Verzeichnis für Verarbeitungstätigkeiten

gem. Art. 30 Abs. 1 DSGVO

Rolf Burkert NexFlow Consulting

vom 27.05.2026

1. Kontaktdaten des Verantwortlichen

Name: Rolf Burkert NexFlow Consulting

Adresse: Im Hahnstück 4; 65510 Idstein; Germany

E-Mail-Adresse: datenschutz@nexflowc.ai

2. Kontaktdaten des Datenschutzbeauftragten

simply Legal GmbH

Sebastian Schenk

Burkarderstr. 36, 97082 Würzburg

dpo@dieter-datenschutz.de

3. Verarbeitungstätigkeiten

3.1 Marketing

3.1.1 Website

Zweck der Datenverarbeitung: Marketing und Werbezwecke

Kategorien betroffener Personen: Websitebesucher

Kategorien personenbezogener Daten: Nutzungsdaten, Meta-/Kommunikationsdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Trackinganbieter

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Online-Präsenz, Außendarstellung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.2 Newsletter

Zweck der Datenverarbeitung: Marketing und Werbezwecke, Versand von Newslettern

Kategorien betroffener Personen: Empfänger von Marketingmaßnahmen

Kategorien personenbezogener Daten: Kontaktdaten, Meta-/Kommunikationsdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, Newsletteranbieter

Übermittlungen an Drittländer bzw. internationale Organisationen: NeinJa, es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.3 Social-Media: YouTube

Zweck der Datenverarbeitung: Marketing und Werbezwecke

Kategorien betroffener Personen: Nutzer

Kategorien personenbezogener Daten: Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja. Youtube wird von Google LLC betrieben. Es besteht eine potentielle Übermittlung der Daten in ein Drittland (USA). Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing, Öffentlichkeitsarbeit)

Löschfrist: Daten werden von YouTube/Google verarbeitet, gespeichert und gelöscht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.4 Social-Media: Facebook

Zweck der Datenverarbeitung: Marketing und Werbezwecke

Kategorien betroffener Personen: Nutzer

Kategorien personenbezogener Daten: Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da Meta auch Serverstandorte in den USA betreibt. Daher besteht eine potentielle Übermittlung der Daten in ein Drittland. Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)

Löschfrist: Es gelten die Speicherfristen von Meta. Hinweise dazu finden sich in der Datenschutzerklärung von Facebook/Meta

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.5 Social-Media: Instagram

Zweck der Datenverarbeitung: Marketing und Werbezwecke

Kategorien betroffener Personen: Nutzer

Kategorien personenbezogener Daten: Profildaten, Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da Meta auch Serverstandorte in den USA betreibt. Daher besteht eine potentielle Übermittlung der Daten in ein Drittland. Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)

Löschfrist: Es gelten die Speicherfristen von Meta. Hinweise dazu finden sich in der Datenschutzerklärung von Instagram/Meta

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.6 Social-Media: LinkedIn

Zweck der Datenverarbeitung: Marketing und Werbezwecke

Kategorien betroffener Personen: Nutzer

Kategorien personenbezogener Daten: PrInhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung, LinkedIn Ireland Unlimited Company (als Dienstanbieter innerhalb der EU) sowie ggf. LinkedIn Corporation bzw. Microsoft Corporation als Konzernmutter (USA)

Übermittlung an Drittländer bzw. internationale Organisationen: Ja, es kann zu einer Datenübermittlung in die USA kommen. LinkedIn (bzw. Microsoft) ist nach dem EU-U.S. Data Privacy Framework zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Marketing)

Löschfrist: Daten werden von LinkedIn verarbeitet, gespeichert und gelöscht. Hinweise finden sich in der Datenschutzerklärung von LinkedIn

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.7 E-Mail Marketing

Zweck der Datenverarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe

Kategorien betroffener Personen: Kunden, Interessenten

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse

Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder lit. f DSGVO (Direktwerbung an Bestandskunden)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.8 Telefon-Marketing

Zweck der Datenverarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe

Kategorien betroffener Personen: Kunden, Interessenten

Kategorien personenbezogener Daten: Name, Telefonnummer, Adresse

Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Direktwerbung), § 7 UWG beachten

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.9 Generierung von Leads/Kontaktanfragen über Webformulare und/oder Landingpages

Zweck der Datenverarbeitung: Marketingzwecke, Interessentengewinnung

Kategorien betroffener Personen: Interessenten, Kunden

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse

Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f (Marketing, Interesse an Kundengewinnung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.10 Webtracking und Analyse

Zweck der Datenverarbeitung: Optimierung von Marketingkampagnen, Produkten und des allgemeinen Webauftritts

Kategorien betroffener Personen: Kunden, Interessenten

Kategorien personenbezogener Daten: IP-Adresse, Verhaltensdaten

Kategorien von Empfängern: Marketing, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung von Daten in die USA oder in ein Drittland ist möglich. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Cookies/Tracking) oder lit. f (berechtigtes Interesse, sofern rechtskonform umsetzbar)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.11 Kundenanalyse/Nutzerstatistiken

Zweck der Datenverarbeitung: Optimierung von Service, Produkten und Angeboten

Kategorien betroffener Personen: Kunden, Nutzer

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Verhaltensdaten, Leistungsdaten

Kategorien von Empfängern: Verkauf, Marketing, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Optimierung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.12 Marktforschung

Zweck der Datenverarbeitung: Marktforschung

Kategorien betroffener Personen: Kunden, Interessenten, Nutzer

Kategorien personenbezogener Daten: Name, Alter/Geburtsdatum, Geschlecht, Adresse, E-Mail-Adresse, Telefonnummer, Verhaltensdaten, Sozialdaten

Kategorien von Empfängern: Marketingabteilung, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), ggf. lit. a (Einwilligung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.13 Auswertung von Bewertungen

Zweck der Datenverarbeitung: Verbesserung der Außenwirkung des Unternehmens, Verbesserung der Leistungen

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Verhaltensdaten

Kategorien von Empfängern: Marketing, IT-Abteilung, Unternehmensführung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. Imagepflege)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.1.14 Durchführung von Firmenevents zu Werbezwecken

Zweck der Datenverarbeitung: Werbemaßnahmen, Außendarstellung des Unternehmens, Erfüllung guter Zwecke

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer

Kategorien von Empfängern: Personalabteilung, Unternehmensführung, Marketing, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Außendarstellung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2 Vertrieb

3.2.1 Angebotserstellung

Zweck der Datenverarbeitung: Abschluss von Verträgen

Kategorien betroffener Personen: Kunden, Geschäftskunden

Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Angebotsdaten

Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.2 CRM-System

Zweck der Datenverarbeitung: Planung, Steuerung und Kontrolle des Unternehmens

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler

Kategorien personenbezogener Daten: Bestandsdaten, Kontaktdaten, Vertragsdaten, Abrechnungsdaten, Beschäftigtenstammdaten, Bewerberdaten, Geschäftsunterlagen, Rechnungsdaten

Kategorien von Empfängern: Unternehmensführung Personalabteilung, Finanzbuchhaltung, IT-Abteilung, Einkauf, Verkauf, Banken, Steuerbehörden, Hausverwalter, Notare, Sozialversicherungsträger, Krankenkassen, Vermieter, Verkäufer, Vormieter, Käufer, Mieter, Kaufinteressenten, Mietinteressenten

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kunden-/Lieferantenverwaltung), lit. f (optimiertes Kundenmanagement)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.3 Vertragsmanagement

Zweck der Datenverarbeitung: Management von Verträgen

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler

Kategorien personenbezogener Daten: Vertragsdaten

Kategorien von Empfängern: Finanzbuchhaltung, Verkauf

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.4 Kommunikations- und Kundenmanagement

Zweck der Datenverarbeitung: Speicherung von Kundendaten/Kommunikation

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Bestandsdaten, Kontaktdaten

Kategorien von Empfängern: alle berechtigten Mitarbeiter

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.5 Kundenverwaltung und -datenbank (Privatkunden)

Zweck der Datenverarbeitung: Organisation der laufenden Kundenbeziehungen

Kategorien betroffener Personen: (Privat-)Kunden

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten

Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.6 Kundenverwaltung und -datenbank (Geschäftskunden)

Zweck der Datenverarbeitung: Organisation der laufenden Kundenbeziehungen

Kategorien betroffener Personen: Geschäftskunden

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten

Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.7 Allgemeiner Kundenservice

Zweck der Datenverarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Name, Adresse, Kontaktdaten, Anfragedaten

Kategorien von Empfängern: Kundenservice, Verkauf

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung, Kommunikation)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.8 Geburtstagsverzeichnis (Kunden)

Zweck der Datenverarbeitung: Kundenservice, Kundenbindung

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Name, Geburtsdatum

Kategorien von Empfängern: Verkauf, Kundenservice

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Kundenbindung) oder lit. a (Einwilligung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.9 Bestellungen von Arbeitsmaterial

Zweck der Datenverarbeitung: Bereitstellung des benötigten Arbeitsmaterials

Kategorien betroffener Personen: Kunden, Lieferanten, Beschäftigte

Kategorien personenbezogener Daten: Name, Adresse, Bestelldaten

Kategorien von Empfängern: Verkauf, Einkauf

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.10 Annahme von Bestellungen/Aufträgen über ein Webportal

Zweck der Datenverarbeitung: Erfassungen von Kundendaten zur Einleitung von Vertragsabschlüssen (Bestellungen)

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Bestelldaten, Zahlungsinformationen

Kategorien von Empfängern: Verkauf, Einkauf, IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.11 Verkauf über Handelsplattformen

Zweck der Datenverarbeitung: Vertrieb der Produkte

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Bestelldaten, Zahlungsinformationen

Kategorien von Empfängern: Verkauf, Einkauf, Handelsplattformen

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.12 Anlegen von Akten

Zweck der Datenverarbeitung: Erfassen eines Vorgangs mit allen bekannten Daten

Kategorien betroffener Personen: Kunden, Lieferanten, Beschäftigte, Interessenten

