Verfahrensverzeichnis für die Datenverarbeitung nach DSGVO
1. Zwecke der Verarbeitungen bzw. der Verarbeitungstätigkeit
Speicherung von Kundendaten für die Versendung von Newslettern sowie zur Beantwortung von Kundenanfragen
2. Datum der Einführung
06.12.2016
3. Datum der letzten Aktualisierung
15.05.2018
4. Verantwortliche Fachabteilung
Inhaber / Geschäftsleitung:
Parfümerie Förster
Willi Förster
Oststraße 162-164
40210 Düsseldorf
Tel.: 0211 365176
Email: info@foerster-parfuemerie.de
5. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten.
6. Rechtsgrundlage der Verarbeitungen bzw. der Verarbeitungstätigkeit
§ 6 Abs. 1 DSGVO
7. Beschreibung der Kategorien betroffener Personen bzw. Personengruppen
Kunden:
Bestandskunden
Neukunden
Interessenten
8. Kategorien personenbezogener Daten
Allgemein:
Name/Firmenname
Telefonnummer
Email-Adresse
9. Besondere Kategorien personenbezogener Daten
Keine.
10. Herkunft bzw. Quelle(n) der Daten
Die Eingabe erfolgt durch den Kunden.
11. Kategorien von Empfängern bzw. Zugriffsberechtigten, denen die Daten offengelegt worden sind oder noch offengelegt werden
Inhaber und verantwortliche Mitarbeiter
Externer Auftragsverarbeiter (siehe Verzeichnis des Auftragsverarbeiters)
12. Datenübermittlungen in Drittländer (außerhalb der EU) oder internationale Organisationen
Es findet keine Übermittlung statt.
13. Vorgesehene Frist für die Löschung der Daten
Löschung nach Wegfall des Zweckes der Datenerhebung
14. Verträge mit Auftragsverarbeitern
Ja
Vereinbarte Verarbeitungstätigkeiten:
Email-Datenbank
Erzeugen von Emails / Newslettern
Support-/Wartungsservice
Webseiten-Betreuung
15. Vereinbarung zur gemeinsamen Verantwortung
Ja.
16. Ist eine Voreinschätzung, ob eine Datenschutzfolgeabschätzung notwendig ist, erfolgt?
Nein.
17. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Maßnahmen zur Gewährleistung der Zweckbindung personenbezogener Daten
Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten
Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen
Dokumentation von Einwilligungen und Widersprüchen
Protokollierung von Zugriffen und Änderungen
Nachweis der Quellen von Daten (Authentizität)
Berücksichtigung der Auskunftsrechte von Betroffenen
Maßnahmen zur Gewährleistung der Betroffenenrechte
Differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten
Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen, Benachrichtigungen, Einwilligungen, Widersprüche, Gegendarstellungen
Dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verfahren sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes
Operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten
Maßnahmen zur Gewährleistung der Vertraulichkeit und der Integrität der Systeme und Dienste, die einen unautorisierten Zugang oder Zugriff auf personenbezogene Daten verhindern sollen, beim Verantwortlichen selbst oder auf dem Transportweg zu Auftragsverarbeitern oder Dritten.
Zutrittskontrolle (kein unbefugter Zutritt zu Datenverarbeitungsanlagen)
Festlegung der zugangsberechtigten Personen
Zugangskontrolle (keine unbefugte Systembenutzung)
(sichere) Kennwörter
Einsatz von Anti-Viren-Software
Einsatz von Firewalls
Festlegung der nutzungsberechtigten Personen
Protokollierung der Benutzer und deren Aktivitäten
Benutzerberechtigungen verwalten
Erstellen von Benutzerprofilen
Zugriffskontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems)
Protokollierung von Zugriffen
Anzahl der Administratoren auf das „Notwendigste“ reduziert
Sichere Aufbewahrung von Datenträgern
Verwaltung der Benutzerrechte durch Systemadministratoren
Trennungskontrolle (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden)
Sandboxing
Maßnahmen zur Gewährleistung der Verfügbarkeit der Systeme u. Dienste, die sicherstellen, dass personenbezogene Daten dauernd und uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn sie gebraucht werden.
Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust)
Backup-Strategie (online/offline; on-site/off-site)
unterbrechungsfreie Stromversorgung (USV)
Virenschutz
Firewall
Feuerlöschgeräte in Serverräumen
Feuer- und Rauchmeldeanlagen
Geräte zur Überwachung der Temperatur in Serverräumen
Klimaanlage in Serverräumen
Schutzsteckdosenleisten in Serverräumen
Brandschutzmaßnahmen
Überspannungsschutz
RAID (Festplattenspiegelung)
Schutz vor Diebstahl
Auftragskontrolle (keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers)
Eindeutige Vertragsgestaltung
formalisiertes Auftragsmanagement
strenge Auswahl des Dienstleisters
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Maßnahmen, um nach einem physischen oder technischen Zwischenfall die Verfügbarkeit personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen.
Backup- und Recoverykonzept