Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Stand

Transkript

1 Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) () Stand Inhalt A. Stammdatenblatt: Allgemeine Angaben B. Datenverarbeitungen/Datenverarbeitungszwecke C. Detailangaben zu den einzelnen Datenverarbeitungszwecken D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

2 A.Stammdatenblatt Name und Kontaktdaten des für die Verarbeitung Verantwortlichen: Lernplattform-Metall e.u. FN x Landesgericht Wels Ing. Dr. phil. Robert Murauer, MSc BEd Pichlhofstraße Altmünster / Österreich office@lernplattform-metal.eu +43/

3 B.Datenverarbeitungen/Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung: 1. Bestell- und Kundenverwaltung 2. Rechnungswesen 3. Benutzeranmeldung 4. Benutzerbezogene Statistiken 5. Merkfunktionen 6. Demozugangsverwaltung 2. Datenschutz-Folgenabschätzung: Die Datenverarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke und es liegt eine Rechtmäßigkeitsgrundlage (Vertrag) für die Verarbeitung vor. Die Datenverarbeitung ist für den Zweck erforderlich und angemessen sowie auf das notwendige Maß beschränkt. Darüber hinaus wurden Maßnahmen für die Erfüllung der Betroffenenrechte ergriffen, wie die Informationspflichten, Auskunftsrecht, Recht auf Datenübertragbarkeit, Berichtigungsund Löschungsrecht und Widerspruchsrecht, die öffentlich zugänglich in der Datenschutzerklärung festgehalten sind. Das Verhältnis zu Auftragsverarbeitern ist durch einen Vertrag mit dem erforderlichen Inhalt geregelt und es wurden auch nur inländische zuverlässige Auftragsverarbeiter (world4you Linz/Österreich) beauftragt, die der DSGVO unterliegen. Bei der Verarbeitung der Daten erfolgt keine systematische und umfassende Bewertung persönlicher Aspekte, die insbesondere die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder den Ortswechsel natürlicher Personen betreffen, auf Basis automatisierter Verarbeitung. Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können. Im Weiteren erfolgt keine Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten statt. Auch beinhaltet die Verarbeitung kein hohes Risiko für die Rechte und Freiheiten der Betroffene und die Verarbeitung beinhaltet keine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung. Ebenso beinhaltet die Datenverarbeitung kein (potentielles) Abgleichen oder Zusammenführen von Datensätze, wie das Zusammenführen von Datensätzen aus

4 unterschiedlichen Anwendungszwecken und dass dieser Vorgang von den betroffenen Personen vernünftigerweise auch nicht erwartet werden konnte. Möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen durch die: Datenverfügbarkeit: Bei der beabsichtigten Datenverarbeitung besteht das Risiko in Bezug auf Data breach oder durch die Einbindung von Auftragsverarbeitern, dass diese ihren vertraglichen Verpflichtungen nicht nachkommen oder deren Zuverlässigkeit nicht gewährleistet ist. Integrität und Vertraulichkeit: Im Weiteren besteht das Risiko, dass durch einen unerlaubten Datenabgriff die personenbezogenen Daten (Kontaktdaten) zu unbefugter oder zu unrechtmäßiger Verarbeitung seitens Dritter herangezogen werden. Auch kann ein etwaiger (unbeabsichtigter) Verlust der Daten nicht ausgeschlossen werden. Aus den angeführten Risiken können sich mögliche Risikofolgen ergeben, wie: materieller und immaterieller Schaden beim Betroffenen, Verlust der Kontrolle über die Daten oder Identitätsdiebstahl oder -betrug Um die Risiken zu minimieren werden folgende Sicherheitsmaßnahmen ergriffen, wie die SSL-geschützte Datenübertragung, die Protokollierung der Zugriffe, die Herstellung der Computersicherheit durch regelmäßige Updates des Betriebssystems und der Anwendungsprogramme, die Einschränkung des Zuganges durch die Verwendung komplexer Kennwörter oder durch die Nutzung von biometrischen Zugangskontrollen (Fingerprint-Reader), die Herstellung der Netzwerksicherheit durch Sicherheitseinstellungen bei den benutzen Browsern und die Verwendung einer Firewall und wie die Anwendung eines Datensicherungskonzeptes auf externe Datenträger, durch Sicherung in der Cloud und durch Sicherung durch den Provider world4you (Linz/Österreich). Sollte jedoch der oben geschilderten Sicherheitsmaßnahmen es zu einem eintretenen Risikos, insbesondere Data breach, kommen, werden folgende Maßnahmen ergriffen, wie die umgehende Verständigung der Betroffenen per , die umgehende Meldung an die Datenschutzbehörde (DSB) und die Ergreifung technischer Maßnahmen um einen weiteren Datenverlust zu verhindern (Passwortänderungen, vorübergehende Stilllegung des Dienstes u.a.).

