Der Datenschutz ist uns sehr wichtig.

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
16. „Hauptniederlassung“
a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;

23. „grenzüberschreitende Verarbeitung“ entweder
a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;
25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19);

26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

Wir verwenden Cookies, das sind kleine Textelemente, die zum Speichern von Informationen in Webbrowsern verwendet werden. Cookies werden bei Ihrem nächsten Besuch unseres Webauftritts erkannt und tragen erheblich dazu bei, Ladevorgänge zu beschleunigen und die Nutzung unserer Angebote komfortabel für Sie zu machen. Ihre von Cookies erkannten und gespeicherten Informationen dienen Ihrer Wiederkennung, aber auch der Analyse Ihres Nutzerverhaltens. Sie werden auf dem Server des jeweiligen Anbieters, der sich als Auftragsverarbeiter uns gegenüber zur Einhaltung der geltenden Datenschutz-Standards verpflichtet hat, gespeichert.

Nachdem Sie unseren Webauftritt besucht haben, bleiben Cookies auf Ihrem Endgerät gespeichert, sofern Sie dies nicht von vornherein verweigern oder Sie Cookies nicht aktiv löschen. Das aktive Deaktivieren von Cookies kann die Funktionalität unserer Webauftritte für Sie beeinträchtigen. Sie können die Speicherung der Cookies auch durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen unserer Website nutzen werden können. Sie können darüber hinaus die Weiterleitung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das auf der Website google.com verfügbare Browser-Plugin herunterladen und installieren. Das Plug-In ist jedoch nur für bestimmte Browser-Programme verfügbar.

Wir verwenden auf unserer Website auch Inhalte Dritter, um unseren Internet-Auftritt möglichst informativ und komfortabel für Sie zu gestalten. Dazu gehören zB Google-Maps, RSS-Feeds oder Youtube. Diese Dritt-Anbieter erhalten aus technischen Gründen Ihre IP-Adresse. Auf die Verwendung dieser Daten durch den Dritt-Anbieter haben wir keinen Einfluss. Wir verweisen diesbezüglich auf die Datenschutzerklärungen der jeweiligen Anbieter.

Wir setzen Google Analytics, einen Webanalysedienst der Google Inc. 1600, Amphitheatre Parkway, Mountain View, CA 94043, USA, ein („Google"). Google Analytics verwendet Cookies. Die durch das Cookie erzeugten Informationen über Ihr Benutzerverhalten werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Ihre IP-Adresse wird zuvor innerhalb der Europäischen Union gekürzt und damit anonymisiert oder zumindest pseudonymisiert. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Google benützt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Beachten Sie in diesem Zusammenhang auch die Datenschutzerklärung von Google, insbesondere die unter den beiden folgenden Links abrufbaren Informationen:

http://www.google.com/analytics/terms/de.html und

https://www.google.de/intl/de/policies/

Verbrauchern steht in Bezug auf gekaufte Waren ein Widerrufsrecht zu. Sie können Ihre Vertragserklärung innerhalb eines Monats ohne Angabe von Gründen in Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt frühestens mit dem Zeitpunkt, zu dem diese Belehrung in Textform mitgeteilt worden ist, nicht jedoch vor dem Tag des Eingangs der Warenlieferung beim Verbraucher. Bei der Berechnung der Frist wird der Tag, zu dem die Widerrufsbelehrung in Textform mitgeteilt worden ist bzw. der Tag des Eingangs der Warenlieferung beim Verbraucher nicht mitgerechnet.

                 Der Widerruf ist schriftlich zu richten an:

 

Reisebüro Moser GmbH

Leopoldauer Straße 9 GL1
2201 Gerasdorf
Österreich

E-Mail: office@reisebuero-moser.at

Fax-Nr.: 02246 202 96 - 20

 

Widerrufsfolgen:

 

Im Falle eines wirksamen Widerrufs sind die beiderseits empfangenen Leistungen zurückzugewähren und ggf. gezogene Nutzungen (z. B. Zinsen) herauszugeben. Können Sie uns die empfangene Leistung ganz oder teilweise nicht oder nur in verschlechtertem Zustand zurückgewähren, müssen Sie uns insoweit ggf. Wertersatz leisten.

