Verarbeitungstätigkeiten

VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN GEM. ART. 30 DSGVO

Felix Thoennessen GmbH

Felix Thoennessen

Duisburgerstr. 117

40479 Düsseldorf

hallo@felixthoennessen.de

Stand: 26.10.2018

EINZELNE VERARBEITUNGSTÄTIGKEITEN

Zweck: Personalmanagement

  • Betroffenengruppe: Mitarbeiter, Bewerber.
  • Datenkategorien: Bestandsdaten (Namen, Adressen), Kontaktdaten (E-Mail, Telefonnummern, Fax, Messenger), Inhaltsdaten (Texteingaben, Fotografien, Videos), Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale), Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen).
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc.: E-Mail, Freiwillige Selbstangaben, Mitarbeiterverträge, die postalisch an uns geschickt wurden.
  • Art der Verarbeitung: Elektronische Verarbeitung (wenn Bewerber uns Mails schicken), Verarbeitung in analogen Systemen (Aktenablage, etc.).
  • Zwecke der Datenverarbeitung: Begründung, Durchführung und Beendigung von Kauf oder Beschäftigungsverträgen.
  • Rechtsgrundlagen der Datenverarbeitung: Art. 6 Abs. 1 lit. 1/b, § 26 BDSG-Neu / § 32 BDSG „Beschäftigungsverhältnis“. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten). Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Empfänger intern: Geschäftsinhaber.
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck: Banken zwecks Begleichung/Einziehung Zahlungsforderungen.
  • Löschfristen: Löschung mit Vertragsbeendigung/ Kündigung. Zudem wird aktiv nachgefragt, ob nicht-angenommene Bewerber trotzdem in unseren Freelancer-Bewerber-Pool aufgenommen werden möchten. So gibt es vielleicht in Zukunft noch die Möglichkeit, für eine Zusammenarbeit (je nach Bedarf). Sie haben die Möglichkeit, sich jederzeit wieder aus diesem löschen zu lassen. Die ist jedoch 100 Prozent freiwillig.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)? Datenschutzerklärung oder individuell (z. B. per E-Mail).
  • Liegt ein Fall des Art. 22 DSGVO Automatisierte Entscheidungen im Einzelfall einschließlich Profiling vor? Nein, die Daten werden alle manuell ausgewertet.

Zweck: Mitgliederbereich

  • Betroffenengruppe: Kunden, Nutzer, Websitebesucher, Mitarbeiter.
  • Datenkategorien: Bestandsdaten (Name), Kontaktdaten (E-Mail, Telefonnummern), Inhaltsdaten (Texteingaben, Fotografien, Videos), Nutzungsdaten (Interessen, Besuchte Webseiten, Kaufverhalten, Zugriffszeiten).
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc. Online-Formular, beim Kauf eines Produkts, zudem freiwillige Selbstangaben beim Veröffentlichen von Beiträgen
  • Art der Verarbeitung: Elektronische Verarbeitung.
  • Zwecke der Datenverarbeitung: Die Kunden haben sich in der Community registriert. Der Kernnutzen dieser ist die Wissensvermittlung innerhalb der geschlossenen Community.
  • Rechtsgrundlagen der Datenverarbeitung: Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung). Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Empfänger intern: Geschäftsinhaber, Marketing/PR, IT
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck: Webhosting-Anbieter in Deutschland (Strato AG), weil dort die Daten in der Datenbank gespeichert werden.
  • Weitergabe ins Drittland (außerhalb EU/EWR): Nicht geplant.
  • Löschfristen: Die Kunden können Ihren Account durch einfache Zusendung einer Email löschen lassen.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)? Datenschutzerklärung.

