Datenschutzrichtlinie nach DSGVO

 

Grundlage des Konzeptes ist die EU-Datenschutzgrundverordnung in der Fassung
vom 25.05.2018.

Verantwortlich zur Einhaltung der Datenschutzrichtlinien im Verein ist der
geschäftsführende Vorstand:
- der Ordensmeister (Thomas Laubenstein)
- der Ordenskanzler (Klaus-Peter Mungenast)
- der Secretarius (Deger Dereli)
- der Säckelmeister (Hans-Jürgen Herbertz)

Sinn der DSGVO ist die Einhaltung der Datenschutzrechte der Mitglieder.
Zunächst wird festgehalten, wer im Verein Zugriff auf persönliche Daten der

Mitglieder hat und in welchem Umfang:
- Der Ordensmeister: Zugriff auf alle Daten zum Zwecke der Führung des
Vereins, auch auf die Bankdaten in seiner Eigenschaft als Vertreter für den
Säckelmeister
- Der Ordenskanzler: Zugriff auf alle Daten mit Ausnahme der Bankdaten zum
Zwecke der Führung des Vereins und in der Eigenschaft als Vertreter für den
Ordensmeister
- Der Secretarius: Zugriff auf alle Daten zum Zwecke der Dokumentation, der
Führung der Protokolle und Verwahrung der Beitrittserklärungen
- Der Säckelmeister: Zugriff auf alle Daten des Vereins zum Zwecke der
Kassenführung und der Mitgliederverwaltung
- Der Webmaster: Zugriff auf alle Daten, die ihm im Zusammenhang mit der
Administration des Internetauftritts zugänglich werden.
Die genannten Personen erklären mit einer separaten Verpflichtungserklärung die
Einhaltung der Datenschutzrichtlinien und die Geheimhaltung der
personenbezogenen Daten.

Ein Datenschutzbeauftragter im Verein ist wegen der eingeschränkten Anzahl der
zugriffsberechtigten Personen nicht erforderlich!
Nachstehend die wichtigsten Grundsätze nach der
DSGVO, die den Verein betreffen:

Art. 1 DSGVO Gegenstand und Ziele
(Auszug der für den Verein wichtigen Ausführungen)
1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen
und insbesondere deren Recht auf Schutz personenbezogener Daten.

Art. 5 DSGVO Grundsätze für die Verarbeitung
personenbezogener Daten
1. Personenbezogene Daten müssen
1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene
Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit,
Verarbeitung nach Treu und Glauben, Transparenz“);
2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen
nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise
weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse
liegende Archivzwecke, für wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz
1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind
alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten,
die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich
gelöscht oder berichtigt werden („Richtigkeit“);
5. in einer Form gespeichert werden, die die Identifizierung der betroffenen
Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie
verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger
gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der
Durchführung geeigneter technischer und organisatorischer Maßnahmen, die
von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen
Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende
Archivzwecke oder für wissenschaftliche und historische Forschungszwecke
oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden
(„Speicherbegrenzung“);
6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor
unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch
geeignete technische und organisatorische Maßnahmen („Integrität und
Vertraulichkeit“);
2. Die Verantwortlichen sind für die Einhaltung des Absatzes 1 verantwortlich
und müssen dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
 (Auszug der für den Verein wichtigen Ausführungen)
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden
Bedingungen erfüllt ist:
1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie
betreffenden personenbezogenen Daten für einen oder mehrere bestimmte
Zwecke gegeben;
2. Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei
die betroffene Person ist, erforderlich.
3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
der der Verein unterliegt.
4. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Vereins
erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen
Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Umfang der gespeicherten personenbezogenen Daten
Mit dem Antrag zur Mitgliedschaft erfolgt eine datenschutzrechtliche Unterrichtung
des neuen Mitglieds (Info über Speicherung persönlicher Daten) und die Mitglieder
erteilen ihre Einwilligung zur Datenverarbeitung folgender Daten:
- Vor- und Nachname
- Adresse, Telefon, E-Mail-Adresse
- Geburtstag (freiwillig)
- Berichte über Ehrungen und Geburtstage
- Fotos und Videos
- Die Funktion im Verein
- Die Teilnahme an Vereinsveranstaltungen
- IBAN und BIC (nur für den Bankeinzug der Beiträge)
Die Verarbeitung und Nutzung personenbezogener Daten erfolgt im Verein nach den
Richtlinien der EU-weiten Datenschutzgrundverordnung /DSGVO) für folgende
Zwecke:
- Zur Erfüllung des Vereinszwecks und der Information über die Vereinstätigkeit
- Zur ordnungsgemäßen Mitgliederverwaltung
- Zum Einzug der Mitgliedsbeiträge
- Für Öffentlichkeitsarbeit und Außendarstellung in der Presse oder auf der
Homepage des Vereins.
Sonstige Informationen z.B. über Nichtmitglieder werden vom Verein intern nur
erhoben und verarbeitet, wenn sie zur Erfüllung des Vereinszwecks nützlich sind und
keine Anhaltspunkte bestehen, dass die betroffene Person ein schutzwürdiges
Interesse hat, das der Verarbeitung entgegen steht.

Weitergabe von Mitgliederdaten an Vereinsmitglieder

Der Vorstand macht besondere Ereignisse des Vereinslebens, insbesondere
Ehrungen sowie Feierlichkeiten bekannt. Dabei können personenbezogene
Mitgliederdaten veröffentlicht werden. Zur Erleichterung der allgemeinen
Kommunikation auch unter den Mitgliedern, verteilt der Verein regelmäßig Listen mit
allen Mitgliedern, die den Namen, ein Foto, die Adresse, die Telefonnummern und die
E-Mailadressen enthält. Das einzelne Mitglied kann jederzeit gegenüber dem
Vorstand einer solchen Veröffentlichung widersprechen.

Gründe für die Zulässigkeit der Datenverarbeitung gem. Art.6 DSGVO
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie
betreffenden personenbezogenen Daten für einen oder mehrere bestimmte
Zwecke gegeben.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Vereins
erforderlich.

Die 8 wesentlichen Datenschutzrechte
unserer Mitglieder im Überblick

Interessenten für eine Mitgliedschaft und die Mitglieder des Vereins haben
aufgrund der DSGVO acht wesentliche Rechte im Hinblick auf
den Datenschutz:

1. Das Recht auf Zugang zu Informationen
Das bedeutet für den Verein: Alle Personen haben das Recht, auf ihre
eigenen personenbezogenen Daten zuzugreifen. Weiter haben sie einen
Anspruch darauf, zu erfahren, wie der Verein diese Daten verwendet. Auf
Wunsch muss der Verein eine Kopie der personenbezogenen Daten
kostenlos elektronisch zur Verfügung stellen.
2. Das Recht auf Vergessenwerden
Das bedeutet für unseren Verein: Mitglieder habeneinen Anspruch darauf,
vergessen zu werden. Das gilt insbesondere beim Ende der Mitgliedschaft
oder wenn dem Verein die weitere Nutzung der Daten untersagt wird. Das
bedeutet auch, dass wir Dritte, an die wir Daten übermittelt haben, informieren
müssen, wenn wir unrichtige Daten berichtigt haben, bestrittene Daten
gesperrt haben, unzulässig erhobene Daten gesperrt haben. Hiervon betroffen
sind etwa Daten, die wir an Dachverbände weitergegeben haben. Die
(Ex-)Mitglieder haben den Anspruch auf Information von Dachverbänden
usw. nicht, wenn die Information einen unverhältnismäßig hohen Aufwand
erfordert und schutzwürdige Interessen der unterlassenen Information nicht
entgegenstehen.
Es gibt jedoch einige Fälle, in denen wir die Daten nicht löschen müssen. Die
Details ergeben sich aus Art. 17 der DSGVO. Besonders wichtig ist, dass wir
Daten nicht löschen müssen, wenn wir zu deren Aufbewahrung aus z.B. aus
steuerlichen Gründen verpflichtet sind.
3. Das Recht auf Portabilität der Daten
das bedeutet für den Verein: Insbesondere bei Service-Anbietern wird die
Übertragbarkeit von Daten wichtig. Die Übertragung der Daten erfolgt in einem
üblichen maschinenlesbaren Format. (z.B. beim Bankeinzug)
4. Das Recht auf Information und Freigabe
Das bedeutet für den Verein: Bevor der Verein Daten sammelt, müssen die
Betroffenen darüber informiert werden. Diese müssen der Erfassung der
Daten in der Regel ausdrücklich zustimmen, wenn es keine andere
Rechtsgrundlage für die Datenverarbeitung gibt. Ein stillschweigendes
Einverständnis reicht nicht. Es muss sichergestellt sein, dass das eingeholte
Einverständnis dokumentiert und gespeichert wird. Das Einverständnis erfolgt
in der Regel mit der Beitrittserklärung!
5. Das Recht auf Berichtigung falscher Daten
Das bedeutet für den Verein: Wie bisher gibt es einen Berichtigungsanspruch,
wenn Daten veraltet, unvollständig oder falsch sind.
6. Das Recht auf Einschränkung der Datennutzung
Das bedeutet für den Verein: Einzelpersonen dürfen in bestimmten Fällen
verlangen, dass ihre persönlichen Daten nicht weiterverarbeitet werden. Sie
dürfen diese dann zwar weiter speichern, im Ergebnis aber nicht verwenden.
7. Das Einspruchsrecht
Hintergrund sind die Methoden im Direktmarketing. (Für den Verein eher nicht
üblich.) Direktmarketing wird von vielen als besonders störend empfunden.
Deshalb dürfen Einzelpersonen Einspruch gegen die Verwendung ihrer Daten
für direktes Marketing einlegen. Hierüber müssen wir bei der Erhebung der
Daten informieren. Sobald die Betroffenen Einspruch eingelegt haben, dürfen
die Daten nicht mehr verwendet werden.
8. Der Anspruch auf Benachrichtigung
Kommt es zu einem Problem mit der Datensicherheit, das personenbezogene
Daten betrifft (z.B. Klau von Bankdaten) muss der Verein die Betroffenen
innerhalb von 72 Stunden informieren.
Das bedeutet, dass:
- Der Verein im eigenen Interesse die Datensicherheit optimieren muss.
- Der Verein Maßnahmen einrichten muss, damit Probleme
bei der Datensicherheit erkannt werden
- Der Verein Prozesse definieren muss, um im Falle eines Falles innerhalb von
72 Stunden zu informieren.
„Besonderes“ Widerspruchsrecht des Mitglieds gem. Art. 21
Für die Datenverarbeitung gibt es aus berechtigtem Interesse ausdrücklich ein
besonderes Widerspruchsrecht in Art. 21 DSGVO.
Betroffene haben jederzeit das Recht, Widersprüche gegen die Verarbeitung sie
betreffender personenbezogener Daten einzulegen. Der Verein muss dann die
Verarbeitung der Daten sofort einstellen.
„Besondere Situation“ bedeutet, dass der Betroffene auch mündlich Gründe darlegen
kann, die ihm die Verarbeitung von Daten über seine Person unzumutbar macht.
Der Wunsch generell nicht in Datenbanken und Ähnlichem erfasst zu werden, reicht
dafür aber nicht aus.
Das Widerspruchsrecht besteht nicht, wenn der Verein zwingende schutzwürdige
Gründe für die Datenverarbeitung nachweisen kann, die die Interessen, Rechte und
Freiheiten der betroffenen Person überwiegen.
Das Mitglied muss über das Widerspruchsrecht aufgeklärt werden (i.d.R. im
Aufnahmeantrag bei der Einwilligung zur Datenverarbeitung)
Das Widerspruchsrecht kann elektronisch per Mail, über die Webseite oder schriftlich
gegenüber dem Vorstand erklärt werden.
Sobald der Widerspruch eingegangen ist, ist der Verein verpflichtet den
entsprechenden Datensatz zu sperren, bis überprüft wurde, ob eine Ausnahme
besteht. Liegt eine solche Ausnahme nicht vor, muss der Verein den Datensatz nach
Ende der Prüfung löschen.

