Datenschutzerklärung gemäß Art. 13 und 14 Datenschutz- Grundverordnung (DSGVO) für das Beschwerdemanagement-Tool

I. Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Die Länderbahn GmbH DLB
Bahnhofsplatz 1
94234 Viechtach
Telefon: 089 5488897-25
E-Mail: service@netinera.de

Der betriebliche Datenschutzbeauftragte ist:

Christian Volkmer
Projekt 29 GmbH & Co. KG
Ostengasse 14
93047 Regensburg
E-Mail: anfragen@projekt29.de
Tel.: 0941-2986930

II. Datenverarbeitung im Zusammenhang mit der Bereitstellung des Beschwerdemanagement-Tools

1. Umfang der Datenverarbeitung

    Bei jedem Aufruf des Beschwerdemanagement-Tools erfasst unser System automatisiert folgende Daten und Informationen vom Computersystem des aufrufenden Rechners:

    1. Teilanonymisierte IP-Adresse
    2. Gerät
    3. Betriebssystem
    4. Internetbrowser
    5. Verweis- und Ausstiegsseiten
    6. Datum-/Zeitstempel

    Die Daten werden ebenfalls in den Logfiles unseres Systems auf Servern in der EU gespeichert, um die Funktionsfähigkeit des Tools und die Sicherheit unserer informationstechnischen Systeme sicherzustellen. Eine Auswertung der Daten oder eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten der Nutzenden finden in diesem Zusammenhang nicht statt.

    Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens 14 Tagen der Fall.

    Teilanonymisierung bedeutet, dass die IP-Adressen beim Aufruf der Seite zwar erhoben werden, jedoch lediglich auf Ebene des Proxy-Servers zur Gewährleistung der Systemsicherheit und eine Zuordnung zu einzelnen Nutzern des Beschwerdemanagement-Tools des Verantwortlichen nicht erfolgt. Die IP-Adressen werden lediglich für die oben angegebene Dauer in den Systemen von osapiens gespeichert und nicht an den Verantwortlichen weitergegeben.

    Eine Zuordnung dieser IP-Adressen zu konkreten Nutzern ist auch osapiens nicht ohne weiteres möglich und wird nur dann vorgenommen, wenn eine missbräuchliche Nutzung des Beschwerdemanagement-Tools, etwa in Form eines Cyber-Angriffs, im Raum steht und nachvollzogen werden muss, von welcher IP-Adresse diese missbräuchliche Nutzung ausging.

    2. Rechtsgrundlage und Zweck der Datenverarbeitung

    Rechtsgrundlage für die Erhebung der Daten und ihre vorübergehende Speicherung in Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Der Zugriff auf die o.g. Informationen durch das System ist notwendig, um eine Auslieferung des Tools an die Rechner der Nutzenden zu ermöglichen. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

    3. Widerspruchs- und Beseitigungsmöglichkeit

    Die Erfassung der Daten zur Bereitstellung des Tools und die Speicherung der Daten in Logfiles ist für dessen Betrieb zwingend erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit.

    4. Verwendung von Cookies

    Unser Tool verwendet ausschließlich technisch notwendige Cookies, um das Tool nutzbar zu machen, da es ohne diese Cookies nicht richtig funktionieren kann. In diesen Zwecken liegt auch unser erforderliches berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten auf der Grundlage des Art. 6 Abs. 1 lit. f DSGVO.

    Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.

    Folgende Cookies werden eingesetzt:

    Name, Anbieter, Zweck, Ablauf, Typ

    SESSION Osapiens Funktionalität der Website Nach 5 Tagen Technisch notwendig

    III. Beschwerdeführer-Account

    1. Umfang und Zweck der Datenverarbeitung

    Innerhalb des Tools besteht die Möglichkeit für Nutzende, sich freiwillig einen Beschwerdeführer-Account anzulegen, um so Beschwerden übersichtlich platzieren und verwalten zu können. Dies ist keine Voraussetzung für die Einreichung einer Beschwerde.

    Wird kein Account angelegt, werden beim Einreichen einer Beschwerde ausschließlich die unter Ziffer II.1. beschriebenen personenbeziehbaren Daten unter den dort dargestellten Bedingungen erhoben.

    Im Zuge der Erstellung dieses Accounts wird zumindest ein vom Nutzenden selbst zu vergebenes Passwort sowie ein zu wählendes Pseudonym benötigt. Optional und auf freiwilliger Basis können die Nutzenden ihren Vor- und Nachnamen angeben und auch eine E-Mail-Adresse hinterlegen, falls Sie auf diesem Wege über Neuigkeiten im Zusammenhang mit der Bearbeitung ihrer Beschwerde erhalten wollen.

