Datenschutzverordnung
Weingut Grober Feetz, Inhaberin: Stephanie Grober-Feetz, Mühlstraße 32, 06632 Freyburg
Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche
- Vorblatt -
Angaben zum Verantwortlichen:
Weingut Grober Feetz, Einzelunternehmen
Stephanie Grober-Feetz, Inhaberin
Anschrift:
Mühlstraße 32, 06632 Freyburg (Unstrut)
Telefon: 0179 7460967
Fax: 034464 355836
E-Mail-Adresse: weinhaus-groberfeetz@web.de
- Verarbeitungstätigkeiten -
Datum der Anlegung: 25.4.2018
Datum der letzten Änderung: 25.4.2018
Beschreibung der Verarbeitungstätigkeit:
Finanzbuchhaltung
Zweck der Verarbeitungstätigkeit:
Durchführung der Finanzbuchhaltung
Umsetzung der gesetzlichen Vorgaben (GoBD)Kategorien betroffener Personen:
- Beschäftigte
- Kunden
- Lieferanten
- Anwalt
- Steuerberater
Kategorien personenbezogener Daten:
- Name
- Adressdaten
- Kontaktdaten
- Bankverbindung
- Interessentendaten
- Beschäftigtendaten
- Lieferantendaten
- Kundendaten
- Buchungsdaten
Daten MahnwesenKategorien von Empfängern der personenbezogenen Daten:
- intern: z.B. Buchhaltung, Geschäftsführung
- extern: z.B. Finanzbehörden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)
Übermittlung der Daten an Dritte:
findet statt, und zwar
an: Hesse StbG mbH
innerhalb Deutschlands
Fristen zur Löschung der versch. Datenkategorien:
- 10 Jahre gem. Steuerrecht
- 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.)Beschreibung der technischen und organisatorischen Maßnahmen (TOM):
s. Anhang am Ende dieses Dokuments
Rechtsgrundlage für die Verarbeitungstätigkeit:
- Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)
- Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)
- Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)
Dokumentation allg. Informationspflicht:
- Datenschutzhinweise bei Erstkontakt übermittelt, und zwar
- per E-Mail (PDF-Anhang)
- per Website-Link
- persönlich- Datenschutzhinweise bei Einholung der Einwilligung erteilt
Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag
Dokumentation Prozess Auskunftsanfragen:
Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:
- Zwecke der Verarbeitung
- Kategorien personenbezogener Daten
- Empfänger oder Kategorien von Empfängern
- geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten
- Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde
- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)
- ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene PersonEin entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.
Umsetzung Grundsatz Speicherbegrenzung:
Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Auftragsverarbeiter (AV):
- es werden keine AV eingesetzt
Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:
- TOMs (s. Anhang)
- zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:
- Original-Papierakten in Safe
- Backup-Datenträger in Safe
- Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails
- Datenzugriff über gesondertes Berechtigungskonzept
Dokumentation Prozess Datenpannen:
Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.
Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.
In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert. Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.
Datenschutz-Folgenabschätzung (DSFA):
- keine DSFA erforderlich aus sonstigen Gründen: „kein hohes Risiko“
Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten:
Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.
Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung.
Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.
Anhang zum Verarbeitungsverzeichnis – TOM
1. Gewährleistung der Vertraulichkeit
Zutrittskontrolle:
(Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)
- manuelles Schließsystem
- Schließsystem mit Sicherheitsschlössern
- Videoüberwachung
- Bewegungsmelder
- Schlüsselregelung BeschäftigteZugriffskontrolle:
- (Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)
- Nutzer-Berechtigungskonzept
- Verwaltung der Nutzerrechte durch Systemadministrator
- Anzahl der Administratoren auf das Notwendigste reduziert
- Verwenden einer Passwortrichtlinie
- physische Löschung von Datenträgern vor Wiederverwendung
- ordnungsgemäße Vernichtung von Datenträgern
- Einsatz von Aktenvernichtern
- Aufbewahrung von Datenträgern in abschließbaren Schränken
- Aufbewahrung von Aktenordnern in abschließbaren Schränken
Auftragskontrolle:
(Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)
- sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters)
- vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs
- schriftliche Vereinbarung mit dem Auftragnehmer
- Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags2. Gewährleistung der Integrität
Eingabekontrolle:
(Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)
- individuelle Benutzernamen für Nutzer
- sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden3. Gewährleistung der Verfügbarkeit
- Verfügbarkeitskontrolle:
- (Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.)
Schutzsteckdosenleisten für EDV-GeräteFeuer- bzw. Rauchmeldeanlagen
Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude
Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort
keine Wasserleitungen in und über den Server-Rechnern
Serverräume nicht in Hochwasser gefährdeten Kellerräumen4. Gewährleistung der Belastbarkeit der Systeme
Belastbarkeit der IT-Systeme:
- Antiviren-Software
- Hardware-Firewall
- Software-Firewall
- sorgfältige Auswahl des externen IT-Dienstleisters
5. Wiederherstellung der Verfügbarkeit
Wiederherstellbarkeit von IT-Systemen:
sorgfältig ausgewählter interner System-Administrator6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM
Informations-Sicherheits-Management-System (ISMS):
- regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator