Information zur gemeinsamen Verantwortlichkeit nach § 28 Kirchliches Datenschutzgesetz (KDG) in Sachen Hinweisgebersystem
Mit den nachstehenden Informationen stellen wir Ihnen die wesentlichen Inhalte zur Verfügung, die die interne Meldestelle beim Rechnungshof für die Erzdiözese Freiburg („interne Meldestelle“) und der Caritasverband für die Erzdiözese Freiburg und die ihm angeschlossenen Verbände, Rechtsträger, Dienste und Einrichtungen (vgl. § 3 Statut des Rechnungshofs), (einzeln: „Beteiligte“, gemeinsam: „Gesamtverantwortliche“) im Zuge einer gemeinsamen Verantwortung gemäß § 28 KDG für die Verarbeitung von personenbezogenen Daten im Rahmen des Hinweisgebersystems, § 10 HinSchG festgelegt haben.
Festlegung datenschutzrechtlicher Verantwortlichkeit
Die Gesamtverantwortlichen betreiben das Hinweisgebersystem als gemeinsam für die Verarbeitung Verantwortliche gemäß § 28 KDG. Die gemeinsame Verantwortlichkeit gilt in sachlicher Hinsicht für den gesamten Betrieb und die Organisation des Hinweisgebersystems. Dies betrifft insbesondere die interne Verwaltung des Hinweisgebersystems und die Durchführung von konkreten Hinweisgeberverfahren. Die Beteiligten greifen hierfür auf eine einheitliche Meldeplattform und einheitliche IT-Systeme zurück.
Die Expertise für die Bearbeitung von Meldungen liegt konzentriert bei der internen Meldestelle, die über einen technischen Meldekanal verfügt:
Das Hinweisgebersystem wird durch ein darauf spezialisiertes Unternehmen, der otris software AG, Königswall 21, 44137 Dortmund in Deutschland, im Auftrag des Rechnungshofs für die Erzdiözese Freiburg, betrieben.
Die Verantwortung und die Verpflichtung zum Abstellen des Regelverstoßes liegt bei den Beteiligten.
1.Prozesse und Strukturen
Die interne Meldestelle stellt die für die effektive Durchführung von Hinweisgeberverfahren notwendige technische und organisatorische Infrastruktur zu Verfügung. Dies umfasst unter anderem die Bereitstellung interner Meldekanäle. Die interne Meldestelle ist für die entsprechenden Strukturen und Prozesse zentral verantwortlich.
2. Datenaustausch in Bezug auf eingehende Hinweise
Die interne Meldestelle leitet den Hinweis an die zuständige Stelle der Beteiligten mit der Bitte um Rückmeldung/ Stellungnahme und weitere Veranlassung weiter. Die weiteren Untersuchungen und Maßnahmen werden von den Beteiligten veranlasst. Die Beteiligten berichten innerhalb von 3 Monaten nach Eingang der Meldung an die interne Meldestelle über die geplanten sowie die bereits ergriffenen Folgemaßnahmen sowie die Gründe für diese Maßnahmen.
3. Abwicklung von konkreten Hinweisgeberverfahren
Die interne Meldestelle bestätigt die eingegangene Meldung, § 17 HinSchG. Die Eingangsmeldung erfolgt bei Meldungen über die Meldeplattform automatisch. Die interne Meldestelle prüft die Meldung und ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen. Die interne Meldestelle ergreift/ veranlasst angemessene Folgemaßnahmen entsprechend Ziff. 2.
Die Beteiligten werden die einzuleitenden internen Untersuchungen und Maßnahmen siehe Ziff. 2 eigenständig durchführen. Sie sind auch für die damit zusammenhängende Verarbeitung, Aufbewahrung, Löschung und Weitergabe von Daten verantwortlich
4. Zusammenarbeit im Rahmen der Sachverhaltsaufklärung
Die interne Meldestelle und die Beteiligten werden im Rahmen von Hinweisgeberverfahren gegebenenfalls zusammenarbeiten, um eine effektive Aufklärung der mitgeteilten Verdachtsmomente sicherzustellen. Die Zusammenarbeit erfordert gegebenenfalls einen gegenseitigen Austausch von personenbezogenen Daten.
