Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) (Michael Kolar) Inhalt. A. Stammdatenblatt: Allgemeine Angaben

Ähnliche Dokumente
Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) INHALT

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Datenschutzmanagement nach der DSGVO. Unternehmen

Firmendaten Name der Firma: Straße: Ort: PLZ: Leiter der Datenverarbeitung (IT Leitung):

C. Detailangaben zu Rechnungswesen und Logistik

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)

DATENVERARBEITUNGSVERZEICHNIS. nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) 'UmweltBildungAustria Grüne Insel' Stefan Bouska

Verzeichnis von Verarbeitungstätigkeiten Name des Verfahrens: Rechnungswesen. 1. Angaben zum Verantwortlichen Verantwortlicher im eigenen Unternehmen

Datenschutzerklärung Stand:

C. Detailangaben zu Führerscheinregister

Datenschutzerklärung

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Art. 30 DS-GVO)

Information zur Verarbeitung personenbezogener Daten

DATENSCHUTZERKLÄRUNG

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Datenschutzerklärung Abonnenten / Interessenten / Gewinnspielteilnehmer

Kundenverwaltung, Rechnungswesen, Logistik und Buchführung

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Stand

GTWimmer e.u. Grund und Trinkwassertechnik Sven Michel Wimmer, Brunnenmeisterbetrieb, Mühlbachstraße 51, 4073 Wilhering GISA-Zahl:

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU- Datenschutz-Grundverordnung Verantwortlicher

DATENSCHUTZHINWEISE nach DS-GVO

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) EAE-Stöckl GesmbH

EU-DATENSCHUTZ-GRUNDVERORDNUNG. Vereinbarung. Auftragsverarbeitung nach Art 28 DSGVO

DSGVO: Datenschutzerklärung

Verzeichnis von Verarbeitungstätigkeiten

Datenschutz-Grundverordnung (DSGVO)

Datenschutzerklärung

DATENSCHUTZERKLÄRUNG DATENSCHUTZINFORMATION FÜR EIGENTÜMER

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen gemäß Art. 30 Abs. 1 DSGVO

DATENSCHUTZERKLÄRUNG / INFORMATIONSVERPFLICHTUNG

Verarbeitungsverzeichnis für BerufsfotografInnen

DATENSCHUTZERKLÄRUNG / INFORMATIONSVERPFLICHTUNG

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

ALLGEMEINE DATENSCHUTZERKLÄRUNG

Dokumentation der Verarbeitungstätigkeit

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Informationsoffensive Workshop Datenschutz neu Version 3/2018

Datenschutzerklärung

DATENSCHUTZINFORMATION FÜR BETROFFENE PERSONEN

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Neues Datenschutzrecht umsetzen Stichtag

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Wer ist für die Datenverarbeitung verantwortlich und wer ist Ihr Datenschutzbeauftragter?

Technisch-organisatorische Maßnahmen

Datenschutzinformation für Betroffene

Newsletter EU-Datenschutz- Grundverordnung Nr. 13 Datenschutz für Existenzgründer

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

1. Zwecke der Datenverarbeitung

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Datenschutz-Information für betreffende Personen gem. Art. 13 und Art. 14 DSGVO

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person - Art. 13 DSGVO

Datenschutz. Unter den betroffene[n] Person[en] sind die genannten Besucher, Nutzer, Interessenten, Kunden bzw. Versicherungsnehmer zu verstehen.

DATENSCHUTZINFORMATION FÜR BETROFFENE PERSONEN

2. Datenverarbeitung für die Mitglieder- und Vereinsverwaltung, einschließlich Beschwerdemanagement

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNGSVERTRAG NACH ART 28 DSGVO

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Die Datenschutzgruppe

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO)

ETS Egger GmbH Vertreten durch Gerald Bacher, GF Trautenfelserstraße Irdning-Donnersbachtal. Mobil

DATENSCHUTZERKLÄRUNG

KUNDEN, LIEFERANTEN, GESCHÄFTSPARTNER

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Mit uns meinen wir den unter Punkt 1 angeführten Verantwortlichen.

