Verarbeitungsverzeichnis
Dokumentation der Verarbeitungstätigkeit
Angaben zum Verantwortlichen |
|
Verantwortliche Stelle (gemäß Art. 4 Nr. 7 DSGVO) |
|
gemeinsamer Verantwortlicher |
Katharina Richter kontakt@original-unverpackt.de |
Gesetzlicher Vertreter (Geschäftsführung) |
Katharina Richter kontakt@original-unverpackt.de |
Grundsätzliche Angaben zur Verarbeitung |
|
Bezeichnung der Verarbeitungstätigkeit: |
· E-Mail-Verarbeitung · Allgemeine Kundenverwaltung · Abwicklung der Bestellprozesse · Abwicklung der Versandprozesse |
Verantwortlicher Ansprechpartner |
Katharina Richter kontakt@original-unverpackt.de |
Allgemeine datenschutzrechtliche Anforderungen DSGVO |
|
Zweckbestimmung |
· Verarbeitungstätigkeit: „E-Mail- Verarbeitung“ · Verarbeitungstätigkeit: „Allgemeine Kundenverwaltung“ · Verarbeitungstätigkeit: „Adressverwaltung“ Verfolgte Zweckbestimmung „Verarbeitung und Weitergabe der Adressdaten für die Versandabwicklung“
|
Rechtmäßigkeit der Verarbeitung, Art. 6 DSGVO |
· Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7)
|
Erhebung der Daten |
|
Kreis der betroffenen Personengruppen |
Die betroffene Personengruppe begrenzt sich auf unseren Kundenstamm. |
Art der gespeicherten Daten bzw. Datenkategorien: |
· Abrechnungsdaten · Adressdaten · IT-Nutzungsdaten/Log Daten/Protokolldateien · IP-Adresse · Kontaktdaten · Name/Vorname/Anrede/Titel · Zahlungsdaten
|
Herkunft der Daten: |
Die Daten werden ausschließlich von unseren Kunden bei dem Bestellprozess zur Verfügung gestellt bzw. erhoben. |
Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können |
|
Interne Empfänger |
· Buchhaltung · Kundenservice · IT-Abteilung |
Externe Empfänger und Dritte: |
· Finanzamt · Versanddienstleister |
Auftragsverarbeitung als Auftraggeber |
|
Auftragsverarbeiter |
· DHL Paket GmbH · Trusted Shops GmbH · Google Analytics |
Schriftlicher datenschutzkonformer Vertrag |
ja |
Geeignetheit des Auftragsverarbeiters |
Der Auftragsverarbeiter ist geeignet |
Standort der Verarbeitung |
Deutschland |
Datenübermittlung in Drittstaaten / internationale Organisationen |
|
Datenübermittlung in Drittstaaten: |
Eine Übermittlung von Daten in Drittstaaten außerhalb der EU liegt nicht vor. |
Angemessenes Datenschutzniveau durch: |
· Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO · Garantien gem. Art. 46 DSGVO · Verbindliche interne Datenschutzvorschriften (BCR) · EU-Standardvertrag
|
Regelfristen für die Löschung der Daten |
|
Speicherdauer |
Alle Bestelldaten werden aus buchhalterischen und rechtlichen Gründen für 10 Jahre aufgehoben. Danach werden diese nach unserem Löschkonzept gelöscht. |
Beurteilung der Angemessenheit techn. und org. Maßnahmen (TOM) |
|
1. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g, Art. 32 Abs. 1 DSGVO) |
|
a) Zutrittskontrolle (Räume und Gebäude) Zielbeschreibung: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gespeichert werden. |
· Unser Bürogebäude wird durch ein manuelles Schließsystem abgesichert. · Die Vergabe von Schlüsseln erfolgt über codierte Schlüsseltresore |
b) Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die Angaben beziehen sich auf unser Datenbanksystem sowie die Serverzugänge |
· Benutzerrechte und Benutzerzugänge müssen beim Systemadministrator beantragt und genehmigt werden · Scheiden Mitarbeiter aus dem Unternehmen aus, werden die Zugänge gesperrt und Zugangsrechte aufgehoben · Zugangsrechte werden protokoliert · Arbeitsgeräte werden nach neusten technischen Standards verschlüsselt und sind alle passwortgeschützt
|
c) Zugriffskontrolle Zielbeschreibung: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystrems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und personenbezogene Daten Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen beziehen sich auf die Daten von unseren Kunden. |
· Bestehen eines Berechtigungskonzepts · Die Anzahl der Administratoren ist auf das „notwendigste“ reduziert · Verwaltung der Rechte durch unseren Systemadministrator · Einhaltung von betriebsinternen Passwortrichtlinien inkl. Passwortlänge und Passwortwechsel |
d) Pseudonomysieren (Art 32 Abs. 1 lit. A ; Art. 25 Abs. 1 DSGVO) |
|
2. Integrität (Art. 32 Abs. 1 lit. BDSGVO) |
|
a) Weitergabekontrolle von Daten Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertagung oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. |
· E-Mail-Verschlüsselung · Einhaltung von betriebsinternen Passwortrichtlinien inkl. Passwortlänge und Passwortwechsel · Strikte Prüfung sowie Trennung von Lese- und Schreibrechten für unsere Mitarbeiter und Dienstleister
|
3. Verfügbarkeit und Belastbarkeit (Art 32 Abs. 1 lit. B DSGVO) |
|
a) Verfügbarkeitskontrolle von Daten Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden nur entsprechend der Weisungen des Auftraggebers verarbeitet werden können. |
· Auswahl des Auftragnehmers unter besonderen Sorgfaltsgesichtspunkten · Schriftliche Weisungen an den Auftragnehmer · Abschließen eines Auftragsdatenverarbeitungsvertrages mit allen Dienstleistern · Regelmäßige Prüfung und Rücksprache mit allen Dienstleistern |