Datenschutzerklärung gemäß Artikel 13 & 14 DSGVO für das Hinweisgeber:innensystem von Fraunhofer Austria

1.1. Das Hinweisgeber:innensystem dient Arbeitnehmer:innen, überlassenen Arbeitskräften, Bewerber:innen, Praktikant:innen, Volontär:innen, Auszubildenden, selbständig erwerbstätigen Personen, Mitgliedern eines Verwaltungs-, Leitungs- oder Aufsichtsorgans der Fraunhofer Austria Research Gesellschaft mit beschränkter Haftung (kurz „Fraunhofer“), Auftragnehmer:innen, Subunternehmer:innen, Lieferant:innen sowie laufenden und früheren Anteilseigner:innnen von Fraunhofer, Hinweise zu Verstößen gegen gesetzliche bzw. regulatorische Vorgaben gemäß dem österreichischen HinweisgeberInnenschutzgesetz (HSchG - Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen) zu erstatten.

1.2. Fraunhofer Austria Research Gesellschaft mit beschränkter Haftung, Theresianumgasse 7, 1040 Wien, Österreich fungiert im Rahmen des Betriebes dieses Hinweisgeber:innensystems als Verantwortliche gemäß Art 4 Z 7 DSGVO. Dementsprechend setzen wir Maßnahmen, um Ihre personenbezogenen Daten angemessen zu schützen.

Für Angelegenheiten betreffend Datenschutz und Betroffenenrechte bei Fraunhofer wenden Sie sich bitte an datenschutz@fraunhofer.at.

1.3. Zur Einrichtung und Bereitstellung einer internen Meldestelle wie unter Punkt 1.1. erläutert, setzen wir ein E-Mail-basiertes Hinweisgeber:innensystem ein.

1.4. Wir halten alle Rechtsvorschriften zum Schutz, zum rechtmäßigen Umgang und zur Geheimhaltung Ihrer personenbezogenen Daten sowie zur Gewährleistung der Datensicherheit ein. Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit der DSGVO und allen sonst anwendbaren unionsrechtlichen und nationalen Bestimmungen.

2.1. Zweck der Verarbeitung personenbezogener Daten im Hinweisgeber:innensystem

Der Betrieb des Hinweisgeber:innensystems und die damit verbundene Verarbeitung personenbezogener Daten erfolgen zu dem Zweck, Hinweise zu (mutmaßlichen) Verstößen gegen die in § 3 Abs. 2-5 HSchG aufgezählten Bereiche, die zu einem Schaden für uns und unsere Beschäftigten führen können, entgegenzunehmen und zu bearbeiten.

2.2. Kategorien betroffener Personen

Im Rahmen des Hinweisgeber:innensystems kommt die Verarbeitung personenbezogener Daten folgender Kategorien betroffener Personen in Betracht:

1. (ehemalige) Mitarbeiter:innen von Fraunhofer
2. Bewerber:innen für eine Stelle bei Fraunhofer
3. selbstständig erwerbstätige Personen
4. Mitglieder eines Verwaltungs-, Leitungs- und Aufsichtsorgans von Fraunhofer
5. Auftragnehmer:innen und Mitarbeiter:innen von Auftragnehmer:innen von Fraunhofer
6. Subunternehmer:innen und Mitarbeiter:innen von Subunternehmer:innen von Fraunhofer
7. Lieferant:innen und Mitarbeiter:innen von Lieferant:innen von Fraunhofer
8. Geschäfts- und Kooperationspartner:innen und deren Mitarbeiter:innen
9. (frühere) Anteilseigner:innen von Rechtsträgern
10. Bedienstete bei Behörden
11. Angehörige oder Nahestehende von betroffenen Personen aus den vorgenannten Personengruppen
12. Sonstige Verfahrensbeteiligte, welche nicht den vorgenannten Kategorien zuzuordnen sind

Unter Mitarbeiter:innen sind auch solche betroffenen Personen zu verstehen, deren Dienstverhältnis, in dessen Rahmen sie von einem Verstoß Kenntnis erlangt haben, zum Zeitpunkt der Meldung bereits beendet ist.