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten

Kategorien von Empfängern: Unternehmensführung, Personalabteilung, Finanzbuchhaltung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ggf. lit. c (gesetzl. Aufbewahrung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.2.13 Kundendienst/Customer Relationship Management für Geschäftskunden

Zweck der Datenverarbeitung: Erfüllung der vertraglichen Pflichten mit Geschäftskunden

Kategorien betroffener Personen: Geschäftskunden

Kategorien personenbezogener Daten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Vertragsdaten, Kommunikationsdaten

Kategorien von Empfängern: Verkauf, Einkauf, Finanzbuchhaltung, Unternehmensführung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3 IT- und Kommunikationssysteme

3.3.1 Nutzung eines E-Mail-Systems

Zweck der Datenverarbeitung: Kommunikation mit internen und externen Kontakten

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse

Kategorien von Empfängern: IT-Abteilung, Beschäftigte, Provider

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da das E-Mail-System bei einem Anbieter liegt, der die Daten in ein Drittland spiegelt oder dort verarbeitet. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kommunikation im Arbeits-/Kundenverhältnis) oder lit. f (Geschäftskommunikation)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.2 Kalender- und Terminverwaltung

Zweck der Datenverarbeitung: Planung und Organisation von Terminen und Veranstaltungen

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer

Kategorien von Empfängern: IT-Abteilung, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Terminkoordinierung) oder lit. f (Organisation)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.3 Betrieb einer App

Zweck der Datenverarbeitung: Bereitstellung von Informationen und Services über mobile Geräte

Kategorien betroffener Personen: Kunden, Interessenten

Kategorien personenbezogener Daten: IP-Adresse, Anmeldeinformationen, Verhaltensdaten

Kategorien von Empfängern: IT-Abteilung, Marketing

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, da das Hosting nicht ausschließlich in der EU stattfindet oder Datenspiegelungen in ein Drittland erfolgen. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Service), lit. f (Interesse an mobiler Bereitstellung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.4 Chat- und Messenger-Dienste intern

Zweck der Datenverarbeitung: Kommunikation innerhalb des Unternehmens

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten

Kategorien von Empfängern: IT-Abteilung, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Arbeitsverhältnis) oder lit. f (interne Kommunikation)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.5 Chat- und Messenger-Dienste extern

Zweck der Datenverarbeitung: Kommunikation zwischen internen und externen Kontakten

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten

Kategorien von Empfängern: IT-Abteilung, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, eine Übermittlung von Daten in die USA oder in ein Drittland ist möglich. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kunden-/Lieferantenkontakt) oder lit. f

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.6 IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit

Zweck der Verarbeitung: Verwaltung und Sicherung der IT-Infrastruktur

Kategorien betroffener Personen: Beschäftigte

Kategorien personenbezogener Daten: Name, E-Mail Adresse, IP-Adresse, Verhaltensdaten

Kategorien von Empfängern: IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Sicherheitspflichten), lit. f (berechtigtes Interesse an IT-Sicherheit)

Löschfrist: max. 6 Monate für reine Logfiles zur IT-Sicherheit; bei Verträgen mit IT-Dienstleistern: 5 Jahre aufgrund möglicher Gewährleistungsansprüche

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.7 Bereitstellung eines Internetzugangs für Gäste

Zweck der Datenverarbeitung: Bereitstellung von Internetzugang für Gäste und Besucher

Kategorien betroffener Personen: Besucher

Kategorien personenbezogener Daten: IP-Adresse, Verhaltensdaten

Kategorien von Empfängern: IT-Abteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Kunden-/Besucherbetreuung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.8 Kontaktformulare und Chat-Tools

Zweck der Datenverarbeitung: Kommunikation und Interaktion mit Kunden und Interessenten

Kategorien betroffener Personen: Kunden, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Telefonnummer

Kategorien von Empfängern: IT-Abteilung, Verkauf, Marketing, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f (Support/Service)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.9 Videotelefonie

Zweck der Datenverarbeitung: Kommunikation und Zusammenarbeit über Videoanrufe

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Verhaltensdaten

Kategorien von Empfängern: IT-Abteilung, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Ja, es werden Daten in die USA bzw. in ein Drittland übermittelt. Es greifen die Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Kommunikation) oder lit. f

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.10 Dokumentenmanagementsystem (DMS)

Zweck der Datenverarbeitung: Verwaltung, Speicherung und Zugriff auf Dokumente und Dateien

Kategorien betroffener Personen: Beschäftigte

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Dokumente und Dateien mit personenbezogenen Daten

Kategorien von Empfängern: IT-Abteilung, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Organisation/Verträge) oder lit. c (Aufbewahrungspflichten)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.11 Nutzerverwaltung und Zugriffsberechtigungen

Zweck der Datenverarbeitung: Sicherstellung der Zugriffskontrolle und -berechtigung auf Systeme und Anwendungen

Kategorien betroffener Personen: Beschäftigte

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Zugriffsdaten

Kategorien von Empfängern: IT-Abteilung, Unternehmensführung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit), lit. b (Arbeitsvertrag)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.12 Angebot einer Kommentarfunktion

Zweck der Datenverarbeitung: Kommunikation und Interaktion mit Nutzern der Webseite oder Anwendung

Kategorien betroffener Personen: Kunden, Interessenten, Beschäftigte

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Kommentartext

Kategorien von Empfängern: IT-Abteilung, Marketing, Beschäftigte

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Interaktion), ggf. lit. a (Einwilligung)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.3.13 Archivierung von Daten

Zweck der Datenverarbeitung: Langfristige Speicherung und Aufbewahrung von Daten und Dokumenten

Kategorien betroffener Personen: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, Telefonnummer, Vertragsdaten, Finanzdaten, Dokumente und Dateien mit personenbezogenen Daten

Kategorien von Empfängern: IT-Abteilung, Unternehmensführung, Buchhaltung, Rechtsabteilung

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrung), lit. f (Dokumentationsinteresse)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4 Finanzen und Buchhaltung

3.4.1 Allgemeine Abwicklung des Zahlungsverkehrs

Zweck der Datenverarbeitung: Durchführung der Finanzbuchhaltung

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister

Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten

Kategorien von Empfängern: Buchhaltungsbüro

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. c (Buchhaltungspflichten)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4.2 Elektronischer Zahlungsverkehr

Zweck der Datenverarbeitung: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister

Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten

Kategorien von Empfängern: Buchhaltungsbüro

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4.3 Finanzbuchhaltung

Zweck der Datenverarbeitung: Einhaltung und Durchführung der gesetzlichen Anforderungen an die Buchführung, finanzwirtschaftliche Auswertung und Analyse, Erfüllung der Nachweispflicht

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister

Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten

Kategorien von Empfängern: Buchhaltungsbüro

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten), lit. b (Vertrag)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4.4 Rechnungsstellung

Zweck der Datenverarbeitung: Abrechnung erbrachter Leistungen / verkaufter Waren

Kategorien betroffener Personen: Kunden

Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten

Kategorien von Empfängern: Buchhaltungsbüro

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO

Löschfrist: 10 Jahre Aufbewahrungspflicht (§ 147 Abs. 1 Nr. 1, 4, 5 AO i. V. m. § 257 Abs. 1 Nr. 1 und 4 HGB)

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4.5 Mahnwesen und Inkasso

Zweck der Datenverarbeitung: Eintreiben offener Forderungen

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister

Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten

Kategorien von Empfängern: Buchhaltungsbüro, Inkassonunternehmen

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Forderungseinzug), lit. f (berechtigtes Interesse)

Löschfrist: 10 Jahre, § 147 AO / § 257 HGB

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4.6 Controlling

Zweck der Datenverarbeitung: Planung, Steuerung und Kontrolle aller Unternehmensbereiche

Kategorien betroffener Personen: Beschäftigte, Lieferanten, Dienstleister

Kategorien personenbezogener Daten: Vertragsdaten, Abrechnungsdaten

Kategorien von Empfängern: Buchhaltungsbüro

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (betriebliches Interesse)

Löschfrist: 10 Jahre, § 147 AO / § 257 HGB

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

3.4.7 Steuerberatung

Zweck der Datenverarbeitung: Klärung von steuerrechtlichen und betriebswirtschaftlichen Fragen, Kommunikation mit Finanzverwaltung und -gerichtsbarkeit

Kategorien betroffener Personen: Kunden, Lieferanten, Dienstleister, Beschäftigte

Kategorien personenbezogener Daten: Bestandsdaten, Abrechnungsdaten, Beschäftigtenstammdaten, Geschäftsunterlagen/Rechnungsdaten

Kategorien von Empfängern: Unternehmensführung, Finanzbuchhaltung, Steuerbehörden, Steuerberater

Übermittlungen an Drittländer bzw. internationale Organisationen: Nein

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Steuerpflicht), lit. f (Unternehmensinteresse)

Löschfrist: Löschung mit Ende der Erforderlichkeit oder mit Ende der gesetzlichen Aufbewahrungspflicht

TOMs: siehe Dokument zu den technischen und organisatorischen Maßnahmen

Löschkonzept

Rolf Burkert NexFlow Consulting

vom 27.05.2026

Ein wesentlicher Aspekt der DSGVO ist das "Recht auf Vergessenwerden", das den Betroffenen das Recht gibt, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Außerdem etabliert die DSGVO die Grundsätze der Datenminimierung, der Datensparsamkeit und der Speicherbegrenzung, wonach immer nur die Daten verarbeitet werden sollen, die zur Erreichung des Zwecks zwingend erforderlich sind. Um diesen Anforderungen gerecht zu werden und die Einhaltung der DSGVO sicherzustellen, haben wir ein Löschkonzept erstellt.

Das Löschkonzept soll sicher stellen, dass personenbezogene Daten gemäß den Vorgaben der DSGVO effektiv, effizient und rechtlich konform gelöscht werden.

Die Durchführung der Datenlöschungen soll das Vertrauen von Kunden, Partnern oder Mitarbeitern in unseren Umgang mit personenbezogenen Daten stärken.

