Die EU-DSGVO in der Unternehmens-Praxis

Transkript

1 Die EU-DSGVO in der Unternehmens-Praxis Branchenkonzept Metalltechnik Mechatronik Fahrzeugtechnik Elektrotechnik (mit Zusatz für Alarmanlagentechnik) Gastechnik Sanitärtechnik Sprachdienstleister Hände sind das beste Werkzeug UNSER GEWERBE UND HANDWERK

2 Am 25. Mai 2018 tritt die EU-DSGVO in Kraft. Kein Grund, die Nerven zu verlieren. Aber der vielleicht beste Anlass, die Digitale Transformation Ihres Unternehmens gerade jetzt konkret und rechtssicher weiterzuentwickeln. Auf ein Wort* Was bedeutet was? * Sämtliche Begriffsbestimmungen im Gesetzeswortlaut finden Sie auch unter Art. 4 der EU-DSGVO. Diese EU-Verordnung betrifft buchstäblich jedes Unternehmen. Und um Strafen zu vermeiden, müssen Sie sie bis zum 25. Mai 2018 auch in Ihrem Betrieb umgesetzt haben. Deshalb haben wir in enger Kooperation mit dem Rechtsanwalt und DSGVO-Experten Mag. Philipp Summereder die wichtigsten Informationen für die Praxis zusammengefasst. Die DSGVO ist keine bürokratische Hürde, sondern ein großer und wichtiger Schritt für den rechtsrichtigen und sicheren Umgang mit Daten. Die fast täglich erscheinenden Medienberichte über den missbräuchlichen Umgang mit Daten sollten uns nicht nur zu denken geben: Sie sollten uns in unserer unternehmerischen Verantwortung aufrütteln! Es ist nämlich enorm wichtig zu wissen, wie wir die Daten unserer Kunden und Partner in unserer Firma gesichert haben und ob es definierte und verbindliche Verfahren gibt, wie das zu geschehen hat. Vor allem in Unternehmen mit mehreren Mitarbeitern wird es schnell unübersichtlich : Wer speichert welche Daten wo? Wer darf wann und wie auf welche Daten zugreifen? Wann sind bestimmte Daten fristgerecht zu löschen? Ein verantwortungsbewusstes Datenmanagement betrifft aber nicht nur Unternehmen, sondern ist auch für jeden von uns persönlich von enormer Bedeutung. Wir alle legen doch mit Recht großen Wert darauf, dass unsere privaten Daten nicht in obskuren Servern versickern und ohne unsere ausdrückliche Zustimmung gespeichert, verwendet, verknüpft oder sogar weitergeben werden. Natürlich liegt der Großteil der Umsetzung der DSGVO bei Ihnen und Ihren Mitarbeitern im Betrieb. Als Ihre Branchenvertretung und als Sparte Gewerbe und Handwerk geben wir Ihnen gern das Rüstzeug für das Erfüllen dieser neuen gesetzlichen Herausforderung. Machen wir aus einer aktuellen Notwendigkeit eine Chance für die Zukunft. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies bedeutet, dass neben Namen und Adressdaten auch etwa GPS-Daten, Benutzerkennzeichen (Login Daten), Fotos oder Fingerabdrücke als personenbezogen gelten. Verarbeitung bezeichnet j e d e n Vorgang im Umgang mit Daten: Das Erheben, das Erfassen, das Organisieren, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens, den Abgleich oder das Verknüpfen, das Einschränken, Löschen oder Vernichten. Dabei ist wesentlich, dass sowohl das physische als auch das digitale Verarbeiten gemeint sind. So gelten auch das Anlegen von (physischen) Ordnern oder das Archivieren alter Daten im Keller als Verarbeitungsvorgänge, die von der EU-DSGVO umfasst sind. Verantwortlicher ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche unterscheidet sich vom Auftragsverarbeiter dadurch, dass er selbst über die Art, den Umfang, die Umstände und den Zweck der Verarbeitung der Daten entscheidet, während der Auftragsverarbeiter Daten grundsätzlich nur auf Weisung des Verantwortlichen verarbeitet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet: z.b. IT-Unternehmen, die Mailingsysteme, Serverleistung oder vergleichbare Dienstleistungen erbringen. Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der gegenüber personenbezogene Daten offengelegt werden. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger. Empfänger sind somit all jene Personen oder Einrichtungen, denen Daten tatsächlich übersandt werden; es sind aber auch solche, denen beispielsweise im Rahmen von Fernwartung oder eines Zugriffsberechtigungsmanagements Einsicht in Daten ermöglicht wird. KommR Leo Jindrak Spartenobmann Mag. Heinrich Mayr, MBA Spartengeschäftsführer Daten sind das Öl des 21. Jahrhunderts. Seite 02 / 03

3 Was ist konkret zu tun? Schritt für Schritt vorzugehen, ist im Umgang mit Daten das beste Programm. Schritt 1 und 2 Nehmen Sie sich die Zeit, die Prozesse in Ihrem Unternehmen zu durchleuchten, im Zuge derer Daten verarbeitet werden. Evaluierung der Ist-Situation und Überprüfung der Dokumente Die Datenschutzgrundverordnung lässt sich nicht eine starre Form gießen und lässt sich auch nicht pauschal umsetzen. Sie betrifft jedes Unternehmen individuell. Deshalb ist es zunächst einmal die wesentlichste Aufgabe eines Unternehmens, die tatsächliche Ist-Situation der Datenverarbeitung im Unternehmen zu erfassen. Sie können keine allgemein gültigen Lösungen verwenden, sondern müssen sich aktiv mit den Daten auseinandersetzen. Die gute Nachricht: Wenn Sie diesen Prozess einmal konsequent durchgedacht haben, können Sie alle Herausforderungen der DSGVO ganz einfach abbilden. Prüfen Sie die in Ihrem Unternehmen vorhandenen Dokumente, Arbeitsverträge und sonstige Muster dahingehend, ob Hinweise auf den Datenschutz vorhanden sind. Wenn Sie das genau prüfen, werden Ihnen alle nachfolgenden Schritte mit Sicherheit leichtfallen. Schritt 3 Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten erstellen und dann anhand einfacher Vertragsmuster Punkt für Punkt weiterarbeiten. Wenn Sie das Verzeichnis der Verarbeitungstätigkeiten vollständig erfasst und die Prozesse in Ihrem Unternehmen evaluiert haben, können Sie die nächsten Schritte anhand einfacher Vertragsmuster Schritt für Schritt umsetzen. Evaluieren Sie, wer für Ihr Unternehmen als Auftragsverarbeiter tätig ist, und schließen Sie mit diesem Unternehmen eine Vereinbarung, nach Artikel 28 ab bzw. stellen Sie anderweitig sicher, dass die Daten beim Auftragsverarbeiter datenschutzkonform verarbeitet werden. Organisieren Sie Prozesse in Ihrem Unternehmen, wie Sie auf Anfragen oder sonstige Begehren von Betroffenen eingehen, indem Sie zuständige Mitarbeiter bestimmen, klare Prozesse vorgeben und in weiterer Folge für allfällige Anfragen gewappnet sind. Dasselbe gilt für die Einführung eines Prozesses für eine sogenannte Data Breach Notification, einen Fehler im Umgang mit Daten