5 C. Detailangaben zur Bestell- und Kundenverwaltung 1. Kategorien der betroffenen Personen: 1 Kunden (natürliche und juristische Personen) 2. Rechtsgrundlagen: Geschäftsanbahnung durch Kunden 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Bestellung per Online-Formular 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen: kundenbezogene Grund- bzw. Kontaktdaten Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungspflicht oder bei Nichtzustandekommens eines Vertrages a. Kategorien der verarbeiteten Daten: Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Empfänger 1 Kunden 1 Anrede 2 Vorname 3 Nachname 4 Postleitzahl 5 Landeskennung 6 Ort 7 Straße 8 Hausnummer

6 9 -Adresse 10 Webadresse (nur bei Firmen) 11 Angebotsnummer (nur bei Firmen) 12 Angebotsdatum (nur bei Firmen) 13 Bestellnummer (nur bei Firmen) 14 Bestelldatum (nur bei Firmen) b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungsbzw. Aufbewahrungsfristen Monate nach Bestellung und Nichtzustandekommen des Vertrages Monate nach Ablauf der gesetzlichen Aufbewahrungsfrist (7 Jahre) bei Vertrag

7 C. Detailangaben zum Rechnungswesen 5. Kategorien der betroffenen Personen: 1 Kunden (natürliche und juristische Personen) 2 Lieferanten (juristische Personen) 6. Rechtsgrundlagen: Vertragserfüllung Rechnungsaufbewahrungspflicht 7. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und als papiermäßiger Ausdruck 8. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen: kundenbezogene Daten für die gesetzlich vorgeschriebene Rechnungslegung Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungsfrist (7 Jahre) a. Kategorien der verarbeiteten Daten: Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes 1 Kunden 2 Lieferanten Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Empfänger 1 Anrede, 2 Vorname, 3 Nachname, 4 Postleitzahl, 5 Landeskennung, 6 Ort,

8 7 Straße, 8 Hausnummer, 9 -Adresse, 10 Bestellnummer (nur bei Firmen) 11 Bestelldatum (nur bei Firmen),, 12 Rechnungsnummer, 13 Rechnungsdatum, 14 Rechnungstext, 1 Kunden 15 Lizenztype, 16 Lizenzmenge, 17 Lizenzbeginn, 18 Lizenzende, b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungsbzw. Aufbewahrungsfristen Monate nach Ablauf der gesetzlichen Aufbewahrungsfrist (7 Jahre) laut BAO

9 C. Detailangaben zur Benutzerverwaltung 9. Kategorien der betroffenen Personen: 1 Kunden (natürliche und juristische Personen) 10. Rechtsgrundlagen: Vertragserfüllung 11. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Lizenzvertrag mit Zugangskennungen als PDF-Datei und als papiermäßiger Ausdruck 12. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen: Benutzer bezogene Daten für die Zugriffsverwaltung Löschung drei Monate nach Beendigung des Lizenzvertrages a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden: Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Empfänger 1 Kunden 1 Benutzer-ID 2 Benutzername, 3 Benutzerkennwort (verschlüsselt) 4 Benutzer-PIN (verschlüsselt),, 5 Lizenztype, 6 Lizenzmenge, 7 Lizenzstatus

