Datenverarbeitungsverzeichnis

nach Art. 30 Abs 1

EU-Datenschutzgrundverordnung (DSGVO)

Inhalt

Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen
Namen und Kontaktdaten des Auftragsverarbeiters
Datenverarbeitungszwecke
Allgemeine technische und organisatorische Maßnahmen

Namen und Kontaktdaten des/der für die Verarbeitung Verantwortlichen

Verein:

Volleyballclub Wolfurt
Postfach 5, 6922 Wolfurt

 

Verantwortlich 1:

Sebastian Vonach
obmann(at)vcwolfurt.at
+43 650 8182382

Kontaktperson:

Philippe Olivier
philippe.olivier(at)gmx.at
+43 650 5327877+

 

Namen und Kontaktdaten des Auftragsverarbeiters

Firma:

www.vcwolfurt.at
Postfach 5, 6922 Wolfurt

Verantwortlich 1:

Brigitte Dragosits
Funktion: Kassier
Kassier(at)vcwolfurt.at
+43 664 1207633

Datenverarbeitungen / Datenverarbeitungszwecke

Bewerbungsverfahren

letzte Bearbeitung: 21.05.2018

Beschreibung:

Der Zweck besteht im Besetzen vakanter Stellen/Positionen im Verein. Dies umfasst ehrenamtliche Trainer, Übungsleiter, Funktionäre und sonstige Mitarbeiter. Dieser Vorgang erfolgt regelmäßig auf Basis der Vereinsentwicklung (Sportprogramm) und der Personalfluktuation.

Im Zuge der Suche werden Stellenanzeigen im Internet (Website, Facebook, diverse Foren) sowie in anderen vereinsbezogenen Medien (Vereinszeitschrift, Vereinsnewsletter, etc.) veröffentlicht. Die per E-Mail an kontakt@vcwolfurt.at eingehenden Bewerbungen (die vom Verein bevorzugte Form der Übermittlung, auf die auch in der Stellenanzeige hingewiesen wird) werden im E-Mail-Unterordner „Bewerbungen XX“ wobei XX für die zu besetzende Position/Aufgabe/Stelle im Verein steht abgelegt.

Per Post einlangende Bewerbungen werden elektronisch erfasst (Scan) und unter Anwendung der gleichen Gliederung am Computer abgespeichert. Das Papierdokument (die Bewerbung) selbst wird nach dem Vorgang der elektronischen Speicherung umgehend vernichtet (geschreddert). Weitere Ablagen bestehen nicht.

Nach vollzogener Auswahl einer Bewerberin/eines Bewerbers (erfolgte vertragliche Fixierung) werden alle für diesen Verarbeitungszweck einlangenden Bewerbungen/Daten nach Mitteilung einer Absage (E-Mail bzw. Post im Falle der Übermittlung der Bewerbung im Postweg und Nichtangabe einer E-Mail-Adresse) umgehend gelöscht. Im Falle eines Bewerbungsverfahrens für ein privatrechtliches Arbeitsverhältnis (angestellte Mitarbeiter) werden die Bewerberdaten nach dem Verstreichen einer Frist von 6 Monaten gelöscht. Die Mittteilung der Absage inkludiert in diesem Falle einen Hinweis auf die Frist von 6 Monaten. Die zweckbezogene Löschung erfolgt in allen Fällen in sämtlichen Medien bzw. Speicherorten (elektronisch, Papierform). Eine Aufbewahrung von Bewerbungen zum Zwecke der Evidenzhaltung erfolgt nicht.

Die Bewerbung (Insbesondere der curriculum vitae, übermittelte Zeugnisse, Befähigungsausweise, etc.) der ausgewählten Bewerberin/des ausgewählten Bewerbers wird in den entsprechenden Ordner Personal-/Mitarbeiter-/Trainer-/Funktionäre verschoben und bildet Grundlage des entsprechenden Aktes.

Blindbewerbungen werden – sofern diese nicht unmittelbare Berücksichtigung bei laufenden Bewerbungsverfahren finden können – gelöscht. Eine Evidenzhaltung erfolgt nicht.

Rechtsgrundlage Ergänzung: Vertragsvorbereitung Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Bewerber

 

Kategorien der verarbeiteten Daten

  • Nachname (Familie) (tlw. freiwillige Angabe von Eltern)
  • Vorname (Familie) (tlw. freiwillige Angabe von Eltern)
  • Führerscheindaten
  • Geburtsort
  • Straße (privat)
  • Ort (privat)
  • PLZ (privat)
  • Telefon Mobil
  • E-Mail-Adresse
  • Vorname
  • Nachname
  • Geburtsdatum

 

Organisatorische Maßnahmen

  • Postfach-Zugriff eingeschränkt (Es haben nur die Personen auf das Postfach Zugriff die für die Besetzung der Position zuständig sind.)

 

Buchführung

letzte Bearbeitung: 21.05.2018

Beschreibung:
Buchführung zum Zwecke der Erfassung der Geschäftsvorgänge zur Erfüllung der Anforderungen der §§ 20ff VerG (§21 Einnahmen- und Ausgabenrechnung, Vermögensübersicht, §22 Jahresabschluss – Bilanz, Gewinn- und Verlustrechnung).
Führung aller Aspekte der Buchführung in Excel-Form. Die Excel-Listen sowie alle dazugehörigen Belege (z.B. Belege Ausgaben, Belege Mitgliedsbeiträge = Einnahmen, etc.) gelangen direkt an die Kassierin des Vereins.
Je nach Beleg sind die unten angeführten Datenkategorien zur Gänze oder teilweise enthalten.

Rechtsgrundlage Ergänzung: Die Buchhaltung zur Erfüllung der gesetzlichen Verpflichtungen und zur Führung des Vereins (=vertragliche Verpflichtungen gegenüber Mitgliedern).

Auftragsverarbeiter

  • Auftragsverarbeiter Buchhaltung

 

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)
  • Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich (Art. 6 Abs. 1 Lit c)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Lieferanten, Geschäftspartner
  • Mitglieder
  • Trainer (Die Daten der Trainer sind auf den PRAEs enthalten, diese liegen in der Buchhaltung auf.)

 

Kategorien der verarbeiteten Daten

  • Geschlecht
  • PLZ (privat)
  • Ort (privat)
  • Straße (privat)
  • Geburtsdatum
  • Nachname
  • Vorname
  • Sozialversicherungsnummer (bei Trainern)

 

Technische Maßnahmen

  • Kasten versperrt (Die Unterlagen werden versperrt im Vereinsbüro aufbewahrt und sind nur dem Finanzreferenten sowie seiner Vertretung zugänglich.)

 

