Datenschutz

DATENSCHUTZINFORMATION HINWEISGEBERSYSTEM


Wir nehmen Datenschutz sehr ernst und räumen diesem einen hohen Stellenwert ein. Wir behandeln daher sämtliche Daten vertraulich und entsprechend den gesetzlichen nationalen und europäischen Rechtsvorschriften im Bereich Datenschutz und Datensicherheit. 

Das Hinweisgebersystem der Altstoff Recycling Austria Aktiengesellschaft (ARA) und der ARAplus GmbH ist Teil des Compliance-Management Systems und dient dazu, Hinweise auf Compliance-Vorfälle auf einem sicheren und vertraulichen Weg – auch anonym – entgegenzunehmen, zu bearbeiten und zu verwalten. 

Für eine anonyme Erstattung von Hinweisen sowie zur Bearbeitung sämtlicher erhaltener Hinweise nützen wir die webbasierte Integritätsplattform iwhistle (https://ara.iwhistle.at).

Die nachstehende Datenschutzinformation dient der Umsetzung der datenschutzrechtlichen Informationspflichten nach Art 13 DSGVO (wenn Sie selbst Daten und Hinweise an das Hinweisgebersystem offenlegen) oder nach Art 14 DSGVO (wenn im Zuge einer Hinweisbearbeitung Daten und Hinweise über Ihre Person verarbeitet werden). Dies soll Ihnen ausreichende Informationen bieten wie die Daten im Rahmen des Hinweisgebesystems (insbesondere im Rahmen der Integritätsplattform iwhistle (AdvoWhistle) verarbeitet werden und welcher Schutz (insbesondere Ihrer Identität) geboten wird.


1. WER IST FÜR DIE DATENVERARBEITUNG VERANTWORTLICH UND AN WEN KÖNNEN SIE SICH WENDEN?


Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten sind:

  • Altstoff Recycling Austria Aktiengesellschaft, FN 38398v, Mariahilfer Straße 123, 1060 Wien
  • ARAplus GmbH, FN 416139w, Mariahilfer Straße 123, 1060 Wien


Unseren Compliance-Beauftragten, der auch für Datenschutz zuständig ist, erreichen Sie unter nachfolgenden Kontaktdaten:

  • postalisch: Altstoff Recycling Austria AG, c\o Compliance, Mariahilfer Straße 123, 1060 Wien
  • E-Mail: datenschutz(at)ara.at



2. WELCHE DATEN WERDEN VERARBEITET?


Bei Hinweisen können folgende personenbezogene Datenkategorien verarbeitet werden:

  • Hinweisgeber: Name (sofern Sie Ihre Identität offenlegen), Kontaktdaten (sofern Sie diese zur Verfügung stellen), sonstige Informationen zum Hinweisgeber;
  • Betroffene Person: Name, Informationen über Compliance-Vorfälle und Verdacht auf Compliance-Vorfälle gegen eine betroffene Person, sonstige Informationen zur betroffenen Person;
  • Zeugen/Dritte die im Hinweis genannt oder eruiert werden (bspw. Kunden, Lieferanten, KollegInnen oder sonstige Geschäftspartner): Name, Kontaktdaten, sonstige Informationen zum Zeugen/Dritten;
  • Hinweis-Informationen: Informationen und Daten, die im Rahmen der Hinweisgebung offengelegt werden (insbesondere: Zeitpunkt/-dauer des Vorfalls, betroffene Person, betroffener Bereich, Beschreibung des Vorfalls);
  • Dokumente/Unterlagen/Bilder, die im Rahmen der Hinweisgebung offengelegt werden;
  • Kommunikationsdaten/Schriftverkehr;
  • Prüfung, Einschätzung und Maßnahmen: Informationen und Daten darüber;
  • Daten zur und über die interne Stelle (Hinweisgeber-Team).



3. INFORMATION ÜBER COOKIES


soweit Sie https://ara.iwhistle.at besuchen, nutzen oder einen Hinweis über den Meldekanal dieser Plattform abgeben oder über die Plattform mit der internen Stelle kommunizieren.

