ESV Datenschutz

Verfahrensregister

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

--> 1. Angaben zum Verantwortlichen

1.1 Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO)
ESV Ober-Grafendorf
Werkstättenstrasse 15
3200 Ober-Grafendorf

1.2 Gesetzlicher Vertreter
Obmann: August Heher
Obmann Stv: Paula Heher
Kassier: Heidinger Erwin

1.3 Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist nicht bestellt, da die zugehörigen Tatbestände nach Artikel 37 DSGVO nicht vorliegen.

--> 2. Grundsätzliche Angaben zur Verarbeitung

2.1 Bezeichnung der Verarbeitungstätigkeit
a) vereinsinterne Mitgliederverwaltung

2.2 Art der Verarbeitung / Name der Software
zu 2.1 a) Mitgliederverwaltung: Individualentwicklung auf Basis von admidio
zu 2.1 a) Mitgliederverwaltung: Excel-File auf einem verschlüsselten USB-Stick für Zahlungskontrolle und für die Erstellung von Serienbriefen

--> 3. Allgemeine datenschutzrechtliche Anforderungen DSGVO

3.1 Zweckbestimmung
zu 2.1 a) vereinsinterne Mitgliederverwaltung:
- Nachweis des Mitgliederbestandes gegenüber übergeordneten Verbänden zur Beantragung öffentlicher Zuschüsse und Förderungen

3.2 Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO
zu 2.1 a) Einwilligung / Einwilligung Sorgeberechtigter / Vertrag

3.3 Datenschutz-Folgeabschätzung nach Art. 35 DSGVO
Es besteht durch die Verarbeitungstätigkeit kein hohes Riskio für die Rechte und Freiheiten natürlicher Personen. Eine Datenschutz-Folgeabschätzung ist daher nicht erforderlich.

--> 4. Erhebung der Daten

4.1 Kreis der betroffenen Personengruppen
Es werden zu folgenden Gruppen zur Erfüllung der Zweckbestimmung aufgeführten personenbezogene Daten bzw. Datenkategorien erhoben, verarbeitet und genutzt:
- Mitglieder des Vereins
- Interessenten an einer Mitgliedschaft
- Beschäftigte des Vereins
- Lieferanten des Vereins
- Mitarbeiter übergeordneter Verbände sowie öffentlicher Einrichtungen

4.2 Art der gespeicherten Daten
- Adressdaten
- Geburtsdatum
- Kontaktdaten
- Name/Vorname/Anrede/Titel

4.3 Herkunft der Daten
Daten werden ausschließlich vom Betroffenen erhoben.

--> 5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können

5.1 Interne Empfänger
- Mitgliederverwaltung
- Kassier

5.2 Externe Empfänger und Dritte
- Öffentliche Stellen, die Daten aufgrund gesetzlicher Vorschriften erhalten dürfen oder anfordern 
- Externe Stellen (Auftraggeber und Auftragnehmer) im Rahmen der Auftragsdatenverarbeitung.

--> 6. Zugriffsberechtigte Personen

6.1 zugriffsberechtigte Personen
- Vorstandsmitglieder
- Verantwortlicher für Mitgliederverwaltung
- Verantwortlicher Kassier

6.2 Berechtigungskonzept
- die im Punkt 6.1 angeführten Personen erhalten Vollzugriff auf die von Mitgliedern erhobenen Daten.

7. Auftragsverarbeitung als Auftraggeber

Auftragsverarbeiter:
-
Auftragsbereich:
-
Verarbeitungsvertrag:
-
Eignung:
-
Standort:
-

--> 8. Datenübermittlung in Drittstaaten / internationale Organisationen

8.1 Übermittlung personenbezogener Daten
Die Übermittlung personenbezogener Daten in Drittstaaten findet ausschließlich nach schriftlicher Einwilligung des Betroffenen statt.

