Datenschutz

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)

(Fabian Kerschbaum – URKLANG ACADEMY)

 

 

 

Inhalt

1. Stammdatenblatt: Allgemeine Angaben

2. Datenverarbeitungen/Datenverarbeitungszwecke

3. Detailangaben 

4. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

 

 

 

1. Stammdatenblatt

​

Fabian Kerschbaum 

Schrotzbergstraße 6/13 

1020 WIen

info@urklangmusic.com

00436645437172

 

1. Datenverarbeitungen/Datenverarbeitungszwecke

 

1. Zwecke und Beschreibung der Datenverarbeitung:

1. Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenzen oder Verträge) in diesen Angelegenheiten.

2. Personalverwaltung: Verarbeitung und Übermittlung von Daten für die Personalplanung, Personalanstellung, Personalentlohnung sowie die Personalentwicklung und die damit verbundenen Verarbeitungen und Übermittlungen für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von arbeits- und sozialrechtlich vorgegebener Aufzeichnungs-, Auskunfts- und Meldepflichten, Führung von Notfallkontaktlisten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen, Bewerbungsschreiben, Dienstzeugnisse, Testergebnisse, Stellenbeschreibungen) in diesen Angelegenheiten.

3. Kundenbetreuung und Marketing für eigene Zwecke: Verwendung von eigenen oder zugekauften Kunden- und Interessentendaten für die Geschäftsanbahnung betreffend das eigene Lieferungs- oder Leistungsangebot, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in dieser Angelegenheit.

4. Verwaltung von Benutzerkennzeichen und Zutrittskontrollsysteme:

Systemzugriffskontrolle und Verwaltung von Benutzerkennzeichen für die Datenanwendungen des Verantwortlichen, sowie Verwaltung der Zuteilung von Hard- und Software an die Systembenutzer, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in diesen Angelegenheiten.

Kontrolle der Berechtigung des Zutritts zu Gebäuden und abgegrenzten Bereichen durch den Eigentümer oder Benutzungsberechtigten mit Hilfe von Anlagen, die personenbezogene Daten automationsunterstützt ermitteln und speichern, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in dieser Angelegenheit.

 

1. Wurde eine Datenschutz-Folgenabschätzung durchgeführt? 

 

Ja     ☐     Wann? …………………………………………..    

Nein    ☒    Warum nicht?  Für die in diesem Verarbeitungsverzeichnis dokumentierten Datenanwendungen ist nach Art. 35 Abs. 5 DSGVO iVm § 1 Abs. 2 Z 2 DSFA-AV (White-List der Datenschutzbehörde) keine Datenschutz-Folgenabschätzung durchzuführen, da alle Datenverarbeitungen aufgrund der Übereinstimmung mit der StMV idF vom 24.5.2018 nicht meldepflichtig waren, und keine wesentlichen Veränderungen eingetreten sind.

• ​

 

 

1. Detailangaben 

• • a) Rechnungswesen und Geschäftsabwicklung

1. Kategorien der betroffenen Personen

Lfd. Nr.

Beschreibung der Kategorien betroffener Personen 

1

Kunden und Lieferanten inkl. Kontaktpersonen beim Kunden und Lieferanten

2

Sachbearbeiter beim Verantwortlichen

3

An der Geschäftsabwicklung mitwirkende Dritte inkl. Kontaktpersonen bei den Dritten

 

 

1. Rechtmäßigkeitsgrundlagen

Lfd. Nr.

 

Beschreibung der Rechtmäßigkeitsgrundlagen, auf die sich Datenverarbeitung stützt 

1

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Betroffenen)

2

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3

Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen nach der BAO, u.a. § 132, und dem UGB, u.a. §§ 190, 212)

4

Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen oder eines Dritten)

 

 

1. Verträge, Zustimmungserklärungen oder sonstige Unterlagen (z.B. Erledigung der Informationspflichten) sind abgelegt:

Unterlagen zu aufrechten Geschäftsabwicklungen in der Verkaufsabteilung, Rechnungen (auch) in der Finanzabteilung, erledigte Geschäftsfälle im Archiv. Verträge mit Auftragsverarbeitern sind, je nach Thematik, in der Rechtsabteilung, Finanzabteilung, Vertriebsabteilung oder IT-Abteilung abgelegt.

 

1. Löschungs- und Aufbewahrungsfristen (wenn möglich)

Lfd. Nr.

 

Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen

1

Steuerrechtliche Aufbewahrungspflicht nach § 132 Abs 1 BAO: 7 Jahre, darüberhinausgehend, solange sie für die Abgabenbehörde in einem anhängigen Verfahren von Bedeutung sind. Fristbeginn: ab Schluss des Kalenderjahres, für das die Eintragungen in die Bücher oder Aufzeichnungen vorgenommen worden sind, und für die Belege, Geschäftspapiere und sonstigen Unterlagen vom Schluss des Kalenderjahres, auf das sie sich beziehen; bei einem vom Kalenderjahr abweichenden Wirtschaftsjahr beginnt der Fristenlaufbeginn vom Schluss des Kalenderjahres, in dem das Wirtschaftsjahr endet.