Mitgliederverwaltung

letzte Bearbeitung: 21.05.2018

Beschreibung:
Mitgliederverwaltung als Erfordernis der Vereinsführung, Erfüllung der Statuten, Erfüllung aller vereinsbezogenen Aufgaben und Verpflichtungen.
Führung der Mitgliederverwaltung in Form von Clubdesk (DSVGO zertifiziertes Programm). Die Rechtsgrundlage für diese Verarbeitungstätigkeit entspringt dem Mitgliedsvertrag = vertragliche Grundlage. Via einer Datenschutzvereinbarung am Beitrittsformular wird der Interessent vor Abschluss der Mitgliedschaft über Verarbeitungszwecke, verarbeitete Datenkategorien, Empfänger, Dauer der Datenspeicherung, etc. informiert. Zusätzlich erfolgt die Erteilung der Information nach den Art 13, 14 DSGVO im Detail über einen Datenschutzbutton auf der Webpage des Vereines.
Die Clubdesk-Datenbank ist passwortgeschützt. Zugriff hat folgender eingeschränkter Personenkreis:  Obmann, Finanzreferent, deren Stellvertreter und alle Trainer. Letzt genannte benötigen den Zugang um die Anmeldungen bei den Verbänden sowie diversen Turnieren durchzuführen
Nach Beendigung der Mitgliedschaft werden alle Daten – soweit kein Rückstand an Zahlungen (offener Mitgliedsbeitrag, Teilbeträge hiervon, sonstige berechtigte Forderungen des Vereins) seitens des Mitglieds besteht und die Daten auch nicht zur Geltendmachung, Ausübung oder Vermeidung von Rechtsansprüchen des Vereins benötigt werden –  nach Ablauf eines Jahres nach Austritt gelöscht. Diese Frist dient dem Vereinszweck und soll sicherstellen, dass die Abwicklung des Vertrages mit dem Mitglied und die damit zusammenhängenden Aufgaben gewährleistet ist. Im Falle des Bestehens offener Forderungen zum Zeitpunkt des Austritts beginnt der Fristablauf mit dem Zeitpunkt des Begleichens der offenen Zahlungen. Auf die einjährige Frist wird in der oben geschilderten Datenschutzerklärung gesondert hingewiesen.
Daten/Datensätze, die zur Erfüllung der gesetzlichen Anforderungen (z.B. Buchführung) benötigt werden, bleiben für die in den Materiengesetzen normierte Aufbewahrungsdauer gespeichert und werden anschließend gelöscht.
Ein Backup der Clubdeskdatenbank wird auf einem verschlüsselten USB-Stick/externe Festplatte abgelegt, welche der Obmann an seinem Wohnort aufbewahrt.

Rechtsgrundlage

  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

 

Kategorien der verarbeiteten Daten

  • Geschlecht
  • Tarifklasse
  • Austrittsdatum
  • Eintrittsdatum
  • Telefon Mobil
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Vorname
  • Nachname
  • Geburtsdatum
  • E-Mail-Adresse

 

Technische Maßnahmen

  • Zugriff eingeschränkt (Zugriff nur durch Obmann, Finanzreferent, deren Stellvertreter und alle Trainer)
  • Backup Datenbank (Verschlüsselter USB-Stick, Durchführung der Backups durch den Vereinsobmann)

 

Newsletter

letzte Bearbeitung: 21.05.2018

Beschreibung:
Allgemeine Informationen über das Vereinsgeschehen und das Sportprogramm, detaillierte Sparteninformationen, Informationen über Vereinsangebote, Kurse, Sportwochen und Sportfeste, Nützliches und Wissenswertes zu den Themen Sport, Gesundheit und gesundem Lebensstil.
Zwei Möglichkeiten der Anmeldung zum Newsletter: 1.) Website Verein, 2.) Anmeldeformular Vereinsbeitritt

ad 1.) Website:

Die Anmeldung zum Newsletter via Vereins-Website ist nicht nur für Mitglieder, sondern auch für Interessenten und alle anderen Besucher der Website möglich. Anmeldung ausschließlich per Double-Opt-In Verfahren. Information über Verarbeitungszwecke, verarbeitete Daten, Widerrufsbelehrung Art 21 Abs 4 vorhanden – zu den Formalitäten der Newsletter-Anmeldung siehe beigefügte Datei/beigefügtes Formular. Der Newsletter wird regelmäßig 1x monatlich versendet. Es erfolgt keine Weitergabe der Daten an Dritte. Die technische Abwicklung übernimmt der beauftragte Website-Dienstleister. Eine Abmeldung vom Newsletter ist jederzeit über die Vereins-Website möglich.

ad 2.) Anmeldung Newsletter über Vereinsanmeldeformular:

Extra angeführte Newsletter-Anmeldung auf Vereinsbeitrittsformular, Anmeldung durch Ankreuzen der entsprechenden Checkbox. Keine Koppelung zur Vereinsanmeldung bzw. zur Mitgliedschaft – die Mitgliedschaft zum Verein ist auch ohne Bezug des Newsletters möglich. Gleiche Formulierung wie online-Einwilligung Newsletter Bezug, zu den Formalitäten siehe ebenso in der Beilage.
Übergreifend:
In jedem Newsletter wird auf die Möglichkeit der Abmeldung via der Vereins-Website hingewiesen. Zusätzlich können Abmeldungen zum Newsletter jederzeit per E-Mail an den Verein gerichtet werden. Diese E-Mails werden von uns selbst, nicht durch den Websitebetreiber administriert.
Da der Newsletter personalisiert verschickt wird, wird das Geschlecht bei der Anmeldung dafür verpflichtend verlangt.

