Datenschutzhinweise zum Betrieb der Meldekanäle nach dem HinSchG

Die vorliegenden Hinweise gemäß Art. 13 ff. DSGVO zum Datenschutz dienen der Informationspflicht bei Erhebung und Verarbeitung von personenbezogenen Daten im Zusammenhang mit unserem internen Meldesystem nach dem Hinweisgeberschutzgesetz (HinSchG).

Unser Meldesystem umfasst dabei grundsätzlich folgende Meldekanäle:

  • Mündliche Meldung (z.B. per Telefon)

  • Schriftliche Meldung (z.B. per Postweg oder Webformular)

  • Persönliche Meldung (auf Wunsch der hinweisgebenden Person)

Bitte lies dir diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor du eine Meldung abgibst.

1. Name und Kontaktdaten des Verantwortlichen

CARFAX Europe GmbH

Barthstraße 2-10

80339 München

E-Mail: info@carfax.eu

(im Folgenden „CARFAX“, „wir“, „uns“)

2. Kontaktdaten des Datenschutzbeauftragten:

Holzhofer Consulting GmbH

Martin Holzhofer

Lochhamer Str. 31

82152 Planegg

Tel.: (0 89) 1 25 01 56 00

E-Mail: privacy@carfax.eu

3. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung

3.1 Allgemeines

Unsere bereitgestellten Meldekanäle ermöglichen es dir, mit uns auf einem sicheren und vertraulichen Weg in Verbindung zu treten und Hinweise zu mutmaßlichen Compliance- und Gesetzesverstößen zu melden.

Wir verarbeiten die ggf. in einer Meldung enthaltenen personenbezogenen Daten grundsätzlich, um die Meldung zu bearbeiten und die mutmaßlichen Compliance- und Gesetzesverstöße zu untersuchen und aufzuklären.

Hierbei kann es auch vorkommen, dass wir Rückfragen an dich haben. Dafür nutzen wir in der Regel die Kommunikation über den Meldekanal, über den du die Meldung abgegeben hast.

Die Vertraulichkeit der von dir gemachten Angaben wird durchgehend gewahrt. Dies beinhaltet insbesondere die Vertraulichkeit deiner Identität als hinweisgebende Person sowie der Personen, die Gegenstand der Meldung sind oder von dieser betroffen sind (Vertraulichkeitsgebot). Alle bei CARFAX zur Einsichtnahme autorisierten Personen sind darüber hinaus ausdrücklich zur Vertraulichkeit verpflichtet.

Dabei wird außerdem das Need-to-Know-Prinzip zwingend eingehalten, d. h. die Identität der oben genannten Personen wird nur folgendem Personenkreis bekannt:

  • Personen, die für die Entgegennahme von Meldungen, oder

  • Personen, die für das Ergreifen von Folgemaßnahmen zuständig sind, sowie

  • Personen, die sie bei der Erfüllung dieser Aufgaben unterstützen.

Sofern die von dir abgegebene Meldung personenbezogene Daten Dritter enthält, auf die du dich in deiner Meldung beziehst, erhalten die betroffenen Personen die Möglichkeit, sich zu den Hinweisen sowie ggf. gegen sie erhobene Vorwürfe und durchgeführte Ermittlungen zu äußern. In solchen Fällen müssen wir die betroffenen Personen gemäß Art. 14 Abs. 3 lit. a DSGVO grundsätzlich innerhalb eines Monats über den Hinweis informieren. Allerdings kann die Information ggf. auf Basis von Art. 14 Abs. 5 lit. b DSGVO aufgeschoben werden. Sobald der Grund für den Aufschub entfällt, wird die Information der Betroffenen nachgeholt.

Auch in diesem Fall ist deine Vertraulichkeit gewahrt, da der betroffenen Person – soweit rechtlich möglich – keine Angaben zu deiner Identität gemacht werden und deine Meldung so verwendet wird, dass deine Anonymität nicht gefährdet ist.

3.2 Eingang, (Erst-) Prüfung und Dokumentation einer Meldung

Die Nutzung des Meldesystems erfolgt grundsätzlich auf freiwilliger Basis. Sofern du über einen der Meldekanäle eine Meldung abgibst, verarbeiten und speichern wir zwecks Annahme, Prüfung und Dokumentation der eingegangenen Meldung sowie zur erforderlichen Kommunikation mit dir als hinweisgebende Person gegebenenfalls folgende personenbezogene Daten bzw. Datenkategorien:

  • Vor- und Nachname der hinweisgebenden Person (sofern diese Daten zur Verfügung gestellt werden.