Harter Brexit und PrivacyShield Neues zur Übermittlung in Drittstaaten

8.) Datenschutzerklärung Der BMÖ verarbeitet Ihre personenbezogenen Daten, die unter folgende Datenkategorien fallen:

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Newsletter EU-Datenschutz-Grundverordnung Nr. 12

Datenschutz-Konzept-Vorlage für Katharina Münz

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Verzeichnis der Verarbeitungstätigkeiten

DATENSCHUTZERKLÄRUNG / INFORMATIONSVERPFLICHTUNG

Datenschutz- Grundverordnung 2016/679 DS-GVO

Auftragsverarbeitervereinbarung

Zu welchem Zweck verarbeiten wir personenbezogene Daten und auf welcher rechtlichen Grundlage?

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

IBAN: DE BIC: BYLADEM1WEN

Wir führen folgende Verarbeitungsvorgänge durch, die für Sie als Kunde, Interessent, Auftraggeber, Lieferant und Website-Besucher wesentlich sind.

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Datenschutz für ÖBUVs. 07. November 2018

Transkript:

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) (Michael Kolar) STAND: 15.05.2018 Inhalt A. Stammdatenblatt: Allgemeine Angaben B. Datenverarbeitungen/Datenverarbeitungszwecke C. Detailangaben zu den einzelnen Datenverarbeitungszwecken D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

A. Stammdatenblatt Name und Kontaktdaten des für die Verarbeitung Verantwortlichen a. Name und Anschrift: Michael Kolar Hertha-Firnberg-Straße 10/2 1100 Wien b. E-Mail-Adresse: Email: michael.kolar@allfinag.com c. Name des Datenschutzkoordinator: Michael Kolar d. Name und Kontaktdaten des Vertreters des Verantwortlichen: Gregor Zamberger Hertha-Firnberg-Straße 10/2 1100 Wien Email: gregor.zamberger@allfinag.com

B. Datenverarbeitungen / Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung: 1. Versicherungsvermittlung und -betreuung: Verarbeitung und Übermittlung von Daten im Rahmen von Risiko- und Kundenbedarfsanalyse, Vermittlung von Versicherungsverträgen, Schadenbetreuung 2. Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zb Korrespondenzen oder Verträge) in diesen Angelegenheiten 3. Marketing: Marketingmaßnahmen zur Kundenbindung. Regelmäßiger Newsletter, Grußkartenservice zu festlichen Anlässen 4. Personalverwaltung: Mitarbeiterverwaltung, Lohnverrechnung 2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Ja ( ) Nein (X) Wenn Ja, wann? Wenn Nein, aus welchem Grund nicht? Verarbeitungstätigkeit, die eine Folgeabschätzung erzwingen: Automatisierte Analyse und Bewertung persönlicher Aspekte von Personen Verarbeitung von Daten mit strafrechtlichem Bezug (in erhöhtem Umfang) Umfangreiche Verarbeitung Daten besonderer Kategorie Überwachung von öffentlichen Bereichen (Videokameras, ) Findet statt? NEIN NEIN NEIN NEIN

C. Detailangaben zu: 1. Versicherungsvermittlung und - betreuung 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen (zb Kunden, Mitarbeiter, Lieferanten usw.) 1 Kunden - Versicherungsnehmer 2 Versicherte Personen bei Personenversicherungen 3 Versicherungsgesellschaften - Vorversicherer 4 Leasinggesellschaften 5 Bankinstitute 6 Mitarbeiter des Verantwortlichen 2. Rechtsgrundlagen ( x ) Art 6 Abs 1 lit a DSGVO: Einwilligung des Betroffenen ( x ) Art 6 Abs 1 lit b DSGVO: Vertragserfüllung ( x ) Art 6 Abs 1 lit c DSGVO: Gesetzl. Verpflichtung 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind freiwillig abgelegt: Vertrag, Vollmacht, Datenschutzerklärung sowie im Anlassfall Einwilligungserklärungen im digitalen Kundenordner des MVP von ARISECUR abgelegt. 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden Kategorien der Betroffenen* Lfd. Nr. Datenkategorien Besondere Datenkategorien** Mitwirkende Vertragspartner Versicherungsgesellschaften Sachverständige im Anlassfall Zulassungsstellen im Anlassfall Leasinggesellschaften im Anlassfall

1 1 Name, Firma oder sonstige Geschäftsbezeichnung Nein x x x x x 2 Anschrift Nein x x x x x 3 Geburtsdatum gegebenenfalls Nein x x x x 4 Beruf Nein x x x x 5 Nationalität gegebenenfalls Nein x x 6 Kontaktdaten (Tel., Mail, Fax) Nein x x x x 7 Name der Kontaktperson - bei Firmenkunden Nein x x x x 8 Kontaktdaten der Kontaktperson (Tel., Mail, Fax) bei Firmenkunden Nein x x x x 9 Bankverbindungsdaten Nein x x x 10 Polizzennummern von Vorversicherungen Nein x x 11 Historische sachbezogene Schadensinformationen Nein x x 12 Vertragstexte und Geschäftskorrespondenzen Nein x x 2 13 Name Nein x x 14 Anschrift gegebenenfalls Nein x x 15 Geburtsdatum Nein x x 16 Gesundheitsdaten je nach Anfrage des Versicherungsunternehmen 17 Historische personenbezogene Schadensinformationen JA x x JA 3 18 Firmenname Nein x x 4 19 Firmenname Nein x x x x x 20 Anschrift Nein x x x x x 21 Vertragsnummer Nein x x x x x 5 22 Firmenname Nein x x x x x 23 Anschrift Nein x x x x x 24 Vertragsnummer Nein x x x x x 6 25 Name Nein x x x x x 26 Kontaktdaten (Tel., Mail, Fax) Nein x x x x x * Kategorien der betroffenen Personen-gruppe aus Punkt 1 des C-Blattes ** Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO b. Löschungs- und Aufbewahrungsfristen Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1 26 Aufgrund gesetzlicher Verjährungsfristen für die Geltendmachung von Schadenersatzansprüchen 3 oder bis zu 30 Jahre

5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Versicherungsgesellschaften Sachverständige im Anlassfall Zulassungsstellen im Anlassfall Leasinggesellschaften Mitwirkende Vertragspartner: ARISECUR Versicherungs-Provider GmbH Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Teilweise in USA und andere Länder, in den Google LLC Rechenzentren betreibt Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt): Für Vertragspartner ARISECUR Versicherungs-Provider GmbH: Das angemessene Datenschutzniveau ergibt sich aus Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO.

C. Detailangaben zu: 2. Rechnungswesen und Geschäftsabwicklung 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen 1 Kunden und Lieferanten inkl. Kontaktpersonen beim Kunden und Lieferanten 2 Sachbearbeiter beim Verantwortlichen 3 An der Geschäftsabwicklung mitwirkende Dritte inkl. Kontaktpersonen bei den Dritten 2. Rechtsgrundlagen ( X ) Art 6 Abs 1 lit b DSGVO: Vertragserfüllung ( X ) Art 6 Abs 1 lit c DSGVO: Gesetzl. Verpflichtung nach der BAO und dem UGB ( X ) Art 6 Abs 1 lit f DSGVO: berechtigte Interessen des Verantwortlichen ( X ) Art 6 Abs 1 lit a DSGVO: Einwilligung des Betroffenen 132 BAO 190, 212 UGB 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind freiwillig abgelegt: Unterlagen zu aufrechten Geschäftsabwicklungen in der Verkaufsabteilung, Rechnungen (auch) in der Finanzabteilung, erledigte Geschäftsfälle im Archiv. Verträge mit Auftragsverarbeitern sind, je nach Thematik, in der Rechtsabteilung, Finanzabteilung, Vertriebsabteilung oder IT-Abteilung abgelegt. 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden

Kategorien der Betroffenen* Lfd. Nr. Datenkategorien Besondere Datenkategorien** Banken Rechtsvertreter im Geschäftsfall Wirtschaftstreuhänder Gerichte im Anlassfall Verwaltungsbehörden im Anlassfall Inkassounternehmen im Anlassfall Mitwirkende Vertragspartner Fremdfinanzierer IT-Dienstleister 1 Name, Firma oder sonstige Geschäftsbezeichnung Nein x x x x x x x x x 2 Anschrift Nein x x x x x x x x x 3 Kontaktdaten (Tel., Mail,Fax) Nein x x x x x x x x x 1 Kunden & Lieferanten 4 Firmenbuchdaten Nein x x x x x x x x x 5 Daten zur Bonität inkl. Mahn- und Nein x x Klagsdaten 6 Bankverbindungen Nein x x x x x x x x 7 Kreditkartennummern und - Nein x x x x unternehmen 8 UID-Nummer Nein x x x x x x x x 2 Sachbearbeiter 3 Mitwirkende Dritte 9 Namen der Kontaktpersonen Nein x x x x x x x x x 10 Kontaktdaten der Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) Nein x x x x x x x x x 11 Vertragstexte und Geschäftskorrespondenzen Nein x x x x x x x 12 Name Nein x x x x x x x x x 13 Funktion des betroffenen Sachbearbeiters beim Nein x x x x x x x x x Verantwortlichen 14 Vom betroffenen Sachbearbeiter bearbeitete Fälle Nein x x x x x x x x x 15 Umfang der Vertretungsbefugnis Nein x x x x x x x x x 16 Name, Firma oder sonstige Geschäftsbezeichnung Nein x x x x x x x x x 17 Anschrift Nein x x x x x x x x x 18 Kontaktdaten (Tel., Mail, Fax Nein x x x x x x x x x odgl.) 19 Firmenbuchdaten Nein x x x x x x x x x 20 Namen der Kontaktpersonen Nein x x x x x x x x x 21 Kontaktdaten der Kontaktpersonen Nein x x x x x x x x x (Tel., Mail, Fax, Anschrift odgl.) 22 UID-Nummer Nein x x x x x x x x x 23 Bankverbindungen Nein x x x x x x x x 24 Kreditkartennummern und unternehmen 25 Daten zur Bonität inkl. Mahn- und Klagsdaten Nein x x x x Nein x x x * Kategorien der betroffenen Personen-gruppe aus Punkt 1 des C-Blattes ** Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO

b. Löschungs- und Aufbewahrungsfristen Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-4; 6-24; 26; Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen 5; 25; Bis zur Beendigung der Geschäftsbeziehungen 5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Banken Rechtsvertreter im Geschäftsfall Wirtschaftstreuhänder Gerichte Verwaltungsbehörden Inkassounternehmen Fremdfinanzierer Mitwirkende Vertragspartner: ARISECUR Versicherungs- Provider GmbH IT-Dienstleister Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Teilweise in USA und andere Länder, in den Google LLC Rechenzentren betreibt Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt):

C. Detailangaben zu 3. Marketing 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen (zb Kunden, Mitarbeiter, Lieferanten usw.) 1 Empfänger der Kundenbindungsmaßnahme (Newsletter, Produktbezogene Informationsaussendungen, ) 2 Mitarbeiter des Verantwortlichen 3 An den Marketinginhalten mitwirkende Dritte inkl. Kontaktpersonen bei den Dritten 2. Rechtsgrundlagen ( ) Art 6 Abs 1 lit b DSGVO: Vertragserfüllung ( ) Art 6 Abs 1 lit c DSGVO: Gesetzl. Verpflichtung ( X ) Art 6 Abs 1 lit f DSGVO: berechtigte Interessen des Verantwortlichen ( X ) Art 6 Abs 1 lit a DSGVO: Einwilligung des Betroffenen 3. Verträge, Zustimmungserklärungen oder sonstige sind freiwillig abgelegt: Einwilligungserklärungen im digitalen Kundenordner des MVP von ARISECUR abgelegt. 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden Kategorien der Betroffenen* Lfd. Nr. Datenkategorien Besondere Datenkategorien** Mitwirkende Vertragspartner 1 1 Name Nein x 2 Kontaktdaten (Tel., Mail, Fax Nein x odgl.) 2 3 Name Nein x 4 Funktion des betroffenen Sachbearbeiters beim Nein x Verantwortlichen 5 Kontaktdaten (Tel., Mail, Fax odgl.) Nein x 6 Photographie Nein x

3 7 Name, Firma oder sonstige Nein x Geschäftsbezeichnung 8 Anschrift Nein x 9 Kontaktdaten Nein x 10 Namen der Kontaktpersonen Nein x 11 Kontaktdaten (Tel., Mail, Fax odgl.) der Kontaktperson Nein x

b. Löschungs- und Aufbewahrungsfristen Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-2 Löschung nach Widerspruch der Einwilligung bzw. nach begründetem Widerspruch zum Erhalt von produktbezogenen Informationen durch den Betroffenen 3-11 12 Monate nach Durchführung einer Kundenbindungsmaßnahme 5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Mitwirkender Vertragspartner: CleverReach Mitwirkender Vertragspartner: ARISECUR Versicherungs- Provider Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt): KEINE Übermittlung in Drittstaaten.

C. Detailangaben zu 4. Personalverwaltung 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen (zb Kunden, Mitarbeiter, Lieferanten usw.) 1 Mitarbeiter des Verantwortlichen 2. Rechtsgrundlagen ( X ) Art 6 Abs 1 lit b DSGVO: Vertragserfüllung ( X ) Art 6 Abs 1 lit c DSGVO: Gesetzl. Verpflichtung ( ) Art 6 Abs 1 lit f DSGVO: berechtigte Interessen des Verantwortlichen ( X ) Art 6 Abs 1 lit a DSGVO: Einwilligung des Betroffenen 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind freiwillig abgelegt: Einwilligungserklärungen bei den Dienstverträgen abgelegt. 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden Kategorien der Betroffenen* Lfd. Nr. Datenkategorien Besondere Datenkategorien** Mitwirkende Vertragspartner Externe Personalverrechnung Behörden Banken Rechtsvertreter im Anlassfall Gerichte im Anlassfall 1 1 Name 2 Private Anschrift Nein x x x x x x Nein x x x x x 3 Private Kontaktdaten (Tel., Mail, Nein x x x x Fax odgl.) 4 Bankverbindungsdaten Nein x x x x 5 Funktion des betroffenen Sachbearbeiters beim Verantwortlichen Nein x x x x x 6 Strafregisterbescheingung JA 7 Biometriedaten: Fingerabdruckscan JA 8 Gesundheitsdaten Krankmeldungen JA x x

b. Löschungs- und Aufbewahrungsfristen Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-5;8 Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; Aufgrund gesetzlicher Verjährungsfristen für die Geltendmachung von Schadenersatzansprüchen 3 oder bis zu 30 Jahre 6 6 Monate nach Empfang 7 Bei Beendigung des Dienstverhältnisses 5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Mitwirkender Vertragspartner: ARISECUR Versicherungs- Provider Externe Personalverrechnung Behörden Banken Rechtsvertreter im Anlassfall Gerichte im Anlassfall Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt): KEINE Übermittlung in Drittstaaten.

D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen a. Vertraulichkeit: Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen: Schlüssel, Aktenverschluss-System Zugangskontrolle: Schutz vor unbefugter Systembenützung: Kennwörter pro Mitarbeiter, sämtliche Daten Cloud-basiert Zugriffskontrolle: Rechtebasierter Datenzugriff auf Daten (Trennung von Kunden und Vertragsbestand von Finanzen und Mitarbeiterverwaltung) b. Integrität: Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übergabe: Verschlüsselung Eingabekontrolle: Protokollierung der Änderungen im Datenverarbeitungssystem ARISECUR, Dokumentmanagement pro Versicherungskunde und pro Versicherungsvertrag c. Verfügbarkeit und Belastbarkeit: Verfügbarkeitskontrolle: Virenschutz auf allen Unternehmens-PCs, Unternehmens- Firewall, Backup-Strategie des Auftragsverarbeiters ARISECUR aller in der Data Cloud befindlichen Kunden-und Vertragsdaten sowie der dazugehörenden Dokumente. d. Evaluierungsmaßnahmen: Datenschutzmanagement durch Risikoanalyse und Datenschutz-Folgeabschätzung; regelmäßige Mitarbeiter-Schulung

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback