Datenschutzerklärung

1. Ziel des Datenschutzkonzeptes

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte in unserem Verein darzustellen. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber im Rahmen der Auftragsverarbeitung genutzt werden. Dadurch soll die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) nicht nur gewährleistet, sondern auch der Nachweis der Einhaltung geschaffen werden.

Die Speicherung der Personenbezogenen Daten von Mitgliedern dient allein dem Vereinszweck. Dieser ist die Teilnahme am Spielbetrieb des Landes- und Bundesverbandes im Eishockeysport. Zusätzlich der rechtlichen Absicherung des Vereins in der Beachtung der körperlichen Fitness und eventuell ärztlich festgestellten körperlichen Einschränkungen des jeweiligen Mitgliedes und deren Beachtung beim Trainings- und Spielbetrieb. Je mehr Informationen wir von unserem Mitglied haben, um so verlässlicher können gesundheitlich relevante Änderungen des Trainings- und/oder Spieleisatzes erkannt werden. Dieses Interesse steht im Widerstreit zum Prinzip der Datensparsamkeit. Das Bewusstsein unserer Mitglieder bzgl. Datenspeicherung wird von uns gestärkt indem wir in regelmäßigen Abständen (einmal pro Saison) um Ihre Einwilligung zur Speicherung der übermittelten Daten und Informationen aufklären und uns eine erneute Einwilligung einholen. Bei Interessenten ohne Einwilligungserklärung werden nur Daten gespeichert, die im Zusammenhang mit der Abwicklung des Probetrainings, einer Gastspielgenehmigung, usw. notwendig sind oder für die gesetzliche Aufbewahrungsfristen bestehen.

2. Verzeichnis der Verarbeitungstätigkeiten nach Art 30 DSGVO

2.1 Verantwortung für den Datenschutz

Im Verein ist der Präsident selbst für eine Einhaltung des Datenschutzes verantwortlich. Alle Mitarbeiter und ehrenamtliche Helfer werden regelmäßig zum Thema Datenschutz unterreichtet und beachten die Richtlinien. Die Datenschutzrichtlinien des Vereins werden regelmäßig überprüft und geänderten Geschäftsabläufen angepasst.

2.2. Zweck der Verarbeitung

Unser Verein ist ein Sportverein. Dieser hat bestimmte Richtlinien des Landes- und Bundesverbandes zu erfüllen. Dies sind verpflichtende Vorgaben, die eine Trainings- und Spielbetrieb möglich machen. Unsere Aufgabe ist die Heranführung von Kindern und Jugendlichen zum Eishockeysport und zur Wertevermittlung, die in unserem Vereinskodex beschrieben sind.

2.3 Beschreibung der Kategorien betroffener Personen und personenbezogener Daten

2.3.1 Betroffene Personen

Die Speicherung von Daten betrifft aktive und passive Mitglieder, Interessenten (Probetraining), teilnehmenden Personen an Veranstaltungen und Gewinnspielen des EHC Straubing.

2.3.2 Personenbezogene Daten

Zu unseren Mitgliedern speichern wir alle Informationen zur Person die zur aktiven und passiven Mitgliedschaft und dem Vereinszweck (wie im Punkt 2.2 genannten sind) auszuüben notwendig sind:

  • Namen, Adress- und Kommunikationsdaten, Kontodaten
  • Daten zum jeweiligen zugelassenen Spielbetrieb
  • Angaben zu Körpergröße, Körpergewicht, Spielereigenschaften
  • Ausweisedaten die im Rahmen des gemeldeten Spielbetriebs vorgehalten werden müssen. Zudem Einzellizenzen des DEB, Spielerpass, Gesundheitsblatt, Spielerevaluierungen

Zu Interessenten erfolgt die zustimmungslose Speicherung der o.g. Daten nur während der Angebotsphase (Probemitgliedschaft).

Bei Mitarbeitern unseres Vereins werden gespeichert

  • Name, Adresse, Kontaktdaten und Familienstand
  • Daten zur Sozialversicherung und Steuerdaten aus der Lohnabrechnung
  • Daten aus der Urlaubsplanung
  • Zeugnisse, Zuverlässigkeits- und Weiterbildungsnachweise.

Die Speicherung erfolgt während der gesamten Tätigkeitsdauer und darüber hinaus im Rahmen der gesetzlichen Aufbewahrungsfristen.

2.4 Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.

