nach Art. 30 Abs 1
Inhalt
Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen
Namen und Kontaktdaten des Auftragsverarbeiters
DatenverarbeitungenDatenverarbeitungszwecke
Allgemeine technische und organisatorische Maßnahme
Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen
Name(n) und Anschrift(en) 1
Verein: ONEMOVE – Modern Sports and Lifestyle
Strubergasse 49, 5020 Salzburg
Verantwortlich 1: Christian Bacher (Obmann)
office@onemove.at
0676/3762688
Kontaktperson: Markus Rossmann (Kassier)
markus.rossmann@ex3.at
0664/8692126
Namen und Kontaktdaten des Auftragsverarbeiters
Name(n) und Anschrift(en)
Verein: ONEMOVE – Modern Sports and Lifestyle
Strubergasse 49, 5020 Salzburg
Verantwortlich 1: Christian Bacher (Obmann)
office@onemove.at
0676/3762688
Verantwortlich 2: Markus Rossmann (Kassier)
markus.rossmann@ex3.at
0664/8692126
Datenschutzbeauftragter: Stefan Müller
info@pdyl.de
0664/4311157
Page Break
Datenverarbeitungen / Datenverarbeitungszwecke
Bewerbungsverfahren
letzte Bearbeitung: 20.02.2018
Beschreibung:
Der Zweck besteht im Besetzen vakanter Stellen/Positionen im Verein. Dies umfasst ehrenamtliche und nichtehrenamtliche Trainer, Übungsleiter, Funktionäre und sonstige Mitarbeiter. Dieser Vorgang erfolgt regelmäßig auf Basis der Vereinsentwicklung (Sportprogramm) und der Personalfluktuation.
Im Zuge der Suche werden Stellenanzeigen im Internet (Website, Facebook, diverse Foren) sowie in anderen vereinsbezogenen Medien (Vereinszeitschrift, Vereinsnewsletter, etc.) veröffentlicht. Die per E-Mail an office@onemove.at eingehenden Bewerbungen (die vom Verein bevorzugte Form der Übermittlung, auf die auch in der Stellenanzeige hingewiesen wird) werden in unserem Datencenter in Ordnern abgelegt.
Per Post einlangende Bewerbungen werden elektronisch erfasst (Scan) und unter Anwendung der gleichen Gliederung am Computer abgespeichert. Das Papierdokument (die Bewerbung) selbst wird nach dem Vorgang der elektronischen Speicherung umgehend vernichtet (geschreddert). Weitere Ablagen bestehen nicht.
Nach vollzogener Auswahl einer Bewerberin/eines Bewerbers (erfolgte vertragliche Fixierung) werden alle für diesen Verarbeitungszweck einlangenden Bewerbungen/Daten nach Mitteilung einer Absage (E-Mail bzw. Post im Falle der Übermittlung der Bewerbung im Postweg und Nichtangabe einer E-Mail-Adresse) umgehend gelöscht. Im Falle eines Bewerbungsverfahrens für ein privatrechtliches Arbeitsverhältnis (angestellte Mitarbeiter) werden die Bewerberdaten nach dem Verstreichen einer Frist von 6 Monaten gelöscht. Die Mitteilung der Absage inkludiert in diesem Falle einen Hinweis auf die Frist von 6 Monaten. Die zweckbezogene Löschung erfolgt in allen Fällen in sämtlichen Medien bzw. Speicherorten (elektronisch, Papierform). Eine Aufbewahrung von Bewerbungen zum Zwecke der Evidenzhaltung erfolgt nicht.
Die Bewerbung (Insbesondere der curriculum vitae, übermittelte Zeugnisse, Befähigungsausweise, etc.) der ausgewählten Bewerberin/des ausgewählten Bewerbers wird in den entsprechenden Ordner verschoben und bildet Grundlage des entsprechenden Aktes.
