Datenschutzerklärung Hinweisgebersystem und interne Meldestelle

Mit dieser Datenschutzerklärung möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Abgabe von Meldungen über das Hinweisgebersystem an die interne Meldestelle informieren. Das Hinweisgebersystem dient in erster Linie der Entgegennahme von Meldungen über Verstöße im Sinne des Hinweisgeberschutzgesetzes vom 31. Mai 2023 („HinSchG“). Selbstverständlich werden dabei die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) sowie der geltenden nationalen Datenschutzvorschriften beachtet.

Diese Datenschutzerklärung wurde zuletzt am 17. Dezember 2023 aktualisiert.

Hinweis: Aus Gründen der besseren Lesbarkeit wird in dieser Datenschutzerklärung auf die gleichzeitige Verwendung der Sprachformen für männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

1. Verantwortliche und Datenschutzbeauftragte
Für die Verarbeitungsvorgänge im Zusammenhang mit dem Hinweisgebersystem und der internen Meldestelle haben die 
  • HANS IM GLÜCK Franchise GmbH
  • Birken Burger Essen GmbH
  • Birken Burger Gastro GmbH
  • Hans im Glück Gastro GmbH
  • Hans im Glück Franchise Österreich GmbH
  • Hans im Glück Restaurant GmbH
  • Hans im Glück Köln Gastronomiebetriebs GmbH
  • Hans im Tal GmbH
  • Hans im Glück Bezahlsystem GmbH
  • HIG Gastro (AT) GmbH ehem. Hans im Tirol
  • Glücklicher Burger Mainz GmbH
Anschrift und Kontaktinformationen für alle: Weihenstephaner Str. 6, 81673 München, Telefon: +49 89 125094 400, E-Mail: info@hansimglueck-franchise.de,

und die teilnehmenden Franchisenehmer (Name und Anschrift können der Auflistung auf der Plattform des Meldesystems entnommen werden)

- nachfolgend auch "HANS IM GLÜCK-Gruppe" genannt und jeweils einzeln auch „Beschäftigungsgeber“ genannt -

und die 

L|A Business Services GmbH & Co. KG
Brienner Straße 29 
 80333 München 
 E-Mail: hgs@lutzabel.com
 Telefonnummer: +49 89 544147-0

- nachfolgend auch „LUTZ | ABEL“ genannt -

die Zwecke und Mittel der nachfolgend näher beschriebenen Verarbeitungsvorgänge gemeinsam festgelegt. Sie sind insofern gemeinsam Verantwortliche im Sinne der Art. 4 Nr. 7, 26 DSGVO. 

Den Datenschutzbeauftragten der HANS IM GLÜCK-Gruppe erreichen Sie unter: datenschutz@hansimglueck-franchise.de.

Den Datenschutzbeauftragten von LUTZ | ABEL erreichen Sie unter: datenschutz@lutzabel.com.

2. Datenverarbeitungsvorgänge
Die Datenverarbeitung im Rahmen des Betriebs des Hinweisgebersystems und der internen Meldestelle gliedert sich in drei Bereiche.

2.1 Bereich 1: Betrieb des Hinweisgebersystems Vispato (Meldekanal)
Die Beschäftigungsgeber haben einen softwaretechnischen Meldekanal (iSv § 16 HinSchG) eingerichtet, über den Meldungen an LUTZ | ABEL (interne Meldestelle) eingereicht werden können. Als Meldekanal setzt die HANS IM GLÜCK-Gruppe das digitale Hinweisgebersystem des deutschen Dienstleisters Vispato GmbH, Hansaallee 299, 40549 Düsseldorf („Vispato“) ein. Das System ist über das Internet abrufbar. Aus Sicherheitsgründen ist es Ende-zu-Ende verschlüsselt, so dass keiner der Beschäftigungsgeber die Eingaben im Hinweisgebersystem einsehen kann. Das System erlaubt darüber hinaus auch anonyme Meldungen.

Der Meldekanal über Vispato ist durch eine Auftragsverarbeitung abgesichert. Die jeweiligen Beschäftigungsgeber sind datenschutzrechtlich verantwortlich für den Betrieb des Meldekanals, soweit es ihre Beschäftigten und sie betreffende Meldungen angeht.

