Datenschutzordnung der SG AA

Datenschutzordnung der SG Allez-Allee Hannover e.V.                                                      Stand: 05.11.2018

§ 1 Zweck

Die SG Allez-Allee Hannover e.V. (im Folgenden: SG AA) gibt sich die nachfolgende Datenschutzordnung, um die Vorgaben der EU-Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes zu erfüllen, Datenschutzverstöße zu vermeiden und einen einheitlichen Umgang mit personenbezogenen Daten innerhalb des Vereins zu gewährleisten.

§ 2 Anwendungsbereich

Die SG AA erhebt und verarbeitet personenbezogene Daten von Mitgliedern und Nichtmitgliedern (Teilnehmerinnen und Teilnehmern am Sportbetrieb) sowohl unter Verwendung von automatisierten Datenverarbeitungsanlagen (EDV-Anlagen) als auch in nicht automatisierter Form (z.B. manuelle Dokumentation in Form von ausgedruckten oder handschriftlichen Listen). Sie erhebt, verarbeitet und speichert diese Daten ausschließlich für den Zweck der Ver- folgung eigener Vereinsziele (z.B. zur Organisation des Sportbetriebs, im Rahmen der Öffentlichkeitsarbeit des Vereins oder aus versicherungsschutzrechtlichen Gründen) und zur Mitgliederbetreuung und Verwaltung. Darüber hinaus werden personenbezogene Daten im Internet veröffentlicht und an Dritte weitergeleitet oder Dritten offengelegt. In all diesen Fällen ist die EU-Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und diese Daten- schutzordnung durch alle Personen im Verein, die personenbezogene Daten verarbeiten, zu beachten.

§ 3 Begriffsbestimmungen

Personenbezogene Daten: alle Daten, die zur Identifizierung einer natürlichen Person dienen, sowie darüber hinaus sämtliche Informationen, die etwas über die persönliche oder tat- sächliche Situation einer Person aussagen.

Erheben: Datenbeschaffung durch Befragung oder Ausfüllen von Formularen (z.B. von Aufnahmeanträgen, Lizenzanträgen, Teilnehmerlisten bei Turnieren).

Verarbeiten: Speichern von Daten, Verändern, Übermitteln, Sperren, Löschen, Anonymisieren.

Nutzen: Verwendung von personenbezogenen Daten für die Verwaltung und Betreuung von Vereinsmitgliedern.

Automatisierte Verarbeitung: Erhebung, Verarbeitung oder Nutzung unter Einsatz elektronischer Anlagen und Programme.

manuelle Dokumentation: Datenerfassung und Speicherung in Papierform, sei es als handschriftlich ausgefülltes Formular oder als ausgedruckte Liste.

Verantwortliche Stelle: jede Institution oder Person, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt.

Betroffener: natürliche Person, deren Daten genutzt werden.

§ 4 Erhebung und Verarbeitung personenbezogener Daten von Mitgliedern

Sofern die SG AA Daten unterschiedlicher Kategorien von Personen erhebt und verarbeitet, wird für jede Kategorie von betroffenen Personen im Verzeichnis der Verarbeitungstätigkeiten ein Einzelblatt angelegt.

Im Rahmen des Mitgliedschaftsverhältnisses erhebt und verarbeitet die SG AA insbesondere die folgenden Daten der Mitglieder: Vorname, Nachname, Anschrift (Straße, Hausnummer, Postleitzahl, Ort), Telefonnummern, E-Mail-Adressen, Geschlecht, Geburtsdatum, Bankver- bindung, Lizenznummer, Mannschaftszugehörigkeit und die jeweiligen sportlichen Erfolge.

§ 5 Erhebung von Daten Dritter

Von Nichtmitgliedern, die an Veranstaltungen des Vereins teilnehmen, welche dem Versicherungsschutz unterliegen, erhebt die SG AA notwendige und freiwillige Daten analog dem in § 4 beschriebenen Umfang. Diese Daten werden nur genutzt, soweit dies für die Verfolgung der eigenen Vereinsziele erforderlich ist. Die Nutzung beschränkt sich hierbei auf diejenigen Zwecke, für die die SG AA die Daten erhoben hat.

