Datenschutz

Klicken Sie auf eine der folgenden Überschriften um den Inhalt des Kapitels zu lesen.

Das europäische Datenschutzrecht wird vereinheitlicht: Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) und das neue Bundesdatenschutzgesetz lösen vom 25. Mai 2018 an bisherige nationale Bestimmungen ab. Damit gehen Veränderungen für Organisationen einher, die personenbezogene Daten teilweise oder ganz automatisiert verarbeiten oder speichern. Somit ist auch der TuS Hiltrup betroffen.

Im Folgenden informieren wir über die wichtigsten Änderungen.

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten kann davon abhängig sein, dass die betroffene Person in die Verarbeitung eingewilligt hat. Der Verantwortliche hat die Einwilligung nachzuweisen.

Die Einwilligung hat stets freiwillig zu erfolgen und kann jederzeit widerrufen werden. Bis zum Widerruf bleibt die Datenverarbeitung allerdings rechtmäßig. Auf Verlangen ist die betroffene Person über die Folgen der Verweigerung der Einwilligung zu belehren.

Die betroffene Person muss vor Abgabe der Einwilligung auf die Möglichkeit des jederzeitigen Widerrufs und den Zweck der vorgesehenen Verarbeitung hingewiesen werden. Eine ohne diesen Hinweis abgegebene Einwilligung ist unwirksam und keine geeignete Grundlage für eine Datenverarbeitung. Die Datenverarbeitung ist dann unzulässig.

Einwilligungen, die vor dem 25.05.2018 abgegeben wurden, behalten ihre Gültigkeit, wenn sie den Voraussetzungen der DS-GVO entsprechen, insbesondere die Zwecke benennen und den Hinweis auf die Möglichkeit des jederzeitigen Widerrufs enthalten.

Ein effektiver Schutz der Daten kann nur gewährleistet werden, wenn den betroffenen Personen entsprechende Rechte eingeräumt werden. So sieht die DSGVO zahlreiche Rechte vor, die die betroffene Person gegenüber dem Verantwortlichen geltend machen kann:

  • das Recht auf Auskunft (Artikel 15 DSGVO)
  • das Recht auf Berichtigung (Artikel 16 DSGVO)
  • das Recht auf Löschung („Recht auf Vergessenwerden“; Artikel 17 DSGVO)
  • das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
  • das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
  • das Widerspruchsrecht (Artikel 21 DSGVO)
  • das Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77 DSGVO)
  • das Recht auf Schadensersatz (Artikel 82 DSGVO)

Mit Ausnahme des Rechts auf Schadensersatz hat der Verantwortliche die betroffene Person vor oder mit der Datenerhebung über die bestehenden Rechte zu informieren. Teilweise sind die Rechte an bestimmte Voraussetzungen geknüpft, die in den einzelnen Artikeln aufgeführt sind, deren Auflistung im Detail den Rahmen dieser Darstellung sprengen würde.

Unser Datenschutz ist in §24 unserer Satzung eingebettet.

Unter §24 heißt es:

Präambel

Der TuS Hiltrup 1930e.V. verarbeitet in vielfacher Weise automatisiert personenbezogene Daten (z.B. im Rahmen der Vereinsverwaltung, der Organisation des Sportbetriebs, der Öffentlichkeitsarbeit des Vereins). Um die Vorgaben der EU-Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes zu erfüllen, Datenschutzverstöße zu vermeiden und einen einheitlichen Umgang mit personenbezogenen Daten innerhalb des Vereins zu gewährleisten, gibt sich der Verein die nachfolgende Datenschutzordnung.

 1.      Allgemeines

Der Verein verarbeitet personenbezogene Daten u.a. von Mitgliedern, Teilnehmerinnen und Teilnehmern am Sport- und Kursbetrieb und Mitarbeiterinnen und Mitarbeitern sowohl automatisiert in EDV-Anlagen als auch nicht automatisiert in einem Dateisystem, z.B. in Form von ausgedruckten Listen. Darüber hinaus werden personenbezogene Daten im Internet veröffentlicht und an Dritte weitergeleitet oder Dritten offengelegt. In all diesen Fällen ist die EU-Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und diese Datenschutzordnung durch alle Personen im Verein, die personenbezogene Daten verarbeiten, zu beachten.

