Datenschutzordnung des Universitätsbundes Bamberg e.V.

1. Grundsätzliches

1.1 Gesetzliche Grundlagen

Im Verein werden personenbezogene Daten erhoben, verarbeitet und genutzt sowohl unter Verwendung von automatisierten Datenverarbeitungsanlagen als auch in analoger Dokumentation. Der Verein unterliegt damit den Anforderungen des Bundesdatenschutzgesetzes (BDSG) sowie der geltenden EU-Datenschutz-Grundverordnung (DSGVO).

1.2 Begriffsbestimmungen

Personenbezogene Daten sind alle Daten, die zur Identifizierung einer natürlichen Person dienen können oder etwas über die persönliche oder tatsächliche Situation einer natürlichen Person aussagen.

1.3 Zulässigkeit der Datennutzung

Eine Datennutzung ist nur zulässig, sofern es eine Vorschrift des BDSG, der DSGVO oder eine sonstigen Rechtsvorschrift erlaubt oder der Betroffene eingewilligt hat.

Die Zulässigkeit der Datennutzung ergibt sich aus Art. 6 Abs. 1 DSGVO und ist deshalb auf jeden Fall rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) sie erfolgt im berechtigten Interesse des Vereinsmitgliedes,
b) sie ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen (hier auch die Mitgliedschaft) oder
c) sie ist für die Funktionstüchtigkeit des Vereins unabdingbar (dazu gehört auch Öffentlichkeits-arbeit; siehe außerdem 4.3 und 5.4).

Die Nutzung weiterer personenbezogener Daten, die über die notwendigen Daten zur Erfüllung der o.g. Zwecke hinausgehen, ist nur mit Einwilligung des Betroffenen zulässig.

Nach Art. 7 DSGVO ist für eine Einwilligung keine besondere Form vorgeschrieben, sondern lediglich der Nachweis notwendig, dass die betroffene Person eingewilligt hat. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Notwendige Einwilligungen für die Datennutzung durch den Verein können durch den Betroffenen (Vereinsmitglied) widerrufen werden.

Einwilligungen können auch durch Kinder und Jugendliche erfolgen, sofern sie in der Lage sind, die Konsequenzen der Verwendung ihrer Daten zu verstehen. Davon kann ab Vollendung des  14. Lebensjahres ausgegangen werden. Sofern eine derartige Verständnisfähigkeit zu verneinen ist, muss für die Datennutzung die Einwilligung eines Sorgeberechtigten erfolgen.

2. Erhebung personenbezogener Daten durch den Verein

2.1 Erhebung von Daten der Vereinsmitglieder

Folgende Daten sind notwendige Daten zur Verfolgung der Vereinsziele und zur Betreuung und Verwaltung der Mitglieder:

a) Name
b) Anschrift
c) Geburtsdatum
e) Kontaktdaten; bei Minderjährigen zusätzlich eine Notfallrufnummer eines Sorgeberechtigten
f) Kontodaten (siehe 2.1.1)

Alle weiteren Daten, die vom Verein im Rahmen der Aufnahme als Mitglied, der Anmeldung zu Veranstaltungen oder sonstigen Datenerhebungen erfolgen, sind freiwillig. Hierauf wird bei Erhebung der Daten hingewiesen.

Zu den freiwilligen Daten im Rahmen der Verwirklichung der Vereinsziele sowie der Verwaltung und Betreuung der Mitglieder gehören unter anderem: Erklärungen zu Urheberrechten und Rechten am eigenen Bild, wenn es dem Verein zur Verfügung gestellt wird.

2.1.1 Hinweis zu Kontodaten

Kontodaten werden, soweit ein SEPA-Lastschrift-Mandat erteilt wird, im Rahmen der Abrechnung von Beiträgen und Gebühren gespeichert. Der guten Ordnung halber weisen wir darauf hin, dass auch die Kontodaten von Vereinsmitgliedern, die nicht am Lastschriftverfahren teilnehmen, durch den Kontoauszug dem Verein bekannt werden und bei elektronischem Kontoauszug auch gespeichert werden. 

2.2 Erhebung von Daten Dritter

Der Verein erhebt Daten von anderen Personen als von Vereinsmitgliedern (Lieferanten, Gästen, Zuschauern, Besuchern, Teilnehmern an Veranstaltungen) soweit dies für berechtigte Interessen des Vereins notwendig ist und keine besonderen Schutzbedürfnisse der Betroffenen bestehen.
Bei Gästen, Zuschauern und Besuchern beschränkt sich dies im Regelfall auf die Legitimation der Anwesenheit, also Identifizierung als Angehöriger eines Vereinsmitglieds oder sonstiger Interessent. Bei Teilnehmern an Veranstaltungen, welche letztlich dem Versicherungsschutz des Vereins unterliegen, kann der Verein notwendige und freiwillige Daten analog dem in Ziffer 2.1 beschriebenen Umfang und Verfahren erheben.

2.3 Erhebung von Personaldaten der Beschäftigten des Vereins

Der Verein erhebt und nutzt personenbezogene Daten von Vorstandsmitgliedern, Buchhaltern, Kassenprüfern sowie weiteren Funktionsträgern des Vereins, soweit diese Daten für die Verwirklichung der Vereinsziele, die Betreuung von Mitgliedern sowie die Verwaltung des Vereins notwendig sind.

2.4 Erhebung von Daten von Besuchern des Internetauftrittes des Vereins

2.4.1 Datenerhebung zur Abwehr von Angriffen auf die IT-Struktur

Protokolldateien
Protokolldateien werden als personenbezogene Daten im Regelfall höchstens sieben Tage aufbewahrt.

Der Verein erhebt und speichert im Rahmen eines Zugriffsprotokolls direkt beim Provider der Homepage die gekürzte IP-Adresse, Datum und Uhrzeit des Zugriffes sowie die URL, auf die zugegriffen wurde. Dies dient ausschließlich dazu, unberechtigte Zugriffe zu erkennen und durch geeignete Gegenmaßnahmen auszuschließen. Als unberechtigte Zugriffe werden insbesondere DDOS-Attacken, Zugriffsversuche auf geschützte Bereiche sowie Versuche der Übermittlung von Spam über Kontaktformulare oder Gästebuch bewertet. Die Zugriffsprotokolle werden nach 60 Tagen automatisch gelöscht. Eine Auswertung der erhobenen Daten findet nur statt, wenn sich anhand der Protokollierung ein Anfangsverdacht auf Versuch der missbräuchlichen Erlangung von personenbezogenen Daten ergibt.

2.4.2 Datenerhebung zu statistischen bzw. technischen Zwecken

Cookies
Cookies werden für die Dauer der Browser-Sitzung gesetzt.

Matomo-Webstatistik
Für die Matomo-Webstatistik wird eine technische Widerspruchlösung bereitgestellt, die unter https://www.uni-bamberg.de/rz/verfahrensweisen/datenschutz/datenschutzerklaerungen/webauftritt/ erreichbar ist.

2.5 Hinweispflichten

Bei der Erhebung personenbezogener Daten belehrt der Verein über die Zulässigkeit der Datennutzung nach Ziffer 1.3 dieser Datenschutzordnung.

3. Speicherung personenbezogener Daten

3.1 Technische und organisatorische Maßnahmen

Der Verein trifft Maßnahmen nach Stand der Technik, um die Sicherheit personenbezogener Daten in automatisierten Datenverarbeitungssystemen sowie analogen Dokumenten zu gewährleisten. Hierzu gehören:
- Zugangskontrolle und Beschränkung zu den Datenverarbeitungssystemen (online / offline) über Benutzername und Passwort
- verschlüsselte Übertragung bei der Datenerhebung über Onlineformulare (https://)
- verschlüsselte Übertragung bei der Bearbeitung, Speicherung und Nutzung in einem Online-Datenverarbeitungssystem (https://)
- verschlüsselte Kommunikation über Mail-Accounts des Vereins (SSL/TLS)
- Zugangskontrolle und Beschränkung zu manuellen Dokumenten
- Versand von E-Mails an mehrere Empfänger nur über „bcc“ (=Blind Carbon Copy)

4. Nutzung von personenbezogenen Daten

4.1 Nutzung von Mitgliederdaten

Der Verein erhebt Daten ausschließlich für den Zweck der Verfolgung eigener Vereinsziele und zur Mitgliederbetreuung und Verwaltung.

4.2 Nutzung von Daten Dritter

Daten Dritter werden ausschließlich genutzt, soweit dies für die Verfolgung eigener Vereinsziele notwendig ist. Hierbei beschränkt sich die Nutzung auf diejenigen Zwecke, für die der Verein Daten erhoben oder erhalten hat.

