Impressum

Kindertagespflege

"Die Burgwichtel"

Radmacherstr. 9a
50374 Erftstadt


Kontakt

Telefon: +49 2235 9760653

mobil: 0176/72508954

E-Mail: info@burgwichtel-erftstadt.de

 

Tagesmutter:

Verena Bachus und Silke Gölzer

 

 

 

 

Datenschutz

Information über die Erhebung von Kundendaten 

Informationen zur Datenerhebung gemäß Artikel 13 DSGVO

Die Kindertagespflege Die Burgwichtel
Postanschrift Radmacher Str. 9a in 50374 Erftstadt,
erhebt Ihre Daten zum Zweck der Vertragsdurchführung, zur Erfüllung seiner vertraglichen und vorvertraglichen Pflichten sowie zur Direktwerbung.

Die Datenerhebung und Datenverarbeitung ist für die Durchführung des Vertrags erforderlich und beruht auf Artikel 6 Abs. 1 b) DSGVO. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind. Alle Mitarbeiter der Tennisschule unterliegen den gleichen strengen Datenschutzrichtlinien.

Sie haben das Recht, der Verwendung Ihrer Daten zum Zweck der Direktwerbung jederzeit zu widersprechen. Zudem sind Sie berechtigt, Auskunft der bei uns über Sie gespeicherten Daten zu beantragen sowie bei Unrichtigkeit der Daten die Berichtigung oder bei unzulässiger Datenspeicherung die Löschung der Daten zu fordern. Sie können uns unter info@tennisschule-Steinacker.de oder unter Tennisschule Heiko Steinacker, Bonner Ring 131, 50374 Erftstadt, erreichen.

Ihnen steht des Weiteren ein Beschwerderecht bei der Aufsichtsbehörde zu.

Verzeichnis von Verarbeitungstätigkeiten

  Ersterstellung 

⦁ Änderung eines bestehenden Verzeichnisses

Erstellungsdatum: 13.05.2018

Bezeichnung der Verarbeitungstätigkeit: Erstellung und Führung der Kundendatei

I.  Angaben zur Verantwortlichkeit, Art. 30 Abs. 1 b) DSGVO

1. Verantwortlicher Fachbereich/verantwortliche Führungskraft 
Heiko Steinacker

2. Bei gemeinsamer Verantwortlichkeit:
nein

II. Angaben zur Verarbeitungstätigkeit

3. Risikobewertung 
Besteht bei der Verarbeitung ein hohes Risiko für die betroffenen Personen?

 Nein

Wenn ja, dann Durchführung einer Datenschutz-Folgenabschätzung erforderlich  (Art. 35 DSGVO). Datenschutz-Folgenabschätzung als separate Anlage beifügen. 

4. Zwecke der Verarbeitungen/der Verarbeitungstätigkeit
Organisation von Geschäftskontakten und Bestandskunden.
Durchführung von Training, Betreuung von Kunden .
Nutzung zur Direktwerbung.  

5. Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit
Art. 6 Abs. 1 b DSGVO

6. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, Art. 30 Abs. 1 c) DSGVO

6.1. Betroffene Personengruppen  6.2. Kategorien personenbezogener Daten
Kunden, Geschäftspartner   Name, Vorname, Adressdaten, (elektronische) Kontaktdaten, ggfs. Firma, Datum des Auftrags, Gegenstand des Auftrags 

7. Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden, Art. 30 Abs. 1 d) DSGVO

7.1. Interne Empfänger 
Tagesmutter Silke Steinacker und Verena Bachus, sowie deren Vertretung

7.2.  Externe Empfänger Steuerberater u Finantzamt soweit erforderlich

7.3.  Vertragliche Dienstleister
(Vertrag der Auftragsdatenverarbeitung als Anlage beifügen) --------

8.  Datenübermittlungen in Drittländer oder an internationale Organisationen,                                    Art. 30 Abs. 1 e) DSGVO

Übermittlung

 Nein

□ Ja

Wenn ja, dann: Name des Drittlandes / der internationalen Organisation (DSGVO)

9.  Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien,                                 Art. 30 Abs. 1 f) DSGVO

Die Daten werden gelöscht, wenn sie für die Erfüllung des Zweck (siehe Nr. 4) nicht mehr erforderlich sind.

10. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, Art. 30 Abs. 1 g) i.V.m. Art. 32 Abs. 1 DSGVO

Siehe betriebsinternes IT-Sicherheitskonzept

⦁ Art der eingesetzten DV-Anlagen und Software (optional)

---------
 
(Siehe betriebsinternes IT-Sicherheitskonzept)

10.2 Konkrete Beschreibung der technischen und organisatorischen Maßnahmen, Art. 30 Abs. 1 g) i.V.m. Art. 32 Abs. 1 DSGVO

---------
 
(Siehe betriebsinternes IT-Sicherheitskonzept)

----- Optionale Angaben ----

Weitere Dokumentationen zur Verarbeitungstätigkeit

----------------------------

----- Ende Optionale Angaben----

Erläuterungen zum Verarbeitungsverzeichnis

Nr. 1 Eindeutige Bezeichnung der dokumentierten Verarbeitung/ Verarbeitungstätigkeit auf Grundlage eines Fachprozesses. Es sollte eine im Unternehmen geläufige Bezeichnung des Fachprozesses gewählt werden. 
Beispiele: 
⦁ Allgemeine Kundenverwaltung
⦁ Customer-Relationship-Management (CRM)

Nr. 1 Nach der Unternehmensorganisation für die konkrete Verarbeitungstätigkeit verantwortlicher Fachbereich/verantwortliche Führungskraft (sofern möglich und sinnvoll, zumindest als Funktionsbezeichnung)

Nr. 2 Falls mehrere Verantwortliche gemeinsam für die Verarbeitungstätigkeiten verantwortlich sind, bspw. innerhalb einer Unternehmensgruppe, sind hier Name und Kontaktdaten des/der weiteren Verantwortlichen anzugeben (Firma/ladungsfähige Anschrift; Art. 30 Abs. 1 a) DSGVO, Art. 26 Abs. 1 DSGVO)

Nr. 3 Es ist zu bewerten, ob die Datenverarbeitung ein hohes Risiko für die Personen birgt, deren Daten verarbeitet werden. Ein hohes Risiko liegt u.a. dann vor, wenn sehr viele Personen von der Datenverarbeitung betroffen sind. Das gleiche gilt, wenn besonders schutzwürdige Daten (z.B. Gesundheitsdaten) umfangreich verarbeitet werden.

Nr. 4 Beispiele:
⦁ Verarbeitungstätigkeit: „Allgemeine Kundenverwaltung“; verfolgte Zweckbestimmungen: „Auftragsbearbeitung, Buchhaltung und Inkasso“

⦁ Verarbeitungstätigkeit: „Customer-Relationship-Management“; verfolgte Zweckbestimmungen: „Dokumentation und Verwaltung von Kundenbeziehungen, Marketing, Neukundenakquise, Kundenbindungsmaßnahmen, Kundenberatung, Beschwerdemanagement, Kündigungsprozess“

Eine Verarbeitungstätigkeit kann mehrere Teil-Geschäftsprozesse zusammenfassen. Dementsprechend kann eine Verarbeitung auch mehrere Zwecke umfassen, so dass auch mehrere Zweckbestimmungen angegeben werden können. Die erforderliche Detailtiefe hängt von der Geschäftstätigkeit des Verantwortlichen ab. 

Es können neben dem Fachprozess auch begleitende mitarbeiterbezogene Unterstützungsprozesse vorliegen wie z.B. zur Personalführung/-einsatzplanung. Diese können entweder als Teil einer anderen Verarbeitung oder als eigene Verarbeitung beschrieben sein.

Nr. 5 Die Nennung der einschlägigen Rechtsgrundlage ist für Rechenschaftspflichten und die Gewährleistung von Transparenzpflichten ggü. den betroffenen Personen notwendig. Die Rechtsgrundlage können z.B. eine gesetzliche Vorschrift oder eine Einwilligung durch den Betroffenen sein. 

Nr. 6 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, Art. 30 Abs. 1 c) DSGVO
Nr. 6.1 Als betroffene Personengruppen kommen beispielsweise Kunden, Interessenten, Arbeitnehmer, Schuldner, Versicherungsnehmer usw. in Betracht.
Nr. 6.2 Den einzelnen Personengruppen sind die jeweils auf sie bezogenen verwendeten Daten oder Datenkategorien zuzuordnen. Damit sind keine personenbezogenen Daten, sondern "Datenbezeichnungen"/Datenkategorien gemeint (z.B. „Adresse“, „Geburtsdatum“, „Bankverbindung“). Werden solche Datenkategorien angegeben, so müssen diese so konkret wie möglich sein. Nicht ausreichend sind etwa Angaben wie „Kundendaten“ oder Ähnliches.

