Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)

Transkript

1 Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) K.Ö.St.V. Badenia Baden Inhalt A. Stammdatenblatt: Allgemeine Angaben B. Datenverarbeitungen/Datenverarbeitungszwecke C. Detailangaben zu den einzelnen Datenverarbeitungszwecken D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

2 A. Stammdatenblatt Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen a. Name(n) und Anschrift(en): Katholisch Österreichische Studentenverbindung Badenia Baden im MKV Theaterplatz 9 - A Baden badenia.baden@gmail.com ZVR-Zahl: b. -Adresse(n) (und allenfalls weitere Kontaktdaten wie zb Tel.Nr.): badenia.baden@gmail.com chc@badenia.at c. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Datenschutzbeauftragten: KEIN DATENSCHUTZBEAUFTRAGTER NOTWENDIG d. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Vertreters des (der) Verantwortlichen: KEINER ZVR-Zahl: Seite 2 / 27

3 B. Datenverarbeitungen/Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung: 1) Führen des Mitgliederverzeichnisses: Ein Mitgliederverzeichnis wird geführt, in welchem sämtliche vom Mitglied bekanntgegebenen Daten verwaltet und verarbeitet werden. Dieses dient auch dem Kontakt der Vereinsmitglieder untereinander. 2) Abrechnung Mitgliedsbeiträge, Verkauf, Pönalen: Abrechnung der vorgeschriebenen Mitgliedsbeiträge, Beiträge an den MKV, Abrechnung von Käufen und Pönalen. 3) Konsumation-Barliste: Aufzeichnung und Abrechnung der Konsumation im Vereinslokal bzw bei Vereinsveranstaltungen. 4) Sponsorenverzeichnis: Verwaltung potentieller und bestehender Sponsoren/Inserenten für die Akquise von Sponsoren/Inserenten für den Verein 5) Zugangsberechtigung: Protokollierung der elektronischen Zugangsberechtigungen zu den Vereinsräumlichkeiten 6) Mailing: Informationsversand via Post/ an die Vereinsmitglieder 7) Aktivitätsverzeichnis: Dokumentation (Anwesenheitsliste, Budenordnungsliste, Chargierdienste, Schulerfolgsnachweise) der Vereinsarbeit der Mitglieder 8) Erstellung von Drucksorten: Einladungen, Informationen, Festschriften 9) Verbindungsarchiv: Führen des Verbindungsarchives, Sammlung von Pressespiegeln, Totenbüchern, Vereinszeitschriften 10) Gästeverzeichnis: Verwaltung potentieller Vereinsmitglieder sowie der Gäste des Vereines, insbesondere zum Zweck der Einladung 11) Verbindungsgericht: Dokumentation der Verfahren der Schlichtungseinrichtung des Vereines 2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Nein, da nach einer Ersteinschätzung nicht notwendig. Erläuterung wie folgt: In Art 35 Abs 3 DSGVO werden exemplarisch, jedoch nicht erschöpfend, einige Situationen benannt, die ein wahrscheinlich hohes Risiko mit sich bringen. Die Datenschutzgruppe nach Artikel 29 der DSGVO hat daraus Leitlinien zur Datenschutz-Folgenabschätzung abgeleitet. In diesen werden folgende neun Kriterien aufgelistet (direkte Zitate aus diesen Leitlinien bzw. der DSGVO werden hier kursiv gesetzt), die bei K.Ö.St.V. Badenia Baden in folgender Weise zutreffen bzw. nicht zutreffen: 1. Bewerten oder einstufen: Die systematische Bewertung oder Einstufung von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen erfolgt nicht. 2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung: Verarbeitung, auf deren Grundlage für Betroffene Entscheidungen getroffen werden sollen, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen erfolgt nicht. 3. Systematische Überwachung: eine systematische [...] Überwachung öffentlich zugänglicher Bereiche erfolgt nicht. 4. Verarbeitung Vertraulicher Daten oder höchst persönlicher Daten: Eine Verarbeitung solcher Daten erfolgt nicht. ZVR-Zahl: Seite 3 / 27