Für die Dauer der Verwendung von ara.iwhistle.at wird eine sog. Session-ID (Sitzungskennung) vergeben, die auf Ihrem Endgerät in einem sogenannten Cookie gespeichert wird. Dies dient ausschließlich dazu, dass die Integritätsplattform Ihre Eingaben auch bei einem längeren Aufenthalt zutreffend miteinander verknüpfen kann. Diese Verarbeitung ist technisch notwendig, weil diese für den technischen Betrieb grundlegender Funktionen unserer Webseite unbedingt erforderlich ist. Mit Schließen der Website bzw. Ihres Browsers wird das Cookie funktionslos. Das Cookie dient keiner websiteübergreifenden Nachverfolgung oder der Optimierung von Werbung. Das Cookie kann technisch nicht genutzt werden, um Ihre Identität aufzudecken.



4. WOFÜR (VERARBEITUNGSZWECKE) UND AUF WELCHER RECHTSGRUNDLAGE VERARBEITEN WIR IHRE DATEN?


4.1. Verarbeitungszweck


Die unter Punkt 2. genannten Daten werden zu nachstehenden Zwecken verarbeitet:


Das Hinweisgebersystem soll die Bereitschaft von rechtmäßigen Verhalten fördern, gewährleisten und stärken.


Durch das Hinweisgebersystem sollen ernstlich mögliche, geplante, drohende, bevorstehende oder bereits eingetretene oder andauernde Rechtsverletzungen, insbesondere

  • Verstöße gegen Rechtsvorschriften aus den unter Punkt 4.2 genannten Bereichen (Themenfeldern),
  • Verstöße gegen deren Ziel und Zweck,
  • erhebliche Missstände und Unregelmäßigkeiten aus diesen Bereichen (Themenfeldern) sowie
  • (versuchte) Verschleierungshandlungen darüber


vermieden, abgestellt und aufgeklärt werden.

Ebenso erfolgt die Verarbeitung und Einrichtung einer internen Stelle eines Hinweisgebersystems auch zum Zweck der Vermeidung/Abwehr von Rechtsfolgen und Schäden (unter anderem Strafverfolgung, Schadensersatzforderungen, Imageschaden, Aufsichtsmaßnahmen) sowohl für die Verantwortlichen als auch für deren MitarbeiterInnen.

Außerdem erfolgt die Verarbeitung zum Zweck die gesetzlichen Vorgaben nach dem österreichischen HinweisgeberInnenschutzgesetz (BGBl. I Nr. 6/2023), der EU-Whistleblower-Richtlinie (EU) 2019/1937 sowie um Vorgaben und best practice Maßnahmen nach der ISO-Norm 37301:2021 umzusetzen und zu gewährleisten, und um unternehmerischen Sorgfaltspflichten zu entsprechen.

Hinweise sind für nachstehende Bereiche vorgesehen:

4.2. Bereiche für die eine Hinweisgebung erfolgt


4.2.1. Gesetzlich verpflichtend:

·         Umweltschutz, insbesondere Abfall- und Verpackungsrecht (§ 3 Absatz 3 Ziffer 5 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Kartell- und Wettbewerbsrecht § 3 Absatz 5 HinweisgeberInnenschutzgesetz (BGBl. I Nr. 6/2023)

·         Datenschutz inklusive Schutz der Privatsphäre und Netz- und Informationssicherheit (§ 3 Absatz 3 Ziffer 10 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Korruptions-Straftat (§ 3 Absatz 3 Ziffer 1 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Geldwäsche oder Terrorismusfinanzierung § 3 Absatz 3 Ziffer 2 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023

·         Verkehrssicherheit § 3 Absatz 3 Ziffer 4 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023

·         Produktsicherheit und -konformität (§ 3 Absatz 3 Ziffer 3 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Verbraucherschutz (§ 3 Absatz 3 Ziffer 9 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Körperschaftsteuer (Binnenmarktvorschriften zu Körperschaftsteuer-Vorschriften (§ 3 Absatz 5 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Finanzdienstleistungen, Finanzprodukte, Finanzmärkte (§ 3 Absatz 3 Ziffer 2 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Finanzielle Interessen der Europäischen Union: Rechtsverletzungen zum Nachteil der finanziellen Interessen der Union (§ 3 Absatz 4 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         EU-Vorschriften zu staatlichen Beihilfen (§ 3 Abs 5 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         EU-Binnenmarkt insbesondere Dienstleistungs-, Waren- und Niederlassungsfreiheit, Arbeitsnehmerfreizügigkeit (§ 3 Absatz 5 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Öffentliche Gesundheit (§ 3 Absatz 3 Ziffer 8 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Lebensmittel- oder Futtermittelsicherheit (§ 3 Absatz 3 Ziffer 7 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023))

·         Tiergesundheit und Tierschutz (§ 3 Absatz 3 Ziffer 7 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)

·         Strahlenschutz und nukleare Sicherheit (§ 3 Absatz 3 Ziffer 6 HinweisgeberInnenschutzgesetz, BGBl. I Nr. 6/2023)


4.2.2      Freiwillig eingerichtet:


·         Business Ethics (Code of Business Ethics der Altstoff Recycling Austria AG)

·         Vermittler und Lobbyisten (Verletzung von unternehmensinternen Regeln hierzu sowie des Lobbying- und Interessenvertretungs-Transparenz-Gesetzes)

4.3 Rechtsgrundlage:


Die Verarbeitung erfolgt aufgrund nachstehender Rechtsgrundlagen:

Soweit die Verarbeitung für einen gesetzlich verpflichteten Bereich (oben genannt gemäß Punkt 4.2.1.) erfolgt, ist die Rechtsgrundlage für die Verarbeitung:

  • eine rechtliche Verpflichtung (gemäß Art 6 Abs 1 lit c DSGVO sowie Art 9 Abs 2 lit g) DSGVO und Art 10 DSGVO ) zur Einhaltung der Vorgaben nach dem HinweisgeberInnenschutzgesetz (BGBl. I Nr. 6/2023) im Zusammenhang mit der EU-Whistleblower-Richtlinie (EU) 2019/1937 vom 23.10.2019(insbesondere § 8 Abs 1 HSchG);
  • für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (gemäß Art 6 Abs 1 lit e) DSGVO). Die Einrichtung von unternehmensinternen Hinweisgebersystemen zur Aufklärung und Abstellung von Rechtsverletzungen liegt im öffentlichen Interesse;
  • beruht die Verarbeitung auf dem überwiegenden berechtigten Interesse der ARA bzw. ARAplus (gemäß Art 6 Abs 1 lit f DSGVO), welches darin besteht, die oben genannten Zwecke (Punkt 4.1.) zu erreichen sowie nachstehender Interessen:


  o    Vermeidung, Abstellung und Aufklärung von  ernstlich möglichen, geplanten, drohenden, bevorstehenden oder bereits eingetretenen oder andauernden Rechtsverletzungen, erhebliche Missstände und Unregelmäßigkeiten aus den unter Punkt 4.2 genannten Bereichen (Themenfeldern), Verstöße gegen Ziel und Zweck der unter Punkt 4.2 genannten Bereiche (Themenfeldern sowie (versuchte) Verschleierungshandlungen darüber;

  o    Richtiges, rechtmäßigen bzw. compliancekonformes Verhalten gewährleisten, fördern und stärken;

  o    Rechtsverteidigung und Schutz vor Rechtsverletzungen, Schäden und Haftungen der Verantwortlichen und ihrer MitarbeiterInnen;

  o    Betrieb eines unternehmensinternen Compliance Management Systems nach ISO 37301:2021;

  o    Umsetzung von vertraglichen Compliancepflichten, die gegenüber Kund:innen oder Lieferant:innen vom Verantwortlichen eingegangen wurden;

  o    Vermeidung von negativen Folgen, die durch die Nicht-Umsetzung von gesetzlichen Pflichten zur Einrichtung eines internen Hinweisgebersystems oder unternehmerischen Sorgfaltspflichten entstehen können;

  o    Sicherstellung eines fehlerfreien und funktionierenden Unternehmensbetriebes der Verantwortlichen.

  o   Abschluss, Änderung, Aufrechterhaltung und Beendigung von Arbeitsverträgen und sonstige arbeitsrechtliche Folgemaßnahmen, Arbeitsrecht, Arbeitsvertragsbeziehungen
 
Soweit die Verarbeitung für einen freiwillig eingerichteten Bereich (oben genannt gemäß Punkt 4.2.2.) erfolgt, ist die Rechtsgrundlage für die Verarbeitung das überwiegend berechtigte Interesse der ARA bzw. ARAplus (gemäß Art 6 Abs 1 lit f DSGVO), wie obenstehend genannt.

