Public Transport Forum - Privacy policy

Beta v.0.1

Datenverarbeitungsverzeichnis


nach Art. 30 Abs 1


EU-Datenschutzgrundverordnung (DSGVO)


Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen

Name(n) und Anschrift(en)

Verein: Verein zur Förderung des öffentlichen Personenverkehr, Reisen und Tourismus

Breitenfurterstrasse 422b, 1230 Wien


Verantwortlich: Andrej Pietschmann

Datenschutz@publictransport.at

Tel:06 81 81 433 525


Namen und Kontaktdaten des Auftragsverarbeiters

Name(n) und Anschrift(en) 1

Firma: Telematica Internet Service Provider GmbH

Reininghausstraße 13a 8020 Graz


Verantwortlich 1: Wolfgang Ertl

Funktion: Datenschutzbeauftragter

wertl@anexia-it.com

Datenschutzbeauftragter: Wolfgang Ertl

wertl@anexia-it.com

Mitgliederverwaltung

letzte Bearbeitung: 01.10.2018


Beschreibung:

Mitgliederverwaltung als Erfordernis der Vereinsführung, Erfüllung der Statuten, Erfüllung aller vereinsbezogenen Aufgaben und Verpflichtungen. Führung der Mitgliederverwaltung in Form von CSV-Listen/Datenbank in einen Datenverarbeitungsprogramm. Die Rechtsgrundlage für diese Verarbeitungstätigkeit entspringt dem Mitgliedsvertrag = vertragliche Grundlage. Via einer Datenschutzvereinbarung am Beitrittsformular wird der Interessent vor Abschluss der Mitgliedschaft über Verarbeitungszwecke, verarbeitete Datenkategorien, Empfänger, Dauer der Datenspeicherung, etc. informiert. Zusätzlich erfolgt die Erteilung der Information nach den Art 13, 14 DSGVO im Detail über einen Datenschutzbutton auf der Webpage des Vereines. Der Zugriff auf die Datenbank ist passwortgeschützt. Zugriff hat folgender eingeschränkter Personenkreis: Obmann, Finanzreferent sowie deren Stellvertreter. Nach Beendigung der Mitgliedschaft werden alle Daten - soweit kein Rückstand an Zahlungen (offener Mitgliedsbeitrag, Teilbeträge hiervon, sonstige berechtigte Forderungen des Vereins) seitens des Mitglieds besteht und die Daten auch nicht zur Geltendmachung, Ausübung oder Vermeidung von Rechtsansprüchen des Vereins benötigt werden - nach Ablauf eines Jahres nach Austritt gelöscht. Diese Frist dient dem Vereinszweck und soll sicherstellen, dass die Abwicklung des Vertrages mit dem Mitglied und die damit zusammenhängenden Aufgaben gewährleistet ist. Im Falle des Bestehens offener Forderungen zum Zeitpunkt des Austritts beginnt der Fristablauf mit dem Zeitpunkt des Begleichens der offenen Zahlungen. Auf die einjährige Frist wird in der oben geschilderten Datenschutzerklärung gesondert hingewiesen. Daten/Datensätze, die zur Erfüllung der gesetzlichen Anforderungen (z.B. Buchführung) benötigt werden, bleiben für die in den Materiengesetzen normierte Aufbewahrungsdauer gespeichert und werden anschließend gelöscht. Ein Backup des Excel-Files wird auf einem verschlüsselten USB-Stick/externe Festplatte abgelegt, welcher/welche der Obmann an seinem Wohnort aufbewahrt.

Sollte ein Vereinsmitglied auf eine bestimmte oder unbestimmte Zeit aus den Verein ausgeschlossen sein so werden seine Daten solange gespeichert bis die festgelegte Zeitspanne erloschen ist. Darüber hinaus können Finanzunterlagen, Rechnungen, Ein und Auszahlungen über Elektronische Konten gemäß Gesetzlichen vorgaben eine gesonderte Lösch-, Vernichtsungs Frist haben.

