Datenschutz Hinweisgeber-Plattform

Datenschutz Hinweisgeber-Plattform

Datenschutzhinweis und Informationen über das Hinweisgebersystem

Der Schutz Ihrer persönlichen Daten ist für die Unternehmensgruppe Leyrer + Graf von höchster Bedeutung. Selbstverständlich folgen wir den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie geltenden nationalen Datenschutzvorschriften. In diesem Datenschutzhinweis wird detailliert erläutert, welche persönlichen Daten wir im Zusammenhang mit der Nutzung des Hinweisgebersystems von Ihnen erfassen und wie wir diese verarbeiten. Wir gewährleisten die Einhaltung der geltenden Datenschutzvorschriften unter anderem durch die Implementierung entsprechender technischer und organisatorischer Maßnahmen.

Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch, bevor Sie eine Meldung abgeben.

Datenschutzrechtliche Verantwortung

Verantwortlich im Sinne des Art 4 Z 7 iVm Art 26 DSGVO für die Verarbeitung Ihrer Daten ist:

  • Leyrer + Graf Baugesellschaft m.b.H.
    Conrathstraße 6
    3950 Gmünd
     
  • Graf‑Holztechnik GmbH
    Franz-Graf-Straße 1
    3580 Horn
     
  • Ploier + Hörmann Bau GmbH
    Wiener Bundesstraße 235
    4050 Traun
     
  • Netz + Plan LeitungsdokumentationsgmbH
    Kommunalstraße 15
    4020 Linz
     
  • Ferd. Dehm & F. Olbricht Nachfolger GmbH
    Florianigasse 2/1/4
    1080 Wien
     
  • R & Z Bau GmbH
    Kasernengasse 2
    9500 Villach
     
  • Graf Railservice GmbH
    Conrathstraße 6
    3950 Gmünd

Zwischen den gemeinsamen Verantwortlichen wurde eine Joint Controllervereinbarung gem Art 26 DSGVO abgeschlossen. Im Rahmen der gemeinsamen Verantwortlichkeit ist ausschließlich die Leyrer + Graf Baugesellschaft m.b.H. (LG) für die Verarbeitung der personenbezogenen Daten im Rahmen des Hinweisgebersystems zuständig.
Die Verantwortlichen ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw sind. LG verpflichtet sich, den betroffenen Personen die gemäß Art 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen. Die Zurverfügungstellung dieser Informationen erfolgt über den vorliegenden Datenschutzhinweis. Betroffene Personen können die ihnen aus Art 15 bis 22 DSGVO zustehenden Rechte gegenüber allen Verantwortlichen geltend machen. Im Innenverhältnis ist das Gesuch basierend auf Art 15 bis 22 DSGVO gemäß dieser Vereinbarung von LG zu erfüllen.

Die technische Umsetzung der Hinweisgeberplattform erfolgt in unserem Auftrag durch die rexx systems GmbH.

Personenbezogene Daten

Verarbeitet werden die im Rahmen des Hinweisgeberprozesses freiwillig bekanntgegebenen personenbezogenen Daten des Hinweisgebers, insbesondere Angaben zu seiner Identität, Vor- und Nachname, Telefonnummer oder Emailadresse. Darüber hinaus steht es dem Hinweisgeber offen, über das Meldeformular besondere Kategorien personenbezogener Daten bekanntzugeben.

Fallbezogene Daten können etwa sein: Tatsachen, die der Hinweisgeber zu dem Fehlverhalten meldet, insbesondere, wie und wo sich das Fehlverhalten ereignet, Rolle der vom Hinweis betroffenen Person, Rolle von Personen, die Informationen zu dem Fehlverhalten liefern könnten bzw geliefert haben und wie der Hinweisgeber davon erfahren hat, während der Untersuchung des Fehlverhaltens zusammengetragene Informationen, Ergebnis der Untersuchung und Empfehlungen zur zukünftigen Verhinderung des Fehlverhaltens.

Verarbeitet werden weiters Daten der von einem Hinweis betroffenen Person, die sich aus der Meldung, den hochgeladenen Dokumenten oder einem nachfolgenden Dialog ergeben, insbesondere Vor- und Zuname, Standort, Arbeitgeber, konkrete Vorwürfe, Verfahrensablauf, ergriffene Maßnahmen usw.

