myTWS

2018 Martin Mühl, v0.9

DSGVO

DSGVO

 

Datenverarbeitungsverzeichnis

 

nach Art. 30 Abs 1

 

EU-Datenschutzgrundverordnung (DSGVO)

 

Inhalt

 

Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen

Namen und Kontaktdaten des Auftragsverarbeiters

Datenverarbeitungen / Datenverarbeitungszwecke

Allgemeine technische und organisatorische Maßnahmen

 

 

 

 

Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen

Name(n) und Anschrift(en) 1

Verein: Helge Payer Torwartschule

Anzbachgasse22, 1140 Wien

 

Verantwortlich 1: Helge Payer

office@hp-torwartschule.at

0676/9729412

 

Kontaktperson: Natalie Payer

office@hp-torwartschule.at

0676/9729412

 

 

 

Namen und Kontaktdaten des Auftragsverarbeiters

Name(n) und Anschrift(en) 1

Firma: EDV Matthias Tanner

 

 

Verantwortlich 1: Helge Payer

Funktion: Obmann

office@hp-torwartschule.at

0676/9729412

Name(n) und Anschrift(en) 2

Firma: Steuerberatung Tiefenböck

Vienna Twin Tower

Turm West

Wienerbergstraße11

1100 Wien

 

Verantwortlich 1: Mag. Rainer Tiefenböck

Vienna Twin Tower

Turm West

Wienerbergstraße11

1100 Wien

 

 

 

 

 

Datenverarbeitungen / Datenverarbeitungszwecke

Bewerbungsverfahren

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Der Zweck besteht im Besetzen vakanter Stellen/Positionen im Verein. Dies umfasst ehrenamtliche und nichtehrenamtliche Trainer, Übungsleiter, Funktionäre und sonstige Mitarbeiter. Dieser Vorgang erfolgt regelmäßig auf Basis der Vereinsentwicklung (Sportprogramm) und der Personalfluktuation.  

Im Zuge der Suche werden Stellenanzeigen im Internet (Website, Facebook, diverse Foren) sowie in anderen vereinsbezogenen Medien (Vereinszeitschrift, Vereinsnewsletter, etc.) veröffentlicht. Die per E-Mail an office@hp-torwartschule.at eingehenden Bewerbungen (die vom Verein bevorzugte Form der Übermittlung, auf die auch in der Stellenanzeige hingewiesen wird) werden im E-Mail-Unterordner "Bewerbungen XX" wobei XX für die zu besetzende Position/Aufgabe/Stelle im Verein steht abgelegt.

Per Post einlangende Bewerbungen werden elektronisch erfasst (Scan) und unter Anwendung der gleichen Gliederung am Computer abgespeichert. Das Papierdokument (die Bewerbung) selbst wird nach dem Vorgang der elektronischen Speicherung umgehend vernichtet (geschreddert). Weitere Ablagen bestehen nicht.

Nach vollzogener Auswahl einer Bewerberin/eines Bewerbers (erfolgte vertragliche Fixierung) werden alle für diesen Verarbeitungszweck einlangenden Bewerbungen/Daten nach Mitteilung einer Absage (E-Mail bzw. Post im Falle der Übermittlung der Bewerbung im Postweg und Nichtangabe einer E-Mail-Adresse) umgehend gelöscht. Im Falle eines Bewerbungsverfahrens für ein privatrechtliches Arbeitsverhältnis (angestellte Mitarbeiter) werden die Bewerberdaten nach dem Verstreichen einer Frist von 6 Monaten gelöscht. Die Mittteilung der Absage inkludiert in diesem Falle einen Hinweis auf die Frist von 6 Monaten. Die zweckbezogene Löschung erfolgt in allen Fällen in sämtlichen Medien bzw. Speicherorten (elektronisch, Papierform). Eine Aufbewahrung von Bewerbungen zum Zwecke der Evidenzhaltung erfolgt nicht.

Die Bewerbung (Insbesondere der curriculum vitae, übermittelte Zeugnisse, Befähigungsausweise, etc.) der ausgewählten Bewerberin/des ausgewählten Bewerbers wird in den entsprechenden Ordner Personal-/Mitarbeiter-/Trainer-/Funktionäre verschoben und bildet Grundlage des entsprechenden Aktes.

Blindbewerbungen werden - sofern diese nicht unmittelbare Berücksichtigung bei laufenden Bewerbungsverfahren finden können - gelöscht. Eine Evidenzhaltung erfolgt nicht.

 

Rechtsgrundlage Ergänzung: Vertragsvorbereitung

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Bewerber

Kategorien der verarbeiteten Daten

  • Nachname (Familie) (tlw. freiwillige Angabe von Eltern)
  • Vorname (Familie) (tlw. freiwillige Angabe von Eltern)
  • Führerscheindaten
  • Geburtsort
  • Straße (privat)
  • Ort (privat)
  • PLZ (privat)
  • Telefon Mobil
  • E-Mail-Adresse
  • Vorname
  • Nachname
  • Geburtsdatum

Organisatorische Maßnahmen

  • Postfach-Zugriff eingeschränkt (Es haben nur die Personen auf das Postfach Zugriff die für die Besetzung der Position zuständig sind.)