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)


Sensible Daten nach DSGVO Art. 9

  • nein


Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen


Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Geschlecht

  • Eintrittsdatum

  • Austrittsdatum

  • Telefon

  • Straße (privat)

  • PLZ (privat)

  • Ort (privat)

  • Vorname

  • Nachname

  • Geburtsdatum

  • e-mail Adresse

  • Nationalität

Technische Maßnahmen

  • Zugriff eingeschränkt (Zugriff nur durch Obmann, Finanzreferent sowie dessen Stellvertreter)

  • Backup Datenbank (Verschlüsselter USB-Stick, Durchführung der Backups durch den Vereinsobmann)


Cloud Storage

letzte Bearbeitung: 01.10.2018


Beschreibung:

Die Speicherung von Vereinsdaten in der Cloud/ Hoster dient der Vereinfachung und Flexibilisierung des Zugriffs auf diese Daten im Vergleich zur Speicherung auf einem PC oder einer Festplatte, die ortsgebunden sind. Zudem sind die Daten so besser vor dauerndem Verlust geschützt und es wird Speicherplatz auf den vereinseigenen Datenträgern eingespart. In der Cloud/ Hoster werden daher vor allem jene Daten gespeichert, die von einer größeren Anzahl von Personen und ortsungebunden abgefragt werden sollen. Gerade bei großen Datenmengen, wie sie bei einem größeren Verein anfallen, stellt die Nutzung von Cloud Storage/ Hosting Angebot eine sinnvolle Ergänzung dar. Angaben zur Datensicherheit/zu Datenschutzmaßnahmen, die der Clouddienst-Anbieter/ Hoster setzt (Serverstandorte, Sicherheitsmaßnahmen, Backup, etc.) Anmerkung: diese Angaben stellt der Diensteanbieter zur Verfügung - eventuell Upload von Dateien/Mitteilungen hierzu unter PDF Upload


Rechtsgrundlage Ergänzung: Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich: der Verantwortliche hat ein berechtigtes Interesse daran, auf gewisse Daten ortsungebunden zugreifen zu können

Auftragsverarbeiter

  • Auftragsverarbeiter Cloud

Rechtsgrundlage

  • Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegt


Sensible Daten nach DSGVO Art. 9

  • nein


Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen


Kategorien der betroffenen Personen

  • je nach Verein (interne Entscheidung, welche Daten in die Cloud ausgelagert werden)

  • Funktionäre

  • Mitglieder

  • freiwillige Helfer

  • Mitarbeiter

Kategorien der verarbeiteten Daten

  • je nach Verein (interne Entscheidung, welche Daten in die Cloud ausgelagert werden)

Technische Maßnahmen

  • Zugriff eingeschränkt (der Zugriff zur Cloud ist nur mit einem Passwort möglich. Unterschiedliche und unterschiedlich sensible Bereiche der Cloud haben jeweils andere Passwörter.)


Newsletter

letzte Bearbeitung: 01.10.2018


Beschreibung:

Allgemeine Informationen über das Vereinsgeschehen, detaillierte Sparten informationen, Informationen über Vereinsangebote, Kurse, Seminare, Kunst und Sportfeste, Nützliches und Wissenswertes zu den Themen Reisen, öffentlicher Verkehr und Tourismuss.

Zwei Möglichkeiten der Anmeldung zum Newsletter: 1.) Website Verein, 2.) Anmeldeformular Vereinsbeitritt

ad 1.) Website:

Die Anmeldung zum Newsletter via Vereins-Website ist nicht nur für Mitglieder, sondern auch für Interessenten und alle anderen Besucher der Website möglich. Anmeldung ausschließlich per Double-Opt-In Verfahren. Information über Verarbeitungszwecke, verarbeitete Daten, Widerrufsbelehrung Art 21 Abs 4 vorhanden - zu den Formalitäten der Newsletter-Anmeldung siehe beigefügte Datei/beigefügtes Formular. Der Newsletter wird derzeit unregelmäßig versendet. Es erfolgt keine Weitergabe der Daten an Dritte. Die technische Abwicklung übernimmt der beauftragte Website-Dienstleister. Eine Abmeldung vom Newsletter ist jederzeit über die Vereins-Website möglich oder im Newsletter selber durch klick des dazugehörigen Text am Anfang oder am Ende.

ad 2.) Anmeldung Newsletter über Vereinsanmeldeformular:

Extra angeführte Newsletter-Anmeldung auf Vereinsbeitrittsformular, Anmeldung durch Ankreuzen der entsprechenden Checkbox. Keine Koppelung zur Vereinsanmeldung bzw. zur Mitgliedschaft - die Mitgliedschaft zum Verein ist auch ohne Bezug des Newsletters möglich. Gleiche Formulierung wie online-Einwilligung Newsletter-Bezug, zu den Formalitäten siehe ebenso in der Beilage.

