Datenschutzrichtlinie
für
Jugendspielmannszug Westönnen 1973 e. V.
vertreten durch
die/den 1. Vorsitzenden/e
(im Folgenden „Musikverein“ genannt)
§ 1 Bedeutung, Ziel, Zugänglichkeit
(1) Diese Datenschutzrichtlinie ist die verbindliche Basis für einen rechtskonformen und nachhalti-gen Schutz personenbezogener Daten im Musikverein.
(2) Mit dieser Datenschutzrichtlinie sollen die Grundrechte und Grundfreiheiten von Betroffenen, insbesondere ihr Recht auf Schutz personenbezogener Daten gewahrt und geschützt werden.
(3) Die Datenschutzrichtlinie muss für alle Mitglieder, für den Vorstand sowie für Betroffene, deren Daten vom Musikverein verarbeitet werden, jederzeit leicht zugänglich sein.
§ 2 Geltungsbereich
(1) Diese Richtlinie gilt für den Musikverein.
(2) Sie gilt persönlich für alle Mitglieder, den Vorstand und für die Erfüllungsgehilfen des Musikvereins.
(3) Die Gebote und Verbote dieser Datenschutzrichtlinie gelten für jeglichen Umgang mit personen-bezogenen Daten, unabhängig ob dieser elektronisch oder in Papierform vonstattengeht. Ebenso beziehen sie alle Arten von Betroffenen in ihren Geltungsbereich ein.
§ 3 Begriffsbestimmungen
(1) Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifi-zierbare natürliche Person beziehen (Betroffener). Mitgliederdaten gehören dabei ebenso zu den personenbezogenen Daten wie Personaldaten von Erfüllungsgehilfen, Daten von Sponsoren oder
Daten von Konzertbesuchern. Beispielsweise lässt der Name eines Ansprechpartners ebenso einen Rückschluss auf eine natürliche Person zu, wie seine E-Mailadresse. Es genügt, wenn die jeweilige Information mit dem Namen des Betroffenen verbunden ist oder unabhängig hiervon aus dem Zusammenhang hergestellt werden kann. Ebenso kann eine Person bestimmbar sein, wenn die Information mit einem Zusatzwissen erst verknüpft werden muss, so z. B. beim Autokennzeichen. Das Zustandekommen der Information ist für einen Personenbezug unerheblich. Auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten darstellen.
(2) Besondere Arten personenbezogener Daten sind Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen sowie eine eventuelle Gewerkschaftszugehörigkeit hervorgehen kann sowie genetische Daten, biometri-sche Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung einer natürlichen Person.
(3) Verarbeitung ist jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgänge oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(4) Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
(5) Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifi-schen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
(6) Verantwortlicher ist der Musikverein, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(7) Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(8) Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
(9) Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
(10) Eine Einwilligung des Betroffenen ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der der Betroffene zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist.
(11) Mitglieder sind alle Betroffenen, die durch ihre Mitgliedschaft (aktiv oder passiv) am satzungs-gemäßen Vereinsleben teilnehmen.
(12) Erfüllungsgehilfen sind Betroffene, die für den Verein als Dozent, Dirigent oder in anderer Weise tätig sind wobei eine Mitgliedschaft nicht erforderlich ist. Dabei ist es unerheblich, ob ein Erfüllungsgehilfe für seine Tätigkeit entlohnt wird oder die Tätigkeit als Ehrenamt ausübt.
§ 4 Datenschutzorganisation
(1) Sofern hierfür die gesetzliche Pflicht besteht, wird der Musikverein einen Datenschutzbeauftrag-ten benennen. Besteht keine Pflicht zur Benennung obliegt die Verantwortung für die Umsetzung des Datenschutzes beim Vorstand.
(2) Der für den Datenschutz verantwortliche Vorstand überwacht die Einhaltung der DSGVO sowie anderer gesetzlichen Vorgaben, einschließlich der Vorgaben dieser Richtlinien des Musikvereins zum Datenschutz.
(3) Der Vorstand nimmt seine Aufgaben weisungsfrei und unter Anwendung seines Fachwissens wahr.
(4) Die Mitglieder haben den Vorstand bei der Erfüllung seiner Aufgaben zu unterstützen.
§ 5 Umgang mit personenbezogenen Daten
(1) Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, eine gesetz-liche Norm erlaubt explizit den Datenumgang. Personenbezogene Daten dürfen nach der DSGVO grundsätzlich verarbeitet werden:
- Bei einer bestehenden Mitgliedschaft des Betroffenen oder im Vorfeld zur Prüfung einer Mit-gliedschaft (Anbahnung).
- Wenn der Betroffene als Erfüllungsgehilfe für den Musikverein tätig ist.
- Wenn und soweit das Mitglied bzw. der Betroffene eingewilligt hat.
- Wenn eine rechtliche Verpflichtung besteht, der der Musikverein unterliegt.
- Wenn berechtigte Interessen des Musikvereins bestehen, sofern nicht die Interessen oder Grundrechte des Betroffenen überwiegen, insbesondere wenn es sich um ein Kind handelt. Datenverarbeitungen unter Berufung auf ein berechtigtes Interesse bedürfen einer gesonderten Prüfung.
(2) Personenbezogene Daten sind für einen zuvor festgelegten, eindeutigen und legitimen Zweck zu verarbeiten. Eine Datenhaltung ohne Zweck, so beispielsweise die Speicherung von Daten auf Vor-rat, ist unzulässig.
(3) Sofern dies möglich ist, sollte auf eine Verarbeitung von unverschlüsselten personenbezogenen Daten verzichtet werden. Pseudonyme oder anonyme Datenverarbeitungen sind vorzuziehen.
(4) Die Änderung einer Ziel- und Zweckbestimmung, der die Verarbeitung personenbezogener Daten ursprünglich zugrunde gelegt wurde, ist – neben der erklärten Einwilligung durch den Betroffenen – nur zulässig, wenn der Zweck der Weiterverarbeitung mit dem ursprünglichen Zweck vereinbar ist. Hierbei sind insbesondere die vernünftigen Erwartungen des Betroffenen hinsichtlich einer solchen Weiterverarbeitung gegenüber dem Musikverein, die Art der verwendeten Daten, die Folgen für den Betroffenen sowie Möglichkeiten einer Verschlüsselung oder Pseudonymisierung zu berücksichtigen.
(6) Der Betroffene ist bei der Erhebung seiner personenbezogenen Daten umfassend über den Umgang mit seinen Daten zu informieren. Die Information hat die Zweckbestimmung, die Identität der verantwortlichen Stelle, die Empfänger seiner personenbezogenen Daten sowie alle sonstigen Information im Sinne des Art. 13 DSGVO zu beinhalten, um eine faire und transparente Verarbeitung zu gewährleisten. Die Information ist in einer verständlichen und leicht zugänglichen Form sowie einer möglichst einfachen Sprache zu verfassen.
(7) Werden personenbezogene Daten nicht beim Betroffenen erhoben, sondern werden beispiels-weise bei einem Dritten beschafft, ist der Betroffene nachträglich und umfassend gem. Art. 14 DSGVO über den Umgang mit seinen Daten informieren. Dies gilt auch für die Änderung einer Ziel- und Zweckbestimmung der Datenverarbeitung.
(8) Personenbezogene Daten müssen sachlich richtig und, wenn nötig, auf dem neusten Stand sein. Der Umfang der Datenverarbeitung sollte hinsichtlich der festgelegten Zweckbestimmung erforder-lich und relevant sein. Der jeweilige Fachbereich hat für die Umsetzung durch die Etablierung ent-sprechender Prozesse Sorge zu tragen. Ebenso sind Datenbestände regelmäßig auf ihre Richtigkeit, Erforderlichkeit und Aktualität hin zu überprüfen.
§ 6 Besondere Kategorien personenbezogener Daten
Besondere Kategorien der personenbezogenen Daten dürfen grundsätzlich nur mit Einwilligung des Betroffenen oder ausnahmsweise aufgrund einer expliziten gesetzlichen Erlaubnis erhoben, verarbei-tet oder genutzt werden. Ferner sind zusätzliche technische und organisatorische Maßnahmen (z. B.
Verschlüsselung beim Transport, minimale Rechtevergabe) zum Schutz besonderer personenbe-zogener Daten zu ergreifen.
§ 7 Datenübermittlung
(1) Die Übermittlung von personenbezogenen Daten an Dritte ist nur aufgrund gesetzlicher Erlaubnis oder der Einwilligung der Betroffenen zulässig.
