Datenschutzerklärung
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
1.1 CIS – Certification & Information Security Services GmbH ist der Ansprechpartner für Systemzertifizierungen, Begutachtungen und Validierungen, Trainings und Personenzertifizierungen (nachfolgend auch „CIS-Dienstleistungen“ genannt). Grundlage sind weltweit gültige Akkreditierungen beim Bundesministerium für Arbeit und Wirtschaft (BMAW). Der Leistungskern der CIS-Cert liegt in ihrer Kompetenz als nationaler Marktführer für die Prüfung von Informationssicherheitsmanagement und IT-Service-Management zur Sicherung und Steigerung der Unternehmensqualität. Damit ist die CIS-Cert ein wesentlicher Impulsgeber für den Wirtschaftsstandort Österreich und für „Erfolg mit Informationssicherheit / Secure Your Business“.
1.2 Certification & Information Security Services GmbH („CIS-Cert“, „wir“, „uns“) ist Verantwortliche im Sinne von Art 4 Abs 7 Datenschutz-Grundverordnung („DSGVO“).
1.3 Sie erreichen uns wie folgt:
Certification & Information Security Services GmbH, Salztorgasse 2/3/7, 1010 Wien, Austria
Tel: +43 (0)1 532 98 90
Fax: +43 (0)1 532 98 90 89
E-Mail: datenschutz@cis-cert.com
1.4 Die Verantwortliche nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Die Verantwortliche behandelt Ihre personenbezogenen Daten daher vertraulich und entsprechend den geltenden Datenschutzvorschriften, insbesondere der DSGVO und dem Österreichischen Datenschutzgesetz in der geltenden Fassung („DSG“).
1.5 In dieser Datenschutzerklärung finden Sie Informationen zu den vorgenommenen Datenverarbeitungen. Es werden die in der DSGVO niedergelegten Begriffe verwendet. Zur besseren Nachvollziehbarkeit finden Sie im Folgenden die wichtigsten Begrifflichkeiten gemäß ihrer gesetzlichen Definition:
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
- Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
- Betroffene Person: Jene Person, deren personenbezogene Daten verarbeitet werden.
- Verantwortliche: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Auftragsverarbeiter: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Einwilligung (der betroffenen Person): Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
2. Für welche Zwecke und auf welcher Rechtsgrundlage werden Ihre personenbezogenen Daten verarbeitet?
2.1 Betrieb der Webseite
2.1.1 Um Ihnen die Webseite zur Verfügung stellen zu können und um Angriffe auf unsere Webseite erkennen, verhindern und untersuchen zu können, verarbeitet CIS-Cert folgende personenbezogenen Daten auf Basis unserer vorgenannten berechtigten Interessen (Art 6 Abs 1 lit f DSGVO): die aufgerufene URL; das Datum und die Uhrzeit des Aufrufs; die IP-Adresse des Computers oder des Mobilgerätes; Name und Version des Webbrowsers; den Browsertyp und Einstellungsdaten (Bildschirmauflösung, Farbtiefe, Zeitzoneneinstellungen, Browser-Erweiterungen, Schriftarten, Sprache); das Betriebssystem; und die Webseite (URL), von der aus Sie unsere Webseite besuchen („Referrer“). Die Verarbeitung dieser Daten ist erforderlich, um Ihnen unsere Webseite mit ihren Funktionen anbieten zu können.
2.2 Anfrage per Webseite, E-Mail, Post oder Telefon
2.2.1 Wenn Sie eine Anfrage über das Kontaktformular auf der Webseite, per E-Mail, oder per Telefon an CIS-Cert richten, verarbeitet CIS-Cert folgende personenbezogene Daten zur Beantwortung der Anfrage zur Erfüllung von vorvertraglichen Maßnahmen bzw. zur Vertragserfüllung (Art 6 Abs 1 lit b DSGVO) oder auf Basis unserer berechtigten Interessen, Ihre Anfrage abwickeln zu können (Art 6 Abs 1 lit f DSGVO): Name; E-Mail-Adresse; Anschrift; Telefonnummer; Inhalt der Anfrage; sonstige Informationen, die Sie uns freiwillig mitteilen; personenbezogene Informationen zu unseren CIS-Dienstleistungen. Die Verarbeitung dieser Daten ist erforderlich, um Ihre Anfrage bearbeiten zu können.
2.3 Anbieten der CIS-Dienstleistungen (inkl. Kundenabwicklung)
2.3.1 Im Rahmen unserer CIS-Dienstleistungen verarbeiten wir (i) personenbezogenen Daten, die Sie uns zur Verfügung stellen, (ii) personenbezogene Daten, die uns unsere KundInnen als AuftraggeberInnen der CIS-Dienstleistungen zur Verfügung stellen und (iii) personenbezogene Daten, die wir im Zuge der Erbringung der CIS-Dienstleistungen selbst erheben. Die personenbezogenen Daten, die wir anlässlich einer CIS-Dienstleistung erheben, werden für die Zwecke der Vertragserfüllung entsprechend den maßgeblichen Vertragsunterlagen und unseren Geschäftsbedingungen sowie für die erforderliche Dokumentation laut den normativen Vorgaben (insb. ISO/IEC 17021-1, ISO/IEC 17024, und allfälligen Zusatzanforderungen aus vom Kunden beauftragten zu auditierenden Modellen), für Buchhaltung und Rechnungswesen, für die Geltendmachung und Verteidigung von Rechtsansprüchen sowie für das Customer Relationship Management einschließlich der Angebotslegung für weitere CIS-Dienstleistungen (z. B. Re- und Erweiterungszertifizierungen, relevante Trainings) verarbeitet.
2.3.2 Zu den vorgenannten Zwecken verarbeiten wir Name, Adresse und sonstige Kontaktdaten, Geburtsdatum und Geburtsort, Legitimationsdaten (inklusive Ausweisdaten, Zertifikate, Elektronische Signatur) und sonstige personenbezogene Daten im Zusammenhang mit dem jeweiligen Auftrag (inklusive Auditdokumentation, Veranstaltungsdokumentation, Zertifikatsdaten, Verrechnungsdaten, Bankdaten). Ohne die Verarbeitung der vorgenannten Daten können wir die CIS-Dienstleistungen nicht anbieten und die laufende Kundenabwicklung nicht vornehmen. Rechtsgrundlage für diese Verarbeitung ist die Durchführung vorvertraglicher Maßnahmen bzw. die Vertragserfüllung (Art 6 Abs 1 lit b DSGVO).
2.4 Werbliche Kommunikation, Newsletter, Veranstaltungsteilnahme
2.4.1 Wir senden unseren Kunden elektronische Post (per E-Mail, SMS, MMS oder Messenger) zur Bewerbung unserer CIS-Dienstleistungen („werbliche Nachrichten“) zu. Hierzu verarbeiten wir Ihren Namen, Kontaktdaten sowie sonstige Informationen, die Sie uns im Zusammenhang mit dem Erhalt werblicher Nachrichten freiwillig mitteilen. Der Kunde kann der Zusendung werblicher Nachrichten jederzeit widersprechen, indem dieser eine E-Mail mit dem Widerspruch an marketing@cis-cert.com sendet. Wir werden Ihnen auch mit jeder werblichen Nachricht die Möglichkeit eröffnen, die Zusendung weiterer werblicher Nachrichten abzulehnen. Rechtsgrundlage für die Zusendung werblicher Nachrichten ist § 174 Abs 4 TKG 2021.
2.4.2 Postalische Schreiben mit werblicher Kommunikation senden wir Ihnen auf Basis unserer berechtigten Interessen, Sie interessierende CIS-Dienstleistungen zu bewerben (Art 6 Abs 1 lit f DSGVO) zu. Hierfür verarbeiten wir Ihren Namen, Kontaktdaten sowie sonstige Informationen, die Sie uns im Zusammenhang mit dem Erhalt werblicher Nachrichten mitteilen. Sie können Ihr Recht auf Widerspruch gegen die postalische werbliche Kommunikation ausüben, indem Sie eine E-Mail an die in Punkt 1.3 angeführte E-Mail-Adresse senden.
2.4.3 Soweit Sie uns freiwillig Ihre Kontaktdaten sowie weitere von Ihnen zur Verfügung gestellte Daten für die Zusendung von Newslettern, die Teilnahme an Veranstaltungen oder sonstige Informationsübermittlungen zur Verfügung stellen, verarbeiten wir Ihre Daten auf Grundlage Ihrer Einwilligung (Art 6 Abs 1 lit a DSGVO). Sie können Ihre Einwilligung jederzeit per E-Mail an die in Punkt 1.3 angeführte E-Mail-Adresse widerrufen.
2.5 Zertifikatsverwaltung
2.5.1 CIS-Cert ist laut Akkreditierungsgesetz und den einschlägigen Normen (insb. ISO/IEC 17021-1, ISO/IEC 17024) verpflichtet, ein öffentlich zugängliches Verzeichnis der vorgenommenen Zertifizierungen zur Verfügung zu stellen. In dem Verzeichnis, welches auf der Website der CIS zugänglich ist, sind die jeweiligen Zertifikatsinhaber aufgelistet. CIS-Cert ermöglicht dadurch die Überprüfung bzw. Abfrage von erteilten gültigen Zertifizierungen. Dazu können personenbezogene Daten verarbeitet werden, konkret Name, akad. Titel, Zertifikatsname, Zertifikatstitel und Zertifikatsnummer. (weitere Details hierzu siehe Punkt 3.3 unten). Rechtsgrundlage hierfür sind Art 6 Abs 1 lit c DSGVO iVm dem Akkreditierungsgesetz 2021 (sowie einschlägigen Normen, insb. EN ISO/IEC 17021-1, ISO/IEC 17065, ISO 17024 und einschlägigen Verordnungen der Akkreditierungsstellen) und unser berechtigtes Interesse gemäß Art 6 Abs 1 lit f DSGVO, alle mit der Zertifikatsverwaltung zusammenhängenden Tätigkeiten durchzuführen.
2.6 Rechtsverfolgung
2.6.1 Kommt es zu einer verwaltungsbehördlichen oder gerichtlichen Auseinandersetzung, werden die für die zweckentsprechende Rechtsverfolgung notwendigen Daten verarbeitet und erforderlichenfalls an Rechtsvertreter, Gerichte und/oder Verwaltungsbehörden übermittelt. In diesem Zusammenhang werden insbesondere Ihre Kontaktdaten (Vor- und Nachname, akad. Titel, Adresse) sowie sonstige Daten im Zusammenhang mit dem betreffenden Rechtsstreit (Ihr Verhalten in Bezug auf die Nutzung der Webseite) verarbeitet. Die vorgenannten personenbezogenen Daten werden auf Basis unserer berechtigten rechtlichen Interessen der Rechtsverfolgung nach Art 6 Abs 1 lit f DSGVO und gemäß Art 9 Abs 2 lit f DSGVO verarbeitet.
3. An welche Empfänger werden Ihre personenbezogenen Daten übermittelt?
3.1 Wir übermitteln Ihre personenbezogenen Daten, soweit dies zur Bearbeitung Ihrer Anfrage bzw. zur Bereitstellung der gewünschten CIS-Dienstleistungen erforderlich ist an unsere KooperationspartnerInnen der betreffenden CIS-Dienstleistungen. Bei der Buchung von Kooperationsdienstleistungen, die entsprechend als solche ausgewiesen sind, werden die personenbezogenen Daten an die jeweiligen PartnerInnen weitergegeben.
3.2 Wir verwenden Auftragsverarbeiter gemäß Art 28 DSGVO, die Dienstleistungen in unserem Auftrag durchführen. Die Auftragsverarbeiter dürfen die ihnen überlassenen Daten lediglich gemäß unseren Weisungen und soweit zur Durchführung von Dienstleistungen für uns verarbeiten. Wir verpflichten diese Auftragsverarbeiter vertraglich dazu, die Vertraulichkeit und die Sicherheit der im Rahmen des Auftrags verarbeiteten personenbezogenen Daten zu gewährleisten. CIS-Cert gibt die Daten für Zwecke der Bereitstellung der gewünschten CIS-Dienstleistungen an die von ihr eingesetzten externen AuditorInnen, TrainerInnen, AssessorInnen und FachexpertInnen, welche auch als Auftragsverarbeiter der CIS-Cert agieren, weiter. Darüber hinaus bedient sich CIS-Cert externer IT-Dienstleister.
3.3 CIS-Cert ist aufgrund normativer Vorgaben verpflichtet, den Akkreditierungs- und Zulassungsstellen auf deren Anforderung Informationen über die Dienstleistungen zur Verfügung zu stellen und/oder Einsicht zu gewähren. Ebenso können die Akkreditierungs- und Zulassungsstellen an Audits vor Ort teilnehmen. Im Zuge dessen können auch personenbezogene Daten an die Akkreditierungs- und Zulassungsstellen weitergegeben werden. Darüber hinaus kann CIS-Cert personenbezogene Daten zur Erfüllung gesetzlicher Mitteilungspflichten an weitere EmpfängerInnen (etwa Behörden) übermitteln.
3.4 Das Datenschutzniveau in anderen Ländern außerhalb des EWR entspricht unter Umständen nicht dem innerhalb des EWR. Wir übermitteln Ihre personenbezogenen Daten jedoch nur in Länder, für welche die Europäische Kommission entschieden hat, dass sie über ein angemessenes Datenschutzniveau verfügen, oder wir setzen Maßnahmen nach Kapitel V DSGVO, um zu gewährleisten, dass alle Empfänger in Drittstaaten ein angemessenes Datenschutzniveau gewährleisten. Dazu schließen wir beispielsweise die von der Europäischen Kommission erlassenen Standardvertragsklauseln mit diesen Empfängern ab.
4. Wie lange werden Ihre personenbezogenen Daten gespeichert?
4.1 Ihre personenbezogenen Daten werden grundsätzlich nur so lange gespeichert, wie dies zur Erreichung des jeweiligen Zwecks erforderlich ist.
4.2 CIS-Cert speichert Ihre Daten unbeschadet von Punkt 4.1 länger, wenn und insoweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten (etwa gemäß § 132 Abs 1 BAO; §§ 190, 212 UGB: 7 Jahre) oder zur Verfolgung oder Abwehr von Rechtsansprüchen (in der Regel für eine Dauer von maximal 3 Jahren) erforderlich ist, wobei im Falle eines sich abzeichnenden oder konkreten Verfahrens eine längere Verarbeitung der Daten erforderlich sein kann.
4.3 Antragsdokumente, Audit- und Begutachtungsberichte sowie andere Dokumente, die im Zusammenhang mit einer Zertifizierung stehen, werden grundsätzlich in Übereinstimmung mit § 12 Abs 8 Akkreditierungsgesetz 2012 für einen Zeitraum von 10 Jahren aufbewahrt, soweit normative oder gesetzliche Vorgaben nicht eine längere Aufbewahrung erfordern. Zur Verfolgung oder Abwehr von Rechtsansprüchen werden die vorgenannten Dokumente in der Regel für maximal 3 Jahre weiter verarbeitet, wobei im Falle eines sich abzeichnenden oder konkreten Verfahrens eine längere Verarbeitung der Daten erforderlich sein kann.
4.4 Soweit die Datenverarbeitung auf Ihrer Einwilligung beruht, verarbeitet CIS-Cert Ihre Daten bis auf Widerruf. Der Widerruf kann jederzeit per E-Mail an die in Punkt 1.3 angeführte E-Mail-Adresse erfolgen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
5. Welche Rechte haben Sie?
5.1 Sie haben das Recht auf Auskunft nach Art 15 DSGVO, das Recht auf Berichtigung nach Art 16 DSGVO, das Recht auf Löschung nach Art 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art 18 DSGVO, das Recht auf Widerspruch nach Art 21 DSGVO, das Recht, keiner automatisierten Entscheidung im Einzelfall einschließlich Profiling unterworfen zu sein nach Art 22 DSGVO sowie das Recht auf Datenübertragbarkeit nach Art 20 DSGVO. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde nach Art 77 DSGVO. Nähere Informationen zu Ihren Rechten finden Sie unter: https://www.dsb.gv.at/rechte-der-betroffenen.
5.2 Die zuständige Aufsichtsbehörde ist die österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (https://www.dsb.gv.at/).
5.3 Sofern Sie Fragen im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten haben oder etwaige Rechte nach der DSGVO, wie Ihr Recht auf Löschung oder Ihr Recht auf Auskunft geltend machen wollen, kontaktieren Sie CIS-Cert bitte wie oben in Punkt 1.3 beschrieben.