Weitergabe von Mitgliederdaten an Dritte

Die Weitergabe von Kundendaten an Dritte ist prinzipiell nicht vorgesehen, bzw. beschränkt sich auf unseren Kooperationspartner. Weiter werden nur Daten die zum Spielbetrieb sowie Talentförderung des Landes- und Bundesverbandes notwendig sind weitergeleitet.

Die Mitarbeiter sind unterwiesen, dass eine Weitergabe von Daten an Dritte nicht erfolgen darf. Auch an Familienangehörige, Steuerberater oder sonstige Dienstleister des Mitgliedes werden keine Information oder Daten ohne Zustimmung oder ausdrücklicher Aufforderung weitergegeben.

Personal- und Lohndaten

werden nur an das beauftragte Lohnbüro weitergegeben. Dort werden die Meldungen an Finanzamt und Sozialversicherung veranlasst, die im Rahmen des Arbeitsverhältnisses notwendig sind.

2.5 Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Die Weitergabe der Daten an Drittländer oder internationale Organisationen erfolgt nicht. Durch die Betriebsorganisation wird sichergestellt, dass Daten nur auf den gesicherten Systemen des Versicherers gespeichert werden. Damit wird auch der unbeabsichtigte Abfluss der Daten sichergestellt.

2.6 Fristen für die Löschung der verschiedenen Datenkategorien

Die Löschfristen sind in Anlage 1 hinterlegt

2.7 Beschreibung der technischen und organisatorischen Maßnahmen (TOM)

2.7.1 Rechte Betroffener

Betroffene können sich an Hand der bereitgestellten Einwilligungserklärung und des Verzeichnisses der Verarbeitungstätigkeiten über den Umgang mit Ihren Daten im Verein informieren. Auf Verlangen wird Ihnen eine Übersicht der zu Ihrer Person gespeicherten Daten zur Verfügung gestellt. Wird die Löschung von Daten verlangt, so erfolgt diese unmittelbar mit Ausnahme der Daten, die zur Mitgliederverwaltung oder zu den Vereinszwecken notwendig sind und deren Speicherung auch ohne Einwilligung zulässig ist.

2.7.2 Zugangssteuerung

  • Zugang zum Verein haben nur Mitarbeiter, die zum Datenschutz verpflichtet sind.
  • Die Kontrolle der Zugangssteuerung erfolgt auch über eine Schlüsselausgabeliste.
  • Der Zugang zur EDV Anlage ist mit persönlichen Passwörtern gesichert.
  • Alle Mitarbeiten verwenden ein sicheres Passwort.
  • Alle Mitarbeiter sind durch Ihr Passwort in Ihren Zugriffsrechten beschränkt.
  • Arbeitsplätze sind so gestaltet, dass Dritte keinen Zugang oder Einblick in fremde Daten haben.
  • Auch Mobile Geräte (Laptop) verfügen über die gleiche Zugangsbeschränkung
  • Ein Überspielen von Kundendaten auf externe Speichermedien oder Smartphones ist untersagt.

2.7.3 Weitergabe von Daten

Die Mitarbeiter sind unterwiesen, dass eine Weitergabe von Daten an Dritte nicht erfolgen darf. Auch an Familienangehörige, Steuerberater oder sonstige Dienstleister des Mitgliedes werden keine Information oder Daten ohne Zustimmung weitergegeben.

2.7.4 Datensicherung

Wir verwenden bei der Datensicherung das System unser Bank, das eine Datenverschlüsselung vorsieht. Alle Mitgliederdaten werden dort gespeichert und verwaltet. Ein Auslesen der Sicherung auf einen fremden PC ist damit ausgeschlossen.

2.7.5 Informationsübertragung

Eine Weitergabe der Daten an Dritte ist ausgeschlossen. Weitergegeben werden nur Daten die zur Vereinsführung notwendig sind. (siehe 2.4)

2.7.6 Schutz vor Schadsoftware

Die EDV-Anlage unseres Unternehmens hat einen direkten Zugang zum Internet und nutzt eine Firewall. Das Risiko des Eindringens von Schadsoftware ist damit auf diesem Wege ausgeschlossen. Die Mitarbeiter sind darüber hinaus zur Vorsicht im Umgang mit unbekannten Medien und nicht zuzuordnenden Mailabsendern angehalten.

2.7.7 Handhabung technischer Schwachstellen

Die Mitarbeiter sind angewiesen bei Auffälligkeiten im EDV-System oder unbekannten Aktivitäten die Bearbeitung sofort einzustellen und den Rechner abzustellen, bis der Vorfall geklärt ist.

