Datenschutzordnung des OERC
I. ABSCHNITT – Grundsätzliches
1.1 Gesetzliche Grundlagen / Regelungsbereich
Zur Erfüllung der Zwecke und Aufgaben der Organisation werden in der Organisation personenbezogene Daten erhoben, verarbeitet und genutzt, sowohl unter Verwendung von automatisierten Datenverarbeitungsanlagen als auch in nichtautomatischer Verarbeitung.
Der Organisation unterliegt damit den Anforderungen des Bundesdatenschutzgesetzes (BDSG) (neu) sowie der EU-Datenschutz-Grundverordnung (DS-GVO), welche am 25. Mai 2018 in Kraft getreten ist.
Die Datenschutzordnung regelt auf dieser Grundlage den Umgang mit Einzelangaben über persönliche und sachliche Verhältnisse. Grundsätzliche Regelungen ergeben sich aber aus dem Gesetz. Zu den geschützten Daten gehören neben den personenbezogenen Daten der Organisationsmitglieder auch Daten von sonstigen Personen, die bspw. zur Organisation in einem vertraglichen oder sonstigen rechtlichen Verhältnis stehen.
1.2 Begriffsbestimmungen
Personengebundene Daten: alle Daten, die zur Identifizierung einer natürlichen Person dienen, sowie darüber hinaus sämtliche Informationen, die etwas über die persönlichen oder sachlichen Verhältnisse einer Person aussagen. Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen.
Erheben: Datenbeschaffung durch Befragung oder Ausfüllen von Formularen.
Verarbeiten: Erheben, Erfassen, Speichern, Verändern, Verwenden, Offenlegen, Über-mitteln, Abgleichen, Sperren, Anonymisieren, Löschen, Vernichten.
Nutzen: Verwendung von personengebundenen Daten für die Verwaltung und Betreuung von Organisationmitgliedern.
Im weiteren Verlauf der Datenschutzordnung der Organisation wird der Begriff „Verarbeitung“ als Sammelbegriff für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten verwendet.
Dateisystem: jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon , ob die Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird. Dazu zählen auch Papierakten.
Automatisierte Verarbeitung: Erhebung, Verarbeitung oder Nutzung unter Einsatz elektro-nischer Anlagen und Programme.
manuelle Dokumentation: Datenerfassung und Speicherung in Papierform, sei es als hand-schriftlich ausgefülltes Formular oder als ausgedruckte Liste.
Verantwortlicher: jede Institution oder Person, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personengebundenen Daten entscheidet. Die Organisationsmitglieder (außer Funktionsträger und Auftragnehmer) sowie übergeord-nete Organisationsformen oder Verbände, in denen die Organisation selbst Mitglied ist, sind als außerhalb der Organisation stehende Stellen und damit als Dritte anzusehen.
Auftragsverarbeiter: jede Institution oder Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Betroffener: natürliche Person, deren Daten verarbeitet werden.
1.3 Rechtmäßigkeit der Verarbeitung
Eine Datenverarbeitung ist nur zulässig mit Einwilligung der betroffenen Person oder aufgrund einer sonstigen zulässigen Rechtsgrundlage, die sich aus der DS-GVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten (z.B. BDSG (neu)) ergibt. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten richtet sich nach Art. 6 Abs. 1 DS-GVO sowie §§ 22ff und §§ 48ff BDSG (neu).
Bei der Erhebung personenbezogener Daten werden die Zwecke, für die die Daten verar-beitet oder genutzt werden sollen, konkret festgelegt. Erfolgt die Datenerhebung direkt bei der betroffenen Person, so unternimmt die Organisation zum Zeitpunkt der Datenerhebung eine datenschutzrechtliche Unterrichtung. Erfolgt sie auf andere Weise, informiert die Organisation spätestens innerhalb eines Monats nach der Erhebung die betroffene Person über die Kategorie der verarbeiteten personenbezogenen Datei und über die Quelle der erhobenen Datei.
