Hinweisgebersystem
Datenschutzinformationen
Der Elisabeth Vinzenz Verbund (EVV) und dessen Einrichtungen unterliegen weitgehend dem katholischen Datenschutzrecht, insbesondere dem Gesetz über den kirchlichen Datenschutz (KDG), welches im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht.
Gemeinsam Verantwortliche
Gemeinsame Verantwortliche für die Hinweisgeberplattform im Sinne des KDG und der DSGVO sind:
- Elisabeth Vinzenz Verbund GmbH, Alarichstraße 12-17, 12105 Berlin
- St. Bernward Krankenhaus GmbH Hildesheim
- Vinzenzkrankenhaus Hannover GmbH
- St. Joseph-Krankhaus Berlin-Tempelhof GmbH
- Krankenhaus St. Marienstift Magdeburg GmbH
- Krankenhaus St. Joseph-Stift Dresden GmbH
- St. Elisabeth Krankenhaus Eutin GmbH
- Krankenhaus Reinbek St. Adolf-Stift GmbH
- St. Elisabeth Krankenhaus Lahnstein - Ihr Gesundheitszentrum - GmbH, Ostallee 3, 56112 Lahnstein
- St. Elisabeth-Krankenhaus gGmbH, Liebenhaller Straße 20, 38259 Salzgitter
- St. Martini GmbH, Göttinger Straße 34, 37115 Duderstadt
- Elisabeth-Krankenhaus Kassel GmbH, Weinbergstraße 7, 34117 Kassel
- Krankenhaus St. Elisabeth und St. Barbara Halle (Saale) GmbH, Mauerstraße 5, 06110 Halle (Saale)
- Pro Care Holding GmbH, Alarichstraße 12-17, 12105 Berlin
- Pro Care Mitte GmbH, Alarichstraße 12-17, 12105 Berlin
- Pro Care Nord GmbH, Alarichstraße 12-17, 12105 Berlin
- Pro Care Reinigung GmbH, Alarichstraße 12-17, 12105 Berlin
- pro care Service GmbH, Alarichstraße 12-17, 12105 Berlin
sowie die jeweils mit den Gesellschaften verbundenen Töchterunternehmen.
Die gemeinsam Verantwortlichen haben einen sog. Vertrag zur gemeinsamen Verantwortung nach Art. 26 DSGVO und § 28 KDG geschlossen.
Die zuvor genannten Unternehmen des EVV haben sich entschlossen, eine gemeinsame Hinweisgeberplattform anzubieten, um auf dieses Weise Synergien im Verbund zu nutzen. Sie sind daher gemeinsam für den Schutz der in diesem Zusammenhang verarbeiteten personenbezogenen Daten verantwortlich. Hervorzuheben ist jedoch, dass mit Ausnahme der Elisabeth Vinzenz Verbund GmbH jedes Unternehmen nur Zugriff auf die personenbezogenen Daten einer Meldung hat, welche den eigenen Standort betrifft. Die Elisabeth Vinzenz Verbund GmbH stellt ein zentrales Meldestellen-Team, das für die verbundweite Bearbeitung von Meldungen in Zusammenarbeit mit dem jeweiligen Standort zuständig ist. Die Mitarbeitenden der zentralen Meldestelle unterliegen entweder der anwaltlichen Schweigepflicht oder wurden zu besonderen Verschwiegenheit verpflichtet.
Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben die genannte Unternehmen des EVV vereinbart, wer von ihnen welche Pflichten nach dem KDG erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten.
Für die Erfüllung der Informationspflichten direkt auf der Meldeplattform ist die Elisabeth Vinzenz Verbund GmbH zuständig. Ebenso ist jedes Unternehmen des EVV für die Datenlöschung der jeweiligen Daten zuständig, auf die das Unternehmen Zugriff hat. Die Unternehmen unterstützen sich jeweils gegenseitig, um ihren datenschutzrechtlichen Pflichten im Rahmen der gemeinsamen Verantwortung nachzukommen.
