Datenschutz ist uns ein Anliegen
Als öffentliches Unternehmen ist den ÖBB die Wahrung des Datenschutzes ein großes Anliegen, das gilt auch und insbesondere für die Bearbeitung von Hinweisen auf gesetzwidriges Verhalten.
Um Auskunftspersonen Gelegenheit zu geben, entsprechende Hinweise einzubringen, hat die ÖBB nicht nur die Mail-Adresse compliance@oebb.at eingerichtet, sondern stellt auch eine Web-Plattform zur Verfügung. Diese Web-Plattform wird für die ÖBB von einem namhaften externen Anbieter für IT-Lösungen im Compliancebereich bereitgestellt.
Diese Datenschutzerklärung soll transparent machen, wie die unter dieser Mail-Adresse und der Web-Plattform einlangenden Daten und die weiteren im Zusammenhang mit dem Hinweis ermittelten Daten verwendet werden.
Datenschutz-Grundverordnung
In diesem Dokument zitierte Artikel beziehen sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Diese EU-Verordnung ist in den Staaten der EU direkt anwendbar.
HinweisgeberInnenschutzgesetz
Das österreichische HinweisgeberInnenschutzgesetz bzw. entsprechende Rechtsakte in nationalen Rechtsordnungen (HSchG) setzen die EU-Whistleblowing-Richtlinie 2019/1937 in nationales Recht um. Unternehmen sind zur Einrichtung von Meldekanälen verpflichtet, damit Hinweisgeber vertraulich Verdachtsmomente über Verstöße melden können. Hinweisgeber werden durch das HSchG besonders geschützt. Verweise auf explizite Paragraphen und Textstellen bestreffen das österreichische HSchG.
Verantwortlicher
Verantwortliche für personenbezogene Daten, die im Zuge der Hinweisabgabe im Sinne des Art 4 Ziffer 7 verarbeitet werden (z. B. die Person des Hinweisgebers oder von Personen, die an den dargelegten Rechtsverstößen beteiligt sein könnten) ist jede ÖBB Konzerngesellschaft, zu deren Schaden die untersuchte Handlung gesetzt worden ist bzw. in deren Rechte die untersuchte Handlung eingreift. Dies gilt auch dann, wenn diese Gesellschaft im Hinweis nicht ausdrücklich genannt oder falsch bezeichnet wird.
Die ÖBB Konzerngesellschaften betreiben das Hinweisgebersystem zusammen im Sinne von § 8 Z 4 HSchG und haben auch als „gemeinsam Verantwortliche“ eine Vereinbarung im Sinne von Art 26 DSGVO abgeschlossen. Diese gemeinsame Verantwortlichkeit umfasst lediglich die Entgegenahme des Hinweises und die Erfüllung in § 13 Z 9 HSchG vorgeschriebenen Bekanntgabepflichten.
Interne Stelle i.S.d § 5 Z 6 HSchG ist das Compliance Office der ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Wien (Compliance Office).
Einleitung konkreter Untersuchungen
Die an der Mail-Adresse compliance@oebb.at, über die Web-Plattform oder auf anderem Wege (z. B. postalisch oder telefonisch) einlangenden Hinweise werden vom Compliance Office zunächst auf Plausibilität geprüft.
In weiterer Folge wird der Hinweis einer betroffenen Konzerngesellschaft weitergeleitet. Jede Konzerngesellschaft ist für ihren Geschäftsbereich dafür verantwortlich, dass der dem Hinweis zugrundeliegende Verdacht untersucht wird und ist in weiterer Folge auch „Verantworlicher der Daten“, die im Rahmen der Untersuchung ermittelt werden – und damit auch „verantwortlich“ im Sinne der DSGVO.
Einen Link zu den wichtigsten Gesellschaften des Konzerns und deren Impressen finden Sie hier: https://konzern.oebb.at/de/impressum
Aus den Impressen geht auch der jeweilige Unternehmensgegenstand der Konzerngesellschaften hervor.
