Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)

(Alexander Lukic) 

 

Inhalt 

 A. Stammdatenblatt: Allgemeine Angaben

B. Datenverarbeitungen/Datenverarbeitungszwecke 

C. Detailangaben zu den einzelnen Datenverarbeitungszwecken

D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

 

A. Stammdatenblatt

 

Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen
a. Name(n) und Anschrift(en):

Alexander Lukic
3452 Saladorf 15
Österreich

Martin Lukic
3452 Saladorf 15
Österreich

b. E-Mail-Adresse(n) (und allenfalls weitere Kontaktdaten wie zB Tel.Nr.):

office[at]twoframe.at
twoframemedia[at]gmail.com
a.lukic[at]twoframe.at
martin.lukic[at]twoframemedia.at

 

 B. Datenverarbeitungen/Datenverarbeitungszwecke
 Zwecke und Beschreibung der Datenverarbeitung:
1. Rechnungswesen und Geschäftsabwicklung:

Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenzen oder Verträge) in diesen Angelegenheiten

2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?

 Ja   o              Nein   x
Wenn Ja, wann?
Wenn Nein, aus welchem Grund nicht?
Es besteht voraussichtlich kein hohes Risiko für die Rechte der Betroffenen.

 

 C. Detailangaben zu Rechnungswesen und Geschäftsabwicklung
1. Kategorien der betroffenen Personen

Lfd.Nr.   Beschreibung der Kategorien betroffener Personen (zB Kunden, Mitarbeiter, Lieferanten usw.)

  1. Kunden und Lieferanten inkl. Kontaktpersonen beim Kunden und Lieferanten
  2. Potentielle Kunden bei einer Angebotsanfrage
  3. An der Geschäftsabwicklung mitwirkende Dritte inkl. Kontaktpersonen bei den Dritten
2. Rechtsgrundlagen

Art 6 Abs 1 lit a (Einwilligung der Betroffenen), lit b (zur Vertragserfüllung erforderlich), lit c (gesetzliche Verpflichtungen nach der BAO und dem UGB), lit f (berechtigte Interessen des Verantwortlichen) DSGVO § 132 BAO §§ 190, 212 UGB

3. Verträge , Zustimmungserklärungen oder sonstige Unterlagen (zB Erledigung der Informationspflichten) sind abgelegt:(freiwillig)

Unterlagen zu aufrechten Geschäftsabwicklungen sind lokal abgelegt. Rechnungen und Verträge mit Auftrags Verarbeitern sind ebenfalls lokal abgelegt.

4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen
Kategorien der verarbeiteten Daten und ankreuzen, ob sie an Empfänger übermittelt werden
Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes

 

 

Lfd. Nr. Datenkategorien Besondere Datenkategorien iSd Art 9 DSGVO[8], strafrechtlich relevant iSd Art 10 DSGVO[8] Banken Rechtsvertreter im Geschäftsfall Mitwirkende Vertrags- und Geschäftspartner Gerichte im Anlassfall Verwaltungsbehörden im Anlassfall Provider        
1 1 Name, Firma oder sonstige Geschäftsbezeichnung NEIN x x x x x x        
2 Anschrift NEIN x x x x x x        
3 Kontaktdaten (Tel., Mail,Fax) NEIN x x x x x x        
4 Bankverbindungen NEIN x x x x x x        
5 UID-Nummer NEIN x x x x x x        
6 Namen der Kontaktpersonen NEIN x x x x x x        
7 Kontaktdaten der Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) NEIN x x x x x x        
8 Vertragstexte und Geschäftskorrespondenzen NEIN x x x x x x        
2

 

 

9 Name NEIN x x x x x x        
 

 

 

10 Kontaktdaten (Tel., Mail, Fax odgl.) NEIN x x x x x x        
3

 

 

11 Name NEIN x x x x x x        
12 Anschrift NEIN x x x x x x        
13 Kontaktdaten (Tel., Mail, Fax odgl.) NEIN x x x x x x        
Löschungs- und Aufbewahrungsfristen (wenn möglich)
Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen
 

 

1-13

 

Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen
5. Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern

a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zB UNO, OSZE)
Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a.) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Internationale Organisation (Angabe der intern. Organisation)
     
     
     
     
     
b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt  (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt):

 

 D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen

 

a. Vertraulichkeit:

i. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen; (Schlüssel)
ii. Zugangskontrolle: Schutz vor unbefugter Systembenutzung; (Kennwörter, Verschlüsselungen von Datenträgern)
iii.   Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems; (Zugriff nur für Unternehmensinhaber)

 b. Integrität:

i. Daten werden mittels einem lokalen Backup gesichert und so vorm ändern oder entfernen geschützt.

c.Verfügbarkeit und Belastbarkeit:

i. Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, (Backup-Strategie, Virenschutz, Firewall)

 d. Pseudonymisierung und Verschlüsselung:

i. Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.

 e. Evaluierungsmaßnahmen:

i. Datenschutz-Management (zB Risikoanalyse, Datenschutz-Folgenabschätzung), einschließlich regelmäßiger Mitarbeiter-Schulungen.