Datenschutzerklärung zum Hinweisgeber*innen-System
Fonds Kuratorium Wiener Pensionisten-Wohnhäuser - Häuser zum Leben
Datenschutz
Datenschutzerklärung gemäß Artikel 13 & 14 DSGVO
Stand 07.03.2025
Einleitung und Verantwortlichkeit für die Verarbeitung
Das Hinweisgeber*innen-System des Fonds Kuratorium Wiener Pensionisten-Wohnhäuser – Häuser zum Leben dient Mitarbeiter*innen sowie Kund*innen, Lieferant*innen und weiteren Dritten des Fonds Kuratorium Wiener Pensionisten-Wohnhäuser – Häuser zum Leben dazu, Meldungen zu Verstößen gegen externe und interne Vorschriften zu erstatten, wobei eine anonyme Abgabe von Meldungen ermöglicht wird.
Der Fonds Kuratorium Wiener Pensionisten-Wohnhäuser – Häuser zum Leben (kurz „Häuser zum Leben“, „wir“ bzw. „uns“) fungiert im Rahmen des Betriebes dieses Hinweisgeber*innen-Systems als Verantwortlicher gemäß Art 4 Nr. 7 DSGVO. Dementsprechend setzen wir Maßnahmen, um Ihre personenbezogenen Daten angemessen zu schützen. Anlaufstelle für Anfragen ist die Abteilung Compliance der Häuser zum Leben, compliance@kwp.at. Anlaufstelle für Betroffenenrechte ist der*die Datenschutzbeauftragte unter datenschutz@kwp.at.
Die Häuser zum Leben bekennen sich zu Transparenz und ethischem Handeln.
Die Häuser zum Leben halten alle Rechtsvorschriften zum Schutz, zum rechtmäßigen Umgang und zur Geheimhaltung Ihrer personenbezogenen Daten sowie zur Gewährleistung der Datensicherheit ein. Wir verarbeiten Ihre personenbezogenen Daten auf der Grundlage der DSGVO, des österreichischen DSG idgF sowie aller sonst anwendbaren unionsrechtlichen und nationalen Bestimmungen zum Datenschutz idgF.
Zu welchen Zwecken und aus welchem Grund verarbeiten wir Ihre personenbezogenen Daten im Hinweisgeber*innen-System? Wessen personenbezogene Daten werden verarbeitet und auf welcher Rechtsgrundlage?
Zweck der Verarbeitung personenbezogener Daten im Hinweisgeber*innen-System
Der Betrieb des Hinweisgeber*innen-Systems und die damit verbundene Verarbeitung personenbezogener Daten erfolgen zu dem Zweck, Hinweise zu
- (mutmaßlichen) Verstößen gegen Gesetze, Verordnungen und sonstigen externen Rechtsvorschriften, sowie zu
- (mutmaßlichen) Verstößen gegen interne Regeln und Richtlinien,
entgegenzunehmen und zu bearbeiten.
Kategorien betroffener Personen
Im Rahmen des Hinweisgeber*innen-Systems kommt die Verarbeitung personenbezogener Daten folgender Kategorien betroffener Personen in Betracht:
- Mitarbeiter*innen der Häuser zum Leben, ungeachtet, ob jene Personen entgeltlich oder unentgeltlich tätig werden; hiervon sind auch ehemalige Mitarbeiter*innen sowie überlassene Arbeitskräfte umfasst
- Kund*innen
- Lieferant*innen sowie Mitarbeiter*innen von Lieferant*innen der Häuser zum Leben
- Bewerber*innen für einen Job in den Häusern zum Leben
- Mitarbeiter*innen bei Behörden
- Geschäfts- und Kooperationspartner*innen, einschließlich deren Mitarbeiter*innen
- Angehörige oder Nahestehende von betroffenen Personen aus den vorgenannten Personengruppen.
Die obigen Personen können im Rahmen des Hinweisgeber*innen-Systems folgende Rollen haben:
- Hinweisgebende Person: Dies ist eine Person, die eine Meldung zu einem mutmaßlichen Verstoß abgibt.
- Von einer Meldung betroffene Person: Dies ist eine Person, auf die sich eine Meldung bezieht bzw. der ein mutmaßlicher Verstoß vorgeworfen wird.
- Bezeugende Person: Dies ist eine Person, die von der hinweisgebenden Person als bezeugende Person eines mutmaßlichen Verstoßes namhaft gemacht wird.
- Dritte*r: Dies ist eine Person, die in einer Meldung oder ergänzenden Mitteilung einer hinweisgebenden Person genannt wird, ohne bezeugende Person oder von der Meldung betroffene Person zu sein.
- Vertrauensperson: Eventuell beigezogene Rechtsanwält*innen oder Notar*innen.
- Fallbearbeiter*in: Dies sind entsprechend geschulte, vertrauenswürdige und einer spezifischen Verschwiegenheitspflicht unterliegende Mitarbeiter*innen der Häuser zum Leben, die Meldungen bearbeiten.
