Datenschutz Infos


 

Wandergruppe Schauinsland Freiburg-Kappel e.V.  Am Vogelsang 8 in 79254 Oberried

 

 

 

Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche

 

 

 

Angaben zum Verantwortlichen

 

Name bzw. Unternehmensbezeichnung inkl. Rechtsformzusatz

1.       Vorstand Barhofer Manfred

ggf. vertretungsberechtigte Person des Unternehmens (z.B. GmbH-Geschäftsführer):

2.       Vorstand Janoff Susanne

Anschrift:

Am Vogelsang 8 in 79254 Oberried

Telefonnr.:

07661 -4042

Faxnr.:

07661 - 7350

E-Mail-Adresse:

barhofer@wandergruppe-schauinsland.de

 

 

Angaben zum Datenschutzbeauftragten (DSB):

 

Entfällt nicht mehr wie 10 Personen

Vor- und Nachname:

 

Anschrift:

 

Telefonnr.:

 

E-Mail-Adresse:

 

interner oder externer DSB?

Xo intern oder o extern

 

 


 

 

- Verarbeitungstätigkeiten -

 

[

 

 

 

Datum der Anlegung: 18.10.2018

Datum der letzten Änderung:

 

 

Beschreibung der Verarbeitungstätigkeit:

z.B.: Finanzbuchhaltung

 

Zweck der Verarbeitungstätigkeit:

z.B.:

- Durchführung der Finanzbuchhaltung

- Umsetzung der gesetzlichen Vorgaben (GoBD)

 

Kategorien betroffener Personen:

o Beschäftigte

o Kunden

o Interessenten

o Lieferanten

o Anwalt

o Steuerberater

o Kreditoren

o Debitoren

o

 

Kategorien personenbezogener Daten:

o Name

o Adressdaten

o Kontaktdaten

o Bankverbindung

o Geburtsdatum

o Interessentendaten

o Beschäftigtendaten

o Lieferantendaten

o Kundendaten

o Buchungsdaten

o Daten Mahnwesen

o Saldenlisten

o Bilanzen

o

 

 

 

Kategorien von Empfängern der personenbezogenen Daten:

o intern: z.B. Buchhaltung, Geschäftsführung

 

Übermittlung der Daten an Dritte:

 

Fristen zur Löschung der versch. Datenkategorien:

o 6 Jahre gem. Handelsrecht

 

 

Beschreibung der technischen und organisatorischen Maßnahmen (TOM):

s. Anhang am Ende dieses Dokuments (ab S. 7)

 

Rechtsgrundlage für die Verarbeitungstätigkeit:

o Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)

o Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)

o Einwilligung (Zustimmungserklärung des Betroffenen)

                o Einwilligung dokumentiert

o Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)

 

Rechtsgrundlage für die Verarbeitung von besonderen personenbezogenen Daten:

o Einwilligung (Zustimmungserklärung des Betroffenen)

                o Einwilligung dokumentiert

o aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschäftigten…)

o Mitglieder von Organisationen ohne Gewinnerzielungsabsicht (Daten von Mitgliedern gemeinnütziger Organisationen…)

o vom Betroffenen offensichtlich öffentlich gemachte Daten (Daten von öffentlich zugänglichem Facebook-Profil des Betroffenen…)

o Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Durchführung eines Schadensersatzprozesses…)

o erhebliches öffentliches Interesse (Informationen der öffentlichen Verwaltung…)

 

Dokumentation allg. Informationspflicht:

o Datenschutzhinweise bei Erstkontakt übermittelt, und zwar

                o per E-Mail (PDF-Anhang)

                o per Website-Link

                o telefonisch

                o persönlich

o Datenschutzhinweise bei Einholung der Einwilligung erteilt

o Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag

 

Dokumentation Prozess Auskunftsanfragen:

Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

- Zwecke der Verarbeitung

- Kategorien personenbezogener Daten

- Empfänger oder Kategorien von Empfängern

- geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten

- Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde

- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)

- ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

 

Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.

 

Umsetzung Grundsatz Speicherbegrenzung:

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

 

 

 

Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:

o TOMs (s. Anhang)

o zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:

- Original-Papierakten in Safe

- Backup-Datenträger in Safe

- Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails (s. Vereinbarung vom …)

- Datenzugriff über gesondertes Berechtigungskonzept

 

Dokumentation Prozess Datenpannen:

Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.

In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert. Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

 

Datenschutz-Folgenabschätzung (DSFA):

o keine DSFA erforderlich, da Verarbeitungstätigkeit auf „Whitelist“ der Aufsichtsbehörden

o keine DSFA erforderlich aus sonstigen Gründen:  (kein hohes Risiko“.]

 

Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten:

Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.

Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung  Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.

 

 

 


 

 

Anhang zum Verarbeitungsverzeichnis – TOM

 

 

 

 

 

1. Gewährleistung der Vertraulichkeit

 

[

 

Zutrittskontrolle:

(Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

- Alarmanlage

- mechanische Fenstersicherungen

- manuelles Schließsystem

- Schließsystem mit Sicherheitsschlössern

- Videoüberwachung

- Verschließen der Türen bei Abwesenheit

 

Zugangskontrolle:

(Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.)

