Datenschutz

Erklärung des Vorstands der Österreichischen Physikalischen Gesellschaft (ÖPG) zum Datenschutz

Beschlossen in der Sitzung vom 22.05.2018, ergänzt in der Sitzung vom 25.01.2019.

Inhalt

1. Präambel
2. Mitglieder-Daten
3. Physik-Forschungsgruppen
4. Tagungs-Anmeldungen
5. Administratorinnen / Administratoren
6. Sonstige Inhalte der Websites der ÖPG bzw. des Arbeitskreises "Young Minds"
7. Abrechnungs-Daten der ÖPG
8. Sonstige Daten
9. Datensicherheits- und Datenintegritäts-Maßnahmen

---

1. Präambel

   Die Österreichische Physikalische Gesellschaft (ÖPG) muss zur Erfüllung ihrer Aufgaben gewisse, auch personenbezogene, Daten sammeln. Der Schutz dieser Daten ist der ÖPG ein Anliegen höchster Priorität; eine Weitergabe personenbezogener Daten an Personen innerhalb und außerhalb des Vereins darf mit Ausnahme der nachstehenden taxativ aufgezählten Fälle unter keinen Umständen erfolgen. Die ÖPG erfasst mit wenigen Ausnahmen die nachstehend angeführten Daten selbst, in der Regel aufgrund expliziter Eingaben durch die betroffenen Personen; sie sammelt darüber hinaus auf ihren Websites jedoch keine personenbezogenen Zugriffsdaten über den für die korrekte Abwicklung authentisierter Zugriffe von Mitgliedern auf geschützte Seiten unbedingt erforderlichen Umfang hinaus und verwendet keine Strategien wie Tracking oder Profiling der Aktivitäten ihrer Mitglieder und sonstigen Besucher ihrer Websites.

   Diese Erklärung umfasst die Verwaltung von Daten auf dem zentralen Administrationssystem der ÖPG, ihrer Website (https://www.oepg.at), der Website des Arbeitskreises „Young Minds“ (https://www.oepg-ym.at bzw. http://www.oepg-students.at), sowie außerhalb dieser Systeme teils auch in nicht-elektronischer Form vorhandene Daten.

   Die ÖPG ist sowohl Verantwortlicher als auch Auftragsverarbeiter im Sinne der EU-Datenschutz-Grundverordnung (DSGVO). Die von der DSGVO erforderten Unterlagen, insbesondere Verarbeitungsverzeichnisse, wurden erstellt. Im Folgenden werden die für die Mitglieder und die Nutzer sowie die Inhalte der ÖPG-Website unmittelbar relevanten Informationen aufgelistet.

2. Mitglieder-Daten
2.1. Erfasste Daten

Mitgliedsnummer
Mitgliedschafts-Kategorie
Ein- und gegebenenfalls Austrittsdatum
Zugangsdaten für auf ÖPG-Mitglieder eingeschränkte Seiten der oben genannten Websites sowie auf Seiten mit individuellen Mitglieder-Informationen sowie eine Paypal®-Zahlungsseite für das betreffende Mitglied
Name, Geschlecht und allfällige Titel
Geburtsdatum (Angabe des Geburtsjahrs ist ausreichend)
Postadresse (optional zwei Adressen, z.B. für spezielle Rechnungslegung)
E-Mail-Adresse(n) (bis zu drei Adressen)
Telefon- und Faxnummern (optional; bis zu je drei Nummern)
Adresse einer Homepage (optional; bis zu drei Adressen)
Zuordnung zu Fachausschüssen und Arbeitskreisen der ÖPG (optional)
Mitgliedschaften bei anderen Vereinen (optional)
Präferenzen bezüglich Übermittlung von Informationen (Papierform oder elektronisch) und Umfang von Zusendungen („Europhysics News“)
Abonnement für das „Physik-Journal“ (optional)
Kommunikationssprache (Deutsch oder Englisch)
Administrative Notizen des Mitglieds und der ÖPG-Administration
Mitgliedsbeitrags-Konto; erfasst werden Vorschreibungen, Zahlungen, Gutschriften und Abbuchungen von Mitgliedsbeiträgen, Zahlungen von Spenden, sowie im Fall eines Abonnements für das „Physik-Journal“ Abbuchungen der Kosten einer einzelnen Ausgabe der Zeitschrift zum Zeitpunkt der Bestellung dieser Folge

2.2. Verwendung

Die oben beschriebenen Daten von Mitgliedern stehen grundsätzlich ausschließlich der zentralen Administration der ÖPG für Zwecke der Erfüllung des Vereinszwecks (z.B. für die Durchführung von Zusendungen) und für administrative Aufgabenstellungen (z.B. Erstellung von Mitgliedsbeitrags-Vorschreibungen und -Rechnungen und Überprüfung der Zahlungseingänge aus Mitgliedsbeiträgen und Spenden) zur Verfügung. Sie werden (in stark gekürzter Form) für Authentisierungszwecke auf den Websites der ÖPG (https://www.oepg.at) und ihres Arbeitskreises „Young Minds“ (https://www.oepg-ym.at bzw. http://www.oepg-students.at) verwendet, um Mitgliedern den individuellen Zugriff auf nicht allgemein zugängliche Informationen zu erlauben.

2.3. Einsichtmöglichkeit

Jedes Mitglied kann mit den ihm zur Verfügung gestellten Anmelde-Informationen (wobei das automatisch generierte Kennwort durch ein beliebiges vom Mitglied selbst definiertes ersetzt werden kann) seine eigenen Stammdaten laut obiger Aufstellung auf der Website der ÖPG (https://www.oepg.at) einsehen und selbst modifizieren und sein Mitgliedsbeitrags-Konto inspizieren.

2.4. Weitergabe von Daten

Mitgliederdaten sind nirgendwo öffentlich einsehbar, und jedes Mitglied hat ausschließlich Zugriff auf seine eigenen Daten. Mails an Mitglieder, die von der zentralen Administration versandt werden, werden individuell an jedes einzelne Mitglied versandt; es ist also den Empfängern solcher Mails nicht möglich, die Namen oder Mailadressen anderer Mitglieder aus der Mail zu eruieren. In den folgenden Ausnahmefällen müssen jedoch aus sachlichen Gründen Daten (in einem jeweils der Aufgabenstellung angemessenen Umfang) weitergegeben werden:

Kontaktdaten für Mitglieder von Fachausschüssen und Arbeitskreisen: Namen und Post- und/oder E-Mail-Adressen von Mitgliedern, die sich einem Fachausschuss oder Arbeitskreis zugeordnet haben, können bei Bedarf an die / den jeweilige(n) Vorsitzende(n) des Fachausschusses oder ihre(n) / seine(n) Stellvertreter(in) übermittelt werden. Die Empfänger dieser Daten sind aber angehalten, die Daten vertraulich zu behandeln und unter keinen Umständen an Dritte weiterzugeben. Dies impliziert auch einen Mail-Versand mit verdeckter Liste der Empfänger (Blind Carbon Copy). Es ist ihnen auch untersagt, diese Daten für nicht mit der Arbeit des Fachausschusses oder Arbeitskreises in unmittelbarem Zusammenhang stehende Zwecke oder nach Beendigung ihrer Tätigkeit als Vorsitzende oder stellvertretende Vorsitzende des Fachausschusses oder Arbeitskreises zu verwenden. (Alternativ kann ein Versand von E-Mails an die Mitglieder eines Fachausschusses oder Arbeitskreises auch über die zentrale Administration erfolgen.)
Erstellung von Aussendungen der ÖPG in Papierform: Aussendungen der ÖPG in Papierform an einen größeren Personenkreis werden in der Regel in einer Kopieranstalt (derzeit Firma reanto print&plot GmbH, http://www.printundplot.at, in Graz) erstellt, der zu diesem Zweck PDF-Dateien der vollständigen Aussendungen übermittelt werden. In diesen PDF-Dateien sind Namen und Post-Zustelladressen der Empfänger enthalten, gegebenenfalls auch Vorschreibungen des Mitgliedsbeitrags, Bestätigungen über geleistete Beitragszahlungen und Informationen zur Mitgliedschaft und zum Mitgliedsbeitragskonto. Die PDF-Dateien werden in Passwort-geschützten verschlüsselten ZIP-Archiven per Mail an die Kopieranstalt übermittelt. Unter Punkt 13 b der Allgemeinen Geschäftsbedingungen der Kopieranstalt heißt es dazu: „Übermittelte Daten von AG bzw. Kunden unterliegen der Geheimhaltung. reanto print&plot gmbH verpflichtet sich die Daten nur zur Auftragsabwicklung zu verwenden und danach wieder zu löschen. Im Rahmen der gesetzlichen Gewährleistung passiert das Löschen in der Regel nach 30 Tagen ab Übergabe des Auftrages an den AG bzw. Kunden.“
Bestellung des „Physik-Journals“: Der Versand des „Physik-Journals“ erfolgt durch den herausgebenden Verlag (Wiley), dem zu diesem Behufe eine Datei mit den Namen und Post-Zustelladressen der Abonnenten zur Verfügung gestellt werden muss. Über Mitgliedsnummern, Namen und Zustelladressen hinaus sind keine Mitgliederdaten in dieser Datei enthalten.
Mitgliedsbeitrags- und Spenden-Zahlungen via PayPal®: Für diesen Zweck muss eine von PayPal® zur Verfügung gestellte Seite von der ÖPG-Website aus aufgerufen werden. An PayPal® übergeben wird ausschließlich die Höhe des zu bezahlenden Betrags.
Abgleich von Mitgliederdaten mit „befreundeten“ Vereinen: Es bestehen wechselseitige Vereinbarungen zwischen der ÖPG und ausländischen Gesellschaften, speziell der Deutschen Physikalischen Gesellschaft (DPG) und der Schweizerischen Physikalischen Gesellschaft (SPG), wonach den Mitgliedern einer dieser Vereinigungen bei den anderen Vereinigungen unter bestimmten Voraussetzungen Ermäßigungen ihres Mitgliedsbeitrags gewährt werden. Zur Überprüfung der von den Mitgliedern geltend gemachten Mitgliedschaften bei „befreundeten“ Vereinen müssen mit den Administratoren dieser Vereine in größeren Zeitabständen (etwa jährlich) Listen jener Mitglieder ausgetauscht werden, die bei der ÖPG eine Mitgliedschaft bei einem „befreundeten“ Verein geltend gemacht haben und umgekehrt. Hier werden ausschließlich die Daten weitergegeben, die für eine Identifizierung dieser Mitglieder auf der Empfängerseite unbedingt erforderlich sind (typisch Name und eventuell Adresse). Da diese Daten im Normalfall auf der Empfängerseite in gleicher Form vorhanden sein sollten, werden in diesem Fall nicht wirklich Daten ausgetauscht, sondern nur überprüft, ob tatsächlich die geltend gemachte Mitgliedschaft beim „befreundeten“ Verein besteht.
Mitglieder des „erweiterten Vorstands“ der ÖPG: Daten der Mitglieder des „erweiterten Vorstands“ der ÖPG, also von Präsidium, Vorstands-Beisitzerinnen und ?Beisitzern und Vorsitzenden von Fachausschüssen und Arbeitskreisen und ihren Stellvertreter(innen) sowie der Rechnungsprüfer(innen) werden auf der Website publiziert. Dafür werden teils die oben genannten Mitglieder-Daten, teils speziell für diesen Zweck zur Verfügung gestellte Daten verwendet. Es gelten dabei die folgenden Regeln:
Präsident(in), Vizepräsident(in) und Geschäftsführer(in) werden, soweit verfügbar, unter Angabe einer vollständigen Kontaktadresse sowie ihrer Telefon- und Faxnummern und ihrer E-Mail-Adressen und (optional) eines Fotos dargestellt. Bei allen weiteren genannten Personen werden, soweit verfügbar, Post- und E-Mail-Adresse und optional ein Foto angezeigt.
Alle Informationen auf der Website mit Ausnahme des Namens können unabhängig von den eigentlichen Mitglieder-Stammdaten konfiguriert werden. Es ist dabei auch möglich, die Anzeige einer Post-Adresse zu unterdrücken. Bei Bedarf können seitens der ÖPG spezielle Mailadressen für eine Anzeige auf der Website zur Verfügung gestellt werden.