2.       Verarbeitung personenbezogener Daten der Mitglieder

a. Der Verein verarbeitet die Daten unterschiedlicher Kategorien von Personen. Für jede Kategorie von betroffenen Personen wird im Verzeichnis der Verarbeitungstätigkeiten ein Einzelblatt angelegt.

b. Im Rahmen des Mitgliedschaftsverhältnisses verarbeitet der Verein insbesondere die folgenden Daten der Mitglieder: Geschlecht, Vorname, Nachname, Anschrift (Straße, Hausnummer, Postleitzahl, Ort), Geburtsdatum, Datum des Vereinsbeitritts, Abteilungs- bzw. Spartenzugehörigkeit, Bankverbindung, ggf. die Namen und Kontaktdaten der gesetzlichen Vertreter, Telefonnummern und E-Mail-Adressen, ggf. Funktion im Verein, ggf. Haushalts- und Familienzugehörigkeit bei Zuordnung zum Familienbeitrag.

c. Im Rahmen der Zugehörigkeit zu den Landesverbänden, deren Sportarten im Verein betrieben werden, werden personenbezogene Daten der Mitglieder an diese weitergeleitet, soweit die Mitglieder eine Berechtigung zur Teilnahme am Wettkampfbetrieb der Verbände beantragen (z.B. Startpass, Spielerpass, Lizenz) und an solchen Veranstaltungen teilnehmen.

3.       Datenverarbeitung im Rahmen der Öffentlichkeitsarbeit

a. Im Rahmen der Öffentlichkeitsarbeit über Vereinsaktivitäten werden personenbezogene Daten in Aushängen, in der Vereinszeitung und in Internetauftritten veröffentlicht und an die Presse weitergegeben.

b. Hierzu zählen insbesondere die Daten, die aus allgemein zugänglichen Quellen stammen: Teilnehmer an sportlichen Veranstaltungen, Mannschaftsaufstellung, Ergebnisse, Torschützen, Alter oder Geburtsjahrgang.

c. Die Veröffentlichung von Fotos und Videos, die außerhalb öffentlicher Veranstaltungen gemacht wurden, erfolgt ausschließlich auf Grundlage einer Einwilligung der abgebildeten Personen.

d. Auf der Internetseite des Vereins werden die Daten der Mitglieder des Vorstands, der Spartenleiterinnen und Spartenleiter Vorname, Nachname, Funktion, E-Mail-Adresse und Telefonnummer veröffentlicht.

4.      Zuständigkeiten für die Datenverarbeitung im Verein

Verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben ist der Vorstand nach § 26 BGB. Funktional ist die Aufgabe dem Geschäftsführer zugeordnet, soweit die Satzung oder diese Ordnung nicht etwas Abweichendes regelt.

Der Geschäftsführer stellt sicher, dass Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DSGVO geführt und die Informationspflichten nach Art. 13 und 14 DSGVO erfüllt werden. Er ist für die Beantwortung von Auskunftsverlangen von betroffenen Personen zuständig.

5.      Verwendung und Herausgabe von Mitgliederdaten und -listen

a. Listen von Mitgliedern oder Teilnehmern werden den jeweiligen Mitarbeiterinnen und Mitarbeitern im Verein (z.B. Vorstandsmitgliedern, Abteilungsleitern, Übungsleitern) insofern zur Verfügung gestellt, wie es die jeweilige Aufgabenstellung erfordert. Beim Umfang der dabei verwendeten personenbezogenen Daten ist das Gebot der Datensparsamkeit zu beachten.

b. Personenbezogene Daten von Mitgliedern dürfen an andere Vereinsmitglieder nur herausgegeben werden, wenn die Einwilligung der betroffenen Person vorliegt. Die Nutzung von Teilnehmerlisten, in die sich die Teilnehmer von Versammlungen und anderen Veranstaltungen zum Beispiel zum Nachweis der Anwesenheit eintragen, gilt nicht als eine solche Herausgabe.

c. Macht ein Mitglied glaubhaft, dass es eine Mitgliederliste zur Wahrnehmung satzungsgemäßer oder gesetzlicher Rechte benötigt (z.B. um die Einberufung einer Mitgliederversammlung im Rahmen des Minderheitenbegehrens zu beantragen), stellt der Vorstand eine Kopie der Mitgliederliste mit Vornamen, Nachnamen und Anschrift als Ausdruck oder als Datei zur Verfügung. Das Mitglied, welches das Minderheitenbegehren initiiert, hat vorher eine Versicherung abzugeben, dass diese Daten ausschließlich für diesen Zweck verwendet und nach der Verwendung vernichtet werden.

6.      Kommunikation per E-Mail

a. Beim Versand von E-Mails an eine Vielzahl von Personen, die nicht in einem ständigen Kontakt per E-Mail unter einander stehen und/oder deren private E-Mail-Accounts verwendet werden, sind die E-Mail-Adressen als „bcc“ zu versenden.

b. Für Mitgliederlisten, die via  E-Mail versendet werden, wird ein passwortgeschütztes ZIP-Format verwendet und somit der unberechtigte Zugriff vermieden. 

7.      Verpflichtung auf die Vertraulichkeit

Alle Mitarbeiterinnen und Mitarbeiter im Verein, die Umgang mit personenbezogenen Daten haben (z.B. Mitglieder des Vorstands, Abteilungsleiterinnen und Abteilungsleiter, Übungsleiterinnen und Übungsleiter), sind auf den vertraulichen Umgang mit personenbezogenen Daten zu verpflichten.

8.      Datenschutzbeauftragter

Da im Verein in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, hat der Verein einen Datenschutzbeauftragten zu benennen. Die Auswahl und Benennung obliegt dem Vorstand nach § 26 BGB. Der Vorstand hat sicherzustellen, dass die benannte Person über die erforderliche Fachkunde verfügt. Vorrangig ist ein interner Datenschutzbeauftragter zu benennen. Ist aus den Reihen der Mitgliedschaft keine Person bereit, diese Funktion im Rahmen eines Ehrenamtes zu übernehmen, hat der Vorstand nach § 26 BGB einen externen Datenschutzbeauftragten auf der Basis eines Dienstvertrages zu beauftragen.

Unser Datenschutzbeauftragter (Stand Mai 2018):

Dr. Raphael Richter
Moränenstr. 14
48165 Münster
Kontakt: dsb@tushiltrup.de

9.      Einrichtung und Unterhaltung von Internetauftritten

a. Der Verein unterhält zentrale Auftritte für den Gesamtverein. Die Einrichtung und Unterhaltung von Auftritten im Internet obliegt dem Geschäftsführer. Änderungen dürfen ausschließlich durch den Geschäftsführer und den Administrator vorgenommen werden.

b. Der Geschäftsführer ist für die Einhaltung der Datenschutzbestimmungen im Zusammenhang mit Online-Auftritten verantwortlich.

Beim Aufrufen unserer Website www.tushiltrup.de werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

  • IP-Adresse des anfragenden Rechners,
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL der abgerufenen Datei,
  • Website, von der aus der Zugriff erfolgt  (Referrer-URL),
  • verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers.

Die genannten Daten werden durch uns zu folgenden Zwecken verarbeitet:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
  • Gewährleistung einer komfortablen Nutzung unserer Website,
  • Auswertung der Systemsicherheit und -stabilität sowie
  • zu weiteren administrativen Zwecken.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Unser berechtigtes Interesse folgt aus oben aufgelisteten Zwecken zur Datenerhebung.

In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rückschlüsse auf Ihre Person zu ziehen.

c. Abteilungen, Gruppen und Mannschaften bedürfen für die Einrichtung eigener Internetauftritte (z.B. Homepage, Facebook, Twitter) der ausdrücklichen Genehmigung des Geschäftsführers. Für den Betrieb eines Internetauftritts haben die Abteilungen, Gruppen und Mannschaften Verantwortliche zu benennen, denen gegenüber der Geschäftsführer weisungsbefugt ist. Bei Verstößen gegen datenschutzrechtliche Vorgaben und Missachtung von Weisungen des Geschäftsführers, kann der Vorstand nach § 26 BGB die Genehmigung für den Betrieb eines Internetauftritts widerrufen. Die Entscheidung des Vorstands nach § 26 BGB ist unanfechtbar.

10.    Verstöße gegen datenschutzrechtliche Vorgaben und diese Ordnung

a. Alle Mitarbeiterinnen und Mitarbeiter des Vereins dürfen nur im Rahmen ihrer jeweiligen Befugnisse Daten verarbeiten. Eine eigenmächtige Datenerhebung, -Nutzung oder –Weitergabe ist untersagt.

b. Verstöße gegen allgemeine datenschutzrechtliche Vorgaben und insbesondere gegen diese Datenschutzordnung können gemäß den Sanktionsmitteln, wie sie in der Satzung vorgesehen sind, geahndet werden.