4.3 Nutzung der Daten des Vereins für Spendenaufrufe und Werbung

Der Verein nutzt die Daten seiner Vereinsmitglieder nur für Spendenaufrufe und Werbung zur Erreichung der eigenen Ziele des Vereins. Die Nutzung von Mitgliederdaten für die Werbung Dritter erfolgt nur nach ausdrücklicher Zustimmung der Mitglieder.

5. Verarbeitung personenbezogener Daten und Übermittlung

5.1 Datenübermittlung an Vereinsmitglieder

Vereinsmitglieder haben, mit Ausnahme der Funktionsträger des Vereins, keinen Zugriff auf die personenbezogenen Daten anderer Mitglieder. Soweit im Einzelfall für die Organisation von Veranstaltungen notwendig, können jedoch Kontaktdaten in notwendigem Umfang an einzelne Mitglieder herausgegeben werden, ohne dass diese Funktionsträger sind. Dabei ist der Gebrauch ausschließlich nach Satzung und dieser Datenschutzordnung sicher zu stellen.

5.2 Bekanntgabe zur Wahrnehmung satzungsmäßiger Mitgliederrechte

Nach Vereinssatzung ist eine außerordentliche Mitgliederversammlung einzuberufen, wenn ein Viertel der Mitglieder dies schriftlich unter Angabe des Zwecks und der Gründe beantragt.
Zur Wahrnehmung dieses Rechtes kann es erforderlich sein, die Kontaktdaten (postalische Anschrift oder Emailadresse) einiger oder auch aller Vereinsmitglieder an den Initiator herauszugeben. Hierbei muss dieser jedoch versichern, die Kontaktdaten ausschließlich für den Zweck der Beantragung einer außerordentlichen Versammlung zu nutzen. Anstelle der Herausgabe der Kontaktdaten kann der Verein die Veröffentlichung des Antrages durch Vereinsmedien und/oder Rundschreiben ermöglichen.

5.3 Mitteilungen in Aushängen und Vereinspublikationen

Die Offenbarung personenbezogener Daten in Aushängen und Vereinspublikationen beschränkt sich auf die Bekanntgabe von Aktivitäten sowie die dienstlichen Erreichbarkeiten von Funktionsträgern.

5.4 Datenübermittlung an Dachverbände und andere Vereine

Personenbezogene Daten der eigenen Mitglieder dürfen an andere Vereine nur übermittelt werden, soweit diese dort benötigt werden, um die Vereinsziele des eigenen Vereins oder zu verwirklichen, beispielsweise bei der Teilnahme von Vereinsmitgliedern an Veranstaltungen anderer Vereine. Im Rahmen der Mitgliedschaft im Universitätsbund Bamberg e.V. werden notwendige personenbezogene Daten nach Ziffer 2.1 dieser Ordnung übermittelt zur Wahrung des Versicherungsschutzes für die Vereinsmitglieder.

5.5 Datenübermittlung an Sponsoren und Firmen zu Werbezwecken

Eine Datenübermittlung an Sponsoren und Firmen zu Werbezwecken findet nicht statt. Über Ausnahmen entscheidet die Mitgliederversammlung, beispielsweise im Rahmen einer Abstimmung über den Abschluss eines Gruppenversicherungsvertrages.

5.6 Veröffentlichungen im Internet

Im Internet (Homepage & soziale Netzwerke) wird von Funktionsträgern der Vor- und Zuname veröffentlicht. Zur Kommunikation mit Funktionsträgern wird ein Kontaktformular über eine vereinseigene Mailadresse bereitgestellt, dessen Inhalt über den Verantwortlichen für die Datenverarbeitung an den jeweiligen Funktionsträger weitergeleitet wird. Weitergehende personenbezogene Daten der Funktionsträger werden nur mit dessen ausdrücklicher Genehmigung im Internet veröffentlicht.

Im Rahmen der Vereinsveranstaltungen (bspw. Festveranstaltung) werden Bilder und Videos gemacht, die auch veröffentlicht werden dürfen, sofern sie nicht verletzend oder bloßstellend sind.

5.7 Personenbezogene Auskünfte an die Presse und andere Massenmedien

Pressemitteilungen und Auskünfte an Medien gehören grundsätzlich zur normalen Öffentlichkeitsarbeit eines Vereins. Personenbezogene Daten werden in diesem Rahmen nur dann veröffentlicht, wenn es sich um einen Bericht über eine sowieso öffentliche Veranstaltung handelt und schutzwürdige Interessen der Mitglieder dem nicht entgegenstehen.

