Gemäß seinen Verpflichtungen aus der EU-DSGVO1 gibt sich der Verein die nachfolgende Datenschutzordnung. Sie wurde durch Vorstandsbeschluss vom 24.05.2018 zum 25.05.2018 gültig. Es ist angestrebt, die Datenschutzordnung durch die Mitgliederversammlung am 30.06.2018 nach eventueller Überarbeitung beschließen zu lassen.
Gemeinwohl-Ökonomie Baden-Württemberg e.V.
– Datenschutzordnung des Vereins –
Inhaltsverzeichnis
Zweck dieser Datenschutzordnung 3
Verantwortlicher im Sinne des Art. 13 Abs. 1 lit a) EU-DSGVO 3
Natürliche Personen als Zugriffsberechtigte 3
Erhebung, Speicherung und Verarbeitung personenbezogener Daten 4
Empfänger personenbezogener Daten 5
Ausschluss zweckfremder Verwendung 6
Ausschluss unberechtigter Zugänge zu Daten 6
Vollständige Löschung der Daten betroffener Personen 7
Informationspflicht gegenüber Betroffenen 7
Datenschutz-Information gemäss Artikel 13 und 14 der EU-DSGVO 7
Mitteilungspflicht an Empfänger und Unterrichtung der Betroffenen 8
Verzeichnis der Verarbeitungstätigkeiten 8
Weitere Grundsätze der Datenspeicherung und -verarbeitung 8
Technische und organisatorische Massnahmen zur Umsetzung der EU-DSGVO 9
Die Datenschutzordnung hat den Zweck, alle relevanten Vorgänge der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten durch satzungsmäßige Organe und Beschäftigte des Vereins zu beschreiben und die Erfüllung der Pflichten aus den Rechtsgrundlagen verständlich darzustellen.
Die Datenschutzgrundverordnung (voller Titel im Vorspann und der Fußnote zitiert) sowie das Bundesdatenschutzgesetz (neu)2 bilden die gesetzliche Grundlage der Datenschutzordnung. Hinsichtlich Zweck und Zielen des Vereins ist die Vereinssatzung in der Fassung vom 16. Juli 2017 gültig.
Verantwortlicher ist der Verein:
Gemeinwohl-Ökonomie Baden-Württemberg
e.V.
c/o Treffpunkt Freiburg e.V.
Schwabentorring 2
79098
Freiburg
Tel.: +49 761 2168739
E-Mail: bawue@ecogood.org
Er wird durch die gewählten Mitglieder des Vereinsvorstands vertreten, welche auf der homepage
https://www.ecogood.org/de/bawue/wer-wir-sind/
veröffentlicht werden.
Der Hauptverein:
Gemeinwohl-Ökonomie Deutschland
e.V.
Glogauer Str. 21
10999 Berlin
ist gemeinsam verantwortlich im Sinn von EU-DSGVO Artikel 26. Personenbezogene Mitgliederdaten werden durch die betroffene Person mit der Beitrittserklärung regelmäßig beiden Vereinen zugänglich gemacht.
Im Sinn der Datensparsamkeit werden personenbezogene Daten nur so vielen natürlichen Personen zugänglich gemacht, wie es für die Erfüllung des Vertrags nach EU-DSGVO Artikel 6 Abs. 1 lit b) oder zur Wahrung des berechtigten überwiegenden Interesses nach Artikel 6 Abs. 1 lit f) erforderlich ist.
Alle Vorstandsmitglieder die Zugriff auf gespeicherte personenbezogene Daten haben, verpflichten sich mit Annahme der Wahl zu Vertraulichkeit und gesetzmäßiger Verwaltung der personenbezogenen Daten im Sinn dieser Datenschutzordnung und der EU-DSGVO.
So weit Mitarbeiter des Vereins Zugriff auf gespeicherte personenbezogene Daten erhalten, findet ebenfalls eine Verpflichtung statt.
Eine Verpflichtungserklärung für diese Zwecke ist Anlage zu dieser Datenschutzordnung.
