Datenschutz / AAB

ALLGEMEINE DATENSCHUTZERKLÄRUNG
Stand: 25.05.2018

1. Geltungsbereich

1.1. Diese Allgemeine Datenschutzerklärung (ADE) gilt – vorbehaltlich etwaiger besonderer Datenschutzerklärungen – für die Verarbeitung sämtlicher personenbezogener Daten (siehe Punkt 3.) im Unternehmen der

DUMFARTH KLAUSBERGER Rechtsanwälte GmbH & Co KG
FN 477511y, UID ATU-72598067
Stelzhamerstraße 2/26, 4020 Linz
Fax: +43 (0) 732 / 276 276 – 99 / E-Mail: office@dkra.at / Web: www.dkra.at
(DKRA)

1.2. Der Schutz persönlicher Daten und die Einhaltung der maßgeblichen Datenschutzvorschriften – derzeit die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) und das Datenschutzgesetz, BGBl I Nr. 1999/165 (DSG), in der geltenden Fassung sowie die auf Grundlage dieser Rechtsvorschriften erlassenen Rechtsakte – haben bei DKRA höchste Priorität. Die nachstehende ADE gibt einen Überblick darüber, welche personenbezogenen Daten von DKRA zu welchen Zwecken verarbeitet werden und wie DKRA den Schutz dieser Daten gewährleistet.

1.3. Diese ADE kann jederzeit unter www.dkra.at elektronisch abgerufen, ausgedruckt, downgeloaded und auf einem Speichermedium gespeichert werden.

1.4. Die in dieser ADE verwendeten Begriffe verstehen sich im Sinne der Definitionen gemäß Art 4 DSGVO.

2. Verantwortlicher, Datenschutzbeauftragter

2.1. DKRA (siehe Punkt 1.1.) ist Verantwortlicher im Sinne des Art 4 Z 7 DSGVO.

2.2. Da die Voraussetzungen des Art 37 Abs 1 DSGVO nicht erfüllt sind, insbesondere die Kerntätigkeit von DKRA nicht in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, ist bei DKRA kein Datenschutzbeauftragter benannt.

3. Verarbeitung personenbezogener Daten

3.1. DKRA verarbeitet (siehe Art 4 Z 2 DSGVO) im Rahmen ihres Unternehmens personenbezogene Daten (DATEN) natürlicher Personen (BETROFFENER) im Sinne des Art 4 Z 1 DSGVO.

3.2. Der Begriff BETROFFENER ist geschlechtsneutral zu verstehen und umfasst alle Kategorien von der Datenverarbeitung betroffener Personen. Zu ihnen gehören insbesondere Leistungsempfänger, Klienten und andere Vertragspartner sowie deren Kontaktpersonen, Mitarbeiter, Stellenbewerber und Besucher der Website www.dkra.at (WEBSITE).

3.3. DKRA verarbeitet DATEN unter Wahrung der in Art 5 ff DSGVO niedergelegten datenschutzrechtlichen Grundsätze und nur, wenn mindestens eine Rechtmäßigkeitsbedingung im Sinne des Art 6 DSGVO erfüllt ist, insbesondere, wenn die Datenverarbeitung
– zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage des BETROFFENEN erfolgen, oder zur Erfüllung eines Vertrages mit dem BETROFFENEN erforderlich ist (Art 6 lit b),
– zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher die DKRA unterliegt (Art 6 lit c),
– zur Wahrung der überwiegenden berechtigten Interessen der DKRA oder eines Dritten erforderlich ist (Art 6 lit f), oder
– bei Vorliegen einer Einwilligung des BETROFFENEN für einen oder mehrere bestimmte Zwecke (Art 6 lit a).

3.4. DKRA verarbeitet auch besondere Kategorien personenbezogener Daten im Sinne des Art 9 Abs 1 DSGVO (SENSIBLE DATEN). Hierbei handelt es sich um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie um genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. SENSIBLE DATEN verarbeitet DKRA nur, wenn ein Fall des Art 9 Abs 2 DSGVO vorliegt, insbesondere, wenn die Verarbeitung aufgrund (insbesondere arbeits- und sozial-)rechtlicher Vorschriften (Art 9 Abs 2 lit b, g, h und j) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte in ihrer gerichtlichen Eigenschaft (lit f; z.B. Strafregisterauszüge oder Krankengeschichten) erforderlich ist oder wenn SENSIBLE DATEN vom BETROFFENEN (etwa in Lebensläufen von Stellenbewerbern) freiwillig angegeben bzw. offengelegt werden (Art 9 Abs 2 lit a und e).

