Weingut Grober Feetz, Inhaberin: Stephanie Grober-Feetz, Mühlstraße 32, 06632 Freyburg

Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche

- Vorblatt -

Angaben zum Verantwortlichen

 

Name bzw. Unternehmensbezeichnung inkl. Rechtsformzusatz

Weingut Grober Feetz, Einzelunternehmen

ggf. vertretungsberechtigte Person des Unternehmens (z.B. GmbH-Geschäftsführer):

Stephanie Grober-Feetz, Inhaberin

Anschrift:

Mühlstraße 32, 06632 Freyburg

Telefonnr.:

0179/7460967

Faxnr.:

034464/355836

E-Mail-Adresse:

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

- Verarbeitungstätigkeiten -

Datum der Anlegung: 25.4.2018

Datum der letzten Änderung: 25.4.2018

   

Beschreibung der Verarbeitungstätigkeit:

Finanzbuchhaltung

Zweck der Verarbeitungstätigkeit:

- Durchführung der Finanzbuchhaltung

- Umsetzung der gesetzlichen Vorgaben (GoBD)

Kategorien betroffener Personen:

o Beschäftigte

o Kunden

o Lieferanten

o Anwalt

o Steuerberater

Kategorien personenbezogener Daten:

o Name

o Adressdaten

o Kontaktdaten

o Bankverbindung

o Interessentendaten

o Beschäftigtendaten

o Lieferantendaten

o Kundendaten

o Buchungsdaten

o Daten Mahnwesen

Kategorien von Empfängern der personenbezogenen Daten:

o intern: z.B. Buchhaltung, Geschäftsführung

o extern: z.B. Finanzbehörden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)

Übermittlung der Daten an Dritte:

o findet statt, und zwar

                o an: Hesse StbG mbH

                o innerhalb Deutschlands

Fristen zur Löschung der versch. Datenkategorien:

o 10 Jahre gem. Steuerrecht

o 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.)

Beschreibung der technischen und organisatorischen Maßnahmen (TOM):

s. Anhang am Ende dieses Dokuments (ab S. 7)

Rechtsgrundlage für die Verarbeitungstätigkeit:

o Erfüllung eines Vertrages (Erteilung eines Auftrags, Bestellung im Webshop…)

o Durchführung vorvertraglicher Maßnahmen (Übersendung eines Angebots an Interessenten…)

o Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht…)

Dokumentation allg. Informationspflicht:

o Datenschutzhinweise bei Erstkontakt übermittelt, und zwar

                o per E-Mail (PDF-Anhang)

                o per Website-Link

                o persönlich

o Datenschutzhinweise bei Einholung der Einwilligung erteilt

o Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertag

Dokumentation Prozess Auskunftsanfragen:

Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

- Zwecke der Verarbeitung

- Kategorien personenbezogener Daten

- Empfänger oder Kategorien von Empfängern

- geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten

- Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde

- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)

- ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.

Umsetzung Grundsatz Speicherbegrenzung:

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungsvorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Auftragsverarbeiter (AV):

o es werden keine AV eingesetzt

Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:

o TOMs (s. Anhang)

o zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:

- Original-Papierakten in Safe

- Backup-Datenträger in Safe

- Kommunikation ausschließlich über zertifizierte und verschlüsselte E-Mails

- Datenzugriff über gesondertes Berechtigungskonzept

Dokumentation Prozess Datenpannen:

Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.

In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutzverletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert. Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

Datenschutz-Folgenabschätzung (DSFA):

o keine DSFA erforderlich aus sonstigen Gründen: „kein hohes Risiko“

Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten:

Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.

Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung.

Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.

 

Anhang zum Verarbeitungsverzeichnis – TOM

1. Gewährleistung der Vertraulichkeit

Zutrittskontrolle:

(Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

- manuelles Schließsystem

- Schließsystem mit Sicherheitsschlössern

- Videoüberwachung

- Bewegungsmelder

- Schlüsselregelung Beschäftigte

Zugriffskontrolle:

(Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)

- Nutzer-Berechtigungskonzept

- Verwaltung der Nutzerrechte durch Systemadministrator

- Anzahl der Administratoren auf das Notwendigste reduziert

- Verwenden einer Passwortrichtlinie

- physische Löschung von Datenträgern vor Wiederverwendung

- ordnungsgemäße Vernichtung von Datenträgern

- Einsatz von Aktenvernichtern

- Aufbewahrung von Datenträgern in abschließbaren Schränken

- Aufbewahrung von Aktenordnern in abschließbaren Schränken

Auftragskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)

- sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters)

- vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs

- schriftliche Vereinbarung mit dem Auftragnehmer

- Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit

- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

2. Gewährleistung der Integrität

Eingabekontrolle:

(Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)

- individuelle Benutzernamen für Nutzer

- sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden

3. Gewährleistung der Verfügbarkeit

Verfügbarkeitskontrolle:

(Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.)

- Schutzsteckdosenleisten für EDV-Geräte

- Feuer- bzw. Rauchmeldeanlagen

- Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude

- Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort

- keine Wasserleitungen in und über den Server-Rechnern

- Serverräume nicht in Hochwasser gefährdeten Kellerräumen

4. Gewährleistung der Belastbarkeit der Systeme

Belastbarkeit der IT-Systeme:

- Antiviren-Software

- Hardware-Firewall

- Software-Firewall

- sorgfältige Auswahl des externen IT-Dienstleisters

5. Wiederherstellung der Verfügbarkeit

Wiederherstellbarkeit von IT-Systemen:

- sorgfältig ausgewählter interner System-Administrator

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Informations-Sicherheits-Management-System (ISMS):

- regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator


Copyright © 2018 Weingut Grober Feetz - Freyburg (Unstrut). Alle Rechte vorbehalten.
Joomla! ist freie, unter der GNU/GPL-Lizenz veröffentlichte Software.
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen