Datenschutzhinweis
Das Thema Datenschutz und Vertraulichkeit nehmen wir sehr ernst und folgen den Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) sowie geltenden nationalen Datenschutzvorschriften. Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.
Zweck des Hinweisgebersystems und Rechtsgrundlage
Das Hinweisgebersystem (BKMS® System) dient dazu, Hinweise auf Missstände, Gesetzesverstöße oder sonstige Regelwidrigkeiten in der OÖG, KUK, LPBZ und FHG OÖ auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Die Verarbeitung von personenbezogenen Daten im Rahmen des BKMS® System ist gestützt auf das berechtigte Interesse der beteiligten Organisationen an der Aufdeckung und Prävention von Missständen und damit an der Abwendung von Schaden für die OÖG, KUK, LPBZ und FHG OÖ, ihre MitarbeiterInnen und KundInnen. Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs. 1 lit. f EU-DSGVO.
Verantwortliche Stellen
Die verantwortlichen Stellen des Hinweisgebersystems im Sinne des Datenschutzes sind:
- Oberösterreichische Gesundheitsholding GmbH (OÖG)
Goethestraße 89, 4020 Linz - Kepler Universitätsklinikum GmbH (KUK)
Med Campus II,Krankenhausstraße 7a, 4020 Linz - FH Gesundheitsberufe OÖ GmbH (FHG OÖ)
Semmelweisstraße 34, 4020 Linz - Oö. Landespflege- und Betreuungszentren GmbH (LPBZ)
Schloss Haus 1, 4224 Wartberg/Aist
als autonom verantwortliche Stellen (im Folgenden auch: „OÖG, KUK, LPBZ und FHG OÖ“). Das Hinweisgebersystem wird durch ein darauf spezialisiertes und mehrfach zertifiziertes Unternehmen, die EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Deutschland, im Auftrag der OÖG, KUK, LPBZ und FHG OÖ betrieben.
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in von der EQS Group GmbH betriebenen Datenbanken in einem Hochsicherheitsrechenzentrum gespeichert.
Zugriffsrechte
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert und unterliegen einem Berechtigungskonzept, so dass der Zugang auf einen sehr engen EmpfängerInnen-Kreis ausdrücklich autorisierter Personen bei der OÖG, KUK, LPBZ und FHG OÖ beschränkt sind.
Die Zugriffsrechte der Organisationen OÖG, KUK, LPBZ und FHG OÖ auf die abgegebenen Meldungen sind, je nach ausgewählter Organisation wie folgt ausgestaltet:
OÖG: Zugriff nur für die Zuständigen in der OÖG,
KUK: Zugriff nur für die Zuständigen in der KUK,
LPBZ: Zugriff nur für die Zuständigen in den LPBZ,
FHG OÖ: Zugriff nur für die Zuständigen in der FHG OÖ.
Welche Stellen in der Organisation konkret zuständig sind, wird in den FAQs zum System beschrieben.
Die EQS Group GmbH und andere Dritte haben keinen Zugang zu den Hinweisen/Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Die OÖG, KUK, LPBZ und FHG OÖ haben einen Datenschutzbeauftragten bestellt, der vom CISO-Team unterstützt wird. Auf Meldungen zum Schwerpunkt Datenschutz haben nur der Datenschutzbeauftragte und das CISO-Team Zugriff.
Anfragen zum Datenschutz bei OÖG, KUK und LPBZ können an datenschutz@ooeg.at gesendet werden.
Anfragen zum Datenschutz bei der FHG OÖ können an datenschutz@fhgooe.ac.at gesendet werden.
Art der erhobenen personenbezogenen Daten
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn Sie über das Hinweisgebersystem eine Meldung abgeben, erheben wir folgende personenbezogene Daten und Informationen:
- Ihren Namen, sofern Sie Ihre Identität offenlegen,
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Vertrauliche Behandlung von Hinweisen
Eingehende Hinweise werden von einem engen Kreis ausdrücklich autorisierter und speziell geschulter MitarbeiterInnen der Compliance Organisation von der OÖG, KUK, LPBZ oder FHG OÖ entgegengenommen und stets vertraulich behandelt. Die MitarbeiterInnen der Compliance Organisation von der OÖG, KUK, LPBZ und FHG OÖ prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise im notwendigen Ausmaß weiteren MitarbeiterInnen der OÖG, KUK, LPBZ und FHG OÖ weiterzugeben. Hinweise auf behördlich oder gerichtlich zu verfolgende Taten werden im Zuge der Anzeige an die betreffenden Behörden/Gerichte übermittelt.
Hinweise, die eine der anderen Organisationen betreffen bzw. irrtümlich für die falsche Organisation abgegeben wurden, werden an die autorisierten Zuständigen der augenscheinlich betreffenden Organisation weitergegeben. Wir achten stets darauf, dass die einschlägigen datenschutzrechtlichen Bestimmungen bei der Weitergabe von Hinweisen eingehalten werden.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Information der vom Hinweis betroffenen Person
Wir sind grundsätzlich gesetzlich dazu verpflichtet, die vom Hinweis betroffenen Personen darüber zu informieren, dass wir einen Hinweis über sie erhalten haben, sobald diese Information die Weiterverfolgung nicht mehr gefährdet. Ihre Identität als Hinweisgeberin/Hinweisgeber wird dabei – soweit rechtlich zulässig – nicht offenbart.
Betroffenenrechte
Nach dem europäischen Datenschutzrecht haben Sie und die im Hinweis genannten Personen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Wird das Widerspruchsrecht in Anspruch genommen, prüfen wir umgehend, inwieweit die gespeicherten Daten für die Bearbeitung eines Hinweises noch erforderlich sind. Nicht mehr benötigte Daten werden unverzüglich gelöscht. Außerdem steht Ihnen ein Beschwerderecht bei der österreichischen Datenschutzbehörde zu.
Aufbewahrungsdauer von personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern oder ein berechtigtes Interesse der Organisation besteht oder dies aufgrund eines Gesetzes erforderlich ist. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Nutzung des Hinweisgeberportals
Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem BKMS® System wird ein Cookie auf Ihrem Rechner gespeichert, das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.
Sie haben die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können Sie den zuständigen MitarbeiterInnen der von Ihnen ausgewählten Organisation namentlich oder anonym und sicher Meldungen senden. Umgekehrt ist es der Organisation möglich, über den Postkasten auf sicherem Weg Rückfragen an Sie zu senden und dies auch ohne dass Sie ihre Identität preisgeben müssen. Bei dem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Hinweise zum Versand von Datei-Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung haben Sie die Möglichkeit, den zuständigen MitarbeiterInnen von OÖG, KUK, LPBZ und FHG OÖ Datei-Anhänge zu senden. Wenn Sie anonym eine Meldung abgeben möchten, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden. Entfernen Sie diese Daten vor dem Versenden. Sollten Sie diese Daten nicht entfernen können oder unsicher sein, kopieren Sie den Text Ihres Anhangs zu Ihrem Meldungstext oder senden Sie das gedruckte Dokument anonym unter Angabe der Referenznummer, die Sie am Ende des Meldungsprozesses erhalten, an die in der Fußzeile aufgeführte Adresse.
Information gemäß Art 26 Abs 2 DSGVO
Aufgrund des gemeinsamen Einsatzes des Hinweisgebersystem der Firma EQS Group GmbH, besteht eine gemeinsame Verantwortung zwischen der Oberösterreichische Gesundheitsholding GmbH (OÖG) Goethestraße 89, 4020 Linz, der Kepler Universitätsklinikum GmbH (KUK) Med Campus II,Krankenhausstraße 7a, 4020 Linz, der Oö. Landespflege- und Betreuungszentren GmbH (LPBZ) Schloss Haus 1, 4224 Wartberg/Aist und der FH Gesundheitsberufe OÖ GmbH (FHG OÖ) Semmelweisstraße 34, 4020 Linz.
Verarbeitete Datenkategorien bei einer freiwilligen Meldung im Hinweisgebersystem:
- Name, sofern Sie Ihre Identität offenlegen,
- gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.
Zweck:
Hinweise auf Missstände, Gesetzesverstöße oder sonstige Regelwidrigkeiten in der OÖG, KUK, LPBZ und FHG OÖ auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten.
Rechtsgrundlage:
Artikel 6 Abs. 1 lit. f DSGVO
Die OÖG, KUK, LPBZ und FHG OÖ haben als gemeinsame Verantwortliche über den Einsatz eines gemeinsamen Hinweisgebersystems der Firma EQS Group GmbH eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt. Das Wesentliche dieser Vereinbarung finden Sie nachfolgend.
| Aufgaben | Zuständigkeit Aufgabenwerteilung |
| Informationspflicht des Betroffenen zum Zeitpunkt der Erhebung von personenbezogenen Daten gemäß Art. 13 DSGVO sowie Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden gemäß Art. 14 DSGVO; jeweils einschließlich der Informationen nach Art. 26 Abs. 2 DSGVO. | Alle 4 |
| Bearbeitung von Betroffenenrechten gemäß Art. 15 – 20, 21, 22 DSGVO einschließlich der Wahrnehmung der Identitätsprüfung gemäß Art 12 Abs. 6 DSGVO und Kommunikation mit den betroffenen Personen gemäß Art 12 Abs. 3 und 4 DSGVO. | Alle 4
Für eine effiziente Bearbeitung wird gebeten, das Begehren an denjenigen Verantwortlichen zu richten, an den auch der Hinweis ergangen ist. |
| Erstellung und Wartung der Verarbeitungsdokumentation zur betreffenden Verarbeitungstätigkeit im Verarbeitungsverzeichnis gemäß Art 30 DSGVO. | Alle 4 |
| Meldungen an die Aufsichtsbehörde und Betroffenen gemäß Art. 33 und 34 DSGVO. | Alle 4 |
| Verantwortlichkeit für die Feststellung der Notwendigkeit von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO; vorherige Konsultation der Aufsichtsbehörde gemäß Art 36 DSGVO. | Alle 4 |
Stand: September 2021