Datenschutzerklärung der C.I.F. Event GmbH

 

Unser Anspruch:

Gemäß Artikel 24 DSGVO unternimmt die CIF Event GmbH unter Berücksichtigung der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Person alle geeigneten technischen und organisatorischen Maßnahmen um sicherzustellen, dass die Verarbeitung aller personenbezogenen Daten gemäß dieser Verordnung erfolgt. Nach Art. 32 der DSGVO und §§ 6 und 54 des DSG 2018 werden angemessene Schutzmaßnahmen für alle Daten vorgenommen, jedoch auch immer unter der Berücksichtigung der Höhe des Risikos für die betroffenen Personen. (definiert als Risiko für Rechte und Freiheiten der Betroffenen.)

Die Überprüfung der Angemessenheit der jeweiligen Maßnahmen erfolgt auf jährlicher Basis durch interne Revisionen und gegebenenfalls durch Audits des Datenschutzbeauftragten für das Unternehmen CIF Event GmbH.

Der Geschäftsführer der CIF Event GmbH. Dr. Hans Bachmann ist zertifizierter Datenschutzbeauftragter und Datenschutzexperte. Aus dieser Expertise werden die technischen und organisatorischen Maßnahmen zur Sicherung und verordnungskonformen Verarbeitung personenbezogener Daten vorgenommen.

Gemäß Artikel 30 DSGVO wird dieses Verarbeitungsverzeichnis unbeachtlich des Umstandes erstellt, wonach ein vorschriftsgemäßes Verarbeitungsverzeichnis erst ab einer bestimmten Betriebsgröße (250 Mitarbeiter) oder bei der Verarbeitung sensibler Daten, bzw. dem Vorliegen einer Kerntätigkeit bzw. der umfangreichen und systematischen Überwachung zu erstellen wäre.

 

Wer sind wir? Verantwortlicher

Kontaktdaten:

CIF Event GmbH

Franz-Josefs-Kai 13

1010 Wien

info@communicationflow.com

oder

+43 (1) 478 37 22

Ansprechperson:

Dr. Hans BACHMANN

Adresse w.o.

Geschäftsführer, zertifizierter Datenschutzbeauftragter

Datenschutzbeauftragter: nicht benannt

Datenschutzfolgeabschätzung: nicht durchzuführen lt. White – List DSFA – A01- A20

 

Welche Datenkategorien verarbeiten wir – warum/woher haben wir sie?

  • Lieferantendaten

Bei den Lieferantendaten handelt es sich um Daten von Mitarbeitern von Lieferanten, welche zum Zwecke der Geschäftsdurchführung (Lieferung – Leistung) erhoben werden. Daten werden aufgrund einer Anfrage bei Lieferanten aus der Reaktion der Lieferanten mit einer jeweiligen Ansprechperson nachfolgend in der CIF Event erhoben, gespeichert und somit einer Verarbeitungstätigkeit zugeführt, welche auf dem Rechtsgrund einer Geschäftsbeziehung /Geschäftstätigkeit beruht.

  • MitarbeiterInnendaten

werden gemäß der DSGVO auf Basis gesetzlicher Grundlagen (Rechtliche Verpflichtung, Speicherdauer) verarbeitet. Es wird hierbei besondere Rücksicht auf die Möglichkeit des Vorhandenseins sensibler Daten genommen (besondere Datenkategorien nach Art. 9 DSGVO), welche ein erhöhtes Risiko

für die Rechte und Freiheiten betroffener Personen darstellen könnten. Durch besondere technische (privacy by design) und organisatorische Maßnahmen (Schulungen, Zugangs- und Zugriffsbeschränkungen) werden diese Daten gemäß DSGVO besonders geschützt.

  • Kundendaten

Daten, die bei Kunden erhoben werden, sind gemäß einem Angebot oder einer Marketingmaßnahme bei diesen vorab potentiellen – und nach Aufnahme effektiver Geschäftsbeziehungen (Auftrag) faktischen – Kunden erhoben worden. Daten, die aus allgemeinen Geschäftsregistern und öffentlichen Registern betreffend juristische Personen entnommen und zum Zwecke der Geschäftsanbahnung verwendet werden, sind erst ab dem Benennen einer verantwortlichen Person aus der Organisation des Kunden personenbezogene Daten. Diese dem Wesen nach dem eigentlichen Geschäftszweck vorauseilende Datenspeicherung beruht auf den Rechtsgründen des „Geschäftszweckes“ und des „berechtigten Interesses des Verantwortlichen“, da eine Geschäftstätigkeit ohne Ansprechpartner und ohne die Möglichkeit potentielle Kunden ansprechen zu können, schlechthin unmöglich wäre und damit nicht im Sinne des gesetzlichen Auftrages der DSGVO Artikel 1 Abs. 3.