Die obigen Personen können im Rahmen des Hinweisgeber:innensystems folgende Rollen haben:

1. Hinweisgeber:in (oder „hinweisgebende Person“): Dies ist eine Person, die eine Meldung zu einem mutmaßlichen Verstoß abgibt.
2. Von einer Meldung betroffene Person: Dies ist eine Person, auf die sich eine Meldung bezieht bzw. der ein mutmaßlicher Verstoß vorgeworfen wird.
3. Zeug:in: Dies ist eine Person, die von der meldenden Person als Zeug:in eines mutmaßlichen Verstoßes namhaft gemacht wird.
4. Dritte:r: Dies ist eine Person, die in einer Meldung oder ergänzenden Mitteilung der hinweisgebenden Person genannt wird, ohne Zeug:in oder von der Meldung betroffene Person zu sein.
5. Vertrauensperson: Eventuell beigezogene Rechtsanwält:innen oder Notar:innen.
6. Interne Meldestelle: Dies sind entsprechend geschulte, vertrauenswürdige und einer spezifischen Verschwiegenheitspflicht unterliegende Mitarbeiter:innen, die Meldungen bearbeiten.
7. Sonstige Verfahrensbeteiligte: Dies sind Personen, denen keine der oben genannten Rollen zugeordnet werden kann und an die im Rahmen der Fallbearbeitung potenziell Informationen zum Sachverhalt weitergegeben werden bzw. von welchen im Zuge dessen personenbezogene Daten im Hinweisgeber:innensystem gespeichert werden (z.B. interne oder externe Auskunftspersonen).

2.3. Kategorien personenbezogener Daten

Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgeber:innensystems ist abhängig vom Inhalt einer Meldung sowie etwaigen ergänzenden Informationen seitens der hinweisgebenden Person. Personenbezogene Daten werden nur dann und soweit verarbeitet, als diese im Hinblick auf einen gemeldeten mutmaßlichen Verstoß von Relevanz sind. 

In Betracht kommt die Verarbeitung folgender Kategorien personenbezogener Daten:

1. Personenstammdaten (Vor- und Nachname, Geburtsdatum, Geschlecht, Alter, Adresse, E-Mail Adresse)
2. Beschäftigungsdaten (Unternehmenszugehörigkeit, Funktion)
3. Informationen zu mutmaßlichem Fehlverhalten der von der Meldung betroffenen Personen.
4. Informationen zu Umständen, aufgrund welcher wahrscheinlich ist, dass eine Person persönliche Wahrnehmungen zum gemeldeten Sachverhalt gemacht hat.
5. Informationen in den erstatteten Meldungen, die aufgrund ihres Zusammenhanges Rückschlüsse auf eine natürliche Person ermöglichen und diese identifizierbar machen.
6. Besondere Kategorien personenbezogener Daten (insbesondere rassische bzw. ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung).
7. Strafrechtlich, verwaltungsstrafrechtlich und kartellstrafrechtlich relevante Daten (z.B. Angaben zu strafrechtlich relevantem Verhalten, mutmaßlichen Verstößen gegen Kartellrecht etc.).

Da im Rahmen des Hinweisgeber:innensystems Meldungen per E-Mail eingebracht werden, kann die Verarbeitung weiterer Kategorien personenbezogener Daten je nach Inhalt der E-Mail, ohne Einschränkung auf die vorstehend beschriebenen Kategorien, nicht ausgeschlossen werden.

2.4. Auf Basis welcher Rechtsgrundlagen werden die personenbezogenen Daten verarbeitet?

Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgeber:innensystems erfolgt,

1. zur Erfüllung rechtlicher Verpflichtungen gemäß Artikel 6 Abs 1 lit c DSGVO iVm § 8 HSchG und
2. aufgrund unseres berechtigten Interesses, um Rechtsansprüche geltend zu machen, zu verfolgen, zu verteidigen bzw. abzuwehren. Die Verarbeitung erfolgt gestützt auf Artikel 9 Abs 2 lit g DSGVO bzw. auf Artikel 6 Abs 1 lit f DSGVO bzw. Artikel 10 DSGVO iVm Artikel 6 Abs 1 lit f DSGVO.

3.1. Die personenbezogenen Daten, die wir über Sie verarbeiten, können aus den folgenden Quellen stammen:

1. von Hinweisgeber:innen (Dritten), wenn ein Hinweis personenbezogene Daten, die sich auf Sie beziehen, beinhaltet und dieser an uns erstattet wird
2. aus öffentlich zugänglichen Quellen (Medien, Webseiten, Berichterstattungen) 

Ansonsten verarbeiten wird nur personenbezogene Daten, die Sie selbst an uns übermittelt haben.

4.1. Interne Meldestelle:

Entsprechend geschulte, vertrauenswürdige und einer spezifischen Verschwiegenheitspflicht unterliegende Mitarbeiter:innen, die Meldungen bearbeiten.

4.2. Von einer Meldung betroffene Person:

Nach Maßgabe datenschutzrechtlicher Bestimmungen und zur Ermöglichung angemessener Verteidigung geben wir in bestimmten Fällen Informationen zum gemeldeten Sachverhalt an die von einer Meldung betroffene Person weiter. Hiervon ausgenommen sind Daten in Bezug auf die meldende Person.

4.3. Zeug:innen und sonstige Verfahrensbeteiligte:

Unter Berücksichtigung des Grundsatzes der Datenminimierung geben wir Informationen zum gemeldeten Sachverhalt an Zeug:innen und sonstige Verfahrensbeteiligte (z.B. interne und externe Auskunftspersonen) weiter, soweit dies zur Aufklärung eines gemeldeten Hinweises erforderlich ist.

4.4. Gerichte und Behörden:

In Abhängigkeit vom Inhalt einer erstatteten Meldung, können personenbezogene Daten, im unbedingt erforderlichen Ausmaß, insbesondere zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen an Behörden (z.B. Sozialversicherungsträger:innen, Finanzbehörden, Strafverfolgungsbehörden etc.) oder Gerichte übermittelt werden. Dies kann beispielsweise zur Geltendmachung von Schadenersatzansprüchen, zur Erstattung von Sachverhaltsdarstellungen an Staatsanwaltschaften, zur Einbringung von Selbstanzeigen an Finanzbehörden, aber auch zur Anspruchsabwehr in Zivilverfahren erfolgen.

4.5. Weitere Empfänger:innen:

Im Rahmen von Vertragsbeziehungen und insbesondere in Zusammenhang mit Schadensfällen kann es erforderlich sein, personenbezogene Daten an Rechtsanwält:innen und Sachverständige zu übermitteln, um Rechtsansprüche geltend zu machen, zu verfolgen, zu verteidigen bzw. abzuwehren. Die Übermittlung erfolgt gegebenenfalls gestützt auf Art 9 Abs 2 lit g DSGVO bzw. auf berechtigte Interessen gemäß Art 6 Abs 1 lit f DSGVO bzw. Art 10 DSGVO iVm § 4 Abs 3 DSG iVm Art 6 Abs 1 lit f DSGVO.

5.1. Eine Übermittlung personenbezogener Daten in Drittländer ist im Rahmen des Hinweisgeber:innensystems grundsätzlich nicht vorgesehen. Sollte in Ausnahmefällen eine Drittlandsübermittlung erforderlich sein, erfolgt diese unter Einhaltung der Bestimmungen der Art 44 ff DSGVO sowie – sofern weder gesetzliche Verbote noch ermittlungstaktische Gründe dagegensprechen – nach vorheriger Information der betroffenen Personen, deren personenbezogene Daten von einer solchen Übermittlung umfasst sind.

6.1. Sobald wir Ihre personenbezogenen Daten für die oben angegebenen Zwecke nicht mehr benötigen, löschen wir diese, sofern wir nicht durch gesetzliche Aufbewahrungsfristen zur weiteren Speicherung bzw. Aufbewahrung verpflichtet sind.

6.2. Sofern auf Grundlage des Ergebnisses der Bearbeitung erhaltener Meldungen oder in Zusammenhang mit einem gemeldeten Sachverhalt von oder gegen uns zivil- oder strafrechtliche Schritte ergriffen oder behördliche Verfahren eingeleitet werden, erfolgt die Verarbeitung der in diesem Zusammenhang erforderlichen personenbezogenen Daten bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens.

6.3. Aufgrund von Gesetzen (§ 8 Abs 11 HSchG) sind wir verpflichtet die in den Hinweisen beinhalteten personenbezogenen Daten für fünf Jahre aufzubewahren. Protokolldaten werden aufgrund von Gesetzen
(§ 8 Abs 12 HSchG) für drei Jahre nach Entfall der Aufbewahrungsfrist gespeichert.

7.1. Eine Meldung über das Hinweisgeber:innensystem erfolgt freiwillig, daher sind Sie auch nicht dazu verpflichtet personenbezogene Daten anzugeben. Eine effektive Verfolgung und Aufarbeitung einer Meldung ist jedoch nur mit genügend Informationen möglich.

8.1. Es kommt zu keiner automatisierten Entscheidungsfindung für welche personenbezogene Daten im Zuge des Hinweisgeber:innensystems verarbeitet werden. Es kommt auch zu keinem Profiling im Zuge des Hinweisgeber:innensystems.

9.1. Auskunftsrecht:

Auf Ihren Wunsch hin erteilen wir Ihnen Auskunft über alle Ihre personenbezogenen Daten, die wir verarbeiten. Dabei erhalten Sie auch eine Kopie jener Daten. Bitte beachten Sie, dass das Auskunftsrecht in Zusammenhang mit erstatteten Meldungen Einschränkungen unterliegt.

9.2. Recht auf Berichtigung:

Wenn Sie feststellen, dass Ihre personenbezogenen Daten, die wir verarbeiten, unrichtig oder veraltet sind, nehmen wir auf Ihren Antrag hin die Korrektur bzw. die Aktualisierung Ihrer Daten vor. Bitte übermitteln Sie uns diesfalls den Nachweis für die Richtigkeit der gewünschten Änderung (z.B. Heiratsurkunde, Meldezettel, Universitätsdiplom etc.). 

9.3. Recht auf Löschung:

Unter bestimmten Umständen können Sie die Löschung Ihrer personenbezogenen Daten bei uns begehren. Dies ist unter anderem dann der Fall, wenn Sie eine Einwilligung widerrufen oder einen Vertrag mit uns kündigen. Bitte beachten Sie, dass wir aufgrund von gesetzlichen Aufbewahrungsfristen dazu verpflichtet sein können, Ihre Daten weiterhin aufzubewahren (siehe Punkt 6.). Diesfalls werden wir Sie entsprechend informieren.

9.4. Recht auf Einschränkung der Verarbeitung:

Weiters können Sie unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung begehren. Wenn wir die Verarbeitung einschränken müssen, bedeutet dies, dass Ihre Daten nur noch gespeichert, aber in keiner sonstigen Weise – vorbehaltlich der Löschung – verarbeitet werden.

9.5. Recht auf Datenübertragbarkeit:

Sie können von uns verlangen, dass wir Ihre personenbezogenen Daten, die wir aufgrund Ihrer Einwilligung oder eines mit Ihnen abgeschlossenen Vertrages verarbeiten, Ihnen oder einem anderen datenschutzrechtlich Verantwortlichen zur Verfügung stellen.

9.6. Recht auf Widerspruch:

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf der Rechtsgrundlage überwiegender berechtigter Interessen beruht, können Sie Widerspruch erheben, wobei Sie darzulegen haben, warum eine Situation vorliegt, die dazu führt, dass Ihre Interessen überwiegen. Gegen Direktmarketing können Sie jederzeit und ohne Begründung Widerspruch einlegen.

9.7. Recht auf Widerruf der Einwilligung:

Sofern wir Ihre personenbezogenen Daten auf der Grundlage Ihrer Einwilligung verarbeiten, können Sie Ihre Einwilligung ohne Angabe von Gründen jederzeit widerrufen. Ab Einlangen des Widerrufs werden wir Ihre davon betroffenen Daten nicht mehr verarbeiten. Der Widerruf lässt die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, die aufgrund Ihrer Einwilligung erfolgte, bis zum Zeitpunkt des Einlangens Ihres Widerrufs unberührt.

9.8. Recht auf Beschwerde:

Wenn Sie sich in Ihren datenschutzspezifischen Rechten verletzt erachten, haben Sie das Recht Beschwerde an die Aufsichtsbehörde zu erheben. Zuständig hierfür ist die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, www.dsb.gv.at.

9.9. Einschränkung Ihrer Rechte 

Bitte beachten Sie, dass die Betroffenenrechte gemäß den Punkten 9.1. bis 9.6. im Anwendungsbereich des österreichischen HinweisgeberInnenschutzgesetz nicht oder nur eingeschränkt ausgeübt werden können.

10.1. Bei Fragen zum Datenschutz und zur Ausübung Ihrer Rechte können Sie gerne Kontakt mit datenschutz@fraunhofer.at aufnehmen.