Stand 24.09.2019

Datenverarbeitungsverzeichnis nach
Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)
(Verantwortlicher)

Inhalt

A - Stammdatenblatt: Allgemeine Angaben
B - Datenverarbeitungen / Datenverarbeitungszwecke
C - Detailangaben zu den einzelnen Datenverarbeitungszwecken
D - Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

A - Stammdatenblatt

Name und Kontaktdaten des für die Verarbeitung Verantwortlichen:

Lernplattform-Metall e.U.
FN 457926 x Landesgericht Wels

Ing. Dr. phil. Robert Murauer, MSc BEd
Pichlhofstraße 59
4813 Altmünster / Österreich

office@lernplattform-metal.eu
+43/650-43 650 43

B- Datenverarbeitungen / Datenverarbeitungszwecke

1. Zwecke und Beschreibung der Datenverarbeitung:

a. Bestell- und Kundenverwaltung
b. Rechnungswesen
c. Benutzeranmeldung
d. Benutzerbezogene Statistiken
e. Merkfunktionen
f. Demozugangsverwaltung

2. Datenschutz-Folgenabschätzung:

Die Datenverarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke und es liegt eine Rechtmäßigkeitsgrundlage (Vertrag) für die Verarbeitung vor.
Die Datenverarbeitung ist für den Zweck erforderlich und angemessen sowie auf das notwendige Maß beschränkt.
Darüber hinaus wurden Maßnahmen für die Erfüllung der Betroffenenrechte ergriffen, wie die Informationspflichten, Auskunftsrecht, Recht auf Datenübertragbarkeit, Berichtigungs- und Löschungsrecht und Widerspruchsrecht, die öffentlich zugänglich in der Datenschutzerklärung festgehalten sind.
Das Verhältnis zu Auftragsverarbeitern ist durch einen Vertrag mit dem erforderlichen Inhalt geregelt und es wurden auch nur inländische „zuverlässige“ Auftragsverarbeiter (world4you Linz/Österreich) beauftragt, die der DSGVO unterliegen.

Bei der Verarbeitung der Daten erfolgt keine systematische und umfassende Bewertung persönlicher Aspekte, die insbesondere die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder den Ortswechsel natürlicher Personen betreffen, auf Basis automatisierter Verarbeitung.
Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können.

Im Weiteren erfolgt keine Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten statt. Auch beinhaltet die Verarbeitung kein hohes Risiko für die Rechte und Freiheiten der Betroffene und die Verarbeitung beinhaltet keine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung.

Ebenso beinhaltet die Datenverarbeitung kein (potentielles) Abgleichen oder Zusammenführen von Datensätze, wie das Zusammenführen von Datensätzen aus unterschiedlichen Anwendungszwecken und dass dieser Vorgang von den betroffenen Personen vernünftigerweise auch nicht erwartet werden konnte.
Möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen durch die:

• Datenverfügbarkeit: Bei der beabsichtigten Datenverarbeitung besteht das Risiko in Bezug auf Data breach oder durch die Einbindung von Auftragsverarbeitern, dass diese ihren vertraglichen Verpflichtungen nicht nachkommen oder deren „Zuverlässigkeit“ nicht gewährleistet ist.
• Integrität und Vertraulichkeit: Im Weiteren besteht das Risiko, dass durch einen unerlaubten Datenabgriff die personenbezogenen Daten (Kontaktdaten) zu unbefugter oder zu unrechtmäßiger Verarbeitung seitens Dritter herangezogen werden. Auch kann ein etwaiger (unbeabsichtigter) Verlust der Daten nicht ausgeschlossen werden.

Aus den angeführten Risiken können sich mögliche Risikofolgen ergeben, wie:

• materieller und immaterieller Schaden beim Betroffenen,
• Verlust der Kontrolle über die Daten oder
• Identitätsdiebstahl oder -betrug

Um die Risiken zu minimieren werden folgende Sicherheitsmaßnahmen ergriffen, wie

• die SSL-geschützte Datenübertragung,
• die Protokollierung der Zugriffe,
• die Herstellung der Computersicherheit durch regelmäßige Updates des Betriebssystems und der Anwendungsprogramme,
• die Einschränkung des Zuganges durch die Verwendung komplexer Kennwörter oder durch die Nutzung von biometrischen Zugangskontrollen (Fingerprint-Reader),
• die Herstellung der Netzwerksicherheit durch Sicherheitseinstellungen bei den benutzen Browsern und die Verwendung einer Firewall und
• die Anwendung eines Datensicherungskonzeptes auf externe Datenträger, durch Sicherung in der Cloud und durch Sicherung durch den Provider world4you (Linz/Österreich).

Sollte jedoch der oben geschilderten Sicherheitsmaßnahmen es zu einem eintretenen Risikos, insbesondere Data breach, kommen, werden folgende Maßnahmen ergriffen, wie 

• die umgehende Verständigung der Betroffenen per E-Mail,
• die umgehende Meldung an die Datenschutzbehörde (DSB) und
• die Ergreifung technischer Maßnahmen um einen weiteren Datenverlust zu verhindern (Passwortänderungen, vorübergehende Stilllegung des Dienstes u.a.).

C - Detailangaben zur Bestell- und Kundenverwaltung

a. Kategorien der betroffenen Personen:

1 - Kunden: natürliche und juristische Personen

b. Rechtsgrundelage(n):

• Geschäftsanbahnung durch Kunden

c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:

• online in Datenbank
• Bestellung per Online-Formular
• Zusendung der Rechnung als PDF

d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:

• kundenbezogene Grund- bzw. Kontaktdaten
• Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungspflicht oder bei Nichtzustandekommens eines Vertrages

Kategorien der betroffenen Personen

Kategorien der betroffenen Personen­gruppe aus Punkt 1 des C-Blattes	Lfd.Nr.	Datenkategorie	Besondere Daten­kategorien iSd Art 9 DSGVO, straf­rechtlich relevant iSd Art 10 DSGVO	Empfänger
1 - Kunden	1	Anrede		Betroffener, Verantwortlicher
1 - Kunden	2	Vorangestellte Titel		Betroffener, Verantwortlicher
1 - Kunden	3	Nachgestellte Titel		Betroffener, Verantwortlicher
1 - Kunden	4	Vorname		Betroffener, Verantwortlicher, ­Behörden
1 - Kunden	5	Nachname		Betroffener, Verantwortlicher, Behörden
1 - Kunden	6	Postleitzahl		Betroffener, Verantwortlicher, Behörden
1 - Kunden	7	Landeskennung		Betroffener, Verantwortlicher
1 - Kunden	8	Ortsname		Betroffener, Verantwortlicher, Behörden
1 - Kunden	9	Straße		Betroffener, Verantwortlicher, Behörden
1 - Kunden	10	Hausnummer		Betroffener, Verantwortlicher, Behörden
1 - Kunden	11	E-Mail Adresse		Betroffener, Verantwortlicher
1 - Kunden	12	Webadresse (nur bei Firmen)		Betroffener, Verantwortlicher
1 - Kunden	13	Angebotsnummer (nur bei Firmen)		Betroffener, Verantwortlicher
1 - Kunden	14	Angebotdatum (nur bei Firmen)		Betroffener, Verantwortlicher
1 - Kunden	15	Bestellnummer (nur bei Firmen)		Betroffener, Verantwortlicher, Behörden
1 - Kunden	16	Bestelldatum (nur bei Firmen)		Betroffener, Verantwortlicher, Behörden

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)	Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 16	3 Monate nach Bestellung und Nichtzustandekommen des Vertrages
1 - 16	3 Monate nach Ablauf der gesetzlichen Aufbewahrungsfrist (7 Jahre) bei Vertrag

C - Detailangaben zum Rechnungswesen

a. Kategorien der betroffenen Personen:

1 - Kunden: natürliche und juristische Personen
2 - Lieferanten: juristische Personen

b. Rechtsgrundelage(n):

• Vertragserfüllung
• Rechnungsaufbewahrungspflicht

c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:

• online in Datenbank
• Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
• als papiermäßiger Ausdruck

d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:

• kundenbezogene Daten für die gesetzlich vorgeschriebene Rechnungslegung
• Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungsfrist (7 Jahre)