Konzernweite Auftragsverarbeiter
Unterstützt werden die Konzerngesellschaften bei der Untersuchung der Hinweise durch das bei der ÖBB-Holding AG angesiedelte Compliance Office, welches vom Chief Compliance Officer der ÖBB geleitet wird.
Die ÖBB-Holding AG wirkt daher als „Auftragsverarbeiter“ im Sinne von Art 4 Z 8 an der Untersuchung der einlangenden Hinweise mit, und unterstützt neben der Zuordnung des einlangenden Hinweises zur betroffenen Gesellschaft insbesondere bei der Falluntersuchung und der Dokumentation der Untersuchungen.
Die zur Entgegennahme von Hinweisen verwendete Web-Plattform wird von der Firma EQS Group AG (vormals Business Keeper GmbH), D-80333 München für die ÖBB bereitgestellt. Es ist technisch ausgeschlossen, dass die EQS Group AG selbst Zugriff auf die über die Web-Plattform übermittelten Daten oder auf die Zugriffe auf die dort hinterlegten Informationen hat. Es handelt sich bei der EQS Group AG daher nicht um einen Auftragsverarbeiter im Sinne des Art 4 Z 8 DSGVO.
Datenschutzbeauftragte:r
Im ÖBB Konzern ist für jede Konzerngesellschaft ein:e Datenschutzbeauftragte:r bestellt. Eine Übersicht finden Sie hier: https://konzern.oebb.at/de/impressum/datenschutzbeauftragte
Für allgemeine Auskünfte steht überdies der Konzerndatenschutzbeauftragte unter der E-Mailadresse datenschutz.konzern@oebb.at zur Verfügung.
Rechtsgrundlage der Verarbeitung
Rechtsgrundlagen der Verarbeitung bestehen
- in Art 6 Abs 1 lit a DSGVO, also in der von den Hinweisgeber:innen allenfalls zur Verarbeitung ihrer Daten abgegebenen Einwilligung.
- in Art 6 Abs 1 lit c DSGVO, also in der sich aus dem HSchG für die Verantwortlichen (die jeweils betroffenen ÖBB Konzerngesellschaft) ergebenden rechtlichen Verpflichtung, Meldekanäle für die Meldung von Rechtsverstößen einzurichten und die eingehenden Meldungen zu dokumentieren und zu untersuchen.
- in Art 6 Abs 1 lit f, also in den berechtigten Interessen der Verantwortlichen (der jeweils betroffenen ÖBB Konzerngesellschaft), Hinweise auf ein Fehlverhalten zum Nachteil der Gesellschaft angemessen untersuchen zu können.
Soweit die Datenverwendung auf der Einwilligung der:des Hinweisgeber:in beruht, wird durch einen Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen und Übermittlungen nicht berührt (§ 8 Abs 2 und Abs 4 HSchG). Einmal abgegebene Hinweise können daher nicht zurückgezogen oder „widerrufen“ werden.
Beschreibung und Umfang der Datenverarbeitung
Der Zweck der Verarbeitungstätigkeit besteht in der Untersuchung von Sachverhalten,
- die einen Verstoß gegen das Unionsrecht in den in Art 2 der Richtlinie (EU) 2019/1937 vom 23. Oktober 2019 genannten Bereichen und der entsprechenden innerstaatlichen Umsetzungsbestimmungen (HSchG) zum Gegenstand haben oder
- sonst geeignet sind, einen Verdacht hinsichtlich Verhaltensweisen zu begründen,
- deren Untersuchung in die Zuständigkeit des Compliance Office nach der ÖBB Konzernrichtlinie 15 fällt oder
- der Abwehr von massiven Nachteilen für den Verantwortlichen aus einem Fehlverhalten seiner Mitarbeiter aufgrund von anderen rechtswidrigen Verhaltensweisen dient.
Anonymität der Hinweisgeber
Die Identität des Hinweisgebers wird grundsätzlich nur mit dessen Zustimmung offengelegt bzw. preisgegeben. Auf der Web-Plattform ist es den Hinweisgebern möglich, Hinweise anonym abzugeben und in weiterer Folge auch anonym mit den Mitarbeitern des Compliance Office zu kommunizieren.