§ 8 Externe Dienstleister
(1) Externe Dienstleister sollten nur nach Vorstandsbeschluss Zugriff auf personenbezogene Daten erhalten.
(2) Dienstleister mit einem möglichen Zugriff auf personenbezogene Daten sind vor der Auftragser-teilung sorgfältig auszuwählen. Die Auswahl ist zu dokumentieren und sollte insbesondere die fol-genden Aspekte berücksichtigen:
- Fachliche Eignung des Auftragnehmers für den konkreten Datenumgang
- Technisch-organisatorische Sicherheitsmaßnahmen
- Erfahrung des Anbieters im Markt
- Sonstige Aspekte, die auf eine Zuverlässigkeit des Anbieters schließen lassen (Datenschutz-Dokumentationen, Kooperationsbereitschaft, Reaktionszeiten etc.)
(3) Soll ein Dienstleister personenbezogene Daten im Auftrag verarbeiten, bedarf es des Abschlusses eines Vertrags zur Auftragsverarbeitung. Hierin sind Datenschutz- und IT-Sicherheitsaspekte zu regeln.
(4) Der Dienstleister ist im Hinblick auf die mit ihm vertraglich vereinbarten technisch-organisatorischen Maßnahmen regelmäßig zu überprüfen. Das Ergebnis ist zu dokumentieren.
§ 9 Datenminimierung, Privacy by Desgin/Privacy by Default
(1) Der Umgang mit personenbezogenen Daten ist an dem Ziel auszurichten, so wenige Daten wie möglich von einem Betroffenen zu verarbeiten („Datenminimierung“). Insbesondere sind perso-nenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwen-dungszweck möglich ist.
(2) Entsprechendes gilt für die Auswahl und Gestaltung von Formularen oder Datenverarbeitungs-systemen. Der Datenschutz ist von Anfang an in die Gestaltung der Formulare oder in die Spezifika-tionen und die Architektur von Datenverarbeitungssystemen zu integrieren, um die Einhaltung der Grundsätze des Schutzes der Privatsphäre und des Datenschutzes zu erleichtern, so insbesondere den Grundsatz der Datenminimierung.
§ 10 Rechte von Betroffenen
(1) Betroffene haben das Recht auf Auskunft über die im Musikverein über ihre Person gespeicher-ten personenbezogenen Daten.
(2) Bei der Bearbeitung von Anträgen ist die Identität des Betroffenen zweifelsfrei festzustellen. Bei begründeten Zweifeln an der Identität können zusätzliche Angaben vom Antragssteller angefordert werden.
(3) Die Auskunftserteilung erfolgt schriftlich, es sei denn der Betroffene hat den Antrag auf Auskunft elektronisch gestellt. Der Auskunft ist eine Kopie der Daten des Betroffenen beizufügen, die, neben den zur Person vorhandenen Daten, auch die Empfänger von Daten, den Zweck der Speicherung sowie alle weiteren gesetzlich geforderten Informationen nach Art. 15 DSGVO beinhaltet, um den Betroffenen die Verarbeitung bewusst zu machen und die Rechtmäßigkeit selbst beurteilen zu lassen. Auf besonderen Wunsch des Betroffenen werden die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt.
(4) Betroffene haben einen Anspruch auf Berichtigung ihrer personenbezogenen Daten, wenn sich diese als unrichtig erweisen. Ebenso können sie die Vervollständigung unvollständiger personenbe-zogener Daten verlangen.
(5) Der Betroffene hat das Recht auf Löschung seiner personenbezogenen Daten unter den folgen-den Voraussetzungen:
- die Kenntnis der Daten ist für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich.
- der Betroffene hat eine Einwilligung widerrufen und es fehlt an einer anderweitigen Rechts-grundlage für die Verarbeitung
- ihre Verarbeitung ist unzulässig,
- der Betroffene beruft sich auf ein Widerspruchsrecht aufgrund einer besonderen – zu begründenden – persönlichen Situation,
- es handelt sich um besondere personenbezogene Daten, deren Richtigkeit nicht bewiesen werden kann, oder
- es besteht eine anderweitige rechtliche Verpflichtung zur Datenlöschung.
Besteht eine Verpflichtung zur Löschung und wurden die personenbezogenen Daten zuvor öffentlich gemacht, sind weitere Verantwortliche für die Datenverarbeitung über ein Löschbegehren des Betroffenen hinsichtlich aller Kopien seiner Daten sowie aller Links zu diesen Daten zu informieren.