Kategorien der betroffenen Personen­gruppe aus Punkt 1 des C-Blattes	Lfd.Nr.	Datenkategorie	Besondere Daten­kategorien iSd Art 9 DSGVO, straf­rechtlich relevant iSd Art 10 DSGVO	Empfänger
1 - Kunden 2 - Lieferanten	1	Anrede		Betroffener, Verantwortlicher
1 - Kunden 2 - Lieferanten	2	Vorangestellte Titel		Betroffener, Verantwortlicher
1 - Kunden 2 - Lieferanten	3	Nachgestellte Titel		Betroffener, Verantwortlicher
1 - Kunden 2 - Lieferanten	4	Vorname		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	5	Nachname		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	6	Postleitzahl		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	7	Landeskennung		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	8	Ortsname		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	9	Straße		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	10	Hausnummer		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	11	E-Mail Adresse		Betroffener, Verantwortlicher
1 - Kunden 2 - Lieferanten	12	Bestellnummer (nur bei Firmen)		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	13	Bestelldatum (nur bei Firmen)		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	14	Rechnungsnummer		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	15	Rechnungsdatum		Betroffener, Verantwortlicher, Behörden
1 - Kunden 2 - Lieferanten	16	Rechnungstext		Betroffener, Verantwortlicher, Behörden
1 - Kunden	17	Lizenztype		Betroffener, Verantwortlicher, Behörden
1 - Kunden	18	Lizenzmenge		Betroffener, Verantwortlicher, Behörden
1 - Kunden	19	Lizenzbeginn		Betroffener, Verantwortlicher, Behörden
1 - Kunden	20	Lizenzende		Betroffener, Verantwortlicher, Behörden

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)	Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 20	3 Monate nach Ablauf der gesetzlichen Aufbewahrungsfrist (7 Jahre) laut BAO

C - Detailangaben zur Benutzerverwaltung

a. Kategorien der betroffenen Personen:

1 - Kunden: natürliche und juristische Personen

b. Rechtsgrundelage(n):

• Vertragserfüllung

c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:

• online in Datenbank
• Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
• als papiermäßiger Ausdruck

d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:

• Benutzerbezogene Daten für die Zugriffsverwaltung
• Löschung drei Monate nach Beendigung der gesetzlichen Aufbewahrungsfrist (7 Jahre)

Kategorien der betroffenen Personen­gruppe aus Punkt 1 des C-Blattes	Lfd.Nr.	Datenkategorie	Besondere Daten­kategorien iSd Art 9 DSGVO, straf­rechtlich relevant iSd Art 10 DSGVO	Empfänger
1 - Kunden	1	Benutzer-ID		Verantwortlicher
1 - Kunden	2	Benutzername		Betroffener, Verantwortlicher
1 - Kunden	3	Benutzerkennwort (verschlüsselt)		Betroffener, Verantwortlicher
1 - Kunden	4	Benutzer-PIN (verschlüsselt)		Betroffener, Verantwortlicher
1 - Kunden	5	Sub-Benutzer-ID		Betroffener, Verantwortlicher
1 - Kunden	6	Sub-Benutzername		Betroffener, Verantwortlicher
1 - Kunden	7	Sub-Benutzerkennwort (verschlüsselt)		Betroffener, Verantwortlicher
1 - Kunden	8	Lizenztype		Betroffener, Verantwortlicher, Behörden
1 - Kunden	9	Lizenzmenge		Betroffener, Verantwortlicher, Behörden
1 - Kunden	10	Lizenzstatus		Betroffener, Verantwortlicher
1 - Kunden	11	Lizenzbeginn		Betroffener, Verantwortlicher, Behörden
1 - Kunden	12	Lizenzende		Betroffener, Verantwortlicher, Behörden
1 - Kunden	13	Zeitstempel		Betroffener, Verantwortlicher, Behörden
1 - Kunden	14	Seitenname bzw. Seiten-ID		Betroffener, Verantwortlicher
1 - Kunden	15	von außen sichtbare IP-Adresse		Verantwortlicher
1 - Kunden	16	Browser (userAgent)		Verantwortlicher
1 - Kunden	17	Zeitstempel der letzten korrekten Anmeldung		Betroffener, Verantwortlicher
1 - Kunden	18	Zeitstempel der letzten korrekten Abmeldung		Betroffener, Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)	Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 18	3 Monate nach Ablauf der Lizenz

C - Detailangaben zur Erstellung von Statistiken (Profiling)

a. Kategorien der betroffenen Personen:

1 - Kunden: natürliche und juristische Personen

b. Rechtsgrundelage(n):

• Vertragserfüllung

c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:

• online in Datenbank
• Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
• als papiermäßiger Ausdruck
• Zustimmung muss explizit erfolgen (privacy by design)

d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:

• Benutzerbezogene Daten für interne Statistiken (Nutzungshäufigkeit, Lernerfolgskontrollen etc.)
• Löschung drei Monate nach Beendigung des Lizenzvertrages