2.7.8 Kommunikationssicherheit

Nicht nur im Bereich der elektronischen Kommunikation werden die Regeln zum Versand bzw. Nichtversand von Daten eingehalten. Der Schutz der Daten unserer Kunden wird auch bei Telefonaten, Gesprächen und im normalen Postverkehr berücksichtigt.

2.7.9 Persönlichkeitsrechte und Unterlagen von Mitarbeitern

Mitarbeiterakten werden so geführt, dass sie nicht öffentlich eingesehen werden können. Bewerbungsunterlagen werden nur für die Dauer des Bewerbungsverfahrens gespeichert und dann gelöscht.

3. Rechtliche Rahmenbedingungen im Unternehmen

3.1 Rechtsgrundlage

Gesetzliche Grundlage des Konzeptes ist die europäische Datenschutzgrundverordnung, das Bundesdatenschutzgesetz und alle nachgelagerten Vorschriften.

3.2 Begriffsbestimmungen

Was ist Datenschutz?

Nach dem Sinn und Zweck des Bundesdatenschutzgesetzes (BDSG) soll der Einzelne davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeits-recht beeinträchtigt wird. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das durch Rechtsvorschriften erlaubt ist oder der Betroffene einwilligt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche und wirtschaftliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Das können z.B. Kontaktdaten sein wie Name, Anschrift, Geburtsdatum, Telefonnummer, Email aber auch Gesundheitsdaten und vieles mehr.

Was bedeutet Erheben, Verarbeiten und Nutzen von personenbezogenen Daten und was meint das Bundesdatenschutzgesetz mit dem Wort Betroffene?

  • Erheben ist das Beschaffen von Daten über eine Person.
  • Verarbeiten Ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten.
  • Nutzen Ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
  • Betroffene sind alle Personen, über die personenbezogene Daten in Ihrem Unternehmen verarbeitet werden.

4. Beschreibung der Prozesse bei der Datenverarbeitung

4.1 Wo werden Mitgliederdaten gespeichert

Mitgliederdaten werden ausschließlich auf den Vereinsrechnern gespeichert. Die Speicherung erfolgt an folgenden Orten, Programmen oder Ordnern:

4.1.1. Verein Online Sparkassensystem

Dort werden neben Angeboten alle weiteren Kundendaten die zur Risikoermittlung oder Beratung erhoben wurden gespeichert.

4.1.2 Outlook

Dort wird kurzfristig Schriftverkehr gespeichert an dem sich auch Anlagen mit Anträgen oder Daten der Mitgliedern befinden.

4.1.3 Ablage in Mannschaftsordnern

Weitere Dokumente und Unterlagen werden in Mannschaftsordnern abgelegt. Es gibt dabei ein Register für

  • Spielerevaluierungen
  • Trockentrainingsinhalte
  • On Ice Trainingsinhalte

4.1.4 Sonderfall Bewerberdaten

Bei Personaleistellung erhält ausschließlich vom Inhaber Zugang zu den Bewerbungsunterlagen. Diese werden nach Ablehnung der Bewerbung nach 3 Monaten gelöscht.

4.2 Wie werden Kunden informiert?

Mitglieder können sich bei Anfragen mit der Anlage 1 (Löschregeln) über Art der gespeicherten Daten und die Löschfristen informieren.

Mitglieder die der Datenspeicherung zustimmen erhalten eine Kopie der von Ihnen unterschriebenen Einverständniserklärung.

4.3. Wie werden Anfragen zur Datenspeicherung durch Kunden umgesetzt?

Jeder Kunde erhält auf Anfrage eine Kopie der für seine Person gespeicherten Daten. Diese Kopie wird aus den unter 4.1 genannten Speicherorten gezogen und schriftlich sowie persönlich ausgehändigt.

4.4 Wie werden Daten gelöscht, wenn der Kunde darauf besteht?

Besteht ein Mitglied auf die Datenlöschung, dann werden die unter 4.1 genannten Speicherorte überprüft. Alle Vorgänge für die keine gesetzliche Aufbewahrungsfrist (Kennzeichnung der Dokumente) besteht sind zu löschen. Entzieht ein Mitglied die Einwilligung zu Datenspeicherung werden ebenfalls alle Daten die nicht den gesetzlichen Aufbewahrungsfristen unterliegen gelöscht.