3.5. Bei der Kontaktaufnahme mit DKRA werden die Angaben des BETROFFENEN zum Zwecke der Bearbeitung der Kontaktanfrage und deren Abwicklung gemäß Art 6 Abs 1 lit b) DSGVO verarbeitet. So werden insbesondere DATEN von Rechtssuchenden für Auskünfte und/oder die Erstellung von Angeboten durch DKRA nur insoweit verarbeitet, als dies für die Erteilung von Auskünften und/oder Übermittlung von zielgerichteten Angeboten notwendig ist.

3.6. Zum Zwecke der Abwicklung (vor-/nach-)vertraglicher Verhältnisse einschließlich der Kommunikation werden DATEN von Klienten und Vertragspartnern sowie deren Kontaktpersonen (insbesondere Mitarbeitern), insbesondere Stamm-, Vertrags-/Auftrags-/Rechnungs- und Kommunikationsdaten, verarbeitet.

3.7. Zur Erfüllung einer rechtlichen Verpflichtung werden insbesondere DATEN von BETROFFENEN verarbeitet, mit denen kein Vertragsverhältnis besteht, wie insbesondere von Verfahrensbeholfenen, Besachwalteten und Personen, denen eine erste anwaltliche Auskunft erteilt wird. Zum Zwecke der Abwicklung derartiger Rechtsverhältnisse werden sämtliche DATEN verarbeitet, die zur Erteilung der Rechtsauskunft und/oder Abwicklung des Rechtsverhältnisses erforderlich sind.

3.8. Erhält DKRA die E-Mail-Adresse von BETROFFENEN im Zusammenhang mit einer Dienstleistung, ist DKRA auf Grund ihres berechtigten Interesses gemäß Art 6 Abs 1 lit f) DSGVO berechtigt, per E-Mail Informationen und Zusendungen für eigene oder ähnliche Dienstleistungen zu übermitteln. BETROFFENE haben das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender DATEN zum Zwecke derartiger Informationen einzulegen (siehe Punkt 10.8.).

3.9. Weiters werden auf rechtlicher und vertraglicher Grundlage DATEN von Mitarbeitern und Stellenbewerbern von DKRA verarbeitet. Zum Zwecke der direkten Kontaktaufnahme und der Gewährleistung eines reibungslosen Geschäftsablaufes können auf Grundlage des berechtigten Interesses von DKRA gemäß Art 6 Abs 1 lit f) DSGVO und § 12 Abs 2 Z 4 DSG berufliche Kontaktdaten und Lichtbilder von Mitarbeitern auf der WEBSITE veröffentlicht werden.

3.10. Erforderlichenfalls – d.h. sofern keine andere in Art 6 DSGVO angeführte Bedingung oder bei SENSIBLEN DATEN kein anderer Fall des Art 9 Abs 2 DSGVO erfüllt ist – wird DKRA die Einwilligung des BETROFFENEN einholen. Sofern der BETROFFENE von DKRA nicht geforderte DATEN von sich aus freiwillig bekannt gibt (etwa in Bewerbungen und Lebensläufen), erteilt er damit seine ausdrückliche Einwilligung in die zweckbezogene und bestimmungsgemäße Verarbeitung dieser DATEN durch DKRA gemäß dieser ADE. Der BETROFFENE hat das Recht, jede erteilte Einwilligung jederzeit ganz oder teilweise zu widerrufen. Der Widerruf ist an DKRA (Kontaktdaten siehe Punkt 1.1.) zu richten. Obgleich der Widerruf der Einwilligung an keine bestimmte Form gebunden ist, wird zu Nachweiszwecken die Erklärung des Widerrufs in Textform (z.B. Brief, E-Mail oder Fax) empfohlen.

