Herzenswachstum
Herzenswachstum
DSGVO-Konzept
​
Datenschutz & Datensicherheit
​
Stand: 14.06.2022
​
Inhalt
1. Präambel 2
2. Verzeichnis der verarbeiteten Daten. 2
3. Risiko- und Folgenabschätzung. 3
4. Maßnahmen zur Datensicherheit 4
5. Datenweitergabe. 4
6. Rechte von Klienten inkl. Dokumentation. 4
1.Präambel
Das vorliegende DSGVO-Konzept erfasst alle relevanten Verarbeitungstätigkeiten. Dieses Verzeichnis wird mit entsprechenden Punkten, die auf mein Unternehmen zutreffen, ausgefüllt und regelmäßig aktualisiert, um es bei einer behördlichen Kontrolle als Nachweis für meine Tätigkeiten zu nutzen.
2.Verzeichnis der verarbeiteten Daten
Folgendes Verarbeitungsverzeichnis gibt einen Überblick über die von den Kunden verarbeiteten Daten (Einteilung in logische Kategorien), die Art und Weise der Verarbeitung (analog / digital), die Notwendigkeit der Daten und die jeweiligen gesetzlichen Grundlagen. Weiteres wird angeführt, ob eine Einwilligung der Kunden notwendig ist und wie lange die jeweiligen Daten gespeichert werden.
Kategorie 1: Vor- und Zuname, Adresse
-
Verarbeitung: digital
-
Diese Daten werden benötigt für die Rechnungslegung
-
Gesetzesgrundlagen: Erfüllung des Arbeitsauftrages, Buchhaltungspflicht
-
Eine Einwilligung des Kunden ist nicht notwendig
-
Speicherung: Buchhaltung 7 Jahre, danach Vernichtung der Daten
-
Die Ablage der Kategorie 1 Daten erfolgt digital in einer passwort-geschützten Excel-Tabelle
-
Backups des Laptops werden ausschließlich verschlüsselt durchgeführt.
Kategorie 2: E-Mail Adresse, Telefonnummer
-
Verarbeitung: digital
-
Diese Daten werden benötigt für die Kommunikation mit dem Kunden,
z.B. Terminvereinbarung, Terminänderung, Rückfragen -
Gesetzesgrundlage: Erfüllung des Arbeitsauftrages. Eine Einwilligung ist nicht notwendig.
-
Speicherung: Im Falle von Rückfragen für 6 Monate nach Abschluss, danach Löschung.
-
Die Speicherung von Daten der Kategorie 2 erfolgen digital auf dem Mobiltelefon. Dieses wird mit einem sicheren Passwort vor unberechtigtem Zugriff geschützt.
Kategorie 3: Biografische Informationen, Persönliche Informationen (SENSIBEL!)
-
Verarbeitung: analog
-
Diese Daten werden benötigt für die Dokumentation des Fallverlaufes
-
Gesetzesgrundlage: Erfüllung des Arbeitsauftrages
-
Eine Einwilligung des Kunden ist nicht notwendig
-
Speicherung: Im Falle von Rückfragen für 6 Monate nach Abschluss, danach Löschung.
-
SENSIBLE Daten! Diese werden daher i.S.d. DSGVO ausschließlich analog und anonymisiert verarbeitet. Die Anonymisierung wird wie folgt durchgeführt:
-
Dokumentation erfolgt ausschließlich handschriftlich und anonymisiert (keine Informationen der Kategorien 1 und 2 auf der Dokumentation!)
-
Jede Dokumentation erhält eine Klienten-Nummer (KNR)
-
Die Zuordnung zwischen der vergebenen Klienten-Nummer (KNR) zu den Informationen der Kategorien 1 und 2 erfolgt in einer Excel-Tabelle, die mit Passwort gesichert ausschließlich auf einem Laptop abgelegt wird.
-
Der Laptop ist zusätzlich über ein sicheres Passwort abgesichert, die Daten der Festplatte sind verschlüsselt.
-
Backups des Laptops werden ausschließlich verschlüsselt durchgeführt.
3.Risiko- und Folgenabschätzung
Szenario 1: Einbruch, technische Geräte und Dokumentation werden gestohlen. HOHES RISIKO!
Verringerung der Eintrittswahrscheinlichkeit durch folgende Maßnahmen:
-
Sicherheitsschloss an der Eingangstüre
-
Keine digitale Speicherung von sensiblen Daten
-
Absicherung des Laptops durch sicheres Passwort, das monatlich geändert wird
-
Backup der Daten (externe Festplatte), verschlüsselt
Szenario 2: Mobiltelefon geht verloren / wird gestohlen. MITTLERES RISIKO.
Verringerung der Eintrittswahrscheinlichkeit durch folgende Maßnahmen:
-
Sicherung des Mobiltelefons über einen Pin-Code, der nicht erraten werden kann (kein Geburtsdatum, Postleitzahl oder ähnliches).
-
Ortungsmöglichkeit bei Verlust des Telefons über die entsprechende Möglichkeit des Anbieters wird eingerichtet.
-
Laufendes Backup der Daten am Mobiltelefon lt. Planung Kapitel 4.
Szenario 3: Dokumentation wird gestohlen / geht verloren. HOHES RISIKO
Verringerung der Eintrittswahrscheinlichkeit durch folgende Maßnahmen:
-
Dokumentation (Daten Kategorie 3) werden versperrt verwahrt.
-
Die Dokumentation erfolgt ausschließlich analog und handschriftlich bevorzugt unter Verwendung von eigenen Kürzeln und Symbole um die Anonymisierung möglichst weitreichend zu gewährleisten.
Szenario 4: Mithören dritter Person. MITTLERES RISIKO.
Verringerung der Eintrittswahrscheinlichkeit durch folgende Maßnahmen:
-
Geschlossene Türen und Fenster bei Terminen (gelüftet wird zwischen den Terminen)
-
Hintergrundmusik sofern möglich
-
Terminplanung mit Pausenzeiten zwischen den Terminen (um Begegnungen von Klienten im Eingangsbereich zu verhindern). Grundsätzlich ist kein Folgeklient anwesend während ein Termin noch läuft.
-
Keine Anwesenheit dritter Personen in den Räumlichkeiten bei Einzelterminen
4.Maßnahmen zur Datensicherheit
-
Wöchentliches Backup der digitalen Daten (Daten Kategorien 1 und 2) vom Mobiltelefon auf den Laptop und vom Laptop auf externes Speichermedium.
-
Backups erfolgen verschlüsselt nach höchstmöglich durchführbarem Sicherheitsstandard.
-
Die Backup-Festplatte wird an einem räumlich vom Laptop / Arbeitsbereich getrennten Ort versperrt aufbewahrt.
-
Anonymisiert Ablage in analoger Form der Dokumentation (Daten Kategorie 3) werden versperrt verwahrt.
-
Nachdem die Dokumentation anonymisiert und handschriftlich erfolgt ist eine versperrte und mit der Wand verbundene (verschraubte) Ablage ausreichend.
-
Regelmäßige Kontrolle der Vollständigkeit von Daten (Laptop, Backup-Festplatte, Dokumentation) bei Arbeitsbeginn mindestens jedoch wöchentlich (auch in der Urlaubszeit).
5.Datenweitergabe
Grundsätzlich werden nur absolut notwendige Daten auf Basis bestehender Rechtsgrundlagen an Dritte weitergegeben. Sensible Daten der Kategorie 3 (Dokumentation) werden nicht an Dritte weitergegeben. Folgende Datenweitergaben sind notwendig:
-
Daten der Kategorie 1 finden sich auf Ausgangsrechnungen und werden dem Steuerberater bzw. den Finanzbehörden nach Anfrage zur Prüfung aufgrund bestehender Rechtsgrundlagen weitergegeben. Ein entsprechender Verarbeitungsvertrag mit dem Steuerberater wird hierzu abgeschlossen. Die Rechnungen werden lt. aktuellem Rechtsstand nach 7 Jahren vernichtet.
-
Daten der Kategorie 2 werden nicht weitergegeben.
-
Daten der Kategorie 3 werden nicht weitergegeben.
-
Sollte eine Datenweitergabe an Dritte (Institutionen, Gericht, etc.) aufgrund einer außergewöhnlichen Situation notwendig sein, erfolgt dies ausschließlich mit schriftlicher Einwilligung des Klienten und unter klarer Festlegung des Umfangs der weitergegebenen Daten.
6.Rechte von Klienten inkl. Dokumentation
Die folgenden Rechte der Klientinnen und Klienten bzgl. ihrer/seiner Daten werden bei entsprechender Anfrage dokumentiert:
-
Recht der Auskunft (sofortige entsprechende Auskunft an Klienten)
-
Recht auf Berichtigung (sofortige Korrektur der gespeicherten Daten)
-
Recht auf Löschung (sofortige Löschung sofern rechtlich möglich)
-
Recht auf Widerspruch (sofortige Befassung mit dem Einwand)
-
Datenübertragbarkeit (sofortige entsprechende Auskunft an Klienten)
Dokumentation von Anfragen nach der DSGVO:
Datum
Art der Anfrage
Klient/in
Maßnahme
​
Weiterführende Informationen: