Kontaktdaten des Verantwortlichen Name: Heilpraxis Nicole Rietig Adresse: Kleinmoor 5, 21369 Nahrendorf E-Mail-Adresse: info@nicolerietig.de

Verarbeitungstätigkeiten 2.1 Marketing 2.1.1 Website Zweck der Datenverarbeitung: Marketing und Werbezwecke Kategorien betroffener Personen: Websitebesucher Kategorien personenbezogener Daten: Nutzungsdaten, Meta-/Kommunikationsdaten Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Trackinganbieter Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Online-Präsenz, Außendarstellung) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.1.2 Newsletter Zweck der Datenverarbeitung: Marketing und Werbezwecke, Versand von Newslettern Kategorien betroffener Personen: Empfänger von Marketingmaßnahmen Kategorien personenbezogener Daten: Kontaktdaten, Meta-/Kommunikationsdaten Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Newsletteranbieter Übermittlungen an Drittländer bzw. internationale Organisationen: Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.1.3 Generierung von Leads/Kontaktanfragen über Webformulare und/oder Landingpages Zweck der Datenverarbeitung: Marketingzwecke, Interessentengewinnung Kategorien betroffener Personen: Interessenten, Kunden Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f (Marketing, Interesse an Kundengewinnung) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.1.4 Webtracking und Analyse Zweck der Datenverarbeitung: Optimierung von Marketingkampagnen, Produkten und des allgemeinen Webauftritts Kategorien betroffener Personen: Kunden, Interessenten Kategorien personenbezogener Daten: IP-Adresse, Verhaltensdaten Kategorien von Empfängern: Marketing, IT-Abteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung von Daten in die USA oder in ein Drittland ist möglich. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Cookies/Tracking) oder lit. f (berechtigtes Interesse, sofern rechtskonform umsetzbar) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.1.5 Kundenanalyse/Nutzerstatistiken Zweck der Datenverarbeitung: Optimierung von Service, Produkten und Angeboten Kategorien betroffener Personen: Kunden, Nutzer Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Verhaltensdaten, Leistungsdaten Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Optimierung) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2 Vertrieb 2.2.1 Angebotserstellung Zweck der Datenverarbeitung: Abschluss von Verträgen Kategorien betroffener Personen: Kunden, Geschäftskunden Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Angebotsdaten Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2.2 Vertragsmanagement Zweck der Datenverarbeitung: Management von Verträgen Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler Kategorien personenbezogener Daten: Vertragsdaten Kategorien von Empfängern: Finanzbuchhaltung, Verkauf Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2.3 Kommunikations- und Kundenmanagement Zweck der Datenverarbeitung: Speicherung von Kundendaten/Kommunikation Kategorien betroffener Personen: Kunden Kategorien personenbezogener Daten: Bestandsdaten, Kontaktdaten Kategorien von Empfängern: alle berechtigten Mitarbeiter Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2.4 Kundenverwaltung und -datenbank (Privatkunden) Zweck der Datenverarbeitung: Organisation der laufenden Kundenbeziehungen Kategorien betroffener Personen: (Privat-)Kunden Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2.5 Allgemeiner Kundenservice Zweck der Datenverarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung Kategorien betroffener Personen: Kunden Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Anfragedaten Kategorien von Empfängern: Kundenservice, Verkauf Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung, Kommunikation) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2.6 Anlegen von Akten Zweck der Datenverarbeitung: Erfassen eines Vorgangs mit allen bekannten Daten Kategorien betroffener Personen: Kunden, Lieferanten, Beschäftigte, Interessenten Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten Kategorien von Empfängern: Unternehmensführung, Personalabteilung, Finanzbuchhaltung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ggf. lit. c (gesetzl. Aufbewahrung) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.2.7 Kundendienst/Customer Relationship Management für Geschäftskunden Zweck der Datenverarbeitung: Erfüllung der vertraglichen Pflichten mit Geschäftskunden Kategorien betroffener Personen: Geschäftskunden Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten, Kommunikationsdaten Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung, Unternehmensführung Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung kann stattfinden. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3 IT- und Kommunikationssysteme 2.3.1 Nutzung eines E-Mail-Systems Zweck der Datenverarbeitung: Kommunikation mit internen und externen Kontakten Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse Kategorien von Empfängern: IT-Abteilung, Beschäftigte, Provider Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da das E-Mail-System bei einem Anbieter liegt, der die Daten in ein Drittland spiegelt oder dort verarbeitet. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kommunikation im Arbeits-/Kundenverhältnis) oder lit. f (Geschäftskommunikation) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.2 Kalender- und Terminverwaltung Zweck der Datenverarbeitung: Planung und Organisation von Terminen und Veranstaltungen Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer Kategorien von Empfängern: IT-Abteilung, Beschäftigte Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Terminkoordinierung) oder lit. f (Organisation) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.3 Chat- und Messenger-Dienste intern Zweck der Datenverarbeitung: Kommunikation innerhalb des Unternehmens Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten Kategorien von Empfängern: IT-Abteilung, Beschäftigte Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Arbeitsverhältnis) oder lit. f (interne Kommunikation) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.4 Chat- und Messenger-Dienste extern Zweck der Datenverarbeitung: Kommunikation zwischen internen und externen Kontakten Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten Kategorien von Empfängern: IT-Abteilung, Beschäftigte Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung von Daten in die USA oder in ein Drittland ist möglich. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kunden-/Lieferantenkontakt) oder lit. f Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.5 IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit Zweck der Verarbeitung: Verwaltung und Sicherung der IT-Infrastruktur Kategorien betroffener Personen: Beschäftigte Kategorien personenbezogener Daten: Name, E-Mail Adresse, IP-Adresse, Verhaltensdaten Kategorien von Empfängern: IT-Abteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Sicherheitspflichten), lit. f (berechtigtes Interesse an IT-Sicherheit) Löschfrist: max. 6 Monate für reine Logfiles zur IT-Sicherheit; bei Verträgen mit IT-Dienstleistern: 5 Jahre aufgrund möglicher Gewährleistungsansprüche TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.6 Passwortmanager/-verwaltung Zweck der Datenverarbeitung: Sicherung und Verwaltung von Passwörtern und Zugangsdaten Kategorien betroffener Personen: Beschäftigte Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse Kategorien von Empfängern: IT-Abteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Interesse an sicherer Zugriffsverwaltung) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.7 Telefonanlage Zweck der Datenverarbeitung: Telefonische Kommunikation und Bereitstellung von Telefoniediensten Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Kategorien personenbezogener Daten: Name, Telefonnummer, IP-Adresse Kategorien von Empfängern: IT-Abteilung, Beschäftigte Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Geschäftskommunikation), lit. f Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.8 Nutzerverwaltung und Zugriffsberechtigungen Zweck der Datenverarbeitung: Sicherstellung der Zugriffskontrolle und -berechtigung auf Systeme und Anwendungen Kategorien betroffener Personen: Beschäftigte Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Zugriffsdaten Kategorien von Empfängern: IT-Abteilung, Unternehmensführung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit), lit. b (Arbeitsvertrag) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.9 Archivierung von Daten Zweck der Datenverarbeitung: Langfristige Speicherung und Aufbewahrung von Daten und Dokumenten Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Telefonnummer, Vertragsdaten, Finanzdaten, Dokumente und Dateien mit personenbezogenen Daten Kategorien von Empfängern: IT-Abteilung, Unternehmensführung, Buchhaltung, Rechtsabteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrung), lit. f (Dokumentationsinteresse) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.3.10 Softwarewartung Zweck der Verarbeitung: Sicherstellung der Funktionalität und Sicherheit der Software Kategorie betroffener Personen: Kunden, Beschäftigte Kategorien personenbezogener Daten: Zugangsdaten, Systeminformationen, alle zur Wartung notwendige Daten Kategorien von Empfängern: IT-Abteilung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Wartungsvertrag) oder lit. f (Sicherheitsinteresse) Löschfrist: 5 Jahre nach Vertragende TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4 Finanzen und Buchhaltung 2.4.1 Allgemeine Abwicklung des Zahlungsverkehrs Zweck der Datenverarbeitung: Durchführung der Finanzbuchhaltung Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten Kategorien von Empfängern: Buchhaltungsbüro Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. c (Buchhaltungspflichten) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4.2 Elektronischer Zahlungsverkehr Zweck der Datenverarbeitung: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten Kategorien von Empfängern: Buchhaltungsbüro Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4.3 Finanzbuchhaltung Zweck der Datenverarbeitung: Einhaltung und Durchführung der gesetzlichen Anforderungen an die Buchführung, finanzwirtschaftliche Auswertung und Analyse, Erfüllung der Nachweispflicht Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten Kategorien von Empfängern: Buchhaltungsbüro Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten), lit. b (Vertrag) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4.4 Rechnungsstellung Zweck der Datenverarbeitung: Abrechnung erbrachter Leistungen / verkaufter Waren Kategorien betroffener Personen: Kunden Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten Kategorien von Empfängern: Buchhaltungsbüro Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO Löschfrist: 10 Jahre Aufbewahrungspflicht (§ 147 Abs. 1 Nr. 1, 4, 5 AO i. V. m. § 257 Abs. 1 Nr. 1 und 4 HGB) TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4.5 Kassenbuch Zweck der Datenverarbeitung: Erfüllung der gesetzlichen Verpflichtung Kategorien betroffener Personen: Kunden Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten Kategorien von Empfängern: Buchhaltungsbüro Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtl. Aufzeichnungspflichten) Löschfrist: 10 Jahre nach § 147 AO TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4.6 Reisekostenabrechnung Zweck der Datenverarbeitung: Erstattung der dienstlich veranlassten Reisekosten, Geltendmachung von Betriebsausgaben Kategorien betroffener Personen: Beschäftigte Kategorien personenbezogener Daten: Abrechnungsdaten Kategorien von Empfängern: Buchhaltungsbüro Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erstattung), lit. c (Steuer) Löschfrist: 10 Jahre, sobald sie als Buchungsbelege geführt werden (§ 147 Abs. 1 Nr. 4, 5 AO) TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.4.7 Steuerberatung Zweck der Datenverarbeitung: Klärung von steuerrechtlichen und betriebswirtschaftlichen Fragen, Kommunikation mit Finanzverwaltung und -gerichtsbarkeit Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister, Beschäftigte Kategorien personenbezogener Daten: Bestandsdaten, Abrechnungsdaten, Beschäftigtenstammdaten, Geschäftsunterlagen/Rechnungsdaten Kategorien von Empfängern: Unternehmensführung, Finanzbuchhaltung, Steuerbehörden, Steuerberater Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Steuerpflicht), lit. f (Unternehmensinteresse) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen 2.5 Datenschutz und Compliance 2.5.1 Bearbeitung von Anfragen zu Betroffenenrechten Zweck der Datenverarbeitung: Erfüllung der gesetzlichen Verpflichtung Kategorien betroffener Personen: Kunden, Lieferanten, Beschäftigte, Interessenten Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten, Kommunikationsdaten Kategorien von Empfängern: Datenschutzbeauftragter, IT-Abteilung, Unternehmensführung Übermittlungen an Drittländer bzw. internationale Organisationen: Nein Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Art. 12 ff. DSGVO, gesetzliche Pflicht) Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen Löschkonzept Heilpraxis Nicole Rietig vom 22.05.2026 Ein wesentlicher Aspekt der DSGVO ist das „Recht auf Vergessenwerden“, das den Betroffenen das Recht gibt, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Außerdem etabliert die DSGVO die Grundsätze der Datenminimierung, der Datensparsamkeit und der Speicherbegrenzung, wonach immer nur die Daten verarbeitet werden sollen, die zur Erreichung des Zwecks zwingend erforderlich sind. Um diesen Anforderungen gerecht zu werden und die Einhaltung der DSGVO sicherzustellen, haben wir ein Löschkonzept erstellt. Das Löschkonzept soll sicher stellen, dass personenbezogene Daten gemäß den Vorgaben der DSGVO effektiv, effizient und rechtlich konform gelöscht werden. Die Durchführung der Datenlöschungen soll das Vertrauen von Kunden, Partnern oder Mitarbeitern in unseren Umgang mit personenbezogenen Daten stärken.

Allgemeines Grundsätzlich löschen wir personenbezogene Daten immer dann, wenn der Zweck entfällt, zu dem personenbezogene Daten verarbeitet wurden, es sei denn, es stehen gesetzliche Aufbewahrungspflichten entgegen.

Löschmethode Wir bestimmen geeignete Löschmethoden für die jeweiligen Datenarten. 4.1 Papier Papierdokumente werden bei uns physisch vernichtet, indem sie angemessen klein geschreddert und anschließend in der Papiertonne entsorgt werden. 4.2 Elektronische Daten Elektronische Daten werden derart aus den Systemen entfernt, dass sie nicht wiederhergestellt werden können. Abhängig von der Art des Speichermediums, der Sensibilität der Daten und den rechtlichen Anforderungen greifen wir zu Löschung elektronischer Daten auf folgende Methode(n) zurück: • Dateilöschung: Die Dateien und Ordner, die personenbezogene Daten enthalten, werden manuell von den Systemen gelöscht. Dabei werden die Daten auch aus dem Papierkorb entfernt, damit sie nicht wiederhergestellt werden können. • Datenverschlüsselung: Wir verschlüsseln personenbezogenen Daten mit starken Verschlüsselungsalgorithmen. Durch die Vernichtung oder den Verlust der Verschlüsselungsschlüssel stellen wir sicher, dass die Daten nicht mehr lesbar sind und somit als gelöscht betrachtet werden können. • Physische Zerstörung: Bei bestimmten Speichermedien, wie zum Beispiel Festplatten oder SSDs, setzen wir auf die physische Zerstörung. Dies bedeutet, dass wir die Speichermedien entweder zertrümmern, schreddern oder in spezielle Geräte zur Festplattenvernichtung geben, um sicherzustellen, dass die Daten dauerhaft und unwiederbringlich gelöscht werden. Wir berücksichtigen bei der Anwendung der Löschmethode immer die bestmöglichen Praktiken und Verfahren um sicherzustellen, dass die Daten ordnungsgemäß und sicher gelöscht werden.

Dokumentation Um nachweisen zu können, dass wir datenschutzkonform löschen, dokumentieren wir unseren Löschprozess. Dabei achten wir darauf, dass die Dokumentation klar, umfassend und leicht zugänglich ist. Dabei berücksichtigen wir folgende Aspekte: • Zeitpunkt und Datum: Wir erfassen den genauen Zeitpunkt und das Datum, an dem wir den Löschprozess durchführen. Dadurch haben wir eine klare und nachvollziehbare zeitliche Dokumentation. • Durchgeführte Schritte: Wir dokumentieren detailliert die Schritte, die wir im Rahmen des Löschprozesses unternehmen. Wir beschreiben genau, welche Daten gelöscht wurden, welche Löschmethode angewendet wurde (z. B. manuelle Löschung, Formatierung, Überschreibung) und wie die Löschung durchgeführt wurde. • Verantwortliche Personen: Wir halten die Namen oder Bezeichnungen der Personen oder Abteilungen fest, die für die Durchführung des Löschprozesses verantwortlich sind. Dadurch können wir die Verantwortlichkeiten klar zuordnen und Transparenz gewährleisten. • Verwendete Tools und Software: Spezielle Tools und Software, die wir für die Datenlöschung verwenden, dokumentieren wir. Wir gebe an, welche Art von Software oder Technologie wir einsetzen und vermerken gegebenenfalls die Versionsnummer. • Bestätigungen und Zertifizierungen: Wenn Dritte, wie zum Beispiel externe Datenlöschunternehmen, in den Löschprozess involviert sind, halten wir Bestätigungen oder Zertifizierungen über die ordnungsgemäße Durchführung der Datenlöschung fest. • Aufbewahrung und Dokumentation: Wir stellen sicher, dass die Dokumentation des Löschprozesses sicher und dauerhaft aufbewahrt wird. Wir legen fest, wo wir die Aufzeichnungen speichern und für wie lange, um die gesetzlichen Anforderungen zu erfüllen.