Datenschutzbestimmungen zu Einsatz und Verwendung des Yolawo-Buchungssystems

Diese Webseite benutzt das Buchungssystem der Yolawo UG (haftungsbeschränkt) („Yolawo“). Yolawo ist eine Buchungssoftware, die es dem [SV Musterverein] ermöglicht, Online-Anmeldungen und -Bezahlungen für seine Sportangebote über diese Webseite abzuwickeln. Daher wird beim Besuch derjenigen Unterseiten dieser Webseite, die das Yolawo-Buchungssystem eingebettet haben, eine direkte Verbindung zu den Yolawo-Servern hergestellt. Da die Nutzung des Yolawo-Buchungssystems im Interesse einer nutzerfreundlichen Online-Buchung erfolgt, besteht ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Alle personenbezogenen Daten, die bei einer Anmeldung über das Yolawo-Buchungssystem eingegeben werden, werden somit auch an Yolawo übermittelt. Wir haben mit Yolawo eine vertragliche Vereinbarung zur Verarbeitung der Daten i.S.d. Art. 28 DSGVO abgeschlossen. Yolawo und seine Dienstleistungspartner (z. B. der zertifizierte Zahldienstleister Adyen BV, Simon Carmiggelstraat 6 – 50, 1011 DJ Amsterdam) nutzen diese Daten ausschließlich dazu, die eingegangen Buchungen und Bezahlungen im Auftrag des [SV Mustervereins] abzuwickeln. Es wird somit sichergestellt, dass weder Yolawo noch Dritte die Daten für andere Zwecke als für die Abwicklung der Buchungen nutzen dürfen.

Ein effektiver Schutz Ihrer Daten wird dadurch gewährleistet, indem Ihnen entsprechende Rechte eingeräumt werden. So sieht die DSGVO zahlreiche Rechte vor, die Sie uns gegenüber geltend können:

  • das Recht auf Auskunft (Artikel 15 DSGVO)
  • das Recht auf Berichtigung (Art. 16 DSGVO)
  • das Recht auf Löschung („Recht auf Vergessenwerden“; Artikel 17 DSGVO)
  • das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
  • das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
  • das Widerspruchsrecht (Artikel 21 DSGVO)
  • das Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77 DSGVO)

Die verantwortliche Stelle für die Datenverarbeitung ist:

TuS Hiltrup 1930 e.V.
Simon Chrobak
Moränenstr. 14
48165 Münster

Die verantwortliche Stelle entscheidet allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, Kontaktdaten o. Ä.).

Nur mit Ihrer ausdrücklichen Einwilligung sind einige Vorgänge der Datenverarbeitung möglich. Ein Widerruf Ihrer bereits erteilten Einwilligung ist jederzeit möglich. Für den Widerruf genügt eine formlose Mitteilung per E-Mail. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Als Betroffener steht Ihnen im Falle eines datenschutzrechtlichen Verstoßes ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde bezüglich datenschutzrechtlicher Fragen ist der

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf

Telefon: 0211/38424-0
Fax: 0211/38424-10

E-Mail: poststelle@ldi.nrw.de

Ihnen steht das Recht zu, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an Dritte aushändigen zu lassen. Die Bereitstellung erfolgt in einem maschinenlesbaren Format. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Sie haben jederzeit im Rahmen der geltenden gesetzlichen Bestimmungen das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, Herkunft der Daten, deren Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Diesbezüglich und auch zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit über die im Impressum aufgeführten Kontaktmöglichkeiten an uns wenden.

Wir haben einen Datenschutzbeauftragten bestellt:

Dr. Raphael Richter
Moränenstr. 14
48165 Münster

Mail: dsb@tushiltrup.de

SSL- bzw. TLS-Verschlüsselung

Aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die Sie an uns als Seitenbetreiber senden, nutzt unsere Website eine SSL-bzw. TLS-Verschlüsselung. Damit sind Daten, die Sie über diese Website übermitteln, für Dritte nicht mitlesbar. Sie erkennen eine verschlüsselte Verbindung an der „https://“ Adresszeile Ihres Browsers und am Schloss-Symbol in der Browserzeile.

Server-Log-Dateien

In Server-Log-Dateien erhebt und speichert der Provider der Website automatisch Informationen, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Es findet keine Zusammenführung dieser Daten mit anderen Datenquellen statt. Grundlage der Datenverarbeitung bildet Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.

Personenbezogene Daten werden an Dritte nur übermittelt, sofern eine Notwendigkeit im Rahmen der Vertragsabwicklung besteht, wie zur Ausstellung eines Mitgliedsausweises durch den Deutschen Olympischen Sportbund (DOSB). Eine weitergehende Übermittlung der Daten findet nicht statt bzw. nur dann, wenn Sie dieser ausdrücklich zugestimmt haben.

Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.