Datum der Anlegung: 01.01.2020
Datum der letzen Änderung: siehe Audit-Log
Beschreibung der Verarbeitungstätigkeit
Kategorien betroffener Personen
() Beschäftigte
(X) Kunden
() Interessenten
() Lieferanten
() Anwalt
() Steuerberater
() Kreditoren
() Debitoren
Kategorien personenbezogener Daten
() Name
() Adressdaten
() Kontaktdaten
() Bankverbindung
() Geburtsdatum
() Kfz-Kennzeichen
() Interessentendaten
() Beschäftigtendaten
() Lieferantendaten
() Kundendaten
() Buchungsdaten
() Daten Mahnwesen
() Saldenlisten
() Bilanzen
() …
Kategorien von Empfängern der personenbezogenen Daten
() intern: z.B. Buchhaltung, Geschäftsführung
() extern: z.B. Finanzbehörden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)
Übermittlung der Daten an Dritte
() findet nicht statt und ist auch nicht geplant
() findet statt, und zwar
() an: … [Name des Empfängers]
() innerhalb Deutschlands
() innerhalb der EU / EWR
() in ein Drittland: … [Name des Landes]
() an eine internationale Organisation: … [Name der Organisation]
() Angabe geeigneter Garantien (bei Übermittlung an Drittland oder internationale Organisation): …
Fristen zur Löschung der versch. Datenkategorien
() 6 Jahre gem. Handelsrecht
() 8 Jahre gem. Handelsrecht
() 10 Jahre gem. Steuerrecht
() 30 Jahre gem. Sozialrecht
() 6 Monate für Unterlagen abgelehnter Bewerber gem. AGG
() 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.)
() 30 Tage gem. Bundesmeldegesetz
() 2 Jahre wegen Gewährleistungsvorschriften
() …
Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
Rechtsgrundlage für die Verarbeitungstätigkeit
() Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)
() Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)
() Einwilligung (Zustimmungserklärung des Betroffenen)
() Einwilligung dokumentiert
() Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)
() Schutz lebenswichtiger Interessen (Behandlung von Schwerverletzten im Krankenhaus…)
() Interessenabwägung (postalische Direktwerbung, Verhinderung von Betrug…)
() …
Rechtsgrundlage für die Verarbeitung von besonderen personenbezogenen Daten
() Einwilligung (Zustimmungserklärung des Betroffenen)
() Einwilligung dokumentiert
() aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschäftigten…)
() Schutz lebenswichtiger Interessen (Behandlung von Schwerverletzten im Krankenhaus…)
() Mitglieder von Organisationen ohne Gewinnerzielungsabsicht (Daten von Mitgliedern gemeinnütziger Organisationen…)
() vom Betroffenen offensichtlich öffentlich gemachte Daten (Daten von öffentlich zugänglichem Facebook-Profil des Betroffenen…)
() Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Durchführung eines Schadensersatzprozesses…)
() erhebliches öffentliches Interesse (Informationen der öffentlichen Verwaltung…)
() Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin (medizinische Forschung, Qualitätskontrolle im Medizinbereich, Amtsarzt…)
() öffentliches Interesse im Bereich der öffentlichen Gesundheit (Krankenversicherung…)
() Archivzwecke / wissenschaftliche oder historische Forschungszwecke / statistische Zwecke (Bundesamt für Statistik, Bundesarchiv, sonstige behördliche Archive…)
Dokumentation allg. Informationspflicht
() Datenschutzhinweise bei Erstkontakt übermittelt, und zwar
() per E-Mail (PDF-Anhang)
() per Website-Link
() telefonisch
() persönlich
() Datenschutzhinweise bei Einholung der Einwilligung erteilt
() Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag
Dokumentation Prozess Auskunftsanfragen
Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:
- Zwecke der Verarbeitung
- Kategorien personenbezogener Daten
- Empfänger oder Kategorien von Empfängern
- geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten
- Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde
- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)
- ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.
Umsetzung Grundsatz Speicherbegrenzung
Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Auftragsverarbeiter (AV):
() es werden keine AV eingesetzt
() im Rahmen dieser Verarbeitungstätigkeit werden folgende AV eingesetzt: - Dienstleister Hetzner Online AG (AV-Vertrag besteht) - Dienstleister B (AV-Vertrag besteht) - Dienstleister C (kein AV-Vertrag erforderlich, da keine Weisungsgebundenheit aufgrund des Berufsrechts von C) …
Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:
() TOMs (s. Anhang)
() zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:
- Original-Papierakten in Safe
- Backup-Datenträger in Safe
- Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails (s. Vereinbarung vom …)
- Datenzugriff über gesondertes Berechtigungskonzept
…
Dokumentation Prozess Datenpannen
Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.
Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.
In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert.
Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert.
Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.
Datenschutz-Folgenabschätzung (DSFA)
() keine DSFA erforderlich, da Verarbeitungstätigkeit auf „Whitelist“ der Aufsichtsbehörden
() keine DSFA erforderlich aus sonstigen Gründen: … [z.B. „kein hohes Risiko“ etc.]
() DSFA erforderlich, da Verarbeitungstätigkeit auf „Blacklist“ der Aufsichtsbehörden
() DSFA erforderlich wegen
() Verwendung neuer Technologien
() voraussichtlich hohem Risiko durch Art, Umfang, Umstand oder Zweck der Verarbeitung
() DSFA dokumentiert
Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten
Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.
Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung [alternativ: „durch den Datenschutzbeauftragten“, „durch einen externen Referenten“, „mittels Software“, „mittels E-Learning“, „mittels allen Beschäftigten zur Verfügung stehender Fachliteratur“ etc.].
Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.