Verzeichnis von Verarbeitungstätigkeiten
Artikel 30 DSGVO
Name der Verarbeitungstätigkeit: Kunden- & Geschäftspartnerdatei Immobilienbüro
Stand: 23. Mai 2018
betrachtet am: 23. Mai 2018
Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten:
Verantwortlicher:
Firma
WILLI A. GROSSKURTH Immobilien GmbH
Vertreten durch die Geschäftsführerin:
Frau Renate Großkurth
D-60528 Frankfurt am Main,
Henselstraße 10
T. 0049 – 69 - 9207000
E-Mail: info@gkimmo.de
Zweck der Verarbeitung:
Immobiliendienstleistung
Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten:
Kunden und Bewerber der Firma WILLI A. GROSSKURTH Immobilien GmbH
Kundenstammdaten:
Name, Telefonnummer, E-Mail-Adresse, Investitionsabsichten (Investmenttyp, Lage, Kaufpreis, Mieteingang, Rendite, Zustand, Grundbuch- und Finanzierungsdaten)
Bewerber:
Name, Telefonnummer, E-Mail-Adresse, Lebensläufe, Bewerbungsmappen
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen
Organisationen:
Alle Mitarbeiter der Firma WILLI A. GROSSKURTH IMMOBILIEN GMBH
Kundenstammdaten, Bewerberdaten
Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien:
Keine Übermittlung an Drittstaaten
vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien:
Kundenstammdaten
Löschfrist:
bei Widerruf des Betroffenen
Rechtsgrundlage:
DSGVO Art.6, Abs. 1b
Jeder Kunde wird auf die Erfassung der Daten mündlich hingewiesen und darauf aufmerksam gemacht, dass er diese Daten jederzeit einsehen und löschen lassen kann.
Bewerberdaten
Löschfrist:
Sechs Monate nach Beendigung des Bewerbungsverfahrens
Rechtsgrundlage:
Art. 13, Abs. 1 und Abs. 2 DSGVO
Bewerber werden mit einer E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert.
Sonst: nach Entfall der Notwendigkeit und gesetzlichen Aufbewahrungsfrist
allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 EU DSGVO
VERTRAULICHKEIT
Zutrittskontrolle:
Schlüsselregelung
Alarmanlage
Zugangskontrolle:
Zuordnung von Benutzerrechten
Passwortvergabe sicherer Kennwörter
regelmäßige Passwortänderungen
Authentifikation mit Benutzername / Passwort
Einsatz einer Software-Firewall
Einsatz einer Hardware-Firewall
Einsatz von Intrusion-Detection-Systemen
Einsatz von Anti-Viren-Software
Patch-Management für Betriebssystem und Anwendungen
Zugriffskontrolle:
Rechtvergabe nach dem „need to know“ Prinzip
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
Passwortrichtlinie inklusive Passwortlänge, Passwortwechsel
Verwaltung der Rechte durch Systemadministrator
Anzahl der Administratoren auf das „Notwendigste“ reduziert
automatische Sperrmechanismen
physische Löschung von Datenträgern vor Wiederverwendung
Einsatz von Aktenvernichtern beziehungsweise Dienstleistern
Trennungskontrolle:
physikalische Trennung
logische Mandantentrennung (softwareseitig)
Pseudonymisierung:
Nutzung von Pseudonymisierung wo möglich (unter anderem bei Weitergabe)
geeignete Wahl der Pseudonymisierungsschlüssel
INTEGRITÄT:
Integrität:
Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und – fahrzeugen
Nachvollziehbarkeit bei Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (Nicht Benutzergruppen)
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzeptes
VERFÜGBARKEIT UND BELASTBARKEIT:
Verfügbarkeitskontrolle:
Unterbrechungsfreie Stromversorgung (USV)
Einsatz einer Software-Firewall
Einsatz einer Hardware-Firewall
Einsatz von Intrusion-Detection-Systemen
Einsatz von Anti-Viren-Software
Aufbewahrung von Datensicherung an einem sicheren, ausgelagertem Ort
rasche Wiederherstellbarkeit:
passender Harware-Service-Vertrag
Wartungsverträge mit geeigneter Reaktionszeit
VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG:
Datenschutzmanagement:
Verpflichtung auf Vertraulichkeit der Mitarbeiter
Incident-Response-Management:
definierter Meldeprozess
vorbereitete Reaktion auf den Vorfall (Kommunikation wie auch technische Maßnahmen)
Reflexion und Nachbereitungsprozess, um aus Vorfällen zu lernen
Datenschutzrechtliche Voreinstellungen:
Prozess zur Sicherstellung von Privacy by Design bei Änderungen
Auftragskontrolle:
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten