Grundangaben
Verzeichnis der Verarbeitungstätigkeiten
| Name des Unternehmens: | D33 gmbh |
| Adresse des Unternehmens: | Prof. Dr. Stefan-Koren-Strasse 10, 2700 Wiener Neustadt |
| Geschäftsführer: | Herbert Pachler, MSc. |
| Registergericht, Registernummer: | Wiener Neustadt, FN 73924 m |
| Kontaktdaten (Telefon, E-Mail): | +43 2622 26326 333, office [at] d33.at |
| Zuständige Person für den Datenschutz, bzw. Datenschutzbeauftragter/ Kontaktdaten (Telefon, E-Mail): | Herbert Pachler, MSc., interner Datenschutzbeauftragter, Adresse wie oben, hp [at] d33.at, Tel. +43 664 2211640 |
Verarbeitungstätigkeit
Verzeichnis der Verarbeitungstätigkeiten
| Bezeichnung: | Marketing/Newsletter |
| Datenkategorien: | 1. Stammdaten der Empfänger (Vorname, Name, E-Mail-Adresse). 2. Nutzungsdaten (Öffnungsraten, Klicks auf Links, je nebst Zeitpunkt). |
| Betroffene Personen: | 1. Newsletterempfänger. 2. Webseitenbesucher und Newsletterempfänger. 3. Webseitenbesucher und Newsletterempfänger. |
| Zwecke: | 1. Adressierung und Ansprache. 2. Optimierung der Nutzerfreundlichkeit, interessantere Inhalte, Steigerung wirtschaftlicher Effizienz. |
| Rechtsgrundlage: | 1. Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung). 2. Art. 6 Abs. 1 lit. f (berechtigte Interessen). |
| Datenquelle: | Anmeldeformular auf Website, ausdrückliche Einwilligung, DOI-Verfahren. |
| Information der Betroffenen: | Hinweis auf Inhalte, Datenschutzerklärung, Analyse, Versanddienstleister und Widerruf beim Anmeldeformular; Details in der Datenschutzerklärung. |
| Empfänger: | 1. Intern: IT, Marketing. 2. Intern: IT, Marketing. |
| Löschung: | 1. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB. 2. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB. |
| Schutzmaßnahmen: | Es wird auf die TOMs verwiesen. |
Allgemeine technische und organisatorische Maßnahmen (TOMs)
Verzeichnis der Verarbeitungstätigkeiten
| Zugangskontrolle (Firewalls, Virenschutz, Authentifizierungskonzepte) | |
| Zugriffskontrolle (Sichere Aufbewahrung, Vernichtung, Verschlüsselung) | |
| Weitergabekontrolle (Festlegung Empfänger, Pseudonymisierung, Verschlüsselung) | |
| Eingabekontrolle (Protokollierung) | |
| Auftragskontrolle (Weisungen, Vertragliche Verpflichtungen) | |
| Verfügbarkeitskontrolle (Notfallkonzept, Backup-System) | |
| Gewährleistung des Zweckbindungs-/Trennungsgebotes (zum Beispiel physische Datentrennung, Berechtigungskonzepte) |
Risikobewertung
Datenschutz-Folgenabschätzung
| Risiko: | Unbefugter Zugriff auf die Datenbank |
| Datenkategorien zur Folgenabschätzung: | Gesundheitsdaten |
| Betroffene: | Newsletterempfänger |
| Einstufung des Risikos (physisch, materiell, immateriell): | Eintrittswahrscheinlichkeit: normal. Schaden für Betroffene: erhöht (Spam, Phishing, etc.) an E-Mail-Adresse; soziale Nachteile aufgrund des Bekanntwerdens von Krankheiten. |
| Schutzmaßnahmen: | Hard- und Softwarefirewall, sofortige Updates der Soft- und Hardware, aktueller Stand der Technik, Intrusion Detection Systeme, Berechtigungskonzept und Passwortmanagement, besondere Belehrung der Beschäftigten, zugesicherte Schutzmaßnahmen des Webhosters, Information der Nutzer. |
| Risiko hinreichend gebannt (Abwägung mit verbleibenden Risiken): | Das Risiko ist hinreichend gebannt, die verbleibenden Risiken sind verhältnismäßig: Als mildere Maßnahme bietet sich die Datenminimierung (Art. 5 Abs. 2 DSGVO) durch Verzicht auf statistische Erhebungen des Leseverhaltens an. Es handelt sich jedoch gerade um die Kernfunktion, die mit einer Vorselektion von relevanten Informationen einen besonderen Nutzern für die Empfänger bietet. Ferner werden Nutzer auf die Analyse hingewiesen und in der Datenschutzerklärung ausführlich informiert. Daher kann die auf Art. 6 Abs. 1 lit. a und f DSGVO gestützte Funktion beibehalten werden, ohne die Rechte der Nutzer zu verletzen. |
| Freigabe erteilt: | Ja |