Informationen zur Datenverarbeitung durch die Autobahn GmbH des Bundes im Rahmen des BKMS Hinweisgebersystem
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung ist:
Die Autobahn GmbH des Bundes
Heidestr. 15
10557 Berlin
E-Mail: kontakt@autobahn.de
T +49 30 64 09 6 - 0
F +49 30 64 09 6 - 1005
Im Folgenden „Autobahn“.
Weitere Angaben können Sie unserem Impressum (https://www.autobahn.de/impressum) entnehmen.
Datenschutzbeauftragte/r
Unsere/n Datenschutzbeauftragte/n erreichen Sie wie folgt
Die Autobahn GmbH des Bundes
z.Hd. Datenschutzbeauftragte/r
Heidestr. 15
10557 Berlin
E-Mail: datenschutz@autobahn.de
2. Begriffsbestimmung
Da sowohl die Hinweisperson als auch die Person, auf die sich ein Hinweis bezieht, nach Art. 4 Nr.1 DSGVO betroffene Personen sind, wird in diesen Datenschutzhinweisen zur Klarstellung folgende terminologische Unterscheidung getroffen:
- Hinweisperson: Die Person, die einen Hinweis gibt.
- Betroffene Person: Die Person, auf die sich ein Hinweis bezieht, sowie weitere Personen, die im Rahmen des Hinweises genannt werden.
3. Zweck und Rechtsgrundlage der Verarbeitung
Die Autobahn verarbeitet Ihre personenbezogenen Daten mittels des Hinweisgebersystems (BKMS® System),
- um Hinweise auf Verstöße gegen das Compliance-Gebot der Autobahn GmbH auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten
- um Verstöße gegen geltendes Recht oder das Compliance-Gebot zu verhindern, aufzudecken und/oder um Folgemaßnahmen (z.B. Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen) vorzunehmen.
- zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln odereinen Abschluss des Verfahrens vorzunehmen.
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis.
Die Verarbeitung von personenbezogenen Daten stützt sich auf die folgenden Rechtsgrundlagen:
- Persönliche Identifizierung der Hinweisperson (Art. 6 Abs. 1 S. 1 lit. a DSGVO):
Die Verarbeitung von Identifikationsdaten erfolgt gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO aufgrund der Einwilligung der Hinweisperson, wenn diese durch die freiwillige Übermittlung von Identifikationsdaten über das BKMS Hinweisgeberportal in nicht anonymisierter Form erfolgt, da das BKMS auch die Möglichkeit vorsieht, dass Hinweise anonym, also ohne Identifikationsdaten abgegeben werden können. - Umsetzung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG):
Datenverarbeitungen im Rahmen von Aufklärungsmaßnahmen können unter anderem für die Durchführung und Beendigung des Arbeitsverhältnisses mit Mitarbeitern erforderlich sein, gem. § 26 Abs. 1 Satz 1 BDSG. Dies gilt beispielweise für Aufklärungsmaßnahmen zur Aufdeckung von arbeitsvertraglichen Pflichtverletzungen, welche keine Straftat begründen. Aufklärungsmaßnahmen können auch für die Abwicklung von Arbeitsverhältnissen erforderlich sein, gem. § 26 Abs. 1 Satz 1 BDSG. Dies kann beispielweise der Fall sein, wenn die Autobahn GmbH des Bundes auf Basis der im Rahmen einer Aufklärungsmaßnahme gewonnenen Erkenntnisse arbeitsrechtliche Sanktionen gegen einen Betroffenen verhängt. - Aufklärung von Straftaten (§ 26 Abs. 1 Satz 2 BDSG):
Falls Aufklärungsmaßnahmen der Aufdeckung von möglichen Straftaten im Rahmen von Beschäftigungsverhältnissen dienen, können diese gemäß § 26 Abs. 1 Satz 2 BDSG gerechtfertigt sein. Die Autobahn GmbH des Bundes wird die entsprechenden Datenverarbeitungen aber nur dann auf § 26 Abs. 1 Satz 2 BDSG stützen, wenn dokumentierte tatsächliche Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen und die Interessen des Betroffenen nicht überwiegen. - Umsetzung gesetzlicher Pflichten (Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. HinSchG):
Die Autobahn GmbH des Bundes unterliegt umfassenden gesetzlichen Aufsichts- und Compliance-Pflichten. Die von der Autobahn GmbH des Bundes durchgeführten Aufklärungsmaßnahmen dienen damit unter anderem auch der Umsetzung dieser gesetzlichen Pflichten der Autobahn GmbH des Bundes. Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kann also auch Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. HinSchG sein. - Betriebsvereinbarungen (Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG):
Die Autobahn GmbH des Bundes wird Ihre Daten gegebenenfalls auch auf Basis einer geltenden Betriebsvereinbarung verarbeiten, die die Einführung und Betrieb des Hinweisgebersystems regelt, gem Art. 88 Abs. 1 DSGVO, § 26Abs. 4 BDSG. - Rechtsverteidigung (Art. 6 Abs. 1 S. 1 lit. e DSGVO i.V.m. § 3 BDSG i.V.m. § 1 InfrGGBV i.V.m. §19 HGrG, § 34 BHO i.V.m §§ 823 ff. BGB):
Die Autobahn GmbH des Bundes führt Aufklärungsmaßnahmen unter anderem auch deshalb durch, um Schaden vom eigenen Unternehmen abzuwenden, um Rechtsansprüche geltend zu machen, zu verteidigen oder diese auszuüben. Rechtsgrundlage für die hier verarbeiteten personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. e DSGVO i.V.m. § 3 BDSG i.V.m. § 1 InfrGGBV i.V.m. §19 HGrG, § 34 BHO i.V.m §§ 823 ff. BGB. - Wahrung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO):
Die Autobahn GmbH des Bundes wird Ihre Daten gegebenenfalls auch verarbeiten, um ihre oder die berechtigten Interessen eines Dritten zu wahren, gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Zu diesen berechtigten Interessen können im Einzelfall zählen:- Verbesserung der Compliance-Strukturen: Aufklärungsmaßnahmen können mittelbar auch der Verbesserung der internen Compliance-Strukturen der Autobahn GmbH des Bundes dienen. Beispielsweise kann die Autobahn GmbH des Bundes im Zuge von Aufklärungsmaßnahmen mögliche Schwachstellen in ihrer internen Compliance-Organisation aufdecken und beheben.
- Unterstützung von betroffenen Personen: Aufklärungsmaßnahmen können unter anderem auch der Entlastung von betroffenen Personen dienen. Hierbei handelt es sich grundsätzlich um ein berechtigtes Interesse eines Dritten.
4. Kategorien von Daten
Folgende Datenkategorien verarbeiten wir, soweit auf Sie zutreffend:
- Vor- und Zuname, sofern die Hinweisperson ihre Identität offenlegt;
- Kontaktdaten, sofern die Hinweisperson diese zur Verfügung stellt
- ob die Hinweisperson bei der Autobahn beschäftigt ist;
- die personenbezogenen Daten der betroffenen Person, die die Hinweisperson übermittelt. In der Regel wird es sich dabei mindestens um die folgenden Daten handeln: Name, Funktion bei der Autobahn GmbH des Bundes, Handlung, die den Hinweis ausgelöst hat.
5. Quellen der Daten
Die Autobahn GmbH erhält die personenbezogenen Daten durch die Hinweisperson.
6. Empfänger der Daten
Innerhalb unseres Unternehmens erhalten ausschließlich Personen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer vertraglichen oder gesetzlichen Pflichten benötigen.
Interne Empfänger können sein:
- Beschäftigte der Stabsstelle Compliance Zentrale und der Niederlassungen
- Beschäftigte der Stabsstelle interne Revision
- Geschäftsführung
- Beschäftigte der Stabsstelle Datenschutz Zentrale und der Niederlassungen
Externe Empfänger können sein:
- Rechtsanwälte, Wirtschaftsprüfungsgesellschaften
- Öffentliche Stellen und Institutionen· (z. B. Strafverfolgungsbehörden, Zivilgerichte, Verwaltungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung
- Dienstleister (insb. im Bereich IT)
Im Rahmen der Meldungsbearbeitung oder einer Untersuchung kann es notwendig sein, Hinweise an weitere Mitarbeiter der Autobahn GmbH weiterzugeben.