Blindbewerbungen werden – sofern diese nicht unmittelbare Berücksichtigung bei laufenden Bewerbungsverfahren finden können – gelöscht. Eine Evidenzhaltung erfolgt nicht.
Rechtsgrundlage Ergänzung: Vertragsvorbereitung
Rechtsgrundlage
– Einwilligung (Art. 6 Abs. 1 lit. b)
Sensible Daten nach DSGVO Art. 9
– nein
Datenschutzfolgeabschätzung durchgeführt?
– nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
– Bewerber
Kategorien der verarbeiteten Daten
- Nachname (Familie) (tlw. freiwillige Angabe von Eltern)
- Vorname (Familie) (tlw. freiwillige Angabe von Eltern)
- Führerscheindaten
- Geburtsort
- Straße (privat)
- Ort (privat)
- PLZ (privat)
- Telefon Mobil
- E-Mail-Adresse
- Vorname
- Nachname
- Geburtsdatum
Organisatorische Maßnahmen
– Postfach-Zugriff eingeschränkt (Es haben nur die Personen auf das Postfach Zugriff die für die Besetzung der Position zuständig sind.)
Buchführung
letzte Bearbeitung: 19.02.2018
Beschreibung:
Buchführung zum Zwecke der Erfassung der Geschäftsvorgänge zur Erfüllung der Anforderungen der §§ 20ff VerG (§21 Einnahmen- und Ausgabenrechnung, Vermögensübersicht, §22 Jahresabschluss – Bilanz, Gewinn- und Verlustrechnung).
Führung aller Aspekte der Buchführung in Excel-Form. Die Excel-Listen sowie alle dazugehörigen Belege (z.B. Belege Ausgaben, Belege Mitgliedsbeiträge = Einnahmen, etc.) werden quartalsweise an den/die oben angeführten Auftragsverarbeiter (Buchhaltungskanzlei) weitergeleitet.
Je nach Beleg sind die unten angeführten Datenkategorien zur Gänze oder teilweise enthalten.
Rechtsgrundlage Ergänzung: Die Buchhaltung zur Erfüllung der gesetzlichen Verpflichtungen und zur Führung des Vereins (=vertragliche Verpflichtungen gegenüber Mitgliedern).
Auftragsverarbeiter
– Auftragsverarbeiter Buchhaltung
Rechtsgrundlage
– Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
– Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich (Art. 6 Abs. 1 Lit c)
Sensible Daten nach DSGVO Art. 9
– nein
Datenschutzfolgeabschätzung durchgeführt?
– nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
Lieferanten, Geschäftspartner
Mitglieder
Trainer (Die Daten der Trainer sind auf den PRAEs enthalten, diese liegen in der Buchhaltung auf.)
Kategorien der verarbeiteten Daten
- Geschlecht
- PLZ (privat)
- Ort (privat)
- Straße (privat)
- Geburtsdatum
- Nachname
- Vorname
- Sozialversicherungsnummer (bei Trainern)
- Email & Telefonnummer
Technische Maßnahmen
Die Daten sind auf unseren Servern gesichert und werden nur dem Finanzreferenten sowie seiner Vertretung, Obmann und Trainern zugänglich.)
Mitgliederverwaltung
letzte Bearbeitung: 19.02.2018
Beschreibung:
Mitgliederverwaltung als Erfordernis der Vereinsführung, Erfüllung der Statuten, Erfüllung aller vereinsbezogenen Aufgaben und Verpflichtungen.
Führung der Mitgliederverwaltung in Form von Excel-Listen/Datenbank in Excel. Die Rechtsgrundlage für diese Verarbeitungstätigkeit entspringt dem Mitgliedsvertrag = vertragliche Grundlage. Via einer Datenschutzvereinbarung am Beitrittsformular wird der Interessent vor Abschluss der Mitgliedschaft über Verarbeitungszwecke, verarbeitete Datenkategorien, Empfänger, Dauer der Datenspeicherung, etc. informiert. Zusätzlich erfolgt die Erteilung der Information nach den Art 13, 14 DSGVO im Detail über einen Datenschutzbutton auf der Webpage des Vereines.
Die Excel-Datenbank ist passwortgeschützt. Zugriff hat folgender eingeschränkter Personenkreis: Obmann, Finanzreferent sowie deren Stellvertreter und Trainer.
Nach Beendigung der Mitgliedschaft werden alle Daten - soweit kein Rückstand an Zahlungen (offener Mitgliedsbeitrag, Teilbeträge hiervon, sonstige berechtigte Forderungen des Vereins) seitens des Mitglieds besteht und die Daten auch nicht zur Geltendmachung, Ausübung oder Vermeidung von Rechtsansprüchen des Vereins benötigt werden - nach Ablauf eines Jahres nach Austritt gelöscht bzw. entpersonalisiert. Diese Frist dient dem Vereinszweck und soll sicherstellen, dass die Abwicklung des Vertrages mit dem Mitglied und die damit zusammenhängenden Aufgaben gewährleistet ist. Im Falle des Bestehens offener Forderungen zum Zeitpunkt des Austritts beginnt der Fristablauf mit dem Zeitpunkt des Begleichens der offenen Zahlungen. Auf die einjährige Frist wird in der oben geschilderten Datenschutzerklärung gesondert hingewiesen.
Daten/Datensätze, die zur Erfüllung der gesetzlichen Anforderungen (z.B. Buchführung) benötigt werden, bleiben für die in den Materiengesetzen normierte Aufbewahrungsdauer gespeichert und werden anschließend gelöscht.
Ein Backup des Excel-Files wird auf einem verschlüsselten USB-Stick/externe Festplatte abgelegt, welcher/welche der Obmann an seinem Wohnort aufbewahrt.
Rechtsgrundlage
– Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
Sensible Daten nach DSGVO Art. 9
– nein
Datenschutzfolgeabschätzung durchgeführt?
– nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
– Mitglieder & Trainer
Kategorien der verarbeiteten Daten
- Geschlecht
- Tarifklasse
- Austrittsdatum
- Eintrittsdatum
- Telefon Mobil
- Straße (privat)
- PLZ (privat)
- Ort (privat)
- Vorname
- Nachname
- Geburtsdatum
- E-Mail-Adresse
Technische Maßnahmen
– Zugriff eingeschränkt (Zugriff nur durch Obmann, Finanzreferent sowie dessen Stellvertreter)
– Backup Datenbank (Verschlüsselter USB-Stick, Durchführung der Backups durch den Vereinsobmann)
Newsletter
letzte Bearbeitung: 20.02.2018
Beschreibung:
Allgemeine Informationen über das Vereinsgeschehen und das Sportprogramm, detaillierte Sparteninformationen, Informationen über Vereinsangebote, Kurse, Sportwochen und Sportfeste, Nützliches und Wissenswertes zu den Themen Sport, Gesundheit und gesundem Lebensstil.
Zwei Möglichkeiten der Anmeldung zum Newsletter: 1.) Website Verein, 2.) Anmeldeformular Vereinsbeitritt
ad 1.) Website:
Die Anmeldung zum Newsletter via Vereins-Website ist nicht nur für Mitglieder, sondern auch für Interessenten und alle anderen Besucher der Website möglich. Anmeldung ausschließlich per Double-Opt-In Verfahren. Information über Verarbeitungszwecke, verarbeitete Daten, Widerrufsbelehrung Art 21 Abs 4 vorhanden – zu den Formalitäten der Newsletter-Anmeldung siehe beigefügte Datei/beigefügtes Formular. Der Newsletter wird regelmäßig versendet. Es erfolgt keine Weitergabe der Daten an Dritte. Die technische Abwicklung übernimmt der beauftragte Website-Dienstleister. Eine Abmeldung vom Newsletter ist jederzeit über die Vereins-Website möglich.
ad 2.) Anmeldung Newsletter über Vereinsanmeldeformular:
Extra angeführte Newsletter-Anmeldung auf Vereinsbeitrittsformular, Anmeldung durch Ankreuzen der entsprechenden Checkbox. Keine Koppelung zur Vereinsanmeldung bzw. zur Mitgliedschaft – die Mitgliedschaft zum Verein ist auch ohne Bezug des Newsletters möglich. Gleiche Formulierung wie online-Einwilligung Newsletter Bezug, zu den Formalitäten siehe ebenso in der Beilage.
Übergreifend:
In jedem Newsletter wird auf die Möglichkeit der Abmeldung via der Vereins-Website hingewiesen. Zusätzlich können Abmeldungen zum Newsletter jederzeit per E-Mail an den Verein gerichtet werden. Diese E-Mails werden von uns selbst, nicht durch den Websitebetreiber administriert.
Da der Newsletter personalisiert verschickt wird, wird das Geschlecht bei der Anmeldung dafür verpflichtend verlangt.
Auftragsverarbeiter
– Auftragsverarbeiter Website
Rechtsgrundlage
– Einwilligung (Art. 6 Abs. 1 lit. a)
Sensible Daten nach DSGVO Art. 9
– nein
Datenschutzfolgeabschätzung durchgeführt?
– nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
– Mitglieder
– Interessenten
Kategorien der verarbeiteten Daten
Nachname
Vorname
E-Mail-Adresse
Geschlecht
Technische Maßnahmen
Verschlüsselung personenbezogener Daten (wird vom Provider durchgeführt)
Organisatorische Maßnahmen
– Online-Zugang beschränkt (Der Zugang zum Online-Newsletter System ist dem Pressereferenten des Vereins vorbehalten.)
Weitergabe Daten Fachverband
letzte Bearbeitung: 19.02.2018
Beschreibung:
Die Teilnahme am Leistungs- bzw. Wettkampfsport erfordert eine Weitergabe der personenbezogenen Daten an Sportfachverbände (z.B. Niederösterreichischer Basketballverband, Österreichischer Fußballbund). Dies umfasst sowohl Landes- als auch Bundesfachverbände.
Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Fachverband ist in zwei Formen möglich:
1.) schriftliches Anmeldeformular des Fachverbands (Übermittlung per E-Mail oder am Postweg) inkl. Beilagen
2.) online-Tool des Fachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen
In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Fachverbandes sind auf der Website des Fachverbands (z.B. https://xxx.at) abrufbar. Ein Widerruf der Datenweitergabe an den Fachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft (Ausnahme: dem Mitglied stehen beim Verein nur Wettkampf- bzw. Leistungssportsparten als Auswahl zur Verfügung), jedoch ist eine Weiterausübung des Wettkampf- bzw. Leistungssports nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Fachverband unverzüglich in Kenntnis setzen.
Übt ein Mitglied keinen Leistungs- bzw. Wettkampfsport aus, erfolgt keine Datenweitergabe.
Formalitäten:
Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.
Rechtsgrundlage Ergänzung: Einwilligung im Zuge der Vereinsanmeldung, am Anmeldeformular, getrennt von anderen Zwecken, separate Checkbox.
Rechtsgrundlage
– Einwilligung (Art. 6 Abs. 1 lit. a)
– Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
Sensible Daten nach DSGVO Art. 9
– nein
Datenschutzfolgeabschätzung durchgeführt?
– nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
– Mitglieder
Kategorien der verarbeiteten Daten
- Vorname
- Straße (privat)
- PLZ (privat)
- Ort (privat)
- Nachname
- Geschlecht
- Geburtsdatum
- Eintrittsdatum
Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden
– Titel: Bundesfachverband XY, 0
Weitergabe Daten Dachverband
letzte Bearbeitung: 19.02.2018
Beschreibung:
Die Teilnahme am Leistungs- bzw. Wettkampfsport sowie Gesundheitsprojekten, Ehrungen, Fortbildungen, etc erfordert eine Weitergabe der personenbezogenen Daten an Sportdachverbände (z.B. Sportunion Österreich). Dies umfasst sowohl Landes- als auch Bundesdachverbände.
Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Dachverband ist in zwei Formen möglich:
1.) Weitergabe in elektronischer Form per E-Mail
2.) online-Tool des Dachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen
In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Dachverbandes sind auf der Website des Dachverbands (z.B. https://xxx.at) abrufbar. Ein Widerruf der Datenweitergabe an den Dachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft, jedoch ist eine Weiterausübung des Sports oft nur mehr sehr eingeschränkt bis gar nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Dachverband unverzüglich in Kenntnis setzen.
Formalitäten:
Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.
Rechtsgrundlage Ergänzung: Einwilligung im Zuge der Vereinsanmeldung, am Anmeldeformular, getrennt von anderen Zwecken, separate Checkbox.
Rechtsgrundlage
– Einwilligung (Art. 6 Abs. 1 lit. a)
– Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
Sensible Daten nach DSGVO Art. 9
– nein
Datenschutzfolgeabschätzung durchgeführt?
– nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen
Kategorien der betroffenen Personen
– Mitglieder
Kategorien der verarbeiteten Daten
- Vorname
- Straße (privat)
- PLZ (privat)
- Ort (privat)
- Nachname
- Geschlecht
- Geburtsdatum
- Eintrittsdatum
Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden
– Titel: Bundesdachverband XY, 0
– Titel: Landesdachverband XY, 0
| Vorhanden? | Umgesetzt? | Wenn nein, warum nicht? | |
|---|---|---|---|
| Ist eine IT-Systemdokumentation vorhanden? | Ja | ||
| Ist eine Hardware-Firewall vorhanden? | Ja | ||
| Ist die Windows Firewall aktiv? | Ja | ||
| Erfolgt der Remotezugriff über VPN? | Ja | ||
| Computer mit Passwörter geschützt? | Ja | ||
| Windows Updates aktuell? | Ja | ||
| Sichere Passwörter E-Mails? | Ja | ||
| Mobile Geräte mit Passwort versehen? | Ja | ||
| Dokumente auf Firmenhandy abgelegt? | Keine Firmenhandys vorhanden | ||
| Verpflichtungserklärung Mitarbeiter Datengeheimnis? | Ja | ||
| Virenschutz vorhanden und aktuell? | Ja | ||
| Versperrbarkeit sensibler Unterlagen? | Ja | ||
| Bildschirmschoner mit Passwort-Sperre? | Nein, weil PC gesichert | ||
| Werden die Computer beim Verlassen des Büros heruntergefahren? | Ja | ||
| Werden nicht mehr benötigte Datenträger physisch zerstört? | Ja | ||
| Wird Altpapier geschreddert? | Ja | ||
| Standards, wenn Mitarbeiter aus dem Unternehmen ausscheiden, festgelegt und unterzeichnet? | Ja | ||
| Passwort-Richtlinie für EDV Systeme vorhanden? | Ja | ||
| Unterschiedliche Passwörter für Computer und Mails vorhanden? | Ja | ||
| PW-Änderung alle 365 Tage? | Nein > Studien bewiesen keinen Vorteil | ||
| Software-Updates regelmäßig durchgeführt? | Ja | ||
| Sicherheitsrichtlinie für mobile Geräte (Handy, Tablet) vorhanden? | Ja | ||
| Sensibilisierung der Mitarbeiter für Viren-Mails / Phishing Mails? | Ja | ||
| Notfallplan für Virenbefall? | Ja | ||
| WLAN Sicherheit (Passwort, Verschlüsselung, ev. Gäste-WLAN)? | Ja | ||
| Backup Strategie? | Ja | ||
| Aufbewahrung der Backup-Datenträger? | Ja |