Datenschutzerklärung

Politik lebt vom Austausch

Politik ist der Ort, an dem wir uns ausmachen, wie wir miteinander tun. Je mehr Sie mit uns teilen, desto besser können wir auf Ihre Wünsche, Bedürfnisse und Vorlieben eingehen und Sie gezielter in die politische Arbeit einbinden. Das Sammeln dieser Informationen erfolgt im angemessenen Umfang, die Aktualität versuchen wir bestmöglich zu gewährleisten, die Verwendung erfolgt mit größtmöglicher Sorgfalt.

Personenbezogene Daten werden von NEOS ausschließlich nach den Vorgaben des österreichischen Datenschutzgesetzes sowie der Datenschutzgrundverordnung erhoben, verarbeitet und genutzt. Zusätzlich stellt das BMI für Zwecke der Wahlinformation politischen Parteien ein Wählerverzeichnis (Name, Anschrift, akadem. Titel, Geburtsdatum, teilweise Wahlsprengel) zur Verfügung. Die folgenden Informationen erläutern, welche Daten während Ihres Besuches auf unseren Webseiten und bei Eingabe der Formulare, sowie bei Teilnahme an Unterschriftenaktionen, Veranstaltungen und sonstigen Aktivitäten erfasst und wie diese genutzt werden.

Es findet keine automationsgestützte Entscheidungsfindung statt. Messbare Aktivitäten (wie etwa aktiv bezogene Informationen, Veranstaltungsbesuche, Spendenvorgänge etc.) werden jedoch fallweise als Grundlage für Kontaktfrequenz- und Inhalt herangezogen. Aus den gemessenen Aktivitäten erwachsenen Ihnen keinerlei rechtliche Verpflichtungen, Nachteile oder sonstige Beeinträchtigungen.

Ihre Daten sind Ihre Daten

Sämtliche Betroffenenrechte (Auskunftsrecht, Berichtigungsrecht, Widerspruchsrecht, Recht auf Datenübertragbarkeit, Widerspruch oder Löschbegehren) können persönlich an allen Standorten, per Brief oder per Mail an datenschutz@neos.eu geltend gemacht werden. Das Postfach wird übergreifend bearbeitet, die Hauptverantwortung liegt bei der Politischen Partei. Bitte beachten Sie die Ausweispflicht bei der Geltendmachung von Betroffenenrechten.

Unser Datenschutzbeauftragter, Dr. Karl-Arthur Arlamovsky, ist unter dsb@neos.eu erreichbar. Wenn Sie glauben, dass Ihre Daten unrechtmäßig verarbeitet werden, haben Sie ein Beschwerderecht an die zuständige Aufsichtsbehörde. Dies ist in Österreich die Datenschutzbehörde www.dsb.gv.at.

Sollte es aus rechtlichen Gründen nötig sein, diese Daten z.B. im Rahmen eines Ermittlungsverfahrens, an Dritte weiterzugeben, so werden wir Sie unverzüglich darüber informieren.

Rechtsgrundlage und Zweckbindung

Wir erheben Daten auf folgenden Grundlagen:

  1. Sofern Sie bei uns arbeiten oder eine Mitgliedschaft eingehen, speichern wir die zugehörigen Informationen zum Zweck der Mitarbeiter- und Mitgliederverwaltung.
  2. Für die freiwillige Angabe ihrer Daten stimmen Sie der jeweiligen Einwilligungserklärung zu, für die der Zweck jeweils angegeben ist, beispielsweise um Ihnen Informationsmaterial oder Einladungen zusenden zu können.
  3. Um gesetzliche Vorgaben zu erfüllen, etwa bei der Übermittlung von Informationen an externe Wirtschaftsfprüfer oder den Rechnungshof
  4. Bei Bestehen eines berechtigten Interesses, etwa der Feststellung der Unbescholtenheit von Kandidat_innen, der politischen Information als wahlwerbende Partei; zur Unterbindung der missbräuchlichen Verwendung unserer Webseiten oder der Manipulation von Vorwahlen etc.

