BV Logo

W.V.G. GmbH

Krefeld

VNWI_Kl_SC2
bild-237
ddiv

W.V.G. Haus- und Wohnungseigentumsverwaltung GmbH

GF: Hans-Willi Verpoort, Nernststr. 10, 47805 Krefeld

Verzeichnis von Verarbeitungsttigkeiten fr Verantwortliche

Angaben zum Verantwortlichen

Name bzw. Unternehmensbezeichnung
inkl. Rechtsformzusatz

W.V.G. Haus- und Wohnungseigentumsverwaltung GmbH

ggf. vertretungsberechtigte Person des Unternehmens (z.B.
GmbH-Geschftshrer):

Hans-Willi Verpoort

 

Anschrift:

Nernststr. 10, 47805 Krefeld

Telefonnr.:

02151- 39 67 75

Faxnr.:

02151- 651-43 39

E-Mail-Adresse:

Info@wvg-krefeld.de

Angaben zum Datenschutzbeauftragten (DSB):

 

Hinweis: Eine Pflicht zur Bestellung eines Daten-schutzbeauftragten besteht, wenn sich mehr als 10 Mitarbeiter im Unternehmen stndig mit der automatisierten Verarbeitung personenbezoge-ner Daten beschftigen.

Vor- und Nachname:

Hans-Willi Verpoort

Anschrift:

Nernststr. 10, 47805 Krefeld

Telefonnr.:

02151- 39 67 75

E-Mail-Adresse:

02151- 651-43 39

interner oder externer DSB?

Info@wvg-krefeld.de

 

Datum der Anlegung:

jeweils mit Verwaltungsbeginn

Datum der letzten nderung:

Jeweils mit Hausgeldbuchungen

Beschreibung der Verarbeitungsttigkeit:

Finanzbuchhaltung

 

Zweck der Verarbeitungsttigkeit:

- Durchfhrung der Finanzbuchhaltung

- Umsetzung der gesetzlichen Vorgaben (GoBD)

Kategorien betroffener Personen:

o Beschftigte

o Kunden

o Lieferanten/ Dienstleister/ Versicherung

o Anwalt

o Kreditoren

o Debitoren

Kategorien personenbezogener Daten:

o Name

o Adressdaten

o Kontaktdaten

o Bankverbindung

o Interessentendaten

o Beschftigtendaten

o Lieferantendaten

o Kundendaten

o Buchungsdaten

o Daten Mahnwesen

o Saldenlisten

o Jahresabrechnungen

Kategorien besonderer personenbezogener Daten:

Kategorien von Empfngern der personenbezogenen Daten:

o intern:  Buchhaltung, Geschftsfhrung

o extern: Finanzbehrden, Sozialversicherungen, Krankenversicherungen, Zahlungsdienstleister (Hausbank)

bermittlung der Daten an Dritte:

o findet nicht statt und ist auch nicht geplant

Fristen zur Lschung der versch. Datenkategorien:

o 6 Jahre gem. Handelsrecht

o 8 Jahre gem. Handelsrecht

o 10 Jahre gem. Steuerrecht

o 30 Jahre gem. Sozialrecht

o 6 Monate fr Unterlagen abgelehnter Bewerber gem. AGG

o 30 Jahre bei vollstreckbaren Titeln (Urteile, Vollstreckungsbescheide o..)

o 30 Tage gem. Bundesmeldegesetz

o 2 Jahre wegen Gewhrleistungsvorschriften

Beschreibung der technischen und organisatorischen Manahmen (TOM):

s. Anhang am Ende dieses Dokuments (ab S. 4)

Rechtsgrundlage fr die Verarbeitungsttigkeit:

o Erfllung eines Vertrages (Erteilung eines Verwaltungs- Auftrags)

o Erfllung einer rechtlichen Verpflichtung (Aufbewahrungsfrist gem. Steuerrecht etc.)

