Informationen für Meldende über die Nutzung von Lytt

Vorwort

Dieses Informationsblatt dient für Mitarbeiter (im Folgenden „Meldende“ genannt) unserer Kunden, bei denen das von uns entwickelte Kommunikationssystem zum Zwecke der internen Kommunikation, eingesetzt wird. Mit diesem Informationsblatt soll erläutert werden, wie personenbezogene Daten von Meldenden im Rahmen der Nutzung unseres Kommunikationssystems verarbeitet werden. Wir, die Lytt GmbH, bieten unseren Kunden eine Cloud-basierte Informations- und Kommunikationssystem für die interne Kommunikation im Unternehmen an, über das die bei ihm beschäftigten oder in sonstiger Weise tätigen Personen -den Meldenden- Feedbacks, Beschwerden und Meldungen (im Folgenden auch „Anliegen“ genannt) abgeben können. Diese Anliegen werden dann durch entsprechende beim Kunden tätigen Case Manager oder auch durch die Einschaltung externer Berater (z.B. Berater von Lytt oder sonstige Experten, die nicht beim Kunden beschäftigt sind) bearbeitet. Wir verarbeiten personenbezogene Daten der Meldenden ausschließlich als Auftragsdatenverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO, d.h. im Auftrag des Kunden, der unser Kommunikationssystem auf Grundlage eines Vertrages mit uns in seinem Unternehmen einsetzt und hierdurch unsere Dienste den bei ihm tätigen Meldenden zur Verfügung stellt. Dies gilt auch für den Fall, dass wir das Beschwerdemanagement für den Kunden übernehmen. Verantwortliche Stelle i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von personenbezogenen Daten von Meldenden im Rahmen der Nutzung unseres Kommunikationssystems ist daher ausschließlich unser Kunde, der den Meldenden den Zugang zu unserem Kommunikationssystem gestattet. Für die Verarbeitung von personenbezogenen Daten, die wir über unsere Webseiten erhalten oder, die wir von Meldenden erhalten, die für ein Unternehmen arbeiten, das nicht bereits unser Kunde ist (d.h. Kontaktaufnahme mit potenziellen Kunden), ist Lytt Verantwortlicher i.S.d. Art. 4 Abs. 7 DSGVO. In diesem Fall finden sie Informationen über die Verarbeitung von personenbezogenen Daten in unserer Datenschutzerklärung auf unserer Webseite unter www.lytt.co/de/rechtliches. Mit der Nutzung unseres Kommunikationssystems bestätigen Sie, dass Sie alle Angaben zu Ihrem Anliegen nach bestem Wissen und Gewissen tätigen und das Leistungsangebot von Lytt nicht zu Zwecken der Benachteiligung, Denunzierung oder Falschaussagen verwenden.

1. Welche Datenkategorien verarbeitet werden und woher diese stammen

Sie als Meldende können ein Anliegen über das Kommunikationssystem anonym oder nicht anonym, entweder direkt an den Kunden, d.h. ihrem Arbeitgeber oder an den vom Kunden eingesetzten Case Manager mitteilen (Ziff. 1.1). Wenn wir für den Kunden zusätzlich das Beschwerdemanagement übernehmen, dann können Sie als Meldende/r ihr Anliegen auch direkt unseren Beratern (Berater von Lytt) mitteilen (Ziff. 1.2). Die Kommunikation mit den Meldenden erfolgt stets auf der Grundlage eines verschlüsselten Chats. Wenn Sie ein Anliegen über das Kommunikationssystem mitteilen, werden folgende Informationen verarbeitet:

1.1. Kommunikation zwischen dem Meldenden und dem Kunden bzw. dessen Case Manager

Wenn die Kommunikation zwischen dem Meldenden und dem Kunden bzw. den Case Managern des Kunden erfolgt, haben wir ohne ausdrückliche Genehmigung des Meldenden keine Einsicht in die Nachrichtenverläufe. Wenn Sie ihr Anliegen dem Kunden mitteilen, so können Sie hierzu entweder den vom Kunden eingesetzten Case Manager oder den Kunden, d.h. Ihr Arbeitgeber, direkt kontaktieren. Dies kann in anonymisierter oder nicht anonymisierter Form geschehen. Anonymisierte Form bedeutet, dass Sie bei der Kommunikation mit dem Kunden bzw. den Case Manager nicht identifiziert werden können. Sofern Sie Ihr Anliegen an den Case Manager in nicht-anonymisierter Form mitteilen, werden ihr Name und ggf. Ihre E-Mail-Adresse sowie der Inhalt Ihrer Nachricht oder Anhänge an den Case Manager übermittelt und von ihm verarbeitet. Der Kunde erhält in diesem Falle keine Einsicht in die von Ihnen dem Case Manager mitgeteilten Informationen (siehe auch Ziff. 2.2). Unabhängig davon, ob Sie ihr Anliegen in anonymisierter oder nicht-anonymisierter Form mitteilen, kann der Kunde bzw. der vom Kunde eingesetzte Case Manager Informationen über Personen, über die Sie in Ihrem Anliegen berichten, erhalten und verarbeiten. Sowohl der Case Manager als auch der Kunden werden in diesem Fall diese Informationen vertraulich behandeln.

1.2. Kommunikation zwischen dem Meldenden und den Beratern von Lytt

Wenn wir das Beschwerdemanagement für den Kunden, ihrem Arbeitgeber, übernommen haben, dann können Sie uns ihr Anliegen in anonymisierter oder nicht anonymisierter Form mitteilen. Anonymisierte Form bedeutet, dass Sie bei der Kommunikation mit dem Kunden bzw. den Case Manager nicht identifiziert werden können. Wenn Sie ihr Anliegen in nicht-anonymisierter Form direkt uns, d.h. unseren Beratern mitteilen, erhalten wir Ihre E-Mail-Adresse, Ihren Namen, den Inhalt Ihrer Nachricht oder Anhänge, die Sie an uns senden und andere Informationen, die Sie uns zur Verfügung stellen möchten. Unabhängig davon, ob Sie ihr Anliegen in anonymisierter oder nicht-anonymisierter Form uns mitteilen, können wir Informationen über Personen, über die Sie in Ihrem Anliegen berichten, erhalten und verarbeiten. Wir werden diese Informationen stets vertraulich behandeln. Wir sind jedoch verpflichtet, dem Kunden, d.h. Ihrem Arbeitgeber, Einsicht in den Inhalt Ihres Anliegens (und damit auch Informationen über Personen, über die Sie sich beschweren) bzw. in den mit uns geführten Nachrichtenverlauf zu gewähren, wenn
  • der Kunde, einen begründeten Verdacht aufgrund seiner (Fürsorge-)pflichten als Arbeitgeber i.S.d. ArbSchG, StGB, BetrVG, AGG o.ä. Gesetzestexten äußert, oder
  • wir im Rahmen des Beschwerdemanagements feststellen, dass die Offenlegung des Nachrichtenverlaufes bzw. des Inhaltes Ihres Anliegens gegenüber dem Auftraggeber im Sinne seiner (Fürsorge-)Pflichten i.S.d. ArbSchG, StGB, BetrVG, AGG o.ä. Gesetzestexten zweckdienlich ist, bzw. Gefahr in Verzug besteht.
Die Datenverarbeitung im Rahmen des von uns übernommenen Beschwerdemanagements erfolgt durch ausgebildetes Fachpersonal. Meldende, die ausdrücklich erklärt haben, dass sie anonym bleiben möchten, werden vor der Einsichtnahme durch den Kunden gemäß des vorgenannten Absatzes dieser Ziffer anonymisiert bzw. unkenntlich gemacht. In diesem Fall erhält der Kunde allein Kenntnis vom Inhalt des Anliegens des Meldenden, nicht jedoch von der Identität des Meldenden. Der Kunde ist bei der Einsichtnahme gemäß des vorgenannten Absatzes nicht zur Einleitung eines Strafverfahrens verpflichtet.

1.3. Informationen im Zusammenhang mit ihrem Anliegen

Es werden Informationen über die Situation, die Sie beobachtet oder erlebt haben, einschließlich der zugrundeliegenden Ausprägung (z.B. sexuelle Belästigung, Voreingenommenheit, Kulturfragen, illegale Handlungen, Geldwäsche, Bestechung, Angaben über die von Ihnen betroffene Person) sowie Zeitpunkt und Häufigkeit Ihrer Meldung im Auftrag des Kunden von uns verarbeitet. Ob Sie den Vorfall aus erster Hand erlebt oder beobachtet haben, wie er jemand anderem passiert ist; und wann das Anliegen aufgetreten ist. Die Verarbeitung dieser Informationen ist notwendig, damit der Kunde, d.h. Ihr Arbeitgeber bzw. der vom ihm eingesetzte Case Manager oder unsere Berater Ihr Anliegen erfolgreich bearbeiten und Ihnen hierzu die bestmögliche Beratung geben kann. Sofern das Beschwerdemanagement allein durch den Kunden erfolgt, haben wir keine Einsicht und keine Kenntnis vom Inhalt Ihres Anliegens.

1.4. Demografische Informationen

Es werden Informationen, wie z.B. Angaben über Alter, Sprache, Geschlecht, über die Person, die der Situation ausgesetzt ist oder die diese beobachtet hat von uns im Auftrag des Kunden verarbeitet. Die Verarbeitung dieser Informationen ist notwendig, damit der Kunde, d.h. Ihr Arbeitgeber bzw. der vom ihm eingesetzte Case Manager oder unsere Berater Ihr Anliegen erfolgreich bearbeiten und Ihnen hierzu die bestmögliche Beratung geben kann. Sofern das Beschwerdemanagement allein durch den Kunden erfolgt, haben wir keine Einsicht und keine Kenntnis vom Inhalt Ihres Anliegens.

1.5. Feedback

Wenn Sie ein nicht-anonymes Feedback mitteilen möchten, haben Sie die Möglichkeit, Ihren Namen einzugeben, damit Ihr Feedback zugeordnet werden kann. Wenn Sie uns im Zusammenhang mit Ihrem Bericht zusätzliche Informationen zur Verfügung stellen, erfassen wir diese Informationen mit hoher Vertraulichkeit.

1.6. Quellen der Daten

Wir verarbeiten personenbezogene Daten, die wir von Ihnen im Rahmen der Mitteilung eines Anliegens in unserem Kommunikationssystem oder die wir durch eine direkte Kontaktierung unserer Berater durch Sie erhalten. 2. Wie Ihre Daten verarbeitet werden 2.1. Zwecke und Rechtsgrundlage für die Verarbeitung Wir verarbeiten Ihre personenbezogenen Daten in Übereinstimmung mit den geltenden Gesetzen, insbesondere der Datenschutzgrundverordung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in erster Linie im Auftrag des Kunden gemäß Art. 28 DSGVO:
  • Zur Erfüllung seiner Pflichten aus den mit Ihnen geschlossenen Beschäftigungsvertrag gemäß Art. 6 Abs. 1 b) DSGVO i. V. m. § 26 Abs. 1 BDSG.
  • Zur Wahrung berechtigter Interessen des Kunden oder Dritten (Behörden) auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO. Dies gilt insbesondere zum Zwecke der Steuerung der Kommunikation im Unternehmen des Kunden, sonstiger Verwaltungszwecke oder zur Aufklärung von Straftaten (Rechtsgrundlage § 26 Abs. 1 S. 2 BDSG).
Soweit im Rahmen dieser Auftragsdatenverarbeitung besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO von uns im Auftrag des Kunden verarbeitet werden, dient dies im Rahmen des Beschäftigungsverhältnisses der Ausübung von Rechten oder der Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozial-schutz (z. B. Erfassung von Krankmeldungen im Kommunikationssystem). Dies erfolgt auf Grundlage von Art. 9 Abs. 2 lit. b) DSGVO i. V. m. § 26 Abs. 3 BDSG. Erteilen Sie uns oder unserem Kunden eine ausdrückliche Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO gegeben. Eine erteilte Einwilligung kann jederzeit, mit Wirkung für die Zukunft, widerrufen werden (siehe unten Ziff. 5.1.). Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten, auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO
  • um unser Kommunikationssystem zu verbessern, um Ihnen Funktionen, Dienstleistungen und Informationen unseres Kommunikationssystems bereitzustellen, um Ihre Anliegen und Fragen zu beantworten und um Ihnen unseren Support anzubieten.
  • um Muster für Forschungszwecke zu analysieren.
  • für unsere Geschäftszwecke, wie z.B. Audits, Sicherheit, Betrugsüberwachung und Prävention. Wir können anonymisierte Daten stets verarbeiten, d.h. solche Daten, die keinen Bezug auf eine bestimmte Person aufweisen und über die auch keine bestimmten Personen identifizierbar sind.