4. Allgemeines

Grundsätzlich löschen wir personenbezogene Daten immer dann, wenn der Zweck entfällt, zu dem personenbezogene Daten verarbeitet wurden, es sei denn, es stehen gesetzliche Aufbewahrungspflichten entgegen.

5. Löschmethode

Wir bestimmen geeignete Löschmethoden für die jeweiligen Datenarten.

5.1 Papier

Papierdokumente werden bei uns physisch vernichtet, indem sie angemessen klein geschreddert und anschließend in der Papiertonne entsorgt werden.

5.2 Elektronische Daten

Elektronische Daten werden derart aus den Systemen entfernt, dass sie nicht wiederhergestellt werden können.

Abhängig von der Art des Speichermediums, der Sensibilität der Daten und den rechtlichen Anforderungen greifen wir zu Löschung elektronischer Daten auf folgende Methode(n) zurück:

• Dateilöschung: Die Dateien und Ordner, die personenbezogene Daten enthalten, werden manuell von den Systemen gelöscht. Dabei werden die Daten auch aus dem Papierkorb entfernt, damit sie nicht wiederhergestellt werden können.

• Formatierung:Wir führen eine Formatierung der Speichermedien wie Festplatten oder USB-Sticks durch, um alle Daten auf dem Laufwerk zu löschen. Wir achten dabei darauf, dass wir die Formatierung korrekt durchführen und keine Daten zurückbleiben.

Wir berücksichtigen bei der Anwendung der Löschmethode immer die bestmöglichen Praktiken und Verfahren um sicherzustellen, dass die Daten ordnungsgemäß und sicher gelöscht werden.

6. Dokumentation

Um nachweisen zu können, dass wir datenschutzkonform löschen, dokumentieren wir unseren Löschprozess. Dabei achten wir darauf, dass die Dokumentation klar, umfassend und leicht zugänglich ist. Dabei berücksichtigen wir folgende Aspekte:

• Zeitpunkt und Datum: Wir erfassen den genauen Zeitpunkt und das Datum, an dem wir den Löschprozess durchführen. Dadurch haben wir eine klare und nachvollziehbare zeitliche Dokumentation.

• Durchgeführte Schritte: Wir dokumentieren detailliert die Schritte, die wir im Rahmen des Löschprozesses unternehmen. Wir beschreiben genau, welche Daten gelöscht wurden, welche Löschmethode angewendet wurde (z. B. manuelle Löschung, Formatierung, Überschreibung) und wie die Löschung durchgeführt wurde.

• Verantwortliche Personen: Wir halten die Namen oder Bezeichnungen der Personen oder Abteilungen fest, die für die Durchführung des Löschprozesses verantwortlich sind. Dadurch können wir die Verantwortlichkeiten klar zuordnen und Transparenz gewährleisten.

• Verwendete Tools und Software: Spezielle Tools und Software, die wir für die Datenlöschung verwenden, dokumentieren wir. Wir gebe an, welche Art von Software oder Technologie wir einsetzen und vermerken gegebenenfalls die Versionsnummer.

• Bestätigungen und Zertifizierungen: Wenn Dritte, wie zum Beispiel externe Datenlöschunternehmen, in den Löschprozess involviert sind, halten wir Bestätigungen oder Zertifizierungen über die ordnungsgemäße Durchführung der Datenlöschung fest.

• Aufbewahrung und Dokumentation: Wir stellen sicher, dass die Dokumentation des Löschprozesses sicher und dauerhaft aufbewahrt wird. Wir legen fest, wo wir die Aufzeichnungen speichern und für wie lange, um die gesetzlichen Anforderungen zu erfüllen.

7. Löschfrist

In unserem Verarbeitungsverzeichnis listen wir detailgenau alle Datenarten und den Zweck der Verarbeitung zu jeder Verarbeitungstätigkeit auf. Für jede Datenart und deren Verarbeitungszweck bilden wir eine Löschfrist.

Soweit es eine gesetzliche Aufbewahrungspflicht gibt, ist die Löschfrist mindestens so lang wie diese. Außerdem beinhaltet die Löschfrist einen Zeitraum, in dem der Löschvorgang erfolgt.

So ergibt sich z.B. für Datenarten, die solange aufbewahrt werden, wie die regelmäßige Verjährungsfrist läuft, eine Löschfrist von 4 Jahren. Die regelmäßige Verjährungsfrist beginnt mit dem Ende des Kalenderjahres, in welches das Ereignis fällt und läuft von da an 3 Jahre. Unter zusätzlicher Einbeziehung eines Zeitraums für den Löschprozess bemessen wir unsere Löschfrist für diese Datenart regelmäßig auf 4 Jahre.

8. Beginn der Löschfrist

Die Löschfristen beginnen mit dem Wegfall des Verarbeitungszwecks. Das bedeutet, dass die Löschfrist für Daten, die aufgrund einer vertraglichen Beziehung verarbeitet werden, erst mit dem Ende dieser Vertragsbeziehung zu laufen beginnt. In manchen Fällen gibt es nach der Datenerhebung keinen weiteren Verarbeitungszweck. In diesem Fall beginnt die Löschfrist direkt mit der Datenerhebung zu laufen.

