Datenschutz-Leitlinie

Vorwort

Sehr geehrte Mitglieder,
die Themen gesetzlicher Datenschutz und Informationssicherheit werden für uns und unsere Mitglieder und Partner immer wichtiger und bedeutsamer. Wir als öffentlicher Verein genießen ein hohes Vertrauen unserer Mitglieder.

Vertrauen bedeutet jedoch auch Verantwortung für unser Handeln, für unsere Arbeit, für die Systeme und Daten der Mitglieder.

Für den Box-Club Singen 1922 e.V. ist es besonders wichtig, mit diesen Daten verantwortungsbewusst umzugehen. Daher liegt es sehr nahe, dass wir das Thema gesetzlicher Datenschutz in der Praxis sehr ernst nehmen und uns auch entsprechend organisieren.

Diese Leitlinie soll helfen, die Bedeutung und Wichtigkeit des gesetzlichen Datenschutzes zu verdeutlichen und auch den Mitgliedern dieses Thema transparenter zu machen.

Antonio Ruberto
– Vereinsvorsitzender-
Box Club Singen 1922 e.V.

Ziel der Datenschutzrichtlinie

Der Box-Club Singen 1922 e.V. verpflichtet sich im Rahmen seiner gesellschaftlichen Verantwortung des gesetzlichen Datenschutzrechtes und beruht auf akzeptierten Grundprinzipien zum Datenschutz.
Die Wahrung des Datenschutzes ist eine Basis für vertrauensvolle Beziehungen.

Wir definieren dazu ergänzend unsere eigenen Datenschutz-Ziele als Selbstverpflichtung.
Dazu gehören u.a.:
• Unbedingte Einhaltung der Vorgaben der EU-Datenschutz-Verordnung durch die gesamte Vorstandschaft und Trainer
• Strikte Verpflichtung zur Geheimhaltung und Vertraulichkeit
• Unbedingter Schutz vor Dateneinsicht durch Unbefugte

Geltungsbereich und Änderung der Datenschutzrichtlinie

Diese Datenschutzrichtlinie fußt auf den Vorgaben der EU-Datenschutz-Grundverordnung und den dazugehörigen nationalen Gesetzen.
Die aktuellste Version der Datenschutzrichtlinie kann auf der Internetseite des Box-Club Singen 1922 e.V. ( www.boxclub-singen.de )abgerufen werden.

Prinzipien für die Verarbeitung personenbezogener Daten
Fairness und Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten muss das informationelle Selbstbestimmungsrecht des Betroffenen gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise erhoben und verarbeitet werden.

Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung.

Transparenz
Der Betroffene muss über den Umgang mit seinen Daten informiert werden. Grundsätzlich sind personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss der Betroffene mindestens Folgendes erkennen können oder entsprechend informiert werden über:
• Die Identität der verantwortlichen Stelle
• Den Zweck der Datenverarbeitung
• Die hinterlegten Aufbewahrungsfristen
• Dritte oder Kategorien von Dritten, an die die Daten übermittelt werden

Datenvermeidung und Datensparsamkeit
Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese Notwendig sind, um der Verarbeitung angestrebten Zweck zu erreichen.

Löschung und Speicherbegrenzung
Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden. Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen oder

für eine historische Bedeutung dieser Daten, müssen die Daten weiter gespeichert bleiben, bis das schutzwürdige Interesse rechtlich geklärt ist.
Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind richtig, vollständig und – soweit erforderlich – auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

Vertraulichkeit und Datensicherheit
Für personenbezogene Daten gilt das Datengeheimnis.
Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.

Zulässigkeit der Datenverarbeitung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.
Kunden- und Partnerdaten
Datenverarbeitung für eine vertragliche Beziehung
Wenn die Datenverarbeitung personenbezogener Daten der Vertragserfüllung oder Erfüllung vorvertraglicher Maßnahmen dient, so ist die Verarbeitung zulässig.
Einwilligung in die Datenverarbeitung
Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden. Vor der Einwilligung muss der Betroffene gemäß der Datenschutzrichtlinie informiert werden. Die Einwilligungserklärung ist schriftlich, elektronisch oder mündlich einzuholen.
Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Datenverarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.
Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses des Box- Club Singen 1922 e.V. erforderlich ist. Berechtigte Interessen sind in der Regel rechtliche oder wirtschaftliche. Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.

Verarbeitung besonders schutzwürdiger Daten
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen.

Nutzerdaten und Internet
Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt werden, sind die Betroffenen hierüber in Datenschutzerklärungen und ggf. Cookie-Hinweisen zu informieren. Die Datenschutzhinweise und ggf. Cookie-Hinweise sind so zu integrieren, dass diese für die Betroffenen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.