2.5. Auskunftsrecht

Jedes Mitglied kann seine eigenen Daten und die Dokumente zu seiner Mitgliedschaft über einen authentifizierten Zugang auf der Website der ÖPG einsehen. Alle Informationen zu Datenschutzregelungen, Umfang und Verwendung der erhobenen Mitgliedsdaten können diesem Dokument entnommen werden.

2.6. Recht auf Berichtigung

Jedes Mitglied kann seine eigenen Stammdaten über einen authentifizierten Zugang auf der Website der ÖPG bei Bedarf selbst korrigieren. Berichtigungen von Fehlern bei der Buchung von Mitgliedsbeiträgen werden nach Vorlage eines entsprechenden Nachweises (z.B. Einzahlungsbeleg) von der Administration der ÖPG kurzfristig, jedenfalls innerhalb von 30 Tagen, vorgenommen.

2.7. Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht

Bei einer aufrechten Mitgliedschaft sind die oben genannten Daten und ihre Verwendung durch die ÖPG (siehe Punkt 2.2) unabdingbar erforderlich; diese Rechte können daher nur im Zusammenhang mit einem Austritt aus dem Verein geltend gemacht werden.

2.8. Recht auf Datenübertragbarkeit

Auf Wunsch können die Stammdaten eines Mitglieds und eine summarische Zusammenfassung seines Mitgliedsbeitrags-Kontos in einem von mehreren Datenformaten zur Verfügung gestellt werden.

2.9. Dauer der Datenspeicherung

Aus den unter Punkt 2.7 dargelegten Gründen müssen die Mitgliederdaten jedenfalls mindestens bis zum Ende einer Mitgliedschaft aufbewahrt werden. Aus technischen Gründen ist eine vollständige Löschung der einem Mitglied zugeordneten Datensätze nicht möglich; diese werden aber, sofern das Mitgliedsbeitragskonto des ausgeschiedenen Mitglieds ausgeglichen ist, drei Monate, sonst drei Jahre nach der Beendigung der Mitgliedschaft so unkenntlich gemacht, dass eine Identifizierung der Person aufgrund der bei der ÖPG noch vorhandenen Informationen nicht mehr möglich ist. Die Wartezeit von mindestens drei Monaten ist erforderlich, um eine Reaktivierung ausgeschlossener Mitglieder in dem Fall zu ermöglichen, dass der Grund für ihren Ausschluss weggefallen ist.

2.10. Sonstiges

Grundsätzlich werden keine e-Mails mit personenbezogenen Daten eines oder mehrerer Mitglieder versandt. Allfällige Dokumente oder Listen, die personenbezogene Daten enthalten, werden am Administrationssystem der ÖPG vor Zugriffen von außen geschützt abgelegt und können bei Bedarf über eine gesicherte (HTTPS-) Verbindung abgerufen werden.

Bei bestimmten Aktionen, insbesondere bei einer Änderung von Mitglieder-Stammdaten durch das Mitglied und bei speziellen Mitgliedsbeitrags-Buchungs-Vorgängen, werden Mails an das betreffende Mitglied versandt, die unter bestimmten Umständen zur Kontrolle auch an jene Personen in der zentralen Administration der ÖPG gehen können. Diese Mails enthalten aber keine personenbezogenen Daten. Die im Zuge dieser Aktionen erstellten für das Mitglied bestimmten Dokumente (Stammblatt, Mitgliedschafts- und Zahlungsbestätigungen sowie Kontoauszüge) werden im Administrationssystem vorgehalten und können vom Mitglied nach einer authentifizierten Anmeldung auf der ÖPG-Website (https://www.oepg.at) abgerufen werden.

Listen von Mitgliedern (mit Namen und Post- oder Mail-Adressen) werden unter den folgenden Voraussetzungen erstellt:

Bestell-Listen, die dem Verlag des „Physik-Journals“ zur Verfügung gestellt werden: Diese können von einer vom Verlag namhaft gemachten Person, der Zugriffsrechte im Administrationssystem ausschließlich auf die Bestell-Listen eingeräumt wurden, über eine gesicherte Verbindung abgerufen werden. Sie müssen jedenfalls archiviert werden, so lange eine Reklamation eines Mitglieds wegen Nichterhaltens der Zeitschrift möglich ist, also mindestens über einen Zeitraum von drei Jahren ab ihrer Erstellung.
Listen der Empfänger von Rund-Mails: Diese Listen sind zu Kontroll-Zwecken, wer welche Sendung erhalten hat, erforderlich. Sie müssen jedenfalls so lange archiviert werden, wie ein Nachweis erforderlich sein könnte, dass ein Mitglied eine bestimmte Nachricht erhalten hat, also mindestens über einen Zeitraum von drei Jahren ab ihrer Erstellung.
Steuerdateien für den Versand von Aussendungen in Papierform. Diese Steuerdateien sind auch nach dem Versand zu Kontroll-Zwecken, wer welche Sendung erhalten hat, erforderlich. Sie müssen jedenfalls so lange archiviert werden, wie ein Nachweis erforderlich sein könnte, dass ein Mitglied eine bestimmte Nachricht erhalten hat, also mindestens über einen Zeitraum von drei Jahren ab ihrer Erstellung.
Logs des Administrationssystems: Diese werden bei täglichen Datenläufen erstellt. Sie enthalten Namen und Mitgliedsnummern sowie allfällige im Zusammenhang mit dem Mitglied durchgeführte Aktionen. Sie müssen jedenfalls so lange archiviert werden, wie ein Nachweis erforderlich sein könnte, dass für ein Mitglied eine bestimmte Aktion ausgeführt wurde, also mindestens über einen Zeitraum von drei Jahren ab ihrer Erstellung.
Korrespondenz: Briefe und Mails von und an Mitglieder müssen jedenfalls so lange archiviert werden, wie ein Nachweis erforderlich sein könnte, dass und welche Korrespondenz mit einem Mitglied stattgefunden hat, also mindestens über einen Zeitraum von drei Jahren ab ihrer Erstellung.

