INFORMATIONEN ZUM DATENSCHUTZ
Danke für Ihr Interesse an unserem Unternehmen. Allein aus Gründen der besseren Lesbarkeit wird – im Rahmen der nachfolgenden Erläuterungen – auf die gleichzeitige Verwendung männlicher und weiblicher und diverser sonstiger Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten für alle Geschlechter: m/w/n. Neben diesen und anderen Dingen nehmen wir insbesondere Ihre Rechte auf Privatsphäre, Datenschutz und informationelle Selbstbestimmung sehr ernst. Gerne informieren wir Sie nachfolgend im Rahmen der Datenschutzgrundverordnung (EU Verordnung 2016/679, kurz: „DSGVO“).
INHALT
1. ALLGEMEINE INFORMATIONEN
2. INFORMATIONEN FÜR BESUCHER UNSER INTERNETSEITE
3. INFORMATIONEN FÜR BEWERBER
4. INFORMATIONEN FÜR BESCHÄFTIGTE
5. INFORMATIONEN FÜR KUNDEN/LIEFERANTEN
6. INFORMATIONEN FÜR PROBANDEN
7. INFORMATIONEN FÜR VERANSTALTUNGSTEILNEHMER
8. INFORMATIONEN FÜR BESUCHER UNSERER BÜRORÄUME
9. INFORMATIONEN FÜR HINWEISGEBER
1. ALLGEMEINE INFORMATIONEN
1.1. Wer sind wir?
Wir sind die AOP Orphan Pharmaceuticals GmbH, Leopold-Ungar-Platz 2, 1190 Wien (Österreich), Tel.: + 43 1 503 72 44, Fax.: +43 10 503 72 44 5, E-Mail: office@aoporphan.com und werden vertreten durch unseren Geschäftsführer Dr. Georg Fischer.
Zudem haben wir gemäß Artikel 37 Absatz 4 DSGVO einen Datenschutzbeauftragten ernannt. Es handelt sich um:
Christian Zange, AOP Orphan Pharmaceuticals GmbH
Leopold-Ungar-Platz 2, 1190 Wien, Österreich
e-mail: data-protection@aoporphan.com
1.2. Wem übermitteln wir die Daten?
Wir übermitteln Ihre Daten an mit uns gesellschaftsrechtlich verbundene Zweigniederlassung und externe Dienstleister, die uns bei den folgenden Tätigkeiten unterstützen: Speicherung und Verwaltung von Daten, IT-Support, Durchführung von Veranstaltungen, Anfertigung von Mitarbeiterfotos, Lohnbuchhaltung, Rechtsberatung, Unternehmensberatung, Einstellungsprozess. Hierbei stellen wir sicher, dass diese Dienstleister sorgfältig ausgewählt, datenschutzkonform vertraglich gebunden und regelmäßig überprüft werden.
1.3. Datenübermittlung an Stellen außerhalb der Europäischen Union
Es besteht die Möglichkeit, dass wir personenbezogenen Daten an Stellen übermitteln und/oder übermitteln lassen, die außerhalb der Europäischen Union sitzen oder dies zumindest nicht ausschließen können („Drittlandstelle“). In diesen Fällen müssen wir nach Artikel 44 DSGVO garantieren, dass dadurch das Schutzniveau der Datenschutzgrundverordnung nicht unterschritten wird. Vorsorglich weisen wir darauf hin, dass die Drittlandstelle sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter sein kann.
Sofern wir uns in der nachfolgenden Erklärung auf einen sog. Angemessenheitsbeschluss berufen, bedeutet dies, dass die Drittlandstelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die Kommission beschlossen hat, dass es ein angemessenes Schutzniveau bietet. Diese Garantie folgt dann aus Artikel 45 DSGVO.
Sofern wir uns in der nachfolgenden Erklärung auf die sog. Standardvertragsklauseln berufen, bedeutet dies, dass die Drittlandstelle die sog. EU-Standardvertragsklauseln akzeptiert und sich damit vertraglich zur Achtung des Schutzniveaus der Datenschutzgrundverordnung verpflichtet hat. Diese Garantie folgt dann aus Artikel 46 Absätze 1 und 5 DSGVO.
Sofern wir uns in der nachfolgenden Erklärung darauf berufen, dass Sie in die Übermittlung an die Drittlandstelle eingewilligt haben, bedeutet dies, dass Sie über alle bestehenden möglichen Risiken derartiger Übermittlungen, für die es keinen Angemessenheitsbeschluss oder andere Garantien gibt, informiert wurden und der Datenübermittlung dennoch zugestimmt haben. Diese Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. Die entsprechenden Risiken schildern wir aus Transparenzgründen an gesonderter Stelle.
1.4. Sonderkonstellation: EU-Standardvertragsklauseln und Drittlandstellen mit Sitz in den USA
Ergänzend zu den Ausführungen unter 1.3. „Datenübermittlung an Stellen außerhalb der Europäischen Union“ weisen wir Sie auf eine Sonderkonstellation hin. Bei Übermittlungen an Drittlandstellen mit Sitz in den USA ist die Möglichkeit, sich auf die EU-Standardvertragsklauseln zu berufen, eingeschränkt. Sofern wir also beabsichtigen, uns in diesem Zusammenhang auf die EU-Standardvertragsklauseln zu berufen (oder dies bereits tun), weisen wir auf folgendes hin:
Wir werden die Übermittlung personenbezogener Daten an US-Drittlandstellen nur dann auf die EU-Standardvertragsklauseln stützen, wenn wir zuvor eine gründliche Überprüfung des damit verbundenen Sachverhalts vorgenommen haben. Hierbei ermitteln wir zunächst ein Risikolevel (Art und insbesondere Sensibilität der betroffenen Daten, Umfang der Datenverarbeitung, Zweck der Datenverarbeitung, Missbrauchsanfälligkeit). Anschließend prüfen wir, ob die vertraglichen Zusagen der US-Drittlandstelle sowie die dort getroffenen technischen und organisatorischen Maßnahmen (z.B. Verarbeitung von Daten ausschließlich in EU-basierten Rechenzentren, Verschlüsselungstechnologie) die vorab festgestellten Risiken hinreichend minimieren. Nur wenn wir hierbei zu dem Ergebnis kommen, dass die EU-Standardvertragsklauseln ausnahmsweise auch bei einer US-Drittlandstelle eine hinreichende Garantie sind, werden wir uns darauf berufen.
1.5. Sonderkonstellation: Einwilligung in die Übermittlung an Drittlandstellen mit Sitz in den USA, einschließlich der Risikohinweise
Ergänzend zu den Ausführungen oben unter „Datenübermittlung an Stellen außerhalb der Europäischen Union“ – weisen wir Sie auf eine weitere Sonderkonstellation hin. Bei Übermittlungen an Drittlandstellen mit Sitz in den USA ist die Möglichkeit, sich auf die EU-Standardvertragsklauseln zu berufen, eingeschränkt. Daher bleibt in einigen Fällen nur die Möglichkeit, Sie nach Ihrer Einwilligung in diese Übermittlung zu fragen. Bevor Sie diese Einwilligung erteilen, bitten wir Sie folgende Risiken zur Kenntnis zu nehmen und bei der Entscheidung, ob Sie einwilligen, zu bedenken:
Wir weisen Sie mit Nachdruck darauf hin, dass eine Datenübermittlung in die USA ohne den Schutz eines Angemessenheitsbeschlusses ggf. erhebliche Risiken mit sich bringt. Es ist insbesondere auf folgende Risiken hinzuweisen:
(1)In den USA existiert kein einheitliches Datenschutzrecht; insbesondere keines, das vergleichbar mit dem in der EU geltenden Datenschutzrecht wäre. Das bedeutet, dass sowohl US-Unternehmen als auch staatliche Stellen mehr Möglichkeiten haben, Ihre personenbezogenen Daten zu verarbeiten, insbesondere zur werblichen Ansprache, Profilbildung und Durchführung von (strafrechtlichen) Ermittlungen. Unsere Möglichkeiten, dagegen vorzugehen sind erheblich eingeschränkt.