5.8 Übermittlung für Zwecke der Wahlwerbung

Eine Datenübermittlung zum Zwecke der Werbung im Rahmen von öffentlichen Wahlen findet nicht statt.

5.9 Übermittlung an öffentliche Verwaltungen

Verlangt die Gemeindeverwaltung oder andere öffentliche Zuschussgeber im Rahmen der Nachweisführung der ordnungsgemäßen Verwendung von Zuwendungen die Vorlage von Listen mit Namen der Betroffenen, ist der Verein zur Übermittlung entsprechender notwendiger Daten berechtigt.

5.10 Datenübermittlung an Arbeitgeber eines Mitgliedes und die Versicherung

Gegenüber Arbeitgebern verweist der Verein auf den Grundsatz der Datendirekterhebung bei seinem Mitarbeiter.
Anfragen einer Versicherung werden ausschließlich im Rahmen der Schadensabwicklung in notwendigem Umfang beantwortet. Vor Auskunftserteilung wird das Mitglied hierzu angehört.

5.11 Kreis der Zugriffsberechtigten auf Daten

Datenbank der Universität: Kein Vorstandsmitglied des Universitätsbundes hat Zugriff auf die Datenbank der Universität (Cobra ADRESSplus), die Datenbank wird von einer Mitarbeiterin der Pressestelle in enger Kooperation mit dem Vorstand gepflegt. Der Vorstand erhält auf Wunsch die aktuellen Mitgliederdaten (Name, Postanschrift). Darüber hinaus haben mehrere Mitarbeiter der Universität Zugriff auf die Daten dieser Datenbank. In dieser Datenbank sind die Daten der Unibund-Mitglieder erfasst zum Zwecke der Information über universitäre Veranstaltungen und Neuigkeiten, z.B. erhalten alle Unibund-Mitglieder das Campusmagazin uni.kat, das Universitätsmagazin uni.vers Forschung sowie Einladungen z.B. zur Hegelwoche sowie zum Dies academicus. Die Löschung von Daten (insbes. bei Austritten und Todesfällen) wird in einer extra Liste protokolliert.

Datenerfassung durch die Steuerkanzlei Schmitt: Nach Auffassung des DStV sowie der BStBK müssen Steuerkanzleien keine Verträge zur Auftragsverarbeitung nach der Datenschutzgrundverordnung  schließen, da sie aufgrund ihres Berufsrechts stets weisungsabhängig und eigenverantwortlich tätig sind und besondere Pflichten wie etwa die berufliche Verschwiegenheit zu beachten haben.

Datenerfassung der Stadt Bamberg: Kein Vorstandsmitglied des Universitätsbundes hat Zugriff auf die Speicherquellen der Stadt Bamberg. Die Daten werden ausschließlich von einer Mitarbeiterin im Referat für Zentrale Steuerung verwaltet und gepflegt. Insbesondere werden dort die Kontaktdaten der Antragssteller*innen erfasst und die Kommunikation mit diesen gepflegt. Daten der Unibund-Mitglieder werden in einer extra Liste protokolliert (insbes. bei Austritten und Todesfällen). 

6. Berichtigung, Löschung und Sperrung von Daten

6.1 Umsetzung rechtlicher Vorgaben

Das Verfahren zur Berichtigung, Löschung und Sperrung von Daten richtet sich nach  Art. 16 und 17 DSGVO.
Personenbezogene Daten sind zu berichtigen, wenn diese unrichtig sind.
Personenbezogene Daten müssen gelöscht werden, wenn
- ihre Speicherung unzulässig ist oder
- die Kenntnis der Daten zur Verfolgung des Zwecks der Speicherung nicht mehr notwendig ist
- der Sachverhalt, zu dem die Daten gespeichert wurden, erledigt ist und seid Erledigung mehr als 4 Jahre vergangen sind.
Dann kann der Betroffene dies verlangen.
Anstelle der Löschung sind personenbezogene Daten für die weitere Verarbeitung zu sperren, wenn für Sachverhalte, für die diese Daten erhoben wurden, besondere Aufbewahrungsfristen gelten. Dies betrifft in nicht abschließender Aufzählung: Geschäftsbriefe, Buchungsbelege, Personaldaten und Verwendungsnachweise in Zusammenhang mit öffentlicher Förderung.
Gleiches trifft zu, wenn die personenbezogenen Daten Bestandteil rechtlicher Ansprüche für oder gegen den Verein sind.

Personenbezogene Daten werden weiterhin gesperrt, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch Unrichtigkeit feststellen lässt.

