A. Ziel der Datenschutzordnung
Die Datenschutzordnung der Krieger- und Reservistenkameradschaft (KRK) Eglofs e.V. hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Dadurch soll die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) gewährleistet und der Nachweis der Einhaltung erbracht werden. Ziel ist es auch, durch die Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist, um vereinsrelevante, insbesondere personenbezogene Daten bzw. Informationen zu schützen.
B. Präambel
Díe KRK Eglofs ist ein gemeinnütziger Verein. Die Führung des Vereins obliegt einem Vorstandsgremium aus einem Vorsitzenden, einem stellvertretenden Vorsitzenden, sowie den Funktionen Kassier, Schriftführer sowie 5 Beisitzern. Der Vorsitzende und sein Stellvertreter sind vertretungsberechtigte Vorstände nach § 26 BGB. Die o.g. Funktionäre bilden den Vorstand des Vereins.
Die Mitgliederversammlung ist das zentrale Gremium des Vereins. Es tagt planmäßig einmal jährlich.
„Zweck des Vereins ist die Pflege der Kameradschaft, insbesondere aber die Ehrung der Gefallenen und Vermissten“.. der Kriege mit deutscher Beteiligung. Die unmittelbare Erfüllung des Vereinszwecks erfolgt im Rahmen regelmäßiger Kameradschaftsabende mit optionalen Vorträgen und Diskussionen zu historischen und aktuellen sicherheitspolitischen Themen im vereinsinternen Rahmen oder durch Beteiligung der Öffentlichkeit. Die Ehrung der gefallenen und vermissten Soldaten erfolgt im Rahmen einer jährlichen Gedenkfeier anlässlich des Volkstrauertags und mittels Pflege und Erhaltung eines historischen Archivs.
Zuständiges Finanzamt ist Wangen i.A. Der Verein erfüllt die satzungsmäßigen Voraussetzungen nach den §§ 51, 59, 60 und 61 AO.
Der Verein ist im Vereinsregister des Amtsgerichts Ulm als gemeinnütziger Verein eingetragen (VR 620139).
Mit ca. 40 Mitgliedern ist der Verein datenschutzrechtlich nur kleineren Herausforderungen ausgesetzt, die mittels dieser Datenschutzordnung bewältigt werden.
C. Datenschutzpolitik und Verantwortlichkeiten im Verein
1) Datenschutz in der KRK Eglofs soll einerseits die für eine optimale Vereinsführung und insbesondere die für die notwendige Mitgliederverwaltung erforderliche Bearbeitung von personenbezogenen Daten nicht behindern, andererseits den größtmöglichen Schutz dieser Daten sicherstellen. Dies soll erreicht werden durch
a) das Erzeugen eines Verantwortungsgefühls für den sorgfältigen Umgang mit personenbezogenen Daten bei allen Betroffenen im Verein;
b) klare Regelungen für den Umgang mit personenbezogenen Daten für alle Vereinsmitglieder;
c) durch enge Kontrolle der Datenverarbeitungsprozesse im Verein;
d) die auf das notwendige Minimum begrenzte Verarbeitung von personenbezogenen Daten.
e) den Schutz von Hard- und Software durch technische Maßnahmen.
2) Der Vorsitzende ist auch der erste Verantwortliche für den Datenschutz im Verein. Er legt in Absprache mit dem Vorstand die Datenschutzrichtlinien des Vereins fest. Der Vorstand erlässt die Datenschutzordnung des Vereins. Die Funktion eines Datenschutzbeauftragten wird aufgrund der nur unregelmäßigen und geringfügigen Bearbeitung von personenbezogenen Daten nicht etabliert.
3) Die Datenschutzordnung ist kontinuierlich zu überprüfen und gesetzlichen oder vereinsinternen Veränderungen anzupassen.
4) Alle mit der Verarbeitung von personenbezogenen Daten befassten Personen sind mit der Datenschutzordnung vertraut zu machen und zum sorgfältigen Umgang mit solchen Daten zu verpflichten. Wo notwendig sind Schulungen auf Kosten des Vereins durchzuführen.
5) Personenbezogenen Daten, die dem Vereinsmanagement anvertraut wurden, sind nicht über soziale Medien zu kommunizieren.
D. Rechtliche Rahmenbedingungen im Verein
1) Die datenschutzrechtlichen Grundlagen für die KRK Eglofs sind die Satzung des Vereins, die Datenschutzgrundverordnung (DSGVO), gültig ab 25.05.2018, das Bundesdatenschutzgesetz (BDSG) in seiner jeweils aktuellen Fassung, sowie der BSI – Standard 100-2.