Sofern sich aus einem Hinweis Anhaltspunkte für die Notwendigkeit des Treffens einer personellen Einzelmaßnahme ergeben, können interne Empfänger sein:
- Zuständiger Betriebsarbeitgeber (Leitung Zentrale bzw. Niederlassungs- und Außenstellenleitungen)
- Mitarbeiter der zuständigen Personalbetreuung (Zentrale / Niederlassungen)
- Zuständiger Betriebsrat
Dabei werden ausschließlich diejenigen personenbezogenen Daten verarbeitet, die zur Prüfung und Durchführung der personellen Einzelmaßnahme erforderlich sind. Dabei wird Ihre Identität als Hinweisperson – soweit rechtlich zulässig – nicht offenbart.
Darüber hinaus sind wir grundsätzlich gesetzlich dazu verpflichtet, die betroffene Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisperson wird dabei – soweit rechtlich zulässig – nicht offenbart.
Sämtliche Dienstleister sind von uns sorgfältig ausgewählt, datenschutzkonform beauftragt und vertraglich verpflichtet, Ihre Daten vertraulich zu behandeln. Sofern erforderlich, vereinbaren wir mit allen Dienstleistern eine Vereinbarung über die Auftragsverarbeitung.
7. Speicherdauer
Die Sie betreffenden personenbezogenen Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind und sofern der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen oder die Verarbeitung nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
8. Datenübermittlung in ein Drittland
Sollten Ihre personenbezogenen Daten an ein Drittland übermittelt werden, haben wir geeignete Maßnahmen getroffen, um sicherzustellen, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Insbesondere haben wir mit Auftragsverarbeitern, die personenbezogenen Daten in einem Drittland verarbeiten, Standardvertragsklauseln abgeschlossen.
9. Betroffenenrechte
Sie haben das Recht
- eine von Ihnen erteilte Einwilligung gemäß Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Der Widerruf der Einwilligung kann in der Regel nur innerhalb eines Monats nach Erhalt der Meldung erfolgen, da die Autobahn GmbH in bestimmten Fällen nach Art. 14 Abs. 3 lit. a DSGVO verpflichtet ist, die beschuldigte Person über die gegen sie erhobenen Vorwürfe und durchgeführten Ermittlungen innerhalb eines Monats zu informieren. Dazu gehört auch die Speicherung, die Art der Daten, die Zweckbestimmung der Verarbeitung, die Identität des Verantwortlichen und – soweit rechtlich erforderlich – der Hinweisperson, so dass eine Einstellung der Datenverarbeitung oder Löschung der Identifikationsdaten nicht mehr möglich ist. Die Widerrufsfrist kann sich verkürzen; z.B. wenn die Art der Meldung die unmittelbare Einschaltung einer Behörde oder eines Gerichts erfordert; denn sobald eine Offenlegung gegenüber der Behörde oder dem Gericht erfolgt ist, befinden sich die Identifikationsdaten sowohl in den Verfahrensakten der Autobahn GmbH als auch der Behörde oder des Gerichts.
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen. Es gelten die Einschränkungen gemäß § 34 BDSG;
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Es gelten die Einschränkungen gemäß § 35 BDSG;
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
- gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.
Die zuständige Aufsichtsbehörde ist:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Anschrift: Graurheindorfer Str. 153, 53117 Bonn
Zentrale Telefonnummer: 0228/997799-0
Zentrale Mail-Adresse: poststelle@bfdi.bund.de
Darüber hinaus haben Sie das Recht gemäß Art. 21 DSGVO aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 S.1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, die Ihre Interessen, Rechte und Freiheiten als betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unsere/n Datenschutzbeauftragte/n.
Letzte Änderung: Juni 2023