Datenschutzerklärung

Name und Anschrift des Verantwortlichen

Vereins für Orts- und Heimatkunde Wesseling e.V.
Auf dem Sonnenberg 22
50389 Wesseling

E-Mail: info@heimatverein-wesseling.de
Website: www.heimatverein-wesseling.de

Geltung

Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG). (Quelle: www.vereinsknowhow.de, falls andere Quellen zutreffen, wird dies explizit im entsprechenden Abschnitt angegeben)

Die neuen Regelungen gelten nicht nur für „Unternehmen“ (Art. 4 Nr. 18 DS-GVO), sondern für alle natürlichen und juristischen Personen – auch für Vereine.

Die meisten der geltenden Vorschriften sind aber nicht neu, sondern ergaben sich schon bisher aus dem BDSG, d.h. grundsätzlich hat sich im verantwortungsvollen und diskreten und sicheren Umgang mit den Mitgliederdaten nichts geändert.

Im weiteren fügen wir zur Verdeutlichung die einzelnen Daten und die Verarbeitungsprozesse und die Regeln der Verarbeitung an.

Folgende Daten werden geschützt

Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder,  daneben aber auch Spender.

Es werden Name und Anschrift, Geburtsdatum, Eintrittsdatum, Bankverbindung u.ä.

Die Art der Erfassung (digital oder auf Papier) spielt hierbei keine Rolle. Die Daten werden in unserem Fall auf nicht geteilter Datenplatte und Liste gespeichert. Die Daten auf der Platte sind mit Passwort geschützt. Der Datenschutz bezieht sich auf das Erheben, Verarbeiten (Speichern,
Verändern, Übermitteln, Sperren und Löschen) und Nutzen (jede Verwendung) von Daten.

Erlaubnis

In vielen Fällen müssen die Betroffenen die Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Das ist nicht erforderlich, wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden müssen. Bei Vereinen ist diese vertragliche Beziehung die Mitgliedschaft. Hieraus folgt, dass die Daten für die Mitgliederverwaltung verwendet  werden dürfen. Der Verein besitzt darüberhinaus eine Datenschutzerklärung, die die Mitglieder
unterschreiben.

Das gleiche gilt, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Das gilt z.B. für Spender.

Zuständigkeit

Zuständig für den zum Schutz personenbezogener Daten ist der Vorstand.

Im Verein sind weniger als 10 Personen mit der Datenverarbeitung beschäftigt, somit ist ein Datenschutzbeauftragter (darf nicht im Vorstand sein) nicht notwendig.

Die Personen, die mit der Datenverarbeitung befasst sind, werden auf das Datengeheimnis verpflichtet. Ein entsprechendes Merkblatt ist per Unterschrift zu bestätigen.

Umgang mit Daten

Der Verein benutzt die von ihm gesammelten Daten nur im Rahmen des BDSG oder einer anderen Rechtsvorschrift. Die Datenschutzbestimmungen werden nicht per Satzung eingeschränkt.

Das Erheben, Speichern, Ändern oder Übermitteln personenbezogener Daten oder ihre Nutzung ist nur zulässig, wenn dies für die Erfüllung des Vereinszweckes erforderlich ist. Das gilt insbesondere für Anschrift und Bankdaten der Mitglieder.

Nach § 4 Abs. 3 BDSG muss der Betroffene über die folgende Umstände informiert werden:

  • die Identität der verantwortlichen Stelle (= der Verein)
  • die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
  • über die Empfänger, soweit die Daten weitergeleitet werden und er nicht mit einer Übermittlung zu rechnen hatte.

Es wird schon beim Vereinsbeitritt eine entsprechende Einverständniserklärung eingeholt.

Übermittlung von Daten

Teilweise muss der Verein Daten von Mitgliedern weitergeben. Ob das zulässig ist, hängt vom Einzelfall ab:

  • Weitergabe an andere Mitglieder: i.d.R. nur im Sonderfall; das ist vor allem das Minderheitenbegehren nach § 37 BGB
  • Veröffentlichung im Internet: Hier wird besondere Zurückhaltung eingehalten. Die Veröffentlichung personenbezogener Daten durch einen Verein im Internet ist grundsätzlich
    unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat.
  • Persönliche Nachrichten, wie z.B. zu Spenden, Geburtstagen und Jubiläen sind in der Regel unproblematisch. Das Mitglied kann dem aber widersprechen.
  • Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder eMail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an
    Dritte weitergegeben. Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich. Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor. Quelle: eRecht24.

Widerspruchs- und Auskunftsrecht

Grundsätzlich darf der Verein keine personenbezogenen Daten erheben, speichern oder weitergeben, wenn er nicht über eine Einwilligung verfügt oder eine entsprechende Rechtsgrundlage besteht. Diese Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Es können aber in diesem Fall andere Erlaubnistatbestände vorliegen.

Zentraler Punkt des Datenschutzes ist zudem das Recht des Betroffenen auf Auskunft. Er muss darüber informiert werden, in welchem Umfang Daten von ihm gespeichert sind. Dieses Auskunftsrecht ist in Artikel 15 der DS-GVO zweistufig ausgestaltet. Danach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob (= 1. Stufe) überhaupt Daten verarbeitet werden. Ist dies der Fall, hat die Person ein Recht auf Auskunft über diese personenbezogenen Daten (= 2. Stufe).

Hier besteht auch das Recht auf unentgeltliche Überlassung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Wenn das Mitglied feststellt, dass die gespeicherten Daten nicht korrekt sind, hat es ein Recht auf Berichtigung  beispielsweise Namensänderung).

Die Mitglieder haben in den folgenden Fällen ein Recht auf Vergessen (d.h. die Löschung der Daten):

  • Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Eine weiteres Recht der Mitglieder und betroffenen Personen und damit eine Verpflichtung für den Verein besteht in der Benachrichtigungspflicht des Vereins bei der Verletzung Datenschutz-rechtlicher Verpflichtungen. Diese Verpflichtung besteht nur dann nicht, wenn der Verein im Vorfeld die geeigneten technischen und organisatorischen Maßnahmen ergriffen hat.

Beispiel: Es wurde in die Geschäftsstelle eingebrochen und der Computer mit den Mitgliederdaten wurde gestohlen. Die Benachrichtigungspflicht entfällt, wenn der Computer mit einem Passwort geschützt war und die Daten verschlüsselt waren.

Datenübertragbarkeit

Neu ist in der DS-GVO das Recht auf Datenübertragbarkeit (Art. 20). Die betroffene Person hat danach das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verein bereitgestellt hat, in einem gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf
Datenübertragbarkeit beinhaltet, dass diese Daten beispielsweise einem anderen Verein übermittelt werden.

Verzeichnis der Verarbeitungstätigkeiten

Die DS-GVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Das gilt auch für kleinere Vereine, da die Datenverarbeitung nicht nur gelegentlich erfolgt (Art. 30 Abs. 5 DS-GVO). Es muss folgende Punkte umfassen:

  • Namen und Kontaktdaten des Verantwortlichen: Name und Anschrift des Vereins
  • Ansprechpartner: Vorstandsvorsitzender und evtl. Datenschutzbeauftragter
  • Verarbeitungstätigkeiten: in jedem Fall „Mitgliederverwaltung“; evtl. weitere Zwecke z.B.“Betreuungsleistungen“ (Kindergartenverein)
  • Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten: z.B. „Mitglieder“, „betreute Personen“ usf. Die Kategorien der Daten ergeben sich aus den Daten selbst (Anschrift, Geburtsdatum, Bankdaten etc.)
  • Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt werden, z.B. Verbände, Versicherungsgesellschaften, Sozialversicherungsträger usf.
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien, z.B. Aufbewahrungsfrist für Zuwendungsbestätigungen. In der vom Mitglied zu unterschreibenden Datenschutzerklärung wird der Verarbeitungsnachweis aufgenommen.

Auftragsverarbeitung

Externe Dienstleister mit denen der Verein zusammenarbeitet, bezeichnet die DS-GVO Auftrags-verarbeiter“. Der Verein hält folgende Punkte hierbei ein:

  • eine sorgfältige Auswahl des Dienstleiters („Auftragverarbeiters“)
  • In eine entsprechende vertragliche Vereinbarung sollten Regelungen zum Datenschutz aufgenommen werden.
  • Kontrolle: Der Auftragsverarbeiter sollte seine Datenschutzmaßnahmen (am besten vertraglich) darstellen. Eventuelle Kontrolle seitens des Vereins wird durchgeführt.
  • Beendigung des Vertrages: Eventuell werden Unterlagen zurückgefordert oder Löschungen von Daten eingefordert.