Datenschutz – DSGVO

Vertraulichkeit nach Art 32 Abs 1 lit b DSGVO

• Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B. (sichere) Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
• Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten.
• Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing.
• Pseudonymisierung (Art 32 Abs 1 lit a DSGVO; Art 25 Abs 1 DSGVO): Sofern für die jeweilige Datenverarbeitung erforderlich oder zweckmäßig, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, sodass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer konkreten betroffenen Person zugeordnet werden können, und diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.
• Klassifikationsschema für Daten: Beachtung der vom Verantwortlichen vorgegebenen Klassifikationsschemata (z.B.: geheim/vertraulich/intern/öffentlich).
• Technische Löschkonzept-Einstellungen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl.

Integrität nach Art 32 Abs 1 lit b DSGVO

• Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur.
• Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.

Verfügbarkeit nach Art 32 Abs 1 lit b DSGVO

• Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern.
• Rasche Wiederherstellbarkeit: (Art 32 Abs 1 lit c DSGVO)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung nach Art 32 Abs 1 lit d DSGVO; Art 25 Abs 1 DSGVO)

• Datenschutz-Management: einschließlich regelmäßiger Mitarbeiter-Schulungen.
• Incident-Response-Prozesse
• Datenschutzfreundliche Voreinstellungen: (Art 25 Abs 2 DSGVO)
• Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Raiffeisen Rechenzentrum GmbH
Raiffeisen-Platz 1
8074 Raaba-Grambach
+43 316 4002 8880
datenschutz@rrz.co.at

Der Datenschutzbeauftragte der Raiffeisen Rechenzentrum GmbH ist:
Prok. Matthias Bauernberger, MSc.
Raiffeisen Rechenzentrum GmbH
Raiffeisen-Platz 1
8074 Raaba-Grambach
+43 316 4002 8880
datenschutz@rrz.co.at

Wir verarbeiten jene personenbezogenen Daten, die wir von Ihnen, insbesondere im Rahmen unserer Geschäftsbeziehung, erhalten (wie Name, Adresse, Geburtstag und -ort, Staatsangehörigkeit, Daten zu Identitäts- und Reisedokumenten, Ausweisdaten, Bild- und/oder Tonaufzeichnungen, elektronische Protokoll- und Identifikationsdaten, etc.).

Zudem verarbeiten wir Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Firmenbuch, Vereinsregister, Grundbuch oder Medien) zulässigerweise erhalten haben oder die uns von anderen, mit der Raiffeisen Rechenzentrum GmbH verbundenen Unternehmen, berechtigt übermittelt werden.

Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Datenschutzgesetz 2018.

• Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1b DSGVO): Die Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO) erfolgt zur Erbringung und Vermittlung von Serviceleistungen, insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge sowie zur Durchführung vorvertraglicher Maßnahmen. Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Hosting, Housing, etc.) und können u.a. Bedarfsanalysen, Beratung sowie Support und Wartung umfassen.
• Zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1c DSGVO): Eine Verarbeitung personenbezogener Daten kann zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen (zB Gewerbeordnung, Allgemeines Bürgerliches Gesetz-buch, etc.) erforderlich sein.
• Im Rahmen Ihrer Einwilligung (Art. 6 Abs. 1a DSGVO): Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann mit Wirkung für die Zukunft jederzeit widerrufen werden.
• Zur Wahrung berechtigter Interessen (Art. 6 Abs. 1f DSGVO) allgemein: Soweit erforderlich, kann im Rahmen von Interessensabwägungen zugunsten der Raiffeisen Rechenzentrum GmbH oder Dritter eine Datenverarbeitung zur Wahrung berechtigter Interessen erfolgen. In den folgenden Fällen erfolgt eine Datenverarbeitung zur Wahrung berechtigter Interessen. Beispiele für solche Fälle sind:
  • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache.
  • Videoüberwachungen zur Sammlung von Beweisdaten bei Straftaten sowie insbesondere zum Schutz von KundInnen und MitarbeiterInnen, zur Sicherung des Eigentums der Unternehmen und zum Zweck der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens.
  • Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten.
  • Maßnahmen zum Schutz von KundInnen und MitarbeiterInnen sowie des Eigentums der Bank.
  • Datenverarbeitung für Zwecke der Rechtsverfolgung.
  • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten.
  • Gewährleistung der IT-Sicherheit und des IT-Betriebs.
  • Verhinderung und Aufklärung von Straftaten

Innerhalb der Raiffeisen Rechenzentrum GmbH erhalten jene Stellen bzw. MitarbeiterInnen Ihre Daten, die diese zur Erfüllung vertraglicher und/oder gesetzlicher Pflichten sowie berechtigter Interessen benötigen. Darüber hinaus erhalten von uns vertraglich gebundene Auftragsverarbeiter Ihre Daten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Sämtliche Auftragsverarbeiter sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich, gesetzlich vorgeschrieben ist oder Sie uns Ihre Einwilligung erteilt haben. Über Einzelheiten werden wir Sie, sofern gesetzlich vorgegeben, gesondert informieren.

Wir verarbeiten Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentati-onspflichten. Zudem sind bei der Speicherdauer die gesetzlichen Verjährungsfristen, die z.B. nach dem Allgemeinen Bürgerlichen Gesetzbuch (ABGB) in bestimmten Fällen bis zu 30 Jahre (die in der Praxis relevanteste Verjährungsfrist beträgt 3 Jahre) betragen können, zu berücksichtigen.

Im Rahmen der Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung erforderlich sind und zu deren Erhebung wir gesetzlich verpflichtet sind. Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags oder die Ausführung des Auftrags in der Regel ablehnen oder einen bestehenden Vertrag nicht mehr durchführen können und somit beenden müssen. Sie sind jedoch nicht verpflichtet, hinsichtlich für die Vertragserfüllung nicht relevanter bzw. gesetzlich oder regulatorisch nicht erforderlicher Daten eine Einwilligung zur Datenverarbeitung zu erteilen.

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung nach Artikel 22 DSGVO. Sollten wir diese Verfahren in anderen Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgesehen ist.

Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verar-beitung Ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts. Be-schwerden können an die zuständige Datenschutzbehörde gerichtet werden (https://www.dsb.gv.at/).