2.2 Bereich 2: Entgegennahme und Auswertung von Meldungen (Interne Meldestelle)
Die jeweiligen Beschäftigungsgeber haben LUTZ | ABEL mit dem Betrieb der internen Meldestelle (iSv §§ 12, 13 HinSchG) beauftragt. In diesem Zusammenhang sichtet LUTZ | ABEL die eingehenden Meldungen, prüft die Zuständigkeit und führt die Meldungen einer weiteren Bearbeitung und Auswertung zu. Nur zuvor besonders auf die Vertraulichkeit verpflichtete Sachbearbeiter und Rechtsanwälte erhalten Einsicht in die Meldungen.

Für diesen Bereich der Datenverarbeitung ist LUTZ | ABEL verantwortlich.

2.3 Bereich 3: Bereitstellung von Informationen an den Beschäftigungsgeber und weiteres Vorgehen
Nachdem LUTZ | ABEL als interne Meldestelle den Vorgang rund um die Meldung abschließend bearbeitet hat, gibt es die Informationen aus der Meldung in einem Bericht an den jeweiligen Beschäftigungsgeber zur Ergreifung angemessener Maßnahmen weiter. Dabei wird die Vertraulichkeit der Hinweisgeber entsprechend der gesetzlichen Vorgaben gewahrt (siehe dazu unten mehr). 

Für diesen Bereich der Datenverarbeitung ist der jeweilige Beschäftigungsgeber verantwortlich.

Der jeweilige Beschäftigungsgeber entscheidet dann, ob er das Verfahren einstellt oder welche Art von weiteren Maßnahmen er ergreift. Für die in diesem Rahmen anfallenden Datenverarbeitungen ist der jeweilige Beschäftigungsgeber allein datenschutzrechtlich Verantwortlicher iSv Art. 4 Nr. 7 DSGVO. Die Betroffenenrechte (siehe dazu unten mehr im Abschnitt 11) können für damit verbundene Datenverarbeitungen nur gegenüber dem jeweiligen Beschäftigungsgeber geltend gemacht werden.

2.4 Bereich 4: Anonyme Statistiken
LUTZ | ABEL wird in regelmäßigen Abständen der HANS IM GLÜCK Franchise GmbH anonymisierte Statistiken über die eingegangenen Meldungen bereitstellen. Diese Reports werden keine personenbezogenen Daten enthalten, sondern lediglich die Kategorien der gemeldeten Verstöße gemäß § 3 Abs. 2 HinSchG und den Zeitpunkt der Meldung. Eine Zuordnung von Meldungen zu einzelnen Franchisegesellschaften erfolgt zudem nicht. Die Anonymisierung erfolgt in der Verantwortung von LUTZ | ABEL. Mangels Personenbezug stellt die Weitergabe der anonymen Statistiken keine Verarbeitung personenbezogener Daten nach Art. 4 Nr. 2 DSGVO dar.

3. Betroffene Personen
Folgende Kategorien an betroffenen Personen können Gegenstand der Verarbeitung personenbezogener Daten sein:
  • Hinweisgebende Personen 
  • In der Meldung oder der anschließenden Kommunikation genannte Personen
Sofern Sie Ihre Meldung anonym machen, werden keine personenbezogenen Daten von Ihnen verarbeitet. Insbesondere wird Ihre Meldung nicht mit der IP-Adresse des Endgeräts, über welches die Meldung erfolgt, verknüpft.

