Public Transport Forum - Privacy policy
Datenverarbeitungsverzeichnis
nach Art. 30 Abs 1
EU-Datenschutzgrundverordnung (DSGVO)
Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen
Name(n) und Anschrift(en)
Verein: Verein zur Förderung des öffentlichen Personenverkehr, Reisen und Tourismus
Breitenfurterstrasse 422b, 1230 Wien
Verantwortlich: Andrej Pietschmann
Datenschutz@publictransport.at
Tel:06 81 81 433 525
Namen und Kontaktdaten des Auftragsverarbeiters
Name(n) und Anschrift(en) 1
Firma: Telematica Internet Service Provider GmbH
Reininghausstraße 13a 8020 Graz
Verantwortlich 1: Wolfgang Ertl
Funktion: Datenschutzbeauftragter
wertl@anexia-it.com
Datenschutzbeauftragter:
Wolfgang Ertl
wertl@anexia-it.com
Mitgliederverwaltung
letzte Bearbeitung: 01.10.2018
Beschreibung:
Mitgliederverwaltung als Erfordernis der Vereinsführung, Erfüllung der Statuten, Erfüllung aller vereinsbezogenen Aufgaben und Verpflichtungen. Führung der Mitgliederverwaltung in Form von CSV-Listen/Datenbank in einen Datenverarbeitungsprogramm. Die Rechtsgrundlage für diese Verarbeitungstätigkeit entspringt dem Mitgliedsvertrag = vertragliche Grundlage. Via einer Datenschutzvereinbarung am Beitrittsformular wird der Interessent vor Abschluss der Mitgliedschaft über Verarbeitungszwecke, verarbeitete Datenkategorien, Empfänger, Dauer der Datenspeicherung, etc. informiert. Zusätzlich erfolgt die Erteilung der Information nach den Art 13, 14 DSGVO im Detail über einen Datenschutzbutton auf der Webpage des Vereines. Der Zugriff auf die Datenbank ist passwortgeschützt. Zugriff hat folgender eingeschränkter Personenkreis: Obmann, Finanzreferent sowie deren Stellvertreter. Nach Beendigung der Mitgliedschaft werden alle Daten - soweit kein Rückstand an Zahlungen (offener Mitgliedsbeitrag, Teilbeträge hiervon, sonstige berechtigte Forderungen des Vereins) seitens des Mitglieds besteht und die Daten auch nicht zur Geltendmachung, Ausübung oder Vermeidung von Rechtsansprüchen des Vereins benötigt werden - nach Ablauf eines Jahres nach Austritt gelöscht. Diese Frist dient dem Vereinszweck und soll sicherstellen, dass die Abwicklung des Vertrages mit dem Mitglied und die damit zusammenhängenden Aufgaben gewährleistet ist. Im Falle des Bestehens offener Forderungen zum Zeitpunkt des Austritts beginnt der Fristablauf mit dem Zeitpunkt des Begleichens der offenen Zahlungen. Auf die einjährige Frist wird in der oben geschilderten Datenschutzerklärung gesondert hingewiesen. Daten/Datensätze, die zur Erfüllung der gesetzlichen Anforderungen (z.B. Buchführung) benötigt werden, bleiben für die in den Materiengesetzen normierte Aufbewahrungsdauer gespeichert und werden anschließend gelöscht. Ein Backup des Excel-Files wird auf einem verschlüsselten USB-Stick/externe Festplatte abgelegt, welcher/welche der Obmann an seinem Wohnort aufbewahrt.
Sollte ein Vereinsmitglied auf eine bestimmte oder unbestimmte Zeit aus den Verein ausgeschlossen sein so werden seine Daten solange gespeichert bis die festgelegte Zeitspanne erloschen ist. Darüber hinaus können Finanzunterlagen, Rechnungen, Ein und Auszahlungen über Elektronische Konten gemäß Gesetzlichen vorgaben eine gesonderte Lösch-, Vernichtsungs Frist haben.
