Typische Fehler vermeiden

- Verarbeitungstätigkeit: E-Mail empfangen
- Verarbeitungstätigkeit: E-Mail lesen
- Verarbeitungstätigkeit: E-Mail beantworten
- Verarbeitungstätigkeit: E-Mail archivieren

- Verarbeitungstätigkeit: E-Mail-Kommunikation
  └── Umfasst: Empfangen, Lesen, Beantworten, Archivieren

Lohnabrechnung → Rechtsgrundlage: Einwilligung

Lohnabrechnung → Rechtsgrundlage: Vertragserfüllung
(Der Arbeitsvertrag erfordert die Lohnabrechnung)

Newsletter an Bestandskunden → Berechtigtes Interesse ✓
(Ohne weitere Dokumentation)

Newsletter an Bestandskunden → Berechtigtes Interesse
├── Interesse des Unternehmens: Kundenbindung, Information über Angebote
├── Interesse der Betroffenen: Relevante Informationen erhalten
├── Abwägung: Kunden haben Geschäftsbeziehung, erwarten Kommunikation
├── Schutzmaßnahmen: Einfache Abmeldemöglichkeit, keine sensiblen Daten
└── Ergebnis: Unternehmensinteresse überwiegt

Externe Empfänger: Cloud-Anbieter

Externe Empfänger:
├── Microsoft (Cloud-Hosting, USA, DPF-zertifiziert)
├── DATEV (Lohnabrechnung, Deutschland)
├── Finanzamt (gesetzliche Meldepflicht)
└── Krankenkassen (Sozialversicherung)

Verarbeitungstätigkeit: Bewerbermanagement
├── Zweck: Recruiting
└── Löschfrist: (leer)

Verarbeitungstätigkeit: Bewerbermanagement
├── Zweck: Recruiting
├── Löschklasse: Bewerberdaten
│   ├── Frist: 6 Monate
│   └── Auslöser: Ende des Bewerbungsprozesses
└── Ausnahme: Bei Einwilligung Talentpool bis 2 Jahre

Anwendung: Slack
AVV-Status: Nicht erforderlich
(Begründung fehlt)

Anwendung: Slack
AVV-Status: Erforderlich → Unterschrieben
Begründung: Nachrichten enthalten personenbezogene Daten,
            Slack verarbeitet diese im Auftrag.
AVV: Online DPA von Slack Technologies akzeptiert am 15.01.2025

Anbieter: Mailchimp
Land: USA
Zusätzliche Maßnahmen: (leer)

Anbieter: Mailchimp
Land: USA
Angemessenheit: Data Privacy Framework
DPF-Zertifizierung: Ja (geprüft am 15.01.2025)
Link zur Zertifizierung: https://www.dataprivacyframework.gov/...

TOMs:
├── Firewall
├── Antivirus
└── Verschlüsselung

TOMs:
├── Technisch:
│   ├── Firewall
│   ├── Antivirus
│   └── Verschlüsselung
└── Organisatorisch:
    ├── Passwortrichtlinie
    ├── Besucherregelung
    ├── Clean-Desk-Policy
    └── Schulungskonzept

TOM: Zwei-Faktor-Authentifizierung
Status: Geplant
Geplante Umsetzung: 31.03.2025
Verantwortlich: IT-Leitung
Fortschritt: Anbieterauswahl abgeschlossen

TOM: Zutrittskontrolle
Status: Umgesetzt
(Gilt pauschal für alle Standorte)

TOM: Zutrittskontrolle
├── Hauptbüro: Umgesetzt (Chipkartensystem)
├── Homeoffice: Nicht anwendbar
└── Außendienst: Teilweise (Gerätesperre)

Kundendaten: Löschen bei Inaktivität nach 2 Jahren
(DSGVO-Prinzip der Datensparsamkeit)

Kundendaten:
├── Stammdaten: 3 Jahre nach letzter Aktivität (BGB §195)
├── Rechnungen: 10 Jahre (AO §147)
├── Verträge: 3 Jahre nach Vertragsende + Aufbewahrungsfristen
└── Korrespondenz: 6 Jahre (HGB §257)

Gelöschte Daten werden in einen "Papierkorb" verschoben
und bleiben dort unbegrenzt.

Löschprozess:
1. Sofort: Aktiver Zugriff entfernt
2. Nach 30 Tagen: Soft-Delete aus Produktivsystem
3. Nach 90 Tagen: Aus Backups entfernt
4. Dokumentiert: Löschprotokoll erstellt

Ablehnung eingegangen
        │
        ▼
Gespräch mit Mitarbeiter (HR + Vorgesetzter)
        │
        ├── Missverständnis? → Aufklären, neu versenden
        │
        ├── Inhaltliche Bedenken? → Prüfen, ggf. anpassen
        │
        └── Grundsätzliche Verweigerung?
                │
                ▼
        Datenzugang entziehen
                │
                ▼
        Arbeitsrechtliche Maßnahmen prüfen