Persönliche und personenbezogene Daten

Wir speichern jene Daten, die Sie uns freiwillig über Formulare oder im persönlichen Kontakt mitteilen. Dazu gehören Name und akademischer Grad, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Spendeninformationen, Interessensgebiete, Teilnahmeergebnisse an, Befragungen und Petitionen, Social Media IDs, Angaben zu Bewerbungen, Verfügbarkeit und Mitarbeitsbereitschaft, Kommunikationspräferenzen.

  • Bei Mitgliedern: Informationen zur Mitgliedschaft, Bei Kandidat_innen/Mandatar_innen: Informationen zur Kandidatur/zum Mandat
  • Bei Mitarbeiter_innen: Sozialversicherungsnummer, Bankverbindung; Kontakthistorie, Mitgliedschaften in parteinahen Organisationen.

Weiters speichern wir jene Daten, die uns helfen einzuordnen, wie und wann wir mit Ihnen Kontakt hatten (beispielsweise Datum des letzten positiven Kontakts, welche Formulare Sie übermittelt haben). Durch eine Registrierung auf der Internetseite des für die Verarbeitung Verantwortlichen wird ferner die vom Internet-Service-Provider (ISP) der betroffenen Person vergebene IP-Adresse, das Datum sowie die Uhrzeit der Registrierung gespeichert. Die Speicherung dieser Daten erfolgt vor dem Hintergrund, dass nur so der Missbrauch unserer Dienste verhindert werden kann, und diese Daten im Bedarfsfall ermöglichen, begangene Straftaten aufzuklären. Insofern ist die Speicherung dieser Daten zur Absicherung des für die Verarbeitung Verantwortlichen erforderlich. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, sofern keine gesetzliche Pflicht zur Weitergabe besteht oder die Weitergabe der Strafverfolgung dient.

Zu statistischen Zwecken verwenden wir Zählpixel. Ein Zählpixel ist eine Miniaturgrafik, die in solche E-Mails eingebettet wird, welche im HTML-Format versendet werden, um eine Logdatei-Aufzeichnung und eine Logdatei-Analyse zu ermöglichen. Dadurch kann eine statistische Auswertung des Erfolges oder Misserfolges von Online-Marketing-Kampagnen durchgeführt werden. Anhand des eingebetteten Zählpixels kann die NEOS erkennen, ob und wann eine E-Mail von einer betroffenen Person geöffnet wurde und welche in der E-Mail befindlichen Links von der betroffenen Person aufgerufen wurden. Solche über die in den Newslettern enthaltenen Zählpixel erhobenen personenbezogenen Daten, werden von dem für die Verarbeitung Verantwortlichen gespeichert und ausgewertet, um den Newsletterversand zu optimieren und den Inhalt zukünftiger Newsletter noch besser den Interessen der betroffenen Person anzupassen. Diese personenbezogenen Daten werden nicht an Dritte weitergegeben. Betroffene Personen sind jederzeit berechtigt, die diesbezügliche gesonderte, über das Double-Opt-In-Verfahren abgegebene Einwilligungserklärung zu widerrufen. Nach einem Widerruf werden diese personenbezogenen Daten von dem für die Verarbeitung Verantwortlichen gelöscht.

Sofern auf unseren Webseiten personenbezogene Daten verwendet werden, erfolgt diese Verwendung ausschließlich entsprechend den Regelungen der DSGVO, in denen auch alle Mitarbeiter_innen und Ehrenamtliche bei NEOS, die mit personenbezogenen Daten zu tun haben, geschult und unterwiesen sind.

Wenn Sie Funktionalitäten unserer Webseiten nutzen, die die Eingabe personenbezogener Daten erfordern, erteilen Sie uns mit der Eingabe Ihrer Daten die Zustimmung, dass wir diese Daten zu dem Zweck, für den Sie sie eingeben, elektronisch verwenden dürfen.

Personenbezogene Daten können von NEOS erfasst werden, wenn Sie

  • an einer unserer Kampagnen, Aktionen oder Petitionen teilnehmen und ein Formular ausfüllen
  • eine der Beteiligungsmöglichkeiten unserer Seite nutzen, wie beispielsweise Veranstaltungsanmeldung, einen Inhalt teilen oder eine Spende tätigen
  • uns über eines unserer Kontaktformulare eine Nachricht senden.
  • durch den Besuch einer Webseite Interesse an einem Thema zeigen.