Hierzu wird in einer datenschutzrechtlichen Belehrung dargestellt, welche Daten die Organisation zu welchem Zweck erhebt, welche Angaben freiwillig sind, welche Nachteile dem Betroffenen durch Nichtangabe entstehen können und in welchem Umfang die erhobenen Daten durch Funktionsträger der Organisation oder zur Übermittlung an Dritte genutzt werden.
Für eine Einwilligung ist keine besondere Form vorgeschrieben, sondern lediglich der Nach-weis notwendig, dass die betroffene Person eingewilligt hat. Einwilligungen für die Daten-verarbeitung durch die Organisation können durch den Betroffenen (Organisationsmitglied) widerrufen werden. Einwilligungen können auch durch Kinder und Jugendliche erfolgen, sofern sie in der Lage sind, die Konsequenzen der Verwendung ihrer Daten zu verstehen. Sofern eine derartige Verständnisfähigkeit zu verneinen ist, muss für die Datenverarbeitung die Einwilligung eines Sorgeberechtigten erfolgen.
1.4 Rechte der Organisationsmitglieder und Sicherung der Betroffenenrechte
Soweit die in den jeweiligen Vorschriften beschriebenen Voraussetzungen vorliegen, hat jedes Organisationsmitglied insbesondere die folgenden Rechte:
• Auskunft nach Artikel 15 DS-GVO
• Berichtigung nach Artikel 16 DS-GVO
• Löschung nach Artikel 17 DS-GVO
• Einschränkung der Verarbeitung nach Artikel 18 DS-GVO
• Datenübertragbarkeit nach Artikel 20 DS-GVO
• Widerspruch nach Artikel 21 DS-GVO
• Beschwerde bei einer Aufsichtsbehörde nach Artikel 77 DS-GVO
• Schadenersatz nach Artikel 82 DS-GVO
Der Vorstand hat durch geeignete Maßnahmen sicherzustellen, dass die Betroffenenrechte nach §§ 32-37 BDSG (neu) gewahrt bleiben.
II. ABSCHNITT – Erhebung personenbezogener Daten durch die Organisation
2.1 Erhebung von Daten der Organisationsmitglieder
Folgende Daten sind notwendige Daten zur Verfolgung der Organisationsziele und zur Betreuung und Verwaltung der Mitglieder:
• Name
• Anschrift
• Geburtsdatum
• Geburtsort
• Staatsangehörigkeit
• Religionszugehörigkeit
• Telefonnummern
• E-Mail-Adresse
• Kontodaten (bei Abbuchungsauftrag)
• Bei Minderjährigen: Angaben über Sorgeberechtigten
Die notwendigen Daten können gleichzeitig Daten einer bspw. übergeordneten Organisationsform werden.
Alle weiteren Daten, die von der Organisation im Rahmen der Aufnahme als Mitglied, der Anmeldung zu Veranstaltungen oder sonstigen Datenerhebungen erfolgen, sind freiwillig. Hierauf wird bei Erhebung der Daten hingewiesen.
Zu den freiwilligen Daten im Rahmen des berechtigten Interesses zur Verwirklichung der Organisationsziele sowie der Verwaltung und Betreuung der Mitglieder gehören in nicht abschließender Aufzählung unter anderem:
• Angaben über eine evtl. frühere Aufnahme in einen Ritterorden
(mit Bezeichnung und Titel)
• Familienstand
• Beruf
• Studien
• akademische oder Ehrenauszeichnungen
• Erklärungen zu Urheberrechten und Rechten am eigenen Bild
• Teilnahmen an Veranstaltungen außerhalb der Organisation
Neumitglieder werden dazu aufgefordert, eventuell schutzwürdige Belange vorzubringen.
2.2 Erhebung von Daten Dritter
Die Organisation erhebt Daten von anderen Personen als von Organisationsmitgliedern (z.B. Lieferanten, Gästen, Zuschauern, Besuchern, Teilnehmern an Veranstaltungen) soweit dies zur Wahrnehmung berechtigter Interessen der Organisation erforderlich ist und keine besonderen Schutzbedürfnisse der Betroffenen überwiegen.
Bei Gästen, Zuschauern und Besuchern beschränkt sich dies im Regelfall auf Daten, die für eine eindeutige Identifizierung erforderlich und ausreichend sind, d.h. Name, Vorname, Anschrift und Geburtsdatum sowie bspw. die Legitimation der Anwesenheit, also Identifi-zierung als Angehöriger eines Organisationsmitglieds oder sonstiger Interessent.
2.3 Erhebung von Personaldaten der Beschäftigten der Organisation
Der Organisation verarbeitet personenbezogene Daten von Vorstandsmitgliedern, Buchhaltern, Kassenprüfern sowie weiteren Funktionsträgern und Beschäftigten der Organisation, soweit diese Daten für die Verwirklichung der Organisationsziele, die Betreuung von Mitgliedern, die Verwaltung der Organisation sowie für Zwecke des Beschäftigungsverhältnisses erforderlich sind.
2.4 Erhebung von Daten von Besuchern des Internetauftritts der Organisation
2.4.1 Datenerhebung zur Abwehr von Angriffen auf die IT-Struktur
Die Organisation kann im Rahmen eines Zugriffsprotokolls direkt beim Provider der Homepage die ungekürzte IP-Adresse, Datum und Uhrzeit des Zugriffes sowie die URL, auf die zugegriffen wurde, erheben und speichern. Dies dient ausschließlich dazu, unberechtigte Zugriffe zu erkennen und durch geeignete Gegenmaßnahmen auszuschließen. Als unberechtigte Zugriffe werden insbesondere DDOS-Attacken, Zugriffsversuche auf geschützte Bereiche sowie Versuche der Übermittlung von Spam über Kontaktformulare oder Gästebuch bewertet. Die Zugriffsprotokolle werden nach 30 Tagen automatisch gelöscht. Eine Auswertung der erhobenen Daten findet nur statt, wenn sich anhand der Protokollierung ein Anfangsverdacht auf Versuch der missbräuchlichen Erlangung von personenbezogenen Daten ergibt.
2.4.2 Datenerhebung zur Reichweitenermittlung
Die Organisation kann im Rahmen eines auf der Webseite implementierten Codes Zugriffe auf die Homepage an ein externes Unternehmen zur Datenerfassung und Auswertung, mit dem ein entsprechender Vertrag zur Auftragsdatenverarbeitung abgeschlossen wurde, erheben, speichern und übermitteln. Hierbei wird die IP-Adresse gekürzt und anonymisiert, so dass es sich nicht mehr um personengebundene Daten handelt. Betroffenen wird der entsprechende Vertrag zur Auftragsdatenverarbeitung auf Verlangen offen gelegt. Die Erhebung dieser verkürzten Daten dient ausschließlich dem Zweck, die Reichweite der Homepage zu ermitteln und hieraus Schlüsse zur Verbesserung des Internetauftrittes zu ziehen. Gewonnene Daten werden statistisch verarbeitet. Daten des Zugriffsprotokolls des Providers (Schutz vor Datenmissbrauch) werden nicht mit Daten des Anbieters der Analyse des Nutzerverhaltens (Verbesserung der Benutzerempfindung) kombiniert.
2.5 Hinweispflicht
Bei der Erhebung personenbezogener Daten belehrt die Organisation über die Zulässigkeit der Datenverarbeitung nach Ziffer 1.3 dieser Datenschutzordnung.
III. ABSCHNITT – Speicherung personenbezogener Daten
Die Organisation kann Daten mittels herkömmlicher Karteien oder automatisiert speichern. Die Speicherung kann auch durch ein Serviceunternehmen im Wege der Auftragsdaten-verarbeitung erfolgen. Sofern die Organisation eigene Beschäftigte hat, müssen deren Personaldaten getrennt von sonstigen Daten, insbesondere den Mitgliederdaten, gespeichert werden.
