Datenschutzgrundverordnung – DSGV (25.05.2018)
Datenschutzerklärung
Ab 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung, kurz DSGVO oder auf Englisch „GDPR“ – General Data Protection Regulation. Die DSGVO (Informationspflichten nach Art. 13 DSGVO) gibt vor, wie personenbezogene Daten verarbeitet werden dürfen und wie sie geschützt werden müssen. In diesem Dokument finden Sie dazu eine Zusammenfassung der grundlegenden Informationen.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union. Sie gilt unmittelbar in jedem Mitgliedstaat, also auch in Österreich. Jede Person, deren Daten verarbeitet werden, kann sich direkt auf die DSGVO berufen. Detaillierte Ausführungen finden Sie hier.
Was regelt die DSGVO?
Die DSGVO enthält Vorschriften über die Verarbeitung Ihrer personenbezogenen Daten. Egal, ob es um Ihren Namen, Ihre Telefonnummer, Ihre E-Mail oder Ihre Adresse geht – all das schützt die DSGVO. Die darin festgeschriebenen Grundsätze regeln, wie Ihre personenbezogenen Daten gespeichert und verarbeitet werden dürfen.
Wieso gibt es weiterhin ein österreichisches Datenschutzgesetz (DSG 2018)?
Die Europäische Union hat nicht nur die DSGVO erlassen, sondern ein ganzes „Datenschutz-Paket“. Ein Teil davon war auch eine neue Datenschutz-Richtlinie. Worin unterscheidet sich eine Richtlinie von einer Verordnung? Im Gegensatz zu einer Verordnung muss eine Richtlinie erst in nationales Recht umgesetzt werden. Außerdem lässt die DSGVO den Mitgliedstaaten Spielräume offen, um einzelne Aspekte detaillierter zu regeln als in der DSGVO selbst. Beides passierte in Österreich durch das Datenschutz-Anpassungsgesetz 2018, kurz DSG oder DSG 2018. Sofern es für Sie und Ihre Beziehung zu uns relevant ist, werden wir natürlich auch immer das DSG 2018 mitberücksichtigen.
Warum ist der Schutz meiner Daten so wichtig?
Datenschutz ist ein Grundrecht. Genauso wie Ihr Recht auf Freiheit oder Sicherheit ist Ihr Recht auf Datenschutz in der Charta der Grundrechte der Europäischen Union verankert. Diese EU-Grundrechtecharta gilt im Verhältnis zwischen Ihnen und staatlichen Institutionen. Gesetzlich ist aber anerkannt, dass auch im privaten und wirtschaftlichen Bereich ein ausgewogenes Interessenverhältnis zwischen Datenverarbeitenden und den sogenannten „betroffenen Personen“ bestehen muss. Diese Regeln finden sich in der DSGVO und im DSG 2018.
Damit wir über Datenschutz sprechen können, ist es wichtig, einige grundlegende Begriffe zu klären. Wir haben auch die jeweiligen Artikel-Bezeichnungen der DSGVO angeführt, damit Sie die Definitionen bei Interesse nachlesen können. Bitte beachten Sie, dass es sich nur um Zusammenfassungen, also verkürzte Darstellungen handelt. Den gesamten Text der DSGVO und der jeweiligen Artikel finden Sie hier: https://eur-lex.europa.eu/
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar gilt eine natürliche Person, die direkt oder indirekt identifiziert werden kann, zum Beispiel durch Zuordnung zu einem Namen oder einer Telefonnummer oder E-Mail Adresse. (Nachzulesen in Artikel 4 Ziffer 1 DSGVO.)
Was fällt alles unter die Verarbeitung von Daten?
Der Begriff „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu zählen zum Beispiel das Erheben, das Erfassen, die Organisation, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen (durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens), der Abgleich oder das Verknüpfen, das Einschränken, das Löschen oder das Vernichten. (Nachzulesen in Artikel 4 Ziffer 2 DSGVO.)
Was bedeutet „Verantwortlicher“?
Der Begriff „Verantwortlicher“ meint die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zum Beispiel wir als Ihr Weiterbildungsinstitut. (Nachzulesen in Artikel 4 Ziffer 7 DSGVO.)
Was bedeutet „Auftragsverarbeiter“?
Der Begriff „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeitet. (Nachzulesen in Art 4 Ziffer 8 DSGVO.)
Wer ist für die Verarbeitung der personenbezogenen Daten verantwortlich?
Für die Verarbeitung Ihrer Daten verantwortlich ist:
Learn Quick e.U.
Rienößlgasse 3 / 4
1040 Wien
Wer ist Datenschutzbeauftragter?
Die Funktion des Datenschutzbeauftragten, auch Data Protection Officer genannt, übernimmt bei uns DKFM. Eugen Schneider. Bei Fragen, Anregungen oder Beschwerden zur Verarbeitung Ihrer Daten erreichen Sie ihn unter:
DKFM. Eugen Schneider
Learn Quick e.U.
Rienößlgasse 3 / 4
1040 Wien
Telefon: +43 650 68 60 875
Zuständige Aufsichtsbehörde für datenschutzrechtliche Agenden:
Österreichische Datenschutzbehörde
Wickenburggasse 8
1080 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Welche personenbezogenen Daten werden verarbeitet?
Wir verarbeiten folgende personenbezogene Daten:
Stamm- und Legitimierungsdaten, z. B. Name und oder Firmennamen, Adresse, Telefonnummer, E-Mail-Adresse aus dem Kontaktformular
Daten für das Kundenbeziehungsmanagement, z. B. Lernziel, Ergebnis des Einstufungstests, vorgeschlagene Gruppe für die Probestunde, mögliche Kursdauer und Kurszeiten, Feedbackmeldungen der Trainer, etc.
Bitte bedenken Sie: Hierbei handelt es sich bloß um eine allgemeine Aufzählung. Für eine detaillierte, individuelle Aufstellung haben Sie Recht auf Auskunft und können diese bei uns verlangen. Bitte wenden Sie sich diesbezüglich an den Datenschutzbeauftragten.
Woher stammen die personenbezogenen Daten, die verarbeitet werden?
Ihrer personenbezogenen Daten, die wir verarbeiten, haben Sie uns selbst bekannt gegeben: etwa bei der Übermittlung Ihrer Daten durch das Kontaktformular oder beim Erstgespräch.
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?
Verarbeitung für die Vertragserfüllung
Wir müssen Ihre Daten verarbeiten, um ein passendes Kursprogramm für Sie zu erstellen. Dazu gehört auch, dass wir Ihnen dieses telefonisch oder schriftlich übermitteln können und Sie über kurzfristige Änderungen informieren können.
An wen werden meine personenbezogenen Daten weitergegeben?
Ein berechtigtes Interesse zur Datenverarbeitung durch uns oder Dritte besteht in folgenden Fällen:
Die „Callan Method Organisation“ in London stellt Teilnehmern, die sich für einen Kurs an unserer Sprachschule angemeldet haben, ein kostenloses Online-Übungstool zur Verfügung – die „Callan Interactive Learning Platform“. Hier befinden sich online zusätzliche Übungen und MP3s, um das Gelernte weiter vertiefen zu können. Wir sind dazu verpflichtet, jeden Teilnehmer zu registrieren, da wir als Sprachschule pro Teilnehmer eine Gebühr bezahlen müssen.
Für die Freischaltung muss der Zentrale in London der Namen und die E-Mail Adresse weitergeleitet werden. Die Daten werden nicht weitergegeben und man bekommt auch keine Newsletter von der Callan School in London.
Der Datenverantwortlich ist:
Steve Winetroube
Callan Method Organisation
702, The Chandlery
50 Westminster Bridge Road
London
SE1 7QY
Email: steve.winetroube@callan.co.uk
Tel: +44 (0)20 7709 3039
Bin ich verpflichtet, meine personenbezogenen Daten bereitzustellen? Was geschieht, wenn ich das nicht möchte?
Für unsere Geschäftsbeziehung sind wir auf viele Ihrer personenbezogenen Daten angewiesen. Wenn wir Ihren persönlichen Daten nicht kennen, können wir Ihnen z. B. keinen passenden Kurs vorschlagen, oder Sie nicht über kurzfristige Änderungen informieren.
Dort, wo es für die Geschäftsbeziehung aufgrund eines Vertrags oder einer rechtlichen Vorschrift erforderlich ist, müssen wir Ihre personenbezogenen Daten verarbeiten. Möchten Sie dies nicht, kann es sein, dass wir unsere Dienstleistung leider nicht anbieten bzw. bestimmte Services nicht erbringen können. Dürfen wir Ihre Daten nur aufgrund Ihrer Einwilligung verarbeiten, sind Sie nicht verpflichtet, diese Einwilligung zu erteilen und die Daten bereitzustellen.
Wie lange werden meine personenbezogenen Daten aufbewahrt?
(Alle Links mit Stand Mai 2018)
Ihre personenbezogenen Daten werden jedenfalls so lange aufbewahrt, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist. Spätesten aber einem Monat nach Kursende werden Ihre persönlichen Daten gelöscht. Darüber hinaus ist gesetzlich vorgeschrieben, für welchen Zeitraum wir die Daten aufbewahren müssen. Diese Aufbewahrungspflichten können auch noch dann bestehen, wenn Sie nicht mehr unsere Kundin oder unser Kunde sind. Eine Übersicht über die in Österreich geltenden gesetzlichen Aufbewahrungspflichten finden Sie z. B. hier:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html
Welche Sicherheitsmaßnahmen werden bei der Datenverarbeitung eingehalten?
Datenschutz und Datensicherheit sind uns wichtig. Wir haben alle technischen und organisatorischen Maßnahmen getroffen, um unsere Datenverarbeitungen zu sichern. Das betrifft insbesondere den Schutz Ihrer personenbezogenen Daten. Diese schützen wir vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Diese Maßnahmen umfassen zum Beispiel den Einsatz moderner Sicherheitssoftware und Verschlüsselungsverfahren, physischer Zutrittskontrollen und Vorkehrungen zur Abwehr und Verhinderung von äußeren und inneren Angriffen.
Welche Rechte habe ich?
Die DSGVO gewährt folgende Rechte für Ihre personenbezogenen Daten. Sie haben das Recht auf:
- Auskunft, nach Artikel 15 DSGVO
- Berichtigung, nach Artikel 16 DSGVO
- Löschung, nach Artikel 17 DSGVO
- Einschränkung der Verarbeitung, nach Artikel 18 DSGVO
- Datenübertragbarkeit, nach Artikel 20 DSGVO
- Widerspruch, nach Artikel 21 DSGVO
- Entscheidungen, die nicht ausschließlich auf einer automatisierten Verarbeitung beruhen – einschließlich Profiling, nach Artikel 22 DSGVO
Was bedeutet das Recht auf Auskunft?
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Ihre personenbezogenen Daten verarbeiten. Ist dies der Fall, haben Sie auch das Recht auf Auskunft über diese personenbezogenen Daten und auf die folgenden Informationen:
Was bedeutet das Recht auf Berichtigung?
Uns ist wichtig, dass Ihre Daten stets richtig und vollständig sind. Wenn Sie vermuten, dass sie unrichtig oder unvollständig sind, können Sie beantragen, dass die Daten berichtigt oder vervollständigt werden.
Was bedeuten das „Recht auf Löschung“ und das „Recht auf Vergessenwerden“?
Wir legen großen Wert darauf, dass Ihre Daten nur innerhalb der Rahmenbedingungen der DSGVO und des DSG 2018 verarbeitet werden. Sollten Sie dennoch der begründeten Ansicht sein, dass dies nicht der Fall ist, können Sie das Löschen Ihrer personenbezogenen Daten beantragen. Die Gründe dafür können sein: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung stützte, nach Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Sie legen Widerspruch gegen die Verarbeitung ein, nach Artikel 21 Absatz 1 DSGVO, und es liegen keine vorrangigen berechtigten Gründe für das Verarbeiten vor.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Unrechtmäßig („grundlos“) verarbeitete personenbezogene Daten müssen gelöscht werden.
Die Löschung der personenbezogenen Daten unterliegt einer rechtlichen Verpflichtung nach dem EU-Recht oder dem Recht der Mitgliedstaaten der Verantwortlichen.
Damit sind Gesetze oder andere Rechtsvorschriften gemeint, die eine Löschung von personenbezogenen Daten verlangen.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.
Hierbei handelt es sich um eine besondere Schutzregel zugunsten Minderjähriger, die online Dienstleistungen in Anspruch nehmen.
Das war das Recht auf Löschung, kurz zusammengefasst. Dieses ist nicht mit dem „Recht auf Vergessenwerden“ zu verwechseln.
Das „Recht auf Vergessenwerden“ bezieht sich auf öffentlich gemachte personenbezogene Daten. Es besagt Folgendes: Muss die Person, die die Daten ursprünglich veröffentlicht hat, diese Daten löschen (weil einer der oben genannten Löschungsgründe vorliegt), dann muss sie zusätzlich auch jene Personen davon verständigen, welche die Daten aufgrund der Veröffentlichung erhalten haben. Im Detail ist diese Regel recht kompliziert. Die DSGVO bezieht sich dabei besonders auf Internet-Suchmaschinen.
Was bedeutet das Recht auf Einschränkung der Verarbeitung?
Wir legen hohen Wert darauf, dass wir Ihre Daten stets innerhalb der Rahmenbedingungen der DSGVO und des DSG 2018 verarbeiten. Sollten Sie dennoch der Ansicht sein, dass dies nicht der Fall ist, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Allerdings gilt dies nur unter folgenden berechtigten Gründen:
Sie bestreiten die Richtigkeit Ihrer personenbezogenen Daten. Für die Dauer, die es den Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, können Sie verlangen, dass die Bearbeitung eingeschränkt wird.
Nicht immer ist man einer Meinung. Damit aber die strittigen personenbezogenen Daten nicht sofort gelöscht oder geändert werden müssen, kann für die Dauer der Angelegenheit eine weitere Verarbeitung eingeschränkt werden. Vielleicht stellt sich ja heraus, dass die Daten doch richtig waren.
Die Verarbeitung personenbezogener Daten ist unrechtmäßig. Anstelle der Löschung möchten Sie aber, dass „nur“ die Nutzung der personenbezogenen Daten eingeschränkt wird.
Die DSGVO gibt Ihnen also ein Wahlrecht: Wenn Sie nicht möchten, dass unrechtmäßig verarbeitete Daten gleich gelöscht werden, dann können Sie verlangen, dass sie zwar weiter gespeichert, aber nicht mehr genutzt werden.
Verantwortliche benötigen Ihre personenbezogenen Daten nicht mehr für die Verarbeitung. Sie benötigen die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wenn Ihre personenbezogenen Daten eigentlich gelöscht werden müssten, Sie diese aber zu Ihrer eigenen Verteidigung oder Rechtedurchsetzung benötigen, können sie für diese Zwecke weiterverarbeitet werden.
Sie haben Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt. Solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Interessen überwiegen, kann die Einschränkung der Verarbeitung verlangt werden.
Damit strittige personenbezogene Daten nicht sofort gelöscht werden müssen, kann für die Dauer der Angelegenheit die weitere Verarbeitung eingeschränkt werden. Vielleicht stellt sich ja heraus, dass die Verarbeitung doch berechtigt war.
Was bedeutet das Recht auf Datenübertragbarkeit?
Ihre personenbezogenen Daten gehören Ihnen. Sie haben daher das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das betrifft Daten, die Sie uns bereitgestellt haben und die aufgrund Ihrer Einwilligung oder aufgrund einer Vertragserfüllung automatisiert verarbeitet werden. Sie können auch verlangen, dass wir diese personenbezogenen Daten gleich direkt an einen anderen Verantwortlichen übermitteln.
In welcher Form erhalte ich die Daten?
Wir stellen Ihnen die Daten als EXCEL oder PDF-Datei zur Verfügung. Für Auskünfte und Einsichtnahmen kontaktieren Sie bitte den Datenschutzbeauftragten.
Was bedeutet das Recht auf Widerspruch?