in Ihrem Unternehmen. In diesem Fall müssen Sie schnell und umfassend reagieren können. Schritt 4 Gibt es in Ihrem Unternehmen ein Datenbewusstsein? Die im Zuge der Evaluierung erfassten technischen und organisatorischen Maßnahmen für den Datenschutz, vertragen vielleicht eine kleine Auffrischung. Prüfen Sie, ob Sie entsprechende Policies für Ihre Mitarbeiter im Umgang mit Passwörtern, der IT oder dem Datenschutz bereits erstellt haben bzw. ob die technische Infrastruktur dem Stand der Technik genügt. Stellen Sie eine Dokumentation der von in Ihrem Betrieb durchgeführten Maßnahmen her, um allenfalls auf entsprechende Anfragen reagieren zu können. Schritt 5 Erst jetzt ran an die Dokumente. Aktualisieren Sie die in Ihrem Unternehmen verwendeten Dokumente. Im Hinblick auf die Erfordernisse der EU-DSGVO ist eine Überprüfung der Arbeitsverträge Ihrer Mitarbeiter im Hinblick auf die Verpflichtung in den 96 und 96a ARBVG und/ oder 10 AFRAG ganz besonders wichtig. Diese Dokumente sollten Vorrang haben. Sie haben hier immer dann einen besonderen Handlungsbedarf, wenn Sie in Ihrem Unternehmen technische Systeme einsetzen, die das Verhalten der Arbeitnehmer am Arbeitsplatz erfassen. Auch die sonstigen von Ihnen verwendeten Dokumentenmuster wie allgemeine Geschäftsbedingungen, Angebot und Auftragsbestätigungsformulare, können im Zuge der Datenschutzgrundverordnung wieder einmal auf Aktualität geprüft werden. Schritt 6 Vergessen Sie nicht auf das Wesentlichste! Ihre Mitarbeiter sind diejenigen, die im Unternehmen mit dem Datenschutz tatsächlich Tag für Tag leben müssen. Sie brauchen die entsprechenden Informationen, wie mit Daten rechtsrichtig umgegangen werden muss. Als Unternehmer müssen Sie als Vorbild vorangehen, dürfen aber bei Ihren Mitarbeitern nicht zu viel voraussetzen. Sie müssen Ihre Mitarbeiter schulen und ihr Bewusstsein für die Bedeutung des Datenschutzes steigern. Wenn Sie diese Punkte Schritt für Schritt umgesetzt haben, sind Sie als KMU in der Regel mit den wesentlichsten Punkten der Datenschutzgrundverordnung vertraut. Weitergehende Herausforderungen wie beispielsweise der Datentransfer in Drittländer oder mit verbundenen Unternehmen sollten Sie gemeinsam mit einem Berater angehen, der Ihnen hier kompetente und gezielte Hilfestellungen bieten kann. Daten sind das Öl des 21. Jahrhunderts. Seite 04 / 05

4 Machen wir die DSGVO nicht komplizierter als sie ist: Hausverstand, Systematik und Konsequenz bringen Sie sicher ans Ziel. Für den Fall der Fälle: Betroffenenrechte/ Anfrage an Ihr Unternehmen 1 BESCHLUSS ZUR UMSETZUNG 2 PROJEKTTEAM NOMINIEREN 3 ASSESSMENT DURCHFÜHREN 4 VERARBEITUNGS- TÄTIGKEITEN ERFASSEN 5 MASSNAHMEN ERGREIFEN KUNDE ANFRAGE KONTROLLE OB IDENTITÄTSNACHWEIS ERFOLGT IST JEWEILIGE VORLAGE 3.1 EVALUIERUNG DER IST-SITUATION 4.1 VERARBEITUNGSVER- ZEICHNIS ERSTELLEN 5.1 ART. 28 VEREINBARUN- GEN ABSCHLIESSEN BERECHTIGT? NEIN DOKUMENTATION INFO AN DEN ANTRAGSTELLER ARCHIVIERUNG 3.2 POLICIES UND DOKUMENTE 4.2 RECHTSGRUNDLAGEN PRÜFEN 5.2 TECHNISCHE UND ORGANISATORISCHE PROZESSE ANLEGEN JA 5.3 DATA BREACH NOTIFICATION PROZESS DEFINIEREN KLASSIFIZIERUNG DER ANFRAGE 5.4 PROZESSE FÜR INFOR- MATIONSPFLICHT UND BETROFFENENRECHTE IMPLEMENTIEREN (SIEHE INFO-GRAFIK AUF SEITE 7) DATEN FÜR AUSKUNFT ERHEBEN BERICHTIGUNG DURCHFÜHRUNG LÖSCHUNG DURCHFÜHREN SOWEIT BERECHTIGT ÜBERTRAGUNG 6 DOKUMENTE AKTUALISIEREN 7 BEWUSSTSEINS- SCHULUNG DER MITARBEITER/-INNEN 8 PROJEKT ABSCHLIESSEN GEFORDERTE AKTION ÜBERPRÜFEN ABSCHLIESSEN UND DOKUMENTIEREN AKTUALISIERTE PBD ARCHIVIERUNG ANTRAGSTELLER INFORMIEREN Daten sind das Öl des 21. Jahrhunderts. Seite 06 / 07

5 Schritt für Schritt zum vollständigen Verzeichnis der Verarbeitungstätigkeiten eines Verantwortlichen Die vorliegende Information soll dazu dienen, Ihnen die Befüllung des Verzeichnisses der Verarbeitungstätigkeiten zu erleichtern, kann allerdings den prüfenden Blick eines Experten nicht ersetzen. Nachdem die in Ihrer Organisation vorhandenen Verarbeitungstätigkeiten erfasst wurden, ist daher eine gemeinsame Erörterung und Finalisierung mit einem Berater anzuraten. a Welche Verarbeitungstätigkeiten werden in Ihrem Unternehmen erbracht? Erheben Sie, welche Verarbeitungstätigkeiten Sie im Betrieb durchführen; orientieren Sie sich dabei an den Prozessen in den verschiedenen Betriebsabteilungen. Erkennen Sie den Unterschied zwischen Verarbeitungstätigkeit und Applikation (Software, Programme ). b Was ist der Zweck der Verarbeitung? Zur Erfüllung welcher Aufgabe(n) werden die Daten verarbeitet? Die Standard- und Musterverordnung 2004 gibt zahlreiche Verarbeitungstätigkeiten vor und beschreibt deren Zweck, sodass sie bei der Formulierung anderer Verarbeitungstätigkeiten als Grundlage herangezogen werden kann. c Wer ist ein Betroffener? Die Kategorien betroffener Personen stellt eine allgemeine Beschreibung jener Personengruppen dar, deren Daten verarbeitet werden. Man findet eine geeignete Überbezeichnung anhand jener Merkmale, die die Mitglieder dieser Gruppe verbindet: Während Bürger oder Verbraucher zu weit gefasst ist, sind Bezeichnungen wie Bewerber, Kontaktpersonen, Interessierte, Kunden usw. geeignete Kategorien. d Wie ist die Verarbeitung dieser Daten gerechtfertigt? Die entsprechenden Bedingungen sind in Art. 6 EU-DSGVO geregelt. Wählen Sie den für Ihre Verarbeitung passenden Rechtfertigungsgrund aus und tragen Sie ihn in das Verzeichnis ein: Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Die Verarbeitung ist für das Erfüllen eines Vertrags erforderlich, dessen eine Vertragspartei die betroffene Person ist; oder die Verarbeitung ist für das Durchführen vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. e Prüfen Sie, welche Kategorien personenbezogener Daten verarbeitet werden. Als personenbezogene Daten sind alle Informationen zu verstehen, die Sie über bestimmte Betroffene verarbeiten. Dazu ist es hilfreich, die zur Verarbeitung herangezogenen Applikationen (wie beispielsweise die Buchhaltungssoftware, Kommunikationsprogramme oder Excel-Dateien) danach zu durchforsten, welche Informationen zu bestimmten Personen gespeichert werden. Denken Sie dabei aber auch an jene Informationen, die ohne Ihr Zutun systembedingt erfasst werden und einer bestimmten Person zugerechnet werden können: das können Logfiles, Zeitstempel oder ähnliches sein. Einen Anhaltspunkt für die Erfassung