Datenschutzverordnung

Weingut Grober Feetz, Inhaberin: Stephanie Grober-Feetz, Mühlstraße 32, 06632 Freyburg

Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche

- Vorblatt -

Angaben zum Verantwortlichen:

Weingut Grober Feetz, Einzelunternehmen

Stephanie Grober-Feetz, Inhaberin

Anschrift:

Mühlstraße 32, 06632 Freyburg (Unstrut)

Telefon: 0179 7460967

Fax: 034464 355836

E-Mail-Adresse: weinhaus-groberfeetz@web.de

- Verarbeitungstätigkeiten -

Datum der Anlegung: 25.4.2018

Datum der letzten Änderung: 25.4.2018

Beschreibung der Verarbeitungstätigkeit:

Finanzbuchhaltung

Zweck der Verarbeitungstätigkeit:

Durchführung der Finanzbuchhaltung

Umsetzung der gesetzlichen Vorgaben (GoBD)Kategorien betroffener Personen:

  • Beschäftigte
  • Kunden
  • Lieferanten
  • Anwalt
  • Steuerberater

Kategorien personenbezogener Daten:

  • Name
  • Adressdaten
  • Kontaktdaten
  • Bankverbindung
  • Interessentendaten
  • Beschäftigtendaten
  • Lieferantendaten
  • Kundendaten
  • Buchungsdaten

Daten MahnwesenKategorien von Empfängern der personenbezogenen Daten:

  • intern: z.B. Buchhaltung, Geschäftsführung
  • extern: z.B. Finanzbehörden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)

Übermittlung der Daten an Dritte:

findet statt, und zwar

an: Hesse StbG mbH

innerhalb Deutschlands

Fristen zur Löschung der versch. Datenkategorien:

  • 10 Jahre gem. Steuerrecht
  • 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.)Beschreibung der technischen und organisatorischen Maßnahmen (TOM):

s. Anhang am Ende dieses Dokuments

Rechtsgrundlage für die Verarbeitungstätigkeit:

  • Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)
  • Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)
  • Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)

Dokumentation allg. Informationspflicht:

- Datenschutzhinweise bei Erstkontakt übermittelt, und zwar

  • per E-Mail (PDF-Anhang)
  • per Website-Link
  • persönlich- Datenschutzhinweise bei Einholung der Einwilligung erteilt

Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag

Dokumentation Prozess Auskunftsanfragen:

Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

  • Zwecke der Verarbeitung
  • Kategorien personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern
  • geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten
  • Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde
  • Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)
  • ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene PersonEin entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.

Umsetzung Grundsatz Speicherbegrenzung:

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Auftragsverarbeiter (AV):

- es werden keine AV eingesetzt

Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:

- TOMs (s. Anhang)

- zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:

  • Original-Papierakten in Safe
  • Backup-Datenträger in Safe
  • Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails
  • Datenzugriff über gesondertes Berechtigungskonzept

Dokumentation Prozess Datenpannen:

Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.

In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert. Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

Datenschutz-Folgenabschätzung (DSFA):

- keine DSFA erforderlich aus sonstigen Gründen: „kein hohes Risiko“

Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten:

Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.

Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung.

Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.

Anhang zum Verarbeitungsverzeichnis – TOM

1. Gewährleistung der Vertraulichkeit

Zutrittskontrolle:

(Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

  • manuelles Schließsystem
  • Schließsystem mit Sicherheitsschlössern
  • Videoüberwachung
  • Bewegungsmelder
  • Schlüsselregelung BeschäftigteZugriffskontrolle:
  • (Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)
  • Nutzer-Berechtigungskonzept
  • Verwaltung der Nutzerrechte durch Systemadministrator
  • Anzahl der Administratoren auf das Notwendigste reduziert
  • Verwenden einer Passwortrichtlinie
  • physische Löschung von Datenträgern vor Wiederverwendung
  • ordnungsgemäße Vernichtung von Datenträgern
  • Einsatz von Aktenvernichtern
  • Aufbewahrung von Datenträgern in abschließbaren Schränken
  • Aufbewahrung von Aktenordnern in abschließbaren Schränken

Auftragskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)

  • sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters)
  • vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs
  • schriftliche Vereinbarung mit dem Auftragnehmer
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags2. Gewährleistung der Integrität

Eingabekontrolle:

(Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)

  • individuelle Benutzernamen für Nutzer
  • sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden3. Gewährleistung der Verfügbarkeit
  • Verfügbarkeitskontrolle:
  • (Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.)
  • Schutzsteckdosenleisten für EDV-GeräteFeuer- bzw. Rauchmeldeanlagen

  • Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude

  • Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort

  • keine Wasserleitungen in und über den Server-Rechnern

  • Serverräume nicht in Hochwasser gefährdeten Kellerräumen4. Gewährleistung der Belastbarkeit der Systeme

Belastbarkeit der IT-Systeme:

  • Antiviren-Software
  • Hardware-Firewall
  • Software-Firewall
  • sorgfältige Auswahl des externen IT-Dienstleisters

5. Wiederherstellung der Verfügbarkeit

Wiederherstellbarkeit von IT-Systemen:

sorgfältig ausgewählter interner System-Administrator6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Informations-Sicherheits-Management-System (ISMS):

  • regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator