Weihnachts - Aktion: Jeder Baufi-Kunde erhält ein aktuelles Bundesliga-Trikot als Geschenk!
Verzeichnis für Verarbeitungstätigkeiten
gem. Art. 30 Abs. 1 DSGVO
Domus Finanz
vom 14.09.2025
1.Kontaktdaten des Verantwortlichen
Name: Domus Finanz
Adresse: Hauptstraße 8049828 Neuenhaus
E-Mail-Adresse: info@domus-finanz.de
2.Verarbeitungstätigkeiten
2.1
Marketing
2.1.1
Website
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Websitebesucher
Kategorien personenbezogener Daten: Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Trackinganbieter
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Online-Präsenz, Außendarstellung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.2
Social-Media: Facebook
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Nutzer
Kategorien personenbezogener Daten: Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da Meta auch Serverstandorte in den USA betreibt. Daher besteht eine potentielle Übermittlung der Daten in ein Drittland. Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)
Löschfrist: Es gelten die Speicherfristen von Meta. Hinweise dazu finden sich in der Datenschutzerklärung von Facebook/Meta
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.3
Social-Media: Instagram
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Nutzer
Kategorien personenbezogener Daten: Profildaten, Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da Meta auch Serverstandorte in den USA betreibt. Daher besteht eine potentielle Übermittlung der Daten in ein Drittland. Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)
Löschfrist: Es gelten die Speicherfristen von Meta. Hinweise dazu finden sich in der Datenschutzerklärung von Instagram/Meta
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.4
Social-Media: LinkedIn
Zweck der Datenverarbeitung: Marketing und Werbezwecke
Kategorien betroffener Personen: Nutzer
Kategorien personenbezogener Daten: PrInhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten
Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, LinkedIn Ireland Unlimited Company (als Dienstanbieter innerhalb der EU) sowie ggf. LinkedIn Corporation bzw. Microsoft Corporation als Konzernmutter (USA)
Übermittlung an Drittländer bzw. internationale Organisationen: Ja, es kann zu einer Datenübermittlung in die USA kommen. LinkedIn (bzw. Microsoft) ist nach dem EU-U.S. Data Privacy Framework zertifiziert
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)
Löschfrist: Daten werden von LinkedIn verarbeitet, gespeichert und gelöscht. Hinweise finden sich in der Datenschutzerklärung von LinkedIn
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.5
E-Mail Marketing
Zweck der Datenverarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe
Kategorien betroffener Personen: Kunden, Interessenten
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse
Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder lit. f DSGVO (Direktwerbung an Bestandskunden)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
4
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.6
Telefon-Marketing
Zweck der Datenverarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe
Kategorien betroffener Personen: Kunden, Interessenten
Kategorien personenbezogener Daten: Name, Telefonnummer, Adresse
Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Direktwerbung), § 7 UWG beachten
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.1.7
Generierung von Leads/Kontaktanfragen über Webformulare und/oder Landingpages
Zweck der Datenverarbeitung: Marketingzwecke, Interessentengewinnung
Kategorien betroffener Personen: Interessenten, Kunden
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse
Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f (Marketing, Interesse an Kundengewinnung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
5
2.1.8
Kundenanalyse/Nutzerstatistiken
Zweck der Datenverarbeitung: Optimierung von Service, Produkten und Angeboten
Kategorien betroffener Personen: Kunden, Nutzer
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Verhaltensdaten, Leistungsdaten
Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Optimierung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2
Vertrieb
2.2.1
Angebotserstellung
Zweck der Datenverarbeitung: Abschluss von Verträgen
Kategorien betroffener Personen: Kunden, Geschäftskunden
Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Angebotsdaten
Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.2
CRM-System
6
Zweck der Datenverarbeitung: Planung, Steuerung und Kontrolle des Unternehmens
Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler
Kategorien personenbezogener Daten: Bestandsdaten, Kontaktdaten, Vertragsdaten, Abrechnungsdaten, Beschäftigtenstammdaten, Bewerberdaten, Geschäftsunterlagen, Rechnungsdaten
Kategorien von Empfängern: Unternehmensführung Personalabteilung, Finanzbuchhaltung, IT-Abteilung, Einkauf, Verkauf, Banken, Steuerbehörden, Hausverwalter, Notare, Sozialversicherungsträger, Krankenkassen, Vermieter, Verkäufer, Vormieter, Käufer, Mieter, Kaufinteressenten, Mietinteressenten
