Datenschutzgrundverordnung (DS-GVO)

Veteranen- und Kriegerverein Schliersee, gegr. 1837,
mit Reservisten der Bundeswehr

Datenschutzgrundverordnung (DS-GVO)

Datenschutzrechtliche Rahmenbedingungen beim Umgang mit personenbezogenen Daten in der Vereinsarbeit. - Gültig ab 25. Mai 2018 -

Datenschutzverordnung des Veteranen- und Kriegervereins Schliersee, gegr. 1837, mit Reservisten der Bundeswehr beim Umgang mit personenbezogenen Daten im Verein, gemäß erweitertem Vorstandsbeschluss vom 11. Juli 2018.

Inhaltsübersicht

Rechtsgrundlagen mit dem Umgang mit personenbezogenen Daten von Vereinsmitgliedern und sonstigen Personen
Erhebung personenbezogener Daten durch den Verein
Speicherung personenbezogener Daten
Nutzung personenbezogener Daten
Verarbeitung personenbezogener durch den Verein
Recht auf Löschung und Einschränkung personenbezogener Daten
Organisatorisches

1. Rechtsgrundlagen mit dem Umgang mit personenbezogenen Daten von Vereinsmitgliedern und sonstigen Personen

1.1 Gesetzliche Grundlagen

Im Verein werden personenbezogenen Daten erhoben, verarbeitet und genutzt sowohl unter Verwendung von automatisierten Datenverarbeitungsprogrammen als auch in manueller Dokumentation.

Der Verein unterliegt damit den Anforderungen des Bundesdatenschutzgesetztes (BDSG-neu) sowie der geltenden EU-Datenschutz-Grundverordnung (DSGVO)

1.2 Begriffsbestimmungen

Personenbezogene Daten: alle Daten, die zur Identifizierung einer natürliche Person dienen, sowie darüber hinaus sämtliche Informationen, die etwas über die persönliche oder tatsächliche Situation einer Person aussagen.

Erheben: Datenbeschaffung durch Befragung oder Ausfüllen von Formularen

Verarbeiten: Speichern von Daten, Verändern, Übermitteln, Sperren, Löschen, Anonymisieren.

Nutzen: Verwendung von personenbezogenen Daten für die Verwaltung und Betreuung von Vereinsmitgliedern.

Automatisierter Verarbeitung: Erhebung, Verarbeitung und Nutzung unter Einsatz elektronischer Anlagen und Programme.

Manuelle Dokumentation: Datenerfassung und Speicherung in Papierform, sei es als handschriftlich ausgefülltes Formular oder als ausgedruckte Liste.

Verantwortliche Stelle: jede Institution oder Person die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt.

Betroffener: natürliche Person, deren Daten genutzt werden

1.3 Zulässigkeit der Datennutzung

Eine Datennutzung ist nur zulässig, sofern es eine Vorschrift des BDASG-neu oder der DSGVO erlaubt bzw. der Betroffene einwilligt.

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Einwilligung für die Datennutzung durch den Verein können durch den Betroffenen (Vereinsmitglied) ganz oder teilweise widerrufen werden.

2.Erhebung personenbezogener Daten durch den Verein

2.1 Erhebungen von Daten der Vereinsmitglieder

Folgende Daten sind notwendige Daten zur Verfolgung der Vereinsziele und zur Betreuung und Verwaltung der Mitglieder:

a) Name, Vorname, Dienstgrad

b) Anschrift

c) Geburtsdatum

d) Geschlecht

e) Art der Mitgliedschaft gemäß Vereinssatzung

f) Eintrittsdatum

Alle Daten, die vom Verein im Rahmen der Aufnahme als Mitglied, der Anmeldung zu Veranstaltungen oder sonstigen Datenerhebungen erfolgen, sind freiwillig. Hierauf wird bei der Erhebung der Daten hingewiesen.

Zu den freiwilligen Daten im Rahmen der Verwirklichung der Vereinsziele sowie der Verwaltung und Betreuung der Mitglieder gehören in nicht abschließender Aufzählung unter anderem:

Telefonnummern, E-Mail-Adressen, Erklärungen zu Urheberrechten und Rechten an eigenen Bild, Kontodaten, Teilnahme und Platzierungen an Wettkämpfen.

2.1.1 Hinweis zu Kontendaten

Kontodaten werden, soweit ein SEPA-Lastschrift-Mandat erteilt wird, im Rahmen der Abrechnung von Beiträgen und Gebühren gespeichert. Der guten Ordnung halber weisen wir darauf hin, dass auch die Kontodaten von Vereinsmitgliedern, die nicht am Lastschriftverfahren teilnehmen, durch den Kontoauszug dem Verein bekannt werden und bei der elektronischen Kontoauszug auch gespeichert werden.

