Datenschutzerklärung
Cookies
Unsere Website verwendet so genannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an. Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben.
Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.
Web-Analyse
Unsere Website verwendet Funktionen des Webanalysedienstes Google Analytics, einen Webanalysedienst der Google LLC („Google“), Amphitheatre Parkway, Mountain View, CA 94043, USA. Die dabei erfassten Daten werden auch außerhalb der EU verarbeitet. Dazu werden Cookies verwendet, die eine Analyse der Benutzung der Website durch ihre Benutzer ermöglicht. Die dadurch erzeugten Informationen werden auf den Server des Anbieters übertragen und dort gespeichert.
Sie können dies verhindern, indem Sie Ihren Browser so einrichten, dass keine Cookies gespeichert werden.
Im Falle der Aktivierung der IP-Anonymisierung über ihren Browser, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Dadurch ist nur mehr eine grobe Lokalisierung möglich.
Die Beziehung zum Webanalyseanbieter basiert auf den Standardvertragsklauseln der EU im Rahmen des Privacy Shield Abkommens. Weitere Informationen: Google Datenschutzerklärung & Nutzungsbedingungen.
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 Abs 1 lit a (Einwilligung) und/oder lit f (berechtigtes Interesse) der DSGVO.
Unser Anliegen im Sinne der DSGVO (berechtigtes Interesse) ist die Verbesserung unseres Angebotes und unseres Webauftritts. Da uns die Privatsphäre unserer Nutzer wichtig ist, werden die Nutzerdaten pseudonymisiert.
Vertrag zur Auftragsverarbeitung gemäß Artikel 28 DS-GVO
Vertrag über eine Auftragsverarbeitung zwischen:
Verantwortlicher im Sinne der DS-GVO; im Folgenden als Auftraggeber bezeichnet
und
> Claudia R. Eberhard, BA C.R.E.a.t.e Media, CEPhotography,
Auftragsverarbeiter im Sinne der DS-GVO; im folgendem als Auftragsverarbeiter bezeichnet
1. Gegenstand und Dauer des Auftrags
1.1 Gegenstand des Auftrags
Der Auftragsverarbeiter übernimmt folgende Verarbeitungen für den Auftraggeber:
Herstellung von Content, Fotografien, Videos, Foto und Videobearbeitung, Lieferung an den Auftraggeber.
1.2 Dauer des Auftrags
Der Auftrag wird unbefristet erteilt. Kann jedoch innerhalb von 4 Wochen widerrufen werden beiderseits. Der bis dahin entstandene Aufwand des Auftragsverarbeiters muss jedoch vom Auftraggeber beglichen werden.
2. Details der Verarbeitung
2.1 Art und Zweck der Verarbeitung
Beschreibung der Art der Verarbeitung personenbezogener Daten:
Erstellung von Content, Fotografien, Videos nach Kundenwunsch.
Speicherung auf Speicherkarte in der Kamera, Verarbeitung am Rechner am Firmenstandort Adobe Creative Suite, DaVinci Resolve, Final Cut
2.2 Art der personenbezogenen Daten
Gegenstand der personenbezogenen Daten sind folgende Datenkategorien:
Name,Datum,Stempel
> X
> X
> X
> X
Personenstammdaten (z. B. Name und Adresse) Kommunikationsdaten (z. B. E-Mail, Telefon) Personenbezogene Daten im Druckprodukt Content+Fotos+Videos
2.3 Kreis betrofener Personen
Die Kategorien der durch den Auftrag betroffenen Personen sind:
o Auftraggeber
o AnsprechpartnerbeiKundenundInteressenten
o Beschäftigte(z.B.Mitarbeiterzeitungen)
o ImDruckproduktgenannteoderdargestelltePersonen
2.4 Ort der Datenverarbeitung
Die gegenständliche Datenverarbeitung wird ausschließlich in der EU bzw. im EWR durchgeführt.
Die Übermittlung der Daten (auch teilweise) in ein Drittland darf nur erfolgen, wenn der Verantwortliche dieser Übermittlung ausdrücklich zustimmt hat und die besonderen Voraussetzungen der Art. 44 ff DS-GVO erfüllt sind.
3. Pflichten des Auftragsverarbeiters
3.1 Verarbeitung nach dokumentierter Weisung
Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder vom Auftraggeber ausdrücklich angewiesen zu verarbeiten. Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so wird er den Auftraggeber, sofern gesetzlich zulässig, unverzüglich darüber informieren und die Behörde an diesen verweisen.
Der Auftragsverarbeiter verarbeitet die zur Verarbeitung übergebenen Daten für keine anderen Zwecke. (Ausnahme Werbezweck nach Vereinbarung)
3.2 Wahrung der Vertraulichkeit bzw. Verschwiegenheit
Der Auftragsverarbeiter verpflichtet sich zur Verschwiegenheit.