4. Art der erhobenen personenbezogenen Daten

4.1 Für die Verarbeitungsbereiche 1-2 gilt:
Sie sind nicht verpflichtet, Daten bereit zu stellen. Die Hinweiserteilung erfolgt freiwillig. Sollten Sie eine Meldung abgeben, gilt:
Es können folgende personenbezogene Daten verarbeitet werden:
  • Der Name des Hinweisgebers, sofern dieser seine Identität bei der Meldung offen legt.
  • Der Beschäftigungsstatus des Hinweisgebers und sonstige ihn betreffende personenbezogene Umstände (wie die E-Mail-Adresse), sofern er diese in der Meldung offen legt.
  • Gegebenenfalls der Namen von Personen sowie sonstige personenbezogene Daten der Personen, die in der Meldung genannt werden.
  • Der sonstige Inhalt der Meldung, soweit dieser personenbeziehbar ist.
  • Unter Umständen auch Sprachaufzeichnungen und andere Medien wie z.B. Fotografien, sofern Sie solche über das Hinweisgeberportal bereitstellen.
Sollten Sie die Meldung unter Angabe Ihres Namens und weiterer personenbezogener Angaben (z.B. Ihrer E-Mail-Adresse) machen, werden diese Daten verschlüsselt im Hinweisgebersystem hinterlegt und zur Bearbeitung der Meldung sowie für die weitere Kommunikation mit Ihnen gespeichert. Der jeweilige Beschäftigungsgeber hat aufgrund der Ende-zu-Ende-Verschlüsselung des Hinweisgebersystems jedoch keinen Zugriff auf diese Daten. Zugriff hat allein LUTZ | ABEL als zur Vertraulichkeit verpflichtete interne Meldestelle. Im Hinblick auf die Datenweitergabe beachten Sie bitte die weiteren Angaben in dieser Datenschutzerklärung.

4.2 Für den Verarbeitungsbereich 3 gilt:
Sofern Hinweisgeber personenbezogene Daten zu sich selbst im Rahmen der Meldung bekannt geben, entfernt LUTZ | ABEL eindeutig identifizierende Hinweise auf die Hinweisgeber, bevor der Bericht mit den Informationen aus der Meldung an den jeweiligen Beschäftigungsgeber gegeben wird. Dies soll dazu dienen, eine größtmögliche Vertraulichkeit der Hinweisgeber zu gewährleisten. Bitte beachten Sie aber: Es kann nicht mit letzter Gewissheit ausgeschlossen werden, dass im Einzelfall der Inhalt einer Meldung indirekt Rückschlüsse auf den möglichen Kreis der Hinweisgeber zulässt. 

Die Berichte können darüber hinaus folgende personenbezogene Daten und Informationen enthalten:
  • Namen von Personen sowie sonstige personenbezogene Daten der Personen, auf die sich die Meldung bezieht.
  • Den sonstigen Inhalt der Meldung, soweit dieser personenbeziehbar ist.

5. Zwecke und Rechtsgrundlage
Zweck der Datenverarbeitung ist in erster Linie die Erfüllung der Pflichten aus dem HinSchG. Hierzu gehören insbesondere 
  • die Bereitstellung eines Meldekanals für interne Meldungen iSv § 16 HinSchG, 
  • die Prüfung und Bearbeitung von Meldungen im Rahmen des Verfahrens nach § 17 HinSchG, wozu ggf. auch die Erteilung einer Rückmeldung zu den aufgrund der Meldung geplanten und/oder ergriffenen Folgemaßnahmen gehört, 
  • die Einleitung von Folgemaßnahmen nach § 18 HinSchG und
  • die Dokumentation der Meldung und des Verfahrens nach § 11 HinSchG.
Rechtsgrundlage für die damit einhergehenden Datenverarbeitungen ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 10 HinSchG.

Nachdem LUTZ | ABEL als interne Meldestelle den Bericht über eine Meldung entsprechend Verarbeitungsbereich 3 an einen Beschäftigungsgeber übergeben hat, entscheidet dieser, ob er das Verfahren einstellt oder welche Art von weiteren Maßnahmen er ergreift. Für die in diesem Rahmen anfallenden Datenverarbeitungen ist der jeweilige Beschäftigungsgeber allein datenschutzrechtlich Verantwortlicher iSv Art. 4 Nr. 7 DSGVO. Über die Zwecke und Rechtsgrundlagen dieser Verarbeitung klärt dieser gesondert auf.

