![]() |
|
Datenschutzordnung als Anlage zur 1.Satzung (§19) vom 05.01.2011
Prolog: Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten nicht nur für "Unternehmen" (Art. 4 Nr. 18 DS-GVO), sondern für alle natürlichen und juristischen Personen - so auch für Vereine. Der Verein darf die von ihm gesammelten Daten nur im Rahmen des BDSG oder einer anderen Rechtsvorschrift nutzen. Die Datenschutzbestimmungen dürfen nicht per Satzung eingeschränkt werden. Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder, daneben aber auch Spender, Klienten, Kunden usf. Typischerweise erhoben werden Name und Anschrift, Geburtsdatum, Eintrittsdatum, Bankverbindung. All das sind personenbezogene Daten. Die Art der Erfassung, digital oder auf Papier, spielt dabei keine Rolle. Der Datenschutz bezieht sich auf das Erheben, Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen in jeglicher Verwendung von Daten. 1. Beschlussfassung: Über
die Datenschutzordnung und die darin festgelegten Regelungen
beschließt der geschäftsführende Vorstand des Kinderhilfe Honour
Village Kambodscha e.V.
2. Zweck der erweiterten Datenschutzordnung Die erweiterte Datenschutzordnung dient der Reglementierung von Vorgängen und Zuständigkeiten zur Erfüllung der Vorgaben des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO). Sie dient der detaillierten Darstellung, welche personenbezogene Daten durch den Verein erhoben werden, wie diese bearbeitet und gespeichert werden, wofür und in welchen Fällen sowie unter welchen Voraussetzungen die erhobenen Daten verwendet und herausgegeben werden und wann die Daten gesperrt, archiviert oder gelöscht werden. 3. Allgemeine Grundsätze Die
Verarbeitung personenbezogener Daten einer betroffenen Person
erfolgt stets im Einklang mit der Datenschutz-Grundverordnung
(DSGVO) und des Bundesdatenschutzgesetzes (BDSG) in Übereinstimmung
mit den für den Verein geltenden landesspezifischen
Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchte
unser Verein seine Mitglieder über Art, Umfang und Zweck der vom
Verein erhobenen, genutzten und verarbeiteten personenbezogenen
Daten informieren. Ferner werden betroffene Personen mittels dieser
Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt. 4. Rechtsvorschriften Bei der
Mitgliedschaft in einem Verein handelt es sich um ein
rechtsgeschäftsähnliches Schuldverhältnis im Sinne des § 28 Abs. 1
Satz 1 Nr. 1 BDSG2, dessen Rahmen und Inhalt im Wesentlichen durch
die Vereinssatzung vorgegeben wird. § 28 Abs. 1 Satz 1 Nr. 1 BDSG
sieht vor, dass das Erheben, Speichern, Verändern oder Übermitteln
personenbezogener Daten oder ihre Nutzung als Mittel für die
Erfüllung eigener Geschäftszwecke zulässig ist, wenn es für die
Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen
oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist.
Regelungen in Vereinssatzungen dürfen nicht im Widerspruch zu den
geltenden datenschutzrechtlichen Bestimmungen des BDSG stehen. Ein
Verein kann folglich durch die Satzung zu nichts berechtigt werden,
was den Bestimmungen des Datenschutzes zuwiderläuft. Gleichwohl
können Satzungsregelungen die einzuhaltenden Datenschutzgrundsätze
ausdrücklich hervorheben und betonen. Aus dem Mitgliedsverhältnis
folgt, dass ein Verein bei der Erhebung, Verarbeitung und Nutzung
von personenbezogenen Daten das Grundrecht auf informationelle
Selbstbestimmung seiner Mitglieder angemessen zu berücksichtigen
hat, das heißt, dass er mit den Daten seiner Mitglieder sorgfältig
umzugehen und diese grundsätzlich nur im Rahmen des Geschäftszwecks
des Vereins zu verwenden hat.
5. Technische und organisatorische Maßnahmen (TOM´s)
umzusetzen, die den Datenschutz und die Datensicherheit im Verein
gewährleisten. Ein ordnungsgemäßer Umgang mit Daten muss technisch
und organisatorisch laut § 9 BDSG sichergestellt werden.
Insbesondere müssen die Daten gegen den Zugriff unberechtigter
Personen geschützt werden.
5.1. Sonstige Maßnahmen:
externer, passwortgeschützter Festplatte erstellt.
Ein Verzeichnis der Verarbeitungstätigkeiten und ein Verzeichnis der
technischen und organisatorischen, Maßnahmen (TOM´s) sind zu
erstellen.
Zur Bearbeitung der personenbezogenen Daten verwendet der Verein die
EDV-Programme
"MS-Excel" und "MS-Word".
6. Name und Anschrift des für die Verarbeitung Verantwortlichen:
Verantwortlicher im Sinne der Datenschutzgrundverordnung, sonstiger
in den Mitgliedstaaten der
Europäischen Union geltenden Datenschutzgesetze und anderer
Bestimmungen mit datenschutzrechtlichem Charakter ist der:
7. Verantwortlicher in Verein:
Bürgerliches Gesetzbuch, BGB), und nimmt für den Verein in Bezug auf
die Verwaltung der Mitgliedsdaten die Aufgaben der verantwortlichen
Stelle (§ 3 Abs. 7 BDSG) wahr.
Dem geschäftsführenden Vorstand obliegt die
Datenschutzverantwortung, der Vereinsvorstand wird
vertreten durch den zweiten Vorstand.
8. Beauftragte des Vereins für die ständige Verarbeitung
personenbezogener Daten:
1. Vorstand
2. Vorstand
1. Schriftführer(in)
Diese Personen sind durch den geschäftsführenden Vorstand zu
belehren,
damit die personenbezogenen Daten vor der unbefugten Kenntnis
Dritter geschützt sind.
8.1 Verpflichtung auf das Datengeheimnis:
Personen, die mit der Verarbeitung von personenbezogenen Daten
betraut sind, sind schriftlich, mit ihrer Unterschrift, auf das
Datengeheimnis zu verpflichten (§ 5 BDSG).4 Soweit Nichtmitglieder
im Verein mit der Datenverarbeitung befasst sind, sind auch sie zu
verpflichten.
9. Datenschutzbeauftragter:
Wenn mehr als neun Personen ständig mit der automatisierten
Verarbeitung von personenbezogenen Daten befasst sind, ist durch den
Verein ein Datenschutzbeauftragter zu bestellen (§ 4f BDSG). Da die
gesetzliche Notwendigkeit für eine Bestellung für den Verein nicht
vorliegt, ist ein Datenschutzbeauftragter bei der Kinderhilfe Honour
Village Kambodscha e.V.
nicht bestellt.
10. Beitritt zum Verein und Datenerhebung:
Mit dem Beitritt eines Mitglieds zum Verein erfolgt eine
datenschutzrechtliche Unterrichtung des Mitglieds gemäß Art. 13 Abs.
1 und Abs. 2 DSGVO. Der Verein darf beim Vereinseintritt im
Aufnahmeantrag bzw. der Beitrittserklärung alle Daten erheben, die
zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung
der Mitglieder erforderlich sind. Grundlage hierfür ist der Artikel
6 Abs.1 lit. b) DSGVO.
10.1. Mit dem Beitritt eines Mitglieds nimmt der Verein folgende
personenbezogene Daten auf:
Vor- und Zuname
Anschrift (Straße, Hausnummer, PLZ, Wohnort)
Kommunikationsdaten (Telefon, Handy, E-Mail)
Geburtsdatum
Datum des Vereinseintritts
Bankverbindung
Einzugsermächtigung
11. Nutzung und Verarbeitung von personenbezogenen Daten:
-
für Einladungen zu Versammlungen, Veranstaltungen
- für Info-Post des Vereins
- für Gratulationen bei runden Geburtstagen
- zur Erfüllung der vertragsgemäßen Pflicht des Mitglieds zur
Beitragszahlung durch Lastschriftverfahren
- zur Kontaktaufnahme mit Mitgliedern per E-Mail, Telefon, Briefpost
und persönlich
Für die Nutzung von personenbezogenen Daten als auch von Fotos und
Videos im Rahmen der
Pressearbeit in den Print- und Online-Medien (Vereinshomepage,
Social Media Plattform des Vereins, Tagespresse) wird bei
Notwendigkeit eine separate Einwilligung erforderlich.
Sonstige Informationen und Informationen über Nichtmitglieder werden
von dem Verein intern nur
erhoben und verarbeitet, wenn sie zur Erfüllung des Vereinszweckes
nützlich sind und keine
Anhaltspunkte bestehen, dass die betroffene Person ein
schutzwürdiges Interesse hat, das der
Verarbeitung entgegensteht.
11.1. Weitere Nutzung und Verarbeitung von personenbezogenen Daten
11.2. Rechtmäßigkeit der Verarbeitung:
Die Verarbeitung personenbezogene Daten ist nur rechtmäßig, wenn
mindestens eine der nachstehenden Bedingungen erfüllt ist: -
Wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der
sie betreffenden personenbezogenen Daten für einen oder mehrere
bestimmte Zwecke gegeben hat, erfolgt die
Verarbeitung auf Grundlage des Art. 6 (1) lit. a DSGVO.
- Wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene
Person ist, oder zur Durchführung vorvertraglicher Maßnahmen
erforderlich ist, die auf Anfrage
der betroffenen Person erfolgt, erfolgt die Verarbeitung auf
Grundlage des Art. 6 (1) lit. b
DSGVO.
- Wenn die Verarbeitung zur Erfüllung einer rechtlichen
Verpflichtung erforderlich ist, der der
Verantwortliche unterliegt, z.B. der Verpflichtung der
Beitragszahlung, erfolgt die Verarbeitung
auf Grundlage des Art. 6 (1) lit. c DSGVO.
- Wenn die Verarbeitung zur Wahrung der berechtigten Interessen des
Vereins erforderlich ist,
sofern dadurch nicht die Interessen oder Grundrechte und
Grundfreiheiten der betroffenen
Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, erfolgt die Verarbeitung auf Grundlage des Art. 6 (1)
lit. f DSGVO i.V.
12. Einwilligung zur Verarbeitung personenbezogener Daten:
Für den Umgang mit Mitgliedsdaten im Verein ist in der Regel der §
28 Abs. 1 Satz 1 Nr. 1 BDSG die
maßgebliche Rechtsgrundlage. Kann sich ein Verein für eine
beabsichtigte Datenerhebung, Verarbeitung oder Nutzung nicht auf
eine Rechtsgrundlage stützen, muss er die Einwilligung der
betroffenen Mitglieder einholen. Die Voraussetzungen, die das BDSG
an eine informierte Einwilligung stellt, ergeben sich aus dem § 4a
BDSG. Die Einwilligung muss auf einer freien Entscheidung beruhen.
Hierzu ist erforderlich, dass die betroffene Person zuvor
ausreichend darüber informiert worden ist, welche Daten zu welchem
Zweck vom Verein erhoben, gespeichert und genutzt werden bzw. an wen
sie gegebenenfalls übermittelt werden sollen. Außerdem muss der
betroffenen Person die Möglichkeit eingeräumt werden, die
Einwilligung zu verweigern, ohne dass sie dadurch Nachteile
befürchten muss.
- Die Einwilligung kann jederzeit mit Wirkung für die Zukunft
widerrufen werden.
- Die Einwilligung muss grundsätzlich schriftlich erfolgen.
Wenn sie zusammen mit anderen Erklärungen abgegeben wird, ist sie
besonders hervorzuheben. In der Praxis werden erforderliche
Einwilligungserklärungen in der Regel bereits beim Vereinsbeitritt
eingeholt. In diesem Fall müssen diese abzugebenden Erklärungen klar
von der Beitrittserklärung abgegrenzt sein (z. B. räumliche Trennung
durch Absätze; Fett- oder Kursivdruck), damit für die Betroffenen
klar erkennbar ist, dass sie weitere Erklärungen abgeben.
13. Rechte der Betroffenen nach Art. 15 bis 20 DSGVO:
Außerdem steht Ihnen nach Art. 21 (1) DSGVO ein Widerspruchsrecht
gegen die Verarbeitungen zu, die auf Art. 6 (1) a und f DSGVO
beruhen.
Der Verarbeitung nach Art. 6 (1) a und f DSGVO kann jederzeit
schriftlich widersprochen werden. Der
Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf
erfolgten Datenverarbeitung. Bei
Widerspruch werden diese Daten des Betroffenen gelöscht. Das hat
keinen Einfluss auf die
Mitgliedschaft im Verein.
14. Austritt aus dem Verein:
Mitgliedern mit besonderen Verdiensten zum Wohle des Vereins werden
diese Daten Zwecks
Fortführung der Vereinschronik archiviert.
- Die archivierten Daten werden ebenfalls durch geeignete technische
und organisatorische
Maßnahmen vor der Kenntnisnahme Dritter geschützt.
- Die archivierten Daten dürfen ebenfalls nur zu vereinsinternen
Zwecken verwendet werden.
