Datenschutz im RRZ: DSGVO
Datenschutz – DSGVO

Ab 25. Mai 2018 gelten die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO), die für Ihre persönlichen Daten noch mehr Sicherheit und Schutz bringen.

INFORMATIONEN UND VORLAGEN ZUM THEMA DATENSCHUTZ IM RRZ

Sicherheit und Schutz für Ihre Daten

Wir informieren Sie über die Verarbeitung Ihrer personenbezogenen Daten sowie die Ihnen zustehenden datenschutzrechtlichen Ansprüche und Rechte.

Der Inhalt und Umfang der Datenverarbeitung richtet sich maßgeblich nach den jeweils von Ihnen beantragten bzw. mit Ihnen vereinbarten Produkten und Dienstleistungen.

Datenschutz im RRZ

TOMS (D)

TOMS (E)

VORLAGE ADV

FAQ

MASSNAHMEN ZUM DATENSCHUTZ IM RRZ

Technisch-organisatorische Maßnahmen

Vertraulichkeit nach Art 32 Abs 1 lit b DSGVO

  • Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B. (sichere) Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten.
  • Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing.
  • Pseudonymisierung (Art 32 Abs 1 lit a DSGVO; Art 25 Abs 1 DSGVO): Sofern für die jeweilige Datenverarbeitung erforderlich oder zweckmäßig, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, sodass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer konkreten betroffenen Person zugeordnet werden können, und diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.
  • Klassifikationsschema für Daten: Beachtung der vom Verantwortlichen vorgegebenen Klassifikationsschemata (z.B.: geheim/vertraulich/intern/öffentlich).
  • Technische Löschkonzept-Einstellungen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl.

Integrität nach Art 32 Abs 1 lit b DSGVO

  • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur.
  • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.

Verfügbarkeit nach Art 32 Abs 1 lit b DSGVO

  • Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern.
  • Rasche Wiederherstellbarkeit : (Art 32 Abs 1 lit c DSGVO)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung nach Art 32 Abs 1 lit d DSGVO; Art 25 Abs 1 DSGVO)

  • Datenschutz-Management: einschließlich regelmäßiger Mitarbeiter-Schulungen.
  • Incident-Response-Prozesse
  • Datenschutzfreundliche Voreinstellungen: (Art 25 Abs 2 DSGVO)
  • Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Information zur Datenverarbeitung nach Art. 13 und 14 DSGVO.

Raiffeisen Rechenzentrum GmbH
Raiffeisen-Platz 1
8074 Raaba-Grambach
+43 316 4002 8880
datenschutz@rrz.co.at

Der Datenschutzbeauftragte der Raiffeisen Rechenzentrum GmbH ist:
DI Markus Hefler, Bsc
Raiffeisen-Landesbank Steiermark AG
Kaiserfeldgasse 5
8010 Graz
+43 316 4002 8610
datenschutz@rlbstmk.at

Wir verarbeiten jene personenbezogenen Daten, die wir von Ihnen, insbesondere im Rahmen unserer Geschäftsbeziehung, erhalten (wie Name, Adresse, Geburtstag und -ort, Staatsangehörigkeit, Daten zu Identitäts- und Reisedokumenten, Ausweisdaten, Bild- und/oder Tonaufzeichnungen, elektronische Protokoll- und Identifikationsdaten, etc.).

Zudem verarbeiten wir Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Firmenbuch, Vereinsregister, Grundbuch oder Medien) zulässigerweise erhalten haben oder die uns von anderen, mit der Raiffeisen Rechenzentrum GmbH verbundenen Unternehmen, berechtigt übermittelt werden.

Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Datenschutzgesetz 2018.

  • Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1b DSGVO): Die Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO) erfolgt zur Erbringung und Vermittlung von Serviceleistungen, insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge sowie zur Durchführung vorvertraglicher Maßnahmen. Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Hosting, Housing, etc.) und können u.a. Bedarfsanalysen, Beratung sowie Support und Wartung umfassen
  • Zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1c DSGVO): Eine Verarbeitung personenbezogener Daten kann zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen (zB Gewerbeordnung, Allgemeines Bürgerliches Gesetz-buch, etc.) erforderlich sein.
  • Im Rahmen Ihrer Einwilligung (Art. 6 Abs. 1a DSGVO): Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann mit Wirkung für die Zukunft jederzeit widerrufen werden.
  • Zur Wahrung berechtigter Interessen (Art. 6 Abs. 1f DSGVO) allgemein: Soweit erforderlich, kann im Rahmen von Interessensabwägungen zugunsten der Raiffeisen Rechenzentrum GmbH oder Dritter eine Datenverarbeitung zur Wahrung berechtigter Interessen erfolgen. In den folgenden Fällen erfolgt eine Datenverarbeitung zur Wahrung berechtigter Interessen. Beispiele für solche Fälle sind:
    • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache
    • Videoüberwachungen zur Sammlung von Beweisdaten bei Straftaten sowie insbesondere zum Schutz von KundInnen und MitarbeiterInnen, zur Sicherung des Eigentums der Unternehmen und zum Zweck der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens.
    • Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten
    • Maßnahmen zum Schutz von KundInnen und MitarbeiterInnen sowie des Eigentums der Bank
    • Datenverarbeitung für Zwecke der Rechtsverfolgung
    • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
    • Gewährleistung der IT-Sicherheit und des IT-Betriebs
    • Verhinderung und Aufklärung von Straftaten

Innerhalb der Raiffeisen Rechenzentrum GmbH erhalten jene Stellen bzw. MitarbeiterInnen Ihre Daten, die diese zur Erfüllung vertraglicher und/oder gesetzlicher Pflichten sowie berechtigter Interessen benötigen. Darüber hinaus erhalten von uns vertraglich gebundene Auftragsverarbeiter Ihre Daten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Sämtliche Auftragsverarbeiter sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich, gesetzlich vorgeschrieben ist oder Sie uns Ihre Einwilligung erteilt haben. Über Einzelheiten werden wir Sie, sofern gesetzlich vorgegeben, gesondert informieren.

