Datenschutz-Konzept. gemäß DSGVO und Datenschutz-Anpassungsgesetz 2018

Transkript

1 Datenschutz-Konzept gemäß DSGVO und Datenschutz-Anpassungsgesetz 2018 Eltern- und Förderverein der Höheren Technischen Bundes- Lehr- und Versuchsanstalt Wiener Neustadt ZVR-Zahl des Vereins gemäß 18 Abs. 3: Wiener Neustadt am 17. Mai 2018 Ing. Mag. Erwin Jäggle Obmann Verantwortlicher gemäß DSGVO 2601 Sollenau, Stiftergasse / erwin.jaeggle@myimago.at 1

2 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis Allgemeine Angaben Datenschutz-Konzept Sachliche und räumliche Tätigkeit Datenschutzbeauftragter (DSB) Verantwortliche (Stammdaten) Datenverarbeitungen/Datenverarbeitungszwecke Zwecke und Beschreibung der Datenverarbeitung: Mitgliederverwaltung Personalverwaltung Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Verfahrensverzeichnis Mitgliederverwaltung Kategorien der betroffenen Personen Rechtsgrundlagen Verträge, Zustimmungserklärungen oder sonstige Unterlagen Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, internationale Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Z 1 Unterabsatz 1 DSGVO erfolgt Kategorien der verarbeiteten Daten Löschungs- und Aufbewahrungsfristen Personalverwaltung Beschreibung der technisch-organisatorischen Maßnahmen (TOMs) Vertraulichkeit Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Eingabekontrolle Log-Buch Integrität Weitergabekontrolle Übertragungskontrolle Datenintegrität Verfügbarkeitskontrolle Trennungsgebot Handy

3 4.6. Evaluierungsmaßnahmen Betroffenenrechte wahren Prozesse betreffs Betroffenenrechte Profiling /Profiling light Marketing - Recht auf Widerspruch (Art 21 DSGVO) Meldung von Datenschutzverletzungen Risikoanalyse Vorabanalyse - Schutzbedarfsanalyse Risikoanalyse - Bewertungsmaßstäbe Risikoanalyse - Maßnahmen Vertraulichkeit Integrität Verfügbarkeit Risikoanalyse Folgen der Maßnahmen betreffs Risiko Zusammenfassung und Beschluss Anhang Muster Datenschutzverletzung (WKO) Mustervertrag Auftragsverarbeitung (WKO) Gegenstand der Vereinbarung Dauer der Vereinbarung Pflichten des Auftragnehmers Ort der Durchführung der Datenverarbeitung Sub-Auftragsverarbeiter Muster: Verpflichtungserklärung zum Datengeheimnis und zur Wahrung von Geschäftsund Betriebsgeheimnissen (WKO) Anhang zum Datengeheimnis Muster: Einwilligungserklärung Eltern/Erziehungsberechtigte Muster: Einwilligungserklärung eigenberechtigte Schüler Muster: Log-Buch

4 1 Allgemeine Angaben 1.1 Datenschutz-Konzept Dieses Datenschutzkonzept beruht auf den in Art 5 Z 1 DSGVO formulierten Grundsätzen wie Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit und ist rechtmäßig (Art 6 DSGVO). Die von der DSGVO geforderte Einhaltung der Verordnungskonformität (Art. 5 Z 2; Art 24 Z 1), der Einhaltung der Betroffenenrechte ( Art 13-20), der Meldepflicht bei Datenschutzverletzung (Art 33-34), der Nachweis- und Rechenschaftspflicht (Art 5 Z 2, Art 24 Z 1) ist gewährleistet. Ein Kontroll- und Verbesserungsprozess wird mindestens 1x jährlich durchgeführt (Art 32 Z 1 ). 1.2 Sachliche und räumliche Tätigkeit Unser Kleinverein * verarbeitet personenbezogene Daten von natürlichen Personen und Schülern im Sinne des Art. 8 DSGVO ganz oder teilweise automatisiert und hat seine Niederlassung in der EU, in 2700 Wiener Neustadt, Dr. Eckener-Gasse 2. * Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung der DSGVO die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs Kleinstunternehmen sowie kleine und mittlere Unternehmen sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission maßgebend sein. Referenzen: Art DSGVO, EuGH Entscheidung Weltimmo v. NAIH (C-230/34) 1.3 Datenschutzbeauftragter (DSB) Trifft eines der nachfolgenden Kriterien zu, ist ein externer oder interner DSB notwendig und zu bestellen: Verarbeitung der Daten durch eine Behörde oder öffentliche Stelle, mit Ausnahme der Gerichte Verarbeitung der personenbezogenen Daten stellt eine Kerntätigkeit der Organisation dar und/oder erfordert eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Person Verarbeitung besonders schutzwürdige Kategorien personenbezogenen Daten (Art 9 Z 1 DSGVO wie zb Gesundheitsdaten, ethische Herkunft, genetische bzw. biometrische Daten, Gewerkschaftszugehörigkeit, usw.) stellt eine Kerntätigkeit der Organisation dar (Referenzen: Art 37 DSGVO, Erwägungsgründe 97) Da für unseren Verein keines der obigen Kriterien zutrifft, wird kein DSB bestellt. 1.4 Verantwortliche (Stammdaten) Wenn nicht die/der Obfrau/-mann auch die Verwaltungsarbeit des Vereines macht, so sollte die Person, die die pb Daten verwaltet/verarbeitet als für den Datenschutz Zuständige hier erwähnt werden: 4