Der Auftragsverarbeiter erklärt, dass sich alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit schriftlich zur Verschwiegenheit verpflichtet haben.
Der Auftragsverarbeiter sichert zu, dass die zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung von den Bestimmungen des Datenschutzes und dieses Vertrags unterrichtet wurden.
3.3 Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung
Der Auftragsverarbeiter erklärt, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DS-GVO ergriffen hat.
Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich vereinbart, sie definieren das vom Auftragsverarbeiter geschuldete Mindestniveau des Datenschutzes.
3.5 Unterstützung des Auftraggebers bei der Beantwortung von Anträgen betroffener Personen
Der Auftragsverarbeiter ergreift die geeigneten technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach der DS-GVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. (Website bzw via Mail)
Wird ein solcher Antrag von einem Betroffenen an den Auftragsverarbeiter gerichtet, leitet dieser den Antrag an den Auftraggeber weiter und verweist die betroffene Person an diesen.
3.6 Unterstützung des Auftraggebers bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DS-GVO
Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DS-GVO genannten Pflichten.
Die angeführten Pflichten umfassen:
(Maßnahmen zur Sicherheit der Datenverarbeitung nach (Art. 28 Abs, 2 lit. f DS-GVO
iVm. Art. 32 DS-GVO),
Meldungen von Verletzungen des Schutzes personenbezogener Daten an die
Aufsichtsbehörde (Art. 28 Abs. 2 lit. f DS-GVO iVm Art. 33 DS-GVO)
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten
betroffenen Person (Art. 28 Abs. 2 lit. f DS-GVO iVm Art. 34 DS-GVO)
Datenschutz-Folgenabschätzung (Art. 28 Abs. 2 lit. f DS-GVO i.m Art. 35 DS-GVO),
vorherige Konsultation der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 Abs. 2 lit. f DS-GVO iVm Art. 36 DS-GVO).
Der Auftragsverarbeiter verpflichtet sich für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DS-GVO zu errichten. (in Arbeit)
Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragsverarbeiter den Auftraggeber bei Erstellung und Wartung des Verarbeitungsverzeichnisses und bei der Durchführung der Datenschutzfolgeabschätzung.
3.7 Löschung oder Rückgabe nach Beendigung des Aufrags
Der Auftragsverarbeiter ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die personenbezogene Daten enthalten, zu löschen. Des Weiteren ist der Auftragsverarbeiter verpflichtet, jederzeit aus eigenem Anlass Daten, welche zur weiteren Verarbeitung nicht mehr benötigt werden, zu löschen.
3.8 Miteilungspficht bei Data Breach
Der Auftragsverarbeiter teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Die Meldung hat spätestens 48 Stunden ab Kenntnis des Auftragsverarbeiters zu erfolgen.
3.9 Sub-Aufragsverarbeiter
Der Auftragnehmer kann Sub-Auftragsverarbeiter für Content+Foto+Video hinzuziehen.
Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub- Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub- Auftragsverarbeiters.
4. Rechte und Pfichten des Aufraggebers 4.1 Verarbeitung auf dokumenterter Weisung
Der Verantwortliche erteilt alle Aufträge und Weisungen dokumentiert.
4.2 Überprüfungen/Audits
Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften des Vertrags beim Auftragsverarbeiter selbst oder durch Dritte durch Überprüfungen bzw. Audits zu kontrollieren. Diese Kontrolle kann durch die Einholung von Auskünften, die Einsichtnahme in gespeicherte Daten oder sonstige Kontrollen vor Ort erfolgen. Eine Überprüfung vor Ort ist nur nach vorheriger terminlicher Vereinbarung möglich.
Der Auftragsverarbeiter ist verpflichtet, entsprechende Auskünfte zu erteilen und Nachweise zu führen, die für die Kontrollen notwendig sind. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
Kontrollen beim Auftragsverarbeiter haben ohne vermeidbare Störungen im Geschäftsbetrieb zu erfolgen.
4.3 Hafung des Aufraggebers
Der Auftraggeber sichert dem Auftragsverarbeiter zu, die von ihm bereit gestellten personenbezogenen Daten im Einklang mit den jeweils gültigen datenschutzrechtlichen Bestimmungen zu verarbeiten und zur Datenverarbeitung, insbesonders der Weitergabe an die Druckerei, Werbung, Internet sowie die Reproduktion, berechtigt zu sein.
Der Auftraggeber verpflichtet sich, den Auftragsverarbeiter von jeglichen Ansprüchen Dritter mit oder im Zusammenhang einer vom Auftraggeber verschuldeten Verletzung von datenschutzrechtlichen Vorschriften schad- und klaglos zu halten.