Rechtsgrundlage
Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
Sensible Daten nach DSGVO Art. 9
nein
Datenschutzfolgeabschätzung durchgeführt?
nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
Mitglieder
Kategorien der verarbeiteten Daten
Geschlecht
Eintrittsdatum
Austrittsdatum
Telefon
Straße (privat)
PLZ (privat)
Ort (privat)
Vorname
Nachname
Geburtsdatum
e-mail Adresse
Nationalität
Technische Maßnahmen
Zugriff eingeschränkt (Zugriff nur durch Obmann, Finanzreferent sowie dessen Stellvertreter)
Backup Datenbank (Verschlüsselter USB-Stick, Durchführung der Backups durch den Vereinsobmann)
Cloud Storage
letzte Bearbeitung: 01.10.2018
Beschreibung:
Die Speicherung von Vereinsdaten in der Cloud/ Hoster dient der Vereinfachung und Flexibilisierung des Zugriffs auf diese Daten im Vergleich zur Speicherung auf einem PC oder einer Festplatte, die ortsgebunden sind. Zudem sind die Daten so besser vor dauerndem Verlust geschützt und es wird Speicherplatz auf den vereinseigenen Datenträgern eingespart. In der Cloud/ Hoster werden daher vor allem jene Daten gespeichert, die von einer größeren Anzahl von Personen und ortsungebunden abgefragt werden sollen. Gerade bei großen Datenmengen, wie sie bei einem größeren Verein anfallen, stellt die Nutzung von Cloud Storage/ Hosting Angebot eine sinnvolle Ergänzung dar. Angaben zur Datensicherheit/zu Datenschutzmaßnahmen, die der Clouddienst-Anbieter/ Hoster setzt (Serverstandorte, Sicherheitsmaßnahmen, Backup, etc.) Anmerkung: diese Angaben stellt der Diensteanbieter zur Verfügung - eventuell Upload von Dateien/Mitteilungen hierzu unter PDF Upload
Rechtsgrundlage Ergänzung: Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich: der Verantwortliche hat ein berechtigtes Interesse daran, auf gewisse Daten ortsungebunden zugreifen zu können
Auftragsverarbeiter
Auftragsverarbeiter Cloud
Rechtsgrundlage
Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegt
Sensible Daten nach DSGVO Art. 9
nein
Datenschutzfolgeabschätzung durchgeführt?
nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
je nach Verein (interne Entscheidung, welche Daten in die Cloud ausgelagert werden)
Funktionäre
Mitglieder
freiwillige Helfer
Mitarbeiter
Kategorien der verarbeiteten Daten
je nach Verein (interne Entscheidung, welche Daten in die Cloud ausgelagert werden)
Technische Maßnahmen
Zugriff eingeschränkt (der Zugriff zur Cloud ist nur mit einem Passwort möglich. Unterschiedliche und unterschiedlich sensible Bereiche der Cloud haben jeweils andere Passwörter.)
Newsletter
letzte Bearbeitung: 01.10.2018
Beschreibung:
Allgemeine Informationen über das Vereinsgeschehen, detaillierte Sparten informationen, Informationen über Vereinsangebote, Kurse, Seminare, Kunst und Sportfeste, Nützliches und Wissenswertes zu den Themen Reisen, öffentlicher Verkehr und Tourismuss.
Zwei Möglichkeiten der Anmeldung zum Newsletter: 1.) Website Verein, 2.) Anmeldeformular Vereinsbeitritt
ad 1.) Website:
Die Anmeldung zum Newsletter via Vereins-Website ist nicht nur für Mitglieder, sondern auch für Interessenten und alle anderen Besucher der Website möglich. Anmeldung ausschließlich per Double-Opt-In Verfahren. Information über Verarbeitungszwecke, verarbeitete Daten, Widerrufsbelehrung Art 21 Abs 4 vorhanden - zu den Formalitäten der Newsletter-Anmeldung siehe beigefügte Datei/beigefügtes Formular. Der Newsletter wird derzeit unregelmäßig versendet. Es erfolgt keine Weitergabe der Daten an Dritte. Die technische Abwicklung übernimmt der beauftragte Website-Dienstleister. Eine Abmeldung vom Newsletter ist jederzeit über die Vereins-Website möglich oder im Newsletter selber durch klick des dazugehörigen Text am Anfang oder am Ende.
ad 2.) Anmeldung Newsletter über Vereinsanmeldeformular:
Extra angeführte Newsletter-Anmeldung auf Vereinsbeitrittsformular, Anmeldung durch Ankreuzen der entsprechenden Checkbox. Keine Koppelung zur Vereinsanmeldung bzw. zur Mitgliedschaft - die Mitgliedschaft zum Verein ist auch ohne Bezug des Newsletters möglich. Gleiche Formulierung wie online-Einwilligung Newsletter-Bezug, zu den Formalitäten siehe ebenso in der Beilage.
Übergreifend:
In jedem Newsletter wird auf die Möglichkeit der Abmeldung via der Vereins-Website hingewiesen. Zusätzlich können Abmeldungen zum Newsletter jederzeit per E-Mail an den Verein gerichtet werden. Diese E-Mails werden von uns selbst, nicht durch den Websitebetreiber administriert. Da der Newsletter personalisiert verschickt wird, wird das Geschlecht bei der Anmeldung dafür verpflichtend verlangt.
Auftragsverarbeiter
Auftragsverarbeiter Website
Rechtsgrundlage
Einwilligung (Art. 6 Abs. 1 lit. a)
Sensible Daten nach DSGVO Art. 9
nein
Datenschutzfolgeabschätzung durchgeführt?
nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
Mitglieder
Interessenten
Kategorien der verarbeiteten Daten
Nachname
Vorname
E-Mail-Adresse
Geschlecht
Technische Maßnahmen
Verschlüsselung personenbezogener Daten (wird vom Provider durchgeführt)
Organisatorische Maßnahmen
Online-Zugang beschränkt (Der Zugang zum Online-Newsletter System ist dem Vorstand sowie Pressereferenten des Vereins vorbehalten.)
Allgemeine technische und organisatorische Maßnahmen
|
Vorhanden? |
Umgesetzt? |
Wenn nein, warum nicht? |
Ist eine IT-Systemdokumentation vorhanden? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Ist eine Hardware-Firewall vorhanden? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Ist die Windows Firewall aktiv? |
Nein |
|
Der Verein besitzt keine Windows Lizenzen. |
Erfolgt der Remotezugriff über VPN? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Computer mit Passwörter geschützt? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Windows Updates aktuell? |
Nein |
|
Der Verein besitzt keine Windows Lizenzen. |
Sichere Passwörter E-Mails? |
Ja |
Ja |
- |
Mobile Geräte mit Passwort versehen? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Dokumente auf Firmenhandy abgelegt? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Verpflichtungserklärung Mitarbeiter Datengeheimnis? |
Ja |
|
|
Virenschutz vorhanden und aktuell? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Versperrbarkeit sensibler Unterlagen? |
Nein |
|
Der Verein besitzt kein Mobiliar. |
Bildschirmschoner mit Passwort-Sperre? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Werden die Computer beim Verlassen des Büros heruntergefahren? |
Nein |
|
Der Verein besitzt kein Büro. |
Werden nicht mehr benötigte Datenträger physisch zerstört? |
Nein |
|
Der Verein besitzt keine physischen Datenträger. |
Wird Altpapier geschreddert? |
Nein |
|
Anfallendes Altpapier wird Thermisch verwertet falls Daten die den Datenschutz unterliegen sofern dieses Technisch möglich ist. |
Standards, wenn Mitarbeiter aus dem Unternehmen ausscheiden, festgelegt und unterzeichnet? |
|
|
|
Passwort-Richtlinie für EDV Systeme vorhanden? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Unterschiedliche Passwörter für Computer und Mails vorhanden? |
Ja |
|
|
PW-Änderung alle 365 Tage? |
Ja |
|
|
Software-Updates regelmäßig durchgeführt? |
Ja |
|
Das Web Angebot welches durch den Verein Betreut wird regelmäßigen Updates unterzogen. |
Sicherheitsrichtlinie für mobile Geräte (Handy, Tablet) vorhanden? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Cloud-Speicher (keine privaten Accounts)? |
Ja |
Alle Accounts werden ausschließlich für das Vereinswesen verwendet. Jedweilige Privatnutzung ist untersagt. |
|
Cloud-Speicher rechtlich OK (DSGVO)? |
Ja |
|
|
Sensibilisierung der Mitarbeiter für Viren-Mails / Pishing Mails? |
Nein |
|
Der Verein verfügt über keine Mitarbeiter |
Notfallplan für Virenbefall? |
Ja |
|
|
WLAN Sicherheit (Passwort, Verschlüsselung, ev Gäste-WLAN)? |
Nein |
|
Der Verein besitzt keine IT Hardware. |
Backup Strategie? |
Ja |
|
|
Aufbewahrung der Backup-Datenträger? |
Ja |
|
|
Schlüsselverwaltung schriftlich dokumentiert? |
Ja |
|
|