Datenschutzerklärung

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2021). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unseres Hinweisgeberschutzsystems.

Wir erklären die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz und zur Datensicherheit. Insbesondere werden Daten ausschließlich zu den unten angegebenen Zwecken verwendet, sowie Maßnahmen zur Gewährleistung der Datensicherheit getroffen, indem sichergestellt wird, dass Daten ordnungsgemäß verwendet und Unbefugten nicht zugänglich gemacht werden. Auftraggeber, Dienstleister und ihre MitarbeiterInnen sind zur Verschwiegenheit und Geheimhaltung der von uns bekannt gegebenen Daten verpflichtet, soweit kein rechtlich zulässiger Grund für eine Übermittlung oder Offenlegung der anvertrauten oder zugänglich gemachten Daten besteht.

1.1    Diese Datenschutzerklärung beschreibt, wie die JOANNEUM RESEARCH Forschungsgesellschaft mbH als datenschutzrechtlich Verantwortliche im Sinne des Art 4 Z 7 Datenschutzgrundverordnung (DSGVO) personenbezogene Daten im Zusammenhang mit dem Betrieb des Hinweisgebersystems und der Entgegennahme und Bearbeitung von Hinweisen verarbeitet. Wir erteilen Ihnen diese Information nach Maßgabe von Art 13 DSGVO sowie des HinweisgeberInnenschutzgesetzes (HSchG).

1.2     Diese Datenschutzerklärung bezieht sich auf folgende Gruppen betroffener Personen: 

–          Hinweisgeberinnen und Hinweisgeber;

–          von der Hinweisgebung betroffene Personen;

–          natürliche Personen, die Hinweisgeberinnen und Hinweisgeber bei der Hinweisgebung unterstützen;

–          natürliche Personen im Umkreis der Hinweisgeberin oder des Hinweisgebers, die, ohne die Hinweisgebung zu unterstützen, von nachteiligen Folgen der Hinweisgebung wie Vergeltungsmaßnahmen betroffen sein können;

–          von Folgemaßnahmen betroffene oder in Folgemaßnahmen involvierte Personen.

Hinweisgeberinnen und Hinweisgeber haben die Möglichkeit unser Hinweisgebersystem – auch anonym – zu nutzen. Es besteht keine Verpflichtung zur Bereitstellung personenbezogener Daten. 

1.3    Die erhobenen Daten werden von der von uns beauftragten Saxinger, Chalupsky & Partner Rechtsanwälte GmbH („SCWP Schindhelm“), unter Beachtung aller erforderlichen Verfahrensgrundsätze (insbesondere Vertraulichkeit, Schutz des Hinweisgebers, Sensibilität der verarbeiteten Daten und „Need-to-Know-Prinzip“) sowie Verarbeitungsgrundsätze (Art 5 DSGVO) bearbeitet. SCWP Schindhelm führt zunächst eigenständig eine Plausibilisierung/Erstprüfung der gemeldeten Hinweise durch (abhängig von den gemeldeten Umständen und unter der Voraussetzung, dass die Meldung ausreichende Informationen enthält). Bei Bedarf kann SCWP Schindhelm die Unterstützung von Unternehmensabteilungen, wie zum Beispiel der Rechts-/Datenschutz-/Compliance-Abteilung oder der Personalabteilung, bzw. weiterer externer Berater anfordern. Im Hinblick auf Einrichtung, Ablauf und Durchführung des Meldungsverfahrens stehen SCWP Schindhelm seitens der JOANNEUM RESEARCH Forschungsgesellschaft mbH eigens festgelegte, unternehmensinterne Ansprechpartner zur Verfügung. 

1.4    Nach Eingang eines Hinweises erhält der Hinweisgeber bzw. die Hinweisgeberin innerhalb von längstens sieben Kalendertagen im Hinweisgebersystem eine Bestätigung des Eingangs, es sei denn, die Hinweisgeberin oder der Hinweisgeber hat sich ausdrücklich dagegen ausgesprochen oder SCWP Schindhelm hat Grund zu der Annahme, dass die Bestätigung des Eingangs eines schriftlichen Hinweises den Schutz der Identität der Hinweisgeberin oder des Hinweisgebers beeinträchtigen würde.