(6) Der Betroffene kann die Einschränkung der Verarbeitung seiner Daten verlangen, wenn
- die Richtigkeit der personenbezogenen Daten strittig ist, jedoch nur so lange, wie die Richtigkeit durch den Vorstand überprüft wird oder
- die Verarbeitung unzulässig ist, der Betroffene die Datenlöschung aber ablehnt, oder
- der Musikverein die personenbezogenen Daten für Zwecke der Verarbeitung nicht mehr benötigt, der Betroffene die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
- der Betroffene Widerspruch gegen die Verarbeitung aufgrund einer besonderen Situation eingelegt hat und die zuständige Fachabteilung noch mit der Prüfung des Widerspruchs befasst ist.
(7) Der Betroffene ist spätestens innerhalb eines Monats über alle ergriffenen Maßnahmen, die auf seinen Antrag hin erfolgt sind, zu informieren.
§ 11 Auskunftsersuchen Dritter über Betroffene
Sollte eine Stelle Informationen über Betroffene fordern, ist eine Weitergabe von Informationen nur zulässig, wenn
- die auskunftgebende Stelle ein berechtigtes Interesse hierfür darlegen kann, und
- eine gesetzliche Norm zur Auskunft verpflichtet, sowie
- die Identität des Anfragenden oder der anfragenden Stelle zweifelsfrei feststeht.
§ 12 Verzeichnis von Verarbeitungstätigkeiten
(1) Der Musikverein hat ein Verzeichnis über alle Datenverarbeitungen zu führen. Jeder Bereich liefert die notwendigen Informationen zu den Verfahren der jeweiligen Abteilung nach den gesetz-lichen Anforderungen des Art. 30 DSGVO dokumentiert.
(2) Der Musikverein stellt der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. Zustän-dig hierfür ist der für den Datenschutzverantwortliche.
§ 13 Werbung
(1) Die werbliche Ansprache von Betroffenen per Brief, Telefon, Fax oder E-Mail ist grundsätzlich nur zulässig, wenn der Betroffene zuvor in die Verwendung seiner Daten zu Werbezwecken eingewilligt hat.
(2) Ausnahmen sind nur beim Vorliegen einer Erlaubnisnorm zulässig.
§ 14 Schulung
(1) Betroffene und Vorstände, die ständig oder regelmäßig Zugang zu personenbezogenen Daten haben, solche Daten erheben oder Systeme zur Verarbeitung solcher Daten entwickeln, sind in geeigneter Weise über die datenschutzrechtlichen Vorgaben zu schulen.
§ 15 Datengeheimnis
(1) Betroffenen und Vorständen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Sie sind vor Aufnahme ihrer Tätigkeit auf einen vertraulichen Umgang mit personenbezogenen Daten zu verpflichten. Die Verpflichtung erfolgt durch den Vorstand unter Verwendung des hierzu vorgesehenen Formulars (Anhang 7: Berechtigungskonzept).
§ 16 Beschwerden
(1) Jeder Betroffene hat das Recht, sich über eine Verarbeitung seiner Daten zu beschweren, sollte er sich hierdurch in seinen Rechten verletzt fühlen. Ebenso können Betroffene Verstöße gegen diese Datenschutzrichtlinie jederzeit anzeigen (Mailadresse: [email protected]).
(2) Die zuständige Stelle für die oben genannten Beschwerden ist der Datenschutzbeauftragte/Vor-
stand als interne unabhängige und weisungsfreie Instanz.
§ 17 Verfügbarkeit, Vertraulichkeit und Integrität von Daten
(1) In Abhängigkeit der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit hat für jedes Verfahren eine dokumentierte Schutzbedarfsfeststellung und Analyse hinsichtlich der Risiken für Betroffene zu erfolgen.
(2) Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten wird ein allgemeines Datenschutzkonzept in Abhängigkeit der Schutzbedarfsfeststellung und Risikoanalyse erstellt, das für alle Verfahren verbindlich ist. Hierin ist insbesondere der Stand der Technik ebenso zu berücksich-tigen, wie Mittel und Maßnahmen zur Verschlüsselung und Datensicherung. Das Sicherheitskonzept ist hinsichtlich der Wirksamkeit der dort vorgesehenen technisch-organisatorischen Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren.
