(X) Beschäftigte

(X) Kunden

(X) Interessenten

(X) Lieferanten

() Anwalt

() Steuerberater

(X) Kreditoren

(X) Debitoren

(X) Name

(X) Adressdaten

(X) Kontaktdaten

(X) Bankverbindung

() Geburtsdatum

() Kfz-Kennzeichen

() Interessentendaten

(X) Beschäftigtendaten

(X) Lieferantendaten

(X) Kundendaten

(X) Buchungsdaten

() Daten Mahnwesen

(X) Saldenlisten

(X) Bilanzen

(X) intern: z.B. Buchhaltung, Geschäftsführung

() extern: z.B. Finanzbehörden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)

() findet nicht statt und ist auch nicht geplant

(X) findet statt, und zwar

() an: … [Name des Empfängers]

(X) innerhalb Deutschlands

() innerhalb der EU / EWR

() in ein Drittland: … [Name des Landes]

() an eine internationale Organisation: … 	[Name der Organisation]

() Angabe geeigneter Garantien (bei 	Übermittlung an Drittland oder 	internationale Organisation): …

() 6 Jahre gem. Handelsrecht

() 8 Jahre gem. Handelsrecht

(X) 10 Jahre gem. Steuerrecht

() 30 Jahre gem. Sozialrecht

() 6 Monate für Unterlagen abgelehnter Bewerber gem. AGG

() 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.)

() 30 Tage gem. Bundesmeldegesetz

() 2 Jahre wegen Gewährleistungsvorschriften

() Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)

() Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)

() Einwilligung (Zustimmungserklärung des Betroffenen)

() Einwilligung dokumentiert

(X) Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)

() Schutz lebenswichtiger Interessen (Behandlung von Schwerverletzten im Krankenhaus…)

() Interessenabwägung (postalische Direktwerbung, Verhinderung von Betrug…)

() Einwilligung (Zustimmungserklärung des Betroffenen)

() Einwilligung dokumentiert

(X) aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschäftigten…)

() Schutz lebenswichtiger Interessen (Behandlung von Schwerverletzten im Krankenhaus…)

() Mitglieder von Organisationen ohne Gewinnerzielungsabsicht (Daten von Mitgliedern gemeinnütziger Organisationen…)

(X) vom Betroffenen offensichtlich öffentlich gemachte Daten (Daten von öffentlich zugänglichem Facebook-Profil des Betroffenen…)

() Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Durchführung eines Schadensersatzprozesses…)

() erhebliches öffentliches Interesse (Informationen der öffentlichen Verwaltung…)

() Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin (medizinische Forschung, Qualitätskontrolle im Medizinbereich, Amtsarzt…)

() öffentliches Interesse im Bereich der öffentlichen Gesundheit (Krankenversicherung…)

() Archivzwecke / wissenschaftliche oder historische Forschungszwecke / statistische Zwecke (Bundesamt für Statistik, Bundesarchiv, sonstige behördliche Archive…)

(X) Datenschutzhinweise bei Erstkontakt übermittelt, und zwar

(X) per E-Mail (PDF-Anhang)

(X) per Website-Link

() telefonisch

() persönlich

() Datenschutzhinweise bei Einholung der Einwilligung erteilt

() Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag

Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

• Zwecke der Verarbeitung
• Kategorien personenbezogener Daten
• Empfänger oder Kategorien von Empfängern
• geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten
• Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde
• Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)
• ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

() es werden keine AV eingesetzt

(X) im Rahmen dieser Verarbeitungstätigkeit werden folgende AV eingesetzt: - Dienstleister Hetzner Online AG (AV-Vertrag besteht)

(X) TOMs (s. Anhang)

() zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:

• Original-Papierakten in Safe
• Backup-Datenträger in Safe
• Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails (s. Vereinbarung vom …)
• Datenzugriff über gesondertes Berechtigungskonzept

…

Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.

In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert.

Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert.

Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

(X) keine DSFA erforderlich, da Verarbeitungstätigkeit auf „Whitelist“ der Aufsichtsbehörden

() keine DSFA erforderlich aus sonstigen Gründen: … [z.B. „kein hohes Risiko“ etc.]

() DSFA erforderlich, da Verarbeitungstätigkeit auf „Blacklist“ der Aufsichtsbehörden

() DSFA erforderlich wegen

() Verwendung neuer Technologien

() voraussichtlich hohem Risiko durch 	Art, Umfang, Umstand oder Zweck der 	Verarbeitung

() DSFA dokumentiert

Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.

Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung [alternativ: „durch den Datenschutzbeauftragten“, „durch einen externen Referenten“, „mittels Software“, „mittels E-Learning“, „mittels allen Beschäftigten zur Verfügung stehender Fachliteratur“ etc.].

Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.