2.2. Empfänger von Daten

Innerhalb unseres Unternehmens erhalten nur die Personen Ihre personenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Darüber hinaus können wir Ihre personenbezogenen Daten, die wir im Rahmen der Nutzung unseres Kommunikationssystems durch Sie und unseren Kunden erhalten weitergeben:
  • An potenzielle oder tatsächliche Erwerber, Nachfolger oder Abtretungsempfänger im Rahmen einer Reorganisation, Fusion, eines Verkaufs, eines Joint Ventures, einer Abtretung, einer Übertragung oder sonstigen Verfügung über das gesamte oder einen Teil unseres Unternehmens, unserer Vermögenswerte oder unserer Aktien (einschließlich Insolvenzverfahren oder ähnliche Verfahren).
  • An Behörden und staatliche Stellen soweit wir hierzu gesetzlich verpflichtet sind.
Personenbezogene Daten und sonstige vertrauliche Informationen, die Sie in einem Anliegen oder in sonstigen Nachrichtenverläufen entweder dem Case Manager des Kunden oder unseren Beratern in nicht-anonymisierter Form mitteilen, werden nicht an den Kunden (ihren Arbeitgeber) weitergegeben. Der Kunde erhält solche personenbezogenen Daten oder vertraulichen Informationen nur, dann wenn Sie ihn über unser Kommunikationssystem direkt kontaktieren. Im Einzelfall können wir verpflichtet sein, dem Kunden Einblick in die zwischen Ihnen und unseren Beratern geführten Nachrichtenverläufe zu geben, sofern der Kunde aufgrund seiner öffentlich-rechtlichen Fürsorgepflichten als Arbeitgeber i.S.d. § 618 I BGB sowie des Arbeitsschutzgesetzes (ArbSchG), Arbeitssicherheitsgesetzes (ASiG), der Arbeitsstättenverordnung (ArbStättV), dem Regelwerk der Berufsgenossenschaften und nach Würdigung eines jeweiligen Falles geeignete Maßnahmen einleiten muss. Wir sind berechtigt, Daten zu verarbeiten und offenzulegen, die uns in anonymisierter Form vorliegen, d.h. kein Bezug auf eine Person aufweisen bzw. durch die keine Personen identifizierbar sind.

2.3. Internationaler Datentransfer

Die Übermittlung Ihrer personenbezogenen Daten in ein Drittland ist nicht beabsichtigt. Sämtliche personenbezogene Daten, die wir von Ihnen als Meldende durch die Nutzung unseres Kommunikationssystems erhalten, werden auf Servern in Deutschland gespeichert und verarbeitet. Sofern wir Dienstleister mit Sitz außerhalb der EU einschalten, werden wir geeignete Maßnahmen ergreifen, um sicherzustellen, dass Drittverarbeiter Ihre Informationen in Übereinstimmung mit dem Datenschutzrecht angemessen schützen. Zu diesen Maßnahmen gehört die Unterzeichnung von EU-Standardverträgen und anderen Datenschutzbestimmungen zur Regelung der Übermittlung solcher Daten.