4.5. Hinweis zu den gesetzlichen Aufbewahrungsfristen in Bezug auf Kundendaten

Die gesetzlichen Aufbewahrungsfristen betragen:

  • 5 Jahre für Nachweise nach dem Geldwäschegesetz. => Nicht relevant
  • 6 Jahre für ein- und ausgehende Geschäftsbriefe
  • 30 Jahre für Beratungsdokumentation => Nicht relevant

4.6 Wie werden Daten nach Fristablauf gelöscht

4.6.1 Daten in Mannschaftsordnern

Ehemalige Mitglieder

Beendet ein Mitglied seine Mitgliedschaft werden alle Datenblätter des Betroffenen geschrederrt.

Mitglieder

Bei Mitgliedern, die der Datenspeicherung zugestimmt haben, erfolgt bis zur Beendigung der Mitgliedschaft oder dem Widerruf der Zustimmung keine Löschaktivität. Nach Widerruf der Zustimmung oder bei Nichtvorliegen einer Zustimmung werden als Daten gelöscht, die nicht der Aufbewahrungsfrist unterliegen. Es erfolgt eine jährliche Selektion der Mitgliederablage nach dem hinterlegten Löschdatum. Die so erkannten Dokumente werden gelöscht.

Innerhalb der Datenablagen erfolgt ein jährlicher Suchlauf über die Löschkennzeichnung z.B, *(LJ2019)*

So können zur Löschung vorgesehene Daten selektiert gelöscht werden.

4.6.2 Daten in Outlook

Es werden keine Daten dauerhaft in Outlook gespeichert. Vorübergehend können versandte Mails aus Gründen der Nachverfolgung im Postausgang bleiben. Spätestens nach 3 Monaten wird der Postausgang gelöscht.

4.7 Schulung von Mitarbeitern

Die Mitarbeiter des Vereins werden regelmäßig zum Thema Datenschutz, den gesetzlichen Grundlagen und vor allem in den konkreten Umsetzungsmaßnahmen im Verein unterwiesen. Die Unterweisungen werden protokolliert. Alle Mitarbeiter des Vereins sind angehalten die Mitglieder über die Speicherung ihrer Daten zu informieren und Einwilligungen zur Datenspeicherung einzuholen.

5. Risikobewertung

5.1 Bewertung der Verarbeitungstätigkeiten

  • Es werden im Betrieb Daten weder zu Profilingzwecken noch in Scoringverfahren verarbeitet.
  • Es findet keine Überwachung im öffentlichen Raum statt.
  • Es werden teilweise Daten zum Gesundheitszustand verarbeitet. Jedoch nur im notwendigen Umfang zur rechtlichen Absicherung des Vereins bei späteren körperlichen Einschränkungen.

5.2. Notwendigkeit und Verhältnismäßigkeit der Datenerhebung

Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten erfolgt ausschließlich im Interesse der Mitglieder selbst.

5.3 Risiken für Freiheit und Rechte der Betroffenen

Im Rahmen der regelmäßigen Datennutzung können Risiken für die Betroffenen ausgeschlossen werden. Risiken könnten in einem ungewollten Datenabfluss liegen. Die Mitglieder- und Datenzusammensetzung ist sehr heterogen, so dass ein systematischer Angriff auf die Daten nicht wahrscheinlich ist.

5.4 Maßnahmen zur Datensicherheit

Die Technischen und organisatorischen Maßnahmen zur Datensicherheit sind unter Punkt 2.7 beschrieben.

5.5 Abschließende Risikobewertung

Im Verein werden durchaus persönliche Daten erhoben und verarbeitet, bei den unsere Mitgleider ein hohes Maß an Vertraulichkeit erwarten. Durch die organisatorischen Maßnahmen, dem geschlossenen EDV-System der Bank, der sehr hohe Sicherheitsstands gewährleistet, die physischen und technische Zugangskontrolle und die regelmäßige Personalunterweisung kann das Risiko des ungewollten Datenabflusses und die evtl. dadurch entstehenden Schäden für unser Mitglied als mittel eingestuft werden. Eine Datenschutz-Folgeeinschätzung wird daher nicht als notwendig erachtet.

6. Meldung bei Datenschutzverletzung

Verletzungen des Schutzes personenbezogener Daten werden unverzüglich, nach Mög­lichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständi­ge Aufsichtsbehörde gemeldet. Eine Ausnahme besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt. (vgl. Art. 33 Abs. 1 DSGVO). Ein solches Risiko kann z. B. durch eine ge­eignete Verschlüsselung personenbezogener Daten ausgeschlossen werden, die etwa beim Verlust eines Datenträgers die Kenntnisnahme der Daten durch Dritte verhindert.