Gemäß Wählerevidenzgesetz 2018 §5 (2) erhalten wir Abschriften der Wählerevidenz, um diese zum Zweck der Wahlwerbung zu nutzen. Anforderungen ab dem 25. Mai 2018 werden hier mit Verwendungszweck dokumentiert.

Zuletzt führen wir ein Sperrregister, welches uns ermöglicht, Personen keine weiteren Zusendungen zukommen zu lassen, wenn dies beispielsweise durch den Versand an Adressen aus der Wählerevidenz geschehen würde.

Datensicherheit

Wir tun alles, um Ihre Daten zu schützen. Dazu zählen Maßnahmen, um die Manipulation, den Verlust, die Zerstörung oder den Zugriff unberechtiger Personen zu verhindern. Dazu setzen wir technische Rahmenbedingungen (wie Zutrittskontrollen, versperrte Ablagen, Passwortrichtlinien etc.), organisatorische Rahmenbedingungen (wie Schulungen und Nutzungsrichtlinien) sowie rechtliche (Vertraulichkeitsvereinbarungen, Datenschutzvereinbarungen, Auftragsdatenverarbeitungsverträge) , die das verhindern sollen. Alle Daten werden auf unseren Servern bzw. auf den Servern unserer Dienstleister, mit denen Verträge zur Auftragsdatenverarbeitung nach § 10 Datenschutzgesetz (DSG) mit entsprechender Prüfung abgeschlossen wurden, gespeichert. Alle unsere Systeme sind samt berechtigter Nutzergruppen in einem Verarbeitungsverzeichnis erfasst und detailliert beschrieben.

Übermittlungsempfänger

Ihre Daten werden in Form eines “Joint Controllership” von (Parlamentsklub, NEOS Lab, Politische Partei inkl. Rechtspersonen in den Ländern, derzeit: Rathausklub Wien, Landtagsfraktionen Vorarlberg und NÖ, Landtagsklubs Salzburg und Tirol, Gemeinderatsfraktionen Linz und Salzburg, JUNOS und UNOS sowie einzelne Mandatar_innen) verarbeitet. Hauptverantwortlich ist dabei NEOS (politische Partei). Weitere Informationen finden Sie unter “Joint Controllership”.

Weiters nutzen wir Dienstleister, um Ihnen beispielsweise Newsletter oder postalische Zusendungen zukommen zu lassen, Ihre Spenden zu verarbeiten oder unsere Botschaften in den sozialen Medien zu verbreiten. Hierzu übermitteln wir die dazu nötigen Daten an den jeweiligen Dienstleister, die für uns keine Dritten sind. Wir haben gemäß der geltenden rechtlichen Bestimmungen Vorsorge getroffen, dass alle unsere Dienstleister entsprechend sorgsam mit den verwendeten Daten umgehen sowie sämtliche gesetzlichen Bestimmungen einhalten. Dies wird uns auch vertraglich definiert.

Verwendete Daten auf unseren Webseiten

Wir speichern Informationen, die für den Betrieb der Website notwendig sind in Cookies. Diese werden jedoch nicht mit persönlichen Daten befüllt, die für Dritte auslesbar wären. Durch die Verweigerung von Cookies im Browser oder das regelmäßige Löschen, können Sie außerdem verhindern, dass dadurch Rückschlüsse über Ihr Verhalten gezogen werden können. Wir nutzen Google Analytics, um zu erfahren, welche unserer Seiten gerne besucht werden und wie wir diese noch interessanter gestalten können. Mehr dazu in der Datenschutzerklärung von Google.

Für Formulare verwenden wir Hubspot. Das ermöglicht uns, ihnen auf Sie abgestimmte Angebote für die Teilnahme an Petitionen, Aktionen und Kampagnen zu machen. Wir verwenden Hubspot mit dem Ziel, Ihnen für Sie relevante Informationen und Mitmachangebote zu schicken. Mehr dazu in der  Hubspot Datenschutzerklärung. Um den direkten Dialog mit Bürger_innen zu ermöglichen verwenden wir an einigen Stellen der Webseite Disqus als öffentliches Diskussionsforum. Einloggen könnt ihr euch entweder direkt über Disqus oder über ein bestehendes Konto bei Facebook, Twitter oder Google. Alle Beiträge sind transparent und für alle Webseiten-Besucher sichtbar. Mehr dazu in der Datenschutzerklärung von Disqus.