Mitgliederdaten
Datenverarbeitung für das Mitgliedschaftsverhältnis
Für das Mitgliedschaftsverhältnis dürfen die personenbezogenen Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Mitgliedsschaftsverhältnis erforderlich sind.

Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Verarbeitung personenbezogener Mitgliederdaten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften. Besteht ein gesetzlicher Handlungsspielraum, müssen die schutzwürdigen Interessen des Mitglieds berücksichtigt werden.

Einwilligung in die Datenverarbeitung
Eine Verarbeitung von Mitgliederdaten kann aufgrund einer Einwilligung des Betroffenen stattfinden. Einwilligungserklärungen müssen freiwillig abgegeben werden. Unfreiwillige Einwilligungen sind unwirksam. Die Einwilligungserklärung ist grundsätzlich schriftlich oder elektronisch einzuholen. Erlauben die Umstände dies ausnahmsweise nicht, kann die Einwilligung mündlich erteilt werden, beispielsweise telefonisch. Bei einer informierten freiwilligen Angabe von Daten durch den Betroffenen kann eine Einwilligung angenommen werden.

Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Mitgliederdaten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses des Box- Club Singen 1922 e.V. erforderlich ist. Berechtigte Interessen sind in der Regel rechtlich (z.B. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche) oder wirtschaftlich begründet.
Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht folgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Mitglieds das Interesse an der Verarbeitung überwiegen. Das vorliegen schutzwürdiger Interessen ist für jede Verarbeitung zu prüfen.
Kontrollmaßnahmen, die eine Verarbeitung von Mitgliederdaten erfordern, dürfen nur durchgeführt werden, wenn dazu eine gesetzliche Verpflichtung besteht oder ein begründeter Anlass gegeben ist. Auch bei Vorliegen eines begründeten Anlasses muss die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z.B. Einhaltung rechtlicher Bestimmungen und unternehmensinterner Regeln) müssen gegen ein mögliches schutzwürdiges Interesse des von der Maßnahme betroffenen Mitglieds am Ausschluss der Maßnahme abgewogen werden und dürfen nur durchgeführt werden, wenn sie angemessen sind. Das berechtigte Interesse des Vereins und die möglichen schutzwürdigen Interessen der Mitglieder müssen vor jeder Maßnahme festgestellt und dokumentiert werden. Zudem müssen ggf. nach staatlichem Recht bestehende weitere Anforderungen berücksichtigt werden.

Verarbeitung besonders schutzwürdiger Daten
Besonders schutzwürdige personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Besonders schutzwürdige Daten sind Daten über die rassische und ethnische Herkunft, über politische Meinungen, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit oder das Sexualleben des Betroffenen.
Ebenso dürfen Daten, die Straftaten betreffen, häufig nur unter besonderen, von staatlichem Recht aufgestellten Voraussetzungen verarbeitet werden.

Übermittlung personenbezogener Daten
Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb des Box- Club Singen 1922 e.V. unterliegt den Zulässigkeitsvoraussetzungen der Verarbeitung personenbezogener Daten. Der Empfänger der Daten muss darauf verpflichtet werden, diese nur zu den festgelegten Zwecken zu verwenden.

Im Falle einer Datenübermittlung an einen Empfänger außerhalb des Box- Club Singen 1922 e.V. in einen Drittstaat muss dieser ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau gewährleisten. Dies gilt nicht, wenn die Übermittlung aufgrund einer gesetzlichen Verpflichtung erfolgt.
Im Falle einer Datenübermittlung von Dritten an den Box- Club Singen 1922 e.V. muss sichergestellt sein, dass die Daten für die vorgesehenen Zwecke verwendet werden dürfen.

Auftragsdatenverarbeitung
Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist mit externen Auftragnehmern eine Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen.
Dabei behält das beauftragende Unternehmen die volle Verantwortung für die korrekte Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die nachfolgenden Vorgaben einzuhalten; der beauftragte Fachbereich muss ihre Umsetzung sicherstellen.
1. Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen technischen und organisatorischen Schutzmaßnahmen auszuwählen.
2. Der Auftrag ist in Textform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und die Verantwortlichkeiten des Auftraggebers und des Auftragnehmers zu dokumentieren.
3. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der Pflichten des Auftragnehmers überzeugen. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.
4. Anerkennung verbindlicher Unternehmensregeln des Auftragnehmers zur Schaffung eines angemessenen Datenschutzniveaus durch die zuständigen Datenschutz Aufsichtsbehörden.

Rechte des Betroffenen

Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei Nachteilen führen.

1. Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Falls im Arbeitsverhältnis nach dem jeweiligen Arbeitsrecht weitergehende Einsichtsrechte in Unterlagen des Arbeitgebers vorgesehen sind, so bleiben diese unberührt.
2. Werden personenbezogene Daten an Dritte übermittelt, muss auch über die Identität des Empfängers oder über die Kategorien von Empfängern Auskunft gegeben werden.
3. Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung oder Ergänzung verlangen.
4. Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu Zwecken der Werbung oder der Markt- oder Meinungsforschung widersprechen. Für diese Zwecke müssen die Daten gesperrt werden.
5. Der Betroffene ist berechtigt, die Löschung seiner Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden.
6. Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner Daten, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation das Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.

Vertraulichkeit der Verarbeitung

Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung, Verarbeitung oder Nutzung ist den Mitgliedern und dem Vorstand untersagt.

Unbefugt ist jede Verarbeitung, die ein Mitglied vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und entsprechend berechtigt zu sein. Es gilt das Need-to-know-Prinzip: Mitglieder dürfen nur Zugang zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweilige Aufgaben erforderlich ist. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.

Mitglieder dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen.

Sicherheit der Verarbeitung

Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer Verfahren der Datenverarbeitung, insbesondere neuer IT-Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten zu orientieren.

Die technisch organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Teil des unternehmensweiten Informationssicherheits- und Datenschutz-Managements und müssen kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst werden.

Datenschutzkontrolle
Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird regelmäßig durch Datenschutzaudits und weiteren Kontrollen überprüft.
Die Ergebnisse der Datenschutzkontrollen sind dem Vorsitzenden mitzuteilen.

Datenschutzvorfälle
Jedes Mitglied soll dem Vorsitzenden unverzüglich Fälle von Verstößen gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten melden.
In Fällen von
• Unrechtmäßiger Übermittlung personenbezogener Daten an Dritte
• Unrechtmäßigem Zugriff durch Dritte auf personenbezogene Daten, oder
• bei Verlust personenbezogener Daten
sind die Vorstandschaft oder der Datenschutzbeauftragte unverzüglich zu informieren, damit nach staatlichem Recht bestehende Meldepflichten von Datenschutzvorfällen erfüllt werden können.

Verantwortlichkeiten und Sanktionen
Die Vorstandschaft ist für die verordnungskonforme Datenverarbeitung personenbezogener Daten verantwortlich.
Damit ist sie verpflichtet sicherzustellen, dass die gesetzlichen und die in der Datenschutzrichtlinie enthaltenen Anforderungen des Datenschutzes eingehalten werden.
Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitglieder. Bei Datenschutzkontrollen durch Behörden ist der Datenschutzbeauftragte umgehend zu informieren.

Der Datenschutzbeauftragte ist vor Ort Ansprechpartner für den Datenschutz. Er kann Kontrollen durchführen und hat die Mitglieder mit den Inhalten der Datenschutzrichtlinien vertraut zu machen. Die Vorstandschaft ist verpflichtet, den Datenschutzbeauftragten in seiner Tätigkeit zu unterstützen.

Die Vorstandschaft hat sicherzustellen, dass ihre verantwortlichen Mitglieder im erforderlichen Umfang zum Datenschutz geschult werden. Eine missbräuchliche Verarbeitung personenbezogener Daten oder andere Verstöße gegen das Datenschutzrecht werden in vielen Staaten auch strafrechtlich verfolgt und können Schadensersatzansprüche nach sich ziehen. Zuwiderhandlungen, für die einzelnen Mitglieder verantwortlich sind, können zu vereinsrechtlichen Sanktionen führen.

Der Datenschutzbeauftragte
Der Datenschutzbeauftragte als internes, fachlich weisungsunabhängiges Organ wirkt auf die Einhaltung der Datenschutzvorschriften hin.
Er ist verantwortlich für die Überwachung der Einhaltung der Richtlinien zum Datenschutz.
Der Datenschutzbeauftragte hat die Vorstandschaft zeitnah über Datenschutzrisiken zu unterrichten.
Jeder Betroffene kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an den Datenschutzbeauftragten wenden. Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt.
Der Datenschutzbeauftragte:
Herr Giuseppe Sestito
Email: info@box-club-singen.de

Inkraftsetzung
Dieses Dokument wird einmal jährlich sowie bei Bedarf auf Vollständigkeit und Aktualität überprüft.
Änderungen dieses Dokuments liegen in der Verantwortung des Zuständigen für Datenschutz-Management.
Dieses Dokument ist allen Mitgliedern zugänglich zu halten.

Antonio Ruberto
– Vereinsvorsitzender-
Box – Club Singen 1922 e.V.
23.05.2018