Von Mitgliedern wurden und werden durch den Hauptverein die folgenden Daten als Pflichteinträge in der Beitrittserklärung („Mitgliedsantrag“) erfasst und in der Mitgliederkartei automatisiert verarbeitet:
optional werden zusätzlich in der Beitrittserklärung zusätzlich durch die Betroffenen angegeben und ebenfalls automatisiert verarbeitet:
|
Datenkategorie |
Zweck |
|---|---|
|
Telefonnummer Zugehörigkeit zu einer Regionalgruppe |
Vernetzung unter den Vereinsmitgliedern (Art. 6 Abs.1 lit f) EU-DSGVO) |
Für die Pflichteinträge ist der Sachverhalt nach EU-DSVO Art. 6 Abs.1. lit b) gegeben. Da durch die Mitgliedschaft ein Vertragsverhältnis zwischen dem Verein und der betroffenen Person begründet wird. Es handelt sich um Daten, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder notwendig sind. Hinsichtlich der Kontaktdaten, die nicht unmittelbar zur Identifikation notwendig sind, wird die Erfassung gemäß Art. 6 1. (f) mit dem überwiegenden Interesse des Vereins begründet, eine Vernetzung unter den Vereinsmitgliedern zur Verfolgung des Vereinszwecks zu fördern.
Bei Mitgliederversammlungen (intern: nur Vereinsmitglieder nehmen teil) und Vernetzungstreffen (halb-öffentlich: auch Aktive aus GWÖ-Regionalgruppen und Akteur*innenkreisen nehmen teil) werden Teilnehmerlisten geführt, die durch den Vereinsvorstand gespeichert und verarbeitet werden. In den Listen sind lediglich Vor- und Zuname, Regionalgruppen-Zugehörigkeit oder Funktion im Verein und E-Mail-Adresse anzugeben. Einer Veröffentlichung dieser Daten müssen die Teilnehmer per Unterschrift aktiv zustimmen. Erfolgt die Einwilligung nicht, werden die Daten der nicht zustimmenden Personen nicht veröffentlicht.
Von Beschäftigten des Vereins werden folgende Daten erfasst und automatisiert verarbeitet:
|
Datenkategorie |
Zweck und Rechtsgrundlage der Verarbeitung |
|---|---|
|
Name Vorname Adresse Religionszugehörigkeit Steuernummer Bankverbindung |
Eine detaillierte Darstellung der weiter gegebenen Daten nach Datenkategorie mit dem Zweck der jeweiligen Verarbeitung und den Empfängern ist im Verzeichnis der Verarbeitungstätigkeiten enthalten. Die Empfänger der Daten von Mitgliedern sind:
Gemäß Vereinssatzung sind alle Mitglieder des Vereins automatisch Mitglieder des Hauptvereins „Gemeinwohl-Ökonomie Deutschland e.V.“. Im Hauptverein findet die Mitgliederverwaltung überwiegend statt. So erfolgt die Neuaufnahme von Mitgliedern durch Beitrittserklärung im Hauptverein bei Kennzeichnung der zusätzlichen Mitgliedschaft im „Gemeinwohl-Ökonomie Baden-Württemberg e.V.“ (Zweigverein) auf dem Mitgliedsantrag, welcher im Hauptverein verwaltet wird. Die betroffene Person stellt mit der Unterzeichnung in diesem Fall ihre Daten beiden Vereinen zur Verfügung.
Zur Verwaltung der Mitgliedbeiträge liefert der Verein Daten an das Konto-führende Kreditinstitut (Empfänger der Daten). Es sind dies lediglich die Daten, welche zur Identifizierung der betroffenen Person erforderlich sind so wie die Beitragshöhe und die Bankverbindung.
Die Mitgliederdatei wird in einem Dateisystem geführt, welches über eine Daten-Cloud unter den mit der Verarbeitung Beschäftigten ausgetauscht wird. Betreiber der Daten-Cloud ist ein Anbieter mit Sitz und Serverstandort in der EU. Detailangaben können bei berechtigtem Interesse beim Datenschutzverantwortlichen nachgefragt werden.
Für den Zugriff zu den Servern wird Software eines Anbieters mit Sitz in der EU eingesetzt.