Wir verwenden Youtube als Kanal für Videos. Diese Videos werden auf der Seite eingebunden, damit werden Informationen darüber welche Videos angesehen werden, zurück an Youtube übertragen. Falls Sie das nicht wollen, können sie Cookies und/oder Flash-Inhalte im Browser verweigern. Mehr dazu in der Datenschutzerklärung von Youtube. Damit Sie uns direkt „liken“ können und Inhalte weiterverbreiten können, bieten wir Ihnen an zahlreichen Stellen Funktionen an, die direkt von Facebook, Twitter, Instagram, Tumblr  oder ähnlichen Diensten zur Verfügung gestellt werden. Sollten Sie weiters mit Ihrem Social Media Account eingeloggt sein und auf Like / Share klicken, dann werden die Inhalte direkt veröffentlicht. Weiters verwenden wir auf manchen unserer Seiten “Zählpixel”, die uns helfen, jene Menschen besser zu erreichen, die sich für unsere Themen interessieren (z.B. auf Facebook). Mehr dazu in der Datenschutzerklärung von Facebook, Twitter und Tumblr.

Zahlungsdienstleister (für Mitgliedsbeiträge und Spenden)

Wir finanzieren unsere Wahlkämpfe größtenteils über Spenden und versuchen auf diesem Wege Geld für unsere Anliegen zu sammeln. Um den Prozess so einfach wie möglich zu gestalten, haben wir PayPal und Fundraising Box als Bezahllösung integriert. Bei jedem Aufruf der Seiten werden Informationen an PayPal bzw. Fundraising Box geschickt. Mehr dazu in der Datenschutzerklärung von PayPal bzw. FundraisingBox.

Speicherdauer – Löschkonzept

Grundsätzlich gelten NEOS-weit bei der Sammlung und Verarbeitung personenbezogener Daten die Prämisse der Sparsamkeit und Angemessenheit.

Jede Abteilung notiert für personenbezogenen Daten, die dort verarbeitet werden, Art der Daten, ob es sich um besondere personenbezogene Daten handelt, Aufbewahrungspflicht sowie Speicherart/-ort. Die Daten werden entsprechend gruppiert, für Auftragsdatenverarbeitung werden eigene Gruppen gebildet. 

Personenbezogene Daten von Kontakten werden spätestens 3 Jahre nach der letzten Interaktion gelöscht, Mitgliederdaten spätestens 3 Jahre nach Ende der Mitgliedschaft. Löschbegehren wird umgehend, längstens aber in der dafür vorgesehenen Frist, entsprochen. Der Löschvorgang wird schriftlich bestätigt und abgelegt.

Bei Kandidat_innen, Mandatar_innen, (ehrenamtlichen) Mitarbeiter_innen, Lieferant_innen oder sonstigen auf vertraglicher Grundlage mit NEOS in Verbindung stehenden Personen werden gemäß der gesetzlichen Aufbewahrungsfristen archiviert.

Wir führen in regelmäßigen Abständen, zumindest einmal pro Jahr per 31. März, entsprechend protokollierte und dokumentierte "Löschläufe" durch, um veraltete Kontakte zu entfernen.

Für Fehlerfälle wurde ein Team eingerichtet, das per datenschutz@neos.eu erreichbar ist. Für Datenschutz-Verstöße wurde ein eigener Notfallplan erstellt, der in allen Büroräumlichkeiten ausgehängt wird.

Vor jeder Auftragsdatenverarbeitung herausgeben werden die vorliegenden Verträge geprüft, ob ausreichende Klauseln zur Löschung enthalten sind. Gegebenenfalls werden die Verträge vor der Datenübermittlung angepasst. Bei Bedarf wird ein Löschprotokoll angefordert.

FAQ

Was ist die Datenschutzgrundverordnung und was ist neu?

Datenschutz ist ein Grundrecht im Verfassungsrang. Die Datenschutzgrundverordnung folgt dem Datenschutzgesetz 2000 nach. Als „Dachverordnung“ umspannt die DSGVO dutzende Materien und Gesetze.  Sie verschärft bestehende Regelungen, um personenbezogene Daten transparenter und besser dokumentiert zu sammeln.