Sofern keine zwingenden rechtlichen oder archivarischen Überlegungen dagegen sprechen, werden die genannten Dokumente nach Ablauf des angeführten Aufbewahrungszeitraums gelöscht.

3. Physik-Forschungsgruppen
3.1. Erfasste Daten

Name, Geschlecht und Titel der Leiterin / des Leiters der Forschungsgruppe
Postadresse der Leiterin / des Leiters der Forschungsgruppe
E-Mail-Adresse(n) (optional bis zu drei Adressen) der Leiterin / des Leiters der Forschungsgruppe
Bis zu drei Adressen von Websites der Forschungsgruppe
Zugangsdaten, mit denen die Leiterin / der Leiter der Forschungsgruppe die Informationen zur Forschungsgruppe über die ÖPG-Website bearbeiten kann.
Zuordnungen der Forschungsgruppe zu Forschungsgebieten und gemäß der Österreichischen Systematik der Wissenschaftszweige.

3.2. Verwendung

Anzeige auf der ÖPG-Website (https://www.oepg.at).

3.3. Einsichtmöglichkeit

Die obigen Informationen zu den Forschungsgruppen werden auf der ÖPG-Website (https://www.oepg.at) publiziert. Sie können von der Leiterin / dem Leiter der Forschungsgruppe bei Bedarf über einen authentisierten Zugang auf der Website geändert werden.

3.4. Weitergabe von Daten

Die Informationen zu den Forschungsgruppen sind für eine Veröffentlichung auf der Website der ÖPG (https://www.oepg.at) vorgesehen und werden dort allgemein sichtbar dargestellt.

3.5. Auskunftsrecht

Jede Leiterin / jeder Leiter einer Forschungsgruppe kann die Daten ihrer / seiner Forschungsgruppe auf der Website der ÖPG einsehen. Alle Informationen zu Datenschutzregelungen, Umfang und Verwendung der erhobenen Daten können diesem Dokument entnommen werden.
3.6. Recht auf Berichtigung

Jede Leiterin / jeder Leiter einer Forschungsgruppe kann die Daten ihrer / seiner Forschungsgruppe über einen authentifizierten Zugang auf der Website der ÖPG bei Bedarf selbst korrigieren.
3.7. Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht

Forschungsgruppen können auf Wunsch ausgeblendet, also nicht mehr über die Website angezeigt, oder vollständig gelöscht werden.

3.8. Recht auf Datenübertragbarkeit

Ein Export von Forschungsgruppen-Daten ist routinemäßig nicht vorgesehen, kann aber auf Wunsch in einem Standard-Format erfolgen.

3.9. Dauer der Datenspeicherung

Da die Daten von Forschungsgruppen für eine Anzeige auf der Website erforderlich sind, müssen sie so lange gespeichert bleiben, wie diese Anzeige erforderlich ist.

4. Tagungs-Anmeldungen

Das Administrationssystem und die Website der ÖPG beinhalten Funktionen, mit denen Anmeldungen zu Veranstaltungen der ÖPG oder ihrer Fachausschüsse und Arbeitskreise verwaltet werden können, und die nur bei Bedarf aktiviert werden.

4.1. Erfasste Daten

Ausgewählte Tagung, Teilnehmer-Kategorie und allfällige Zusatz-Angebote der Tagung
Geschlecht, Name und allfällige Titel der Teilnehmerin / des Teilnehmers
Postadresse der Teilnehmerin / des Teilnehmers (optional)
E-Mail-Adresse der Teilnehmerin / des Teilnehmers
gegebenenfalls ÖPG-Mitgliedsnummer der Teilnehmerin / des Teilnehmers
Kommunikationssprache
Durch die Teilnehmerin / den Teilnehmer definiertes Kennwort in verschlüsselter Form, mit dem eine Einsicht oder Bearbeitung der Anmeldung auf der Website der ÖPG (https://www.oepg.at) möglich ist
Informationen zu Vorschreibung und Bezahlung einer allfälligen Tagungsgebühr

4.2. Verwendung

Verwaltung der Anmeldungen zu Veranstaltungen der ÖPG sowie der Zahlungen dafür gegebenenfalls anfallender Tagungsgebühren.

4.3. Einsichtmöglichkeit

Jede Teilnehmerin / jeder Teilnehmer kann mit den ihr / ihm zur Verfügung gestellten Anmelde-Informationen und dem selbst gesetzten Kennwort ihre / seine eigenen Anmeldungsdaten laut obiger Aufstellung auf der Website der ÖPG (https://www.oepg.at) einsehen und selbst modifizieren.

4.4. Weitergabe von Daten

Ein Zugriff auf alle Anmeldungsdaten ist nur speziell dafür namhaft gemachten Personen, die die jeweilige Veranstaltung administrieren, möglich. Teilnehmerinnen / Teilnehmer können auf ihre eigenen Anmeldungsdaten zugreifen, sonst niemand. Die Veranstalterinnen / Veranstalter einer Tagung können gegebenenfalls ein Verzeichnis der Teilnehmerinnen / Teilnehmer erstellen, sind aber bei der Verwendung eines solchen Verzeichnisses für die Einhaltung der einschlägigen Datenschutz-Bestimmungen selbst verantwortlich.

4.5. Auskunftsrecht

Jede Teilnehmerin / jeder Teilnehmer kann ihre / seine Anmeldungsdaten auf der Website der ÖPG einsehen. Alle Informationen zu Datenschutzregelungen, Umfang und Verwendung der erhobenen Daten können diesem Dokument entnommen werden.

4.6. Recht auf Berichtigung

Jede Teilnehmerin / jeder Teilnehmer kann ihre / seine Anmeldungsdaten über einen authentifizierten Zugang auf der Website der ÖPG bei Bedarf selbst korrigieren.

4.7. Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht

Nach einer nicht kostenpflichtigen Abmeldung oder dem Abschluss einer Tagung werden die Daten von Teilnehmerinnen / Teilnehmern gelöscht bzw. so unkenntlich gemacht, dass eine Identifizierung der Person nicht mehr möglich ist.

4.8. Recht auf Datenübertragbarkeit

Ein Export von einzelnen Teilnehmer-Datensätzen ist routinemäßig nicht vorgesehen, kann aber auf Wunsch in einem Standard-Format erfolgen.

4.9. Dauer der Datenspeicherung

Da die Daten von Teilnehmerinnen / Teilnehmern für die Abwicklung der Veranstaltung erforderlich sind, müssen sie zumindest bis zum Abschluss der Tagung gespeichert bleiben. Sie werden einen Monat nach dem Ende der Veranstaltung so unkenntlich gemacht, dass eine Identifizierung der Person aufgrund der bei der ÖPG vorhandenen Informationen nicht mehr möglich ist. Eine Ausnahme besteht im Fall offener Kosten, auch im Fall einer Abmeldung, wo die Daten bis zur Klärung bzw. Verjährung dieser Kosten gespeichert bleiben müssen und nach drei Jahren unkenntlich gemacht werden.

5. Administratorinnen / Administratoren

Administratorinnen / Administratoren verwalten die Inhalte des Administrationssystems sowie der Website der ÖPG (https://www.oepg.at). Für die Website des Arbeitskreises „Young Minds“ (https://www.oepg-ym.at bzw. http://www.oepg-students.at) existieren davon unabhängig eigene Administratorinnen / Administratoren, die ausschließlich Rechte zur Administration dieser Website haben.

5.1. Erfasste Daten

Name für die Anmeldung
Kennwort für den Zugriff auf das Administrationssystem bzw. -Verzeichnis
Voller Name
Mailadresse
Berechtigungen: Jeder Administratorin / jedem Administrator kann individuell die Zugriffsberechtigung für jede einzelne Funktion des Administrationssystems erteilt werden. Es ist beispielsweise möglich, einer Person ausschließlich Rechte zur Administration bestimmter Inhalte der Website zu erteilen, wohingegen diese Person keinen Zugriff auf die Daten von Mitgliedern hat.

5.2. Verwendung

Verwaltung der Zugriffsberechtigungen auf das Administrationssystem der ÖPG und der ÖPG-Website; bzw. der Zugriffsberechtigungen auf das Administrationssystem der Website des Arbeitskreises „Young Minds“.

5.3. Einsichtmöglichkeit

Administratorinnen / Administratoren können jedenfalls ihr Kennwort selbst modifizieren. Je nach Aufgabenbereich einer Administratorin / eines Administrators und den erteilten Berechtigungen kann auch eine Einsicht in und Bearbeitung der eigenen Daten möglich sein.

5.4. Weitergabe von Daten

Administratorinnen / Administratoren, denen eine Berechtigung für die Bearbeitung der Accounts von Administratorinnen / Administratoren erteilt wurde, können ihren eigenen Account und die Accounts von Administratorinnen / Administratoren im gleichen Berechtigungs-Rahmen („gewöhnlicher“ bzw. „Master“-Administrator) einsehen und im Rahmen der ihnen erteilten Berechtigungen Accounts für andere Administratorinnen / Administratoren anlegen. Damit können die von ihnen neu angelegten Administratorinnen / Administratoren maximal die gleichen Rechte erhalten wie die Person, die ihren Account angelegt hat. Kennworte sind selbstverständlich unter keinen Umständen einsehbar.

5.5. Auskunftsrecht

Jede Administratorin / jeder Administrator kann ihre / seine Daten im Administrationssystem der ÖPG einsehen. Alle Informationen zu Datenschutzregelungen, Umfang und Verwendung der erhobenen Daten können diesem Dokument entnommen werden.

5.6. Recht auf Berichtigung

Jede Administratorin / jeder Administrator kann je nach erteilten Berechtigungen ihre / seine Daten bei Bedarf selbst korrigieren oder von einer anderen Administratorin / einem anderen Administrator korrigieren lassen.

5.7. Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht

Nicht mehr benötigte Daten inaktiver Administratorinnen / Administratoren können gelöscht werden. Die Daten aktiver Administratorinnen / Administratoren werden aber uneingeschränkt benötigt; es können aber auf Wunsch Einschränkungen in den Berechtigungen vorgenommen werden.

5.8. Recht auf Datenübertragbarkeit

Ein Export von einzelnen Administrator-Datensätzen ist routinemäßig nicht vorgesehen (und auch nicht sinnvoll), kann aber auf Wunsch in einem Standard-Format erfolgen.

5.9. Dauer der Datenspeicherung

Die Daten von Administratorinnen / Administratoren werden während der gesamten Dauer ihrer aktiven Tätigkeit benötigt. Sie können danach gelöscht werden.

