Rechtsanwaltskanzlei Schureck
Verzeichnis der Verarbeitungstätigkeit nach Art. 30 DSGVO
Name und Kotaktdaten des Verantwortlichen sowie
ggf. seiner Vertreters:
Rechtsanwaltskanzlei Schureck
Christoph Schureck
Friedenspromenade 104a
81827 München
Name und Kotaktdaten des betrieblichen
Datenschutzbeauftragten:
Christoph Schureck
Schureck@Schureck.de
Zwecke der Verarbeitung:
Tätigkeitsgegenstand der Kanzlei ist die Beratung von Mandanten
sowie deren gerichtliche und außergerichtliche Vertretung.
Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten:
Mandantendaten, Mitarbeiterdaten sowie Daten von Lieferanten sowie anderer Geschäftspartner, sofern die Verarbeitung zur Erfüllung der unter b. genannten Zwecke erforderlich ist. Details sind in der Anlage beschrieben.
Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. werden (intern/extern) sowie Empfänger in Drittstaaten:
Hierzu zählen: Verantwortliche des öffentlichen Rechts bei Vorliegen vorrangiger Rechtsvorschriften, externe Auftragnehmer gemäß Art. 28 DSGVO sowie Dritte, soweit dies zur Erfüllung der in Spalte O genannten Zwecke erforderlich ist. Hierzu zählen Zahlungsdienstleister, Behörden, Gerichte, sonstige öffentliche Stellen. Interne Empfänger können z.B. sein: Buchhaltung, ...
Übermittlung in Drittstaaten:
Eine Übermittlung an andere Unternehmen mit Sitz außerhalb der EU finden nur in Ausnahmefällen und bei bestimmten Datenverarbeitungen statt. Siehe Spalte I.
Regelfristen für die Löschung der Datenkategorien:
Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht. Sofern Daten hiervon nicht berührt sind, werden sie gelöscht, wenn ihre spezifischen Verarbeitungszwecke wegfallen. Die konkreten Löschfristen werden bei den jeweiligen Verfahren in der Anlage beschrieben.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Die Systeme der Rechtsanwaltskanzlei Schureck werden durch eine Vielzahl von Maßnahmen gegen unbefugten Zugriff, Verlust oder Zerstörung und unzulässige Veränderung geschützt. Details zu jedem Verfahren werden in der Anlage erläutert.
Anlage zu den Details zu jedem verfahren
Buchhaltung
Finanzbuchhaltung
Zwecke der Datenverarbeitung:
Durchführung der Finanzbuchhaltung
Rechtsgrundlage:
Art. 6 Abs. 1 lit. c DSGVO,§ 257 HGB, § 147 AO
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Beschäftigte, Mandanten, Partner und Lieferanten
Personenbezogene Daten / Datenkategorien:
Reisekosten von Beschäftigten, Mandatsrechnungsdaten, Daten von Partnern und Lieferanten sowie alle dazugehörigen Abrechnungsunterlagen
Empfänger / Empfängerkategorien:
Mitarbeiter der Finanzbuchhaltung
Drittstaatentransfer:
Nein
Zugriffsberechtigte:
Mitarbeiter der Finanzbuchhaltung
Regelfristen für die Löschung:
Art. 17 Abs. 3 lit. b DSGVO, § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist. Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht!
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Reiseplanung
Zwecke der Datenverarbeitung:
Planung von Dienstreisen
Rechtsgrundlage:
Art. 6 Abs.1 lit. f DSGVO
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Mitarbeiter
Personenbezogene Daten / Datenkategorien:
Stammdaten, dienstliche Kreditkarte, Reisedaten, Ausweisdaten/Reisepassdaten
Empfänger / Empfängerkategorien:
Fluglinien, Eisenbahnen, Autovermietungen, Hotels, Buchungsplattformen, Reisebüros, Botschaften, Immigrationsbehörden
Drittstaatentransfer:
Bei Reisen in Drittstaaten ggf. zur Buchung und zur Beantragung von Visa etc.
Regelfristen für die Löschung:
Soweit Daten gespeichert werden:
Art. 17 Abs. 3 lit. e DSGVO ,§ 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist. Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht!
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Archivierung der Daten
Zweck der Datenverarbeitung:
Optisches Archiv zur revisionssicheren Archivierung von Auftrags- und Finanzbuchhaltungsdaten. Geschäftsunterlagen wie Kreditorenrechnungen oder Dokumenten werden hier manuell gescannt und archiviert.
Rechtsgrundlage:
Art. 6 Abs. 1 lit. c DSGVO,§ 257 HGB , § 147 AO, § 4 Abs. 2a LStDV
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Mandanten, Lieferanten
Personenbezogene Daten / Datenkategorien:
Eingangs-, Ausgangs-, Buchungsbelege, Unterlagen von Mandanten
Empfänger / Empfängerkategorien:
Zugriffsberechtigte Mitarbeiter
Drittstaatentransfer:
Nein
Regelfristen für die Löschung:
Art. 17 Abs. 3 lit. b) DSGVO, § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist. Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht!