Ihre Daten dürfen verarbeitet werden, wenn ein berechtigtes Interesse dazu besteht.
Wird ein solches berechtigtes Interesse behauptet, müssen Sie darüber informiert werden. Sind Sie dann der Ansicht, dass das berechtigte Interesse nicht besteht, können Sie dagegen Widerspruch einlegen. Das gilt insbesondere dann, wenn Ihre personenbezogenen Daten für Direktwerbung genutzt werden. Sofern Verantwortliche keine schutzwürdigen Gründe für die weitere Verarbeitung nachweisen können, dürfen Ihre personenbezogenen Daten nach dem Widerspruch nicht weiter verarbeitet werden.
Wie und Wo kann ich meine Rechte geltend machen? Wie kann ich den Antrag einbringen?
Egal, welches Recht Sie geltend machen möchten, Sie können Ihren Antrag in jedem Fall auf 3 Arten an uns senden:
- per Brief, bitte eigenhändig unterschrieben an
Learn Quick e.U.
Rienößlgasse 3 / 4
1040 Wien
- persönlich vor Ort an unserer Sprachschule oder
- per E-Mail an: schneider@learn-quick.at
Bitte verfassen Sie Ihr Anliegen so konkret wie möglich – so können wir es rasch bearbeiten. Bitte beachten Sie die besonderen Hinweise für Ihr Recht auf Datenübertragbarkeit.
Wie lange dauert es, bis mein Antrag bearbeitet ist?
Wir werden Ihnen unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang Ihres Antrags, die entsprechenden Informationen über die Maßnahmen zur Verfügung stellen.
Die Frist kann um weitere 2 Monate verlängert werden, wenn das aufgrund der Komplexität und der Anzahl der Anträge erforderlich ist. Wir informieren Sie aber jedenfalls innerhalb eines Monats nach Eingang Ihres Antrags über eine mögliche Fristverlängerung und die Gründe dafür.
Wie wird mein Antrag bearbeitet?
Persönliche Daten sind Vertrauenssache – E-Mails aber leider nicht immer vertrauenswürdig. Bitte teilen Sie uns eine gültige und vertrauenswürdige E-Mail Adresse mit, an die wir Ihnen die Auskunft schicken dürfen.
Kostet es mich etwas, wenn ich meine Rechte geltend mache?
Nein, die Anträge werden unentgeltlich erledigt. Ausnahmen: Nur, wenn die Anträge offenkundig unbegründet oder exzessiv gestellt werden, sind wir berechtigt, ein angemessenes Entgelt zu verlangen. Damit werden die Verwaltungskosten für die Mitteilung, Weigerung oder Durchführung der beantragten Maßnahme berücksichtigt.
Gibt es Beschwerdemöglichkeiten?
Bei allen Beschwerden, Fragen und Anregungen zum Thema Datenschutz steht Ihnen gern unser Datenschutzbeauftragter zur Verfügung. Wir sind überzeugt, dass sich zu fast jedem Problem eine gemeinsame Lösung finden lässt.
Wenn Sie keine rechtzeitige Antwort auf einen Antrag erhalten, Sie sich in Ihrem Recht auf Datenschutz verletzt sehen oder der Ansicht sind, dass wir Ihrem Antrag nicht gesetzmäßig nachgekommen sind, können Sie auch Beschwerde bei der zuständigen Aufsichtsbehörde einlegen.
Österreichische Datenschutzbehörde
Wickenburggasse 8
1080 Wien
Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Darüber hinaus hat jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück des DSG 2018 ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen Verantwortliche oder Auftragsverarbeitende nach Artikel 82 DSGVO. Im Einzelnen gelten dafür die allgemeinen Bestimmungen des bürgerlichen Rechts. Bitte beachten Sie, dass für Schadenersatzansprüche nicht die Österreichische Datenschutzbehörde zuständig ist, sondern das in bürgerlichen Rechtssachen betraute, lokale Landesgericht Ihres Sprengels. Anträge und Klagen können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat. Welches Gericht zuständig ist, finden Sie hier: https://www.justiz.gv.at/
Stand 25. Mai 2018