6. Sonstige Inhalte der Websites der ÖPG bzw. des Arbeitskreises „Young Minds“

Auf den genannten Websites öffentlich dargestellt werden Informationen, die die ÖPG entweder als für eine Publikation vorgesehen von Dritten erhält (z.B. Presseaussendungen), oder die von Mitgliedern der ÖPG selbst generiert wurden. Im letzteren Fall hat jene Administratorin / jener Administrator, die / der die Inhalte auf die Website lädt, sicher zu stellen, dass durch die Publikation der Inhalte keine Persönlichkeitsrechte Dritter beeinträchtigt werden. Dies gilt für textuale Inhalte ebenso wie für Bilder. Bei Inhalten, die wir von Dritten erhalten, die der DSGVO unterliegen, gehen wir davon aus, dass die Bestimmungen zum Schutz von Persönlichkeitsrechten eingehalten wurden; im Zweifelsfall darf keine Publikation auf den Websites erfolgen.

Informationen, die nur Mitgliedern der ÖPG zugänglich sein sollen, können in nur nach vorheriger Anmeldung zugängliche Bereiche der genannten Websites gestellt werden. Optional können hochgeladene Dateien auch verschlüsselt abgespeichert werden, so dass sie nur angemeldeten Mitgliedern im Klartext zur Verfügung stehen.

6.1. Erfasste Daten

Diverse, nur zu einem kleinen Teil personenbezogene Daten.

6.2. Verwendung

Ausgabe auf der Website der ÖPG (https://www.oepg.at) bzw. des Arbeitskreises „Young Minds“ (https://www.oepg-ym.at bzw. http://www.oepg-students.at).

6.3. Einsichtmöglichkeit

Die Daten in dieser Kategorie werden vollinhaltlich angezeigt. Es gibt keine über die Websites nicht sichtbaren Daten aus dieser Kategorie.

6.4. Weitergabe von Daten

Die Daten sind zur Publikation auf einer der genannten Websites vorgesehen. Gegebenenfalls kann der Zugriff auf sie auf gültig an der jeweiligen Website angemeldete Mitglieder der ÖPG eingeschränkt werden.

6.5. Auskunftsrecht

Alle Informationen zu Datenschutzregelungen, Umfang und Verwendung der erhobenen Daten können diesem Dokument entnommen werden.

6.6. Recht auf Berichtigung

Einem plausiblen Wunsch von unmittelbar Betroffenen auf Berichtigung fehlerhafter oder die Interessen der Betroffenen beeinträchtigenden Daten wird selbstverständlich im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) so schnell wie möglich, jedenfalls innerhalb von 30 Tagen, nachgekommen.

6.7. Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht

Einem plausiblen Wunsch von unmittelbar Betroffenen auf Löschung von Daten wird selbstverständlich im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) so schnell wie möglich, jedenfalls innerhalb von 30 Tagen, nachgekommen. Da keine weitere Verarbeitung der zur Publikation auf den Websites bestimmten Daten vorgesehen ist, sind das Recht auf Einschränkung der Verarbeitung und das Widerspruchsrecht implizit erfüllt.

6.8. Recht auf Datenübertragbarkeit

Die Daten stehen zur freien Entnahme auf den Websites zur Verfügung.

6.9. Dauer der Datenspeicherung

Sofern nicht Datensätze aufgrund eines expliziten Wunsches gelöscht wurden, bleiben sie in den Archiv-Bereichen der Websites auf unbegrenzte Zeit erhalten.

7. Abrechnungs-Daten der ÖPG

Die Abrechnungs-Daten der ÖPG, also Informationen und Belege über Einnahmen und Ausgaben der ÖPG selbst sowie ihrer Fachausschüsse und Arbeitsgruppen, können gegebenenfalls personenbezogene Daten enthalten und unterliegen daher grundsätzlich den gleichen Gesichtspunkten betreffend Datenschutz. Personenbezogene Informationen können in unterschiedlichem Umfang beispielsweise in den folgenden Fällen involviert sein (die Liste erhebt keinen Anspruch auf Vollständigkeit):

Überweisungsdaten von Mitgliedsbeiträgen und Spenden
Honorarnoten und Rechnungen über Aufwandsentschädigungen
Abrechnungen von Reisekosten und anderen Spesen
Kostenersätze für im Namen der ÖPG durch die Legerin / den Leger der Kostenersatz-Rechnung getätigte Ausgaben

7.1. Verwendung

Erstellung der gesetzlich erforderlichen Abrechnung über die Einnahmen und Ausgaben des Vereins; Budgetplanung.

7.2. Einsichtmöglichkeit

Alle Abrechnungs-Informationen sind grundsätzlich als vertraulich zu behandeln. Personen, die nicht dem in Punkt 7.3 definierten Personenkreis angehören, ist daher maximal eine Einsicht in sie selbst betreffende Unterlagen und Belege zu gewähren.

7.3. Weitergabe von Daten

Innerhalb der ÖPG steht eine Einsicht in die Abrechnungs-Unterlagen der ÖPG ausschließlich den folgenden Personen zu:

Personen, die eine (Teil-) Abrechnung erstellen, im Umfang der von ihnen selbst erstellten Abrechnung
Aktiven Mitgliedern des Vorstands der ÖPG
Rechnungsprüfern

Abrechnungs-Unterlagen dürfen nach außen gegeben werden an

Wirtschaftsprüfer der ÖPG
Steuerberater der ÖPG

Eine anonymisierte Version der Abrechnung, die die Identifizierung einzelner Rechnungsposten bzw. ihrer Empfänger nicht mehr erlaubt, muss entsprechend den Statuten und dem Vereinsgesetz den Mitgliedern der ÖPG im Rahmen der Mitgliederversammlung zur Verfügung gestellt werden.

Eine darüber hinausgehende Weitergabe von Abrechnungs-Daten an Personen innerhalb oder außerhalb der ÖPG ist jedenfalls unzulässig.

7.4. Auskunftsrecht

Alle Informationen zu Datenschutzregelungen, Umfang und Verwendung der erhobenen Daten können diesem Dokument entnommen werden.

