DATENSCHUTZORDNUNG

des Villa KünstlerBunt e.V., Mittelstr. 2, 59872 Meschede

 

1. Grundsätzliches

1.1. Gesetzliche Grundlagen

Im Verein werden personenbezogene Daten erhoben, verarbeitet und genutzt sowohl unter Verwendung von automatisierten Datenverarbeitungsanlagen als auch in manueller Dokumentation. Der Verein unterliegt damit den Anforderungen der geltenden EU-Datenschutz-Grundverordnung (DSGVO).

1.2 Zulässigkeit der Datennutzung

Eine Datennutzung ist nur zulässig, sofern es eine Vorschrift der DSGVO oder eine sonstige Rechtsvorschrift erlaubt oder der Betroffene eingewilligt hat. Die Zulässigkeit der Datennutzung ergibt sich aus der DSGVO, Artikel 6 Ziffer 1 (b).

Die Nutzung weiterer personenbezogener Daten, die über die notwendigen Daten zur Vertragserfüllung hinausgehen, ist nur mit Einwilligung des Betroffenen zulässig (DSGVO Art. 6 Ziffer 1 (a) ). Die Einwilligung muss schriftlich erfolgen.

Hierzu wird in einer Datenschutzerklärung dargestellt, welche Daten der Verein zu welchem Zweck erhebt, welche Angaben freiwillig sind, welche Nachteile dem Betroffenen durch Nichtangabe entstehen können und in welchem Umfang die erhobenen Daten durch Funktionsträger des Vereins oder zur Übermittlung an Dritte genutzt werden.

Einwilligungen für die Datennutzung durch den Verein können durch den Betroffenen (Vereinsmitglied, Kursteilnehmer) widerrufen werden.

Einwilligungen können auch durch Kinder und Jugendliche erfolgen, sofern sie in der Lage sind, die Konsequenzen der Verwendung ihrer Daten zu verstehen. Sofern eine derartige Verständnisfähigkeit zu verneinen ist, muss für die Datennutzung die Einwilligung eines Sorgeberechtigten erfolgen.

2. Erhebung personenbezogener Daten durch den Verein

2.1 Erhebung von Daten der Vereinsmitglieder

Folgende Daten sind notwendige Daten zur Verfolgung der Vereinsziele und zur Betreuung und Verwaltung der Mitglieder:

Name, Anschrift, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Geschlecht, Mitgliedsstatus, Eintrittsdatum, Bankverbindung

Hinweis zu Kontodaten: Kontodaten werden, soweit ein SEPA-Lastschrift-Mandat erteilt wird, im Rahmen der Abrechnung von Beiträgen und Gebühren gespeichert.

2.2 Erhebung von Daten Dritter (Kursteilnehmer)

Der Verein erhebt Daten von Teilnehmern an Veranstaltungen und Kursen, soweit dies für berechtigte Interessen des Vereins notwendig ist und keine besonderen Schutzbedürfnisse der Betroffenen bestehen. Bei diesen Teilnehmern, welche letztlich dem Versicherungsschutz des Vereins unterliegen, erhebt der Verein folgende notwendigen und freiwillige Daten:

Name, Anschrift, Telefonnummer, E-Mail-Adresse, Alter, Geschlecht, Bankverbindung

Hinweis zu Kontodaten: Kontodaten werden, soweit ein SEPA-Lastschrift-Mandat erteilt wird, im Rahmen der Abrechnung von Kursgebühren gespeichert.

2.3 Erhebung von Personaldaten der Funktionsträger des Vereins

Der Verein erhebt und nutzt personenbezogene Daten von Vorstandsmitgliedern, Kassenprüfern sowie weiteren Funktionsträgern des Vereins, soweit diese Daten für die Verwirklichung der Vereinsziele, die Betreuung von Mitgliedern sowie die Verwaltung des Vereins notwendig sind.

2.4 Hinweispflicht

Bei der Erhebung personenbezogener Daten belehrt der Verein über die Zulässigkeit der Datennutzung nach Ziffer 1.2 dieser Datenschutzordnung.

3. Speicherung personenbezogener Daten

3.1 Technische und organisatorische Maßnahmen

Der Verein trifft Maßnahmen nach Stand der Technik, um die Sicherheit personenbezogener Daten in automatisierten Datenverarbeitungssystemen sowie manuellen Dokumenten zu gewährleisten.

