Datenschutzerklärung: Unterschied zwischen den Versionen

aus Metalab Wiki, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Zur Navigation springenZur Suche springen
Zeile 1: Zeile 1:
Zum Schutz der personenbezogenen Daten steht hier nichts.
+
= Datenschutzerklärung Verein Metalab =
 +
Stand 24.5.2018
 +
== Präambel ==
 +
„Öffentliche Daten Nutzen, private Daten schützen“
 +
In unserem Selbstverständnis als Hackerspace gilt diese Regel für unseren gesamten Verein und daher auch für unsere Datenanwendungen, die wir ausschließlich auf eigener Hardware betreiben.  
  
 +
Verantwortlich für den Schutz der personenbezogenen Daten ist der „Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“, ZVR 269253896, vertreten durch den Vorstand.
 +
== Datenverarbeitungen/Datenverarbeitungszwecke ==
 +
Im Rahmen der Vereinsverwaltung betreiben wir eine Mitgliederverwaltung, Rechnungswesen und Zahlungsverkehr mit österreichischen Banken.
  
Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) - Verein Metalab
+
Als Service für die Community betreiben wir
 
+
=== Homepage für Internetauftritt ===
Inhalt 
+
Wir betreiben für unseren Öffentlichkeitsauftritt die Homepage metalab.at.
    1. Stammdatenblatt: Allgemeine Angaben
+
Für diese Homepage erfolgt keine Speicherung personenbezogener Daten, kein Tracking, IP-Adressen werden nicht gespeichert.
    2. Datenverarbeitungen/Datenverarbeitungszwecke
+
=== Wiki ===
    3. Detailangaben zu den einzelnen Datenverarbeitungszwecken
+
Für die Dokumentation unserer Aktivitäten betreiben wir ein Wiki (auf Basis Doku-Wiki). Unsere Mitglieder sind zu Einträgen und Aktualisierungen im Wiki aufgefordert und berechtigt.
    4. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen
+
=== Mailing-Listen ===
Stammdatenblatt
+
Wir betreiben einen offenen mailman-service für verschiedene Gruppen und Zwecke.
Name und Kontaktdaten des für die Verarbeitung Verantwortlichen
+
Die Aufnahme in eine dieser Listen erfolgt üblicherweise durch Selbseintragung, in manchen Fällen erfolgt der Eintrag durch den Administrator. Jeder Mail-Empfänger erhält unmittelbar nach Eintrag entsprechenden Detailinformationen über diesern Eintrag, die Möglichkeiten, um diesen Eintrag zu verändern oder zu löschen. Der Eintrag wird erst nach Zustimmung des Mail-Empfängers aktiviert. Mail-Empfänger können diese Zustimmung jederzeit in den Verwaltungseinstellungen der jeweiligen Liste ändwrn oder Widerrufen. Jede Mail-Aussendung enthält den Link zu dieser Verwaltungsoberfläche sowie den für die Liste verantwortlichen Administrator.
    1. Name und Anschrift:
+
=== Rechtsgrundlagen für unsere Datenverarbeitung: ===
 +
Erbringung der Vereinsleistungen entsprechend Statut
 +
=== Name und Anschrift: ===
 
  „Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“
 
  „Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“
 
Rathausstraße 6, 1010 Wien
 
Rathausstraße 6, 1010 Wien
    2. E-Mail-Adresse core@metalab.at  
+
E-Mail-Adresse: core at metalab . at  
    3. Tel.Nr.: +43 72000232
+
Tel.Nr.: +43 72000232
Datenverarbeitungen/Datenverarbeitungszwecke
 
    1. Zwecke und Beschreibung der Datenverarbeitung[3]: 
 
        1. Personenverwaltung
 
        2. Kassenverwaltung
 
        3. Verwaltung Bankkonten
 
        4. Bereitstellung „mailman“
 
        5. metalab.at Homepage
 
        6. Metalab Wiki
 
        7.
 
        8.
 
        9.
 
usw.
 
    2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?[4] 
 
        1. Ja , Mai 2018
 
Detailangaben zu …..
 
