Datenschutzerklärung - Hinweisgeber*innensystem

Zweck dieser Datenschutzerklärung

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten erhoben werden, wenn Sie unser Hinweisgeber*innensystem SecuReveal ("Hinweisgeber*innensystem") nutzen und wie wir diese Daten als Verantwortliche verarbeiten.

Diese Datenschutzerklärung ist an jeden Nutzer und jede Nutzerin des Hinweisgeber*innensystems sowie an potenzielle Verdächtigte, Zeugen oder sonstige Dritte, die in Meldungen genannt werden, gerichtet (jede*r "betroffene Person").

Wir verarbeiten personenbezogene Daten in Übereinstimmung mit der EU Datenschutz-Grundverordnung ("DSGVO") und den anwendbaren nationalen Datenschutzgesetzen. Sofern in dieser Datenschutzerklärung nicht anders definiert ist, haben die hier verwendeten Begriffe die gleiche Bedeutung wie in der DSGVO.

Verantwortliche

Verantwortlich
Certification & Information Security Services GmbH
Salztorgasse 2/3/7
1010 Vienna, Austria

Auftragsverarbeiter

Quality Austria Holding GmbH
Zelinkagasse 10/3
1010 Wien, Austria

SecuReveal Webseite und Sub-Auftragsverarbeiter

RBS Responsible Business Solutions GmbH
Hegelgasse 13
1010 Wien, Austria

Welche personenbezogenen Daten wir erfassen und zu welchen Zwecken wir diese verwenden

Wir verarbeiten personenbezogene Daten, um Ihnen Informationen über das Hinweisgeber*innensystem zur Verfügung zu stellen sowie die Erstattung und Bearbeitung von Meldungen über das Hinweisgeber*innensystem zu ermöglichen.

Die folgenden Ausführungen sollen Sie darüber informieren, auf welche Weise wir über das Hinweisgeber*innensystem personenbezogene Daten über Sie verarbeiten und für welche rechtmäßigen Zwecke wir diese verwenden können.

Sicherheit der Hinweisgeber*innensystem Website

Wenn Sie über unsere Website das Hinweisgeber*innensystem besuchen, übermittelt Ihr Browser automatisch Ihre IP-Adresse sowie andere Informationen über das von Ihnen genutzte System (wie z. B. der verwendete Browser sowie die Browser-Version). Die Verarbeitung dieser Daten ist notwendig, um Ihnen unsere Website auf Ihrem jeweiligen Gerät korrekt zur Verfügung zu stellen.

Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO – berechtigtes Interesse an der Aufrechterhaltung der Funktionalität, Stabilität und Sicherheit unserer Website.

Entgegennahme von Meldungen über das Hinweisgeber*innensystem

Das Hinweisgeber*innensystem kann anonym ohne Angabe von personenbezogenen Daten genutzt werden, sodass die Wahrung der Anonymität des Hinweisgebers bzw. der Hinweisgeberin bei Abgabe einer Meldung gewahrt bleiben kann.

Die Übermittlung von Daten geschieht ausschließlich unter Einsatz von TSL-Verschlüsselung.. Wir nutzen keine Tracking-Tools oder Third-Party-Cookies auf der Website.

Das Hinweisgeber*innensystem verwendet Verschlüsselungsmethoden, mit denen sichergestellt wird, dass ausschließlich der jeweilige Hinweisgeber bzw. die jeweilige Hinweisgeberin sowie unsere zuständigen Compliance-Beauftragten Zugriff auf die bereitgestellte Meldung erhalten. Die in der Meldung enthaltenen Daten werden innerhalb ausschließlich an die jeweils zuständigen Compliance-Beauftragten weitergegeben. Ein Zugriff auf die Meldungen des Hinweisgebers bzw. der Hinweisgeberin durch einen Auftragsverarbeiter ist nicht möglich. , eine sonstige Weitergabe an Dritte erfolgt (mit Ausnahme der allfälligen Weitergabe an zuständige Behörden oder Gerichte sowie Auditor*innen zur weiteren Verfolgung des der Meldung zugrunde liegenden Sachverhalts) nicht.

Abhängig davon, welche Daten Sie uns zur Verfügung stellen, verarbeiten wir folgenden personenbezogenen Daten:

Identifikationsdaten des Hinweisgebers bzw. der Hinweisgeberin und der beschuldigten Person (z. B. Name, Personalnummer)
(private) Kontaktinformationen der hinweisgebenden Person (z. B. Adresse, E-Mailadresse, Telefonnummer)
Funktion im Unternehmen
Angaben zum Sachverhalt
Kommunikation mit den Compliance-Beauftragten
Angaben zu Folgemaßnahmen (z. B. Untersuchungen)
Technische Sekundärdaten (IP-Adresse des Zugriffs auf das Hinweisgeber*innensystem)

Rechtsgrundlage: Art 6 Abs 1 lit c DSGVO - Erfüllung einer gesetzlichen Verpflichtung, nämlich Zurverfügungstellung eines internen Hinweisgeber*innensystem gemäß § 8 iVm § 11 HinweisgeberInnnenschutzgesetz ("HSchG").

Sie können Meldungen über unser Hinweisgeber*innensystem auch ohne Angaben zu Ihrer Identität erstatten. In diesem Fall bleiben Sie anonym.

Cookies

Des Weiteren verwendet diese Website Cookies. Dies sind kleine Textdateien, die während des Besuchs unserer Website auf Ihrem Gerät abgelegt werden können und bestimmte Informationen über Sie speichern.

Wir verwenden auf dieser Website nur technisch erforderliche Cookies, die zur Gewährleistung der ordnungsgemäßen Funktionalität der Website sowie des Hinweisgeber*innensystems notwendig sind. Die Verwendung von technisch erforderlichen Cookies ist ohne Ihre Einwilligung möglich. Sie können diese Cookies jedoch jederzeit über Ihre Browsereinstellungen deaktivieren.

Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO – berechtigtes Interesse an der ordnungsgemäßen Bereitstellung der Website und des Hinweisgebersystems.

Folgende technisch erforderlichen Cookies werden auf der Website gesetzt:

Cookie Name	Zweck	Speicherdauer
PHPSESSID	Dieses Cookie ist zur Verwaltung Ihrer aktiven Sitzung notwendig.	Session

Empfänger*innen ihrer personenbezogenen Daten

Für die obengenannten Zwecke können wir Ihre personenbezogenen Daten die nachfolgenden Empfänger*innen offenlegen:

Für das technische Hosting des Hinweisgeber*innensystems: RBS Responsible Business Solutions GmbH mit Sitz in Wien (es werden keine inhaltlichen Daten der Meldung übermittelt, sondern ausschließlich technische Sekundärdaten) sowie die technischen Sub-Auftragsverarbeiter A1 Telekom Austria AG und Wolf Rechtsanwälte GmbH & Co KG.

Wenn eine Offenlegung erforderlich ist (i) aufgrund von Gesetzen oder Verordnungen oder (ii) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, können wir personenbezogene Daten auch gegenüber zuständigen Behörden, wie Aufsichts-, Regulierungs- oder Strafbehörden, Gerichten oder anderen Dritten, die uns in diesem Zusammenhang beraten (z.B. Anwält*innen, Forensik-Expert*innen oder Auditor*innen), offenlegen.

Ihre Daten werden ausschließlich innerhalb des EWR verarbeitet, eine Übermittlung in ein Drittland findet daher nicht statt.

Wie lange wir ihre Daten speichern

Logfiles (siehe Punkt 3 oben) werden allgemein für einen Zeitraum von drei (3) Monaten aufbewahrt. Über diesen Zeitraum hinausgehend werden Logfiles nur zum Zwecke der Untersuchung von Unregelmäßigkeiten oder Sicherheitsvorfällen in unseren Systemen gespeichert. Zur Speicherdauer von Cookies siehe Punkt 3.5 oben.

Generell speichern wir Ihre personenbezogenen Daten nur so lange, wie dies für die Erfüllung des Zwecks, für den sie erhoben wurden, erforderlich ist. Sobald eine Meldung geprüft wurde, werden darin enthaltene personenbezogene Daten innerhalb von 6 Monaten nach Beendigung der Untersuchung gelöscht, sofern Nachforschungen nicht zu Disziplinarmaßnahmen oder einem gerichtlichen oder behördlichen Vorgehen führen.

Technische Sekundärdaten (IP-Adresse des Zugriffs auf das Hinweisgeber*innensystem) werden ausschließlich in der Firewall des Auftragsverarbeiters verarbeitet und nach 24 Stunden gelöscht.

Ihre Rechte als Betroffene Person

Als betroffene Person haben Sie unter den gesetzlich definierten Bedingungen insbesondere folgende Rechte gemäß Art 15 – 21 DSGVO in Bezug auf Ihre personenbezogenen Daten:

zu prüfen, ob und welche personenbezogenen Daten wir über Sie gespeichert haben und Kopien dieser Daten zu erhalten (Recht auf Auskunft)
die Berichtigung, Ergänzung oder Löschung Ihrer personenbezogenen Daten, die unrichtig sind oder nicht rechtskonform verarbeitet werden, zu verlangen (Recht auf Berichtigung und Löschung)
von uns zu verlangen, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken (Recht auf Einschränkung)
unter bestimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen oder eine zuvor für die Verarbeitung erteilte Einwilligung zu widerrufen (Recht auf Widerspruch oder Widerruf der Einwilligung)
die personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten auf eine*n andere*n Verantwortliche*n zu übertragen (Recht auf Datenübertragbarkeit)
Wir verarbeiten Ihre personenbezogenen Daten nicht zu dem Zweck, Entscheidungen zu treffen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen und Ihnen gegenüber rechtliche Wirkungen entfalten (Art 22 DSGVO).
Um eines der oben genannten Rechte auszuüben, senden Sie bitte eine E-Mail an datenschutz@cis-cert.com. Sie haben außerdem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, wenn Sie der Meinung sind, dass wir Ihre Datenschutzrechte verletzen oder Ihre Betroffenenrechte nicht ausreichend umgesetzt haben. Für Österreich: Österreichische Datenschutzbehörde, Barichgasse 40-42, A-1030 Wien, dsb.gv.at

Updates dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, um rechtliche, technische oder geschäftliche Veränderungen zu berücksichtigen. Wenn wir diese Datenschutzerklärung aktualisieren, werden wir angemessene Schritte unternehmen, um Sie über die vorgenommenen Änderungen zu informieren. Das Datum der "letzten Aktualisierung" finden Sie am Anfang dieser Datenschutzerklärung.

Unsere Kontaktdaten

Sollten Sie Fragen oder sonstige Anliegen zur Verarbeitung Ihrer personenbezogenen Daten durch uns haben, wenden Sie sich bitte an datenschutz@cis-cert.com.

Unsere Geschäftsadresse

CIS
Certification & Information Security Services GmbH
Salztorgasse 2/3/7
1010 Vienna, Austria

Informations-
sicherheit

NIS-2 Prüfung

TISAX®

Künstliche
Intelligenz

Datenschutz

Energiewirtschaft

Cloud Computing

Business Continuity

Service Management

Rechenzentren

Blockchain Assessment