Für die Nutzung der WebApp Lernplattform-Metall benötigen Sie JavaScript!
Mi 05.10.2022 - 16:51:31

login

home

 
 


Daten werden geladen. Bitte warten ...

Stand 24.09.2019


Datenverarbeitungsverzeichnis nach
Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)
(Verantwortlicher)

Inhalt

A - Stammdatenblatt: Allgemeine Angaben
B - Datenverarbeitungen / Datenverarbeitungszwecke
C - Detailangaben zu den einzelnen Datenverarbeitungszwecken
D - Allgemeine Beschreibung organisatorisch-technischer Maßnahmen



A - Stammdatenblatt

Name und Kontaktdaten des für die Verarbeitung Verantwortlichen:

Lernplattform-Metall e.U.
FN 457926 x Landesgericht Wels

Ing. Dr. phil. Robert Murauer, MSc BEd
Pichlhofstraße 59
4813 Altmünster / Österreich

office@lernplattform-metal.eu
+43/650-43 650 43



B- Datenverarbeitungen / Datenverarbeitungszwecke

1. Zwecke und Beschreibung der Datenverarbeitung:
a. Bestell- und Kundenverwaltung
b. Rechnungswesen
c. Benutzeranmeldung
d. Benutzerbezogene Statistiken
e. Merkfunktionen
f. Demozugangsverwaltung

2. Datenschutz-Folgenabschätzung:

Die Datenverarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke und es liegt eine Rechtmäßigkeitsgrundlage (Vertrag) für die Verarbeitung vor.
Die Datenverarbeitung ist für den Zweck erforderlich und angemessen sowie auf das notwendige Maß beschränkt.
Darüber hinaus wurden Maßnahmen für die Erfüllung der Betroffenenrechte ergriffen, wie die Informationspflichten, Auskunftsrecht, Recht auf Datenübertragbarkeit, Berichtigungs- und Löschungsrecht und Widerspruchsrecht, die öffentlich zugänglich in der Datenschutzerklärung festgehalten sind.
Das Verhältnis zu Auftragsverarbeitern ist durch einen Vertrag mit dem erforderlichen Inhalt geregelt und es wurden auch nur inländische „zuverlässige“ Auftragsverarbeiter (world4you Linz/Österreich) beauftragt, die der DSGVO unterliegen.

Bei der Verarbeitung der Daten erfolgt keine systematische und umfassende Bewertung persönlicher Aspekte, die insbesondere die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder den Ortswechsel natürlicher Personen betreffen, auf Basis automatisierter Verarbeitung.
Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können.

Im Weiteren erfolgt keine Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten statt. Auch beinhaltet die Verarbeitung kein hohes Risiko für die Rechte und Freiheiten der Betroffene und die Verarbeitung beinhaltet keine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung.

Ebenso beinhaltet die Datenverarbeitung kein (potentielles) Abgleichen oder Zusammenführen von Datensätze, wie das Zusammenführen von Datensätzen aus unterschiedlichen Anwendungszwecken und dass dieser Vorgang von den betroffenen Personen vernünftigerweise auch nicht erwartet werden konnte.
Möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen durch die:

  • Datenverfügbarkeit: Bei der beabsichtigten Datenverarbeitung besteht das Risiko in Bezug auf Data breach oder durch die Einbindung von Auftragsverarbeitern, dass diese ihren vertraglichen Verpflichtungen nicht nachkommen oder deren „Zuverlässigkeit“ nicht gewährleistet ist.
  • Integrität und Vertraulichkeit: Im Weiteren besteht das Risiko, dass durch einen unerlaubten Datenabgriff die personenbezogenen Daten (Kontaktdaten) zu unbefugter oder zu unrechtmäßiger Verarbeitung seitens Dritter herangezogen werden. Auch kann ein etwaiger (unbeabsichtigter) Verlust der Daten nicht ausgeschlossen werden.
Aus den angeführten Risiken können sich mögliche Risikofolgen ergeben, wie:
  • materieller und immaterieller Schaden beim Betroffenen,
  • Verlust der Kontrolle über die Daten oder
  • Identitätsdiebstahl oder -betrug
Um die Risiken zu minimieren werden folgende Sicherheitsmaßnahmen ergriffen, wie
  • die SSL-geschützte Datenübertragung,
  • die Protokollierung der Zugriffe,
  • die Herstellung der Computersicherheit durch regelmäßige Updates des Betriebssystems und der Anwendungsprogramme,
  • die Einschränkung des Zuganges durch die Verwendung komplexer Kennwörter oder durch die Nutzung von biometrischen Zugangskontrollen (Fingerprint-Reader),
  • die Herstellung der Netzwerksicherheit durch Sicherheitseinstellungen bei den benutzen Browsern und die Verwendung einer Firewall und
  • die Anwendung eines Datensicherungskonzeptes auf externe Datenträger, durch Sicherung in der Cloud und durch Sicherung durch den Provider world4you (Linz/Österreich).
Sollte jedoch der oben geschilderten Sicherheitsmaßnahmen es zu einem eintretenen Risikos, insbesondere Data breach, kommen, werden folgende Maßnahmen ergriffen, wie 
  • die umgehende Verständigung der Betroffenen per E-Mail,
  • die umgehende Meldung an die Datenschutzbehörde (DSB) und
  • die Ergreifung technischer Maßnahmen um einen weiteren Datenverlust zu verhindern (Passwortänderungen, vorübergehende Stilllegung des Dienstes u.a.).



