§ 8 § 8
In Kraft seit 21. April 2022
Up-to-date
(1) Juristische Personen nach § 9 Abs. 1 und die externe Meldestelle nach § 13 Abs. 1 sind im Rahmen der ihnen nach diesem Gesetz zukommenden Aufgaben und Verpflichtungen Verantwortliche nach Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, zuletzt berichtigt durch ABl. Nr. L 74 vom 04.03.2021 S. 35.
(2) Die nach Abs. 1 Verantwortlichen sowie die um Austausch oder Übermittlung personenbezogener Daten ersuchte Behörden im Sinne dieses Gesetzes sind ermächtigt, personenbezogene Daten zum Zweck der Besorgung der Aufgaben der internen oder externen Meldestelle oder als ersuchte Behörde nach diesem Gesetz zu verarbeiten. Die Verarbeitung muss auf Daten eingeschränkt werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden und inkludieren folgende Daten
1. von Hinweisgebern: Identifikationsdaten, Erreichbarkeitsdaten, berufs- und tätigkeitsbezogene Daten;
2. von Personen, die in einer Meldung erwähnt werden: Identifikationsdaten, Erreichbarkeitsdaten sowie berufs- und tätigkeitsbezogene Daten;
3. von den Ansprechpersonen bei den zuständigen Stellen nach § 16 Abs. 4 und 5: Identifikationsdaten sowie Erreichbarkeitsdaten.
(3) Die externe Meldestelle darf Daten nach Abs. 2 an die zuständigen Stellen nach § 16 Abs. 4 und 5 zum Zweck der Besorgung ihrer gesetzlich übertragenen Aufgaben übermitteln.
(4) Soweit Verantwortliche zusammen ein Hinweisgebersystem betreiben, sind sie gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO. In diesem Fall obliegt die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach der DSGVO jedem Verantwortlichen hinsichtlich jener personenbezogenen Daten, die im Zusammenhang mit den von ihm wahrgenommenen Aufgaben verarbeitet werden. Nimmt eine betroffene Person ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahr, ist sie an den zuständigen Verantwortlichen zu verweisen. Die Verpflichtungen des Verantwortlichen zum Schutz von Hinweisgebern nach diesem Gesetz gelten auch für Auftragsverarbeiter.
(5) Als Identifikationsdaten gelten
1. bei natürlichen Personen: Familien- und Vorname, Geschlecht, Geburtsdatum, allfällige akademische Grade, Standesbezeichnungen und Titel,
2. bei juristischen Personen und Personengesellschaften: gesetzliche, satzungsmäßige oder firmenmäßige Bezeichnung, die Daten gemäß Z 1 der vertretungsbefugten Organe, Firmenbuchnummer, Vereinsregisterzahl, Umsatzsteuer-Identifikationsnummer und Ordnungsnummer im Ergänzungsregister.
(6) Als Erreichbarkeitsdaten gelten Wohnsitzdaten, sonstige Adressdaten, Telefonnummer, elektronische Kontaktdaten wie insbesondere E-Mail-Adresse oder Telefax-Nummer.
(7) Solange und soweit es zum Schutz der Identität des Hinweisgebers oder zum Zweck der Ergreifung von Folgemaßnahmen, insbesondere um Versuche der Verhinderung, Unterlaufung oder Verschleppung von Meldungen oder von Folgemaßnahmen zu unterbinden, erforderlich ist, finden folgende Rechte der von einer Meldung betroffenen Person keine Anwendung:
1. Recht auf Information (Art. 12 bis 14 DSGVO, § 43 Datenschutzgesetz - DSG, BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 148/2021)
2. Recht auf Auskunft (Art. 15 DSGVO, § 1 Abs. 3 Z 1 und § 44 DSG)
3. Recht auf Berichtigung (Art. 16 DSGVO, § 1 Abs. 3 Z 2 und § 45 DSG)
4. Recht auf Löschung (Art. 17 DSGVO, § 1 Abs. 3 Z 2 und § 45 DSG)
5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO, § 45 DSG)
6. Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (Art. 34 DSGVO, § 55 DSG)
7. Widerspruchsrecht (Art. 21 DSGVO)
Unter den im ersten Satzteil angeführten Voraussetzungen haben interne und externe Meldestellen gegenüber einer von einer Meldung betroffenen Person Information und Auskunftserteilung zur Meldung zu unterlassen.
(8) Interne Meldestellen und die externe Meldestelle sowie die Organe und Dienststellen des Landes und der Gemeinden haben technische und organisatorische Vorkehrungen zu treffen, die den Schutz der Geheimhaltungsinteressen der betroffenen Personen garantieren. Als solche Schutzvorkehrungen sind insbesondere der Schutz der Daten vor unbefugtem Zugriff und die Verschlüsselung der Daten bei der Übermittlung in öffentlichen Netzen vorzusehen.
(9) Personenbezogene Daten sind von einem Verantwortlichen ab ihrer letztmaligen Verarbeitung oder Übermittlung so lange aufzubewahren, als es für die Durchführung verwaltungsbehördlicher oder gerichtlicher Verfahren oder zum Schutz des Hinweisgebers oder von der Meldung oder Folgemaßnahmenergreifung betroffener oder involvierter Personen erforderlich und verhältnismäßig ist. Nach Entfall der Aufbewahrungspflicht sind personenbezogene Daten zu löschen.
Rückverweise
Keine Verweise gefunden