(2)Der US-Gesetzgeber hat sich zahlreiche Zugriffsrechte auf Ihre personenbezogenen Daten zugebilligt (vgl. etwa Section 702 des FISA oder die E.O. 12333 i.V.m. PPD-28), die mit unserem Rechtsverständnis nicht vereinbar sind. Insbesondere findet keine, mit den in der Europäischen Union vergleichbare Verhältnismäßigkeitsprüfung vor einem Zugriff statt.
(3)Bürger der Europäischen Union haben in den USA keinen effektiven Rechtsschutz zu erwarten.
(4)Wir werden Sie i.d.R. nur dann um eine solche Einwilligung bitten, wenn wir zu dem Ergebnis gekommen sind, dass die US-Drittlandstelle sich nicht erfolgreich auf EU-Standardvertragsklauseln berufen kann.
Diese Erklärung geben wir lediglich vorsorglich ab. Sie gilt nur, wenn wir in der nachfolgenden Erklärung hierauf Bezug nehmen. Es besteht auch die Möglichkeit, dass wir hiervon keinen Gebrauch machen.
1.6. Welche Rechte haben Sie?
Sie haben im Rahmen der DSGVO einige Rechte, die hier aufgezählt werden. Sie haben insbesondere das Recht auf Auskunft über die zu Ihrer Person verarbeiteten personenbezogenen Daten sowie auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten sowie auf Datenübertragbarkeit. Ferner haben Sie die Möglichkeit, sich über uns bei der für uns zuständigen Aufsichtsbehörde zu beschweren. Höflich weisen wir darauf hin, dass diese Rechte gegebenenfalls an Voraussetzungen geknüpft sind, auf deren Vorliegen wir bestehen müssen und werden.
2. INFORMATIONEN FÜR BESUCHER UNSER INTERNETSEITE
2.1 Angesprochener Personenkreis
Dieser Punkt 2 der vorliegenden Datenschutzerklärung richtet sich an alle Personen, die unsere Internetseite besuchen.
2.2 Verantwortlicher und Datenschutzbeauftragter
Als „Verantwortlicher“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezeichnet, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Hinblick auf die Verarbeitung Ihrer Daten bei Nutzung dieser Internetseite sind wir Verantwortlicher im Sinne der DSGVO, siehe unsere Angaben zu uns und zu unseren Datenschutzbeauftragten oben unter Punkt 1.1.
2.3. Hinweis zur rechtlichen Verarbeitungspflicht
Nur sofern wir in der nachfolgenden Datenschutzerklärung auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO hinweisen, besteht eine rechtliche Pflicht zur Verarbeitung.
2.4. Verarbeitungsvorgänge, für die Ihre Einwilligung erforderlich ist.
2.4.1. Allgemeine Hinweise zu Zweck und Rechtsgrundlage der in diesem Punkt 2.4 beschriebenen Verarbeitungsvorgänge:
(1) Der Zweck der nachfolgend beschriebenen Verarbeitungsvorgänge ist bei jedem Tool gesondert beschrieben.
(2) Rechtsgrundlage für die jeweilige Datenverarbeitung ist Ihre Einwilligung gemäß Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Nach dieser Vorschrift ist die Verarbeitung Ihrer personenbezogenen Daten zulässig, wenn Sie Ihre Einwilligung zu der Verarbeitung der Sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben.
(3) Es besteht die Möglichkeit, dass Sie Ihre Einwilligung über einen Cookie-Banner erteilen oder durch Setzen einer Checkbox erteilen.
(4) Ein Profiling findet nicht statt, es sei denn es wird nachfolgend ausdrücklich erwähnt.
2.4.2. Allgemeine Hinweise zur Speicherungsdauer bzgl. der Daten im Rahmen der in in diesem Punkt 2.4 beschriebenen Verarbeitungsvorgänge.
(1) Wir speichern die Daten, bis Sie Ihre Einwilligung widerrufen haben.
(2) Sobald Sie Ihre Einwilligung widerrufen, speichern wir die Information, dass, wann und wie Sie eingewilligt hatten (Status-Opt-In) bis zum Ablauf etwaiger zivilrechtlicher Verjährungsfristen bzgl. etwaiger Ansprüche aus der DSGVO, also i.d.R. drei Jahre nach Widerruf Ihrer Einwilligung. Die Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 2 DSGVO oder auch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO i.V.m. § 1489 ABGB.
(3) Nur für den Fall, dass im Anschluss an eine Verarbeitung, die auf Ihre Einwilligung gestützt wird, zwischen uns ein Vertragsverhältnis zustande kommt, speichern wir ggf. einige Ihrer Daten ergänzend bis zum Ablauf unserer gesetzlichen Aufbewahrungsfristen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO, § 131, 132 der Bundesabgabenordnung, § 212 UGB. So sind wir ggf. verpflichtet,
(i) Daten zu Ihrer Person, die aus Büchern und Aufzeichnungen i.S.v. §§ 131, 132 der Bundesabgabenordnung hervorgehen, für sieben Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 132 BAO),
(ii) Daten zu Ihrer Person, die aus Büchern, Inventaren, Eröffnungsbilanzen, Jahresabschlüssen samt den Lageberichten, Konzernabschlüssen samt den Konzernlageberichten, empfangene Geschäftsbriefen, Abschriften der abgesendeten Geschäftsbriefe und Belege für Buchungen in den von uns gemäß § 190 UGB zu führenden Büchern hervorgehen, für sieben Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 212 UGB).
2.4.3. Hinweis zur Widerrufsmöglichkeit hinsichtlich Ihrer „Einwilligung“.
(1) Soweit wir von Ihnen eine Einwilligung für die Verarbeitung einholen, haben Sie jederzeit das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. In der Regel ist dies durch formlose Nachricht an uns (vgl. oben „Verantwortlicher.“) möglich.
(2) Ferner weisen wir darauf hin, dass wir im Rahmen der Einholung der Einwilligung, weitere Ihrer personenbezogenen Daten verarbeiten. Das sind einerseits Identitätsmerkmale (etwa Ihr Name, Ihre E-Mail-Adresse, Ihre IP-Adresse) und andererseits Protokolldaten zur Einwilligung (Zeitpunkt der Einwilligung, Status der Einwilligung, Umfang der Einwilligung). Diese Datenverarbeitung stützen wir auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO. Zweck ist die Notwendigkeit, Ihre Einwilligungserteilung nachweisen zu müssen.
2.4.4. Datenverarbeitung beim Einsatz von Matomo.
(1)Zur Analyse Ihres Nutzerverhaltens auf unserer Internetseite setzen wir die Open-Source-Webanalytik-Plattform Matomo (ehemals Piwik) ein. Gerne beschreiben wir diesen Verarbeitungsvorgang kurz: Das Tool setzt einen Cookie auf ihren Rechner, mit dem Ihr Browser wiedererkannt werden kann. Cookies sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Obwohl wir die hieraus gewonnenen Daten auf einem eigenen Server innerhalb der Europäischen Union speichern und der Anbieter somit keine Daten von Ihnen erhält, teilen wir Ihnen vorsorglich mit, dass Sie nähere Informationen zum Datenschutz bei diesem Tool hier finden können: https://matomo.org/gdpr-analytics. Näheres zur Art und Weise der Verarbeitung über dieses Tool finden Sie hier: https://matomo.org/feature-overview/.
(2) Hierbei verarbeiten wir in der Regel folgende Daten von Ihnen: Das Tool verwendet sog. „Cookies“. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Hierbei erlangen wir i.d.R. folgende Informationen: Ihre IP-Adresse (anonymisiert), die aufgerufene Unterseite und Zeitpunkt des Aufrufs, die Seite, von der Sie auf unsere Internetseite gelangt sind (Referrer), die Information, welcher Browser mit welchen Plugins, welches Betriebssystem und welche Bildschirmauflösung genutzt wird, die Verweildauer auf unserer Internetseite sowie die Seiten, die von der aufgerufenen Unterseite aus angesteuert werden. Wir haben hierbei Ihre Daten anonymisiert. Wenn Sie diese Cookies deaktivieren wollen, klicken Sie bitte hier:
2.5. Verarbeitungsvorgänge, die für die Erfüllung von Verträgen erforderlich sind.
2.5.1. Allgemeine Hinweise zu Zweck und Rechtsgrundlage der nachfolgend beschriebenen Verarbeitungsvorgänge.
(1) Zweck der nachfolgend beschriebenen Verarbeitungsvorgänge ist die Begründung, Durchführung und/oder Beendigung von Verträgen und ggf. auch kostenfreien Rechtsverhältnissen, wie die Nutzung eines sog. „Log-In-Bereichs“.