Hierzu gehören:
• Zugangskontrolle und Beschränkung zu den Datenverarbeitungssystemen (offline) über Passwort
• verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare (https://)
• verschlüsselte Kommunikation über Mail-Accounts des Vereins (SSL/TLS)
• Zugangskontrolle und Beschränkung zu manuellen Dokumenten
• Versand von E-Mails an mehrere Empfänger grundsätzlich nur über eine Mailingliste oder "bcc" (=Blind Carbon Copy)

3.2 Datenverarbeitung im Auftrag

Eine Datenverarbeitung im Auftrag findet nicht statt.

4. Nutzung personenbezogener Daten

4.1 Nutzung von Mitgliederdaten

Der Verein erhebt Daten ausschließlich für den Zweck der Verfolgung eigener Vereinsziele und zur Mitgliederbetreuung und Verwaltung.

4.2 Nutzung von Daten Dritter (Kursteilnehmer)

Daten Dritter (Teilnehmern an Veranstaltungen und Kursen) werden ausschließlich genutzt, soweit dies für die Verfolgung eigener Vereinsziele notwendig ist. Hierbei beschränkt sich die Nutzung auf diejenigen Zwecke, für die der Verein Daten erhoben oder erhalten hat.

5. Verarbeitung personenbezogener Daten und Übermittlung

5.1. Verarbeitung personenbezogener Daten

Der Verein verarbeitet personenbezogene Daten, um mit seinen Mitgliedern zu kommunizieren oder mitgliedsrelevante Vorgänge vorzubereiten oder abzuwickeln oder seine Mitglieder über Neuerungen zu informieren. In diesem Zusammenhang fällt eine Vielzahl von Verarbeitungstätigkeiten an die nachfolgend aufgeführt werden:

• Speicherung und Verwaltung der Mitgliederdaten und der Daten von Kursteilnehmern
• Einzug von Beiträgen per SEPA-Mandat
• Betrieb einer Vereins-Webseite mit Online-Anmeldeformular für die Teilnahme an Kursen
• Betrieb mehrerer Mailinglisten u.a. zum Versand von Einladungen zu Vereinsversammlungen und Veranstaltungen
• Ausstellung von Teilnahme- und Kursbescheinigungen
• Weitergabe von Mitgliederlisten an Vorstandsmitglieder (verschlüsselt)
• Weitergabe von Listen zu Kursteilnehmern an den entsprechenden Kursleiter vor Kursbeginn (verschlüsselt oder persönlich als ausgedrucktes Formular).

5.2 Datenübermittlung an Vereinsmitglieder

Vereinsmitglieder haben, mit Ausnahme der Funktionsträger des Vereins, keinen Zugriff auf die personenbezogenen Daten anderer Mitglieder. Daten von Mitgliedern werden in einer Kontaktliste gespeichert und können den Vereinsmitgliedern zur Verfügung gestellt werden, sofern die einzelnen Mitglieder explizit zugestimmt haben.

5.3 Veröffentlichungen im Internet

Im Internet (Homepage & ggf. soziale Netzwerke) wird von Funktionsträgern der Vor- und Zuname sowie die jeweilige Funktions-E-Mail-Adresse veröffentlicht. Weitergehende personenbezogene Daten (Vita) der Funktionsträger werden nur mit ausdrücklicher Genehmigung im Internet veröffentlicht.

Bei Teilnahme von Vereinsmitgliedern an öffentlichen Veranstaltungen können die Namen der Teilnehmer bekanntgegeben werden. Eine Bild-Veröffentlichung ist nur nach vorheriger Genehmigung möglich.

Bei Teilnahme von Vereinsmitgliedern oder Nicht-Vereinsmitgliedern an Kursen ist eine Veröffentlichung von Namen und/oder Bild nur nach vorheriger Genehmigung möglich.

5.4 Datenübermittlung an die Versicherung

Anfragen einer Versicherung werden ausschließlich im Rahmen der Schadensabwicklung in notwendigem Umfang beantwortet. Vor Auskunftserteilung wird das Vereinsmitglied bzw. der Kursteilnehmer hierzu angehört.

5.5 Datenverarbeiter

Nur die Mitglieder des Vorstandes sind mit der Datenverarbeitung betraut und erhalten Vollzugriff auf die persönlichen Daten inklusive der Ergänzung, Änderung und Löschung von Daten.
Mit der Kursverwaltung sind Mitglieder des Vorstandes betraut sowie ehrenamtliche Mitglieder des Vereins, die vom Vorstand zur Ausübung dieser Tätigkeit legitimiert sind.