  • Titel, Vor- und Nachname sowie sonstige personenbezogene Daten der Personen, die Gegenstand der Meldung sind oder von dieser betroffen sind (z.B. Beschuldigte).

  • Kontaktdaten wie Telefonnummer oder E-Mail-Adresse (sofern diese Daten zur Verfügung gestellt werden).

  • Die Tatsache, dass die hinweisgebende Person eine Meldung über das Hinweisgebersystem getätigt hat.

  • Ob die hinweisgebende Person oder andere von der Meldung betroffene Personen bei CARFAX beschäftigt sind bzw. in welcher Beziehung sie zu CARFAX stehen (z.B. Kunde, Lieferant, Dienstleister)

  • Zeitpunkt, Inhalt und sonstige relevante Umstände (z.B. Standorte der Zeugen und Dokumente) in Bezug auf die von Hinweisgebern übermittelte Meldung.

Rechtsgrundlage für die Verarbeitung ist in der Regel Art 6. Abs 1 lit. c DSGVO i.V.m. den einschlägigen Vorschriften des HinSchG:

  • § 12 HinSchG enthält die Pflicht zu Einrichtung und Betrieb einer internen Meldestelle.

  • § 10 HinSchG erlaubt die Verarbeitung personenbezogener Daten durch die Meldestellen, soweit dies zur Erfüllung ihrer in § 13 HinSchG bezeichneten Aufgaben erforderlich ist.

  • § 11 HinSchG enthält die Pflicht zur Dokumentation aller eingehenden Meldungen.

Betrifft ein eingegangener Hinweis einen Beschäftigten von CARFAX, dient die Verarbeitung ggf. der Verhinderung und Aufdeckung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigtenverhältnis stehen (§ 26 Abs. 1 S. 2 BDSG).

Sofern du als Hinweisgeber freiwillig deine Identität gegenüber CARFAX oder einer externen Stelle offenlegen möchtest, geschieht dies auf Grundlage deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die abzugebende Einwilligung ist dadurch gegeben, dass der Hinweis auch vollständig anonym abgegeben werden kann.

Mit deiner Einwilligung als hinweisgebende Person kann die persönliche Meldung auch im Wege der Bild- und Tonübertragung erfolgen (z.B. mittels Videokonferenzsystem). Rechtsgrundlage ist in diesem Fall die freiwillige und informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, § 16 Abs. 3 HinSchG.

Bei telefonischen Meldungen oder Meldungen mittels einer anderen Art der Sprachübermittlung erfolgt eine dauerhaft abrufbare Tonaufzeichnung des Gesprächs oder dessen vollständige und genaue Niederschrift (Wortprotokoll) nur mit deiner Einwilligung als hinweisgebende Person. Gleiches gilt für die vollständige und genaue Aufzeichnung der Zusammenkunft im Rahmen einer persönlichen Meldung. Rechtsgrundlage ist auch hier die freiwillige und informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, § 11 Abs. 2 und 3 HinSchG.

Grundsätzlich erheben und verarbeiten wir keine besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO (z.B. Informationen zur rassischen und/oder ethnischen Herkunft, religiöser und/oder weltanschaulicher Überzeugung, Gewerkschaftszugehörigkeit oder sexueller Orientierung). Aufgrund freier Textfelder im Meldeformular können solche besonderen Kategorien personenbezogener Daten jedoch grundsätzlich übermittelt werden. In diesem Fall findet eine Verarbeitung nach Maßgabe des § 10 S. 2 HinSchG statt und nur sofern dies für die Bearbeitung der Meldung zwingend erforderlich ist. Ansonsten werden diese Daten umgehend datenschutzkonform gelöscht.