(2) Rechtsgrundlage für die jeweilige Datenverarbeitung ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Nach dieser Vorschrift ist die Verarbeitung Ihrer personenbezogenen Daten auch ohne Ihre Einwilligung zulässig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage erfolgen. Dies ist hier der Fall.
(3) Ein Profiling findet nicht statt, es sei denn es wird nachfolgend ausdrücklich erwähnt.
2.5.2. Allgemeine Hinweise zur Speicherungsdauer bzgl. der Daten im Rahmen der nachfolgend beschriebenen Verarbeitungsvorgänge.
(1) Wir speichern die Daten, solange dies erforderlich ist, um den Vertrag zu begründen, durchzuführen und ggf. zu beenden.
(2) Sofern zwischen uns ein Vertragsverhältnis (u.a. auch ein Nutzungsverhältnis zu unserem Log-In-Bereich) zustande kommt, speichern wir die Daten für die Vertragslaufzeit und ergänzend bis zum Ablauf unserer gesetzlichen Aufbewahrungsfristen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO, §§ 131, 132 der Bundesabgabenordnung, § 212 UGB. So sind wir ggf. verpflichtet,
1. Daten zu Ihrer Person, die sich aus Büchern und Aufzeichnungen i.S.v. §§ 131, 132 der Bundesabgabenordnung, für sieben Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 132 BAO),
2. Daten zu Ihrer Person, die sich aus Büchern, Inventaren, Eröffnungsbilanzen, Jahresabschlüssen samt den Lageberichten, Konzernabschlüssen samt den Konzernlageberichten, empfangene Geschäftsbriefen, Abschriften der abgesendeten Geschäftsbriefe und Belege für Buchungen in den von uns gemäß § 190 UGB zu führenden Büchern, für sieben Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 212 UGB).
2.5.3. Was geschieht bei Registrierung zum und Nutzung des Log-In Bereichs?
(1) Unsere Webangebot beinhaltet auch einen Log-In Bereich, dessen Nutzung medizinischen Fachkreisen, wozu in Österreich u.a. Ärzte, Apotheker und Pflegefachkräfte gehören, vorbehalten ist, weil wir nach dem österreichischen Arzneimittelgesetz (AMG) verpflichtet sind, sowohl Informationen zu verschreibungspflichtigen Medikamenten als auch medizinische Informationen ausschließlich medizinischen Fachkreisen und nur im passwortgeschützten Bereich zugänglich zu machen. Wenn Sie sich als medizinische Fachkraft zum Log-In Bereich registrieren, erheben wir dabei die Daten, die Sie im Rahmen des Registrierungsprozesses angeben.
2.5.4. Interner Bereich mit Registrierung von DocCheck®
(1) Gerne beschreiben wir diesen Verarbeitungsvorgang kurz: Auf unserer Internetseite haben Sie die Möglichkeit, sich für die Nutzung eines internen Bereichs zu registrieren, sich anschließend darin einzuloggen und sich schlussendlich wieder abzumelden. Wenn Sie sich zum internen Bereich registrieren, erheben wir dabei ggf. die Daten, die Sie im Rahmen des Registrierungsprozesses angeben. Innerhalb des internen Bereichs registrieren wir Ihre Handlungen, soweit dies erforderlich zur Bereitstellung des hiermit verfolgten Schuldverhältnisses erforderlich ist. Bei Abmeldung löschen wir die Daten, sofern keine Aufbewahrungsfristen entgegenstehen (vgl. unsere Ausführungen oben unter „Allgemeine Hinweise zur Speicherungsdauer bzgl. der Daten im Rahmen der nachfolgend beschriebenen Verarbeitungsvorgänge“).
(2) Das Login in den internen Bereich erfolgt über DocCheck® da wir die dort zur Verfügung stehenden Informationen über Arzneimittel nur medizinischem und pharmazeutischen Fachpersonal zugänglich machen dürfen. Dazu haben Sie sich als Nutzer zuvor unabhängig von uns und unserem Angebot bei DocCheck® registriert, einem Angebot der DocCheck Medical Services GmbH, Vogelsanger Straße 66, 50823 Köln. Bei der Nutzung von DocCheck gelten die Vereinbarungen zwischen Ihnen und DocCheck, im Hinblick auf den Datenschutz die DocCheck-Datenschutzerklärung: https://more.doccheck.com/de/privacy.
Die Überprüfung Ihrer Logindaten erfolgt direkt auf Servern von DocCheck, wir haben keine Möglichkeit diese zu lesen. Wir erhalten keine personenbezogenen Daten über Sie als Nutzer von DocCheck, ohne dass Sie in die Datenweitergabe explizit eingewilligt haben (z.B. bei "DocCheck Personal").
2.6. Verarbeitungsvorgänge, die unserem berechtigten Interesse liegen.
2.6.1. Allgemeine Hinweise zu Zweck und Rechtsgrundlage der nachfolgend beschriebenen Verarbeitungsvorgänge.
(1) Der Zweck der nachfolgend beschriebenen Verarbeitungsvorgänge ist bei jedem Tool gesondert beschrieben. Er ist maßgebliche Begründung für unser berechtigtes Interesse an der Verarbeitung.
(2) Rechtsgrundlage für die jeweilige Datenverarbeitung ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Nach dieser Vorschrift ist die Verarbeitung Ihrer personenbezogenen Daten auch ohne Ihre Einwilligung zulässig, wenn sie zur Wahrung unserer berechtigten Interessen oder eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.
(3) Ein Profiling findet nicht statt, es sei denn es wird nachfolgend ausdrücklich erwähnt.
2.6.2. Allgemeine Hinweise zur Speicherungsdauer bzgl. der Daten im Rahmen der nachfolgend beschriebenen Verarbeitungsvorgänge.
(1) Wir speichern die Daten, bis unser Zweck weggefallen ist, was stets der Fall ist, wenn Sie einen begründeten Widerspruch erhoben haben (vgl. „Hinweis zum Widerspruchsrecht.“).
(2) Sollte im Anschluss an eine Verarbeitung, die auf das berechtigte Interesse gestützt wird, zwischen uns ein Vertragsverhältnis zustande kommen, speichern wir die Daten ergänzend bis zum Ablauf unserer gesetzlichen Aufbewahrungsfristen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO, § 131, 132 der Bundesabgabenordnung, § 212 UGB. So sind wir ggf. verpflichtet,
1. Daten zu Ihrer Person, die sich aus Büchern und Aufzeichnungen i.S.v. §§ 131, 132 der Bundesabgabenordnung, für sieben Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 132 BAO),
2. Daten zu Ihrer Person, die sich aus Büchern, Inventaren, Eröffnungsbilanzen, Jahresabschlüssen samt den Lageberichten, Konzernabschlüssen samt den Konzernlageberichten, empfangene Geschäftsbriefen, Abschriften der abgesendeten Geschäftsbriefe und Belege für Buchungen in den von uns gemäß § 190 UGB zu führenden Büchern, für sieben Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 212 UGB).
2.6.3. Hinweis zum Widerspruchsrecht.
(1) Soweit wir in der nachfolgenden Datenschutzerklärung eine Datenverarbeitung auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, also auf ein berechtigtes Interesse an der Verarbeitung, stützen, haben Sie stets das Recht, der Verarbeitung zu widersprechen. In der Regel ist dies durch formlose Nachricht an uns (vgl. oben „Verantwortlicher.“) möglich. Sofern der Widerspruch begründet ist, werden wir die Verarbeitung einstellen.
(2) Wenn das berechtigte Interesse auf dem Interesse an Direktwerbung bzw. werblicher Ansprache beruht, ist Ihr Widerspruch, soweit Sie identifiziert sind, stets begründet.
2.6.4. Informatorische Nutzung der Internetseite.
(1) Wenn Sie unsere Internetseite rein informatorisch nutzen, also wenn Sie sich als Nutzer weder registrieren noch anderweitig Informationen übermitteln, erheben wir folgende Daten von Ihnen: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, Website, von der die Anforderung kommt, Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware. Wir erhalten diese Daten über Cookies und direkt von Ihrem Browser.
