(1) Die juristischen Personen nach § 9 Abs. 1 und die externe Stelle sind im Rahmen der ihnen nach diesem Gesetz zukommenden Aufgaben und Verpflichtungen gemeinsam mit dem Amt der NÖ Landesregierung Verantwortliche nach Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, zuletzt berichtigt durch ABl. Nr. L 74 vom 04.03.2021 S. 35.

(2) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs- und Löschungspflichten sowie sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber den betroffenen Personen, sofern diese nicht gemäß Abs. 8 ausgeschlossen sind, obliegt jeder oder jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihr oder ihm geführten Verfahren oder den von ihr oder ihm gesetzten Maßnahmen verarbeitet werden. Nimmt eine betroffene Person ein Recht nach der DSGVO gegenüber einem oder einer gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen. Sofern darauf Bezug genommen wird, ist das Datenschutzgesetz – DSG, BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 148/2021, anzuwenden.

(3) Die nach Abs. 1 Verantwortlichen dürfen folgende personenbezogenen Daten zum Zweck der Besorgung der Aufgaben der internen oder externen Stelle nach diesem Gesetz verarbeiten, wobei berufs- und tätigkeitsbezogene Daten je nach Kontext der Meldung auch Daten der besonderen Kategorien der Art. 9 und 10 DSGVO sein können:

(4) Die interne und die externe Stelle dürfen Daten nach Abs. 3 an die zuständigen Stellen zum Zweck der Besorgung ihrer gesetzlich übertragenen Aufgaben übermitteln, sofern dies den Bestimmungen des § 6 nicht entgegensteht.

(5) Die nach Abs. 1 Verantwortlichen haben personenbezogene Daten nach Abs. 3 zu löschen, sobald diese für die Besorgung der ihnen obliegenden Aufgaben nicht mehr benötigt werden. Dies ist insbesondere dann der Fall, wenn Folgemaßnahmen ergriffen wurden und die Daten aus Gründen des Art. 17 Abs. 3 lit. e DSGVO nicht mehr erforderlich sind.

(6) Als Identifikationsdaten gelten:

(7) Als Erreichbarkeitsdaten gelten Wohnsitzdaten und sonstige Adressdaten, die Telefonnummer, elektronische Kontaktdaten, wie insbesondere die E-Mail-Adresse und Telefax-Nummer, oder Verfügbarkeitsdaten.

(8) Solange dies zum Schutz der Identität einer hinweisgebenden Person und zur Erreichung des in Abs. 3 genannten Zwecks erforderlich ist, finden die in den Z 1 bis 7 aufgezählten Rechte einer von einer Meldung betroffenen natürlichen Person und die in den Z 2 bis 4 enthaltenen Rechte einer juristischen Person keine Anwendung (Art. 23 Abs. 1 lit. e und i DSGVO oder §§ 43 Abs. 3 und 44 Abs. 2 Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten [Datenschutzgesetz – DSG], im Folgenden DSG):

(9) Verarbeitungen von personenbezogenen Daten, die auf Grundlage dieses Gesetzes automationsunterstützt verarbeitet werden, sind lückenlos zu protokollieren. Verarbeitungen haben in pseudonymisierter Form zu erfolgen. Protokolldaten sind drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.