2) Personenbezogene Daten dürfen nur zur Erfüllung des Vereinszwecks an eindeutig zweckdienliche Organisationen oder Personen weitergeleitet werden. Die Erfüllung der datenschutzrechtlichen Voraussetzungen beim Empfänger der Informationen ist vorher zu prüfen.
E. Dokumentation
1) Der Schutzbedarf für die Datenverarbeitung in der KRK Eglofs bezüglich Vertraulichkeit, Integrität und Verfügbarkeit wird gemäß BDI Standard 100-2 als NORMAL bewertet, d.h.:
a) Der Schutz von Informationen, die nur für den internen Gebrauch bestimmt sind, muss gewährleistet sein.
b) Kleinere Fehler können toleriert werden. Fehler, die die Aufgabenerfüllung erheblich beeinträchtigen, müssen jedoch erkenn- oder vermeidbar sein.
c) Längere Ausfallzeiten, die zu Terminüberschreitungen führen, sind nicht zu tolerieren.
d) Der Schutz personenbezogener Daten muss gewährleistet sein. Anderenfalls besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.
2) Für die Definition von personenbezogenen Daten gilt § 3 Abs. 1 des BDSG1.
3) In der KRK Eglofs werden personenbezogene Daten für folgende Zwecke genutzt:
a) Führen der Mitgliederliste (ML) des Vereins zum Zweck
i) der Beitragsbemessung und -erhebung (Geburtsdatum, Familienverhältnisse)
ii) des Beitragseinzugs (Kontodaten)
iii) von Ehrungen (Eintrittsdatum)
b) Meldungen an Zweckverbände
c) Meldungen an Behörden (z.B. BGB § 26 Vorstände)
d) Mitteilungen an Banken zwecks Vollmachtserteilung und Online-Banking
e) Mitteilungen an Versicherungen im Falle von Vereinsversicherungen für Mitglieder.
f) Pflege eines Archivs über Kriegseinsätze der einzelnen Mitglieder
F. Bestehende technische und organisatorische Maßnahmen (TOM)
1) Personenbezogene Daten, die ein Vereinsmitglied dem Vorstand oder weiteren autorisierten Personen zur Nutzung für dem Vereinszweck dienlichen Aufgaben überlässt, genießen Vertrauensschutz. Die betroffene Person ist über die vorgesehene Nutzung in Kenntnis zu setzen und muss der Nutzung schriftlich zustimmen.
2) Mitgliederdaten werden, wie von den jeweiligen Betroffenen durch die Beitrittserklärung übermittelt, zentral in einer Mitgliederliste gespeichert. Diese Daten bilden die Grundlage für das personenbezogene Vereinsmanagement und sind nur für die o.g. Zwecke zu nutzen. Die für die Mitgliederliste verantwortliche Person (Kassier) stellt eine regelmäßige Datensicherung sicher.
3) Die Speicherung der personenbezogenen Daten erfolgt auf einem PC des Kassiers und ist durch die individuelle Zuteilung und Nutzung von Passwörtern geschützt. Kopien dürfen für die o.g. Zwecke (siehe E.3)) erstellt werden und sind nur an autorisierte Vereinsfunktionäre auszuhändigen. Der Inhalt von Kopien von Datensätzen ist auf die absolut notwendigen personenbezogenen Daten zu beschränken.
4) Autorisierte Nutzer und deren Datenempfangs- und Datenverarbeitungsprivilegien
a) Vorsitzender und stv. Vorsitzender Alle Daten
b) Kassier Alle Daten
c) Schriftführer Nur zwingend erforderliche Mitgliederdaten
d) Beisitzer und Webmaster Funktionsbedingte Mitgliederdaten
5) Zugangssteuerung
a) Der Zugang zu personenbezogenen Daten wird durch die autorisierten Nutzer gem. a) und b) oben nach strengen „nur bei Bedarf“-Kriterien gewährt.
b) Online-Banking: Zugang wird nur den autorisierten Nutzern gem. F. 4) a und b gewährt, wobei die Bank-internen Regelungen zu beachten sind (Vorsitztender ist in der Regel der Kontoinhaber, der seinerseits weitere Bevollmächtigte benennen kann).
c) Homepage der KRK Eglofs: Zugang zwecks Datenpflege wird nur dem Webmaster und dem Vorsitzenden gewährt. Der Webmaster ist vom Vorstand zu benennen.
d) Email: Vereinsfunktionäre nutzen für elektronische Kommunikation öffentliche Email-Plattformen. Unverschlüsselt sind hierbei außer Name und Vornamen vor Personen keine personenbezogenen Daten zu übermitteln.
