Status: in Arbeit
Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO
Vorbemerkung
Nach Art. 30 DS-GVO haben verantwortliche Stellen – z. B. Sportvereine – ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen. Damit wird der Nachweis der Einhaltung dieser Verordnung erbracht. Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in dem Verein gespeichert sind oder gespeichert werden sollen. Der Verein ist verpflichtet, mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das Verzeichnis vorzulegen.
- Verantwortlicher (DS-GVO Art. 30, Abs. 1, lit a)
- Bille Wander und Segelverein von 1921 e.V., Holzhafenufer 10, 22113 Hamburg, Telefon: +49 40 789 92 25, info@bwsv-hamburg.de
- Name und Kontaktdaten der verantwortlichen Person (z. B. Vorsitzende/r, Geschäftsführung)
Holger Wendt, 1. Vorsitzender
- Name und Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
Ein Datenschutzbeauftragter wurde nicht benannt
- Aufsichtsbehörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Klosterwall 6 (Block C), 20095 Hamburg Tel.: 040 / 428 54 – 4040 Fax: 040 / 428 54 – 4000 E-Mail: mailbox@datenschutz.hamburg.de
- Zwecke der Verarbeitung (DS-GVO Art. 30, Abs. 1, lit. b)
2.1 Mitgliederverwaltung
- a) Erhebung und Speicherung personenbezogener Daten von Mitgliedern des Vereins zur Erfüllung eines Vertragsverhältnisses – hier: Mitgliedschaft im Verein.
- b) Rechtsgrundlage: Art. 6, Abs. 1, lit. b DS-GVO.
- c) Betroffene Personen: Mitglieder des Vereins
- d) Personenbezogene Daten: Name, Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Bankverbindung, Bootsdaten
- e) Empfänger: Vorstand, Schriftführer, Schatzmeister, Obleute,
- f) Fristen für die Löschung: nach 10 Jahre
2.2. Vorstand/Präsidium
- a) Erhebung und Speicherung personenbezogener Daten von Mitgliedern des Vereins, die eine Vorstandsfunktion ausüben
- b) Rechtsgrundlage: Art. 6, Abs. 1, lit. a und Art. 7 DS-GVO; § 26 BGB, (…)
- c) Betroffene Personen: Mitglieder des Vereins, die eine Vorstandsfunktion ausüben
- d) Personenbezogene Daten: Name, Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Beruf, Schiffsdaten
- e) Empfänger: Vorstand, Geschäftsführung, vereinseigene Medien, ggf. externe Medien
- f) Fristen für die Löschung: nach 10 Jahren
2.3 Personalverwaltung
- a) Erhebung und Speicherung personenbezogener Daten von haupt- und nebenamtlich Beschäftigten des Vereins– hier: Arbeits- bzw. Beschäftigungsvertrag mit dem Verein (Personalakten)
- b) Rechtsgrundlage: Art. 6, Abs. 1, lit. b DS-GVO; § 26 BDSG (neu), (…)
- c) Betroffene Personen: Fest angestelltes Personal, Honorarkräfte, geringfügig Beschäftigte, (…)
- d) Personenbezogene Daten: Name, Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Bankverbindung, (…)
- e) Empfänger: Vorstand, Abteilungsleitung, (…)
- f) Fristen für die Löschung: nach 10 Jahren
2.5 Jugendausbilder
- a) Erhebung und Speicherung personenbezogener Daten von Mitgliedern des Vereins, die als Sportler/innen an Wettkämpfen/Spielen teilnehmen.
- b) Rechtsgrundlage: Art. 6, Abs. 1, lit. f sowie Art. 7 und Art. 9 DS-GVO.
- c) Betroffene Personen: Mitglieder des Vereins, die als Sportler/innen am Jugendsegeln teilnehmen.
- d) Personenbezogene Daten: Name, Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse
- e) Empfänger: Trainer/in, ggf. Vereinsmedien, ggf. externe Medien
- f) Fristen für die Löschung: nach 10 Jahren
2.6 Förderer und Sponsoren
- a) Erhebung und Speicherung personenbezogener Daten von Personen, die den Verein mit finanziellen oder anderen Leistungen unterstützen/fördern.
- b) Rechtsgrundlage: Art. 6, Abs. 1, lit. a und b DS-GVO; ggf. Art. 7 DS-GVO.
- c) Betroffene Personen: Personen, die den Verein mit finanziellen oder anderen Leistungen unterstützen.
- d) Personenbezogene Daten: Name, Anschrift, Telefonnummer, E-Mail-Adresse, Bankverbindung
- e) Empfänger: Vorstand, Schatzmeister
- f) Fristen für die Löschung: nach 10 Jahren
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung gemäß Art. 32 DS-GVO
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Verein geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen folgende Maßnahmen:
- Der Server mit den Daten der Vereinsverwaltung befindet sich in einem abschließbaren Raum. Der Zugang ist nur für ausgewählte Personen gestattet (Vorstand, Geschäftsführung, Administrator, …). Der elektronische Zugang zum Server ist passwortgeschützt und nur ausgewählten Personen (IT-Administrator, benannte Vorstandsmitglieder, …) gestattet.
- Die Daten auf dem Server werden regelmäßig (täglich) mit einem Backup-System gesichert.
- Die Sicherheit und Belastbarkeit des vereinsinternen EDV-Systems wird regelmäßig (wöchentlich, monatlich, …) überprüft. Zuständig ist der/die vom Vorstand benannte IT-Administrator/in.
- Die EDV-Arbeitsplätze (PC, Laptop) sind nicht öffentlich zugänglich und befinden sich in abschließbaren Räumen. Der elektronische Zugang zu diesen Arbeitsplätzen ist passwortgeschützt und nur den Vorstandsmitgliedern, der Geschäftsführung und den Mitarbeitern sowie dem/der IT-Administrator/in gestattet.
- Akten in Papierform (Mitgliederdaten, Personalakten, …) sind in abschließbaren Räumen sowie abschließbaren Schränken untergebracht. Der Zugang ist nur dem Vorstand, der Geschäftsführung und den Mitarbeitern gestattet.
- Personen, die im Verein regelmäßig mit personenbezogene Daten arbeiten (Vorstand, Abteilungsleiter, Geschäftsführung, Mitarbeiter, Trainer, (…) werden regelmäßig (halbjährlich, jährlich, …) zu Datenschutz-Themen geschult.
- Personen, die im Verein regelmäßig mit personenbezogenen Daten arbeiten (Vorstand, Abteilungsleiter, Geschäftsführung, Mitarbeiter, Trainer, (…) müssen eine Datenschutzerklärung unterschreiben, die Datenschutzregelungen enthält und die betroffenen Personen auf Einhaltung des Datengeheimnises verpflichtet.
- Der Verein hat einen/eine Datenschutzbeauftragte/n gemäß Art. 37 – 39 DS-GVO benannt. Kontakt: (Name, Kontaktdaten).
Der Verein hat keinen Datenschutzbeauftragten bestimmt. Die Aufgaben werden durch den ersten Vorsitzende übernommen.
- Die Wirksamkeit des Sicherheitskonzeptes, das die vorgenannten Maßnahmen enthält, wird regelmäßig (jährlich, …) überprüft und bewertet. Zuständig ist (der Vorstand, der Datenschutzbeauftragte,… )