Datenschutzordnung der Volkstanz- und Trachtengruppe Burgsinn e. V.

Grundsätzliches

1.1 Gesetzliche Grundlage

Im Verein werden personenbezogene Daten erhoben, verarbeitet und genutzt sowohl unter Verwendung von automatisierten Datenverarbeitungsanlagen als auch in manueller Dokumentation. Der Verein unterliegt damit den Anforderungen des Bundesdatenschutzgesetzes (BDGS-neu) sowie der geltenden EU-Datenschutzgrundverordnung (DSGVO).

1.2 Begriffsbestimmungen

Personenbezogene Daten: Alle Daten, die zur Identifizierung einer natürlichen Person dienen.

Erheben: Datenbeschaffung durch Befragung oder Ausfüllen von Formularen.

Verarbeiten: Speichern von Daten, Übermitteln, Sperren, Löschen, Anonymisieren.

Nutzen: Verwendung von personenbezogenen Daten für die Verwaltung und Betreuung von Vereinsmitgliedern.

Im weiteren Verlauf der Datenschutzordnung des Vereins wird der Begriff „Datennutzung“ als Sammelbegriff für das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten verwendet.

Automatisierte Verarbeitung: Erhebung, Verarbeitung und Nutzung durch den Einsatz elektronischer Anlagen und Programme.

Manuelle Dokumentation: Datenerfassung und Speicherung in Papierform, sei es als handschriftlich ausgefülltes Formular oder als ausgedruckte Liste.

Verantwortliche Stelle: Jede Institution oder Person, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt.

Betroffener: Natürliche Person, deren Daten genutzt werden.

1.3 Zulässigkeit der Datennutzung

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten richtet sich nach Art. 6 Abs. 1 lit a DSGVO. Damit eine Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage, die sich aus der DSGVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergibt, verarbeitet werden. Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen. Den Verein trifft die Pflicht, die Grundzüge der Datenerhebung, – verarbeitung, und –nutzung schriftlich festzulegen. Entsprechende Datenschutzregelungen können entweder in der Vereinssatzung aufgenommen oder in einem gesonderten Regelwerk, z. B. einer „Datenschutzordnung“, niedergelegt werden.

Erhebung personenbezogener Daten durch den Verein

2.1 Erhebung von Daten der Vereinsmitglieder

Folgende Daten sind notwendige Daten zur Verfolgung der Vereinsziele und zur Betreuung und Verwaltung der Mitglieder:

a) Name

b) Vorname

c) Anschrift

d) Geburtsdatum

e) Geschlecht

Alle weiteren Daten, die vom Verein im Rahmen der Aufnahme als Mitglied, der Anmeldung zur Veranstaltungen oder sonstigen Datenerhebungen erfolgen, sind freiwillig. Hierauf wird bei der Erhebung der Daten hingewiesen.

Zu den freiwilligen Daten im Rahmen der Verwirklichung der Vereinsziele sowie der Verwaltung und Betreuung der Mitglieder gehören in nicht abschließender Aufzählung unter anderem.

f) Datum des Eintritts in den Verein

g) Beruf

h) Bankverbindung

i) Telefonnummer

j) Telefaxnummer

k) E-Mailadresse

l) Erklärung zu Urheberrechten und Rechten am eigenen Bild

2.1.1. Hinweis zu Kontodaten

Kontodaten werden, soweit ein SEPA-Lastschrift-Mandat erteilt wird, im Rahmen der Abrechnung von Beiträgen und Gebühren gespeichert. Auch Kontodaten von Vereinsmitgliedern, die nicht am Lastschriftverfahren teilnehmen, werden durch Kontoauszug dem Verein bekannt und bei elektronischem Kontoauszug auch gespeichert.

2.2. Erhebung von Daten Dritter

Der Verein erhebt Daten von anderen Personen als von Vereinsmitglieder, z. B. Gästen, Zuschauern, Besuchern, Teilnehmern an Veranstaltungen, Lieferanten, soweit dies für berechtigte Interessen des Vereins notwendig ist und keine besonderen Schutzbedürfnisse der Betroffenen bestehen.

2.3 Erhebung von Personaldaten

Der Verein erhebt und nutzt personenbezogene Daten von Vorstandsmitgliedern, Kassenprüfern soweit diese Daten für die Verwirklichung der Vereinsziele, die Betreuung von Mitgliedern sowie die Verwaltung des Vereins notwendig sind.