Buchführung

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Buchführung zum Zwecke der Erfassung der Geschäftsvorgänge zur Erfüllung der Anforderungen der §§ 20ff VerG (§21 Einnahmen- und Ausgabenrechnung, Vermögensübersicht, §22 Jahresabschluss - Bilanz, Gewinn- und Verlustrechnung).

Führung aller Aspekte der Buchführung in Excel-Form. Die Excel-Listen sowie alle dazugehörigen Belege (z.B. Belege Ausgaben, Belege Mitgliedsbeiträge = Einnahmen, etc.) werden monatlich an den/die oben angeführten Auftragsverarbeiter (Buchhaltungskanzlei) weitergeleitet.

Je nach Beleg sind die unten angeführten Datenkategorien zur Gänze oder teilweise enthalten.

 

Rechtsgrundlage Ergänzung: Die Buchhaltung zur Erfüllung der gesetzlichen Verpflichtungen und zur Führung des Vereins (=vertragliche Verpflichtungen gegenüber Mitgliedern).

 

Auftragsverarbeiter

  • Auftragsverarbeiter Buchhaltung

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
  • Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich (Art. 6 Abs. 1 Lit c)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Lieferanten, Geschäftspartner
  • Mitglieder
  • Trainer (Die Daten der Trainer sind auf den PRAEs enthalten, diese liegen in der Buchhaltung auf.)

Kategorien der verarbeiteten Daten

  • Geschlecht
  • PLZ (privat)
  • Ort (privat)
  • Straße (privat)
  • Geburtsdatum
  • Nachname
  • Vorname
  • Sozialversicherungsnummer (bei Trainern)

Technische Maßnahmen

  • Kasten versperrt (Die Unterlagen werden versperrt im Vereinsbüro aufbewahrt und sind nur dem Finanzreferenten sowie seiner Vertretung zugänglich.)

Mitgliederverwaltung

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Mitgliederverwaltung als Erfordernis der Vereinsführung, Erfüllung der Statuten, Erfüllung aller vereinsbezogenen Aufgaben und Verpflichtungen.

Führung der Mitgliederverwaltung in Form von Excel-Listen/Datenbank in Excel. Die Rechtsgrundlage für diese Verarbeitungstätigkeit entspringt dem Mitgliedsvertrag = vertragliche Grundlage. Der Interessent wird vor Abschluss der Mitgliedschaft über Verarbeitungszwecke, verarbeitete Datenkategorien, Empfänger, Dauer der Datenspeicherung, etc. informiert. Zusätzlich erfolgt die Erteilung der Information nach den Art 13, 14 DSGVO im Detail über einen Datenschutzbutton auf der Webpage des Vereines.

Die Excel-Datenbank ist passwortgeschützt. Zugriff hat folgender eingeschränkter Personenkreis:  Obmann, Finanzreferent sowie deren Stellvertreter.

Nach Beendigung der Mitgliedschaft werden alle Daten - soweit kein Rückstand an Zahlungen (offener Mitgliedsbeitrag, Teilbeträge hiervon, sonstige berechtigte Forderungen des Vereins) seitens des Mitglieds besteht und die Daten auch nicht zur Geltendmachung, Ausübung oder Vermeidung von Rechtsansprüchen des Vereins benötigt werden -  nach Ablauf eines Jahres nach Austritt gelöscht. Diese Frist dient dem Vereinszweck und soll sicherstellen, dass die Abwicklung des Vertrages mit dem Mitglied und die damit zusammenhängenden Aufgaben gewährleistet ist. Im Falle des Bestehens offener Forderungen zum Zeitpunkt des Austritts beginnt der Fristablauf mit dem Zeitpunkt des Begleichens der offenen Zahlungen. Auf die einjährige Frist wird in der oben geschilderten Datenschutzerklärung gesondert hingewiesen.

Daten/Datensätze, die zur Erfüllung der gesetzlichen Anforderungen (z.B. Buchführung) benötigt werden, bleiben für die in den Materiengesetzen normierte Aufbewahrungsdauer gespeichert und werden anschließend gelöscht.

Ein Backup des Excel-Files wird auf einem verschlüsselten USB-Stick/externe Festplatte abgelegt, welcher/welche der Obmann an seinem Wohnort aufbewahrt.

 

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Geschlecht
  • Tarifklasse
  • Austrittsdatum
  • Eintrittsdatum
  • Telefon Mobil
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Vorname
  • Nachname
  • Geburtsdatum
  • E-Mail-Adresse

Technische Maßnahmen

  • Zugriff eingeschränkt (Zugriff nur durch Obmann, Finanzreferent sowie dessen Stellvertreter)
  • Backup Datenbank (Verschlüsselter USB-Stick, Durchführung der Backups durch den Vereinsobmann)

 

 

Veranstaltungsorganisation

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

Der Verein organisiert regelmäßig Veranstaltungen, die meist in Verbindung mit sportlichen Wettbewerben stehen.