Beispiele: 
⦁ Kunden: Adressdaten, Kontaktkoordinaten (einschl. Telefon-, Fax-und E-Mail-Daten), Geburtsdatum, Vertragsdaten, Bonitätsdaten, Betreuungsinformationen einschließlich Kundenentwicklung, Produkt- bzw. Vertragsinteresse, Statistikdaten, Abrechnungs- und Leistungsdaten, Bankverbindung
⦁ Beschäftigtendaten (Lohn und Gehalt): Kontaktdaten, Bankverbindung, Sozialversicherungsdaten, etc.

Nr. 7 Empfängerkategorien sind insbesondere am Prozess beteiligte weitere Stellen des Unternehmens oder andere Gruppen von Personen oder Stellen, die Daten – ggf. über Schnittstellen – erhalten z.B. in den Prozess eingebundene weitere Fachabteilungen, Vertragspartner, Kunden, Behörden, Versicherungen, Auftragsverarbeiter (z.B. Dienstleistungsrechenzentrum, Call-Center, Datenvernichter, Anwendungsentwicklung, Cloud Service Provider) usw.

Nr. 8

 Drittländer sind solche außerhalb der EU/des EWR
Beispiele für internationale Organisationen: Institutionen der UNO, der EU. 
Liegt keine der genannten Garantien vor, sind hier andere getroffene Garantien zu dokumentieren, Art. 49 Abs. 1. UAbs. 2 DSGVO.

Nr. 9 Anzugeben sind hier die konkreten Aufbewahrungs-/Löschfristen, die in Verarbeitungstätigkeiten implementiert sind, bezogen auf einzelne Verarbeitungsschritte, falls unterschiedlich. 

Soweit diese in einem Löschkonzept dokumentiert sind, reicht der Verweis auf das vorhandene und in der Verarbeitungstätigkeit umgesetzte Löschkonzept aus. 

Nr. 10 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, Art. 30 Abs. 1 g) i.V.m. Art. 32 Abs. 1 DSGVO.

Nr. 10.1 Optional kann an dieser Stelle eine knappe Beschreibung der technischen Infrastruktur wie der technischen und organisatorischen Sicherheitsmaßnahmen angegeben werden, um ein besseres Verständnis der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen (siehe 10.2.) zu ermöglichen.

Nr. 10.2 Soweit sich die technischen und organisatorischen Maßnahmen schon aus vorhandenen Sicherheitsrichtlinien/Konzepten/Zertifizierungen ergeben, ist ein konkreter Verweis hierauf ausreichend.

Insbesondere sind hier Abweichungen zu einem übergreifenden Sicherheitskonzept (siehe Hauptblatt Nr. 5) zu dokumentieren. Wenn eine Datenschutz-Folgenabschätzung für die Verarbeitung hohe Risiken ausweist, so sind die zur Bewältigung dieser Risiken getroffenen Sicherheitsvorkehrungen für die Verarbeitung in der Datenschutz-Folgenabschätzung zu dokumentieren, Art. 35 Abs. 7 d) DSGVO. Ein Verweis auf das Vorhandensein einer Datenschutz-Folgenabschätzung ist eine sinnvolle optionale Angabe (siehe unten).

Optional Im Hinblick auf die vielfältigen Nachweispflichten, denen das Unternehmen im Datenschutz unterliegt, kann es sinnvoll sein, weitere Aspekte zur Verarbeitungstätigkeit zu dokumentieren. Diese sind nur intern zu verwenden. Zu diesen zusätzlichen Dokumentationen, die sinnvollerweise hier erfolgen, gehören z. B. 
⦁ Angaben zur Zusammenstellung der Informationspflichten (insbes. Art. 13,14 DSGVO)
⦁ Verträge mit Dienstleistern (Art. 28 DSGVO)
⦁ Vereinbarungen zur gemeinsamen Verantwortung (Art. 26 DSGVO)
⦁ Eine Bewertung der Risiken der Verarbeitungstätigkeit für die Rechte und Freiheiten natürlicher Personen
⦁ durchgeführte Datenschutzfolgeabschätzungen zur Verarbeitungstätigkeit oder einzelnen Verarbeitungsschritten (Art. 35 DSGVO)