Datenschutzerklärung
Dokumentation der Verarbeitungstätigkeit
Angaben zum Verantwortlichen
Verantwortliche Stelle (gemäß Art. 4 Nr. 7 DSGVO)
Wirtschaftsjunioren Hochrhein
c/o IHK Hochrhein-Bodensee
Ernst-Friedrich-Gottschalk-Weg 1
79650 Schopfheim
Gesetzlicher Vertreter (= Vorstand)
Präsident: Annika Ebi
Benjamin Seeg, Uwe Böhm, Svenja Köppe
Datenschutzbeauftragter
nicht zu bestellen gemäß Artikel 37 DSGO
Grundsätzliche Angaben zur Verarbeitung
Bezeichnung der Verarbeitungstätigkeit:
Geschäftsführung und Verwaltung Wirtschaftsjunioren Hochrhein
- Mitgliederverwaltung
- Rechnungsstellungen
- Buchhaltung
- Allgemeine Verwaltung
- Koordination
- Newsletter
Verantwortliche Ansprechpartner:
Nicole Gut, Maximilian Wagner, Patric Galley, Dr. Uwe Böhm, Christina Kimmig
vorstand@wj-hochrhein.de
Art der Verarbeitung / Name der Software:
- SEWOBE – Vereinsmanager
Ort der Verarbeitung:
SEWOBE GmbH
Werner-Haas-Straße 8
86153 Augsburg
Allgemeine datenschutzrechtliche Anforderungen DSGVO
Zweckbestimmung:
- Verarbeitungstätigkeit: „Mitgliederverwaltung“ verfolgte Zweckbestimmungen: „Verwaltung der aktuellen und ehemaligen Mitglieder.“
- Verarbeitungstätigkeit: „Rechnungsstellung“ verfolgte Zweckbestimmungen: „Rechnungen über Mitgliedsbeiträge Mitglieder und Rechnungen für besondere Anlässe (z.B. Veranstaltungen) inkl. Mahnwesen“
- Verarbeitungstätigkeit: „Buchhaltung“ verfolgte Zweckbestimmungen: „Buchhaltung der Ein- und Ausgangsrechnung“
- Allgemeine Verwaltung verfolgte Zweckbestimmungen: „Abwicklung der Vereinsverwaltung, z.B. Briefe und E-Mails schreiben.“
- Koordination verfolgte Zweckbestimmungen: „Veranstaltungskoordination inkl. Listen der Teilnehmer“
- Newsletter verfolgte Zweckbestimmungen: „Versand von Newsletter an Mitglieder, Mitglieder des Fördervereins, Interessenten und Partner“
Zweckänderung:
Es ist keine Zweckänderung vorgesehen oder notwendig.
Rechtmäßigkeit der Verarbeitung, Art. 6 DSGVO
- Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7)
- Vertrag oder Vertragsanbahnung (Art. 6 Abs. 1 lit. b)
Erforderlichkeit und Verhältnismäßigkeit, Art. 5 DSGVO
Es werden ausschließlich die personenbezogenen Daten verarbeitet, die zu dem jeweiligen Zweck notwendig sind.
Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 (Datenschutz-Folgeabschätzung)?
Es werden nur die Daten verarbeitet, die die Betroffenen selbst angeben, z.B. bei Bestellung von Modeartikeln. Es besteht kein hohes Risiko für die Rechte und Freiheiten der Betroffenen.
Erhebung der Daten
Kreis der betroffenen Personengruppen
- Mitglieder der WJ Hochrhein
- Mitglieder des Fördervereins der WJ Hochrhein
- Interessenten der WJ Hochrhein
- Lieferanten
- Sponsoren
- Partner
- Besucher Webseite
Art der gespeicherten Daten bzw. Datenkategorien:
- Abrechnungsdaten
- Adressdaten
- Bankverbindungsdaten
- Geburtsdatum
- IP-Adresse (Besucher von Webseite)
- Kontaktdaten
- Name/Vorname/Anrede/Titel
- Zahlungsdaten
Herkunft der Daten:
- Grundsätzlich erfolgt die Angabe der Daten durch die Betroffenen.
- WJD-Mitgliederdatenbank
Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
Interne Empfänger (innerhalb der verantwortlichen Stelle)
Vorstandsmitglieder
AK-Leiter bei Projekten (z. B. Generationen-Management)
Externe Empfänger und Dritte:
(jeder andere Empfänger, soweit nicht Auftragsverarbeiter)
Steuerberaterbüro für Buchhaltung (keine Auftragsverarbeitung)
Finanzamt (Steuererklärung)
Zugriffsberechtigte Personen
Vorstandsmitglieder
AK-Leiter
Auftragsverarbeitung als Auftraggeber
Auftragsverarbeiter
SEWOBE GmbH
Werner-Haas-Straße 8
86153 Augsburg
Schriftlicher datenschutzkonformer Vertrag
Nach DSGVO März 2018
Geeignetheit des Auftragsverarbeiters
Geeignet
Standort der Verarbeitung
Augsburg
Datenübermittlung in Drittstaaten / internationale Organisationen
Datenübermittlung in Drittstaaten:
Es erfolgt keine Datenübermittlung in Drittstaaten
Regelfristen für die Löschung der Daten
Speicherdauer
Speicherdauer der Daten beruht auf den gesetzlichen Aufbewahrungsfristen bzw. internen Prozessen
Beurteilung der Angemessenheit techn. und org. Maßnahmen (TOM)
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g, Art. 32 Abs. 1 DSGVO)
-
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
– Zutrittskontrolle Jedes Vorstandsmitglied sorgt selbst dafür das kein unbefugter Zutritt zu eigenen Datenverarbeitungsanlagen erfolgen kann.
– Zugangskontrolle Keine unbefugte Systembenutzung, durch Login und Kennwörter.
– Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
– Trennungskontrolle Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, durch Vereinonline;
– Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) wird nicht angewendet.
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
-
- Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
– Weitergabekontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, durch Verschlüsselung, – Eingabekontrolle Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch: Protokollierung, Dokumentenmanagement
- Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
-
- Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
– Verfügbarkeitskontrolle Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, durch: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
– Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO) ist durch Backup-System gewährleistet;
- Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
-
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
– Datenschutz-Management Beratung durch Datenschutzbeauftragter, Verpflichtung auf Vertraulichkeit, Social-Media-Richtlinie
– Incident-Response-Management, IT-Sicherheitskonzept mit Notfallplänen, Konzept zum Umgang mit Datenschutzvor-fällen
– Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) sind bei den Anwendungen Softwareseitig vorgesehen
– Auftragskontrolle Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
-
- Verbleibendes Risiko unter Berücksichtigung der eingesetzten TOM
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zweck der Datenverarbeitungen sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird das verbleibende Risiko als gering bewertet.
- Verbleibendes Risiko unter Berücksichtigung der eingesetzten TOM
Stellungnahme des Datenschutzberaters
Prüfung durch den Datenschutzberater
Erfolgt
Besteht weiterer Handlungsbedarf?
nein
Offene Maßnahmen
Keine offenen Maßnahmen.
Datum der Dokumentation
29. März 2018
Prüfung durch den Vorstand
Prüfung durch den Vorstand
Erfolgt
Datum, Unterschrift
29. März 2018