Kategorien personenbezogener Daten
Da die Abgabe von Meldungen grundsätzlich anonym erfolgen kann, werden von Hinweisgeber*innen nur dann personenbezogene Daten verarbeitet, wenn diese auf Anonymität verzichten. Allerdings kann nicht ausgeschlossen werden, dass aus dem Inhalt einer Meldung Rückschlüsse auf den*die Hinweisgeber*in und dessen*deren Person gezogen werden können und dadurch personenbezogene Daten von dem*der Hinweisgeber*in verarbeitet werden.
Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgeber*innen-Systems ist abhängig vom Inhalt einer Meldung sowie etwaigen ergänzenden Informationen von dem*der Hinweisgeber*in. Personenbezogene Daten werden nur dann und soweit verarbeitet, als diese im Hinblick auf einen gemeldeten mutmaßlichen Verstoß von Relevanz sind.
In Betracht kommt die Verarbeitung folgender Kategorien personenbezogener Daten:
- Personenstammdaten (Vor- und Nachname, Geburtsdatum, Geschlecht(sidentität), Alter, Adresse)
- Beschäftigungsdaten (Unternehmenszugehörigkeit, Funktion)
- Informationen zu mutmaßlichem Fehlverhalten der von der Meldung betroffenen Personen
- Informationen zu Umständen, aufgrund welcher wahrscheinlich ist, dass eine Person persönliche Wahrnehmungen zum gemeldeten Sachverhalt gemacht hat
- Informationen in den erstatteten Meldungen, die aufgrund ihres Zusammenhanges Rückschlüsse auf eine natürliche Person ermöglichen und diese identifizierbar machen
- Besondere Kategorien personenbezogener Daten (insbesondere globale Herkunft bzw. ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung)
- Strafrechtlich, verwaltungsstrafrechtlich und kartellstrafrechtlich relevante Daten (z.B. Angaben zu strafrechtlich relevantem Verhalten, mutmaßlichen Verstößen gegen Kartellrecht etc.)
Da im Rahmen des Hinweisgeber*innen-Systems zur Eingabe von Informationen Freitextfelder bereitgestellt werden, kann die Verarbeitung weiterer Kategorien personenbezogener Daten, ohne Einschränkung auf die vorstehend beschriebenen Kategorien, nicht ausgeschlossen werden.
Auf Basis welcher Rechtsgrundlagen werden die personenbezogenen Daten verarbeitet?
Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgeber*innensystems erfolgt gemäß §8 HSchG. Das bedeutet:
Die Zulässigkeit der Verarbeitung personenbezogener Daten umfasst die mit einem Hinweis in Zusammenhang stehende Verarbeitung personenbezogener Daten der
- Hinweisgeber*innen (§ 2 Abs. 1, 2 und 4),
- von der Hinweisgebung betroffenen Personen,
- Personen, die Hinweisgeber*innen bei der Hinweisgebung unterstützen, sowie Personen im Umkreis von dem*der Hinweisgeber*in, die, ohne die Hinweisgebung zu unterstützen, von nachteiligen Folgen der Hinweisgebung wie Vergeltungsmaßnahmen betroffen sein können
- von Folgemaßnahmen betroffenen oder in Folgemaßnahmen involvierten Personen.
Bei der Verarbeitung ist die DSGVO einzuhalten
An wen geben wir Ihre personenbezogenen Daten weiter?
Fallbearbeiter*in: Entsprechend geschulte, vertrauenswürdige und einer spezifischen Verschwiegenheitspflicht unterliegende Mitarbeiter*innen der Häuser zum Leben, die Meldungen bearbeiten.
Von einer Meldung betroffene Person: Nach Maßgabe der Bestimmungen im Hinweisgeber*innenschutzgesetz und der datenschutzrechtlichen Bestimmungen. Die Offenlegung der Identität einer von einem Hinweis betroffenen Person oder sonstiger Informationen, aus denen die Identität dieser Person direkt oder indirekt abgeleitet werden kann, ist dann zulässig, wenn eine Verwaltungsbehörde, ein Gericht oder die Staatsanwaltschaft dies im Rahmen des verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO für unerlässlich und im Hinblick auf die Stichhaltigkeit und Schwere der erhobenen Vorwürfe für verhältnismäßig hält.
Bezeugende Personen und sonstige Verfahrensbeteiligte: Unter Berücksichtigung des Grundsatzes der Datenminimierung geben wir Informationen zum gemeldeten Sachverhalt an bezeugende Personen und sonstige Verfahrensbeteiligte (z.B. interne und externe Auskunftspersonen) weiter, soweit dies zur Aufklärung eines gemeldeten Hinweises erforderlich ist. Dies schließt auch Mitarbeiter*innen verschiedener Bereiche und Abteilungen der Häuser zum Leben mit ein, wenn sich gemeldete Hinweise auf sie beziehen.
Externe Dienstleister*innen: Ihre personenbezogenen Daten werden an die EQS Group GmbH, Karlstraße 47, 80333 München, Deutschland, die als Auftragsverarbeiterin fungiert und die technische Plattform sowie die Rechenzentren des Hinweisgeber*innen-Systems zur Verfügung stellt, weitergeleitet. Jedoch haben weder die EQS Group GmbH noch Dritte eine Einsichtnahme-Möglichkeit in diese Daten bzw. in das Hinweisgeber*innen-Systems.
Gerichte und Behörden: In Abhängigkeit vom Inhalt einer erstatteten Meldung, können personenbezogene Daten, im unbedingt erforderlichen Ausmaß, insbesondere zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen an Behörden (z.B. Sozialversicherungsträger*innen, Finanzbehörden, Strafverfolgungsbehörden etc.) oder Gerichte übermittelt werden. Dies kann beispielsweise zur Geltendmachung von Schadenersatzansprüchen, zur Erstattung von Sachverhaltsdarstellungen an Staatsanwaltschaften, zur Einbringung von Selbstanzeigen an Finanzbehörden, aber auch zur Anspruchsabwehr in Zivilverfahren erfolgen.
Weitere Empfänger*innen: Im Rahmen von Vertragsbeziehungen und insbesondere in Zusammenhang mit Schadensfällen kann es erforderlich sein, personenbezogene Daten an Rechtsanwält*innen und Sachverständige zu übermitteln, um Rechtsansprüche der Häuser zum Leben geltend zu machen, zu verfolgen, zu verteidigen bzw. abzuwehren. Die Übermittlung erfolgt gegebenenfalls gestützt auf Art 9 Abs 2 lit g DSGVO bzw. auf berechtigte Interessen gemäß Art 6 Abs 1 lit f DSGVO bzw. Art 10 DSGVO iVm § 4 Abs 3 Z 2 DSG iVm Art 6 Abs 1 lit f DSGVO.
Werden Ihre personenbezogenen Daten in andere Länder übermittelt?
Ihre personenbezogenen Daten werden in Rechenzentren der EQS Group GmbH, welche die sichere Plattform für den Betrieb des Hinweisgeber*innen-Systems zur Verfügung stellt, verarbeitet. Im Rahmen des erforderlichen Auftragsverarbeitungsvertrages gemäß Art 28 DSGVO wurde die EQS Group GmbH, die auf die Bereitstellung von Hinweisgeber*innen-Plattformen spezialisiert ist, zur Wahrung der Vertraulichkeit und Verschwiegenheit verpflichtet und festgelegt, dass die Rechenzentren innerhalb der Europäischen Union, des Europäischen Wirtschaftsraums oder in Drittländern mit angemessenem Datenschutzniveau (Schweiz) liegen. Dadurch kommt das strenge Datenschutzrecht der DSGVO zur Anwendung und die Rechte betroffener Personen können bestmöglich gewahrt werden.
Eine Übermittlung personenbezogener Daten in Drittländer (abgesehen von der Schweiz) ist im Rahmen des Hinweisgeber*innen-Systems grundsätzlich nicht vorgesehen. Sofern Meldungen grenzüberschreitende Sachverhalte mit Drittlandsbezug betreffen sollten, und in Ausnahmefällen eine Drittlandsübermittlung erforderlich wird, erfolgt die Übermittlung unter Einhaltung der Bestimmungen der Art 45 ff DSGVO sowie – sofern weder gesetzliche Verbote noch ermittlungstaktische Gründe dagegensprechen – nach vorheriger Information der betroffenen Personen, deren personenbezogene Daten von einer solchen Übermittlung umfasst sind.
Wie lange verarbeiten bzw. speichern wir Ihre personenbezogenen Daten?
Wir bewahren Ihre personenbezogenen Daten ab der letztmaligen Verarbeitung bzw. Übermittlung für fünf Jahre auf, sofern wir nicht durch gesetzliche Aufbewahrungsfristen zur weiteren Speicherung (Archivierung) verpflichtet sind.
Sofern auf Grundlage des Ergebnisses der Bearbeitung erhaltener Meldungen oder in Zusammenhang mit einem gemeldeten Sachverhalt von oder gegen die Häuser zum Leben zivil- oder strafrechtliche Schritte ergriffen oder behördliche Verfahren eingeleitet werden, erfolgt die Verarbeitung bzw. Speicherung der in diesem Zusammenhang erforderlichen personenbezogenen Daten solange, als es zur Durchführung solcher gerichtlicher oder verwaltungsbehördlicher Verfahren oder eines Ermittlungsverfahrens nach der Strafprozessordnung erforderlich ist.
Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge werden bis zu drei Jahre nach Entfall der Aufbewahrungspflicht aufbewahrt.
Ihre Rechte nach der DSGVO
Im Sinne von § 8 Abs 9 HSchG kommen in bestimmten Fällen die Betroffenen-Rechte nach der DSGVO nicht zur Anwendung:
Sofern und solange es zum Schutz von Hinweisgeber*innen bzw. aus ermittlungstaktischen Gründen erforderlich ist, kommen das Recht auf Information, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht und das Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten gemäß der Bestimmungen nach DSGVO und DSG im Sinne von § 8 Abs 8 HSchG nicht zur Anwendung.
Kontakt
Bei Fragen zum Datenschutz und zur Ausübung Ihrer Rechte können Sie gerne Kontakt mit unserem*unserer Datenschutzbeauftragten unter der E-Mail-Adresse datenschutz@kwp.at aufnehmen.
