Mit dieser Datenschutzinformation werden Whistleblower, in die Meldungsverfolgung notwendigerweise involvierte Personen (Art. 13 DSGVO) sowie von der Meldung betroffene Personen (Art. 14 DSGVO) über die Verarbeitung personenbezogener Daten im Rahmen des Whistleblowing Managements informiert. Für Informationen oder bei Fragen rund um das Thema Datenschutz wenden Sie sich bitte an den datenschutzrechtlich Verantwortlichen
Aichinger Consulting e.U.
Gaisbergstrasse 28
5020 Salzburg
Tel.: +43 660 92 59 782
E-Mail: info@theconfidant.at
Betreffend Whistleblower werden jene Daten verarbeitet, die im Zusammenhang mit dem Meldevorgang und der Meldungsaufarbeitung freiwillig bekannt gegeben werden. Dies können z.B. Name, Kontaktdaten, Funktion/Tätigkeit/Verhältnis zum Verantwortlichen aber auch Daten besonderer Kategorien gemäß Art. 9 DSGVO sowie Art. 10 DSGVO sein.
Hinsichtlich von der Meldung betroffener Personen werden jene Daten verarbeitet, die vom Whistleblower oder in die Meldungsaufarbeitung notwendigerweise involvierten Personen bekannt gegeben werden. Dies können z.B. Name, Kontaktdaten, Funktion/Tätigkeit/Verhältnis zum Verantwortlichen aber auch Daten besonderer Kategorien gemäß Art. 9 DSGVO sowie Art. 10 DSGVO sein.
Von MitarbeiterInnen des Auftraggebers werden im Zusammenhang mit der Meldungsaufarbeitung Vorname, Nachname, betriebliche Kontaktdaten, Funktion/Aufgabenbereich und gegebenenfalls im Rahmen der Meldungsaufbereitung bekannt gegebene Daten verarbeitet.
Die Datenverarbeitung erfolgt zum Zweck der Erfüllung des mit dem Auftraggeber abgeschlossenen Whistleblowing Management Vertrages, dessen Inhalt nach sich der Verantwortliche zur Meldungsaufarbeitung im Sinne des HSchG verpflichtet hat.
Die Datenverarbeitung erfolgt daher aufgrund der mit der Erfüllung des Vertrages mit dem Auftraggeber verbundenen
· Einwilligung zur Identitätsoffenlegung/Datenweitergabe (HSchG, Art. 6 Abs. 1 lit. a DSGVO)
· Erfüllung der Vorgaben des auf Unionsrecht beruhenden HSchG (Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1. lit. c DSGVO)
· Geltendmachung, Ausübung und/oder Verteidigung von Rechtsansprüchen (Art.6 Abs. 1 lit. f DSGVO
· Einwilligung zur Identitätsoffenlegung/Datenweitergabe (HSchG, Art. 9 Abs. 2 lit. a DSGVO)
· Geltendmachung, Ausübung und/oder Verteidigung von Rechtsansprüchen (Art.9 Abs. 2 lit. f DSGVO
· Erfüllung der Vorgaben des auf Unionsrecht beruhenden HSchG (Gründe eines erheblichen öffentlichen Interesses, Art. 9 Abs. 2 lit. g DSGVO)
Empfänger der personenbezogenen Daten sind
· Auftraggeber: Jenes Unternehmen, in dessen Auftrag das Whistleblowing Managementsystem betrieben wird.
· Dienstleister Systemsoftware (fobi solutions GmbH, Steinsiedlung 11, 4222 St. Georgen an der Gusen) für Softwarebetrieb, -wartung und -support als Auftragsverarbeiter gemäß Art. 28 DSGVO
· Gerichte und Behörden
Personenbezogene Daten werden grundsätzlich innerhalb der EU bzw. in Staaten für die ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt und damit ein im Sinne der DSGVO angemessenes Schutzniveau für personenbezogene Daten besteht, verarbeitet.
Notwendigerweise verarbeitete personenbezogene Daten müssen gemäß § 8 Abs. 11 HSchG ab ihrer letztmaligen Verarbeitung oder Übermittlung fünf Jahre und darüber hinaus so lange aufbewahrt werden, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist.
Tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen müssen gemäß § 8 Abs. 12 HSchG protokolliert werden. Diese Protokolldaten müssen ab ihrer letztmaligen Verarbeitung oder Übermittlung bis drei Jahre nach Entfall der Aufbewahrungspflicht gemäß § 8 Abs. 11 HSchG (5 Jahre ab letztmaliger Verarbeitung und darüber hinaus soweit zur Durchführung von Verfahren notwendig) aufbewahrt werden.
Die Nichtbereitstellung von Daten führt zu keinerlei Konsequenzen, da eine anonyme Meldung möglich ist.
Es erfolgt keine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO.
Hinsichtlich der personenbezogenen Daten besteht ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch sowie hinsichtlich einer erteilten Einwilligung das Recht auf jederzeitigen Widerruf der Einwilligung. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Verstöße gegen geltendes Datenschutzrecht oder Verletzungen datenschutzrechtlicher Rechte und Pflichten können vor der Österreichischen Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, geltend gemacht werden. Darüber hinaus steht es Ihnen frei, gerichtliche Hilfe in Anspruch zu nehmen, wenn Sie der Ansicht sind, dass eine Datenschutzrechtsverletzung vorliegt.
Weitere Informationen zu den Betroffenenrechten finden Sie in Anhang./1 zu dieser Information.
Solange und soweit dies zum Schutz der Identität eines Whistleblowers, einer den Whistleblower bei der Hinweisgebung unterstützenden Person, einer Person im Umfeld des Whistleblowers, die von Vergeltungsmaßnahmen betroffen sein kann, finden
· insbesondere um Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen aufgrund von Hinweisen zu unterbinden,
· insbesondere für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO,
· die in den Ziffern 1) bis 6) aufgezählten Rechte einer von einem Hinweis betroffenen natürlichen Person und
· die in den Ziffern 1) bis 5) und Ziffer 7) enthaltenen Rechte einer von einem Hinweis betroffenen juristischen Person keine Anwendung (Art. 23 DSGVO iVm § 8 HSchG).
1) Recht auf Information (§ 43 DSG, Art. 13 und 14 DSGVO)
2) Recht auf Auskunft (§ 1 Abs. 3 Z 1 und § 44 DSG, Art. 15 DSGVO)
3) Recht auf Berichtigung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 16 DSGVO)
4) Recht auf Löschung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 17 DSGVO)
5) Recht auf Einschränkung der Verarbeitung (§ 45 DSG, Art. 18 DSGVO)
6) Recht auf Widerspruch (Art. 21 DSGVO)
7) Recht auf Benachrichtigung über eine Datenschutzverletzung (§ 56 DSG und Art. 34 DSGVO)
Betroffene Personen haben nach der DSGVO verschiedene Rechte, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben. Diese Rechte beinhalten:
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, jederzeit von dem für die Verarbeitung Verantwortlichen Auskunft darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden. Weiters besteht das Recht, unentgeltlich Auskunft über die zur Person gespeicherten personenbezogenen Daten und eine Kopie dieser Daten zu erhalten.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, vom Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht aus anderen Gründen weiterhin erforderlich ist:
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gem. Art. 20 Abs. 1 DSGVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Die Verarbeitung personenbezogener Daten hat im Falle des Widerspruchs zu unterbleiben, es sei denn, es können zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung im Sinne von „Direct Marketing“ zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so dürfen personenbezogene Daten nicht mehr für diese Zwecke verarbeitet werden.
Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die allenfalls zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem. Art. 89 Abs. 1 DSGVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, sind angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Aktuell erfolgen keine automatisierten Entscheidungsfindungen nach Art. 22 DSGVO.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.
Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft per E-Mail an beratung@aichinger-consulting.at, über das Kontaktformular, per Brief an Aichinger Consulting e.U., Gaisbergstraße 28, 5020 Salzburg oder auf andere Art schriftlich oder mündlich widerrufen werden.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Mit Ausübung Ihres Widerrufsrechts werden Ihre Daten gelöscht, sofern keine gesetzliche Verpflichtung zur Aufbewahrung gem. Art. 6 Abs. 1 lit. c DSGVO besteht oder ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO an der Ausübung, Durchsetzung oder Abwehr von Rechtsansprüchen die weitere Aufbewahrung rechtfertigt.
Verstöße gegen geltendes Datenschutzrecht oder Verletzungen datenschutzrechtlicher Rechte und Pflichten können vor der Österreichischen Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, geltend gemacht werden.
Darüber hinaus steht es Ihnen frei, gerichtliche Hilfe in Anspruch zu nehmen, wenn Sie der Ansicht sind, dass eine Datenschutzrechtsverletzung vorliegt.