7.5. Recht auf Berichtigung

Im Fall einer nicht korrekten Verbuchung (z.B. von Mitgliedsbeiträgen) oder Überweisung (von gelegten Rechnungen) steht den Betroffenen (nach Beibringung entsprechender Nachweise) natürlich das Recht auf Berichtigung zu. Die Berichtigung erfolgt im Rahmen der technischen und rechtlichen Möglichkeiten jedenfalls innerhalb von 30 Tagen.

7.6. Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht

Soweit diese Rechte im konkreten Fall anwendbar sind und nicht anderen Voraussetzungen, beispielsweise gesetzlichen Vorgaben, widersprechen, werden sie selbstverständlich gewährt.

7.7. Recht auf Datenübertragbarkeit

Die in elektronischer Form vorhandenen Daten können unter Berücksichtigung der Punkte 7.1 und 7.3 in einem üblichen Export-Format zur Verfügung gestellt werden.

7.8. Dauer der Datenspeicherung

Die Abrechnungs-Daten sind jedenfalls mindestens für den vom Gesetzgeber vorgeschriebenen Zeitraum von sieben Jahren aufzubewahren.

8. Sonstige Daten

Im Zuge der Tätigkeit der ÖPG kann es notwendig sein, Informationen, die (auch) personenbezogene Daten enthalten, zu sammeln. Beispielsweise vergibt die ÖPG, zum Teil auch über ihre Zweig-Organisationen, Preise, die beantragt und deren Anträge durch entsprechende Unterlagen belegt werden müssen. Es ist vorgesehen, diese Unterlagen nach der Verleihung der Preise und der vollständigen Abwicklung der Auszahlung des Preisgeldes zu löschen bzw. vernichten; die Namen der Preisträger und die Begründungen für die Verleihung der Preise müssen aus archivarischen Gründen unbegrenzt gespeichert werden; sie werden auch für unbegrenzte Zeit auf der Website der ÖPG publiziert.

9. Datensicherheits- und Datenintegritäts-Maßnahmen

Die in elektronischer Form im Administrationssystem der ÖPG gespeicherten Daten liegen auf einem nach dem Stand der Technik professionell gewarteten und durch diverse Zugriffsbeschränkungen abgesicherten von der IT-Abteilung der TU Wien (TU-IT) betriebenen und betreuten Server. Durch diverse Maßnahmen ist gewährleistet, dass ein Zugriff auf die Datenbank und damit auf personenbezogene Daten nur aus dem Administrationssystem heraus möglich ist. Ein Zugang zum Administrationssystem ist nur Administratoren im Rahmen ihrer Berechtigungen (siehe Punkt 5) nach vorangegangener Anmeldung mit Benutzernamen und Kennwort möglich; Anmeldungen werden protokolliert. Für die technische Wartung des Servers und damit einen direkten Zugriff auf die Datenbank und die am Administrationsserver liegenden Dateien stehen zwar die dafür üblichen speziell abgesicherten Schnittstellen zur Verfügung, die aber nicht nur eine Anmeldung mit Benutzername und Kennwort erfordern, sondern auch nur von einer ganz kleinen Anzahl von Internet-Adressen aus zugänglich sind. Durch geeignete technische Maßnahmen (engmaschige Überprüfung der Software des Administrationssystems auf unerwartete Änderungen) können allfällige Versuche, in das System einzudringen, frühzeitig erkannt und Maßnahmen dagegen gesetzt werden.

Auf den bei einem Provider laufenden Websites der ÖPG (https://www.oepg.at) und des Arbeitskreises „Young Minds“ (https://www.oepg-ym.at bzw. http://www.oepg-students.at) sind Mitglieder-Daten nur in dem für eine Anmeldung an diesen Systemen unbedingt erforderlichen Umfang (im Wesentlichen Name, Mitgliedsnummer und Einweg-verschlüsseltes Kennwort) vorhanden; auf der ÖPG-Website wird ein vollständiger Mitglieder-Datensatz erst dann vom Administrationssystem geladen, wenn ein korrekt angemeldetes Mitglied die Seite für die Bearbeitung der Mitglieder-Daten aufgerufen hat. Nach einem Abschluss der Bearbeitung und der Prüfung und Übernahme dieser Daten ins Administrationssystem werden die Mitglieder-Daten auf der Website wieder auf den reduzierten Umfang gekürzt. Damit ist die Gefahr gering, dass bei einer allfälligen Kompromittierung einer der Websites wesentliche Mitglieder-Daten in falsche Hände geraten könnten. Durch geeignete technische Maßnahmen (engmaschige Überprüfung der Software der Websites auf unerwartete Änderungen) können allfällige Versuche, in das System einzudringen, frühzeitig erkannt und Maßnahmen dagegen gesetzt werden. Informationen, die nur Mitgliedern der ÖPG zugänglich sein sollen, werden über eigens dafür vorgesehene Seiten zur Verfügung gestellt, auf die erst nach erfolgreicher Anmeldung als Mitglied zugegriffen werden kann. Zusätzlich können hochgeladene Dateien verschlüsselt abgespeichert werden; diese werden nur bei Vorliegen einer gültigen Anmeldung automatisch entschlüsselt.

Die Übertragung von Daten zwischen dem Administrationssystem und den genannten Websites und umgekehrt erfolgt jedenfalls in verschlüsselter Form über eine SSL-gesicherte Verbindung. Das Administrationssystem ist grundsätzlich nur über Secure HTTP zugänglich; HTTP-Zugriffe auf die Website der ÖPG (https://www.oepg.at) und die neue Website des Arbeitskreises „Young Minds“ (https://www.oepg-ym.at) werden, wo dies technisch möglich ist (nicht bei sehr alten Browsern und Betriebssystems-Versionen), ebenfalls automatisch auf Secure HTTP umgesetzt, sodass eine Anmeldung an der Website und ein Abruf von Daten über eine sichere Verbindung erfolgen kann. (Die alte, nur unter Standard-HTTP verfügbare Website des Arbeitskreises „Young Minds“ (http://www.oepg-students.at) wird nur für einen begrenzten Zeitraum beibehalten, um in Suchmaschinen gespeicherte Informationen funktionsfähig zu erhalten; Zugriffe auf sie werden an die neue „Young Minds“-Website weitergeleitet.)