(2) Zweck dieser Verarbeitung ist die Bereitstellung unserer Internetseite sowie die statistische Auswertung.
2.6.5. Datenverarbeitung bei der Behandlung Ihrer datenschutzrechtlichen Anfragen.
(1) Sie haben das Recht, datenschutzrechtliche Ansprüche uns gegenüber geltend zu machen (vgl. unsere Angaben oben unter Punkt 1.6 – „Welche Rechte haben Sie?“). Sofern Sie dies tun, werden wir Ihr Anliegen entgegennehmen, bearbeiten und Ihnen antworten. Abweichend zu den o.g. Angaben zur Speicherungsdauer speichern wir die Daten bis zum 31. Dezember des dritten Kalenderjahres, das auf das Jahr folgt, in dem Sie Ihre Anfrage gestellt haben. Dies folgt aus Artikel 6 Absatz 1 Satz 1 lit. f DSGVO i.V.m. den betroffenen zivilrechtlichen Verjährungsvorschriften.
(2) Hierbei verarbeiten wir in der Regel folgende Daten von Ihnen: Ihre Kontaktdaten sowie alle Daten, die zur Bearbeitung Ihres Anliegens erforderlich sind.
2.6.6. Wie setzen wir Adobe Typekit ein?
(1) Auf unserer Internetseite setzen wir externe Schriften mithilfe von Adobe Typkit ein. Dies ist ein Dienst von Typekit der Adobe Systems Inc, 345 Park Avenue San Jose, California 95110-2704, USA. Generelle Informationen zur Datenverarbeitung des Dienstanbieters finden Sie in den Datenschutzerklärungen von Adobe unter: https://www.adobe.com/de/privacy/policy.html (Adobe). Beim Aufrufen unserer Internetseite lädt Ihr Browser die benötigten Schriftarten direkt von Adobe, damit sie auf Ihrem Endgerät korrekt angezeigt werden können. Durch die Herstellung der Verbindung zu Adobe erhält Adobe Kenntnis davon, dass über Ihrer IP-Adresse unsere Website aufgerufen wurde. Der Dienstanbieter gibt an, dass er Cookies auf Websites weder platziert noch verwendet, um seine Schriften anzubieten. Detaillierte Angaben dazu, welche Informationen erfasst, wie diese verwertet werden sowie ob und an wen der Dienstanbieter Daten bei der Verwendung von Adobe Typekit weitergibt finden Sie unter: https://www.adobe.com/de/privacy/policies/adobe-fonts.html (Adobe Typekit). Der Inanspruchnahme dieses Dienstes steht auch nicht entgegen, dass der Anbieter seinen Sitz außerhalb der EU hat, denn der Anbieter hat sich nach den Standardvertragsklauseln verpflichtet. Zweck der Verarbeitung und damit Gegenstand unseres berechtigten Interesses ist die Ermöglichung der technisch fehlerfreien und optimierten Bereitstellung unserer Dienste, insbesondere um ein einheitliches Schriftbild auf unserer Website zu gewährleisten.
3. INFORMATIONEN FÜR BEWERBER
3.1 Wir verarbeiten Daten von Ihnen. Welche? Woher? Wie lange? Und müssen oder dürfen wir das überhaupt?
3.1.1. In der Bewerbungsphase erheben wir die von Ihnen zur Verfügung gestellten Daten, darunter in der Regel: Ihr Name, Ihre Erreichbarkeitsdaten, Ihre sonstigen Daten aus der Bewerbung, gegebenenfalls unsere Erkenntnisse aus dem Bewerbungsgespräch und dem Probearbeitstag. Die Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit b DSGVO, wonach die Verarbeitung von Bewerbungsdaten auch ohne die Einwilligung der Bewerber zulässig ist, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.
3.1.2. Für den Fall, dass zwischen uns ein Beschäftigungsverhältnis zustande kommt, speichern wir Ihre Bewerbungsdaten bis zum Abschluss der gesetzlichen Aufbewahrungspflichten. Diese Aufbewahrungszeiträume sind folgende:
| Datenkategorie | Aufbewahrungsfrist |
| Daten betreffend Lohnsteuer- und Abgabenpflicht, § 132 Abs 1 BAO: | 7 Jahre |
| Daten betreffend Sozialversicherungsbeitragspflicht, § 68 ASVG: | 3 bzw 5 Jahre |
| Haftung für Abfertigungsansprüche und Betriebspensionen nach Betriebsübergang, § 6 Abs 2 AVRAG: | 5 Jahre |
| Aufzeichnungen und Berichte über Arbeitsunfälle, § 16 ASchG: | 5 Jahre |
| Aufzeichnung über Überlassung von Arbeitskräften, § 13 Abs 3 AÜG: | 5 Jahre |
| Daten betreffend Ihren Anspruch auf Ausstellung eines Dienstzeugnisses, § 1478 ABGB: | bis zum Verzicht durch Sie, anderenfalls 30 Jahre |
4. INFORMATIONEN FÜR BESCHÄFTIGTE
4.1. Wir verarbeiten Daten von Ihnen. Welche? Woher? Wie lange? Und müssen oder dürfen wir das überhaupt?
4.1.1. Bei und nach Zustandekommen des Beschäftigungsverhältnisses erheben wir in der Regel folgende Daten: Name, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Geburtsland, Kontaktdaten, Gesundheitszustand (insbesondere im Hinblick auf etwaige Behinderungen), Staatsangehörigkeit, Geschlecht, Versicherungsnummer (gegebenenfalls Sozialversicherungsausweis), Familienstand, Arbeitnehmernummer (Sozialkasse), Personalnummer, Eintrittsdatum, Betriebsstätte, Berufsbezeichnung, ausgeübte Tätigkeit, Status, Haupt-/Nebenbeschäftigung, Daten zur steuerlichen Erfassung, Kontodaten, Krankenkasse, Krankschreibungsinformation, dienstliche E-Mail-Adresse, Diensthandy, Zugangsdaten zu diversen Clients und Hardware. Die Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit b DSGVO, wonach die Verarbeitung von Beschäftigtendaten auch ohne die Einwilligung der Beschäftigten zulässig ist, wenn dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
4.1.2. Wir speichern Ihre Daten – sofern notwendig – für die gesamte Dauer Ihres Beschäftigungsverhältnisses, jedenfalls aber bis zum Abschluss der gesetzlichen Aufbewahrungspflichten. Diese Aufbewahrungszeiträume sind folgende:
| Datenkategorie | Aufbewahrungsfrist |
| Daten betreffend Lohnsteuer- und Abgabenpflicht, § 132 Abs 1 BAO: | 7 Jahre |
| Daten betreffend Sozialversicherungsbeitragspflicht, § 68 ASVG: | 3 bzw 5 Jahre |
| Haftung für Abfertigungsansprüche und Betriebspensionen nach Betriebsübergang, § 6 Abs 2 AVRAG: | 5 Jahre |
| Aufzeichnungen und Berichte über Arbeitsunfälle, § 16 ASchG: | 5 Jahre |
| Aufzeichnung über Überlassung von Arbeitskräften, § 13 Abs 3 AÜG: | 5 Jahre |
| Daten betreffend Ihren Anspruch auf Ausstellung eines Dienstzeugnisses, § 1478 ABGB: | bis zum Verzicht durch Sie, anderenfalls 30 Jahre |
4.1.3. Wir sind im Übrigen mit Blick auf arbeits- und sozialrechtliche Regelungen verpflichtet, die o.g. Daten zu erheben. Mithin kann das Fehlen dieser Daten dazu führen, dass wir das Arbeitsverhältnis mit Ihnen nicht ordnungsgemäß ausführen können.
4.2. Was geschieht, wenn wir von Ihnen Fotografien anfertigen oder benötigen?
4.2.1. Es besteht die Möglichkeit, dass wir Sie darum bitten, eine Fotografie von Ihnen anfertigen oder verwenden zu dürfen. Sofern Sie dem zustimmen, nehmen wir die Fotografie auf, verknüpfen Sie mit Ihrem Namen und veröffentlichen sie gegebenenfalls auf einer unserer Internet- bzw. Intranetseiten, in sozialen Netzwerken und Printwerken, sowie Unternehmensbroschüren.
