A Datenschutzbeauftragter DSB
B Verzeichnis von Verarbeitungstätigkeiten
C Datenschutzunterrichtung und -verpflichtung von Beschäftigten
D Informations- und Auskunftpflichten, Auskunftsrecht
E Recht auf Löschung
F Sicherheit
G Auftragsverarbeitung AV
H Umgang mit Datenpannen – Datenschutzverletzungen
I Datenschutz-Folgeabschätzung DSFA
J Videoüberwachung
Da bei uns weniger als 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines DSB nicht erforderlich.
B Verzeichnis von Verarbeitungstätigkeiten
Da bei uns regelmäßig personenbezogene Daten verarbeitet werden ist ein solches Verzeichnis erforderlich für unsere Verwaltungstätigkeiten.
Es liegt uns vor, so dass es auf Verlangen der Aufsichtsbehörden geprüft werden kann. Es handelt sich um kein öffentliches Verzeichnis.
C Datenschutzunterrichtung und -verpflichtung von Beschäftigten
Da bei uns als Auftragsverarbeiter alle Mitarbeiter mit personenenbezogenen Daten umgehen, haben wir alle Mitarbeiter über die Grundsätze der DS-GVO informiert und verpflichtet.
D Informations- und Auskunftpflichten, Auskunftsrecht
Gegenüber unseren Beschäftigten und Kunden sowie den Besucher unserer Webseite bestehen Informationspflichten. Diesen kommen wir nach in unserer Datenschutzerklärung. Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie die zustehenden Rechte auch ausüben.
Der Anforderung zur Datenlöschung „Recht auf Vergessenwerden“) kommen wir nach, aber erst nach Ablauf der gesetzlichen Aufbewahrungspflichten. Die steuerliche Aufbewahrungspflicht beträgt beispielsweise 10 Jahre.
Die Daten müssen nicht besonders gesichert werden. Die etablierten Standardmaßnahmen sind ausreichend, um die Daten effektiv zu schützen. Dies sind beispielsweise aktuelle Betriebssysteme und Anwendungen, Passwortschutz, Benutzerrechte, regelmäßige Backups, Virenscanner.
Einen Vertrag mit unseren Lieferanten, die mit personenbezogenen Daten arbeiten, haben wir abgeschlossen. Dies sind beispielsweise unser Hosting-Anbieter für die Webseite, Mailaccounts, Shopsoftware oder die Firma über die die Mitarbeiterlöhne abgerechnet werden. Unser Steuerberater bzw. Rechtsanwalt unterliegt einer beruflichen Schweigepflicht, dies befreit von eine AV.
Mit unseren Kunden müssen wir ebenfalls einen schriftlichen AV abschließen, da wir die personenbezogenen Daten der Kunden unserer Kunden erhalten. Diese verarbeiten wir weisungsgebunden im Auftrag.
H Umgang mit Datenpannen – Datenschutzverletzungen
Bestimmte Vorfälle müssen gemeldet werden, z. B. Diebstahl, Hacking, Verlust von Datenträgern oder Notebooks mit mit unverschlüsselten Kunden- oder Beschäftigtendaten. Aber nur bei relevanten Risiken – eine einfache Online-Meldung bei BayLDA ist möglich. Eine Information der betroffenen Personen ist dagegen nur bei hohem Risiko erforderlich.
I Datenschutz-Folgeabschätzung DSFA
Da kein hohes Risiko für die Rechte und Freiheit bei Datenverarbeitung dieser Art besteht, ist eine DSFA von uns nicht durchzuführen. Ein hohes Risiko ist der Ausnahmefall und nicht die Regel.
Bereiche, die per Video überwacht werden sind entsprechend ausgeschildert um die betroffenen Personen über die Videoaufnahme zu informieren.
Ein herzliches Dankeschön an das Bayerische Landesamt für Datenschutzaufsicht BayLDA für umfangreiche Informationen und Arbeitshilfen