Datenschutzordnung der IGUB

Datenschutzordnung der IGUB
Präambel
Der IGUB e.V. verarbeitet in vielfacher Weise automatisiert personenbezogene Daten (z.B. im Rahmen der Vereinsverwaltung, der Organisation von Veranstaltungen, der Öffentlichkeitsarbeit des Vereins). Um die Vorgaben der EU-Datenschutz-Grundver-ordnung und des Bundesdatenschutzgesetzes zu erfüllen, Datenschutzverstöße zu vermeiden und einen einheitlichen Umgang mit personenbezogenen Daten innerhalb des Vereins zu gewährleisten, gibt sich der Verein die nachfolgende Datenschutzordnung.
§ 1 Allgemeines
Der Verein verarbeitet personenbezogene Daten u.a. von Mitgliedern, Teilnehmerinnen und Teilnehmern an Veranstaltungen und Mitarbeiterinnen und Mitarbeitern sowohl automatisiert in EDV-Anlagen als auch nicht automatisiert in einem Dateisystem, z.B. in Form von ausgedruckten Listen. Darüber hinaus werden personenbezogene Daten im Internet veröffentlicht und an Dritte weitergeleitet oder Dritten offengelegt. In all diesen Fällen ist die EU-Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und diese Datenschutzordnung durch alle Personen im Verein, die personenbezogene Daten verarbeiten, zu beachten.
§ 2 Verarbeitung personenbezogener Daten der Mitglieder
1. Der Verein verarbeitet die Daten unterschiedlicher Kategorien von Personen. Für jede Kategorie von betroffenen Personen wird im Verzeichnis der Verarbeitungstätigkeiten ein Einzelblatt angelegt.
2. Im Rahmen des Mitgliedschaftsverhältnisses verarbeitet der Verein insbesondere die folgenden Daten der Mitglieder: Geschlecht, Vorname, Nachname, Anschrift (Straße, Hausnummer, Postleitzahl, Ort), Geburtsdatum, Datum des Vereinsbeitritts, Bankverbindung, Telefonnummern und E-Mail-Adressen, ggf. Funktion im Verein.
3. Alle personenbezogenen Daten der Mitglieder bzw. der Beschäftigen werden verschlüsselt und Password-geschützt auf vom Vorstand festgelegten Rechner abgelegt. Beide Dateien sind getrennt voneinander zu speichern.
§ 3 Datenverarbeitung im Rahmen der Öffentlichkeitsarbeit
1. Im Rahmen der Öffentlichkeitsarbeit über Vereinsaktivitäten werden personenbezogene Daten in Aushängen, in der Vereinszeitung und in Internetauftritten veröffentlicht und an die Presse weitergegeben
2. Hierzu zählen insbesondere die Daten, die aus allgemein zugänglichen Quellen stammen: Rednerlisten auf Veranstaltungen, Vorstandsmitglieder.
3. Die Veröffentlichung von Fotos und Videos, die außerhalb öffentlicher Veranstaltungen gemacht wurden, erfolgt ausschließlich auf Grundlage einer Einwilligung der abgebildeten Personen. Im Rahmen der Anmeldung für die Veranstaltungen wird dieses Einverständnis abgefragt.
4. Auf der Internetseite des Vereins werden die Daten der Mitglieder des
Vorstands mit Vorname, Nachname, Funktion, E-Mail-Adresse und Telefonnummer veröffentlicht.
§ 4 Zuständigkeiten für die Datenverarbeitung im Verein
Verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben ist der Vorstand nach § 26 BGB. Funktional ist die Aufgabe des Geschäftsführer der Geschäftsführerin zugeordnet, soweit die Satzung oder diese Ordnung nicht etwas Abweichendes regelt.
Der Geschäftsführer/die Geschäftsführerin stellt sicher, dass Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DSGVO geführt und die Informationspflichten nach Art. 13 und 14 DSGVO erfüllt werden. Er/sie ist für die Beantwortung von Auskunftsverlangen von betroffenen Personen zuständig.
