Datenschutz-Ordnung (mit Löschkonzept) für den SET-FREE e.V.
(gültig ab 04.08.2024)
1 Diese Ordnung ersetzt die bisherige Fassung vom 01.01.2013.
2 Die Mitgliederzahl des SET‑FREE e.V. liegt zum 04.08.2024 bei 15 Personen. Insofern wurde geprüft und bleibt hiermit festgelegt, dass kein eigener Datenschutzbeauftragter benötigt wird. Organisation und Überwachung des Datenschutzes ist Aufgabe der Geschäftsführung, aktuell des Geschäftsführers Pedro Holzhey.
3 Die zentrale Speicherung und Pflege der Vereinsdaten ist Aufgabe der Geschäftsführung, auf Vorschlag der Kassenführerin (Fr. Christiane Weiblen-Graffius) und der Lohnbuchhalterin (Fr. Angela Meier), sowie die Bedienung und Pflege der entsprechenden Vereins-Software (derzeit STRATO/HiDrive, Optigem, lexware) mit Vergabe der Zugangsdaten. Für die Löschung von Daten ist ausschließlich der Geschäftsführer zuständig.
4 Der Zugriff auf Mitgliederdaten ist auf acht Funktionsträger(innen) wie folgt begrenzt (Namen mit Stand 04.08.2024):
- 1 Erster Vorsitzender/Geschäftsführer Pedro Holzhey
- 2 Stv. Vorsitzende und Kassenführerin Christiane Weiblen-Graffius
- 3 Stv. Vorsitzende Cornelia Schöllkopf
- 4 Sekretariat/Lohnbuchhaltung Angela Meier
- 5 Beisitzer Gideon Weiblen
- 6 Fachbeirätin Angelika Lang
- 7 Koordinatorin für Sachsen Friederike Schüffny
- 8 Webmaster/Website Andreas Fiedler
5 Mitgliederdaten sowie die Daten der Vereinsmitarbeiter(innen) sind bei den o.g. Personen Nr. 4 stets passwortgeschützt zu speichern.
6 Die unter Nr. 4 aufgeführten Personen sind schriftlich zum Datenschutz zu verpflichten. Für die Verpflichtung bei Personalwechsel sorgt die Geschäftsführung, die auch die unterzeichneten Original-Verpflichtungserklärungen verwahrt.
7 Neue, zu ändernde oder zu löschende Daten werden von allen Funktionsträger(inne)n zunächst an die Geschäftsführung gemeldet. Diese leitet sie nach entsprechender Prüfung ggf. zur Verarbeitung an die Personen unter Nr. 3 weiter.
8 Konzept zur Löschung von Daten im SET-FREE e.V. (Löschkonzept):
Inhaltsübersicht
1 Vorbemerkung
Die Datenschutzgrundverordnung (DSGVO) beabsichtigt unter anderem eine Minimierung der Datenverarbeitung. Daher sind personenbezogene Daten unter anderem zu löschen, wenn der Zweck für die Datenverarbeitung (wozu auch die Speicherung gehört) nicht mehr besteht, etwa weil das Mitgliedschaftsverhältnis beendet ist. Solche Daten sind dann grundsätzlich zu löschen, solange nicht ausnahmsweise eine weitere Speicherung erlaubt ist. Das ist zum Beispiel der Fall, soweit Daten zur Erfüllung von steuerlichen Aufbewahrungspflichten gespeichert werden müssen. Verstöße gegen dieses Löschgebot können durch die Aufsichtsbehörden mit einem Bußgeld gegen den Verein belegt werden und zu Entschädigungsansprüchen der betroffenen Personen gegen den Verein führen. Es gehört zu den Aufgaben aller Funktionsträger(innen) im Verein, solche Risiken zu verhindern. Daher richtet sich dieses Löschkonzept an alle Personen im Verein, die im Auftrag des Vereins mit personenbezogenen Daten arbeiten.
2 Ablauf der Neuaufnahme bzw. Änderung bestehender Daten im SET-FREE e.V.:
2.1 Die Vereinsgeschäftsführung führt in EXCEL (die) eine zentrale und maßgebliche Adressdatei und sichert diese außerdem auf STRATO/HiDrive sowie physisch auf einem externen Festplattenlaufwerk.
2.2 Sämtliche Änderungen zu dieser Datei werden an die Sekretärin/Lohnbuchhalterin weitergeleitet. Diese aktualisiert dann die bei ihr vorliegenden Kopie der Adressdatei und führt ebenso sämtliche Änderungen in der zentralen Lohnbuchhaltung durch, im Programm OPTIGEM für die Kassenführung und in der in die Vereinswebsite integrierten newsletter-Funktion.
