Datenschutz

I. Einleitung und Begriffe 


1. ALLGEMEIN
Mit dem Betrieb unseres Hinweisgebersystems mit der URL https://kjsh.hinweisseite.de (im Folgenden „Webseite“ genannt) verarbeiten wir personenbezogene Daten. Diese werden von uns vertraulich behandelt und nach den geltenden Gesetzen – insbesondere der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) – verarbeitet. Mit diesen Datenschutzbestimmungen wollen wir Sie darüber informieren, welche personenbezogenen Daten wir von Ihnen erheben, zu welchen Zwecken und auf welcher Rechtsgrundlage wir sie verwenden und gegebenenfalls wem wir sie offenlegen. Darüber hinaus werden wir Ihnen erklären, welche Rechte Ihnen zur Wahrung und Durchsetzung Ihres Datenschutzes zustehen.

2. BEGRIFFE
Unsere Datenschutzbestimmungen enthalten Fachbegriffe, die in der DSGVO und dem BDSG stehen. Zu Ihrem besseren Verständnis wollen wir diese Begriffe in einfachen Worten vorab erklären:

2.1 Personenbezogene Daten
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Angaben einer identifizierten Person können z. B. der Name oder die E-Mail-Adresse sein. Personenbezogen sind aber auch Daten, bei denen die Identität nicht unmittelbar ersichtlich ist, sich aber ermitteln lässt, indem man eigene oder fremde Informationen kombiniert und so erfährt um wen es sich handelt. Eine Person wird z. B. über die Angabe Ihrer Anschrift oder Bankverbindung, Ihres Geburtsdatums oder Benutzernamens, Ihrer IP-Adressen und/oder Standortdaten identifizierbar. Relevant sind hier alle Informationen, die in irgendeiner Weise einen Rückschluss auf eine Person zulassen.

2.2 Verarbeitung

Unter einer „Verarbeitung“ versteht Art. 4 Nr. 2 DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten. Dies betrifft insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

II. Verantwortlicher und Datenschutzbeauftragter 

3. VERANTWORTLICHER
Verantwortlich für die Datenverarbeitung ist:

Stiftung: KJSH-Stiftung für Kinder-, Jugend- und Soziale Hilfen („KJSH“/ „Wir“)
Gesetzlicher Vertreter:  Frederik Näher, Norbert Wollner (Vorstand)
Anschrift:  Hammer Steindamm 3-7, 22089 Hamburg
Telefon:  030/ 6139087 26
Fax: 030/ 613 907 25
E-Mail: info@kjsh.org


Das digitale Hinweisgebersystem steht für alle Unternehmen der KJSH-Gruppe bereit. Gem. § 14 Abs. 2 S. 1 HinSchG ist es Unternehmen mit in der Regel 50 bis 249 Beschäftigten erlaubt, mit weiteren privaten Unternehmen ein Hinweisgebersystem als eine gemeinsame Stelle einzurichten und zu unterhalten. Die Unternehmen der KJSH-Gruppe verarbeiten in diesem Zuge gemeinsam personenbezogene Daten und sind daher gemäß Art. 26 DSGVO gemeinsam für die Verarbeitung verantwortlich. Ein Vertrag über eine gemeinsame Verantwortlichkeit wurde geschlossen. Weitere Informationen zur gemeinsamen Verantwortlichkeit finden Sie unten in  Abschnitt V.

4. DATENSCHUTZBEAUFTRAGTER
Wir haben für unser Verein einen externen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter:

Name: Arne Platzbecker
Anschrift: HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg
Telefon: 040/ 46008966
Fax: 040/ 46008977
E-Mail: datenschutz@habewi.de


III. Verarbeitungsrahmen 

5. VERARBEITUNGSRAHMEN: HINWEISGEBERSYSTEM
Im Rahmen des Hinweisgebersystems verarbeiten wir die nachfolgend im Abschnitt IV. im Einzelnen aufgeführten personenbezogenen Daten von Ihnen. Wir verarbeiten nur Daten von Ihnen, die Sie aktiv auf des Hinweisgebersystems angeben (z.B. durch das Ausfüllen von Formularen) oder die Sie bei der Nutzung unseres Angebotes automatisch zur Verfügung stellen.