5 Verantwortlicher Ing. Mag. Erwin Jäggle Obmann 2601 Sollenau, Stiftergasse 1 Tel / erwin.jaeggle@myimago.at (Referenzen: Art 4 Z 7 DSGVO) 1.5 Weiterbildung und Stand der Technik Betreffs Weiterbildung und Stand der Technik werden folgende Aktivitäten gesetzt: Info- und Weiterbildungsveranstaltungen Homepages wie DSGVO-Page der WKO verwaltet bzw. verarbeitet Daten: Helga Schuster 2700 Wr. Neustadt, Heinrich Sauer-Gasse 22 Tel.: 0688 / helga-schuster@aon.at (Referenzen: Art 4, 5-11 DSGVO) 2 Datenverarbeitungen/Datenverarbeitungszwecke 2.1 Zwecke und Beschreibung der Datenverarbeitung: Mitgliederverwaltung Führung, Verarbeitung und Übermittlung von Mitgliederverzeichnissen, Evidenz der Mitgliedsund Förderungsbeiträge, Verkehr mit Mitgliedern oder Förderern von Körperschaften des öffentlichen und privaten Rechts, insbesondere Vereinen, und Personengemeinschaften, einschließlich automations-unterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in diesen Angelegenheiten. Verarbeitung und Übermittlung von Daten im Rahmen des Vereinszweckes: Förderung der Höheren Technischen Bundeslehranstalt in Wiener Neustadt Unterstützung mittelloser Schüler und Schülerinnen Herstellung einer engen Verbindung zwischen Schule und Elternschaft durch Ausgestaltung der für Unterricht und Erziehung erforderlichen Einrichtungen der genannten Schule im Einvernehmen mit der Direktion bzw. der Lehrkörper und den zuständigen Schulbehörden Durch Abhaltung von Zusammenkünften der Eltern mit dem Lehrkörper im Rahmen des Elternvereines zur gemeinsamen Beratung von Fragen der Erziehung und des Unterrichtes durch Abhaltung von bildenden Vorträgen Ideelle und materielle Unterstützung von Veranstaltungen und Einrichtungen der Schule nach Maßgabe der gegebenen Möglichkeiten Finanzierung von Schüler-Ehrengeschenken für besondere Leistungen) --- sowie bei über den unmittelbaren Schulbereich hinausgehende Interessen der Kinder (z. b. Sicherung von Schulwegen, Freizeitmöglichkeiten etc.), --- sowie Geschäftsbeziehungen mit Lieferanten, --- sowie an den Vereinsaktivitäten mitwirkende Dritte inkl. deren jeweiligen Kontaktpersonen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zb Rechnungen, Korrespondenzen oder Verträge) in diesen Angelegenheiten 5

6 2.1.2 Personalverwaltung Verwaltung eines aufrechten Dienstverhältnisses mit einer geringfügig Beschäftigten. Die gesamte Personalverrechnung wird ehrenamtlich über einen Steuerberater abgewickelt. 2.2 Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Wenn Ja, wann? Wenn Nein, aus welchem Grund nicht? Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, da. sowohl aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht siehe Risikobewertung und Maßnahmen -, da keine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt und da keine umfangreichen Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten erfolgt. Es gibt auch keine Überwachung öffentlich zugänglicher Bereiche durch Video. Ob für unsere Anwendungen eine Datenschutz-Folgenabschätzung gesetzlich vorgeschrieben bzw. nicht vorgeschrieben ist, kann nicht gesagt werden, da diese Listen seitens der Datenschutzbehörde noch nicht vorliegen (Art 35 Z4 + Z5) (Referenzen: Art 35 Z1-3 DSGVO) 3 Verfahrensverzeichnis (Referenzen: Art 30, Art 31 DSGVO, Erwägungsgründe 13, 75, 76, 82, 89) 3.1 Mitgliederverwaltung Kategorien der betroffenen Personen (1) Vereinsmitglieder und deren Kinder (2) Funktionäre (Vorstandsmitglieder, Rechnungsprüfer) (3) Förderer (Firmen und Privatpersonen) inkl. Kontaktpersonen (4) An Vereinsaktivitäten mitwirkende Dritte und Lieferanten inkl. Kontaktpersonen (5) Mitarbeiter (1 geringfügig Beschäftigte) Rechtsgrundlagen Art 6 Z 1 lit a (Einwilligung der Betroffenen), b (zur Vertragserfüllung erforderlich), c (gesetzliche Verpflichtungen nach der BAO und dem UGB), f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB EStG, UStG Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2004 StMV 2004) StF: BGBl. II Nr. 312/2004 Vereinsgesetz

7 3.1.3 Verträge, Zustimmungserklärungen oder sonstige Unterlagen Einverständniserklärungen Datenschutzerklärung nach 13 u. 14 DSGVO Datenschutzerklärung Homepage Verträge mit Auftragsverarbeitern (Steuerberater)* * Bank verarbeitet die Daten ihrer Kunden als Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) und nicht als Auftragsverarbeiter. Es muss daher mit in Kraft treten der DSGVO ( ) keine gesonderte Auftragsverarbeitung nach Art 28 DSGVO mit dem Verein abgeschlossen werden. Bei Überweisungsaufträgen wird lediglich der IBAN des Empfängers auf Kohärenz geprüft und der Überweisungsauftrag ausgeführt. Die Empfängernamen, die in einen Überweisungsauftrag eingegeben werden, werden nicht im Sinne des Art 4 DSGVO verarbeitet und dienen dem Verein lediglich zu Dokumentationszwecken, damit dieser seine Zahlungen zuordnen kann. Unterlagen zur aufrechten Vereinstätigkeit, Geschäftsabwicklungen, Mitgliedsbeiträge, Rechnungen, erledigte Geschäftsfälle, Unterlagen und Zustimmungserklärungen sowie Verträge mit Auftragsverarbeitern sind intern abgelegt Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, internationale Organisation) Nr. Empfängerkategorien Drittstaat außerhalb der EU Internationale Organisation 1 Banken zum Zweck der Zahlungsabwicklung Nein Nein 2 Behörden und sonstige Institutionen auf Grund gesetzlicher Melde- oder Berichtspflichten Nein Nein wie, insbesondere Vereinsbehörde, Veranstaltungsbehörden usw.; 3 Personen und Institutionen (Schule) auf Grund einer Ermächtigung oder Nein Nein Verpflichtung zur Datenübermittlung in den Statuten oder auf Grund besonderer Zustimmung des Betroffenen; 4 Rechtsanwälte, Gerichte und sonstige Stellen, zum Zweck der Rechtsdurchsetzung. Nein Nein 5 Steuerberater, Bilanzbuchhalter Nein Nein Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Z 1 Unterabsatz 1 DSGVO erfolgt Es erfolgt keine Übermittlung an Drittstaaten Kategorien der verarbeiteten Daten Kommunikationsdaten: Wohnanschrift, Telefon, Mobiltelefon, -Adresse Bankdaten: Name, Anschrift, Bankinstitut, IBAN, BIC, Rechnungsnummer, Verwendungszweck, Zahlungsreferenz vereinszweckrelevante D.: Mitgliedsbetrag, Eintritt, Austritt, Zahlungen und sonstige Leistungen an den Betroffenen, Auszeichnungen und Ehrungen Personaldaten: Name, früherer Name, Geburtsdatum, Geburtsort, Geschlecht, Personenstand, SV-Nummer, Staatsbürgerschaft, Mitarbeitervorsorge, Bezüge, 7