Rechtsgrundlage fr die Verarbeitung von besonderen personenbezogenen Daten:

o Einwilligung (Zustimmungserklrung des Betroffenen)

o Einwilligung dokumentiert

o aufgrund Arbeitsrecht / Sozialrecht (Daten von Beschftigten

o Geltendmachung, Ausbung oder Verteidigung von Rechtsansprchen (Durchfhrung eines Schadensersatzprozesses)

o erhebliches ffentliches Interesse (Informationen der ffentlichen Verwaltung)

Dokumentation allg. Informationspflicht:

o Datenschutzhinweise bei Erstkontakt bermittelt, und zwar

o per E-Mail (PDF-Anhang)

o per Website-Link

o telefonisch

o persnlich

o Datenschutzhinweise bei Einholung der Einwilligung erteilt

o Beschftigte erhalten Datenschutzhinweise zusammen mit Arbeitsvertrag

Dokumentation Prozess Auskunftsanfragen:

Betroffene Personen erhalten auf Anfrage Auskunft ber die im Unternehmen verarbeiteten personenbezogenen Daten sowie folgende Informationen:

- Zwecke der Verarbeitung

- Kategorien personenbezogener Daten

- Empfnger oder Kategorien von Empfngern

- geplante Speicherdauer (falls mglich) oder Kriterien fr Festlegung der Speicherdauer der personenbezogenen Daten

- Recht auf Berichtigung, Lschung, Widerspruch, Einschrnkung der Verarbeitung und Beschwerde bei zustndiger Aufsichtsbehrde

- Herkunft der Daten (soweit diese nicht direkt bei der betroffenen Person erhoben wurden)

- ggf. Infos ber Bestehen einer automatisierten Entscheidungsfindung einschlielich Profiling und ggf. aussagekrftige Infos ber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung fr die betroffene Person

Ein entsprechender Prozess ist installiert und dokumentiert, es existiert eine Vorlage fr ein entsprechendes Auskunftsschreiben.

Umsetzung Grundsatz Speicherbegrenzung:

Die Daten der betroffenen Personen werden nur so lange gespeichert, wie dies zur Erfllung des Zwecks des jeweiligen Datenverarbeitungs-vorgangs erforderlich ist und soweit der Lschung keine gesetzlichen Aufbewahrungs-fristen entgegenstehen.

Konkrete Manahmen zur Sicherheit dieser Verarbeitungsttigkeit:

o TOMs (s. Anhang)

o zustzlich werden bei dieser Verarbeitungsttigkeit folgende Manahmen umgesetzt:

- Original-Papierakten in Safe

- Backup-Datentrger in Safe

- Kommunikation ausschlielich ber Datenzu-griff ber gesondertes Berechtigungskonzept

Dokumentation Prozess Datenpannen:

Der Prozess fr die Reaktion auf etwaige Datenschutzverletzungen ist installiert und dokumentiert, insbesondere kennen alle beteiligten Personen im Unternehmen die gesetzlich vorgesehenen Reaktionsfristen.

Es existiert eine Vorlage fr ein entsprechendes Info-Schreiben an die Aufsichtsbehrde bzw. an die Betroffenen.

In jedem Fall werden die Geschftsfhrung und der System-Administrator so schnell wie mglich nach Erkennen der Datenschutz-verletzung ber diese informiert. Sodann werden alle wesentlichen Informationen ber die Datenschutzverletzung gesammelt und analysiert. Anschlieend werden die erforderlichen Informationen fr eine evtl. Benachrichtigung der Aufsichtsbehrde bzw. der betroffenen Personen zusammengestellt. Besteht ein konkretes Risiko fr Betroffene, dann wird die zustndige Aufsichtsbehrde unverzglich, aber sptestens binnen 72 Std. informiert.

Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzglich darber informiert.

Datenschutz-Folgenabschtzung (DSFA):

o keine DSFA erforderlich, da Verarbeitungsttigkeit auf “Whitelist” der Aufsichtsbehrden

o keine DSFA erforderlich aus sonstigen Grnden: kein hohes Risiko.

Dokumentation Sensibilisierung / Unterrichtung der Beschftigten:

Alle Beschftigten erhalten zu Beginn ihrer Ttigkeit im Unternehmen zusammen mit ihrem Arbeitsvertrag ein Info-Blatt zum Datenschutz. Auerdem mssen sie eine Verpflichtungserklrung zur Vertraulichkeit unterzeichnen.

Fr alle Beschftigten erfolgt eine Unterweisung bzgl. der Grundlagen des Datenschutzes durch eine entsprechende Arbeitsanweisung.

Es finden regelmig (mind. 2x jhrlich) Meetings mit allen Beschftigten statt, in denen u.a. auch Infos bzgl. des Datenschutzes erfolgen. Die Teilnahme der Beschftigten an diesen Meetings wird durch ihre Unterschrift unter dem Meeting-Protokoll dokumentiert.

 

Anhang zum Verarbeitungsverzeichnis “TOM”

1. Gewhrleistung der Vertraulichkeit Zutrittskontrolle:

(Manahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

- Alarmanlage

- mechanische Fenstersicherungen

- Absicherung von Gebudeschchten

- manuelles Schliesystem

- Schliesystem mit Sicherheitsschlssern

- Schlsselregelung Beschftigte

- Verschlieen der Tren bei Abwesenheit

Zugangskontrolle:

(Manahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden knnen.)

- Erstellen von Benutzerprofilen mit unter-schiedlichen Berechtigungen

- Pflicht zur Passwortnutzung

- Authentifikation durch Benutzername und Passwort

- Verriegelungen an Rechnergehusen

- Sperren von externen Schnittstellen (USB, CD-Rom)

- Begrenzung der Fehlversuche bei Anmeldung am System

Zugriffskontrolle:

(Manahmen, die gewhrleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschlielich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen knnen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verndert oder entfernt werden knnen.)

- Nutzer-Berechtigungskonzept

- Verwaltung der Nutzerrechte durch Systemadministrator

- Protokollierung von Zugriffen auf Anwendungen

- Einsatz von Aktenvernichtern

- Inanspruchnahme von Dienstleistern zur Aktenvernichtung (inkl. Protokollierung der Vernichtung)

- Aufbewahrung von Datentrgern in abschliebaren Schrnken

- Aufbewahrung von Aktenordnern in abschliebaren Schrnken

Trennungsgebot:

(Manahmen, die gewhrleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden knnen.)

- physikalisch getrennte Speicherung auf gesonderten Systemen oder Datentrgern

- logische Mandantentrennung

- Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept

- Trennung von Produktiv- und Testsystem

Pseudonymisierung:

- Nutzung von pseudonymisierten Daten bei Datenbermittlung an externe Dienstleister

Verschlsselung:

- Datentrgerverschlsselung unter Windows 10 mittels Bitlocker

- Nutzung von hardwareseitig verschlsselten USB-Festplatten

 

2. Gewhrleistung der Belastbarkeit der Systeme

Belastbarkeit der IT-Systeme:

- Antiviren-Software

- Hardware-Firewall

- Software-Firewall

 

3. Wiederherstellung der Verfgbarkeit

Wiederherstellbarkeit von IT-Systemen:

- sorgfltig ausgewhlter interner System-Administrator

- Vorhaltung von Ersatz-Hardware / Laptop

 

4. Verfahren zur regelmigen berprfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Informations-Sicherheits-Management-System (ISMS):

- regelmige Prfung der TOM (mind. 2x jhrlich) durch Geschftsfhrer und System-Administrator

- elektronisches Datenschutz-Handbuch mit Vorgaben zu regelmigen Prfintervallen (ggf. eingebunden in vorhandenes Dokumenten-Management-System)