Datenschutzhandbuch

Der Datenschutz im Verein findet eigentlich keine große Beachtung. Bis mal etwas passiert und aus 11 Freunden nur noch 10 übrigbleiben.
Ein Verein sollte zumindest ein Handbuch erstellen, um ein minimum von Datenschutz und eine Sensibilisierung der Trainer, Übungsleiter und Funktionsträger zu erwirken.
Dies nach dem Motto: „Ich baue mir ein Datenschutzhandbuch“, angelegt an die Vorgaben der DSGVO. Daraus ergeben sich numal alle weiteren Dokumente, Anweisungen, Informationen und auch Ideen.

Das Datenschutzhandbuch ist das DATENSCHUTZMANAGMENTSYSTEM (DSMS) ! Der Gesetzgeber schreibt also nicht vor, das man ein DSMS in einer Software vorhalten muss. Viele Vereine können sich auch so etwas gar nicht leisten. Auch ein DSMS in Papierform oder digital in Word ist datenschutzkonform. Also ideal für Vereine, kleine Unternehmen, Kleinstunternehmen oder auch (Jagd)Genossenschaften. Jedoch ist diese Konzept aus meiner Sicht NICHT für große Unternehmen geeignet!

Aber wie könnte ein solches Handbuch aussehen und auch beinhalten?

 

Datenschutzhanbuch der [VEREINSNAME]

 

[Name des Vereines]

[Straß1, PLZ Ort]

Vertretungsvorstand gemäß § 26 BGB

Vorstandsvorsitzender:

Stellvertreter:

Beisitzer:

Schriftführer:

Kassenführer:

Rechnungsprüfer:

Rechnungsprüfer:

 

 

 

Versionshistorie

 

Datum	Version	Änderung
	00	Verfahren erstellt

 

 

 

1. INHALT

1. INHALT
2. ÜBERBLICK
3. PERSONENBEZOGENE DATEN
4. DATENSCHUTZGRUNDSÄTZE
4.1 Rechtmäßigkeit
4.2 Verarbeitung nach Treu und Glauben
4.3 Transparenz
4.4 Zweckbindung
4.5 Datenminimierung
4.6 Richtigkeit
4.7 Speicherbegrenzung
4.8 Integrität und Vertraulichkeit
4.9 Rechenschaftspflicht
5. DATENSCHUTZMANAGEMENT
6. DATENSCHUTZORGANISATION UND VERANTWORTLICHKEITEN
6.1 Vorstand
6.2 Datenschutzbeauftragter
7. DATENVERARBEITUNG
7.1 Verzeichnis der Verarbeitungstätigkeiten
7.2 Folgenabschätzung
8. SICHERHEITSMAßNAHMEN
9. EHRENAMTLICH TÄTIGE FUNKTIONSTRÄGER IM VEREIN DER UND MITARBEITER/INNEN
9.1 Verpflichtung auf Vertraulichkeit
10. WAHRUNG DER BETROFFENENRECHTE
11. DATENSCHUTZVERLETZUNGEN
12. DATENVERARBEITUNG IM AUFTRAG
13. DATENSPEICHERUNG UND LÖSCHUNG VON DATEN
14. WEBSITE
15. ANLAGEN

2. ÜBERBLICK

Die wesentlichen rechtlichen Grundlagen zum Datenschutz enthalten die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Seit Geltung der DSGVO müssen wir jederzeit die Einhaltung der Datenschutzgrundsätze und gesetzlichen Vorschriften der DSGVO sicherstellen und nachweisen. Verstöße gegen diese Pflichten sind bußgeldbewehrt. Bußgelder können bis zu einer Höhe von 20 Mio. EUR und bei Unternehmen bis 4% des Gesamtunternehmensumsatzes verhängt werden.

Der Schutz von personenbezogenen Daten und Informationen ist für unseren Verein daher von großer Bedeutung. Datenschutzverstöße würden nicht nur die Funktion des Vereines schwer beeinträchtigen, sondern außerdem zu schwerem Ansehensverlust führen und viele weitere materielle und immaterielle Schäden verursachen.

Das Anliegen dieses Datenschutzhandbuches ist es deshalb, im Interesse unseres Vereines und der betroffenen Personen, also der Personen, deren personenbezogene Daten wir erheben und verarbeiten wie z. B. Kunden, Vertragpartner, Mitglieder oder Mitarbeiter, den Schutz der personenbezogenen Daten intern zu regeln und so die gesetzlichen Anforderungen zu gewährleisten.

In diesem Datenschutzhandbuch werden die gesetzlichen Datenschutzgrundsätze beschrieben und darauf aufbauend sämtliche Aspekte des Vereins erläutert. Zum Handbuch gehören auch die in den unter Punkt 15. aufgeführten Anlagen wie Formulare, Prozesse, und Arbeitshilfen.

Das Datenschutzhandbuch legt ferner die Struktur und die Prozesse des Datenschutzmanagements dar, die wir umgesetzt haben und die in unserer Unternehmensspraxis gelebt werden. Ganz entscheidend erfüllt dieses Datenschutzhandbuch mit den beigefügten Anlagen die in der DSGVO geforderten Dokumentations- und Nachweispflichten. Sie stellt eine entscheidende Säule unserer gesetzlichen Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO dar.

Nicht zuletzt steht und fällt der Datenschutz aber mit unseren Vorstandmitgliedern und Mitarbeiter. Gesetzliche und interne Regelungen müssen beachtet werden. Dies verlangt von unseren Vorstandmitgliedern und Mitarbeitern ein Bewusstsein für unsere Tätigkeit, für die sich stetig verändernde technischen und rechtlichen Rahmenbedingungen und für die Risiken, die mit dem Umgang mit personenbezogenen Daten und der Benutzung technischer Systeme und Kommunikationstechnologien verbunden sind. Um diesen Herausforderungen begegnen zu können, richtet sich das Datenschutzhandbuch ausdrücklich an unsere Vorstandmitglieder und Mitarbeiter. Wir wollen sie mit diesem Dokument für das Anliegen des Datenschutzes sensibilisieren und ihnen Informationen und Hilfestellungen an die Hand geben, die es ermöglichen, Datenschutzrisiken zu erkennen und abzuwehren.

Das Datenschutzhandbuch dient weiterhin als Einstieg und Grundlage für Prüfungen, Audits und Qualitätskontrollen.

3. PERSONENBEZOGENE DATEN

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In der Sprache des Datenschutzes spricht man von der „betroffenen Person“. Als identifizierbar wird eine betroffene Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Ziff. 1 DSGVO).

Personenbezogene Daten sind daher zum Beispiel:

• allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usw.)
• Kennnummern (Sozialversicherungsnummer, Personalausweisnummer, Steuer ID, Matrikelnummer usw.)
• Bankdaten (Kontonummern, Kontostände, alle Arten von Kreditinformationen etc.)
• Online-Daten (IP-Adressen, Standortdaten usw.)
• physische Merkmale (Geschlecht, Haut- und Haarfarbe, Augenfarbe, Kleidergröße usw.)
• Besitzmerkmale (Fahrzeuge, Immobilien, Grundbucheintragungen, KFZ-Kennzeichen, Zulassungsdaten etc.)
• Kundendaten (Bestellungen, Adressdaten, Kontodaten …)
• Werturteile (Schul- und Arbeitszeugnisse etc.)

Und besonders sensible personenbezogene Daten sind solche über die ethnische Herkunft, politische Ansichten, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zur Sexualität eines Menschen.

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben.

4. DATENSCHUTZGRUNDSÄTZE

Art. 5 Abs. 1 DSGVO legt die Grundsätze der Verarbeitung personenbezogener Daten fest und definiert sie. Sie werden nachfolgend beschrieben. Ihr Verständnis ist von zentraler Bedeutung. Sie sind für die Verarbeitung von personenbezogenen Daten verbindlich. Nach Art. 5 Abs. 2 müssen wir als Verein die Einhaltung dieser Grundsätze nachweisen. Die Verletzung dieser Grundsätze der Datenverarbeitung ist gem. Art. 83 DSGVO mit Bußgeld bedroht.

Für den Umgang mit personenbezogenen Daten werden nachfolgende Grundsätze besonders beachtet:

4.1 Rechtmäßigkeit

Der Grundsatz der Rechtmäßigkeit der Verarbeitung besagt, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen. In Art. 6 und 9 DSGVO sind die Bedingungen aufgezählt, nach denen eine rechtmäßige Datenverarbeitung erfolgen kann. Eine Rechtsgrundlage kann insbesondere ein Vertrag mit der betroffenen Person, ein berechtigtes Interesse des Vereines unter Abwägung des Interesses und der Grundrechte und Grundfreiheiten der betroffenen Personen oder eine Einwilligung sein.

4.2 Verarbeitung nach Treu und Glauben

Unter diesem Gesichtspunkt sind insbesondere die Rechte der Betroffenen und die Informationspflichten in verständlicher und nachvollziehbarer Form zu erfüllen.

4.3 Transparenz

Der Grundsatz der Transparenz verlangt, dass jeder Betroffene wissen soll, wer welche Daten für welche Zwecke über ihn erhebt, speichert und verarbeitet und übermittelt und wie lange die Daten gespeichert werden, und dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind (Art. 12 bis 14 DSGVO).

4.4 Zweckbindung

Personenbezogene Daten dürfen nur für eindeutig festgelegte und legitime Zwecke erhoben werden. Eine Weiterverarbeitung in einer Weise, die mit diesen vorab festgelegten Zwecken nicht vereinbar ist, ist verboten.

4.5 Datenminimierung

Art und Umfang der Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c) DSGVO).

4.6 Richtigkeit

Die personenbezogenen Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Die Verarbeitung unrichtiger Daten ist zu vermeiden.

4.7 Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, sind Fristen für ihre Löschung oder regelmäßige Überprüfung vorzusehen und die Daten regelmäßig zu löschen bzw. zu vernichten.

4.8 Integrität und Vertraulichkeit

Der Grundsatz der Integrität und Vertraulichkeit besagt, dass personenbezogene Daten in einer Art und Weise verarbeitet werden müssen, die eine angemessene Sicherheit gewährleistet. Davon umfasst ist der Schutz vor unbeabsichtigtem Verlust, Zerstörung und Beschädigung durch geeignete technische Maßnahmen. Unbefugte dürfen keinen Zugang zu den Daten haben.

4.9 Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht ist eine wesentliche Neuerung zum alten Datenschutzrecht. Die Dokumentations- und Nachweispflichten haben sich deutlich erhöht. Insbesondere müssen wir als Verantwortlicher für personenbezogene Daten nachweisen, dass wir die Datenschutzgrundsätze jederzeit einhalten. Zur Erfüllung dieser Rechenschaftspflicht haben wir ein stimmiges, systematisches und nachvollziehbares Datenschutzmanagement eingerichtet, dessen Dreh- und Angelpunkt die Regelungen sind, wie sie in diesem Datenschutzhandbuch festgelegt und durch die beigefügten bzw. in Bezug genommenen Anlagen konkretisiert sind.

5. DATENSCHUTZMANAGEMENT

In Erfüllung der Rechenschaftspflicht hat unser Verein ein Datenschutzmanagementsystem eingeführt. Als Datenschutzmanagementsystem werden die in diesem Handbuch, sowie in dessen Anlagen aufgeführten Maßnahmen organisatorischer Art verstanden, die den datenschutzkorrekten Umgang mit personenbezogenen Daten gewährleisten sollen und dabei einerseits Datenschutzverletzungen vorbeugen, andererseits aber auch helfen sollen, diese nachträglich zu beheben. Unser Ziel war, den Datenschutz so zu organisieren, dass er im Verein auch in der Fläche gelebt wird und seine Umsetzung jederzeit nachgewiesen werden kann.

6. DATENSCHUTZORGANISATION UND VERANTWORTLICHKEITEN

Im Folgenden werden die Verantwortlichkeiten und Aufgaben im Hinblick auf den Datenschutz und die IT-Sicherheit im Verein dargestellt. Sämtliche Ansprechpartner inklusive ihrer Kontaktdaten lauten wie folgt. Eine ausführliche Liste der „Zuweisung von Verantwortlichkeiten“ im Unternehmen sind den Anlagen beigefügt.

 

Name	Funktion	Telefon	E-Mail
	Vorstandsvorsitzender
	IT-Verantwortliche
	Datenschutzbeauftragter
	Webmaster

6.1 Vorstand

Der Vorstand trägt die Gesamtverantwortung für den Datenschutz und die IT-Sicherheit im Unternehmen. Dies betrifft insbesondere die Beachtung der Datenschutzgrundsätze, sowie die Gestaltung und Einhaltung der gesetzlichen Regelungen.

6.2 Datenschutzbeauftragter

Der Datenschutzberater nimmt folgende Aufgaben wahr:

Beratung des Vorstabdes hinsichtlich ihrer jeweiligen datenschutzrechtlichen Pflichten.

Beratung der Abteilungen/Gruppen hinsichtlich ihrer jeweiligen datenschutzrechtlichen Pflichten.

• Sensibilisierung der Mitarbeiter und Funktionsträger im Verein
• Durchführung interner Audits/Kontrollen
• Beantwortung/Klärung von Datenschutzbeschwerden
• Durchführung von Anfragen zu Betroffenenrechten
• Durchführung der Meldung von Datenschutzverletzungen (Art. 33/34 DS-GVO)
• Beratung bei der Einführung neuer IT-Systeme oder Programme.

Die sich aus der DSGVO ergebenden Pflichten verbleiben jedoch beim Verantwortlichen, im konkreten Fall dem Jagdvorstand. Dieser organisiert mindestens einmal jährlich ein Treffen der im Unternehmen vorhandenen Ansprechpartner (siehe Tabelle), um über den Stand der Datensicherheit zu beraten. Hierzu wird ein schriftliches Protokoll gefertigt und in den Unterlagen des Vereines hinterlegt.

Hinweis: Es bietet sich an, das Thema Datenschutz anlässlich jeder Vorstandssitzung zu „setzen“ und kurz anzusprechen sowie zu protokollieren.

7. DATENVERARBEITUNG

Jede Verarbeitung personenbezogener Daten muss rechtlich zulässig sein. Dies beinhaltet die Wahrung der Datenschutzgrundsätze.

7.1 Verzeichnis der Verarbeitungstätigkeiten

Der Verein ist gesetzlich gem. Art. 30 DSGVO verpflichtet, alle Prozesse, die personenbezogene Daten betreffen, in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Der Jagdvorstand trägt Sorge dafür, dass die Verarbeitungsverzeichnisse regelmäßig auf ihre Aktualität überprüft und angepasst werden.

Alle Vorstandmitglieder, Mitarbeiter, die für die Einrichtung oder Durchführung von Verarbeitungen personenbezogener Daten in unserem Unternehmen verantwortlich sind, sind bei einer Einführung oder Änderung von Verarbeitungen und/oder Geschäftsprozessen verpflichtet, dieses entsprechend zu dokumentieren.

Die Verarbeitungstätigkeiten werden bei jeder neuen Tätigkeit in den Bereichen angepasst, jedoch mindestens einmal jährlich geprüft und bestätigt.

7.2 Folgenabschätzung

Das Institut der Datenschutz-Folgenabschätzung (DSFA) ist im deutschen Datenschutzrecht bereits seit langem in ähnlicher Form unter der Bezeichnung „Vorabkontrolle“ bekannt.

Eine DSFA ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten.

Derartige Daten werden im Verein nicht erhoben.

8. SICHERHEITSMAßNAHMEN

Zur Einhaltung der datenschutzrechtlichen Vorschriften Vorkehrungen zum Schutz der verarbeiteten personenbezogenen Daten treffen. Nach Art. 32 und Art. 24 DSGVO ist es erforderlich, geeignete technische und organisatorische Maßnahmen auszuwählen und umzusetzen, die ein, dem Risiko angemessenes Schutzniveau gewährleisten. Es gilt dabei ein risikobasierter Ansatz. Die Auswahl der Sicherheitsmaßnahmen ist an den konkreten Verarbeitungstätigkeiten und den damit verbundenen Gefahren auszurichten. Umso höher die Risiken für die betroffenen Personen sind, umso stärker und umfassender müssen unsere Sicherheitsmaßnahmen sein.

Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs. 1 DSDSGVO:                          Es ist sichergestellt, dass in den Computersystemen abgelegten Mitgliederdaten von Unbefugten nicht benutzt werden können. Die Computersysteme befinden sich in verschließbaren Räumlichkeiten und sind so physikalisch vor Fremdzugriff geschützt, Ferner sind sämtliche Zugänge durch Passwörter geschützt und teilweise verschlüsselt.

9. EHRENAMTLICH TÄTIGE FUNKTIONSTRÄGER IM VEREIN DER UND MITARBEITER/INNEN

9.1 Verpflichtung auf Vertraulichkeit

Die personenbezogenen Daten unterliegen der Vertraulichkeit gem. Art. 5 Abs. 1 DSGVO. Jeder ehrenamtlich tätigen Funktionsträgern, Mitarbeiterinnen und Mitarbeitern Der Verein, der bzw. den Umgang mit personenbezogenen Daten sonstigen Geheimnissen oder vertraulichen Daten hat, ist auf einen vertraulichen Umgang und die Einhaltung der geltenden Datenschutzbestimmungen zu verpflichten. Die Verpflichtung erfolgt unter Verwendung einer hierzu vorbereiteten Erklärung, die in den Unterlagen des Vereines hinterlegt wird.

Eine entsprechende Verpflichtung ist im Datenschutzordner in seiner letzten Fassung hinterlegt:

10. WAHRUNG DER BETROFFENENRECHTE

Die Datenschutz-Grundverordnung (DSGVO) sieht in den Art. 12 ff. DSGVO Rechte der von einer Verarbeitung personenbezogener Daten betroffenen Personen vor, die von uns einzuhalten und umzusetzen sind. Betroffene Personen sind insbesondere unsere Mitglieder oder Besucher unserer Webseiten.

10.1 Information der betroffenen Personen

Die Stärkung der Betroffenenrechte durch klare Prozesse und konkrete Vorgaben, ist eines der wichtigsten Ziele des Datenschutzes. Auf diesem Weg wird dem Grundsatz der Transparenz zur Geltung verholfen. Daher informieren wir bei jeder Datenerhebung die betroffenen Personen (z. B. durch einen schriftlichen Hinweis) über die in Art. 13 DSGVO genannten Hintergründe, also u.a. wer ihre Daten zu welchem Zweck erhebt, aus welchem Grund und wie lange die Daten etwa gespeichert werden. Die Modalitäten des Art. 12 DSGVO sind dabei zu beachten. Die Information der Betroffenen über die Datenverarbeitung und die Betroffenenrechte erfolgt im Regelfall mittels Datenschutzbestimmungen.

11. DATENSCHUTZVERLETZUNGEN

Bei einer möglichen Verletzung des Schutzes von personenbezogenen Daten, insbesondere bei einem Verlust der Vertraulichkeit durch eine unbefugte Offenbarung oder Datenübermittlung, unbefugte Zugriffe oder Verarbeitungen oder durch Verlust, Zerstörung oder Verfälschung der Daten, ist es notwendig, unverzüglich zu reagieren.

Im Falle einer Datenschutzverletzung erfolgt eine Meldung an die zuständige Datenschutzbehörde, die sich inhaltlich an Art. 4 Nr. 12 DSGVO orientiert (Beschreibung der Art der Datenschutzverletzung, Einordnung in Kategorie: Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang; zusätzlich zur Angabe der Kategorien enthält die Meldung auch die ungefähre Anzahl der betroffenen Datensätze und Personen)sowie eine Information des bzw. der Betroffenen, sofern nicht eine Art. 34 Abs. 3 lit. a), lit. b) oder lit c) DSGVO geregelten Ausnahmen von der Pflicht zur Unterrichtung der betroffenen Personen vorliegt.

12. DATENVERARBEITUNG IM AUFTRAG

Damit der Verein Ihre Mitgliedschaft entsprechend verwalten kann, verarbeitet der Verein auf der satzungsgemäßen Rechtsgrundlage Ihre Mitgliedschaft nach DSGVO personenbezogene Daten.

Eine Weitergabe erfolgt:

Dienstleister:

1. Buchhaltung – Steuerbüro
2. Zahlungsverkehr – Banken
3. Cloud
4. Webseite

Fördervereine

1. Förderverein1
2. Förderverein2

Angegliederte GbR und GmbH:

1. GmbH1
2. GmbH2

Publikationen:

1. Stadionzeitschrift
2. Stadionzeitung
3. Vereinszeitung
4. Fahrtenheft
5. Jahresheft

Bundesverband, Fachverband, Landessportbund:

Siehe Dokument „Verband_Verarbeiter_ Abteilungen“ (AV-Vertrag)

Die hierfür erforderlichen und abgeschlossenen AV-Verträge sind beim Datenschutzbeauftragten im Ordner „AV-Vertrag“. Sollte es keinen AV-Vertrag vorliegen, so ergibt sich die Rechtsgrundlage aus Art. 6 DSGVO.

13. DATENSPEICHERUNG UND LÖSCHUNG VON DATEN

13.1 Speicherung

Die Speicherung von Daten erfolgt grundsätzlich auf der technischen Infrastruktur des Vereines insbesondere auf mobilen Datenträgern (USB-Sticks) sowie Computer mit Passwortschutz. Das Speichern bei Cloudanbietern (z.B. Dropbox, Evernote) ist grundsätzlich untersagt, bzw. müssen mit dem Datenschutzbeauftragten vor Nutzung abgesprochen werden.

13.2 Aufbewahrungsfristen

In Einhaltung des Grundsatzes der Datenminimierung sind personenbezogene Daten nur so lange zu speichern, wie es für die Erfüllung der Verarbeitungstätigkeit erforderlich ist. Gesetzliche Aufbewahrungsfristen und Löschungstermine sind allen Funktionsträgern im Verein zu beachten.

13.3 Löschung von Daten

Die Durchführung der Löschung von Daten betrifft sowohl die Vernichtung von Papierdokumenten als auch die Löschung elektronischer Datensätze. Dies erfolgt gemäß den Angaben zu den Verarbeitungstätigkeiten.

14. WEBSITE

Mit dem Betrieb der Webseite www.mein.verein.de sowie deren Subdomain (im Folgenden „Webseite“ genannt) werden ebenfalls personenbezogene Daten verarbeitet. Die Nutzer der Website sind in die Lage zu versetzen, Informationen über Art und Umfang sowie Weiterverarbeitung in den Datenschutzbestimmungen der Website nachlesen zu können. Ebenso sind der Zweck und die Rechtsgrundlage anzugeben. Darüber hinaus ist zu erklären, welche Rechte den Nutzern zur Wahrung und Durchsetzung des Datenschutzes zustehen.

15. ANLAGEN

15.1.0 Organigramm

• Struktur der [Vereinsname]

15.1.1 Datenpanne

• Auskunftverfahren für Betroffene Datenblattmuster
• Meldung-Datenschutzvorfall

15.1.2 Informationen

• Information Betroffenenrechte
• Information Datenorganisation
• Information Datenschutzbeauftragter
• Information Ermittlung Personengrenze
• Information Gesetzlich Aufbewahrungspflichten
• Information Rechtlicher Hinweis Folgenabschatzung
• Information Rechtsnormen der DSGVO
• Information Risikobeurteilung Folgenabschaetzung
• Information Zustaendige Datenschutzbehoerde

15.1.3 Richtlinien

• IT-Richtlinie
• Interne Vorschriften für die Verarbeitung

15.1.4 Verfahrensanweisung

• Verfahrensanweisung Anfragen der Aufsichtsbehörde
• Verfahrensanweisung Umsetzung Datenschutz
• Verfahrensanweisung Vorgehen bei Datenschutzverstoss

15.1.5 Formulare

• Schulungplan
• Teilnahmebedingung Veranstaltung Bilder

15.1.6  Verantwortlichkeiten

• Uebersicht datenverarbeitender Personen und Ermittlung Personengrenze
• Uebersicht_datenverarbeitender_Personen_Abteilungsname
• Zuweisung_von_Verantwortlichkeiten

15.1.7 Prozesse und Checklisten

• Risikobeurteilung

15.1.8 Erklärungen und Verpflichtungen

• Informationspflicht nach Artikel 13 DSGVO
• Verpflichtung zur Wahrung der Vertraulichkeit und des Datenschutzes

15.1.9 Verzeichnis der Verarbeitungstätigkeiten (VVT)

• Verzeichnis-von-Verarbeitungstätigkeiten

15.2.0Technische und Organisatorische Maßnahmen (TOM)

• TOMs

15.2.1 Auftragsverarbeitungsvertrag (AVV)

• Gemeindeverwaltung
• Pächterverträge

15.2.2 Nachweise

• Dokumentenverwaltung
• Nachweise DS-Massnahmen

 

Hinweis: Dieses Handbuch gibt es auch als Word-Vorlage zum kostenlosen download unter

Quelle: https://verein-dsgvo.de/richtlinien/