Datenschutzordnung

1. Grundsätzliches

1.1. Gesetzliche Grundlagen

Im Verein werden personenbezogene Daten erhoben, verarbeitet und genutzt sowohl unter Verwendung von automatisierten Datenverarbeitungsanlagen als auch in manueller Dokumentation. Der Verein unterliegt damit den Anforderungen der geltenden EU-Datenschutz-Grundverordnung (DSGVO).

1.2 Zulässigkeit der Datennutzung

Eine Datennutzung ist nur zulässig, sofern es eine Vorschrift der DSGVO oder eine sonstigen Rechtsvorschrift erlaubt oder der Betroffene eingewilligt hat. Die Zulässigkeit der Datennutzung ergibt sich aus der DSGVO, Artikel 6 Ziffer 1 (b).

Die Nutzung weiterer personenbezogener Daten, die über die notwendigen Daten zur Vertragserfüllung hinausgehen, ist nur mit Einwilligung des Betroffenen zulässig (DSGVO Art. 6 Ziffer 1 (a) ). Die Einwilligung muss schriftlich erfolgen.

Hierzu wird in einer Datenschutzerklärung dargestellt, welche Daten der Verein zu welchem Zweck erhebt, welche Angaben freiwillig sind, welche Nachteile dem Betroffenen durch Nichtangabe entstehen können und in welchem Umfang die erhobenen Daten durch Funktionsträger des Vereins oder zur Übermittlung an Dritte genutzt werden.

Einwilligungen für die Datennutzung durch den Verein können durch den Betroffenen (Vereinsmitglied) widerrufen werden.

Einwilligungen können auch durch Kinder und Jugendliche erfolgen, sofern sie in der Lage sind, die Konsequenzen der Verwendung ihrer Daten zu verstehen. Sofern eine derartige Verständnisfähigkeit zu verneinen ist, muss für die Datennutzung die Einwilligung eines Sorgeberechtigten erfolgen.

2. Erhebung personenbezogener Daten durch den Verein

2.1 Erhebung von Daten der Vereinsmitglieder

Folgende Daten sind notwendige Daten zur Verfolgung der Vereinsziele und zur Betreuung und Verwaltung der Mitglieder:

  1. Mitgliedsnummer
  2. Name
  3. Anschrift
  4. Kommunikationsdaten
  5. Geburtsdatum und Geburtsort
  6. Geschlecht
  7. Mitgliedsstatus
  8. Brevetstufe
  9. Eintrittsdatum
  10. Bankverbindungsdaten

Die notwendigen Daten nach Buchstaben a – g sowie i werden gleichzeitig Daten des Verbands Deutscher Sporttaucher e.V. (VDST), dessen Mitgliedschaft die Person im Rahmen der Vereinsmitgliedschaft ebenfalls erwirbt.

2.1.1 Hinweis zu Kontodaten

Kontodaten werden, soweit ein SEPA-Lastschrift-Mandat erteilt wird, im Rahmen der Abrechnung von Beiträgen und Gebühren gespeichert. Der guten Ordnung halber weisen wir darauf hin, dass auch die Kontodaten von Vereinsmitgliedern, die nicht am Lastschriftverfahren teilnehmen, durch den Kontoauszug dem Verein bekannt werden und bei elektronischem Kontoauszug auch gespeichert werden.

2.2 Erhebung von Daten Dritter

Der Verein erhebt Daten von anderen Personen als von Vereinsmitgliedern (Lieferanten, Gästen, Teilnehmern an Veranstaltungen und Kursen) soweit dies für berechtigte Interessen des Vereins notwendig ist und keine besonderen Schutzbedürfnisse der Betroffenen bestehen. Bei Gästen beschränkt sich dies im Regelfall auf die Legitimation der Anwesenheit, also Identifizierung als Angehöriger eines Vereinsmitglieds oder sonstiger Interessent. Bei Teilnehmern an Veranstaltungen, welche letztlich dem Versicherungsschutz des Vereins unterliegen, erhebt der Verein notwendige und freiwillige Daten analog dem in Ziffer 2.1 beschriebenen Umfang und Verfahren.

2.3 Erhebung von Personaldaten der Funktionsträger des Vereins

Der Verein erhebt und nutzt personenbezogene Daten von Vorstandsmitgliedern, Übungsleitern, Kassenprüfern sowie weiteren Funktionsträgern des Vereins, soweit diese Daten für die Verwirklichung der Vereinsziele, die Betreuung von Mitgliedern sowie die Verwaltung des Vereins notwendig sind.

2.4 Erhebung von Daten von Besuchern des Internetauftrittes des Vereins

Im Rahmen der Abwehr von Angriffen auf die IT-Infrastruktur erhebt und speichert der Verein im Rahmen eines Zugriffsprotokolls direkt beim Provider der Homepage die IP-Adresse, Datum und Uhrzeit des Zugriffes sowie die URL, auf die zugegriffen wurde. Dies dient ausschließlich dazu, unberechtigte Zugriffe zu erkennen und durch geeignete Gegenmaßnahmen auszuschließen. Als unberechtigte Zugriffe werden insbesondere DDOS-Attacken, Zugriffsversuche auf geschützte Bereiche sowie Versuche der Übermittlung von Spam über Kontaktformulare oder Gästebuch bewertet. Die Zugriffsprotokolle werden nach 30 Tagen auf dem Server automatisch gelöscht. Eine Auswertung der erhobenen Daten findet nur statt, wenn sich anhand der Protokollierung ein Anfangsverdacht auf Versuch der missbräuchlichen Erlangung von personenbezogenen Daten ergibt.

2.5 Hinweispflicht

Bei der Erhebung personenbezogener Daten belehrt der Verein über die Zulässigkeit der Datennutzung nach Ziffer 1.2 dieser Datenschutzordnung.

3. Speicherung personenbezogener Daten

3.1 Technische und organisatorische Maßnahmen

Der Verein trifft Maßnahmen nach Stand der Technik, um die Sicherheit personenbezogener Daten in automatisierten Datenverarbeitungssystemen sowie manuellen Dokumenten zu gewährleisten.

Hierzu gehören:

  • Zugangskontrolle und Beschränkung zu den Datenverarbeitungssystemen (online / offline) über Benutzername und Passwort
  • verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare (https://)
  • verschlüsselte Übertragung bei der Bearbeitung, Speicherung und Nutzung in einem Online-Datenverarbeitungssystem (https://)
  • verschlüsselte Kommunikation über Mail-Accounts des Vereins (SSL/TLS)
  • Zugangskontrolle und Beschränkung zu manuellen Dokumenten
  • Versand von E-Mails an mehrere Empfänger grundsätzlich nur über eine Mailingliste oder „bcc“ (=Blind Carbon Copy)

3.2 Datenverarbeitung im Auftrag

Der Verein schließt mit dem Betreiber des Servers, auf dem das Datenverarbeitungssystem des Vereins installiert sowie die Datenbank gespeichert wird, einen Vertrag zur Auftragsdatenverarbeitung ab. Betroffene haben das Recht, den Inhalt des Vertrages einzusehen.

4. Nutzung personenbezogener Daten

4.1 Nutzung von Mitgliederdaten

Der Verein erhebt Daten ausschließlich für den Zweck der Verfolgung eigener Vereinsziele und zur Mitgliederbetreuung und Verwaltung.

4.2 Nutzung von Daten Dritter

Daten Dritter werden ausschließlich genutzt, soweit dies für die Verfolgung eigener Vereinsziele notwendig ist. Hierbei beschränkt sich die Nutzung auf diejenigen Zwecke, für die der Verein Daten erhoben oder erhalten hat.

4.3 Nutzung der Daten des Vereins für Spendenaufrufe und Werbung

Der Verein nutzt die Daten seiner Vereinsmitglieder nur für Spendenaufrufe und Werbung zur Erreichung der eigenen Ziele des Vereins.

5. Verarbeitung personenbezogener Daten und Übermittlung

5.1. Verarbeitung personenbezogener Daten

Der Verein verarbeitet personenbezogenen Daten, um mit seinen Mitgliedern zu kommunizieren oder mitgliedsrelevante Vorgänge vorzubereiten oder abzuwickeln oder seine Mitglieder über Neuerungen zu informieren. In diesem Zusammenhang fällt eine Vielzahl von Verarbeitungstätigkeiten an die nachfolgend aufgeführt werden:

  • Speicherung und Verwaltung der Mitgliederdaten
  • Einzug von Beiträgen per SEPA-Mandat
  • Einzug für Sonderleistungen (z.B. Ausbildung, Vereinsfahrten)
  • Versand von Rechnungen (Beiträge, Sonderleistungen)
  • Versand der Verbandszeitschrift (durch den VDST)
  • Betrieb einer Vereins-Webseite mit Kontaktformular und Online-Buchungssystem für Kurse
  • Betrieb mehrerer Mailinglisten u.a. zum Versand von Einladungen zu Vereinsversammlungen und Veranstaltungen
  • Ausstellung von Teilnahme- und Kursbescheinigungen
  • Weitergabe von Mitgliederlisten an Vorstandsmitglieder (verschlüsselt)
  • Meldung der Mitglieder-Daten an den VDST und an die Landesverbände

5.2 Datenübermittlung an Vereinsmitglieder

Vereinsmitglieder haben, mit Ausnahme der Funktionsträger des Vereins, keinen Zugriff auf die personenbezogenen Daten anderer Mitglieder. Soweit im Einzelfall für die Organisation von Veranstaltungen notwendig, können jedoch Kontaktdaten in notwendigem Umfang an einzelne Mitglieder herausgegeben werden, ohne dass diese Funktionsträger sind, soweit die jeweils Betroffenen dem zustimmen. Ebenso werden Daten von Mitgliedern in einer Kontaktliste gespeichert und diese den Vereinsmitgliedern zur Verfügung gestellt, sofern die einzelnen Mitglieder diesem explizit zugestimmt haben.