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kunden-/Lieferantenverwaltung), lit. f (optimiertes Kundenmanagement)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.3
Kundenverwaltung und -datenbank (Privatkunden)
Zweck der Datenverarbeitung: Organisation der laufenden Kundenbeziehungen
Kategorien betroffener Personen: (Privat-)Kunden
Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten
Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
7
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.4
Allgemeiner Kundenservice
Zweck der Datenverarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Anfragedaten
Kategorien von Empfängern: Kundenservice, Verkauf
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung, Kommunikation)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.2.5
Geburtstagsverzeichnis (Kunden)
Zweck der Datenverarbeitung: Kundenservice, Kundenbindung
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Name, Geburtsdatum
Kategorien von Empfängern: Verkauf, Kundenservice
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Kundenbindung) oder lit. a (Einwilligung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
8
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3
IT- und Kommunikationssysteme
2.3.1
Nutzung eines E-Mail-Systems
Zweck der Datenverarbeitung: Kommunikation mit internen und externen Kontakten
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse
Kategorien von Empfängern: IT-Abteilung, Beschäftigte, Provider
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kommunikation im Arbeits-/Kundenverhältnis) oder lit. f (Geschäftskommunikation)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.2
Kalender- und Terminverwaltung
Zweck der Datenverarbeitung: Planung und Organisation von Terminen und Veranstaltungen
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Terminkoordinierung) oder lit. f (Organisation)
9
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.3
Chat- und Messenger-Dienste intern
Zweck der Datenverarbeitung: Kommunikation innerhalb des Unternehmens
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Arbeitsverhältnis) oder lit. f (interne Kommunikation)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.4
Telefonanlage
Zweck der Datenverarbeitung: Telefonische Kommunikation und Bereitstellung von Telefoniediensten
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, Telefonnummer, IP-Adresse
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Geschäftskommunikation), lit. f
10
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.5
Videotelefonie
Zweck der Datenverarbeitung: Kommunikation und Zusammenarbeit über Videoanrufe
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Kommunikation) oder lit. f
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.6
Dokumentenmanagementsystem (DMS)
Zweck der Datenverarbeitung: Verwaltung, Speicherung und Zugriff auf Dokumente und Dateien
Kategorien betroffener Personen: Beschäftigte
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Dokumente und Dateien mit personenbezogenen Daten
Kategorien von Empfängern: IT-Abteilung, Beschäftigte
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Organisation/Verträge) oder lit. c (Aufbewahrungspflichten)
11
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.7
Home Office von Mitarbeitern
Zweck der Datenverarbeitung: Unterstützung von Mitarbeitern bei der Arbeit im Home Office
Kategorien betroffener Personen: Beschäftigte
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten
Kategorien von Empfängern: IT-Abteilung, Unternehmensführung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Arbeitsvertrag) oder lit. f (Flexibilisierung)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
2.3.8
Archivierung von Daten
Zweck der Datenverarbeitung: Langfristige Speicherung und Aufbewahrung von Daten und Dokumenten
Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Telefonnummer, Vertragsdaten, Finanzdaten, Dokumente und Dateien mit personenbezogenen Daten
Kategorien von Empfängern: IT-Abteilung, Unternehmensführung, Buchhaltung, Rechtsabteilung
Übermittlungen an Drittländer bzw. internationale Organisationen: Nein
12
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrung), lit. f (Dokumentationsinteresse)
Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht
TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen
Rechtsgrundlage:
13
Löschkonzept
Domus Finanz
vom 14.09.2025
Ein wesentlicher Aspekt der DSGVO ist das "Recht auf Vergessenwerden", das den Betroffenen das Recht gibt, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Außerdem etabliert die DSGVO die Grundsätze der Datenminimierung, der Datensparsamkeit und der Speicherbegrenzung, wonach immer nur die Daten verarbeitet werden sollen, die zur Erreichung des Zwecks zwingend erforderlich sind. Um diesen Anforderungen gerecht zu werden und die Einhaltung der DSGVO sicherzustellen, haben wir ein Löschkonzept erstellt.