1.5    SCWP Schindhelm gibt dem Hinweisgeber bzw. der Hinweisgeberin spätestens drei Monate nach Entgegennahme eines Hinweises bekannt, 

–          welche Folgemaßnahmen SCWP Schindhelm ergriffen hat oder zu ergreifen beabsichtigt. Bei einer Folgemaßnahme handelt es sich um eine infolge eines Hinweises ergriffene Maßnahme der internen Stelle, einer sonstigen Organisationseinheit eines Unternehmens, einer Verwaltungsbehörde, eines Gerichts oder der Staatsanwaltschaft wie die Prüfung der Stichhaltigkeit des Hinweises, interne Nachforschungen, Ermittlungen, oder die Veranlassung, Einleitung, Durchführung oder Beendigung eines Verfahrens oder sonstige Maßnahme zum weiteren Vorgehen gegen den Verstoß, zur Strafverfolgung oder zur Wiederherstellung des rechtmäßigen Zustandes; 

–          oder aus welchen Gründen SCWP Schindhelm den Hinweis nicht weiterverfolgt.

1.6    Hinweisgeberinnen und Hinweisgeber haben ausschließlich jene personenbezogenen Daten bekanntzugeben, die geeignet sind, Rechtsverletzungen zu verhindern oder zu ahnden. Wir erheben keine personenbezogenen Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden; wurden uns solche personenbezogenen Daten übermittelt, werden diese unverzüglich gelöscht. Wir weisen ausdrücklich darauf hin, dass Hinweisgeberinnen und Hinweisgeber hinsichtlich personenbezogener Daten, von denen sie wissen, dass sie über das zur Weiterverfolgung des Hinweises Erforderliche hinausgehen, als eigenständige datenschutzrechtlich Verantwortliche im Sinne des Art 4 Z 7 DSGVO gelten (vgl § 8 Abs 4 Z 1 HSchG).

1.7    Hinweise, die offenkundig falsch gegeben werden, werden zurückgewiesen. Wir werden in einem solchen Fall darauf hinweisen, dass derartige falsche Hinweise Schadenersatzansprüche begründen und gegebenenfalls gerichtlich oder als Verwaltungsübertretungen verfolgt werden können (vgl § 6 Abs 4 HSchG).

2.1    Das Hinweisgebersystem gibt Hinweisgeberinnen und Hinweisgebern die Möglichkeit, im Wege eines standardisierten Verfahrens auf bestimmte Missstände hinzuweisen, ohne dass ihre Identität offengelegt wird.

2.2    Im Rahmen dieses Hinweisgebersystems können nach Maßgabe des § 3 Abs 2 bis 5 HSchG Hinweise zu folgenden relevanten Themen erstattet werden:

–          Öffentliches Auftragswesen;

–          Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung;

–          Produktsicherheit und -konformität;

–          Verkehrssicherheit;

–          Umweltschutz;

–          Strahlenschutz und nukleare Sicherheit;

–          Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz;

–          öffentliche Gesundheit;

–          Verbraucherschutz;

–          Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen;

–          Verhinderung und Ahndung von Straftaten nach den §§ 302 bis 309 des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974;

–          Rechtsverletzungen zum Nachteil der finanziellen Interessen der Europäischen Union im Sinne von Artikel 325 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) sowie gemäß besonderen Definitionen in einschlägigen Unionsmaßnahmen;

–          Verletzungen von Binnenmarktvorschriften im Sinne von Art. 26 Absatz 2 AEUV, sowie für Verletzungen von Unionsvorschriften über Wettbewerb und staatliche Beihilfen und Verletzungen von Binnenmarktvorschriften in Bezug auf Handlungen, die die Körperschaftsteuervorschriften verletzen oder in Bezug auf Vereinbarungen, die darauf abzielen, sich einen steuerlichen Vorteil zu verschaffen, der dem Ziel oder dem Zweck des Körperschaftsteuerrechts zuwiderläuft;

–          Vorschriften, die in den Teilen I.B und II des Anhangs zur Richtlinie 2019/1937/EU aufgezählt sind. Im Verhältnis zu den in Teil II des Anhangs zur Richtlinie 2019/1937/EU aufgeführten unmittelbar anwendbaren Rechtsakten der Union und den in § 4 Abs 1 Z 1 bis 18 HSchG genannten Bundesgesetzen betrifft dies jedoch nur eine Angelegenheit, die durch diese Rechtsakte der Union nicht verbindlich geregelt ist oder durch die in § 4 Abs 1 Z 1 bis 18 HSchG genannten Bundesgesetze nicht geregelt ist.

2.3    Wir weisen darauf hin, dass wir Hinweise außerhalb der vorgenannten Auflistung nicht bearbeiten dürfen. SCWP Schindhelm wird den erstatteten Hinweis nach seinem Eingang darauf prüfen, ob eines der vorgenannten Meldethemen berührt wird. Wir ersuchen Hinweisgeberinnen und Hinweisgeber, für Meldungen, die außerhalb der vorgenannten Auflistung liegen, die üblichen Kanäle (z.B. zuständige Fachabteilung) zu kontaktieren.