8 Betroffene Personengruppe (1) Mitglieder und deren Kinder (über 16-jährig) (2) Funktionäre (3) Förderer, Sponsoren, inklusive Kontakt-personen (4) mitwirkende Dritte (Auftragsverarbeiter) und Lieferanten, inkl. Kontaktpersonen (5) Mitarbeiter Lfd. Nr. 1 2 Datenkategorien Kommunikationsdaten (Anrede, Name, Adresse, Tel, , etc.) Mitgliederkategorie (ordentliches M., förderndes M., Funktionär) Sensible Daten (Art.9 + Art.10 DSGVO) Empfängerkategorien Nein X X X Nein X X 3 Name des Kindes, Klasse des Kindes Nein X X 4 Fotos der Mitglieder sowie deren über 16-jährigen Kinder Nein X X 5 Bankverbindung (IBAN) Nein X X X 6 7 Vereinszweckrelevante Daten (Ein- und Austrittsdaten, Mitgliedbeitragszahlung) Inanspruchnahme von Leistungen durch den Betroffenen Nein X X Nein X X 8 Auszeichnungen und Ehrungen Nein X X 9 Newsletter-Sperre Nein 10 Kommunikationsdaten (Anrede, Name, Adresse, Tel, , etc.) Nein X X X X 11 Geburtsdatum, Geburtsort Nein X X X 12 Funktion (Obmann, Schriftführer, Kassier, Vorstandsmitglied, Rechnungsprüfer,...) Nein X X X 13 Beginn und Ende der Funktion Nein X X X 14 Name des Kindes, Klasse des Kindes Nein X X 15 Fotos der Funktionäre, sowie deren über 16- jährigen Kinder Nein X X 16 Bankverbindung (IBAN) Nein X X X Vereinszweckrelevante Daten (Ein- und Austrittsdaten, Mitgliedbeitragszahlung) Inanspruchnahme von Leistungen durch den Betroffenen Nein X X Nein X X 19 Auszeichnungen und Ehrungen Nein X X 20 Newsletter-Sperre Nein 21 Kommunikationsdaten (Anrede, Name oder Bezeichnung der Firma, Adresse, Tel, ,..) 22 Spenden und sonstige Leistungen des Betroffenen 23 Zahlungen und sonstige Leistungen an den Betroffenen Nein X X X Nein X X Nein X X 24 Bankverbindung Nein X X X 25 Kontaktperson Nein X X 26 Kommunikationsdaten der Kontaktperson Nein X X 27 Newsletter-Sperre Nein 28 Kommunikationsdaten (Anrede, Name oder Bezeichnung der Firma, Adresse, Tel, ,..) 29 Spenden und sonstige Leistungen des Betroffenen 30 Zahlungen und sonstige Leistungen an den Betroffenen Nein X X X Nein X X Nein X X 31 Bankverbindung Nein X X X 32 Kontaktperson Nein X X 33 Kommunikationsdaten der Kontaktperson Nein X X 34 Newsletter-Sperre Nein 35 Kommunikationsdaten Nein X X X 36 Personaldaten Nein X X 37 Bankverbindung Nein X X X 8

9 3.1.7 Löschungs- und Aufbewahrungsfristen Daten (Lfd. Nr.) 1-8, 10 19, , 20, 27, 34 Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen Bis zur Beendigung der Mitgliedschaft des Betroffenen und Ablauf der für den Auftraggeber geltenden Verjährungs- und gesetzlichen Aufbewahrungsfristen wie zb 132 Abs 1 BAO, 190, 212 UGB, 18 UStG Abs 2 Z3 auf jeden Fall 7 Jahre; ferner bis zur Beendigung von Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Bei Förderern: Bis zum Ablauf des dritten Jahres nach dem letzten Kontakt mit dem Auftraggeber. Bis zur Beendigung der Geschäftstätigkeit mit Betroffenen und Ablauf der für den Auftraggeber geltenden Verjährungs- und gesetzlichen Aufbewahrungsfristen wie zb 132 Abs 1 BAO, 190, 212 UGB, 18 UStG Abs 2 Z3 auf jeden Fall 7 Jahre; ferner bis zur Beendigung von Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Newsletter: Recht auf Widerspruch (Art 21 DSGVO) 3.2 Personalverwaltung Verarbeitung und Übermittlung von Daten für Lohn- Gehalts- und Entgeltverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen und Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente in diesen Angelegenheiten. Die Verarbeitung erfolgt ehrenamtlich durch eine Mitarbeiterin einer Steuerberatungskanzlei. Die weitergegebenen Daten der einzigen Beschäftigten (geringfügig beschäftigt) beschränken sich auf das - für den oben angeführten Zweck - absolut notwendige Minimum. Rechte der betroffenen Person: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch 4 Beschreibung der technisch-organisatorischen Maßnahmen (TOMs) 4.1. Vertraulichkeit Zutrittskontrolle Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen: Sicherheitsschlösser versperrte Türen bei Abwesenheit der Laptop wird in einem Kasten verwahrt Zugangskontrolle Schutz vor unbefugter Systemnutzung Kennwörter Einsatz einer Software-Firewall Einsatz von Anti-Viren-Software 9

10 Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems Zugriff auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten hat nur die Zuständige Protokollierung von Zugriffen (LogBuch, siehe Kapitel 4.1.5) Einsatz von HTL-eigenem Aktenvernichter Sichere Aufbewahrung von Datenträgern, Dokumenten und Korrespondenzen (versperrter Kasten im versperrten kleinen Sitzungszimmer, HTL) physikalische Löschung von Datenträgern vor Wiederverwendung ordnungsgemäße Vernichtung von Datenträgern Eingabekontrolle Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind Die Eingabe, Änderung und Löschung von Daten erfolgt nur durch die Verantwortliche Protokollierung Aufbewahrung von Formularen (im HTL-Archiv: versperrter Kasten im normalerweise versperrten kleinen Sitzungszimmer ), von denen Daten in automatisierte Verarbeitungen übernommen worden sind; die Löschung bzw. Vernichtung erfolgt nach 7 Jahren Log-Buch Genaue Darstellung aller anfallenden Vorgänge wie z.b. Datenschutzanfragen, Änderungen in den Verarbeitungstätigkeiten, technisch organisatorischen Maßnahmen, DataBreach oder anderen Bereichen in chronologischer Reihenfolge. Dieses elektronische Logbuch soll primär zur Dokumentation aller Vorfälle, Anfragen und Veränderungen dienen. Jede Veränderung des elektronischen oder papierenen Datenbestandes zu protokollieren würde den Rahmen des Machbaren übersteigen, daher wird festgelegt, dass Eintragungen im Logbuch bei folgenden Prozessen zu tätigen sind: 4.2. Integrität Datenschutzanfragen Änderungen bei den TOMs Vorfälle bei denen eine Datenschutzverletzung passiert ist oder sein könnte Mitgliederverwaltung (Datensatzanlage,.) in elektronischer Form Banküberweisungen Vernichtung bzw. Löschung der Daten nach Ende der Aufbewahrungsfrist Weitergabekontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder entfernen bei elektronischer Übertragung oder Transport Beim physischen Transport: sichere Transportbehälter/-verpackungen Übertragungskontrolle Daten werden nur an berechtigte Empfänger (z.b. Banken im Rahmen des Zahlungsverkehrs) elektronisch übertragen 10