4 5. Datenverarbeitung in großem Umfang: Diese liegt nicht vor, wie aus den Ausführungen der Artikel-29-Gruppe abzuleiten ist. 6. Abgleichen oder Zusammenführen von Datensätzen: Dies wird nicht in einer Weise vorgenommen, die über die Vernünftigen Erwartungen der Betroffenen hinausgeht. 7. Daten zu schutzbedürftigen Betroffenen werden nicht gesammelt oder verarbeitet. 8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.b. Kombination aus Fingerabdruck- und Gesichtserkennung): Solche Systeme finden im Rahmen der Verarbeitungstätigkeiten Anwendung. 9. Datenverarbeitung, die die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert wird nicht vorgenommen. So kommen wir nach Prüfung unserer Verarbeitungsvorgänge anhand der Leitlinien der Artikel 29- Kommission zu dem Schluss, dass die Datenverarbeitung der [ ] wahrscheinlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Eine Datenschutz-Folgenabschätzung ist daher nicht notwendig. ZVR-Zahl: Seite 4 / 27

5 C. Detailangaben zu 1 (Führen des Mitgliederverzeichnisses) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit c (gesetzliche Verpflichtungen nach der BAO und dem UGB), lit f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1 Name (Vorname, Nachname, Titel) nein ,2,3 1,2, Anrede / Geschlecht nein ,2,3 1,2, Privatadresse (Anschrift) nein 1-4 2, 3 1,2,3 1,2,3 1,2,3 4 1 Telefonnummer / Fax (privat, beruflich, mobil) nein 1, 4 2, 3 1,2,3 1,2,3 1,2,3 5 1 Mailadresse nein 1, 4 2, 3 1,2,3 1,2,3 1,2,3 6 1 Geburtsdatum nein 1, 4 1 1,2,3 1,2, Sterbedatum nein 1, 4 1 2,3 1,2, MKV-Vita (Reception-, Branderung-, Burschung-, Philistrierungs-, Austrittdatum) nein 1, 4 1 1,2,3 1,2, Verbindungszugehörigkeit nein 1, 4 1 1,2,3 1,2, Mitgliedsstatus /Fuchs, Bursch, etc) nein 1, 4 1 2,3 1,2,3 0 ZVR-Zahl: Seite 5 / 27

6 11 1 Verwaltungsstatus (lebend, verstorben, ausgeschieden, Sonstige (zb Nicht- Mitglieder) nein 1, 4 1 2,3 1,2, Geburtsort nein 1, 4 1 1,2,3 1,2, Staatsbürgerschaft nein 1, 4 1 1,2,3 1,2,3 1,2, Beruf nein 1, 4 2,3 1,2,3 1,2,3 1,2, Stelle (Beruf) nein 1, 4 2,3 1,2,3 1,2,3 1,2, Tätigkeit (Beruf) nein 1, 4 2,3 1,2,3 1,2,3 1,2, Status (Beruf) nein 1, 4 2,3 1,2,3 1,2,3 1,2, Branche (Beruf) nein 1, 4 2,3 1,2,3 1,2,3 1,2, Berufsbezeichnung nein 1, 4 2,3 1,2,3 1,2,3 1,2, Berufsadresse / Arbeitgeber nein 1, 4 2,3 1,2,3 1,2,3 1,2, Couleurname nein 1, 4 1 1,2,3 1,2,3 1, Schule nein 1, 4 2,3 1,2,3 1,2, Maturadatum nein 1, 4 2,3 1,2,3 1,2, Chargen / Funktionen (inkl Perioden) nein 1, 4 1 2,3 1,2, Ehrungen nein 1, 4 1 2,3 1,2, Sub-Mitgliedschaften (Verbindungen, Ortsverbände, Altherrenlandesbünde, Zirkel, Mitgliedschaften in anderen Verbänden) von Betroffenen bekanntgegebene Interessen und Spezialgebiete nein 1, 4 1 1,2,3 1,2,3 2 nein 1, 4 2,3 1 1,2,3 1,2, Fotos nein 1, 4 2,3 1,2,3 1,2,3 1, Mitgliedbeiträge nein 0 2,3 2 Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall MKV Druckerei Post Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Daten aus 3.a. (Lfd. Nr.) Führen des Mitgliederverzeichnisses 1-29 Beschickung des Onlinegesamtverzeichnisses 1-28 ZVR-Zahl: Seite 6 / 27

7 C. Detailangaben zu 2 (Abrechnung Mitgliedsbeiträge, Verkauf, Pönalen) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit c (gesetzliche Verpflichtungen nach der BAO und dem UGB), lit f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 7 Jahre Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1 Name (Vorname, Nachname, Titel) nein 0 4 1, Anrede / Geschlecht nein 0 4 1, Privatadresse (Anschrift) nein 0 4 1, Mailadresse nein 0 4 1, Couleurname nein 0 4 1, Rechnungstext nein Mitgliedsbeitrag, Pönalen, Rechnungsbetrag, Außenstände aus Käufen nein ZVR-Zahl: Seite 7 / 27

8 Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Daten aus 3.a. (Lfd. Nr.) Führen von Verbindlichkeitslisten 1-7 Rechnungsversand 1-7 ZVR-Zahl: Seite 8 / 27

9 Kategorien der betroffenen Personen C. Detailangaben zu 3 (Konsumation Barliste) Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder 2 Gäste Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit c (gesetzliche Verpflichtungen nach der BAO und dem UGB), lit f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder 2 - Gäste Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 bis zur Begleichung 1 - Die betroffene Person 1 - Mitglied(er) 1 bis zur Begleichung Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1, 2 Name (Vorname, Nachname, Titel) nein 0 1 1, , 2 Anrede / Geschlecht nein 0 1 1, , 2 Privatadresse (Anschrift) nein 0 1 1, , 2 Mailadresse nein 0 1 1, , 2 Konsumation (Artikel, Betrag) nein , 2 Bankverbindung nein Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) ZVR-Zahl: Seite 9 / 27

10 Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall MKV Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Daten aus 3.a. (Lfd. Nr.) Abrechnung der Konsumation 1-6 ZVR-Zahl: Seite 10 / 27

11 C. Detailangaben zu 4 (Sponsorenverzeichnis) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder 2 Externe Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), 132 BAO 190, 212 UGB Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder 2 - Externe Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1, 2 Name (Vorname, Nachname, Titel) nein 0 1, 4 1, , 2 Anrede / Geschlecht nein 0 1, 4 1, , 2 Firmendaten (Firma, Anschrift) nein 0 1, 4 1, , 2 Mailadresse nein 0 1, 4 1, , 2 Verbindungszugehörigkeit nein 0 1, 4 1, , 2 Couleurname nein 0 1, 4 1, , 2 Sponsoringdaten nein 0 1, 4 1, ZVR-Zahl: Seite 11 / 27

12 Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Daten aus 3.a. (Lfd. Nr.) Verwalten von potentiellen Sponsoren 1-7 Erfassen von Zahlungsströmen 1-7 ZVR-Zahl: Seite 12 / 27

13 C. Detailangaben zu 5 (Zugangsberechtigung) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder 2 Externe Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit f (berechtigte Interessen des Verantwortlichen) DSGVO Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder 2 - Externe Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1, 2 Name (Vorname, Nachname, Titel) nein , 2 Anrede / Geschlecht nein , 2 Schließzeiten nein , 2 Chipnummer nein , 2 Türbezeichnungen nein Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) ZVR-Zahl: Seite 13 / 27

14 Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Daten aus 3.a. (Lfd. Nr.) Verwalten der Zugänge zum Vereinslokal 1-7 ZVR-Zahl: Seite 14 / 27

15 C. Detailangaben zu 6 (Mailing) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder 2 Externe Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit f (berechtigte Interessen des Verantwortlichen) DSGVO Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder 2 - Externe Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 5 - Mailingsdienstleister 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1, 2 Name (Vorname, Nachname, Titel) nein , 2 Anrede / Geschlecht nein , 2 Privatadresse nein , 2 Mailadresse nein , 2 Verbindungszugehörigkeit nein , 2 Couleurname nein Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) ZVR-Zahl: Seite 15 / 27

16 Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall Mailingdienstleister Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Vorbereiten, Verarbeiten und Versand von Einladungen, Newslettern und weiteren Informationen der Verbindung Daten aus 3.a. (Lfd. Nr.) 1-6 ZVR-Zahl: Seite 16 / 27

17 C. Detailangaben zu 7 (Aktivitätsverzeichnis) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit f (berechtigte Interessen des Verantwortlichen) DSGVO Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 1 Semester 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1 Name (Vorname, Nachname, Titel) nein 1, 4 1 1, Anrede / Geschlecht nein 1, 4 1 1, Privatadresse (Anschrift) nein 1, 4 1 1, Telefonnummer / Fax (privat, beruflich, mobil) nein 1, 4 1 1, Mailadresse nein 1, 4 1 1, Couleurname nein 1, 4 1 1, Chargen / Funktionen (inkl Perioden) nein 1, 4 1 1, Anwesenheitslisten nein 0 3 1, Budendienste nein 0 3 1, Chargierdienste nein 0 3 1, Schulzeugnisse nein 0 3 1, Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern ZVR-Zahl: Seite 17 / 27

18 Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall MKV Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Daten aus 3.a. (Lfd. Nr.) Planung und Aufrechterhaltung des Vereinsbetriebes, Statistiken 1-10 Kontrolle des Vereinszweckes Bildung 1-6, 11 ZVR-Zahl: Seite 18 / 27

19 C. Detailangaben zu 8 (Erstellung von Drucksorten) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder 2 Externe Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit f (berechtigte Interessen des Verantwortlichen) DSGVO Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder 2 - Externe Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1, 2 Name (Vorname, Nachname, Titel) nein , 2 Anrede / Geschlecht nein , 2 Privatadresse nein , 2 Mailadresse nein , 2 Verbindungszugehörigkeit nein , 2 Couleurname nein Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) ZVR-Zahl: Seite 19 / 27

20 Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall Versanddienstleister Druckerei Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Vorbereiten, Verarbeiten und Versand von Einladungen, Newslettern und weiteren Informationen der Verbindung Daten aus 3.a. (Lfd. Nr.) 1-6 ZVR-Zahl: Seite 20 / 27

21 C. Detailangaben zu 9 (Verbindungsarchiv) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit c (gesetzliche Verpflichtungen nach der BAO und dem UGB), lit f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 4 Presse, Medien 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1 Name (Vorname, Nachname, Titel) nein , Anrede / Geschlecht nein , Privatadresse (Anschrift) nein , Telefonnummer / Fax (privat, beruflich, mobil) nein , Mailadresse nein , Geburtsdatum nein , Sterbedatum nein , MKV-Vita (Reception-, Branderung-, Burschung-, Philistrierungs-, Austrittdatum) nein , Verbindungszugehörigkeit nein , Mitgliedsstatus /Fuchs, Bursch, etc) nein , 2 1 ZVR-Zahl: Seite 21 / 27

22 11 1 Verwaltungsstatus (lebend, verstorben, ausgeschieden, Sonstige (zb Nicht- Mitglieder) nein , Geburtsort nein , Staatsbürgerschaft nein , Beruf nein , Stelle (Beruf) nein , Tätigkeit (Beruf) nein , Status (Beruf) nein , Branche (Beruf) nein , Berufsbezeichnung nein , Berufsadresse / Arbeitgeber nein , Couleurname nein , Schule nein , Maturadatum nein , Chargen / Funktionen (inkl Perioden) nein , Ehrungen nein , Sub-Mitgliedschaften (Verbindungen, Ortsverbände, Altherrenlandesbünde, Zirkel, Mitgliedschaften in anderen Verbänden) von Betroffenen bekanntgegebene Interessen und Spezialgebiete nein nein , 2 1 1, Fotos nein , Mitgliedbeiträge nein Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Führung eines umfassenden Archives über die Mitglieder der Verbindung Daten aus 3.a. (Lfd. Nr.) 1-29 ZVR-Zahl: Seite 22 / 27

23 Kategorien der betroffenen Personen C. Detailangaben zu 10 (Gästeverzeichnis) Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Externe Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), DSGVO Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Externe Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 - Online-GV (MKV) 2 Couleur-Versand 3 - Druckerei 4 - Verbandsteile (Landesverband, Zirkel) 5 - Mailingdienstleister 1 - dauerhaft 2 - Dauer der Mitgliedschaft 3 - Dauer des Abos 4 - gesetzliche Aufbewahrungspflicht 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1 Name (Vorname, Nachname, Titel) nein 5 3 1, Anrede / Geschlecht nein 5 3 1, Privatadresse nein 5 3 1, Mailadresse nein 5 3 1, Verbindungszugehörigkeit nein 5 3 1, Couleurname nein 5 3 1, Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Internationale Organisation (Angabe der intern. Organisation) ZVR-Zahl: Seite 23 / 27