Was ist das Ziel der Datenschutzgrundverordnung?

Durch die neue Regelung soll die Datensammlung auf das nötige Ausmaß reduziert werden. Gleichzeitig werden Betroffenenrechte gestärkt, man soll also schneller Auskünfte erhalten und Daten löschen lassen können. Um dies sicherzustellen, werden empfindliche Strafen (bis zu 20 Mio Euro) eingeführt.

Wann dürfen Kontakte gesammelt werden?

Personenbezogene Daten dürfen nur erfasst werden, wenn die betroffene Person (schriftlich) einwilligt, ein Vertrag (z.B. Bestellung) bzw. eine rechtliche Verpflichtung (z.B. Behördenmeldung) erfüllt oder ein berechtigtes Interesse vorliegt (z.B. Veröffentlichung von Kandidat_innenlisten). Auch zum Schutz lebenswichtiger Interessen (Datenaufnahme nach Unfall) ist die Sammlung gestattet.

Wie dürfen Daten weitergegeben werden?

Innerhalb von NEOS in Form eines sogenannten “Joint Controllership” als „gemeinsam verantwortliche Verarbeiter“. sowie an Datenauftragsverarbeiter (wie etwa die Post) nach entsprechenden vertraglichen Vereinbarungen. Ansonsten ist wie bisher die Weitergabe von Daten untersagt.

Sind alle Informationen gleich sensibel?

Nein. Wie bisher gilt: Informationen, die öffentlich sind, sind selten schützenswert. Alle anderen Daten müssen jedoch nach dem „need-to-know“-Prinzip behandelt und sicher verwahrt werden. Besonderen Schutz genießen sensible Daten, deren Verarbeitung immer explizit zugestimmt werden muss.

Beispiele: religiöse Überzeugung im Personalakt (für die Inanspruchnahme von Feiertage), Gesundheitsdaten (Krankmeldung) oder Strafregisterauszüge (Kandidaturen). Weltanschauliche Überzeugungen und politische Ansichten gelten auch als sensibel, wobei hier für Parteien im Sinne der Wahlwerbung ein „berechtigtes Interesse“ besteht (wie bei jedweder Verarbeitung basierend auf ausdrücklicher Einwilligung).

Welche Pflichten hat die Organisation?

Die Organisation hat ein detailliertes Verfahrensverzeichnis zu führen, die Datensicherheit sicherzustellen, einen Datenschutzbeauftragten zu ernennen, Kontakte verpflichtend zu informieren und die Einhaltung der gesetzlichen Verpflichtungen laufend zu kontrollieren.

Welche Rechte haben Betroffene?

An den Betroffenenrechten ändert sich wenig, allerdings gibt es kürzere Fristen und bessere Durchsetzungsmöglichkeiten. Jede_r Kontakt hat das Recht auf Auskunft (binnen 4 Wochen), Richtigstellung, Löschung und Widerspruch. „Automatische Entscheidungen“ im Rahmen von Profiling müssen offengelegt werden. Die Übertragbarkeit der Daten muss sichergestellt sein.

Wo werden Datenanwendungen gemeldet?

Das bisherige Register auf DVR-Online entfällt, jede Organisation muss selbst ein detailliertes Register von Datenanwendungen (inklusive aller Informationsfelder und Berechtigungen) führen und der Datenschutzbehörde bei Bedarf übermitteln – das sogenannte „Verarbeitungsverzeichnis“.

Wer ist für die Einhaltung des Datenschutzes verantwortlich?

Aus rechtlicher Sicht die gemeldeten Verantwortlichen (i.d.R. die Geschäftsführung). Über die Einhaltung wacht idealerweise ein_e Datenschutzbeauftragt_e ohne operative Einbindung in die Organisation. Diese_r kann entitätenübergreifend eingesetzt werden und ist in erster Linie für die Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten zuständig, außerdem Kontakt zur Datenschutzbehörde.

