Verarbeitung von Mitgliedsdaten

Hinweise zur Verarbeitung von Mitgliederdaten gemäß Art. 13 DSGVO

Verantwortliche Stelle

Amig@s de CANAT e.V.
Pögnerstraße 4
04347 Leipzig

amigas-canat@mailbox.org

Bei Fragen zum Datenschutz stehen wir Ihnen unter amigas-canat@mailbox.org oder unter der oben angegebenen postalischen Anschrift zur Verfügung.

Wer verarbeitet meine Daten?

Mitgliedsdaten (Name, Email-Adresse, Anschrift und Bankverbindung) werden ausschließlich vom Vorstand des Vereins verarbeitet. Im Einzelnen bedeutet dies:

  • Wenn der Vorstand Mitgliedsdaten benötigt, um seine Aufgaben zu erledigen, darf er auf alle hierfür erforderlichen Mitgliedsdaten zugreifen. Dazu gehört insbesondere das Kontrollieren des Eingangs der Mitgliedsbeiträge, das Ausstellen von Spendenbescheinigungen und die Mitgliederverwaltung.

  • Grundsätzlich verarbeitet der/die Schatzmeister:in die Mitgliedsdaten, die für den Einzug der Mitgliedsbeiträge, die Ausstellung der Spendenbescheinigung und die Kassenprüfung relevant sind. Dies sind Vorname, Nachname, postalische Anschrift und Bankverbindung mit Zahlungsdaten.

  • Grundsätzlich verarbeitet der/die Vorsitzende die Mitgliedsdaten zur Mitgliedsverwaltung und -betreuung (Änderungen bzgl. der Mitgliedschaft, Newsletterversandt, Spendenaufrufe)

  • Der/die Schatzmeister:in bzw. der/die Vorsitzende können ihre Aufgaben auch auf andere Vorstandsmitglieder übertragen.

Wo werden meine Daten gespeichert?

Der Verein nutzt zur Erhebung der Daten und zur Speicherung der Daten den Anbieter „Nextcloud Hub“. Die Daten werden dabei in einem vom Verein betriebenen Rechenzentrum auf einem von Verein verwalteten Server gespeichert. Nextcloud bietet eine Reihe von einzigartigen, innovativen Sicherheitstechnologien von Brute-Force-Schutz zu fortschrittlicher serverseitiger Verschlüsselung, integrierter Ende-zu-Ende sowie clientseitiger Verschlüsselung mit unternehmenstauglicher Schlüsselverwaltung und einer großen Anzahl an Sicherheitshärtungen. Die Sicherheit wurde von zertifizierten Drittanbietern überprüft und wird gestützt durch ein 10.000 USD Sicherheits Bug-Bounty-Programm, welches sicherstellt, dass Daten, die privat bleiben sollen, auch privat bleiben.

Zu welchem Zweck werden meine Daten verarbeitet?

Zweck für die Verarbeitung der Mitgliedsdaten ist die Verfolgung des Vereinszwecks laut § 2 der Vereinssatzung und die Vereinsverwaltung. Im Einzelnen werden die Daten insbesondere verarbeitet, um den Eingang der Mitgliedsbeiträge zu prüfen, die Kassenprüfung durchzuführen, Spendenbescheinigungen auszustellen, den Vereinsnewsletter zu versenden, Spendenaufrufe zu verbreiten und die Mitgliederverwaltungen zu gewährleisten.

Auf welcher Rechtsgrundlage basiert die Verarbeitung meiner Daten?

Rechtsgrundlage für die Verarbeitung ist die Vereinsmitgliedschaft (Artikel 6 Absatz 1 b) DSGVO).

Wie lang werden meine Daten gespeichert?

Die aktuellen Mitgliedsdaten werden ausschließlich für die Dauer der Mitgliedschaft gespeichert.

Welche Rechte stehen mir hinsichtlich meiner Daten zu?

Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie folgende Betroffenenrechte:

  • ein Recht auf Auskunft über die verarbeiteten Daten und auf Kopie,

  • ein Berichtigungsrecht, wenn wir falsche Daten über Sie verarbeiten,

  • ein Recht auf Löschung, es sei denn, dass noch Ausnahmen greifen, warum wir die Daten noch speichern, also zum Beispiel Aufbewahrungspflichten oder Verjährungsfristen

  • ein Recht auf Einschränkung der Verarbeitung,

  • ein jederzeitiges Recht, Einwilligungen in die Datenverarbeitung zu widerrufen,

  • ein Widerspruchsrecht gegen eine Verarbeitung im öffentlichen oder bei berechtigtem Interesse,

  • ein Recht auf Datenübertragbarkeit,

  • ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde, wenn Sie finden, dass wir Ihre Daten nicht ordnungsgemäß verarbeiten. Für unseren Verein ist der Sächsische Datenschutzbeauftragte zuständig. Wenn Sie sich in einem anderen Bundesland oder nicht in Deutschland aufhalten, können Sie sich aber auch an die dortige Datenschutzbehörde wenden.

Allgemeine Kommentare/Fragen:

Datenschutzbeauftrager notwendig, wenn mehr als 20 Personen Daten verarbeiten

Newsletter und sonstige Mails nur mit bcc versenden

Hinweis im Newsletter, dass er abbestellt werden kann

(P) Matthias ist Vertragspartner von Nextcloud, eigenes Abo des Vereins besser?

(P) Haben auch andere Leute mit denen er Nextcloud teilt Zugriff? Nein, da der Odner nur mit uns geteilt wird oder?

(P) Wollen wir vielleicht auch die Daten der Einzelspender erfassen? (für Spendenaufrufe? für Spendenbescheinigung?)

(P) Datenschutzordnung am besten in Mitgliederversammlung verabschieden und dann auch auf Website

Nützliche Hinweise: https://stiftungdatenschutz.org/ehrenamt/datenschutz-im-verein-kompakt

Anleitung BaWü: https://perspektive.dedyn.io/s/p5DDW3oxo9asdo5

Datenschutzordnung des Vereins

Erhebung und Speicherung der Daten

Der Verein erhebt bei der Begründung der Vereinsmitgliedschaft den vollständigen Namen, die Email-Adresse und ggfs. die Adresse des Mitglieds.

Der Verein nutzt zur Erhebung der Daten und zur Speicherung der Daten den Anbieter „Nextcloud Hub“. Die Daten werden dabei in einem vom Verein betriebenen Rechenzentrum auf einem von Verein verwalteten Server gespeichert. Nextcloud bietet eine Reihe von einzigartigen, innovativen Sicherheitstechnologien von Brute-Force-Schutz zu fortschrittlicher serverseitiger Verschlüsselung, integrierter Ende-zu-Ende sowie clientseitiger Verschlüsselung mit unternehmenstauglicher Schlüsselverwaltung und einer großen Anzahl an Sicherheitshärtungen. Die Sicherheit wurde von zertifizierten Drittanbietern überprüft und wird gestützt durch ein 10.000 USD Sicherheits Bug-Bounty-Programm, welches sicherstellt, dass Daten, die privat bleiben sollen, auch privat bleiben.

Benutzung der Daten durch den Verein

a) Zweck

Zweck für die Verarbeitung der Mitgliedsdaten ist die Verfolgung des Vereinszwecks laut § 2 der Vereinssatzung und die Vereinsverwaltung. Im Einzelnen werden die Daten insbesondere verarbeitet, um den Eingang der Mitgliedsbeiträge zu prüfen, die Kassenprüfung durchzuführen, Spendenbescheinigungen auszustellen, den Vereinsnewsletter zu versenden, Spendenaufrufe zu verbreiten und die Mitgliederverwaltungen zu gewährleisten.

b) mit der Verarbeitung betraute Personen

Mitgliedsdaten (Name, Email-Adresse, Anschrift und Bankverbindung) werden ausschließlich vom Vorstand des Vereins verarbeitet. Im Einzelnen bedeutet dies:

  • Wenn der Vorstand Mitgliedsdaten benötigt, um seine Aufgaben zu erledigen, darf er auf alle hierfür erforderlichen Mitgliedsdaten zugreifen. Dazu gehört insbesondere das Kontrollieren des Eingangs der Mitgliedsbeiträge, das Ausstellen von Spendenbescheinigungen und die Mitgliederverwaltung.