2.2 Erhebung von Daten Dritter

Der Verein erhebt Daten von anderen Personen als von Vereinsmitgliedern (Lieferanten, Gästen, Zuschauern, Besuchern, Teilnehmer an Veranstaltungen) soweit dies für berechtigte Interessen des Vereins ist.

2.3 Erhebung von Personaldaten der Funktionäre des Vereins

Der Verein erhebt und benutzt personenbezogene Daten von Vorstandsmitgliedern, Buchhaltern, Kassenprüfern sowie weiteren Funktionsträgern des Vereins, soweit diese Daten für die Verwirklichung der Vereinsziele, Betreuung von Mitgliedern sowie die Verwaltung des Vereins notwendig sind.

2.4 Hinweispflicht

Bei der Erhebung personenbezogener Daten belehrt der Verein über die Zulässigkeit der Datennutzung nach Ziffer 1.3 dieser Datenschutzordnung.

3. Speicherung personenbezogener Daten

3.1 Technische und organisatorische Maßnahmen

Der Verein trifft Maßnahmennach Stand der Technik, um die Sicherheit personenbezogener Daten in automatisierten Datenverarbeitungs-Systemen sowie manuellen Dokumenten zu gewährleisten. Hierzu gehören:

- Zugangskontrolle und Beschränkung zu Datenverarbeitungssystemen (online/offline) über Benutzername und Passwort

- verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare (https://)

- verschlüsselte Übertragung bei der Bearbeitung, Speicherung und Nutzung in einem Online-Datenverarbeitungssystem (https://)

-Zugangskontrolle und Beschränkung zu manuellen Dokumenten

- Versand von E-Mails an mehrere Empfänger nur über „bcc“ (=Blind Carbon Copy)

3.2 Datenverarbeitung im Auftrag

Zurzeit hat der Verein keinen Vertrag mit einem Betreiber eines Servers auf dem das Datenverarbeitungssystem des Vereins installiert ist.

4. Nutzung von personenbezogenen Daten

4.1 Nutzung von Mitgliederdaten

Der Verein erhebt Daten ausschließlich für den Zweck der Verfolgung eigener Vereinsziele und zur Mitgliederbetreuung und Verwaltung.

4.2 Nutzung von Daten Dritter

Daten Dritter werden ausschließlich genutzt, soweit dies für die Verfolgung eigener Vereinsziele notwendig ist. Hierbei beschränkt sich die Nutzung auf diejenigen Zwecke, für die der Verein Daten erhoben oder erhalten hat.

4.3 Nutzung der Daten des Vereins für Spendenaufrufe und Werbung

Der Verein nutzt die Daten seiner Vereinsmitglieder nur für Spendenaufrufe und Werbung zur Erreichung der eigenen Ziele des Vereins. Die Nutzung von Mitgliederdaten für Werbung Dritter, beispielweise Arbeitgeber oder Angehörigen von Vereinsmitgliedern erfolgt nur nach ausdrücklicher Zustimmung der Mitglieder.

5. Datenverarbeitung personenbezogener Daten und Übermittlung

5.1 Datenübermittlung an Vereinsmitglieder

Vereinsmitglieder haben, mit Ausnahme der Funktionsträger des Vereins, keinen Zugriff auf die personenbezogenen Daten anderer Mitglieder. Soweit im Einzelfall für die Organisation von Veranstaltungen notwendig, können jedoch Kontaktdaten in notwendigen Umfang an einzelne Mitglieder herausgegeben werden, ohne dass diese Funktionsträger sind, soweit die jeweils Betroffenen zustimmen.

5.2 Mitteilungen in Aushängen und Vereinspublikationen

Die Offenbarung personenbezogener Daten in Aushängen, Vereinspublikationen und Zeitungen beschränkt sich auf die Bekanntgabe von Vorstandswahlen, Mannschaftsaufstellungen und Ergebnislisten sowie dienstliche Erreichbarkeiten von Funktionsträgern.

5.3 Datenübermittlung an Dachverbände und andere Vereine

Personenbezogene Daten der eigenen Mitglieder dürfen an andere Vereine nur übermittelt werden, soweit diese dort benötigt werden, um die Vereinsziele des eigenen Vereins oder des anderen Vereins zu verwirklichen, beispielsweise bei Teilnahme bei der Teilnahme von Vereinsmitgliedern an Veranstaltungen anderer Vereine.

5.4 Datenübermittlung an Sponsoren und Firmen zu Werbezwecke

Eine Datenübermittlung an Sponsoren und Firmen zu Werbezwecken findet nicht statt. Über Ausnahmen entscheidet die Mitgliederversammlung, beispielsweise im Rahmen einer Abstimmung über den Abschluss einer Versicherung.