Die persönliche Einladung zu bevorstehenden Veranstaltungen erfolgt mittels E-Mail (Newsletter), Postwurf und/oder als Ankündigung in Vereinszeitschriften an die Vereinsmitglieder oder an Interessenten. Hierbei wird auf die Daten der Mitgliederverwaltung bzw. des Newsletters zurückgegriffen und daher unterliegen diese Daten den dort angeführten Maßnahmen.

Personen, die an einem Wettkampf oder einer sportlichen Veranstaltung teilnehmen möchten, können sich per E-Mail, telefonisch oder mittels einer beim Vereinssitz aufliegenden, physischen Liste anmelden. Diese Daten werden in einem Excel-Sheet als vollständige Teilnehmerliste zusammengefasst. Es wird eine Teilnahmevereinbarung abgeschlossen, in der die Teilnehmenden in die Wettkampfbedingungen und die entsprechenden Datenverarbeitungen (Veröffentlichung der Teilnehmer inkl. deren erbrachten Leistungen auf der Homepage und in der nächsten Vereinszeitschrift) einwilligen. Erhoben werden Vor- und Nachname, Geburtsdatum (zur Feststellung der Altersklasse), Vereinszugehörigkeit, Kontaktdaten. Auch wird um die Einwilligung zur Aufnahme von Fotos, welche später zur Information der interessierten Öffentlichkeit auf der Homepage veröffentlicht werden sollen, gebeten. Diese Daten werden je nach Art der Veranstaltung unter Umständen auch an Sponsoren und Dach- bzw. Fachverbände weitergeleitet. 

Außerdem werden im Zuge der Veranstaltungsorganisation freiwillige Helfer rekrutiert. Dies erfolgt beispielsweise über Aufrufe auf der Website, im Newsletter, der Vereinszeitschrift oder in lokalen Zeitungen. Erhoben werden Vor- und Nachname und Kontaktdaten (sofern es sich nicht ohnehin um Vereinsmitglieder handelt), um Zeitpunkt, Ablauf und den Inhalt der freiwilligen Arbeitsleistung abzuklären. Es besteht zudem die Möglichkeit für freiwillige Helfer, sich auf eine Liste einzutragen, um auch bei zukünftigen Events wegen Mithilfe kontaktiert zu werden. Nur bei jenen, die sich auf diese Liste eingetragen haben, wird die freiwillige Mitarbeit in Evidenz gehalten.

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder
  • freiwillige Helfer
  • Teilnehmende (bei Wettkämpfen)

Kategorien der verarbeiteten Daten

  • PLZ (privat)
  • Ort (privat)
  • Vereinszugehörigkeit
  • Foto
  • Straße (privat)
  • Telefon Mobil
  • E-Mail-Adresse
  • Nachname
  • Vorname
  • Geburtsdatum

Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden

  • Typ: Sponsoren

 

 

Versicherung Mitglieder / Übungsleiter

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

Grundsätzlich werden vom Verein pauschale Versicherungslösungen genutzt, die es nicht notwendig machen, jeden einzelnen Versicherten (und somit jedes einzelne Mitglied bzw jeden einzelnen Übungsleiter) bei Versicherungsabschluss an den Versicherer (als Auftragsverarbeiter) weiterzuleiten. 

Personenbezogene Daten werden daher nur dann verarbeitet, wenn eine Schadensmeldung zur Geltendmachung des Versicherungsschutzes eines Mitglieds / eines Übungsleiters erfolgt. Erhoben werden jedenfalls Vor- und Familienname, Geburtsdatum, Wohnadresse, Beruf zum Zeitpunkt des Unfalles, eventuelle Nebenberufe und die Telefonnummer. Um den Entschädigungsbetrag überweisen zu können, erfolgt eine Angabe der Bankverbindungsdaten des Geschädigten. Ist der Unfall mit einem Kfz passiert, ist zudem die Führerscheinnummer des Kfz-Lenkers anzugeben. Auch Daten zu gesundheitlichen Beeinträchtigungen aufgrund des Unfalles und dies belegende ärztliche Atteste sind der Schadensmeldung beizulegen.

Die Angabe dieser Daten dient der Überprüfung durch den Versicherer, die Feststellung der Identität des Geschädigten und der Ermittlung der Schadenssumme und der Abwicklung der Versicherungsleistung. 

 

Rechtsgrundlage Ergänzung: Zur Vertragserfüllung notwendig: Aufgrund des Versicherungsvertrages zwischen dem Verein und dem Versicherer ist es notwendig, die Daten der betroffenen Person und Daten zum Unfallhergang zu übermitteln

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder (die Versicherungsleistung in Anspruch nehmen möchten bzw. an einem Unfall beteiligt waren)
  • Übungsleiter (die Versicherungsleistung in Anspruch nehmen möchten bzw. an einem Unfall beteiligt waren)

Kategorien der verarbeiteten Daten

  • Telefon Festnetz
  • Kfz-Kennzeichen
  • Führerscheindaten
  • IBAN
  • BIC
  • Bankinstitut
  • Telefon Mobil
  • Vereinszugehörigkeit
  • Geburtsdatum
  • gesundheitliche Beeinträchtigungen
  • Ort (privat)
  • PLZ (privat)
  • Straße (privat)
  • Nachname
  • Vorname
  • Beruf

 

Weitergabe Daten Fachverband

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Die Teilnahme am Leistungs- bzw. Wettkampfsport erfordert eine Weitergabe der personenbezogenen Daten an Sportfachverbände (z.B. Österreichischer Fußballbund). Dies umfasst sowohl Landes- als auch Bundesfachverbände.

Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Fachverband ist in zwei Formen möglich:

1.) schriftliches Anmeldeformular des Fachverbands (Übermittlung per E-Mail oder am Postweg) inkl. Beilagen

2.) online-Tool des Fachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen

In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Fachverbandes sind auf der Website des Fachverbands (z.B. https://xxx.at) abrufbar. Ein Widerruf der Datenweitergabe an den Fachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft (Ausnahme: dem Mitglied stehen beim Verein nur Wettkampf- bzw. Leistungssportsparten als Auswahl zur Verfügung), jedoch ist eine Weiterausübung des Wettkampf- bzw. Leistungssports nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Fachverband unverzüglich in Kenntnis setzen.

Übt ein Mitglied keinen Leistungs- bzw. Wettkampfsport aus, erfolgt keine Datenweitergabe.

Formalitäten:

Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.

 

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Vorname
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Nachname
  • Geschlecht
  • Geburtsdatum
  • Eintrittsdatum

 

Weitergabe Daten Dachverband

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Die Teilnahme am Leistungs- bzw. Wettkampfsport sowie Gesundheitsprojekten, Ehrungen, Fortbildungen, etc erfordert eine Weitergabe der personenbezogenen Daten an Sportdachverbände (z.B. Sportunion Österreich). Dies umfasst sowohl Landes- als auch Bundesdachverbände.

Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Dachverband ist in zwei Formen möglich:

1.) Weitergabe in elektronischer Form per E-Mail

2.) online-Tool des Dachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen

In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Dachverbandes sind auf der Website des Dachverbands (z.B. https://xxx.at) abrufbar. Ein Widerruf der Datenweitergabe an den Dachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft, jedoch ist eine Weiterausübung des Sports oft nur mehr sehr eingeschränkt bis gar nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Dachverband unverzüglich in Kenntnis setzen.

Formalitäten:

Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.

 

 

 

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Vorname
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Nachname
  • Geschlecht
  • Geburtsdatum
  • Eintrittsdatum

 

 

 

Allgemeine technische und organisatorische Maßnahmen

 

Vorhanden?

Umgesetzt?

Wenn nein, warum nicht?

Ist eine IT-Systemdokumentation vorhanden?

✓   

 

 

Ist eine Hardware-Firewall vorhanden?

✓   

 

 

Ist die Windows Firewall aktiv?

✓   

 

 

Erfolgt der Remotezugriff über VPN?

 

 

 

Computer mit Passwörter geschützt?

✓   

 

 

Windows Updates aktuell?

✓   

 

 

Sichere Passwörter E-Mails?

✓   

 

 

Mobile Geräte mit Passwort versehen?

✓   

 

 

Dokumente auf Firmenhandy abgelegt?

✓   

 

 

Verpflichtungserklärung Mitarbeiter Datengeheimnis?

✓   

 

 

Virenschutz vorhanden und aktuell?

✓   

 

 

Versperrbarkeit sensibler Unterlagen?

✓   

 

 

Bildschirmschoner mit Passwort-Sperre?

✓   

 

 

Werden die Computer beim Verlassen des Büros heruntergefahren?

✓   

 

 

Werden nicht mehr benötigte Datenträger physisch zerstört?

✓   

 

 

Wird Altpapier geschreddert?

✓   

 

 

Standards, wenn Mitarbeiter aus dem Unternehmen ausscheiden, festgelegt und unterzeichnet?

✓   

 

 

Passwort-Richtlinie für EDV Systeme vorhanden?

✓   

 

 

Unterschiedliche Passwörter für Computer und Mails vorhanden?

✓   

 

 

PW-Änderung alle 365 Tage?

 

 

 

Software-Updates regelmäßig durchgeführt?

✓   

 

 

Sicherheitsrichtlinie für mobile Geräte (Handy, Tablet) vorhanden?

✓   

 

 

Cloud-Speicher (keine privaten Accounts)?

 

 

 

Cloud-Speicher rechtlich OK (DSGVO)?

 

 

 

Sensibilisierung der Mitarbeiter für Viren-Mails / Phishing Mails?

✓   

 

 

Notfallplan für Virenbefall?

 

 

 

WLAN Sicherheit (Passwort, Verschlüsselung, ev. Gäste-WLAN)?

✓   

 

 

Backup Strategie?

✓   

 

 

Aufbewahrung der Backup-Datenträger?

✓   

 

 

Schlüsselverwaltung schriftlich dokumentiert?

✓   

 

 

 

 

Datenverarbeitungsverzeichnis

 

nach Art. 30 Abs 1

 

EU-Datenschutzgrundverordnung (DSGVO)

 

Inhalt

 

Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen

Namen und Kontaktdaten des Auftragsverarbeiters

Datenverarbeitungen / Datenverarbeitungszwecke

Allgemeine technische und organisatorische Maßnahmen

 

 

 

 

Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen

Name(n) und Anschrift(en) 1

Verein: Helge Payer Torwartschule

Anzbachgasse22, 1140 Wien

 

Verantwortlich 1: Helge Payer

office@hp-torwartschule.at

0676/9729412

 

Kontaktperson: Natalie Payer

office@hp-torwartschule.at

0676/9729412

 

 

 

Namen und Kontaktdaten des Auftragsverarbeiters

Name(n) und Anschrift(en) 1

Firma: EDV Matthias Tanner

 

 

Verantwortlich 1: Helge Payer

Funktion: Obmann

office@hp-torwartschule.at

0676/9729412

Name(n) und Anschrift(en) 2

Firma: Steuerberatung Tiefenböck

Vienna Twin Tower

Turm West

Wienerbergstraße11

1100 Wien

 

Verantwortlich 1: Mag. Rainer Tiefenböck

Vienna Twin Tower

Turm West

Wienerbergstraße11

1100 Wien

 

 

 

 

 

Datenverarbeitungen / Datenverarbeitungszwecke

Bewerbungsverfahren

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Der Zweck besteht im Besetzen vakanter Stellen/Positionen im Verein. Dies umfasst ehrenamtliche und nichtehrenamtliche Trainer, Übungsleiter, Funktionäre und sonstige Mitarbeiter. Dieser Vorgang erfolgt regelmäßig auf Basis der Vereinsentwicklung (Sportprogramm) und der Personalfluktuation.  

Im Zuge der Suche werden Stellenanzeigen im Internet (Website, Facebook, diverse Foren) sowie in anderen vereinsbezogenen Medien (Vereinszeitschrift, Vereinsnewsletter, etc.) veröffentlicht. Die per E-Mail an office@hp-torwartschule.at eingehenden Bewerbungen (die vom Verein bevorzugte Form der Übermittlung, auf die auch in der Stellenanzeige hingewiesen wird) werden im E-Mail-Unterordner "Bewerbungen XX" wobei XX für die zu besetzende Position/Aufgabe/Stelle im Verein steht abgelegt.

Per Post einlangende Bewerbungen werden elektronisch erfasst (Scan) und unter Anwendung der gleichen Gliederung am Computer abgespeichert. Das Papierdokument (die Bewerbung) selbst wird nach dem Vorgang der elektronischen Speicherung umgehend vernichtet (geschreddert). Weitere Ablagen bestehen nicht.

Nach vollzogener Auswahl einer Bewerberin/eines Bewerbers (erfolgte vertragliche Fixierung) werden alle für diesen Verarbeitungszweck einlangenden Bewerbungen/Daten nach Mitteilung einer Absage (E-Mail bzw. Post im Falle der Übermittlung der Bewerbung im Postweg und Nichtangabe einer E-Mail-Adresse) umgehend gelöscht. Im Falle eines Bewerbungsverfahrens für ein privatrechtliches Arbeitsverhältnis (angestellte Mitarbeiter) werden die Bewerberdaten nach dem Verstreichen einer Frist von 6 Monaten gelöscht. Die Mittteilung der Absage inkludiert in diesem Falle einen Hinweis auf die Frist von 6 Monaten. Die zweckbezogene Löschung erfolgt in allen Fällen in sämtlichen Medien bzw. Speicherorten (elektronisch, Papierform). Eine Aufbewahrung von Bewerbungen zum Zwecke der Evidenzhaltung erfolgt nicht.

Die Bewerbung (Insbesondere der curriculum vitae, übermittelte Zeugnisse, Befähigungsausweise, etc.) der ausgewählten Bewerberin/des ausgewählten Bewerbers wird in den entsprechenden Ordner Personal-/Mitarbeiter-/Trainer-/Funktionäre verschoben und bildet Grundlage des entsprechenden Aktes.

Blindbewerbungen werden - sofern diese nicht unmittelbare Berücksichtigung bei laufenden Bewerbungsverfahren finden können - gelöscht. Eine Evidenzhaltung erfolgt nicht.

 

Rechtsgrundlage Ergänzung: Vertragsvorbereitung

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Bewerber

Kategorien der verarbeiteten Daten

  • Nachname (Familie) (tlw. freiwillige Angabe von Eltern)
  • Vorname (Familie) (tlw. freiwillige Angabe von Eltern)
  • Führerscheindaten
  • Geburtsort
  • Straße (privat)
  • Ort (privat)
  • PLZ (privat)
  • Telefon Mobil
  • E-Mail-Adresse
  • Vorname
  • Nachname
  • Geburtsdatum

Organisatorische Maßnahmen

  • Postfach-Zugriff eingeschränkt (Es haben nur die Personen auf das Postfach Zugriff die für die Besetzung der Position zuständig sind.)

