1. Zwecke und Rechtsgrundlagen der Datenverarbeitung (Art. 13 Absatz 1 Buchstabe c DSGVO)
Die externe Meldestelle des Bundes ist beim Bundesamt für Justiz (BfJ) eingerichtet.
Gemäß § 10 Satz 1 Hinweisgeberschutzgesetz (HinSchG) verarbeitet die externe Meldestelle des Bundes im Sinne von Artikel 4 Nummer 2 Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten nach Artikel 6 Absatz 1 Buchstabe e, Absatz 3 Buchstabe b DSGVO in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zur Erfüllung ihrer gesetzlichen Aufgaben. Gemäß § 10 Satz 2 HinSchG ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO zulässig, wenn dies zur Erfüllung der Aufgaben der externen Meldestelle des Bundes erforderlich ist.
Diese Aufgaben umfassen den Schutz von hinweisgebenden Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die externe Meldestelle des Bundes melden, sowie den Schutz der Personen, die Gegenstand einer Meldung sind, und sonstiger Personen, die von einer Meldung betroffen sind (vgl. § 1 HinSchG). Hiermit sind zwei Datenverarbeitungstätigkeiten verbunden:
(a) die Entgegennahme und Bearbeitung von Meldungen einschließlich der statistischen Auswertung zur Erfüllung der Berichtspflichten gemäß § 26 HinSchG. Hierunter fallen das Errichten und Betreiben von Meldekanälen nach § 27 HinSchG und die Dokumentation von Meldungen gemäß § 11 HinSchG, das Prüfen der Stichhaltigkeit von Meldungen und das Führen des weiteren Verfahrens nach § 28 HinSchG einschließlich der Erteilung der Eingangsbestätigung und der Rückmeldung. Ferner werden Folgemaßnahmen im Sinne von § 29 HinSchG ergriffen. Zuletzt schließt die externe Meldestelle des Bundes das Verfahren gemäß § 31 HinSchG ab und teilt der hinweisgebenden Person das Ergebnis der durch die Meldung ausgelösten Untersuchungen mit;
(b) die umfassende und unabhängige Information und Beratung von Personen, die in Erwägung ziehen, eine Meldung zu erstatten, über bestehende Abhilfemöglichkeiten und Verfahren für den Schutz vor Repressalien.
2. Verarbeitung der Daten für einen anderen Zweck (Artikel 13 Absatz 3 DSGVO)
Die Daten werden nur für die unter Ziffer 1. genannten Zwecke verarbeitet, für die sie erhoben wurden.
3. Kategorien von Empfängern der Daten (Artikel 13 Absatz 1 Buchstabe e DSGVO)
Gemäß § 8 Absatz 1 Satz 1 HinSchG hat die externe Meldestelle des Bundes die Vertraulichkeit der Identität der hinweisgebenden Personen, der Personen, die Gegenstand einer Meldung sind, und der sonstigen in der Meldung genannten Personen zu wahren. Personenbezogene Daten dürfen grundsätzlich von der externen Meldestelle des Bundes nicht offengelegt werden. Ausnahmen sind in § 9 HinSchG und § 31 Absatz 2 Satz 1 und 2 HinSchG ausdrücklich geregelt und an strenge Voraussetzungen geknüpft.
(a) Im Rahmen der Datenverarbeitungstätigkeit „Entgegennahme und Bearbeitung von Meldungen“ können, wenn die Voraussetzungen des § 9 oder von § 31 Absatz 2 Satz 1 und Satz 2 HinSchG vorliegen, personenbezogene Daten an folgende Empfänger weitergeleitet werden:
- im Hinblick auf die hinweisgebende Person
- Strafverfolgungsbehörden: in Strafverfahren auf Verlangen der Strafverfolgungsbehörden
- Verwaltungsbehörden: aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, einschließlich verwaltungsbehördlicher Bußgeldverfahren
- Gerichte: aufgrund einer gerichtlichen Entscheidung
- im Hinblick auf Personen, die Gegenstand einer Meldung sind
- Strafverfolgungsbehörden: in Strafverfahren auf Verlangen der Strafverfolgungsbehörden
- Beschäftigungsgeber: falls dies im Rahmen einer Folgemaßnahme nach § 29 Absatz 2 Nummer 1 HinSchG erforderlich ist
- Verwaltungsbehörden: aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, einschließlich verwaltungsbehördlicher Bußgeldverfahren
- Gerichte: aufgrund einer gerichtlichen Entscheidung
- zuständige Stellen: ist die externe Meldestelle nicht zuständig für eine Meldung oder ist es ihr nicht möglich, dem gemeldeten Verstoß innerhalb einer angemessenen Zeit weiter nachzugehen, so wird die Meldung unverzüglich an die jeweilige für die Aufklärung, Verhütung und Verfolgung des Verstoßes zuständige Stelle weitergeleitet
- im Hinblick auf sonstige Personen, die von einer Meldung betroffen sind
- Strafverfolgungsbehörden: in Strafverfahren auf Verlangen der Strafverfolgungsbehörden
- Beschäftigungsgeber: falls dies im Rahmen einer Folgemaßnahme nach § 29 Absatz 2 Nummer 1 HinSchG erforderlich ist
- Verwaltungsbehörden: aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, einschließlich verwaltungsbehördlicher Bußgeldverfahren
- Gerichte: aufgrund einer gerichtlichen Entscheidung
- zuständige Stellen: ist die externe Meldestelle nicht zuständig für eine Meldung oder ist es ihr nicht möglich, dem gemeldeten Verstoß innerhalb einer angemessenen Zeit weiter nachzugehen, so wird die Meldung unverzüglich an die jeweilige für die Aufklärung, Verhütung und Verfolgung des Verstoßes zuständige Stelle weitergeleitet
Der im Rahmen der statistischen Auswertung zu erstellende Jahresbericht im Sinne von § 26 HinSchG enthält keine personenbezogenen, sondern lediglich statistische Daten. Rückschlüsse auf die beteiligten Personen oder Unternehmen darf er nicht zulassen (§ 26 Absatz 1 Satz 2 HinSchG).
(b) Personenbezogene Daten, die im Rahmen der Verarbeitungstätigkeit „Information und Beratung“ erhoben werden, werden keinen anderen Stellen offengelegt.
4. Übermittlung von Daten an ein Drittland oder eine internationale Organisation (Artikel 13 Absatz 1 Buchstabe f DSGVO)
Personenbezogene Daten werden nicht an Drittländer (Staaten außerhalb der Europäischen Union und dem Europäischen Wirtschaftsraum) oder eine internationale Organisation (Artikel 44 ff. DSGVO) übermittelt.
5. Dauer der Speicherung von personenbezogenen Daten (Artikel 13 Absatz 2 Buchstabe a DSGVO)
Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gemäß § 11 Absatz 5 HinSchG gelöscht. Die Dokumentation kann im Einzelfall länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
6. Bereitstellung personenbezogener Daten (Artikel 13 Absatz 2 Buchstabe e DSGVO)
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich. Die externe Meldestelle des Bundes bearbeitet auch anonym eingehende Meldungen. Wenn die hinweisgebende Person ihre Meldung anonym abgibt und keine Kontaktmöglichkeit angibt, hat die externe Meldestelle keine Möglichkeit, die hinweisgebende Person bei etwaigen Rückfragen zu kontaktieren und ggf. über das Ergebnis der Prüfung in Kenntnis zu setzen. Im Fall einer Offenlegung kann sich die hinweisgebende Person, wenn sie keine Kontaktmöglichkeit angibt, auch nicht darauf berufen, dass keine geeigneten Folgemaßnahmen ergriffen wurden oder, dass sie keine Rückmeldung über das Ergreifen solcher Folgemaßnahmen erhalten hat. Eine geschützte Offenlegung von Informationen aus diesen Gründen ist dann nicht möglich.
7. Informationen zur Meldung über das elektronische Formular
Personenbezogene Daten sind alle Daten im Sinne des Artikel 4 Nummer 1 DSGVO, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierzu zählen insbesondere die Angaben, die im Rahmen einer Meldung durch die hinweisgebende Person übermittelt werden. Zu den personenbezogenen Daten zählen aber auch die Informationen über die Nutzung des Internetangebots. Bei jedem Besuch der Internetseite werden automatisch von dem Browser Informationen an den Server der Internetseite gesendet und temporär in sogenannten Logfiles gespeichert. Folgende Daten werden erhoben und bis zur automatisierten Löschung für maximal 30 Tage gespeichert:
- IP-Adresse des anfragenden Rechners,
- Browsertyp und -version,
- verwendetes Betriebssystem,
- Datum und Uhrzeit des Abrufs (Zeitstempel),
- Anfragedetails und Zieladresse (Protokollversion, HTTP-Methode, Referrer, User Agent-String)
- Name der abgerufenen Datei und übertragene Dateimenge (angefragte URL inklusive Query-String, Größe in Byte),
- Meldung, ob der Abruf erfolgreich war (HTTP Status Code)
Die genannten Daten werden ausschließlich zur Gewährleistung der Systemsicherheit und -stabilität des Internetangebots verarbeitet. Die Daten werden nicht verwendet, um Rückschlüsse auf Personen zu ziehen.
Darüber hinaus werden zur Nutzung des Internetangebots sogenannte Sitzungscookies eingesetzt.
Cookies sind Dateien, die beim Besuch einer Internetseite vom Browser auf den anfragenden Rechner abgelegt werden. Die meisten Browser akzeptieren Cookies standardmäßig. Sie können über die Sicherheitseinstellungen des Browsers je Internetseite zugelassen oder blockiert werden.
Zur Nutzung des Internetangebots sind Sitzungscookies zwingend erforderlich.
Der Server des Internetangebots ordnet über das Sitzungscookie dem Browser für die Dauer des Besuchs eine eindeutige Sitzung zu, um mehrere zusammengehörende Anfragen an die Website unter dieser Sitzung zu bündeln. Eine Sitzung wird durch Abbrechen oder Abschließen einer Meldung, Schließen des Browsers oder spätestens nach 90 Minuten Inaktivität auf der Internetseite beendet. Das zugehörige Sitzungscookie wird mit Beendigung der Sitzung ungültig. Bei erneutem Besuch der Internetseite beginnt eine neue Sitzung und ein bestehendes Sitzungscookie wird durch ein neues überschrieben.
