Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| dsgvo-verarbeitungsverarbeitungsverzeichnis:vorlage [2022/08/08 15:38] – ykorzikowski | dsgvo-verarbeitungsverarbeitungsverzeichnis:vorlage [2022/08/08 16:44] (current) – old revision restored (2022/08/08 15:54) ykorzikowski | ||
|---|---|---|---|
| Line 3: | Line 3: | ||
| **Datum der letzen Änderung**: | **Datum der letzen Änderung**: | ||
| - | **Beschreibung der Verarbeitungstätigkeit: | + | ## Beschreibung der Verarbeitungstätigkeit |
| + | |||
| + | ## Kategorien betroffener Personen | ||
| + | |||
| + | () Beschäftigte | ||
| + | |||
| + | (X) Kunden | ||
| + | |||
| + | () Interessenten | ||
| + | |||
| + | () Lieferanten | ||
| + | |||
| + | () Anwalt | ||
| + | |||
| + | () Steuerberater | ||
| + | |||
| + | () Kreditoren | ||
| + | |||
| + | () Debitoren | ||
| + | |||
| + | ## Kategorien personenbezogener Daten | ||
| + | |||
| + | () Name | ||
| + | |||
| + | () Adressdaten | ||
| + | |||
| + | () Kontaktdaten | ||
| + | |||
| + | () Bankverbindung | ||
| + | |||
| + | () Geburtsdatum | ||
| + | |||
| + | () Kfz-Kennzeichen | ||
| + | |||
| + | () Interessentendaten | ||
| + | |||
| + | () Beschäftigtendaten | ||
| + | |||
| + | () Lieferantendaten | ||
| + | |||
| + | () Kundendaten | ||
| + | |||
| + | () Buchungsdaten | ||
| + | |||
| + | () Daten Mahnwesen | ||
| + | |||
| + | () Saldenlisten | ||
| + | |||
| + | () Bilanzen | ||
| + | |||
| + | () … | ||
| + | |||
| + | ## Kategorien von Empfängern der personenbezogenen Daten | ||
| + | |||
| + | () intern: z.B. Buchhaltung, | ||
| + | |||
| + | () extern: z.B. Finanzbehörden, | ||
| + | |||
| + | ## Übermittlung der Daten an Dritte | ||
| + | |||
| + | () findet nicht statt und ist auch nicht geplant | ||
| + | |||
| + | () findet statt, und zwar | ||
| + | |||
| + | () an: … [Name des Empfängers] | ||
| + | |||
| + | () innerhalb Deutschlands | ||
| + | |||
| + | () innerhalb der EU / EWR | ||
| + | |||
| + | () in ein Drittland: … [Name des Landes] | ||
| + | |||
| + | () an eine internationale Organisation: | ||
| + | |||
| + | () Angabe geeigneter Garantien (bei Übermittlung an Drittland oder internationale Organisation): | ||
| + | |||
| + | ## Fristen zur Löschung der versch. Datenkategorien | ||
| + | |||
| + | () 6 Jahre gem. Handelsrecht | ||
| + | |||
| + | () 8 Jahre gem. Handelsrecht | ||
| + | |||
| + | () 10 Jahre gem. Steuerrecht | ||
| + | |||
| + | () 30 Jahre gem. Sozialrecht | ||
| + | |||
| + | () 6 Monate für Unterlagen abgelehnter Bewerber gem. AGG | ||
| + | |||
| + | () 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.) | ||
| + | |||
| + | () 30 Tage gem. Bundesmeldegesetz | ||
| + | |||
| + | () 2 Jahre wegen Gewährleistungsvorschriften | ||
| + | |||
| + | () … | ||
| + | |||
| + | ## Beschreibung der technischen und organisatorischen Maßnahmen (TOM) | ||
| + | |||
| + | ## Rechtsgrundlage für die Verarbeitungstätigkeit | ||
| + | |||
| + | () Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…) | ||
| + | |||
| + | () Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…) | ||
| + | |||
| + | () Einwilligung (Zustimmungserklärung des Betroffenen) | ||
| + | |||
| + | () Einwilligung dokumentiert | ||
| + | |||
| + | () Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…) | ||
| + | |||
| + | () Schutz lebenswichtiger Interessen (Behandlung von Schwerverletzten im Krankenhaus…) | ||
| + | |||
| + | () Interessenabwägung (postalische Direktwerbung, | ||
| + | |||
| + | () … | ||
| + | |||
| + | ## Rechtsgrundlage für die Verarbeitung von besonderen personenbezogenen Daten | ||
| + | |||
| + | () Einwilligung (Zustimmungserklärung des Betroffenen) | ||
| + | |||
| + | () Einwilligung dokumentiert | ||
| + | |||
| + | () aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschäftigten…) | ||
| + | |||
| + | () Schutz lebenswichtiger Interessen (Behandlung von Schwerverletzten im Krankenhaus…) | ||
| + | |||
| + | () Mitglieder von Organisationen ohne Gewinnerzielungsabsicht (Daten von Mitgliedern gemeinnütziger Organisationen…) | ||
| + | |||
| + | () vom Betroffenen offensichtlich öffentlich gemachte Daten (Daten von öffentlich zugänglichem Facebook-Profil des Betroffenen…) | ||