Personenbezogene Daten sind gemäß Art. 4 Z 1 DSGVO sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Sämtliche im Zusammenhang mit der Abgabe eines Hinweises verarbeiteten personenbezogenen Daten werden ausschließlich für Zwecke des HSchG verarbeitet, wobei eine Verarbeitung auf Daten eingeschränkt wird, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden (§ 8 Abs 2 Z 2 HSchG). Diese Zwecke sind (§ 8 Abs 2 Z 1 HSchG):

–          Bestärkung zu rechtmäßigem Verhalten in Lebensbereichen von besonderem öffentlichem Interesse durch Bereitstellung einfacher Verfahren mit vorhersehbaren Abläufen bei Hinweisen auf Rechtsverletzungen (§ 1 Abs 1 HSchG);

–          Verhinderung und Ahndung von Rechtsverletzungen im öffentlichen Interesse, Ermöglichung der Abgabe diesbezüglicher Hinweise und Prüfung der Hinweise auf ihre Stichhaltigkeit (§ 8 Abs 2 Z 1 HSchG).

5.1    Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit dem Betrieb des Hinweisgebersystems sowie der internen Auswertung der Hinweise sind:

–          die Erfüllung einer Rechtspflicht (Art 6 Abs 1 lit c DSGVO) sowie die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art 6 Abs 1 lit e DSGVO in Verbindung mit § 8 Abs 1 HSchG);

–          hinsichtlich besonderer Datenkategorien im Sinne des Art 9 Abs 1 DSGVO zusätzlich das erhebliche öffentliche Interesse (Art 9 Abs 2 lit g DSGVO in Verbindung mit § 8 Abs 5 HSchG). Eine Verarbeitung dieser Daten erfolgt nur, wenn die Verarbeitung zur Erreichung der in Punkt II.4. genannten Zwecke unbedingt erforderlich und das öffentliche Interesse an der Verarbeitung zur Erreichung dieser Zwecke erheblich ist. Wir treffen in einem solchen Fall wirksame Maßnahmen zum Schutz der Rechte und Freiheiten betroffener Personen. 

–          hinsichtlich Daten über strafrechtliche Verurteilungen und Straftaten (einschließlich personenbezogene Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen) zusätzlich Art 10 DSGVO in Verbindung mit § 8 Abs 6 HSchG. Eine Verarbeitung dieser Daten erfolgt nur im Falle unbedingter Erforderlichkeit und wird schriftlich dokumentiert.

5.2     Soweit wir personenbezogene Daten im Einzelfall an Dritte weiterleiten, die über eine zur Beurteilung erforderliche fachliche Expertise verfügen und dementsprechend von uns mit der Prüfung von Hinweisen beauftragt wurden, wie insbesondere Rechtsanwälte, Wirtschaftsprüfer oder Sachverständige, ist die Rechtsgrundlage die Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen (Art 6 Abs 1 lit f DSGVO als unser berechtigtes Interesse, hinsichtlich besonderer Datenkategorien Art 9 Abs 2 lit f DSGVO, hinsichtlich Daten zu strafrechtlichen Verurteilungen und Straftaten Art 10 DSGVO iVm § 4 Abs 3 Z 2 DSG).

6.1    Die Verarbeitung erfolgt unter Zuhilfenahme der Schindhelm Whistleblowing Solution, welches von der SCWP Schindhelm Rechtsanwälte GmbH, Böhmerwaldstraße 14, 4020 Linz, zur Verfügung gestellt wird. Die JOANNEUM RESEARCH Forschungsgesellschaft mbH hat mit der SCWP Schindhelm Rechtsanwälte GmbH einen entsprechenden Auftragsverarbeitervertrag abgeschlossen. Der von uns beauftragte Auftragsverarbeiter ist dazu verpflichtet, ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung entsprechend den gesetzlichen Bestimmungen zu verarbeiten.

6.2    Im Zuge der Durchführung der Prüfung können die erhobenen Daten anlassfallbezogen an von uns mit der Prüfung beauftragte Dritte, wie insbesondere Rechtsanwälte, Wirtschaftsprüfer oder Sachverständige, die entweder einer beruflichen und/oder vertraglichen Verschwiegenheitspflicht unterliegen, übermittelt werden. Dem Grundsatz der Datenminimierung folgend werden wir jedoch nur solche personenbezogenen Daten übermitteln, die für die ordnungsgemäße Prüfung des Hinweises absolut erforderlich sind.

6.3    Innerhalb unseres Unternehmens erhalten Daten nur diejenigen Abteilungen und Mitarbeiter/innen, welche diese Daten zur Erfüllung der vertraglichen oder gesetzlichen Pflichten sowie zur Wahrung berechtigter Interessen benötigen.