6) Informationsklassifizierung (und deren Handhabung)
a) Alle personenbezogenen Daten bzw. Informationen sind grundsätzlich als vertrauliche Daten zu behandeln. Die Veröffentlichung von solchen Daten / Informationen bedarf zwingend der Zustimmung der betroffenen Person oder des/der gesetzlichen Vertreter(s).
b) Nicht-personenbezogene Daten bzw. Informationen sind so zu behandeln, dass durch ihre Veröffentlichung keine Rufschädigung des Vereins entstehen kann. Öffentlichkeitsarbeit erfolgt grundsätzlich nur über den Vorsitzenden oder, in dessen Abwesenheit, über den stellvertretenden Vorsitzenden.
c) Informationen, die im Rahmen des Internetauftritts des Vereins publiziert werden, können entweder als Informationen für die Mitglieder oder Informationen für die Allgemeinheit klassifiziert werden. Die Zuteilung nimmt der Webmaster in Absprache mit dem Vorsitzenden vor. Informationen, die nur für die Mitglieder bestimmt sind, sind in einem dafür reservierten Bereich abzulegen und durch Passwort zu schützen.
d) Protokolle und andere schriftliche Dokumente sind grundsätzlich nicht für die Veröffentlichung vorgesehen und unterliegen dem vertraulichen Umgang innerhalb des jeweiligen Gremiums des Vereins. Über die auszugsweise Veröffentlichung von Protokolldaten oder Inhalten anderer interner Dokumente entscheidet der Vorsitzende, ggf in Abstimmung mit dem Vorstand.
7) Physische und umgebungsbezogene Sicherheit
a) Die von den entsprechenden Berechtigten gem. F. 4) genutzten PC sind mit Passwort vor dem Zugriff Unbefugter zu schützen. Dabei verpflichten sich diese Nutzer darauf zu achten, dass nicht-autorisierte Personen keinen Zugang zu den verarbeiteten Daten erhalten.
b) Die Weitergabe von Vereinsinformationen, insbesondere von vertraulichen Informationen und Daten, hat grundsätzlich nur über den Vorsitzenden oder Vertreter im Amt zu erfolgen. Der Empfängerkreis von Informationen ist immer auf das notwendige Minimum zu begrenzen.
c) Werden Personallisten in Papierform weitergereicht, sind diese an einem sicheren, nicht für Unbefugte zugänglichen Ort aufzubewahren und nach Abschluss der Nutzung zu vernichten (schreddern oder verbrennen).
8) Anweisung für Endanwender
Endanwender sind die unmittelbaren Nutzer von Informationen. Sie verarbeiten die Daten strikt nur für den Zweck, für den ihnen die Daten überlassen wurden. Dazu zählen:
a) der Datenabgleich zwischen Mitgliederverwaltung und den einzelnen Funktionären,
b) die erforderliche Datenübertragung für die Anmeldung zu überörtlichen Veranstaltungen und anderen vergleichbaren Ereignissen, die im Vereinsinteresse stehen,
c) die Erhebung der Mitgliederbeiträge und anderer autorisierter Finanztransaktionen,
d) die Meldung von Versicherungsfällen im Verein,
e) der Austausch von Finanzdaten mit dem Steuerberater und dem Finanzamt,
f) die Übertragung von Mitgliederdaten an übergeordnete Verbände,
g) die Herausgabe von Mitgliederdaten auf Verlangen des jeweiligen Mitglieds.
9) Einschränkung von Softwareinstallation und -verwendung
Soweit vorhanden ist auf Vereinscomputern2 Soft- und Hardware nur durch den Webmaster bzw. autorisierten IT-Administrator zu installieren. Dies betrifft nicht die Installation von Updates von bereits installierter Software, die auch von jedem autorisierten Nutzer vorgenommen werden kann, sofern sie/er die nötigen Kenntnisse für eine derartige Maßnahme besitzt.
10) Datensicherung
a) Nach jeder Session zur Aktualisierung der ML ist eine Datensicherung durch die für die ML zuständige Person vorzunehmen,
b) Datensicherung des Archivs erfolgt durch nicht-öffentliche Aufbewahrung in verschlossenen Ablagevorrichtungen. Veröffentlichungen bedürfen der Zustimmung der Familienangehörigen.