    2. Rechtsgrundlage, Dauer der Speicherung, Beseitigungsmöglichkeit

    Die Rechtsgrundlage für die Verarbeitung der im Zuge der Account-Erstellung verarbeiteten personenbezogenen Daten ist die Einwilligung der Nutzenden gem. Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung kann jederzeit ohne eine Angabe von Gründen und ohne, dass den Nutzenden dadurch Nachteile entstehen, widerrufen werden. Auf dieser Grundlage werden dann keine personenbezogenen Daten mehr verarbeitet. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf wird durch diesen nicht berührt.

    Die personenbezogenen Daten der Nutzenden, welche im Zuge der Erstellung des Beschwerdeführer- Accounts erhoben wurden, werden so lange gespeichert, bis die Nutzenden sich dazu entschließen, den bestehenden Account zu löschen, worin zugleich der Widerruf der Einwilligung zu sehen ist. In diesem Zuge werden die Daten bezogen auf den Account umgehend gelöscht. Auf die Speicherung von Daten, welche ggf. im Zuge von Beschwerden bereits an uns gesandt wurden, hat dies jedoch keine Auswirkungen.

    IV. Datenverarbeitung im Zusammenhang mit der Beschwerde/des Hinweises

    1. Umfang und Zweck der Verarbeitung personenbezogener Daten

    Im Rahmen der Eingabe und Bearbeitung von Meldungen im Hinweisgeber-Tool verarbeiten wir sämtliche Daten, welche uns dort im Rahmen solcher Meldungen zur Verfügung gestellt werden. Insbesondere können hier folgende Daten betroffen sein:

    1. Informationen zur persönlichen Identifizierung des Hinweisgebers (z. B. Name, Anschrift, Kontaktdaten, Geschlecht)
    2. Beschäftigteneigenschaft bzw. andere Beziehung, in welcher der Hinweisgeber zu unserem Unternehmen steht
    3. Informationen zu betroffenen Personen im Sinne des Hinweisgeberschutzgesetzes (HinSchG), d.h. natürlichen Personen, die in einer Meldung als eine Person bezeichnet wird, die den Verstoß begangen hat, oder mit der die bezeichnete Person verbunden ist (z.B. Name, Anschrift, Kontaktdaten, Geschlecht, sonstige Informationen, die eine Identifikation ermöglichen)
    4. Informationen über Verstöße, die ggf. Rückschlüsse auf eine natürliche Person erlauben.

    Wir verarbeiten diese Daten zum Zwecke der Untersuchung von Meldungen, um Verstöße gegen geltendes Recht oder Unternehmensrichtlinien zu verhindern, aufzudecken und/oder Folgemaßnahmen (wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-) Einziehung von Mitteln oder Abschluss des Verfahrens) vorzunehmen.

    2. Rechtsgrundlage

    Die Verarbeitung personenbezogener Daten erfolgt aufgrund folgender Rechtsgrundlagen:

    1. Informationen zur Identität des Hinweisgebers verarbeiten wir nur, soweit uns der Hinweisgeber dazu seine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO gegeben hat, indem er uns diese Daten von sich aus zur Verfügung gestellt hat.
    2. Informationen zur Beschäftigteneigenschaft, Informationen zu betroffenen Personen sowie sonstige Informationen, die Rückschlüsse auf natürliche Personen zulassen, verarbeiten wir auf der Grundlage Art. 6 Abs. 1 lit. f DS-GVO. Unser hierfür erforderliches berechtigtes Interesse besteht – je nach zu prüfendem konkretem Einzelfall – in der Bearbeitung von Meldungen, um Folgemaßnehmen durchführen zu können, wie Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen, Maßnahmen zur (Wieder-)Einziehung von Mitteln oder Abschluss des Verfahrens. Ob Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person einer solchen Datenverarbeitung entgegenstehen, wird im Einzelfall – unter anderem auch mit Blick auf den Verstoß – geprüft
    3. Wir verarbeiten ggf. personenbezogene Daten von Beschäftigten auf Grundlage von §26 Abs. 1 Satz 2 BDSG (Erforderlichkeit der Datenverarbeitung zur Aufdeckung von Straftaten).