9. Einwilligung

Wir verarbeiten Daten auch aufgrund von Einwilligungen der Betroffenen. Sobald die Einwilligung entfällt, weil sie zum Beispiel widerrufen wurde, entfällt auch die Rechtsgrundlage für die Verarbeitung. Wir löschen diese Daten unmittelbar nach dem Widerruf der Einwilligung. Eine Ausnahme besteht nur dann, wenn eine gesetzliche Aufbewahrungspflicht einer sofortigen Löschung entgegensteht.

10. Betroffenenrecht: Recht auf Löschung nach Art. 17 DSGVO

Macht ein Betroffener rechtswirksam von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch löschen wir die entsprechenden Daten unmittelbar und unabhängig von der zuvor festgelegten Löschfrist.

Dem Anspruch wird erst nach rechtlicher und tatsächlicher Überprüfung entsprochen.

11. Zusammenfassung

Zusammenfassend lässt sich sagen, dass unser Löschkonzept ein entscheidendes Element ist, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Es legt die Grundlage für einen strukturierten und rechtskonformen Löschprozess, der das Recht auf Vergessenwerden respektiert und das Vertrauen der Betroffenen stärkt. Durch die Einhaltung von Löschfristen, die Auswahl geeigneter Löschmethoden und die sorgfältige Dokumentation des Löschprozesses können wir das Risiko von Datenschutzverletzungen minimieren. Unser Löschkonzept dient uns somit als Leitfaden für die sichere und effektive Löschung personenbezogener Daten und unterstützt unser Unternehmen dabei, einen verantwortungsvollen Umgang mit sensiblen Informationen zu gewährleisten.

12. Kontaktdaten des Verantwortlichen

Name: Rolf Burkert NexFlow Consulting

Adresse: Im Hahnstück 4; 65510 Idstein; Germany

E-Mail-Adresse: datenschutz@nexflowc.ai

13. Kontaktdaten des Datenschutzbeauftragten

simply Legal GmbH

Sebastian Schenk

Burkarderstr. 36, 97082 Würzburg

dpo@dieter-datenschutz.de

14. Löschkonzept konkret

Die mit der jeweiligen Datenart verbundenen Daten werden nach den folgenden Regeln gelöscht.

14.1 Marketing

14.1.1 Website

Zweck der Verarbeitung: Marketing und Werbezwecke

Betroffenen-Kategorie: Websitebesucher

Löschfrist: 2 Jahre nach letztem Besuch

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.2 Newsletter

Zweck der Verarbeitung: Marketing und Werbezwecke, Versand von Newslettern

Betroffenen-Kategorie: Empfänger von Marketingmaßnahmen

Löschfrist: sofort nach Widerruf durch den Besteller

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.3 Social-Media: YouTube

Zweck der Verarbeitung: Marketing und Werbezwecke

Betroffenen-Kategorie: Nutzer

Löschfrist: Daten werden von YouTube/Google verarbeitet

Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.4 Social-Media: Facebook

Zweck der Verarbeitung: Marketing und Werbezwecke

Betroffenen-Kategorie: Nutzer

Löschfrist: Daten werden von Facebook/Meta verarbeitet

Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.5 Social-Media: Instagram

Zweck der Verarbeitung: Marketing und Werbezwecke

Betroffenen-Kategorie: Nutzer

Löschfrist: Daten werden von Instagram/Meta verarbeitet

Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.6 Social-Media: LinikedIn

Zweck der Verarbeitung: Marketing und Werbezwecke

Betroffenen-Kategorie: Nutzer

Löschfrist: Daten werden von LinkedIn verarbeitet

Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.7 E-Mail Marketing

Zweck der Verarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe

Betroffenen-Kategorie: Kunden, Interessenten

Löschfrist: sofort nach Widerruf durch den Besteller

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.8 Telefon-Marketing

Zweck der Verarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe

Betroffenen-Kategorie: Kunden, Interessenten

Löschfrist: sofort nach Widerruf

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.9 Generierung von Leads/Kontaktanfragen über Webformulare und/oder Landingpages

Zweck der Verarbeitung: Marketingzwecke, Interessentengewinnung

Betroffenen-Kategorie: Interessenten, Kunden

Löschfrist: 3 Jahre

Rechtsgrundlage: §§ 195, 199 BGB

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.10 Webtracking und Analyse

Zweck der Verarbeitung: Optimierung von Marketingkampagnen, Produkten und des allgemeinen Webauftritts

Betroffenen-Kategorie: Kunden, Interessenten

Löschfrist: Anonymisierung nach Erhebung

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f, 17 DS-GVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.11 Kundenanalyse/Nutzerstatistiken

Zweck der Verarbeitung: Optimierung von Service, Produkten und Angeboten

Betroffenen-Kategorie: Kunden, Nutzer

Löschfrist: 2 Jahre nach letztem Kauf

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.12 Marktforschung

Zweck der Verarbeitung: Kunden, Interessenten

Betroffenen-Kategorie: Nutzer

Löschfrist: 2 Jahre nach Teilnahme

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.13 Auswertung von Bewertungen