4.2.2. Rechtsgrundlage hierfür ist gegebenenfalls Ihre Einwilligung gemäß Artikel 6 Absatz 1 Satz 1 lit a DSGVO, die Sie jederzeit mit Wirkung für die Zukunft widerrufen können; dies etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (siehe oben in Punkt 1.1 – „Wer sind wir?“).
4.2.3. Der Verarbeitung steht auch das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, weil wir unter anderem sicherstellen, dass Ihre Einwilligung gegebenenfalls auch die Erlaubnis der Verarbeitung von Daten im Sinne von Artikel 9 Absatz 1 DSGVO umfasst, sodass insoweit die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.
4.3. Wie verarbeiten wir Ihre Daten zur steuerlichen Erfassung, Lohnbuchhaltung und sonstigen steuerrechtlichen Handlungen?
Ferner haben wir für die Zwecke der steuerlichen Erfassung, Lohnbuchhaltung und sonstige steuerrechtliche Handlungen eine externe Steuerberatungskanzlei beauftragt. Soweit Daten bei ihr verarbeitet werden, stellt dies keine Auftragsverarbeitung, sondern eine Funktionsübertragung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit f DSGVO gerechtfertigt ist. Im Hinblick auf Ihre Widerspruchsrechte verweisen wir auf Punkt 1.6 – „Welche Rechte haben Sie?“.
4.4. Wie verarbeiten wir Ihre Daten im Rahmen der Zeiterfassung?
4.4.1. Wir verarbeiten die Daten zu Beginn, Ende und etwaiger Unterbrechung Ihrer täglichen Arbeitszeit sowie zu Pausenzeiten und verknüpfen diese Informationen mit Ihrem Namen.
4.4.2. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit c DSGVO.
4.4.3 Wir speichern diese Informationen bis zum Ablauf der jeweiligen Aufbewahrungsfrist (siehe oben in Punkt 4.1.2).
4.5. Wie verarbeiten wir Ihre Daten im Rahmen der Nutzung des FINABRO Unternehmensportals?
4.5.1 Wir bieten Ihnen möglicherweise an, eine betriebliche Altersvorsorge in Anspruch zu nehmen. In diesem Zusammenhang setzen wir die Anwendung „FINABRO Unternehmensportal“ an, das von der FINABRO GmbH, LiechtensteinStraße 55/8, 1090 Wien (Österreich) angeboten wird, die wir gemäß Artikel 28 DSGVO mit der Verarbeitung beauftragt haben. Näheres finden Sie hier: https://www.finabro.at und hier: https://www.finabro.at/bav/unternehmen/. Hierbei verarbeiten wir alle Daten, die erforderlich zur Durchführung, Begründung und Beendigung des Rechtsverhältnisses sind, das der Bereitstellung der betrieblichen Altersvorsorge sind, darunter Ihr Name, Ihre Anschrift, Ihre Lohnkonto-relevanten Daten, der Status der Betriebszugehörigkeit.
4.5.2. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit a DSGVO, mithin allein Ihre Einwilligung, die Sie jederzeit widerrufen können, etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle.
Wir speichern diese Informationen bis zum Ablauf der jeweiligen Aufbewahrungsfrist (siehe oben in Punkt 4.1.2) oder bis zum Widerruf Ihrer Einwilligung, je nachdem, was früher eintritt.
4.6. Adobe Sign.
4.6.1 Wir setzen hier den folgenden Anbieter ein: die Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Campus, Dublin 24 (Irland), weitere Kontaktmöglichkeit hier: https://www.adobe.com/de/about-adobe/impressum.html, die das von uns genutzte tool „Adobe Sign“ zur Verfügung stellt. Gerne beschreiben wir diesen Verarbeitungsvorgang kurz: Wenn Sie einen Zugang zu unseren Produkten bestellen, besteht die Möglichkeit, dass wir Ihre Unterschrift über diesen Signaturdienstleister einholen. Wir haben diesen Anbieter nach Artikel 28 DSGVO beauftragt. Die Datenschutzerklärung dieses Anbieters finden Sie hier: https://www.adobe.com/de/privacy.html. Ergänzende Erläuterungen zum Datenschutz bei diesem Anbieter finden Sie hier: https://www.adobe.com/de/privacy/policies-business/esign.html.
4.6.2. Hierbei verarbeiten wir in der Regel folgende Daten von Ihnen: Wir dokumentieren über diesen Anbieter Ihre Signatur sowie den Zeitpunkt der Signaturerteilung. Nähere Informationen zur Art und Weise der Verarbeitung finden Sie unter: https://acrobat.adobe.com/de/de/sign.html und unter der Überschrift „Produktkauf und/oder Buchung von Dienstleistungen“ in jener Datenschutzerklärung.
4.6.3. Der Anbieter hat die Adobe Inc., San Francisco, 345 Park Avenue, San Jose, California 95110 (USA) unterbeauftragt. Dieser Unterbeauftragung steht nicht entgegen, dass der Unterauftragnehmer die Daten außerhalb der EU verarbeitet. Denn die mit Ihrer Unterschriftsleistung auf dieser Internetseite verbundene Verarbeitung Ihrer personenbezogenen Daten erfolgt nur, wenn Sie der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Bitte lesen Sie vorher unbedingt unsere Risikohinweise (vgl. Allgemeiner Teil/ Sonderkonstellation: Einwilligung in die Übermittlung an Drittlandstellen mit Sitz in den USA, einschließlich der Risikohinweise).
5. INFORMATIONEN FÜR KUNDEN/LIEFERANTEN
5.1. Wie verarbeiten wir Ihre Daten bei und nach dem Erstkontakt?
5.1.1. Beim Erstkontakt erheben wir die Daten, die Sie uns zur Verfügung stellen. Das sind in der Regel: Name, Erreichbarkeitsdaten, gegebenenfalls angebotsbezogene Daten, gegebenenfalls Daten zu Ihrer Position in Ihrem Unternehmen bzw. bei Ihrem Arbeitgeber. Die Gründe der Kontaktaufnahme kennen nur Sie – die Reaktion hierauf beschreibt sogleich den Zweck der Verarbeitung. Soweit es um ein konkretes Schuldverhältnis, sei es im Zusammenhang mit dessen Anbahnung, Durchführung oder Beendigung, geht, ist die Rechtsgrundlage für die Verarbeitung Artikel 6 Absatz 1 Satz 1 lit b DSGVO. In diesem Fall speichern wir die Daten jedenfalls bis zum Ende der gesetzlichen Aufbewahrungsfrist, die in der Regel sieben Jahre beträgt. In allen anderen Fällen ist die Rechtsgrundlage Artikel 6 Absatz 1 Satz 1 lit f DSGVO, wonach die Verarbeitung personenbezogener Daten auch ohne Einwilligung des Betroffenen möglich ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Die Kommunikation außerhalb eines Schuldverhältnisses ist in unserem beiderseitigen Interesse. Wir speichern Ihre Daten, bis der aus dem berechtigten Interesse herrührende Zweck erfüllt ist.
5.1.2. Sofern zwischen uns ein Vertragsverhältnis zustande kommt, verarbeiten wir Ihre Daten anschließend zum Zweck der Durchführung und gegebenenfalls Beendigung des Vertragsverhältnisses. Hierbei fallen in der Regel weitere, insbesondere auftragsbezogene Daten an. Insoweit ist die Rechtsgrundlage für die Verarbeitung Artikel 6 Absatz 1 Satz 1 lit b DSGVO. In diesem Fall speichern wir die Daten jedenfalls bis zum Ende der gesetzlichen Aufbewahrungsfrist, die in der Regel sieben Jahre beträgt.
5.2. Wie sprechen wir Sie werblich an?
5.2.1. Wir werden die oben genannten Daten (siehe oben Punkt 5.1 „Wie verarbeiten wir Ihre Daten bei und nach dem Erstkontakt?“) sowie auftragsbezogene Kommunikationsinhalte dazu verwenden, Sie werblich anzusprechen. Die werbliche Ansprache umfasst alle Kommunikationskanäle, die Sie durch Ihre Angaben, uns gegenüber bekanntgegeben haben. Inhaltlich umfasst die werbliche Ansprache bei der Ausübung unseres konkreten Gewerbes jede Äußerung von uns mit dem Ziel, den Absatz unserer Waren oder die Erbringung unserer Dienstleistungen zu fördern. Dazu zählen insbesondere, aber nicht abschließend, regelmäßige und unregelmäßige Newsletter, Einladungen, Kundenzufriedenheitsbefragungen und Angebote für konkrete Produkte und Leistungen.
5.2.2. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit f DSGVO. Nach dieser Vorschrift dürfen wir Ihre Daten verarbeiten, wenn dies zur Wahrung unserer berechtigten Interessen erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen. Unser berechtigtes Interesse ist das Interesse an Direktwerbung, wie sie in Punkt 5.2.1 beschrieben ist. Dass unser Interesse an Direktwerbung im Rahmen des Artikel 6 Absatz 1 Satz 1 lit f DSGVO anerkennenswert ist, stellt die Datenschutzgrundverordnung in ihrem Erwägungsgrund 47 am Ende klar. Dort heißt es: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Unser Interesse leiten wir ferner davon ab, dass wir bereits in einer Rechtsbeziehung standen oder gegebenenfalls noch stehen, sodass es Ihrer heutzutage weitverbreiteten Erwartungshaltung entspricht, dass Sie werblich angesprochen werden. Ihre Interessen sind hinreichend gewahrt, da wir Sie hiermit umfassend informieren und Ihr bedingungsloses Widerspruchsrecht anerkennen und die hierfür erforderlichen technischen Verfahren eingerichtet haben. Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen, dies durch formlose Nachricht an einen der oben genannten Kontaktkanäle („Wer sind wir?“) oder durch Auslösen des „unsubscribe-Links“ am Ende einer jeden werblichen Nachricht, die Sie von uns erhalten.
5.2.3. Hinsichtlich der Speicherdauer gilt Punkt 5.1 („Wie verarbeiten wir Ihre Daten bei und nach dem Erstkontakt?“) entsprechend. Sofern Sie der Verarbeitung zu werblichen Zwecken widersprechen, unterbleibt eine weitere Nutzung der Daten hierzu.
5.2.4. Eine gesetzliche Pflicht zur Verarbeitung dieser Daten zum Zweck der werblichen Nutzung besteht nicht.
5.3. Was geschieht bei einer Unternehmensveräußerung im Wege der Abspaltung oder Verschmelzung?
5.3.1. Es besteht die Möglichkeit, dass sich unser Unternehmen oder Teile davon gesellschaftsrechtlich verändern. Hierbei haben wir unter anderem die Möglichkeit, uns durch die Veräußerung von Teilen unseres Unternehmens (Abspaltung) oder durch den Zusammenschluss mit anderen Unternehmen (Verschmelzung) zu reorganisieren. Bei einer Abspaltung bleiben wir als Unternehmen bestehen, übertragen einen Teil unseres Vermögens auf einen oder mehrere andere, bereits bestehende oder neue Rechtsträger. Bei einer Verschmelzung übertragen wir unser gesamtes Unternehmen auf einen anderen, entweder schon bestehenden oder neu zu gründenden Rechtsträger.
5.3.2. Unabhängig davon, welche Variante der gesellschaftsrechtlichen Veränderung wir wählen, besteht die Möglichkeit, dass die Daten, die wir von Ihnen erhoben haben, dabei an den jeweiligen neuen Rechtsträger mitübertragen werden, gegebenenfalls auch entgeltlich. Es besteht sogar die Möglichkeit, dass dies der Hauptgrund für die gesellschaftsrechtliche Veränderung und ein wesentlicher, preisbildender Faktor ist.
5.3.3. Für die unter Punkt 5.3.2 beschriebene Übertragung Ihrer Daten ist Ihre Einwilligung jedoch nicht erforderlich. Denn auf diese Übertragung ist der datenschutzrechtliche Grundsatz, wonach jede Verarbeitung personenbezogener Daten, einer Erlaubnisgrundlage bedarf, nicht anwendbar. Denn dieser aus Artikel 5 Absatz 1 lit a DSGVO herrührende Rechtsgrundsatz erfordert eine Verarbeitung Ihrer Daten. In Betracht kommt hier zwar eine Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung. Aber sowohl die Elemente „Übermittlung“, „Verbreitung“ als auch „Bereitstellung in anderer Form“ setzen voraus, dass die Daten vom Verantwortlichen, also uns, an eine Stelle außerhalb des Verantwortlichen gelangen. Und im Fall der Abspaltung oder Verschmelzung wäre bezüglich Ihrer Daten der neue Rechtsträger kein Dritter im Sinne von Artikel 4 Z 10 DSGVO.
5.4. Was geschieht bei einer Unternehmensveräußerung im Wege des Asset-Deals?
5.4.1. Es besteht die Möglichkeit, dass sich unser Unternehmen oder Teile davon auch auf andere Weise gesellschaftsrechtlich verändern. Hierbei bestünde die Möglichkeit eines sogenannten Asset-Deals. Unter einem Asset Deal versteht man den Unternehmenserwerb durch Übertragung seiner jeweiligen Vermögensgüter.
5.4.2. Sofern wir im Zeitpunkt der Übertragung Ihrer Daten noch vertraglichen Pflichten haben sollten, die im Zusammenhang mit Ihrer Nutzung unserer Angebote stehen, ist die mit dem Asset-Deal verbundene Verarbeitung Ihrer personenbezogenen Daten durch Artikel 6 Absatz 1 Satz 1 lit f DSGVO gerechtfertigt. Nach dieser Vorschrift ist die darin liegende Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Hier besteht ein solches Verarbeitungsinteresse. Die Frage, ob ein solches Interesse vorliegt, ist am Verarbeitungszweck zu messen und muss einerseits rechtliche, wirtschaftliche und ideelle Interessen berücksichtigen und andererseits mit Blick auf die (Unions-)Grundrechte weit ausgelegt werden. Hier ist unser Interesse, dass die Nutzer unserer Angebote auch nach dem Asset-Deal weiterbedient werden. Dies entspricht freilich auch Ihrem Interesse. Selbstverständlich können Sie dieser Verarbeitung jederzeit widersprechen, dies durch formlose Nachricht an einen der oben genannten Kontaktkanäle (siehe oben in Punkt 1.1 – „Wer sind wir?“).
5.4.3. Sofern wir – im Zeitpunkt der Übertragung Ihrer Daten – bereits alle vertraglichen Pflichten, die im Zusammenhang mit Ihrer Nutzung unserer Angebote stehen, erfüllt haben, wird die Übertragung Ihrer Daten nur erfolgen, soweit es nachvertragliche Pflichten gibt oder es wahrscheinlich ist, dass Sie gegebenenfalls noch Nachfragen haben, (z.B. Serviceanfragen Ihrerseits). Denn dann ist die mit dem Asset-Deal verbundene Verarbeitung Ihrer personenbezogenen Daten durch Artikel 6 Absatz 1 Satz 1 lit f DSGVO gerechtfertigt. Das Interesse folgt hier daraus, dass in der möglicherweise anfallenden Erfüllung nachvertraglicher Pflichten und Nachfragen Ihrerseits, ein Übertragungsinteresse besteht.
5.4.4. Wir behalten uns das Recht vor, ergänzend eine Einwilligung von Ihnen abzufragen, wenn andere Fälle der Datenübermittlung zwecks Durchführung einer gesellschaftsrechtlichen Reorganisation in Betracht kommen. Insoweit verarbeiten wir Daten, die aus Ihren uns bekannten Kontaktdaten herrühren, um Sie um Ihre Einwilligung in die werbliche Ansprache zu bitten. Rechtsgrundlage dieser Verarbeitung ist Artikel 6 Absatz 1 Satz 1 lit c DSGVO. Nach dieser Vorschrift dürfen wir Ihre Daten verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen. Die rechtliche Verpflichtung, der wir unterliegen, folgt aus Artikel 7 Absatz 1 DSGVO bzw. Artikel 5 Absatz 1 DSGVO. Denn nach diesen Vorschriften sind wir rechtlich verpflichtet, die Einholung einer Einwilligung zu dokumentieren. Das geht nur, wenn wir Ihre Daten dafür zu Nachweiszwecken erheben. Wir speichern die Daten, solange dies zu Nachweiszwecken erforderlich ist. Sofern Sie die Einwilligung bestätigen, endet die Aufbewahrungsfrist erst nach Widerruf Ihrer Einwilligung zzgl. der Zeit bis zur Verjährung etwaiger zivilrechtlicher Ansprüche, also in der Regel nach dreißig Jahren.