  • Grundsätzlich verarbeitet der/die Schatzmeister:in die Mitgliedsdaten, die für den Einzug der Mitgliedsbeiträge, die Ausstellung der Spendenbescheinigung und die Kassenprüfung relevant sind. Dies sind Vorname, Nachname, postalische Anschrift und Bankverbindung mit Zahlungsdaten.

  • Grundsätzlich verarbeitet der/die Vorsitzende die Mitgliedsdaten zur Mitgliedsverwaltung und -betreuung (Änderungen bzgl. der Mitgliedschaft, Newsletterversandt, Spendenaufrufe)

  • Der/die Schatzmeister:in bzw. der/die Vorsitzende können ihre Aufgaben auch auf andere Vorstandsmitglieder übertragen.

c) Art und Weise der Nutzung der Daten

Die Vorstandsmitglied haben sicherzustellen, dass sie bei der Verarbeitung von Mitgliederdaten stets die größtmögliche Sorgfalt im Hinblick auf die Datensicherheit anwenden. Die Daten sind insbesondere vor dem Zugriff durch Unbefugte zu schützen. Gewährleistet wird dies insbesondere durch die Zwei-Faktor-Authentifikation in der Nextcloud. Mitgliederdaten dürfen nicht lokal auf dem eigenen Endgerät gespeichert werden, sondern nur zentral in der Nextcloud.

d) Datenpanne

Ist es dennoch möglicherweise zu einer Datenpanne gekommen - d.h. wurden personenbezogene Daten unberechtigt offengelegt, verändert oder vernichtet - so:

  • sind sofort Maßnahmen ergreifen, um den Schaden zu begrenzen;

  • sind die anderen Vorstandsmitglieder zu informieren;

  • ist einzuschätzen wie groß der potenzielle Schaden ist. Maßstab ist dabei die Gefahr für die Rechte und Freiheiten der betroffenen Personen;

  • muss der/die Vorsitzende die Verletzung nach spätestens 72 Stunden der zuständigen sächsichen Datenschutzbehörde melden, wenn die Bewertung ergibt, dass die Datenschutzverletzung ein Risiko für die Betroffenen darstellt;

  • müssen auch die Betroffenen informiert werden, wenn die Bewertung ergibt, dass das Risiko für die
    Betroffenen hoch ist; und

  • ist die Datenpanne intern zu dokumentieren.

e) Vorstandswechsel

Wenn die Mitglieder des Vorstandes wechseln, sind die Zugriffsrechte auf die Mitgliedsdaten in der Nextcloud den vorherigen Vorstandsmitgliedern zu entziehen und auf die neuen Vorstandsmitglieder zu übertragen.

Berichtigung und Löschung der Daten

a) Ende der Vereinsmitgliedschaft

Kündigt ein Vereinsmitglied seine Mitgliedschaft oder wird die Mitgliedschaft auf andere Art und Weise beendet, so hat der/die Vorsitzende dafür Sorge zu tragen, dass die über das Mitglied gespeicherten Daten spätestens zwei Wochen nach dem Ende der Mitgliedschaft gelöscht sind.

b) Ausübung von Betroffenenrechten

Die Vorsitzende hat dafür Sorge zu tragen, dass spätestens zwei Wochen nachdem ein Mitglied die Löschung von Daten, deren Berichtigung, die Einschränkung ihrer Verarbeitung, eine Auskunft über sie beantragt hat oder ein sonstiges Betroffenenrecht geltend macht, die begehrte Handlung vorgenommen wird.

Wird die Löschung aller Daten begehrt, kann die Vereinsmitgliedschaft nicht fortgesetzt werden. (P) Kündigungsrecht????

Kontrolle

Die/der Vorsitzende wacht über die Einhaltung dieser Datenschutzordnung. Die anderen Mitglieder des Vorstandes unterstützden ihn/sie dabei.

Website

Die Hinweise zur Datenverarbeitung bei Benutzung der Website sind dem entsprechenden Reiter auf der Website zu entnehmen.