Ihre Daten werden ausschließlich von uns verarbeitet und grundsätzlich nicht an Dritte verkauft, verliehen oder weitergegeben. Sofern wir uns bei der Verarbeitung Ihrer personenbezogenen Daten der Hilfe externer Dienstleister bedienen, erfolgt dies im Rahmen einer sogenannten Auftragsverarbeitung. Zum Betrieb unseres digitalen Hinweisgebersystems setzen wir für das Hosting, sowie für die Betreuung als Ombudspersonen den Dienstleister HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg, www.hinweisseite.de ein. Dieser nutzt als Subdienstleister eine Softwarelösung der Vispato GmbH, Hansaallee 299, 40549 Düsseldorf, die im ISO 27001 zertifizierten Rechenzentrum der DATEV eG gehosted und auf einem verschlüsselten Cloud-Server von Hetzner gesichert wird. 
 
Eine Datenübermittlung in Drittstaaten findet durch uns grundsätzlich nicht statt und ist auch nicht geplant.

IV. Die Verarbeitung im Einzelnen 

6. DIGITALES HINWEISGEBERSYSTEM
6.1 Beschreibung der Verarbeitung

Zur Meldung von Missständen und Verstößen in unserer Stiftung haben wir ein digitales Ende-zu-Ende verschlüsselte Hinweisgebersystem als internen Meldekanal i.S.v. §§ 12 Abs. 1, 16 HinSchG bereitgestellt, das unter der URL https://KJSH.hinweisseite.de erreichbar ist. In diesem digitalen Meldesystem haben Mitarbeiter:innen die Möglichkeit, entweder anonym oder vertraulich (in letzterem Fall unter Angabe eines Namens und einer E-Mail-Adresse) Meldungen in Form von Text- oder Sprachnachrichten einzureichen. Zudem können weitere Unterlagen zu einer Meldung hochgeladen und übermittelt werden. Das Hinweisgebersystem ist so ausgestaltet, dass es auch nach einer Meldung unter Gewährleistung der Anonymität bzw. Vertraulichkeit eine Kommunikation mit den Hinweisgeber:innen ermöglicht.
Verarbeitet werden im Zusammenhang mit einer Meldung ggf. personenbezogene Daten des/der Hinweisgeber:innen, insbesondere Daten aus den Inhalten der Meldung und bei einer vertraulichen Meldung Name und E-Mail-Adresse. Darüber hinaus werden über die Inhalte einer Meldung ggf. Daten von Personen verarbeitet, die Gegenstand einer Meldung sind (z.B. Mitarbeiter:innen; Leiharbeitnehmer:innen, Praktikant:innen, Geschäftspartner, Kund:innen) oder sonstigen in der Meldung genannten Personen.
Zur Wahrung der Vertraulichkeit und Integrität ist das Hinweisgebersystem nicht in unsere Unternehmens-IT integriert, sondern wird in unserem Auftrag von unserem Compliance- und Datenschutz-Dienstleister HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg, www.hinweisseite.de als Ombudsperson betrieben und betreut. Die Ombudsperson nimmt die eingehenden Hinweise entgegen, leitet sie an die Geschäftsführung unseres Unternehmens bzw. die zur Vertraulichkeit verpflichtete Ansprechperson unseres Unternehmens weiter und führt die Kommunikation mit dem/der Hinweisgeber:in.
Die mit und in einer Meldung übermittelten Daten werden ausschließlich zum Zwecke der Bearbeitung, Beantwortung und Dokumentation des Hinweises verwendet. Das beinhaltet die Nutzung zur Aufklärung von Verstößen und zum Ergreifen von Folgemaßnahmen. Wir weisen darauf hin, dass das Vertraulichkeitsgebot in § 8 HinschG nicht uneingeschränkt gewahrt wird. Es gelten die gesetzlichen Ausnahmen aus § 9 HinSchG.
 