Für Verarbeitungsbereich 4 gilt: Im Verarbeitungsbereich 4 erfolgt die Verarbeitung zur Anonymisierung der Daten zwecks Erstellung von Statistiken für die HiG-Muttergesellschaft. Diese kann anhand der Statistiken insbesondere die Angemessenheit der eigenen Compliance-Strukturen überprüfen und verbessern. Es ist umstritten, ob man für die Anonymisierung von Daten überhaupt eine Rechtsgrundlage benötigt. Unterstellt, dass eine Rechtsgrundlage erforderlich ist, so liegt diese im Falle der Anonymisierung im vorliegenden Fall in Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 6 Abs. 4 DSGVO. Es liegt dann eine Zweckänderung vor, wobei die Voraussetzungen von Art. 6 Abs. 4 DSGVO erfüllt sind. Das berechtigte Interesse liegt in der Bereitstellung anonymisierter Statistiken zur Verbesserung der Konzern-Compliance.

6. Speicherdauer und Löschung der Daten
Personenbezogene Daten werden nur so lange gespeichert, wie es zur Zweckerreichung und Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. 

Meldungen, die dem HinSchG unterfallen, sind zwingend zu dokumentieren (§ 11 HinSchG). Die Dokumentation wird grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht. Ausnahmsweise ist eine länge Speicherung zulässig, um die übrigen Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

Sofern eine Weitergabe der Daten zur rechtlichen Bearbeitung an Rechtsanwaltskanzleien erfolgt, gelten darüber hinaus insbesondere die gesetzliche Aufbewahrungsfristen für Rechtsanwälte. Danach unterliegen Handakten und die darin enthaltenen Daten der sechsjährigen Aufbewahrungsfrist aus § 50 Abs. 1 S. 2 Bundesrechtsanwaltsordnung (BRAO) ggf. i.V.m. § 50 Abs. 4 BRAO.

7. Vertraulichkeit
Die interne Meldestelle beachtet die Vorgaben zur Vertraulichkeit nach § 8 HinSchG. Insbesondere die Vertraulichkeit der Identität der hinweisgebenden Personen wird entsprechend den gesetzlichen Vorgaben gewahrt. Auf die Ausnahmeregelung vom Vertraulichkeitsgebot in § 9 HinSchG wird hingewiesen. 

8. Empfänger von Daten
Als Auftragsverarbeiterin im Rahmen der Bereitstellung und des Betriebs des Hinweisgebersystems wird die Vispato GmbH, Hansaallee 299, 40549 Düsseldorf eingebunden. 

Im Übrigen können personenbezogene Daten an folgende Empfänger beziehungsweise Kategorien von Empfängern übermittelt werden:  
  • Dritte, insbesondere Rechtsberater, im Zusammenhang mit der Ergreifung von Folgemaßnahmen nach § 18 HinSchG und sonstigen weiteren Maßnahmen,
  • Staatliche Stellen wie Staatsanwaltschaften, Gerichte oder Behörden, soweit rechtliche Verpflichtungen vorliegen,
  • Weitere externe Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Dabei werden die strengen anwendbaren nationalen und europäischen Datenschutzbestimmungen beachtet. Die Dienstleister sind Weisungen unterworfen und unterliegen strengen vertraglichen Beschränkungen in Bezug auf die Verarbeitung von personenbezogenen Daten. Hiernach ist eine Verarbeitung nur erlaubt, soweit es für die Durchführung der Dienstleistungen oder zur Einhaltung rechtlicher Anforderungen erforderlich ist. Es wird im Vorhinein genau festgelegt, welche Rechte und Pflichten die Dienstleister in Bezug auf personenbezogene Daten haben sollen.

9. Datenübermittlung
Eine Übermittlung der personenbezogenen Daten in außereuropäische Drittländer findet nicht statt.

10. Gemeinsame Verantwortlichkeit
10.1 Zur Gewährleistung Ihrer Rechte und unter Berücksichtigung der Vorgaben der DSGVO wurde mit LUTZ | ABEL eine Vereinbarung geschlossen, die Regeln über die Verarbeitung Ihrer personenbezogenen Daten aufstellt (Vereinbarung über die gemeinsame Verantwortlichkeit iSv Art. 26 DSGVO). Der betroffenen Person sind die wesentlichen Inhalte dieser Vereinbarung gem. Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung zu stellen. Sie finden in dieser Datenschutzerklärung (insbesondere unter den Ziffern 1 und 2) bereits wichtige Inhalte hierzu. Im Übrigen gilt:

10.2 Sowohl der jeweilige Beschäftigungsgeber als auch LUTZ | ABEL werden technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust treffen, die den Anforderungen der entsprechenden datenschutzrechtlichen Bestimmungen der DSGVO entsprechen.

