Intern
  • 50-jähriges Jubiläum des Rechenzentrums
Rechenzentrum

Hinweisgeberschutz

Allgemeines

Die wichtigsten Punkte zur Hinweisgeberschutzrichtlinie in der EU:

  • Eingeführt, um den Schutz von Hinweisgebern sicherzustellen.
  • Umsetzung in Deutschland durch das Hinweisgeberschutzgesetz
  • Ziel ist es, Verstöße gegen EU-Recht aufzudecken.
  • Deckt Bereiche wie Korruption, Geldwäsche, Steuerhinterziehung und Umweltverschmutzung ab.
  • Schafft eine einheitliche Herangehensweise in der gesamten EU.
  • Schutz für Hinweisgeber, die in gutem Glauben handeln.
  • Schutz vor Repressalien wie Kündigung, Disziplinarmaßnahmen oder Schadensersatzforderungen.
  • Sicherer Kanal für die Meldung von Verstößen vorgesehen.
  • Wichtig für Stärkung der Rechtsstaatlichkeit und Bekämpfung von Korruption.
  • Fördert Transparenz, Integrität und verantwortungsvolles Handeln in der EU.

Feedbackbitte und Lizenzhinweis

Diese Veröffentlichungen sind ohne Bilder lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.

Ich freue mich über Hinweise für Verbesserungen, gefundenene Vertipper oder auch über ein Danke.

Meine Kontaktinformationen finden Sie auf dieser Seite oder schreiben Sie direkt eine E-Mail an rz-stabsstelle-it-recht@uni-wuerzburg.de.

Musterdokumente und FAQ

Derzeit ist es für die bayerischen staatlichen Hochschulen erforderlich eine interne Meldestelle einzurichten.

Wer ist verpflichtet?

Staatliche Hochschulen mit mindestens 50 Beschäftigten

Was ist zu tun?

  • Einrichten von Meldekanälen
  • Verfahren zum Umgang mit Meldungen etablieren
  • Bennung der Ombudsperson
  • Informationsbereitstellung zum Hinweisgebersystem

Verantwortlicher

Kontaktdaten des/der Datenschutzbeauftragten

Zwecke

Bessere Durchsetzung des Unionsrechts und der Unionspolitik sowie nationalem Recht durch Informationen über Verstöße

Rechtsgrundlagen

Art. 6 Abs. 1 lit. c DSGVO, Art. 9 Abs. 2 j DSGVO, § 10 Hinweisgeberschutzgesetz

Kategorien der personenbezogenen Daten

Nummer Bezeichnung der Daten
1 Inhalte, der Meldung
2 Dokumentation der Meldung
3 Wortprotokoll zur (fern-)mündlichen Meldung
4 Inhaltsprotokoll zur (fern-)mündlichen Meldung
5 Tonaufzeichnung der Meldung oder Zusammenkunft
6 Wahrnehmungen bei einer Zusammenkunft
7 Accountdaten
8 Nutzungsdaten und Protokollierung von Veränderungen

 

Kategorien der betroffenen Personen

Nr. bei Datenkategorien

Kategorie von Betroffenen

1-8 Ombudsleute
1-8 Hinweisgebende Personen
1-5 Beschäftigte und Beschäftigungsgeber
1-5 Sonstige in der Meldung erwähnte Personen

 

Kategorien interner Empfänger

Nr. bei Datenkategorien Kategorie von Empfänger
1-8 Ombudsleute
1-5 Für die Folgemaßnahmen zu Beteiligende

 

Kategorien der externen Empfänger

Nr. bei Datenkategorien Empfänger Anlass der Offenlegung

Speicherort

1-5, 7,8 ... Auftragsverarbeitung (Wartung) ...

 

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Derzeit nicht vorgesehen

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Nr. bei Datenkategorien Löschfrist
1-4 drei Jahre nach Abschluss des Verfahrens
5 Nach Anfertigung und Freigabe des Protokolls
6

Mit verblassen der Erinnerung, Anstelle der Löschung tritt das Vertraulichkeitsgebot

7 Mit Wegfall der Erforderlichkeit
8 Mit Wegfall der Erforderlichkeit

 

Das Archivrecht bleibt von den Löschfristen unberührt.

Technische und organisatorische Maßnahmen

Gesetzlich vorgesehen

  • Prozessabsicherung durch Einverständnis bei Tonaufzeichnungen, Vorlagen von Protokollen und digitaler Zusammenkunft,

Anregungen

  • Möglichkeit von anonymen Meldungen
  • Mehraugenprinzip
  • Berechtigungsmanagement
  • Multi-Faktor-Login

Datenschutzfolgenabschätzung

Stellungnahme des behördlichen Datenschutzbeauftragten

...

Verantwortlicher

Kontaktdaten des/der Datenschutzbeauftragten

Zwecke

Bessere Durchsetzung des Unionsrechts und der Unionspolitik sowie nationalem Recht durch Informationen über Verstöße

Rechtsgrundlagen

Art. 6 Abs. 1 lit. c DSGVO, Art. 9 Abs. 2 j DSGVO, § 10 Hinweisgeberschutzgesetz

Kategorien der personenbezogenen Daten und Herrkunft

Nummer Bezeichnung der Daten Herkunft
1 Inhalte, der Meldung Hinweisgebende Person
2 Dokumentation der Meldung Erstellt durch Ombundsperson
3 Wortprotokoll zur (fern-)mündlichen Meldung Erstellt durch Ombundsperson
4 Inhaltsprotokoll zur (fern-)mündlichen Meldung Erstellt durch Ombundsperson
5 Tonaufzeichnung der Meldung oder Zusammenkunft Erstellt durch Ombundsperson
6 Wahrnehmungen bei einer Zusammenkunft Erstellt durch Ombundsperson
7 Accountdaten Erstellt durch Verantwortlichen
8 Nutzungsdaten und Protokollierung von Veränderungen Durch Nutzung des Systems

 

Kategorien der betroffenen Personen

Nr. bei Datenkategorien

Kategorie von Betroffenen

1-8 Ombudsleute
1-8 Hinweisgebende Personen
1-5 Beschäftigte und Beschäftigungsgeber
1-5 Sonstige in der Meldung erwähnte Personen

 

Kategorien interner Empfänger

Nr. bei Datenkategorien Kategorie von Empfänger
1-8 Ombudsleute
1-5 Für die Folgemaßnahmen zu Beteiligende

 

Kategorien der externen Empfänger

Nr. bei Datenkategorien Empfänger Anlass der Offenlegung

Speicherort

1-5, 7,8 ... Auftragsverarbeitung (Wartung) ...

 

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Derzeit nicht vorgesehen

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Nr. bei Datenkategorien Löschfrist
1-4 drei Jahre nach Abschluss des Verfahrens
5 Nach Anfertigung und Freigabe des Protokolls
6

Mit verblassen der Erinnerung, Anstelle der Löschung tritt das Vertraulichkeitsgebot

7 Mit Wegfall der Erforderlichkeit
8 Mit Wegfall der Erforderlichkeit

 

Das Archivrecht bleibt von den Löschfristen unberührt.

Betroffenenrechte

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu sofern Sie diese nicht missbräuchlich, offensichtlich unbegründet oder exzessiv geltend machen:

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
  • Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
  • Liegt eine internationale Übermittlung von personenbezogen Daten ohne Grundlage eines Angemessenheitsbeschlusses der EU-Kommission vor, haben Sie das Recht eine Kopien der vertraglichen Garantien auf Anfrage bei uns erhalten.
  • Soweit die Verarbeitung auf Grundlage einer Einwilligung erfolgt, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.
  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München. Neben dem Beschwerderecht können Sie auch einen gerichtlichen Rechtsbehelf einlegen.

Bereitstellungspflicht

Wir dürfen im Rahmen der Pflicht zur Einrichtung interner Meldestellen gemäß § 12 HinSchG personebezogene Daten im Rahmen der Meldung und der Folgemaßnahmen verarbeiten.

Gesetzliche Garantien

Im Abschnitt 4 HinSchG wird u.a. ein eingesetzlicher Schutz für hinweisgebene Personen und weitere geschützte Personen durch ein Verbot von Repressalien und Schadensersatzpflichten geschaffen.

Erklärung zur Barrierefreiheit des Hinweisgebersystems von DPMS

Wir sind bemüht, unserer Hinweisgebersystem im Einklang mit der Bayerische Digitalverordnung (BayDiV) barrierefrei zugänglich zu machen.

Diese Erklärung zur Barrierefreiheit gilt für das das Hinweisgebersystem.

Stand der Vereinbarkeit mit den Anforderungen

Die Lösung ist wegen der folgenden Ausnahmen teilweise mit § 9 BayDiV vereinbar.

Nicht barrierefreie Inhalte

Die nachstehend aufgeführten Inhalte sind aus folgenden Gründen nicht barrierefrei:

  • Unverhältnismäßige Belastung

Welche Inhalte nicht barrierefrei sind wird derzeit noch getestet.

Erstellung dieser Erklärung zur Barrierefreiheit

Diese Erklärung wurde zum 2. Juli 2023 erstellt mittels Selbstbewertung.

Die Erklärung wurde zuletzt im Juni 2024 überprüft.

Feedback und Kontaktangaben

Etwaige Mängel in Bezug auf die Einhaltung der Barrierefreiheitsanforderungen können Sie uns mitteilen unter …

Zuständig für die barrierefreie Zugänglichkeit und die Bearbeitung der im Rahmen des Feedback-Mechanismus eingehenden Mitteilungen ist:

Durchsetzungsverfahren

Im Rahmen eines Durchsetzungsverfahrens haben Sie die Möglichkeit, bei der Durchsetzungsstelle online einen Antrag auf Prüfung der Einhaltung der Anforderungen an die Barrierefreiheit zu stellen.

Kontaktdaten der Durchsetzungsstelle

Landesamt für Digitalisierung, Breitband und Vermessung
IT-Dienstleistungszentrum des Freistaats Bayern
Durchsetzungs- und Überwachungsstelle für barrierefreie Informationstechnik
St.-Martin-Straße 47
81541 München

E-Mail: bitv@bayern.de
Internet: www.ldbv.bayern.de/digitalisierung/bitv.html

Weitere Angaben

Die Ombudsperson ist eine Umschreibung für die Personen, die für die interne Meldestelle deren Aufgaben aus dem HinSchG ausführt.

Nach § 15 HinSchG muss die die Ombudsperson

  • unabhängig,
  • frei von Interessenkonflikten  und
  • fachkundig sein.

Nach dem Erwägungsgrund 56 der dem HinSchG zu Grunde liegenden Richtlinie  EU 2019/1937 sollen für kleinere Organisationen (bezieht sich wahrscheinlich auf Unternehmen bis 250 Beschäftigte) folgende Personen in Frage kommen:

  • Leiter der Compliance- oder Personalabteilung
  • Integritätsbeauftragter
  • Rechts- oder Datenschutzbeauftragter,
  • Finanzvorstand
  • Auditverantwortlicher
  • Vorstandsmitglieder.

Im Hinblick auf die gesetzlichen Anforderungen scheinen nicht immer bei der genannten Personen erfüllt sind. Zudem ist auch Fachrecht etwa Art. 38 Abs. 6 DSGVO zu beachten.

Aus Sicht der Stabsstelle wären insbesondere geeignet:

  • Person ohne Leitungsaufgabe aus dem Rechtsamt
  • Datenschutzbeauftragte, wenn es eine Stellvertretung gibt
  • Innenrevision
  • vorhandene Ombudspersonen

In folgenden Konstellationen hat der deutsche Gesetzgeber von Einwilligungen oder Zustimmung gesprochen

  • § 9 Ausnahmen vom Vertraulichkeitsgebot
  • § 11 Tonaufzeichungen oder Niederschrift (Wortprotokoll) von Meldung oder Zusammenkunft
  • § 16 Bild und Tonübertagung bei einer Zusammenkunft

§ 9 Abs. 3 HinSchG verweist für die Freiwilligkeit auf § 26 Abs. 2 BDSG und dessen besonderen Anforderungen an eine datenschutzrechtliche Einwilligungen im Beschäftigtendatenschutz.

Die Richtlinie selbst spricht nicht von Einwilligung sondern nur von einer Zustimmung.

  • Art. 16 Vertraulichkeitsgebot
  • Art. 18 Tonaufzeichungen oder Niederschriften (Wortprotokolle) der Meldung und der Zusammenkunft

Im Hinblick auf das Recht am eigenen Wort und am eigenen Bild ist jedenfalls zivilrechtlich und im Hinblick auf das Strafrecht ein Einverständnis erforderlich.

Da jedoch die Richtlinie explizit nicht von einer Einwilligung spricht im Hinblick auf Sicherstellung der Datenverarbeitung mehr dafür nicht von einer datenschutzrechtlichen Einwilligung auszugehen. Der jeweilige Teilprozess ist aber durch eine Abfrage des Einverständnisses abzusichern und die Betroffenen sollten den Weg freiwillig wählen.


Anmeldung zum bayernweiten Hinweisgebersystem für Hochschulen

Anmeldung zum bayernweiten Hinweisgebersystem für Hochschulen
Auftragsverarbeitung

Auftragsverarbeiter ist die Universität Würzburg, soweit personenbezogene Daten im Auftrag verarbeitet werden.

Der Dienst wird von der Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen betreut.

Die Auftragsverarbeitung wird gemäß Art. 38 BayDiG geschlossen.

Gegenstand der Verarbeitung: Betrieb einer Hinweisgeberplattform

Dauer der Verarbeitung: Für die Dauer der Dienstbereitstellung

Art und Zweck der Verarbeitung: Erfüllung der gesetzlichen Pflichten aus dem Hinweisgeberschutzgesetz

Art der personenbezogenen Daten: Inhalte, der Meldung, Dokumentation der Meldung, Wortprotokoll zur (fern-)mündlichen Meldung, Inhaltsprotokoll zur (fern-)mündlichen Meldung, Tonaufzeichnung der Meldung oder Zusammenkunft, Accountdaten, Nutzungsdaten und Protokollierung von Veränderungen

Kategorien betroffener Personen: Ombudsleute, hinweisgebende Personen, Beschäftigte und Beschäftigungsgeber, sonstige in Meldungen erwähnte Personen,

Genehmigte Unterauftragsverarbeiter sind LegalInnovate Technologies GmbH,
Issumer Tor 45, 47608 Geldern, und ihre Unterauftragsverarbeiter.
Nutzungsbedingungen

Die Nutzung der Lösung unterliegt den Bedingungen des Herstellers.
https://www.datenschutz-management.software/wp-content/uploads/terms_current.pdf

Rechtliche Grundlagen für die Nutzung des Dienstes sind die Benutzungsordnung Informationsverarbeitungssysteme der Universität und deren Benutzungsordnung für das Hochschulnetz.

https://www.rz.uni-wuerzburg.de/fileadmin/42010000/dokumente/01_Benutzungsordnung_Informationsverarbeitungssysteme.pdf

https://www.rz.uni-wuerzburg.de/fileadmin/42010000/dokumente/02_Benutzungsordnung_Hochschulnetz.pdf