Datenschutzkonzept des Reitverein Grafenhof e. V.
Inhaltsverzeichnis
1) Geschlechter
2) Geltungsbereich
3) Begriffsbestimmungen
4) Erheben, Verarbeiten und Nutzen personenbezogener Daten
5) Auftragsdatenverarbeiter
6) Informationen
7) Bilder
8) Löschung von Daten und das Recht auf Vergessen .
9) Verpflichtung auf das Datengeheimnis
10) Verfahrensverzeichnis – Verzeichnis der Verarbeitungstätigkeiten
11) Hard- und Software
12) Umgang bei Datenpannen
1) Geschlechter
Diese Richtlinie regelt den Datenschutz für alle Geschlechter gleichermaßen. Es wird daher verzichtet, den Text unnötig mit Redundanzen zu füllen.
2) Geltungsbereich
Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die entsprechenden Verantwortlichkeiten beim REITVEREIN GRAFENHOF E.V.. Sie kann nicht außer Kraft gesetzt oder eingeschränkt werden.
Alle Funktionsträger und Mitarbeiter sind zur Einhaltung dieser Richtlinie verpflichtet.
Sie richtet sich insbesondere an:
· die Funktionäre der Leitung
· die Funktionäre des Vorstandes
· die Funktionäre der Jugendinteressen
· die Funktionäre der Mitgliederverwaltung
· die Funktionäre der Kassentätigkeiten
· die Funktionäre der sonstigen Gruppenaktivitäten
·
Hierbei gelten folgende Grundsätze:
Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und in Übereinstimmung mit den für den REITVEREIN GRAFENHOF E.V. geltenden landesspezifischen Datenschutzbestimmungen.
Wir verfolgen einen risikobasierten Ansatz. Das heißt: je sensibler die Information, desto sorgfältiger muss der Umgang damit sein. Für die Verarbeitung von personenbezogenen Daten unterstellen wir grundsätzlich. ein Verbot mit einem Erlaubnisvorbehalt. Die Verarbeitung von Daten erfolgt nur im Rahmen des Art. 6 der DSGVO (bspw. wenn sie für Zwecke der Erfüllung des Mitgliedsvertrages erforderlich sind).
Wir achten darauf, dass die Verarbeitung von personenbezogenen Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß im Sinne einer maximalen „Datenminimierung“ beschränkt ist.
Ebenso versuchen wir, sämtliche Datensätze, außer abgespaltene Teile davon sind für historische, statistische, analytische oder wissenschaftliche Zwecke rechtmäßig archiviert, stets richtig und auf dem neuesten Stand zu halten. Über Berichtigungen sind alle Stellen zu unterrichten, denen im Rahmen der Datenübermittlung diese Daten zuständigerweise zugeleitet wurden.
Von uns nicht mehr benötigte Daten werden unverzüglich vernichtet. Unter Datenvernichtung verstehen wir ein Verfahren, mit dem die Datenträger so behandelt werden, dass eine Rekonstruktion der ursprünglich darauf enthaltenen Daten hochgradig unwahrscheinlich bzw. praktisch ausgeschlossen ist (REITVEREIN GRAFENHOF E.V.-Löschverfahren). Bei Papierunterlagen ist dies bspw. „Schreddern“, vorzugsweise im Partikelschnitt; bei elektronischen Daten das Löschen . In dieser Hinsicht betrachten wir Datenvernichtung als einen Bestandteil des Datenschutzes.
3) Begriffsbestimmungen
Dieser Text verwendet Begrifflichkeiten, die durch den Europäischen Verordnungsgeber beim Erlass der DSGVO verwendet wurden. Gleichwohl soll er für den Leser einfach lesbar und verständlich sein.
Um dies zu gewährleisten, werden nachfolgend die verwendeten Begrifflichkeiten erläutern.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder
zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person (Betroffener oder betroffene Person) sind bspw. Name, Vorname, Geburtstag, Adressdaten, Bestelldaten, E-Mail-Inhalte.