Zweck der Verarbeitung: Verbesserung der Außenwirkung des Unternehmens, Verbesserung der Leistungen

Betroffenen-Kategorie: Kunden

Löschfrist: 2 Jahre nach Abgabe

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.1.14 Firmenevents

Zweck der Verarbeitung: Werbemaßnahmen; Außendarstellung des Unternehmens; Erfüllung guter Zwecke

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister

Löschfrist: 2 Jahre nach Teilnahme

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: Marketingabteilung, IT-Abteilung

14.2 Vertrieb

14.2.1 CRM-System

Zweck der Verarbeitung: Planung, Steuerung und Kontrolle des Unternehmens

Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler

Löschfrist: 10 Jahre

Rechtsgrundlage: § 147 AO, § 257 HGB

Verantwortlichkeiten: Unternehmensführung, Personalabteilung, Finanzbuchhaltung, IT-Abteilung

14.2.2 Vertragsmanagement

Zweck der Verarbeitung: Management von Verträgen

Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister, Beschäftigte, Interessenten, Vermittler

Löschfrist: 10 Jahre

Rechtsgrundlage: § 147 AO, § 257 HGB

Verantwortlichkeiten: Finanzbuchhaltung, Verkauf

14.2.3 Kommunikation und Kundenmanagement

Zweck der Verarbeitung: Speicherung von Kundendaten/Kommunikation

Betroffenen-Kategorie: Kunden

Löschfrist: 10 Jahre

Rechtsgrundlage: § 147 AO, § 257 HGB

Verantwortlichkeiten: Alle berechtigten Mitarbeiter

14.2.4 Kundenverwaltung

Zweck der Verarbeitung: Organisation der laufenden Kundenbeziehungen

Betroffenen-Kategorie: Kunden

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung

14.2.5 Kundenverwaltung und -datenbank (Geschäftskunden)

Zweck der Verarbeitung: Organisation der laufenden Kundenbeziehungen

Betroffenen-Kategorie: Geschäftskunden

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung

14.2.6 Allgemeiner Kundenservice

Zweck der Verarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung

Betroffenen-Kategorie: Kunden

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Kundenservice, Verkauf

14.2.7 Geburtstagsverzeichnis

Zweck der Verarbeitung: Kundenservice, Kundenbindung

Betroffenen-Kategorie: Kunden

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Verkauf, Kundenservice

14.2.8 Bestellungen von Arbeitsmaterial

Zweck der Verarbeitung: Bereitstellung des notwendigen und/oder versprochenen Arbeitsmaterials

Betroffenen-Kategorie: Kunden, Lieferanten, Beschäftigte

Löschfrist: 10 Jahre

Rechtsgrundlage: § 147 AO, § 257 HGB

Verantwortlichkeiten: Verkauf, Einkauf

14.2.9 Annahme von Bestellungen über ein Webportal

Zweck der Verarbeitung: Erfassungen von Kundendaten zur Einleitung von Vertragsabschlüssen (Bestellungen)

Betroffenen-Kategorie: Kunden

Löschfrist: 10 Jahre

Rechtsgrundlage: § 147 AO, § 257 HGB

Verantwortlichkeiten: Verkauf, Einkauf, IT-Abteilung

14.2.10 Verkauf über Handelsplattformen

Zweck der Verarbeitung: Vetrieb der Produkte

Betroffenen-Kategorie: Kunden

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Verkauf, Einkauf, Handelsplattformen

14.2.11 Anlegen von Akten

Zweck der Verarbeitung: Erfassen des Vorgangs mit allen bekannten Daten

Betroffenen-Kategorie: Kunden, Lieferanten, Beschäftigte, Interessenten

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Unternehmensführung, Personalabteilung, Finanzbuchhaltung

14.2.12 Kundendienst/Customer Relationship Management für Geschäftskunden

Zweck der Verarbeitung: Erfüllung der vertraglichen Pflichten mit Geschäftskunden

Betroffenen-Kategorie: Geschäftskunden

Löschfrist: 2 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung, Unternehmensführung

14.3 IT- und Kommunikationssysteme

14.3.1 E-Mail System

Zweck der Verarbeitung: Kommunikation mit internen und externen Kontakten

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Löschfrist: 6 Jahre nach Ablauf des Kalenderjahres der Erhebung

Rechtsgrundlage: § 257 Abs. 4 HGB

Verantwortlichkeiten: IT-Abteilung, Beschäftigte

14.3.2 Kalender- und Terminverwaltung

Zweck der Verarbeitung: Planung und Organisation von Terminen und Veranstaltungen

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Löschfrist: 3 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Verantwortlichkeiten: IT-Abteilung, Beschäftigte

14.3.3 Betrieb einer App

Zweck der Verarbeitung: Bereitstellung von Informationen und Services über mobile Geräte

Betroffenen-Kategorie: Kunden, Interessenten

Löschfrist: 3 Jahre nach letzter Nutzung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: IT-Abteilung, Marketing