Daten von Mitarbeitern werden zum Zweck der Gehaltsabrechnung und Besteuerung zusätzlich an folgende Empfänger übermittelt:
Das zuständige Finanzamt ist Empfänger jener Daten der Beschäftigten des Vereins, welche für deren Besteuerung erforderlich sind
Der zuständige Sozialversicherungsträger ist Empfänger jener Daten der Beschäftigten des Vereins, welche für deren gesetzliche Sozialversicherung erforderlich sind
Über die unter Ziffer 5 beschriebene Weitergabe hinausgehend ist die Weitergabe personenbezogener Daten von Mitgliedern an Dritte ohne Rücksprache mit der betroffenen Person im Einzelfall ausdrücklich unzulässig.
Wenn einzelne Berechtigte personenbezogene Daten auf privaten Endgeräten verarbeiten bzw. speichern, haben sie zu gewährleisten, dass keine Dritten Zugriff auf diese Daten haben können.
Spätestens zum Termin des Ausscheidens eines Vorstandsmitglieds aus dem Vorstand und beim Ausscheiden eines Mitarbeiters aus dem Arbeitsverhältnis löscht diese Person evtl. vorhandene lokale, auf eigenen Geräten gespeicherte Kopien der ihr zugänglichen Dateien inkl. Sicherungskopien. Ihr Zugang zu personenbezogenen Daten auf Servern wird vom Administrator der Cloud deaktiviert. Davon ist nur dann und so lang eine Ausnahme zulässig, als es für die geordnete Übernahme der Geschäfte durch nachfolgende Vorstände erforderlich ist.
Im Fall des Wechsels des Cloud-Dienstanbieters wird vom bisherigen Anbieter eine Garantieerklärung eingeholt, dass die Daten inkl. der Sicherungskopien gelöscht wurden.
Scheidet ein Vereinsmitglied aus dem Verein aus, kann es die Löschung seiner personenbezogenen Daten verlangen. Der Verein kommt dem Löschverlangen nach dem Ablauf der gesetzlichen Aufbewahrungspflichten nach, sofern nicht rechtliche Gründe oder berechtigte Interessen des Vereins entgegenstehen, die das Interesse der betroffenen Person überwiegen. Ohne ein konkretes Löschverlangen der betroffenen Person werden ihre personenbezogenen Daten dann gelöscht, wenn kein Interesse des Vereins mehr besteht, die Person zu kontaktieren. Der Vorstand legt zu diesem Zweck Löschroutinen fest, in denen dieses Kriterium genauer definiert und operationalisiert wird.
Eine Veröffentlichung von Fotos erfolgt nur, falls die Einwilligung aller erkennbaren Personen vorliegt. Diese kann mündlich direkt vor der Aufnahme eingeholt werden.
Personenbezogene Textdaten werden prinzipiell nicht veröffentlicht. Eine Ausnahme bilden Kontaktdaten von Funktionsträgern, wenn der Zweck der Veröffentlichung den berechtigten Interessen des Vereins dienlich ist.
Der Verein erfüllt seine Informationspflicht gegenüber Betroffenen gemäss Artikel 13 und 14 der EU-DSGVO im folgenden Abschnitt 13 der Datenschutzordnung. Sie ist in gedruckter Form Anlage gedruckter Beitrittserklärungen. Der Verein gewährleistet, dass Nutzern von online-Beitrittserklärungen und Nutzern des Downloads der Formulare die Datenschutzordnung in elektronischer Form leicht zugänglich ist.
Der Verantwortliche für alle Pflichten aus der EU-DSGVO ist unter Ziffer 3 der Datenschutzordnung des Vereins genannt.
Kategorien, Zwecke der Datenverarbeitung und die jeweilige Rechtsgrundlage sind unter Ziffer 4 der Datenschutzordnung des Vereins genannt
Empfänger personenbezogener Daten sind unter Ziffer 5 der Datenschutzordnung des Vereins genannt
Die Speicherdauer personenbezogener Daten ist unter Ziffer 8 und 9 der Datenschutzordnung des Vereins geregelt
Personen, von denen personenbezogene Daten verarbeitet werden (betroffene Personen gemäß Artikel 4 Absatz 1 EU-DSGVO) haben die folgenden Rechte:
Auskunftsrecht über die gespeicherten Daten und deren Verarbeitung (EU-DSGO Art. 15). Der Verein verpflichtet sich, der betroffenen Person auf Anforderung alle auf ihre Person bezogenen gespeicherten Daten in in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen
Recht auf Berichtigung unrichtiger personenbezogener Daten und Vervollständigung unvollständiger personenbezogener Daten (EU-DSGO Art. 16)
Recht auf Löschung der Daten bei Bedingungen nach EU-DSGO Art. 17
Recht auf Einschränkung der Verarbeitung bei Bedingungen nach EU-DSGO Art. 18
Recht auf Datenübertragbarkeit (EU-DSGVO Art. 20)
Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß (EU-DSGVO Art. 77). Im Fall einer vermuteten Verletzung ihrer Rechte nach EU-DSGVO kann die betroffene Person eine Beschwerde an die zuständige Aufsichtsbehörde einreichen:
Der Landesbeauftragte für den Datenschutz
Königstraße 10a
70173 Stuttgart
Telefon 0711/615541-0
Telefax 0711/615541-15
E-Mail: poststelle@lfd.bwl.de
Die Aufsichtsbehörde stellt ein Beschwerdeformular zum download derzeit unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2016/02/Beschwerdeformular-an-den-LfD.pdf bereit. Es kann auch beim Verein angefordert werden. Eine online-Beschwerde ist derzeit unter https://www.baden-wuerttemberg.datenschutz.de/online-beschwerde/ möglich.
Recht
auf Mitteilung der Quelle der personenbezogenen Daten: so weit die
personenbezogenen Daten von Mitgliedern nicht vom Verein selbst
erhoben wurden, ist die Quelle der Hauptverein „Gemeinwohl-Ökonomie
Deutschland e.V.“, zu dem der Verein Zweigverein ist (siehe
Ziffer 6.1 dieser Datenschutzordnung).
Der Verein teilt allen Empfängern der personenbezogenen Daten (siehe Ziffer 6 dieser Datenschutzordnung) Berichtigungen, Löschungen und Einschränkungen der Verarbeitung mit und unterrichtet die betroffene Person auf deren Verlangen über die Empfänger.
Nach EU-DSGVO führt der Verein ein Verzeichnis der Verarbeitungstätigkeiten in seiner Zuständigkeit.
Die Dateistruktur wird derart angelegt, dass personenbezogene Daten übersichtlich von sonstigen Daten getrennt abgelegt werden, um die erforderliche Datensicherheit zu gewähren.
Weitere als die unter Ziffer 4.1 genannten personenbezogenen Daten werden nicht systematisch gespeichert. Notizen über Personenvorstellungen in einer Versammlung wie zum Beispiel Kandidatenvorstellungen dürfen jedoch in Protokollen vermerkt werden.
Es gilt der Grundsatz der Daten-Sparsamkeit im Sinn von EU-DSGVO Art. 25.
Sollten Verarbeiter von Daten im Auftrag des Vereins tätig werden, so wird von diesen hinreichende Garantie verlangt, dass die Verarbeitung im Einklang mit EU-DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Ebenso beachtet in diesen Fällen der Verein die weiteren Anforderungen gemäss EU-DSGVO Art. 28 für die Auftragsverarbeitung.
Als Instrumente zur Umsetzung der Verordnung setzt der Verein insbesondere die folgenden Regelungen ein:
die vorliegende Datenschutzordnung zur Festlegung der Grundzüge der Datenerhebung, -verarbeitung und -nutzung so wie zur Erfüllung der Informationspflichten (Abschnitt 13).
das Verzeichnis der Verarbeitungstätigkeiten nach EU-DSGVO Art. 30.
die Verpflichtungserklärung zur Wahrung des Datenschutzes.
Hinweise zur Erfüllung der Pflichten nach EU-DSGVO in Beitrittserklärungen.
Einwilligung nach EU-DSGVO Art. 7 zu Verarbeitungsvorgängen, die nicht nach Artikel 6 Abs. 1 lit b) berechtigt sind.
1 VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
2 Art. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU – DSAnpUG-EU vom 30. Juni 2017, BGBl. I, S. 20971