| + | |||
| + | () Geltendmachung, | ||
| + | |||
| + | () erhebliches öffentliches Interesse (Informationen der öffentlichen Verwaltung…) | ||
| + | |||
| + | () Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin (medizinische Forschung, Qualitätskontrolle im Medizinbereich, | ||
| + | |||
| + | () öffentliches Interesse im Bereich der öffentlichen Gesundheit (Krankenversicherung…) | ||
| + | |||
| + | () Archivzwecke / wissenschaftliche oder historische Forschungszwecke / statistische Zwecke (Bundesamt für Statistik, Bundesarchiv, | ||
| + | |||
| + | # Dokumentation allg. Informationspflicht | ||
| + | |||
| + | () Datenschutzhinweise bei Erstkontakt übermittelt, | ||
| + | |||
| + | () per E-Mail (PDF-Anhang) | ||
| + | |||
| + | () per Website-Link | ||
| + | |||
| + | () telefonisch | ||
| + | |||
| + | () persönlich | ||
| + | |||
| + | () Datenschutzhinweise bei Einholung der Einwilligung erteilt | ||
| + | |||
| + | () Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag | ||
| + | |||
| + | # Dokumentation Prozess Auskunftsanfragen | ||
| + | |||
| + | Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen: | ||
| + | |||
| + | - Zwecke der Verarbeitung | ||
| + | |||
| + | - Kategorien personenbezogener Daten | ||
| + | |||
| + | - Empfänger oder Kategorien von Empfängern | ||
| + | |||
| + | - geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten | ||
| + | |||
| + | - Recht auf Berichtigung, | ||
| + | zuständiger Aufsichtsbehörde | ||
| + | |||
| + | - Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden) | ||
| + | |||
| + | - ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person | ||
| + | |||
| + | Ein entsprechender Prozess ist installiert und dokumentiert, | ||
| + | |||
| + | # Umsetzung Grundsatz Speicherbegrenzung | ||
| + | |||
| + | Die Daten der betroffenen Personen werden nur so lange gespeichert, | ||
| + | |||
| + | # Auftragsverarbeiter (AV): | ||
| + | |||
| + | () es werden keine AV eingesetzt | ||
| + | |||
| + | () im Rahmen dieser Verarbeitungstätigkeit werden folgende AV eingesetzt: | ||
| + | - Dienstleister Hetzner Online AG (AV-Vertrag besteht) | ||
| + | - Dienstleister B (AV-Vertrag besteht) | ||
| + | - Dienstleister C (kein AV-Vertrag erforderlich, | ||
| + | … | ||
| + | |||
| + | # Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit: | ||
| + | |||
| + | () TOMs (s. Anhang) | ||
| + | |||
| + | () zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt: | ||
| + | |||
| + | - Original-Papierakten in Safe | ||
| + | |||
| + | - Backup-Datenträger in Safe | ||
| + | |||
| + | - Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails (s. Vereinbarung vom …) | ||
| + | |||
| + | - Datenzugriff über gesondertes Berechtigungskonzept | ||
| + | |||
| + | … | ||
| + | |||
| + | # Dokumentation Prozess Datenpannen | ||
| + | |||
| + | Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, | ||
| + | |||
| + | Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen. | ||
| + | |||
| + | In jedem Fall werden die Geschäftsführung und der System-Administrator | ||
| + | |||
| + | Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, | ||
| + | |||
| + | Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert. | ||
| + | |||
| + | # Datenschutz-Folgenabschätzung (DSFA) | ||
| + | |||
| + | () keine DSFA erforderlich, | ||
| + | |||
| + | () keine DSFA erforderlich aus sonstigen Gründen: … [z.B. „kein hohes Risiko“ etc.] | ||
| + | |||
| + | () DSFA erforderlich, | ||
| + | |||
| + | () DSFA erforderlich wegen | ||
| + | () Verwendung neuer Technologien | ||
| + | |||
| + | () voraussichtlich hohem Risiko durch Art, Umfang, Umstand oder Zweck der Verarbeitung | ||
| + | |||
| + | () DSFA dokumentiert | ||
| + | |||
| + | # Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten | ||
| + | |||
| + | Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen. | ||
| + | |||
| + | Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung [alternativ: | ||
| + | |||
| + | Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert. | ||
| + | |||
| + | |||
| + | |||