Zweck: Kundenverwaltung und E-Mail-Marketing

  • Betroffenengruppe: Kunden, die sich für den Newsletter eingetragen haben, Käufer von Produkten.
  • Datenkategorien: Bestandsdaten (Namen, Adressen), Kontaktdaten (E-Mail, Telefonnummern, Fax, Messenger), Nutzungsdaten (Interessen, Besuchte Webseiten, Klickverhalten, Kaufverhalten, Zugriffszeiten).
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc. Online-Formular, freiwillige Selbstangaben, mittels von Onlinetools/Verfahren ermittelte Daten.
  • Art der Verarbeitung: Elektronische Verarbeitung.
  • Zwecke der Datenverarbeitung: Begründung, Durchführung und Beendigung von Kauf oder Dienstleistungsverträgen, Marktforschung, Marketing und Werbezwecke.
  • Rechtsgrundlagen der Datenverarbeitung: Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung). Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten). Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Empfänger intern: Marketing/PR, IT.
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck. Trackinganbieter zwecks Reichweitenanalyse und Onlinemarketing. CRM-Anbieter zwecks zentraler Datenverarbeitung und Auswertung. Zudem Versand von E-Mails.
  • Weitergabe ins Drittland (außerhalb EU/EWR): Nicht geplant.
  • Löschfristen: 10 J, gem. § 147 Abs. 1 AO (Buchungsbelege, Handels- und Geschäftsbriefe, Für Besteuerung relevante Unterlagen, etc.). Alternativ auf Anfrage.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)? Double-Opt-In-Verfahren oder Datenschutzerklärung.

Zweck: Kommunikation (E-Mail).

  • Betroffenengruppe: Kunden und Personen, die uns per E-Mail kontaktieren.
  • Datenkategorien: Freiwillige Angaben (je nachdem was Inhalt der E-Mail ist, die uns jemand schickt)
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc. Online-Kontaktformular. Freiwillige Selbstangaben.
  • Art der Verarbeitung: Elektronische Verarbeitung.
  • Zwecke der Datenverarbeitung: Begründung, Durchführung und Beendigung von Kauf oder Dienstleistungsverträgen. Allgemeine Informationen oder Hilfe bei Fragen.
  • Rechtsgrundlagen der Datenverarbeitung: Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung). Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Empfänger intern: Geschäftsinhaber, Alternativ die entsprechenden Mitarbeiter
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck. E-Mail-Provider/Mailserver
  • Weitergabe ins Drittland (außerhalb EU/EWR): Privacy-Shield
  • Zusatz zur Datenverarbeitung für die G Suite-Vereinbarung und/oder die Vereinbarung für ergänzende Produkte (z. B. Cloud Identity): Geschlossen mit: http://Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043 USA Tel: +1 650 253 0000 Fax: +1 650 253 0001 E-Mail: support-de@google.com, Google LLC (formerly known as Google Inc.), Google Ireland Limited, Google Commerce Limited, Google Asia Pacific Pte. Ltd or Google Australia Pty Ltd
  • EU-Standardvertragsklauseln für die G Suite: Geschlossen mit Google Inc., 1600 Amphitheatre Parkway, Mountain View, California 94043 USA
  • EU-Standardvertragsklauseln für Cloud Identity: Geschlossen mit: Google Inc., 1600 Amphitheatre Parkway, Mountain View, California 94043 USA
  • Löschfristen: Löschung mit Vertragsbeendigung/ Kündigung/ auf Anfrage.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)? Datenschutzerklärung.

Zweck: Marketing

  • Betroffenengruppe: Kunden. Nutzer, Websitebesucher. Empfänger von Marketingmaßnahmen.
  • Datenkategorien: Bestandsdaten (Namen, Adressen). Kontaktdaten (E-Mail, Telefonnummern, Fax, Messenger). Vertragsdaten (Zeitpunkt, Inhalt, Zahlungsinformationen, Kundenkategorie). Nutzungsdaten (Interessen, Besuchte Webseiten, Kaufverhalten, Zugriffszeiten). Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten).
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc. Online-Formular. Beim Kauf eines Produkts. Mittels von Onlinetools/Verfahren ermittelte Daten.
  • Art der Verarbeitung: Elektronische Verarbeitung.
  • Zwecke der Datenverarbeitung: Begründung, Durchführung und Beendigung von Kauf oder Dienstleistungsverträgen. Marketing und Werbezwecke.
  • Rechtsgrundlagen der Datenverarbeitung: Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung). Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Empfänger intern: Marketing/PR, IT
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck. Trackinganbieter zwecks Reichweitenanalyse und Online-Marketing.
  • Weitergabe ins Drittland (außerhalb EU/EWR): Privacy Shield
    • Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland, https://www.facebook.com/full_data_use_policy. Vorliegen Data Processing Agreement, Privacy-Shield (https://www.facebook.com/about/privacyshield)
    • Google, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA;
    • KLICK-TIPP LIMITED 15 Cambridge Court 210 Shepherd’s Bush Road London W6 7NJ Vereinigtes Königreich
  • Löschfristen: Löschung mit Vertragsbeendigung/ Kündigung. Tracking-Cookie-Laufzeit max 180 Tage.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)?
    Datenschutzerklärung. Cookie-Policy-Hinweis (kann freiwillig akzeptiert werden)
  • Wurden Grundsätze Privacy by Design/ by Default beachtet? Das Nutzerverhalten wird möglichst nur dann gemessen, sobald der Nutzer diese ausdrücklich erlaubt hat. Eine Einschränkung der Webseiten-Funktionalität besteht nicht.

2. Auftragsverarbeitungsverträge abgeschlossen mit:

  • Google, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA;
  • KLICK-TIPP LIMITED 15 Cambridge Court 210 Shepherd’s Bush Road London W6 7NJ Vereinigtes Königreich
  • Strato AG – Pascalstraße 10, 10587 Berlin
  • Voice Office c/o PrimeConcept Media & Marketing, Reisholzer Werftstraße 76, 40589 Düsseldorf
  • Mouseflow, Flaesketorvet 68, 1711 Copenhagen, Dänemark

3. Sicherheitskonzept

Grundsätzliche Maßnahmen, die der Wahrung der Betroffenenrechte, unverzüglichen Reaktion in Notfällen, den Vorgaben der Technikgestaltung und dem Datenschutz auf Mitarbeiterebene dienen:

  • Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogenen und mindestens halbjährlichen evaluiert wird.
  • Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.
  • Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen
  • Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).
  • Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.
  • Mitarbeiter werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.
  • Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus dem Unternehmen, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.
  • Das Reinigungspersonal, Wachpersonal und übrige Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten.

Zutrittskontrolle

☐ Zutrittsregelungen für betriebsfremde Personen
☐ Beaufsichtigung von Hilfskräften

Zugangskontrolle / Zugriffskontrolle

☐ Firewalls (Hardware/Software).
☐ Stets aktueller Virenschutz.
☐ Stets aktuelle Softwareversionen.
☐ Berechtigungs-/ Authentifizierungskonzepte mit auf Nötigste beschränkten Zugriffsregulierungen.
☐ Mindestpasswortlängen und Passwortmanager.
☐ Verschlüsselung von mobilen Datenträgern und Geräten.
☐ Protokollierung von Zugriffen auf Daten.
☐ Ordnungsgemäße Vernichtung von Datenträgern.

Weitergabekontrolle

☐ Festlegung und Dokumentation der Empfänger.
☐ Verschlüsselung von Datenträgern und Verbindungen.
☐ Dedizierte Weitergabeberechtigungen.

Eingabekontrolle

☐ Protokollierung von Dateneingaben-, Änderungen und Löschungen.
☐ Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind.
☐ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.

Auftragskontrolle

☐ Kontrolle der Einhaltung bei Auftragnehmern.
☐ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.

Verfügbarkeitskontrolle/ Integrität

☐ Ständig kontrolliertes Backup- und Recoverykonzept.
☐ Zusätzliche Sicherungskopien mit Lagerung an besonders geschützten Orten.

Gewährleistung des Zweckbindungs-/Trennungsgebotes

☐ Logische Mandantentrennung (softwareseitig).
☐ Trennung von Produktiv- und Testsystem.
☐ Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten System.