Datenschutzhinweis
Das Thema Datenschutz und Vertraulichkeit nehmen wir sehr ernst und folgen den Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) sowie geltenden nationalen Datenschutzvorschriften. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem (BKMS® System) dient dazu, Hinweise auf Verstöße gegen das Compliance-Gebot der ÖAW bzw. ihrer Tochtergesellschaften auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Meldungen langen ausschließlich bei jener Gesellschaft ein, der Sie diese Meldung im Rahmen des Meldeprozesses (Eingabemaske) zuordnen und werden in der Regel nur dort von berechtigten und zur Vertraulichkeit verpflichteten Personen bearbeitet. Die Verarbeitung von personenbezogenen Daten im Rahmen des BKMS® System ist gestützt auf das berechtigte Interesse der ÖAW bzw. der jeweiligen Tochtergesellschaft an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für die ÖAW bzw. ihre Tochtergesellschaften , ihre Mitarbeiter:innen, Mitglieder und Vertragspartner:innen. Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Art 6 Abs 1 lit c und f bzw. ggf. Art 9 Abs 2 lit a, f oder g EU-DSGVO iVm dem österreichischen HinweisgeberInnenschutzgesetz (HSchG).
Verantwortliche Stelle
Die für den Datenschutz verantwortliche Stelle des Hinweisgebersystems ist
1) die ÖAW und
2) ihre Tochtergesellschaften (CeMM, GMI, IMBA oder AGEI).
Das Hinweisgebersystem wird in gemeinsamer Verantwortung im Sinne des Art 26 EU-DSGVO und durch ein darauf spezialisiertes Unternehmen, der EQS Group AG, Bayreuther Str. 35, 10789 Berlin in Deutschland, betrieben.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group AG betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die Einsichtnahme in die Daten ist nur durch die ÖAW oder die jeweilige Tochtergesellschaft möglich. Die EQS Group AG und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert und unterliegen einem Berechtigungskonzept, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei der jeweiligen Gesellschaft beschränkt ist.
Die ÖAW und ihre Tochtergesellschaften haben jeweils einen Beauftragten für den Datenschutz bestellt.
Anfragen zum Datenschutz bei der ÖAW können an datenschutz@oeaw.ac.at gesendet werden.
Anfragen zum Datenschutz bei der CeMM können an data-privacy@cemm.at gesendet werden.
Anfragen zum Datenschutz bei GMI können an datenschutz_gmi@gmi.oeaw.ac.at gesendet werden.
Anfragen zum Datenschutz beim IMBA können an datenschutz_imba@imba.oeaw.ac.at gesendet werden.
Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen, sofern Sie Ihre Identität offenlegen,
- ob Sie bei der ÖAW oder einer ihrer Tochtergesellschaften beschäftigt sind und
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter Mitarbeiter:innen der Compliance Organisation der ÖAW oder einer ihrer Tochtergesellschaften entgegengenommen und stets vertraulich behandelt. Diese Mitarbeiter:innen prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeiter:innen der ÖAW bzw. der jeweiligen Tochtergesellschaft oder Mitarbeiter:innen von anderen Konzerngesellschaften weiterzugeben, z. B. wenn sich die Hinweise auf Vorgänge in Tochtergesellschaften beziehen. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Information der beschuldigten Person
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die beschuldigten Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung des Hinweises nicht mehr gefährdet. Ihre Identität als Hinweisgeber:in wird dabei – soweit rechtlich zulässig – nicht offenbart.
Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie und die im Hinweis genannten Personen grundsätzlich das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten für die Bearbeitung eines Hinweises noch erforderlich sind. Nicht mehr benötigte Daten werden unverzüglich gelöscht. Außerdem steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu.
Bitte beachten Sie jedoch, dass solange und insoweit dies zum Schutz der Identität von Hinweisgeber:innen oder einer gesetzlich vorgesehenen anderen Person (§ 2 Abs 3 Z 1 oder 2 , § 8 Abs 1 Z 4 HSchG) und zur Erreichung von gesetzlich genannten Zwecken, insbesondere um Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen aufgrund von Hinweisen zu unterbinden, erforderlich ist, insbesondere für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO, finden die folgenden Rechte einer von einem Hinweis betroffenen Person keine Anwendung:
- Recht auf Information (§ 43 DSG, Art 13 und 14 DSGVO),
- Recht auf Auskunft (§ 1 Abs 3 Z 1 und § 44 DSG, Art 15 DSGVO),
- Recht auf Berichtigung (§ 1 Abs 3 Z 2 und § 45 DSG, Art 16 DSGVO),
- Recht auf Löschung (§ 1 Abs 3 Z 2 und § 45 DSG, Art 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (§ 45 DSG, Art 18 DSGVO),
- Widerspruchsrecht (Art 21 DSGVO) sowie
- Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (§ 56 DSG und Art 34 DSGVO).
Aufbewahrungsdauer von personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse der ÖAW bzw. der jeweiligen Tochtergesellschaft besteht oder dies aufgrund eines Gesetzes erforderlich ist. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Gesetzlich vorgesehen ist, dass personenbezogenen Daten ab ihrer letztmaligen Verarbeitung oder Übermittlung fünf Jahre und darüber hinaus so lange aufzubewahren sind, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist (=Aufbewahrungspflicht). Weiters sind tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen zu protokollieren. Protokolldaten über diese Vorgänge sind ab ihrer letztmaligen Verarbeitung oder Übermittlung bis drei Jahre nach Entfall der Aufbewahrungspflicht aufzubewahren.
Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Session-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie den zuständigen Mitarbeiter:innen der ÖAW bzw. der jeweiligen Tochtergesellschaft namentlich oder anonym und sicher Meldungen senden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, den zuständigen Mitarbeiter:innen der ÖAW bzw. der jeweiligen Tochtergesellschaft Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Stand: 03.07.2023