24 Gerichte im Anlassfall Mailingdienstleister Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Vorbereiten, Verarbeiten und Versand von Einladungen, Newslettern und weiteren Informationen der Verbindung an interessierte Gäste Daten aus 3.a. (Lfd. Nr.) 1-6 ZVR-Zahl: Seite 24 / 27

25 C. Detailangaben zu 11 (Verbindungsgericht) Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Vereinsmitglieder Rechtsgrundlagen Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit c (gesetzliche Verpflichtungen nach der BAO und dem UGB), lit f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen LfdNr 1 - Mitglieder Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art Weitergabe 1 MKV (Kartellgericht) 2 Gerichte im Anlassfall 3 Rechtsvertreter im Anlassfall 1 30 Jahre 1 - Die betroffene Person 1 - Mitglied(er) 0 - Pflichtfeld (dauerhaft) 1 - Wunsch 2 - Austritt 3 - Tod Drittempfängerland Betroffene Datenkategorien Empfänger Speicherung Datenherkunft Zugriffsberechtigte Personen(gruppen) Löschfrist 1 1 Name (Vorname, Nachname, Titel) nein , Anrede / Geschlecht nein , Privatadresse (Anschrift) nein , Telefonnummer / Fax (privat, beruflich, mobil) nein , Mailadresse nein , Geburtsdatum nein , Sterbedatum nein , MKV-Vita (Reception-, Branderung-, Burschung-, Philistrierungs-, Austrittdatum) nein , Verbindungszugehörigkeit nein , Mitgliedsstatus /Fuchs, Bursch, etc) nein , 2 ZVR-Zahl: Seite 25 / 27

26 11 1 Verwaltungsstatus (lebend, verstorben, ausgeschieden, Sonstige (zb Nicht- Mitglieder) nein , Geburtsort nein , Staatsbürgerschaft nein , Beruf nein , Stelle (Beruf) nein , Tätigkeit (Beruf) nein , Status (Beruf) nein , Branche (Beruf) nein , Berufsbezeichnung nein , Berufsadresse / Arbeitgeber nein , Couleurname nein , Schule nein , Maturadatum nein , Chargen / Funktionen (inkl Perioden) nein , Ehrungen nein , Sub-Mitgliedschaften (Verbindungen, Ortsverbände, Altherrenlandesbünde, Zirkel, Mitgliedschaften in anderen Verbänden) von Betroffenen bekanntgegebene Interessen und Spezialgebiete nein nein , Fotos nein , Verbindungsgerichtsakt nein Mitgliedbeiträge nein Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Banken Rechtsvertreter im Geschäftsfall Gerichte im Anlassfall MKV (Kartellgericht) Internationale Organisation (Angabe der intern. Organisation) Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt: Es erfolgt Übermittlung von Daten an Drittstaaten. Erfüllung der gesetzlichen Verpflichtung der Möglichkeit eines Schlichtungsverfahrens gem 8 Vereinsgesetz 2002 Daten aus 3.a. (Lfd. Nr.) 1-30 ZVR-Zahl: Seite 26 / 27

27 D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen a. Vertraulichkeit: i. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen (Schlüssel bzw. digitales Schließsystem); ii. Zugangskontrolle: Schutz vor unbefugter Systembenutzung (Kennwörter, automatische Sperrmechanismen, Passwortrichtlinie (geplant), Anzahl der Administratoren auf die notwendige Mindestzahl beschränkt); iii. Zugriffskontrolle: Zugriff nur für Vorstandsmitglieder; physische Löschung von Datenträgern vor der Wiederverwendung; b. Integrität: i. Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport (Verschlüsselung der Übertragungswege) ii. Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Protokollierung, Dokumentenmanagement) c. Verfügbarkeit und Belastbarkeit: i. Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust (Backup-Strategie, Virenschutz, Firewall); Unterbrechungsfreie Stromversorgung in wichtigen Bereichen d. Pseudonymisierung und Verschlüsselung: i. Verschlüsselung: sofern für die jeweilige Datenverarbeitung möglich, werden folgende Verschlüsselungstechnologien eingesetzt: https/ssl ZVR-Zahl: Seite 27 / 27