 

Joint-Controllership-Vereinbarung gem. DSGVO Art. 26 

Die NEOS Entitäten (Parlamentsklub, NEOS Lab, Politische Partei, Rathausklub Wien, Landtagsfraktionen Vorarlberg und NÖ, Landtagsklubs Salzburg und Tirol, Gemeinderatsfraktionen Linz und Salzburg, JUNOS/JUNOS Studierende und UNOS sowie einzelne Mandatar_innen) betreiben Datenverarbeitungssysteme und beauftragen Datenauftragsverarbeiter gemeinsam. Diese Entscheidung der zentralen, gemeinsamen Verarbeitung mittels einer gemeinsam betriebenen Kontaktdatenbank (NEOS CRM) wurde getroffen, da auf diese Weise eine bessere organisatorische Durchführung von Auskunfts-, Änderungs- oder Löschbegehren erreicht wird; unter Berücksichtigung der ursprünglichen Erstkontaktinstanz und übergreifend innerhalb der Organisationsstruktur von NEOS.

Die Hauptverantwortung trägt organisatorisch wie rechtlich NEOS (Politische Partei), wobei die einzelnen Aufgaben, Verantwortlichkeiten und Pflichten klar verteilt sind. Als eigenständige Rechtskörper (Rechtsgrundlagen: PartG, VereinsG , GOG-NR, Landtags- und Gemeinderats-Geschäftsordnungen) sind die Organisationen durch rechtliche Bestimmungen und interne Gremien eng miteinander verschränkt und stehen einander im Sinne eines "Verbunds" nahe. 

Zugriffsrechte

Die jeweilige Entität bzw. Teilorganisation hat im NEOS CRM sowohl in der internen Bearbeitung als auch bei Beauftragung externer Anbieter strikt auf den jeweiligen organisatorischen und regionalen Bereich eingegrenzte Zugriffsrechte, die für jedes Feld individuell definiert sind. Grundsätzlich unterliegt die Sicht- und Bearbeitbarkeit von Kontakten dem Umfang der Einwilligungserklärung des jeweiligen Kontakts. Je weniger umfassend diese ist, desto weniger Personen haben gemäß der hinterlegten Entität/Organisation, Rolle und Region Zugriff.

Aufgabenverteilung

Jede Entität/Teilorganisation hat die Aufgabe, Kontakte bei Bedarf gesetzeskonform in die Verarbeitungssysteme einzupflegen, sofern dies nicht direkt durch die Personen selbst erfolgt. Bei analogen Unterschriftenlisten ist die im Impressum geführte Entität/Teilorganisation für den entsprechenden Zustimmungstext verantwortlich. Die ordnungsgemäße und gesetzeskonforme Verwendung der Daten obliegt den jeweiligen Entitäten/Organisationsteilen. Mitarbeiter_innen, die mit personenbezogenen Daten arbeiten, sind entsprechend zu schulen und müssen die Belehrung über und Einhaltung von Datenschutzbestimmungen per Unterschrift bestätigen.

Sämtliche Betroffenenrechte (Auskunftsrecht, Berichtigungsrecht, Widerspruchsrecht, Recht auf Datenübertragbarkeit, Widerspruch oder Löschbegehren) können persönlich an allen Standorten, per Brief oder per Mail an datenschutz@neos.eu geltend gemacht werden. Das Postfach wird übergreifend bearbeitet, die Hauptverantwortung liegt bei der Politischen Partei. Bitte beachten Sie die Ausweispflicht bei der Geltendmachung von Betroffenenrechten.

Datensicherheit

Wir tun alles, um personenbezogene Daten zu schützen. Dazu zählen Maßnahmen, um die Manipulation, den Verlust, die Zerstörung oder den Zugriff durch unberechtigte Personen zu verhindern. Dazu setzen wir technische (wie Zutrittskontrollen, versperrte Ablagen, Passwortrichtlinien etc.), organisatorische (wie Schulungen und Nutzungsrichtlinien) sowie rechtliche Rahmenbedingungen (Vertraulichkeitsvereinbarungen, Datenschutzvereinbarungen, Auftragsdatenverarbeitungsverträge) , die das verhindern sollen. Alle Daten werden auf eigenen Servern bzw. auf den Servern externer Dienstleister, mit denen Verträge zur Auftragsdatenverarbeitung nach § 10 Datenschutzgesetz (DSG) mit entsprechender Prüfung abgeschlossen wurden, gespeichert. Alle unsere Systeme sind samt berechtigten Nutzergruppen in einem Verarbeitungsverzeichnis erfasst und detailliert beschrieben.