(Einfügung der konkreten Datenverarbeitung aus dem B-Blatt, zB des Datenverarbeitungszweckes „Rechnungswesen“; das C-Blatt kann dann für jede der im B-Blatt angegebenen Datenverarbeitungszwecke verwendet werden, ohne dass die allgemeinen Angaben aus dem A- und B-Blatt wiederholt werden müssen) 
 
    1. Attribute der Personenverwaltung (betroffenen Personen)
 
        1. handle (frei gewähltes Pseudonym)
 
        2. Name (sofern von der Person bekannt gegeben)
 
        3. Mitgliedsstatus (prospect/Interessent, Mitgliedstatus/Kategorie, Leferantenstatus, ...)
 
        4. Eintritts/Austrittsdatum
 
        5. Einzahlungen/Auszahlungen
 
        6. mail-Adresse
 
        7. Postanschrift
 
        8.
 
        9.
 
    2. Verwaltung Kassa
 
        1. Ein/Auszahlungsbeträge,
 
        2. Buchungsdatum
 
        3. Zahlender/Zahlungsempfänger
 
        4. Zahlungsgrund
 
        5. ev. besondere Bemerkungen
 
        6. 
 
        7. 
 
        8. 
 
    3. Verwaltung Bankkonten
 
        1. Kontoauszüge/Buchnungsbestätigungen
 
        2. Zusammenfassungen
 
        3. 
 
    4. Rechtsgrundlagen[6]
 
        1. Erbringung der Vereinsleistungen entsprechend Statut
 
    5. Verträge , Beitrittserklärungen, Zustimmungserklärungen und sonstige Unterlagen (zB Erledigung der Informationspflichten[7]) sind abgelegt:[8] entsprechend Entscheidung und in Verantwortung des Vereinsvostandes
 
    6. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen[9]
 
        1. Kategorien der verarbeiteten Daten und ankreuzen, ob sie an Empfänger[10] übermittelt werden
 
         
 
        2. Löschungs- und Aufbewahrungsfristen (wenn möglich)
 
Daten aus 4.a. (Lfd. Nr.)
 
Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen
 
 
 
 
 
 
 
 
 
 
 
 
 
    7. Kategorien von Empfängern[13], an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern[14]
 
        1. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie z.B. UNO, OSZE)
 
Empfänger-Kategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a)
 
Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU)
 
Internationale Organisation (Angabe der intern. Organisation)
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
        2. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt):
 
Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen
 
    1. Vertraulichkeit:[15]
 
    2. Integrität:[16]
 
    3. Verfügbarkeit und Belastbarkeit:
 
    4. Pseudonymisierung und Verschlüsselung:
 
    5. Evaluierungsmaßnahmen:
 
 
 
[1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde.
 
Hinweis: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht „Datenschutzbeauftragter“ genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (z.B. „Datenschutzkoordinator“). Dieser kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden. Siehe dazu das WKO-Merkblatt „Datenschutzbeauftragter“.
 
[2] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen.
 
[3] Zum Begriff „Verarbeitung“ siehe das Merkblatt „Wichtige Begriffsbestimmungen“; sollten Daten auch an „Dritte“ oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren.
 
[4] Zur Datenschutz-Folgenabschätzung siehe das Merkblatt „Datenschutz-Folgenabschätzung“. Im Verarbeitungsverzeichnis sind zwar Angaben zur Datenschutz-Folgenabschätzung nicht zwingend vorgesehen. Aus Gründen der Rechenschaftspflicht empfehlen sich aber grundsätzliche Angaben darüber auch ins Verarbeitungsverzeichnis aufzunehmen.
 
[5] Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, wenn durch die Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der Betroffenen besteht oder die Datenverarbeitungsart in der sogenannten „white list“ der Datenschutzbehörde gelistet ist (derzeit besteht noch keine „white list“); Näheres dazu siehe auch das Merkblatt „Datenschutz-Folgenabschätzung“.
 
[6] Die Rechtsgrundlagen (z.B. rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt. Siehe das Merkblatt „Grundsätze und Rechtmäßigkeit der Verarbeitung“.
 
[7] Siehe zu den Informationspflichten das Merkblatt „Informationspflichten“.
 
[8] Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung).
 
[9] Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach Möglichkeit ins Verarbeitungsverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier allerdings eine abstrakte Frist anzugeben (z.B. „nach Ablauf des Vertrages“).
 
