Datenschutz

1.1.2 Verarbeitungsverzeichnis des Verantwortlichen

1. Verantwortlicher

1.1 Name und Kontaktdaten des Verantwortlichen

Name: Vasiljkovic Dalibor
Rechtsform: Einzelunternehmen
Firmenbuchnummer/Vereinsregisterzahl etc:  
Adresse: Dorfstraße 1; 6365 Kirchberg
Telefon: 0660 48 13 222
E-Mail-Adresse: office@alpernein.com
Internet-Adresse: www.alpenrein.com

1.1.1 Geschäftsführung

Name:  Keiner

1.1.2 Stellvertretende Geschäftsführung
Name: Keiner

1.1.3 Leitung der Datenverarbeitung bzw zuständige Person für das Führen des Verarbeitungsverzeichnisses
Name: Dalibor Vasiljkovic
Adresse: Stegerwiese 29; 6370 Kitzbühel
Telefon: 0660 48 13 222
E-Mail-Adresse: office@alpenrein.com
Internet-Adresse: www.alpenrein.com

1.1.4 Sonstige Ansprechpartner
Name: Keiner

1.2 Name und Kontaktdaten des Datenschutzbeauftragten
Name: Vasiljkovic Dalibor
Adresse: Stegerwiese 29; 6370 Kitzbühel
Telefon: 0660 48 13 222
E-Mail-Adresse: office@alpernein.com
Internet-Adresse: www.alpenrein.com

2. Zeitpunkt und Aktualisierung des Verarbeitungsverzeichnisses

Datum der Ersterstellung des Verarbeitungsverzeichnisses: 24.05.2018
Intervall der regelmäßigen Überprüfung und Aktualisierung: alle 4 Wochen
Aktualisierung:
Datum der Überprüfung und Aktualisierung Version

3. Datenverarbeitung(en)

3.1 Bezeichnung der Datenverarbeitung

3.2 Ansprechpartner und Verfahrensverantwortlicher

Name: Vasiljkovic Dalibor
Adresse: Stegerwiese 29; 6370 Kitzbühel
Telefon: 0660 48 13 222
E-Mail-Adresse: office@alpenrein.com
Internet-Adresse: www.alpenrein.com

3.3 Zweck(e) der Datenverarbeitung

[Beispielsweise: Verarbeitung und Übermittlung von Daten an der Tourismusverband im Rahmen der Anmeldung der Feriengäste mittels Meldeschein
3.4 Rechtsgrundlage(n) der Datenverarbeitung
•    Rechtsgrundlage gem Art 6 DSGVO
o    Einwilligung (Art 6 Abs 1 lit a DSGVO)
o    Vertragsabschluss und Vertragserfüllung (Art 6 Abs 1 lit b DSGVO)
o    Erfüllung einer rechtlichen Verpflichtung (Art 6 Abs 1 lit c DSGVO)
o    Erforderliche Datenverarbeitung um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art 6 Abs 1 lit d DSGVO)
o    Verarbeitung erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art 6 Abs 1 lit e DSGVO)
o    Verarbeitung erforderlich für die Wahrnehmung einer Aufgabe in Ausübung öffentlicher Gewalt (Art 6 Abs 1 lit e DSGVO)
o    Verarbeitung erforderlich zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, bei der die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen (Art 6 Abs 1 lit f DSGVO)
•    Rechtsgrundlage gem Art 9 DSGVO
Daten, aus denen die rassische oder ethnische Herkunft, oder politische Meinungen, oder religiöse oder weltanschauliche Überzeugungen, oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
o    Ausdrückliche Einwilligung (Art 9 Abs 2 lit a DSGVO)
o    Verarbeitung von offensichtlich von der betroffenen Person öffentlich gemachte Daten (Art 9 Abs 2 lit e DSGVO)
o    Verarbeitung zur Durchsetzung oder Abwehr von Rechtsansprüchen (Art 9 Abs 2 lit f DSGVO)
o    Verarbeitung zur Erfüllung von Rechten und Pflichten aus dem Arbeits- oder Sozialrecht (Art 9 Abs 2 lit b DSGVO)
o    Verarbeitung für im öffentlichen Interesse liegende Archivzwecke (Art 9 Abs 2 lit j DSGVO)
o    Verarbeitung für wissenschaftliche Forschungszwecke (Art 9 Abs 2 lit j DSGVO) Etc
•    Rechtsgrundlage gem nationalem Recht
o    Bildverarbeitung gem § 12 Entwurf zum DSG
o    Datenverarbeitung gem § 151 GewO (Adressverlage und Direktmarketingunternehmen)
o    Datenverarbeitung gem § 15 Ausbildungspflichtgesetz
o    Aufzeichnungen gem § 8 Apothekenbetriebsordnung 2005
o    Etc
3.5 Kategorien der betroffenen Personen und Kategorien personenbezogener Daten
3.5.1 Beschreibung der Kategorien betroffener Personen
Kategorien betroffener Personen    Beschreibung
Kunden    
Lieferanten    
Mitarbeiter    
Etc    