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Allgemeine Abwicklung des Zahlungsverkehrs
Zwecke der Datenverarbeitung:
Allgemeine Abwicklungen der Zahlungen über den Dienstleister XY GmbH
Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Mitarbeiter, Mandanten, Geschäftspartner
Personenbezogene Daten / Datenkategorien:
Name und Kontodaten
Empfänger / Empfängerkategorien:
Mitarbeiter der Buchhaltung
Drittstaatentransfer:
Möglich
Zugriffsberechtigte:
Mitarbeiter der Buchhaltung und die Geschäftsführung
Regelfristen für die Löschung:
Unverzüglich nach Ausscheiden des jeweiligen Mitarbeiters, Art. 17 Abs. 1 lit a) DSGVO
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Controlling
Zweck der Datenverarbeitung:
Controlling zur Planung, Steuerung und Kontrolle aller Unternehmensbereiche. Das Controlling hat hier eine Kostenkontrollfunktion.
Rechtsgrundlage:
Art. 6 Abs.1 lit. f DSGVO, § 26 BDSG n.F.
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Mitarbeiter, Lieferanten, Mandanten
Personenbezogene Daten / Datenkategorien:
Vereinzelte Daten, die im Rahmen von Abrechnungen etc. sichtbar sind.
Empfänger / Empfängerkategorien:
Mitarbeiter in der Unternehmensführung
Drittstaatentransfer:
Nein
Zugriffsberechtigte:
Mitarbeiter in der Kanzleiführung
Regelfristen für die Löschung:
Hier nicht vorhanden, weil keine personenbezogenen Daten gespeichert werden.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Mandatierung
Anlegung von Akten
Zwecke der Datenverarbeitung:
Erfassung der Daten für Anlegung der Akte
Rechtsgrundlage:
Art. 6 Abs. 1 S. 1 lit.b DSGVO
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO
Möglich
Betroffene/betroffene Personengruppen
Mandate
Personenbezogene Daten / Datenkategorien:
IP-Adresse der Webseitenbesucher Bewegungen und Clicks der Besucher auf der WebseiteBrowser-Fingerprints
Empfänger / Empfängerkategorien:
Mitarbeiter
Drittstaatentransfer:
Möglich
Regelfristen für die Löschung:
§ 50 BRAO: Sechs Jahre mit Ablauf des Kalenderjahres, in dem der Auftrag beendet wurde
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Werbung/ Marketing/Akquise
Tracking-Maßnahmen
Zweck der Bearbeitung:
Speicherung der IP-Adresse, der besuchten Unterseiten und der Verweildauer durch die Tracking Software beim Besuch der Webseite. Darüber hinaus Einsatz des Analysetool „Google Analytics“ zur Optimierung des Webauftritts.
Rechtsgrundlage:
Art. 6 Abs. 1 S. 1 lit. f DSGVO, Art. 28 DSGVO
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Webseitenbesucher
Personenbezogene Daten / Datenkategorien:
IP-Adresse der Webseitenbesucher
Bewegungen und Clicks der Besucher auf der Webseite Browser-Fingerprints
Empfänger / Empfängerkategorien:
Dienstleister
Drittstaatentransfer:
Möglich
Regelfristen für die Löschung:
§ 15 TMG, bei bloßem Besuch der Internetseite maximal sieben Tage.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Newsletter
Zweck der Datenverarbeitung:
Versand von Newslettern
Rechtsgrundlage:
Art. 6 Abs. 1 S. 1 lit. a DSGVO § 7 III UWG, Art. 28 DSGVO
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Newsletter-Abonnenten
Personenbezogene Daten / Datenkategorien:
E-Mail-Adresse, ggf. Name
Empfänger / Empfängerkategorien:
Kanzleimitarbeiter und Dienstleister
Drittstaatentransfer:
Möglich
Regelfristen für die Löschung:
Grundsätzlich bei nicht mit einer Befristung versehenen Einwilligungen unbeschränkt. Gegebenenfalls gemäß Art. 17 Abs. 1 lit. b DSGVO, unmittelbar nach Widerruf der Einwilligung oder nach Widerspruch.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Sonstige
Wartung der Software
Zweck der Datenverarbeitung
Softwarewartung zur Behebung von Fehlern, zur Verbesserung der Performance oder anderer Attribute und Anpassungen an Veränderungen.
Rechtsgrundlage:
Wartung der Software im Auftrag bedarf keiner eigenen Rechtsgrundlage; Voraussetzungen des Art. 28 DSGVO sind eingehalten.
Betroffene / betroffene Personengruppen:
Mitarbeiterdaten, Mandantendaten
Personenbezogene Daten / Datenkategorien:
Alle personenbezogenen Daten, die in der Software sichtbar sind.
Empfänger / Empfängerkategorien:
Kanzleimitarbeiter und Mitarbeiter von IT-Dienstleister
Drittstaatentransfer:
Nein
Regelfristen für die Löschung:
Hier nicht vorhanden, weil keine Daten gespeichert werden.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit
Zweck der Datenverarbeitung
Betreuung und Administration der IT-Infrastruktur
Rechtsgrundlage:
Art. 6 Abs. 1 S. 1 lit. b und f DSGVO, Art. 28 DSGVO
Betroffene / betroffene Personengruppen:
Mitarbeiterdaten, Mandantendaten
Personenbezogene Daten / Datenkategorien:
Jede Art von Daten
Empfänger / Empfängerkategorien:
Mitarbeiter IT
Drittstaatentransfer:
Nein
Regelfristen für die Löschung:
Nicht erforderlich, weil keine Speicherung von Daten erfolgt
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Audits
Zweck der Datenverarbeitung:
Interne Audits für die kontinuierliche Überwachung von Prozessen zur Erfüllung von gesetzlichen Standards oder Richtlinien in der Kanzlei.
Rechtsgrundlage:
Art. 6 Abs. 1 S. 1 lit. f DSGVO, Art. 28 DSGVO
Betroffene / betroffene Personengruppen:
Mandanten, Interesssenten und Mitarbeiter
Personenbezogene Daten / Datenkategorien:
Jede Daten Art
Empfänger / Empfängerkategorien:
Mitarbeiter IT
Drittstaatentransfer
Nein
Regelfristen für die Löschung:
Nicht erforderlich, weil keine Speicherung von Daten erfolgt:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
E-Mail-System: Outlook
Zweck der Datenverarbeitung
Bereitstellung, Verarbeitung und Archivierung von der E-Mail Kommunikation zur Datensicherung und effizienten Prozessgestaltung.
Rechtsgrundlage:
Art. 6 Abs. 1 S. 1 lit. b, c, f DSGVO
Betroffene / betroffene Personengruppen:
Mitarbeiter und Dritte (IT-Dienstleister etc.)
Personenbezogene Daten / Datenkategorien:
Name, E-Mail, ggf. Anschrift , Kontaktdaten, Nutzungsdaten
Empfänger / Empfängerkategorien:
Ausgewählte Mitarbeiter der IT-Abteilung, mit zertifiziertem Zugang, E-Mail-Empfänger
Drittstaatentransfer:
Nein
Regelfristen für die Löschung:
Art. 17 Abs. 1 lit. a, Abs. 3 lit. b, lit. e DSGVO: unverzüglich nach Zweckerfüllung, bzw. § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Internetzugang
Zweck der Datenverarbeitung:
Gewährleistung von Internetzugang.
Rechtsgrundlage:
Art. 6 Abs. 1 S. lit. f und Art. 88 DSGVO, § 26 BDSG (neu)
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Mitarbeiter
Personenbezogene Daten / Datenkategorien:
Browserverläufe, Name, ggf. E-Mail
Empfänger / Empfängerkategorien:
Mitarbeiter der IT-Abteilung
Drittstaatentransfer
Nein
Regelfristen für die Löschung:
Art. 17 Abs. 3 lit. e DSGVO: bis zum Verjährungseintritt aller absehbaren Ansprüche - sieben Monate gemäß §§ 4, 5 KSchG, beginnend mit dem Ausspruch einer evtl. Kündigung.
Allgemeine Beschreibung der technischen und organisatiorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind
Nutzerverwaltung und Zugriffsberechtigung IT
Zweck der Datenverarbeitung:
Verwaltung von Nutzern und Zugriffsberechtigungen im Active Directory-Verzeichnisdienst
Rechtsgrundlage:
Art. 6 Abs. 1 S. lit. f und Art. 88 DSGVO, § 26 BDSG (neu)
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO:
Nein
Betroffene / betroffene Personengruppen:
Mitarbeiter
Personenbezogene Daten / Datenkategorien:
Name, Nutzerkennung, berufliche Position, E-Mail-Adresse
Empfänger / Empfängerkategorien:
Mitarbeiter der IT-Abteilung, Vorgesetzte
Drittstaatentransfer:
Nein
Zugriffsberechtigte:
Mitarbeiter der IT-Abteilung
Regelfristen für die Löschung:
Art. 17 Abs. 1 lit. a DSGVO unverzüglich nach Ausscheiden des Mitarbeiters
Allgemeine Beschreibung der technischen und organisatiorischen Maßnahmen:
Eintrag erfolgt, sobald die TOMs DSGVO-konform sind