10 8 Lizenzbeginn, 9 Lizenzende, 10 Zeitstempel 11 Seitenname bzw. Seiten-ID 12 von außen sichtbare IP- Adresse 13 Browsertyp (useragent) b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungsbzw. Aufbewahrungsfristen Monate nach Ablauf der Lizenz

11 C. Detailangaben zur Erstellung von Statistiken 13. Kategorien der betroffenen Personen: 1 Kunden (natürliche und juristische Personen) 14. Rechtsgrundlagen: Vertragserfüllung 15. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Lizenzvertrag mit Zugangskennungen als PDF-Datei und als papiermäßiger Ausdruck Zustimmung muss explizit erfolgen (privacy by design) 16. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen: Benutzer bezogene Daten für interne Statistiken (Nutzungshäufigkeit, Lernerfolgskontrollen etc.) Löschung drei Monate nach Beendigung des Lizenzvertrages a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden: Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Empfänger 1 Kunden 1 Benutzer-ID 2 Benutzername 3 Quiznummer Betroffener 4 maximal erreichte Punkte 5 aktuell erreichte Punkte 6 eingestelltes Zeitlimit Betroffener Betroffener

12 7 Zeitstempel 8 Seitenname bzw. Seiten-ID b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungsbzw. Aufbewahrungsfristen Monate nach Ablauf der Lizenz

13 C. Detailangaben zu Merkfunktionen 17. Kategorien der betroffenen Personen: 1 Kunden (natürliche und juristische Personen) 18. Rechtsgrundlagen: Vertragserfüllung 19. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Lizenzvertrag mit Zugangskennungen als PDF-Datei und als papiermäßiger Ausdruck 20. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen: Speicherung der Auswahl (selektierte Vokabeln, Auswahl bei Lexikon Light) Löschung drei Monate nach Beendigung des Lizenzvertrages a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden: Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Empfänger 1 Kunden 1 Benutzername 2 Auswahl b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungsbzw. Aufbewahrungsfristen Monate nach Ablauf der Lizenz

14 C. Detailangaben zu Demozugangsverwaltung 21. Kategorien der betroffenen Personen: 1 Interessenten (natürliche und juristische Personen) 22. Rechtsgrundlagen: keine 23. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: keine 24. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen: -Adresse keine Löschung a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden: Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes 1 Interessenten Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Empfänger 1 -Adresse 2 PIN 3 Zustimmung der Nutzungsbedingung 4 Zeitstempel b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungsbzw. Aufbewahrungsfristen 1 4 dauerhafte Aufbewahrung

15 D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen a. Vertraulichkeit: Lokale Kundenverwaltung (Excel-Tabelle) mittels Kennwort gesichert Zugang zu den papiermäßigen archivierten Rechnungen nur einem eingeschränkten Personenkreis möglich Nutzung von SSL-Übertragung (SSL-Zertifikat) b. Integrität: Sicherung in digitaler und papiermäßiger Form (Rechnungen) Datensicherungskonzept, mittels externen verschlüsselten Sicherungsmedium (USB- Datenträger) und Cloud-Sicherung Sicherung durch Provider (world4you, Linz/Österreich) Zugangsbeschränkung durch technische Maßnahmen (komplexe Kennwörter oder biometrische Zugriffskontrollen) c. Verfügbarkeit und Belastbarkeit: Die Verfügbarkeit des Dienstes ist vom Provider world4you (Linz/Österreich) abhängig d. Pseudonymisierung und Verschlüsselung: Innerhalb der Datenbank sind die Kennwörter hash-verschlüsselt hinterlegt Auf den Rechnungen und den Rechnungskopien sind die erstvergebenen Kennwörter ersichtlich e. Evaluierungsmaßnahmen: keine