3.3 Einleitung und Durchführung von Folgemaßnahmen

Im Rahmen von erforderlichen Folgemaßnahmen, wie der internen Prüfung und Ermittlung, der Kontaktaufnahme mit den betroffenen Personen und Arbeitseinheiten, dem Abschließen des Verfahrens aus Mangel an Beweisen oder aus anderen Gründen und der Abgabe des Verfahrens wegen weiterer Untersuchungen an die für interne Ermittlungen zuständige Arbeitseinheit oder eine zuständige Behörde, verarbeiten und speichern wir gegebenenfalls folgende Daten bzw. Datenkategorien:

  • Persönliche Angaben im Rahmen von Aufklärungsmaßnahmen (z.B. Vor- und Nachname, private Anschrift, private Telefonnummer, private E-Mail-Adresse)

  • Betriebliche Angaben (z.B. Funktion im Unternehmen, Berufsbezeichnung, mögliche Vorgesetztenstellung, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer)

  • Betrieblich veranlasste Dokumente (z.B. Reisekostenabrechnungen, Zeitnachweise bzw. Stundenaufstellungen, Verträge, Leistungsnachweise, Fahrtenbücher, Rechnungen)

  • Angaben zu relevanten Sachverhalten: Interne Aufklärungsmaßnahmen beziehen sich häufig auf konkrete Sachverhalte. Die Ermittlung und Auswertung relevanter Angaben zum jeweiligen Sachverhalt kann gegebenenfalls Rückschluss auf das Verhalten oder auf durchgeführte Handlungen betroffener Personen zulassen.

Rechtsgrundlage für die Verarbeitung ist in der Regel Art 6. Abs 1 lit. c DSGVO i.V.m. den einschlägigen Vorschriften des HinSchG:

  • § 12 HinSchG enthält die Pflicht zu Einrichtung und Betrieb einer internen Meldestelle.

  • § 10 HinSchG erlaubt die Verarbeitung personenbezogener Daten durch die Meldestellen, soweit dies zur Erfüllung ihrer in § 13 HinSchG bezeichneten Aufgaben erforderlich ist.

4. Automatisierte Entscheidungsfindung einschließlich Profiling

Automatisierte Einzelfallentscheidungen einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO finden seitens CARFAX nicht statt.

5. Datenübermittlung in ein Drittland

Datenübermittlungen in Länder außerhalb der EU und des Europäischen Wirtschaftsraums („Drittländer“) ergeben sich im Rahmen der Administration, der Entwicklung und des Betriebs von IT-Systemen. Die Übermittlung erfolgt nur auf Grundlage:

  • eines Angemessenheitsbeschlusses der Europäischen Kommission i.S.d. Art. 45 DSGVO.

  • eines genehmigten Zertifizierungsmechanismus gemäß Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland.

  • von Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen wurden.

Derzeit findet im Zusammenhang mit der Nutzung unseres internen Meldesystems eine Übermittlung personenbezogener Daten in Drittländer in folgenden Fällen statt:

  • Übermittlung von Daten an verbundene Unternehmen (…)

  • Übermittlung von Daten an NAVEX Global Inc., 5500 Meadows Road, Suite 500 Lake Oswego, OR 97035, USA.

Für die USA liegt ein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 Abs. 3 DSGVO vor, der sich auf das EU-US Data Privacy Framework (DPF) erstreckt. Für Datenexporte an Empfänger in den USA, die nach dem DPF zertifiziert sind, wird das Datenschutzniveau demnach als angemessen betrachtet. Der Dienstleister NAVEX hat sich nach dem DPF zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten.

6. Kategorien von Empfängern von Daten

Zur Verarbeitung von personenbezogenen Daten zu den hier genannten Zwecken setzen wir folgende Kategorien von Empfänger als Auftragsverarbeiter i.S.d. Art. 28 DSGVO ein:

  • NAVEX Global Inc. zwecks Bereitstellung und technischer Umsetzung des Meldesystems

  • Anbieter von Servern zwecks Hosting der Webseiten

  • Dienstleister für Hosting und Betrieb des Online-Videokonferenzsystems

  • TK-Diensteanbieter zum Betrieb der Telefonanlage

Diese Dienstleister verarbeiten Informationen über Sie in unserem Auftrag und auf der Grundlage unserer Anweisungen und sind vertraglich über einen AV-Vertrag zur Einhaltung der geltenden Datenschutzgesetze verpflichtet.