3.11. Der Widerruf der Einwilligung des BETROFFENEN in eine Verarbeitung von DATEN lässt die Verarbeitung von DATEN auf Grundlage anderer Bedingungen im Sinne des Art 6 DSGVO bzw. bei SENSIBLEN DATEN eines anderen Falles des Art 9 Abs 2 DSGVO sowie die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung unberührt.

3.12. Auch eine Weitergabe von DATEN durch DKRA erfolgt nur, soweit dies aufgrund der geltenden Rechtsvorschriften zulässig bzw. erforderlich ist, insbesondere auf Grundlage einer in Art 6 DSGVO angeführten Bedingung, bei SENSIBLEN DATEN eines Falles des Art 9 Abs 2 DSGVO, oder an Auftragsverarbeiter gemäß Art 28 DSGVO. Innerhalb des Unternehmens von DKRA erhalten die Mitarbeiter jene DATEN, die diese zur Erfüllung der vertraglichen bzw. rechtlichen Pflichten sowie der berechtigten Interessen von DKRA benötigen. Erforderlichenfalls werden DATEN auf vertraglicher oder rechtlicher Grundlage an die mit der Abwicklung des Vertragsverhältnisses befassten Vertragspartner und/oder Substituten weitergegeben. Keinesfalls aber werden DATEN ohne vorherige Einwilligung des BETROFFENEN zu Werbe- oder Marketingzwecken o.Ä. weitergegeben.

3.13. Eine automatisierte Entscheidungsfindung (Profiling im Sinne des Art 4 Z 4 DSGVO) findet bei DKRA nicht statt.

3.14. Die detaillierte Verarbeitung von DATEN durch DKRA – insbesondere einschließlich der jeweiligen Zwecke, der Rechtsgrundlage und der Dauer – ist in ihrem Datenverarbeitungsverzeichnis gemäß Art 30 DSGVO dargestellt. Ein Auszug des den BETROFFENEN betreffenden Datenverarbeitungsverzeichnisses von DKRA kann unter den in Punkt 1.1. angeführten Kontaktdaten angefordert werden.

4. Website, Erhebung von Zugriffsdaten und Logfiles

4.1. Personen können die Website von DKRA www.dkra.at (WEBSITE) besuchen, ohne Angaben zu ihrer Person zu machen. DKRA erhebt und verarbeitet im Rahmen des Betriebes der WEBSITE nur DATEN technischer Natur über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (Serverlogfiles), die von DKRA unter Verwendung von Cookies (siehe Punkt 5.) automatisiert verarbeitet werden, wenn der BETROFFENE auf die WEBSITE zugreift oder diese nutzt, und welche als personenbezogen gelten oder zur Ermittlung der Person oder personenbezogener Daten des BETROFFENEN verwendet werden können (ZUGRIFFSDATEN). Dazu gehören etwa die IP-Adresse, eindeutige Geräteerkennung, Art und Version des Betriebssystems und des Browsers, Name der abgerufenen Website, Datei, Datum und Uhrzeit des Abrufs, Referrer URL (zuvor besuchte Seite) und der anfragende Provider.

4.2. DKRA verarbeitet diese ZUGRIFFSDATEN aber nicht zum Zwecke der Ermittlung der Person oder personenbezogener Daten des BETROFFENEN, sondern ausschließlich zum Zwecke der Bereitstellung, bedarfsgerechten Gestaltung, Adaptierung, Verbesserung, Wartung, Optimierung und Weiterentwicklung der WEBSITE (einschließlich Funktionen, Dienste, Module und Features derselben), zur Fehlererkennung und -behebung, zur Aufrechterhaltung der Systemsicherheit sowie zum Zwecke der internen statistischen Auswertung, ohne dass dabei Rückschlüsse auf die Person des BETROFFENEN gezogen werden (siehe unten Punkt 6.). Es findet auch dabei kein Profiling im Sinne des Art 4 Z 4 DSGVO statt.

5. Cookies

5.1. Bei Cookies handelt es sich um Dateien, die lokal im Zwischenspeicher des Internetbrowsers des BETROFFENEN gespeichert werden und die insbesondere dazu dienen, die WEBSITE (insbesondere durch Wiedererkennung des zugreifenden Internetbrowsers) benutzerfreundlicher, effektiver und sicherer zu machen sowie eine (anonymisierte) Analyse der Benutzung der WEBSITE durch die BETROFFENEN zu statistischen Zwecken zu ermöglichen.

5.2. Jeder BETROFFENE hat jederzeit die Möglichkeit, in den Einstellungen seines Internetbrowsers Cookies zu deaktivieren und/oder zu löschen sowie festzulegen, wie lange sie gespeichert und wann sie gelöscht werden. Die Vorgangsweise dazu ist abhängig von dem vom BETROFFENEN verwendeten Internetbrowser. Die Deaktivierung von Cookies kann jedoch dazu führen, dass gewisse Funktionen und/oder Inhalte der WEBSITE nicht oder nicht wie erwartet funktionieren.

6. Google Analytics

6.1. DKRA setzt auf Grundlage ihrer berechtigten Interessen gemäß Art 6 Abs 1 lit f) DSGVO auf der WEBSITE Google Analytics, einen Webanalysedienst der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (GOOGLE), ein.

6.2. Google Analytics verwendet Cookies, also Textdateien, die auf Geräten der BETROFFENEN als Besucher der WEBSITE gespeichert werden und die eine Analyse der Benutzung der WEBSITE durch die BETROFFENEN ermöglichen. Die durch Cookies erzeugten Informationen über die Benutzung dieser WEBSITE durch die BETROFFENEN (einschließlich ihrer IP-Adresse) wird an einen Server von GOOGLE in den USA übertragen und dort gespeichert. DKRA setzt Google Analytics nur mit aktivierter IP-Anonymisierung ein, d.h. die IP-Adresse der BETROFFENEN wird von GOOGLE innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt.

6.3. GOOGLE ist unter dem Privacy-Shield-Abkommen zertifiziert und gewährleistet hierdurch die Einhaltung des europäischen Datenschutzniveaus (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

6.4. Im Auftrag von DKRA benutzt GOOGLE diese Informationen, um die Nutzung der WEBSITE durch die BETROFFENEN auszuwerten, um Reports über die Websiteaktivitäten für DKRA zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber DKRA zu erbringen.

6.5. Jeder BETROFFENE hat jederzeit die Möglichkeit, in den Einstellungen seines Internetbrowsers Cookies zu deaktivieren und/oder zu löschen sowie festzulegen, wie lange sie gespeichert und wann sie gelöscht werden. Die Vorgangsweise dazu ist abhängig von dem vom BETROFFENEN verwendeten Internetbrowser. Die Deaktivierung von Cookies kann jedoch dazu führen, dass gewisse Funktionen und/oder Inhalte der WEBSITE nicht oder nicht wie erwartet funktionieren und gegebenenfalls nicht sämtliche Funktionen dieser WEBSITE vollumfänglich genutzt werden können.

6.6. Darüber hinaus kann der BETROFFENE die Verarbeitung der durch Cookies erzeugten und auf seine Nutzung bezogenen Daten verhindern, indem er das unter http://tools.google.com/dlpage/gaoptout?hl=de verfügbare Browser-Add-on zur Deaktivierung von Google Analytics herunterlädt und installiert, sofern es für seinen Browser verfügbar ist, oder indem er auf den nachstehend angeführten Link zur Deaktivierung von Google Analytics klickt, um ein Opt-Out-Cookie zu setzen, das die zukünftige Erfassung der Daten beim Besuch der WEBSITE verhindert: [LINK]

6.7. Nähere Informationen zu den Nutzungsbedingungen und zu den Datenschutzbestimmungen von GOOGLE sind elektronisch abrufbar unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies.

7. Datenverarbeitung im Auftrag von DKRA

7.1. Erfolgt eine Verarbeitung von DATEN im Auftrag von DKRA, so arbeitet diese nur mit Auftragsverarbeitern im Sinne des Art 4 Z 8 DSGVO, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den bestehenden Rechtsvorschriften erfolgt und der Schutz der Rechte der BETROFFENEN gewährleistet ist. Zu diesem Zweck schließt DKRA mit ihren Auftragsverarbeitern entsprechende Verträge ab, welche den Anforderungen des Art 28 DSGVO entsprechen und beachtet bei Auftragsverarbeitern mit Sitz in Nicht-EU-Mitgliedstaaten (Drittstaaten) die Art 44 ff DSGVO.

