Interesse an der Prüfung,
Bewertung und Dokumentation der eingehenden Meldungen. Als interne Meldestelle besteht ein
berechtigtes Interesse daran, die vom Gesetzgeber gemäß § 18 HinSchG vorgesehenen
Folgemaßnahmen vollumfänglich durchzuführen. Ferner hat die Ombudsstelle ein berechtigtes
Interesse daran, offensichtlich nicht relevante Angaben aus einer Hinweismeldung zu entfernen.
Zudem haben wir ein berechtigtes Interesse an den im Rahmen des Betriebs des elektronischen
Hinweisgebersystems und der Kommunikation mit Hinweispersonen erfolgenden Verarbeitungen
personenbezogener Daten.
Die Ombudsstelle hat darüber hinaus ein berechtigtes Interesse, die von Hinweispersonen
mitgeteilten potenziellen Verstöße an unseren Ansprechpartner bei den Verbundunternehmen
weiterzugeben, soweit die hinweisgebende Person der Weitergabe zugestimmt hat. In diesem
Fall ist die SWP GmbH der Empfänger der personenbezogenen Daten nach Art. 13 Abs. 1
Buchstabe e DSGVO. Die Untersuchungsergebnisse können zudem zwecks weiterer
Untersuchungen an eine zuständige Behörde abgegeben werden.
Üblicherweise werden personenbezogene Daten zu den oben genannten Zwecken nur durch die Ombudsstelle verarbeitet, die die Hinweise (ggf. anonym) an die Stabsstelle Compliance der SWP GmbH weitergibt. Innerhalb der SWP GmbH können die Daten im Rahmen eines strengen Need-to-know-Prinzips an solche Stellen weitergegeben werden, die sinnvoll zur Aufklärung des Sachverhalts beitragen können oder für die Ergreifung von Folgemaßnahmen verantwortlich sind.
Für die Aufklärung kann es aber erforderlich sein, dass die Daten an Dritte weitergegeben werden, etwa an andere Unternehmen des Stadtwerkeverbunds, etwa wenn der Hinweis einen Sachverhalt eines anderen Verbundunternehmens betrifft. Außerdem können die Daten an externe Berater wie zum Beispiel Rechtsanwälte oder an Ermittlungsbehörden weitergegeben werden. Dabei wird die SWP GmbH stets darauf achten, dass die Weitergabe nach den gesetzlichen Anforderungen zulässig ist.
Bei der Ombudsstelle werden Meldungen nur von deutschen Volljuristen bearbeitet, die der anwaltlichen beruflichen Schweigepflicht unterliegen. Eine Weitergabe an Dritte erfolgt nur, wenn dies zur Erfüllung gesetzlicher Pflichten erforderlich ist oder mit Zustimmung der hinweisgebenden oder betroffenen Personen.
Es ist keine Übermittlung von Daten in Drittländer außerhalb der EU vorgesehen.
Für die Ombudsstelle gilt Art. 6 Abs. 1 Buchstabe c) DSGVO in Verbindung mit § 50 Absatz 1 der deutschen Bundesrechtsanwaltsordnung (BRAO) und die Akten aller Fälle müssen sechs Jahre lang aufbewahrt werden.
Für die Verbundunternehmen gilt folgendes:
Bei Hinweisen, die in den Anwendungsbereich des Hinweisgebersystems und auch in den
Anwendungsbereich des HinSchG fallen, wird nach § 11 Absatz 5 Satz 1 HinSchG die
Dokumentation des Hinweises drei Jahre nach Abschluss des Verfahrens aufbewahrt und dann
gelöscht. Sie kann nach § 11 Absatz 5 Satz 2 HinSchG länger aufbewahrt werden, um
Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange
dies erforderlich und verhältnismäßig ist.
Hinweise, die in den Anwendungsbereich des Hinweisgebersystems, aber nicht in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen, werden so lange aufbewahrt, wie es für die Klärung und abschließende Beurteilung des Hinweises und Einhaltung der gesetzlichen Vorgaben erforderlich ist. Sobald die Daten nicht mehr benötigt werden, werden sie unverzüglich gelöscht.
Hinweise, die außerhalb des Anwendungsbereichs des Hinweisgebersystems liegen, werden nach entsprechender Information der hinweisgebenden Personen entweder umgehend gelöscht oder nach Zustimmung der hinweisgebenden Person an andere zuständige Abteilungen weitergeleitet und dann gelöscht.
Die Aufbewahrungsdauer für personenbezogene Daten in der weiteren Dokumentation interner Untersuchungen hängt vom Ergebnis der Untersuchung ab.
Steht nach Abschluss der Untersuchung fest oder kann nicht sicher ausgeschlossen werden, dass ein Verstoß vorliegt, werden die personenbezogenen Daten erst nach Ablauf relevanter straf- oder zivilrechtlicher Verjährungsfristen gelöscht.
Steht nach Abschluss der Untersuchung fest, dass kein Verstoß vorliegt, werden die personenbezogenen Daten unverzüglich gelöscht oder ggf. nur so lange aufbewahrt, wie sie möglicherweise zu Maßnahmen der Wiedergutmachung benötigt werden und dann gelöscht.
Unabhängig davon werden Hinweise, die Sachverhalte im Anwendungsbereich des LkSG betreffen, sowie die dazugehörige weitere Dokumentation interner Untersuchungen in Übereinstimmung mit § 10 Absatz 1 Satz 2 LkSG für mindestens sieben Jahre aufbewahrt. Anschließend werden die Daten gelöscht oder, wenn nach Abschluss der Untersuchung ein Verstoß feststeht oder dies nicht sicher ausgeschlossen werden kann, erst nach Ablauf relevanter straf- oder zivilrechtlicher Verjährungsfristen gelöscht.
Im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten haben Sie die folgenden Rechte:
Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an die unter Ziffer 1 genannten Datenschutz-Postfächer Ihrer Unternehmen oder an die Ombudsstelle unter stadtwerkepotsdam@ombudskanzlei.de.
Sie haben das Recht, sich beim Datenschutzbeauftragten oder einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO oder andere Gesetze verstößt (Artikel 77 DSGVO). Das Beschwerderecht kann insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person oder des Orts des mutmaßlichen Verstoßes geltend gemacht werden.
Die Verbundunternehmen und die Ombudsstelle betreiben eine sogenannte interne Meldestelle nach dem HinSchG sowie zur Aufnahme von Beschwerden nach dem LkSG, um Hinweise auf mögliches Fehlverhalten entgegenzunehmen, auszuwerten und zu klären. Zu diesem Zweck legen die Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest und sind daher gemeinsam für den Schutz der personenbezogenen Daten der betroffenen Personen verantwortlich. Um die gemeinsame Verantwortlichkeit zu regeln, haben die Parteien eine Vereinbarung gemäß Artikel 26 Absatz 1 DSGVO geschlossen. Ziel dieser Vereinbarung ist es, auf transparente Weise festzulegen, welche der Vertragsparteien welche Pflichten nach der DSGVO erfüllt, insbesondere im Hinblick auf die Ausübung der Rechte der betroffenen Personen gemäß Artikel 12 bis 23 DSGVO und wie die Informationspflichten gemäß Artikel 13 und 14 DSGVO erfüllt werden.