 

Bei allen Hinweisbereichen (-themen) kann bei Vorliegen einer Einwilligung darüber hinaus die Rechtsgrundlage der Verarbeitung im Einzelfall auch eine Einwilligung (gemäß Art 6 Abs 1 lit a DSGVO) sein. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft an die unter den in Pkt. 1 angegebenen Kontaktdaten widerrufen werden. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf verarbeiteten Daten nicht berührt.

Bei allen Hinweisbereichen (-themen) kann bei Vorliegen eines Vertragsverhältnisses oder vorvertraglichen Schuldverhältnisses darüber hinaus die Rechtsgrundlage der Verarbeitung im Einzelfall auch eine Vertragserfüllung oder vorvertragliche Maßnahme (gemäß Art 6 Abs 1 lit b) DSGVO) sein. 


5. WOHER STAMMEN MEINE DATEN (QUELLE)?


Personenbezogene Daten, die im Rahmen des Hinweisgebersystems erhoben und verarbeitet werden, stammen grundsätzlich:

  • von einem Hinweisgeber,
  • aus eigener Erhebung der internen Stelle, die das Hinweisgebersystems bearbeiten,
  • von einer betroffenen Person oder
  • von einer dritten Person, die nicht Hinweisgeber oder betroffene Person ist und von der internen Stelle beispielsweise befragt wird (dies kann auch externe Dienstleister wie beispielsweise Rechtsanwälte oder IT-Dienstleister umfassen).


6. WER ERHÄLT MEINE DATEN (Empfänger der Daten)?


6.1. Innerhalb der Organisation hat nur ein eingeschränkter Personenkreis (Hinweisgeber Team) Zugriff auf diese Daten, um die gemeldeten Vorfälle zu prüfen, Untersuchungen einzuleiten, durchzuführen und soweit erforderlich Abhilfemaßnahmen zu treffen.

Im Rahmen der Prüfungen, Untersuchungen und zu treffenden Abhilfemaßnahmen kann es erforderlich sein, Informationen zu einem gemeldeten Vorfall an Mitarbeiter anderer Abteilungen (wie der Personalabteilung, der Internen Revision oder der Geschäftsleitung) oder an externe Berater (z.B. juristische Berater) oder an die zuständigen Behörden zu übermitteln. 


6.2. Informationen zum Schutz der Identität des Hinweisgebers/ der Hinweisgeberin:

Der Schutz der Identität des Hinweisgebers/der Hinweisgeberin ist uns sehr wichtig!

Wir schützen Ihre Identität daher, soweit dies gesetzlich zulässig und rechtlich möglich ist. Der Schutz Ihrer Identität als Hinweisgeber/Hinweisgeberin ist der Regelfall - nur das Hinweisgeber-Team kennt Ihre Identität! Dies erfasst auch Informationen, aus denen Ihre Identität direkt oder indirekt abgeleitet werden kann. 

Es erfolgt im Regelfall keine Weitergabe an andere Personen (Empfänger) außer dem Hinweisgeber-Team. Soweit dies zur Zweckerreichung (Aufklärung und Folgemaßnahmen) erforderlich ist, können im Einzelfall Personen nach dem Need-to-Know Prinzip in das Hinweisgeber-Team bzw. die Bearbeitung einbezogen werden. Diese Personen unterliegen dann aber denselben Verschwiegenheitsverpflichtungen wie das Hinweisgeber-Team.

Unsere Möglichkeiten Ihre Identität zu schützen, enden jedoch dort, wo uns das Gesetz verpflichtet Ihre Identität im Ausnahmefall offen zu legen. Eine Offenlegung gegenüber bestimmten Personen oder Behörden/Gerichten kann deswegen in Ausnahmefällen erfolgen.


