Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO

Martin Schranz

GSD Master AG
Grabenstrasse 2
9320 Arbon
lexxeurope [a t ]gmail.com

Stand: 09.04.2018

Einzelne Verarbeitungstätigkeiten

Zweck: Kommunikation (E-Mail).

  • Betroffenengruppe: Kunden und Personen, die uns per E-Mail kontaktieren.
  • Datenkategorien: Freiwillige Angaben (je nachdem was Inhalt der E-Mail ist, die uns jemand schickt)
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc. Online-Kontaktformular. Freiwillige Selbstangaben.
  • Art der Verarbeitung: Elektronische Verarbeitung.
  • Zwecke der Datenverarbeitung: Begründung, Durchführung und Beendigung von Kauf oder Dienstleistungsverträgen. Allgemeine Informationen oder Hilfe bei Fragen.
  • Rechtsgrundlagen der Datenverarbeitung: Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung). Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Empfänger intern: Geschäftsinhaber, Alternativ die entsprechenden Mitarbeiter
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck. E-Mail-Provider/Mailserver
  • Weitergabe ins Drittland (außerhalb EU/EWR): Privacy-Shield
  • Zusatz zur Datenverarbeitung für die G Suite-Vereinbarung und/oder die Vereinbarung für ergänzende Produkte (z. B. Cloud Identity): Geschlossen mit: http://Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043 USA Tel: +1 650 253 0000 Fax: +1 650 253 0001 E-Mail: support-de@google.com, Google LLC (formerly known as Google Inc.), Google Ireland Limited, Google Commerce Limited, Google Asia Pacific Pte. Ltd or Google Australia Pty Ltd
  • EU-Standardvertragsklauseln für die G Suite: Geschlossen mit Google Inc., 1600 Amphitheatre Parkway, Mountain View, California 94043 USA
  • EU-Standardvertragsklauseln für Cloud Identity: Geschlossen mit: Google Inc., 1600 Amphitheatre Parkway, Mountain View, California 94043 USA
  • Löschfristen: Löschung mit Vertragsbeendigung/ Kündigung/ auf Anfrage.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)? Datenschutzerklärung.

Zweck: Marketing

  • Betroffenengruppe: Kunden. Nutzer, Websitebesucher.
  • Datenkategorien: Bestandsdaten (Namen, Adressen). Kontaktdaten (E-Mail, Telefonnummern, Fax, Messenger). Vertragsdaten (Zeitpunkt, Inhalt, Zahlungsinformationen, Kundenkategorie). Nutzungsdaten (Interessen, Besuchte Webseiten, Kaufverhalten, Zugriffszeiten). Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten).
  • Quellen der Daten und Beschreibung der Erhebung, Übermittlung, etc. Online-Formular. Mittels von Onlinetools/Verfahren ermittelte Daten.
  • Art der Verarbeitung: Elektronische Verarbeitung.
  • Zwecke der Datenverarbeitung: Begründung, Durchführung und Beendigung von Kauf oder Dienstleistungsverträgen. Marketing und Werbezwecke.
  • Rechtsgrundlagen der Datenverarbeitung: Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung). Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Empfänger intern: Inhaber.
  • Übermittlung/Offenlegung gegenüber Dritten & Zweck. Trackinganbieter zwecks Reichweitenanalyse und Online-Marketing.
  • Weitergabe ins Drittland (außerhalb EU/EWR): Privacy Shield
    • Google, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA;
  • Löschfristen: Löschung mit Vertragsbeendigung/ Kündigung. Tracking-Cookie-Laufzeit max 365 Tage.
  • Wurden die Betroffenen in einer Datenschutzerklärung oder vergleichbar informiert (wie)? Datenschutzerklärung. Cookie-Policy-Hinweis (kann freiwillig akzeptiert werden).
  • Wurden Grundsätze Privacy by Design/ by Default beachtet? Das Nutzerverhalten wird nur dann gemessen, sobald der Nutzer diese ausdrücklich erlaubt hat. Eine Einschränkung der Webseiten-Funktionalität besteht nicht.

2. Auftragsverarbeitungsverträge abgeschlossen mit:

  • Google, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA;
  • ALL-INKL.COM – Neue Medien Münnich Inhaber: René Münnich Hauptstraße 68 | D-02742 Friedersdorf

3. Sicherheitskonzept

Grundsätzliche Maßnahmen, die der Wahrung der Betroffenenrechte, unverzüglichen Reaktion in Notfällen, den Vorgaben der Technikgestaltung und dem Datenschutz auf Mitarbeiterebene dienen:

  • Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogenen und mindestens halbjährlichen evaluiert wird.
  • Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.
  • Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen
  • Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).
  • Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.
  • Mitarbeiter werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.
  • Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus dem Unternehmen, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.
  • Das Reinigungspersonal, Wachpersonal und übrige Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten.

Zutrittskontrolle

☐ Zutrittsregelungen für betriebsfremde Personen
☐ Fenstersicherung.
☐ Beaufsichtigung von Hilfskräften.

Zugangskontrolle / Zugriffskontrolle

☐ Firewalls (Hardware/Software).
☐ Stets aktueller Virenschutz.
☐ Stets aktuelle Softwareversionen.
☐ Berechtigungs-/ Authentifizierungskonzepte mit auf Nötigste beschränkten Zugriffsregulierungen.
☐ Mindestpasswortlängen und Passwortmanager.
☐ Verschlüsselung von mobilen Datenträgern und Geräten.
☐ Protokollierung von Zugriffen auf Daten.
☐ Ordnungsgemäße Vernichtung von Datenträgern.

Weitergabekontrolle

☐ Festlegung und Dokumentation der Empfänger.
☐ Verschlüsselung von Datenträgern und Verbindungen.
☐ Dedizierte Weitergabeberechtigungen.

Eingabekontrolle

☐ Protokollierung von Dateneingaben-, Änderungen und Löschungen.
☐ Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind.
☐ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.

Auftragskontrolle

☐ Kontrolle der Einhaltung bei Auftragnehmern.
☐ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.

Verfügbarkeitskontrolle/ Integrität

☐ Ständig kontrolliertes Backup- und Recoverykonzept.
☐ Zusätzliche Sicherungskopien mit Lagerung an besonders geschützten Orten.

Gewährleistung des Zweckbindungs-/Trennungsgebotes

☐ Logische Mandantentrennung (softwareseitig).
☐ Trennung von Produktiv- und Testsystem.
☐ Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten System.