(1) Die Verarbeitung der in Hinweisen enthaltenen personenbezogenen Daten ist für die Zwecke dieses Bundesgesetzes (§ 1 und Abs. 2 Z 1) zulässig. Die Zulässigkeit der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz umfasst die mit einem Hinweis in Zusammenhang stehende Verarbeitung personenbezogener Daten der
1. Hinweisgeberinnen und Hinweisgeber (§ 2 Abs. 1, 2 und 4),
2. von der Hinweisgebung betroffenen Personen,
3. Personen gemäß § 2 Abs. 3 Z 1 und 2 sowie
4. von Folgemaßnahmen betroffenen oder in Folgemaßnahmen involvierten Personen.
Dabei sind den Abs. 2 bis 12 entsprechend die DSGVO und von Organisationseinheiten des Bundes (insbesondere Dienststellen und Zentralstellen einschließlich nachgeordneter Dienststellen im Sinne des § 278 des Beamten-Dienstrechtsgesetzes 1979 – BDG 1979, BGBl. Nr. 333/1979), soweit sie diesen Bestimmungen unterliegen, die Bestimmungen des dritten Hauptstückes des Datenschutzgesetzes, BGBl. I Nr. 165/1999 – DSG, mit Ausnahme der §§ 38, 39, 41 bis 45, 47, 50, 52, 53 und 56 DSG einzuhalten.
(2) Die Verarbeitung muss
1. im öffentlichen Interesse liegen, Rechtsverletzungen zu verhindern oder zu ahnden und zu diesem Zweck Hinweise zu geben und ihre Stichhaltigkeit zu überprüfen und
2. auf Daten eingeschränkt werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden.
(3) Zu den in Abs. 1 genannten Zwecken sind zur Verarbeitung von Daten ermächtigt:
1. Hinweisgeberinnen und Hinweisgeber hinsichtlich der Daten, die für ihren Hinweis benötigt werden,
2. interne und externe Stellen hinsichtlich der Daten, die ihnen eine Hinweisgeberin oder ein Hinweisgeber übermittelt,
3. Behörden zur Verarbeitung von Daten, die infolge eines Hinweises an sie übermittelt wurden, insoweit die Daten für weitere Ermittlungen oder die Einleitung eines Verfahrens benötigt werden.
(4) Für die Datenverarbeitung Verantwortliche gemäß Art. 4 Z 7 der DSGVO sind, soweit bundesgesetzlich nicht anderes bestimmt ist:
1. Hinweisgeberinnen und Hinweisgeber hinsichtlich personenbezogener Daten, von denen sie wissen, dass sie über das zur Weiterverfolgung des Hinweises Erforderliche hinausgehen,
2. der Rechtsträger, dem die interne Stelle angehört,
3. der Rechtsträger, dem die externe Stelle angehört, und
4. die Behörden, die infolge eines Hinweises an sie übermittelte Daten verarbeiten.
Soweit Verantwortliche zusammen ein Hinweisgebersystem betreiben, sind sie gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO. Die Verpflichtungen des oder der Verantwortlichen zum Schutz von Hinweisgeberinnen und Hinweisgebern nach diesem Bundesgesetz gelten auch für Auftragsverarbeiter und -verarbeiterinnen.
(5) Die Verarbeitung personenbezogener Daten nach Art. 9 Abs. 1 DSGVO ist zulässig, wenn
1. die Verarbeitung zur Erreichung der in § 1 und Abs. 2 Z 1 genannten Zwecke unbedingt erforderlich ist und
2. das öffentliche Interesse an der Verarbeitung zur Erreichung der in § 1 und Abs. 2 Z 1 genannten Zwecke erheblich ist und
3. wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.
(6) Die Ermächtigung nach Abs. 3 bezieht sich auch auf personenbezogene Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen gemäß Art. 10 DSGVO. Die Verarbeitung solcher Daten darf nur im Fall unbedingter Erforderlichkeit erfolgen und ist schriftlich zu dokumentieren. Personenbezogene Daten gemäß Art. 10 DSGVO dürfen nach Rechtskraft der Entscheidung über die Straftat in einem Verfahren, in dem diese Daten verarbeitet wurden, nur im unbedingt erforderlichen Ausmaß verfügbar gehalten werden und sind möglichst ohne Aufbereitung zu speichern.