Aus technischen Gründen werden Daten, die Sie in das Formular eingeben, schon während der Eingabe zwischengespeichert. Wenn Sie die Daten wieder aus dem Formular löschen, bevor Sie Ihre Meldung absenden, werden die Daten spätestens beim Absenden der Meldung aus dem Zwischenspeicher gelöscht. Wenn Sie sich entschließen sollten, doch keine Meldung abzugeben, werden die Daten spätestens bei Beendigung der Sitzung (durch Zeitablauf, siehe den Timer rechts oben auf der Seite, oder durch Schließen des Browserfensters) gelöscht.
8. Kategorien der verarbeiteten personenbezogenen Daten
(a) Im Rahmen der Datenverarbeitungstätigkeit „Entgegennahme und Bearbeitung von Meldungen“ werden voraussichtlich folgende Kategorien personenbezogener Daten verarbeitet:
- im Hinblick auf die hinweisgebende Person
- Personendaten (Name und Geschlecht)
- Kontaktdaten (private Anschrift, private Telefonnummer, private E-Mail-Adresse; ggf. auch berufliche Kontaktdaten)
- Daten zur beruflichen Tätigkeit (Beruf, Beschäftigungsgeber, Funktion und Position beim Beschäftigungsgeber)
- ggf. besondere Kategorien personenbezogener gemäß Artikel 9 DSGVO
- ggf. personenbezogene Daten über Straftaten gemäß Artikel 10 DSGVO
-im Hinblick auf Personen, die Gegenstand einer Meldung sind
- Personendaten (Name und Geschlecht)
- Daten zur beruflichen Tätigkeit (Beruf, Beschäftigungsgeber, Funktion und Position beim Beschäftigungsgeber)
- Informationen zum Verhalten, das nach Auffassung der hinweisgebenden Person den Verstoß darstellt
- Informationen zum Inhalt von Folgemaßnahmen und zum Ergebnis der durch die Meldung ausgelösten Untersuchungen
- ggf. besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO
- ggf. personenbezogene Daten über Straftaten gemäß Artikel 10 DSGVO
- im Hinblick auf sonstige Personen, die von einer Meldung betroffen sind
- Personendaten (Name und Geschlecht)
- ggf. Kontaktdaten (private Anschrift, private Telefonnummer, private E-Mail-Adresse; ggf. auch berufliche Kontaktdaten)
- Daten zur beruflichen Tätigkeit (Beruf, Beschäftigungsgeber, Funktion und Position beim Beschäftigungsgeber)
- ggf. besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO
- ggf. personenbezogene Daten über Straftaten gemäß Artikel 10 DSGVO
(b) Im Rahmen der Verarbeitungstätigkeit „Information und Beratung“ werden voraussichtlich folgende Kategorien personenbezogener Daten verarbeitet:
-im Hinblick auf die Person, die eine Meldung in Erwägung zieht
- Personendaten (Name und Geschlecht)
- Kontaktdaten (private Anschrift, private Telefonnummer, private E-Mail-Adresse; ggf. auch berufliche Kontaktdaten)
- Daten zur beruflichen Tätigkeit (Beruf, Beschäftigungsgeber, Funktion und Position beim Beschäftigungsgeber)
- Inhalt der durch die externe Meldestelle des Bundes erteilten Information bzw. Beratung
- ggf. besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO
- ggf. personenbezogene Daten über Straftaten gemäß Artikel 10 DSGVO
-im Hinblick auf Personen, die Gegenstand einer möglichen Meldung sind
- Personendaten (Name und Geschlecht)
- Daten zur beruflichen Tätigkeit (Beruf, Beschäftigungsgeber, Funktion und Position beim Beschäftigungsgeber)
- Informationen zum Verhalten, das nach Auffassung der hinweisgebenden Person den Verstoß darstellt
- ggf. besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO
- ggf. personenbezogene Daten über Straftaten gemäß Artikel 10 DSGVO verarbeitet werden
-im Hinblick auf sonstige Personen, die von einer möglichen Meldung betroffen sind
- Personendaten (Name und Geschlecht)
- ggf. Kontaktdaten (private Anschrift, private Telefonnummer, private E-Mail-Adresse; ggf. auch berufliche Kontaktdaten)
- Daten zur beruflichen Tätigkeit (Beruf, Beschäftigungsgeber, Funktion und Position beim Beschäftigungsgeber)
- ggf. besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO
- ggf. personenbezogene Daten über Straftaten gemäß Artikel 10 DSGVO
9. Quelle der personenbezogenen Daten
Die externe Meldestelle des Bundes erhält die personenbezogenen Daten in der Regel durch die hinweisgebende Person. Darüber hinaus dürfen bei der Durchführung der Folgemaßnahmen im Sinne von § 29 HinSchG neue personenbezogene Daten erhoben und weiterverarbeitet werden.
Im Übrigen wird auf die allgemeine Datenschutzerklärung des BfJ verwiesen.