(3) Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Das gilt auch für die Verarbeitung in den Privaträumen von Vorständen oder Beauftragten. Wirk-same Maßnahmen zur Zugangskontrolle an Geräten müssen vorhanden und aktiviert sein. System-zugänge sind in Abwesenheit stets zu sperren.
(4) Passwörter ermöglichen einen Zugang zu Systemen und den darin gespeicherten personenbe-zogenen Daten. Sie stellen eine persönliche Kennung des Nutzers dar und sind nicht übertragbar. Es ist sicherzustellen, dass Passwörter stets unter Verschluss gehalten werden. Passwörter müssen eine minimale Länge von zwölf Zeichen aufweisen und aus einem Zeichenmix bestehen. Passwörter dürfen nicht in einem Wörterbuch vorkommen oder aus leicht zu erratenden Begriffen gebildet werden, insbesondere nicht Begriffe, die im Zusammenhang mit dem Musikverein stehen.
(5) Zugriffe auf personenbezogene Daten sollen nur diejenigen Personen erhalten, die im Zuge ihrer Aufgabenwahrnehmung Kenntnis von den jeweiligen Daten erhalten müssen („Need-to-know-Prinzip“). Zugriffsberechtigungen müssen genau und vollständig festgelegt und dokumentiert sein.
(6) Datenübertragungen durch öffentliche Netze sind nach Möglichkeit zu verschlüsseln. Eine Ver-schlüsselung hat zwingend zu erfolgen, falls der Schutzbedarf der personenbezogenen Daten dies erfordert.
(7) Zu unterschiedlichen Zwecken erhobene personenbezogene Daten sind getrennt voneinander zu verarbeiten. Die Trennung von Daten ist durch geeignete technische und organisatorische Maß-nahmen sicherzustellen.
(8) Wartungsarbeiten an Systemen oder Telekommunikationseinrichtungen durch externe Dienst-leister sind zu beaufsichtigen. Ferner ist zu gewährleisten, dass Dienstleister nicht unbefugt auf personenbezogene Daten zugreifen können. Fernwartungszugänge sind nur im Einzelfall zu gewäh-ren und müssen dem Prinzip der minimalen Rechtevergabe folgen. Fernwartungsaktivitäten sind nach Möglichkeit aufzuzeichnen oder zu protokollieren.
§ 18 Verletzungen des Schutzes von Daten („Datenpanne“)
(1) Sollten personenbezogene Daten, für die der Musikverein die verantwortliche Stelle ist, unrecht-mäßig Dritten offenbart worden sein, ist darüber unverzüglich der Vorstand zu informieren.
(2) Die Meldung hat alle relevanten Informationen zur Aufklärung des Sachverhalts zu umfassen, insbesondere die empfangende Stelle, die betroffenen Personen sowie Art und Umfang der über-mittelten Daten.
(3) Die Erfüllung einer etwaigen Informationspflicht gegenüber der Aufsichtsbehörde erfolgt aus-schließlich durch den Verantwortlichen für Datenschutz. Betroffene werden durch den Vorstand informiert.
§ 19 Folgen von Verstößen
Ein fahrlässiger oder gar mutwilliger Verstoß gegen diese Richtlinie kann rechtliche Maßnahmen nach sich ziehen. Ebenso kommen strafrechtliche Sanktionen und zivilrechtliche Folgen wie Schadenersatz in Betracht.
§ 20 Rechenschaftspflicht
(1) Die Einhaltung der Vorgaben dieser Richtlinie muss jederzeit nachgewiesen werden können. Hierbei ist insbesondere auf die Nachvollziehbarkeit und Transparenz getroffener Maßnahmen zu achten, so beispielsweise über zugehörige Dokumentationen.
§ 23 Aktualisierung der Richtlinie; Nachweisbarkeit
(1) Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisato-rischer Veränderungen wird diese Richtlinie regelmäßig auf einen Anpassungs- oder Ergänzungsbe-darf hin überprüft.
(2) Änderungen an dieser Richtlinie sind formlos wirksam. Die Betroffenen sind umgehend und in geeigneter Art und Weise über die geänderten Vorgaben in Kenntnis zu setzen.
Werl-Oberbergstraße, 28.11.2019
Daniel Stratmann
1. Vorsitzender