Sollte die Identität des Hinweisgebers dem Compliance Office bekannt sein, wird diese unabhängig von der Zustimmung des Hinweisgebers in diesen Fällen offengelegt:
- Es liegt eine öffentlich-rechtliche Verpflichtung zur Preisgabe der Identität des Hinweisgebers gegenüber einem Gericht oder einer Verwaltungsbehörde vor, z.B. anlässlich einer Zeugenvernehmung (die mit Compliance-Angelegenheiten befassten Mitarbeiter des ÖBB Konzerns unterliegen der Zeugenpflicht und haben kein Recht, sich einer Aussage zu entschlagen)
- Auskünfte an betroffene Personen nach Art 15 DSGVO, falls es sich um falsche Angaben aus böswilliger Absicht handelt und daher kein schutzwürdiges Geheim¬haltungsinteresse des Hinweisgebers an der Geheimhaltung seiner Identität besteht
Verständigung der betroffenen Personen
Wird in einem Hinweis eine bestimmte Person (insbesondere im Zusammenhang einer gegen sie gerichteten Verdächtigung) genannt, so werden ihre Daten im Zusammenhang mit der Hinweisaufnahme gespeichert, und diese im Rahmen von Art 14 DSGVO über die Datenspeicherung umgehend ab dem Zeitpunkt informiert, ab dem durch diese Information die Ermittlungszwecke nicht mehr gefährdet werden können.
In der Regel wird dies im Rahmen der Hinweisverfolgung bei einer Befragung dieser Person stattfinden, da eine vorhergehende Information die Erreichung des Zweckes der Daten-speicherung gefährden oder sogar verunmöglichen würde.
Diese Informationen umfassen jedenfalls die für die Untersuchung des Verdachtsfalles zuständige Stelle, den untersuchten Verdacht, allenfalls weitere involvierte Konzerngesellschaften des ÖBB Konzern sowie die Art und Weise, wie Verteidigungs- und weitere Informationsrechte Rechte wahrgenommen werden können.
Umgang mit Hinweisen anderer Art
Eingehende Hinweise, die für die Verfolgung des oben dargestellten Zwecks nicht erforderlich sind, d.h. sich etwa nicht auf ein Fehlverhalten eines Mitarbeiters oder eines Organes einer ÖBB Gesellschaft beziehen oder die sich auf Verhaltensweisen beziehen, die augenscheinlich weder Nachteil für die ÖBB verursacht haben können noch gegen Unionsrecht verstoßen, werden durch Compliance nicht weiterverfolgt und, sofern dies als zweckdienlich erachtet wird, an die jeweils zuständigen unternehmensinternen Stellen weitergeleitet.
Die ÖBB behält sich jedoch vor, bestimmte Hinweise, die nach ihrem ersten Eindruck auf ein strafrechtlich relevantes Faktum abseits des Zweckes der Verarbeitungstätigkeit hinweisen, an die Strafverfolgungsbehörden weiterzuleiten, dies unter Wahrung der Anonymität des Hinweisgebers im oben dargestellten Sinne.
Empfänger von Daten
- ÖBB-interne Empfänger
Personenbezogene Daten werden zur Berichtslegung an das zuständige Geschäftsleitungs¬organ verwendet, welches letztverantwortlich über die weitere Vorgehensweise (z.B. disziplinäre Schritte) entscheidet.
Ebenfalls werden Daten verwendet, um innerhalb des ÖBB Konzerns den Organen der Teilkonzern-Muttergesellschaften und der ÖBB-Holding AG über die getroffenen Maßnahmen Bericht zu erstatten.
- Externe Empfänger
Die im Rahmen der Hinweisbearbeitung ermittelten Daten werden zur behördlichen Strafverfolgung an Sicherheitsbehörden, Staatsanwaltschaften und Strafgerichte zur Beweismittellieferung in Strafrechtsangelegenheiten im Anlassfall übermittelt. Ebenfalls werden Daten an Zivilgerichte zur Durchsetzung von Ansprüchen und zur Beweismittel-lieferung verwendet. Die jeweils einschreitende ÖBB Gesellschaft beauftragt zur Vertretung im jeweiligen Verfahren möglicherweise berufsmäßige Parteienvertreter (Rechtsanwälte).
