Datenschutz

Datenschutzerklärung

Die allgemeine Nutzung beim Besuch unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder eMail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Deine ausdrückliche Zustimmung nicht an Dritte weitergegeben. Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per eMail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Wir verwenden Ihre Bestandsdaten ausschließlich zur Abwicklung Ihrer Bestellung. Alle Kundendaten werden unter Beachtung der einschlägigen Vorschriften der Bundesdatenschutzgesetze (BDSG) und des Teledienstdatenschutzgesetzes (TDDSG) von uns gespeichert und verarbeitet. Bei Anmeldung zum Newsletter wird Ihre eMailadresse mit Ihrer Einwilligung für eigene Werbezwecke genutzt, bis Sie Sich vom Newsletter abmelden. Eine Abmeldung ist jederzeit möglich.

Sie haben jederzeit ein Recht auf kostenlose Auskunft, Berichtigung, Sperrung und Löschung Ihrer gespeicherten Daten. Bitte wenden Sie sich an kontakt@neshforce,de, oder senden Sie Ihre Verlangen per Post zu. Wir geben Ihre personenbezogenen Daten einschließlich Ihrer Haus- und eMail-Adresse niemals ohne Ihre ausdrückliche und jederzeit widerrufliche Einwilligung an Dritte weiter. Ausgenommen hiervon sind unsere Dienstleistungspartner, die zur Bestellabwicklung die Übermittlung von Daten benötigen (z.B. das mit der Lieferung beauftragte Versandunternehmen und das ggf. mit der Zahlungsabwicklung beauftragte Kreditinstitut). In diesen Fällen beschränkt sich der Umfang der übermittelten Daten jedoch nur auf das erforderliche Minimum. Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre durch uns verwalteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.

Ihre Bestell- und Bestandsdaten können Sie auch jederzeit in Ihrem Kunden-Account einsehen (nur für registrierte Kunden).

 

 Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung – DSGVO

1. Allgemeine Angaben

Bezeichnung der Verarbeitungstätigkeit

Erfassung, Speicherung und Übermittlung von Kundendaten

Dokumenten Stand:

Datum

Vereinsname und Postanschrift, E-Mail-Adresse, Telefonnummer

Name und Kontaktdaten des Datenschutzbeauftragten (Postanschrift, E-Mail-Adresse, Telefonnummer)

2. Zwecke der Datenverarbeitung

Interne Nutzung zur Ausführung der Dienstleistungen wie auch die Zustellung der Bestellung. Ihre Daten gehen nicht an Dritte.

3. Kategorien der personenbezogenen Daten

Lfd. Nr.

Bezeichnung der Daten

1

Titel, Name, Vorname

2

Anschrift

3

Geburtsdatum

4

Kommunikationsdaten (Telefon, Mobilnummer, Fax, E-Mail)

5

Bankverbindung

6

Lizenzen

4. Kategorien der betroffenen Personen

Lfd. Nr.

Lfd. Nr. von Ziffer 3

Bezeichnung der Daten

1

alle

Kunden

5. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Lfd. Nr. von Ziffer 3

Löschungsfrist

1

Titel, Name, Vorname

für Chronik dürfen Informationen noch gespeichert bleiben

2

Mit Ausscheiden des Mitgliedes

6. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Lfd. Nr.

Maßnahme

Umsetzung der Maßnahme

1

Zutrittskontrolle

Unbefugten ist der Zuritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Daten liegen in einem vom Verein beauftragten Rechenzentrum.

Die internen Arbeitsplätze vom Auftragnehmer sind in abschließbaren Büroräumen.

2

Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Passwortschutz 
  • Firewall
  • Anti-Viren-Software
  • Bildschirmsperre

3

Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Reduzierte Zahl der Zugriffsberechtigten.

Berechtigungskonzept für unterschiedliche Rollen in dem System selbst.

4

Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Überarbeitung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stelle und in welcher Form eine Übermittlung personenbezogener Daten vorgesehen erfolgen kann.

  • HTTPS-Verschlüsselung 
  • Bearbeitung in nicht der Öffentlichkeit zugänglichen Büroräumen / Privaträumen
  • Übermittlung möglich durch (zugriffsgeschützte): Datenbank, Applikation, Export, Schnittstellen, Druckfunktion

5

Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • My SQL-Log auf dem Server 
  • Logging über Software

6

Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

  • Weisung laut Vereinbarung zur Auftragsdatenver-arbeitung

7

Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Daten liegen in einem vom Verein beauftragten Rechenzentrum.

  • Backup
  • Sicherheitstests der Software werden vom Anbieter garantiert.

8

Trennungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Logische Trennung der Daten über Tabellen und Mandate

 

 

Erläuterungen

Allgemeines

Das Verzeichnis von Verarbeitungstätigkeiten ist nach Art. 30 Abs. 1 DSGVO vom Verantwortlichen zu führen. Diese Vorschrift lautet wie folgt:

„(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.“

Zu Nr. 1 (Allgemeine Angaben)

Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein. Beispiele: "Personaldatei", „Melderegister der Gemeinde …“. Für Außenstehende unverständliche Abkürzungen sind zu vermeiden. 

Zu Nr. 3 (Kategorien der personenbezogenen Daten)

Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vornamen“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. 

Zu Nr. 6 (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO)

Soweit möglich sind die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO hier zu beschreiben. Diese Vorschrift lautet wie folgt:

„(1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation)

Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO sind die geeigneten Garantien, in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten - soweit erforderlich ist dazu auf ergänzende Dokumente zu verweisen. 

 

Tobias Bußmann
- Inhaber Neshforce -
Firmensitz: Brinkhofweg 14 49080 Osnabrück
Verzeichnis von Verarbeitungstätigkeiten  

(Stand 24.05.2018)

Zuletzt angesehen