2.3 Neuaufzunehmende, zu ändernde oder zu löschende Daten für die zentrale Adressdatei, die von irgendeinem Funktionsträger bzw. einer Funktionsträgerin vorgeschlagen werden, sind direkt an die Geschäftsführung zu übermitteln. Nur diese entscheidet dann über das Procedere gem. 8.2.1 und 8.2.2 und veranlasst dieses gegebenenfalls.
2.4 Zugriffsberechtigt auf die Adressdateien sind derzeit
- für die in der Cloud gespeicherte zentrale Adressdatei die Geschäftsführung, die Fachbeirätin (Fr. Angelika Lang) und die Koordinatorin für Sachsen (Fr. Friederike Schüffny) und
- für die Kassenführungsdateien im Programm OPTIGEM die Geschäftsführung, die Kassenführerin (Fr. Christiane Weiblen-Graffius) und die Sekretärin/Lohnbuchhalterin (Fr. Angela Meier).
- Änderungen für Zugriffsberechtigungen vergibt ausschließlich die Geschäftsführung, die auch den einzigen Zugriff auf den Mailserver des Vereins und auf das Programm Webmail-all-inkl.com hat.
3 Löschfristen
Für jedes „Datum“ (z.B. E-Mail-Adresse des Mitglieds, Anschrift etc.) sind die Löschfristen in der nachfolgenden Tabelle festgelegt. Aus der Tabelle ergibt sich gleichzeitig, von wem die Löschung fristgemäß durchzuführen ist. Die Löschung muss jeweils zeitnah nach Ablauf des in der Tabelle genannten Löschtermins erfolgen, in der Regel spätestens innerhalb von zwei Wochen.
Datum | Datenkategorien | Löschtermin | Zuständigkeit | Bemerkungen |
Name | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | bei Spender(inne)n nach Ablauf von 10 Geschäftsjahren nach dem Ende des Jahres der letzten Spende |
Anschriften | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | bei Spender(inne)n nach Ablauf von 10 Geschäftsjahren nach dem Ende des Jahres der letzten Spende |
Telefonnummern | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | bei Spender(inne)n nach Ablauf von 10 Geschäftsjahren nach dem Ende des Jahres der letzten Spende |
Mailadressen | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | bei Spender(inne)n nach Ablauf von 10 Geschäftsjahren nach dem Ende des Jahres der letzten Spende |
Geburtsdatum | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | |
Ausbildungs- und Berufsinformationen | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | |
Persönliche Erkenntnisse und Bemerkungen von Funktionsträger(inne)n | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | |
Spendensummen | Mitgliederverwaltung und Informationsempfänger(innen) und Spender(innen) | Ende der Mitgliedschaft od. Beendigung der Unterstützung od. Abbestellung von Vereinsinformationen | Geschäftsführung | bei Spender(inne)n nach Ablauf von 10 Geschäftsjahren nach dem Ende des Jahres der letzten Spende |
Steuer- und Sozialversicherungsdaten sowie Vergütungen/Zahlungen | Mitgliederverwaltung und Personalverwaltung | Ende der Mitgliedschaft od. Beendigung der Beschäftigung bzw. des Ehrenamts | Geschäftsführung | Speicherung bis zum Abschluss der auf die Beendigung folgenden Steuererklärung des Vereins |
4 Art der Löschung
Daten sind durch geeignete Löschprogramme so zu löschen, dass die Wiederherstellung ausgeschlossen ist. Dazu ist in der Regel ein mehrfaches Überschreiben der Datenträger, auf denen die Daten gespeichert sind, erforderlich. Ein einfaches „Verschieben in den Papierkorb“ des IT-Systems genügt auf keinen Fall.
Besonders sensible Daten (insbesondere Gesundheitsdaten, Daten von Minderjährigen und Kreditkarten- bzw. Kontoinformationen) sind durch professionelle Dienstleister zu löschen. Ein Verkauf gebrauchter Datenträger des Vereins ist nicht gestattet, diese sind an die Geschäftsführung zur Löschung/Verwertung zu übergeben. Alle Geräte der Informations- oder Telekommunikationstechnik müssen bei Ende der Nutzung auf den Werkszustand zurückgesetzt werden, sämtliche hinterlegten Zugangsdaten sind zu löschen. Datenträger sind am Ende ihrer Benutzungszeit physisch zu zerstören beziehungsweise müssen mindestens nach Sicherheitsstufe O-3 entsprechend der ISO/IEC 21964-2 vernichtet werden.
5 Umgang mit Löschanträgen nach Art. 17 DSGVO
Art. 17 DSGVO gibt betroffenen Personen das Recht, vom Verein die Löschung ihrer Daten zu verlangen. Nur wenn Art. 17 Abs. 3 DSGVO es erlaubt, darf dieses Löschungsverlangen abgelehnt werden. In jedem Fall ist es erforderlich, dass das Löschungsverlangen unverzüglich bearbeitet wird und Daten ggf. gelöscht werden. Um dies sicherzustellen, legen alle Vorstandsmitglieder, denen ein Antrag auf Datenlöschung zugeht, diesem unverzüglich der Geschäftsführung vor, die das Löschverlangen bearbeitet. Zur Bearbeitung des Löschbegehrens gehört auch die Prüfung, ob andere Organisationen über diesen Löschantrag zu informieren sind, und ggf. die entsprechende Information (siehe Art. 17 Abs. 2 DSGVO). Die Vertretung in Urlaubs- oder sonstigen Abwesenheitsfällen erfolgt durch die/den aktuell zuständige/n stv. Vereinsvorsitzende/n.
6 Zuständigkeit/Fragen
Vereinsintern ist die/der Geschäftsführer(in) für Fragen des Datenschutzes und damit auch für die Löschung von Daten zuständig, sofern nicht oben bei der Festlegung der Löschfristen eine andere Zuständigkeit für die konkrete Löschung festgelegt wurde. Die Geschäftsführung führt auch eine entsprechende Dokumentation zu Nachweiszwecken gem. Art. 5 Abs. 2 DSGVO. Die/der Geschäftsführer(in) steht allen Vorstandsmitgliedern für Fragen zum Löschkonzept auch oder zur konkreten Umsetzung der Löschung zur Verfügung. Sofern Daten auf privaten Endgeräten von Personen, die im Auftrag des Vereins Daten verarbeiten, gespeichert werden, sind diese für die rechtzeitige Löschung der Daten auf ihren privaten Endgeräten entsprechend den Löschfristen verantwortlich.
7 Aktualisierung
Dieses Löschkonzept wird grundsätzlich jährlich durch die Geschäftsführung auf Aktualisierungsbedarf überprüft und angepasst, soweit nicht im Einzelfall aufgrund besonderer Vorkommnisse eine unterjährige Anpassung erforderlich ist. Die Geschäftsführung wird den Vorstand über notwendige Anpassungen informieren und eine Beschlussfassung des Vorstands über die Aktualisierung des Löschkonzepts herbeiführen.
8 Jährliche Anpassung des Löschkonzepts nach DSGVO
Falls keine Anpassung erforderlich ist, lässt die Geschäftsführung in das Protokoll der nächsten Vorstandssitzung sinngemäß aufnehmen: „Seit der letzten Überprüfung des Löschkonzepts am tt.mm.jjjj hat sich kein Änderungsbedarf ergeben. Weder wurden zusätzliche Datenkategorien entwickelt noch neue Datenarten verarbeitet. Auch bei der Umsetzung des Löschkonzepts haben sich keine Probleme gezeigt. Handlungsbedarf besteht daher nach einstimmiger Auffassung des Vorstands aktuell nicht.“ Bei Änderungen sind diese per Vorstandsbeschluss in eine Fortschreibung der Datenschutzordnung aufzunehmen.
Die Zustimmung zum o.g. Beschluss und Feststellung der Richtigkeit per Mail sind in der Vereinsakte der Geschäftsführung unter „Vorstandsbeschlüsse“ abgelegt.
Ammerthal, 04.08.2024
Pedro Holzhey, Geschäftsführung
Postanschrift: | Bankverbindung / Spendenkonto: | |
SET-FREE e.V. c/o Holzhey | SET-FREE e.V. | |
Postfach 1903 | Konto 980 9100 BLZ 370 205 00 | |
D – 92209 Amberg | SozialBank | |
+49 151 25548155 | https://www.set-free-ev.de | IBAN: DE68 3702 0500 0009 8091 00 |
gemeinnützig, Finanzamt Amberg, StNr.: 201/110/70092 | BIC/SWIFT-Code: BFSWDE33XXX | |
gf@set-free-network.de | eingetragen beim Amtsgericht Stuttgart VR 725541 | Gläubiger-ID: DE21ZZZ00000020155 |