Buchführung

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Buchführung zum Zwecke der Erfassung der Geschäftsvorgänge zur Erfüllung der Anforderungen der §§ 20ff VerG (§21 Einnahmen- und Ausgabenrechnung, Vermögensübersicht, §22 Jahresabschluss - Bilanz, Gewinn- und Verlustrechnung).

Führung aller Aspekte der Buchführung in Excel-Form. Die Excel-Listen sowie alle dazugehörigen Belege (z.B. Belege Ausgaben, Belege Mitgliedsbeiträge = Einnahmen, etc.) werden monatlich an den/die oben angeführten Auftragsverarbeiter (Buchhaltungskanzlei) weitergeleitet.

Je nach Beleg sind die unten angeführten Datenkategorien zur Gänze oder teilweise enthalten.

 

Rechtsgrundlage Ergänzung: Die Buchhaltung zur Erfüllung der gesetzlichen Verpflichtungen und zur Führung des Vereins (=vertragliche Verpflichtungen gegenüber Mitgliedern).

 

Auftragsverarbeiter

  • Auftragsverarbeiter Buchhaltung

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
  • Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich (Art. 6 Abs. 1 Lit c)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Lieferanten, Geschäftspartner
  • Mitglieder
  • Trainer (Die Daten der Trainer sind auf den PRAEs enthalten, diese liegen in der Buchhaltung auf.)

Kategorien der verarbeiteten Daten

  • Geschlecht
  • PLZ (privat)
  • Ort (privat)
  • Straße (privat)
  • Geburtsdatum
  • Nachname
  • Vorname
  • Sozialversicherungsnummer (bei Trainern)

Technische Maßnahmen

  • Kasten versperrt (Die Unterlagen werden versperrt im Vereinsbüro aufbewahrt und sind nur dem Finanzreferenten sowie seiner Vertretung zugänglich.)

Mitgliederverwaltung

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Mitgliederverwaltung als Erfordernis der Vereinsführung, Erfüllung der Statuten, Erfüllung aller vereinsbezogenen Aufgaben und Verpflichtungen.

Führung der Mitgliederverwaltung in Form von Excel-Listen/Datenbank in Excel. Die Rechtsgrundlage für diese Verarbeitungstätigkeit entspringt dem Mitgliedsvertrag = vertragliche Grundlage. Der Interessent wird vor Abschluss der Mitgliedschaft über Verarbeitungszwecke, verarbeitete Datenkategorien, Empfänger, Dauer der Datenspeicherung, etc. informiert. Zusätzlich erfolgt die Erteilung der Information nach den Art 13, 14 DSGVO im Detail über einen Datenschutzbutton auf der Webpage des Vereines.

Die Excel-Datenbank ist passwortgeschützt. Zugriff hat folgender eingeschränkter Personenkreis:  Obmann, Finanzreferent sowie deren Stellvertreter.

Nach Beendigung der Mitgliedschaft werden alle Daten - soweit kein Rückstand an Zahlungen (offener Mitgliedsbeitrag, Teilbeträge hiervon, sonstige berechtigte Forderungen des Vereins) seitens des Mitglieds besteht und die Daten auch nicht zur Geltendmachung, Ausübung oder Vermeidung von Rechtsansprüchen des Vereins benötigt werden -  nach Ablauf eines Jahres nach Austritt gelöscht. Diese Frist dient dem Vereinszweck und soll sicherstellen, dass die Abwicklung des Vertrages mit dem Mitglied und die damit zusammenhängenden Aufgaben gewährleistet ist. Im Falle des Bestehens offener Forderungen zum Zeitpunkt des Austritts beginnt der Fristablauf mit dem Zeitpunkt des Begleichens der offenen Zahlungen. Auf die einjährige Frist wird in der oben geschilderten Datenschutzerklärung gesondert hingewiesen.

Daten/Datensätze, die zur Erfüllung der gesetzlichen Anforderungen (z.B. Buchführung) benötigt werden, bleiben für die in den Materiengesetzen normierte Aufbewahrungsdauer gespeichert und werden anschließend gelöscht.

Ein Backup des Excel-Files wird auf einem verschlüsselten USB-Stick/externe Festplatte abgelegt, welcher/welche der Obmann an seinem Wohnort aufbewahrt.

 

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Geschlecht
  • Tarifklasse
  • Austrittsdatum
  • Eintrittsdatum
  • Telefon Mobil
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Vorname
  • Nachname
  • Geburtsdatum
  • E-Mail-Adresse

Technische Maßnahmen

  • Zugriff eingeschränkt (Zugriff nur durch Obmann, Finanzreferent sowie dessen Stellvertreter)
  • Backup Datenbank (Verschlüsselter USB-Stick, Durchführung der Backups durch den Vereinsobmann)

 

 

Veranstaltungsorganisation

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

Der Verein organisiert regelmäßig Veranstaltungen, die meist in Verbindung mit sportlichen Wettbewerben stehen.

Die persönliche Einladung zu bevorstehenden Veranstaltungen erfolgt mittels E-Mail (Newsletter), Postwurf und/oder als Ankündigung in Vereinszeitschriften an die Vereinsmitglieder oder an Interessenten. Hierbei wird auf die Daten der Mitgliederverwaltung bzw. des Newsletters zurückgegriffen und daher unterliegen diese Daten den dort angeführten Maßnahmen.

Personen, die an einem Wettkampf oder einer sportlichen Veranstaltung teilnehmen möchten, können sich per E-Mail, telefonisch oder mittels einer beim Vereinssitz aufliegenden, physischen Liste anmelden. Diese Daten werden in einem Excel-Sheet als vollständige Teilnehmerliste zusammengefasst. Es wird eine Teilnahmevereinbarung abgeschlossen, in der die Teilnehmenden in die Wettkampfbedingungen und die entsprechenden Datenverarbeitungen (Veröffentlichung der Teilnehmer inkl. deren erbrachten Leistungen auf der Homepage und in der nächsten Vereinszeitschrift) einwilligen. Erhoben werden Vor- und Nachname, Geburtsdatum (zur Feststellung der Altersklasse), Vereinszugehörigkeit, Kontaktdaten. Auch wird um die Einwilligung zur Aufnahme von Fotos, welche später zur Information der interessierten Öffentlichkeit auf der Homepage veröffentlicht werden sollen, gebeten. Diese Daten werden je nach Art der Veranstaltung unter Umständen auch an Sponsoren und Dach- bzw. Fachverbände weitergeleitet. 

Außerdem werden im Zuge der Veranstaltungsorganisation freiwillige Helfer rekrutiert. Dies erfolgt beispielsweise über Aufrufe auf der Website, im Newsletter, der Vereinszeitschrift oder in lokalen Zeitungen. Erhoben werden Vor- und Nachname und Kontaktdaten (sofern es sich nicht ohnehin um Vereinsmitglieder handelt), um Zeitpunkt, Ablauf und den Inhalt der freiwilligen Arbeitsleistung abzuklären. Es besteht zudem die Möglichkeit für freiwillige Helfer, sich auf eine Liste einzutragen, um auch bei zukünftigen Events wegen Mithilfe kontaktiert zu werden. Nur bei jenen, die sich auf diese Liste eingetragen haben, wird die freiwillige Mitarbeit in Evidenz gehalten.

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder
  • freiwillige Helfer
  • Teilnehmende (bei Wettkämpfen)

Kategorien der verarbeiteten Daten

  • PLZ (privat)
  • Ort (privat)
  • Vereinszugehörigkeit
  • Foto
  • Straße (privat)
  • Telefon Mobil
  • E-Mail-Adresse
  • Nachname
  • Vorname
  • Geburtsdatum

Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden

  • Typ: Sponsoren

 

 

Versicherung Mitglieder / Übungsleiter

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

Grundsätzlich werden vom Verein pauschale Versicherungslösungen genutzt, die es nicht notwendig machen, jeden einzelnen Versicherten (und somit jedes einzelne Mitglied bzw jeden einzelnen Übungsleiter) bei Versicherungsabschluss an den Versicherer (als Auftragsverarbeiter) weiterzuleiten. 

Personenbezogene Daten werden daher nur dann verarbeitet, wenn eine Schadensmeldung zur Geltendmachung des Versicherungsschutzes eines Mitglieds / eines Übungsleiters erfolgt. Erhoben werden jedenfalls Vor- und Familienname, Geburtsdatum, Wohnadresse, Beruf zum Zeitpunkt des Unfalles, eventuelle Nebenberufe und die Telefonnummer. Um den Entschädigungsbetrag überweisen zu können, erfolgt eine Angabe der Bankverbindungsdaten des Geschädigten. Ist der Unfall mit einem Kfz passiert, ist zudem die Führerscheinnummer des Kfz-Lenkers anzugeben. Auch Daten zu gesundheitlichen Beeinträchtigungen aufgrund des Unfalles und dies belegende ärztliche Atteste sind der Schadensmeldung beizulegen.

Die Angabe dieser Daten dient der Überprüfung durch den Versicherer, die Feststellung der Identität des Geschädigten und der Ermittlung der Schadenssumme und der Abwicklung der Versicherungsleistung. 

 

Rechtsgrundlage Ergänzung: Zur Vertragserfüllung notwendig: Aufgrund des Versicherungsvertrages zwischen dem Verein und dem Versicherer ist es notwendig, die Daten der betroffenen Person und Daten zum Unfallhergang zu übermitteln

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder (die Versicherungsleistung in Anspruch nehmen möchten bzw. an einem Unfall beteiligt waren)
  • Übungsleiter (die Versicherungsleistung in Anspruch nehmen möchten bzw. an einem Unfall beteiligt waren)

Kategorien der verarbeiteten Daten

  • Telefon Festnetz
  • Kfz-Kennzeichen
  • Führerscheindaten
  • IBAN
  • BIC
  • Bankinstitut
  • Telefon Mobil
  • Vereinszugehörigkeit
  • Geburtsdatum
  • gesundheitliche Beeinträchtigungen
  • Ort (privat)
  • PLZ (privat)
  • Straße (privat)
  • Nachname
  • Vorname
  • Beruf

 

Weitergabe Daten Fachverband

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Die Teilnahme am Leistungs- bzw. Wettkampfsport erfordert eine Weitergabe der personenbezogenen Daten an Sportfachverbände (z.B. Österreichischer Fußballbund). Dies umfasst sowohl Landes- als auch Bundesfachverbände.

Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Fachverband ist in zwei Formen möglich:

1.) schriftliches Anmeldeformular des Fachverbands (Übermittlung per E-Mail oder am Postweg) inkl. Beilagen

2.) online-Tool des Fachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen

In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Fachverbandes sind auf der Website des Fachverbands (z.B. https://xxx.at) abrufbar. Ein Widerruf der Datenweitergabe an den Fachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft (Ausnahme: dem Mitglied stehen beim Verein nur Wettkampf- bzw. Leistungssportsparten als Auswahl zur Verfügung), jedoch ist eine Weiterausübung des Wettkampf- bzw. Leistungssports nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Fachverband unverzüglich in Kenntnis setzen.

Übt ein Mitglied keinen Leistungs- bzw. Wettkampfsport aus, erfolgt keine Datenweitergabe.

Formalitäten:

Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.

 

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Vorname
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Nachname
  • Geschlecht
  • Geburtsdatum
  • Eintrittsdatum

 

Weitergabe Daten Dachverband

letzte Bearbeitung: 1.07.2018

 

Beschreibung:

 

Die Teilnahme am Leistungs- bzw. Wettkampfsport sowie Gesundheitsprojekten, Ehrungen, Fortbildungen, etc erfordert eine Weitergabe der personenbezogenen Daten an Sportdachverbände (z.B. Sportunion Österreich). Dies umfasst sowohl Landes- als auch Bundesdachverbände.

Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Dachverband ist in zwei Formen möglich:

1.) Weitergabe in elektronischer Form per E-Mail

2.) online-Tool des Dachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen

In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Dachverbandes sind auf der Website des Dachverbands (z.B. https://xxx.at) abrufbar. Ein Widerruf der Datenweitergabe an den Dachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft, jedoch ist eine Weiterausübung des Sports oft nur mehr sehr eingeschränkt bis gar nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Dachverband unverzüglich in Kenntnis setzen.

Formalitäten:

Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.

 

 

 

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

Kategorien der verarbeiteten Daten

  • Vorname
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Nachname
  • Geschlecht
  • Geburtsdatum
  • Eintrittsdatum

 

 

 

Allgemeine technische und organisatorische Maßnahmen

 

Vorhanden?

Umgesetzt?

Wenn nein, warum nicht?

Ist eine IT-Systemdokumentation vorhanden?

✓   

 

 

Ist eine Hardware-Firewall vorhanden?

✓   

 

 

Ist die Windows Firewall aktiv?

✓   

 

 

Erfolgt der Remotezugriff über VPN?

 

 

 

Computer mit Passwörter geschützt?

✓   

 

 

Windows Updates aktuell?

✓   

 

 

Sichere Passwörter E-Mails?

✓   

 

 

Mobile Geräte mit Passwort versehen?

✓   

 

 

Dokumente auf Firmenhandy abgelegt?

✓   

 

 

Verpflichtungserklärung Mitarbeiter Datengeheimnis?

✓   

 

 

Virenschutz vorhanden und aktuell?

✓   

 

 

Versperrbarkeit sensibler Unterlagen?

✓   

 

 

Bildschirmschoner mit Passwort-Sperre?

✓   

 

 

Werden die Computer beim Verlassen des Büros heruntergefahren?

✓   

 

 

Werden nicht mehr benötigte Datenträger physisch zerstört?

✓   

 

 

Wird Altpapier geschreddert?

✓   

 

 

Standards, wenn Mitarbeiter aus dem Unternehmen ausscheiden, festgelegt und unterzeichnet?

✓   

 

 

Passwort-Richtlinie für EDV Systeme vorhanden?

✓   

 

 

Unterschiedliche Passwörter für Computer und Mails vorhanden?

✓   

 

 

PW-Änderung alle 365 Tage?

 

 

 

Software-Updates regelmäßig durchgeführt?

✓   

 

 

Sicherheitsrichtlinie für mobile Geräte (Handy, Tablet) vorhanden?

✓   

 

 

Cloud-Speicher (keine privaten Accounts)?

 

 

 

Cloud-Speicher rechtlich OK (DSGVO)?

 

 

 

Sensibilisierung der Mitarbeiter für Viren-Mails / Phishing Mails?

✓   

 

 

Notfallplan für Virenbefall?

 

 

 

WLAN Sicherheit (Passwort, Verschlüsselung, ev. Gäste-WLAN)?

✓   

 

 

Backup Strategie?

✓   

 

 

Aufbewahrung der Backup-Datenträger?

✓   

 

 

Schlüsselverwaltung schriftlich dokumentiert?

✓