Wir verarbeiten Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentati-onspflichten. Zudem sind bei der Speicherdauer die gesetzlichen Verjährungsfristen, die z.B. nach dem Allgemeinen Bürgerlichen Gesetzbuch (ABGB) in bestimmten Fällen bis zu 30 Jahre (die in der Praxis relevanteste Verjährungsfrist beträgt 3 Jahre) betragen können, zu berücksichtigen.

Im Rahmen der Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung erforderlich sind und zu deren Erhebung wir gesetzlich verpflichtet sind. Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags oder die Ausführung des Auftrags in der Regel ablehnen oder einen bestehenden Vertrag nicht mehr durchführen können und somit beenden müssen. Sie sind jedoch nicht verpflichtet, hinsichtlich für die Vertragserfüllung nicht relevanter bzw. gesetzlich oder regulatorisch nicht erforderlicher Daten eine Einwilligung zur Datenverarbeitung zu erteilen.

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung nach Artikel 22 DSGVO. Sollten wir diese Verfahren in anderen Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgesehen ist.

Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verar-beitung Ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts. Be-schwerden können an die zuständige Datenschutzbehörde gerichtet werden (https://www.dsb.gv.at/).
VORLAGE VEREINBARUNG GEMÄSS ARTIKEL 28 DSGVO

Vereinbarung betreffend der Beauftragung mit der Datenverarbeitung.

Als Rechenzentrumsanbieter kann es im Rahmen der Serviceerbringung (Hosting, Backup, Managed Services, etc.) zur Verarbeitung bzw. zur Speicherung personenbezogener Daten unserer Kunden kommen. Gemäß Artikel 28 der DSGVO sind Sie als Unternehmen in der Pflicht einen Auftrag zur Datenverarbeitung mit dem externen Dienstleister – also dem RRZ – abzuschließen, sofern wir personenbezogene Daten für Sie verarbeiten.

Aus diesem Grund haben wir für Sie einen Mustervertrag zur Auftragsdatenverarbeitung erstellt. Diesen können Sie um die betreffenden personenbezogenen Datenkategorien, die wir für Sie im Rahmen des vereinbarten Service-Level-Agreements verarbeiten, erweitern und uns per Post oder per E-Mail unter datenschutz@rrz.co.at zukommen lassen. Wir retournieren die Vereinbarung zur Auftragsdatenverarbeitung umgehend unterschrieben zurück. Die entsprechenden Bereiche, die von Ihnen zu ergänzen sind, sind in der Vorlage entsprechend gelb markiert.

VORLAGE ADV

Datenschutz im RRZ
KONTAKT DSGVO

Haben Sie noch Fragen?

Haben Sie noch Fragen? Alle Fragen rund um das Thema Datenschutz und DSGVO beantworten wir Ihnen gerne persönlich. Kontaktieren Sie uns einfach:

+43 316 4002 8880
datenschutz@rrz.co.at

News & Trends zum Thema Datenschutz

  • DSGVO: Fit für die Datenschutzgrundverordnung.

    DSGVO RRZ

    Fit für die DSGVO. Alles was Sie über die DSGVO wissen sollten. Mit 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordung (EU-DSGVO) europaweit in Kraft. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Betroffen sind alle Unternehmen und Organisationen, die Waren oder Dienstleistungen in der EU anbieten, oder sensible Daten von EU-Bürgern verarbeiten. Die neue DSGVO bringt eine Vielzahl von Veränderungen und Anforderungen mit sich: noch mehr Transparenz, strengere Anforderungen hinsichtlich Dokumentation und neue Verfahrens- und Datenschutzprozesse. Wir haben die wesentlichen Punkte für Sie zusammengefasst und zeigen Ihnen, dass es noch nicht zu spät ist Maßnahmen für die Einhaltung der DSGVO rechtzeitig umzusetzen. DSGVO: Was ist das eigentlich? Die Verordnung wurde im Mai 2016 von der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlassen und tritt mit 25. Mai 2018 in Kraft. Betroffen sind alle Unternehmen und Organisationen, die Waren oder Dienstleistungen in der EU anbieten oder personenbezogenene Daten von EU-Bürgern verarbeiten. Es reicht also schon das Speichern eines Names oder einer E-Mail-Adresse, um von der Verordnung betroffen zu sein. Dabei ist egal, ob sich das datenverarbeitende Unternehmen in oder außerhalb der EU befindet. Bei Verstößen können in schwerwiegenden Fällen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Diese Verschärfung des Haftungsrahmens gilt, neben vielen neuen Pflichten, als eine der markantesten Änderungen für die betroffenen Unternehmen. Gerne unterhalten wir uns mit Ihnen über innovative Ideen, neueste Technologien oder konkrete Projekte. Warum DSGVO? Ob es nur die steigende mobile Nutzung ist oder ob es Cloud-Dienste, Social Media Plattformen und Big Data sind. Die letzten Jahre [...]

    Mehr erfahren
Nach oben