 

Die durch die bestimmungsgemäße Ingebrauchnahme entstandene Verschlechterung bleibt dabei außer Betracht. Darüber hinaus gilt die Wertersatzpflicht für den Fall, dass der Verbraucher die empfangene Leistung ganz oder teilweise nicht oder nur in verschlechtertem Zustand zurückgewähren kann, bei der Überlassung von Sachen nicht, wenn die Verschlechterung der Sache ausschließlich auf deren Prüfung – wie sie etwa im Ladengeschäft möglich gewesen wäre – zurückzuführen ist.

 

Paketversandfähige Sachen sind auf Ihre Kosten und Gefahr zurückzusenden.

 

Bei einer Rücksendung aus einer Warenlieferung, deren Rücksendewert insgesamt bis zu 40 EUR beträgt, haben Sie die Kosten der Rücksendung zu tragen, wenn die gelieferte Ware der bestellten entspricht. Anderenfalls ist die Rücksendung für Sie kostenfrei. Nicht paketversandfähige Sachen werden bei Ihnen abgeholt.

 

Das Widerrufsrecht besteht unter anderem nicht bei Verträgen zur Lieferung von Waren, die nach Kundenspezifikation angefertigt werden, bei Waren, die aufgrund ihrer Beschaffenheit nicht für eine Rücksendung geeignet sind oder schnell verderben können oder deren Verfallsdatum überschritten würde, bei Verträgen zur Lieferung von Audio- oder Videoaufzeichnung oder von Softwaren, sofern die Datenträger vom Verbraucher entsiegelt worden sind oder bei Verträgen zur Lieferung von Zeitungen, Zeitschriften und Illustrierten.   

Ziel des Datenschutzkonzeptes

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber im Rahmen der Auftragsverarbeitung genutzt werden. Dadurch soll die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) nicht nur gewährleistet, sondern auch der Nachweis der Einhaltung geschaffen werden.

Präambel

Ihr Urlaub soll Ihre schönste Zeit des Jahres werden. Sie als unser Kunde stehen im Mittelpunkt - wir orientieren uns stets an Ihren Wünschen.

Falls wir eine Destination nicht finden, so liegt es nur daran, dass es diese noch nicht gibt.

Wir, das Team vom Reisebüro Moser in Gerasdorf, sorgen mit mehr als 20 Jahren Erfahrung für Ihren unvergesslichen Urlaub. Dafür nehmen wir uns gerne und immer Zeit.

Im Jänner 2010 sind wir mit unserem Büro von der Hauptstraße 16 in Gerasdorf, in dem wir seit 2001 tätig waren, in die neuen Räumlichkeiten in der Leopoldauer Straße 9, übersiedelt. Von den vier, neu geschaffenen, Arbeitsplätzen, und unserem Infopoint aus können wir mit neuester Buchungstechnologie auf alle Veranstalter live zugreifen. Sämtliche Computer und der Server wurden 2013 erneuert und mit den aktuellsten Front- und Backoffice-Programmen ausgestattet. Daher können wir auf ALLE Veranstalter und auch auf deren Angebote, die sie anhand von Flugblättern, Radio- und Fernsehwerbung promoten, zugreifen und diese buchen. Hier liegt Ihr großer Vorteil: Sie bekommen von uns immer die aktuellsten Angebote. Wie so oft im Leben, gilt aber auch für das Reisebüro: Die beste Technik nützt nichts, wenn sie nicht durch bestens ausgebildete Mitarbeiter ergänzt wird. Und so steht Ihnen das altbekannte und bewährte Reisebüro Moser Team mit fachlich kompetentem und engagiertem Fachwissen jederzeit gerne zur Verfügung.

 

 

Eigentümer/Rechtsform

A&R MOSER OG

Martina KLAMECKER Prokurist
Renate MOSER geschäftsführender Gesellschafter
Albert MOSER geschäftsführender Gesellschafter

Datenschutzpolitik und Verantwortlichkeiten im Unternehmen

Für ein Unternehmen sind die obersten Datenschutzziele ggf. neben bereits bestehenden Unternehmenszielen festzulegen und zu dokumentieren. Datenschutzziele orientieren sich an den Datenschutz-Grundsätzen und sind individuell auf ein Unternehmen anzupassen.

Festlegung der Rollen und Verantwortlichkeiten (z. B. Vertreter des Unternehmens, betriebliche Datenschutzbeauftragte, Koordinatoren oder Datenschutzteam und operativ Verantwortliche).

Verpflichtung zur kontinuierlichen Verbesserung eines Datenschutzmanagementsystems.

Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter

Rechtliche Rahmenbedingungen im Unternehmen

Branchenspezifische gesetzliche Regelungen oder Verhaltensregeln für den Umgang mit personenbezogenen Daten.

Anforderungen interner und externer Parteien.

Anwendbare Gesetze mit ggf. lokalen Sonderregelungen.

 

Dokumentation

Schutzbedarf der Daten: Schutzbedarfsfeststellung bezüglich Vertraulichkeit, Integrität und Verfügbarkeit (hilfreich sind die Kategorien des BSI-Standard 100-2z.B. „normal“, „hoch“ und „sehr hoch“)

Durchgeführte interne und externe Überprüfungen

 

Bestehende technische und organisatorische Maßnahmen (TOM)

Geeignete technische und organisatorische Maßnahmen, die unter Berücksichtigung u. a. des Zwecks der Verarbeitung, des Stands der Technik und der Implementierungskosten zu treffen und nachzuweisen sind.

Die Beschreibung der umgesetzten Umsetzung TOM kann sich beispielsweise an dem Aufbau der ISO/IEC 27002 unter Berücksichtigung der ISO/IEC 29151 (Leitfaden für den Schutz personenbezogener Daten) orientieren. Die jeweiligen Kapitel sollten durch Hinweis auf bestehende Richtlinien nachgewiesen werden.

Beispiele für solche Richtlinien sind unter anderem:

Richtlinie für Betroffenenrechte

Zugangssteuerung

Informationsklassifizierung (und deren Handhabung)

physische und umgebungsbezogene Sicherheit

an den Endanwender gerichtete Themen wie:

zulässiger Gebrauch von Werten

Richtlinie für eine aufgrund der Arbeitsumgebung und Bildschirmsperren

Informationsübertragung

Mobilgeräte und Telearbeit

Einschränkung von Software Installation und -Verwendung

Datensicherung

Informationsübertragung

Schutz vor Schadsoftware

Handhabung technischer Schwachstellen

kryptografische Maßnahmen

Kommunikationssicherheit

Privatsphäre und Schutz von personenbezogenen Informationen

Lieferanten Beziehungen Hinweis auf regelmäßige Überprüfung und Bewertung der Datenverarbeitung, insbesondere der Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen.

 

GESETZLICHE GRUNDLAGE

Datenschutz-Grundverordnung oder „DSGVO“:

Die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kundgemacht im Amtsblatt ABl. Nr. L 119 S. 1, ist ab dem 25.5.2018 anwendbar. Sie wird die Datenschutzrichtlinie 95/46/EG zur Gänze ersetzen.

Datenschutzgesetz oder „DSG“:

Die DSGVO ist unmittelbar anwendbar und bedarf keines weiteren innerstaatlichen Umsetzungsaktes, doch sie enthält zahlreiche „Öffnungsklauseln“, die die Mitgliedstaaten verpflichten und berechtigen, bestimmte Angelegenheiten gesetzlich zu konkretisieren. In Österreich gilt ab 25.5.2018 das „Datenschutzgesetz“ bzw. „DSG“ (Der Titel des Gesetzes lautet also nicht mehr „DSG 2000“).

Zukünftige Rechtslage:

Die Meldepflicht von Datenanwendungen im Datenverarbeitungsregister entfällt. Die „Standard- und Muster-Verordnung 2004“ tritt außer Kraft. Stattdessen sind zum Beispiel als Pflichten vorgesehen:

bei der Erhebung der Daten der betroffenen Person umfangreiche Informationen zu geben („Informationspflichten“ nach Art. 13 DSGVO)

die Einhaltung der Grundsätze der Datenverarbeitung nachzuweisen („Rechenschaftspflicht“ nach Art. 5 Abs. 2 DSGVO);

Verträge mit Auftragsverarbeitern mit einem umfassenden Inhalt abzuschließen (Art. 28 DSGVO);

eine Risikobewertung durchzuführen und umfassende organisatorische und technische Sicherungsmaßnahmen („TOMs“) zu treffen (siehe Art. 24f DSGVO);

uU eine Liste der Datenanwendungen in einem eigenen Verzeichnis zu führen („Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 DSGVO);

uU eine „Datenschutz-Folgenabschätzung“ (Privacy Impact Assessment/PIA) vor der geplanten Datenverarbeitung zur Risikoanalyse durchzuführen (siehe Art. 35 DSGVO)

uU Pflicht zur Bestellung eines Datenschutzbeauftragten (siehe Art. 37-39 DSGVO)

Zusammenarbeit mit der Datenschutzbehörde („Konsultationsverfahren“ nach (Art. 35f DSGVO)

Meldepflicht an Datenschutzbehörde/betroffene Personen bei DS-Verletzungen (Art. 33f DSGVO)

Zielsetzungen der DSGVO sind insbesondere:

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Natürliche Personen sollen die Kontrolle über ihre eigenen Daten besitzen.

einheitliche Regeln für die Datenverarbeitung

Gewährleistung eines einheitlichen Vollzuges

Gewährleistung des freien Verkehrs personenbezogener Daten zwischen EU-Mitgliedstaaten

Und auch ein Ziel: 2,3 Milliarden EUR beträgt der geschätzte wirtschaftliche Vorteil eines einheitlichen Rechts

 

Die DSGVO findet gleichermaßen Anwendung auf öffentliche und nichtöffentliche Stellen. Sie ist anwendbar auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Unter letzteres fällt die manuelle Verarbeitung von personenbezogenen Daten, wie Akten, die nach bestimmten Kriterien geordnet sind.

 

Keine Anwendung der DSGVO z.B. in folgenden Fällen:

Datenverwendung im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten

Datenanwendung für die personenbezogenen Daten Verstorbener

Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen

Tätigkeiten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik

Tätigkeiten der zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung oder

Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (hierfür gibt es eine Richtlinie)

 

NIEDERLASSUNGSPRINZIP:

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten der Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt. Beachte: Sobald ein Verantwortlicher oder Auftragsverarbeiter mit Niederlassung in der EU beteiligt ist, ist die DSGVO räumlich anwendbar! Der tatsächliche Ort der Datenverarbeitung ist irrelevant: Die DSGVO gilt unabhängig davon, ob die Verarbeitung selbst in oder außerhalb der Union stattfindet. Die Rechtsform (Zweigstelle ohne Rechtspersönlichkeit, Tochtergesellschaft) der Niederlassung ist nicht entscheidend. Jede effektive und tatsächliche Tätigkeit durch eine feste Einrichtung ist eine Niederlassung.

Auftragsverarbeiter (bisher „Dienstleister“):

Der „Auftragsverarbeiter“ ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Eine Auftragsverarbeitung darf nur auf Grundlage eines Vertrages oder eines anderen verbindlichen Rechtsinstruments erfolgen. Der Vertrag/Rechtsakt hat nach Art. 28 DSGVO umfassende Regelungen zu enthalten. Auftragsverarbeiter sind Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Folglich sind zum Beispiel auf diesen anwendbar: Informationspflicht bei Erhebung (Art. 13 Abs. 1 lit. e DSGVO), Mitteilungspflicht bei Löschung (Art. 19 DSGVO), Auskunftsrecht (Art. 15 DSGVO), Aufnahme in das „Verzeichnis von Verarbeitungstätigkeiten“ (vgl. Art. 30 Abs. 1 lit. d DSGVO).

Beispiele für Auftragsverarbeiter:

Externer IT-Dienstleister, Cloud-Dienste (z.B. Google Drive, Dropbox, Office 365), externe Buchhalter oder Gehaltsabrechnungsbüros, Datenträgerentsorger, Marketingagenturen, Web- bzw. E-Mailhoster, Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort, Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen, Prüfung oder Wartung (Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

Verantwortlicher muss mit Auftragsverarbeiter einen Vertrag abschließen – Inhalt z.B.:

Dauer der Verarbeitung

Art und Zweck der Verarbeitung

Art der personenbezogenen Daten

Kreis betroffener Personen

Weisungsbefugnisse

Pflichten und Rechte des Verantwortlichen und des Auftragsverarbeiters

Löschung nach Beendigung des Auftrags

Will sich der Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung Subunternehmen als weiterer Auftragsverarbeiter bedienen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen

Quelle: (C) Rechtsanwalt Dr. Clemens Lintschinger, MSc

Personenbezogene Daten

Name

Geburtsdatum

Geschlecht

Adresse

Bankdaten

SV-Nummer

Reisepassnummer

Bild

Sonstige biometrische Daten

KFZ-Kennzeichen

Essensgewohnheiten

Gesundheitsdaten

etc.

 

WAS SIND „BESONDERE KATEGORIEN“ PERSONENBEZOGENER DATEN?