3.1 Technische und organisatorische Maßnahmen
Die Organisation trifft geeignete technische und organisatorische Maßnahmen nach Stand der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit, um ein dem Risiko angemes-senes Schutzniveau in automatisierten Datenverarbeitungssystemen sowie manuellen Doku-menten zu gewährleisten.
Hierzu gehören:
• passwortgeschützte Nutzer-Accounts
• Firewall-System
• verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare (https://)
• verschlüsselte Übertragung bei der Bearbeitung, Speicherung und Nutzung in einem Online-Datenverarbeitungssystem (https://)
• verschlüsselte Kommunikation über Mail-Accounts der Organisation (SSL/TLS)
• Versand von E-Mails an mehrere Empfänger nur über „bcc“ (=Blind Carbon Copy), sofern der Verteilerkreis nicht aus Funktionsträgern besteht oder die Adressen unter-einander bekannt sind
• Maßnahmen zur schnellen Wiederherstellung von Systemen bei technischen Zwischenfällen
• Zugangskontrolle und Beschränkung zu manuellen Dokumenten
3.2 Datenverarbeitung im Auftrag
Die Organisation kann sich zur Datenverarbeitung Dienstleister bedienen. Die Organisation schließt mit dem Betreiber des Servers, auf dem das Datenverarbeitungssystem der Organisation installiert sowie die Datenbank gespeichert wird, einen Vertrag zur Auftragsdatenverarbeitung ab. Betroffene haben das Recht, den Inhalt des Vertrages einzusehen.
IV. ABSCHNITT – Nutzung von personenbezogenen Daten
4.1 Nutzung von Mitgliederdaten
Die Organisation nutzt Daten ausschließlich für den Zweck der Verfolgung eigener Organisationsziele und zur Betreuung und Verwaltung von Mitgliedern. Ausnahmsweise ist es möglich, diese Daten für sonstige berechtigte Interessen der Organisation oder Dritter zu nutzen, vorausgesetzt, dem stehen keine schutzwürdigen Interessen der Organisations-mitglieder entgegen.
Jeder Funktionsträger verarbeitet nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten.
4.2 Nutzung von Daten Dritter
Daten Dritter werden ausschließlich genutzt, soweit dies für die Verfolgung eigener Organisationsziele notwendig ist, wenn dies für die Begründung oder Durchführung eines rechtsgeschäftlichen Schuldverhältnisses mit diesen Personen erforderlich ist oder die Organisation ein berechtigtes Interesse daran hat und nicht erkennbar ist, dass dem schutzwürdige Interessen der Betroffenen entgegenstehen. Hierbei beschränkt sich die Nutzung auf diejenigen Zwecke, für die die Organisation Daten erhoben oder erhalten hat. Lediglich dann, wenn eine Weiterverarbeitung der Daten mit dem Zweck der ursprünglichen Datenerhebung als vereinbar anzusehen ist, ist eine Zweckänderung zulässig.
4.3 Nutzung der Daten der Organisation für Spendenaufrufe und Werbung
Die Organisation nutzt die Daten seiner Organisationsmitglieder nur für Spendenaufrufe und Werbung zur Erreichung der eigenen Ziele der Organisation. Die Nutzung von Mitgliederdaten für die Werbung Dritter erfolgt nur nach ausdrücklicher Zustimmung der Mitglieder.
Daten Dritter, die der Organisation bekannt sind, darf die Organisation für Werbezwecke nutzen, wenn diese entweder darin eingewilligt haben oder die Organisation berechtigte Interessen an der Nutzung zu Werbezwecken hat und keine Interessen oder Grundrechte und Grundfreiheiten des Dritten überwiegen. Auf ein Widerspruchsrecht ist hinzuweisen.
V. ABSCHNITT – Verarbeitung personenbezogener Daten und Übermittlung
Zur Datenübermittlung gehört jede Art von Veröffentlichung personenbezogener Angaben.