3.5.2 Beschreibung der Kategorien personenbezogener Daten

•    Kundendaten
o    Name bzw Bezeichnung
o    Adresse
o    Telefon- und Faxnummer und andere zur Adressierung erforderliche Informationen
o    Etc
•    Lieferantendaten
•    Etc
3.6 Kategorien der (zukünftigen) Empfänger
3.6.1 Interne Empfänger
Empfänger    Ggf Kategorien von Daten    Rechtsgrundlage    Anlass der Offenlegung
               
3.6.2 Externe Empfänger
Empfänger    Ggf Kategorien von Daten    Rechtsgrundlage    Anlass der Übermittlung
               
3.7 Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Drittland/Internationale Organisation    Empfänger    Rechtsgrundlage    Art der Daten/Datenkategorien    Ggf geeignete Garantien gem Art 49 DSGVO
                    
3.8 Fristen für die Löschung der verschiedenen Datenkategorien (wenn möglich)
… [Beispielsweise: Löschung aller Daten der Kategorie Kundendaten nach Ablauf der für den Verantwortlichen geltenden Garantie-, Gewährleistungs-, Verjährungs- und gesetzlichen Aufbewahrungsfristen oder gegebenenfalls nach Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden, Meldescheindaten können nicht gelöscht werden. Verantwortung liegt bei den jeweiligen Tourismusbüro der Region]
3.9 Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung gem Art 32 Abs 1 DSGVO
… [Gegebenenfalls Verweis auf ein Datensicherheitskonzept, Datenschutz-Folgeabschätzung, Notfallpläne etc]
Pseudonymisierung personenbezogener Daten
Kategorien der personenbezogenen Daten    Verfahrensbeschreibung
Verschlüsselung personenbezogener Daten
Kategorien der personenbezogenen Daten    Verfahrensbeschreibung
Maßnahmen zur Sicherstellung der Vertraulichkeit der Datenverarbeitung
Kategorien der personenbezogenen Daten    Verfahrensbeschreibung
Maßnahmen zur Sicherstellung der Integrität der Datenverarbeitung
Kategorien der personenbezogenen Daten    Verfahrensbeschreibung
Maßnahmen zur Sicherstellung der Verfügbarkeit der Datenverarbeitung
Kategorien der personenbezogenen Daten    Verfahrensbeschreibung
Maßnahmen zur Sicherstellung der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Verfahrensbeschreibung
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
Verfahrensbeschreibung
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Verfahrensbeschreibung
Anmerkungen:
•    Das bis Mai 2018 existierende Datenverarbeitungsregister wird eingestellt und als Archiv weitergeführt. Die dahingehende Meldepflicht des Auftraggebers einer Datenverarbeitung entfällt. Die Meldung zum Datenverarbeitungsregister wird durch die Pflicht zur Führung eines Verarbeitungsverzeichnisses ersetzt.
•    Die Möglichkeit für jedermann Einsicht ins Verarbeitungsverzeichnis zu nehmen (wie bis dahin in das Datenverarbeitungsregister) ist in der DSGVO nicht vorgesehen.
•    Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssen gem Art 30 Abs 5 DSGVO kein Verzeichnis von Verarbeitungstätigkeiten führen, es sei denn, der Verantwortliche führt Datenverarbeitungen durch,
o    die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (jedes Risiko, nicht nur ein hohes), oder
o    die nicht nur gelegentlich erfolgen, oder
o    die besondere Datenkategorien gem Art 9 Abs 1 DSGVO (besondere Kategorien personenbezogener Daten) oder Daten über strafrechtliche Verurteilungen oder Straftaten gem Art 10 DSGVO betreffen.
•    Das Verzeichnis von Verarbeitungstätigkeit betrifft sämtliche (teilweise) automatisierten und nicht-automatisierten Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
•    Ein Verstoß durch eine fehlende oder nicht vollständige Führung des Verarbeitungsverzeichnisses oder das Nichtvorlegen des Verarbeitungsverzeichnisses nach Aufforderung durch die Datenschutzbehörde kann gem Art 83 Abs 4 lit a DSGVO mit einer Geldbuße von bis zu EUR 10,000.000,– oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem welcher Betrag höher ist, geahndet werden.