Angaben über rassische, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren Personen-bezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen
unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Im Regelfall ist vorliegend mit „Verantwortlicher“ der REITVEREIN GRAFENHOF E.V. gemeint. Teilweise sind jedoch auch der oder die jeweiligen Funktionäre gemeint, die für den „Verantwortlichen“, also den REITVEREIN GRAFENHOF E.V. handeln, arbeiten oder tätig werden.
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Im Falle von Fotos, Gruppenaufnahmen etc. kann dies auch das bewusste posieren für das Bild sein.
4) Erheben, Verarbeiten und Nutzen personenbezogener Daten
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personen-bezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung der Mitgliedschaft oder zur Durchführung einer künftigen Mitgliedschaft erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der REITVEREIN GRAFENHOF E.V. unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem REITVEREIN GRAFENHOF E.V. übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen der REITVEREIN GRAFENHOF E.V. oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
5) Auftragsdatenverarbeiter
Wenn wir Dritten oder Auftragsdatenverarbeitern Daten überlassen müssen, bspw. für den Druck oder den Versand von Informationen, Broschüren, dann verpflichten wir diese vertraglich mit den übermittelten Daten regelkonform i.S. der DSGVO umzugehen.
6) Informationen
Der REITVEREIN GRAFENHOF E.V. nutzt die Möglichkeit per Mail oder Brief die Mitglieder über wichtige Neuigkeiten zeitnah zu informieren. Art. 6 I f) DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung, wenn eine ausführliche Interessenabwägung zugunsten des Informationsbegehrens des REITVEREIN GRAFENHOF E.V. überwiegt. Bei Versand der Informationen sind zwingend die E-Mail-Adressen im „BCC-Verfahren“ einzusetzen, so dass der Kreis der Betroffenen nicht ersichtlich ist. In allen Fällen verlangt Art. 21 DSGVO ausdrücklich, dass der Empfänger jederzeit das Recht hat, Widerspruch gegen die Verarbeitung der betreffenden personenbezogenen Daten einzulegen.
Hierzu ist in jeder E-Mail ein, von anderen Informationen getrennt angebrachter, Hinweis zu verwenden. Beispielsweise: Nach Art. 6 Absatz 1 Buchst. f DSGVO ist eine Verwendung personenbezogener Daten möglich, wenn dadurch ein berechtigtes Interesse des Verantwortlichen verfolgt wird. So verwenden wir die E-Mailadressen unserer Mitglieder, um aktuelle Informationen schnellstmöglich an unsere Mitglieder weiterleiten zu können. Jedes Mitglied kann jederzeit der Verwendung seiner E-Mailadresse(n) für die Zukunft widersprechen. Im Falle des Widerspruches unterbleiben in Bezug auf das widersprechende Mitglied weitere Informationen per E-Mail.
7) Bilder
Fotografien von Betroffenen (insbesondere digital aufgenommen), stellen grundsätzlich personenbezogene Daten dar. Bildaufnahmen sind daher zunächst nach Art. 6 I DSGVO verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können.
Bei Bildaufnahmen von Menschenmengen können in der Regel keine Einwilligungen eingeholt werden und diese daher auch nicht auf den Rechtfertigungsgrund des Art. 6 I a) DSGVO gestützt werden. Dies wäre bei Bildaufnahmen von Versammlungen sowie Sportereignissen u. ä. für einen
einzelnen Fotografen auch gar nicht durchführbar. Unabhängig von der Frage der Anwendbarkeit des KUG neben der DSGVO, enthält das KUG keine Rechtsgrundlage für die Datenerhebung, sondern lediglich für die Veröffentlichung der Bilder. Die Aufnahmen der oben genannten Motive können im Regelfall nach Art. 6 I f) DSGVO gerechtfertigt werden, da auch Fotografien die Mitglieder über die Erfüllung der satzungsmäßigen Zwecke des REITVEREIN GRAFENHOF E.V. informieren. In Einzelfällen können sich schutzwürdige Interessen ergeben, die eine detaillierte Abwägung vor einer Veröffentlichung notwendig machen. Unabhängig von der Frage der Rechtmäßigkeit der Erhebung der Daten stellt sich weiterhin die Frage, ob und in welchem Maße die abgebildeten Personen entweder nach Art. 13 oder nach 14 DSGVO zu informieren sind. Gemäß Art. 14 V b) DSGVO besteht eine Informationspflicht nicht, wenn die Erteilung der Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde. Die derzeitige Rechtslage in Bezug auf Fotografien einer unüberschaubaren Anzahl von Menschen oder von Menschen als Beiwerk anderer Motive ist überwiegend unsicher. Dies beruht insbesondere darauf, dass der deutsche Gesetzgeber bisher keinen ausdrücklichen Gebrauch von der Öffnungsklausel des Art. 85 II DSGVO gemacht hat. Bis dahin ist es möglich, die Datenerhebung in den meisten Fällen über Art. 6 I f) DSGVO zu rechtfertigen. Eine Informationspflicht gegenüber den Abgelichteten besteht nicht. Dies ergibt sich aus Art. 11 I DSGVO, hilfsweise aus Art. 14 V b) DSGVO.