11 Datenintegrität Es erfolgen die notwendigen Updates des Betriebssystems Es gibt einen ausreichenden Schutz gegen Intrusion und Viren 4.3. Verfügbarkeitskontrolle Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust Regelmäßiges Backup (monatlich) Virenschutz / Firewall Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort 4.4. Trennungsgebot physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern: Sicherung auf externer Festplatte USB-Stick als Arbeitsspeicher 4.5. Handy Auf den Handys sind keine pb-daten der Mitglieder gespeichert außer den Handynummern der Vorstandsmitglieder und Rechnungsprüfer Handy mit PIN, Passwort oder Biometrie geschützt Kein WhatsApp Öffentliche WLAN werden nicht genützt Keine automatische Verbindung mit WLAN Bluetooth-Funktion nur beim Autofahren 4.6. Evaluierungsmaßnahmen Risikoanalyse Weiterbildung Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Auftraggebers (z.b.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters, sichere und verschlüsselte Speicherung und Übertragung) Ein Kontroll- und Verbesserungsprozess wird im Beisein des/der Rechnungsprüfer des Elternvereines mindestens 1x jährlich durchgeführt 5. Betroffenenrechte wahren Grundsätzlich wird jedem Betroffenen die jeweils aktuelle Version dieses Datenschutzkonzeptes auf der HTL-Homepage ( ) zum Downloaden zur Verfügung gestellt. Gemäß der DSGVO hat jeder Betroffene folgende Rechte: Recht auf Auskunft (Art 15 DSGVO) Recht auf Berichtigung (Art 16 DSGVO) Recht auf Löschung (Art 17 DSGVO ) Recht auf Einschränkung (Art 18 DSGVO) Recht auf Übertragbarkeit (Art 20 DSGVO) Recht auf Widerspruch (Art 21 DSGVO) Recht auf Beschwerde bei der Datenschutzbehörde 11

12 Artikel 15: Auskunftsrecht der betroffenen Person Auszug aus DSGVO - Betroffenenrechte (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: a) die Verarbeitungszwecke; b) die Kategorien personenbezogener Daten, die verarbeitet werden; c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. (4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Artikel: 16 Recht auf Berichtigung Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten auch mittels einer ergänzenden Erklärung zu verlangen. Artikel 17: Recht auf Löschung ( Recht auf Vergessenwerden ) (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. 12

13 c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. (2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. (3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information; b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union o- der der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3; d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Artikel 18: Recht auf Einschränkung der Verarbeitung (1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personen-bezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personen-bezogenen Daten verlangt; c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder c) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegen-über denen der betroffenen Person überwiegen. (2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten von ihrer Speicherung abgesehen nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. 13

14 Artikel 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung: Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. Artikel 20: Recht auf Datenübertragbarkeit (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. (2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. (3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. (4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Artikel 21: Widerspruchsrecht (1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. (2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. (3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. (4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. (5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. 14

15 (6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich Prozesse betreffs Betroffenenrechte Der Verantwortliche erhält Kenntnis, dass ein Betroffener seine Rechte geltend machen will, (zb mündlich, schriftlich. per , ) Sollte der Betroffene nicht persönlich bekannt sein, so muss zwecks Vermeidung einer Datenschutzverletzung die Identität des Antragsstellers (Betroffenen) festgestellt werden: Sehr geehrte Frau/Herr! Da ich Sie leider noch nicht persönlich kennen lernen durfte, bitte ich Sie, um keine Datenschutzverletzung zu machen wie zb pb Daten an eine falsche Person weiterzuleiten, mir eine Kopie/Scan Ihres Personalausweises/Reisepasses zukommen zu lassen. Ich danke Ihnen für Ihr Verständnis P.S.: Unser aktuelles Datenschutzkonzept unter Kann die Identität nicht zweifelsfrei festgestellt werden und der Betroffene meldet sich trotz Information darüber nicht mehr: => So sind keine weiteren Aktivitäten notwendig. Ist die Identität zweifelsfrei festgestellt und die Anfrage ist rechtens: => Der Betroffene bekommt gemäß Art 19 DSGVO innerhalb von maximal 1 Monat abhängig von seiner Anfrage in klarer und verständlicher Sprache folgende Antworten: Recht auf Auskunft (Art 15 DSGVO) Der Betroffene bekommt den Link: sein Stammdatenblatt mit allen pb Daten (Ausdruck oder ScreenShot) Recht auf Berichtigung (Art 16 DSGVO) Der Betroffene bekommt den Link: sein Stammdatenblatt mit den berichtigten pb Daten (Ausdruck oder ScreenShot) Recht auf Löschung (Art 17 DSGVO ) Der Betroffene bekommt den Link: sein Stammdatenblatt ohne pb Daten (ausgenommen Name) als Nachweis, dass die Löschung erfolgt ist mit dem Hinweis, dass nach Kopie des Stammdatenblattes auch das ganze Stammdatenblatt inklusive Namen unwiderruflich gelöscht wird (Ausdruck oder ScreenShot) oder Bei einem bestehenden oder abgeschlossenem Vertrag mit dem Betroffenen werden alle Daten, bis auf jene wo nach Art 6 Z 1 lit f berechtigte Interessen des Verantwortlichen DSGVO (vor allem Buchhaltungsunterlagen) geltend machen können, löschen und daher aufgrund der gesetzlichen Aufbewahrungsfristen diese Daten auf jeden Fall erst nach 7 Jahre löschen; darüber hinausgehend bis zur Beendigung eines allfälligen 15