[10] In der Rubrik „Empfänger“ sind nur die „Empfängerkategorien“ (z.B. „Gerichte“, „Banken“ oder „Sozialversicherungsträger“) einzutragen. Bei der Umschreibung der Empfängerkategorien ist darauf zu achten, dass eine Überprüfung der Rechtmäßigkeit ermöglicht wird (so wird z.B. die bloße Angabe von „Konzern“ als Empfänger nicht ausreichen, weil daraus nicht eruierbar sein wird, ob die Daten rechtmäßig an die Muttergesellschaft und/oder an Schwestergesellschaften übertragen werden).
 
[11] Daten nach Art 9 DSGVO sind besondere Datenkategorien („sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.
 
[12] Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.
 
[13] Es sind vor allem Übermittlungsempfänger („Dritte“) als auch Auftragsverarbeiter hier zu dokumentieren. Bei der Umschreibung der Empfängerkategorien ist darauf zu achten, dass eine Überprüfung der Rechtmäßigkeit ermöglicht wird (so wird zB die bloße Angabe von „Konzern“ als Empfänger nicht ausreichen, weil daraus nicht eruierbar sein wird, ob die Daten rechtmäßig an die Muttergesellschaft und/oder an Schwestergesellschaften übertragen werden).
 
[14] Siehe dazu das Merkblatt „Internationaler Datenverkehr“. Bei Empfängern in Drittstaaten (speziell in den USA wegen dem „Privacy Shield“-System) empfiehlt sich eine namentliche Nennung des Empfängers.
 
[15) Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten.
 
[16] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.
 
Wirtschaftskammer Kontakt
 
Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus.
 
Österreichweite Inhalte
 
    • EU-Datenschutz-Grundverordnung (DSGVO): Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten
 
      Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten
 
Downloads
 
    • Muster Verarbeitungsverzeichnis für Verantwortliche DOCX
 
    • Anwendungsbeispiel für Verantwortliche PDF
 
Das könnte Sie auch interessieren
 
    • EU-Datenschutz-Grundverordnung (DSGVO)
 
    • EU-Datenschutz-Grundverordnung (DSGVO): Wichtige Begriffsbestimmungen
 

Version vom 24. Mai 2018, 22:45 Uhr

Datenschutzerklärung Verein Metalab

Stand 24.5.2018

Präambel

„Öffentliche Daten Nutzen, private Daten schützen“ In unserem Selbstverständnis als Hackerspace gilt diese Regel für unseren gesamten Verein und daher auch für unsere Datenanwendungen, die wir ausschließlich auf eigener Hardware betreiben.

Verantwortlich für den Schutz der personenbezogenen Daten ist der „Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“, ZVR 269253896, vertreten durch den Vorstand.

Datenverarbeitungen/Datenverarbeitungszwecke

Im Rahmen der Vereinsverwaltung betreiben wir eine Mitgliederverwaltung, Rechnungswesen und Zahlungsverkehr mit österreichischen Banken.

Als Service für die Community betreiben wir

Homepage für Internetauftritt

Wir betreiben für unseren Öffentlichkeitsauftritt die Homepage metalab.at. Für diese Homepage erfolgt keine Speicherung personenbezogener Daten, kein Tracking, IP-Adressen werden nicht gespeichert.

Wiki

Für die Dokumentation unserer Aktivitäten betreiben wir ein Wiki (auf Basis Doku-Wiki). Unsere Mitglieder sind zu Einträgen und Aktualisierungen im Wiki aufgefordert und berechtigt.

Mailing-Listen

Wir betreiben einen offenen mailman-service für verschiedene Gruppen und Zwecke. Die Aufnahme in eine dieser Listen erfolgt üblicherweise durch Selbseintragung, in manchen Fällen erfolgt der Eintrag durch den Administrator. Jeder Mail-Empfänger erhält unmittelbar nach Eintrag entsprechenden Detailinformationen über diesern Eintrag, die Möglichkeiten, um diesen Eintrag zu verändern oder zu löschen. Der Eintrag wird erst nach Zustimmung des Mail-Empfängers aktiviert. Mail-Empfänger können diese Zustimmung jederzeit in den Verwaltungseinstellungen der jeweiligen Liste ändwrn oder Widerrufen. Jede Mail-Aussendung enthält den Link zu dieser Verwaltungsoberfläche sowie den für die Liste verantwortlichen Administrator.

Rechtsgrundlagen für unsere Datenverarbeitung:

Erbringung der Vereinsleistungen entsprechend Statut

Name und Anschrift:

„Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“

Rathausstraße 6, 1010 Wien E-Mail-Adresse: core at metalab . at Tel.Nr.: +43 72000232