dieser Kategorien kann wiederum die Standardund Musterverordnung 2004 bieten, die in verschiedenen Beispielverarbeitungstätigkeiten zahlreiche Kategorien anführt. Prüfen Sie unbedingt, ob Sie besondere Kategorien von personenbezogenen Daten (sensible Daten) verarbeiten! Besondere Kategorien sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Außerdem: genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person. f Welche Empfänger-Kategorien (können) die personenbezogenen Daten erhalten? Überlegen Sie, welche Institutionen / Unternehmen / Kooperationspartner oder sonstige Dritte Daten erhalten können - und behalten Sie dabei im Blick, dass auch die Gewährung einer Einsicht dazu führt, dass jemand Daten empfängt. Auch hier bietet sich an, die verschiedenen Empfänger der Standard- und Musterverordnung zu prüfen und allenfalls zu ergänzen. g Bitte erfassen Sie, ob eine Übermittlung von personenbezogenen Daten in ein Drittland erfolgt und wenn ja, in welche Länder. In einem ersten Schritt sind nur die einzelnen Länder, also Empfängerländer außerhalb der Europäischen Union, anzugeben. In einem zweiten Schritt ist zu prüfen, wie die sichere Datenverarbeitung im Drittland durch geeignete Garantien gem. Art 44ff EU-DSGVO sichergestellt werden kann. h Fristen für die Löschung: Personenbezogene Daten dürfen nur aufbewahrt werden, solange eine Grundlage (siehe Punkt d) dafür besteht; danach müssen sie gelöscht werden. In diesem Feld sind jene Kriterien anzugeben, nach denen sich die Fristen für die Aufbewahrung richten. Im Idealfall sollten, sofern möglich, konkrete Angaben zur Speicherdauer gemacht werden; dies unterstützt Sie auch dabei, eine Löschroutine im Betrieb zu entwickeln. i Technische / organisatorische Maßnahmen: diesem Zusammenhang ist anzugeben, wie die verarbeiteten Daten durch technische und organisatorische Maßnahmen gemäß Art. 32 EU-DSGVO geschützt werden. Es ist sinnvoll, diese Angaben für sämtliche Verarbeitungstätigkeiten oder Gruppen von Verarbeitungstätigkeiten zu vereinheitlichen. Dieses Feld sollte also befüllen, wer in einer Organisation (Unternehmen / Gebietskörperschaft) für die Implementierung und Aufrechterhaltung dieser technischen und organisatorischen Maßnahmen zuständig ist. Dies können sein: Vertraulichkeitsmaßnahme (Zugriff und Bearbeitung nur für Berechtigte im Pw); Verfügbarkeit: Technische Absicherung; Datensicherungskonzept: Wiederherstellbarkeit... j Verwendete Applikation(en): Es ist gesetzlich nicht erforderlich, die zur Verarbeitung der Daten herangezogenen Applikationen (Software, Programme, ) anzugeben. Es ist aber für weitere Aufgaben im Zusammenhang mit der EU-DSGVO hilfreich. Dadurch gewinnen Sie nämlich einen Überblick darüber, wo überall nach Kategorien personenbezogener Daten oder Empfängerkategorien gesucht werden kann; außerdem werden dadurch in weiterer Folge Prozesse bei der Beantwortung von Anfragen Betroffener oder bei der Einrichtung einer Löschroutine erleichtert. k Abschluss Nach dem Vorliegen eines vollständigen Verzeichnisses der Verarbeitungstätigkeiten können Sie anhand der Ihrer Erhebungen prüfen: ob eine Datenschutzfolgeabschätzung für bestimmte Tätigkeiten erforderlich ist, ob Sie einen Datenschutzbeauftragten bestellen sollten oder ob gegebenenfalls bei den technischen oder organisatorischen Maßnahmen noch nachgeschärft werden muss. Daten sind das Öl des 21. Jahrhunderts. Seite 08 / 09

