BV Logo

W.V.G. GmbH

Krefeld

VNWI_Kl_SC2
bild-237
ddiv

W.V.G. Haus- und Wohnungseigentumsverwaltung GmbH

GF: Hans-Willi Verpoort, Nernststr. 10, 47805 Krefeld

Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche

Angaben zum Verantwortlichen

Name bzw. Unternehmensbezeichnung
inkl. Rechtsformzusatz

W.V.G. Haus- und Wohnungseigentumsverwaltung GmbH

ggf. vertretungsberechtigte Person des Unternehmens (z.B.
GmbH-Geschäftsührer):

Hans-Willi Verpoort

 

Anschrift:

Nernststr. 10, 47805 Krefeld

Telefonnr.:

02151- 39 67 75

Faxnr.:

02151- 651-43 39

E-Mail-Adresse:

Info@wvg-krefeld.de

Angaben zum Datenschutzbeauftragten (DSB):

 

Hinweis: Eine Pflicht zur Bestellung eines Daten-schutzbeauftragten besteht, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezoge-ner Daten beschäftigen.

Vor- und Nachname:

Hans-Willi Verpoort

Anschrift:

Nernststr. 10, 47805 Krefeld

Telefonnr.:

02151- 39 67 75

E-Mail-Adresse:

02151- 651-43 39

interner oder externer DSB?

Info@wvg-krefeld.de

 

Datum der Anlegung:

jeweils mit Verwaltungsbeginn

Datum der letzten Änderung:

Jeweils mit Hausgeldbuchungen

Beschreibung der Verarbeitungstätigkeit:

Finanzbuchhaltung

 

Zweck der Verarbeitungstätigkeit:

- Durchführung der Finanzbuchhaltung

- Umsetzung der gesetzlichen Vorgaben (GoBD)

Kategorien betroffener Personen:

o Beschäftigte

o Kunden

o Lieferanten/ Dienstleister/ Versicherung

o Anwalt

o Kreditoren

o Debitoren

Kategorien personenbezogener Daten:

o Name

o Adressdaten

o Kontaktdaten

o Bankverbindung

o Interessentendaten

o Beschäftigtendaten

o Lieferantendaten

o Kundendaten

o Buchungsdaten

o Daten Mahnwesen

o Saldenlisten

o Jahresabrechnungen

Kategorien besonderer personenbezogener Daten:

Kategorien von Empfängern der personenbezogenen Daten:

o intern:  Buchhaltung, Geschäftsführung

o extern: Finanzbehörden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)

Übermittlung der Daten an Dritte:

o findet nicht statt und ist auch nicht geplant

Fristen zur Löschung der versch. Datenkategorien:

o 6 Jahre gem. Handelsrecht

o 8 Jahre gem. Handelsrecht

o 10 Jahre gem. Steuerrecht

o 30 Jahre gem. Sozialrecht

o 6 Monate für Unterlagen abgelehnter Bewerber gem. AGG

o 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o.ä.)

o 30 Tage gem. Bundesmeldegesetz

o 2 Jahre wegen Gewährleistungsvorschriften

Beschreibung der technischen und organisatorischen Maßnahmen (TOM):

s. Anhang am Ende dieses Dokuments (ab S. 4)

Rechtsgrundlage für die Verarbeitungstätigkeit:

o Erfüllung eines Vertrages (Erteilung eines Verwaltungs- Auftrags)

o Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht etc.)

Rechtsgrundlage für die Verarbeitung von besonderen personenbezogenen Daten:

o Einwilligung (Zustimmungserklärung des Betroffenen)

o Einwilligung dokumentiert

o aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschäftigten

o Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Durchführung eines Schadensersatzprozesses)

o erhebliches öffentliches Interesse (Informationen der öffentlichen Verwaltung)

Dokumentation allg. Informationspflicht:

o Datenschutzhinweise bei Erstkontakt Übermittelt, und zwar

o per E-Mail (PDF-Anhang)

o per Website-Link

o telefonisch

o persönlich

o Datenschutzhinweise bei Einholung der Einwilligung erteilt

o Beschäftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertrag

Dokumentation Prozess Auskunftsanfragen:

Betroffene Personen erhalten auf Anfrage Auskunft über die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

- Zwecke der Verarbeitung

- Kategorien personenbezogener Daten

- Empfänger oder Kategorien von Empfängern

- geplante Speicherdauer (falls möglich) oder Kriterien für Festlegung der Speicherdauer der personenbezogenen Daten

- Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Beschwerde bei zuständiger Aufsichtsbehörde

- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)

- ggf. Infos über Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage für ein entsprechendes Auskunftsschreiben.

Umsetzung Grundsatz Speicherbegrenzung:

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfüllung des Zwecks des jeweiligen Datenverarbeitungs-vorgangs erforderlich ist und soweit der Löschung keine gesetzlichen Aufbewahrungs-fristen entgegenstehen.

Konkrete Maßnahmen zur Sicherheit dieser Verarbeitungstätigkeit:

o TOMs (s. Anhang)

o zusätzlich werden bei dieser Verarbeitungstätigkeit folgende Maßnahmen umgesetzt:

- Original-Papierakten in Safe

- Backup-Datenträger in Safe

- Kommunikation ausschließlich Über Datenzu-griff über gesondertes Berechtigungskonzept

Dokumentation Prozess Datenpannen:

Der Prozess für die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage für ein entsprechendes Info-Schreiben an die Aufsichtsbehörde bzw. an die Betroffenen.

In jedem Fall werden die Geschäftsführung und der System-Administrator so schnell wie möglich nach Erkennen der Datenschutz-verletzung über diese informiert. Sodann werden alle wesentlichen Informationen über die Datenschutzverletzung gesammelt und analysiert. Anschließend werden die erforderlichen Informationen für eine evtl. Benachrichtigung der Aufsichtsbehörde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko für Betroffene, dann wird die zuständige Aufsichtsbehörde unverzüglich, aber spätestens binnen 72 Std. informiert.

Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

Datenschutz-Folgenabschätzung (DSFA):

o keine DSFA erforderlich, da Verarbeitungstätigkeit auf “€žWhitelist” der Aufsichtsbehörden

o keine DSFA erforderlich aus sonstigen Gründen: kein hohes Risiko.

Dokumentation Sensibilisierung / Unterrichtung der Beschäftigten:

Alle Beschäftigten erhalten zu Beginn ihrer Tätigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Außerdem müssen sie eine Verpflichtungserklärung zur Vertraulichkeit unterzeichnen.

Für alle Beschäftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung.

Es finden regelmäßig (mind. 2x jährlich) Meetings mit allen Beschäftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschäftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.

 

Anhang zum Verarbeitungsverzeichnis “TOM”

1. Gewährleistung der Vertraulichkeit Zutrittskontrolle:

(Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

- Alarmanlage

- mechanische Fenstersicherungen

- Absicherung von Gebäudeschächten

- manuelles Schließsystem

- Schließsystem mit Sicherheitsschlössern

- Schlösselregelung Beschäftigte

- Verschließen der Türen bei Abwesenheit

Zugangskontrolle:

(Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.)

- Erstellen von Benutzerprofilen mit unter-schiedlichen Berechtigungen

- Pflicht zur Passwortnutzung

- Authentifikation durch Benutzername und Passwort

- Verriegelungen an Rechnergehä¤usen

- Sperren von externen Schnittstellen (USB, CD-Rom)

- Begrenzung der Fehlversuche bei Anmeldung am System

Zugriffskontrolle:

(Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)

- Nutzer-Berechtigungskonzept

- Verwaltung der Nutzerrechte durch Systemadministrator

- Protokollierung von Zugriffen auf Anwendungen

- Einsatz von Aktenvernichtern

- Inanspruchnahme von Dienstleistern zur Aktenvernichtung (inkl. Protokollierung der Vernichtung)

- Aufbewahrung von Datenträgern in abschließbaren Schränken

- Aufbewahrung von Aktenordnern in abschließbaren Schränken

Trennungsgebot:

(Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.)

- physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern

- logische Mandantentrennung

- Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept

- Trennung von Produktiv- und Testsystem

Pseudonymisierung:

- Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister

Verschlüsselung:

- Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker

- Nutzung von hardwareseitig verschlüsselten USB-Festplatten

 

2. Gewährleistung der Belastbarkeit der Systeme

Belastbarkeit der IT-Systeme:

- Antiviren-Software

- Hardware-Firewall

- Software-Firewall

 

3. Wiederherstellung der Verfügbarkeit

Wiederherstellbarkeit von IT-Systemen:

- sorgfältig ausgewählter interner System-Administrator

- Vorhaltung von Ersatz-Hardware / Laptop

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Informations-Sicherheits-Management-System (ISMS):

- regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator

- elektronisches Datenschutz-Handbuch mit Vorgaben zu regelmäßigen Prüfintervallen (ggf. eingebunden in vorhandenes Dokumenten-Management-System)