Datenschutzbeauftragte
Bei konkreten Fragen zum Schutz Ihrer Daten wenden Sie sich bitte an den oder die jeweilige Datenschutzbeauftragte(n) Ihres Arbeitgebers:
- Elisabeth Vinzenz Verbund GmbH, Datenschutzbeauftragter, Alarichstraße 12-17, 12105 Berlin, datenschutz@elisabeth-vinzenz.de
- St. Bernward Krankenhaus GmbH Hildesheim, Datenschutzbeauftragter, Treibestraße 9, 31314 Hildesheim, datenschutz@elisabeth-vinzenz.de
- Vinzenzkrankenhaus Hannover GmbH, Datenschutzbeauftragter, Lange-Feld-Str. 31, 30559 Hannover, datenschutz@vinzenzkrankenhaus.de
- St. Joseph-Krankhaus Berlin-Tempelhof GmbH, Datenschutzbeauftragter, Wüsthoffstraße 15, 12101 Berlin, datenschutz@elisabeth-vinzenz
- Krankenhaus St. Marienstift Magdeburg GmbH, Datenschutzbeauftragter, Harsdorfer Straße 30, 39110 Magdeburg, Robert.Wendt@sidiblume.de
- Krankenhaus St. Joseph-Stift Dresden GmbH, Datenschutzbeauftragter, Wintergartenstraße 15-17, 01307 Dresden, datenschutz@elisabeth-vinzenz.de
- St. Elisabeth Krankenhaus Eutin GmbH, Datenschutzbeauftragte, Plöner Straße 42, 23701 Eutin, heidkamp@sek-eutin.de
- Krankenhaus Reinbek St. Adolf-Stift GmbH, Datenschutzbeauftragter, Hamburger Straße 41, 21465 Reinbek, datenschutz@krankenhaus-reinbek.de
- St. Elisabeth-Krankenhaus Lahnstein – Ihr Gesundheitszentrum – GmbH, Datenschutzbeauftragter, Ostallee 3, 56112 Lahnstein, datenschutz@elisabeth-vinzenz
- St. Elisabeth-Krankenhaus gGmbH, Datenschutzbeauftragter, Liebenhaller Straße 20, 38259 Salzgitter, datenschutz@elisabeth-vinzenz.de
- St. Martini GmbH, Datenschutzbeauftragte, Göttinger Straße 34, 37115 Duderstadt, n-stolze-wand@kh-dud.de
- Elisabeth-Krankenhaus Kassel GmbH, Datenschutzbeauftragter, Weinbergstraße 7, 34117 Kassel, datenschutz@elisabeth-vinzenz.de
- Krankenhaus St. Elisabeth und St. Barbara Halle (Saale) GmbH, Datenschutzbeauftragter, Mauerstraße 5, 06110 Halle (Saale), datenschutz@elisabeth-vinzenz.de
- Pro Care Holding GmbH, Pro Care Mitte GmbH, Pro Care Nord GmbH, Pro Care Reinigung GmbH und pro care Service GmbH, Datenschutzbeauftragter, Alarichstraße 12-17, 12105 Berlin, datenschutz@elisabeth-vinzenz.de
Logfiles bei der Nutzung der Meldeplattform
Bei jedem Zugriff auf die Meldeplattform und jedem Abruf einer auf der Meldeplattform hinterlegten Datei werden folgende Daten in einem sog. Logfile protokolliert:
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL
- Uhrzeit der Serveranfrage
- IP-Adresse
Die genannten Daten werden erhoben, um Ihnen den Besuch der Meldeplattform zu ermöglichen und deren Funktionsfähigkeit sicherzustellen [Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO § 6 Abs. 1 c) KDG]. Zudem dienen uns die Daten zur Optimierung der Meldeplattform und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme [Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO und § 6 Abs. 1 g) KDG].
Die Server-Logfiles werden für maximal 14 Tage gespeichert und anschließend gelöscht. Die Speicherung der Daten erfolgt aus Sicherheitsgründen, um z. B. Missbrauchsfälle aufklären zu können. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie solange von der Löschung ausgenommen bis der Vorfall endgültig geklärt ist.
Abgabe einer Meldung über das Hinweisgeberschutzsystem
Wenn Sie über die Plattform eine Meldung abgeben, werden die in der Meldung enthaltenen personenbezogenen Daten abgegeben. Grundsätzlich besteht die Möglichkeit, eine Meldung anonym abzugeben. Die Aufklärung der Meldung kann jedoch unter Umständen effektiver erfolgen, wenn die meldende Person Kontaktdaten angibt. Dies ermöglicht beispielsweise Rückfragen, die für die Aufklärung des gemeldeten Sachverhalts notwendig sind.
Personenbezogene Daten, die im Rahmen von Meldungen verarbeitet werden, enthalten regelmäßig die folgenden Informationen:
- Daten zur meldenden Person, sofern die Meldung nicht anonym abgegeben wird (z.B. Name, Kontaktdaten, ggf. Funktion und Abteilung, Bezug zum gemeldeten Sachverhalt etc.)
- Angaben zu weiteren betroffenen Personen (z.B. Name, Unternehmen, Abteilung und Funktion, Kontaktdaten sowie weitere Informationen zum gemeldeten Sachverhalt)
Die Daten werden zum Zweck der Untersuchung der Meldungen verarbeitet. Dies beinhaltet insbesondere die folgenden Aufgaben der Meldestelle:
- Bestätigung des Eingangs einer Meldung ggü. der meldenden Person,
- Prüfung des gemeldeten Sachverhalts samt Befragung weiterer Personen,
- Weiterer Austausch mit der meldenden Person,
- Ggf. Meldung an zuständige Stellen (z.B. die Datenschutzaufsicht im Fall einer meldepflichtigen Datenschutzverletzung),
- Veranlassung von Folgemaßnahmen,
- Abschließende Rückmeldung an die meldende Person.
Die Datenverarbeitung erfolgt auf der Grundlage von § 10 HinSchG. Personenbezogene Daten von Mitarbeitenden zum Zweck der Aufdeckung von Straftaten werden unter der Maßgabe von § 26 Abs. 1 Satz 2 BDSG und § 53 Abs. 2 KDG verarbeitet. Die Weitergabe personenbezogener Daten an Dritte (z.B. Polizeibehörden oder Staatsanwaltschaft) erfolgt auf Grundlage von Art. 6 Abs. 1 f DSGVO und § 6 Abs. 1 g) KDG. Vor einer Weitergabe wird jeweils eine Prüfung der berechtigten Interessen durchgeführt. Dabei wird insbesondere berücksichtigt, ob Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person einer solchen Datenverarbeitung entgegenstehen.
Beschwerden nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) werden auf der Basis von Art. 6 Abs. 1 c) DSGVO bzw. § 6 Abs. 1 a) KDG i.V.m. §§ 8 und 9 LkSG bearbeitet. Auskünfte an die zuständige Behörde in diesem Zusammenhang erfolgen gemäß Art. 6 Abs. 1 c) DSGVO bzw. § 6 Abs. 1 a) KDG i.V.m. § 17 LkSG.
Empfänger personenbezogener Daten
Für die Bereitstellung der Meldeplattform arbeiten wir mit der Inworks GmbH, Hörvelsinger Weg 39, 89081 Ulm, zusammen. Diese hat das technische Hinweisgebersystem entwickelt und wartet es für uns. Daher kann die Inworks GmbH im Rahmen der Wartung unter Umständen von den in diesen Datenschutzhinweisen beschriebenen personenbezogenen Daten Kenntnis nehmen.
Die Inworks GmbH ist als Auftragsverarbeiter für uns tätig. Ein gemäß Art. 28 Abs. 3 DSGVO und § 29 Abs. 3 KDG erforderlicher Auftragsverarbeitungsvertrag wurde abgeschlossen. Darin wurde die Inworks GmbH zur Vertraulichkeit verpflichtet und auch dazu, diejenigen personenbezogenen Daten, welche unter unserer datenschutzrechtlichen Verantwortlichkeit bei der Nutzung des Hinweisgebersystems anfallen, nur gemäß unseren Weisungen zu verarbeiten.
Die in das System eingetragenen Informationen werden darüber hinaus grundsätzlich nicht an Dritte außerhalb unserer Organisation weitergeben. In den folgenden Fällen kann jedoch eine Weitergabe erfolgen:
- Weitergabe an externe Rechtsanwaltkanzleien oder Wirtschaftsprüfer im Zusammenhang mit der Bearbeitung der Meldung.
- Wenn die Meldung in ein Gerichtsverfahren mündet.
- Meldungen und Auskünfte an die jeweils zuständige Behörde.
- Aufgrund gesetzlicher Verpflichtungen.
Dauer der Datenspeicherung
Die Löschung der gespeicherten personenbezogenen Daten erfolgt, wenn
- die Kenntnis der Daten zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich ist oder
- Sie Ihre Einwilligung zur Speicherung widerrufen oder
- die Datenspeicherung aus sonstigen gesetzlichen Gründen unzulässig ist
und einer Löschung bzw. der Vernichtung entsprechender Daten keine rechtliche bzw. gesetzliche Aufbewahrungspflicht entgegensteht.
Die Dokumentation inklusive der oben genannten Daten wird nach drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation im Zusammenhang mit dem LkSG wird nach sieben Jahre nach dem Abschluss des Verfahrens gelöscht. Sie kann jeweils länger aufbewahrt werden, um die Anforderungen nach dem HinSchG, LkSG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
Ihre Rechte
Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Betreiber der Website, also der Elisabeth Vinzenz Verbund GmbH, geltend machen:
Recht auf Auskunft
Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten.
Recht auf Berichtigung
Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.
Recht auf Löschung
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Ihre uns über die Webseiten bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Recht auf Widerspruch gegen unzumutbare Datenverarbeitung
Sie haben grundsätzlich ein allgemeines Widerspruchsrecht auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen.
Recht auf Widerruf erteilter Einwilligungen
Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem Betreiber der Website gegenüber erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit zu widerrufen. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.
Recht auf Beschwerde bei einer Aufsichtsbehörde
Sie haben die Möglichkeit, sich mit einer Beschwerde an den zuvor genannten Datenschutzbeauftragten oder an eine Datenschutzaufsichtsbehörde zu wenden.