Wir betreiben ein den Anforderungen des HinweisgeberInnenschutzgesetz (HSchG) entsprechendes internes Hinweisgebersystem. Zur damit verbundenen Datenverarbeitung informieren wir Sie wie folgt:
Verantwortliche Stelle
Für die Betreibung unseres internen Hinweisgebersystems sind gemeinsam verantwortlich im Sinne des Art 26 DSGVO:
Zweck der Datenverarbeitung:
Der Zweck der Datenverarbeitung im Rahmen unseres internen Hinweisgebersystems besteht in:
- der Bearbeitung von Meldungen gemäß HSchG,
- dem Schutz bestimmter Personen gemäß § 2 HSchG bei Hinweisen auf Rechtsverletzungen im Zusammenhang mit der Tätigkeit eines Rechtsträgers des privaten Sektors,
- der Bearbeitungen von Meldungen zu sonstigen schwerwiegenden Compliance-Angelegenheiten und
- der Weiterleitung notwendiger Daten zur Bearbeitung von (potentiellen) Rechtsverstößen an die mit der Aufklärung befassten internen und externen Stellen, soweit gesetzlich vorgeschrieben oder im Interesse der FACC AG, der FACC Operations GmbH oder der CoLT Prüf und Test GmbH oder Dritter, wenn ein entsprechendes öffentliches Interesse daran besteht.
Eine Weiterverarbeitung Ihrer Daten zu anderen Zwecken durch die interne Meldestelle erfolgt nicht.
Rechtsgrundlage und berechtigte Interessen
- Art 6 Abs 1 lit c DSGVO: Richtlinie (EU) 2019/1937 vom 23. Oktober 2019; HSchG
- Art. 6 Abs 1 lit f DSGVO: zur Wahrnehmung berechtigter Interessen der FACC AG, der FACC Operations GmbH, der CoLT Prüf und Test GmbH oder Dritter (um Rechtsverletzungen zu verhindern oder zu ahnden und zu diesem Zweck die Stichhaltigkeit von Hinweisen zu überprüfen)
Empfang und Übermittlung von personenbezogenen Daten / Informationen zur gemeinsamen Verarbeitung
Unser internes Hinweisgebersystem wird durch die Compliance Abteilung von FACC betreut. Bei der Bearbeitung einer Meldung können gemäß den gesetzlichen Bestimmungen Daten an interne Stellen (insbesondere HR, Innenrevision, Datenschutzabteilung, Compliance Abteilung, Rechtsabteilung, Finanzabteilung) sowie an externe Meldestellen, Strafverfolgungsbehörden, Gerichte, Aufsichtsbehörden, Anwälte, Datenschutzbeauftragte offengelegt werden. Derartige Offenlegungen können auch in Länder innerhalb der Europäischen Union oder an die Europäische Union erfolgen.
Eine Übermittlung oder Verarbeitung Ihrer Daten außerhalb der Europäischen Union findet grundsätzlich nicht statt. Im Rahmen der Verarbeitung unter Nutzung unserer IT-Systeme kann eine Übermittlung in die Vereinigten Staaten (USA) nicht gänzlich ausgeschlossen werden. Diesbezüglich besteht jedoch ein Angemessenheitsbeschluss der EU Kommission (Adequacy decision for the EU-US Data Privacy Framework) und verfügt der eingesetzte IT-Partner über eine entsprechende Zertifizierung.
Das interne Hinweisgebersystem ist als gemeinsame Stelle gemäß § 13 Abs 4 HSchG eingerichtet. Die oben genannten Unternehmen fungieren als gemeinsame Verantwortliche. Die Zuständigkeit der gemeinsamen Verantwortlichen finden Sie hier. Die betroffene Person kann ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. Bei der Involvierung der einzelnen internen Stellen wird ein striktes „need-to-know“ Prinzip verfolgt. Die Kanäle unseres internen Hinweisgebersystems sind zugriffsgeschützt (Zugriff per Passwort bzw Verschlüsselung der Datenübertragung).
Bereitstellung von Daten
Es besteht keine Verpflichtung, personenbezogene Daten an unser internes Hinweisgebersystem zu übermitteln. Es besteht die Möglichkeit einer anonymen Meldung.
Erhebung von Daten aus anderen Quellen
Die Erhebung von Daten aus anderen Quellen ist im Rahmen der Bearbeitung Ihrer Meldung durch unser internes Hinweisgebersystem nicht zwingend vorgesehen. Soweit Sie Betroffener eines Hinweises sind, stammen die Daten von den Hinweisgebern.
Art der personenbezogenen Daten
Die im Zuge einer Meldung über unser internes Hinweisgebersystem verarbeiteten personenbezogenen Daten ergeben sich primär aus dem Inhalt der Meldung. Die Meldung erfolgt auf freiwilliger Basis.
Inhalt der Meldung können insbesondere folgende personenbezogene Daten sein:
- Name der die Meldung einbringenden Person und deren Funktion,
- Namen von sonstigen mit dem Hinweis in Verbindung stehenden Personen und deren Funktion,
- sonstige personenbezogene Daten im Rahmen der Meldung.
Aufbewahrungsdauer von personenbezogenen Daten
Soweit eine Datenverarbeitung im Anwendungsbereich des HSchG handelt, gilt folgendes: Die personenbezogenen Daten im Rahmen einer Meldung werden ab ihrer letztmaligen Verarbeitung oder Übermittlung grundsätzlich fünf Jahre und darüber hinaus so lange aufbewahrt, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der Strafprozeßordnung 1975 (StPO) erforderlich ist. Anschließend werden die personenbezogenen Daten gelöscht. Drei Jahre ab diesem Zeitpunkt werden sodann Protokolldaten (bspw über Änderungen oder Abfragen im Zusammenhang mit einer Meldung) vernichtet.
Soweit eine Meldung außerhalb des Anwendungsbereichs des HSchG erfolgt, gilt folgendes: Zwei Monate nach Beendigung der Untersuchung erfolgt die Löschung personenbezogener Daten, sofern diese nicht mehr zur zweckentsprechenden Rechtsdurchsetzung bzw -verteidigung benötigt werden.
Die fristgerechte Löschung ist jeweils durch ein entsprechendes Kalendierungs- und Wiedervorlagesystem gewährleistet.
Betroffenenrechte
Soweit eine Datenverarbeitung im Anwendungsbereich des HSchG handelt, gilt folgendes: Solange und insoweit dies zum Schutz der Hinweisgeber und diese unterstützende Personen bzw Personen, welche bspw Vergeltungsmaßnahmen befürchten müssen, erforderlich ist, finden (insbesondere für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO) für vom Hinweis betroffene Personen nachfolgende Betroffenenrechte keine Anwendung:
- Recht auf Information (§ 43 DSG, Art. 13 und 14 DSGVO),
- Recht auf Auskunft (§ 1 Abs. 3 Z 1 und § 44 DSG, Art. 15 DSGVO),
- Recht auf Berichtigung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 16 DSGVO),
- Recht auf Löschung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (§ 45 DSG, Art. 18 DSGVO),
- Widerspruchsrecht (Art. 21 DSGVO) sowie
- Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (§ 56 DSG und Art. 34 DSGVO).
Soweit eine Meldung außerhalb des Anwendungsbereichs des HSchG erfolgt, gilt folgendes: Gemäß den allgemeinen datenschutzrechtlichen Bestimmungen können Sie sich bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten und deren Berichtigung, Sperrung, Löschung, Widerspruch oder einem Widerruf einer erteilten Einwilligung unentgeltlich an uns wenden. Wir weisen darauf hin, dass Ihnen ein Recht auf Berichtigung falscher Daten, Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung zusteht, sollte diesem Anspruch keine gesetzliche Aufbewahrungspflicht entgegenstehen.
Die Verpflichtung zur Wahrnehmung Ihrer Betroffenenrechte trifft alle gemeinsamen Verantwortlichen gemäß Punkt 1.
Beschwerderechte
Ihnen steht das Beschwerderecht bei einer Aufsichtsbehörde zu.