Datenschutzordnung

Datenschutzordnung

der Ballonfreunde Allgäu e.V.

 

Stand: 15. Dezember 2018

A.   Ziel der Datenschutzordnung

Die Datenschutzordnung der BFA e.V. hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Dadurch soll die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) gewährleistet und der Nachweis der Einhaltung erbracht werden. Ziel ist es auch, durch die Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist, um vereinsrelevante, insbesondere personenbezogene Daten bzw. Informationen zu schützen.

 

B.   Präambel

Der BFA e.V. ist ein gemeinnütziger Ballonsportverein. Die Führung des Vereins obliegt einem Vorstandsgremium aus einem 1. und 2. Vorstand, sowie den Funktionen Kassier, Schriftführer sowie Beisitzer. Der 1. Und 2. Vorstand sind vertretungsberechtigte Vorstände nach § 26 BGB. Die o.g. Funktionäre bilden den Ausschuss des Vereins.

Die Mitgliederversammlung ist das zentrale Gremium des Vereins. Es tagt planmäßig einmal jährlich.

Zweck des Vereins ist die Förderung des Ballonsports. Die unmittelbare Erfüllung des Vereinszwecks erfolgt durch Ballonfahrten für Vereinsmitglieder, externe Passagiere und vertraglich festgelegte und limitierte Fahrten für die Sponsoren des Vereins.

Zuständiges Finanzamt ist Wangen i.A. Der Verein erfüllt die satzungsmäßigen Voraussetzungen nach den §§ 51, 59, 60 und 61 AO.

Der Verein ist im Vereinsregister des Amtsgerichts Ulm als gemeinnütziger Verein eingetragen (VR 720724).

Mit ca. 45 Mitgliedern ist der Verein datenschutzrechtlich nur kleineren Herausforderungen ausgesetzt, die mittels dieser Datenschutzordnung bewältigt werden.

 

C.   Datenschutzpolitik und Verantwortlichkeiten im Verein

  • Datenschutz im BFA e.V. soll einerseits die für eine optimale Vereinsführung und insbesondere die für die notwendige Mitgliederverwaltung erforderliche Bearbeitung von personenbezogenen Daten nicht behindern, andererseits den größtmöglichen Schutz dieser Daten sicherstellen. Dies soll erreicht werden durch
    1. das Erzeugen eines Verantwortungsgefühls für den sorgfältigen Umgang mit personenbezogenen Daten bei allen Betroffenen im Verein;
    2. klare Regelungen für den Umgang mit personenbezogenen Daten für alle Vereinsmitglieder;
    3. durch enge Kontrolle der Datenverarbeitungsprozesse im Verein;
    4. die auf das notwendige Minimum begrenzte Verarbeitung von personenbezogenen Daten.
    5. den Schutz von Hard- und Software durch technische Maßnahmen.

 

  • Der 1. Vorstand ist auch der erste Verantwortliche für den Datenschutz im Verein. Er legt in Absprache mit dem Vorstand die Datenschutzrichtlinien des Vereins fest. Der Vorstand erlässt die Datenschutzordnung des Vereins. Die Funktion eines Datenschutzbeauftragten wird aufgrund der nur unregelmäßigen und geringfügigen Bearbeitung von personenbezogenen Daten nicht etabliert.
  • Die Datenschutzordnung ist kontinuierlich zu überprüfen und gesetzlichen oder vereinsinternen Veränderungen anzupassen.
  • Alle mit der Verarbeitung von personenbezogenen Daten befassten Personen sind mit der Datenschutzordnung vertraut zu machen und zum sorgfältigen Umgang mit solchen Daten zu verpflichten. Wo notwendig sind Schulungen auf Kosten des Vereins durchzuführen.
  • Personenbezogenen Daten, die dem Vereinsmanagement anvertraut wurden, sind nicht über soziale Medien zu kommunizieren.

 

D.   Rechtliche Rahmenbedingungen im Verein

  • Die datenschutzrechtlichen Grundlagen für den BFA e.V. sind die Satzung des Vereins, die Datenschutzgrundverordnung (DSGVO), gültig ab 25.05.2018, das Bundesdatenschutzgesetz (BDSG) in seiner jeweils aktuellen Fassung, sowie der BSI – Standard 100-2.
  • Personenbezogene Daten dürfen nur zur Erfüllung des Vereinszwecks an eindeutig zweckdienliche Organisationen oder Personen weitergeleitet werden. Die Erfüllung der datenschutzrechtlichen Voraussetzungen beim Empfänger der Informationen ist vorher zu prüfen.