10.3 Sowohl der jeweilige Beschäftigungsgeber als auch LUTZ | ABEL sind verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitungsschritt(e) (siehe Ziffer 2 dieser Datenschutzerklärung) zuständig ist.

10.4 Die betroffenen Personen können ihre Rechte gemäß Art. 15-21 DSGVO sowohl gegenüber dem jeweiligen Beschäftigungsgeber als auch LUTZ | ABEL ausüben. Die Parteien informieren sich über entsprechende Anträge und deren Bearbeitung und unterstützen sich gegenseitig.

10.5 Sowohl dem jeweiligen Beschäftigungsgeber als auch LUTZ | ABEL obliegen die aus Art. 33 DSGVO sowie Art. 34 DSGVO resultierenden Informationspflichten gegenüber der Aufsichtsbehörde bzw. den von einer Verletzung des Schutzes personenbezogener Daten Betroffenen gleichermaßen.

11. Ihre Rechte
Soweit Ihre personenbezogenen Daten verarbeitet werden, sind Sie „betroffene Person“ im Sinne der DSGVO. Als betroffener Person stehen Ihnen grundsätzlich die nachfolgenden Rechte zu: 

Das Recht, 
  • Auskunft über die Datenverarbeitung sowie eine Kopie der verarbeiteten Daten zu erhalten (Auskunftsrecht, Art. 15 DSGVO), 
  • die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten zu verlangen (Recht auf Berichtigung, Art. 16 DSGVO), 
  • die unverzügliche Löschung personenbezogener Daten zu verlangen (Recht auf Löschung, Art. 17 DSGVO), 
  • die Einschränkung der Datenverarbeitung zu verlangen (Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO), 
  • sowie die Sie betreffenden personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und zudem diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen zu übermitteln (Recht auf Datenübertragbarkeit Art. 20 DSGVO),
  • das Recht, eine erteilte Einwilligung zur Datenverarbeitung zu widerrufen (Recht, Einwilligungen zu widerrufen, Art. 7 DSGVO).
  • Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Folge des Widerspruchs ist es, dass die Sie betreffenden personenbezogenen Daten nicht mehr verarbeitet werden dürfen, es sei denn, es können zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Über Ihren Widerspruch können Sie entweder den jeweiligen Beschäftigungsgeber oder LUTZ | ABEL unter den oben in Abschnitt 1 genannten Kontaktdaten informieren.
  • Wenn Sie der Ansicht sind, dass eine der an der Verarbeitung beteiligten Parteien mit der Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gem. Art. 77 DSGVO das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.
Bitte beachten Sie, dass einige Betroffenenrechte in gewissen Fällen aufgrund von Vorschriften wie § 29 BDSG (i.V.m. dem HinSchG) nicht bestehen können bzw. eingeschränkt sind.

12. Keine automatisierte Entscheidungsfindung oder Profiling
Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO findet nicht statt.

13. Sicherheitsstandards
Angemessene physikalische, technische und administrative Sicherheitsstandards sind implementiert, um Ihre personenbezogenen Daten im Rahmen der Datenverarbeitungen vor Verlust, Missbrauch, Änderung oder Zerstörung zu schützen. Sämtliche Dienstleister sind vertraglich verpflichtet, die Vertraulichkeit personenbezogener Daten zu wahren. Zudem dürfen sie die Daten nicht für Zwecke nutzen, welche nicht vorab genehmigt wurden.

14. Änderung der Datenschutzerklärung
Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden, damit sie stets den jeweils aktuellen rechtlichen Anforderungen entspricht oder um Änderungen bei der Datenverarbeitung widerzuspiegeln. Ob sich etwas seit Ihrem letzten Besuch geändert hat, können Sie der Datumsangabe am Anfang dieser Datenschutzerklärung entnehmen.