DRUCKEN

Kartenverwaltung, Zutrittskontrolle

Zwecke der Verarbeitung

(Art. 30 Abs. 1 lit. b DSGVO)
Erstellung und Verwaltung von Mitarbeiterkarten und Dienstausweisen sowie von Karten und elektronischen Schlüsselmedien sonstiger Personen und deren Verwendung im Zusammenhang mit der Nutzung von Einrichtungen der Auftraggeberin bzw. des Auftraggebers. Der Einsatz der Zutrittskontrolle dient dem Schutz des Eigentums der Auftraggeberin bzw. des Auftraggebers, sowie der Gewährleistung der Schutzpflichten gegenüber Dritten durch die Auftraggeberin bzw. den Auftraggeber (Schutz fremden Eigentums). Eine Auswertung der Protokolldaten erfolgt in allen Fällen ausschließlich in konkreten Anlassfällen, wobei die Verwendung von Mitarbeiterdaten durch eine Betriebsvereinbarung geregelt ist.

Diese Zwecke haben ihre Grundlagen in folgenden Gesetzen:

  • Für Mitarbeiterinnen und Mitarbeiter, Werkvertragnehmerinnen und Werkvertragnehmer, externe Dienstleisterinnen und Dienstleister:
    • Art. 6 Abs. 1 lit. f sowie lit. b DSGVO (im Zusammenhang mit der Vermietung von Garagenstellplätzen)
  • Für Mitarbeiterinnen und Mitarbeiter: 
    • Betriebsvereinbarung gem. § 96 Abs. 1 Z 3 ArbVG
  • Für Patientinnen und Patienten (ausschließlicher Einsatz in Rehabilitationszentren, wo neben dem Behandlungsvertrag auch ein Beherbergungsvertrag geschlossen wird):
    • Art. 6 Abs. 1 lit. a DSGVO in Form einer ausdrücklichen Zustimmungserklärung bei Übernahme des Kartenmediums
  • Für Gäste und Besucherinnen bzw. Besucher der Hauptstelle:
    • Art. 6 Abs. 1 lit. a DSGVO (explizite Zustimmung wird durch Unterschrift auf Besucherliste bei Übernahme des Datenträgers bestätigt)

Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

(Art. 30 Abs. 1 lit. c DSGVO)

  • Betroffene Personen: Mitarbeiterinnen und Mitarbeiter
    Kategorien personenbezogener Daten:
    Personalnummer, Name (Vorname, Nachname, Titel), Typ der ausgestellten Karte (Mitarbeiterkarte), Bezeichnung des Schlüsselmediums, Nummer des kontaktlosen Datenträgers (Chip ID), Lichtbild, Information, ob eine Zustimmung zur Verwendung des Lichtbildes für andere Zwecke der Auftraggeberin bzw. des Auftraggebers vorliegt, Organisatorische Zugehörigkeit der bzw. des Betroffenen, Bezeichnung der Arbeitsstelle (Kürzel), Zulässigkeit der Verwendung des Ausweises als Dienstausweis (ja/nein), Geschlecht, Status der Karte (aktiv, inaktiv, aktuell, nicht aktuell), Status der Mitarbeiterin bzw. des Mitarbeiters (aktiv, inaktiv), Protokolldaten (Zeitpunkt und Funktion: z. B. Ausstellung, Aktivierung, Änderung, Deaktivierung, etc.), Information, ob zusätzlich ein Schlüsselmedium an diese Person ausgegeben wurde, Nummer des Schlüsselmediums, Typ des Schlüsselmediums (Karte oder Anhänger), Bezeichnung des Schlüsselmediums, Zutrittsberechtigungen, Zutrittsprotokoll (Zeitpunkt, Ort, Zutritt gewährt/verweigert), Austrittsdatum
  • Betroffene Personen: Patientinnen und Patienten
    Kategorien personenbezogener Daten:
    Aufnahmezahl, Name (Vorname, Nachname, Titel), Typ der ausgestellten Karte (Patientenkarte = Information über den Gesundheitszustand der Person), Telefonnummer, Entlassungsdatum, Nummer der Karte, Nummer des kontaktlosen Datenträgers (Chip-ID), Protokolldaten (Zeitpunkt und Funktion: z. B. Ausstellung, Aktivierung, Änderung, Deaktivierung etc.), Information, ob dieser Person zusätzlich ein Schlüsselmedium zugewiesen wurde, Nummer des Schlüsselmediums, Typ des Schlüsselmediums (Karte oder Anhänger), Bezeichnung des Schlüsselmediums, Zutrittsberechtigungen, Zutrittsprotokoll (Zeitpunkt, Ort, Zutritt gewährt/verweigert)
  • Betroffene Personen: Externe Dienstleisterinnen bzw. Dienstleister, Werkvertragsnehmerinnen bzw. Werkvertragsnehmer, Gäste
    Kategorien personenbezogener Daten:
    Karten- bzw. Schlüsselnummer, Typ des ausgestellten Datenträgers (Gastkarte, Schlüsselkarte, Schlüsselanhänger), Bezeichnung des Schlüsselmediums, Nummer des kontaktlosen Datenträgers (Chip-ID), Name und/oder Bezeichnung des Unternehmens oder der Organisation, der eine Karte zugewiesen wurde, Zusatzinformationen z. B. Funktion und Kontaktinformationen der Karteninhaberin bzw. des Karteninhabers, Protokolldaten (Zeitpunkt und Funktion: z. B. Ausstellung, Aktivierung, Änderung, Deaktivierung etc.), Zutrittsberechtigungen, Zutrittsprotokoll (Zeitpunkt, Ort, Zutritt gewährt/verweigert)

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

(Art. 30 Abs. 1 lit. f DSGVO)

Daten sind zu löschen, wenn sie

  • für die Bearbeitung von Ansprüchen und Anwartschaften im jeweiligen Einzelfall (auch vor dem Hintergrund möglicher Ansprüche von Angehörigen und Hinterbliebenen) nach Ablauf der Aufbewahrungsfristen nicht mehr benötigt werden und
  • auch nicht als archivwürdige Daten für wissenschaftliche oder historische Forschungszwecke weiterhin zur Verfügung zu stehen haben (Art. 17 Abs. 3 lit. d DSGVO).

Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

(Art. 30 Abs. 1 lit. g DSGVO)

Diese Maßnahmen beruhen auf folgenden Regeln:

  • SV-DSV (SV-Datenschutzverordnung), verlautbart im Rechtsinformationssystem des Bundes RIS unter Sonstige Kundmachungen, avsv Nr. 79/2018.
  • SV-SR (SV-Sicherheitsrichtlinie), verlautbart im Rechtsinformationssystem des Bundes RIS unter Sonstige Kundmachungen, avsv Nr. 95/2017. Dort sind insbesondere die Grundlagen für die Zusammenarbeit des SV-CERT (Computer Emergency Response Team) mit den einschlägigen staatlichen Organisationen etc. organisiert.
  • Allgemein gelten die Grundlagen der §§ 460a, 460e ASVG. Die Maßnahmen werden in Zusammenarbeit mit den für die Datensicherheit in der Republik Österreich zuständigen Stellen erstellt und laufend durch externe Beauftragte auf ihre Aktualität geprüft (inklusive Sicherheitstests).
ZURÜCK