--> 9. Regelfristen für die Löschung von Daten

9.1 Speicherdauer
Es bestehen vielfältige Aufbewahrungspflichten und -fristen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung erforderlich sind. Da persönliche Daten auch in der Buchhaltung und Veranstaltungsmanagement verwendet werden, hierzu nachfolgend weitere Erläuterungen:

Löschung nach 10 Jahren:
- Buchhaltungsdaten, also beispielsweise über die Zahlung von Mitgliedsbeiträgen oder die Erstattung von Auslagen.
- Teilnahmelisten an Veranstaltungen, welche über öffentliche Zuwendungen cofinanziert werden

Löschung nach 3 Jahren:
- Beitritts- und Kündigungserklärungen (Löschung erfolgt 3 Jahre nach Kündigung des Vereinsmitglieds)

Daten, die nicht unter die vorstehenden Aufbewahrungsfristen fallen, werden gelöscht, sobald diese nicht mehr für den Zweck der ursprünglichen Speicherung benötigt werden. Dies betrifft beispielsweise unmittelbar nach Wirksamwerden der Kündigung  Größenangaben für Teambekleidung, E-Mail-Adresse und Telefonnummer.

9.2 technische Beschreibung der Datenlöschung
Personenbezogene Daten in automatisierten Datenverarbeitungssystemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Da zur Aufrechterhaltung der Datenintegrität und Datensicherheit jedoch von der Datenbank Sicherheitskopien gefertigt werden, setzt der Verein die sichere Löschung von personenbezogenen Daten wie folgt um:
- Sicherungskopien der Datenbank werden spätestens 3 Jahre nach Erstellung der Sicherung durch mehrfaches Überschreiben sicher gelöscht.
- einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.
- E-Mails, die personenbezogene Daten enthalten, werden durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.
- Datenträger des Vereins, auf denen personenbezogene Daten gespeichert wurden, werden durch mehrfaches Überschreiben des gesamten Datenträgers sicher gelöscht, bevor eine Weitergabe an Dritte oder Entsorgung erfolgt.
- manuell erfasste oder dokumentierte personenbezogene Daten in Papierform werden zur Vernichtung gesammelt (hierbei weiterhin als zu schützende Daten behandelt) und vom Verein nachweislich vernichtet. 

--> 10. Beurteilung der Angemessenheit technischer und organisatorischer Maßnahmen (TOM)

10.1 Allgemeine Beschreibung
Die Erfassung von Daten über die Homepage des Vereins, die Speicherung in der Vereinsverwaltung, die Verarbeitung im Zahlungsverkehr sowie die Übermittlung von Daten innerhalb des Vereins sowie an berechtigte Dritte erfolgt ausschließlich über gesicherte Verbindungen (SSL/TLS).

Der Zugriffsschutz für die Datenbank zur Mitgliederverwaltung wird durch ein System der Zugangsbeschränkung gewährleistet. Für die gesicherte Übertragung zwischen Client und Server ist die Webadresse mit einem SSL-Zertifikat versehen. Im Rahmen der Auftragsverarbeitung erfolgt regelmäßig eine Kontrolle auf Schadcode.

Die Mitgliederdatenbank wird im Rahmen der Auftragsverarbeitung kontinuierlich gesichert. Zusätzlich werden vor jeder Veränderung der Programmversionen Komplettsicherungen des Gesamtprogramms sowie der Datenbank vorgenommen. Der Onlinespeicher wird regelmäßig auf Offline-Speichermedien gesichert.

Die Aufbewahrung von Daten in anderer als digitaler Form erfolgt in Räumlichkeiten mit Zugangsbeschränkung.

Alle Zugangsberechtigten des Vereins werden zur Einhaltung der Datenschutzbestimmungen verpflichtet.

10.2 verbleibendes Risiko
Trotz der unter 10.1 beschriebenen Maßnahmen besteht ein Restrisiko auf Verletzung des Schutzes personenbezogener Daten. Hierzu zählen neben menschlichen Fehlern auch das technische Versagen einzelner oder mehrerer Sicherungssysteme 

--> 11. Stellungnahme durch den Datenschutzbeauftragten

Da der Verein nicht der Verpflichtung zur Bestellung eines Datenschutzbeauftragten unterliegt, entfällt eine entsprechende Stellungnahme.

--> 12. Prüfung durch den Vereinsvorstand

Dieses Verzeichnis ist am 10.05.2018 durch den Vorstand geprüft und bestätigt worden.