2.4 Erhebung von Daten von Besuchern des Internetauftrittes des Vereins

2.4.1. Datenerhebung zur Abwehr von Angriffen auf die IT-Struktur

Der Verein erhebt und speichert im Rahmen eines Zugriffsprotokolls direkt beim Provider der Homepage die ungekürzte IP-Adresse, Datum und Uhrzeit des Zugriffs sowie die URL, auf die zugegriffen wurde. Dies dient ausschließlich dazu, unberechtigte Zugriffe zu erkennen und durch geeignete Gegenmaßnahmen auszuschließen. Als unberechtigte Zugriffe werden insbesondere DDOS-Attacken, Übermittlung von Spam über Kontaktformulare oder Gästebuch bewertet. Die Zugriffsprotokolle werden nach 30 Tagen automatisch gelöscht. Eine Auswertung der erhobenen Daten findet nur statt, wenn sich anhand der Protokollierung ein Anfangsverdacht auf Versuch der missbräuchlichen Erlangung von personenbezogenen Daten ergibt.

2.5 Hinweispflicht

Bei der Erhebung personenbezogener Daten belehrt der Verein über die Zulässigkeit der Datennutzung nach Ziffer 1.3 dieser Datenschutzordnung.

3. Speicherung personenbezogener Daten

3.1 Technische und organisatorische Maßnahmen

Der Verein trifft Maßnahmen nach Stand der Technik um die Sicherheit personenbezogener Daten in automatisierten Datenverarbeitungssystemen sowie manuellen Dokumenten zu gewährleisten. Hierzu gehören:

  • Zugangskontrollen und Beschränkungen zu den Datenverarbeitungssystemen (online/offline) über Benutzername und Passwort.
  • Verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare.
  • Verschlüsselte Übertragung bei der Bearbeitung, Speicherung und Nutzung in einem Online-Datenverarbeitungssystem.
  • Verschlüsselte Kommunikation über Mail-Accounts des Vereins.
  • Zugangskontrollen und Beschränkungen zu manuellen Dokumenten.
  • Versand von E-Mails an mehrere Empfänger nur über „bcc“ (= Blind Carbon Copy).

4. Nutzung von personenbezogenen Daten

4.1 Nutzung von Mitgliederdaten

Der Verein erhebt Daten ausschließlich für den Zweck der Verfolgung eigener Vereinsziele und zur Mitgliederbetreuung und Verwaltung.

4.2 Nutzung von Daten Dritter

Daten Dritter werden ausschließlich genutzt, soweit dies für die Verfolgung eigener Vereinsziele notwendig ist. Hierbei beschränkt sich die Nutzung auf diejenigen Zwecke, für die der Verein Daten erhoben oder erhalten hat.

4.3 Nutzung der Daten des Vereins für Spendenaufrufe und Werbung

Der Verein nutzt die Daten seiner Vereinsmitglieder nur für Spendenaufrufe und Werbung zur Erreichung der eigenen Ziele des Vereins. Die Nutzung von Mitgliederdaten für die Werbung Dritter erfolgt nur nach ausdrücklicher Zustimmung der Mitglieder.

5. Verarbeitung personenbezogener Daten und Übermittlung

5.1 Datenübermittlung an Vereinsmitglieder

Vereinsmitglieder haben, mit Ausnahme der Funktionsträger des Vereins, keinen Zugriff auf die personenbezogenen Daten anderer Mitglieder. Soweit im Einzelfall für die Organisation von Veranstaltungen notwendig, können jedoch Kontaktdaten im erforderlichen Umfang an einzelne Mitglieder herausgegeben werden, ohne dass diese Funktionsträger sind, soweit die jeweils Betroffenen dem zustimmen.

5.2 Bekanntgabe zur Wahrnehmung satzungsmäßiger Mitgliederrechte

Nach Vereinssatzung ist eine außerordentliche Mitgliederversammlung einzuberufen, wenn ein Drittel der Mitglieder dies schriftlich unter Angabe des Zwecks und der Gründe beantragt. Zur Wahrnehmung dieses Rechtes kann es erforderlich sein, die Kontaktdaten (postalische Anschrift) aller Vereinsmitglieder an den Initiator herauszugeben. Hierbei muss dieser jedoch versichern, die Kontaktdaten ausschließlich für den Zweck der Beantragung einer außerordentlichen Versammlung zu nutzen.

5.3 Mitteilungen in Aushängen und Vereinspublikationen

Die Offenbarung personenbezogener Daten in Aushängen und Vereinspublikationen beschränkt sich auf die Bekanntgabe der Erreichbarkeiten von Funktionsträgern und Berichten über Veranstaltungen.

5.4 Datenübermittlung an andere Vereine

Personenbezogene Daten der eigenen Mitglieder dürfen anderen Vereinen nur übermittelt werden, um die Vereinsziele des eigenen Vereins oder des anderen Vereins zu verwirklichen, beispielsweise bei der Teilnahme von Vereinsmitgliedern an Veranstaltungen anderer Vereine.