5.1 Datenübermittlung an Organisationsmitglieder
Organisationsmitglieder haben, mit Ausnahme der Funktionsträger der Organisation, keinen Zugriff auf die personengebundenen Daten anderer Mitglieder. Ansonsten können personen-bezogene Daten der Organisationmitglieder durch die Organisation an andere Organisa-tionsmitglieder nur übermittelt werden, soweit die jeweils Betroffenen dem zustimmen oder wenn die Organisation oder der Empfänger ein berechtigtes Interesse daran hat und keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Einer der Organisationzwecke besteht nach Artikel 2 der Regel darin, eine christlich-brüderliche Gemeinschaft zu verwirklichen sowie in der Pflege und Förderung von Kontakten zwischen Menschen. Somit ist die Herausgabe einer Mitgliederliste mit den Grunddaten an Organisationsmitglieder zur Erreichung der Organisationsziels zulässig. Dabei ist darauf hinzuweisen, dass diese nur für Organisationszwecke verwendet werden darf.
5.2 Bekanntgabe zur Wahrnehmung satzungsmäßiger Mitgliederrechte
Nach Organisationsregel ist eine außerordentliche Mitgliederversammlung einzuberufen, wenn mindestens ein Viertel der Mitglieder dies schriftlich beantragt.
Zur Wahrnehmung dieses Rechtes kann es erforderlich sein, die Kontaktdaten (postalische Anschrift) aller Organisationmitglieder an den Initiator herauszugeben. Hierbei muss dieser jedoch versichern, die Kontaktdaten ausschließlich für den Zweck der Beantragung einer außerordentlichen Versammlung zu nutzen. Anstelle der Herausgabe der Kontaktdaten favorisiert die Organisation die Veröffentlichung des Antrages durch Organisationsmedien und Rundschreiben durch die Organisation.
5.3 Mitteilungen in Organisationspublikationen
Die Offenbarung personenbezogener Daten in Organisationspublikationen beschränkt sich auf die Bekanntgabe von Jubiläen und Veränderungen in der Organisation sowie die Erreichbarkeiten von Funktionsträgern. Informationen aus dem persönlichen Lebensbereich eines Organisationsmitglieds dürfen nur veröffentlicht werden, wenn das Mitglied ausdrücklich sein Einverständnis erklärt hat.
5.4 Datenübermittlung an eine übergeordnete Organisationsform und andere Organisationen
Personenbezogene Daten der eigenen Mitglieder dürfen an andere Organisationen nur übermittelt werden, soweit diese dort benötigt werden, um die Organisationsziele der eigenen Organisation oder der anderen Organisation zu verwirklichen, beispielsweise bei der Teilnahme von Organisationsmitgliedern an Veranstaltungen anderer Organisationen.
Im Rahmen der Mitgliedschaft oder Anbindung der Organisation in einer übergeordneten Organisationsform oder einem Verband werden notwendige personenbezogene Daten nach Ziffer 2.1 dieser Ordnung zur Verwirklichung der Organisationszwecks übermittelt.
5.5 Datenübermittlung an Spender und zu Werbezwecken
Eine Datenübermittlung an Spender und zu Werbezwecken findet grundsätzlich nicht statt. Die Übermittlung von Mitgliederdaten für die Werbung Dritter erfolgt nur nach ausdrücklicher Zustimmung der Mitglieder.
5.6 Veröffentlichungen im Internet
Im Internet (Homepage und soziale Netzwerke) wird von Funktionsträgern der Vor- und Zuname sowie ihre „dienstliche“ Erreichbarkeit veröffentlicht.
Zur Kommunikation mit Funktionsträgern kann ein Kontaktformular über eine organisationeigene Mailadresse bereitgestellt werden, dessen Inhalt über den Verantwortlichen für die Datenverarbeitung an den jeweiligen Funktionsträger weitergeleitet wird. Weitergehende personengebundene Daten (Vita) der Funktionsträger werden nur mit ausdrücklicher Genehmigung im Internet veröffentlicht.