- Pflicht zur Passwortnutzung

- Authentifikation durch biometrische Verfahren (Fingerabdruck, Irisscan…)

- Authentifikation durch Benutzername und Passwort

 

Zugriffskontrolle:

(Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)

- Nutzer-Berechtigungskonzept

- Verwaltung der Nutzerrechte durch Systemadministrator

- Anzahl der Administratoren auf das Notwendigste reduziert

- Verwenden einer Passwortrichtlinie

- ordnungsgemäße Vernichtung von Datenträgern

- Einsatz von Aktenvernichtern

- Aufbewahrung von Aktenordnern in abschließbaren Schränken

 

Trennungsgebot:

(Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.)

 

- logische Mandantentrennung

- Datensätze mit Zweckattributen/Datenfeldern

- Trennung der Zuordnungsdaten und der eigentlichen Daten auf einem getrennten System bei Pseudonymisierung

- Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept

 

Auftragskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)

- sorgfältige Auswahl des Auftragnehmers (-

- Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit

- Datenschutzbeauftragter beim Auftragnehmer

- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

 

Pseudonymisierung:

- Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister

 

Verschlüsselung:

- Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker

- Nutzung von hardwareseitig verschlüsselten USB-Festplatten

 

Zertifizierung (z.B. ISO):

 

 

 

 

2. Gewährleistung der Integrität

 

 

Eingabekontrolle:

(Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)

- Protokollierung der Eingabe, Änderung und Löschung von Daten im System

- individuelle Benutzernamen für Nutzer

- sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden

- Nachvollziehbarkeit durch Berechtigungskonzept

 

Weitergabekontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.)

- Nutzung von Standleitungen bzw. VPN-Tunneln

- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich)

- verschlüsselte E-Mail-Übertragung (SSL/TLS)

- Verschlüsselung E-Mail-Inhalte (Software-Zertifikat)

- vertraglich vereinbarte Rechte und Pflichten in Bezug auf die Datenweitergabe

- festgelegte Löschfristen

- sichere Transportverpackungen

- sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern

- Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion

- Regelungen zum sicheren Transport von Datenträgern

 

 

 

 

3. Gewährleistung der Verfügbarkeit

 

 

 

Verfügbarkeitskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.)

- Datensicherungs-Konzept

- regelmäßiges Testen der Funktionsweise der Datensicherung

- Notfallkonzept

- Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort

 

 

 

 

4. Gewährleistung der Belastbarkeit der Systeme

 

[

 

Belastbarkeit der IT-Systeme:

- Antiviren-Software

- Hardware-Firewall

- Software-Firewall

 

 

 

 

5. Wiederherstellung der Verfügbarkeit

 

[

 

Wiederherstellbarkeit von IT-Systemen:

- sorgfältig ausgewählter interner System-Administrator

- Vorhaltung von Ersatz-Hardware / Server

- Vorhaltung von Ersatz-Hardware /

 

 

 

 

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

 

[

 

Informations-Sicherheits-Management-System (ISMS):

- regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Vorstand und System-Administrator []

 

 

 

Wandergruppe Schauinsland Freiburg-Kappel e.V.  Am Vogelsang 8 in 79254 Oberried

 

 

 allg. Datenschutzhinweise

 

 Datenschutzhinweise

 

Die Wandergruppe Schauinsland Freiburg-Kappel e.V.  1. Vorstand Barhofer Manfred,

 

 Am Vogelsang 8 in 79254 Oberried. Tel. 07661-4042

 

 Inhalt:

 

1. Name und Kontaktdaten der verantwortlichen Stelle

 

2. Erhebung und Speicherung personenbezogener Daten; Art, Zweck und Verwendung

 

3. Weitergabe von Daten an Dritte

 

4. Ihre Rechte als betroffene Person

 

5. Ihr Recht auf Widerspruch

 

6. Datenverarbeitung über unsere Website

  

1. Name und Kontaktdaten der verantwortlichen Stelle

 

Diese Datenschutzhinweise gelten für uns,

 

Wandergruppe Schauinsland Freiburg-Kappel e.V.

 

1.       Vorstand:  Barhofer Manfred

 

Am Vogelsang 8

 

79254 Oberried

 

Tel.: 07661 - 4042

 

Fax: 07661 - 7350

 

E-Mail: barhofer@wandergruppe-schauinsland.de

 

als verantwortliche Stelle.

  

2. Erhebung und Speicherung personenbezogener Daten; Art, Zweck und Verwendung

 

Wenn Sie uns beauftragen, werden folgende Informationen erhoben:

 

- Anrede, Titel, Vorname, Nachname

 

- Anschrift

 

- E-Mail-Adresse

 

- Telefonnummer (Festnetz und/oder Mobilfunk)

 

- ggf. Faxnummer (wenn vorhanden & gewünscht)

 

- ggf. Kontodaten

 

- ggf. Geburtsdatum

 

Außerdem werden alle Informationen erhoben, die für die Erfüllung des Vertrages mit Ihnen notwendig sind.

 

Die Erhebung der personenbezogenen Daten] erfolgt,

 

- um Sie als Kunden identifizieren zu können;

 

- um Sie angemessen beraten zu können;

 

- um unsere vertraglichen Pflichten Ihnen gegenüber erfüllen zu können;

 

- um unseren gesetzlichen Verpflichtungen nachkommen zu können:

 

- zur Korrespondenz mit Ihnen;

 

- zur Rechnungsstellung bzw. ggf. im Rahmen des Mahnwesens;

 

- zu Zwecken der zulässigen Direktwerbung;

 

- zur Geltendmachung etwaiger Ansprüche gegen Sie.

 

Die Verarbeitung der personenbezogenen Daten erfolgt anlässlich Ihrer Anfrage bei uns und ist zu den genannten Zwecken für die Bearbeitung Ihres Auftrags und für die Erfüllung von Verpflichtungen aus dem zugrundeliegenden Vertrag erforderlich.

 

Die erhobenen personenbezogenen Daten werden bis zum Ablauf der gesetzlichen Aufbewahrungspflicht für Kaufleute (6, 8 oder 10 Jahre nach Ablauf des Kalenderjahres, in dem das Vertragsverhältnis beendet wurde,) gespeichert und danach gelöscht. Dies gilt ausnahmsweise nicht, wenn wir aufgrund von steuer- oder handelsrechtlichen Aufbewahrungspflichten (gemäß HGB, StGB oder AO) zu einer längeren Speicherung verpflichtet sind oder wenn Sie in eine darüber hinausgehende Speicherung eingewilligt haben.

 

 

 

 

 

3. Weitergabe von Daten an Dritte

 

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nicht statt. Ausnahmen hiervon gelten nur, soweit dies für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist. Hierzu zählt insbesondere die Weitergabe an von uns beauftragte Dienstleister (sog. Auftragsverarbeiter) oder sonstige Dritte, deren Tätigkeit für die Vertragsdurchführung erforderlich ist (z.B. Versandunternehmen oder Banken). Die weitergegebenen Daten dürfen von den Dritten ausschließlich zu den genannten Zwecken verwendet werden.

  

4. Ihre Rechte als betroffene Person

 Ihnen als von der Datenverarbeitung betroffenen Person stehen verschiedene Rechte zu:

 

- Widerrufsrecht: Von Ihnen erteilte Einwilligungen können Sie jederzeit uns gegenüber widerrufen. Die Datenverarbeitung, die auf der widerrufenen Einwilligung beruht, darf dann für die Zukunft nicht mehr fortgeführt werden.

 

- Auskunftsrecht: Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Dies gilt insbesondere für die Zwecke der Datenverarbeitungen, die Kategorien der personenbezogenen Daten, ggf. die Kategorien von Empfängern, die Speicherdauer, ggf. die Herkunft Ihrer Daten sowie ggf. für das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Details.

 

- Berichtigungsrecht: Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen.

 

- Löschungsrecht: Sie können die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen, soweit deren Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

 

- Recht auf Einschränkung der Verarbeitung: Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen. Außerdem steht Ihnen dieses Recht zu, wenn wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. Darüber hinaus haben Sie dieses Recht, wenn Sie Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten eingelegt haben;

 

- Recht auf Datenübertragbarkeit: Sie können verlangen, dass wir Ihnen Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format übermitteln. Alternativ können Sie die direkte Übermittlung der von Ihnen uns bereitgestellten personenbezogenen Daten an einen anderen Verantwortlichen verlangen, soweit dies möglich ist.

 

- Beschwerderecht: Sie können sich bei der für uns zuständigen Aufsichtsbehörde beschweren, z.B. wenn Sie der Ansicht sind, dass wir Ihre personenbezogenen Daten in unrechtmäßiger Weise verarbeiten. Die für uns zuständige Behörde ist: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg Königstr. 10a in 70173 Stuttgart.

 

www.baden-wuerttemberg.datenschutz.de

  

5. Ihr Recht auf Widerspruch

 Sofern wir Ihre personenbezogenen Daten auf Basis eines berechtigten Interesses verarbeiten, haben Sie das Recht, Widerspruch gegen diese Verarbeitung einzulegen. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine Mitteilung in Textform. Sie können uns also gerne anschreiben, ein Fax schicken oder sich per E-Mail an uns wenden. Unsere Kontaktdaten finden Sie unter Punkt 1. dieser Datenschutzhinweise.

  

6. Datenverarbeitung online

 

Auch über unsere Internetseite unter www.wandergruppe-schauinsland.de erfolgt die Verarbeitung bestimmter personenbezogener Daten, u.a. der IP-Adresse der Website-Besucher. Ergänzende Daten-schutzhinweise finden Sie daher online unter                                                                                      www.wandergruppe-schauinsland.de/datenschutz.