Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

1. Verantwortlicher

Ute Pont und Kathrin Kösters

Bahnhofstr. 13

48607 Ochtrup

Telefon: 02553/720820

E-Mail: wuensche@ochtrup-reist.de

2. Gesetzlicher Vertreter

Ute Pont und Kathrin Kösters

3. Vertreter in der EU (Art. 27 DS-GVO)

Hier nicht zutreffend bzw. relevant

4. Datenschutzbeauftragter

Ute Pont und Kathrin Kösters

5. Zuständige Aufsichtsbehörde

Die Landesbeauftragte für den Datenschutz und Informationsfreiheit

                        Kavalleriestraße 2-4

                        40213 Düsseldorf

                        Tel: 0211-384240

                        Email:   poststelle@ldi.nrw.de

Die Meldung des Datenschutzbeauftragten des Reisebüros an die Behörde ist noch nicht erfolgt. (was regelmäßig der Fall sein wird)

6. Regelungen zur Datensicherheit

Die Regelungen zur Datensicherheit sind aus der Anlage „I“ zu dieser Übersicht nach § 9 BDSG (alt) bzw. Art. 32 Abs. 1 DS-GVO dargestellt. Sie werden im regelmäßigen Prüfabstand durch die Geschäftsleitung in Absprache mit dem beauftragten Systemadministrator und dem Datenschutzbeauftragten (falls zutreffend) auf den jeweiligen Stand der Technik gebracht.

7. Regelungen zur Datenlöschung

Grundsätzlich gelten für alle Bereiche der Datenverarbeitung im Reisebüro die gesetzlichen Regelungen zur automatisierten Löschung von Daten. Diese werden durch Voreinstellungen in den einzelnen Datenverarbeitungsprogrammen und eine systematische Katalogisierung der in kartei- bzw. papierform gespeicherter Daten gewährleistet.

8. Sachverhalte zu Drittstaatenübermittlungen

Personenbezogene Daten werden zur Vertragsabwicklung von Reisedienstleistungen auch an Empfänger mit Sitz in Drittstaaten übermittelt. Hierbei gilt aus unserer Sicht das Prinzip der Datensparsamkeit. Nur die notwendigsten Daten werden übermittelt.

Anlage Nr. 1

Bezeichnung der Verarbeitungstätigkeit

Personalverwaltung (intern)

Verantwortliche Führungskraft

Ute Pont und Kathrin Kösters

Zwecke der Verarbeitung

Lohn- und Gehaltsabrechnung

Personaldisposition

Personalführung und -rekrutierung

Rechtsgrundlagen der Verarbeitung

Vertragliche Verpflichtungen aus dem Arbeitsverhältnis

Gesetzliche Verpflichtung aus den Vorschriften des BGB, SGB, EStG und HGB

Beschreibung der Kategorie betroffener Personen und der Kategorie personenbezogener Daten

a)    Betroffene Personengruppen

                                                          i.    Mitarbeiter

                                                         ii.    Bewerber

b)    Kategorien personenbezogener Daten

Mitarbeiter-Stammdaten:

Adresse, Geburtstag, Bankverbindung, Steuermerkmale, Lohngruppe, Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen, Urlaubs- und Überstundenaufzeichnungen, Mitarbeiterbeurteilungen

Bewerbungen mit Kontaktdaten, Qualifikationen, bisherige Tätigkeiten, Arbeitszeugnisse, Gehaltsvorstellungen, Lebensläufen

Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. noch offenzulegen sind (Art. 30 Abs. 1 lit. D DS-GVO)

-      Banken

-      Sozialversicherungsträger

-      Finanzbehörden

-      Gläubiger bei Lohn- und Gehaltspfändung

-      Träger einer Betriebsrente

-      Zuständige Steuerberaterkammer und IHK

-      Auftragsverarbeiter für die Gehaltsabrechnung Steuerbüro Steffers, Ochtrup

Datenübermittlung in Drittländer oder internationale Organisationen (Art. 30 Abs.1 lit. E DS-GVO)

Hier nicht zutreffend bzw. relevant

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO)

Bei Bewerberdaten nach Abschluss der Stellenbesetzung, außer weitere Aufbewahrung (gesperrt) auf ausdrücklichen Wunsch des Bewerbers. Ansonsten werden Bewerberdaten nach den gesetzlichen Vorschriften nach sechs Monaten gelöscht.

Für Mitarbeiterdaten gelten die handels-, sozial- und steuerrechtlichen Aufbewahrungspflichten.

Darüber hinaus werden die personenbezogenen Daten ausgeschiedener Mitarbeiter oder in den Ruhestand versetzten Mitarbeiter automatisch archiviert und dadurch für eine weitere Verarbeitung gesperrt.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 lit. g i.V.m. Art. 32 Abs.1 DS-GVO)

Die technischen und organisatorischen Maßnahmen zur Verwirklichung der datenschutzrechtlichen Schutzziele im Büro sind in einem eigenen Punkt Technisch Organisatorische Maßnahmen aufgelistet.

Anlage Nr. 2

Bezeichnung der Verarbeitungstätigkeit

Kundenverwaltung / Reisevermittlung

Verantwortliche Führungskraft

Ute Pont und Kathrin Kösters

Bahnhofstr. 13

48607 Ochtrup

Telefon: 02553/720820

E-Mail: wuensche@ochtrup-reist.de

Zwecke der Verarbeitung

• Abwicklung der vertraglich geschuldeten Dienstleistung im Zusammenhang mit einer Reisevermittlung (Pauschalreisen)
• Vermittlung von Reiserücktrittsversicherungen und sonstigen mit Reisedienstleistungen im Zusammenhang stehenden Versicherungsverträgen
• Vermittlung von Flügen
• Vermittlung von Bahntickets und Bahnreisen
• Vermittlung von Hotelleistungen
• Vermittlung von Eintrittskarten
• Vermittlung von Individualreisen

Rechtsgrundlagen der Verarbeitung

Vertragliche Verpflichtungen aus dem Auftragsverhältnis

Gesetzliche Verpflichtung aus den Vorschriften des BGB und HGB

Beschreibung der Kategorie betroffener Personen und der Kategorie personenbezogener Daten

Betroffene Personengruppen

a)Kunden

b)Mitarbeiter von gewerblichen Kunden

Kategorien personenbezogener Daten

Name, Adresse (Anschrift und E-mail), Geburtsdatum, Bankverbindung, Kreditkartennummern, körperliche Gebrechen (Behinderungen, wenn vom Kunden besondere Hinweise für Hotel oder Flug etc. gemacht werden), Reisepass- bzw. Personalausweisdaten, Reisevorlieben, gereiste Reisen

Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. noch offenzulegen sind (Art. 30 Abs. 1 lit. D DS-GVO)

a)    Reiseunternehmen für Pauschalreisen, Hotels und Fluggesellschaften

b)    Auftragsverarbeiter für die Buchungsabwicklung und Rechnungserstellung (Schmetterling International GmbH & Co. KG),

c)     Versicherungsgesellschaften,

d)    Deutsche Bahn,

e)    Fluggesellschaften,

f)      Hotel- und Beherbergungsbetriebe,

g)    Busunternehmen,

h)    Botschaften für Visumangelegenheiten,

Datenübermittlung in Drittländer oder internationale Organisationen (Art. 30 Abs.1 lit. E DS-GVO)

Personenbezogene Daten werden zur Vertragsabwicklung von Reisedienstleistungen auch an Empfänger mit Sitz in Drittstaaten übermittelt. Hierbei gilt aus unserer Sicht das Prinzip der Datensparsamkeit. Nur die notwendigsten Daten werden übermittelt.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO)

Für jegliche Kundendaten gelten die handels- und steuerrechtlichen Aufbewahrungspflichten.

Darüber hinaus werden die personenbezogenen Daten ehemaliger Kunden automatisch archiviert und dadurch für eine weitere Verarbeitung gesperrt, bis diese endgültig gelöscht werden.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 lit. g i.V.m. Art. 32 Abs.1 DS-GVO)

Die technischen und organisatorischen Maßnahmen zur Verwirklichung der datenschutzrechtlichen Schutzziele im Büro sind in einem eigenen Punkt Technisch Organisatorische Maßnahmen aufgelistet.