Weiteres verarbeitet die CIF Event jene personenbezogenen Daten, für die sie die ausdrückliche Einwilligung der Betroffenen hat, welche in Form von Überreichung von Visitenkarten mit der damit verbundenen Aufforderung in Verbindung zu treten und damit auch die Daten zu speichern, gekoppelt sind.

Anfragen zu Beratungsleistungen für Personen und Organisationen werden wie alle übrigen Erstkontakte mit Betroffenen durch die Kenntnisbringung der Datenschutzerklärung DSGVO begleitet. Vorvertragliche Handlungen (Anfragen, Angebote) beruhen auf dem Art. 6 lit b DSGVO werden durch die Informationspflicht „Voraus“ in Form des Hinweises und Verfügbarkeit Datenschutzerklärung in der Homepage der Cif Event Gmbh (an dieser Stelle) und bei Bedarf unter physischer Vorlage der Datenschutzerklärung zur Kenntnis gebracht.

Je nach Geschäftsvorgang und je nach Risikoeinschätzung für die Betroffenen wird die CIF Event zukünftig unter Berücksichtigung des Risikos für die Rechte und Freiheiten der Betroffenen, sowie nach Zweck und Umfang der verarbeiteten Daten neben der verpflichtenden Kenntnisnahme der AGBs auch eine Kenntnisnahme der Datenschutzerklärung zur Bedingung für die Etablierung eines Geschäftszweckes erwirken. Diese oben genannten Bedingungen sind nicht durch das Koppelungsverbot beschränkt. Die CIF Event wird weder die Zustimmung zu Cookies, noch sonst welche Zustimmungen (Referenzen, Newsletter, Hausbesuche, Bildspeicherung etc.) zur Voraussetzung für die Erfüllung einer Leistung machen.

Weiteres sind die Datenverarbeitungsvorgänge von Kunden auch insofern DSGVO konform, als deren Speicherung, Übermittlung und Speicherdauer auf Basis einer gesetzlichen Grundlage (Rechtsgrund) erfolgen – z. B. BAO – oder für Gewährleistungen und Rechtsansprüche auf Seiten des Verantwortlichen oder des Betroffenen verarbeitet werden.

 

Wozu verarbeiten wir pb Daten?

Datenerhebung, Datenerfassung, Datenspeicherung, Datenveränderung/ Ergänzung, Datenansichten, Datenübermittlungen und Datenlöschungen sind als einzelne Verarbeitungsvorgänge immer auf Basis eines Rechtsgrundes durchzuführen. Die Zwecke sind Lieferungen und Leistungen, Mitarbeiterverträge, rechtsverbindliche Übermittlungen an Behörden, Informationen an Besucher, Aufträge an diverse Dienstleister und an Auftragsverarbeiter. Sohin sind die Zwecke der Datenverarbeitung – egal ob konventionell oder in elektronischen Einrichtungen – immer zur Erfüllung von Verträgen, der Unternehmenssteuerung, Mitarbeiterkoordination, Mitarbeiterbezahlung, Mitarbeiterdokumentation, auftraggeberseitigen Personenschulung und zu sozial- und steuerrechtlichen Verpflichtungen gegenüber den Mitarbeitern und gegenüber der Öffentlichen Hand verarbeitet. Konkrete Zwecke der Datenverarbeitung sind die Herstellung einer ordnungsgemäßen Buchhaltung (steuerliche Unterlagen, sowie die Abwicklung von Geschäften sowohl gegenüber den Lieferanten, als auch gegenüber Kunden, Dienstleistern, Auftragsverarbeitern und sonstigen Partnern die zur Erfüllung einer Leistungskette herangezogen werden).

Weiteres werden personenbezogene Daten unter Vorliegen eines Rechtsgrundes (z.B. Einwilligung) gespeichert, um auch Marketingmaßnahmen innerhalb der gesetzlichen Grundlagen (z.B. TKG) durchführen zu können. (Informationen, Updates, CRM etc.) Diverse Dienste, die wir hiefür in Anspruch nehmen, sind entweder im Rahmen eines Eu-Angemessenheitsbeschlusses an die Einhaltung der DSGVO gebunden oder durch besondere Verträge zur Einhaltung der gesetzlichen Bestimmungen des Datenschutzes verpflichtet. Es wird auf jeden Fall für nicht unmittelbar zur Erfüllung des Geschäftszweckes notwendige Verarbeitungen von Daten im Bedarfsfall eine Einwilligung der Betroffenen eingeholt (eindeutige Willenserklärung).

 

Wohin gehen die Daten?