 

E.   Dokumentation

  • Der Schutzbedarf für die Datenverarbeitung im BFA e.V. bezüglich Vertraulichkeit, Integrität und Verfügbarkeit wird gemäß BDI Standard 100-2 als NORMAL bewertet, d.h.:
    1. Der Schutz von Informationen, die nur für den internen Gebrauch bestimmt sind, muss gewährleistet sein.
    2. Kleinere Fehler können toleriert werden. Fehler, die die Aufgabenerfüllung erheblich beeinträchtigen, müssen jedoch erkenn- oder vermeidbar sein.
    3. Längere Ausfallzeiten, die zu Terminüberschreitungen führen, sind nicht zu tolerieren.
    4. Der Schutz personenbezogener Daten muss gewährleistet sein. Anderenfalls besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.

 

  • Für die Definition von personenbezogenen Daten gilt § 3 Abs. 1 des BDSG[1].

 

  • Im BFA e.V. werden personenbezogene Daten für folgende Zwecke genutzt:
    1. Führen der Mitgliederliste des Vereins zum Zweck
      1. der Beitragsbemessung und -erhebung (Geburtsdatum, Familienverhältnisse)
      2. der Gruppenzuteilung (Piloten, sonstige Mitglieder)
  • des Beitragseinzugs (Kontodaten)
  1. von Ehrungen (Eintrittsdatum)
  1. Meldungen an Zweckverbände
  2. Meldungen an Behörden (z.B. BGB § 26 Vorstände)
  3. Mitteilungen an Banken zwecks Vollmachtserteilung und Online-Banking
  4. Mitteilungen an Versicherungen im Falle von Vereinsversicherungen für Mitglieder.

 

F.   Bestehende technische und organisatorische Maßnahmen (TOM)

  • Personenbezogene Daten, die ein Vereinsmitglied dem Vorstand oder weiteren autorisierten Personen zur Nutzung für dem Vereinszweck dienlichen Aufgaben überlässt, genießen Vertrauensschutz. Die betroffene Person ist über die vorgesehene Nutzung in Kenntnis zu setzen und muss der Nutzung schriftlich zustimmen.

 

  • Mitgliederdaten werden, wie von den jeweiligen Betroffenen durch die Beitrittserklärung übermittelt, zentral in einer Mitgliederliste gespeichert. Diese Daten bilden die Grundlage für das personenbezogene Vereinsmanagement und sind nur für die o.g. Zwecke zu nutzen. Die für die Mitgliederliste verantwortliche Person (1. Vorstand und Kassier) stellt eine regelmäßige Datensicherung sicher.

 

  • Die Speicherung der personenbezogenen Daten erfolgt auf einem PC des Kassier und ist durch die individuelle Zuteilung und Nutzung von Passwörtern geschützt. Kopien dürfen für die o.g. Zwecke (siehe E.3)) erstellt werden und sind nur an autorisierte Vereinsfunktionäre auszuhändigen. Der Inhalt von Kopien von Datensätzen ist auf die absolut notwendigen personenbezogenen Daten zu beschränken.

 

  • Autorisierte Nutzer und deren Datenempfangs- und Datenverarbeitungsprivilegien

 

  1. und 2. Vorstand                         Alle Daten
  2. Kassier Alle Daten
  3. Schriftführer             Alle erforderlichen Mitgliederdaten
  4. Beisitzer und Webmaster Funktionsbedingte Mitgliederdaten

 

  • Zugangssteuerung

 

  1. Der Zugang zu personenbezogenen Daten wird durch die autorisierten Nutzer gem. a) und b) oben nach strengen „nur bei Bedarf“-Kriterien gewährt.
  2. Online-Banking: Zugang wird nur den autorisierten Nutzern gem. F. 4) a und b gewährt, wobei die Bank-internen Regelungen zu beachten sind (1 Vorstand ist in der Regel der Kontoinhaber, der seinerseits weitere Bevollmächtigte benennen kann).
  3. Homepage des SV Eglofs: Zugang zwecks Datenpflege wird nur dem Webmaster und dem Vorstandsvorsitzenden gewährt. Der Webmaster ist vom Vorstand zu benennen.
  4. Email: Vereinsfunktionäre nutzen für elektronische Kommunikation öffentliche Email-Plattformen sowie vorwiegend WhatsApp. In WhatsApp sind außer Name und Vornamen vor Personen keine personenbezogenen Daten zu übermitteln.