7.2. Die Auftragsverarbeiter von DKRA sowie die Empfänger bzw. Kategorien von Empfängern, an welche DATEN übermittelt werden bzw. werden müssen, sind im Verarbeitungsverzeichnis von DKRA angeführt.

7.3. Eine Offenlegung, Übermittlung oder Weitergabe von DATEN an natürliche oder juristische Personen, die weder Auftragsverarbeiter von DKRA sind, noch unter der unmittelbaren Verantwortung von DKRA oder eines ihrer Auftragsverarbeiter zur Verarbeitung von DATEN befugt sind (DRITTE), erfolgt nur nach Maßgabe der jeweils geltenden Rechtsvorschriften, insbesondere bei Vorliegen einer Rechtmäßigkeitsbedingung im Sinne der Art 6 oder 9 Abs 2 DSGVO oder eines ausdrücklichen Verlangens des BETROFFENEN gemäß Art 20 DSGVO, die von DKRA verarbeiteten DATEN direkt an einen anderen Verantwortlichen zu übermitteln.

7.4. Die Verarbeitung von DATEN durch DRITTE ist nicht Gegenstand dieser ADE und übernimmt DKRA dafür keine wie auch immer geartete Gewährleistung, Verantwortung und Haftung.

8. Dauer der Datenverarbeitung, Aufbewahrungs- und Speicherdauer

8.1. DKRA verarbeitet und speichert DATEN nicht dauerhaft, sondern nur in Übereinstimmung mit den in den jeweils geltenden Rechtsvorschriften vorgeschriebenen Fristen und nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, insbesondere zur vollständigen Abwicklung (vor-/nach-)vertraglicher oder gesetzlicher Rechtsverhältnisse zwischen dem BETROFFENEN und DKRA (einschließlich des Ablaufs allfälliger Gewährleistungs-, Garantie-, Verfalls- und Verjährungsfristen sowie der rechtskräftigen Beendigung allfälliger behördlicher oder gerichtlicher Verfahren) erforderlich ist. Zum Zwecke der Prüfung von Interessenskonflikten und des Doppelvertretungsverbotes speichert DKRA zumindest die Stammdaten der BETROFFENEN auf die Dauer von 30 Jahren.

8.2. Sofern und soweit DATEN zum Zwecke der anonymen internen statistischen Auswertung verarbeitet werden, werden diese nur bis zum Abschluss der Auswertung bzw. Analyse gespeichert und danach gelöscht. Session Cookies werden von DKRA nur temporär für die Dauer des Zugriffs durch den BETROFFENEN gespeichert; dauerhafte Cookies solange, bis sie der BETROFFENE von seinem Browser entfernt.

8.3. Vorbehaltlich des Vorliegens anderer Rechtmäßigkeitsbedingungen im Sinne des Art 6 und 9 Abs 2 DSGVO werden gespeicherte DATEN infolge eines Widerrufs der Einwilligung gemäß Art 7 Abs 3 DSGVO oder eines berechtigten Widerspruchs gemäß Art 21 DSGVO des BETROFFENEN unverzüglich gelöscht und nicht weiterverarbeitet.

9. Sicherheit der Datenverarbeitung

9.1. DKRA trifft unter Berücksichtigung der Kriterien des Art 32 DSGVO angemessene und geeignete technische und organisatorische Maßnahmen (TOM) gemäß ANLAGE ./1 zur Sicherheit der DATEN sowie der Datenverarbeitung und sorgt dafür, dass die DATEN vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Beschädigung und Veränderung geschützt werden.

9.2. Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. DKRA ist daher berechtigt, die bestehenden TOM jederzeit nach eigenem Ermessen abzuändern, zu reduzieren, zu erweitern oder alternative adäquate TOM umzusetzen.

9.3. Im Falle einer Verletzung des Schutzes von DATEN wird DKRA den BETROFFENEN unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des BETROFFENEN zur Folge hat und wenn kein Ausnahmetatbestand gemäß Art 34 Abs 3 DSGVO vorliegt.