C - Detailangaben zur Bestell- und Kundenverwaltung

a. Kategorien der betroffenen Personen:
1 - Kunden: natürliche und juristische Personen
b. Rechtsgrundelage(n):
  • Geschäftsanbahnung durch Kunden
c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:
  • online in Datenbank
  • Bestellung per Online-Formular
  • Zusendung der Rechnung als PDF
d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:
  • kundenbezogene Grund- bzw. Kontaktdaten
  • Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungspflicht oder bei Nichtzustandekommens eines Vertrages


Kategorien der betroffenen Personen

Kategorien der betroffenen Personen­gruppe
aus Punkt 1 des C-Blattes
Lfd.Nr.DatenkategorieBesondere Daten­kategorien iSd Art 9 DSGVO,
straf­rechtlich relevant iSd Art 10 DSGVO
Empfänger
1 - Kunden1Anrede Betroffener, Verantwortlicher
1 - Kunden2Vorangestellte Titel Betroffener, Verantwortlicher
1 - Kunden3Nachgestellte Titel Betroffener, Verantwortlicher
1 - Kunden4Vorname Betroffener,
Verantwortlicher,
­Behörden
1 - Kunden5Nachname Betroffener,
Verantwortlicher,
Behörden
1 - Kunden6Postleitzahl Betroffener,
Verantwortlicher,
Behörden
1 - Kunden7Landeskennung Betroffener,
Verantwortlicher
1 - Kunden8Ortsname Betroffener,
Verantwortlicher,
Behörden
1 - Kunden9Straße Betroffener,
Verantwortlicher,
Behörden
1 - Kunden10Hausnummer Betroffener,
Verantwortlicher,
Behörden
1 - Kunden11E-Mail Adresse Betroffener,
Verantwortlicher
1 - Kunden12Webadresse (nur bei Firmen) Betroffener,
Verantwortlicher
1 - Kunden13Angebotsnummer (nur bei Firmen) Betroffener,
Verantwortlicher
1 - Kunden14Angebotdatum (nur bei Firmen) Betroffener,
Verantwortlicher
1 - Kunden15Bestellnummer (nur bei Firmen) Betroffener,
Verantwortlicher,
Behörden
1 - Kunden16Bestelldatum (nur bei Firmen) Betroffener,
Verantwortlicher,
Behörden

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 163 Monate nach Bestellung und Nichtzustandekommen des Vertrages
1 - 163 Monate nach Ablauf der gesetzlichen Aufbewahrungsfrist (7 Jahre) bei Vertrag



C - Detailangaben zum Rechnungswesen

a. Kategorien der betroffenen Personen:
1 - Kunden: natürliche und juristische Personen
2 - Lieferanten: juristische Personen
b. Rechtsgrundelage(n):
  • Vertragserfüllung
  • Rechnungsaufbewahrungspflicht
c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:
  • online in Datenbank
  • Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
  • als papiermäßiger Ausdruck
d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:
  • kundenbezogene Daten für die gesetzlich vorgeschriebene Rechnungslegung
  • Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungsfrist (7 Jahre)


