• 1.0 25.05.2018

In der „Maturaschule Dr. Roland“ werden Schüler- bzw. Kundendaten für zwei Firmen verarbeitet:

Maturaschule Dr. Roland GmbH
Neubaugasse 43
A-1070 Wien
Tel.: (0)1/523 14 88
Fax: (0)1/523 12 45
E-Mail: info@roland.at
Firmenbuch Nr. : FN 83261v

Europa-Akademie Dr. Roland
Neubaugasse 43
A-1070 Wien
Tel.: (0)1/523 14 88
Fax: (0)1/523 12 45
E-Mail: info@roland.at
Vereinsnummer: ZVR-Nr. 402188561

Ing. Markus Gschwendt
Degengase 16-18/38
1160 Wien
Austria

Tel.: (0)650/6550055
E-Mail: office@gschwendt.at

Geheimhaltungsvereinbarung unterzeichnet

Steuerberatungsbüro Mag. Rudolf Pröglhöf
Stadtplatz 5
A-4360 Grein
Tel.: (0)7268/7766-0
Fax: (0)7268/7766-55
E-Mail: steuerberater@proeglhoef.co.at

Rechtsanwaltskanzlei Dr. Alexander Milavec
Kärntnerstraße 11 (Eingang: Weihburggasse 2)
A-1010 Wien
Tel.: (0)1/513 13 10
Fax: (0)1/513 84 29
E-Mail: axel@milavec.at

EOS ÖID Inkasso-Dienst Ges.m.b.H.
Siebenbrunnengasse 21/Obj.D/5.OG (Eingang Stolberggasse 26 )
A-1050 Wien
Tel.: (0) 1 544 71 71
Fax: (0) 1 544 71 71-150
E-Mail: info@eos-oeid.com

Folgende personenbezogene Daten des Schülers/der Schülerin werden bei Vertragsunterzeichnung erhoben:

• Geschlecht
• Sozialversicherungsnummer
• Geburtsdatum
• Telefon
• E-Mail Adresse
• Adresse (PLZ, Ort, Straße, Hausnummer, Stiege, Tür, Land)
• IBAN
• BIC

Des weiteren wird für Schüler der Maturaschule die Entscheidung der Externistenprüfungskommission, beinhaltend Prüfungsgebiete der schriftlichen/mündlichen Hauptprüfung, das Thema der vorwissenschaftlichen Arbeit sowie die Gegenstände zur abzulegenden Zulassungsprüfung gespeichert.

Bei minderjährigen Schülern bzw. bei Schülern welche das Schulgeld nicht selbst bezahlen, werden noch folgende Daten der gesetzlichen Vertreter bzw. Zahlungsverpflichteten erhoben:

• Geschlecht
• Geburtsdatum
• Telefon
• E-Mail Adresse
• Adresse (PLZ, Ort, Straße, Hausnummer, Stiege, Tür, Land)
• IBAN
• BIC

Die Datenanwendungen der Auftraggeber passen in folgende Standardanwendungen der Standard- und Musterverordnung 2004:

• SA001 “Rechnungswesen und Logistik”
• SA002 “Personalverwaltung für privatrechtliche Dienstverhältnisse”

Dezeit sind keine Datenanwendungen im DVR registriert.
Eine DVR Nummer liegt aber vor.
DVR 0897256

Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: “dem für die Verarbeitung Verantwortlichen”) unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.

https://www.dsb.gv.at/meldung-beim-dvr

Link zum prüfen der aktuellen DVR Nummer: https://dvr.dsb.gv.at/at.gv.bka.dvr.public/

• Videoüberwachung

In den Räumlichkeiten der Maturaschule Dr. Roland finden in regelmäßigen Zeitabständen Vernissagen zeitgenössischer Künstler statt. Nach den Vernissagen werden die Kunstwerke mehrere Monate ausgestellt.

Es werden in den Zugangsbereichen der Schule drei Kameras eingesetzt:

• Eingangsbereich Erdgeschoss
• Nebenausgang Erdgeschoss
• Nebenausgang Untergeschoss

Die Kameras schießen vier Bilder/Sekunde. Audioaufnahmen bzw. Mitschnitte werden ausnahmslos nicht angefertigt. Die Daten werden in einem gesicherten Bereich am Server abgelegt.

Der Zugriff auf Überwachungsbilder kann grundsätzlich nur durch die EDV nach Aufforderung durch die Geschäftsführung und nach vorheriger Genehmigung durch den Betriebsrat erfolgen. Eine Auswertung der Überwachungsbilder findet grundsätzlich nur im Schadensfall (Einbruch, Vandalismus, Diebstahl) statt.

In einem Sicherheitsschrank im Serverraum werden in regelmäßigen Zeitabständen die Angaben zur Zentralmatura aufbewahrt. Im Serverschrank befindet sich eine weitere Überwachungskamera, welche ausschließlich Zutritte zum Serverraum überwacht.

Grundsätzlich werden die Bildaufzeichungen spätestens nach 72 Stunden gelöscht. Fällt das Ende dieser Frist auf einen Samstag, Sonntag, gesetzlichen Feiertag oder den Karfreitag, so werden die Aufzeichnungen am nächsten Werktag gelöscht.

Da die Videoüberwachung unter SA032 “Videoüberwachung” (Bereich: B. Juwelier, Handel mit Antiquitäten und Kunstgegenständen, Gold- und Silberschmied,) fällt, entfällt die Meldepflicht an das Datenverarbeitungsregister.