6.2 Zweck

Mit der Bereitstellung und dem Betrieb eines digitalen Hinweisgebersystems wollen wir Mitarbeiter:innen eine bequeme und sichere Möglichkeit anbieten, Missstände und Verstöße zu melden. Gleichzeitig dient das Hinweisgebersystem der Erfüllung der gesetzlichen Pflichten aus dem HinschG.

6.3 Rechtsgrundlage

Die Verarbeitung ist gem. Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung der rechtlichen Verpflichtungen aus dem Hinweisgeberschutzgesetz (HinSchG) erforderlich. Insbesondere sind Meldestellen gem. § 10 S. 1 HinschG befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist.

6.4 Speicherdauer

Die Daten werden von uns gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für eingegangene Hinweise und deren Bearbeitung gilt gem. § 11 HinSchG eine gesetzliche Dokumentations- und Aufbewahrungspflicht. Die Dokumentation wird gem. § 11 Abs. 5 HinschG drei Jahre nach Abschluss des Verfahrens gelöscht. Sie kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

6.4 Empfänger

Für den Betrieb und die Betreuung des digitalen Hinweisgebersystems haben wir den Dienstleister HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg, www.hinweisseite.de eingebunden. In der Rolle als Ombudsperson wird er die Meldungen an unsere Geschäftsführung und/oder eine im Hinblick auf den Hinweisgeberschutz zur Vertraulichkeit verpflichtete Ansprechperson zur weiteren Bearbeitung weiterleiten. Es erfolgt zudem ggf. eine Weitergabe von Daten an weitere Empfänger (z.B. Strafverfolgungs- oder sonstige zuständige Behörden) ggf. unter Aufhebung der Vertraulichkeit gem. § 9 HinSchG – und zwar unter anderem im Rahmen der Aufklärungs- und Folgemaßnahmen.

V. Informationen zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 2 S. 2 DSGVO

7. WAS IST DER GRUND FÜR DIE GEMEINSAME VERANTWORTLICHKEIT?
Die KJSH-Stiftung für Kinder-, Jugend- und Soziale Hilfen (nachfolgend „KJSH“ genannt) betreibt mit den in Ziffer 7.2 aufgeführten Unternehmen bzw. Vereinen der KJSH (nachfolgend „KJSH-Organisationen“ genannt) in Erfüllung der rechtlichen Verpflichtungen aus dem Hinweisgeberschutzgesetz (HinSchG) unter der URL https://kjsh.hinweisseite.de gemeinsam das IT-gestützte Hinweisgebersystem (nachfolgend „Hinweisgebersystem“ genannt). Gem. § 14 Abs. 2 S. 1 HinSchG ist es Unternehmen mit in der Regel 50 bis 249 Beschäftigten erlaubt, mit weiteren privaten Unternehmen ein Hinweisgebersystem als eine gemeinsame Stelle einzurichten und zu unterhalten.
KJSH und die KJSH-Organisationen verarbeiten in diesem Zuge gemeinsam personenbezogene Daten und sind daher gemäß Art. 26 DSGVO gemeinsam für die Verarbeitung verantwortlich. KJSH ist im Rahmen der gemeinsamen Verantwortlichkeit für die Einrichtung, Betreuung und Administrierung des Hinweisgebersystems zuständig. Es hat zu diesem Zweck eine Vereinbarung mit dem Datenschutz- und Compliance Unternehmen HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg, www.hinweisseite.de geschlossen. Gegenstand dieser Vereinbarung ist die Bereitstellung und der Betrieb eines Hinweisgebersystems, über das Mitarbeiter:innen der KJSH-Gruppe vertrauensvoll Meldungen über Missstände bei KJSH und/oder in der jeweiligen KJSH- Organisation vornehmen können. Die HABEWI GmbH & Co. KG stellt KJSH für die KJSH-Gruppe ein Ende-zu-Ende verschlüsselte Hinweisgebersystem als Meldekanal i.S.v. §§ 12 Abs. 1, 16 HinSchG zur Verfügung und wird in der Rolle als Ombudsperson für alle Unternehmen der KJSH-Gruppe dort eingehende Hinweise entgegennehmen, an die betreffende KJSH- Organisation weiterleiten und die Kommunikation mit dem/der Hinweisgeber:in führen.
In alleiniger Verantwortung ergreifen KJSH und KJSH- Organisationen gem. § 14 Abs. 2 S. 2 HinSchG Maßnahmen, um sie betreffende gemeldete Verstöße abzustellen. Auch die Pflicht zur Rückmeldung an die hinweisgebende Person – die Weiterleitung erfolgt durch die Ombudsperson über das Hinweisgebersystem – verbleibt allein bei der jeweils betroffenen Partei.
KJSH und die KJSH-Organisationen haben gemeinsam die Reihenfolge der Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO).
 