Kategorien der betroffenen Personen­gruppe
aus Punkt 1 des C-Blattes
Lfd.Nr.DatenkategorieBesondere Daten­kategorien iSd Art 9 DSGVO,
straf­rechtlich relevant iSd Art 10 DSGVO
Empfänger
1 - Kunden
2 - Lieferanten
1Anrede Betroffener,
Verantwortlicher
1 - Kunden
2 - Lieferanten
2Vorangestellte Titel Betroffener, Verantwortlicher
1 - Kunden
2 - Lieferanten
3Nachgestellte Titel Betroffener, Verantwortlicher
1 - Kunden
2 - Lieferanten
4Vorname Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
5Nachname Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
6Postleitzahl Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
7Landeskennung Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
8Ortsname Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
9Straße Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
10Hausnummer Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
11E-Mail Adresse Betroffener,
Verantwortlicher
1 - Kunden
2 - Lieferanten
12Bestellnummer (nur bei Firmen) Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
13Bestelldatum (nur bei Firmen) Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
14Rechnungsnummer Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
15Rechnungsdatum Betroffener,
Verantwortlicher,
Behörden
1 - Kunden
2 - Lieferanten
16Rechnungstext Betroffener,
Verantwortlicher,
Behörden
1 - Kunden17Lizenztype Betroffener,
Verantwortlicher,
Behörden
1 - Kunden18Lizenzmenge Betroffener,
Verantwortlicher,
Behörden
1 - Kunden19Lizenzbeginn Betroffener,
Verantwortlicher,
Behörden
1 - Kunden20Lizenzende Betroffener,
Verantwortlicher,
Behörden

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 203 Monate nach Ablauf der gesetzlichen Aufbewahrungsfrist (7 Jahre) laut BAO



C - Detailangaben zur Benutzerverwaltung

a. Kategorien der betroffenen Personen:
1 - Kunden: natürliche und juristische Personen
b. Rechtsgrundelage(n):
  • Vertragserfüllung
c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:
  • online in Datenbank
  • Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
  • als papiermäßiger Ausdruck
d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:
  • Benutzerbezogene Daten für die Zugriffsverwaltung
  • Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungsfrist (7 Jahre)


Kategorien der betroffenen Personen­gruppe
aus Punkt 1 des C-Blattes
Lfd.Nr.DatenkategorieBesondere Daten­kategorien iSd Art 9 DSGVO,
straf­rechtlich relevant iSd Art 10 DSGVO
Empfänger
1 - Kunden1Benutzer-ID Verantwortlicher
1 - Kunden2Benutzername Betroffener,
Verantwortlicher
1 - Kunden3Benutzerkennwort (verschlüsselt) Betroffener,
Verantwortlicher
1 - Kunden4Benutzer-PIN (verschlüsselt) Betroffener,
Verantwortlicher
1 - Kunden5Sub-Benutzer-ID Betroffener,
Verantwortlicher
1 - Kunden6Sub-Benutzername Betroffener,
Verantwortlicher
1 - Kunden7Sub-Benutzerkennwort (verschlüsselt) Betroffener,
Verantwortlicher
1 - Kunden8Lizenztype Betroffener,
Verantwortlicher,
Behörden
1 - Kunden9Lizenzmenge Betroffener,
Verantwortlicher,
Behörden
1 - Kunden10Lizenzstatus Betroffener,
Verantwortlicher
1 - Kunden11Lizenzbeginn Betroffener,
Verantwortlicher,
Behörden
1 - Kunden12Lizenzende Betroffener,
Verantwortlicher,
Behörden
1 - Kunden13Zeitstempel Betroffener,
Verantwortlicher,
Behörden
1 - Kunden14Seitenname bzw. Seiten-ID Betroffener,
Verantwortlicher
1 - Kunden15von außen sichtbare IP-Adresse Verantwortlicher
1 - Kunden16Browser (userAgent) Verantwortlicher
1 - Kunden17Zeitstempel der letzten korrekten Anmeldung Betroffener,
Verantwortlicher
1 - Kunden18Zeitstempel der letzten korrekten Abmeldung Betroffener,
Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 183 Monate nach Ablauf der Lizenz



C - Detailangaben zur Erstellung von Statistiken (Profiling)

a. Kategorien der betroffenen Personen:
1 - Kunden: natürliche und juristische Personen
b. Rechtsgrundelage(n):
  • Vertragserfüllung
c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:
  • online in Datenbank
  • Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
  • als papiermäßiger Ausdruck
  • Zustimmung muss explizit erfolgen (privacy by design)
d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:
  • Benutzerbezogene Daten für interne Statistiken (Nutzungshäufigkeit, Lernerfolgskontrollen etc.)
  • Löschung drei Monate nach Beendigung des Lizenzvertrages