§ 6 Erhebung von Daten von Besuchern des Internetauftritts (homepage) des Vereins

Beim Besuch der Vereinshomepage werden zur Abwehr von Angriffen auf die IT-Struktur vom Verein im Rahmen eines Zugriffsprotokolls direkt beim Provider der Homepage die gekürzte IP-Adresse, Datum und Uhrzeit des Zugriffes sowie die URL, auf die zugegriffen wurde erhoben und gespeichert. Dies dient ausschließlich dazu, unberechtigte Zugriffe zu erkennen und durch geeignete Gegenmaßnahmen auszuschließen. Als unberechtigte Zugriffe werden insbesondere DDOS-Attacken, Zugriffsversuche auf geschützte Bereiche sowie Versuche der Übermittlung von Spam über Kontaktformulare bewertet. Die Zugriffsprotokolle werden nach 30 Tagen automatisch gelöscht. Eine Auswertung der erhobenen Daten findet nur statt, wenn sich anhand der Protokollierung ein Anfangsverdacht auf Versuch der miss- bräuchlichen Erlangung von personenbezogenen Daten ergibt.

§ 7 Technische Maßnahmen für die Datenverarbeitung und Kommunikation per E-Mail

Die SG AA trifft Maßnahmen nach dem Stand der Technik, um die Sicherheit personenbezo- gener Daten in automatisierten Datenverarbeitungssystemen sowie manuellen Dokumenten zu gewährleisten. Hierzu gehören:

– Zugangskontrolle und Beschränkung zu den Datenverarbeitungssystemen (online / offline) über Benutzername und Passwort

– verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare (https://)

– verschlüsselte Übertragung bei der Bearbeitung, Speicherung und Nutzung in einem Online-Datenverarbeitungssystem (https://)

– Zugangskontrolle und Beschränkung zu manuellen Dokumenten

Beim Versand von E-Mails an eine Vielzahl von Personen / mehrere Empfänger sind diese in „bcc“ (=blind carbon copy) zu setzen.

§ 8 Datenverarbeitung im Rahmen der Öffentlichkeitsarbeit

Auf der Internetseite der SG AA werden die Daten der Mitglieder des Vorstands mit Vorname, Nachname, Funktion und Telefonnummer veröffentlicht. Zur Kommunikation mit diesen Funktionsträgern werden vereinseigene Mailadressen (vorstand@allez-allee, kontakt@allez- allee) bereitgestellt.

Im Rahmen der Berichterstattung über Vereinsaktivitäten erfolgt eine Veröffentlichung personenbezogener Daten im vereinseigenen E-Mail-basierten Infopapier – dem „Allee-Info“ – und im Internet (homepage und soziale Netzwerke) sowie ggf. in anderen Pressemedien. Hierzu gehören insbesondere die Daten, die aus allgemein zugänglichen Quellen stammen, wie z.B. die Namen der Teilnehmer an den sportlichen Veranstaltungen, Mannschaftsaufstellungen und Turnierergebnisse.

Pressemitteilungen und Auskünfte gehören zur normalen Öffentlichkeitsarbeit eines Vereins.

Bei Berichten über öffentliche Veranstaltungen oder öffentliche Wettkämpfe, zu denen sich die Teilnehmerinnen und Teilnehmer zuvor angemeldet haben, erfolgt eine Veröffentlichung ihrer personenbezogenen Daten, der Turnierergebnisse sowie von Fotos und Videos, soweit schutzwürdige Interessen der Teilnehmerinnen und Teilnehmer dem nicht entgegenstehen.

Wird über nicht öffentliche Veranstaltungen oder Wettkämpfe berichtet, erfolgt eine Veröffentlichung ihrer personenbezogenen Daten, der Turnierergebnisse sowie von Fotos und Videos ausschließlich auf Grundlage einer Einwilligung der Teilnehmerinnen und Teilnehmer.

§ 9 Einrichtung und Unterhaltung von Internetauftritten

Die Einrichtung und Unterhaltung von Auftritten im Internet obliegt dem Vorstand. Änderungen dürfen ausschließlich durch den Vorstand vorgenommen werden.

