DIAKO Bremen - Luftaufnahme
DIAKO Bremen - Panorama

Datenschutzhinweise zur Meldung missbräuchlicher Handlungen

Die DIAKO Ev. Diakonie-Krankenhaus gemeinnützige GmbH (nachfolgend: DIAKO) schafft Möglichkeiten der vertraulichen Kommunikation, über die Mitarbeitende sich an den Compliance-Beauftragten und die zu diesem Zweck eingerichtete interne Meldestelle wenden können, wenn sie Beobachtungen gemacht haben, die auf möglicherweise strafrechtliche Sachverhalte oder andere Verstöße gegen gesetzliche Regelungen hindeuten. Neben der direkten Kontaktaufnahme wird mit dem DIAKO-Hinweisgebersystem ein Webportal bereitgestellt, das auch eine anonyme Meldung ermöglicht. 
Damit trägt das DIAKO auch den Anforderungen der EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, Rechnung. Im Folgenden wird über die damit verbundene Verarbeitung personenbezogener Daten informiert, wie es gemäß der §§ 16 bis 25 DSG-EKD erforderlich ist.


Zweck der Verarbeitung
Personenbezogene Daten werden im Rahmen der Meldung erfasst und anschließend weiterverarbeitet, um eventuelle kriminelle Handlungen im DIAKO aufzudecken und hierdurch insbesondere finanzielle Schäden und Betrugsfälle zu vermeiden. Die Verarbeitung kann Ermittlungsarbeiten und deren Dokumentation umfassen, die zur Klärung des Sachverhalts und für möglicherweise damit in Verbindung stehende strafrechtliche Konsequenzen notwendig sind. 
 

Verantwortliche Stelle
Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Erfassung von Hinweisen und der hierdurch veranlassten Ermittlung ist der Geschäftsführer des DIAKO.


Verarbeitung der Daten der meldenden Person
Hinweisgebende genießen besonderen Schutz ihrer Persönlichkeitsrechte. Mit dem DIAKO-Hinweisgebersystem besteht die Möglichkeit einer anonymen Meldung. Übermittelt der/die Meldende freiwillig Daten zur eigenen Person, so werden diese gespeichert, und es werden im Falle von Rückfragen die Kontaktdaten genutzt. Die Verarbeitung erfolgt ausschließlich durch die Mitglieder der internen Meldestelle. 
Rechtsgrundlage für die Datenverarbeitung ist die Einwilligung der/des Meldenden (§ 6 Abs. 1 Nr. 2 DSG-EKD). Das Datenschutzgesetz stellt besondere Anforderungen, bei der Beurteilung der Freiwilligkeit einer Einwilligung im Beschäftigtenverhältnis (§ 49 Abs. 3 DSG-EKD). Da die Meldung auch anonym aufgegeben werden kann, wird dies als hinreichender Beleg für die Freiwilligkeit betrachtet. 
Sofern die Meldung nicht ohnehin anonym erfolgte, hat die meldende Person jederzeit das Recht, die Einwilligung zur Verarbeitung ihrer eigenen Daten zu widerrufen (§ 11 Abs. 3 DSG-EKD). Hierfür genügt eine Mitteilung an ein Mitglied der internen Meldestelle. Die Meldung wird anschließend anonymisiert. Die Rechtmäßigkeit der bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitung ist hiervon nicht berührt. Auch die begonnenen Ermittlungen dürfen fortgesetzt werden, soweit sie sich nicht auf personengebundene Daten der/des Meldenden beziehen und somit von dem Widerruf nicht berührt sind. 
Zum Schutz von Hinweisgebenden erfolgt keine Offenbarung ihrer Daten gegenüber der beschuldigten Person (auf Basis von Ausnahmeregelungen bei den Informationspflichten lt. § 18 Abs. 2 und Auskunftsrechten lt. § 19 Abs. 2 DSG-EKD). Eine Weitergabe der Daten an staatliche Ermittlungsbehörden erfolgt ausschließlich dann, wenn es für deren Ermittlung erforderlich ist und eine entsprechende Anordnung vorliegt (§ 49 Abs. 4 Nr. 4 DSG-EKD). 
Sollte es sich bei dem Hinweis nach Einschätzung der internen Meldestelle um eine vorsätzliche Falschmeldung handeln, so ist das Gremium ausnahmsweise berechtigt, die Daten der meldenden Person an die Personalabteilung zu übermitteln, die mögliche Disziplinarmaßnahmen prüfen wird. Rechtsgrundlage für diese Weitergabe ist die Dienstvereinbarung zum Hinweisgebersystem vom 03.03.2022