Dies kann insbesondere dann eintreten, wenn

  • eine Verwaltungsbehörde, ein Gericht oder die Staatsanwaltschaft in einem Verfahren die Offenlegung Ihrer Identität für unerlässlich und im Hinblick auf eine Gefährdung der Person der Hinweisgeberin oder des Hinweisgebers im Hinblick auf die Stichhaltigkeit und Schwere der erhobenen Vorwürfe für verhältnismäßig hält (siehe § 7 Abs 3 HSchG);
  • andere Personen einen bestehenden Rechtsanspruch auf Offenlegung haben (siehe hierzu auch unsere Erläuterungen unter Punkt 9.2.).


Wenn ein Hinweis in den Anwendungsbereich des HinweisgeberInnenschutzgesetzes fällt (siehe auch Bereiche/Themen in Punkt 4.2.1.) besteht jedenfalls eine gesetzliche Pflicht zum Schutz des Hinweisgebers/der Hinweisgeberin. Bei Ansprüchen Dritter besteht der Schutz Ihrer Identität, solange dies zur Erreichung der gesetzlichen Zwecke und zum Schutz Ihrer Identität erforderlich ist (§ 8 Abs 9 HSchG).

Wenn kein Anwendungsbereich des HinweisgeberInnenschutzgesetzes vorliegt (siehe auch Bereiche/Themen in Punkt 4.2.2.) besteht dieser gesetzliche Schutz nicht. Wir verpflichten uns dennoch Ihre Identität zu schützen, soweit dies gesetzlich zulässig und rechtlich möglich ist. Dies ist im Unternehmen und gegenüber Führungskräften insbesondere durch eine unternehmensinterne Organisationsrichtlinie geregelt, die Ihren Schutz der Gesetzeslage gleichgestellt. Soweit andere Personen jedoch einen Rechtsanspruch durchsetzen, beachten Sie, dass wir im Einzelfall Ansprüche nicht vollumfassend abwehren und verhindern können (Erläuterungen unter Punkt 9.2.).


6.3. Schutz der Identität von Personen, die von einem Hinweis betroffen sind:

Ebenso ist uns der Schutz der Identität von Personen, die von einem Hinweis betroffen sind, sehr wichtig! Dies insbesondere vor dem Hintergrund, wenn sich ein Hinweis oder eine Verdächtigung nach der Aufklärung als unrichtig herausstellt.

„Von einem Hinweis betroffen“ ist die betroffene Person, gegen die sich der Hinweis (bzw. Verdächtigung) richtet. Es sind aber auch sonstige Personen, gegen die sich der Hinweis nicht richtet, aber deren Identität im Rahmen der Bearbeitung des Hinweises verarbeitet werden, erfasst (z.B. Zeug:innen).

Grundsätzlich gilt, dass oben unter Punkt 6.2. zum Schutz der Identität ausgeführte auch für von einem Hinweis Betroffenen.


Wenn ein Hinweis in den Anwendungsbereich des HinweisgeberInnenschutzgesetzes fällt (siehe auch Bereiche/Themen in Punkt 4.2.1.) besteht auch eine gesetzliche Pflicht zum Schutz der Identität des vom Hinweis betroffenen.

Wenn kein Anwendungsbereich des HinweisgeberInnenschutzgesetzes vorliegt (siehe auch Bereiche/Themen in Punkt 4.2.2.) besteht dieser gesetzliche Schutz nicht. Wir schützen dennoch die Identität, soweit dies gesetzlich zulässig ist durch eine unternehmensinterne Organisationsrichtlinie, die den Schutz der Gesetzeslage gleichgestellt.

Unsere Möglichkeiten die Identität zu schützen, enden jedoch dort, wo uns das Gesetz verpflichtet die Identität im Ausnahmefall offen zu legen. Eine Offenlegung gegenüber bestimmten Personen oder Behörden/Gerichten kann deswegen in Ausnahmefällen erfolgen.

Es besteht aber kein Schutz der Identität von Personen, die von einem Hinweis betroffen sind - anders als beim/bei der Hinweisgeber:in - soweit dies zur Erreichung eines überwiegenden berechtigten Interesses des Verantwortlichen (siehe Punkt 4.3., insbesondere Aufklärung und Folgemaßnahmen) erforderlich ist. Beispielsweise: Entscheidung über eine Kündigung oder Entlassung oder sonstige Folgemaßnahme. Diese Offenlegung kann im Unterschied zum Hinweisgeber/Hinweisgeberin daher auch gegenüber Führungskräften oder der Geschäftsleitung erforderlich und zulässig sein.


6.4. Die Integritätsplattform iwhistle wird durch ein darauf spezialisiertes Unternehmen - nämlich der iComply GmbH, Franz-Grödel-Str. 8, 61231 Bad Nauheim in Deutschland - in unserem Auftrag betrieben. Die iComply GmbH ist vertraglich zu strikter Vertraulichkeit und zur Einhaltung sämtlicher datenschutzrechtlicher Anforderungen verpflichtet.

Ferner arbeitet diese ausschließlich mit einem deutschen Rechenzentrumsbetreiber, welcher ISO 27001 zertifiziert sein muss, zusammen. Der Rechenzentrumsbetreiber hat keinen Zugriff auf Daten jeglicher Art, er dient ausschließlich der Speicherung der Applikation sowie der in ihr hinterlegten Daten. Den aktuellen Rechenzentrumsbetreiber finden Sie auf der Homepage der iComply GmbH unter https://www.advowhistle.de/.



7. ÜBER WELCHE DATENSICHERHEITMASSNAHMEN VERFÜGT DIE INTEGRITÄTSPLATTFORM iwhistle?


7.1. Personenbezogene Daten und Informationen, die in die Integritätsplattform eingegeben werden, werden in einer von der iComply GmbH betriebenen Datenbank in einem ISO/IEC 27001 zertifizierten Rechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur der ARA bzw. ARAplus möglich. Die iComply GmbH und andere Dritte haben keinen Zugang zu den Daten. Dies wird in einem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.


Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert, sodass der Zugang auf einen sehr engen Kreis ausdrücklich autorisierter Personen der ARA bzw. ARAplus beschränkt ist.

Die Kommunikation zwischen Ihrem Endgerät und der Integritätsplattform iwhistle erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Endgeräts wird während der Nutzung der Integritätsplattform nicht gespeichert.

7.2. anonymer Dialog


Sie haben die Möglichkeit, mit einem automatisch und einmalig generierten Benutzernamen sowie (abänderbares) Kennwort einen geschützten Postkasten in der Integritätsplattform einzurichten. Auf diese Weise können Sie Compliance anonym und sicher Hinweise senden und Rückfragen/-meldungen lesen (anonymer Dialog). Bei diesem System sind die Daten ausschließlich in der Integritätsplattform gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine E-Mail-Kommunikation.


7.3. Anhänge


Wenn Sie anonym einen Hinweis abgeben möchten, beachten Sie bei Abgabe des Hinweises über die Integritätsplattform bzw. beim Versand von Ergänzungen bei Anhängen über Ihren geschützten Postkasten bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Hinweistext oder übermitteln Sie das gedruckte Dokument anonym über einen anderen Kanal.


8. WIE LANGE WERDEN DATEN GESPEICHERT?


Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert oder ein berechtigtes Interesse des Unternehmens besteht oder dies aufgrund eines Gesetzes erforderlich ist. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.

Die Daten werden aufgrund der gesetzlichen Aufbewahrungspflicht gemäß § 8 Abs 11 HSchG deswegen jedenfalls fünf Jahre lang ab ihrer letztmaligen Verarbeitung oder Übermittlung verarbeitet. Danach erfolgt eine Löschung außer die Verarbeitung ist zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der Strafprozessordnung oder aufgrund eines überwiegend berechtigten Interesses des Unternehmens oder es ist aufgrund eines Gesetzes erforderlich. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.

Protokolldaten über durchgeführte Verarbeitungsvorgänge werden aufgrund der gesetzlichen Aufbewahrungspflicht gemäß § 8 Abs 12 HSchG drei Jahre nach Entfall der obigen 5-jährigen Aufbewahrungspflicht gelöscht.