Bei Teilnahme von Organisationsmitgliedern an öffentlichen Veranstaltungen oder zu herausragenden Anlässen können die Namen der Teilnehmer bekanntgegeben werden.
Die Verwendung und Veröffentlichung von Einzelfotos, von Bildaufnahmen im Rahmen von Veranstaltungen sowie zum Zwecke der öffentlichen Berichterstattung über das Organisationsleben erfolgt nur, soweit das Organisationsmitglied dem ausdrücklich zustimmt. Eine entsprechende Abfrage erfolgt bereits mit dem Aufnahmeantrag. Jedem Organisations-mitglied steht das Recht zu, diese Erlaubnis zur Veröffentlichung für den Einzelfall oder insgesamt zu widerrufen.
5.7 Veröffentlichungen im Intranet und SharePoint
Im Internet wird ein mittels Passwort geschützter Zugangsbereich nur für Organisations-mitglieder eingerichtet zur Veröffentlichung von organisationsinternen Informationen und Fotos sowie zur Organisationsführung.
Soweit an Veranstaltungen der Organisation Mitglieder anderer Organisationseinheiten einer übergeordneten Organisationsform oder andere Organisationen teilnehmen, können diese einen auf die Veranstaltung begrenzten separaten Zugangsbereich erhalten.
5.8 personenbezogene Auskünfte an die Presse und sonstige Massenmedien
Pressemitteilungen und Auskünfte gehören zur normalen Öffentlichkeitsarbeit einer Organisation. Personenbezogene Daten werden in diesem Rahmen nur dann veröffentlicht, wenn
• der Betroffene eingewilligt hat
• der Betroffene sich gegenüber der Presse selbst erklärt hat
• es sich um einen Bericht über eine öffentliche Veranstaltung handelt
• eine Information im Interesse der Organisation oder der Öffentlichkeit erforderlich erscheint
und schutzwürdige Interessen der Mitglieder dem nicht entgegenstehen.
5.9 Übermittlung für Zwecke der Wahlwerbung
Eine Datenübermittlung zum Zwecke der Wahlwerbung findet nicht statt.
5.10 Übermittlung an Gemeindeverwaltungen und Finanzbehörden
Verlangen Gemeindeverwaltungen oder Finanzbehörden im Rahmen der Nachweisführung der ordnungsgemäßen Verwaltung oder Verwendung von Zuwendungen die Vorlage von Listen mit Namen der Betroffenen, ist die Organisation zur Übermittlung entsprechender notwendiger Daten berechtigt.
5.11 Kreis der Zugriffsberechtigten auf Daten
Die Mitglieder des Vorstandes und der Verantwortliche für die Datenverarbeitung erhalten Vollzugriff auf die persönlichen Daten inklusive der Ergänzung, Änderung und Löschung von Daten. Alle Datenänderungen werden protokolliert.
Der Verantwortliche für die Buchführung erhält Zugriff auf die Adressdaten sowie die für die Beitragsberechnung erforderlichen Daten wie Zugehörigkeit zu bestimmten Beitragsrollen. Der Zugriff beinhaltet eine Schreibberechtigung für Daten zur finanziellen Abwicklung aus Rechtsgeschäften, zur Beitragszahlung und Warenverwaltung.
Die regionalen Vertreter der Mitglieder erhalten Lesezugriff auf die Adressdaten und Erreich-barkeiten aller Mitglieder.
VI. ABSCHNITT – Berichtigung, Löschung und Sperrung von Daten
6.1 Löschung und Einschränkung von Daten
Die Voraussetzungen und das Verfahren zur Berichtigung, Sperrung und Löschung richten sich nach § 35 BDSG (neu) bzw. Art. 16 und 17 Abs. 1 DS-GVO.
Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind.