16 Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen die pb Daten löschen. In diesen Fällen tritt an Stelle einer Löschung der Daten eine Sperrung (Einschränkung). Recht auf Einschränkung (Art 18 DSGVO) Der Betroffene bekommt den Link sein Stammdatenblatt, dem er entnehmen kann, dass bei Recht auf Einschränkung geltend gemacht ein Hakerl gesetzt ist und somit keine Verarbeitung seiner pb Daten erfolgt. (Ausdruck oder ScreenShot) Recht auf Übertragbarkeit (Art 20 DSGVO) Der Betroffene bekommt den Link: sein Stammdatenblatt mit allen pb Daten (Ausdruck oder ScreenShot) gemäß Art 20 Z2 DSGVO übermittle ich sein Stammdatenblatt mit alle pb Daten als Cc.. sicher und verschlüsselt an einen anderen Verantwortlichen, den der Betroffene mir genannt hat Recht auf Beschwerde bei der Datenschutzbehörde Profiling /Profiling light Es besteht keine Absicht die Daten für automatisierte Entscheidungsfindung einschließlich Profiling (Datenanalyse zu Verhalten, Gewohnheiten, Präferenzen ) zu verarbeiten. Da keine umfassende Bewertung persönlicher Aspekte natürlicher Personen, keine Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten erfolgt und auch ausdrücklich damit keinerlei automatische Generierung von Einzelentscheidungen verbunden ist und es gänzlich ohne rechtliche oder ähnliche Wirkung für den Betroffenen ist, ist eine Verarbeitung daher nicht als Profiling im Sinne des DSGVO (siehe unten Referenzen), sondern als Profiling light, als Mitglieder- und Vereinszweck-orientiertes Service zu sehen und es bedarf darüber hinaus auch keiner Datenschutz-Folgeabschätzung. Referenzen: Art 4, Art 8, Art 9 DSGVO; Erwägungsgründe: 26ff, 51ff; 4 Abs 4 DSGVO Marketing - Recht auf Widerspruch (Art 21 DSGVO) Es besteht zur Zeit keine Absicht die Daten für einen Newsletter-Versand zu verarbeiten. Ausgewählte Mitglieder erhalten s (so sie den Wunsch dazu geäußert haben) ausschließlich bezüglich Einladung zur Vorstandssitzung. Mitglieder des Vorstandes erhalten folgende s: Einladung zur Vorstandssitzung, Versand des Protokolls der letzten Vorstandssitzung und in dringenden Fällen Umlaufbeschluss Individuelles Tracking, auch über eine Übermittlungs- bzw. Lesebestätigung wird nicht gemacht, da dafür eine eigene Einwilligungserklärung notwendig ist. Macht ein Betroffener seine Rechte auf Widerspruch geltend (zb mündlich, schriftlich. per , ), so gilt folgendes: Sollte der Betroffene nicht persönlich bekannt sein, so muss zwecks Vermeidung einer Datenschutzverletzung die Identität des Antragsstellers (Betroffenen) festgestellt werden: Sehr geehrte Frau/Herr! Da ich Sie leider noch nicht persönlich kennen lernen durfte, bitte ich Sie, um keine Datenschutzverletzung zu machen wie zb pb Daten an eine falsche Person weiterzuleiten, mir eine Kopie/Scan Ihres Personalausweises/Reisepasses zukommen zu lassen. 16

17 Ich danke Ihnen für Ihr Verständnis P.S.: Unser aktuelles Datenschutzkonzept unter Kann die Identität kann nicht zweifelsfrei festgestellt werden und der Betroffene meldet sich trotz Information darüber nicht mehr: => So sind keine weiteren Aktivitäten notwendig. Ist die Identität zweifelsfrei festgestellt und die Anfrage ist rechtens: => Der Betroffene bekommt betreffs Recht auf Widerspruch (Art 15 DSGVO) innerhalb von maximal 1 Monat folgende Antworten: Sehr geehrte Frau/Herr! Gemäß Ihrem Wunsch habe wir Sie hiermit von der Newsletter-Verteiler-Liste gelöscht. Sie erhalten keinen Newsletter mehr von uns Meldung von Datenschutzverletzungen Die DSGVO definiert in Art 33 eine Verletzung des Schutzes personenbezogener Daten (Data Breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Der Datenschutz-Zuständige erlangt Kenntnis von einer Datenschutzverletzung. Innerhalb von 72 Stunden macht er eine Meldung mit Hilfe des Muster Datenschutzverletzung (siehe Anhang) an die gemäß Art 55 DSGVO zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes pb Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Gemäß Art 34 Z3 DSGVO muss keine Benachrichtigung der Betroffenen erfolgen, wenn die Verletzung des Schutzes der pb-daten aufgrund der angegebenen TOMs voraussichtlich kein hohes Risiko für deren persönlichen Rechte und Freiheiten zur Folge hat. Die Datenschutzbehörde ist wohlbegründet gegenteiliger Meinung und fordert auf, alle/gewisse Betroffenen zu informieren, siehe Art 34 Z4 DSGVO. Betroffene werden vom Datenschutz-Zuständigen umgehend mit einer entsprechenden Variation des Muster Datenschutzverletzung (siehe Anhang) informiert Alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) werden dokumentiert (LOG-Buch). Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht, siehe Art 33 Z5 DSGVO. 6. Risikoanalyse Referenzen: Art DSGVO, Erwägungsgründe: 74-78, Vorabanalyse - Schutzbedarfsanalyse Eine Vorabanalyse ergab, dass es sich bei folgenden pb Daten der Mitglieder, Funktionäre, Förderer, Lieferanten, Geschäftspartner und an der Geschäftsabwicklung mitwirkende Dritte inkl. der jeweiligen Kontaktpersonen um Daten mit vernachlässigbaren bis geringem Schutzbedarf handelt, da sowohl aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht und auch allgemeine TOMs (technisch organisatorische Maßnahmen) gemäß DSGVO gesetzt wurden: Öffentlich zugängliche Daten, Ordnungsnummer, Name, Firma oder sonstige Geschäftsbezeichnung, Anrede/Geschlecht, Anschrift, Homepage, Kontaktdaten (Tel., Mail, Fax,), Berufs-, 17

18 Branchen- und Geschäftsbezeichnung, Firmenbuchdaten, Keine Zusendungen von Werbematerial, Newsletter erwünscht, Kenn-Nummern für Zwecke amtlicher Statistik wie UID-Nummer, Korrespondenzsprache, Namen der Kontaktpersonen, Kontaktdaten der Kontaktpersonen (Tel., Mail, Fax, Anschrift und dgl.), Funktion/Rolle der Kontaktperson, Folgende pb-daten der Mitglieder und insbesondere der unter 16-jährigen Kinder und Geburtsdaten von Funktionären, sind Daten mit einem hohen Schutzbedarf. Es wird daher eine erweiterte Risiko- Analyse durchgeführt. Fotos von unter 16-jährigen Kindern: es ist nicht beabsichtigt Fotos von unter 16-jährigen Kindern zu verarbeiten Geburtsdaten von Funktionären: werden ausschließlich zur Meldung bei der Vereinsbehörde benötigt Aufgrund des Umfangs und der gesetzten TOMs wird das Risiko für die Rechte und Freiheiten natürlicher Personen minimiert. Eintragung in die entsprechende Kategorie: Kategorie 1 pb Daten Name und Fotos von Kindern (Alter unter 16 Jahren) Art 8 DSGVO => vertraulich/sensibel 2 Geburtsdatum und Geburtsort von Funktionären 3 pb Daten mit vernachlässigbaren Schutzbedarf, siehe oben Vorabanalyse 6.2. Risikoanalyse - Bewertungsmaßstäbe Schutzziele für die Risikobewertung nach Art 4 Z 12 sind: Vertraulichkeit, Integrität und Verfügbarkeit. Die Risiko-Bewertung erfolgt nach Schwere und Eintrittswahrscheinlichkeit (EWK) Schwere: Schwere Auswirkung auf Betroffene Folgen überwinden Beispiele Vernachlässigbar Nicht betroffen oder nur kleine Unannehmlichkeiten Unannehmlichkeiten sollten sich beheben lassen Zeitverlust durch erneute Eingabe von Informationen, Ärgernisse, Begrenzt Wesentliche Unannehmlichkeiten Unannehmlichkeiten sollten sich trotz Schwierigkeiten überwinden lassen Zusätzliche Kosten, Verweigerung des Zugangs zu Geschäftsdiensten, Angst, Mangel an Verständnis, Stress, Wesentlich Wesentliche Folgen Unannehmlichkeiten sollten sich trotz großer Schwierigkeiten überwinden lassen Kontaktaufnahme der Kinder durch Unbefugte zb per Kategorien und Klassifizierungen werden bekannt, Missbrauch von Geldern, Vorladungen, Verschlechterung eines Verhältnisses, Weitergabe der Passwörter, existenzgefährdend Irreversible Folgen Irreversible Folgen kaum bzw. nicht überwindbar Ansprechen der Kinder mit Vornamen am Schulweg, durch Unbefugte Identitätsdiebstahl; langfristige Beschwerden, Quelle: WIFI-Unterlagen zum zertifizierten Datenschutzbeauftragten 18

19 Eintrittswahrscheinlichkeit: EWK Wahrscheinlichkeit Beispiele Vernachlässigbar 0-24% Wahrscheinlichkeit zb Diebstahl von Unterlagen aus einem Safe Möglich Sehr wahrscheinlich Garantiert 25-69% Wahrscheinlichkeit 70-99% Wahrscheinlichkeit 100% Wahrscheinlichkeit garantiert Zb gezielter und koordinierter Angriff durch einen Hacker, Verlust der Hardware bzw. pb Daten durch Diebstahl oder durch fahrlässiges Handeln zb Eindringung eines Schädigungs-Mails, zb Ausfall durch einen Festplattenausfall, Datenverluste durch technische Fehler Quelle: WIFI-Unterlagen zum zertifizierten Datenschutzbeauftragten 6.3. Risikoanalyse - Maßnahmen Siehe TOMs (Kapitel 4) Vertraulichkeit Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen mit Schlüssel Zugangskontrolle: Schutz vor unbefugter Systembenutzung mit Kennwörter Zugriffskontrolle: Zugriff nur durch Verantwortlichen, Protokollierung von Zugriffen Integrität Eingabekontrolle: Personenbezogene Daten in das Datenverarbeitungssystem werden ausschließlich vom Verantwortlichen eingegeben, verändert oder entfernt, Dokumentenmanagement (Log-Buch) Verfügbarkeit Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, Virenschutz, Firewall, Sicherungskonzept mit Auslagerung der Sicherungen an einem sicheren Ort Rasche Wiederherstellbarkeit: regelmäßiges Backup (monatlich) 6.4. Risikoanalyse Schwere Existenzgefährden d Wesentlich Begrenzt 1 Vernachlässigbar 2, 3 Vernachlässigbar Möglich Sehr wahrscheinlich Garantiert EWK 6.5. Folgen der Maßnahmen betreffs Risiko Data Breach Kein Risiko Risiko Hohes Risiko Keine Meldung an Datenschutzbehörde Datenschutzbehörde informieren Mitglieder, Betroffene sind nicht zu informieren Keine Folgenabschätzung notwendig Meldung an Datenschutzbehörde Betroffene sind zu informieren Folgenabschätzung(?) 19

20 Aufgrund der gesetzten TOMs müssen bei einem DataBreach die betroffenen Mitglieder bzw. Personen nicht informiert werden. Referenzen: Art DSGVO, Erwägungsgründe: 76, 84 und 89 93, Working Paper 240 der Art 29 Gruppe 7. Zusammenfassung und Beschluss Wir sehen das hier dokumentierte Datenschutzniveau mit den gesetzten TOMs für uns als Kleinverein auch aufgrund unserer finanziellen, technischen und organisatorischen Beschränkungen als angemessen und ausreichend an. Liebe Mitglieder! Vertrauen zwischen den Vereinsmitgliedern und den Funktionären ist die Grundlage und Voraussetzung für unsere Vereinstätigkeit, daher sind auch alle Ihre persönlichen und beruflichen Daten und die Ihrer Kinder bei uns in guten Händen. Wir sichern Ihnen zu, dass wir sorgsam und streng vertraulich damit umgehen und immer am aktuellen Stand der technischen und organisatorischen Datenschutz-Maßnahmen sind. Das hier vorliegende Datenschutzkonzept unseres Vereines wurde vorab in der Vorstandssitzung vom mit Stimmen dafür: mit Stimmen dagegen: mit Enthaltungen: angenommen/abgelehnt und wird auch bei der nächsten Generalversammlung zur Abstimmung vorgelegt werden.... Obmann Mag. Jäggle e.h. (Original mit Unterschrift ist im Archiv abgelegt) 20

21 8. Anhang 8.1. Muster Datenschutzverletzung (WKO) Datenschutzverletzung Art 33 EU-Datenschutzgrund-Verordnung (DSGVO) - Meldung an die Aufsichtsbehörde: Österreichische Datenschutzbehörde, Hohenstaufengasse 3, 1010 Wien dsb@dsb.gv.at 1. Name und Kontaktdaten des Verantwortlichen: a. Name und Anschrift: b. -Adresse, Tel.Nr.: 2. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten: a) soweit möglich Kategorien und ungefähre Zahl der betroffenen Personen: b) soweit möglich betroffene Kategorien und ungefähre Zahl der personenbezogenen Datensätze: 21

22 3. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten: 4. Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung: (siehe TOMs) ggf Maßnahmen zur Abmilderung der Auswirkungen der Verletzung: (siehe TOMs) 5. Datum und Uhrzeit des Vorfalls: Begründung, falls die Meldung länger als 72h nach dem Vorfall erfolgte: Wiener Neustadt, am Unterschrift 22

23 8.2. Mustervertrag Auftragsverarbeitung (WKO) V E R E I N B A R U N G ÜBER EINE AUFTRAGSVERARBEITUNG NACH ART 28 DSGVO Verantwortliche: Eltern- und Förderverein der Höheren Technischen Bundes- Lehr- und Versuchsanstalt Wiener Neustadt 2700 Wiener Neustadt, Dr. Eckener-Gasse 2 (ZVR: ) Der Auftragsverarbeiter: ZB: Bilanzbuchhaltung/Steuerberater Externer Newsletter-Tool-Anbieter Veranstalter von Reisen, Ausflügen, Veranstaltungen,... an denen pb Daten der Kinder übermittelt werden (im Folgenden Auftraggeber) (im Folgenden Auftragnehmer) Gegenstand der Vereinbarung (1) Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: [möglichst detaillierte Beschreibung der Aufgaben des Auftragnehmers, einschließlich Art und Zweck der vorgesehenen Verarbeitung]. (2) Folgende Datenkategorien werden verarbeitet: [Datenkategorien aufzählen, zb Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten, usw]. (3) Folgende Kategorien betroffener Personen werden unterliegen der Verarbeitung: [Betroffenenkategorien ergänzen, zb Kunden, Interessenten, Lieferanten, Ansprechpartner, Beschäftigte, usw.] Dauer der Vereinbarung {Einmalige Durchführung} Die Vereinbarung endet mit einmaliger Durchführung der Arbeiten. {Befristete Laufzeit} Die Vereinbarung ist befristet abgeschlossen und endet mit [Fristende eintragen] {Unbefristete Laufzeit} Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von [Kündigungsfrist eintragen, zb ein Monat] zum [Kündigungstermin eintragen, zb Kalenderviertaljahr] gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt Pflichten des Auftragnehmers (1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. 23

24 (3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat. (4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). (6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. (10) Nur bei Fernwartung (a) Sofern der Auftragnehmer die Wartung und/oder Pflege der IT-Systeme auch im Wege der Fernwartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksame Kontrolle der Fernwartungsarbeiten zu ermöglichen. Dies kann z.b. durch Einsatz einer Technologie erfolgen, die dem Auftraggeber ermöglicht, die vom Auftragnehmer durchgeführten Arbeiten auf einem Monitor o.ä. Gerät zu verfolgen. (b) Wenn der Auftraggeber bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Monitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm durchgeführten Arbeiten in geeigneter Weise dokumentieren. (c) Die vom Auftragnehmer speziell für die Fernwartung getroffenen TOMs sind als Anhang zu dieser Vereinbarung zu finden Ort der Durchführung der Datenverarbeitung 1 Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt Sub-Auftragsverarbeiter Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen Wiener Neustadt, am. Auftraggeber Auftragsverarbeiter 24

25 8.3. Muster: Verpflichtungserklärung zum Datengeheimnis und zur Wahrung von Geschäfts- und Betriebsgeheimnissen (WKO) Eltern- und Förderverein der Höheren Technischen Bundes- Lehr- und Versuchsanstalt Wiener Neustadt 2700 Wiener Neustadt, Dr. Eckener-Gasse 2 (ZVR: ) Diese Verpflichtungserklärung betrifft (Vorstandsmitglied / Rechnungsprüfer / Mitarbeiter) Vorname Familienname Geburtsdatum Geburtsort In Ausübung Ihrer beruflichen/ehrenamtlichen Tätigkeit erhalten Sie voraussichtlich Kenntnis über personenbezogene Daten insbesondere von Kindern gemäß Art 8 DSGVO, sowie Geschäfts- und Betriebsgeheimnisse. Alle diese Informationen sind absolut vertraulich zu behandeln und unterliegen den Bestimmungen des österreichischen und europäischen Datenschutzrechts sowie des Wettbewerbsrechts. Mit Ihrer Unterschrift verpflichten Sie sich, 1. das Datenschutzrecht zu wahren, insbesondere 6 DSG, einschließlich entsprechender betrieblicher Anordnungen; 2. Geschäfts- und Betriebsgeheimnisse zu wahren ( 11 UWG); 3. bei einem Verstoß gegen das Datengeheimnis oder eine Verletzung von Geschäfts- und Betriebsgeheimnissen, Schadenersatz zu leisten. Die zitierten Bestimmungen sind im Anhang zu dieser Erklärung abgedruckt. Ihnen ist bekannt, dass die personenbezogenen Daten natürlicher wie juristischer Personen einem besonderen Schutz unterliegen und die Verwendung solcher Daten nur unter besonderen Voraussetzungen zulässig ist; personenbezogene Daten, die Ihnen auf Grund Ihrer beruflichen/ehrenamtlichen Beschäftigung anvertraut oder zugänglich gemacht wurden, nur auf Grund einer ausdrücklichen Anordnung des jeweiligen Vorgesetzten übermittelt werden dürfen; es untersagt ist, Daten an unbefugte Empfänger innerhalb und außerhalb des Unternehmens zu übermitteln oder sonst zugänglich zu machen; es untersagt ist, sich unbefugt Daten zu beschaffen oder zu verarbeiten; es untersagt ist, personenbezogene Daten zu einem anderen als dem zum rechtmäßigen Aufgabenvollzug gehörenden Zweck zu verwenden; anvertraute Benutzerkennwörter, Passwörter und sonstige Zugangsberechtigungen sorgfältig verwahrt und geheim zu halten sind; allfällige weiterreichende andere Bestimmungen über die Geheimhaltungspflichten ebenfalls zu beachten sind; diese Verpflichtung auch nach Beendigung Ihrer Tätigkeit fortbesteht; Verstöße gegen die hier genannten Verschwiegenheitsverpflichtungen nicht nur arbeitsrechtliche Folgen, sondern auch (verwaltungs-)strafrechtliche Folgen haben und schadenersatzpflichtig machen. Hiermit erkläre ich, am von über das Datengeheimnis nach 6 DSG und die Verschwiegenheitsverpflichtungen nach 11 UWG belehrt worden zu sein Ort, Datum Unterschrift des/der Verpflichteten 25