5.3 Mitteilungen in Vereinspublikationen

Die Offenbarung personenbezogener Daten in Vereinspublikationen beschränkt sich auf die Bekanntgabe der dienstlichen Erreichbarkeiten von Funktionsträgern.

5.4 Datenübermittlung an Dachverbände und andere Vereine

Personenbezogene Daten der eigenen Mitglieder dürfen an andere Vereine nur übermittelt werden, soweit diese dort benötigt werden, um die Vereinsziele des eigenen Vereins oder des anderen Vereins zu verwirklichen, beispielsweise bei der Teilnahme von Vereinsmitgliedern an Veranstaltungen anderer Vereine. Im Rahmen der Mitgliedschaft des Vereins im Landessportbund sowie im Verband Deutscher Sporttaucher werden notwendige personenbezogene Daten nach Ziffer 2.1 dieser Ordnung übermittelt zur Wahrung des Versicherungsschutzes für die Vereinsmitglieder sowie zur Erlangung von Zuwendungen zur Verwirklichung des Vereinszwecks.

5.5 Datenübermittlung an Sponsoren und Firmen zu Werbezwecken

Eine Datenübermittlung an Sponsoren und Firmen zu Werbezwecken findet nicht statt. Über Ausnahmen entscheidet die Mitgliederversammlung, beispielsweise im Rahmen einer Abstimmung über den Abschluss eines Gruppenversicherungsvertrages.

5.6 Veröffentlichungen im Internet

Im Internet (Homepage & soziale Netzwerke) wird von Funktionsträgern der Vor- und Zuname sowie die jeweilige Funktions-Mailadresse veröffentlicht. Weitergehende personenbezogene Daten (Vita) der Funktionsträger werden nur mit ausdrücklicher Genehmigung im Internet veröffentlicht.

Bei Teilnahme von Vereinsmitgliedern an öffentlichen Veranstaltungen können die Namen der Teilnehmer bekanntgegeben werden. Eine Bild-Veröffentlichung ist nur nach vorheriger Genehmigung oder im Rahmen von Gruppenfotos von Veranstaltungen unter Bezug auf das Grundsatzurteil des BGH vom 28.05.2013 (Az.: VI ZR 125/12) möglich:

„Die Veröffentlichung von Foto- und Videoaufnahmen bei Sportveranstaltungen sind zulässig, wenn durch ihre Verbreitung keine berechtigten Interessen der Darbietenden verletzt werden. Da sich die Teilnehmenden an sportlichen Wettkämpfen auf Foto- und Videoaufnahmen während des Wettbewerbs einstellen müssen, kommt es hierbei nicht auf die Anwesenheit eines Pressefotografen, die Anzahl der Teilnehmer oder die Dauer des Wettkampfes oder Turniers an.“

5.7 Veröffentlichungen im Intranet

Innerhalb des Internetauftrittes des Vereins wird zur Veröffentlichung von vereinsinternen Mitteilungen eine vereinsinterne Mailingliste genutzt.

5.8 Personenbezogene Auskünfte an die Presse und andere Massenmedien

Pressemitteilungen und Auskünfte gehören zur normalen Öffentlichkeitsarbeit eines Vereins. Personenbezogene Daten werden in diesem Rahmen nur dann veröffentlicht, wenn es sich um einen Bericht über eine sowieso öffentliche Veranstaltung handelt und schutzwürdige Interesse der Mitglieder dem nicht entgegenstehen.

5.10 Übermittlung an Gemeindeverwaltungen

Verlangen Gemeindeverwaltungen im Rahmen der Nachweisführung der ordnungsgemäßen Verwendung von Zuwendungen die Vorlage von Listen mit Namen der Betroffenen, ist der Verein zur Übermittlung entsprechender notwendiger Daten berechtigt.

5.11 Datenübermittlung an die Versicherung

Anfragen einer Versicherung werden ausschließlich im Rahmen der Schadensabwicklung in notwendigem Umfang beantwortet. Vor Auskunftserteilung wird das Mitglied hierzu angehört.

5.12 Kreis der Zugriffsberechtigten auf Daten

Die Mitglieder des Vorstandes und der Verantwortliche für die Datenverarbeitung erhalten Vollzugriff auf die persönlichen Daten inklusive der Ergänzung, Änderung und Löschung von Daten.

Der Verantwortliche für die Buchführung erhält Zugriff auf die Adressdaten sowie die für die Beitragsberechnung erforderlichen Daten wie Zugehörigkeit zu bestimmten Beitragsrollen. Der Zugriff beinhaltet eine Schreibberechtigung für Daten zur Beitragszahlung.

Die Übungsleiter erhalten Lesezugriff auf die Adressdaten aller Mitglieder, die erfasste Notfallrufnummer bei Minderjährigen sowie die Angaben zu körperlichen Beeinträchtigungen oder Allergien.

6. Berichtigung, Löschung und Sperrung personenbezogener Daten

6.1 Umsetzung rechtlicher Vorgaben

Das Verfahren zur Berichtigung, Löschung und Sperrung von Daten richtet sich nach Art. 16 und 17 EU-DSGVO.
Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind. Personenbezogene Daten müssen gelöscht werden, wenn:

  • ihre Speicherung unzulässig ist
  • der Betroffene aus dem Verein ausgeschieden ist, seit dem Ausscheiden mindestens ein Jahr vergangen und die Kenntnis der Daten zur Verfolgung des Zwecks der Speicherung nicht mehr notwendig ist
  • der Betroffene dies verlangt.

Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewahrungsfristen gelten. Dies betrifft in nicht abschließender Aufzählung: Geschäftsbriefe, Buchungsbelege und Verwendungsnachweise in Zusammenhang mit öffentlicher Förderung. Gleiches trifft zu, wenn die personenbezogenen Daten Bestandteil rechtlicher Ansprüche für oder gegen den Verein sind.

Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.

Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach Ziffer 5.6 dieser Ordnung veröffentlicht wurden, wird der Verein unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen).

Beim Ausscheiden oder Wechseln von Funktionsträgern sind diese verpflichtet, sämtliche Mitgliederdaten entweder ordnungsgemäß zu löschen oder an einen anderen Funktionsträger des Vereins zu übergeben. Zugriffsberechtigungen der bisherigen Funktionsträger sind zu löschen.

6.2 Technische Beschreibung der Datenlöschung

Personenbezogene Daten in automatisierten Datenverarbeitungssystemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Da zur Aufrechterhaltung der Datenintegrität und Datensicherheit jedoch von der Datenbank nach Ziffer 3 dieser Ordnung Sicherheitskopien gefertigt werden, setzt der Verein die sichere Löschung von personenbezogenen Daten wie folgt um:

  • Sicherungskopien der Datenbank werden spätestens 3 Jahre nach Erstellung der Sicherung durch mehrfaches Überschreiben sicher gelöscht.
  • einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.
  • E-Mails, die personenbezogene Daten enthalten, werden durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.
  • Datenträger des Vereins, auf denen personenbezogene Daten gespeichert wurden, werden durch mehrfaches Überschreiben des gesamten Datenträgers sicher gelöscht, bevor eine Weitergabe an Dritte oder Entsorgung erfolgt.
  • manuell erfasste oder dokumentierte personenbezogene Daten in Papierform werden zur Erfüllung der Anforderungen der DSGVO gemäß der Sicherheitsstufe 3 nach DIN 66399 (Partikelschnitt max. 4 mm Breite auf max. 60 mm Partikellänge) vernichtet.

7. Organisatorisches

7.1 Bestellung eines Datenschutzbeauftragten

Nach Prüfung des gesetzlichen Grundlagen (DSGVO) stellt der Verein fest, dass:

  • weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
  • die notwendigen Daten zur Mitgliederverwaltung (Name, Anschrift, Geburtsdatum, Geschlecht) keine „sensiblen Daten“ enthalten
  • „sensible Daten“ nur aufgrund vorheriger Einverständniserklärung der Mitglieder freiwillig erfasst werden
  • personenbezogene Daten nicht zum Zweck geschäftsmäßiger Übermittlung dienen (Datenhandel).

Somit liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Der Vereinsvorstand kümmert sich daher selbst um die Einhaltung des Datenschutzes durch den Verein.

7.2 Verpflichtung auf Wahrung des Datengeheimnisses

Alle Personen, die Zugang zu Mitgliederdaten haben, werden schriftlich auf die Wahrung des Datengeheimnisses verpflichtet.

7.3 schriftliche Regelung zum Datenschutz und Veröffentlichung

Die Grundzüge der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten werden durch diese Datenschutzordnung geregelt. Sie tritt durch Beschluss der Mitgliederversammlung in Kraft und wird auf der Homepage des Vereins veröffentlicht.

7.4 Inkrafttreten

Vorstehende Datenschutzordnung wurde durch die Mitgliederversammlung des VilleTaucher e.V. am 27.01.2019 beschlossen und ist mit Veröffentlichung in Kraft getreten.

 

DESIGN BY WEB-KOMP