Personenbezogene Daten müssen gelöscht werden, wenn:
• sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind
• der Sachverhalt, zu dem die Daten gespeichert wurden, erledigt ist und seit Entstehung des Grundes der Datenerhebung mehr als 6 Jahre vergangen sind, soweit keine anderweitige Interessen der Organisation überwiegen
• die betroffene Person ihre Einwilligung widerruft
• die betroffene Person Widerspruch gegen die Verarbeitung einlegt
• die personenbezogenen Daten unrechtmäßig verarbeitet wurden
• die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
Eingeschränkte Daten dürfen ohne Einwilligung des Betroffenen nur noch verarbeitet werden, wenn Rechtsansprüche durch den Verantwortlichen geltend gemacht, ausgeübt oder verteidigt werden, wenn Rechte einer anderen natürlichen oder juristischen Person geschützt werden sollen oder wenn dies aus Gründen eines wichtigen öffentlichen Interesses der Union oder des Mitgliedsstaates geschieht (Art. 18 Abs. 2 DS-GVO).
Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewah-rungsfristen gelten. Dies betrifft in nicht abschließender Aufzählung: Geschäftsbriefe, Buchungsbelege und Verwendungsnachweise in Zusammenhang mit öffentlicher Förderung. Gleiches trifft zu, wenn die personenbezogenen Daten Bestandteil rechtlicher Ansprüche für oder gegen die Organisation sind.
Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betrof-fenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.
Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach Ziffer 5.6 dieser Ordnung veröffentlicht wurden, wird die Organisation unter Berücksich-tigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen).
Der Vorstand legt die regelmäßigen Löschfristen fest:
• 10 Jahre für Buchungsbelege, Belege, Kassenaufzeichnungen, Bankauszüge, Jahresabschlüsse, Inventarverzeichnis sowie die dazu gehörigen Informationen, EDV-gestützte Buchführungssysteme
• 6 Jahre für Zuwendungsbestätigungen, Protokolle von Jahreshauptversammlungen, Protokolle von Vorstandssitzungen, alle übrigen Unterlagen
Die Aufbewahrungsfrist beginnt mit Ablauf des Jahres, in dem die letzte Eintragung in den Büchern der Organisation durchgeführt wird. Die Eintragungen enden mit der Aufstellung des Jahresabschlusses, also mit der Unterschrift der Organisationsvorsitzenden, nicht etwa mit der Feststellung des Jahresabschlusses durch die Mitgliederversammlung. Für Verträge beginnt die Aufbewahrungsfrist mit Beendigung des Vertragsverhältnisses zu laufen. Die Vernichtung der Unterlagen ist noch nicht zulässig, wenn die Frist für die Steuerfestsetzung noch nicht abgelaufen ist.
Die Organisation hat die Möglichkeit, ein Organisationsarchiv zu führen und dort auch Vorgänge mit personenbezogenen Daten, die für eine aktive Nutzung nicht mehr benötigt werden, aufzubewahren. Schriftstücke, die auf Dauer von Interesse sind, weil sie beispielsweise für die Organisationsgeschichte Bedeutung haben, werden in das Organisationsarchiv übernommen.
Beim Ausscheiden oder Wechseln von Funktionsträgern wird sichergestellt, dass sämtliche Mitgliederdaten entweder ordnungsgemäß gelöscht oder an einen anderen Funktionsträger der Organisation übergeben werden und keine Kopien und Dateien mit Mitgliederdaten und auch keine Zugriffsberechtigungen beim bisherigen Funktionsträger verbleiben.
6.2 technische Beschreibung der Datenlöschung
Personengebundene Daten in automatisierten Datenverarbeitungssystemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Da zur Aufrechterhaltung der Daten-integrität und Datensicherheit jedoch von der Datenbank nach Ziffer 3 dieser Ordnung Sicherheitskopien gefertigt werden, setzt die Organisation die sichere Löschung von personengebundenen Daten wie folgt um:
• Sicherungskopien der Datenbank werden spätestens 3 Jahre nach Erstellung der Sicherung durch mehrfaches Überschreiben sicher gelöscht.
• einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.
• E-Mails, die personenbezogene Daten enthalten, werden durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.
• Datenträger der Organisation, auf denen personenbezogene Daten gespeichert wurden, werden durch mehrfaches Überschreiben des gesamten Datenträgers sicher gelöscht, bevor eine Weitergabe an Dritte oder Entsorgung erfolgt.
• manuell erfasste oder dokumentierte personengebundene Daten in Papierform werden unverzüglich geschreddert oder zur Vernichtung gesammelt (hierbei weiterhin als zu schützende Daten behandelt) und von der Organisation an ein zertifiziertes Unternehmen zur Aktenvernichtung überstellt. Soweit Funktionsträger der Organisation beruflich Zugriff auf entsprechend zertifizierte Unternehmen haben und auch im Rahmen ihrer Tätigkeit als Angestellter oder Selbständiger den Datenschutzbestimmungen unterliegen, darf sich die Organisation der Dienste dieser Funktionsträger bedienen, um in Papierform vorhandene personengebundene Daten einer gesicherten Vernichtung zuzuführen.
VII. ABSCHNITT – Organisatorisches
7.1 Bestellung eines Datenschutzbeauftragten
Nach Prüfung der gesetzlichen Grundlagen (BDSG (neu) und DS-GVO) stellt die Organisation fest, dass:
• weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• die Organisation keine Verarbeitungen vornimmt, die einer Datenschutzfolge-abschätzung gem. Art. 35 DS-GVO unterliegen
• die notwendigen Daten zur Mitgliederverwaltung keine „sensiblen Daten“ enthalten
• „sensible Daten“ nur aufgrund vorheriger Einverständniserklärung der Mitglieder freiwillig erfasst werden
• personenbezogene Daten nicht zum Zweck geschäftsmäßiger Übermittlung dienen (Datenhandel).
Somit liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Insofern hat der Organisationsvorstand die sich hieraus ergebenden Pflichten um die Einhaltung des Datenschutzes durch die Organisation zu erfüllen.
Zur Gewährleistung des Datenschutzes kann jedoch ein Datenschutzbeauftragter durch den Vorstand bestellt werden. Dieser ist dem Vorstand unmittelbar unterstellt und in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er hat uneingeschränk-ten Zugang zu den erhobenen Daten und ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. Jedes Mitglied hat das Recht, sich jederzeit mit Fragen und Anträgen an den Datenschutzbeauftragten zu wenden, der Auskunft über die wesentlichen Bestimmungen des BDSG (neu) und der DS-GVO erteilt.
7.2 Verpflichtung auf Wahrung des Datengeheimnisses
Den Organen der Organisation, allen Mitarbeitern oder sonst für die Organisation Tätigen ist es untersagt, personenbezogene Daten unbefugt zu anderen als dem jeweiligen Aufgaben-erfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, Dritten zugänglich zu machen oder sonst zu nutzen. Diese Pflicht besteht auch über das Ausscheiden der oben genannten Personen aus der Organisation hinaus.
Alle Personen, die Zugang zu Mitgliederdaten haben, werden schriftlich auf die Wahrung des Datengeheimnisses verpflichtet.
7.3 schriftliche Regelung zum Datenschutz und Veröffentlichung
Die Grundzüge der Erhebung, Verarbeitung und Nutzung von personengebundenen Daten werden durch diese Datenschutzordnung geregelt. Sie tritt durch Beschluss der Mitglieder-versammlung in Kraft und ist den Organisationmitgliedern durch Veröffentlichung im internen Bereich der Homepage sowie per E-Mail mit Verweis auf den Veröffentlichungsort bekannt zu geben.
7.4 Inkrafttreten
Die Datenschutzordnung wurde durch Beschluss der Mitgliederversammlung am 20. August 2019 im Kloster Hegne am Bodensee verabschiedet. Sie ist am selben Tag in Kraft getreten.