Einwilligung zur Datenverarbeitung

Die Einwilligung durch das Mitglied erfolgt in der Regel schriftlich auf dem
Mitgliedsantrag oder auf einer separaten Datenverarbeitungsrichtlinie.
Die Einwilligung kann auch per E-Mail, durch aktives Betätigen einer Checkbox (auf
der Webseite des Vereins) und in Ausnahmefällen mündlich erfolgen.

Löschung der Daten

In diesen Fällen müssen Daten gelöscht werden:
- Wenn Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt
werden.
- Wenn die für die Datenverarbeitung notwendige Einwilligung widerrufen
wurde.
- Wenn ein Widerruf gem. Art. 21 DSGVO vorliegt
- Wenn ein Mitglied verlangt, dass seine Daten gelöscht werden, prüft der
Mitgliedsbeauftragte (hier der Säckelmeister), ob Ausnahmebestände
bestehen.
- Der Mitgliedsbeauftragte informiert alle mit der Datenverarbeitung berechtigen
Mitglieder über den Löschungsantrag und weist die Löschung der Daten an.

Löschungskonzept

Wenn aus einem der o.g. Gründe eine Löschung der Daten erfolgen muss, so ist
folgende Vorgehensweise erforderlich:
- Genaue Prüfung des Antrags
- Dokumentation des Löschungsantrages
- Prüfung der Identität des Antragstellers
- Prüfung, wo personenbezogene Daten im Verein gespeichert sind.
- Information der Datenempfänger
- Klären, für welche personenbezogenen Daten Aufbewahrungsfristen
bestehen.
- Löschung durchführen
- Verfassen eines Antwortschreibens an den Betroffenen
Beim Austritt von Mitgliedern werden alle gespeicherten Daten archiviert. Die
archivierten Daten werden vor Kenntnisnahme Dritter geschützt. Die archivierten
Daten dürfen nur zu vereinsinternen Zwecken verwendet werden.
Personenbezogene Daten des austretenden Mitglieds, die die Kassenverwaltung des
Vereins betreffen, werden gem. den steuergesetzlichen Bestimmungen bis zu 10
Jahre nach dem Austritt aufbewahrt.

Benachrichtigungspflichten bei Datenpannen

Bei einer Datenschutzverletzung informiert der Mitgliedsbeauftrage das betroffene
Mitglied umgehend (i.d.R. innerhalb von 72 Stunden), sobald er von der Datenpanne
Kenntnis erlangt und die Panne mit einem hohen Risiko für die betroffene Person
verbunden ist.

Eine Datenschutzverletzung liegt vor, wenn:
- es unbeabsichtigt oder unrechtmäßig
- zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten
Offenlegung von persönlichen Daten kommt.
- es unbefugten Zugang zu personenbezogenen Daten gegeben hat.
Neben dem Betroffenen muss der Datenschutzbeauftragte des Landes Baden-Württemberg informiert werden.
Folgende Informationen müssen übermittelt werden.
- Was ist passiert und wie viele Personen und Datensätze sind ungefähr
betroffen.
- Welche Folgen hat die Verletzung der personenbezogenen Daten
- Was hat der Verein getan, um die Folgen zu beseitigen oder abzumildern.
Die Datenpanne und deren Auswirkungen sind zu dokumentieren.

Speichermedien

Da der Verein über keine eigenen Rechner, Laptops oder Ähnliches verfügt, erfolgt
die Speicherung und Verarbeitung der personenbezogenen Daten auf den
persönlichen Rechnern der verarbeitenden Personen.
Diese müssen die Vertraulichkeit der Daten durch Passwortschutz oder ähnlichen
Sicherheitsmaßnahmen gewährleisten.

Sonstiges

Um einen schnellen Informationsaustausch zu gewährleisten, hat der Vorstand eine
WhatsApp-Gruppe installiert. Die Nummern der Mobiltelefone werden von den
teilnehmenden Gruppenmitgliedern freiwillig übermittelt und sind für die anderen
Gruppenmitglieder zu erkennen.