5. Datenaustausch nach Abschluss der Sachverhaltsaufklärung
Die interne Meldestelle und die Beteiligten werden sich nach Abschluss der Sachverhaltsaufklärung in Bezug auf ermittelte Erkenntnisse austauschen und gegebenenfalls zu den zu ergreifenden Folgemaßnahmen abstimmen.
6. Dokumentation der Meldungen, § 11 HinSchG
Die interne Meldestelle ist verantwortlich für die Dokumentation aller eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots.
7. Informationspflichten
Die interne Meldestelle informiert die betroffenen Personen über die sie betreffenden Datenverarbeitungen in einer Datenschutzerklärung zum Hinweisgebersystem.
8. Datenschutzvorfälle, Kommunikation mit Aufsichtsbehörden
Der Datenschutzbeauftragte der Erzdiözese Freiburg ist ebenfalls für die Prüfung und Bearbeitung im Fall von Verletzungen des Schutzes personenbezogener Daten oder einer sicherheitsrelevanten Störung bei der gemeinsamen Datenverarbeitung einschließlich der Erfüllung der dadurch eventuell ausgelösten Meldepflichten gegenüber der zuständigen Aufsichtsbehörde bzw. Benachrichtigungspflichten gegenüber den betroffenen Personen zuständig. Die Beteiligten sind verpflichtet, Vorkehrungen zu treffen, die sicherstellen, dass bei Bekanntwerden eines Datenschutzvorfalls innerhalb des Einflussbereiches des jeweiligen Beteiligten unverzüglich a) alle Maßnahmen ergriffen werden, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen erforderlich sind und b) der Datenschutzbeauftragte der Erzdiözese Freiburg und die jeweiligen Datenschutzbeauftragten der Beteiligten über den Datenschutzvorfall informiert werden. Die Gesamtverantwortlichen sind darüber hinaus verpflichtet, sich unverzüglich und vollständig gegenseitig zu informieren, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
9. Wahrnehmung sonstiger wesentlicher Pflichten nach dem KDG
Die Gesamtverantwortlichen sind verpflichtet, in ihrem Zuständigkeits- und Einflussbereich jeweils die Einhaltung der gesetzlichen Bestimmungen, insbesondere der Rechtmäßigkeit der durch sie im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen, sicherzustellen. Insbesondere hat jeder Beteiligte in seinem jeweiligen Zuständigkeits- und Einflussbereich
- dafür Sorge zu tragen, dass nur solche personenbezogenen Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind,
- sicherzustellen, dass sein Personal die Vertraulichkeit der Daten wahrt und entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen wird,
- die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen zu implementieren, regelmäßig zu prüfen und stets auf dem aktuell technischen Stand der Technik zu halten,
- die unter die gemeinsame Verantwortlichkeit fallenden Verarbeitungsvorgänge in sein Verarbeitungsverzeichnis aufzunehmen und
- Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung im Rahmen der Rechenschaftspflicht dienen, ordnungsgemäß aufzubewahren.
10. Zentrale Anlaufstelle - Betroffenenrechte
Als zentrale Anlaufstelle für alle Anliegen und Fragen im Zusammenhang mit der beschriebenen gemeinsamen Datenverarbeitung und zur Wahrnehmung Ihrer Betroffenenrechte in diesem Zusammenhang fungiert die interne Meldestelle:
Erzdiözese Freiburg
Rechnungshof
Interne Meldestelle/ Ombudsperson
Kartäuserstr. 47
79102 Freiburg
Tel. 0761/2188-577
Der Datenschutzbeauftragte ist erreichbar unter
Postanschrift: Erzdiözese Freiburg, Erzbischöfliches Ordinariat, Referat Datenschutz, Schoferstr. 2, 79098 Freiburg
Das anonyme Hinweisgebersystem finden Sie unter: www.dicvfreiburg.caritas.de/hinweisgeber
Hinweis: Die betroffene Person kann sich immer auch an die Beteiligten wenden. Ihr dürfen hierdurch keine Nachteile für die Wahrnehmung ihrer Rechtspositionen entstehen.
Hinweisgeberportal Datenschutzerklärung zum Download (PDF, 142 KB)
Hinweisgeberportal Anlage Datenschutz zum Download (PDF, 61 KB)