Dies sind die ehemaligen „sensiblen“ Daten und genießen nach Artikel 9 DSGVO besonderen Schutz. Es sind dies Daten, aus denen hervorgeht:

rassische und ethnische Herkunft

politische Meinung

religiöse oder weltanschauliche Überzeugungen

Gewerkschaftszugehörigkeit

Sowie die Verarbeitung von genetische und biometrische Daten

Gesundheitsdaten

Daten zum Sexualleben oder sexuellen Orientierung Beispiele: Fingerabdruck, Irisscan, Krankenbefunde

 

 

GRUNDSÄTZE FÜR DIE VERARBEITUNG (ART 5 DSGVO)

 

Die Grundsätze der Datenverarbeitung sind weitgehend ident mit jenen der bestehenden DSRL:

Rechtmäßigkeit

Verarbeitung nach Treu und Glauben

Transparenz (= Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden)

Zweckbindung (= Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden)

Datenminimierung (= auf das notwendige Maß beschränkt)

Richtigkeit (= sachlich richtig und erforderlichenfalls auf dem neuesten Stand)

Speicherbegrenzung/Löschen

Sicherheit (durch geeignete technische und organisatorische Maßnahmen)

 

WANN IST DIE VERARBEITUNG RECHTMÄSSIG?

Einwilligung (bisher „Zustimmung“) der betroffenen Person für bestimmten Zweck.

Erforderlich für die Erfüllung eines Vertrages / vorvertraglicher Maßnahmen.

Rechtliche Verpflichtung des Verantwortlichen (z.B. zur Dokumentation, gesetzliche Aufbewahrungspflichten).

Zum Schutz lebenswichtiger Interessen

Zur Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.

Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Interessenabwägung mit Grundrecht der betroffenen Person).

 

 

VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN

Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO schriftlich bzw. in einem elektronischen Format ein Verzeichnis aller Verarbeitungstätigkeiten zu führen und dieses der Datenschutzbehörde auf Anfrage zur Verfügung zu stellen. Diese Pflicht zur Führung eines Verarbeitungsverzeichnisses gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die Datenverarbeitung birgt ein

Risiko (Achtung: kein hohes Risiko erforderlich) für die Rechte und Freiheiten der betroffenen Personen

die Verarbeitung erfolgt nicht nur gelegentlich

es erfolgt eine Verarbeitung von sensible Daten

oder von Daten über bestimmte Straftaten.

 

Das Verarbeitungsverzeichnis

Name und Kontaktdaten des Verantwortlichen/der gemeinsamen Verantwortlichen/des Vertreters

Name und Kontaktdaten des allfälligen Datenschutzbeauftragten

Zwecke der Datenverarbeitung

Kategorien der betroffenen Personen

Kategorien personenbezogener Daten

Kategorien der (zukünftigen) Empfänger (inkl. Empfänger in Drittländern und internationale Organisationen), gegenüber welchen personenbezogener Daten offengelegt werden

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation: Name Drittland/internationale Organisation ggf. Garantien gem. Art 49 Abs 1 DSGVO

Vorgesehene Frist für die Löschung der verschiedenen Datenkategorien (wenn möglich)

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung gem. Art 32 Abs. 1 DSGVO (wenn möglich)

 

Datensicherheitsmaßnahmen

Pseudonymisierung von Daten

Verschlüsselung personenbezogener Daten

Maßnahmen, die die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen

Maßnahmen, die die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, gewährleisten

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

 

DATENSCHUTZ-FOLGENABSCHÄTZUNG

Die Artikel 29 Gruppe geht davon aus, dass je mehr Indikatoren auf eine konkrete Datenschutzverarbeitung zutreffen (Faustregel: ab 2), umso eher ist die Datenschutz-Folgenabschätzung erforderlich.

WELCHE INFORMATIONSPFLICHTEN GIBT ES BEI ERHEBUNG PERSONENBEZOGENER DATEN?

Werden personenbezogene Daten bei einer betroffenen Person erhoben, so hat der Verantwortliche nach Art. 13 DSGVO zum Zeitpunkt der Erhebung dieser Person Folgendes mitzuteilen:

Name + Kontaktdaten des Verantwortlichen und des/der Datenschutzbeauftragten

Zweck der Verarbeitung

Rechtsgrundlagen

Empfänger der Daten

die Absicht des Verantwortlichen, die Daten an ein Drittland zu übermitteln

Dauer der Speicherung der Daten

Hinweis auf die Rechte der betroffenen Person

 

WANN IST EIN DATENSCHUTZBEAUFTRAGTER ERFORDERLICH?

Folgende Verantwortliche/Auftragsverarbeiter haben zwingend einen Datenschutzbeauftragten zu bestellen:

Behörden und öffentliche Stellen (mit Ausnahme von Gerichten, soweit es nicht die Justizverwaltung betrifft)

wenn die Kerntätigkeit die regelmäßige und systematische Überwachung von Personen darstellt

wenn die Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten und Strafdaten besteht.

Die Kerntätigkeit bezieht sich auf die Haupttätigkeit und die wichtigsten Arbeitsabläufe. Kann die Datenverarbeitung entfallen, ohne dass die Zielerreichung des Unternehmens gefährdet ist, oder handelt es sich um Arbeitsabläufe, die jedes Unternehmen machen muss (zB Buchhaltung, Personalverrechnung), spricht man von einer Nebentätigkeit.

Zu den organisatorischen Maßnahmen, die sicherstellen, dass eine Datenverarbeitung gemäß der DSGVO erfolgt, kann auch die freiwillige Bestellung eines Datenschutzbeauftragten gehören. Dieser muss nicht Angestellter des Unternehmens sein, sondern kann auch ein unternehmensexterner Experte sein.

Datenschutzbeauftragte sind im Falle einer Nichteinhaltung der DSGVO und des nationalen Datenschutzes jedoch nicht persönlich verantwortlich.

Die Abwälzung der finanziellen Verantwortung für Geldbußen ist jedoch nicht möglich. Aus den Bestimmungen der DSGVO geht klar hervor, dass der Verantwortliche bzw. der Auftragsverarbeiter sicherzustellen und nachzuweisen hat, dass eine Datenverarbeitung gemäß den Regeln der DSGVO erfolgt.

ÜBERMITTLUNG VON DATEN AN DRITTSTAATEN

Innerhalb EU/EWR gilt der freie Datenverkehr. Für Drittstaaten und internationale Organisationen gilt folgende Unterscheidung:

Weder melde- noch genehmigungspflichtige Datenübermittlungen

Datenübermittlung auf Basis geeigneter Garantien, die von der Datenschutzbehörde vorab genehmigt wurden

Ausnahmsweise nicht melde- und genehmigungspflichtige Datenübermittlungen

Melde-, aber nicht genehmigungspflichtige Datenübermittlungen

Datenübermittlung zwischen Behörden und öffentlichen Stellen

RECHTE DER BETROFFENEN PERSON

Überblick:

Recht auf Information

Recht auf Auskunft

Recht auf Berichtigung

Recht auf Löschung ausgeweitet auf Recht auf „Vergessen werden“

Recht auf Widerspruch

Recht auf Einschränkung der Verarbeitung

Recht auf Datenübertragbarkeit

 

RECHT AUF AUSKUNFT

Betroffene haben umfassendes Auskunftsrecht, nämlich:

Ob Daten verarbeitet werden

Welche Daten verarbeitet werden

Herkunft der Daten

Wozu die Daten verwendet werden

An wen werden die Daten übermittelt

Speicherdauer

Auskunftsrecht ist ein höchstpersönliches Recht. Auskunftserteilung an Dritte nur bei Vorliegen einer ausreichenden Vertretungsbefugnis. Beantwortungsfrist datenschutzrechtlicher Auskunftsbegehren: 1 Monat, max. verlängerbar um weitere 2 Monate.

Quelle: (C) Rechtsanwalt Dr. Clemens Lintschinger, MSc

 

Verantwortlicher für die Datenverarbeitung ist:
Moser Albert, +43 664 222 90 60, am@reisebuero-moser.at

Unser Datenschutzkoordinator ist:
Moser Albert, +43 664 222 90 60, am@reisebuero-moser.at

Unser Datenschutzbeauftragter ist:
kommt in der Reisebüro Moser GmbH aus folgenden Gründen nicht zum Einsatz, Anzahl der Mitarbeiter, keine Verarbeitung von Gesundheitsdaten und kein Profiling.

 

Reisebüro Moser GmbH

Leopoldauer Straße 9 GL1
2201 Gerasdorf
ATU80260325

FN618859m

Tel.+43 2246 202 96
Fax +43 2246 202 96 20
www.reisebüro-moser.at