Der Vorstand ist für die Einhaltung der Datenschutzbestimmungen im Zusammenhang mit Online-Auftritten verantwortlich.

Gruppen und Mannschaften bedürfen für die Einrichtung eigener Internetauftritte (z.B. Homepage, Facebook, Twitter) der ausdrücklichen Genehmigung des Vorstandes. Für den Betrieb eines Internetauftritts haben die Gruppen und Mannschaften Verantwortliche zu benennen, denen gegenüber der Vorstand nach § 26 BGB weisungsbefugt ist. Bei Verstößen gegen datenschutzrechtliche Vorgaben und Missachtung von Weisungen des Vorstandes, kann dieser die Genehmigung für den Betrieb eines Internetauftritts widerrufen. Die Entscheidung des Vorstands nach § 26 BGB ist unanfechtbar.

§ 10 Verwendung und Übermittlung von Mitgliederdaten

Vereinsmitglieder haben, mit Ausnahme der Vorstandsmitglieder, keinen Zugriff auf die personenbezogenen Daten anderer Mitglieder.

Personenbezogene Daten von Mitgliedern dürfen an andere Vereinsmitglieder nur herausgegeben werden, wenn die Einwilligung der betroffenen Person vorliegt. Die Nutzung von Teilnehmerlisten, in die sich die Teilnehmer von Versammlungen und anderen Veranstaltungen zum Beispiel zum Nachweis der Anwesenheit eintragen, gilt nicht als eine solche Herausgabe.

Soweit im Einzelfall für die Organisation von Veranstaltungen notwendig, können einzelnen Mitgliedern (z.B. Übungsleitern, Trainern) Kontaktdaten oder Listen von Mitgliedern oder Teilnehmern in dem Umfang, wie es die Aufgabenstellung erfordert, zur Verfügung gestellt werden, wenn die jeweils Betroffenen dem zustimmen. Beim Umfang der dabei verwendeten personenbezogenen Daten ist das Gebot der Datensparsamkeit zu beachten.

Nach der Vereinssatzung ist eine außerordentliche Mitgliederversammlung einzuberufen, wenn ein Viertel der Mitglieder dies beantragt. Macht ein Mitglied glaubhaft, dass es eine Mitgliederliste zur Wahrnehmung dieses in der Vereinssatzung verbrieften Rechts benötigt, stellt der Vorstand diesem eine Kopie der Mitgliederliste mit Vornamen, Nachnamen und Anschrift als Ausdruck oder als Datei zur Verfügung. Das Mitglied muss zuvor jedoch versichern, die Kontaktdaten ausschließlich für den Zweck der Beantragung einer außerordentlichen Versammlung zu nutzen und sie nach der Verwendung wieder zu vernichten.

Im Rahmen der Zugehörigkeit zum Niedersächsischen Pétanque-Verband (NPV), dem Landesverband, dessen Sportart in der SG AA betrieben wird, werden personenbezogene Daten der Mitglieder an diesen weitergeleitet, soweit die Mitglieder eine Berechtigung zur Teilnahme am Wettkampfbetrieb des Verbandes beantragen (Lizenz) und an solchen Veranstaltungen teilnehmen.

Im Ramen der Mitgliedschaft der SG AA im Landessportbund werden notwendige personenbezogene Daten der Mitglieder zu statistischen Zwecken, zur Wahrung des Versicherungsschutzes für die Vereinsmitglieder, zur Erlangung von Zuwendungen zur Verwirklichung des Vereinszwecks sowie für die Ermittlung der Gebührenhöhe für die Mitgliedschaft der SG AA im Landessportbund an diesen weitergeleitet.

§ 11 Berichtigung, Löschung und Sperrung von Daten

Das Verfahren zur Berichtigung, Löschung und Sperrung von Daten richtet sich nach Art. 16 und 17 EU-DSGVO. Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind.

Personenbezogene Daten müssen gelöscht werden, wenn:

  • ihre Speicherung unzulässig ist,
  • die Kenntnis der Daten zur Verfolgung des Zwecks der Speicherung nicht mehr notwendig ist,
  • der Sachverhalt, zu dem die Daten gespeichert wurden, erledigt ist und seit Entstehung des Grundes der Datenerhebung mehr als 3 Jahre vergangen sind,
  • der Betroffene dies verlangt.Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewahrungsfristen gelten. Dies betrifft in nicht abschließender Aufzählung: Geschäftsbriefe, Buchungsbelege und Verwendungsnachweise in Zusammenhang mit öffentlicher Förderung. Gleiches trifft zu, wenn die personenbezogenen Daten Bestandteil rechtlicher Ansprüche für oder gegen den Verein sind.Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach § 8 dieser Ordnung veröffentlicht wurden, wird der Verein unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen).

Beim Ausscheiden oder beim Wechsel von Vorstandsmitgliedern und sonstigen Funktionsträgern wird sichergestellt, dass sämtliche Mitgliederdaten auf den Speichermedien der Ausscheidenden entweder ordnungsgemäß gelöscht oder an einen anderen Funktionsträger des Vereins übergeben werden und keine Kopien und Dateien und auch keine Zugriffsberechtigungen beim bisherigen Vorstandsmitglied / Funktionsträger verbleiben.

§ 12 Zuständigkeiten für die Datenverarbeitung im Verein

Verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben ist der Vorstand nach § 26 BGB.

Der Vorstand stellt sicher, dass Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DS- GVO geführt und die Informationspflichten nach Art. 13 und 14 DSGVO erfüllt werden. Er ist für die Beantwortung von Auskunftsverlangen von betroffenen Personen zuständig.

§ 13 Datenschutzbeauftragter

Sobald im Verein in mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, hat dieser einen Datenschutzbeauftragten zu benennen. Die Auswahl und Benennung obliegt dem Vorstand nach § 26 BGB. Der Vorstand hat sicherzustellen, dass die benannte Person über die erforderliche Fachkunde verfügt. Vorrangig ist ein interner Datenschutzbeauftragter zu benennen. Ist aus den Reihen der Mitglieder keine Person bereit, diese Funktion im Rahmen eines Ehrenamtes zu übernehmen, hat der Vorstand nach § 26 BGB einen externen Datenschutzbeauftragten auf der Basis eines Dienst- vertrages zu beauftragen. Da aktuell in der SG AA

+ weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,

+ die notwendigen Daten zur Mitgliederverwaltung (Name, Anschrift, Geburtsdatum, Geschlecht) keine „sensiblen Daten“ enthalten,

+ sensible Daten“ nur aufgrund vorheriger Einverständniserklärung der Mitglieder freiwillig erfasst werden und

+ personenbezogene Daten nicht zum Zweck geschäftsmäßiger Übermittlung dienen (Datenhandel)

liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Der Vereinsvorstand kümmert sich daher selbst um die Einhaltung des Datenschutzes.

§ 14 Verpflichtung auf die Vertraulichkeit

Alle Personen in der SG AA, die Umgang mit personenbezogenen Daten haben (z.B. Mitglieder des Vorstands, Übungsleiterinnen und Übungsleiter, Trainerinnen und Trainer), sind schriftlich auf den vertraulichen Umgang mit personenbezogenen Daten und die Wahrung des Datengeheimnisses zu verpflichten.

 § 15 Verstöße gegen datenschutzrechtliche Vorgaben und diese Ordnung

Alle Personen in der SG AA dürfen nur im Rahmen ihrer jeweiligen Befugnisse Daten verarbeiten. Eine eigenmächtige Datenerhebung, -nutzung oder -weitergabe ist untersagt. Verstöße gegen allgemeine datenschutzrechtliche Vorgaben und insbesondere gegen diese Daten- schutzverordnung können nach den Vorschriften der BDSGVO oder dem BDSG geahndet werden.

§ 16 Inkrafttreten

Diese Datenschutzordnung wurde durch den Vorstand des Vereins am 05.11.2018 beschlossen und tritt mit Veröffentlichung auf der Homepage des Vereins in Kraft.

gez. der Vorstand der SG Allez Allee Hannover e.V. Hannover,                   Hannover, den 05.11.2018

(Petra Klitschke)           (Carsten Jürgens)              (Horst Lysk)