11) Informationsübertragung
Für vertrauliche Informationen hat die Informationsübertragung möglichst verschlüsselt zu erfolgen. Ist dies nicht möglich, sind die zu übertragenden personenbezogenen Daten auf das absolut notwendige Minimum zu beschränken.
12) Schutz vor Schadsoftware
a) Zum Schutz vor Schadsoftware ist auf allen Geräten, auf denen Vereinsinformationen verarbeitet werden, ein aktuelles Schadsoftware-Abwehrprogramm zu betreiben. Jede Information, die von einem privaten Computer auf den Vereins-PC übertragen werden soll, ist vor dem Speichern auf Schadsoftware zu überprüfen.
b) Zur Verhinderung der versehentlichen Speicherung von Schadsoftware ist ggf. auf dem Vereins-PC eine „Firewall“ zu installieren.
c) Verdächtige Emails sind sofort zu löschen bzw. in den SPAM-Ordner zu verschieben.
13) Handhabung technischer Schwachstellen
Werden Verstöße gegen diese Datenschutzordnung bei der autorisierten Nutzung von privaten Computern oder anderen Medien zur Handhabung von personenbezogenen Daten festgestellt, ist die entsprechende Person umgehend aus dem autorisierten Personenkreis auszuschließen und eine Schadensaufnahme einzuleiten.
14) Kommunikationssicherheit
Zusätzlich zu den bereits beschriebenen Schutzmaßnahmen zur Vermeidung von Datenlecks ist bei der Kommunikation mittels Telefons darauf zu achten, dass personenbezogene Daten nicht beiläufig von beistehenden Personen aufgefasst werden können.
15) Privatsphäre und Schutz von personenbezogenen Informationen
Der Schutz der Privatsphäre eines jeden Mitglieds hat oberste Priorität bei der Verarbeitung von Informationen für Vereinszwecke, insbesondere bei der Verarbeitung von personenbezogenen Informationen. Jedes Vereinsmitglied, das aufgrund seiner Funktion im Verein mit der personenbezogenen Informationsverarbeitung beauftragt ist, muss sich stets bewusst sein, welchen Schaden sie oder er anrichten kann, wenn durch Sorglosigkeit vertrauliche Informationen an die Öffentlichkeit geraten. Insbesondere bei grob fahrlässiger oder gar vorsätzlicher Verletzung der Sorgfaltspflicht im Umgang mit personenbezogenen Daten muss jeder Einzelne mit empfindlichen Strafen rechnen. Die Reputation des Vereins kann durch mangelnde Sorgfalt im Umgang mit personenbezogenen Daten empfindlich verletzt werden. Bei groben Verstößen gegen diese Sorgfaltspflicht kann das Mitglied aus dem Verein ausgeschlossen werden.
16) Regelmäßige Überprüfung und Bewertung der Informationssicherheit
a) Datenverarbeitungsvorgänge und Maßnahmen zum Datenschutz sind laufend zu überprüfen und, wo nötig, zu aktualisieren.
b) Technische Mittel sind im Rahmen des finanziell Möglichen und unter Berücksichtigung des Verhältnismäßigkeitsprinzips zu nutzen.
c) Organisatorische und strukturelle Maßnahmen sind stets auch unter dem Gesichtspunkt des Informations- bzw. Datenschutzes und der Informations- bzw. Datensicherheit zu betrachten.
17) Diese Datenschutzerklärung wurde am 23.01.2019 vom Ausschuss gebilligt und tritt mit sofortiger Wirkung in Kraft.
1 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
2 Aktuell ist kein Vereins-PC im Einsatz.
Einverständniserklärung in die Erhebung und Verarbeitung von Daten durch die KRK Eglofs e.V.
Für unser Mitgliedermanagement erfolgt die Erhebung und Verarbeitung folgender personenbezogener Daten:
- Name, Anschrift, Geburtsdatum
- Telefonnummer, E-Mail-Adresse
- Bankverbindung
- Informationen über Verwendungen als Soldat*in oder ähnliche Verwendungen
Diese Daten werden auf autorisierten PC der KRK Eglofs gespeichert und können nur von berechtigten Personen eingesehen werden. Wir versichern hiermit, dass die von uns durchgeführte EDV auf der Grundlage geltender Gesetze erfolgt und für das Zustandekommen und die Pflege der Mitgliedschaft in der KRK Eglofs notwendig sind. Darüber hinaus benötigt es für jede weitere Datenerhebung die Zustimmung des Mitglieds. Eine automatische Löschung erfolgt spätestens nach 6 Monaten, insofern entsprechende Daten nicht weiter benötigt werden.