Das Löschkonzept soll sicher stellen, dass personenbezogene Daten gemäß den Vorgaben der DSGVO effektiv, effizient und rechtlich konform gelöscht werden.
Die Durchführung der Datenlöschungen soll das Vertrauen von Kunden, Partnern oder Mitarbeitern in unseren Umgang mit personenbezogenen Daten stärken.
3.
Allgemeines
Grundsätzlich löschen wir personenbezogene Daten immer dann, wenn der Zweck entfällt, zu dem personenbezogene Daten verarbeitet wurden, es sei denn, es stehen gesetzliche Aufbewahrungspflichten entgegen.
4.
Löschmethode
Wir bestimmen geeignete Löschmethoden für die jeweiligen Datenarten.
4.1
Papier
Papierdokumente werden bei uns physisch vernichtet, indem sie angemessen klein geschreddert und anschließend in der Papiertonne entsorgt werden.
4.2
Elektronische Daten
14
Elektronische Daten werden derart aus den Systemen entfernt, dass sie nicht wiederhergestellt werden können.
Abhängig von der Art des Speichermediums, der Sensibilität der Daten und den rechtlichen Anforderungen greifen wir zu Löschung elektronischer Daten auf folgende Methode(n) zurück:
•
Dateilöschung: Die Dateien und Ordner, die personenbezogene Daten enthalten, werden manuell von den Systemen gelöscht. Dabei werden die Daten auch aus dem Papierkorb entfernt, damit sie nicht wiederhergestellt werden können.
Wir berücksichtigen bei der Anwendung der Löschmethode immer die bestmöglichen Praktiken und Verfahren um sicherzustellen, dass die Daten ordnungsgemäß und sicher gelöscht werden.
5.
Dokumentation
Um nachweisen zu können, dass wir datenschutzkonform löschen, dokumentieren wir unseren Löschprozess. Dabei achten wir darauf, dass die Dokumentation klar, umfassend und leicht zugänglich ist. Dabei berücksichtigen wir folgende Aspekte:
•
Zeitpunkt und Datum: Wir erfassen den genauen Zeitpunkt und das Datum, an dem wir den Löschprozess durchführen. Dadurch haben wir eine klare und nachvollziehbare zeitliche Dokumentation.
•
Durchgeführte Schritte: Wir dokumentieren detailliert die Schritte, die wir im Rahmen des Löschprozesses unternehmen. Wir beschreiben genau, welche Daten gelöscht wurden, welche Löschmethode angewendet wurde (z. B. manuelle Löschung, Formatierung, Überschreibung) und wie die Löschung durchgeführt wurde.
•
Verantwortliche Personen: Wir halten die Namen oder Bezeichnungen der Personen oder Abteilungen fest, die für die Durchführung des Löschprozesses verantwortlich sind. Dadurch können wir die Verantwortlichkeiten klar zuordnen und Transparenz gewährleisten.
•
Verwendete Tools und Software: Spezielle Tools und Software, die wir für die Datenlöschung verwenden, dokumentieren wir. Wir gebe an, welche Art von Software oder Technologie wir einsetzen und vermerken gegebenenfalls die Versionsnummer.
•
Bestätigungen und Zertifizierungen: Wenn Dritte, wie zum Beispiel externe Datenlöschunternehmen, in den Löschprozess involviert sind,
15
halten wir Bestätigungen oder Zertifizierungen über die ordnungsgemäße Durchführung der Datenlöschung fest.
•
Aufbewahrung und Dokumentation: Wir stellen sicher, dass die Dokumentation des Löschprozesses sicher und dauerhaft aufbewahrt wird. Wir legen fest, wo wir die Aufzeichnungen speichern und für wie lange, um die gesetzlichen Anforderungen zu erfüllen.
6.
Löschfrist
In unserem Verarbeitungsverzeichnis listen wir detailgenau alle Datenarten und den Zweck der Verarbeitung zu jeder Verarbeitungstätigkeit auf. Für jede Datenart und deren Verarbeitungszweck bilden wir eine Löschfrist.
Soweit es eine gesetzliche Aufbewahrungspflicht gibt, ist die Löschfrist mindestens so lang wie diese. Außerdem beinhaltet die Löschfrist einen Zeitraum, in dem der Löschvorgang erfolgt.
So ergibt sich z.B. für Datenarten, die solange aufbewahrt werden, wie die regelmäßige Verjährungsfrist läuft, eine Löschfrist von 4 Jahren. Die regelmäßige Verjährungsfrist beginnt mit dem Ende des Kalenderjahres, in welches das Ereignis fällt und läuft von da an 3 Jahre. Unter zusätzlicher Einbeziehung eines Zeitraums für den Löschprozess bemessen wir unsere Löschfrist für diese Datenart regelmäßig auf 4 Jahre.
7.
Beginn der Löschfrist
Die Löschfristen beginnen mit dem Wegfall des Verarbeitungszwecks. Das bedeutet, dass die Löschfrist für Daten, die aufgrund einer vertraglichen Beziehung verarbeitet werden, erst mit dem Ende dieser Vertragsbeziehung zu laufen beginnt. In manchen Fällen gibt es nach der Datenerhebung keinen weiteren Verarbeitungszweck. In diesem Fall beginnt die Löschfrist direkt mit der Datenerhebung zu laufen.
8.
Einwilligung
Wir verarbeiten Daten auch aufgrund von Einwilligungen der Betroffenen. Sobald die Einwilligung entfällt, weil sie zum Beispiel widerrufen wurde, entfällt auch die Rechtsgrundlage für die Verarbeitung. Wir löschen diese Daten unmittelbar nach dem Widerruf der Einwilligung. Eine Ausnahme
16
besteht nur dann, wenn eine gesetzliche Aufbewahrungspflicht einer sofortigen Löschung entgegensteht.
9.
Betroffenenrecht: Recht auf Löschung nach Art. 17 DSGVO
Macht ein Betroffener rechtswirksam von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch löschen wir die entsprechenden Daten unmittelbar und unabhängig von der zuvor festgelegten Löschfrist.
Dem Anspruch wird erst nach rechtlicher und tatsächlicher Überprüfung entsprochen.
10.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass unser Löschkonzept ein entscheidendes Element ist, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Es legt die Grundlage für einen strukturierten und rechtskonformen Löschprozess, der das Recht auf Vergessenwerden respektiert und das Vertrauen der Betroffenen stärkt. Durch die Einhaltung von Löschfristen, die Auswahl geeigneter Löschmethoden und die sorgfältige Dokumentation des Löschprozesses können wir das Risiko von Datenschutzverletzungen minimieren. Unser Löschkonzept dient uns somit als Leitfaden für die sichere und effektive Löschung personenbezogener Daten und unterstützt unser Unternehmen dabei, einen verantwortungsvollen Umgang mit sensiblen Informationen zu gewährleisten.
11.
Kontaktdaten des Verantwortlichen
Name: Domus Finanz
Adresse: Hauptstraße 8049828 Neuenhaus
E-Mail-Adresse: info@domus-finanz.de
12.
Löschkonzept konkret
Die mit der jeweiligen Datenart verbundenen Daten werden nach den folgenden Regeln gelöscht.
17
12.1
Marketing
12.1.1
Website
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Websitebesucher
Löschfrist: 2 Jahre nach letztem Besuch
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.2
Social-Media: Facebook
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Nutzer
Löschfrist: Daten werden von Facebook/Meta verarbeitet
Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.3
Social-Media: Instagram
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Nutzer
Löschfrist: Daten werden von Instagram/Meta verarbeitet
Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.4
Social-Media: LinikedIn
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Nutzer
Löschfrist: Daten werden von LinkedIn verarbeitet
Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.5
E-Mail Marketing
18
Zweck der Verarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe
Betroffenen-Kategorie: Kunden, Interessenten
Löschfrist: sofort nach Widerruf durch den Besteller
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.6
Telefon-Marketing
Zweck der Verarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe
Betroffenen-Kategorie: Kunden, Interessenten
Löschfrist: sofort nach Widerruf
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.7
Generierung von Leads/Kontaktanfragen über Webformulare und/oder Landingpages
Zweck der Verarbeitung: Marketingzwecke, Interessentengewinnung
Betroffenen-Kategorie: Interessenten, Kunden
Löschfrist: 3 Jahre
Rechtsgrundlage: §§ 195, 199 BGB
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.1.8
Kundenanalyse/Nutzerstatistiken
Zweck der Verarbeitung: Optimierung von Service, Produkten und Angeboten
Betroffenen-Kategorie: Kunden, Nutzer
Löschfrist: 2 Jahre nach letztem Kauf
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
19
12.2
Vertrieb
12.2.1
CRM-System
Zweck der Verarbeitung: Planung, Steuerung und Kontrolle des Unternehmens
Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler
Löschfrist: 10 Jahre
Rechtsgrundlage: § 147 AO, § 257 HGB
Verantwortlichkeiten: Unternehmensführung, Personalabteilung, Finanzbuchhaltung, IT-Abteilung
12.2.2
Kundenverwaltung
Zweck der Verarbeitung: Organisation der laufenden Kundenbeziehungen
Betroffenen-Kategorie: Kunden
Löschfrist: 2 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung
12.2.3
Allgemeiner Kundenservice
Zweck der Verarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung
Betroffenen-Kategorie: Kunden
Löschfrist: 2 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Kundenservice, Verkauf
12.2.4
Geburtstagsverzeichnis
Zweck der Verarbeitung: Kundenservice, Kundenbindung
Betroffenen-Kategorie: Kunden
Löschfrist: 2 Jahre nach Vertragende
20
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Verkauf, Kundenservice
12.3
IT- und Kommunikationssysteme
12.3.1
E-Mail System
Zweck der Verarbeitung: Kommunikation mit internen und externen Kontakten
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 6 Jahre nach Ablauf des Kalenderjahres der Erhebung
Rechtsgrundlage: § 257 Abs. 4 HGB
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.3.2
Kalender- und Terminverwaltung
Zweck der Verarbeitung: Planung und Organisation von Terminen und Veranstaltungen
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 3 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.3.3
Chat- und Messenger-Dienste (intern)
Zweck der Verarbeitung: Kommunikation innerhalb des Unternehmens
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 3 Jahre
Rechtsgrundlage: §§ 195, 199 BGB
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.3.4
Telefonanlage
21
Zweck der Verarbeitung: Telefonische Kommunikation
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 5 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.3.5
Videotelefonie
Zweck der Verarbeitung: Kommunikation über Videoanrufe
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 2 Jahre nach letztem Kontakt
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.3.6
Dokumentenmanagementsystem (DMS)
Zweck der Verarbeitung: Verwaltung von Dokumenten
Betroffenen-Kategorie: Beschäftigte
Löschfrist: 10 Jahre nach Vertragende
Rechtsgrundlage: § 257 Abs. 1 HGB
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.3.7
Home Office von Mitarbeitern
Zweck der Verarbeitung: Unterstützung im Home Office
Betroffenen-Kategorie: Beschäftigte
Löschfrist: 5 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: IT-Abteilung, Unternehmensführung
12.3.8
Archivierung von Daten
Zweck der Verarbeitung: Langfristige Speicherung von Daten
22
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 10 Jahre nach Vertragende
Rechtsgrundlage: § 257 Abs. 1 HGB
Verantwortlichkeiten: IT-Abteilung, Unternehmensführung
12.3.9
Angebotserstellung
Zweck der Verarbeitung: Abschluss von Verträgen
Betroffenen-Kategorie: Kunden, Geschäftskunden
Löschfrist: 6 Jahre
Rechtsgrundlage: § 257 HGB, § 147 AO
Verantwortlichkeiten: Verkauf, Einkauf