    3. Datenlöschung und Speicherdauer

    Daten werden in der Regel so lange gespeichert, bis die Folgemaßnahmen, welche aus der Meldung ggf. resultieren, abgeschlossen sind. Je nachdem, gegen welchen Sachverhalt sich die Meldung wendet, können zusätzliche Spezialgesetze anwendbar sein, welche möglicherweise darüberhinausgehende Aufbewahrungspflichten enthalten. Auch kann die ggf. notwendige Einleitung weiterer rechtlicher Schritte die weitere Aufbewahrung erfordern (z.B. die Einleitung von Strafverfahren oder Disziplinarverfahren).

    V. Empfänger personenbezogener Daten

    1. Daten im Zusammenhang mit dem Beschwerdemanagement-Tool

    Für die Bereitstellung dieses Tools arbeiten wir mit der NETINERA Deutschland GmbH, Brückenstraße 6, 10179 Berlin, („NETINERA“) und diese wiederum mit der osapiens Services GmbH, Julius-Hatry- Straße 1, 68163 Mannheim, („osapiens“) zusammen. osapiens hat das Beschwerdemanagement-Tool entwickelt und hostet es für die NETINERA. Daher können NETINERA und osapiens von den in dieser Datenschutzerklärung beschriebenen personenbezogenen Daten Kenntnis nehmen.

    NETINERA ist als Auftragsverarbeiter für die Die Länderbahn GmbH DLB tätig. Ein gemäß Art. 28 Abs. 3 DS-GVO erforderlicher Auftragsverarbeitungsvertrag wurde abgeschlossen. Entsprechendes gilt für das Verhältnis zwischen NETINERA und osapiens.

    Aufgrund dieser Struktur wird bei Nutzung des osapiens Tools auch die Datenschutzerklärung der NETINERA angezeigt.

    2. Daten aus der Beschwerde

    Eine Übermittlung der personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dafür eine Rechtsgrundlage vorliegt. Dies ist insbesondere der Fall, wenn die Übermittlung der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind, dient, Sie uns Ihre Einwilligung dazu erteilt haben oder eine Interessenabwägung dies rechtfertigt.

    Eine solche Interessenabwägung wird z.B. dann erforderlich, wenn eine in einem Hinweis genannte Person Auskunft gem. Art. 15 DSGVO über ihre bei uns gespeicherten personenbezogenen Daten verlangt, einschließlich Informationen über die Quelle, aus welcher wir diese Daten erhoben haben. An dieser Stelle muss das Interesse der betroffenen Person an der Erteilung dieser Informationen und das Interesse eines Hinweisgebers an Anonymität gegeneinander abgewogen werden. Das Interesse der betroffenen Person überwiegt in der Regel dann, wenn der Hinweisgeber vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet.

    Je nach Zuständigkeitsschwerpunkt der Meldung sowie zur effektiven Einleitung von Folgemaßnahmen werden die personenbezogenen Daten gegebenenfalls an unsere entsprechend zuständigen Fachabteilungen weitergegeben. Unter Umständen geben wir die personenbezogenen Daten auch an staatliche Gefahrenabwehr- und/oder Strafverfolgungsbehörden, sonstige zuständige Behörden und/oder zur Verschwiegenheit verpflichtete Personen, wie etwa an Wirtschaftsprüfer/Rechtsanwälte, weiter.

    VI. Keine Pflicht zur Bereitstellung

    Es besteht keine gesetzliche oder vertragliche Verpflichtung für Nutzende, uns personenbezogene Daten über dieses Tool bereitzustellen, da eine Beschwerde oder eine Meldung eines Vorfalls auf freiwilliger Basis erfolgt.

    Wir weisen jedoch darauf hin, dass die unter Ziffer II.1. beschriebenen personenbezogenen Daten erhoben werden, sobald das Tool aus dem Internet heraus aufgerufen wird, da nur so eine Auslieferung der Seite überhaupt möglich ist.

    VII. Rechte der betroffenen Person

    Werden personenbezogene Daten von Nutzenden verarbeitet, sind sie Betroffene i.S.d. DSGVO und es stehen ihnen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte gegenüber uns als Verantwortlicher zu:

    1. Recht auf Auskunft (Art. 15 DSGVO)
    2. Recht auf Berichtigung (Art. 16 DSGVO)
    3. Recht auf Löschung (Art. 17 DSGVO)
    4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    6. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Art. 7 Abs. 3 DSGVO)

    Nutzende haben gemäß Art. 21 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

    Wir als Verantwortliche verarbeiten die die Nutzenden betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der Nutzenden überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

    Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Nutzenden gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.