Übergreifend:

In jedem Newsletter wird auf die Möglichkeit der Abmeldung via der Vereins-Website hingewiesen. Zusätzlich können Abmeldungen zum Newsletter jederzeit per E-Mail an den Verein gerichtet werden. Diese E-Mails werden von uns selbst, nicht durch den Websitebetreiber administriert. Da der Newsletter personalisiert verschickt wird, wird das Geschlecht bei der Anmeldung dafür verpflichtend verlangt.

Auftragsverarbeiter

  • Auftragsverarbeiter Website

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)


Sensible Daten nach DSGVO Art. 9

  • nein


Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen


Kategorien der betroffenen Personen

  • Mitglieder

  • Interessenten

Kategorien der verarbeiteten Daten

  • Nachname

  • Vorname

  • E-Mail-Adresse

  • Geschlecht

Technische Maßnahmen

  • Verschlüsselung personenbezogener Daten (wird vom Provider durchgeführt)

Organisatorische Maßnahmen

  • Online-Zugang beschränkt (Der Zugang zum Online-Newsletter System ist dem Vorstand sowie Pressereferenten des Vereins vorbehalten.)



Allgemeine technische und organisatorische Maßnahmen


Vorhanden?

Umgesetzt?

Wenn nein, warum nicht?

Ist eine IT-Systemdokumentation vorhanden?

Nein


Der Verein besitzt keine IT Hardware.

Ist eine Hardware-Firewall vorhanden?

Nein


Der Verein besitzt keine IT Hardware.

Ist die Windows Firewall aktiv?

Nein


Der Verein besitzt keine Windows Lizenzen.

Erfolgt der Remotezugriff über VPN?

Nein


Der Verein besitzt keine IT Hardware.

Computer mit Passwörter geschützt?

Nein


Der Verein besitzt keine IT Hardware.

Windows Updates aktuell?

Nein


Der Verein besitzt keine Windows Lizenzen.

Sichere Passwörter E-Mails?

Ja

Ja

-

Mobile Geräte mit Passwort versehen?

Nein


Der Verein besitzt keine IT Hardware.

Dokumente auf Firmenhandy abgelegt?

Nein


Der Verein besitzt keine IT Hardware.

Verpflichtungserklärung Mitarbeiter Datengeheimnis?

Ja



Virenschutz vorhanden und aktuell?

Nein


Der Verein besitzt keine IT Hardware.

Versperrbarkeit sensibler Unterlagen?

Nein


Der Verein besitzt kein Mobiliar.

Bildschirmschoner mit Passwort-Sperre?

Nein


Der Verein besitzt keine IT Hardware.

Werden die Computer beim Verlassen des Büros heruntergefahren?

Nein


Der Verein besitzt kein Büro.

Werden nicht mehr benötigte Datenträger physisch zerstört?

Nein


Der Verein besitzt keine physischen Datenträger.

Wird Altpapier geschreddert?

Nein


Anfallendes Altpapier wird Thermisch verwertet falls Daten die den Datenschutz unterliegen sofern dieses Technisch möglich ist.

Standards, wenn Mitarbeiter aus dem Unternehmen ausscheiden, festgelegt und unterzeichnet?




Passwort-Richtlinie für EDV Systeme vorhanden?

Nein


Der Verein besitzt keine IT Hardware.

Unterschiedliche Passwörter für Computer und Mails vorhanden?

Ja



PW-Änderung alle 365 Tage?

Ja



Software-Updates regelmäßig durchgeführt?

Ja


Das Web Angebot welches durch den Verein Betreut wird regelmäßigen Updates unterzogen.

Sicherheitsrichtlinie für mobile Geräte (Handy, Tablet) vorhanden?

Nein


Der Verein besitzt keine IT Hardware.

Cloud-Speicher (keine privaten Accounts)?

Ja

Alle Accounts werden ausschließlich für das Vereinswesen verwendet. Jedweilige Privatnutzung ist untersagt.


Cloud-Speicher rechtlich OK (DSGVO)?

Ja



Sensibilisierung der Mitarbeiter für Viren-Mails / Pishing Mails?

Nein


Der Verein verfügt über keine Mitarbeiter

Notfallplan für Virenbefall?

Ja



WLAN Sicherheit (Passwort, Verschlüsselung, ev Gäste-WLAN)?

Nein


Der Verein besitzt keine IT Hardware.

Backup Strategie?

Ja



Aufbewahrung der Backup-Datenträger?

Ja



Schlüsselverwaltung schriftlich dokumentiert?

Ja





Back to login screen