Datenschutz: DSGVO

Datenschutz: Sicherheit und Schutz für Ihre Daten.

Ab 25. Mai 2018 gelten die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO), die für Ihre persönlichen Daten noch mehr Sicherheit und Schutz bringen. Wir informieren Sie über die Verarbeitung Ihrer personenbezogenen Daten und die Ihnen zustehenden datenschutzrechtlichen Ansprüche und Rechte.

Der Inhalt und Umfang der Datenverarbeitung richtet sich maßgeblich nach den jeweils von Ihnen beantragten bzw. mit Ihnen vereinbarten Produkten und Dienstleistungen.

TOMS IM RRZ
TOMS (ENGLISH VERSION)
VORLAGE ADV

MASSNAHMEN ZUM DATENSCHUTZ IM RRZ

Technisch-organisatorische Maßnahmen

  • Zutrittskontrolle
    Schutz vor unbefugten Zutritt zu Datenverarbeitungsanlagen, z.B. Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Sicherheitspersonal, Portier, Alarmanlagen, Videoanlagen.
  • Zugangskontrolle
    Schutz vor unbefugter Systembenutzung, z.B. (sichere) Kennwörter (ein-schließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
  • Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten.
  • Trennungskontrolle
    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing.
  • Pseudonymisierung (Art 32 Abs 1 lit a DSGVO; Art 25 Abs 1 DSGVO)
    Sofern für die jeweilige Datenverarbeitung erforderlich oder zweckmäßig, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, sodass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer konkreten betroffenen Person zugeordnet werden können, und diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.
  • Klassifikationsschema für Daten
    Beachtung der vom Verantwortlichen vorgegebenen Klassifikationsschemata (z.B.: geheim/vertraulich/intern/öffentlich).
  • Technische Löschkonzept-Einstellungen
    Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl.
  • Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur.
  • Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.
  • Verfügbarkeitskontrolle
    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern.
  • Rasche Wiederherstellbarkeit
    (Art 32 Abs 1 lit c DSGVO)
  • Datenschutz-Management
    einschließlich regelmäßiger Mitarbeiter-Schulungen.
  • Incident-Response-Prozesse
  • Datenschutzfreundliche Voreinstellungen
    (Art 25 Abs 2 DSGVO)
  • Auftragskontrolle
    Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

FAQ DATENSCHUTZ

Information zur Datenverarbeitung nach Art. 13 und 14 DSGVO.

Raiffeisen Rechenzentrum GmbH
Raiffeisen-Platz 1
8074 Raaba-Grambach
+43 316 4002 8880 +43 316 4002 8880
datenschutz@rrz.co.at

Der Datenschutzbeauftragte der Raiffeisen Rechenzentrum GmbH ist:
DI René Millautz, Bsc
Raiffeisen-Landesbank Steiermark AG
Kaiserfeldgasse 5
8010 Graz
+43 316 4002 8610 +43 316 4002 8610
datenschutz@rlbstmk.at

Wir verarbeiten jene personenbezogenen Daten, die wir von Ihnen, insbesondere im Rahmen unserer Geschäftsbeziehung, erhalten (wie Name, Adresse, Geburtstag und -ort, Staatsangehörigkeit, Daten zu Identitäts- und Reisedokumenten, Ausweisdaten, Bild- und/oder Tonaufzeichnungen, elektronische Protokoll- und Identifikationsdaten, etc.).

Zudem verarbeiten wir Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Firmenbuch, Vereinsregister, Grundbuch oder Medien) zulässigerweise erhalten haben oder die uns von anderen, mit der Raiffeisen Rechenzentrum GmbH verbundenen Unternehmen, berechtigt übermittelt werden.

Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Datenschutzgesetz 2018.

  • Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1b DSGVO): Die Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO) erfolgt zur Erbringung und Vermittlung von Serviceleistungen, insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge sowie zur Durchführung vorvertraglicher Maßnahmen. Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Hosting, Housing, etc.) und können u.a. Bedarfsanalysen, Beratung sowie Support und Wartung umfassen
  • Zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1c DSGVO): Eine Verarbeitung personenbezogener Daten kann zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen (zB Gewerbeordnung, Allgemeines Bürgerliches Gesetz-buch, etc.) erforderlich sein.
  • Im Rahmen Ihrer Einwilligung (Art. 6 Abs. 1a DSGVO): Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann mit Wirkung für die Zukunft jederzeit widerrufen werden.
  • Zur Wahrung berechtigter Interessen (Art. 6 Abs. 1f DSGVO) allgemein: Soweit erforderlich, kann im Rahmen von Interessensabwägungen zugunsten der Raiffeisen Rechenzentrum GmbH oder Dritter eine Datenverarbeitung zur Wahrung berechtigter Interessen erfolgen. In den folgenden Fällen erfolgt eine Datenverarbeitung zur Wahrung berechtigter Interessen. Beispiele für solche Fälle sind:
    • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache
    • Videoüberwachungen zur Sammlung von Beweisdaten bei Straftaten sowie insbesondere zum Schutz von KundInnen und MitarbeiterInnen, zur Sicherung des Eigentums der Unternehmen und zum Zweck der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens.
    • Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten
    • Maßnahmen zum Schutz von KundInnen und MitarbeiterInnen sowie des Eigentums der Bank
    • Datenverarbeitung für Zwecke der Rechtsverfolgung
    • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
    • Gewährleistung der IT-Sicherheit und des IT-Betriebs
    • Verhinderung und Aufklärung von Straftaten