8. WER BETREIBT DAS HINWEISGEBERSYSTEM IN GEMEINSAMER VERANTWORTLICHKEIT?
Das elektronische Hinweisgebersystem wird von den folgenden Unternehmen der KJSH-Gruppe in gemeinsamer Verantwortlichkeit betrieben:
  •  KJSH-Stiftung für Kinder-, Jugend- und Soziale Hilfen, Hammer Steindamm 3-7, 22089 Hamburg
  • KJSH e.V., Hammer Steindamm 3-7, 22089 Hamburg
  • S&S gemeinnützige GmbH, Hammer Steindamm 3-7, 22089 Hamburg
  • KOMPASS gGmbH, Rademacherstr. 11, 25832 Tönning
  • Pflegedienst Hennigsdorf GmbH, Brandenburgische Str. 15, 16761 Hennigsdorf
9. Für welche Prozessabschnitte besteht eine gemeinsame Verantwortlichkeit?
Die gemeinsame Verantwortlichkeit besteht hinsichtlich der folgenden Prozessabschnitte 1. und 2.:

1. Gemeinsame Verantwortlichkeit: Beschaffung des Hinweisgebersystems als SaaS-Lösung, Vertrag mit HABEWI GmbH & Co. KG zur Bereitstellung und zur Betreuung des Hinweisgebersystems für die KJSH-Gruppe als Ombudsperson
2. Gemeinsame Verantwortlichkeit: Einrichtung und Betrieb des Hinweisgebersystems
3a. Alleinige Verantwortlichkeit KJSH bei Hinweisen, die KJSH betreffen: Ombudsperson betreut und dokumentiert eingehende Meldungen, leitet diese an KJSH weiter und kommuniziert mit dem/der Hinweisgeber:in   
3b. Alleinige Verantwortlichkeit KJSH-Organisation bei Hinweisen, die KJSH-Organisation betreffen: Ombudsperson betreut und dokumentiert eingehende Meldungen, leitet diese an die betreffende KJSH-Organisation weiter und kommuniziert mit dem/der Hinweisgeber:in   
4a. Alleinige Verantwortlichkeit KJSH bei Hinweisen, die KJSH betreffen: KJSH ergreift Ermittlungs- und Folgemaßnahmen gem. § 18 HinSchG und formuliert Rückmeldung an Hinweisgeber:in, die Ombudsperson weiterleitet.
4b. Alleinige Verantwortlichkeit KJSH-Organisation bei Hinweisen, die KJSH-Organsisation betreffen: KJSH-Organisation ergreift Ermittlungs- und Folgemaßnahmen gem. § 18 HinSchG und formuliert Rückmeldung an Hinweisgeber:in, die Ombudsperson weiterleitet.

Für die übrigen Prozessabschnitte 3. und 4.  besteht keine gemeinsame Festlegung der Zwecke und Mittel der Datenverarbeitung besteht, sodass jede Partei entsprechend für diese Prozessabschnitte in eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO tätig ist.

