Datenschutzordnung als Anlage zur 1.Satzung (§19) vom 05.01.2011

Prolog:

Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten nicht nur für "Unternehmen" (Art. 4 Nr. 18 DS-GVO), sondern für alle natürlichen und juristischen Personen - so auch für Vereine. Der Verein darf die von ihm gesammelten Daten nur im Rahmen des BDSG oder einer anderen Rechtsvorschrift nutzen. Die Datenschutzbestimmungen dürfen nicht per Satzung eingeschränkt werden. Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder, daneben aber auch Spender, Klienten, Kunden usf. Typischerweise erhoben werden Name und Anschrift, Geburtsdatum, Eintrittsdatum, Bankverbindung. All das sind personenbezogene Daten. Die Art der Erfassung, digital oder auf Papier, spielt dabei keine Rolle. Der Datenschutz bezieht sich auf das Erheben, Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen in jeglicher Verwendung von Daten.

1. Beschlussfassung:

 Über die Datenschutzordnung und die darin festgelegten Regelungen beschließt der geschäftsführende Vorstand des Kinderhilfe Honour Village Kambodscha e.V.

2. Zweck der erweiterten Datenschutzordnung

 Die erweiterte Datenschutzordnung dient der Reglementierung von Vorgängen und Zuständigkeiten zur Erfüllung der Vorgaben des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO). Sie dient der detaillierten Darstellung, welche personenbezogene Daten durch den Verein erhoben werden, wie diese bearbeitet und gespeichert werden, wofür und in welchen Fällen sowie unter welchen Voraussetzungen die erhobenen Daten verwendet und herausgegeben werden und wann die Daten gesperrt, archiviert oder gelöscht werden.

3. Allgemeine Grundsätze

 Die Verarbeitung personenbezogener Daten einer betroffenen Person erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) in Übereinstimmung mit den für den Verein geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchte unser Verein seine Mitglieder über Art, Umfang und Zweck der vom Verein erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.

4. Rechtsvorschriften

 Bei der Mitgliedschaft in einem Verein handelt es sich um ein rechtsgeschäftsähnliches Schuldverhältnis im Sinne des § 28 Abs. 1 Satz 1 Nr. 1 BDSG2, dessen Rahmen und Inhalt im Wesentlichen durch die Vereinssatzung vorgegeben wird. § 28 Abs. 1 Satz 1 Nr. 1 BDSG sieht vor, dass das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist. Regelungen in Vereinssatzungen dürfen nicht im Widerspruch zu den geltenden datenschutzrechtlichen Bestimmungen des BDSG stehen. Ein Verein kann folglich durch die Satzung zu nichts berechtigt werden, was den Bestimmungen des Datenschutzes zuwiderläuft. Gleichwohl können Satzungsregelungen die einzuhaltenden Datenschutzgrundsätze ausdrücklich hervorheben und betonen. Aus dem Mitgliedsverhältnis folgt, dass ein Verein bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten das Grundrecht auf informationelle Selbstbestimmung seiner Mitglieder angemessen zu berücksichtigen hat, das heißt, dass er mit den Daten seiner Mitglieder sorgfältig umzugehen und diese grundsätzlich nur im Rahmen des Geschäftszwecks des Vereins zu verwenden hat.

5. Technische und organisatorische Maßnahmen (TOM´s)

 Aus der bestehenden Datenschutzverantwortung ergibt sich eine Verpflichtung, Maßnahmen

umzusetzen, die den Datenschutz und die Datensicherheit im Verein gewährleisten. Ein ordnungsgemäßer Umgang mit Daten muss technisch und organisatorisch laut § 9 BDSG sichergestellt werden.

Insbesondere müssen die Daten gegen den Zugriff unberechtigter Personen geschützt werden.

5.1. Sonstige Maßnahmen:

 Zur Sicherung der bisherigen Vereinsdaten (Archivdaten) wird eine Datensicherungen auf

externer, passwortgeschützter Festplatte erstellt.

Ein Verzeichnis der Verarbeitungstätigkeiten und ein Verzeichnis der technischen und organisatorischen, Maßnahmen (TOM´s) sind zu erstellen.

Zur Bearbeitung der personenbezogenen Daten verwendet der Verein die EDV-Programme

 "MS-Excel" und "MS-Word".

6. Name und Anschrift des für die Verarbeitung Verantwortlichen:

Verantwortlicher im Sinne der Datenschutzgrundverordnung, sonstiger in den Mitgliedstaaten der

Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist der:

7. Verantwortlicher in Verein:

 ist der geschäftsführende Vereinsvorstand, der den Verein nach außen vertritt (§ 26 Abs. 1 Satz 2

Bürgerliches Gesetzbuch, BGB), und nimmt für den Verein in Bezug auf die Verwaltung der Mitgliedsdaten die Aufgaben der verantwortlichen Stelle (§ 3 Abs. 7 BDSG) wahr.

Dem geschäftsführenden Vorstand obliegt die Datenschutzverantwortung, der Vereinsvorstand wird

vertreten durch den zweiten Vorstand.

8. Beauftragte des Vereins für die ständige Verarbeitung personenbezogener Daten:

1. Vorstand

2. Vorstand

1. Schriftführer(in)

Diese Personen sind durch den geschäftsführenden Vorstand zu belehren,

damit die personenbezogenen Daten vor der unbefugten Kenntnis Dritter geschützt sind.

8.1 Verpflichtung auf das Datengeheimnis:

Personen, die mit der Verarbeitung von personenbezogenen Daten betraut sind, sind schriftlich, mit ihrer Unterschrift, auf das Datengeheimnis zu verpflichten (§ 5 BDSG).4 Soweit Nichtmitglieder im Verein mit der Datenverarbeitung befasst sind, sind auch sie zu verpflichten.

9. Datenschutzbeauftragter:

Wenn mehr als neun Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind, ist durch den Verein ein Datenschutzbeauftragter zu bestellen (§ 4f BDSG). Da die gesetzliche Notwendigkeit für eine Bestellung für den Verein nicht vorliegt, ist ein Datenschutzbeauftragter bei der Kinderhilfe Honour Village Kambodscha  e.V. nicht bestellt.

10. Beitritt zum Verein und Datenerhebung:

Mit dem Beitritt eines Mitglieds zum Verein erfolgt eine datenschutzrechtliche Unterrichtung des Mitglieds gemäß Art. 13 Abs. 1 und Abs. 2 DSGVO. Der Verein darf beim Vereinseintritt im Aufnahmeantrag bzw. der Beitrittserklärung alle Daten erheben, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder erforderlich sind. Grundlage hierfür ist der Artikel 6 Abs.1 lit. b) DSGVO.

10.1. Mit dem Beitritt eines Mitglieds nimmt der Verein folgende personenbezogene Daten auf:

Vor- und Zuname

Anschrift (Straße, Hausnummer, PLZ, Wohnort)

Kommunikationsdaten (Telefon, Handy, E-Mail)

Geburtsdatum

Datum des Vereinseintritts

Bankverbindung

Einzugsermächtigung

11. Nutzung und Verarbeitung von personenbezogenen Daten:

 Für folgende Zwecke nutzt der Verein die Daten, die im Mitgliederantrag gemacht wurden:

- für Einladungen zu Versammlungen, Veranstaltungen

- für Info-Post des Vereins

- für Gratulationen bei runden Geburtstagen

- zur Erfüllung der vertragsgemäßen Pflicht des Mitglieds zur Beitragszahlung durch Lastschriftverfahren

- zur Kontaktaufnahme mit Mitgliedern per E-Mail, Telefon, Briefpost und persönlich

Für die Nutzung von personenbezogenen Daten als auch von Fotos und Videos im Rahmen der

Pressearbeit in den Print- und Online-Medien (Vereinshomepage, Social Media Plattform des Vereins, Tagespresse) wird bei Notwendigkeit eine separate Einwilligung erforderlich.

Sonstige Informationen und Informationen über Nichtmitglieder werden von dem Verein intern nur

erhoben und verarbeitet, wenn sie zur Erfüllung des Vereinszweckes nützlich sind und keine

Anhaltspunkte bestehen, dass die betroffene Person ein schutzwürdiges Interesse hat, das der

Verarbeitung entgegensteht.