Soweit gesperrte oder gelöschte personenbezogene Daten zu einem früheren Zeitpunkt nach Ziffer 5.6 dieser Ordnung veröffentlicht wurden, wird der Verein unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen treffen, auch Links zu den personenbezogenen Daten zu löschen (Recht auf Vergessen).

Beim Ausscheiden oder Wechseln von Funktionsträgern wird sichergestellt, dass sämtliche Mitgliederdaten bei dieser Person entweder ordnungsgemäß gelöscht oder an einen anderen Funktionsträger des Vereins übergeben werden und keine Kopien und Dateien und auch keine Zugriffsberechtigungen beim bisherigen Funktionsträger verbleiben.


6.2 Technische Beschreibung der Datenlöschung

Universität Bamberg: Personenbezogene Daten in automatisierten Datenverarbeitungssystemen werden durch Entfernen des entsprechenden Datensatzes gelöscht. Da zur Aufrechterhaltung der Datenintegrität und Datensicherheit jedoch von der Datenbank nach Ziffer 3 dieser Ordnung Sicherheitskopien gefertigt werden, setzt der Verein die sichere Löschung von personenbezogenen Daten wie folgt um: Sicherungskopien der Datenbank werden 60 Tage nach Erstellung der Sicherung unwiederbringlich  gelöscht.

Einzelne personenbezogene Daten, die nicht in einem Datenverarbeitungssystem, sondern manuell erfasst wurden, wie eingescannte Dokumente, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.

E-Mails, die personenbezogene Daten enthalten, werden im Falle eines Ausscheidens durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.

Manuell erfasste oder dokumentierte personenbezogene Daten in Papierform, insbes. Mitgliedsbeitritte oder -austritte, werden nach dem Ausscheiden zur Vernichtung gesammelt (und hierbei weiterhin als zu schützende Daten behandelt) und datenschutzgerecht geshreddert.

Stadt Bamberg: Einzelne personenbezogene Daten, die manuell erfasst wurden, wie eingescannte Dokumente/ Schreiben/ Anträge, werden, sobald die Notwendigkeit für deren Speicherung entfällt, durch mehrfaches Überschreiben der einzelnen Datei sicher gelöscht.

E-Mails, die personenbezogene Daten enthalten, werden im Falle eines Ausscheidens durch Löschen und anschließendes Leeren des Ordners mit gelöschten Elementen gelöscht.

Manuell erfasste oder dokumentierte personenbezogene Daten in Papierform, insbes. Mitgliedsbeitritte oder -austritte, werden nach dem Ausscheiden zur Vernichtung gesammelt (und hierbei weiterhin als zu schützende Daten behandelt) und datenschutzgerecht geshreddert.

7. Organisatorisches

7.1 Bestellung eines Datenschutzbeauftragten

Nach Prüfung des gesetzlichen Grundlagen (BDSG und DSGVO) stellt der Verein fest, dass:

  • weniger als 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten für den Verein (intern oder extern) beschäftigt sind,
  • die notwendigen Daten zur Mitgliederverwaltung (Name, Anschrift, Geburtsdatum, Geschlecht) keine „sensiblen Daten“ nach Art. 9 DSGVO  enthalten,
  • „sensible Daten“ nur aufgrund vorheriger Einverständniserklärung der Mitglieder freiwillig erfasst werden und
  • personenbezogene Daten nicht zum Zweck geschäftsmäßiger Übermittlung dienen (Datenhandel).

Somit liegt keine gesetzliche Verpflichtung vor, einen Datenschutzbeauftragten zu bestellen. Der Vereinsvorstand kümmert sich daher selbst um die Einhaltung des Datenschutzes durch den Verein.

7.2 Verpflichtung auf Wahrung des Datengeheimnisses

Alle Personen, die Zugang zu Mitgliederdaten haben, werden schriftlich auf die Wahrung des Datengeheimnisses verpflichtet.

7.3 Schriftliche Regelung zum Datenschutz und Veröffentlichung

Die Grundzüge der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten werden durch diese Datenschutzordnung geregelt. Sie tritt durch Beschluss des Vorstandes in Kraft und ist den Vereinsmitgliedern durch Veröffentlichung per E-Mail mit Verweis auf den Einsehungsort (Intranet oder Anschlagtafel) bekannt zu geben.

7.4 Inkrafttreten

Unter Vorbehalt der Zustimmung durch den Vorstand des Universitätsbundes tritt die Datenschutzordnung unverzüglich in Kraft.