10. Rechte der BETROFFENEN

10.1. DKRA wahrt die Rechte der BETROFFENEN nach Maßgabe der jeweils geltenden Rechtsvorschriften. Nach derzeitiger Rechtslage stehen dem BETROFFENEN die in der DSGVO und im DSG angeführten Rechte zu. Der BETROFFENE kann seine Rechte durch Übermittlung eines entsprechend konkretisierten Ersuchens in Textform (z.B. Brief oder E-Mail) an DKRA (Kontaktdaten siehe Punkt 1.1.) geltend machen. Sofern die jeweils geltenden Rechtsvorschriften Fristen für die Erledigung des Ersuchens vorsehen, werden diese von DKRA eingehalten.

10.2. Recht auf Geheimhaltung
DKRA wahrt das Grundrecht des BETROFFENEN auf Datenschutz nach Maßgabe des § 1 Abs 1 DSG und das Recht auf Datengeheimnis nach Maßgabe des § 6 DSG.

10.3. Recht auf Auskunft und Information
Unter den Voraussetzungen der Art 13 bis 15 DSGVO hat der BETROFFENE das Recht auf Auskunft und Information über die Verarbeitung seiner DATEN durch DKRA sowie über seine Rechte.

10.4. Recht auf Berichtigung und Vervollständigung
Unter den Voraussetzungen des Art 16 DSGVO hat der BETROFFENE das Recht auf Berichtigung unrichtiger und Vervollständigung unvollständiger ihn betreffender DATEN.

10.5. Recht auf Löschung
Unter den Voraussetzungen des Art 17 DSGVO hat der BETROFFENE das Recht, die unverzügliche Löschung ihn betreffender DATEN zu verlangen.

10.6. Recht auf Einschränkung der Verarbeitung
Unter den Voraussetzungen des Art 18 DSGVO hat der BETROFFENE das Recht, die Einschränkung der Verarbeitung seiner DATEN zu verlangen.

10.7. Recht auf Datenübertragbarkeit
Unter den Voraussetzungen des Art 20 DSGVO hat der BETROFFENE das Recht, ihn betreffende DATEN, die er DKRA bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese DATEN einem anderen Verantwortlichen zu übermitteln oder von DKRA zu verlangen, die von ihr verarbeiteten DATEN direkt an einen anderen Verantwortlichen zu übermitteln, soweit dies technisch machbar ist und sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

10.8. Widerspruchsrecht
Unter den Voraussetzungen des Art 21 DSGVO hat der BETROFFENE das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender DATEN, die aufgrund von Art 6 Abs 1 lit e) oder f) DSGVO erfolgt, Widerspruch einzulegen. Im Falle eines berechtigten Widerspruchs verarbeitet DKRA die vom Widerspruch betroffenen DATEN des BETROFFENEN nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, welche die Interessen, Rechte und Freiheiten des BETROFFENEN überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Widerspricht der BETROFFENE der Verarbeitung für Informationszwecke gemäß Punkt 3.8., so werden seine DATEN nicht mehr für diese Zwecke verarbeitet.

10.9. Recht, nicht einer automatisierten Entscheidung unterworfen zu werden
Unter den Voraussetzungen des Art 22 DSGVO hat der BETROFFENE das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt.

10.10. Widerrufsrecht
Gemäß Art 7 Abs 3 DSGVO hat der BETROFFENE das Recht, seine Einwilligung zur Verarbeitung ihn betreffender DATEN jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

10.11. Recht auf Beschwerde
Unter den Voraussetzungen des Art 77 DSGVO iVm § 24 DSG hat der BETROFFENE unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei der jeweils zuständigen Aufsichtsbehörde (Datenschutzbehörde).

10.12. Recht auf gerichtlichen Rechtsbehelf
Unter den Voraussetzungen des Art 79 DSGVO iVm § 27 DSG hat der BETROFFENE unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss der Aufsichtsbehörde (Recht auf Beschwerde an das Bundesverwaltungsgericht).

