Datenschutzhinweis
Inhalte gemäß § 13 (1) TMG
Uns sind der Schutz Ihrer Daten sowie die Vertraulichkeit Ihrer Identität sehr wichtig. Selbstverständlich verarbeiten wir personenbezogene Daten ausschließlich im Rahmen der EU-Datenschutz-Grundverordnung (DS-GVO) und der geltenden nationalen Datenschutzvorschriften. Darüber hinaus gewährleisten wir durch das herausragende Verschlüsselungs- und Berechtigungskonzept ein außergewöhnlich hohes Schutzniveau für die Daten im Hinweisgebersystem – einschließlich Ihrer Identität. Dabei bieten wir Ihnen auch die Möglichkeit, Ihren Hinweis anonym abzugeben. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem (BKMS® Compliance System) dient dazu, Hinweise auf Verstöße gegen gesetzliche Vorschriften, unternehmensinterne Regelungen (Code of Conduct, Unternehmensrichtlinien) oder deren seriöse Verdachtsfälle innerhalb der DIANA Gruppe auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten.
Die Verarbeitung von personenbezogenen Daten im Rahmen des BKMS® Compliance Systems erfolgt gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO auf Grundlage eines berechtigten Interesses unseres Unternehmens an der Aufdeckung und Prävention von Rechtsverstößen und Missständen. Diese können im Einzelfall neben erheblichen wirtschaftlichen Schäden auch zu einem großen Reputationsverlust führen. Daher überwiegt dieses Interesse die Rechte der betroffenen Personen auf informationelle Selbstbestimmung, zumal diese Beeinträchtigung durch technische und organisatorische Maßnahmen zum Schutz sowie zur Sicherstellung der Vertraulichkeit und Integrität der Daten von uns so gering wie möglich gehalten wird.
Verantwortliche Stelle
Der für den Datenschutz Verantwortliche des Hinweisgebersystems ist der Vorstand der Diana Kliniken AG, Dahlenburger Str. 2a, 29549 Bad Bevensen und der Vorstand der HERZ-KREISLAUF-KLINIK BEVENSEN AG (HGZ), Römstedter Straße 25, 29549 Bad Bevensen sowie der Geschäftsführer der Diana Krankenhausbetriebsges. mbH (DianaKlinik), Dahlenburger Str. 2a, 29549 Bad Bevensen (im Folgenden DIANA Gruppe). Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der EQS Group AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Namen der DIANA Gruppe betrieben.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Entschlüsselung und Einsichtnahme der Daten sind nur den Berechtigten der DIANA Gruppe möglich. Weder die EQS Group AG noch sonstige Dritte haben Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet. Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen der DIANA Gruppe beschränkt ist. Die Unternehmen der DIANA Gruppe haben jeweils einen Beauftragten für den Datenschutz bestellt. Anfragen zum Datenschutz können Herrn Ralph Hülswitt an die folgenden E-Mail-Adressen gesendet werden:
HGZ = datenschutz@hgz-bb.de
DianaKlinik = datenschutz@diana-klinik.de
Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir zunächst ausschließlich die personenbezogenen Daten, die Sie uns mitteilen. Dies sind in der Regel:
- Ihren Namen, sofern Sie Ihre Identität offenlegen,
- ob und in welchem Unternehmen Sie innerhalb der DIANA Gruppe beschäftigt sind,
- sonstige personenbezogenen Daten, die sich aus Ihrer Meldung ergeben, und
- gegebenenfalls Namen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Für den Fall, dass im Rahmen der auf Ihren Hinweis hin erfolgenden Untersuchung weitere personenbezogene Daten erhoben werden, erfolgt gegebenenfalls die Verarbeitung auch dieser Daten über das Hinweisgebersystem.
Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise werden von der Ombudsperson, Herrn RA Matthias Wallhäuser, entgegengenommen. Er prüft den Sachverhalt und führt gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig werden, Hinweise an die Geschäftsführung oder die Mitarbeiter für Compliance der DIANA Gruppe weiterzugeben. Hinweise werden dabei von Herrn Wallhäuser auf eine Sachverhaltsdarstellung reduziert. Die Identität von Hinweisgebern wird in jedem Fall geschützt. Namen werden nur weitergegeben, sofern eine Zustimmung dazu vom Hinweisgeber vorliegt. Die jeweils zu ergreifenden Maßnahmen werden von der Geschäftsführung oder der Mitarbeiter für Compliance der DIANA Gruppe erörtert und fallbezogen festgelegt, wobei die Befassung von weiteren Beschäftigten der DIANA Gruppe und ggf. auch Externen unter Abwägung der zu berücksichtigenden Aspekte auf den jeweils erforderlichen Umfang beschränkt wird.
Die Identität der Hinweisgeber wird, soweit sie ihren Namen nennen, nur mit Ihrer Einverständniserklärung gegenüber der Ombudsperson an die Geschäftsführung oder den Mitarbeitern für Compliance der DIANA Gruppe übermittelt. Vom Hinweisgeber benannte Zeugen und Beschuldigte wird soweit zweckmäßig die Möglichkeit gegeben, sich zu den Umständen, die Sie berichtet haben, zu äußern. Erforderlichenfalls werden die gemeldeten Informationen auch an staatliche Behörden weitergegeben.
Durch unsere Ombudsperson wird der Hinweisgeber unter Beachtung der rechtlich relevanten Vorgaben über den weiteren Fortgang der Hinweise informiert.
Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Information der beschuldigten Person
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Sofern Sie Ihre Meldung nicht anonym abgegeben haben, wird Ihre Identität als Hinweisgeber dabei – soweit rechtlich zulässig – nicht offenbart.
Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie und die im Hinweis genannten Personen (Betroffene) das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten für die Bearbeitung eines Hinweises noch erforderlich sind. Eine weitere Verarbeitung erfolgt in diesem Fall nur, sofern wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen. Nicht mehr benötigte Daten werden unverzüglich gelöscht. Außerdem steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu.
Anschrift der zuständigen Aufsichtsbehörde: Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover
Aufbewahrungsdauer von personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® Compliance System wird ein Cookie auf Ihrem Rechner gespeichert, dass lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/Benutzernamen und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie dem für die Bearbeitung Ihrer Meldung zuständigen Mitarbeiter Ihres Unternehmens (DianaKlinik oder HGZ) namentlich oder anonym weitere Informationen senden und etwaige Rückfragen beantworten. Sämtliche über den Postkasten übermittelte Daten werden verschlüsselt und ausschließlich im Hinweisgebersystem gespeichert – und sind dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, dem für die Bearbeitung Ihrer Meldung zuständigen Mitarbeiter Ihres Unternehmens (DianaKlinik oder HGZ) Dokumentenanhänge zu senden. Wenn Sie anonym bleiben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Stand: 11. Juni 2019