11.1. Weitere Nutzung und Verarbeitung von personenbezogenen Daten

- zur Erstellung von Spendenquittungen werden Adressdaten der Spender erhoben. Eine Zweckbindung ist somit gegeben.

- Bei Annahme einer Patenschaft werden ebenfalls Adressdaten und Geburtsjahr erhoben.

11.2. Rechtmäßigkeit der Verarbeitung:

Die Verarbeitung personenbezogene Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

- Wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat, erfolgt die

Verarbeitung auf Grundlage des Art. 6 (1) lit. a DSGVO.

- Wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene

Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage

der betroffenen Person erfolgt, erfolgt die Verarbeitung auf Grundlage des Art. 6 (1) lit. b

DSGVO.

- Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der

Verantwortliche unterliegt, z.B. der Verpflichtung der Beitragszahlung, erfolgt die Verarbeitung

auf Grundlage des Art. 6 (1) lit. c DSGVO.

- Wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Vereins erforderlich ist,

sofern dadurch nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen

Person, die den Schutz personenbezogener Daten erfordern, überwiegen, erfolgt die Verarbeitung auf Grundlage des Art. 6 (1) lit. f DSGVO i.V.

12. Einwilligung zur Verarbeitung personenbezogener Daten:

Für den Umgang mit Mitgliedsdaten im Verein ist in der Regel der § 28 Abs. 1 Satz 1 Nr. 1 BDSG die

maßgebliche Rechtsgrundlage. Kann sich ein Verein für eine beabsichtigte Datenerhebung, Verarbeitung oder Nutzung nicht auf eine Rechtsgrundlage stützen, muss er die Einwilligung der betroffenen Mitglieder einholen. Die Voraussetzungen, die das BDSG an eine informierte Einwilligung stellt, ergeben sich aus dem § 4a BDSG. Die Einwilligung muss auf einer freien Entscheidung beruhen. Hierzu ist erforderlich, dass die betroffene Person zuvor ausreichend darüber informiert worden ist, welche Daten zu welchem Zweck vom Verein erhoben, gespeichert und genutzt werden bzw. an wen sie gegebenenfalls übermittelt werden sollen. Außerdem muss der betroffenen Person die Möglichkeit eingeräumt werden, die Einwilligung zu verweigern, ohne dass sie dadurch Nachteile befürchten muss.

- Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

- Die Einwilligung muss grundsätzlich schriftlich erfolgen.

Wenn sie zusammen mit anderen Erklärungen abgegeben wird, ist sie besonders hervorzuheben. In der Praxis werden erforderliche Einwilligungserklärungen in der Regel bereits beim Vereinsbeitritt eingeholt. In diesem Fall müssen diese abzugebenden Erklärungen klar von der Beitrittserklärung abgegrenzt sein (z. B. räumliche Trennung durch Absätze; Fett- oder Kursivdruck), damit für die Betroffenen klar erkennbar ist, dass sie weitere Erklärungen abgeben.

13. Rechte der Betroffenen nach Art. 15 bis 20 DSGVO:

- das Recht auf Auskunft

- das Recht auf Berichtigung

- das Recht auf Löschung

- das Recht auf Einschränkung der Verarbeitung

- das Recht auf Datenübertragbarkeit

- das Recht auf vergessen werden.

Außerdem steht Ihnen nach Art. 21 (1) DSGVO ein Widerspruchsrecht gegen die Verarbeitungen zu, die auf Art. 6 (1) a und f DSGVO beruhen.

Der Verarbeitung nach Art. 6 (1) a und f DSGVO kann jederzeit schriftlich widersprochen werden. Der

Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung. Bei

Widerspruch werden diese Daten des Betroffenen gelöscht. Das hat keinen Einfluss auf die

Mitgliedschaft im Verein.

14. Austritt aus dem Verein:

 Beim Austritt von Mitgliedern werden alle gespeicherten Daten gelöscht. Bei Ehrenmitgliedern oder

Mitgliedern mit besonderen Verdiensten zum Wohle des Vereins werden diese Daten Zwecks

Fortführung der Vereinschronik archiviert.

- Die archivierten Daten werden ebenfalls durch geeignete technische und organisatorische

Maßnahmen vor der Kenntnisnahme Dritter geschützt.