9.  WELCHE DATENSCHUTZRECHTE STEHEN IHNEN ZU?


9.1. Ihre Datenschutz-Rechte

Sie haben das Recht, auf Antrag unentgeltlich Auskunft über die zu Ihrer Person verarbeiteten Daten zu erhalten sowie das Recht auf Information gemäß Art 15 DSGVO, unter anderem über den Zweck der Datenverarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, verfügbare Informationen über die Herkunft, die möglichen Empfänger:innen und die Dauer der Verarbeitung.

Zusätzlich haben Sie gemäß der DSGVO das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art 16), auf Löschung personenbezogener Daten (Art 17) und auf Einschränkung der Verarbeitung personenbezogener Daten (Art 18). Darüber hinaus haben Sie gemäß der DSGVO das Recht, gegen die Verarbeitung Ihrer Daten, Widerspruch zu erheben (Art 21), soweit die Verarbeitung aufgrund eines überwiegend berechtigten Interesses erfolgt. Wenn die Verarbeitung aufgrund eines Vertrages oder vorvertraglicher Maßnahmen oder einer Einwilligung erfolgt, haben Sie auch das Recht auf Datenübertragbarkeit im Rahmen des Art 20 DSGVO.

Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns unter den in Punkt 1. angegebenen Kontaktdaten wenden. Unter dieser Kontaktmöglichkeit können Sie ebenso diese oder eines dieser Rechte geltend machen.



9.2. EINSCHRÄNKUNG IHRER RECHTE


Diese Ihnen zustehenden obengenannten Rechte nach der DSGVO sowie unsere Pflicht auf Information (Art 14 DSGVO) und Benachrichtigung (Art 34 DSGVO) sind jedoch gemäß § 8 Abs 9 österreichisches HinweisgeberInnenschutzgesetz (BGBl. I Nr. 6/2023) eingeschränkt.

Diese Rechte stehen Ihnen nicht zu bzw. trifft uns keine Informationspflicht nach Art 14 DSGVO und Benachrichtigungspflicht nach Art 34 DSGVO, wenn

  • ein Anwendungsbereich des HinweisgeberInnenschutzgesetzes vorliegt (siehe auch Bereiche/Themen in Punkt 4.2.1.) und
  • diese Einschränkung zum Schutz der Identität des Hinweisgebers oder einer betroffenen (beschuldigten) Person und zur Erreichung des Verarbeitungszweckes erforderlich ist.


Wenn kein Anwendungsbereich des HinweisgeberInnenschutzgesetzes vorliegt (siehe auch Bereiche/Themen in Punkt 4.2.2.), ist unsere Pflicht auf Information (Art 14 DSGVO) dennoch eingeschränkt, wenn durch die Information die Verwirklichung der verfolgten Ziele voraussichtlich verunmöglicht oder ernstlich beeinträchtigt werden (Art 14 Abs 4 lit b) 3. Fall DSGVO).

Zusätzlich kann Ihr Recht auf Auskunft (Art 15 DSGVO) eingeschränkt sein und von uns nur eingeschränkt Auskunft erteilt werden, wenn durch eine vollständige Auskunft in die Rechte und Freiheiten anderer Personen (insbesondere Geschäftsgeheimnisse, Rechte auf geistiges Eigentum, Urheberrechte) eingegriffen wird (Art 15 Abs 4 DSGVO). Dies kann insbesondere dann der Fall sein, wenn in einer Nachricht personenbezogene Daten Anderer enthalten sind.

Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns unter den in Punkt 1. angegebenen Kontaktdaten wenden. Unter dieser Kontaktmöglichkeit können Sie ebenso diese oder eines dieser Rechte geltend machen.


9.3. Ihr Recht auf Beschwerde

Schließlich haben Sie das Recht Beschwerde bei der Aufsichtsbehörde zu erheben. In Österreich ist die Datenschutzbehörde der Republik Österreich (www.dsb.gv.at) zuständig.


10. ÄNDERUNG DER DATENSCHUTZINFORMATION

Wir behalten uns vor, diese Datenschutzinformation zu ändern, aktuellen Gegebenheiten und gesetzlichen Neuerungen anzupassen.



Stand: 17.12.2023