INFORMATIONEN ZU DATENVERARBEITUNGEN IM ZUSAMMENHANG MIT UNSEREM WHISTLEBLOWING-SYSTEM
Im Einklang mit den Bestimmungen des österreichischen HinweisgeberInnenschutzgesetzes ("HSchG") haben wir das Hinweisgebersystem "SecReveal" implementiert, um die Erstattung und Bearbeitung von Meldungen über dieses Hinweisgebersystem zu ermöglichen. Dieses Hinweisgebersystem wird als Webapplikation über unsere Website zur Verfügung gestellt.
Nachfolgend informieren wir, auf welche Weise wir über das Hinweisgebersystem personenbezogene Daten verarbeiten und für welche rechtmäßigen Zwecke wir diese verwenden.
1. Kategorien personenbezogener Daten und Verarbeitungszwecke
Sicherheit der Website
Wenn Sie über unsere Website das Hinweisgebersystem besuchen, übermittelt Ihr Browser automatisch Ihre IP-Adresse sowie andere Informationen über das von Ihnen genutzte System (wie zB verwendete Browser sowie Browser-Version). Die Verarbeitung dieser Daten ist notwendig, um unsere Website auf Ihrem jeweiligen Gerät korrekt zur Verfügung zu stellen. Die Firewall unseres Auftragsverarbeiters überprüft diese Verbindungsdaten durch automatisch erstellte Log-Files, um schädliche Angriffe auf unser System erkennen und verhindern zu können.
Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO –
berechtigtes Interesse an der Aufrechterhaltung der Funktionalität, Stabilität und Sicherheit unserer Website.
Entgegennahme von Meldungen über das Hinweisgebersystem
Das Hinweisgebersystem ist derart gestaltet, Hinweisgebern ein möglichst hohes Maß an Datenschutz zu garantieren. Das Hinweisgebersystem kann anonym ohne Angabe von personenbezogenen Daten genutzt werden, sodass die Wahrung der Anonymität des Hinweisgebers bei Abgabe einer Meldung gewahrt bleiben kann.
Die Übermittlung von Daten erfolgt ausschließlich unter Einsatz von SSL-Verschlüsselung, um die Sicherheit der vom Hinweisgeber bereitgestellten Daten zu gewährleisten. Wir nutzen keine Tracking-Tools oder Third-Party-Cookies auf der Website.
Das Hinweisgebersystem verwendet spezielle Verschlüsselungsmethoden zur Sicherstellung, dass ausschließlich der jeweilige Hinweisgeber sowie unsere zuständigen Compliance-Beauftragten Zugriff auf die bereitgestellte Meldung erhalten. Die in der Meldung enthaltenen Daten werden innerhalb unseres Unternehmens daher ausschließlich an den jeweils zuständigen Compliance-Beauftragten weitergegeben, eine sonstige Weitergabe an Dritte erfolgt (mit Ausnahme der allfälligen Weitergabe an zuständige Behörden oder Gerichte sowie externen Beratern zur weiteren Verfolgung des der Meldung zugrunde liegenden Sachverhalts) nicht. Insbesondere besteht keine Zugriffsmöglichkeit auf Daten innerhalb der Meldung durch unsere Auftragsverarbeiter.
Abhängig davon, welche Daten Sie uns zur Verfügung stellen, verarbeiten wir folgende personenbezogene Daten:
- Identifikationsdaten des Hinweisgebers und des Beschuldigten (zB Name, Personalnummer)
- (private) Kontaktinformationen des Hinweisgebers (zB Adresse, E-Mailadresse, Telefonnummer)
- Funktion im Unternehmen (soweit anwendbar)
- Angaben zum Sachverhalt
- Kommunikation mit dem Compliance-Beauftragten
- Angaben zu Folgemaßnahmen (zB Untersuchungen)
- Technische Sekundärdaten (IP-Adresse des Zugriffs auf das Hinweisgebersystem)
Rechtsgrundlage: Art 6 Abs 1 lit c DSGVO -
Erfüllung einer gesetzlichen Verpflichtung, nämlich Zurverfügungstellung eines internen Hinweisgebersystem gemäß § 8 iVm § 11 HSchG.
Sie können Meldungen über unser Hinweisgebersystem auch ohne Angaben zu Ihrer Identität erstatten. In diesem Fall bleiben Sie anonym.
1.2. Cookies
Die Website für das Hinweisgebersystem verwendet ausschließlich technisch erforderliche Cookies, die zur Gewährleistung der ordnungsgemäßen Funktionalität der Website sowie des Hinweisgebersystems notwendig sind. Die Verwendung von technisch erforderlichen Cookies ist ohne Ihre Einwilligung möglich. Sie können diese Cookies jedoch jederzeit über Ihre Browsereinstellungen deaktivieren.
Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO – berechtigtes Interesse an der ordnungsgemäßen Bereitstellung der Website und des Hinweisgebersystems.
Folgende technisch erforderlichen Cookies werden auf der Website gesetzt:
Cookie Name |
Zweck |
Speicherdauer |
PHPSESSID | Dieses Cookie ist zur Verwaltung Ihrer aktiven Sitzung notwendig. | Session |
1.3.
Empfänger personenbezogener Daten
Bei Verwendung des Hinweisgebersystems können wir die personenbezogenen Daten nachfolgenden Empfängern offenlegen:
- Für das technische Hosting des Hinweisgebersystems: RBS Responsible Business Solutions GmbH mit Sitz in Wien (es werden keine inhaltlichen Daten der Meldung übermittelt, sondern ausschließlich technische Sekundärdaten) sowie die technischen Sub-Auftragsverarbeiter A1 Telekom Austria AG und Wolf Rechtsanwälte GmbH & Co KG
- Wenn eine Offenlegung erforderlich ist (i) aufgrund von Gesetzen, Verordnungen sonstigen Regelungen oder (ii) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, können wir personenbezogene Daten auch gegenüber zuständigen Behörden, wie Aufsichts-, Regulierungs- oder Strafbehörden, Gerichten oder anderen Dritten, die uns in diesem Zusammenhang beraten (z.B. Anwälte, Forensik-Experten oder Auditoren), offenlegen.
Die personenbezogenen Daten werden im Zusammenhang mit dem Hinweisgebersystem ausschließlich innerhalb des EWR verarbeitet; eine Übermittlung in ein Drittland findet daher nicht statt.
1.4 Aufbewahrungsdauer personenbezogener Daten
Logfiles (siehe Punkt 1.1 oben) werden allgemein für einen Zeitraum von 3 Monaten aufbewahrt. Über diesen Zeitraum hinausgehend werden Logfiles nur zum Zwecke der Untersuchung von Unregelmäßigkeiten oder Sicherheitsvorfällen in unseren Systemen gespeichert. Zur Speicherdauer von Cookies im Zusammenhang mit dem Hinweisgebersystem siehe Punkt 1.2 oben.
Generell speichern wir personenbezogenen Daten nur so lange, wie dies für die Erfüllung des Zwecks, für den sie erhoben wurden, erforderlich ist. Sobald eine Meldung geprüft wurde, werden darin enthaltene personenbezogene Daten innerhalb von 5 Jahren nach deren letztmaligen Verarbeitung (idR daher nach Beendigung der Untersuchung) gelöscht, sofern Nachforschungen nicht zu Disziplinarmaßnahmen oder einem gerichtlichen oder behördlichen Vorgehen führen.
Technische Sekundärdaten (IP-Adresse des Zugriffs auf das Hinweisgebersystem) werden ausschließlich in der Firewall des Auftragsverarbeiters verarbeitet und nach 24 Stunden gelöscht.