Besteht die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezoge­ner Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt, muss der Verantwortliche auch die betroffene Person ohne unangemessene Verzögerung benachrichtigen – es sei denn, er hat technisch-organisatorische Maßnahmen getrof­fen, die eine Kenntnisnahme durch Dritte verhindern oder die sicherstellen, dass aller Wahrscheinlichkeit nach kein hohes Risiko mehr für die Rechte und Freiheiten der be­troffenen Person besteht (Art. 34 DSGVO).

Kommt es bei einem Auftragsverarbeiter zu einem Datenschutzverstoß, muss dieser sei­nen Auftraggeber informieren (Art. 33 Abs. 2. DSGVO).

Anlage 1

Löschregeln:

Daten werden nach folgenden Kriterien regelmäßig gelöscht:

Löschregeln für

Löschung nach

 

Mitglieder

3 Monaten

gesetzliche Auf-bewahrungsfrist

Mit Einwilligung bis

Name Anschrift

 

x

 

Geburtsdatum

 

x

 

Kommunikationsdaten

 

x

 

Antragskopien mit personen-bezogenen Risikomerkmalen

x

 

Widerruf

sonstige Persönliche Daten

x

 

Widerruf

Dokumente

 

x

Widerruf

Löschregeln für

Löschung nach

 

Interessenten

3 Monaten

gesetzliche Auf-bewahrungsfrist

Mit Einwilligung bis

Name Anschrift

 

x

5 Jahr

Geburtsdatum

 

x

5 Jahr

Kommunikationsdaten

 

x

5 Jahr

sonstige Persönliche Daten

x

 

5 Jahr

Dokumente

x

 

5 Jahr

Löschregeln für

Löschung nach

 

Personaldaten

3 Monaten

gesetzliche Auf-bewahrungsfrist

Mit Einwilligung bis

Name Anschrift

 

x

 

Geburtsdatum

 

x

 

Kommunikationsdaten

 

x

 

Arbeitsverträge Zeugnisse

 

x

 

Lohnabrechnungsunterlagen

 

x

 

Löschregeln für

Löschung nach

 

Bewerber

15 Monaten

gesetzliche Auf-bewahrungsfrist

Mit Einwilligung bis

Name Anschrift

x

 

 

Geburtsdatum

x

 

 

Kommunikationsdaten

x

 

 

Bewerbungsunterlagen

x

 

 

Dokumente

x

 

 

 

Google Web Fonts

Zur optisch verbesserten Darstellung verschiedener Informationen unseres Internetauftritt werden Google Webfonts (http://www.google.com/webfonts/) verwendet. Die Webfonts werden dabei beim Aufruf der Seite in den Cache des Browsers übertragen, um sie für die Darstellung nutzen zu können. Falls der Browser die Google Webfonts nicht unterstützt oder den Zugriff unterbindet, wird der Text in einer Standardschrift angezeigt. Beim Aufruf der Seite werden beim Website-Besucher keine Cookies. Daten, die im Zusammenhang mit dem Seitenaufruf übermittelt werden, werden auf ressourcenspezifische Domains wie fonts.googleapis.com oder fonts.gstatic.com gesendet. Sie werden nicht mit Daten in Verbindung gebracht, die ggf. im Zusammenhang mit der parallelen Nutzung von authentifizierten Google-Diensten wie Gmail erhoben oder genutzt werden.

Sie können Ihren Browser so einstellen, dass die Schriften nicht von den Google-Servern geladen werden (bspw. durch die Installation von Add-Ons wie NoScript oder Ghostery für Firefox.) Falls Ihr Browser die Google Fonts nicht unterstützt oder Sie den Zugriff auf die Google-Server unterbinden, wird der Text in der Standardschrift des Systems angezeigt.
Informationen zu den Datenschutzbedingungen von Google Webfonts erhalten Sie unter: https://developers.google.com/fonts/faq#Privacy
Informationen zur Google-Datenschutzerklärung und Google-Nutzungsbedingungen erhalten Sie direkt bei Google: http://www.google.com/intl/de-DE/privacy/

 

Matomo

Wir setzen auf unserer Website den Webanalysedienst Matomo ein. Matomo verwendet für diese Analyse Cookies. Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen.

Die durch die Cookies erzeugten Informationen, beispielsweise Zeit, Ort und Häufigkeit Ihres Webseiten-Besuchs einschließlich Ihrer IP-Adresse, werden an unseren PIWIK-Server übertragen und dort gespeichert. Ihre IP-Adresse wird bei diesem Vorgang umgehend anonymisiert, so dass Sie als Nutzer für uns anonym bleiben. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden nicht an Dritte weitergegeben. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen unserer Website vollumfänglich nutzen können.