Der vom Hinweisgeber gegebene Hinweis kann darüber hinaus auch die vorstehenden personenbezogenen Daten Dritter enthalten, auf die sich der Hinweisgeber in seinem Hinweis bezieht. Solche Dritte können Personen sein, die den Hinweisgeber bei der Hinweisgebung unterstützen, oder Personen im Umkreis des Hinweisgebers, die, ohne die Hinweisgebung zu unterstützen, von nachteiligen Folgen der Hinweisgebung wie beispielsweise Vergeltungsmaßnahmen betroffen sein können. Weiters können dabei sonstige Personen wie z.B. Mitarbeiter des Verantwortlichen, erfasst sein, die von Folgemaßnahmen betroffen sind, oder in Folgemaßnahmen involviert werden.

Information der von einem Hinweis betroffenen Person

Nach Einlangen einer Meldung sowie anschließender Prüfung auf Stichhaltigkeit und etwaiger ergriffener Folgemaßnahmen oder Ermittlungshandlungen werden wir die vom Hinweis betroffene Person darüber informieren, dass wir einen Hinweis über sie erhalten haben, sofern diese Information die Weiterverfolgung des Hinweises bzw das Verfahren nicht gefährdet. Die betroffene Person hat anschließend die Möglichkeit, sich zu den eingelangten Hinweisen zu äußern. Die Vertraulichkeit ist auch in diesem Fall gewahrt, indem keinerlei Angaben zu der Identität des Hinweisgebers an die betroffene Person gemacht werden, soweit dies möglich ist.

Zweck und Rechtsgrundlage der Verarbeitung

Die Unternehmensgruppe Leyrer + Graf ist sich ihrer hohen sozialen und gesellschaftlichen Verantwortung bewusst. Hierzu gehört auch, dass Verstöße gegen die Compliance Richtlinie und geltende Gesetze nicht geduldet werden.

Zweck ist der Betrieb eines Hinweisgebersystems und die damit verbundene Dokumentation der Meldung und unter Umständen einer daraufhin durchgeführten Ermittlung. Weiters die damit einhergehende Datenverarbeitung zur Aufdeckung von problematischen Strukturen und Abläufen sowie Verstößen gegen die Compliance-Richtlinie und geltende Gesetze in- und außerhalb des sachlichen Geltungsbereiches des § 3 Abs 3 HSchG im Rahmen unserer Unternehmensgruppe. Das Hinweisgebersystem ermöglicht es Hinweisgebern dahingehend, mit uns in Verbindung zu treten und Hinweise zu melden. Die in den Meldungen enthaltenen Daten werden dabei zur Ermittlung und weiteren Verfolgung der in einem Hinweis vorgeworfenen Verstöße benötigt und auch ausschließlich zu diesem Zweck verarbeitet.

Wir stützen die Verarbeitung der Daten, die vom sachlichen Anwendungsbereich des HSchG umfasst sind, auf die Erfüllung gesetzlicher Pflichten gem § 8 Abs 1 HSchG iVm Art 6 Abs 1 lit c DSGVO.

Jene Datenverarbeitungen, welche über den sachlichen Geltungsbereich des § 3 Abs 3 HSchG hinausgehen, stützen wir auf unser berechtigtes Interesse gem Art 6 Abs 1 lit f DSGVO. Unsere berechtigten Interessen liegen darin, die Einhaltung der sonstigen gesetzlichen und internen Vorschriften sowie unserer Compliance-Richtlinie zu gewährleisten. Dies deshalb, da Verstöße Risiken für unsere Reputation darstellen, sowie bestehende oder mögliche Geschäftsbeziehungen gefährdet wären und die Arbeitsmoral von Mitarbeitern darunter leiden könnte. Zudem drohen erhebliche Strafen, Geldbußen, Schadenersatzansprüche und sonstige finanzielle Beeinträchtigungen. Dabei stellt unser Hinweisgebersystem, aufgrund der anonymen Meldemöglichkeit, eine besonders effektive Form der Hinweisgebung dar. Die Rechte der Betroffenen werden durch eine Vielzahl an technischen und organisatorischen Vorkehrungen umfassend geschützt.

Sie können dieser Verarbeitung jederzeit unter Angabe von Gründen mittels formloser Mitteilung an Leyrer + Graf Baugesellschaft m.b.H. widersprechen. Wir werden - nach erfolgreichem Widerspruch – die Daten unverzüglich löschen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen oder zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden können, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Sofern strafbezogene Daten nach Art 10 DSGVO innerhalb des sachlichen Geltungsbereiches des § 3 Abs 3 HSchG verarbeitet werden, erfolgt dies aufgrund von § 4 Abs 3 Z 1 DSG iVm - und unter den Voraussetzungen des - § 8 Abs 3 iVm Abs 6 HSchG. Sofern innerhalb des sachlichen Geltungsbereiches sensible Daten nach Art 9 DSGVO im Rahmen der Hinweisgebung verarbeitet werden, erfolgt dies aufgrund von Art 9 Abs 2 lit g DSGVO iVm § 8 Abs 5 HSchG.

Im Falle der Verarbeitung von strafbezogenen Daten nach Art 10 DSGVO außerhalb des sachlichen Geltungsbereiches des § 3 Abs 3 HSchG erfolgt dies aufgrund von § 4 Abs 3 Z 2 DSG. Sofern außerhalb des Geltungsbereiches sensible Daten nach Art 9 DSGVO verarbeitet werden, kann die Verarbeitung auf Art 9 Abs 2 lit b DSGVO gestützt werden, wenn die Verarbeitung für den Verantwortlichen erforderlich ist, um arbeitsrechtliche Rechte oder Pflichten auszuüben. Weiters ist die Verarbeitung aufgrund von Art 9 Abs 2 lit f DSGVO möglich, wenn die Verarbeitung erforderlich ist, um Rechtsansprüche auszuüben, zu verteidigen oder diese geltend zu machen.

Technische Umsetzung, Sicherheit Ihrer Daten, Kommunikation mit dem Hinweisgeber

Das Hinweisgebersystem enthält eine Möglichkeit zur anonymen Kommunikation über eine verschlüsselte Verbindung. Bei der Nutzung werden Ihre IP-Adresse und Ihr derzeitiger Standort zu keinem Zeitpunkt gespeichert.

Nach Abgabe einer Meldung wird ein Zugriffscode generiert, der vom Hinweisgeber für das zukünftige Weiterverfolgen und ggf Ergänzen seiner Meldung genutzt wird. Der Hinweisgeber muss diesen kopieren und an einem sicheren Ort speichern, da dieser nicht erneut aufgerufen werden kann und auch nicht per E-Mail oder dgl verschickt wird. Dadurch wird sichergestellt, dass etwaige unberechtigte Dritte keinen Zugriff auf die abgegebenen Meldungen erlangen.

Weitergabe der personenbezogenen Daten

Die eingehenden Meldungen werden vom Compliance Manager entgegengenommen und stets vertraulich behandelt. Notwendige Ermittlungen werden mit jenen Personen im Betrieb durchgeführt, die in jenem Bereich arbeiten, der von der Meldung betroffen ist und von dem anzunehmen ist, dass mit ihnen eine Aufklärung gelingen kann. Zu den Ermittlungen hinzugezogene Personen werden auf ihre strenge Verschwiegenheit hingewiesen. Hinweise werden unverzüglich und möglichst umfassend aufgeklärt. Insofern kann es vorkommen, dass die gemeldeten Daten innerhalb des Konzerns an eine der folgenden Konzerngesellschaften übermittelt werden:

  • Graf‑Holztechnik GmbH
    Franz-Graf-Straße 1
    3580 Horn
     
  • Ploier + Hörmann Bau GmbH
    Wiener Bundesstraße 235
    4050 Traun
     
  • Netz + Plan LeitungsdokumentationsgmbH
    Kommunalstraße 15
    4020 Linz
     
  • Ferd. Dehm & F. Olbricht Nachfolger GmbH
    Florianigasse 2/1/4
    1080 Wien
     
  • R & Z Bau GmbH
    Kasernengasse 2
    9500 Villach
     
  • Graf Railservice GmbH
    Conrathstraße 6
    3950 Gmünd

Die technische Bereitstellung der Hinweisgeber-Plattform erfolgt durch einen externen Dienstleister, die rexx systems GmbH. In Bezug auf den Datenschutz agiert die rexx systems GmbH als Auftragsverarbeiterin. Gemäß den Bestimmungen der DSGVO hat Leyrer + Graf daher eine Auftragsverarbeitervereinbarung mit der rexx systems GmbH abgeschlossen. Zur Sicherstellung des Datenschutzes und der Vertraulichkeit werden entsprechende technische Maßnahmen unterhalten. Die Speicherung der zur Verfügung gestellten Daten durch die rexx systems GmbH findet auf einer DSGVO-konformen Serverumgebung ohne Bezug auf persönliche Daten in einer eigenen Datenbank statt. Die rexx systems GmbH ist nicht für die inhaltliche Überprüfung der Meldungen zuständig. Ihre Aufgabe besteht darin, die Meldungen auf einem speziell gesicherten Server zu speichern und über das Hinweisgebertool dem Compliance Manager von Leyrer + Graf zugänglich zu machen.