§ 5 Verwendung und Herausgabe von Mitgliederdaten und -listen
1. Listen von Mitgliedern oder Teilnehmern werden den jeweiligen Mitarbeiterinnen und Mitarbeitern im Verein (z.B. Vorstandsmitgliedern, Kassenprüfer) insofern zur Verfügung gestellt, wie es die jeweilige Aufgabenstellung erfordert. Beim Umfang der dabei verwendeten personenbezogenen Daten ist das Gebot der Datensparsamkeit zu beachten.
2. Personenbezogene Daten von Mitgliedern dürfen an andere Vereinsmitglieder nur herausgegeben werden, wenn die Einwilligung der betroffenen Person vorliegt. Die Nutzung von Teilnehmerlisten, in die sich die Teilnehmer von Versammlungen und anderen Veranstaltungen zum Beispiel zum Nachweis der Anwesenheit eintragen, gilt nicht als eine solche Herausgabe.
3. Macht ein Mitglied glaubhaft, dass es eine Mitgliederliste zur Wahrnehmung satzungsgemäßer oder gesetzlicher Rechte benötigt (z.B. um die Einberufung einer Mitgliederversammlung im Rahmen des Minderheitenbegehrens zu beantragen), stellt der Vorstand eine Kopie der Mitgliederliste mit Vornamen, Nachnamen und Anschrift als Ausdruck oder als Datei zur Verfügung. Das Mitglied, welches das Minderheitenbegehren initiiert, hat vorher eine Versicherung abzugeben, dass diese Daten ausschließlich für diesen Zweck verwendet und nach der Verwendung vernichtet werden.
§ 6 Kommunikation per E-Mail
1. Für die Kommunikation per E-Mail richtet der Verein einen vereinseigenen E-Mail-Account ein, der im Rahmen der vereinsinternen Kommunikation ausschließlich zu nutzen ist.
2. Beim Versand von E-Mails an eine Vielzahl von Personen, die nicht in einem ständigen Kontakt per E-Mail untereinander stehen und/oder deren private E-Mail-Accounts verwendet werden, sind die E-Mail-Adressen als „bcc“ zu versenden.
§ 7 Verpflichtung auf die Vertraulichkeit
Alle Mitarbeiterinnen und Mitarbeiter im Verein, die Umgang mit personenbezogenen Daten haben (z.B. Mitglieder des Vorstands, Abteilungsleiterinnen und Abteilungsleiter, Übungsleiterinnen und Übungsleiter), sind auf den vertraulichen Umgang mit personenbezogenen Daten zu verpflichten.
§ 8 Datenschutzbeauftragter (entfällt wenn weniger als 10 Personen Zugang zu den Daten haben)
Da im Verein in der Regel weniger als 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, hat der Verein keinen Datenschutzbeauftragten zu benennen. Wenn ein Datenschutzbeauftragter notwendig ist erfolgt die Auswahl und Benennung durch den Vorstand nach § 26 BGB. Der Vorstand hat sicherzustellen, dass die benannte Person über die erforderliche Fachkunde verfügt. Vorrangig ist ein interner Datenschutzbeauftragter zu benennen. Ist aus den Reihen der Mitgliedschaft keine Person bereit, diese Funktion im Rahmen eines Ehrenamtes zu übernehmen, hat der Vorstand nach § 26 BGB einen externen Datenschutzbeauftragten auf der Basis eines Dienstvertrages zu beauftragen.
§ 9 Einrichtung und Unterhaltung von Internetauftritten
1. Die Einrichtung und Unterhaltung von Auftritten im Internet obliegt dem Vorsitzenden des Vereins. Änderungen dürfen ausschließlich durch ihn und dem Administrator vorgenommen werden.
2. Der Vorsitzende des Vereins ist für die Einhaltung der Datenschutzbestim–mungen im Zusammenhang mit Online-Auftritten verantwortlich.
3. Einzelne Mitglieder bzw. Gruppen bedürfen für die Einrichtung eigener Internetauftritte (z.B. Homepage, Facebook, Twitter) der ausdrücklichen Genehmigung des Vorsitzenden.
§ 10 Verstöße gegen datenschutzrechtliche Vorgaben und diese Ordnung
1. Alle Mitarbeiterinnen und Mitarbeiter des Vereins dürfen nur im Rahmen ihrer jeweiligen Befugnisse Daten verarbeiten. Eine eigenmächtige Datenerhebung, -nutzung oder –weitergabe ist untersagt.
