Datenschutzinformation zum RHÖN-KLINIKUM AG Beschwerdeverfahren zum Lieferkettensorgfaltspflichtengesetz (LKSG)
1. Zweckbestimmung und Rechtsgrundlagen der Datenverarbeitung
Zweck der Datenverarbeitung im Rahmen des Beschwerdeverfahrens zum Lieferkettensorgfaltspflichtengesetz (LkSG) ist die Entgegennahme und Aufklärung von Meldungen über die (potenzielle) Verletzung von menschenrechtsbezogenen- oder umweltbezogenen Belangen nach dem LkSG in den RHÖN-Lieferketten.
Im Falle der meldenden Person (Hinweisgeber), erheben wir die Daten direkt bei dieser.
Für den Fall, dass die meldende Person personenbezogene Daten einer potenziell verletzenden Person (Beschuldigten) mitteilt, werden die personenbezogenen Daten, im Rahmen des Beschwerdeverfahrens bei einem Dritten erhoben.
Soweit die Verarbeitung Ihrer personenbezogenen Daten auf Ihrer Einwilligung beruht, ist Art. 6 Abs. 1 lit. a) DSGVO die Rechtsgrundlage der Verarbeitung. Sie können Ihre Einwilligung jederzeit ohne die Angabe von Gründen und ohne dass Ihnen hieraus Nachteile entstehen, gegenüber dem Verantwortlichen widerrufen.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die RHÖN-KLINIKUM AG und der mit ihr gemäß §§ 15 ff. AktG verbundenen Konzerngesellschaften unterliegt, dient Art. 6 Abs. 1 lit. c) DSGVO als Rechtsgrundlage.
2. Art der Daten
Im Rahmen des Beschwerdeverfahrens zum LkSG können folgende personenbezogenen Daten folgender Personen erhoben und verarbeitet werden:
- meldende Person (Name*, Unternehmen*, Abteilung*, Funktion*, Kontaktdaten*, Umstände der Beobachtung*)
- potenziell verletzende Person (Name, Unternehmen, Abteilung*, Funktion*, Kontaktdaten*, angebliche Verhaltensverstöße, Sachverhalte)
3. Empfänger Ihrer Daten oder Kategorien von Empfängern
Die personenbezogenen Daten der meldenden Person werden grundsätzlich nur dem Bereich Compliance zugänglich gemacht, der diese Daten benötigt, um eine ordnungsgemäße Prüfung gewährleisten zu können. Die Identität der meldenden Personen wird ausschließlich den Personen von RHÖN, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden. Sofern es für die Sachverhaltsaufklärung erforderlich sein sollte, können vereinzelt und nur bei Bedarf Personen vertraulich Zugang zu diesen Informationen erhalten. RHÖN wendet das „Need-to-Know“-Prinzip an und beachtet den Grundsatz der Datenminimierung.
Über die oben aufgeführten Fälle hinaus, dürfen Informationen über die Identität der meldenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben, weitergegeben werden, wenn
- die Weitergabe für Folgemaßnahmen erforderlich ist und/oder
- die meldende Person zuvor in die Weitergabe eingewilligt hat.
Die Weitergabe personenbezogener Daten der potenziell verletzenden Person an Dritte (z. B. Polizeibehörden, Staatsanwaltschaft) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO i. V. m. § 17 LkSG:
- in Strafverfahren auf Verlangen der Strafverfolgungsbehörden,
- aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren,
- aufgrund einer gerichtlichen Entscheidung oder
- im Rahmen der Berichterstattung über die Erfüllung der Sorgfaltspflichten gegenüber dem Bundesamt für Wirtschaft und Ausfuhrkontrolle.
4. Regelfristen für die Löschung der Daten
Für die im Rahmen von Beschwerden und Untersuchungen aufgenommenen personenbezogenen Daten beträgt die Aufbewahrungsfrist drei Monate nach Abschluss der Untersuchungen, sofern die Beschwerde nicht weiterverfolgt wird.
Diese Frist verlängert sich entsprechend, wenn sich an den Untersuchungsabschluss Disziplinar- oder Gerichtsverfahren sowie andere Streitigkeiten anschließen sollten, für welche die Daten herangezogen werden müssen.
Personenbezogene Daten werden für einen Zeitraum von sieben Jahren, nach Abschluss möglicher Verfahren, gespeichert. Die Einhaltung der gesetzlichen Aufbewahrungspflichten und der datenschutzrechtlichen Bestimmungen wird durch die Beschwerdestelle sichergestellt.
5. Rechte
Den betroffenen Personen stehen folgende Rechte nach Art. 15 bis 22 DSGVO zu:
- Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und auf Datenübertragbarkeit;
- Widerspruchsrecht gegen Verarbeitungen, die auf berechtigte Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO) gestützt werden.
Sie können darüber hinaus eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft abändern oder gänzlich widerrufen. Die bis zum Widerruf erfolgte Datenverarbeitung wird davon nicht berührt. Sie können den Widerruf entweder postalisch an RHÖN-KLINIKUM AG, Stabsstelle Compliance, Schlossplatz 1, 97616 Bad Neustadt a. d. Saale oder per E-Mail (compliance(at)rhoen-klinikum-ag.com) übermitteln. Es entstehen Ihnen dabei keine anderen Kosten als die Portokosten bzw. die Übermittlungskosten nach den bestehenden Basistarifen.
Ihnen steht jederzeit ein Beschwerderecht bei der Aufsichtsbehörde für Datenschutz gem. Art. 77 DSGVO zu.
Die Beschwerde wäre bei der zuständigen Aufsichtsbehörde einzulegen: Bayerisches Landesamt für Datenschutzaufsicht, Postanschrift: Postfach 1349, 91504 Ansbach, Telefon: +49 (0) 981 180093-0, E-Mail: poststelle(at)lda.bayern.de.
Datenschutzbeauftragter der RHÖN-KLINIKUM AG: konzerndatenschutz(at)rhoen-klinikum-ag.com
*Alle freiwilligen Angaben werden mit erhoben und verarbeitet.