6.4    Eine Übermittlung an personenbezogene Daten an Verwaltungsbehörden, Gerichte und/oder Staatsanwaltschaften erfolgt ausschließlich nach Maßgabe der gesetzlichen Voraussetzungen. Die Identität von Hinweisgeberinnen und Hinweisgebern sowie andere Informationen, aus denen die Identität von Hinweisgeberinnen und Hinweisgebern direkt oder indirekt abgeleitet werden kann, dürfen von uns nur offengelegt werden, wenn eine Verwaltungsbehörde, ein Gericht oder die Staatsanwaltschaft dies im Rahmen des verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO für unerlässlich und im Hinblick auf eine Gefährdung der Person der Hinweisgeberin oder des Hinweisgebers im Hinblick auf die Stichhaltigkeit und Schwere der erhobenen Vorwürfe für verhältnismäßig hält (§ 7 Abs 4 HSchG). Gleiches gilt sinngemäß für eine von einem Hinweis betroffene Person (§ 7 Abs 5 HSchG).

7.1    Sofern personenbezogene Daten für die Bearbeitung eines Hinweises nicht benötigt werden, werden diese unverzüglich gelöscht. 

7.2    Sofern ein Hinweis im Rahmen einer Erstprüfung als nicht stichhaltig erachtet wird, etwa weil der Hinweis nicht in den Geltungsbereich des HSchG fällt oder aus dem Hinweis keine Anhaltspunkte für seine Stichhaltigkeit hervorgehen, werden die darin enthaltenen personenbezogenen Daten grundsätzlich unverzüglich nach Durchführung dieser Erstprüfung, längstens jedoch 14 Tage nach Eingang des Hinweises gelöscht.

7.3    Sofern ein Hinweis als stichhaltig erachtet wird, werden die darin enthaltenen personenbezogene Daten von uns ab ihrer letztmaligen Verarbeitung oder Übermittlung fünf Jahre und darüber hinaus so lange aufbewahrt, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der Strafprozessordnung (StPO) erforderlich ist. Nach Entfall dieser Aufbewahrungspflicht werden die Daten gelöscht.

7.4     Protokollierungen der tatsächlich durchgeführten Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen oder Übermittlungen, werden von uns ab ihrer letztmaligen Verarbeitung oder Übermittlung drei Jahre nach Entfall der jeweiligen Aufbewahrungspflicht im Sinne des Punktes 7.2. aufbewahrt und danach gelöscht. 

8.1    Sie haben unter den jeweiligen gesetzlichen Voraussetzungen folgende Betroffenenrechte:

–          Recht auf Information (Art. 13 und 14 DSGVO), 

–          Recht auf Auskunft (§ 1 Abs. 3 Z 1 DSG, Art. 15 DSGVO), 

–          Recht auf Berichtigung (§ 1 Abs. 3 Z 2 DSG, Art. 16 DSGVO), 

–          Recht auf Löschung (§ 1 Abs. 3 Z 2 DSG, Art. 17 DSGVO), 

–          Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),

–          Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

–          Recht auf Widerspruch (Art. 21 DSGVO) sowie

–          Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (Art. 34 DSGVO).

8.2     Solange und insoweit dies zum Schutz der Identität

–          einer Hinweisgeberin oder eines Hinweisgebers 

–          einer natürlichen Person, die Hinweisgeberinnen und Hinweisgeber bei der Hinweisgebung unterstützt oder

–          einer natürlichen Person im Umkreis der Hinweisgeberin oder des Hinweisgebers, die, ohne die Hinweisgebung zu unterstützen, von nachteiligen Folgen der Hinweisgebung wie Vergeltungsmaßnahmen betroffen sein kann

und zur Erreichung der unter Punkt 4.1. genannten Zwecke, insbesondere um Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen aufgrund von Hinweisen zu unterbinden, erforderlich ist, insbesondere für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO, finden die unter Punkt 8.1. Unterpunkte 1 bis 5 sowie 7 bis 8 aufgezählten Rechte keine Anwendung auf eine von einem Hinweis betroffene natürliche Person. Ebenso finden die unter Punkt 8.1. Unterpunkte 2 bis 4 genannten Rechte keine Anwendung auf juristische Personen, wenn diese Voraussetzung gegeben ist. Wir haben in einem solchen Fall gegenüber einer von einem Hinweis betroffene Person Information und Auskunftserteilung zum Hinweis zu unterlassen.

8.3    Wenn Sie glauben, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist dies die Datenschutzbehörde www.dsb.gv.at, E-Mail: dsb@dsb.gv.at.

JOANNEUM RESEARCH Forschungsgesellschaft mbH

Leonhardstraße 59, A-8010 Graz

Tel.: +43 316 876-0
Fax: +43 316 876-1181
Kontakt: info@joanneum.at
Zentraler Datenschutz: Mag. Katrin Gallé
E-Mail: datenschutz@joanneum.at