6 Die Beschreibung einer Verarbeitungstätigkeit am Beispiel Bewerbungsmanagement a Verarbeitungstätigkeit Bewerbungsmanagement e Was speichern wir? Kontaktdaten, Daten zum Werdegang, Ausbildungsdaten i Technisch-organisatorische Maßnahmen Gewährleistung eines angemessenen Schutzniveaus für Daten durch z.b. Verschlüsselung personenbezogener Daten, regelmäßige Überprüfung der Sicherheit der Verarbeitung und sonstige organisatorische Maßnahmen gemäß Art. 32 DSGVO b Zweck Verwendung und Evidenzhaltung von personenbezogenen Daten von Bewerbern einschließlich aller dabei erstellten und archivierten Dokumente. f Welche Empfänger-Kategorien sind (z.b.) davon berührt? IT-Dienstleister, die Software zur Verfügung stellen, Cloud-Anbieter, Rechtsanwalt, AMS, Förderstellen Wer davon ist Auftragsverarbeiter? j Verwendete Applikationen Papierform, Mailprogramme, sonstige Software. Die Auflistung der verwendeten Applikationen erleichtert die Suche nach dem Speicherort verarbeiteter personenbezogener Daten c Betroffene Bewerber und seine Vertreter sowie Ansprechpartner bei AMS, Förderstellen oder sonstigen Institutionen g Drittländer? Findet ein Transfer in Drittländer wie z.b. USA oder Japan statt? In diesem Fall nein. d Rechtfertigung Vertragsanbahnung, beziehungsweise berechtigtes Interesse h Fristen für Löschung Wie lange speichern wir die personenbezogenen Daten? Während des Bewerbungsprozesses (Vertragsanbahnung) und 6 Monate darüber hinaus (Berechtigtes Interesse). DATENSCHUTZ- FOLGEABSCHÄTZUNG? EIGENEN DATEN- SCHUTZBEAUFTRAGTEN INSTALLIEREN? VERBESSERUNG DER TECHNISCHEN UND ORGANISATORISCHEN GEGEBENHEITEN SOFTWARE ABC UND DEF PAPIERFORM MAILPROGRAMME SONSTIGE APPLIKATIONEN LISTE DER IM BETRIEB VORHANDENEN MASSNAHMEN NACH ART. 32 DSGVO 6 MONATE K. ABSCHLUSS J. VERWENDETE APPLIKATIONEN I. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN H. FRISTEN DER LÖSCHUNG A. VERARBEITUNGSTÄTIGKEIT: BEWERBUNGSMANAGEMENT B. ZWECK C. WER IST DER BETROFFENE? D. RECHTFERTIGUNG FÜR DIE VERARBEITUNG E. WELCHE KATEGORIEN PERSONENBEZOGENER DATEN WERDEN BERÜHRT? WAS SPEICHERN WIR? F. WELCHE EMPFÄNGER- KATEGORIEN KÖNNEN DIE PERSONEN- BEZOGENEN DATEN ERHALTEN? VERWENDUNG UND EVIDENZHALTUNG VON PERSONENBEZOGENEN DATEN VON BEWER- BERN EINSCHLIESSLICH DER DABEI ERSTELLTEN UND ARCHIVIERTEN DOKUMENTE BEWERBER ANSPRECH- PARTNER BEI VERTRAGS- ANBAHNUNG KONTAKTDATEN WERDEGANG AUSBILDUNGSDATEN CLOUD-ANBIETER IT-DIENSTLEISTER, DIE SOFTWARE ZUR VERFÜGUNG STELLEN RECHTSANWALT AMS AMS FÖRDERSTELLEN SONSTIGE INSTITUTIONEN BERECHTIGTES INTERESSE AUFTRAGS- VERARBEITER: JA AUFTRAGS- VERARBEITER: JA FÖRDERSTELLEN G. JE EMPFÄNGER DRITTLANDSTRANSFER PRÜFEN WEITERE EMPFÄNGER Daten sind das Öl des 21. Jahrhunderts. Seite 10 / 11

7 Weitere Informationen zur DSGVO, Videos und Beratungsangebot: wko.at/datenschutz Sparte Gewerbe und Handwerk WKO Oberösterreich Hessenplatz Linz T +43(0) F +43(0) E gewerbe@wkooe.at W W facebook.com/wkooe