Datenschutzerklärung

Dokumentation der Verarbeitungstätigkeit

Angaben zum Verantwortlichen

Verantwortliche Stelle (gemäß Art. 4 Nr. 7 DSGVO)
Wirtschaftsjunioren Hochrhein
c/o IHK Hochrhein-Bodensee
Ernst-Friedrich-Gottschalk-Weg 1
79650 Schopfheim

Gesetzlicher Vertreter (= Vorstand)
Präsident: Annika Ebi
Benjamin Seeg, Uwe Böhm, Svenja Köppe

Datenschutzbeauftragter
nicht zu bestellen gemäß Artikel 37 DSGO

Grundsätzliche Angaben zur Verarbeitung

Bezeichnung der Verarbeitungstätigkeit:
Geschäftsführung und Verwaltung Wirtschaftsjunioren Hochrhein

  • Mitgliederverwaltung
  • Rechnungsstellungen
  • Buchhaltung
  • Allgemeine Verwaltung
  • Koordination
  • Newsletter

Verantwortliche Ansprechpartner:
Nicole Gut, Maximilian Wagner, Patric Galley, Dr. Uwe Böhm, Christina Kimmig
vorstand@wj-hochrhein.de

Art der Verarbeitung / Name der Software:

  • SEWOBE – Vereinsmanager

Ort der Verarbeitung:
SEWOBE GmbH
Werner-Haas-Straße 8
86153 Augsburg

Allgemeine datenschutzrechtliche Anforderungen DSGVO

Zweckbestimmung:

  • Verarbeitungstätigkeit: „Mitgliederverwaltung“ 
 verfolgte Zweckbestimmungen: „Verwaltung der aktuellen und ehemaligen Mitglieder.“
  • Verarbeitungstätigkeit: „Rechnungsstellung“ 
 verfolgte Zweckbestimmungen: „Rechnungen über Mitgliedsbeiträge Mitglieder und Rechnungen für besondere Anlässe (z.B. Veranstaltungen) inkl. Mahnwesen“
  • Verarbeitungstätigkeit: „Buchhaltung“ 
 verfolgte Zweckbestimmungen: „Buchhaltung der Ein- und Ausgangsrechnung“
  • Allgemeine Verwaltung
 verfolgte Zweckbestimmungen: „Abwicklung der Vereinsverwaltung, z.B. Briefe und E-Mails schreiben.“
  • Koordination
 verfolgte Zweckbestimmungen: „Veranstaltungskoordination inkl. Listen der Teilnehmer“
  • Newsletter
 verfolgte Zweckbestimmungen: „Versand von Newsletter an Mitglieder, Mitglieder des Fördervereins, Interessenten und Partner“

Zweckänderung:
Es ist keine Zweckänderung vorgesehen oder notwendig.

Rechtmäßigkeit der Verarbeitung, Art. 6 DSGVO

  • Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7)
  • Vertrag oder Vertragsanbahnung (Art. 6 Abs. 1 lit. b)

Erforderlichkeit und Verhältnismäßigkeit, Art. 5 DSGVO
Es werden ausschließlich die personenbezogenen Daten verarbeitet, die zu dem jeweiligen Zweck notwendig sind.

Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 (Datenschutz-Folgeabschätzung)?
Es werden nur die Daten verarbeitet, die die Betroffenen selbst angeben, z.B. bei Bestellung von Modeartikeln. Es besteht kein hohes Risiko für die Rechte und Freiheiten der Betroffenen.

Erhebung der Daten

Kreis der betroffenen Personengruppen

  1. Mitglieder der WJ Hochrhein
  2. Mitglieder des Fördervereins der WJ Hochrhein
  3. Interessenten der WJ Hochrhein
  4. Lieferanten
  5. Sponsoren
  6. Partner
  7. Besucher Webseite

Art der gespeicherten Daten bzw. Datenkategorien:

  • Abrechnungsdaten
  • Adressdaten
  • Bankverbindungsdaten
  • Geburtsdatum
  • IP-Adresse (Besucher von Webseite)
  • Kontaktdaten
  • Name/Vorname/Anrede/Titel
  • Zahlungsdaten

Herkunft der Daten:

  1. Grundsätzlich erfolgt die Angabe der Daten durch die Betroffenen.
  2. WJD-Mitgliederdatenbank

Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können

Interne Empfänger (innerhalb der verantwortlichen Stelle)
Vorstandsmitglieder
AK-Leiter bei Projekten (z. B. Generationen-Management)

Externe Empfänger und Dritte:
(jeder andere Empfänger, soweit nicht Auftragsverarbeiter)
Steuerberaterbüro für Buchhaltung (keine Auftragsverarbeitung)
Finanzamt (Steuererklärung)

Zugriffsberechtigte Personen

Vorstandsmitglieder
AK-Leiter

Auftragsverarbeitung als Auftraggeber

Auftragsverarbeiter
SEWOBE GmbH
Werner-Haas-Straße 8
86153 Augsburg

Schriftlicher datenschutzkonformer Vertrag
Nach DSGVO März 2018

Geeignetheit des Auftragsverarbeiters
Geeignet

Standort der Verarbeitung
Augsburg

Datenübermittlung in Drittstaaten / internationale Organisationen

Datenübermittlung in Drittstaaten:
Es erfolgt keine Datenübermittlung in Drittstaaten

Regelfristen für die Löschung der Daten

Speicherdauer
Speicherdauer der Daten beruht auf den gesetzlichen Aufbewahrungsfristen bzw. internen Prozessen

Beurteilung der Angemessenheit techn. und org. Maßnahmen (TOM)


Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g, Art. 32 Abs. 1 DS­GVO)

    1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
      – Zutrittskontrolle
Jedes Vorstandsmitglied sorgt selbst dafür das kein unbefugter Zutritt zu eigenen Datenverarbeitungsanlagen erfolgen kann.
      – Zugangskontrolle
Keine unbefugte Systembenutzung, durch Login und Kennwörter.
      – Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
      – Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, durch Vereinonline;
      – Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
 wird nicht angewendet.

 

    1. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
      – Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, durch Verschlüsselung, – Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch: Protokollierung, Dokumentenmanagement

 

    1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
      – Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, durch: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
      – Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO) ist durch Backup-System gewährleistet;

 

    1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
      – Datenschutz-Management
Beratung durch Datenschutzbeauftragter,
Verpflichtung auf Vertraulichkeit,
Social-Media-Richtlinie
      – Incident-Response-Management,
IT-Sicherheitskonzept mit Notfallplänen,
Konzept zum Umgang mit Datenschutzvor-fällen
      – Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) sind bei den Anwendungen Softwareseitig vorgesehen
      – Auftragskontrolle
Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

 

    1. Verbleibendes Risiko unter Berücksichtigung der eingesetzten TOM
      Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zweck der Datenverarbeitungen sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird das verbleibende Risiko als gering bewertet.

 

Stellungnahme des Datenschutzberaters

Prüfung durch den Datenschutzberater
Erfolgt

Besteht weiterer Handlungsbedarf?
nein

Offene Maßnahmen
Keine offenen Maßnahmen.

Datum der Dokumentation
29. März 2018

Prüfung durch den Vorstand

Prüfung durch den Vorstand
Erfolgt

Datum, Unterschrift
29. März 2018