Datenschutzhinweise für Whistleblower-Software

Datenschutzhinweise für Whistleblower-Software

Die Stadtverwaltung Frankenthal (Pfalz) richtet einen Meldekanal für Hinweisgeber aufgrund des Hinweisgeberschutzgesetzes ein.

Es wurde die Whistleblower-Software der Firma ApS unter Beachtung der nachfolgenden Datenschutzbestimmungen implementiert:

1.  Grundsatz der Zweckbindung

Die personenbezogenen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht in einer damit nicht zu vereinbarenden Weise weiterverarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO)

Es werden nur die nötigsten Informationen abgefragt, die benötigt werden, um einem eventuellen Verdacht nachzugehen.


2. Grundsatz der Datenminimierung

Die Daten, die abgefragt werden und für die Prüfung erforderlich sind, müssen sich auf das notwendige Maß beschränken (Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).


3. Löschung bzw. Berichtigung der personenbezogenen Daten

Der Verantwortliche trifft Maßnahmen, die sicherstellen, dass nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden. Informationen an die betroffene Person zu dem mit einem Meldesystem verfolgten Zweck müssen in klarer, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Der Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. D DSGVO ist zu beachten.


4. Anonymer oder personenbezogener Hinweis

Die Whistleblower-Software ermöglicht anonyme oder personenbezogene Hinweise.

  • Eine Kontaktaufnahme mit einem anonymen Hinweisgeber ist möglich.


5. Technische und organisatorische Maßnahmen

Das Meldesystem ist so konzipiert, dass Unbefugte nicht darauf zugreifen können und es die Identität von Hinweisgebern und Dritten schützt. Damit wurden entsprechend der Regelungen der DSGVO geeignete technische und organisatorische Maßnahmen implementiert, um die dort verarbeiteten personenbezogenen Daten zu schützen (Art. 25 DSGVO Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen).

Die Vorgaben des Art. 32 DSGVO (Sicherheit der Verarbeitung) werden beachtet. Dies gilt insbesondere für die Löschungsverpflichtung. Bei interner Datenverarbeitung wird gewährleistet, dass Unbefugte Datenverarbeitungssysteme nicht nutzen können. Es gibt ein Berechtigungskonzept und zu den technisch und organisatorischen Maßnahmen gehören auch die Implementierung von Maßnahmen wie Protokollierung von Dateneingaben und Löschroutinen.

  • Es erfolgt keine Speicherung der IP-Adresse des Meldenden, somit ist die Anonymität auch bei einem Hinweis ohne personenbezogene Daten des Meldenden gewährleistet.
  • Die Vorschrift des Art. 25 DSGVO betreffend die technisch organisatorischen Maßnahmen ist beachtet.

Die Technikgestaltung durch datenschutzfreundliche Voreinstellungen ist gewährleistet, z.B gibt es eine Auswahl bezüglich des Personenkreises, wer etwas gemeldet hat;

es ist auch möglich über die Software eine externe Meldung zu veranlassen, falls sich ein Verdacht erhärtet, z.B eine Meldung an das Gericht, Polizei etc.

  • Die Ende zu Ende Verschlüsselung ist gewährleistet.
  • Ein Rollen- und Berechtigungskonzept liegt vor.
  • Das System enthält eine Protokollierung, es ist ersichtlich, wer von den Zugriffsberechtigten wann Zugriff auf einen Fall hatte.
  • Nur wenig Berechtigte haben Zugriff auf das System.
  • Es werden keine Cookies verwendet.
  • Bei eventuell erforderlichen Gesetzesänderungen wird die Software regelmäßig angepasst.

 

6. Einwilligung in die Verarbeitung durch Zustimmung  und Informationspflicht der betroffenen Person

Gemäß Art. 7 Abs. 1 DSGVO muss die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten einwilligen.

Danach ist der Hinweisgeber über den Umgang mit seinen Daten und seine Rechte (incl. möglicher Widerspruchsrechte) zu informieren (Art. 13 DSGVO).


 7. Rechte der betroffenen Person

Weiterhin stehen der betroffenen Person umfassende Rechte auf Auskunft, Löschung etc. gemäß Art. 15 ff. DSGVO zu. Werden personenbezogene Daten für die Meldung von Missständen ohne Kenntnis der betroffenen Person erhoben, ist diese nach Art. 14 DSGVO insbesondere von der Speicherung, der Art der Daten, der Zweckbestimmung, der Verarbeitung und der Identität des Verantwortlichen und gegebenenfalls der Hinweisgeberin oder des Hinweisgebers zu informieren.


 8. Widerspruchsrecht der betroffenen Person

Die betroffene Person hat nach Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.