Löschfrist In unserem Verarbeitungsverzeichnis listen wir detailgenau alle Datenarten und den Zweck der Verarbeitung zu jeder Verarbeitungstätigkeit auf. Für jede Datenart und deren Verarbeitungszweck bilden wir eine Löschfrist. Soweit es eine gesetzliche Aufbewahrungspflicht gibt, ist die Löschfrist mindestens so lang wie diese. Außerdem beinhaltet die Löschfrist einen Zeitraum, in dem der Löschvorgang erfolgt. So ergibt sich z.B. für Datenarten, die solange aufbewahrt werden, wie die regelmäßige Verjährungsfrist läuft, eine Löschfrist von 4 Jahren. Die regelmäßige Verjährungsfrist beginnt mit dem Ende des Kalenderjahres, in welches das Ereignis fällt und läuft von da an 3 Jahre. Unter zusätzlicher Einbeziehung eines Zeitraums für den Löschprozess bemessen wir unsere Löschfrist für diese Datenart regelmäßig auf 4 Jahre.

Beginn der Löschfrist Die Löschfristen beginnen mit dem Wegfall des Verarbeitungszwecks. Das bedeutet, dass die Löschfrist für Daten, die aufgrund einer vertraglichen Beziehung verarbeitet werden, erst mit dem Ende dieser Vertragsbeziehung zu laufen beginnt. In manchen Fällen gibt es nach der Datenerhebung keinen weiteren Verarbeitungszweck. In diesem Fall beginnt die Löschfrist direkt mit der Datenerhebung zu laufen.

Einwilligung Wir verarbeiten Daten auch aufgrund von Einwilligungen der Betroffenen. Sobald die Einwilligung entfällt, weil sie zum Beispiel widerrufen wurde, entfällt auch die Rechtsgrundlage für die Verarbeitung. Wir löschen diese Daten unmittelbar nach dem Widerruf der Einwilligung. Eine Ausnahme besteht nur dann, wenn eine gesetzliche Aufbewahrungspflicht einer sofortigen Löschung entgegensteht.

Betroffenenrecht: Recht auf Löschung nach Art. 17 DSGVO Macht ein Betroffener rechtswirksam von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch löschen wir die entsprechenden Daten unmittelbar und unabhängig von der zuvor festgelegten Löschfrist. Dem Anspruch wird erst nach rechtlicher und tatsächlicher Überprüfung entsprochen.

Zusammenfassung Zusammenfassend lässt sich sagen, dass unser Löschkonzept ein entscheidendes Element ist, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Es legt die Grundlage für einen strukturierten und rechtskonformen Löschprozess, der das Recht auf Vergessenwerden respektiert und das Vertrauen der Betroffenen stärkt. Durch die Einhaltung von Löschfristen, die Auswahl geeigneter Löschmethoden und die sorgfältige Dokumentation des Löschprozesses können wir das Risiko von Datenschutzverletzungen minimieren. Unser Löschkonzept dient uns somit als Leitfaden für die sichere und effektive Löschung personenbezogener Daten und unterstützt unser Unternehmen dabei, einen verantwortungsvollen Umgang mit sensiblen Informationen zu gewährleisten.