4.4 Aufgaben des Aufraggebers
Bei Hochzeiten, Feiern, Events muss der Auftraggeber die Gesellschaft darüber informieren dass Daten aufgezeichnet werden. Bilder werden nur an den Auftraggeber übergeben.
5. Anwendbares Recht und Gerichtsstand
Dieser Vertrag und alle seine Anlagen unterliegen österreichischem Recht unter Ausschluss der Verweisungsnormen des österreichischen IPRG und der Bestimmungen des UN- Kaufrechtsabkommens.
Für alle Streitigkeiten aufgrund oder im Zusammenhang mit diesem Vertrag wird die ausschließliche Zuständigkeit des für den Auftragsverarbeiter sachlich zuständigen Gerichts vereinbart. Gerichtsort ist Graz..
6. Schlussbestmmungen 6.1 Vertraulichkeit
Beide Parteien verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über Geschäftsgeheimnisse oder Datensicherheitsmaßnahmen der anderen Partei auch für die Zeit nach der Beendigung des Vertrages vertraulich zu behandeln und über diese Verschwiegenheit zu bewahren.
6.2 Schriftform
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform, sofern nicht gesetzlich eine strengere Form vorgeschrieben ist. Das Erfordernis der Schriftform kann nur durch schriftliche Vereinbarung aufgehoben werden.
6.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein, so bleiben die übrigen Bestimmungen wirksam. Die Vertragsparteien verpflichten sich, im Falle der Unwirksamkeit einzelner Bestimmungen, die unwirksamen Bestimmungen durch Bestimmungen, die dem Zweck der unwirksamen Bestimmungen möglichst entsprechen, zu ersetzen.
6.4 Anlagen
Die in diesem Vertrag genannten Anlagen sind integrierender Bestandteil dieses Vertrages. Dieser Vertrag und die darin erwähnten Anlagen enthalten alle Vereinbarungen zwischen den Vertragsparteien bezüglich des Gegenstandes dieses Vertrages. Nebenabreden bestehen nicht.
Anhang 1: Technisch-organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit der überlassenen Daten
Der Auftragsverarbeiter verpflichtet sich, die folgenden, auf Art 32 DS-GVO basierenden, technisch-organisatorischen Maßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit der überlassenen Daten zu gewährleisten.
1. Vertraulichkeit und Verschlüsselung
Zutrittskontrolle
Schutz vor unbefugtem Zutritt zu den Datenverarbeitungsanlagen:
Während der Geschäftszeiten: Zutritt der Mitarbeiter nur mit Sicherheitsschlüssel. Der Zutritt für Kunden ist nur im Studiobereich gestattet.
Außerhalb der Geschäftszeiten: Gebäude ist versperrt und nur einem eingeschränkten Personenkreis mit Schlüssel zugänglich
Zugangskontrolle, Zugrifskontrolle
Schutz vor unbefugter Systembenutzung durch Kennwörter und automatische Sperrmechanismen bei jedem Computer. Nach dreimaliger falscher Eingabe eines Passwortes wird der Zugang gesperrt und kann nur von einem Administrator nach Identifizierung des Users wieder frei gegeben werden.
Verarbeitung erfolgt im Unternehmen nur durch Claudia R. Eberhard, BA
Auscheidungsprozess.
Erfolgt durch Löschung und Vernichtung der Datenträger durch den Auftragverarbeiter
Pseudonymisierung
Für die Datenverarbeitung in unserem Haus ist eine Pseudonymisierung nicht erforderlich.
2. Integrität
Vom Auftraggeber übermittelte personenbezogene Daten werden ein einem für die Mitarbeiter genau definierten Ordner am Server gespeichert. Zugriff darauf gibt es nur für den Auftragsverarbeiter. Die Löschung der Daten wird mit Löschprotokollen dokumentiert.
Remote-Zugriffe vom Internet werden über VPN+SSL gesichert.
3. Verfügbarkeit und Belastbarkeit
Schutz gegen zufällige oder mutwillige Zerstörung und Verlust:
Der Bilddatenserver/speicher ist separiert vom Internet und wird nur im Datenvearbeitungszeitraum eingeschaltet.
Eine Sicherung wird im laufenden Betrieb bzw. jährlich komplett durchgeführt. Ein Virenschutz von Avast ist am Bearbeitungssystem installiert
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Datenschutz-Management:
Sämtliche Maßnahmen werden durch Claudia Eberhard, BA durchgeführt
Aufragskontrolle
Es findet keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers – ohne entsprechenden Auftragsverarbeitungsvertrag – statt.