Zur Erfüllung des oben genannten Zwecks kann es zudem erforderlich sein, dass wir Ihre personenbezogenen Daten an externe Stellen wie Anwaltskanzleien, Straf- oder Wettbewerbsbehörden sowie Straf- und Zivilgerichte übermitteln.

Dauer der Speicherung
Personenbezogene Daten werden fünf Jahre ab ihrer letztmaligen Verarbeitung oder Übermittlung aufbewahrt (§ 8 Abs 11 HSchG), darüber hinaus nur so lange, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher, gerichtlicher oder staatsanwaltschaftlicher Verfahren erforderlich ist.

Personenbezogene Daten, die für die Bearbeitung der Hinweise und die Verfolgung der oben genannten Zwecke nicht erforderlich sind, werden nicht erhoben bzw unverzüglich gelöscht.

Ihre Rechte
Betroffene unserer Datenverarbeitung stehen grundsätzlich die folgenden Rechte zur Verfügung:

a) Recht auf Auskunft 

Sie haben das Recht jederzeit und formlos Auskunft darüber zu begehren, welche Daten zu Ihrer Person von uns als Verantwortliche verarbeitet werden – gemeinsam mit weiterführenden Informationen wie deren Verarbeitungszwecke und Empfänger, Informationen über die Herkunft der Daten und Informationen über automatisierte Entscheidungsfindung samt involvierter Logik. Des Weiteren steht Ihnen das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, einschließlich des Rechts auf Unterrichtung über die hierfür geeigneten Garantien gem Art 46 DSGVO.

b) Recht auf Richtigstellung und Recht auf Einschränkung der Verarbeitung

Sie können die Berichtigung oder Vervollständigung unrichtiger oder unvollständiger Daten begehren. Es steht Ihnen zudem das Recht zu, eine Einschränkung der Verarbeitung von Daten zu verlangen, dass diese nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden dürfen, wenn beispielsweise die Richtigkeit der Daten bestritten wird.

c) Recht auf Datenübertragbarkeit

Sie können verlangen, dass Ihnen - oder soweit dies technisch machbar ist, einem zu bestimmbaren Dritten - eine Kopie der Daten, soweit Sie diese und zur Verfügung gestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format übersendet werden.

d) Recht auf Löschung

Sie können unter bestimmten Umständen die Löschung Ihrer Daten begehren, beispielsweise, wenn diese nicht gemäß den Datenschutzbestimmungen verarbeitet werden.

e) Recht auf Widerspruch

Sie haben das Recht, jederzeit unter Angabe von Gründen gegen die Verarbeitung der personenbezogenen Daten Widerspruch einzulegen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten in diesem Fall nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung anführen und belegen, die Ihren Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

f) Aufsichtsbehörde

Wenn Sie der Meinung sind, dass die Verarbeitung Ihrer Daten gegen Ihr Recht auf Geheimhaltung verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der zuständigen Aufsichtsbehörde beschweren. In Österreich zuständig ist die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.

Im sachlichen Anwendungsbereich des HSchG sieht § 8 Abs 9 eine Einschränkung der Betroffenenrechte vor. Die zuvor erwähnten Betroffenenrechte können beschränkt werden, soweit es zum Schutz Ihrer Identität und zur Erreichung der Zwecke der Hinweisgebung, insbesondere solange und soweit dies zum Schutz der Identität von Hinweisgebern geboten oder zur Unterbindung des Verhinderns, Unterlaufens oder Verschleppens von Hinweisen, erforderlich ist.

Zur Wahrung Ihrer Rechte aus dem Datenschutzrecht kann sich jede betroffene Person mittels formloser Mitteilung an Leyrer + Graf Baugesellschaft m.b.H. wenden. Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber uns geltend gemacht, sind wir verpflichtet, allen Empfängern, denen wir die Sie betreffenden personenbezogenen Daten offengelegt haben, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Auf Verlangen informieren wir Sie über diese Empfänger.