Kategorien der betroffenen Personen­gruppe aus Punkt 1 des C-Blattes	Lfd.Nr.	Datenkategorie	Besondere Daten­kategorien iSd Art 9 DSGVO, straf­rechtlich relevant iSd Art 10 DSGVO	Empfänger
1 - Kunden	1	Benutzer-ID		Verantwortlicher
1 - Kunden	2	Benutzername		Betroffener, Verantwortlicher
1 - Kunden	3	Quiznummer		Betroffener, Verantwortlicher
1 - Kunden	4	maximal erreichte Punkte		Betroffener, Verantwortlicher
1 - Kunden	5	aktuell erreichte Punkte		Betroffener, Verantwortlicher
1 - Kunden	6	eingestelltes Zeitlimit		Betroffener, Verantwortlicher
1 - Kunden	7	Aktivitätspunkte		Betroffener, Verantwortlicher
1 - Kunden	8	Seitenname bzw. Seiten-ID		Betroffener, Verantwortlicher
1 - Kunden	9	Zeitstempel		Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)	Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 9	3 Monate nach Ablauf der Lizenz

C - Detailangaben zur Merkfunktion

a. Kategorien der betroffenen Personen:

1 - Kunden: natürliche und juristische Personen

b. Rechtsgrundelage(n):

• Vertragserfüllung

c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:

• Lizenzvertrag (Rechnung) mit Zugangskennungen als PDF-Datei und
• als papiermäßiger Ausdruck

d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:

• online in Datenbank (privacy by design)
• Speicherung der Auswahl (selektierte Vokabeln, Auswahl bei Lexikon Light ...)
• Löschung drei Monate nach Beendigung des Lizenzvertrages

Kategorien der betroffenen Personen­gruppe aus Punkt 1 des C-Blattes	Lfd.Nr.	Datenkategorie	Besondere Daten­kategorien iSd Art 9 DSGVO, straf­rechtlich relevant iSd Art 10 DSGVO	Empfänger
1 - Kunden	1	Benutzer-ID		Verantwortlicher
1 - Kunden	2	Auswahl		Betroffener, Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)	Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 2	3 Monate nach Ablauf der Lizenz

C - Detailangaben zum Zugang der Demofunktion

a. Kategorien der betroffenen Personen:

1 - Interessenten: natürliche und juristische Personen

b. Rechtsgrundelage(n):

• Vertragserfüllung

c. Verträge, Zustimmungserklärungen oder sonstige Unterlagen sind abgelegt:

• online in Datenbank (privacy by design)

d. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen:

• E-Mailadresse
• keine Löschung

1

Kategorien der betroffenen Personen­gruppe aus Punkt 1 des C-Blattes	Lfd.Nr.	Datenkategorie	Besondere Daten­kategorien iSd Art 9 DSGVO, straf­rechtlich relevant iSd Art 10 DSGVO	Empfänger
1 - Interessenten	1	Benutzer-ID		Verantwortlicher
1 - Interessenten	2	Benutzername		Betroffener, Verantwortlicher
1 - Interessenten	3	Kennwort		Betroffener, Verantwortlicher
1 - Interessenten	4	PIN		Betroffener, Verantwortlicher
1 - Interessenten	5	E-Mail Adresse		Betroffener, Verantwortlicher
1 - Interessenten	6	Zustimmungs­erklärung		Verantwortlicher
1 - Interessenten	7	Zeitstempel		Verantwortlicher

Löschungs- und Aufbewahrungsfristen (wenn möglich)

Daten aus 4.a. (Lfd. Nr.)	Angabe bzw. Beschreibung der Löschungs- bzw. Auf­bewahrungs­fristen
1 - 7	keine Löschung

D - Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen

1. Vertraulichkeit:

• Datenbankzugriff mittels Kennwort gesichert
• Zugang zu den papiermäßigen archivierten Rechnungen nur einem eingeschränkten Personenkreis möglich
• Nutzung von SSL-Übertragung (SSL-Zertifikat)

2. Integrität:

• Sicherung in digitaler und papiermäßiger Form (Rechnungen)
• Datensicherungskonzept, mittels externen verschlüsselten Sicherungsmedium (USB-Datenträger) und Cloud-Sicherung
• Sicherung durch Provider (world4you, Linz/Österreich)
• Zugangsbeschränkung durch technische Maßnahmen (komplexe Kennwörter oder biometrische Zugriffskontrollen)

3. Verfüg- und Belastbarkeit:

• Die Verfügbarkeit des Dienstes ist vom Provider world4you (Linz/Österreich) abhängig

4. Pseudonymisierung und Verschlüsselun:

• Innerhalb der Datenbank sind die Kennwörter hash-verschlüsselt hinterlegt
• Auf den Rechnungen und den Rechnungskopien sind die erstvergebenen Kennwörter ersichtlich

5. Evaluierungsmaßnahme:

• keine