Information nach Art. 13, 14 EU- Datenschutz-Grundverordnung (DSGVO)
Das Universitätsklinikum Tübingen (kurz UKT) verarbeitet zur Erfüllung der Bearbeitung Ihrer Beschwerde im Rahmen des Lieferkettensorgfaltspflichtengesetzes (LkSG) personenbezogene Daten von Ihnen.
Im Folgenden informieren wir Sie gem. Art. 13 DSGVO über die Verarbeitung Ihrer Daten.
1. Verantwortlicher im Sinne der DSGVO:
Universitätsklinikum Tübingen, AdöR
Geissweg 3
72076 Tübingen
2. Kontaktdaten des Datenschutzbeauftragten
Universitätsklinikum Tübingen, AdöR
Datenschutzbeauftragter
Geissweg 3
72076 Tübingen
07071 29-87667
dsb@med.uni-tuebingen.de
3. Zwecke, für die die personenbezogenen Daten verarbeitet werden
Zweck der Datenverarbeitung im Rahmen des Beschwerdeverfahrens zum Lieferkettensorgfaltspflichtengesetz (LkSG) ist die Entgegennahme und Aufklärung von schwerwiegenden Verdachtsfällen über Regelverstöße beim UKT, insbesondere über Verletzungen von Menschenrechten oder umweltbezogenen Pflichten nach dem LkSG. Falls Sie Hinweisgeber sind, haben wir Ihre Daten direkt von Ihnen erhalten. Falls Sie Beschuldigter sind, haben wir Ihre Daten im Rahmen einer Meldung erhalten.
4. Rechtsgrundlagen für die Datenverarbeitung
Soweit die Verarbeitung Ihrer personenbezogenen Daten auf Ihrer Einwilligung beruht, ist Art. 6 Abs. 1 lit.a DSGVO die Rechtsgrundlage der Verarbeitung. Sie können Ihre Einwilligung jederzeit ohne die Angabe von Gründen und ohne dass Ihnen heraus Nachteile entstehen gegenüber dem Verantwortlichen widerrufen. Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1c DS-GVO als Rechtsgrundlage.
5. Art der Daten
Im Rahmen des Beschwerdeverfahren zum Lieferkettensorgfaltspflichtengesetz (LkSG)s können folgende personenbezogene Daten folgender betroffener Personen verarbeitet werden:
- Meldende Person (Name, Abteilung, Funktion, Kontaktdaten, Umstände der Beobachtung))
- Gemeldete Person (Name, Abteilung, Funktion, Kontaktdaten, angebliche Verhaltensverstöße, Sachverhalte)
6. Empfänger der personenbezogenen Daten
Ihre personenbezogenen Daten werden grundsätzlich nur der Compliance Beauftragten zugänglich gemacht, die diese Daten benötigt um den Verarbeitungszweck gewährleisten zu können. Die Identität der in Ziffer 4 genannten Personen darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden. Sofern es für die Sachverhaltsaufklärung erforderlich sein sollte, können vereinzelt und nur bei Bedarf Personen vertraulich Zugang zu diesen Informationen erhalten. Das UKT wendet das „Need-to-Know“ Prinzip an und beachtet den Grundsatz der Datenminimierung.
Die Weitergabe personenbezogener Daten der gemeldeten Person an Dritte (z.B. Polizeibehörden, Staatsanwaltschaft) wird durch Art. 6 Abs. 1 lit.c DSGVO i.V.m. Art. 88 DSGVO i.V.m. §10 HinSchG legitimiert:
a. in Strafverfahren auf Verlangen der Strafverfolgungsbehörden,
b. aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren,
c. aufgrund einer gerichtlichen Entscheidung oder
d. von der Bundesanstalt für Finanzdienstleistungsaufsicht als externe Meldestelle nach§ 21 an die zuständigen Fachabteilungen.
Über die Fälle des Absatzes 2 hinaus dürfen Informationen über die Identität der hinweisgebenden Person oder über sonstige Umstände, die Ruckschlusse auf die Identität dieser Person erlauben, weitergegeben werden, wenn
a. die Weitergabe für Folgemaßnahmen erforderlich ist und
b. die hinweisgebende Person zuvor in die Weitergabe eingewilligt hat.
Die Einwilligung nach Satz 1 Nummer 2 muss für jede einzelne Weitergabe von Informationen über die Identität gesondert und in Textform vorliegen
7. Dauer der Datenspeicherung
Personenbezogene Daten werden für die Dauer aufbewahrt, die zur Aufklärung und abschließenden Beurteilung des Hinweises notwendig ist. Nach Abschluss der Untersuchungen werden die personenbezogenen Daten innerhalb einer angemessenen Löschfrist von regelmäßig 2 Jahren nach Abschluss der Untersuchung und entsprechend der gesetzlichen Vorgaben gelöscht. Im Falle der Einleitung von gerichtlichen und/oder disziplinarischen Verfahren kann eine Aufbewahrung bis zum Verfahrensabschluss bzw. bis zum Ablauf von Rechtsbehelfsfristen erfolgen. Personenbezogene Daten im Zusammenhang mit grundlos abgegebenen Hinweismeldungen werden unverzüglich gelöscht.
8. Technische und Organisatorische Maßnahmen
Das UKT setzt technische und organisatorische Maßnahmen ein um zu gewährleisten, dass die durch das Beschwerdeverfahren zum Lieferkettensorgfaltspflichtengesetz (LkSG) kommunizieren personenbezogene Daten bei der Erhebung, Verarbeitung und Nutzung vor unbefugter Nutzung geschützt ist.
Sollte der Hinweis über E-Mail eingehen, ist das UKT Rechenzentrum der Verarbeitungsort. Das UKT unterhält ein IT-Sicherheitskonzept. Es besteht ein Berechtigungskonzept für das Funktionspostfach compliance@med.uni-tuebingen.de. Ausschließlich berechtigt zum Empfang von E-Mails an dieses Postfach ist Tanja Jacob.
Datenschutzrechte
Sie haben das Rechts auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung sowie ein Widerspruchsrechts gegen die Verarbeitung sowie das Rechts auf Datenübertragbarkeit. Sie haben ein Beschwerderecht bei einer Aufsichtsbehörde.
Die für das UKT zuständige Aufsichtsbehörde ist: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Postfach 10 29 32, 70025 Stuttgart, E-Mail: poststelle@lfdi.bwl.