2. V Verstöße gegen allgemeine datenschutzrechtliche Vorgaben und insbesondere gegen diese Datenschutzordnung können gemäß den Sanktionsmitteln, wie sie in der Satzung vorgesehen sind, geahndet werden.
§ 11 Inkrafttreten
Diese Datenschutzordnung wurde durch den Gesamtvorstand des Vereins am 01.08.2018 beschlossen und tritt mit Veröffentlichung auf der Homepage des Vereins in Kraft.
 
Anlage II
Beispiel für ein Verzeichnis von (Daten)Verarbeitungstätigkeiten
Tätigkeit
Zweck
Betroffene
Datenkategorie
Empfänger
Übermitt-lung an Drittland
Löschfristen
Verant-wortliche
Mitgl. Verwaltg.
Mitgl. Verwaltg
Mitgl.
Name, Adr. Tel. Nr.
Geb. Datum,
e-mail, Arbeitsstelle
Keine
nein
Nach Beendigung Mitgl.
Schriftführer
Veröffentlichung von Fotos und Texten im  www
Außendar-stellung
Werbung Mitgl.
Mitglieder
Besucher der Website
Fotos, Texte
 
 
Keine
nein
Nach Auf-forderung, 3 Monate nach Auflösung des e.V.
Vorsitzender
 
 
Datenschutz in Vereinen
(Auf der Grundlage Datenschutz im Verein nach der Datenschutzgrundverordnung hier Baden-Würtemberg)
 
Informationen über die datenschutzrechtlichen Rahmenbedingungen beim Umgang mit personenbezogenen Daten in der Vereinsarbeit
 
 
Rechtliche Situation
Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung und sie ergänzende Regelungen (z.B. eine Vereinsordnung) vorgegeben wird. Eine Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten genutzt werden können.
Erhebt ein Verein personenbezogene Daten von einer betroffenen Person (z. B. Vereinsmitglied, Teilnehmer an Veranstaltungen), so sind die Zwecke, für welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (Art. 5 Abs. 1 lit. b) DS-GVO).
Aus dem Vertragsverhältnis folgt, dass der Verein bei der Erhebung, Verarbeitung und Nutzung von Daten die Datenschutzgrundrechte seiner Mitglieder angemessen berücksichtigen muss. Das setzt Datensparsamkeit und Anwendung des Grundsatzes des Verbots der Datennutzung mit Erlaubnisvorbehalt voraus.
Informationspflichten
Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Person, so hat der Verein aus Gründen der Transparenz von Datenverarbeitungsprozessen zum Zeitpunkt der Datenerhebung eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (Art. 13 Abs. 1 und Abs. 2 DS-GVO). Daraus folgt, dass der Verein IGUB in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt, auf Folgendes hinweisen muss:
• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
• Zwecke der Verarbeitung (bitte im Einzelnen aufzählen)
• Rechtsgrundlage der Verarbeitung
• berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO
• Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, im Internet)
• Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in der Cloud), sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
• Speicherdauer der personenbezogenen Daten
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
• Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde (Finanzamt/Registergericht)
• Eine notwendige Datenschutzordnung (Vorschlag Anlage I) kann, wenn die Vereinssatzung nichts anderes bestimmt, vom Vorstand oder von der Mitgliederversammlung beschlossen werden und muss nicht die Qualität einer Satzung haben. Es ist empfehlenswert, sich beim Aufbau der Datenschutzregelungen am Weg der Daten von der Erhebung über die Speicherung, Nutzung, Verarbeitung (insbesondere Übermittlung) bis zu ihrer Sperrung und Löschung zu orientieren.
 
Dabei ist jeweils konkret festzulegen, welche Daten (z.B. Name, Vorname, Adresse, E-Mail-Adresse usw.) welcher Personen (z.B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen) für welche Zwecke verwendet werden, ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen.
Der Verein sollte insbesondere schriftlich festlegen, welche Daten beim Vereinseintritt für die Verfolgung des Vereinsziels und für die Mitgliederbetreuung und -verwaltung notwendigerweise erhoben werden.Der Verein sollte außerdem regeln, welcher Funktionsträger zu welchen Daten Zugang hat und zu welchem Zweck er Daten von Mitgliedern und Dritten verarbeiten und nutzen darf.Ferner sollte geregelt sein, welche Daten üblicherweise am „Schwarzen Brett“ oder in den Vereinsnachrichten offenbart und welche in das Internet oder Intranet eingestellt werden.
Eine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist immer erforderlich (siehe Ausführungen zu Bilder/Videos Datenschutzordnung §3:3).
 
Insbesondere soll darauf aufmerksam gemacht werden,
• welche verschiedenen Verarbeitungsvorgänge vorgesehen sind,
• unter welchen Voraussetzungen die Daten an Dritte weitergegeben werden,
• dass die Erklärung freiwillig ist,
• wie lange die Daten bei wem gespeichert sein sollen und
• was die Einwilligung rechtlich für die betroffene Person bedeutet.
Soweit es nach den Umständen des Einzelfalles erforderlich ist, oder wenn die betroffene Person das verlangt, soll sie auch über die Folgen der Verweigerung der Einwilligung belehrt werden (§ 51 Abs. 4 Sätze 3 und 4 BDSG-neu). Auch soll die betroffene Person vor der Abgabe der Einwilligung darauf aufmerksam gemacht werden, dass sie diese stets widerrufen kann. Die DS-GVO ermöglicht, dass die Einwilligung schriftlich, elektronisch, mündlich oder sogar konkludent erfolgen kann.
Damit dürfen alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum, ferner Bankverbindung) notwendig sind.
Der Verein kann Daten mittels herkömmliche Karteien oder automatisiert speichern (vgl. Art. 2 Abs. 1 DS-GVO). Die Speicherung kann auch durch ein Serviceunter- nehmen im Wege der Auftragsdatenverarbeitung erfolgen. Sofern der Verein eigene
Beschäftigte hat, müssen deren Personaldaten getrennt von den sonstigen Daten, insbesondere den Mitgliederdaten, gespeichert werden.
So ist - um z.B. zu verhindern, dass die in einem Computersystem abgelegten Mitgliederdaten von Unbefugten genutzt werden können - an die Einrichtung von passwortgeschützten Nutzer-Accounts und eines Firewall-Systems sowie eine Verschlüsselung der Mitgliederdaten zu denken.
Auch müssen der Vereinsgeschäftsstelle alle Mitgliederdaten regelmäßig für die Mitgliederverwaltung und -betreuung zur Verfügung stehen, während es in der Regel für den Kassierer genügt, wenn er die für den Einzug der Mitgliedsbeiträge relevanten Angaben (Name, Anschrift und Bankverbindung) kennt.
Besonderes
Es ist zum Erreichen eines für eine außerordentliche Mitgliederversammlung des Vereins notwendigen Quorums zulässig, dass den Mitgliedern z. B. Einsicht in die Mitgliederunterlagen beim Vorstand ermöglicht wird. Ein Zusenden der kompletten Adressliste sollte in der Datenschutzverordnung ausgeschlossen werden.
Nutzung der Daten des Vereins für Spendenaufrufe und Werbung
Vereine haben regelmäßig ein erhebliches Interesse an der Mitglieder- und Spendenwerbung, um einen ausreichenden Mitgliederbestand und genügend finanzielle Mittel sicherzustellen. Die Daten seiner Vereinsmitglieder darf der Verein nur für Spendenaufrufe und für Werbung zur Erreichung der eigenen Ziele des Vereins nutzen (Art. 6 Abs. 1 lit. b) DS-GVO).
Persönliche Nachrichten mit einem Bezug zum Verein wie Eintritte, Austritte, Spenden, Geburtstage und Jubiläen können veröffentlicht werden, wenn dem Verein keine schutzwürdigen Belange des Betroffenen bekannt sind, die dem entgegenstehen. Es empfiehlt sich, beim Eintritt in den Verein darauf aufmerksam zu machen, welche Ereignisse üblicherweise am „Schwarzen Brett“ oder im Vereinsblatt veröffentlicht werden und darum zu bitten, mitzuteilen, wenn dies nicht gewünscht wird.
Die „dienstlichen“ Erreichbarkeitsdaten von Funktionsträgern des Vereins, insbesondere der Vorstände, können in der Regel in vereinsbezogener Form bekannt gegeben werden. So dürfen die Funktionsträger eines Vereins auch ohne ausdrückliche Einwilligung mit ihrer „dienstlichen“ Erreichbarkeit in das Internet auf der Homepage des Vereins eingestellt werden. Die private Adresse des Funktionsträgers darf allerdings nur mit seinem Einverständnis veröffentlicht werden. Die Veröffentlichung personenbezogener Daten durch einen Verein im Internet ist grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat Dagegen dürfen Mitgliederlisten für gewöhnlich nur am „Schwarzen Brett“ ausgehängt oder im Vereinsblatt veröffentlicht werden, wenn die Betroffenen insoweit eingewilligt haben
Die Bekanntgabe von Mitgliederdaten für Werbezwecke ist aber in der Regel vom Vereinszweck nicht gedeckt.
Der Verein darf personenbezogene Daten der Mitglieder für Werbezwecke daher nur übermitteln, wenn diese entweder darin eingewilligt haben oder der Verein oder ein Dritter berechtigte Interessen an der Nutzung zu Werbezwecken hat und keine Interessen oder Grundrechte und Grundfreiheiten der Mitglieder überwiegen. Entscheiden sind auch hier die vernünftigen Erwartungen der betroffenen Person.
Bezüglich des Zwecks muss der Verein daher festlegen, welche Arten von Daten bis zu welchem Ereignis (z.B. Austritt aus dem Verein, Tod) oder für welche Dauer ver- arbeitet werden.
Die erforderlichen Regelungen zu Speicherfristen sowie zur Sperrung und Löschung von Daten und ggfs. zur Nutzung von Archivgut können entweder in der Vereinssatzung oder außerhalb der Satzung in einer Datenschutzordnung (s.o. Nr. 1.3.3) bzw. in einer gesonderten Datenlöschkonzeption getroffen werden.
Gemäß Art. 30 DS-GVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Zwar besteht bei Verantwortlichen, bei denen weniger als 250 Mitglieder beschäftigt sind, zunächst eine Ausnahme von der Verzeichnisführungspflicht.
Das Verarbeitungsverzeichnis (Anlage II) muss zwingend folgende Angaben enthalten (Art. 30 Abs. 1 DS-GVO):
• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
• Zwecke der Verarbeitung
• Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind bzw. noch offengelegt werden
• Angaben über Drittlandtransfer (Cloud!) einschließlich Angabe des Drittlandes sowie Dokumentierung geeigneter Garantien
• wenn möglich Fristen für die Löschung der verschiedenen Datenkategorien
• wenn möglich Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO
Das Verarbeitungsverzeichnis muss schriftlich oder in einem elektronischen Format (s.o. Nr. 3.2) geführt werden (Art. 30 Abs. 3 DS-GVO). Der Verantwortliche ist verpflichtet, der Aufsichtsbehörde (Finanzamt/Registergericht) das Verzeichnis auf deren Anfrage zur Verfügung zu stellen.
Vorschlag nächste Schritte durch den Vereinsvorstand:
Nach dem Erstellen einer Übersicht der notwendigen technischen und organisatorischen Maßnahmen (z.B. TOM 1-6)):
1. Festlegung, wer dauerhaft mit datenschutzsensiblen Unterlagen umgeht und in welcher Form das geschehen soll.
2. Erstellen Verzeichnis Verarbeitungstätigkeiten einschl. Verantwortlichkeiten
3. Erstellen eines Sicherheitskonzeptes (Festlegen der Aufbewahrungsorte und der Schutzmaßnahmen für die Dateien einschließlich Backup)
4. Erstellen von Standard Operation Procedures (SOPs) für die wichtigsten Tätigkeiten
5. Erstellen Datenschutzordnung
6. Vorbereitung und Versendung eines Anschreiben Vereinsmitglieder, in dem diese um ihre Erlaubnis für die Nutzung der erhobenen persönlichen Daten gebeten werden