Auftragsverarbeiter

  • Auftragsverarbeiter Website

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder
  • Interessenten

 

Kategorien der verarbeiteten Daten

  • Nachname
  • Vorname
  • E-Mail-Adresse
  • Geschlecht

 

Technische Maßnahmen

  • Verschlüsselung personenbezogener Daten (wird vom Provider durchgeführt)
  • Online-Zugang beschränkt (Der Zugang zum Online-Newsletter System ist dem Pressereferenten des Vereins vorbehalten.)

 

Weitergabe Daten Fachverband

letzte Bearbeitung: 21.05.2018

Beschreibung:
Die Teilnahme am Leistungs- bzw. Wettkampfsport erfordert eine Weitergabe der personenbezogenen Daten an Sportfachverbände (z.B. Vorarlberger Volleyballverband, Österreichischer Volleyball Verband). Dies umfasst sowohl Landes- als auch Bundesfachverbände.
Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Fachverband ist in zwei Formen möglich:
1.) schriftliches Anmeldeformular des Fachverbands (Übermittlung per E-Mail oder am Postweg) inkl. Beilagen
2.) online-Tool des Fachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen
In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Fachverbandes sind auf der Website des Fachverbands (z.B. https://www.volley-ball.at;https://www.volleynet.at) abrufbar. Ein Widerruf der Datenweitergabe an den Fachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft (Ausnahme: dem Mitglied stehen beim Verein nur Wettkampf- bzw. Leistungssportsparten als Auswahl zur Verfügung), jedoch ist eine Weiterausübung des Wettkampf- bzw. Leistungssports nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Fachverband unverzüglich in Kenntnis setzen.
Übt ein Mitglied keinen Leistungs- bzw. Wettkampfsport aus, erfolgt keine Datenweitergabe.
Formalitäten:
Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.

Rechtsgrundlage Ergänzung:

Einwilligung im Zuge der Vereinsanmeldung, am Anmeldeformular, getrennt von anderen Zwecken, separate Checkbox.

 

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

 

Kategorien der verarbeiteten Daten

  • Vorname
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Nachname
  • Geschlecht
  • Geburtsdatum
  • Eintrittsdatum

 

Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden

  • Titel: ÖVV ; VVV

 

Weitergabe Daten Dachverband

letzte Bearbeitung: 21.05.2018

Beschreibung:
Die Teilnahme am Leistungs- bzw. Wettkampfsport sowie Gesundheitsprojekten, Ehrungen, Fortbildungen, etc erfordert eine Weitergabe der personenbezogenen Daten an Sportdachverbände (z.B. ASKÖ Österreich/Vorarlberg). Dies umfasst sowohl Landes- als auch Bundesdachverbände.
Die Weitergabe personenbezogener Daten/die Meldung des Mitglieds beim Dachverband ist in zwei Formen möglich:
1.) Weitergabe in elektronischer Form per E-Mail
2.) online-Tool des Dachverbands (Eintrag in Datenbank) inkl. Upload von Beilagen
In beiden Varianten umfassen die weitergegebenen Daten jeweils: Vor- und Nachname, Geburtsdatum, Geburtsort und -Land, Staatsbürgerschaft, Geschlecht, Wohnsitz, E-Mail-Adresse, Telefonnummer, Verein, Reisepass- bzw. Personalausweiskopie und Meldezettelkopie. Die Datenschutz-Bestimmungen des jeweiligen Dachverbandes sind auf der Website des Dachverbands (z.B. http://www.askoe.at/de) abrufbar. Ein Widerruf der Datenweitergabe an den Dachverband führt nicht automatisch zur Beendigung der Vereinsmitgliedschaft, jedoch ist eine Weiterausübung des Sports oft nur mehr sehr eingeschränkt bis gar nicht mehr möglich. Von einem allfälligen Widerruf wird der Verein den betroffenen Dachverband unverzüglich in Kenntnis setzen.
Formalitäten:
Einwilligung/Zustimmungserklärung zur Datenweitergabe an Dach- und Fachverbände am Einwilligungsformular. Siehe Beilage.
Rechtsgrundlage Ergänzung:
Einwilligung im Zuge der Vereinsanmeldung, am Anmeldeformular, getrennt von anderen Zwecken, separate Checkbox.