Personenbezogene Daten werden grundsätzlich nicht per Mail versandt, sofern sie nicht – wie im Fall der Daten der Physik-Forschungsgruppen – ohnedies für eine öffentliche Anzeige im Web vorgesehen sind. Für Dokumente zur Mitgliedschaft – Stammblatt, Stammblatt, Mitgliedschafts- und Zahlungsbestätigungen sowie Kontoauszüge – wurde auf der ÖPG-Website (https://www.oepg.at) eine Seite eingerichtet, von der aus angemeldete Mitglieder ihre eigenen Dokumente über eine gesicherte Verbindung direkt vom Administrationssystem abrufen können. Diese Dokumente werden also überhaupt nicht auf der Website gespeichert und können daher in keinem Fall kompromittiert werden.

Die ÖPG-Website (https://www.oepg.at) verwendet die Zahlungsfunktionen von PayPal®. PayPal® stellt relativ rigide Anforderungen an die Qualität der SSL-Verschlüsselung jener Websites, die seine Zahlungsfunktionen verwenden. Da sichergestellt sein muss, dass PayPal®-Transaktionen korrekt abgewickelt werden, wird implizit auch gewährleistet, dass der Webserver, auf dem die ÖPG-Website läuft, den einschlägigen Sicherheits-Standards entspricht.

Benutzer-definierte Kennwörter werden in Form eines Hashes, also Einwegs-verschlüsselt, in der Datenbank abgelegt. Es ist nicht möglich (außer durch Anwendung aufwändiger Brute-Force-Methoden), das Kennwort aus den in der Datenbank gespeicherten Daten zu rekonstruieren. Das bei der Anmeldung eines Mitglieds generierte Default-Kennwort wird zwar (ausschließlich am Administrationssystem) in der Datenbank gespeichert, um es gegebenenfalls dem Mitglied wieder mitteilen zu können; es wird aber den Mitgliedern nahegelegt, sich selbst ein Kennwort zu setzen, das nach den oben angegebenen Regeln erstellt und verwaltet wird und außer dem Mitglied selbst niemandem bekannt ist.

Die Prüfung der Zweckmäßigkeit und Treffsicherheit der gesetzten Sicherheits-Maßnahmen im Bereich der ÖPG erfolgt laufend durch den Entwickler der Software. So wurden zum Beispiel schon vor einigen Jahren verbesserte Techniken für die Einweg-verschlüsselte Speicherung von Kennwörtern implementiert, die den Aufwand, diese zu knacken, erheblich erhöhen. Selbst im Fall einer Kompromittierung der Websites der ÖPG (https://www.oepg.at) oder des Arbeitskreises „Young Minds“ (https://www.oepg-ym.at bzw. http://www.oepg-students.at) sind die dort zu erbeutenden Daten jedenfalls für Dritte weitgehend wertlos.

Über die in Eigenregie vorgenommenen Sicherheits-Prüfungen hinaus werden gelegentlich speziell die Websites der ÖPG von „Edel-Hackern“ (z.B. der Organisation OpenBugBounty.org) auf allfällige Schwachstellen überprüft. Die dabei erhaltenen Rückmeldungen – bisher im Wesentlichen nicht wirklich gefährliche Schwachstellen betreffend – werden natürlich umgehend zum Anlass für Korrekturen überall dort genommen, wo die gemeldeten Probleme potenziell (auch) auftreten könnten.

Die Datenbank-Inhalte und die Software des Administrationssystems werden in regelmäßigen Backups gesichert. Die Backups erfolgen in zyklischer Form; es werden also jeweils die ältesten Backups mit neuen überschrieben. Alte Backups sind allenfalls für forensische Zwecke (also z.B. zur Feststellung, zu welchem Zeitpunkt unerwünschte Änderungen vorgenommen wurden) verwendbar; wenn Backups eingespielt werden müssen (was extrem selten erforderlich ist), werden dafür selbstverständlich die neuesten in Frage kommenden Backups verwendet. Die Gefahr, dass damit Daten, die bereits gelöscht oder unkenntlich gemacht wurden, unerkannt wieder aktiviert werden, ist extrem gering: Manuelle Löschungen aus dem Zeitraum seit der Erstellung des Backups, die sehr selten sind, können sofort nach dem Einspielen des Backups wiederholt werden; Datensätze, die aufgrund des Ablaufs einer Frist in der Zwischenzeit unkenntlich gemacht wurden, werden spätestens beim nächsten Datenlauf wieder unkenntlich gemacht.

Die Abrechnungs-Datensätze für die Mitgliedsbeitrags-Konten enthalten einen Hash-Wert, aufgrund dessen allfällige Manipulationen sofort erkannt werden können.

Weitere in elektronischer Form vorhandene Daten werden nach dem Stand der Technik gesichert auf den Rechnern der Personen innerhalb der ÖPG gespeichert, die für ihre Bearbeitung zuständig sind. Sie werden unter Berücksichtigung allfälliger rechtlicher oder archivarischer Randbedingungen gelöscht, wenn es sich um personenbezogene Daten handelt und keine Notwendigkeit für ihre weitere Archivierung mehr besteht.

In Hardcopy vorhandene Unterlagen werden in versperrten Räumlichkeiten gelagert. Sie werden unter Berücksichtigung allfälliger rechtlicher oder archivarischer Randbedingungen vernichtet, wenn es sich um personenbezogene Daten handelt und keine Notwendigkeit für ihre weitere Archivierung mehr besteht.