Nutzerrechte
Der Unterzeichnende hat das Recht, diese Einwilligung jederzeit ohne Angabe einer Begründung zu widerrufen. Weiterhin können erhobene Daten bei Bedarf korrigiert, gelöscht oder deren Erhebung eingeschränkt werden. Auf Anfrage können Sie unter der untenstehenden Adresse eine detaillierte Auskunft über den Umfang der von uns vorgenommenen Datenerhebung verlangen. Auch kann eine Datenübertragung angefordert werden, sollte der Unterzeichnende eine Übertragung seiner Daten an eine dritte Stelle wünschen.
Folgen des Nicht-Unterzeichnens
Der Unterzeichnende hat das Recht, dieser Einwilligungserklärung nicht zuzustimmen – da unsere Mitgliederverwaltung jedoch auf die Erhebung und Verarbeitung genannter Daten angewiesen ist, würde eine Nichtunterzeichnung eine Mitgliedschaft in der KRK Eglofs ausschließen.
Kontakt
Beschwerden, Auskunftsanfragen und andere Anliegen sind an folgende Stelle zu richten:
Richard Offinger
Vorsitzender
Ammannweg 18
88260 Argenbühl-Eglofs
Email: r-offinger@t-online.de
Zustimmung durch den Nutzer
Hiermit versichert der Unterzeichnende, der Erhebung und der Verarbeitung seiner Daten durch die KRK Eglofs e.V. zuzustimmen und über seine Rechte belehrt worden zu sein:
………………………………………………………………………………..
Datum, Unterschrift
1. Ihre Rechte
Selbstverständlich haben Sie in Bezug auf die Erhebung Ihrer Daten Rechte. Laut geltendem Gesetz sind wir dazu verpflichtet, Sie über dieselben aufzuklären. Die Inanspruchnahme und Durchführung dieser Rechte sind für Sie kostenlos.
1.1. Widerrufsrecht
Sie haben das Recht, Ihre Einwilligung bzgl. der Erhebung von Daten jederzeit zu widerrufen. Dieses Recht gilt mit Wirkung für die Zukunft; die bis zur Rechtkraft des Widerrufs erhobenen Daten bleiben hiervon unberührt.
Bitte kontaktieren Sie den Vorsitzenden, wenn Sie von Ihrem Widerspruchsrecht Gebrauch machen wollen.
1.2. Recht auf Datenübertragbarkeit
Sie haben das Recht, eine Übertragung Ihrer Daten von uns auf eine andere Stelle zu beantragen.
1.3. Recht auf Berechtigung, Löschung oder Sperrung
Sie haben das Recht, Ihre Daten berichtigen, löschen oder sperren zu lassen. Die Sperrung kommt zur Anwendung, wenn die gesetzliche Lage eine Löschung nicht zulässt.
1.4. Beschwerderecht
Sie haben das Recht, sich bei einer Aufsichtsbehörde bzw. einer zuständigen Stelle zu beschweren, insofern Sie einen Grund zur Beanstandung haben sollten. Für die Inanspruchnahme dieses Rechts und der zwei vorher genannten wenden Sie sich bitte an die am Ende dieser Datenschutzerklärung aufgeführten Kontaktpersonen.
2. Verantwortlich für die Datenerhebung
Für Fragen, Auskunftsersuche, Anträge, Beschwerden oder Kritik hinsichtlich unseres Datenschutzes können Sie sich an folgende Stelle wenden:
Richard Offinger
Vorsitzender
Ammannweg 18
88260 Argenbühl – Eglofs
Email: r-offinger@t-online.de
3. Datenschutzbeauftragte/r
Die korrekte Umsetzung des Datenschutzes wird bei der KRK Eglofs e.V. derzeit direkt durch den Vorsitzenden wahrgenommen. Ein Datenschutzbeauftragter wird nicht etabliert. Wenn Sie Anliegen hinsichtlich der Verarbeitung Ihrer persönlichen Daten haben, besteht die Möglichkeit, sich direkt an den Vorsitzenden (siehe oben) zu wenden.
4. Änderung der Datenschutzerklärung
Der Vorstand der KRK Eglofs e.V. behält es sich vor, die Datenschutzerklärung jederzeit im Hinblick auf geltende Datenschutzvorschriften zu verändern. Derzeitiger Stand ist Dezember 2018.