 

  • Informationsklassifizierung (und deren Handhabung)

 

  1. Alle personenbezogenen Daten bzw. Informationen sind grundsätzlich als vertrauliche Daten zu behandeln. Die Veröffentlichung von solchen Daten / Informationen bedarf zwingend der Zustimmung der betroffenen Person oder des/der gesetzlichen Vertreter(s).
  2. Nicht-personenbezogene Daten bzw. Informationen sind so zu behandeln, dass durch ihre Veröffentlichung keine Rufschädigung des Vereins entstehen kann. Öffentlichkeitsarbeit erfolgt grundsätzlich nur über den 1. Vorsitzenden oder, in dessen Abwesenheit, über den 2. Vorsitzenden.
  3. Informationen, die im Rahmen des Internetauftritts des Vereins publiziert werden, können entweder als Informationen für die Mitglieder oder Informationen für die Allgemeinheit klassifiziert werden. Die Zuteilung nimmt der Webmaster in Absprache mit dem Vorstand vor. Informationen, die nur für die Mitglieder bestimmt sind, sind in einem dafür reservierten Bereich abzulegen und durch Passwort zu schützen.
  4. Protokolle und andere schriftliche Dokumente sind grundsätzlich nicht für die Veröffentlichung vorgesehen und unterliegen dem vertraulichen Umgang innerhalb des jeweiligen Gremiums des Vereins. Über die auszugsweise Veröffentlichung von Protokolldaten oder Inhalten anderer interner Dokumente entscheidet der Vorstand, ggf in Abstimmung mit dem Ausschuss.

 

  • Physische und umgebungsbezogene Sicherheit

 

  1. Die von den entsprechenden Berechtigten gem. F. 4) genutzten PC sind mit Passwort vor dem Zugriff Unbefugter zu schützen. Dabei verpflichten sich diese Nutzer darauf zu achten, dass nicht-autorisierte Personen keinen Zugang zu den verarbeiteten Daten erhalten.
  2. Die Weitergabe von Vereinsinformationen, insbesondere von vertraulichen Informationen und Daten, hat grundsätzlich nur über den Vorstand zu erfolgen. Der Empfängerkreis von Informationen ist immer auf das notwendige Minimum zu begrenzen.
  3. Werden Personallisten in Papierform weitergereicht, sind diese an einem sicheren, nicht für Unbefugte zugänglichen Ort aufzubewahren und nach Abschluss der Nutzung zu vernichten (Schreddern oder verbrennen).

 

  • Anweisung für Endanwender

 

Endanwender sind die unmittelbaren Nutzer von Informationen. Sie verarbeiten die Daten strikt nur für den Zweck, für den ihnen die Daten überlassen wurden. Dazu zählen:

  1. der Datenabgleich zwischen Mitgliederverwaltung und den einzelnen Funktionären,
  2. die erforderliche Datenübertragung für die Anmeldung zu Luftsportveranstaltungen und anderen vergleichbaren Ereignissen, die im Vereinsinteresse stehen,
  3. die Erhebung der Mitgliederbeiträge und anderer autorisierter Finanztransaktionen,
  4. die Meldung von Unfällen und Zwischenfällen an die zuständigen Untersuchungsbehörden,
  5. die Meldung von Versicherungsfälle im Verein,
  6. der Austausch von Finanzdaten mit dem Steuerberater und dem Finanzamt,
  7. die Übertragung von Mitgliederdaten an übergeordnete Verbände,
  8. die Herausgabe von Mitgliederdaten auf Verlangen des jeweiligen Mitglieds.

 

  • Einschränkung von Software Installation und -verwendung

 

Auf Vereinscomputern[2] ist Soft- und Hardware nur durch den IT-Administrator zu installieren. Dies betrifft nicht die Installation von Updates von bereits installierter Software, die auch von jedem autorisierten Nutzer vorgenommen werden kann, sofern sie/er die nötigen Kenntnisse für eine derartige Maßnahme besitzt.

 

  • Datensicherung

 

  1. Nach jeder Session zur Aktualisierung der ML ist eine Datensicherung durch die für die ML zuständige Person vorzunehmen,
  2. Entfällt.

 

  • Informationsübertragung

 

Für vertrauliche Informationen hat die Informationsübertragung möglichst verschlüsselt zu erfolgen.

 

  • Schutz vor Schadsoftware

 

  1. Zum Schutz vor Schadsoftware ist auf allen Geräten, auf denen Vereinsinformationen verarbeitet werden, ein aktuelles Schadsoftware-Abwehrprogramm zu betreiben. Jede Information, die von einem privaten Computer auf den Vereins-PC übertragen werden soll, ist vor dem Speichern auf Schadsoftware zu überprüfen.
  2. Zur Verhinderung der versehentlichen Speicherung von Schadsoftware ist auf dem Vereins-PC eine „Firewall“ zu installieren.
  3. Verdächtige Emails sind sofort zu löschen bzw. in den SPAM-Ordner zu verschieben.

 

  • Handhabung technischer Schwachstellen

Werden Verstöße gegen diese Datenschutzordnung bei der autorisierten Nutzung von privaten Computern oder anderen Medien zur Handhabung von personenbezogenen Daten festgestellt, ist die entsprechende Person umgehend aus dem autorisierten Personenkreis auszuschließen und ein Schadensaufnahme einzuleiten.

  • Kommunikationssicherheit

 

Zusätzlich zu den bereits beschriebenen Schutzmaßnahmen zur Vermeidung von Datenlecks ist bei der Kommunikation mittels Telefon darauf zu achten, dass personenbezogene Daten nicht beiläufig von beistehenden Personen aufgefasst werden können.

 

  • Privatsphäre und Schutz von personenbezogenen Informationen

 

Der Schutz der Privatsphäre eines jeden Mitglieds hat oberste Priorität bei der Verarbeitung von Informationen für Vereinszwecke, insbesondere bei der Verarbeitung von personenbezogenen Informationen. Jedes Vereinsmitglied, das aufgrund seiner Funktion im Verein mit der personenbezogenen Informationsverarbeitung beauftragt ist, muss sich stets bewusst sein, welchen Schaden sie oder er anrichten kann, wenn durch Sorglosigkeit vertrauliche Informationen an die Öffentlichkeit geraten. Insbesondere bei grob fahrlässiger oder gar vorsätzlicher Verletzung der Sorgfaltspflicht im Umgang mit personenbezogenen Daten muss jeder Einzelne mit empfindlichen Strafen rechnen. Die Reputation des Vereins kann durch mangelnde Sorgfalt im Umgang mit personenbezogenen Daten empfindlich verletzt werden. Bei groben Verstößen gegen diese Sorgfaltspflicht kann das Mitglied aus dem Verein ausgeschlossen werden.

 

  • Regelmäßige Überprüfung und Bewertung der Informationssicherheit

 

  1. Datenverarbeitungsvorgänge und Maßnahmen zum Datenschutz sind laufend zu überprüfen und, wo nötig, zu aktualisieren.
  2. Technische Mittel sind im Rahmen des finanziell Möglichen und unter Berücksichtigung des Verhältnismäßigkeitsprinzips zu nutzen.
  3. Organisatorische und strukturelle Maßnahmen sind stets auch unter dem Gesichtspunkt des Informations- bzw. Datenschutzes und der Informations- bzw. Datensicherheit zu betrachten.

 

  • Diese Datenschutzerklärung wurde am 15.12.2018 vom Ausschuss gebilligt und tritt mit sofortiger Wirkung in Kraft.

 

 

 

 

 

Leutner

  1. Vorstand

 

 

 

Anlage 1: Einverständniserklärung

 

 

Einverständniserklärung in die Erhebung und Verarbeitung von Daten durch den BFA e.V.

Für unser Mitgliedermanagement erfolgt die Erhebung und Verarbeitung folgender personenbezogener Daten:

  • Name, Anschrift, Geburtsdatum
  • Telefonnummer, E-Mail-Adresse
  • Bankverbindung
  • Informationen über Lizenzen, Befähigungen, Leistungen, Berechtigungen

Diese Daten werden auf autorisierten PC des BFA e.V. gespeichert und können nur von berechtigten Personen eingesehen werden. Wir versichern hiermit, dass die von uns durchgeführte EDV auf der Grundlage geltender Gesetze erfolgt und für das Zustandekommen und die Pflege der Mitgliedschaft im BFA e.V. notwendig ist. Darüber hinaus benötigt es für jede weitere Datenerhebung die Zustimmung des Nutzers. Eine automatische Löschung erfolgt spätestens nach 6 Monaten, insofern entsprechende Daten nicht weiter benötigt werden.