Wir geben Daten nur weiter, wenn dadurch ein bedungener Geschäftszweck im Interesse des Betroffenen erfüllt werden soll. Die Daten werden weitergegeben an die Auftragsverarbeiter z.B. Buchhaltung und an den Steuerberater, sowie an die Banken zur Durchführung von Zahlungsflüssen an Mitarbeiter oder Lieferanten – wobei bei letzteren in der Regel keine personenbezogenen Daten involviert sind. Die im Rahmen von digitalen Diensten und anderen Supporteinrichtungen zur Durchführung einer fremdüblichen Verarbeitung (Clouddienste, Whatsapp, Call Center etc) übermittelten Daten sind verschlüsselt oder unverschlüsselt in jedem Falle durch Rechtsinstrumente im Sinne der DSGVO geschützt. Verfügbarkeit, Richtigkeit, Vollständigkeit, Integrität und Vertraulichkeit sind die Maßstäbe der Datensicherheit. Weitere Weitergaben z.B. an Marketingunternehmen oder sonstige Institutionen oder Organisationen erfolgen explizit nicht, außer

es liegt dafür eine eindeutige Willenserklärung vor. (Treu und Glauben) Es ist jedoch unterstellt, dass die in einen Geschäftsvorgang involvierten Personen (Betroffene) die konkludente Zustimmung zur Weitergabe von pB Daten geben, wenn dies zur Erfüllung des Geschäftszweckes i.e. Abwicklung einer Leistungskette notwendig ist. (Beispiel: Weitergabe der Daten an die Post oder andere Zustellorgane um Informationen oder Sachen liefern zu können) Dies involviert auch –asiehe oben – Clouddienste oder andere Speicher- und Marketingmedien, für die jedoch entweder ein Auftragsverarbeitervertrag vorliegt, oder geeignete Garantien – z.B. ein Angemessenheitsbeschluss der Europäischen Kommission oder sonstige geeignete Garantien die die Einhaltung der Bestimmungen der DSGVO sicherstellen. (auch Datenschutzerklärungen z.B. seitens Steuerberater)

 

Wie lange speichern wir die Daten?

Die Speicherdauer der personenbezogenen Daten erfolgt nicht über den Geschäftszweck hinaus, es sei denn es liegen rechtliche Verpflichtungen für eine längere Speicherdauer vor, oder ein weiterer Rechtsgrund wie z.B. ein überwiegend berechtigtes Interesse des Verantwortlichen. Ein sich wiederholendes Geschäft mit längeren leistungsfreien Zwischenzeiten löst nicht eine Löschungsverpflichtung aus. Auf jeden Fall reduziert die CIF Event GmbH. die Speichermenge und bereinigt nach Wegfall von Geschäftszwecken aber bei gleichzeitigem rechtlich begründeten Vorliegen von Behaltefristen oder sonstigen rechtlichen Verpflichtungen die pb Daten um jene Informationen, die nicht weiter notwendig sind und hinterlegt diese Daten gesichert – technisch und organisatorisch so geschützt- dass weder eine unerwünschte oder unbefugte Verarbeitung möglich wird. (nach Art. 32 DSGVO und § 6 und 54 DSG 2018)

 

Betroffenenrechte gem. Art. 12 bis 22 DSGVO beinhalten:

Mit der Vorlage und Verfügbarkeit dieser Datenschutzerklärung werden die Betroffenenrechte auf Information im Vorhinein erfüllt. Die weiters darin enthaltene Rechteaufklärung lautet wie folgt:

Jeder/Jede Betroffene hat das Recht auf Auskunft. Dieses umfasst das Recht auf Auskunft bei der Ermittlung der Daten, insbesondere wenn die Daten über Dritte ermittelt worden sind (Rechte a priori).

Das Recht auf Auskunft innerhalb eines Monats ab Einlangen einer personenidentifizierbaren Anfrage ist das Recht a posteriori und umfasst:

Das Recht auf Richtigstellung

Das Recht auf Einschränkung und Löschung (falls nicht übergeordnete Rechtsgründe dagegenstehen)

Das Recht auf Widerspruch

Das Recht auf Datenübertragung

Das Recht auf Beschwerde bei der Datenschutzbehörde.

Die Cif Event kommt ihrer Auskunftspflichten in vollem Umfange nach, erteilt die Auskunft gratis und unterstützt das Recht der Betroffenen zu erfahren, wohin die Daten weitervermittelt werden und ob sie von Dritten ausgelesen werden können (z.B. Clouds etc.). Im Falle eines Datenverlustes (DATABREACH) informiert die Cif Event bei Vorliegen einer entsprechenden Risikostufe für die Rechte und Freiheiten der Betroffenen die Datenschutzbehörde innerhalb von 72 Stunden nach Kenntniserlangung und die Betroffenen falls für deren Rechte und Freiheiten Risiken vorliegen und stellt die Ursachen und Folgen ab.

Gültig ab 25.5. 2018 Rev. 0.2 2018-12-17