Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

Transkript

1 Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt A. Stammdatenblatt: Allgemeine Angaben B. Datenverarbeitungen/Datenverarbeitungszwecke C. Detailangaben zu den einzelnen Datenverarbeitungszwecken D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

2 A. Stammdatenblatt Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen a. Name(n) und Anschrift(en): Convo Coworking GmbH, Wienerstraße 13, 2340 Mödling, Österreich b. -Adresse(n) (und allenfalls weitere Kontaktdaten wie zb Tel.Nr.): c. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Datenschutzbeauftragten: - nicht zutreffend - d. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Vertreters des (der) Verantwortlichen: - nicht zutreffend -

3 B. Datenverarbeitungen/Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung: 1. Geschäftsabwicklung inkl. Rechnungswesen: Verarbeitung und Übermittlung von Daten an Auftragsverarbeiter im Rahmen von Geschäftsbeziehungen mit Kunden, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (Rechnungen, Korrespondenzen bzw. Verträge) in diesen Angelegenheiten 2. Zahlungsabwicklung: Verarbeitung und Übermittlung von Daten an Auftragsverarbeiter im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten zum Zwecke der Geschäftsabwicklung, inkl. automationsunterstützt erstellter und archivierter Textdokumente (Rechnungen) in diesen Angelegenheiten 3. Zutrittskontrolle: Verarbeitung von Daten zum Zwecke der Beschränkung und Protokollierung von Zutrittsberechtigungen an eingefriedete Liegenschaften 4. Marketingaktivitäten Verarbeitung und Übermittlung von Daten an Auftragsverarbeiter zum Zwecke der Anbahnung von Geschäftsbeziehungen sowie der Information bestehender Kunden über neue Produkte und Angebote. 2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Ja Wenn Ja, wann? 05. Mai 2018

4 C. Detailangaben zu: 1. Geschäftsabwicklung inkl. Rechnungswesen 1. Kategorien der betroffenen Personen Lfd.Nr. 1 Kunden 2. Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), b (zur Vertragserfüllung erforderlich), c (gesetzliche Verpflichtungen nach der BAO und dem UGB), f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Ja 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten, Übermittlung an Empfänger Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Besondere isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Provider (IT-Dienstleister) Banken Wirtschaftstreuhänder Rechtsvertreter im Anlassfall Verwaltungsbehörden Im Anlassfall Versicherungen im Anlassfall Gerichte im Anlassfall 1 1 Name, Firma oder sonstige Nein x x x x x x x Geschäftsbezeichnung 2 Anschrift Nein x x x x x x 3 Kontaktdaten (Tel., Mail, Fax) Nein x x x x x 4 UID-Nummer Nein x x x x x x 5 Namen der Kontaktpersonen Nein x x x x x x 6 Geschlecht der Nein x x x x x Kontaktpersonen 7 Kontaktdaten der Nein x x x x x Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 8 Vertragstexte und Nein x x x x Geschäftskorrespondenzen 9 Bankverbindungen Nein x x x x 10 Mahn- und Klagsdaten Nein x x x 11 Social Media-Handles (opt.) Nein x x 12 Foto bzw. Firmenlogo (opt.) Nein x

5 b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-10 Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen Jahr nach Beendigung der Geschäftsbeziehungen 5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Provider (IT-Dienstleister) - - Banken - - Wirtschaftstreuhänder - - Rechtsvertreter im Anlassfall - - Verwaltungsbehörden Im Anlassfall - - Versicherungen im Anlassfall - - Gerichte im Anlassfall - - Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: - nicht zutreffend -

6 2. Zahlungsabwicklung 1. Kategorien der betroffenen Personen Lfd.Nr. 1 Kunden 2 Lieferanten 2. Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), b (zur Vertragserfüllung erforderlich), c (gesetzliche Verpflichtungen nach der BAO und dem UGB), f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Ja 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten, Übermittlung an Empfänger Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Besondere isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Banken Wirtschaftstreuhänder Rechtsvertreter im Anlassfall Verwaltungsbehörden Im Anlassfall Versicherungen im Anlassfall Gerichte im Anlassfall 1 1 Name, Firma oder sonstige Nein x x x x x x Geschäftsbezeichnung 2 Bankverbindungen Nein x x x x x x 2 3 Name, Firma oder sonstige Nein x x x x x x Geschäftsbezeichnung 4 Anschrift Nein x x x x x 5 Kontaktdaten (Tel., Mail,Fax) Nein x x x x x 6 Firmenbuchdaten Nein x x x x x 7 Bankverbindungen Nein x x x x x x 8 UID-Nummer Nein x x x x x 9 Namen der Kontaktpersonen Nein x x x x x 10 Kontaktdaten der Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 11 Vertragstexte und Geschäftskorrespondenzen Nein x x x x x Nein x x x x x

7 b. Löschungs- und Aufbewahrungsfristen: Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-11 Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen 5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort: Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken - - Wirtschaftstreuhänder - - Rechtsvertreter im Anlassfall - - Verwaltungsbehörden Im Anlassfall - - Inkassounternehmen Im Anlassfall - - Versicherungen im Anlassfall - - Gerichte im Anlassfall - - Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: - nicht zutreffend -

8 3. Zutrittskontrolle 6. Kategorien der betroffenen Personen Lfd.Nr. 1 Kunden 2 Lieferanten 7. Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), b (zur Vertragserfüllung erforderlich), f (berechtigte Interessen des Verantwortlichen) DSGVO 8. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Ja 9. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten, Übermittlung an Empfänger Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Besondere isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Rechtsvertreter im Anlassfall Versicherungen im Anlassfall Gerichte im Anlassfall 1 1 Name, Firma oder sonstige Nein x x x Geschäftsbezeichnung 2 Zutrittsberechtigungen Nein x x x 3 Datum und Uhrzeit von Nein x x x Zutritten in befriedete Liegenschaften, sowie Datum und Uhrzeit von Zutritten von bestimmten Räumlichkeiten innerhalb dieser befriedeter Liegenschaften 2 4 Name, Firma oder sonstige Nein x x x Geschäftsbezeichnung 5 Zutrittsberechtigungen Nein x x x 6 Datum und Uhrzeit von Zutritten in befriedete Liegenschaften, sowie Datum und Uhrzeit von Zutritten von bestimmten Räumlichkeiten innerhalb dieser befriedeter Liegenschaften Nein x x x

9 b Löschungs- und Aufbewahrungsfristen: Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen Tage, darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits. 10. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort: Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Rechtsvertreter im Anlassfall - - Inkassounternehmen Im Anlassfall - - Versicherungen im Anlassfall - - Gerichte im Anlassfall - - Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: - nicht zutreffend -

10 4. Marketingaktivitäten 1. Kategorien der betroffenen Personen Lfd.Nr. 1 Kunden & Interessenten 2. Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), f (berechtigte Interessen des Verantwortlichen) DSGVO 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt: Ja 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten, Übermittlung an Empfänger Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Besondere isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Provider (IT-Dienstleister) 1 1 Name, Firma oder sonstige Nein x Geschäftsbezeichnung 2 Kontaktdaten der Nein x Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 3 Geschlecht der Kontaktperson Nein x b Löschungs- und Aufbewahrungsfristen: Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-3 bis auf Widerruf

11 5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort: Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Provider (IT-Dienstleister) - - Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: - nicht zutreffend

12 D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen a. Vertraulichkeit: i. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen mittels Schlüssel, Zutritt nur den Gesellschaftern möglich. ii. Zugangskontrolle: Schutz vor unbefugter Systembenutzung mittels Kennwörtern, Verschlüsselung von Datenträgern, Schlüssel nur den Gesellschaftern bekannt. iii. Zugriffskontrolle: kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems; Protokollierung von Zugriffen; Zugriff nur für Gesellschafter. b. Integrität: i. Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen personenbezogener Daten; Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind mittels Protokollierung, c. Verfügbarkeit und Belastbarkeit: i. Verfügbarketskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, Redundante hausinterne IT-Anlagen; regelmäßige Backups; Virenschutz; Firewall; Intrusion Detection & Prevention System. d. Pseudonymisierung und Verschlüsselung: i. Verschlüsselung: sofern für die jeweilige Datenverarbeitung möglich, werden folgende Verschlüsselungstechnologien eingesetzt: AES128 - CBC AES256 - CBC RSA-2048 e. Evaluierungsmaßnahmen: i. Datenschutz-Management: Risikoanalyse, Datenschutz-Folgenabschätzung jährliche Evaluation der Datenschutzprozesse und richtlinien.