Version 1.0 | 11.02.2022
Dieses Konzept regelt die datenschutzkonforme Verarbeitung von personenbezogenen Daten und die Verantwortlichkeiten innerhalb der ACONVEST GmbH und ist für das gesamte Unternehmen und all seine Mitarbeiter verbindlich.
Alle Mitarbeiter sind zur Einhaltung dieses Konzeptes verpflichtet. Insbesondere sind die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und das Bundesdatenschutzgesetz Grundlage dieses Dokuments.
Inhalt
1 Verantwortliche Stelle
2 Motivation der ACONVEST GmbH zum Datenschutz
3 Verantwortlichkeiten und Datenschutzorganisation
4 Kontinuierliche Verbesserung des Datenschutzmanagementsystems
4.1 Schulungen und Sensibilisierungen
4.1.1 Datenschutzschulung
4.1.3 Sensibilisierung von Mitarbeitern
5 Datenschutzprozesse und Dokumentationen
5.1 Risikoanalyse für alle Verarbeitungstätigkeiten
5.2 Allgemeine Regelung zur Auftragsverarbeitung
5.3 Datenschutzbeauftragter
5.4 Technischer Datenschutz
6 Rechtliche Rahmenbedingungen
7 Webschriften
1 Verantwortliche Stelle
Firmenname: ACONVEST GmbH
Gesetzlicher Vertreter: Dr. Sari Abwa
Anschrift (Straße, Hausnummer): Saumgasse 20
Postleitzahl: 8010
Ort: Graz
Land: Österreich
Telefonnummer: +43 664 1050006
E-Mail: abwa@aconvest.com
Geschäftszweck: Unternehmensberatung
2 Motivation der ACONVEST GmbH zum Datenschutz
Das oberste Ziel der ACONVEST GmbH ist die Einhaltung des Datenschutzes nach EU-Recht und nationalem Recht. Besonders wichtig sind der ACONVEST GmbH die Einhaltung der Betroffenenrechte und die Umsetzung datenschutzrechtlicher Prozesse. Es ist der Wunsch der ACONVEST GmbH, persönliche Daten der Kunden, Interessenten, Lieferanten, Mitarbeiter und sonstigen Betroffenen transparent und fair zu verarbeiten.
Personenbezogene Daten werden ausschließlich auf folgende Art und Weisen verarbeitet:
Auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise.
Sie sind für festgelegte, eindeutige und legitime Zwecke erhoben worden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Sie sind sachlich richtig und erforderlichenfalls auf dem neuesten Stand zu bringen
Es findet eine Speicherbegrenzung statt, die angemessen für den Betroffenen ist.
Sie werden in einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
3 Verantwortlichkeiten und Datenschutzorganisation
Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nicht. Aktuell werden die Aufgaben zum Thema Datenschutz direkt durch den Geschäftsführer Herrn Sari Abwa übernommen.
4 Kontinuierliche Verbesserung des Datenschutzmanagementsystems
4.1 Schulungen und Sensibilisierungen
4.1.1 Datenschutzschulung
Um die Mitarbeiter kontinuierlich zum Thema Datenschutz zu informieren, wird dieses Thema im Zuge der Informationssicherheitsschulung mit aufgenommen und durch den Geschäftsführer geschult.
4.1.3 Sensibilisierung von Mitarbeitern
Um die Mitarbeiter der ACONVEST GmbH zum Thema Datenschutz zu sensibilisieren, wurden alle Mitarbeiter auf das Thema Datenschutz persönlich verpflichtet. Die Mitarbeiter haben dies mit ihrer Unterschrift auf dem Dokument „Verpflichtungserklärung zur Vertraulichkeit“ bestätigt.
5 Datenschutzprozesse und Dokumentationen
5.1 Risikoanalyse für alle Verarbeitungstätigkeiten
Die Risikoanalyse für Verarbeitungstätigkeiten wurde im Zuge der Risikoanalyse zum Thema TISAX im Dokument Risikomanagement durchgeführt und dokumentiert. Das Risikopotential wird einmal jährlich evaluiert und auf Aktualität überprüft.
Ablageort: ISMS der ACONVEST GmbH
5.2 Allgemeine Regelung zur Auftragsverarbeitung
Alle Auftragsverarbeiter werden erfasst und mit Hilfe von Verträgen gebunden, in denen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.
5.3 Datenschutzbeauftragter
Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten wurde überprüft, der Verantwortliche kam zu folgendem Ergebnis: Es ist keine Bestellung notwendig.
Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten wird in folgendem Turnus geprüft: Jährlich.