14.3.4 IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit

Zweck der Verarbeitung: Verwaltung und Sicherung der IT-Infrastruktur

Betroffenen-Kategorie: Beschäftigte

Löschfrist: 5 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO

Verantwortlichkeiten: IT-Abteilung

14.3.5 Chat- und Messenger-Dienste (extern)

Zweck der Verarbeitung: Kommunikation zwischen internen und externen Kontakten

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Löschfrist: 3 Jahre

Rechtsgrundlage: §§ 195, 199 BGB

Verantwortlichkeiten: IT-Abteilung, Beschäftigte

14.3.6 Chat- und Messenger-Dienste (intern)

Zweck der Verarbeitung: Kommunikation innerhalb des Unternehmens

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Löschfrist: 3 Jahre

Rechtsgrundlage: §§ 195, 199 BGB

Verantwortlichkeiten: IT-Abteilung, Beschäftigte

14.3.7 Gäste-WLAN

Zweck der Verarbeitung: Bereitstellung von Internetzugang für Gäste

Betroffenen-Kategorie: Besucher

Löschfrist: 1 Monat

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a und b, 17 DS-GVO

Verantwortlichkeiten: IT-Abteilung

14.3.8 Kontaktformulare und Chat-Tools

Zweck der Verarbeitung: Kommunikation mit Kunden und Interessenten

Betroffenen-Kategorie: Kunden, Interessenten

Löschfrist: 2 Jahre nach letztem Kontakt

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: IT-Abteilung, Verkauf, Marketing

14.3.9 Videotelefonie

Zweck der Verarbeitung: Kommunikation über Videoanrufe

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Löschfrist: 2 Jahre nach letztem Kontakt

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: IT-Abteilung, Beschäftigte

14.3.10 Dokumentenmanagementsystem (DMS)

Zweck der Verarbeitung: Verwaltung von Dokumenten

Betroffenen-Kategorie: Beschäftigte

Löschfrist: 10 Jahre nach Vertragende

Rechtsgrundlage: § 257 Abs. 1 HGB

Verantwortlichkeiten: IT-Abteilung, Beschäftigte

14.3.11 Nutzerverwaltung und Zugriffsberechtigungen

Zweck der Verarbeitung: Zugriffskontrolle auf Systeme

Betroffenen-Kategorie: Beschäftigte

Löschfrist: 5 Jahre nach Vertragende

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO

Verantwortlichkeiten: IT-Abteilung, Unternehmensführung

14.3.12 Kommentarfunktion

Zweck der Verarbeitung: Kommunikation mit Nutzern der Webseite

Betroffenen-Kategorie: Kunden, Interessenten, Beschäftigte

Löschfrist: 2 Jahre nach letztem Kommentar

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Verantwortlichkeiten: IT-Abteilung, Marketing

14.3.13 Archivierung von Daten

Zweck der Verarbeitung: Langfristige Speicherung von Daten

Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten

Löschfrist: 10 Jahre nach Vertragende

Rechtsgrundlage: § 257 Abs. 1 HGB

Verantwortlichkeiten: IT-Abteilung, Unternehmensführung

14.4 Finanzen und Buchhaltung

14.4.1 Allgemeine Abwicklung des Zahlungsverkehrs

Zweck der Verarbeitung: Durchführung der Finanzbuchhaltung

Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister

Löschfrist: 10 Jahre

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Buchhaltungsbüro

14.4.2 Elektronischer Zahlungsverkehr

Zweck der Verarbeitung: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs

Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister

Löschfrist: 10 Jahre

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Buchhaltungsbüro

14.4.3 Finanzbuchhaltung

Zweck der Verarbeitung: Einhaltung und Durchführung der gesetzlichen Anforderungen an die Buchführung

Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister

Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten)

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Buchhaltungsbüro

14.4.4 Rechnungsstellung

Zweck der Verarbeitung: Abrechnung erbrachter Leistungen

Betroffenen-Kategorie: Kunden

Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten)

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Buchhaltungsbüro

14.4.5 Mahnwesen und Inkassodienstleistungen

Zweck der Verarbeitung: Eintreiben offener Forderungen

Betroffenen-Kategorie: Kunden

Löschfrist: 10 Jahre

Rechtsgrundlage: § 147 AO, § 257 HGB

Verantwortlichkeiten: Buchhaltungsbüro

14.4.6 Controlling

Zweck der Verarbeitung: Kostenkontrolle

Betroffenen-Kategorie: Beschäftigte, Lieferanten, Dienstleister

Löschfrist: 10 Jahre

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Buchhaltungsbüro

14.4.7 Steuerberatung

Zweck der Verarbeitung: Erfüllung der gesetzlichen Vorgaben

Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister, Beschäftigte

Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten)

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Buchhaltungsbüro, Steuerberater

14.4.8 Angebotserstellung

Zweck der Verarbeitung: Abschluss von Verträgen

Betroffenen-Kategorie: Kunden, Geschäftskunden

Löschfrist: 6 Jahre

Rechtsgrundlage: § 257 HGB, § 147 AO

Verantwortlichkeiten: Verkauf, Einkauf