26 Anhang zum Datengeheimnis Datengeheimnis nach 6 DSG (1) Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten. (3) Der Verantwortliche und der Auftragsverarbeiter haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur unzulässigen Datenübermittlung kein Nachteil erwachsen. (5) Ein zugunsten eines Verantwortlichen bestehendes gesetzliches Aussageverweigerungsrecht darf nicht durch die Inanspruchnahme eines für diesen tätigen Auftragsverarbeiters, insbesondere nicht durch die Sicherstellung oder Beschlagnahme von automationsunterstützt verarbeiteten Dokumenten, umgangen werden. Verletzung von Geschäfts- oder Betriebsgeheimnissen und Missbrauch anvertrauter Vorlagen nach 11 UWG (Bundesgesetz gegen den unlauteren Wettbewerb 1984 UWG StF: BGBl. Nr. 448/1984 (WV)) (1) Wer als Bediensteter eines Unternehmens Geschäfts- oder Betriebsgeheimnisse, die ihm vermöge des Dienstverhältnisses anvertraut oder sonst zugänglich geworden sind, während der Geltungsdauer des Dienstverhältnisses unbefugt anderen zu Zwecken des Wettbewerbes mitteilt, ist vom Gericht mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (BGBl. Nr. 120/1980, Art. I Z 6) (2) Die gleiche Strafe trifft den, der Geschäfts- oder Betriebsgeheimnisse, deren Kenntnis er durch eine der im Abs. 1 bezeichneten Mitteilungen oder durch eine gegen das Gesetz oder die guten Sitten verstoßende eigene Handlung erlangt hat, zu Zwecken des Wettbewerbes unbefugt verwertet oder an andere mitteilt. (3) Die Verfolgung findet nur auf Verlangen des Verletzten statt. 26

27 8.4. Muster: Einwilligungserklärung Eltern/Erziehungsberechtigte Eltern- und Förderverein der Höheren Technischen Bundes- Lehr- und Versuchsanstalt Wiener Neustadt 2700 Wiener Neustadt, Dr. Eckener-Gasse 2 (ZVR: ) Einwilligungserklärung Name des Erziehungsberechtigten: Adresse: Telefon: oder Bitte kreuzen Sie als Erziehungsberechtigte an, ob Sie zustimmen oder nicht zustimmen. Ja Nein Wiener Neustadt, am Der gesetzliche Vertreter des/der betroffenen Schüler/Schülerin (Kinder nach Art 8 DSGVO) stimmt ausdrücklich zu, dass der Verein den Namen und die Klasse des/der Schülers/Schülerin verarbeiten darf: Name des Schülers/der Schülerin: , Klasse: Der gesetzliche Vertreter des/der betroffenen Schüler/Schülerin stimmt ausdrücklich zu, dass Fotos des Schülers / der Schülerin (z.b. bei Vereins-Veranstaltungen) vom Verein verarbeitet werden dürfen. Der gesetzliche Vertreter stimmt ausdrücklich zu, dass ihm/ihr vom Verein Informationen, Einladungen, Protokolle und gegebenenfalls auch ein Newsletter zugesendet wird Gemäß der DSGVO haben Sie als Betroffene/r jederzeit folgende Rechte, die Sie bitte per an den Obmann und Datenschutz Verantwortlichen des Vereines erwin.jaeggle@myimago.at geltend machen können: Recht auf Auskunft (Art 15 DSGVO) Recht auf Berichtigung (Art 16 DSGVO) Recht auf Löschung (Art 17 DSGVO) Recht auf Einschränkung (Art 18 DSGVO) Recht auf Übertragbarkeit (Art 20 DSGVO) Recht auf Widerspruch (Art 21 DSGVO) => Newsletter Recht auf Beschwerde bei der Datenschutzbehörde Unterschrift des Erziehungsberechtigten

28 8.5. Muster: Einwilligungserklärung eigenberechtigte Schüler Eltern- und Förderverein der Höheren Technischen Bundes- Lehr- und Versuchsanstalt Wiener Neustadt 2700 Wiener Neustadt, Dr. Eckener-Gasse 2 (ZVR: ) Einwilligungserklärung Name: Adresse: Telefon: oder Bitte kreuzen Sie an, ob Sie zustimmen oder nicht zustimmen. Ja Nein Ich stimme ausdrücklich zu, dass der Verein meinen Namen und die Klasse verarbeiten darf Schüler / Schülerin: , Klasse: Zum Zweck der Führung einer Chronik bin ich einverstanden, dass mein Name, Klasse und Anlass der Ehrung auch über die Löschungsfristen hinaus gespeichert wird. Ich stimme ausdrücklich zu, dass Fotos auf denen ich abgebildet bin (z.b. bei Schul- oder Vereinsveranstaltungen entstanden) vom Verein verarbeitet werden dürfen. Gemäß der DSGVO haben Sie als Betroffene/r jederzeit folgende Rechte, die Sie bitte per an den Obmann und Datenschutz Verantwortlichen des Vereines erwin.jaeggle@myimago.at geltend machen können: Recht auf Auskunft (Art 15 DSGVO) Recht auf Berichtigung (Art 16 DSGVO) Recht auf Löschung (Art 17 DSGVO) Recht auf Einschränkung (Art 18 DSGVO) Recht auf Übertragbarkeit (Art 20 DSGVO) Recht auf Widerspruch (Art 21 DSGVO) => Newsletter Recht auf Beschwerde bei der Datenschutzbehörde Wiener Neustadt, am Unterschrift