Innerhalb der Raiffeisen Rechenzentrum GmbH erhalten jene Stellen bzw. MitarbeiterInnen Ihre Daten, die diese zur Erfüllung vertraglicher und/oder gesetzlicher Pflichten sowie berechtigter Interessen benötigen. Darüber hinaus erhalten von uns vertraglich gebundene Auftragsverarbeiter Ihre Daten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Sämtliche Auftragsverarbeiter sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich, gesetzlich vorgeschrieben ist oder Sie uns Ihre Einwilligung erteilt haben. Über Einzelheiten werden wir Sie, sofern gesetzlich vorgegeben, gesondert informieren.

Wir verarbeiten Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentati-onspflichten. Zudem sind bei der Speicherdauer die gesetzlichen Verjährungsfristen, die z.B. nach dem Allgemeinen Bürgerlichen Gesetzbuch (ABGB) in bestimmten Fällen bis zu 30 Jahre (die in der Praxis relevanteste Verjährungsfrist beträgt 3 Jahre) betragen können, zu berücksichtigen.

Im Rahmen der Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung erforderlich sind und zu deren Erhebung wir gesetzlich verpflichtet sind. Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags oder die Ausführung des Auftrags in der Regel ablehnen oder einen bestehenden Vertrag nicht mehr durchführen können und somit beenden müssen. Sie sind jedoch nicht verpflichtet, hinsichtlich für die Vertragserfüllung nicht relevanter bzw. gesetzlich oder regulatorisch nicht erforderlicher Daten eine Einwilligung zur Datenverarbeitung zu erteilen.

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung nach Artikel 22 DSGVO. Sollten wir diese Verfahren in anderen Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgesehen ist.

Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verar-beitung Ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts. Be-schwerden können an die zuständige Datenschutzbehörde gerichtet werden (https://www.dsb.gv.at/).

VORLAGE VEREINBARUNG GEMÄSS ARTIKEL 28 DSGVO

Vereinbarung betreffend der Beauftragung mit der Datenverarbeitung.

Als Rechenzentrumsanbieter kann es im Rahmen der Serviceerbringung (Hosting, Backup, Managed Services, etc.) zur Verarbeitung bzw. zur Speicherung personenbezogener Daten unserer Kunden kommen. Gemäß Artikel 28 der DSGVO sind Sie als Unternehmen in der Pflicht einen Auftrag zur Datenverarbeitung mit dem externen Dienstleister – also dem RRZ – abzuschließen, sofern wir personenbezogene Daten für Sie verarbeiten.

Aus diesem Grund haben wir für Sie einen Mustervertrag zur Auftragsdatenverarbeitung erstellt. Diesen können Sie um die betreffenden personenbezogenen Datenkategorien, die wir für Sie im Rahmen des vereinbarten Service-Level-Agreements verarbeiten, erweitern und uns per Post oder per E-Mail unter   datenschutz@rrz.co.at zukommen lassen. Wir retournieren die Vereinbarung zur Auftragsdatenverarbeitung umgehend unterschrieben zurück. Die entsprechenden Bereiche, die von Ihnen zu ergänzen sind, sind in der Vorlage gelb markiert.

VORLAGE ADV

Haben Sie noch Fragen? Alle Fragen rund um das Thema Datenschutz und DSGVO beantworten wir Ihnen gerne persönlich. Kontaktieren Sie uns einfach:
+43 316 4002 8880 +43 316 4002 8880
datenschutz@rrz.co.at

Alles zum Thema Datenschutz per Mail

  • Sichern Sie sich Ihren Wissensvorsprung. Mit unserem Newsletter bleiben Sie immer am neuesten Stand rund um die Themen Rechenzentrum, Digitalisierung, IT-Sicherheit und Verfügbarkeit.