 

Unternehmensrechtliche Aufbewahrungspflicht nach §§ 190, 212 UGB: 7 Jahre. Fristbeginn: ab Schluss des Kalenderjahres, für das die letzte Bucheintragung vorgenommen, das Inventar aufgestellt, die Eröffnungsbilanz und der Jahresabschluss festgestellt, der Konzernabschluss aufgestellt oder der Geschäftsbrief empfangen oder abgesendet worden ist.

2

Bis zum Ablauf der für den Verantwortlichen geltenden vertraglichen (z.B. Garantie) oder gesetzlichen Fristen (z.B. Gewährleistung, Produkthaftung).

3

Bis zur Beendigung eines allfälligen Rechtsstreits.

4

Bis zur Beendigung der Geschäftsbeziehung.

 

1. Kategorien der verarbeiteten Daten, Empfängerkategorien, Rechtmäßigkeitsgrundlagen und Löschungs- bzw. Aufbewahrungsfristen

 

Verarbeitung besonders geschützter Daten

Werden sensible Daten (Art 9 Abs 1 DSGVO) verarbeitet? 

 

Ja ☐

Nein ☒

Werden strafrechtlich relevante Daten (Art 10 DSGVO) verarbeitet? 

Ja ☐

Nein ☒

 

• • b) Personalverwaltung

1. Kategorien der betroffenen Personen

Lfd. Nr.

Beschreibung der Kategorien betroffener Personen 

1

Arbeitnehmer, freie Dienstnehmer, Lehrlinge, Ferialpraktikanten, ehemalige Beschäftigte

 

2

Bewerber

 

3

Mitversicherte, Angehörige, sonstige Personen

 

​

 

1. Rechtmäßigkeitsgrundlagen1

Lfd. Nr.

 

Beschreibung der Rechtmäßigkeitsgrundlagen, auf die sich Datenverarbeitung stützt 

1

Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs 1 lit a DSGVO (Einwilligung des Betroffenen)

2

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3

Art. 6 Abs. 1 lit. c bzw. Art 9 Abs 2 lit b, h, i, g (gesetzliche Verpflichtungen nach ABGB, AMSG, AngG, ArbIG, ArbVG, ARG, ASchG, ASVG, AuslBG, BAG, BEinstG, BMVSG, BundesarbeiterkammerG, EFZG, EStG, FLAF, FLAG, GlBG, MSchG, PKG, UrlG, VersVG, VKG, Kollektivverträge, Betriebsvereinbarungen.)

4

Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen oder eines Dritten)

​​​

 

• • c) Kundenbetreuung und Marketing für eigene Zwecke

1. Kategorien der betroffenen Personen

Lfd. Nr.

Beschreibung der Kategorien betroffener Personen 

1

eigene Kunden; Interessenten, die an den Verantwortlichen selbst herangetreten sind

2

Kontaktpersonen beim Kunden oder Interessenten

3

potenzielle Interessenten, deren Adressen von Adressverlagen zugekauft (gemietet) oder selbst ermittelt wurden

 

 

 

1. Rechtmäßigkeitsgrundlagen

Lfd. Nr.

 

Beschreibung der Rechtmäßigkeitsgrundlagen, auf die sich Datenverarbeitung stützt 

1

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Betroffenen)

2

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3

Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen)

4

Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen oder eines Dritten)

 

 

 

1. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen

 

(HINWEIS: die hier angeführten Maßnahmen verstehen sich als beispielhafte Auflistung; es ist je nach Einzelfall und Risikobehaftung der Datenverarbeitung zu entscheiden, welche konkreten Maßnahmen zu treffen sind und welche im Einzelfall auch zumutbar sind)

 

 

1. 1. Vertraulichkeit:

      1. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch Schlüssel.

      2. Zugangskontrolle: Schutz vor unbefugter Systembenutzung, durch Kennwärter und Zwei-Faktor-Authentifizierung. 

      3. Zugriffskontrolle: Zugriff nur für Unternehmensinhaber, Mitarbeiter der Abteilung Rechnungswesen und Mitarbeiter, die an der Geschäftsabwicklung beteiligt sind

 

1. 1. Integrität:

      1. Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport. Verschlüsselung

 

1. 1. Verfügbarkeit und Belastbarkeit:

      1. Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backup-Strategie der Festplatten.

 

1. 1. Pseudonymisierung und Verschlüsselung:

      1. Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.

 

1. 1. Evaluierungsmaßnahmen:

      1. Datenschutz-Management (z.B. Risikoanalyse, Datenschutz-Folgenabschätzung), einschließlich regelmäßiger Mitarbeiter-Schulungen. 

 

 

 

Sie können der Verarbeitung Ihrer personenbezognen Daten für Zwecke der Werbung und Datenanalyse jederzeit und kostenfrei unter den oben angeführten Daten (unter A) Stammdaten) widersprechen.