Kontaktdaten des Verantwortlichen Name: Heilpraxis Nicole Rietig Adresse: Kleinmoor 5, 21369 Nahrendorf E-Mail-Adresse: info@nicolerietig.de

Löschkonzept konkret Die mit der jeweiligen Datenart verbundenen Daten werden nach den folgenden Regeln gelöscht. 12.1 Marketing 12.1.1 Website Zweck der Verarbeitung: Marketing und Werbezwecke Betroffenen-Kategorie: Websitebesucher Löschfrist: 2 Jahre nach letztem Besuch Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Verantwortlichkeiten: Marketingabteilung, IT-Abteilung 12.1.2 Newsletter Zweck der Verarbeitung: Marketing und Werbezwecke, Versand von Newslettern Betroffenen-Kategorie: Empfänger von Marketingmaßnahmen Löschfrist: sofort nach Widerruf durch den Besteller Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO Verantwortlichkeiten: Marketingabteilung, IT-Abteilung 12.1.3 Generierung von Leads/Kontaktanfragen über Webformulare und/oder Landingpages Zweck der Verarbeitung: Marketingzwecke, Interessentengewinnung Betroffenen-Kategorie: Interessenten, Kunden Löschfrist: 3 Jahre Rechtsgrundlage: §§ 195, 199 BGB Verantwortlichkeiten: Marketingabteilung, IT-Abteilung 12.1.4 Webtracking und Analyse Zweck der Verarbeitung: Optimierung von Marketingkampagnen, Produkten und des allgemeinen Webauftritts Betroffenen-Kategorie: Kunden, Interessenten Löschfrist: Anonymisierung nach Erhebung Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f, 17 DS-GVO Verantwortlichkeiten: Marketingabteilung, IT-Abteilung 12.1.5 Kundenanalyse/Nutzerstatistiken Zweck der Verarbeitung: Optimierung von Service, Produkten und Angeboten Betroffenen-Kategorie: Kunden, Nutzer Löschfrist: 2 Jahre nach letztem Kauf Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Verantwortlichkeiten: Marketingabteilung, IT-Abteilung 12.2 Vertrieb 12.2.1 Vertragsmanagement Zweck der Verarbeitung: Management von Verträgen Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler Löschfrist: 10 Jahre Rechtsgrundlage: § 147 AO, § 257 HGB Verantwortlichkeiten: Finanzbuchhaltung, Verkauf 12.2.2 Kommunikation und Kundenmanagement Zweck der Verarbeitung: Speicherung von Kundendaten/Kommunikation Betroffenen-Kategorie: Kunden Löschfrist: 10 Jahre Rechtsgrundlage: § 147 AO, § 257 HGB Verantwortlichkeiten: Alle berechtigten Mitarbeiter 12.2.3 Kundenverwaltung Zweck der Verarbeitung: Organisation der laufenden Kundenbeziehungen Betroffenen-Kategorie: Kunden Löschfrist: 2 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung 12.2.4 Allgemeiner Kundenservice Zweck der Verarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung Betroffenen-Kategorie: Kunden Löschfrist: 2 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Verantwortlichkeiten: Kundenservice, Verkauf 12.2.5 Anlegen von Akten Zweck der Verarbeitung: Erfassen des Vorgangs mit allen bekannten Daten Betroffenen-Kategorie: Kunden, Lieferanten, Beschäftigte, Interessenten Löschfrist: 2 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Verantwortlichkeiten: Unternehmensführung, Personalabteilung, Finanzbuchhaltung 12.2.6 Kundendienst/Customer Relationship Management für Geschäftskunden Zweck der Verarbeitung: Erfüllung der vertraglichen Pflichten mit Geschäftskunden Betroffenen-Kategorie: Geschäftskunden Löschfrist: 2 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung, Unternehmensführung 12.3 IT- und Kommunikationssysteme 12.3.1 E-Mail System Zweck der Verarbeitung: Kommunikation mit internen und externen Kontakten Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Löschfrist: 6 Jahre nach Ablauf des Kalenderjahres der Erhebung Rechtsgrundlage: § 257 Abs. 4 HGB Verantwortlichkeiten: IT-Abteilung, Beschäftigte 12.3.2 Kalender- und Terminverwaltung Zweck der Verarbeitung: Planung und Organisation von Terminen und Veranstaltungen Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Löschfrist: 3 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Verantwortlichkeiten: IT-Abteilung, Beschäftigte 12.3.3 Softwarewartung Zweck der Verarbeitung: Sicherstellung der Funktionalität und Sicherheit der Software Betroffenen-Kategorie: Beschäftigte Löschfrist: 5 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO Verantwortlichkeiten: IT-Abteilung 12.3.4 IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit Zweck der Verarbeitung: Verwaltung und Sicherung der IT-Infrastruktur Betroffenen-Kategorie: Beschäftigte Löschfrist: 5 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO Verantwortlichkeiten: IT-Abteilung 12.3.5 Chat- und Messenger-Dienste (extern) Zweck der Verarbeitung: Kommunikation zwischen internen und externen Kontakten Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Löschfrist: 3 Jahre Rechtsgrundlage: §§ 195, 199 BGB Verantwortlichkeiten: IT-Abteilung, Beschäftigte 12.3.6 Chat- und Messenger-Dienste (intern) Zweck der Verarbeitung: Kommunikation innerhalb des Unternehmens Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Löschfrist: 3 Jahre Rechtsgrundlage: §§ 195, 199 BGB Verantwortlichkeiten: IT-Abteilung, Beschäftigte 12.3.7 Passwortmanager/-verwaltung Zweck der Verarbeitung: Sicherung und Verwaltung von Passwörtern Betroffenen-Kategorie: Beschäftigte Löschfrist: 3 Monate Rechtsgrundlage: Art. 17 DS-GVO Verantwortlichkeiten: IT-Abteilung 12.3.8 Telefonanlage Zweck der Verarbeitung: Telefonische Kommunikation Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Löschfrist: 5 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Verantwortlichkeiten: IT-Abteilung, Beschäftigte 12.3.9 Nutzerverwaltung und Zugriffsberechtigungen Zweck der Verarbeitung: Zugriffskontrolle auf Systeme Betroffenen-Kategorie: Beschäftigte Löschfrist: 5 Jahre nach Vertragende Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO Verantwortlichkeiten: IT-Abteilung, Unternehmensführung 12.3.10 Archivierung von Daten Zweck der Verarbeitung: Langfristige Speicherung von Daten Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten Löschfrist: 10 Jahre nach Vertragende Rechtsgrundlage: § 257 Abs. 1 HGB Verantwortlichkeiten: IT-Abteilung, Unternehmensführung 12.4 Finanzen und Buchhaltung 12.4.1 Allgemeine Abwicklung des Zahlungsverkehrs Zweck der Verarbeitung: Durchführung der Finanzbuchhaltung Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister Löschfrist: 10 Jahre Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro 12.4.2 Elektronischer Zahlungsverkehr Zweck der Verarbeitung: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister Löschfrist: 10 Jahre Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro 12.4.3 Finanzbuchhaltung Zweck der Verarbeitung: Einhaltung und Durchführung der gesetzlichen Anforderungen an die Buchführung Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten) Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro 12.4.4 Rechnungsstellung Zweck der Verarbeitung: Abrechnung erbrachter Leistungen Betroffenen-Kategorie: Kunden Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten) Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro 12.4.5 Kassenbuch Zweck der Verarbeitung: Erfüllung des gesetzlichen Verpflichtung Betroffenen-Kategorie: Kunden Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten) Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro 12.4.6 Reisekostenabrechnung Zweck der Verarbeitung: Erstattung der dienstlich veranlassten Reisekosten Betroffenen-Kategorie: Beschäftigte Löschfrist: 10 Jahre Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro 12.4.7 Steuerberatung Zweck der Verarbeitung: Erfüllung der gesetzlichen Vorgaben Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister, Beschäftigte Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten) Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Buchhaltungsbüro, Steuerberater 12.4.8 Angebotserstellung Zweck der Verarbeitung: Abschluss von Verträgen Betroffenen-Kategorie: Kunden, Geschäftskunden Löschfrist: 6 Jahre Rechtsgrundlage: § 257 HGB, § 147 AO Verantwortlichkeiten: Verkauf, Einkauf 12.5 Datenschutz und Compliance 12.5.1 Bearbeitung von Anfragen zu Betroffenenrechten Zweck der Verarbeitung: Erfüllung der gesetzlichen Verpflichtung Betroffenen-Kategorie: Kunden, Lieferanten, Beschäftigte, Interessenten Löschfrist: 3 Jahre nach Erledigung des Antrags Rechtsgrundlage: Art. 15-22 DSGVO Verantwortlichkeiten: Datenschutzbeauftragter, IT-Abteilung, Unternehmensführung