5.5 Veröffentlichungen im Internet

Im Internet (Homepage & soziale Netzwerke) wird von Funktionsträgern der Vor- und Zuname veröffentlicht. Zur Kommunikation mit Funktionsträgern wird ein Kontaktformular über eine vereinseigene Mailadresse bereitgestellt, dessen Inhalt über den Verantwortlichen für die Datenverarbeitung an den jeweiligen Funktionsträger weitergeleitet wird. Weitergehende personenbezogene Daten (Vita) der Funktionsträger werden nur mit ausdrücklicher Genehmigung im Internet veröffentlicht.

Bei Teilnahme von Vereinsmitgliedern an öffentlichen Veranstaltungen und Wettkämpfen werden die Namen der Teilnehmer und deren Ergebnisse bekanntgegeben. Soweit für die Wertung relevant, werden zusätzlich Geschlecht und Jahrgang des Mitgliedes bekanntgegeben. Die Veröffentlichung von Einzelfotos erfolgt nur, soweit das Vereinsmitglied dem ausdrücklich zustimmt. Eine entsprechende Abfrage erfolgt bereits mit dem Aufnahmeantrag. Jedem Vereinsmitglied steht das Recht zu, diese Erlaubnis zur Veröffentlichung für den Einzelfall oder insgesamt zu widerrufen. Hierfür wird auf der Homepage des Vereins ein entsprechendes Formular zur Verfügung gestellt (in Bearbeitung).

Ausnahmen gelten für Gruppenfotos von Veranstaltungen unter Bezug auf das Grundsatzurteil des BGH vom 28.05.2013 (Az.: VI ZR 125/12):

„Die Veröffentlichung von Foto- und Videoaufnahmen bei Sportveranstaltungen sind zulässig, wenn durch ihre Verbreitung keine berechtigten Interessen der Darbietenden verletzt werden. Da sich die Teilnehmenden an sportlichen Wettkämpfen auf Foto- und Videoaufnahmen während des Wettbewerbs einstellen müssen, kommt es hierbei nicht auf die Anwesenheit eines Pressefotografen, die Anzahl der Teilnehmer oder die Dauer des Wettkampfes oder Turniers an.“

5.6 personenbezogene Auskünfte an die Presse und andere Massenmedien

Pressemitteilungen und Auskünfte gehören zur normalen Öffentlichkeitsarbeit eines Vereins. Personenbezogene Daten werden in diesem Rahmen nur dann veröffentlicht, wenn es sich um einen Bericht über eine sowieso öffentliche Veranstaltung handelt und schutzwürdige Interesse der Mitglieder dem nicht entgegenstehen.

5.7 Übermittlung für Zwecke der Wahlwerbung

Eine Datenübermittlung zum Zwecke der Wahlwerbung findet nicht statt.

5.8 Übermittlung an Gemeindeverwaltungen

Auf Verlangen Gemeindeverwaltung im Rahmen der Nachweisführung der ordnungsgemäßen Verwendung von Zuwendungen die Vorlage von Listen mit Namen der Betroffenen, ist der Verein zur Übermittlung entsprechender notwendiger Daten berechtigt.

5.9 Datenübermittlung an Arbeitgebern eines Mitgliedes und die Versicherung

Gegenüber dem Arbeitgeber eines Mitgliedes findet keine Datenübermittlung statt.

Anfragen einer Versicherung werden ausschließlich im Rahmen der Schadensabwicklung im notwendigen Umfang beantwortet. Vor der Auskunftserteilung wird das Mitglied hierzu angehört.

5.10 Kreis der Zugriffberechtigten auf Daten

Die Mitglieder des Vorstandes und der Verantwortliche für die Datenverarbeitung erhalten Vollzugriff auf die persönlichen Daten inklusive der Ergänzung, Änderung und Löschung von Daten. Alle Datenänderungen werden protokolliert.

Der Verantwortliche für die Buchführung erhält Zugriff die Adressdaten sowie die für die Beitragsberechnung erforderlichen Daten wie Zugehörigkeit zu bestimmten Beitragsrollen. Der Zugriff beinhaltet eine Schreibberechtigung für Daten zur Beitragszahlung.

6. Berichtigung, Löschung und Sperrung von Daten

6.1 Umsetzung rechtlicher Vorgaben

Das Verfahren zur Berichtigung, Löschung und Sperrung von Daten richtet sich nach Art. 16 und 17 EU-DSGVO.

Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind.

Personenbezogene Daten müssen gelöscht werden, wenn:

- ihre Speicherung unzulässig ist

- die Kenntnis der Daten zur Verfolgung des Zwecks der Speicherung nicht
mehr notwendig ist

- der Sachverhalt, zu dem die Daten gespeichert wurden, erledigt ist und seid Entstehung des Grundes der Datenerhebung mehr als 3 Jahre vergangen sind

- der Betroffene dies verlangt.

Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewahrungsfristen gelten. Dies betrifft in nicht abschließender Aufzählung: Geschäftsbriefe, Buchungsbelege und Verwendungsnachweise in Zusammenhang mit öffentlicher Förderung

Gleiches trifft zu, wenn die personenbezogenen Daten Bestandteil rechtlicher Ansprüche für oder gegen den Verein sind.

Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.

Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach Ziffer 5.6 dieser Ordnung veröffentlicht wurden, wird der Verein unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen). Hierzu wird auf der Internetpräsenz des Vereins auf allen Seiten eine Schaltfläche implementiert, über die eine Löschung beantragt werden kann.

Beim Ausscheiden oder Wechseln von Funktionsträgern wird sichergestellt, dass sämtliche Mitgliederdaten entweder ordnungsgemäß gelöscht oder an einen anderen Funktionsträger des Vereins übergeben werden und keine Kopien und Dateien und auch keine Zugriffsberechtigungen beim bisherigen Funktionsträger verbleiben.

6.2 Technische Beschreibung der Datenlöschung

Personenbezogene Daten in automatisierten Datenverarbeitungs-Systemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Da zur Aufrechterhaltung der Datenintegrität und Datensicherheit jedoch von der Datenbank nach Ziffer 3 dieser Ordnung Sicherheitskopien gefertigt werden, setzt der Verein die sichere Löschung von personenbezogenen Daten wie folgt um:

- Sicherungskopien der Datenbank werden spätestens 3 Jahre nach Erstellung der Sicherung durch mehrfaches Überschreiben sicher gelöscht.

- einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.

- E-Mails, die personenbezogene Daten enthalten, werden durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.

- Datenträger des Vereins, auf denen personenbezogene Daten gespeichert wurden, werden durch mehrfaches Überschreiben des gesamten Datenträgers sicher gelöscht, bevor eine Weitergabe an Dritte oder Entsorgung erfolgt.

- manuell erfasste oder dokumentierte personenbezogene Daten in Papierform werden zur Vernichtung gesammelt (hierbei weiterhin als zu schützende Daten behandelt) und vom Verein an ein zertifiziertes Unternehmen zur Aktenvernichtung überstellt. Soweit Funktionsträger des Vereins beruflich Zugriff auf entsprechend zertifizierte Unternehmen haben und auch im Rahmen ihrer Tätigkeit als Angestellter oder Selbständiger den Datenschutzbestimmungen unterliegen, darf sich der Verein der Dienste dieser Funktionsträger bedienen, um in Papierform vorhandene personenbezogene Daten einer gesicherten Vernichtung zuzuführen. Der entsprechende Nachweis der Vernichtung durch das zertifizierte Unternehmen ist dem Verein als Kopie zu überlassen.

7. Organisatorisches

7.1 Bestellung eines Datenschutzbeauftragten

Nach Prüfung des gesetzlichen Grundlagen (BDSG-neu und DSGVO) stellt der Verein fest, dass:

- weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind

- die notwendigen Daten zur Mitgliederverwaltung (Name, Anschrift, Geburtsdatum, Geschlecht) keine „sensiblen Daten“ enthalten

- „sensible Daten“ nur aufgrund vorheriger Einverständniserklärung der Mitglieder freiwillig erfasst werden

- personenbezogene Daten nicht zum Zweck geschäftsmäßiger Übermittlung dienen (Datenhandel).

Somit liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Der Vereinsvorstand kümmert sich daher selbst um die Einhaltung des Datenschutzes durch den Verein.

7.2 Verpflichtung auf Wahrung des Datenschutzgeheimnisses

Alle Personen, die Zugang zu Mitgliederdaten haben, werden schriftlich auf die Wahrung des Datengeheimnisses verpflichtet.

7.3 Schriftliche Regelung zum Datenschutz und Veröffentlichung

Die Grundzüge der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten werden durch diese Datenschutzordnung geregelt. Sie tritt durch Beschluss des Vorstandes in Kraft und ist den Vereinsmitgliedern durch Veröffentlichung im internen Bereich der Homepage sowie per E-Mail mit Verweis auf den Veröffentlichungsort bekannt zu geben.

7.4 Inkrafttreten

Vorstehende Datenschutzordnung wurde durch den erweiterten Vorstand des Veteranen- und Kriegerverein Schliersee am 11.07.2017 beschlossen und ist mit Veröffentlichung in Kraft getreten.

Genutzte Quellen:

Baden-Württemberg –Der Landesbeauftragte für den Datenschutz „Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO) –Gültig ab 25. Mai 2018 –

www.baden-wuerttemberg.datenschutz.de

Bayerisches Landesamt für Datenschutzaufsicht

https://www.lda.bayern.de/media/muster_1_verein.pdf

Mit freundlicher Genehmigung des SFV Feuerblume e.V.

www.hanabi-pirnade/datenschutzverordnung-desvereins.html abgerufen am 07.07.2018