Infos unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Videoueberwachung.html

Jedenfalls ist die Tatsache der Videoüberwachung zu kennzeichnen. Aufkleber mit eindeutigen Hinweisen auf die Videoüberwachung wurden an allen Zugangstüren zu den überwachten Bereichen angebracht.

Weder in Bezug auf Mitarbeiter noch auf Kunden findet Profiling statt.

Siehe: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Einwilligungserklaerung-.html

Die Verarbeitung der angeführten Daten ist für die Erfüllung des unterzeichneten Schulvertrages, dessen Vertragspartei die be­troffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Eine eigene Einverständniserklärung zur elektronischen Datenverarbeitung kann deshalb entfallen!

Die Verarbeitung von Mitarbeiterdaten ist aus Gründen des Arbeitsrechts und des Sozialrechts, einschließlich der Kollektivverträge und Betriebsvereinbarungen erforderlich, damit der Verantwortliche oder die betroffene Person den arbeitsrechtlichen oder sozialrechtlichen Verpflichtungen nachkommen kann. Des Weiteren ist die Verarbeitung der angeführten Daten für die Erfüllung des unterzeichneten Dienstvertrages notwendig. Eine eigene Einverständniserklärung zur elektronischen Datenverarbeitung kann deshalb entfallen!

Es werden keine sensiblen Daten verarbeitet.

Es werden keine Daten von Kindern unter 15 Jahren erfasst oder verarbeitet.

Informationen zur Erfüllung der Informationspflicht nach der EU-Datenschutz-Grundverordnung sind auf der Webseite der Maturaschule Dr. Roland bzw. der Europa-Akademie Dr. Roland nachzulesen. In den Schulverträgen wird auf die Webseite und auf den Link zu den Informationen hingewiesen. Folgendes Dokument deckt die Informationspflicht ab: Informationspflicht nach DSGVO

Mitarbeiter wurden über den Datenschutz per Aussendung vom 23. 03. 2018 nachweislich informiert. interne Aussendungen Die unterschriebenen Abschnitte werden nach Einlangen gescannt und gesammelt als PDF abgelegt.

Als interne Datenbank kommt MariaDB zum Einsatz. Die Pflege der Stammdaten erfolgt im Regelfall ausschließlich über eine Access Oberfläche. Weiters wird eine Java Anwendung als elektronisches Klassenbuch eingesetzt. Im Klassenbuch werden außer dem Schülernamen nur intern erhobene/erstellte Daten zu jedem Schüler angezeigt. Außerdem können Daten zu adminastrativen/oragnisatorischen Zwecken von der EDV eingesehen und editiert werden.

Berechtigte Bereiche

Neben der MariaDB sind noch drei Filemaker Datenbanken im Einsatz:

1. Fernunterricht/Sprachkurse (FU)
   • Lokal am PC des Fernunterrichts
2. Kostenvoranschläge/Rechnungen (KV)
   • Am Server - Zugang nur für berechtigte Mitarbeiter (Kanzleimitarbeiter)
3. Fernunterricht Schulzeitung (Fu-We)
   • Am Server - Zugang nur für berechtigte Mitarbieter (Druckerei)

Gespeicherte Kundendaten

• Daten zur Authentifizierung
• Vorname
• Nachname
• Matrikelnummer
• Passwörter in verschlüsselter Form

Der LDAP Server dient als Authentifizierungsserver für interne und externe Systeme.

• Abgelegte Dokumente können sensible Daten enthalten.

• Sensiblen Daten könnten in eMails enthalten sein, die im System gespeichert werden. Zugriff haben nur die User selbst und Administratoren.
• Vorname
• Nachname
• Matrikelnummer
• email Adresse

Eine Weiterleitung/Abholung von eMails an/von externe/n bzw. private/n eMailadressen ist untersagt. Per 18.05.2018 wurden alle zu diesem Zeitpunkt bestehenden Weiterleitungen vom Postmaster abgeschaltet.

Die private Nutzung der Schulinternen eMailaccounts ist für Angestellte/Freiberufler nicht ausdrücklich unteragt, es wird allerdings dringend dazu geraten private eMails von beruflichen eMails zu trennen. Bei Auflödung des Vertragsverhältnisses mit der Schule ist ein Postfach an den/die Nachfolger/in/en bzw. wer Schulleitung - nach Löschung eventueller privater eMails - zu übergeben.

• Keine sensiblen Daten
• Vorname
• Nachname
• Fotos
• eMail Adresse

• Keine sensiblen Daten
• Vorname
• Nachname
• Fotos
• Klassen- und Kurszuordnungen

• nicht implementiert

• nicht implementiert

• Zugriffe als Admin auf die Infrastruktur durch stark eingeschränkten vertauenswürdigen Personenkreis
• Unterweisung der Dienstnehmer bezüglich Datenschutz

• Regelmäßige bzw. zeitnahe Updates und Upgrades, speziell in Hinsicht auf bekannte Sicherheitslücken in der verwendeten Hard- und Software.
• Alle betroffenen Systeme wie Server PCs,… sind Passwortgeschützt.
• Erzwingen starker Passwörter
• Die Datenhaltung in Datenbanken erfolgt auf eigenen virtuell getrennten Datenbankservern auf die nur über bestimmte Applikationen bzw. von bestimmten Maschinen zugegriffen werden kann.
• Auf externen Systemen werden nur die tatsächlich dort benötigten Daten gespeichert.
• Nach Möglichkeit verschlüsselte Verbindungen aller Zugriffe.
• Versperrter Serverraum und versperrter Serverschrank mit Videoüberwachung
• Monitoring