11. Haftungsausschluss

11.1. Trotz aller Vorkehrungen und Maßnahmen von DKRA ist nicht ausgeschlossen, dass es zu Datenoffenlegungen, -verlusten, -beschädigungen und -veränderungen kommt und der BETROFFENE einen Schaden erleidet. DKRA übernimmt keine Verantwortung und Haftung für Schäden und Folgeschäden aus oder in Zusammenhang mit Datenoffenlegungen, -verlusten, -beschädigungen und -veränderungen, unbefugten und/oder manipulativen Zugriffen auf oder Eingriffen in die Datenverarbeitung und -übertragung sowie Verstößen gegen datenschutzrechtliche Bestimmungen (DSGVO, DSG), welche nicht von ihr oder ihr zurechenbarer Personen rechtswidrig und schuldhaft verursacht worden sind. Insbesondere übernimmt die DKRA keinerlei Verantwortung oder Haftung für Schäden, die den BETROFFENEN durch die Verwendung ihrer DATEN durch GOOGLE oder andere Drittanbieter entstehen. Sofern die WEBSITE von DKRA Verlinkungen zu anderen Websites enthält, übernimmt DKRA für die dortigen Inhalte keine Verantwortung und Haftung, weil DKRA auf die dortigen Inhalte keinen Einfluss hat. Für die Inhalte und Richtigkeit der dort bereit gestellten Informationen ist ausschließlich der jeweilige Anbieter der verlinkten Website verantwortlich.

11.2. Ist der BETROFFENE Verbraucher im Sinne des Konsumentenschutzgesetzes (KSchG) haftet DKRA dem BETROFFENEN für Schäden – ausgenommen Personenschäden sowie Sach- und Vermögensschäden infolge Verletzung vertraglicher Hauptleistungspflichten – nur bei Vorsatz oder grober Fahrlässigkeit.

11.3. Ist der BETROFFENE kein Verbraucher im Sinne des KSchG, haftet DKRA dem BETROFFENEN für Schäden – ausgenommen Personenschäden – nur bei Vorsatz und krass grober Fahrlässigkeit und ist die Haftung für bloße Vermögensschäden, Folgeschäden, Schäden aus Ansprüchen Dritter und entgangenem Gewinn ausgeschlossen.

11.4. Die Haftung von DKRA ist überdies auf die für den konkreten Schadensfall zur Verfügung stehende Versicherungssumme beschränkt, besteht aber zumindest in Höhe der in § 21a RAO in der jeweils geltenden Fassung genannten Versicherungssumme; dies sind derzeit EUR 2.400.000,00 (Euro zwei Millionen vierhunderttausend) für jeden Versicherungsfall.

11.5. Vorstehende Haftungsausschlüsse bzw. -beschränkungen gelten auch für die Eigentümer, Organe und deren Mitglieder, Mitarbeiter, Vertreter und zurechenbarer Gehilfen von DKRA sowie für beigezogene Substituten, Auftragsverarbeiter und für sämtliche von diesen beigezogenen Personen.

12. Anwendbares Recht

Diese ADE unterliegt materiellem österreichischem Recht unter Ausschluss der Kollisionsnormen des internationalen Privatrechtes. Bei Verbrauchern im Sinne des KSchG gilt diese Rechtswahl nur, soweit dadurch nicht der durch zwingende Bestimmungen des Rechtes des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, gewährte Schutz entzogen wird. Für datenschutzrechtliche Rechtsstreitigkeiten oder Rechtsstreitigkeiten aus oder im Zusammenhang mit dieser ADE, wozu auch Streitigkeiten über deren Gültigkeit zählen, wird die ausschließliche Zuständigkeit des sachlich zuständigen Gerichtes am Sitz von DKRA vereinbart, soweit dem nicht zwingendes Recht (insbesondere das KSchG oder die Verordnung (EU) Nr. 1215/2012 – EUGVVO) entgegensteht.

13. Zusammenarbeit mit Aufsichtsbehörden

DKRA verpflichtet sich zur Zusammenarbeit mit den jeweils zuständigen Aufsichtsbehörden, um alle Beschwerden bezüglich der Verarbeitung der DATEN zu bearbeiten, die sie nicht mit dem BETROFFENEN klären kann.

14. Änderungen der ADE, salvatorische Klausel

14.1. DKRA überprüft die Einhaltung und Aktualität dieser ADE regelmäßig und behält sich vor, diese samt Anlagen jederzeit und ohne Angabe von Gründen zu ändern oder zu ergänzen, um vor allem, aber nicht beschränkt darauf, den jeweils geltenden Rechtsvorschriften zu entsprechen und dem Interesse des BETROFFENEN (insbesondere auf Transparenz der Verarbeitung ihn betreffender DATEN) entgegenzukommen. Sofern Einwilligungen des BETROFFENEN erforderlich sind oder Bestandteile der ADE Regelungen des Vertragsverhältnisses mit BETROFFENEN enthalten, erfolgen die Änderungen nur mit Einwilligung des BETROFFENEN.