(7) Den Voraussetzungen der Abs. 2 bis 6 entsprechend dürfen interne Stellen des öffentlichen Sektors im Sinne des § 12 und externe Stellen Hinweise und personenbezogene Daten einschließlich Namen, Geschlecht, frühere Namen, Staatsangehörigkeit, Geburtsdatum, Geburtsort und Wohnanschrift, Namen der Eltern und Aliasdaten sowie ein Lichtbild eines Menschen einer Behörde oder Stelle entsprechend § 17 Abs. 4 Z 1 zur weiteren Ermittlung oder Einleitung eines Verfahrens übermitteln.
(8) Unternehmen und juristische Personen des öffentlichen Sektors im Sinne des § 11 Abs. 1, die für die internen Stellen des öffentlichen Sektors im Sinne des § 12 jeweils zuständigen Organe, mit den Aufgaben der internen Stelle beauftragte Stellen sowie der oder die jeweils für die Einrichtung der externen Stellen (§ 15) zuständige Bundesminister oder Bundesministerin sind ermächtigt, Hinweisgebersysteme nach diesem Bundesgesetz einzurichten. Sie sind für die Einrichtung der Hinweisgebersysteme Verantwortliche gemäß Art. 4 Z 7 der DSGVO.
(9) Solange und insoweit dies zum Schutz der Identität einer Hinweisgeberin oder eines Hinweisgebers, einer Person gemäß § 2 Abs. 3 Z 1 oder 2 oder gemäß Abs. 1 Z 4 und zur Erreichung der in § 1 und Abs. 2 Z 1 genannten Zwecke, insbesondere um Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen aufgrund von Hinweisen zu unterbinden, erforderlich ist, insbesondere für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO, finden die in den Z 1 bis 7 aufgezählten Rechte einer von einem Hinweis betroffenen natürlichen Person und die in den Z 1 bis 5 und 7 im DSG enthaltenen Rechte einer von einem Hinweis betroffenen juristischen Person keine Anwendung:
1. Recht auf Information (§ 43 DSG, Art. 13 und 14 DSGVO),
2. Recht auf Auskunft (§ 1 Abs. 3 Z 1 und § 44 DSG, Art. 15 DSGVO),
3. Recht auf Berichtigung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 16 DSGVO),
4. Recht auf Löschung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 17 DSGVO),
5. Recht auf Einschränkung der Verarbeitung (§ 45 DSG, Art. 18 DSGVO),
6. Widerspruchsrecht (Art. 21 DSGVO) sowie
7. Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (§ 56 DSG und Art. 34 DSGVO).
Unter den im ersten Satzteil des ersten Satzes angeführten Voraussetzungen haben interne und externe Stellen und Behörden gegenüber einer von einem Hinweis betroffenen Person Information und Auskunftserteilung zum Hinweis zu unterlassen.
(10) Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, dürfen nicht erhoben werden bzw. sind unverzüglich zu löschen, falls sie unbeabsichtigt erhoben wurden.
(11) Personenbezogene Daten sind von einer oder einem Verantwortlichen ab ihrer letztmaligen Verarbeitung oder Übermittlung fünf Jahre und darüber hinaus so lange aufzubewahren, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist. Nach Entfall der Aufbewahrungspflicht sind personenbezogene Daten zu löschen.
(12) Tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen sind zu protokollieren. Protokolldaten über diese Vorgänge sind von einer oder einem Verantwortlichen ab ihrer letztmaligen Verarbeitung oder Übermittlung bis drei Jahre nach Entfall der Aufbewahrungspflicht gemäß Abs. 11 aufzubewahren. (13) Die auf Grundlage der Abs. 1 bis 12 vorzunehmenden Datenverarbeitungen beruhen auf einer Rechtsgrundlage des Unionsrechts (§ 26) und sind bereits Gegenstand einer allgemeinen Datenschutz-Folgenabschätzung. Sie erfüllen daher die Voraussetzungen des Art. 35 Abs. 10 DSGVO für den Entfall der Datenschutz-Folgenabschätzung.
Erläuterungen des Ministerialsentwurfs: siehe Erläuterungen zu § 7 HSchG