Für die Veröffentlichung der Bilder von Versammlungen und Veranstaltungen des REITVEREIN GRAFENHOF E.V. ist § 23 I Nr. 1 und Nr. 3 KUG anzuwenden. Bei Veranstaltungen sowie seitens der REITVEREIN GRAFENHOF E.V. organisierten Ausfahrten / Reisen sind die Teilnehmer, mittels eines von weiteren Informationen getrennt angebrachten Hinweises vor der Veranstaltung, z.Bsp. im Einladungsschreiben, auf die Veröffentlichung von Informationen zu der Veranstaltung sowie Fotografien während dieser Veranstaltung hinzuweisen. Beispielsweise:
Die REITVEREIN GRAFENHOF E.V. macht die oben genannte Veranstaltung unter Umständen auf den den Webseiten und auf den Facebook Seiten des Reitverein Grafenhof e.V. bekannt und berichtet im Anschluss über die Veranstaltung (und Ergebnisse der Wettbewerbe) mittels Bild und Text. Im Internet veröffentlichte Ergebnislisten werden im Bildformat abgespeichert.
Die betroffene Person kann gegenüber der REITVEREIN GRAFENHOF E.V. einer Veröffentlichung seiner Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Falle des Widerspruches unterbleiben in Bezug auf die widersprechende Person weiter Veröffentlichungen. Personenbezogene Daten des widersprechenden Mitglieds werden von der Homepage bzw. auf der Facebook Seite des Reitverein Grafenhof e.V. entfernt.
8) Löschung von Daten und das Recht auf Vergessen
a) Nicht mehr benötigte Daten sind zu löschen. Sie sind, vor dem Zugriff Fremder sicher aufzubewahren, solange die Vorhaltung insbesondere nach Art. 6 I a), b) oder f) DSGVO erforderlich ist.
b) Bei Beendigung der Mitgliedschaft werden die Daten gelöscht. Fristen nach Art. 17 II DSGVO bleiben unberührt.
c) Rechtschutzakten können nach Abschluss des Verfahrens aufbewahrt werden, bis mögliche Schadensersatzansprüche verjährt sind.
d) Werden i. R. des Art. 6 DSGVO Mitgliedsdaten oder Mitgliedslisten übermittelt, sind vorhergegangene – überholte/veraltete – Mitgliedsdaten oder Mitgliedslisten sofern sie nicht weiter benötigt werden unverzüglich zu vernichten.
9) Verpflichtung auf das Datengeheimnis
Der Verantwortliche hat alle für ihn tätigen Personen, die Umgang mit personenbezogenen Daten haben, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis (§ 53 S. 2 BDSG) und die Einhaltung dieser Richtlinie zu verpflichten. Sie sind ferner darauf hinzuweisen, dass das Datengeheimnis auch nach der Beendigung ihrer Tätigkeit fortbesteht (§ 53 S. 3 BDSG).
Vornehmlich kann dies durch Bestätigung in Textform durch eine „Verpflichtung auf das Datengeheimnis“ erfolgen. Für den Verantwortlichen tätige Personen (bspw. Ausschussmitglieder), die ihrerseits weitere Personen beauftragen, bevollmächtigen oder unterbevollmächtigen, haben ihre Beauftragten, Bevollmächtigten oder Unterbevollmächtigten nach o. g. Grundsätzen auf das Datengeheimnis zu verpflichten.
10) Verfahrensverzeichnis – Verzeichnis der Verarbeitungstätigkeiten
Der REITVEREIN GRAFENHOF E.V. hat ein internes Verfahrensverzeichnis erstellt. Dieses wird regelmäßig überprüft und aktualisiert. Hierbei sind alle mit der Verarbeitung personenbezogener Daten Beauftragten zur Mitwirkung verpflichtet. Dies gilt auch bei Änderungen in ihrem jeweiligen Zuständigkeitsbereich. Zur Erstellung ist der Vertreter des Verantwortlichen befugt. Es schafft innerhalb des REITVEREIN GRAFENHOF E.V., aber auch gegenüber Betroffenen, Transparenz. Mithilfe dieses Verzeichnisses der Verarbeitungstätigkeiten, welches darüber hinaus auch die Anforderungen des Art. 30 DSGVO erfüllt, kann der Vertreter nach Einführung entsprechender Prozesse sehr gut beurteilen, ob geplante Verfahren besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen und damit der Vorabkontrolle unterliegen.
Das Verzeichnis der Verarbeitungstätigkeiten darf in einem elektronischen Format geführt werden.
Wegen der Vorlagepflicht gegenüber der Aufsichtsbehörde in Art. 30 IV DSGVO muss es in elektronischer oder gedruckter Form exportierbar sein. Damit ist eine einfache Zusammenstellung von internen Hyperlinks nicht tauglich, wohl aber ein Dokument, das auf beigefügte Anlagen verweist. Das Verzeichnis steht jedoch grundsätzlich nur für interne Zwecke und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung.
11) Hard- und Software
Die Nutzung privater Hard- und Software ist gestattet. Hierbei sind die Anforderungen des Datenschutzes zu beachten. Durch technische und organisatorische Maßnahmen ist sicherzustellen,
dass personenbezogene Daten geschützt sind. So sind personenbezogene Daten vorzugsweise auf externen Datenträgern zu speichern, bei denen eine besondere Verwahrung möglich ist. Der Zugriff Unbefugter ist durch „Passwortschutz“ bzw. durch Abspeichern in „gesonderten Bereichen“ auf der
Festplatte (bspw. gesondertes Benutzerkonto) zu unterbinden. Darüber hinaus sind die Daten in geeigneter Weise zu sichern, damit eine jederzeitige Verfügbarkeit gewährleistet werden kann (Backup). Auf Vertraulichkeit bei der Verarbeitung der Daten ist zu achten. Insbesondere bei der Arbeit an mobilen Geräten in öffentlichen Bereichen ist dafür Sorge zu tragen, dass die Informationen Unbefugten verborgen bleiben (z. Bsp. durch eine Sichtschutzfolie).
Im Falle des Datenverlustes ist dies unverzüglich beim dem Verantwortlichen anzuzeigen. Bei Nutzung dienstlicher Hard- und Software dürfen geschützte Daten nicht unberechtigt auf allgemein zugänglichen Teilen des Systems abgelegt oder zugänglich gemacht werden. Bei Nutzung persönlicher E-Mail-Adressen, sowie des persönlich zugewiesenen Speicherplatzes bestehen keine Bedenken, da diese durch geeignete Sicherheitsmaßnahmen geschützt sind und Dritte – mit Ausnahme des EDV Service – keinen Zugang erhalten.
Aus Gründen des Datenschutzes müssen Datenschutzkonzept diese Daten in einem, ausdrücklich (!) als „REITVEREIN GRAFENHOF E.V. – Privat“ gekennzeichneten Ordner gespeichert werden.
12) Umgang bei Datenpannen
Im Falle einer Verletzung des Schutzes personenbezogener Daten ist dies von jedermann unverzüglich dem Verantwortlichen anzuzeigen. Dieser hat den Vorfall unter Berücksichtigung des Art. 33 I DSGVO spätestens innerhalb von 3 Tagen der zuständigen Aufsichtsbehörde anzuzeigen.
Die Anzeige muss
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der ergriffenen oder vorzunehmenden Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalten. Wenn und soweit die Informationen nicht sofort bereitgestellt werden können, sind diese notfalls auch in Schritten anzuzeigen.