5.5 Datenübermittlung an Sponsoren und Firmen zu Werbezwecken

Eine Datenübermittlung an Sponsoren und Firmen zu Werbezwecken findet nicht statt.

5.6 Veröffentlichungen im Internet

Im Internet (Homepage und soziale Netzwerke) wird von Funktionsträgern, mit deren ausdrücklichen Zustimmung, der Vor- und Zuname sowie Kontaktdaten (Telefonnummer bzw. E-Mailadresse) veröffentlicht. Ansonsten erfolgt die Kontaktaufnahme über die E-Mailadresse des Vereins.

Bei Teilnahme von Vereinsmitgliedern an öffentlichen Veranstaltungen werden eventl. die Namen der Teilnehmer bekanntgegeben. Die Veröffentlichung von Einzelfotos erfolgt nur, soweit das Vereinsmitglied dem ausdrücklich zustimmt. Eine entsprechende Abfrage erfolgt bereits mit dem Aufnahmeantrag. Jedem Vereinsmitglied steht das Recht zu, diese Erlaubnis zur Veröffentlichung für den Einzelfall oder insgesamt zu widerrufen.

Ausnahmen gelten für Gruppenfotos gem. § 23 Abs. 1 KUG.

5.7 Personenbezogene Auskünfte an die Presse und andere Massenmedien

Pressemitteilungen und Auskünfte gehören zur normalen Öffentlichkeitsarbeit eines Vereins. Personenbezogene Daten werden in diesem Rahmen nur dann veröffentlicht, wenn es sich um einen Bericht über eine sowieso öffentliche Veranstaltung handelt und schutzwürdige Interessen der Mitglieder dem nicht entgegenstehen.

5.8 Übermittlung für Zwecke der Wahlwerbung

Eine Datenübermittlung zum Zwecke der Wahlwerbung findet nicht statt.

5.9 Übermittlung an Gemeindeverwaltungen

Verlangen Gemeindeverwaltungen im Rahmen der Nachweisführung der ordnungsgemäßen Verwendung von Zuwendungen die Vorlage von Listen mit Namen der Betroffenen, ist der Verein zur Übermittlung entsprechender notwendiger Daten berechtigt.

5.10 Datenübermittlung an Versicherungen

Anfragen einer Versicherung werden ausschließlich im Rahmen der Schadensabwicklung in notwendigem Umfang beantwortet. Vor Auskunftserteilung wird das Mitglied hierzu angehört.

5.11 Kreis der Zugriffsberechtigten auf Daten

Die Mitglieder des Vorstands und der Verantwortliche für die Datenverarbeitung erhalten Vollzugriff auf die persönlichen Daten inklusive der Ergänzungen, Änderungen und Löschung von Daten. Alle Datenveränderungen werden protokolliert. Der Verantwortliche für die Buchführung erhält Zugriff auf die Adressdaten und die Beitragsberechnung.

6. Berichtigung, Löschung, Sperrung von Daten

6.1 Betroffenenrechte

Der Betroffene hat das Recht auf Berichtigung, Löschung und Einschränkungen seiner erhobenen Daten. Weiter bestehen gem. Art. 15 DSGVO das Recht auf Auskunft, nach Art. 20 DSGVO das Recht auf Datenübertragbarkeit, nach Art. 21 DSGVO das Widerspruchsrecht sowie gem. Art. 7 und 8 DSGVO das Recht auf Widerruf von Einwilligungen.

6.2 Umsetzung rechtlicher Vorgaben

Das Verfahren zur Berichtigung, Löschung und Sperrung von Daten richtet sich nach Art. 16, 17 und 18 DSGVO.

Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind.

Personenbezogene Daten müssen gelöscht werden, wenn:

  • Ihre Speicherung unzulässig ist.
  • Die Kenntnis der Daten zum Zweck der Speicherung nicht mehr notwendig ist.
  • Der Sachverhalt, zu dem die Daten gespeichert wurden, erledigt ist und seid Entstehung des Grundes der Datenerhebung mehr als 3 Jahre vergangen sind.
  • Der Betroffene dies verlangt.

Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewahrungsfristen gelten. Dies betrifft in nicht abschließender Aufzählung: Geschäftsbriefe, Buchungsbelege und Verwendungsnachweise in Zusammenhang mit öffentlicher Förderung.

Gleiches trifft zu, wenn die personenbezogenen Daten Bestand rechtlicher Ansprüche für oder gegen den Verein sind.

Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.

Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach Ziffer 5.6 dieser Ordnung veröffentlicht wurden, wird der Verein unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen). Hierzu wird auf der Internetpräsenz des Vereins auf allen Seiten eine Schaltfläche implementiert, über die eine Löschung beantragt werden kann.

Beim Ausscheiden oder Wechseln von Funktionsträgern wird sichergestellt, dass sämtliche Mitgliederdaten entweder ordnungsgemäß gelöscht oder an einen anderen Funktionsträger des Vereins übergeben werden und keine Kopien und Dateien und auch keine Zugriffsberechtigungen beim bisherigen Funktionsträger verbleiben.

6.3 Technische Beschreibung der Datenlöschung

Personenbezogene Daten in automatisierten Datenverarbeitungssystemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Da zur Aufrechterhaltung der Datenintegrität und Datensicherheit jedoch von der Datenbank Sicherheitskopien gefertigt werden, setzt der Verein die sichere Löschung personenbezogener Daten wie folgt um:

Sicherungskopien der Datenbank werden spätestens 3 Jahre nach Erstellung der Sicherung durch mehrfaches Überschreiben sicher gelöscht.

Einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden sobald die Notwendigkeit für deren Speicherung entfällt vernichtet oder gelöscht.

E-Mails, die personenbezogene Daten enthalten, werden durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.

Datenträger des Vereins, auf denen personenbezogene Daten gespeichert wurden, werden durch mehrfaches Überschreiben des gesamten Datenträgers sicher gelöscht, bevor eine Weitergabe an Dritte oder eine Entsorgung erfolgt.

Manuell erfasste oder dokumentiert personenbezogene Daten in Papierform werden zur Vernichtung gesammelt (hierbei weiterhin als zu schützende Daten behandelt) und vom Verein an ein zertifiziertes Unternehmen zur Aktenvernichtung überstellt. Soweit Funktionsträger des Vereins beruflich Zugriff auf entsprechend zertifizierte Unternehmen haben und auch im Rahmen ihrer Tätigkeit als Angestellter oder Selbstständiger den Datenschutzbestimmungen unterliegen, darf sich der Verein der Dienste dieser Funktionsträger bedienen, um die in Papierform vorhanden personenbezogenen Daten einer gesicherten Vernichtung zuzuführen. Der entsprechende Nachweis der Vernichtung durch das zertifizierte Unternehmen ist dem Verein als Kopie zu überlassen.

7. Organisatorisches

7.1Bestellung eines Datenschutzbeauftragten

Nach Prüfung der gesetzlichen Grundlagen (BDSG-neu und DSGVO) stellt der Verein fest:

  • Weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
  • Die notwendigen Daten zur Mitgliederverwaltung (Vorname, Name, Anschrift, Geburtsdatum, Geschlecht) keine „sensiblen Daten“ enthalten.
  • „Sensible Daten“ nur aufgrund vorheriger Einverständniserklärung der Mitglieder freiwillig erfasst werden.
  • Personenbezogene Daten nicht zum Zwecke geschäftsmäßiger Übermittlung dienen (Datenhandel).

Somit liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Der Vereinsvorstand kümmert sich daher selbst um die Einhaltung des Datenschutzes durch den Verein. Die aktuellen Kontaktdaten des Vereinsvorstandes sind auf der Homepage der Volkstanz- und Trachtengruppe Burgsinn e. V. veröffentlicht.

7.2. Verpflichtung zur Wahrung des Datengeheimnisses

Alle Personen, die Zugang zu Mitgliederdaten haben, werden schriftlich auf die Wahrung des Datengeheimnisses verpflichtet. Im Fall dass der Verein im Rahmen der Mitgliederverwaltung Arbeiten an externe Unternehmen vergibt, wird er nur Auftragsverarbeiter einsetzen, die eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung gewährleisten. Der Verein wird eine Verarbeitungsübersicht sowie gemäß Art. 30 DSGVO ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen.

7.3 Meldepflicht bei Datenpannen

Gemäß Art. 33 Abs. 1 DSGVO sind Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden.

7.4. Schriftliche Regelung zum Datenschutz und Veröffentlichung

Die Grundzüge der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten werden durch diese Datenschutzordnung geregelt. Sie tritt durch Beschluss des Vorstandes in Kraft und ist den Vereinsmitgliedern durch Veröffentlichungen auf der Homepage sowie per E-Mail mit Verweis auf den Veröffentlichungsort bekanntzugeben.

7.5 Inkrafttreten

Vorstehende Datenschutzverordnung wurde durch den Vorstand der Volkstanz- und Trachtengruppe Burgsinn e. V. am 15.01.2019 beschlossen und ist durch Veröffentlichung bei der Mitgliederversammlung am 02.02.2019 in Kraft getreten.

Quellenangabe:

Text und Struktur: SFV Feuerblume e. V.

www.hanabi-pirna.de/datenschutzordnung-des-vereins.html , abgerufen am 29.05.2018

 

Datenschutzordnung herunterladen