5.5. Adobe Sign.
5.5.1. Wir setzen hier den folgenden Anbieter ein: die Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Campus, Dublin 24 (Irland), weitere Kontaktmöglichkeit hier: https://www.adobe.com/de/about-adobe/impressum.html, die das von uns genutzte tool „Adobe Sign“ zur Verfügung stellt. Gerne beschreiben wir diesen Verarbeitungsvorgang kurz: Wenn Sie einen Zugang zu unseren Produkten bestellen, besteht die Möglichkeit, dass wir Ihre Unterschrift über diesen Signaturdienstleister einholen. Wir haben diesen Anbieter nach Artikel 28 DSGVO beauftragt. Die Datenschutzerklärung dieses Anbieters finden Sie hier: https://www.adobe.com/de/privacy.html. Ergänzende Erläuterungen zum Datenschutz bei diesem Anbieter finden Sie hier: https://www.adobe.com/de/privacy/policies-business/esign.html.
5.5.2. Hierbei verarbeiten wir in der Regel folgende Daten von Ihnen: Wir dokumentieren über diesen Anbieter Ihre Signatur sowie den Zeitpunkt der Signaturerteilung. Nähere Informationen zur Art und Weise der Verarbeitung finden Sie unter: https://acrobat.adobe.com/de/de/sign.html und unter der Überschrift „Produktkauf und/oder Buchung von Dienstleistungen“ in jener Datenschutzerklärung.
5.5.3. Der Anbieter hat die Adobe Inc., San Francisco, 345 Park Avenue, San Jose, California 95110 (USA) unterbeauftragt. Dieser Unterbeauftragung steht nicht entgegen, dass der Unterauftragnehmer die Daten außerhalb der EU verarbeitet. Denn die mit Ihrer Unterschriftsleistung auf dieser Internetseite verbundene Verarbeitung Ihrer personenbezogenen Daten erfolgt nur, wenn Sie der damit verbundenen Datenübermittlung in die USA zustimmen (vgl. Artikel 49 Absatz 1 lit. a DSGVO). Bitte lesen Sie vorher unbedingt unsere Risikohinweise (vgl. Allgemeiner Teil/ Sonderkonstellation: Einwilligung in die Übermittlung an Drittlandstellen mit Sitz in den USA, einschließlich der Risikohinweise).
6. INFORMATIONEN FÜR PROBANDEN
6.1. Wie verarbeiten wir Ihre Daten bei einer Studie/Prüfung?
6.1.1. Im Rahmen unserer klinischen Studie/Prüfung können wir nicht ausschließen, dass Daten über Sie erhoben und verarbeitet werden. Hierbei verarbeiten wir – möglicherweise –
a) personenbezogenen Daten, anhand derer Sie direkt identifizierbar sind (z.B. Name, Geburtsdatum, Adresse, Sozialversicherungsnummer, Bildaufnahmen...);
b) pseudonymisierten personenbezogenen Daten. Das sind Daten, bei denen alle Informationen, die direkte Rückschlüsse auf die konkrete Person zulassen, entweder entfernt, durch ein Pseudonym ersetzt oder unkenntlich gemacht werden. Es kann jedoch trotz Einhaltung dieser Maßnahmen nicht vollkommen ausgeschlossen werden, dass es unzulässigerweise zu einer Re-Identifizierung kommt;
c) anonymisierten Daten, bei denen eine Rückführung auf die konkrete Person ausgeschlossen werden kann.
Diese Daten erheben wir bzw. die von uns beauftragten Subunternehmer (zB. Prüfärzte) gegebenenfalls direkt bei Ihnen, entweder durch eine Befragung, durch Auswertung der medizinischen Untersuchungen an Ihrer Person oder durch Auswertung medizinischer Unterlagen, die Sie uns zur Verfügung gestellt haben oder die wir auf Grundlage einer Schweigepflichtsentbindung und korrespondieren Einwilligung Ihrerseits bei Dritten über Sie eingeholt haben.
6.1.2. Wir verarbeiten diese Daten, um die klinische Studie/Prüfung durchzuführen, wozu die Erhebung, die Speicherung, die Auswertung und ggf. die Übermittlung gehören. Mit Blick auf die Übermittlung gilt ergänzend: Zugang zu den Daten, anhand derer Sie direkt identifizierbar sind (vgl. 6.1.1 lit a), hat das mit der Studie/Prüfung befasste medizinische Personal (z.B. Prüfarzt und andere Mitarbeiter des Prüfzentrums).
6.1.3. Rechtsgrundlage für die unter 6.1.1 und 6.1.2 beschriebene Verarbeitung ist Ihre Einwilligung i.S.v. Artikel 6 Absatz 1 Satz 1 lit a DSGVO. Sie können die Einwilligung zur Erhebung und Verarbeitung Ihrer Daten jederzeit ohne Begründung widerrufen. Nach Ihrem Widerruf werden keine weiteren Daten mehr über Sie erhoben. Die bis zum Widerruf erhobenen Daten können allerdings weiter im Rahmen dieser klinischen Prüfung verarbeitet werden.
6.1.4. Wir speichern Ihre Daten für fünfundzwanzig Jahre, wobei die Frist mit Abschluss oder Abbruch der klinischen Prüfung beginnt. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit c DSGVO iVm § 46 Absatz 2 AMG sowie Artikel 58 der Verordnung (EU) Nr. 536/2014.
6.2. Wie gehen wir mit der Übermittlung Ihrer Daten an Verantwortliche und Auftragsverarbeiter in Drittländern um?
6.2.1. Im Rahmen dieser klinischen Prüfung ist manchmal, aber nicht immer auch eine Weitergabe von pseudonymisierten Daten in Länder außerhalb der EU (Drittland) vorgesehen.
6.2.2. In diesen Fällen übermitteln wir die Daten nur an solche Verantwortliche oder Auftragsverarbeiter, die die Daten an Orten verarbeiten, für die es einen Angemessenheitsbeschluss der Kommission (Artikel 45 DSGVO) gibt. Ist diese Voraussetzung nicht erfüllt, übermitteln wir die Daten nur, sofern die Verantwortlichen oder Auftragsverarbeiter hinreichende Sicherheitsgarantien (Artikel 46 DSGVO) abgeben, etwa durch Vereinbarung der EU-Standardvertragsklauseln.
6.3. Unter welchen Bedingungen übermitteln wir ggf. Daten an Behörden?
6.3.1. Ergänzend zu Punkt 6.1.2 weisen wir auf Folgendes hin: Zusätzlich zum befassten, medizinischen Personal können autorisierte und zur Verschwiegenheit verpflichtete in- und/ oder ausländischen Gesundheitsbehörden und jeweils zuständige Ethikkommissionen in diese Daten Einsicht nehmen, soweit dies für die Überprüfung der ordnungsgemäßen Durchführung der klinischen Prüfung sowie ggf. zum Schutz von Leben und Gesundheit der Prüfungsteilnehmer/Studienteilnehmer notwendig ist.
6.3.2. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit c DSGVO iVm der jeweiligen, hierzu verpflichtenden Rechtsvorschrift. In der Regel, aber nicht immer wird dies § 46 Absatz 5 AMG sein.
6.4. Was müssen Sie zur Ausübung Ihrer Rechte nach der DSGVO wissen?
6.4.1. Nach der DSGVO stehen Ihnen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch zu, soweit dies die Ziele der klinischen Prüfung nicht unmöglich macht oder ernsthaft beeinträchtigt und soweit dem nicht andere gesetzliche Vorschriften widersprechen (vgl. „Welche Rechte haben Sie?“).
6.4.2. Abweichend von Punkt 6.3.1 und Punkt 1.6 ist jedoch auf Folgendes hinzuweisen: Das gemäß DSGVO vorgesehene Recht auf Löschung Ihrer im Rahmen dieser klinischen Prüfung/Studie verarbeiteten Daten steht Ihnen aufgrund von Regelungen nach dem Arzneimittelgesetz und Medizinproduktegesetz nicht zu. Zusätzlich ist bei einer klinischen Prüfung nach dem Arzneimittelgesetz das Recht auf Datenübertragbarkeit außer Kraft gesetzt.
