§ 20 § 20Verarbeitung personenbezogener Daten
In Kraft seit 18. November 2025
Up-to-date
(1) Die juristischen Personen nach § 7 Abs. 1 und die externe Meldestelle nach § 11 sind im Rahmen der ihnen nach diesem Gesetz zukommenden Aufgaben und Verpflichtungen jeweils Verantwortliche nach Art. 4 Z 7 der Datenschutz-Grundverordnung und ermächtigt, folgende personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung der Aufgaben der internen bzw. externen Meldestelle nach diesem Gesetz erforderlich ist:
a) von Hinweisgebern: Identifikationsdaten, Erreichbarkeitsdaten, berufs- und tätigkeitsbezogene Daten, Daten im Zusammenhang mit Verstößen und Folgemaßnahmen einschließlich deren Ergebnisse,
b) von betroffenen Personen: Identifikationsdaten, Erreichbarkeitsdaten, berufs- und tätigkeitsbezogene Daten, Daten im Zusammenhang mit Verstößen und Folgemaßnahmen einschließlich deren Ergebnisse,
c) von Personen, die in einer Meldung erwähnt werden: Identifikationsdaten, Erreichbarkeitsdaten, berufs- und tätigkeitsbezogene Daten, Daten im Zusammenhang mit Verstößen und Folgemaßnahmen einschließlich deren Ergebnisse,
d) von Personen, die von Folgemaßnahmen betroffen sind oder berührt werden: Identifikationsdaten, Erreichbarkeitsdaten, berufs- und tätigkeitsbezogene Daten, Daten im Zusammenhang mit Verstößen und Folgemaßnahmen einschließlich deren Ergebnisse,
e) von Ansprechpersonen bei den zuständigen Stellen nach § 14 Abs. 5 und 9: Identifikationsdaten, Erreichbarkeitsdaten.
(2) Dritte, die nach § 7 Abs. 2 herangezogen werden, sind ermächtigt, personenbezogene Daten nach Abs. 1 zu verarbeiten, soweit dies zur Erfüllung der Aufgaben der internen Meldestelle nach diesem Gesetz erforderlich ist. Soweit juristische Personen nach § 7 Abs. 1 gemeinsame Meldekanäle betreiben, sind sie gemeinsam Verantwortliche nach Art. 4 Z 7 iVm Art. 26 der Datenschutz-Grundverordnung und ermächtigt, personenbezogene Daten nach Abs. 1 zu verarbeiten, soweit dies zur Erfüllung der Aufgaben der internen Meldestelle nach diesem Gesetz erforderlich ist.
(3) Die externe Meldestelle nach § 11 ist ermächtigt, Daten nach Abs. 1 an die zuständigen Stellen nach § 14 Abs. 9 zum Zweck der Besorgung ihrer gesetzlich übertragenen Aufgaben zu übermitteln.
(4) Die juristischen Personen nach § 7 Abs. 1 und die externe Meldestelle nach § 11 sind ermächtigt, personenbezogene Daten nach Abs. 1 unter Beachtung des zulässigen Verarbeitungszweckes an Organe und Dienststellen des Bundes, des Landes und der Gemeinden zu übermitteln, soweit diese unabdingbare Voraussetzung für die Erfüllung der ihnen gesetzlich übertragenen Aufgaben sind.
(5) Personenbezogene Daten sind von Verantwortlichen ab ihrer letztmaligen Verarbeitung oder Übermittlung so lange aufzubewahren, als es für die Durchführung verwaltungsbehördlicher oder gerichtlicher Verfahren oder zum Schutz des Hinweisgebers, einer betroffenen oder in Folgemaßnahmen involvierten Person oder einer in § 17 Abs. 4 genannten Person erforderlich und verhältnismäßig ist. Nach Entfall der Aufbewahrungspflicht sind personenbezogene Daten zu löschen.
(6) Solange und soweit es zum Schutz der Identität des Hinweisgebers oder zur Erreichung der in § 1 genannten Zwecke erforderlich ist, finden folgende Rechte der in Abs. 1 lit. b, c und d genannten natürlichen Personen und die in den lit. b, c und d im Datenschutzgesetz – DSG enthaltenen Rechte einer juristischen Person keine Anwendung:
a) Recht auf Information (§ 43 DSG, Art. 13 und 14 Datenschutz-Grundverordnung),
b) Recht auf Auskunft (§ 1 Abs. 3 Z 1 und § 44 DSG, Art. 15 Datenschutz-Grundverordnung),
c) Recht auf Berichtigung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 16 Datenschutz-Grundverordnung),
d) Recht auf Löschung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 17 Datenschutz-Grundverordnung),
e) Recht auf Einschränkung der Verarbeitung (§ 45 DSG, Art. 18 Datenschutz-Grundverordnung),
f) Widerspruchsrecht (Art. 21 Datenschutz-Grundverordnung) und
f) Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (§ 56 DSG, Art. 34 Datenschutz-Grundverordnung).
Die nach Abs. 1 Verantwortlichen haben die Information und Auskunftserteilung gegenüber den im ersten Satz genannten Personen zu einem Hinweis unter den im ersten Satz genannten Voraussetzungen zu unterlassen.
(7) Als Identifikationsdaten gelten:
a) bei natürlichen Personen der Familien- und der Vorname, das Geschlecht, das Geburtsdatum, allfällige akademische Grade, Standesbezeichnungen und Titel,
b) bei juristischen Personen und Personengesellschaften die gesetzliche, satzungsmäßige oder firmenmäßige Bezeichnung und hinsichtlich der vertretungsbefugten Organe die Daten nach lit. a sowie die Firmenbuchnummer, die Vereinsregisterzahl, die Umsatzsteuer-Identifikationsnummer und die Ordnungsnummer im Ergänzungsregister.
(8) Als Erreichbarkeitsdaten gelten Wohnsitzdaten und sonstige Adressdaten, die Telefonnummer, elektronische Kontaktdaten, wie insbesondere die E-Mail-Adresse und Telefax-Nummer, oder Verfügbarkeitsdaten.
(9) Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, dürfen nicht erhoben werden bzw. sind unverzüglich zu löschen, falls sie unbeabsichtigt erhoben wurden.
Rückverweise