.
Verarbeitung der Daten der beschuldigten Person 
Die Mitglieder der internen Meldestelle bereinigen die in der Meldung gemachten Informationen zur beschuldigten Person, so dass nur Angaben erhalten bleiben, die potenziell im Zusammenhang stehen zum vermuteten Vergehen. 
Rechtsgrundlage für die Datenverarbeitung ist § 49 Abs. 2 DSG-EKD, wonach - unter Beachtung des Verhältnismäßigkeitsgrundsatzes - personenbezogene Daten von Beschäftigten im Zusammenhang mit dem Verdacht auf Straftaten verarbeitet werden dürfen, solange der Verdacht nicht ausgeräumt ist und die Interessen von möglichen Betroffenen dies erfordern. 
Handelt es sich bei dem gemeldeten Sachverhalt um keinen Gesetzesverstoß, jedoch um einen erheblichen betrieblichen Missstand, den die beschuldigte Person zu verantworten hat, so stellt die oben genannte Dienstvereinbarung zum Hinweisgeber-System eine Rechtsgrundlage für die Verarbeitung der Daten dar. 
Im Ausnahmefall kann – zunächst - auf eine Information der beschuldigten Person über die Verarbeitung ihrer Daten verzichtet werden, soweit durch diese Auskunft die Ermittlungsarbeit gefährdet wird (§ 18 Abs. 2 DSG-EKD).
Eine Weitergabe der Daten an staatliche Ermittlungsbehörden erfolgt, wenn es zur Aufdeckung einer Straftat erforderlich ist (§ 49 Abs. 4 Nr. 4 DSG-EKD). 

Verarbeitung der Daten Dritter
Werden in der Meldung auch personenbezogene Angaben über Dritte gemacht, so werden diese nach Möglichkeit im Sinne der Datensparsamkeit umgehend durch die interne Meldestelle anonymisiert. Ist die Verarbeitung der Daten für die Ermittlungsarbeit notwendig, so wird die dritte Person hierüber informiert, sofern nicht hierdurch von einer Gefährdung der Ermittlungsarbeit auszugehen ist (§ 18 Abs. 2 DSG-EKD). 
Indem die Person Angaben zu Ihrer Tätigkeit macht, zu regelmäßigen Abläufen oder außergewöhnlichen Vorgängen, darf dies als Bestandteil der üblichen Datenverarbeitung innerhalb des Beschäftigungsverhältnisses betrachtet werde, wofür § 49 Abs. 1 DSG-EKD eine Rechtsgrundlage darstellt. 

Löschung von Daten
Spätestens zwei Monate nach Abschluss der internen Ermittlungen werden Daten mit Personenbezug gelöscht, sofern nicht ein noch laufendes Strafrechts- oder Disziplinarverfahren eine längere Speicherung oder Aufbewahrung erfordert. 

Rechte betroffener Personen
Betroffene Personen können die oben erwähnten Personenkreise sein: Meldende, Beschuldigte, mögliche Dritte. Sie haben Anspruch auf Auskunft über die zu ihnen gespeicherten Daten (§ 19 Abs. 1 DSG-EKD). 
Jedoch darf diese Auskunft nicht erteilt werden, wenn die Daten oder die Tatsache ihrer Speicherung wegen überwiegender berechtigter Interessen Dritter (also insbesondere der Quelle des Hinweises) geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss, oder wenn durch die Auskunft die Wahrnehmung des Auftrags des DIAKO gefährdet wird (§ 19 Abs. 2 DSG-EKD).
Betroffene Personen haben des Weiteren bei Vorliegen der gesetzlichen Voraussetzungen das Recht auf Berichtigung (§ 20 DSG-EKD), Einschränkung der Verarbeitung (§ 22 DSG-EKD), Datenübertragbarkeit (§ 24 DSG-EKD), Widerspruch gegen die Verarbeitung (§ 25 DSG-EKD) und Löschung (§ 21 DSG-EKD) sowie das Recht zur Beschwerde bei der zuständigen Datenschutz-Aufsicht (§ 46 DSG-EKD).

Örtliche Beauftragte für den Datenschutz
Der Krankenhausträger hat eine örtliche Beauftragte für den Datenschutz bestellt. Ihre Kontaktdaten lauten: 
Dr. Petra Gurn 
T (0421) 6102-3052 
datenschutz(at)diako-bremen.de

Die Kontaktdaten der zuständigen Aufsichtsbehörde sind: 
Regionalverantwortliche für die Datenschutzregion Nord der EKD
Lange Laube 20
30159 Hannover 
T (0511) 768128-0
nord@datenschutz.ekd.de