Nutzerrechte

Der Unterzeichnende hat das Recht, diese Einwilligung jederzeit ohne Angabe einer Begründung zu widerrufen. Weiterhin können erhobene Daten bei Bedarf korrigiert, gelöscht oder deren Erhebung eingeschränkt werden. Auf Anfrage können Sie unter der untenstehenden Adresse eine detaillierte Auskunft über den Umfang der von uns vorgenommenen Datenerhebung verlangen. Auch kann eine Datenübertragung angefordert werden, sollte der Unterzeichnende eine Übertragung seiner Daten an eine dritte Stelle wünschen.

Folgen des Nicht-Unterzeichnens

Der Unterzeichnende hat das Recht, dieser Einwilligungserklärung nicht zuzustimmen – da unsere Mitgliederverwaltung jedoch auf die Erhebung und Verarbeitung genannter Daten angewiesen ist, würde eine Nichtunterzeichnung eine Mitgliedschaft im BFA e.V. ausschließen.

Kontakt

Beschwerden, Auskunftsanfragen und andere Anliegen sind an folgende Stelle zu richten:

Richard Offinger

Webmaster und Beisitzer

Ammannweg 18

88260 Argenbühl-Eglofs

Email: r-offinger@t-online.de

 

Zustimmung durch den Nutzer

Hiermit versichert der Unterzeichnende, der Erhebung und der Verarbeitung seiner Daten durch den BFA e.V. zuzustimmen und über seine Rechte belehrt worden zu sein:

 

………………………………………………………………………………..

Datum, Unterschrift

 

  1. Ihre Rechte

Selbstverständlich haben Sie in Bezug auf die Erhebung Ihrer Daten Rechte. Laut geltendem Gesetz sind wir dazu verpflichtet, Sie über dieselben aufzuklären. Die Inanspruchnahme und Durchführung dieser Rechte ist für Sie kostenlos.

  • Widerrufsrecht

Sie haben das Recht, Ihre Einwilligung bzgl. der Erhebung von Daten jederzeit zu widerrufen. Dieses Recht gilt mit Wirkung für die Zukunft; die bis zur Rechtkraft des Widerrufs erhobenen Daten bleiben hiervon unberührt.

Bitte kontaktieren Sie den Webmaster, wenn Sie von Ihrem Widerspruchsrecht Gebrauch machen wollen.

  • Recht auf Datenübertragbarkeit

Sie haben das Recht, eine Übertragung Ihrer Daten von uns auf eine andere Stelle zu beantragen.

  • Recht auf Berechtigung, Löschung oder Sperrung

Sie haben das Recht, Ihre Daten berichtigen, löschen oder sperren zu lassen. Letzteres kommt zur Anwendung, wenn die gesetzliche Lage eine Löschung nicht zulässt.

  • Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde bzw. einer zuständigen Stelle zu beschweren, insofern Sie einen Grund zur Beanstandung haben sollten. Für die Inanspruchnahme dieses Rechts und der zwei vorher genannten wenden Sie sich bitte an die am Ende dieser Datenschutzerklärung aufgeführten Kontaktpersonen.

  1. Verantwortlich für die Datenerhebung

Für Fragen, Auskunftsersuche, Anträge, Beschwerden oder Kritik hinsichtlich unseres Datenschutzes können Sie sich an folgende Stelle wenden:

Richard Offinger

Webmaster und Beisitzer

Ammannweg 18

88260 Argenbühl – Eglofs

Email: r-offinger@t-online.de

 

  1. Datenschutzbeauftragte/r

Die korrekte Umsetzung des Datenschutzes wird beim BFA e.V. derzeit im Auftrag des 1. Vorstands vom Webmaster wahrgenommen. Wenn Sie Anliegen hinsichtlich der Verarbeitung Ihrer persönlichen Daten haben, besteht die Möglichkeit, sich direkt mit diesem in Verbindung zu setzen.

Richard Offinger

Ammannweg 18

88260 Argenbühl – Eglofs

Tel.: 07566 945 7777

 

  1. Änderung der Datenschutzerklärung

Der Vorstand des BFA e.V. behält es sich vor, die Datenschutzerklärung jederzeit im Hinblick auf geltende Datenschutzvorschriften zu verändern. Derzeitiger Stand ist Dezember 2018.

[1] Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

 

[2] Aktuell ist kein Vereins-PC im Einsatz.

 

 

Die Datenschutzordnung der Ballonfreunde Allgäu e.V. kann über das nachfolgende Link heruntergeladen werden.

Datenschutzordnung BFA_2018-12-17