- Die archivierten Daten dürfen ebenfalls nur zu vereinsinternen Zwecken verwendet werden.

Personenbezogene Daten des austretenden Mitglieds, die die Kassenverwaltung des Vereins betreffen, werden gemäß den steuergesetzlichen Bestimmungen bis zu zehn Kalenderjahre ab der Wirksamkeit des Austritts durch den Verein aufbewahrt. Danach werden diese Daten gelöscht.

Dem austretenden Mitglied steht das Recht zu, der Archivierung seiner Daten beim Vorstand schriftlich zu widersprechen. Das hat allerdings zur Folge, dass eine Fortführung der Vereinschronik seiner Person betreffend nicht mehr gewährleistet werden kann.

15. Weitergabe von Mitgliederverzeichnissen an Vereinsmitglieder:

Mitgliederverzeichnisse werden nur an Vorstandsmitglieder und sonstige Mitglieder ausgehändigt, die im Verein nach Satzung oder Geschäftsordnung eine besondere Funktion ausüben, welche

die Kenntnis von Mitgliederdaten erfordert. Die Mitgliederverzeichnisse werden nur mit den Daten die für die Erfüllung der Funktion des Nutzers erforderlich sind (Datenminimierung) weitergegeben. Macht ein Mitglied geltend, dass er die Mitgliederliste zur Wahrnehmung seiner satzungsmäßigen Rechte benötigt, händigt der Vorstand die Liste nur gegen die schriftliche Versicherung (Verpflichtung auf das Datengeheimnis) aus, dass die Mitgliederdaten nicht zu anderen Zwecken verwendet und an unbefugte Dritte weitergegeben werden.

16. Kommunikation per E-Mail:

16.1. Grundsatz:

E-Mail-Adressen sind personenbezogene Daten gemäß § 3 Absatz 1 BDSG. Diese dürfen an Dritte nur

übermittelt werden, wenn entweder eine gesetzliche Grundlage oder die Einwilligung des Betroffenen besteht. Beides wird im Fall des offenen E-Mail-Verteilers in der Regel nicht gegeben sein. Werden die E-Mail-Adressen nun in der E-Mail offengelegt, handelt es sich um eine unbefugte Datenübermittlung. Da es sich beim E-Mail-Verkehr, auch vereinsintern, um eine automatisierte Datenverarbeitung handelt, muss die verantwortliche Stelle ein Verfahrensverzeichnis erstellen. Diese Aufgabe wird auf den geschäftsführenden Vorstand übertragen.

16.2. Verfahrensverzeichnis zum E-Mailversand:

- wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben, die

des Versenders und des Empfängers. Die Empfängeradresse kann also in "An:“ gesetzt werden.

- ist die E-Mail dagegen an eine Vielzahl von Empfängern gerichtet, sind die E-Mailadressen der

betroffenen Mitglieder ausschließlich in "BCC:“ (Blind Carbon Copy = nicht sichtbare Kopie) zu

setzen.

- liegt eine Zustimmung der betroffenen Mitglieder vor, wiederspricht nichts der Versendung und

Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler.

- vereinseigene E-Mail-Adressen, die mit @Kinderdorfkambodscha.de enden, können

ebenfalls in "An:" gesetzt werden, da eine private Mailadresse hierbei nicht erkennbar ist.

- der Mailversender garantiert gegenüber dem geschäftsführenden Vorstand die Einhaltung dieses

Verfahrensverzeichnisses. Bei gemeldeten Verstößen gegen die Rechtmäßigkeit der

Verarbeitung personenbezogenen Daten beim Mailversand ist der Versender für rechtliche

Folgen eigenverantwortlich.

17. Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde:

Die Vereinsmitglieder haben gemäß Art. 77 DSGVO das Recht, sich bei der Aufsichtsbehörde zu

beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht

rechtmäßig erfolgt.

Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LDA) bei der

Aufsichtsbehörde Bayern.

Eine Beschwerde kann online unter: https://www.lda.bayern.de/de/beschwerde.html

eingereicht werden.

Quellen:

--   LDA Bayern Datenschutz im Verein

--   Muster-Datenschutzerklärung Spielmannszug Rot-Weiß ´67 Duisdorf e.V.

--   Eigene Recherchen und Texte