Kategorien der betroffenen Personen­gruppe
aus Punkt 1 des C-Blattes
Lfd.Nr.DatenkategorieBesondere Daten­kategorien iSd Art 9 DSGVO,
straf­rechtlich relevant iSd Art 10 DSGVO
Empfänger
1 - Kunden1Benutzer-ID Verantwortlicher
1 - Kunden2Benutzername Betroffener,
Verantwortlicher
1 - Kunden3Quiznummer Betroffener,
Verantwortlicher
1 - Kunden4maximal erreichte Punkte Betroffener,
Verantwortlicher
1 - Kunden5aktuell erreichte Punkte Betroffener,
Verantwortlicher
1 - Kunden6eingestelltes Zeitlimit Betroffener,
Verantwortlicher
1 - Kunden7Aktivitätspunkte Betroffener,
Verantwortlicher
1 - Kunden8Seitenname bzw. Seiten-ID Betroffener,
Verantwortlicher
1 - Kunden9Zeitstempel Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 93 Monate nach Ablauf der Lizenz



C - Detailangaben zur Merkfunktion

a. Kategorien der betroffenen Personen:
1 - Kunden: natürliche und juristische Personen
b. Rechtsgrundelage(n):
  • Vertragserfüllung
c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:
  • Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
  • als papiermäßiger Ausdruck
d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:
  • online in Datenbank (privacy by design)
  • Speicherung der Auswahl (selektierte Vokabeln, Auswahl bei Lexikon Light ...)
  • Löschung drei Monate nach Beendigung des Lizenzvertrages


Kategorien der betroffenen Personen­gruppe
aus Punkt 1 des C-Blattes
Lfd.Nr.DatenkategorieBesondere Daten­kategorien iSd Art 9 DSGVO,
straf­rechtlich relevant iSd Art 10 DSGVO
Empfänger
1 - Kunden1Benutzer-ID Verantwortlicher
1 - Kunden2Auswahl Betroffener,
Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 23 Monate nach Ablauf der Lizenz



C - Detailangaben zum Zugang der Demofunktion

a. Kategorien der betroffenen Personen:
1 - Interessenten: natürliche und juristische Personen
b. Rechtsgrundelage(n):
  • Vertragserfüllung
c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:
  • online in Datenbank (privacy by design)
d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:
  • E-Mailadresse
  • keine Löschung


1
Kategorien der betroffenen Personen­gruppe
aus Punkt 1 des C-Blattes
Lfd.Nr.DatenkategorieBesondere Daten­kategorien iSd Art 9 DSGVO,
straf­rechtlich relevant iSd Art 10 DSGVO
Empfänger
1 - Interessenten1Benutzer-ID Verantwortlicher
1 - Interessenten2Benutzername Betroffener,
Verantwortlicher
1 - Interessenten3Kennwort Betroffener,
Verantwortlicher
1 - Interessenten4PIN Betroffener,
Verantwortlicher
1 - Interessenten5E-Mail Adresse Betroffener,
Verantwortlicher
1 - Interessenten6Zustimmungs­erklärung Verantwortlicher
1 - Interessenten7Zeitstempel Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 7keine Löschung



D - Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen

1. Vertraulichkeit:
  • Datenbankzugriff mittels Kennwort gesichert
  • Zugang zu den papiermäßigen archivierten Rechnungen nur einem eingeschränkten Personenkreis möglich
  • Nutzung von SSL-Übertragung (SSL-Zertifikat)

2. Integrität:
  • Sicherung in digitaler und papiermäßiger Form (Rechnungen)
  • Datensicherungskonzept, mittels externen verschlüsselten Sicherungsmedium (USB-Datenträger) und Cloud-Sicherung
  • Sicherung durch Provider (world4you, Linz/Österreich)
  • Zugangsbeschränkung durch technische Maßnahmen (komplexe Kennwörter oder biometrische Zugriffskontrollen)

3. Verfüg- und Belastbarkeit:
  • Die Verfügbarkeit des Dienstes ist vom Provider world4you (Linz/Österreich) abhängig

4. Pseudonymisierung und Verschlüsselun:
  • Innerhalb der Datenbank sind die Kennwörter hash-verschlüsselt hinterlegt
  • Auf den Rechnungen und den Rechnungskopien sind die erstvergebenen Kennwörter ersichtlich

5. Evaluierungsmaßnahme:
  • keine