3. Informationen, die wir automatisch erfassen

Wir und unsere Drittanbieter können anonymisierte Daten durch automatisierte Mittel wie Cookies, Web Beacons und Webserver-Protokolle erfassen. Durch die Nutzung unseres Dienstes stimmen Sie der Platzierung von Cookies, Beacons und ähnlichen Technologien in Ihrem Browser zu. Zu den auf diese Weise erfassten Informationen gehören Browser-Merkmale, Geräte-IDs und -Merkmale, Betriebssystemversionen, Sprachpräferenzen, verweisende URLs und Informationen über die Nutzung unserer Website. Wir können diese anonymisierten Daten beispielsweise verwenden, um sicherzustellen, dass unser Leistungsangebot ordnungsgemäß funktioniert, um festzustellen, wie viele Nutzer bestimmte Seiten besucht haben, oder um missbräuchliche oder betrügerische Handlungen zu identifizieren und zu verhindern. Wir verfolgen die Nutzer unseres Kommunikationssystems, d.h. insbesondere unsere Kunden und die Meldenden, weder zeitlich noch über Webseiten Dritter hinweg und reagieren daher nicht auf Do Not Track (DNT)-Signale. Da wir bestrebt sind, Ihre Identität so vertraulich wie möglich zu behandeln, erheben wir weder Ihre IP-Adresse noch verwenden wir Google Analytics unter der oben genannten URL. Um mehr über Cookies zu erfahren, besuchen Sie www.lytt.co/cookies oder http://www.allaboutcookies.org/managecookies/index.html.

4. Dauer der Datenspeicherung

Personenbezogene Daten werden bei uns nicht länger als für die Zwecke, für die sie verarbeitet werden, gespeichert. Die Dauer der Speicherung von Informationen hängt von den Zwecken ab, für die wir sie im Auftrag des Kunden erhoben und verwendet haben. Darüber hinaus können verschiedene Aufbewahrungs- und Dokumentationspflichten bestehen, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgeschriebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. Schließlich richtet sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z. B. nach § 78 StGB und nach den §§ 195 ff. BGB in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.

5. Rechte der Meldenden

5.1. Welche Rechte haben Sie

Sie haben als Meldende/r und als sonst betroffene Person gegenüber dem Kunden, d.h. Ihrem Arbeitgeber, das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Mitteilung nach Art. 19 DSGVO sowie das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungs-rechtlichen oder gerichtlichen Rechtsbehelfs. Sofern die Verarbeitung von Daten auf Grundlage Ihrer Einwilligung erfolgt, sind Sie nach Art. 7 DSGVO berechtigt, die Einwilligung in die Verwendung Ihrer personenbezogenen Daten jederzeit zu widerrufen. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Bitte beachten Sie zudem, dass bestimmte Daten für die Erfüllung gesetzlicher Vorgaben ggf. für einen bestimmten Zeitraum aufbewahrt werden müssen (s. Ziff. 4 dieses Infoblattes). Für die Ausübung Ihrer Rechte können Sie neben unserem Kunden als Verantwortlicher i.S.d. Art. 4 Abs. 7 DSGVO auch uns als Auftragsdatenverarbeiter direkt unter legal@lytt.co kontaktieren. Wir werden alle Anfragen berücksichtigen und unsere Antwort innerhalb der vom geltenden Recht gesetzten Frist geben. Bitte beachten Sie jedoch, dass bestimmte Informationen unter bestimmten Umständen von solchen Anfragen ausgenommen sein können, was auch der Fall sein kann, wenn wir Ihre Daten weiterverarbeiten müssen, um Ihnen Dienstleistungen zu erbringen oder um einer gesetzlichen Verpflichtung nachzukommen. Darüber hinaus ist es Ihnen nicht gestattet, die Informationen anderer Personen oder Unternehmen zu überprüfen. Wir können Sie auffordern, uns die notwendigen Informationen zur Verfügung zu stellen, um Ihre Identität zu bestätigen, bevor wir auf Ihre Anfrage antworten.

5.2. Sind Sie verpflichtet Ihre Daten bereitzustellen?

Meldende sind nicht verpflichtet personenbezogene Daten im Rahmen der Nutzung unseres Kommunikationssystems bereitzustellen. Sie sind somit nicht verpflichtet, Angaben zu Ihren personenbezogenen Daten zu machen. Stand: August 2019