Soweit gesetzlich zulässig geben wir personenbezogene Daten ggf. an folgende externe Empfänger weiter:

  • Rechtsanwälte im Falle rechtlicher Beratung

  • Strafverfolgungsbehörden, Kartellbehörden, sonstige Verwaltungsbehörden, Gerichte (bei entsprechender gesetzlicher Verpflichtung oder Erforderlichkeit für die Hinweisaufklärung)

  • Verbundene Unternehmen von CARFAX (sofern dies im Rahmen der internen Prüfung und Ermittlung erforderlich ist sowie im Zusammenhang mit Bereitstellung und Betrieb des Meldesystems auf Konzernebene)

  • Sonstige Dritte im Zuge der Funktionsübertragung (z.B. Datenschutzbeauftragter)

Wir achten stets darauf, dass bei jeder Weitergabe von Hinweisen die einschlägigen datenschutzrechtlichen Bestimmungen eingehalten werden.

7. Speicherdauer und Kriterien für die Festlegung der Dauer

Personenbezogene Daten werden grundsätzlich nur so lange aufbewahrt, wie dies die Erfüllung der hier genannten Zwecke (z.B. zur Bearbeitung einer Meldung und abschließenden Aufklärung eines Verstoßes) erforderlich ist bzw. wie es die vom Gesetzgeber vorgegebenen Aufbewahrungsfristen vorsehen. Nach dem Wegfall des jeweiligen Zwecks bzw. nach dem Ablauf der Aufbewahrungsfristen werden die Daten entsprechend der gesetzlichen Vorschriften gelöscht.

Die konkrete Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten Compliance- und Gesetzesverstöße.

Die Dokumentation von Meldungen i.S.d. § 11 HinSchG wird drei Jahre nach Abschluss des Verfahrens gelöscht.

Personenbezogene Daten, die für die Bearbeitung einer Meldung offensichtlich irrelevant sind, werden nicht erhoben bzw. sofort nach Eingang der Meldung gelöscht.

8. Informationen zu deinen Betroffenenrechten

Für die Verarbeitung deiner Daten ist die CARFAX Europe GmbH verantwortlich, soweit nicht anders ausgewiesen.

Du kannst jederzeit von uns Auskunft (Art. 15 DSGVO) zu den über dich gespeicherten Daten und deren Berichtigung (Art. 16 DSGVO) im Fall von Fehlern verlangen. Weiter kannst du die Einschränkung der Verarbeitung (Art. 18 DSGVO), die Übertragbarkeit (Art. 20 DSGVO) der uns durch dich bereitgestellten Daten in einem maschinenlesbaren Format oder die Löschung deiner Daten (Art. 17 DSGVO) – soweit sie nicht mehr benötigt werden – verlangen.

Außerdem hast du jederzeit das Recht, der Nutzung deiner Daten, die auf öffentlichen oder berechtigten Interessen beruhen, zu widersprechen (Art. 21 DSGVO).

Soweit wir deine Daten auf der Grundlage einer von dir abgegebenen Einwilligung verarbeiten, kannst du jederzeit mit Wirkung für die Zukunft diese Einwilligung widerrufen (Art. 7 Abs. 3 DSGVO). Ab dem Eingang deines Widerrufs verarbeiten wir deine Daten nicht mehr für die im Rahmen der Einwilligung angegebenen Zwecke.

Sofern du von deinen Betroffenenrechten Gebrauch machen möchtest, richte dein Anliegen bitte per E-Mail anprivacy@carfax.eu oder per Briefpost an die oben genannte Anschrift.

9. Beschwerderecht bei einer Aufsichtsbehörde

Zudem kannst du dich gemäß Art. 77 Abs. 1 DSGVO jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden. Für uns ist grundsätzlich das

Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Postfach 1349

E-Mail: poststelle@lda.bayern.de

Telefon: +49 (0) 981 180093-0, zuständig.

Alternativ kannst du auf die für dich örtlich zuständige Aufsichtsbehörde zugehen.

10. Technische Umsetzung und Sicherheit deiner Daten

Das Webformular enthält die Möglichkeit zur anonymen Kommunikation über eine verschlüsselte Verbindung. Bei der Nutzung werden deine IP-Adresse und dein derzeitiger Standort zu keinem Zeitpunkt gespeichert.

Zur Sicherstellung der geltenden Datenschutzvorschriften und der Vertraulichkeit haben wir hinreichende technische und organisatorische Maßnahmen implementiert. Die von dir zur Verfügung gestellten Daten werden auf einer besonders gesicherten Datenbank gespeichert. Sämtliche auf der Datenbank hinterlegten Daten werden von uns nach dem aktuellen Stand der Technik verschlüsselt.

Stand: Januar 2024