Datenschutz Infos

Angaben zum Verantwortlichen

Name bzw. Unternehmensbezeichnung inkl. Rechtsformzusatz

1.       Vorstand Barhofer Manfred

ggf. vertretungsberechtigte Person des Unternehmens (z.B. GmbH-Geschäftsführer):

2.       Vorstand Janoff Susanne

Anschrift:

Am Vogelsang 8 in 79254 Oberried

Telefonnr.:

07661 -4042

Faxnr.:

07661 - 7350

E-Mail-Adresse:

barhofer@wandergruppe-schauinsland.de

Angaben zum Datenschutzbeauftragten (DSB):

Entfällt nicht mehr wie 10 Personen

Vor- und Nachname:

Anschrift:

Telefonnr.:

E-Mail-Adresse:

interner oder externer DSB?

Xo intern oder o extern

Datum der Anlegung: 18.10.2018

Datum der letzten Änderung:

Beschreibung der Verarbeitungstätigkeit:

z.B.: Finanzbuchhaltung

Zweck der Verarbeitungstätigkeit:

z.B.:

- Durchführung der Finanzbuchhaltung

- Umsetzung der gesetzlichen Vorgaben (GoBD)

Kategorien betroffener Personen:

o Beschäftigte

o Kunden

o Interessenten

o Lieferanten

o Anwalt

o Steuerberater

o Kreditoren

o Debitoren

o …

Kategorien personenbezogener Daten:

x Name

x Adressdaten

x Kontaktdaten

x Bankverbindung

x Geburtsdatum

o Interessentendaten

o Beschäftigtendaten

o Lieferantendaten

o Kundendaten

o Buchungsdaten

o Daten Mahnwesen

o Saldenlisten

o Bilanzen

o …

Kategorien von Empfängern der personenbezogenen Daten:

o intern: z.B. Buchhaltung, Geschäftsführung

Übermittlung der Daten an Dritte:

Fristen zur Löschung der versch. Datenkategorien:

x 6 Jahre gem. Handelsrecht

Beschreibung der technischen und organisatorischen Maßnahmen (TOM):

s. Anhang am Ende dieses Dokuments (ab S. 7)

Rechtsgrundlage für die Verarbeitungstätigkeit:

x Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)

x Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)

x Einwilligung (Zustimmungserklärung des Betroffenen)

                x Einwilligung dokumentiert

x Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)

Rechtsgrundlage für die Verarbeitung von besonderen personenbezogenen Daten:

x Einwilligung (Zustimmungserklärung des Betroffenen)

                x Einwilligung dokumentiert

x aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschäftigten…)

o Mitglieder von Organisationen ohne Gewinnerzielungsabsicht (Daten von Mitgliedern gemeinnütziger Organisationen…)

o vom Betroffenen offensichtlich öffentlich gemachte Daten (Daten von öffentlich zugänglichem Facebook-Profil des Betroffenen…)

o Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Durchführung eines Schadensersatzprozesses…)

o erhebliches öffentliches Interesse (Informationen der öffentlichen Verwaltung…)

Dokumentation allg. Informationspflicht:

x Datenschutzhinweise bei Erstkontakt übermittelt, und zwar

                x per E-Mail (PDF-Anhang)

                x per Website-Link

                x telefonisch

                x persönlich

x Datenschutzhinweise bei Einholung der Einwilligung erteilt

x Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag

Dokumentation Prozess Auskunftsanfragen:

Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

- Zwecke der Verarbeitung

- Kategorien personenbezogener Daten

- Empfänger oder Kategorien von Empfängern

- geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten

- Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde

- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)

- ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.

Umsetzung Grundsatz Speicherbegrenzung:

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:

o TOMs (s. Anhang)

o zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:

- Original-Papierakten in Safe

- Backup-Datenträger in Safe

- Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails (s. Vereinbarung vom …)

- Datenzugriff über gesondertes Berechtigungskonzept

…

Dokumentation Prozess Datenpannen:

Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.

In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert. Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

Datenschutz-Folgenabschätzung (DSFA):

o keine DSFA erforderlich, da Verarbeitungstätigkeit auf „Whitelist“ der Aufsichtsbehörden

o keine DSFA erforderlich aus sonstigen Gründen:  (kein hohes Risiko“.]

Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten:

Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.

Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung  Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.

Zutrittskontrolle:

(Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

- Alarmanlage

- mechanische Fenstersicherungen

- manuelles Schließsystem

- Schließsystem mit Sicherheitsschlössern

- Videoüberwachung

- Verschließen der Türen bei Abwesenheit

Zugangskontrolle:

(Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.)

- Pflicht zur Passwortnutzung

- Authentifikation durch biometrische Verfahren (Fingerabdruck, Irisscan…)

- Authentifikation durch Benutzername und Passwort

…

Zugriffskontrolle:

(Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)

- Nutzer-Berechtigungskonzept

- Verwaltung der Nutzerrechte durch Systemadministrator

- Anzahl der Administratoren auf das Notwendigste reduziert

- Verwenden einer Passwortrichtlinie

- ordnungsgemäße Vernichtung von Datenträgern

- Einsatz von Aktenvernichtern

- Aufbewahrung von Aktenordnern in abschließbaren Schränken

…

Trennungsgebot:

(Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.)

- logische Mandantentrennung

- Datensätze mit Zweckattributen/Datenfeldern

- Trennung der Zuordnungsdaten und der eigentlichen Daten auf einem getrennten System bei Pseudonymisierung

- Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept

Auftragskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)

- sorgfältige Auswahl des Auftragnehmers (-

- Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit

- Datenschutzbeauftragter beim Auftragnehmer

- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Pseudonymisierung:

- Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister

…

Verschlüsselung:

- Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker

- Nutzung von hardwareseitig verschlüsselten USB-Festplatten

…

Zertifizierung (z.B. ISO):

…

Eingabekontrolle:

(Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)

- Protokollierung der Eingabe, Änderung und Löschung von Daten im System

- individuelle Benutzernamen für Nutzer

- sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden

- Nachvollziehbarkeit durch Berechtigungskonzept

…

Weitergabekontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.)

- Nutzung von Standleitungen bzw. VPN-Tunneln

- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich)

- verschlüsselte E-Mail-Übertragung (SSL/TLS)

- Verschlüsselung E-Mail-Inhalte (Software-Zertifikat)

- vertraglich vereinbarte Rechte und Pflichten in Bezug auf die Datenweitergabe

- festgelegte Löschfristen

- sichere Transportverpackungen

- sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern

- Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion

- Regelungen zum sicheren Transport von Datenträgern

…

Verfügbarkeitskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.)

- Datensicherungs-Konzept

- regelmäßiges Testen der Funktionsweise der Datensicherung

- Notfallkonzept

- Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort

…

Belastbarkeit der IT-Systeme:

- Antiviren-Software

- Hardware-Firewall

- Software-Firewall

Wiederherstellbarkeit von IT-Systemen:

- sorgfältig ausgewählter interner System-Administrator

- Vorhaltung von Ersatz-Hardware / Server

- Vorhaltung von Ersatz-Hardware /

Informations-Sicherheits-Management-System (ISMS):

- regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Vorstand und System-Administrator []