7. INFORMATIONEN FÜR VERANSTALTUNGSTEILNEHMER
7.1. Was geschieht beim Prozess der Einladung zur Veranstaltung?
7.1.1. Beim Erstkontakt erheben wir die Daten, die Sie uns zur Verfügung stellen. Das sind in der Regel: Name, Erreichbarkeitsdaten, berufsbezogene Daten, Statusdaten zur Veranstaltung. Die Gründe der Kontaktaufnahme kennen nur Sie; die Reaktion hierauf beschreibt sogleich den Zweck der Verarbeitung. Soweit es um ein konkretes Schuldverhältnis, hier also um eine Teilnahme an unserer Veranstaltung, sei es im Zusammenhang mit dessen Anbahnung, Durchführung oder Beendigung, geht, ist die Rechtsgrundlage für die Verarbeitung Artikel 6 Absatz 1 Satz 1 lit b DSGVO. In diesem Fall speichern wir die Daten bis zum Ende der gesetzlichen Aufbewahrungsfrist, die bei uns in der Regel sieben Jahre beträgt. In allen anderen Fällen ist die Rechtsgrundlage Artikel 6 Absatz 1 Satz 1 lit f DSGVO, wonach die Verarbeitung personenbezogener Daten auch ohne Einwilligung des Betroffenen möglich ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Die Kommunikation außerhalb eines Schuldverhältnisses ist in unserem beiderseitigen Interesse. Wir speichern Ihre Daten, bis der aus dem berechtigten Interesse herrührende Zweck erfüllt ist.
7.1.2. Sofern zwischen uns ein Vertragsverhältnis über die Veranstaltungsteilnahme zustande kommt, verarbeiten wir Ihre Daten anschließend zum Zweck der Durchführung und gegebenenfalls Beendigung des Vertragsverhältnisses. Hierbei fallen in der Regel weitere, insbesondere auftragsbezogene Daten an. Insoweit ist die Rechtsgrundlage für die Verarbeitung Artikel 6 Absatz 1 Satz 1 lit b DSGVO. In diesem Fall speichern wir die Daten bis zum Ende der gesetzlichen Aufbewahrungsfrist, die bei uns in der Regel sieben Jahre beträgt.
7.2. Wie werden Veranstaltungsfotos angefertigt? Was ist die Rechtsgrundlage?
7.2.1. Wir haben gegebenenfalls eigene Mitarbeiter und externe Dienstleister damit betraut, auf der jeweiligen Veranstaltung Fotografien und/oder Filme anzufertigen. Diese Fotografien und/oder Filme sollen zu Werbezwecken auf unseren Internet- und Intranetseiten, Profilen in den sozialen Netzwerken, in Newsletter-Sendungen und anderen Medien veröffentlicht werden.
7.2.2. Eine gesetzliche Pflicht zur Erhebung dieser Daten besteht nicht. Sofern wir keine Fotografien und/oder Filme anfertigen, sind Sie darauf auch nicht zu sehen.
7.2.3. Rechtsgrundlage ist Ihre Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit a DSGVO in Verbindung mit Artikel 7 DSGVO. Vor jeder Fotografie und/oder Filmaufnahme werden unsere Mitarbeiter bzw. die Mitarbeiter der externen Dienstleister Sie ausdrücklich fragen, ob Sie damit einverstanden sind. Nur, wenn Sie dies bejahen, werden wir von Ihnen eine Fotografie und/oder Filmaufnahme anfertigen. Wir weisen Sie darauf hin, dass Sie diese Einwilligung jederzeit durch formlose Nachricht an einen der oben genannten Kontaktkanäle (siehe oben in Punkt 1.1 – „Wer sind wir?“) widerrufen können.
7.2.4. Wir weisen darauf hin, dass Ihre Einwilligung gegebenenfalls auch die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO umfasst, sodass das Verarbeitungsverbot nach Artikel 9 Absatz 1 DSGVO nicht gilt (vgl. Artikel 9 Absatz 2 lit a DSGVO).
8. INFORMATIONEN FÜR BESUCHER UNSERER BÜRORÄUME
8.1. Was geschieht beim Besuch der Büroräume
8.1.1. Sofern Sie unsere Büroräume aufsuchen, erheben wir bei Zutritt folgende Daten von Ihnen: Vorname, Nachname, E-Mail Adresse (optional), Handynummer (optional), AOP Orphan Ansprechperson, Ankunftsdatum Ankunftszeit, Abreisedatum, Abreisezeit. Optional erheben wir zudem gegebenenfalls Daten, welche zur Bekämpfung der COVID-19 Pandemie und der Einhaltung behördlicher Auflagen dienen. Hierfür werden Sie (gegebenenfalls und soweit vorhanden mit einem mobilen Endgerät einen QR-Code abscannen und) Daten in ein Online-Formular eintragen.
8.1.2. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. lit. c DSGVO i.V.m. Artikel 32 DSGVO. Denn wir sind zur Verarbeitung dieser Daten gesetzlich verpflichtet, weil wir eine hinreichende Zutrittskontrolle gewährleisten müssen.
8.1.3. Wir speichern die Daten bis zum Ablauf bis zum Ablauf etwaiger zivilrechtlicher Verjährungsfristen bzgl. etwaiger Ansprüche aus der DSGVO, also i.d.R. drei Jahre nach Ihrem jeweiligen Besuch in unseren Büroräumlichkeiten. Die Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 1489 ABGB.
8.2. Inwieweit setzen wir Microsoft Forms ein?
8.2.1. Wir setzen hier den folgenden Anbieter ein: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 (USA) weitere Kontaktmöglichkeit hier: https://support.microsoft.com/de-de. Gerne beschreiben wir diesen Verarbeitungsvorgang kurz: Wir haben diesen Anbieter nach Artikel 28 DSGVO beauftragt. Die Datenschutzerklärung dieses Anbieters finden Sie hier: https://privacy.microsoft.com/de-de/privacystatement.
8.2.2. In diesem Zusammenhang setzen wir das Tool „Microsoft Forms“ ein, über das das Formular bereitgestellt wird.
8.2.3.Der Beauftragung dieses Anbieters steht auch nicht entgegen, dass er seinen Sitz außerhalb der Europäischen Union hat. Denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
9. INFORMATIONEN FÜR HINWEISGEBER
9.1. Wie erheben wir Ihre Daten?
9.1.1. Wir speichern die Daten, die Sie über das von uns zur Verfügung gestellte Hinweisgeberportal (online) oder persönlich zur Verfügung stellen. Sie haben die Möglichkeit, Ihren Hinweis anonym oder personenbezogen abzugeben.
9.1.2.Herkunft der Daten sind ausschließlich Informationen, die Sie uns freiwillig zur Verfügung gestellt haben, beispielsweise durch Übergabe einer Visitenkarte.
9.1.3. Wir verarbeiten diese Daten, um unsere gesetzlichen Pflichten zu erfüllen und um Sie ggf. zu kontaktieren.
9.2. Was ist die Rechtsgrundlage?
9.2.1.Die Rechtsgrundlage für Erhebung, Speicherung und Nutzung der Daten ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. der Richtlinie (EU) 2019/1937, die bis zu deren Umsetzung in österreichisches Recht unmittelbar gilt. Insoweit besteht eine gesetzliche Verarbeitungspflicht.
9.2.2. Soweit wir die Informationen zu Nachweiszwecken aufbewahren, ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage. Unser berechtigtes Interesse folgt aus der Notwendigkeit, etwaige Missstände aufklären zu müssen und uns in diesem Zusammenhang gegen (Schadenersatz-)Ansprüche verteidigen zu können. Wir bewahren die Daten bis zum Ablauf der jeweils geltenden Verjährungsfrist auf, die i.d.R. drei Jahre nach Einlangen des Hinweises (§ 1489 ABGB) beträgt. Insoweit besteht keine Verarbeitungspflicht.
9.3. Wie setzen wir Lexis WhistleComplete ein?
Wir setzen den Dienst „Lexis WhistleComplete“ ein, der von LexisNexis Verlag ARD ORAC GmbH & Co KG (Österreich) angeboten wird. Der Dienst nimmt ihren Hinweis entgegen, ermöglicht uns den Zugriff und lässt in bestimmten Fällen durch Subunternehmer eine Ersteinschätzung vornehmen.