5.4 Technischer Datenschutz
Die technischen und organisatorischen Maßnahmen sind in der Firma ACONVEST GmbH Bestandteil des Informationssicherheitsmanagement Systems und sind in diesem abgelegt. Sie werden im Zuge der Überarbeitung des ISMS jährlich auf Notwendigkeit, Angemessenheit und Aktualität überprüft.
Bei der Anschaffung von Hard- oder Software wird neben den Sicherheitsaspekten und den Vorgaben der Informationssicherheit immer auch das Thema Datenschutz betrachtet.
Dabei sind folgende Kriterien immer zu überprüfen:
Datenschutz durch Technikgestaltung (Privacy-by-Design)
Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy-by-Default)
Risikoanalyse des Einsatzes (Abwägung von Interessen des Betroffenen und des Verantwortlichen)
Der Datenschutzbeauftrage/Verantwortliche der ACONVEST GmbH wird in den Anschaffungsprozess aktiv eingebunden.
6 Rechtliche Rahmenbedingungen
Bzgl. des Datenschutzes gelten die folgenden Gesetze direkt:
Datenschutz-Grundverordnung (DSGVO)
Datenschutzgesetz (inkl. ePrivacy Verordnung)
In Verbindung mit den Datenschutzgesetzen gelten weitere rechtliche Grundlagen:
Unternehmensgesetzbuch
Allgemeines Bürgerliches Gesetzbuch
Telekommunikationsgesetz
Bundesgesetz gegen den unlauteren Wettbewerb
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
Einkommensteuergesetz
Weitere rechtliche Rahmenbedingungen sind im Dokument Relevante Gesetze und Normen, das im ISMS der ACONVEST GmbH liegt, aufgeführt.
7 Webschriften
Google Fonts
Wir verarbeiten mit unserem Auftragsverarbeiter Google Fonts, Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Verbindungsdaten und Browserdaten zum Zweck der Bereitstellung der vom Webbrowser zur Anzeige der Website benötigten Schriftarten. Diese Daten werden nur für die zur Auswahl und Übermittlung der Schriftarten benötigte Dauer verarbeitet. Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse (unbedingte technische Notwendigkeit zur Bereitstellung und Auslieferung des von ihnen durch Ihren Aufruf ausdrücklich gewünschten Dienstes „Website“) gemäß Art. 6 Abs. 1 lit. f DSGVO.
Soweit durch Google Fonts eine weitergehende eigenständige Verarbeitung der Daten erfolgt, ist Google dafür alleinige Verantwortliche. Details finden Sie in der Datenschutzerklärung und in den FAQ von Google Fonts.
Font Awesome
Wir verarbeiten mit unserem Auftragsverarbeiter Fontawesome, Fonticons, Inc., 6 Porter Road, Apartment 3R, Cambridge, MA 02140, USA, Verbindungsdaten und Browserdaten zum Zweck der Bereitstellung der vom Webbrowser zur Anzeige der Website benötigten Schriftarten. Diese Daten werden nur für die zur Auswahl und Übermittlung der Schriftarten benötigte Dauer verarbeitet.
Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse (unbedingte technische Notwendigkeit zur Bereitstellung und Auslieferung des von ihnen durch Ihren Aufruf ausdrücklich gewünschten Dienstes „Website“) gemäß Art. 6 Abs. 1 lit. f DSGVO.
Soweit durch Fontawesome eine weitergehende eigenständige Verarbeitung der Daten erfolgt, ist Fontawesome dafür alleinige Verantwortliche. Details finden Sie in der Datenschutzerklärung von Fontawesome.
Adobe Fonts
Wir verarbeiten mit unserem Auftragsverarbeiter Adobe Systems Software Ireland Limited, Verbindungsdaten und Browserdaten zum Zweck der Bereitstellung der vom Webbrowser zur Anzeige der Website benötigten Schriftarten. Diese Daten werden nur für die zur Auswahl und Übermittlung der Schriftarten benötigte Dauer verarbeitet. Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse (unbedingte technische Notwendigkeit zur Bereitstellung und Auslieferung des von ihnen durch Ihren Aufruf ausdrücklich gewünschten Dienstes „Website“) gemäß Art. 6 Abs. 1 lit. f DSGVO.
Soweit durch Adobe Systems Software Ireland Limited eine weitergehende eigenständige Verarbeitung der Daten erfolgt, ist Adobe Systems Software Ireland Limited dafür alleinige Verantwortliche. Details finden Sie in der Datenschutzerklärung und in den FAQ von Adobe Systems Software Ireland Limited. https://fonts.adobe.com