14.2. Geänderte oder ergänzte ADE werden auf der WEBSITE www.dkra.at veröffentlicht und können somit jederzeit vom BETROFFENEN elektronisch abgerufen, ausgedruckt und downgeloaded werden.

14.3. Sollten einzelne Bestimmungen dieser ADE unwirksam sein oder werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt.

15. Weitere Informationen

Das Vertrauen der BETROFFENEN in DKRA und ihre Leistungen ist DKRA ein besonderes Anliegen. Bei Fragen zur Verarbeitung und Nutzung der DATEN steht DKRA unter den in Punkt 1.1. angeführten Kontaktdaten gerne zur Verfügung.

16. Anlagen

Anlagen zu dieser ADE bilden einen integrierenden Bestandteil desselben.

ANLAGE ./1 zur ADE

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Die von DKRA unter Berücksichtigung der Kriterien des Art 32 DSGVO getroffenen angemessenen und geeigneten technischen und organisatorischen Maßnahmen umfassen insbesondere:

TECHNISCHE MASSNAHMEN
Elektronisch:  
Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch: gängige Sicherheitssysteme, Passwortsicherung, automatische Sperrmechanismen
Zugriffskontrolle: Schutz vor unbefugten Datenzugriffen durch gängige Sicherheitssysteme, Passwortsicherung
Verschlüsselung: Verschlüsselung von Daten-Backups, Datenträgern und -übertragungen unter Verwendung gängiger Verschlüsselungstechnologien (z.B. SSL, VeriSign)
Passwörter: Passwortsicherung aller PC’s, Laptops und mobiler Geräte (Smartphones)
IT-Sicherheit: Verwendung gängiger Anti-Viren- und Anti-Malware-Software, Firewall
Datenspeicherung: Speicherung personenbezogener Daten auf unternehmensinternen Servern sowie erforderlichenfalls Nutzung von Servern nur innerhalb der EU
Upgrades/Updates: Durchführung regelmäßiger Hard- und Software-Upgrades und -Updates
Daten-Backups: Erstellung regelmäßiger Sicherheitskopien, um Daten bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können; unterbrechungsfreie Stromversorgung
Physisch:  
Zugangs-/Zutrittskontrolle: Schutz vor unbefugtem Zugang bzw. Zutritt zu Datenverarbeitungsanlagen durch: Schlüssel (versperrte Aktenschränke), Eingangs-/Zugangscodes, Serverraum ist gesondert abgegrenzt und absperrbar; Gebäude wird während der Abwesenheit aller Mitarbeiter abgesperrt und die Fenster geschlossen

 

ORGANISATORISCHE MASSNAHMEN
Elektronisch:  
Zugangs-/Zugriffskontrolle: Beschränkung des Zugriffs auf Personal, welches die Daten zur Erfüllung ihrer Aufgaben unbedingt benötigt und welches strengen Vertraulichkeitsverpflichtungen unterworfen ist; Sicherstellung, dass DKRA unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung von DKRA verarbeiten
Privacy by Design/Default: Datenschutzfreundliche Technikgestaltung und Voreinstellungen
Physisch:  
Zugangs-/Zugriffskontrolle: Beschränkung des Zugriffs auf Personal, welches die Daten zur Erfüllung ihrer Aufgaben unbedingt benötigt und welches strengen Vertraulichkeitsverpflichtungen unterworfen ist; Abschluss von Verschwiegenheitserklärungen; Sicherstellung, dass DKRA unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung von DKRA verarbeiten
Verwendung von Geräten: Weisung, dass PC’s, Laptops und mobile Geräte (Smartphones) nur von bestimmten, befugten Personen verwendet und transportiert werden dürfen
Personalauswahl: sorgfältige Auswahl, Anleitung und Kontrolle des für die Datenverarbeitung zuständigen Personals
Schulungen: Durchführung regelmäßiger Mitarbeiterschulungen zum rechtskonformen, sorgfältigen Umgang mit Daten