Rechtsgrundlage

  • Einwilligung (Art. 6 Abs. 1 lit. a)
  • Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b)

 

Sensible Daten nach DSGVO Art. 9

  • nein

 

Datenschutzfolgeabschätzung durchgeführt?

  • nein, da keine hohen Risiken für Rechte und Freiheiten der Betroffenen

 

Kategorien der betroffenen Personen

  • Mitglieder

 

Kategorien der verarbeiteten Daten

  • Vorname
  • Straße (privat)
  • PLZ (privat)
  • Ort (privat)
  • Nachname
  • Geschlecht
  • Geburtsdatum
  • Eintrittsdatum

 

Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden

  • Titel: Bundesdachverband ASKÖ Österreich
  • Titel: Landesdachverband ASKÖ Vorarlberg

 

Allgemeine technische und organisatorische Maßnahmen

Vorhanden? Umgesetzt? Wenn nein, warum nicht?
Ist eine IT-Systemdokumentation vorhanden? JA
Ist eine Hardware-Firewall vorhanden? JA
Ist die Windows Firewall aktiv? JA
Erfolgt der Remotezugriff über VPN? NEIN Da die Verwaltung auf einer HP erfolgt
Computer mit Passwörter geschützt? JA
Windows Updates aktuell? JA
Sichere Passwörter E-Mails? JA
Mobile Geräte mit Passwort versehen? JA
Dokumente auf Firmenhandy abgelegt? NEIN
Verpflichtungserklärung Mitarbeiter Datengeheimnis? JA
Virenschutz vorhanden und aktuell? JA
Versperrbarkeit sensibler Unterlagen? JA
Bildschirmschoner mit Passwort-Sperre? JA
Werden die Computer beim Verlassen des Büros heruntergefahren? JA
Werden nicht mehr benötigte Datenträger physisch zerstört? JA
Wird Altpapier geschreddert? JA
Standards, wenn Mitarbeiter aus dem Unternehmen ausscheiden,
festgelegt und unterzeichnet?
NEIN Diese Daten werden gelöscht allerdings
wird dazu kein Vertrag unterzeichnet
Passwort-Richtlinie für EDV Systeme vorhanden? Nein Obliegt der Eigenverantwortung
Unterschiedliche Passwörter für Computer und Mails vorhanden? NEIN Obliegt der Eigenverantwortung
PW-Änderung alle 365 Tage? JA
Software-Updates regelmäßig durchgeführt? JA
Sicherheitsrichtlinie für mobile Geräte (Handy, Tablet) vorhanden? JA
Cloud-Speicher (keine privaten Accounts)? NEIN
Cloud-Speicher rechtlich OK (DSGVO)?
Sensibilisierung der Mitarbeiter für Viren-Mails / Phishing Mails? JA
Notfallplan für Virenbefall? NEIN
WLAN Sicherheit (Passwort, Verschlüsselung, ev. Gäste-WLAN)? JA
Backup Strategie? JA USB bei Vereinsobmann
Aufbewahrung der Backup-Datenträger? JA USB Vereinsobmann
Schlüsselverwaltung schriftlich dokumentiert? JA Bei Kassier verschlossen