10. WAS HABEN DIE PAREIEN VEREINBART?

Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit (Prozessabschnitte 1. und 2.) haben die Unternehmen der KJSH-Gruppe vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO. Die Zuständigkeiten für die Datenverarbeitung in den Prozessabschnitten der gemeinsamen Verantwortlichkeit (1. und 2.) liegt bei KJSH.
Die Zuständigkeit für die Erfüllung der Informationsplichten nach Art. 13 und 14 DSGVO für die Datenverarbeitung für das gesamte Hinweisgebersystem in allen Prozessabschnitten liegt bei KJSH. Den betroffenen Personen sind die erforderlichen Datenschutzinformationen unter https://kjsh.hinweisseite.de/datenschutz zur Verfügung zu stellen. KJSH-Organisation hat in Informationen an seine Mitarbeiter:innen bzgl. des Hinweisgeberschutzes und des Hinweisgebersystems auf diese Datenschutzinformationen hinzuweisen. 
Die Zuständigkeit für die Erfüllung der Betroffenenrechte nach Art. 15 bis 22 DSGVO für die Datenverarbeitung in den Prozessabschnitten der gemeinsamen Verantwortlichkeit (1. Und 2.) liegt bei KJSH, im Übrigen bei dem, die Meldung betreffenden Unternehmen/-Verein der KJSH-Gruppe (KJSH oder KJSH-Organisation). 

VI. Sicherheitsmaßnahmen 

11. Sicherheitsmaßnahmen
Um Ihre persönlichen Daten vor fremdem Zugriff zu schützen, haben wir unsere Webseite mit einem SSL- bzw. TLS-Zertifikat versehen. SSL steht für „Secure-Sockets-Layer“ und TLS für „Transport Layer Security“ und verschlüsselt die Kommunikation von Daten zwischen einer Webseite und dem Endgerät des Nutzers. Sie erkennen die aktive SSL- bzw. TLS-Verschlüsselung an einem kleinen Schloss-Logo, das ganz links in der Adresszeile des Browsers angezeigt wird. Das digitale Hinweisgebersystem ist zudem Ende-zu-Ende verschlüsselt. 

VII. Ihre Rechte 

12. Betroffenenrechte
Im Hinblick auf die oben beschriebene Datenverarbeitung durch unsere Stiftung stehen Ihnen die folgenden Betroffenenrechte zu:

12.1 Auskunft (Art. 15 DSGVO)

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, so haben sie unter den in Art. 15 DSGVO genannten Voraussetzungen ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO im einzelnen aufgeführten Informationen.

12.2 Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

12.3 Löschung (Art. 17 DSGVO)

Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im Einzelnen aufgeführten Gründe zutrifft, z. B. wenn Ihre Daten für die von uns verfolgten Zwecke nicht mehr benötigt werden.

12.4 Einschränkung der Datenverarbeitung (Art. 18 DSGVO)

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn Sie die Richtigkeit Ihrer personenbezogenen Daten bestreiten, wird die Datenverarbeitung für die Dauer eingeschränkt, die uns die Überprüfung der Richtigkeit Ihrer Daten ermöglicht.

12.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, unter den in Art. 20 DSGVO aufgeführten Voraussetzungen, die Herausgabe der Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen.

12.6 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, bei einer Verarbeitung, die auf einer Einwilligung beruht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf gilt ab dem Zeitpunkt seiner Geltendmachung. Er wirkt mit anderen Worten für die Zukunft. Die Verarbeitung wird durch den Widerruf der Einwilligung also nicht rückwirkend rechtswidrig.

12.7 Beschwerde (Art. 77 DSGVO)

Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Sie können dieses Recht bei einer Aufsichtsbehörde in dem EU-Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.

12.8 Verbot automatisierter Entscheidungen/Profiling (Art. 22 DSGVO)

Entscheidungen, die für Sie rechtliche Folge nach sich ziehen oder Sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten – einschließlich eines Profiling – gestützt werden. Wir teilen Ihnen mit, dass wir im Hinblick auf Ihre personenbezogenen Daten keine automatisierte Entscheidungsfindung einschließlich Profiling einsetzen.

12.9 Widerspruchsrecht (Art. 21 DSGVO)

Wenn wir personenbezogene Daten von Ihnen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (zur Wahrung überwiegender berechtigten Interessen) verarbeiten, haben Sie das Recht, unter den in Art. 21 DSGVO aufgeführten Voraussetzungen dagegen Widerspruch einzulegen. Dies gilt jedoch nur, soweit Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Nach einem Widerspruch verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen. Wir müssen die Verarbeitung ebenfalls nicht einstellen, wenn sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. In jedem Fall – auch unabhängig von einer besonderen Situation – haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten für Direktwerbung einzulegen.

Stand: November 2023