Verarbeitungsverzeichnis

 

Dokumentation der Verarbeitungstätigkeit

 

Angaben zum Verantwortlichen

Verantwortliche Stelle (gemäß Art. 4 Nr. 7 DSGVO)

 

gemeinsamer Verantwortlicher

Thomas Guhr

Thomas@einguterplan.de

Gesetzlicher Vertreter (Geschäftsführung)

Milena Glimbovski, Jan Lenarz

hallo@einguterplan.de

 

 

Grundsätzliche Angaben zur Verarbeitung

Bezeichnung der Verarbeitungstätigkeit:

 

· E-Mail-Verarbeitung

· Allgemeine Kundenverwaltung

· Abwicklung der Bestellprozesse

· Abwicklung der Versandprozesse

Verantwortlicher Ansprechpartner

Thomas Guhr
Thomas@einguterplan.de

 

Allgemeine datenschutzrechtliche Anforderungen DSGVO

Zweckbestimmung

 

· Verarbeitungstätigkeit: „E-Mail- Verarbeitung“
Verfolgte Zweckbestimmungen:   „Durchführung der elektronischen   Kommunikation und des Kundenservice“

· Verarbeitungstätigkeit: „Allgemeine   Kundenverwaltung“
Verfolgte Zweckbestimmungen:   „Auftragsbearbeitung und   Buchhaltung“

·  Verarbeitungstätigkeit:   „Adressverwaltung“  Verfolgte Zweckbestimmung „Verarbeitung und Weitergabe der  Adressdaten für die Versandabwicklung“

 

Rechtmäßigkeit der Verarbeitung, Art. 6 DSGVO

· Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7)

 

 

 

Erhebung der Daten

Kreis der betroffenen Personengruppen

Die betroffene Personengruppe begrenzt sich auf unseren Kundenstamm.

Art der gespeicherten Daten bzw. Datenkategorien:

 

· Abrechnungsdaten

· Adressdaten

· IT-Nutzungsdaten/Log Daten/Protokolldateien

· IP-Adresse

· Kontaktdaten

· Name/Vorname/Anrede/Titel

· Zahlungsdaten

 

Herkunft der Daten:

Die Daten werden ausschließlich von unseren Kunden bei dem Bestellprozess zur Verfügung gestellt bzw. erhoben.

 

 

Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können

Interne Empfänger

· Buchhaltung

· Kundenservice

· IT-Abteilung

Externe Empfänger und Dritte:

· Finanzamt

· Externe Kundenservicemitarbeiter

· Versanddienstleister

 

 

 

 

Auftragsverarbeitung als Auftraggeber

Auftragsverarbeiter

· MPR Mail & Parcel Service Riese GmbH

· DHL Paket GmbH

· The Rocket Science Group LLC d/b/a Mailchimp

· Trusted Shops GmbH

· Google Analytics

Schriftlicher datenschutzkonformer Vertrag

ja

Geeignetheit des Auftragsverarbeiters

Der Auftragsverarbeiter ist geeignet

Standort der Verarbeitung

Deutschland

 

 

Datenübermittlung in Drittstaaten / internationale Organisationen

Datenübermittlung in Drittstaaten:

Eine Übermittlung von Daten in Drittstaaten außerhalb der EU liegt nicht vor.

Angemessenes Datenschutzniveau durch:

· Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO

· Garantien gem. Art. 46 DSGVO

· Verbindliche interne Datenschutzvorschriften (BCR)

·  EU-Standardvertrag

 

 

 

 

Regelfristen für die Löschung der Daten

Speicherdauer

Alle Bestelldaten werden aus buchhalterischen und rechtlichen Gründen für 10 Jahre aufgehoben. Danach werden diese nach unserem Löschkonzept gelöscht.

 

 

Beurteilung der Angemessenheit techn. und org. Maßnahmen (TOM)

1.    Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g, Art. 32 Abs. 1 DS­GVO)

 

a)    Zutrittskontrolle (Räume und Gebäude)

Zielbeschreibung: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gespeichert werden.

· Unser Bürogebäude wird durch ein manuelles Schließsystem abgesichert.

· Die Vergabe von Schlüsseln erfolgt über codierte Schlüsseltresore

b)   Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die Angaben beziehen sich auf unser Datenbanksystem sowie die Serverzugänge

· Benutzerrechte und Benutzerzugänge müssen beim Systemadministrator beantragt und genehmigt werden

· Scheiden Mitarbeiter aus dem Unternehmen aus, werden die Zugänge gesperrt und Zugangsrechte aufgehoben

· Zugangsrechte werden protokoliert

· Arbeitsgeräte werden nach neusten technischen Standards verschlüsselt und sind alle passwortgeschützt

 

 

c)    Zugriffskontrolle

Zielbeschreibung: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystrems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und personenbezogene Daten Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Die Maßnahmen beziehen sich auf die Daten von unseren Kunden.

· Bestehen eines Berechtigungskonzepts

· Die Anzahl der Administratoren ist auf das „notwendigste“ reduziert

· Verwaltung der Rechte durch unseren Systemadministrator

· Einhaltung von betriebsinternen Passwortrichtlinien inkl. Passwortlänge und Passwortwechsel

d)   Pseudonomysieren (Art 32 Abs. 1 lit. A ; Art. 25 Abs. 1 DSGVO)

 

2.    Integrität (Art. 32 Abs. 1 lit. BDSGVO)

 

a)    Weitergabekontrolle von Daten

Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertagung oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

· E-Mail-Verschlüsselung

· Einhaltung von betriebsinternen Passwortrichtlinien inkl. Passwortlänge und Passwortwechsel

· Strikte Prüfung sowie Trennung von Lese- und Schreibrechten für unsere Mitarbeiter und Dienstleister

 

 

3.    Verfügbarkeit und Belastbarkeit (Art 32 Abs. 1 lit. B DSGVO)

 

a)    Verfügbarkeitskontrolle von Daten

Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden nur entsprechend der Weisungen des Auftraggebers verarbeitet werden können.

· Auswahl des Auftragnehmers unter besonderen Sorgfaltsgesichtspunkten

· Schriftliche Weisungen an den Auftragnehmer

· Abschließen eines Auftragsdatenverarbeitungsvertrages mit allen Dienstleistern

· Regelmäßige Prüfung und Rücksprache mit allen Dienstleistern