Personenbezogene Daten des austretenden Mitglieds, die die
Kassenverwaltung des Vereins betreffen, werden gemäß den
steuergesetzlichen Bestimmungen bis zu zehn Kalenderjahre ab der
Wirksamkeit des Austritts durch den Verein aufbewahrt. Danach werden
diese Daten gelöscht.
Dem austretenden Mitglied steht das Recht zu, der Archivierung
seiner Daten beim Vorstand schriftlich zu widersprechen. Das hat
allerdings zur Folge, dass eine Fortführung der Vereinschronik
seiner Person betreffend nicht mehr gewährleistet werden kann.
15. Weitergabe von Mitgliederverzeichnissen an Vereinsmitglieder:
Mitgliederverzeichnisse werden nur an Vorstandsmitglieder und
sonstige Mitglieder ausgehändigt, die im Verein nach Satzung oder
Geschäftsordnung eine besondere Funktion ausüben, welche
die Kenntnis von Mitgliederdaten erfordert. Die
Mitgliederverzeichnisse werden nur mit den Daten die für die
Erfüllung der Funktion des Nutzers erforderlich sind
(Datenminimierung) weitergegeben. Macht ein Mitglied geltend, dass
er die Mitgliederliste zur Wahrnehmung seiner satzungsmäßigen Rechte
benötigt, händigt der Vorstand die Liste nur gegen die schriftliche
Versicherung (Verpflichtung auf das Datengeheimnis) aus, dass die
Mitgliederdaten nicht zu anderen Zwecken verwendet und an unbefugte
Dritte weitergegeben werden.
16. Kommunikation per E-Mail:
16.1. Grundsatz:
E-Mail-Adressen sind personenbezogene Daten gemäß § 3 Absatz 1 BDSG.
Diese dürfen an Dritte nur
übermittelt werden, wenn entweder eine gesetzliche Grundlage oder
die Einwilligung des Betroffenen besteht. Beides wird im Fall des
offenen E-Mail-Verteilers in der Regel nicht gegeben sein. Werden
die E-Mail-Adressen nun in der E-Mail offengelegt, handelt es sich
um eine unbefugte Datenübermittlung. Da es sich beim E-Mail-Verkehr,
auch vereinsintern, um eine automatisierte Datenverarbeitung
handelt, muss die verantwortliche Stelle ein Verfahrensverzeichnis
erstellen. Diese Aufgabe wird auf den geschäftsführenden Vorstand
übertragen.
16.2. Verfahrensverzeichnis zum E-Mailversand:
- wird eine E-Mail nur an
einen Empfänger versendet, werden nur zwei Adressen angegeben, die
des Versenders und des Empfängers. Die Empfängeradresse kann also in
"An:“ gesetzt werden.
- ist die E-Mail dagegen an eine Vielzahl von Empfängern gerichtet,
sind die E-Mailadressen der
betroffenen Mitglieder ausschließlich in "BCC:“ (Blind Carbon
Copy = nicht sichtbare Kopie) zu
setzen.
- liegt eine Zustimmung der betroffenen Mitglieder vor,
wiederspricht nichts der Versendung und
Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler.
- vereinseigene E-Mail-Adressen, die mit
@Kinderdorfkambodscha.de
enden, können
ebenfalls in "An:" gesetzt werden, da eine private
Mailadresse hierbei nicht erkennbar ist.
- der Mailversender garantiert gegenüber dem geschäftsführenden
Vorstand die Einhaltung dieses
Verfahrensverzeichnisses. Bei gemeldeten Verstößen gegen die
Rechtmäßigkeit der
Verarbeitung personenbezogenen Daten beim Mailversand ist der
Versender für rechtliche
Folgen eigenverantwortlich.
17. Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde:
Die Vereinsmitglieder haben gemäß Art. 77 DSGVO das Recht, sich bei
der Aufsichtsbehörde zu
beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer
personenbezogenen Daten nicht
rechtmäßig erfolgt.
Zuständig ist der Landesbeauftragte für den Datenschutz und die
Informationsfreiheit (LDA) bei der
Aufsichtsbehörde Bayern.
Eine Beschwerde kann online unter:
https://www.lda.bayern.de/de/beschwerde.html
eingereicht werden.
Quellen:
--
LDA Bayern Datenschutz im Verein
--
Muster-Datenschutzerklärung Spielmannszug Rot-Weiß ´67
Duisdorf e.V.
--
Eigene Recherchen und Texte
|