Die Ansprechpartner für die jeweiligen Bereiche der Verarbeitungstätigkeiten sind in einem "Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO" des Vereins aufgeführt.

5.6 Zugriffsberechtigte auf Daten

Die Mitglieder des Vorstandes und der Verantwortliche für die Datenverarbeitung erhalten Vollzugriff auf die persönlichen Daten inklusive der Ergänzung, Änderung und Löschung von Daten.

Der Verantwortliche für die Kursverwaltung erhält Zugriff auf die persönlichen Daten der Kursteilnehmer inklusive der Ergänzung, Änderung und Löschung dieser Daten.

Kursleiter erhalten vor Beginn eines Kurses von der Kursverwaltung eine Liste mit Namen und Alter der Kursteilnehmer.

6. Berichtigung, Löschung und Sperrung personenbezogener Daten

6.1 Umsetzung rechtlicher Vorgaben

Das Verfahren zur Berichtigung, Löschung, Sperrung von Daten richtet sich nach Art. 16/17 EU-DSGVO. Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind. Sie müssen gelöscht werden, wenn:

• ihre Speicherung unzulässig ist
• der Betroffene aus dem Verein ausgeschieden ist, seit dem Ausscheiden mindestens ein Jahr vergangen und die Kenntnis der Daten zur Verfolgung des Zwecks der Speicherung nicht mehr notwendig ist
• die Durchführung eines Kurses abgeschlossen ist
• der Betroffene dies verlangt.

Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewahrungsfristen gelten. Dies betrifft z.B. Geschäftsbriefe oder Buchungsbelege. Gleiches trifft zu, wenn die personenbezogenen Daten Bestandteil rechtlicher Ansprüche für oder gegen den Verein sind.

Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.

Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach Ziffer 5.3 dieser Ordnung veröffentlicht wurden, wird der Verein angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen).

Beim Ausscheiden oder Wechseln von Funktionsträgern sind diese verpflichtet, sämtliche Mitgliederdaten entweder ordnungsgemäß zu löschen oder an einen anderen Funktionsträger des Vereins zu übergeben. Zugriffsberechtigungen der bisherigen Funktionsträger sind zu löschen.

6.2 Technische Beschreibung der Datenlöschung

Personenbezogene Daten in automatisierten Datenverarbeitungssystemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Der Verein setzt die sichere Löschung von personenbezogenen Daten wie folgt um:

• Sicherungskopien der Datenbank werden spätestens 3 Jahre nach Erstellung der Sicherung durch mehrfaches Überschreiben sicher gelöscht.
• einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.
• E-Mails, die personenbezogene Daten enthalten, werden durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.
• Datenträger des Vereins, auf denen personenbezogene Daten gespeichert wurden, werden durch mehrfaches Überschreiben des gesamten Datenträgers sicher gelöscht, bevor eine Weitergabe an Dritte oder Entsorgung erfolgt.
• manuell erfasste oder dokumentierte personenbezogene Daten in Papierform werden zur Erfüllung der Anforderungen der DSGVO gemäß der Sicherheitsstufe 3 nach DIN 66399 (Partikelschnitt max. 4 mm Breite auf max. 60 mm Partikellänge) vernichtet.

7. Organisatorisches

7.1 Bestellung eines Datenschutzbeauftragten

Nach Prüfung des gesetzlichen Grundlagen (DSGVO) stellt der Verein fest, dass:

• weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• die Daten zur Mitgliederverwaltung und zur Kursverwaltung keine "sensiblen Daten" enthalten
• personenbezogene Daten nicht zum Zweck geschäftsmäßiger Übermittlung dienen (Datenhandel).

Somit liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Der Vereinsvorstand kümmert sich daher selbst um die Einhaltung des Datenschutzes durch den Verein.

7.2 Verpflichtung auf Wahrung des Datengeheimnisses

Alle Personen, die Zugang zu Mitgliederdaten und Daten von Kursteilnehmern haben, werden schriftlich auf die Wahrung des Datengeheimnisses verpflichtet.

7.3 Schriftliche Regelung zum Datenschutz und Veröffentlichung

Die Grundzüge der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten werden durch diese Datenschutzordnung geregelt. Sie tritt durch Beschluss des Vereinsvorstandes in Kraft und wird auf der Homepage des Vereins veröffentlicht.

7.4 Inkrafttreten
Vorstehende Datenschutzordnung wurde durch den Vorstand des Villa KünstlerBunt e.V. am 20.05.2018 beschlossen und ist mit Veröffentlichung in Kraft getreten.