Die Offenlegung der Person des Hinweisgebers erfolgt auch in diesen Fällen nur mit dessen Einverständnis bzw. dann, wenn ein behördlicher Akt eine Offenlegung zwingend anordnet. In diesem Zusammenhang wird nochmals darauf hingewiesen, dass die mit Compliance-Angelegenheiten befassten Mitarbeiter des ÖBB Konzerns der Zeugenpflicht unterliegen und kein Recht haben, sich einer Aussage zu entschlagen.
Dienstleister
Die ÖBB Holding AG verwendet neben der Web-Plattform zur Fallverfolgung eine Software-Applikation, die von der ÖBB-BCC GmbH als Auftragsverarbeiter betrieben wird.
Für die Untersuchung von komplexen Sachverhalten setzt die ÖBB-Holding AG in Einzelfällen auch Forensik-Dienstleister, deren Tätigkeit durch eine berufliche Verschwiegenheits-verpflichtung geschützt ist, als weitere Auftragsverarbeiter ein.
Mit allen Auftragsverarbeitern werden entsprechende Vereinbarungen abgeschlossen. Es ist den Auftragsverarbeitern insbesondere in jedem Fall untersagt, selbst über die Verwendung der Daten zu entscheiden.
Speicherdauer
Daten zu Falluntersuchungen werden fünf Jahre und darüber hinaus so lange aufbewahrt, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist (§ 8 Z 11 HSchG). Sofern in nationalen Rechtsordnungen, die zur Anwendung kommen, kürzere Fristen vorgesehen sind werden diese entsprechend berücksichtigt.
Zum Fall ermittelte Informationen, insbesondere Gesprächsprotokolle, Notizen und Kopien aus anderen Akten werden nach Ablauf dieser Frist elektronisch archiviert. Die Archivierung erfolgt technisch in einer Form, dass Organe oder Mitarbeiter der ÖBB auf die archivierten Daten nicht mehr zugreifen können. Ein Zugriff ist nur mehr dem Chief Compliance Officer möglich, der hinsichtlich seiner Tätigkeit keinen Weisungen durch die Organe unterworfen ist und nur auf behördliche Aufforderung tätig wird.
Tatsächlich durchgeführte Verarbeitungsvorgänge werden protokolliert. Protokolldaten über diese Vorgänge werden drei Jahre nach Entfall der Aufbewahrungspflicht gelöscht (§ 8 Z 11 HSchG).
Nach Ablauf von sieben Jahren werden die Daten vollständig gelöscht.
Unsubstantiierte Meldungen außerhalb des Anwendungsbereiches des HSchG werden zwei Monate nach Abschluss der Untersuchungen archiviert.
Betroffenenrechte
In Bezug auf die Verwendung Ihrer personenbezogenen Daten stehen Ihnen nachfolgenden Rechte zu:
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch
Für den Fall, dass Sie gegenüber der ÖBB-Holding AG oder einer anderen ÖBB Konzerngesellschaft Ihre vorgenannten Rechte geltend machen wollen, senden Sie bitte eine Nachricht an die oben genannten Kontaktinformation oder an den im Impressum der jeweiligen Konzerngesellschaft genannten Datenschutzbeauftragten und weisen Sie im Betreff auf die Geltendmachung Ihrer Rechte nach der Datenschutzgrundverordnung - DSGVO sowie auf den Kontext ihrer Frage (hier die Datenverarbeitung im Rahmen eines bestimmten Compliance-Falles) hin.
Bitte beachten Sie dazu, dass eine Compliance-Untersuchung nicht auf Einwilligung beruht und daher ein Recht auf Datenübertragbarkeit nicht besteht.
Darüber hinaus steht Ihnen auch eine Beschwerdemöglichkeit bei der Österreichischen Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien; Email: dsb@dsb.gv.at zu.