Datenschutzerklärung des Vereins Zukunft für Bweyas Kinder e.V. (ZBK)
©Rainer Finken SAP Berater
Version 1.0
1 Geltungsbereich
Diese Datenschutzerklärung bezieht sich auf die Erhebung und Verarbeitung personenbezogener Daten durch den Verein Zukunft für Bweyas Kinder e.V. Insbesondere erfordern diejenigen Daten eine besondere Aufmerksamkeit, die in digitalen Systemen gespeichert und ausgewertet werden.
Verantwortlich ist der Vorstand des Vereins.
Sitz des Vereins:
Bussardweg 11
D-23795 Bad Segeberg
+49 4551 999071
+49 151 51120346
rainer.finken(at)zbk-ev.de
Uns ist ein respektvoller, transparenter und sparsamer Umgang mit den Daten aller mit dem Verein verbundener Personen, wichtig. Mit dieser Erklärung informieren wir Sie, welche personenbezogenen Daten wir verarbeiten, und wir klären Sie über Ihre Rechte und unsere Pflichten auf.
Wir erheben und verarbeiten personenbezogene Daten der folgenden Personengruppen:
- Website-Besucher
- Newsletter-Empfänger
- Spender
- Paten
- Mitglieder von Zukunft für Bweyas Kinder e.V.
- Lieferanten
- Mitarbeiter von Children Safe Uganda
- Ugandische Kinder
Grundsätzlich geben wir keine personenbezogenen Daten weiter, es sei denn, Sie haben ausdrücklich eingewilligt, es ist notwendig zur Vertragserfüllung oder es bestehen rechtliche Verpflichtungen uns gegenüber. (Vgl. 3.2 Weitergabe an Dritte)
Als Verarbeitungstechnik nutzen wir eine individuell entwickelte Serverdatenbank namens BweyaSoft für die Verwaltung sowie WordPress für Veröffentlichungen. Alle Benutzer dieser Systeme haben einen auf das notwendige Maß beschränkten Zugriff auf die Daten. Die Benutzer sind ehrenamtliche Mitarbeiter des Vereins „Zukunft für Bweya Kinder e.V.“ hauptamtliche Mitarbeiter unserer Partnerorganisation „Children Safe Uganda“ sowie hauptamtliche Mitarbeiter der Firma „Rainer Finken SAP Berater“ als Hersteller der Software.
Die ugandischen Benutzer können lesend auf Namen, Vornamen und Kontakt-ID der Paten zugreifen. Die Vertragsbedingungen einer Patenschaft enthalten die ausdrückliche Einwilligung der Paten zu dieser Vorgehensweise.
Gerne stehen wir für Ihre Fragen zur Verfügung. Darüber hinaus verweisen wir Sie auf die Möglichkeit, sich an eine Aufsichtsbehörde zu wenden.
2 Ihre Rechte – unsere Pflichten
Sind Rechte und Pflichten nicht durch andere gesetzliche Maßnahmen beschränkt, die die Grundrechte und Freiheiten achten und eine geeignete und notwendige Maßnahme darstellt, haben Sie als betroffene Person, deren personenbezogenen Daten wir verarbeiten, die im Folgenden erläuterten Rechte.
Beschränkungen können sich zum Beispiel auf gesetzlich steuerrechtlichen Aufbewahrungspflichten, den Schutz nationaler oder öffentlichen Sicherheit beziehen. Diese Beschränkungen müssen einen Bezug aufweisen können. (vgl. 3.3 Beschränkungen)
2.1 Auskunft – Artikel 15 DSGVO
Sie haben das Recht auf eine Bestätigung, ob wir Personenbezogene Daten von Ihnen verarbeiten. Voraussetzung ist, dass keine begründeten Zweifel an Ihrer Identität bestehen.
Sie können eine Kopie aller von uns erhobenen personenbezogenen Daten anfordern, sofern dadurch keine Rechte und Freiheiten anderer Personen beeinträchtigt werden. (Vgl. 3.4 Auskunftsrecht über folgende Informationen, sie betreffende personenbezogene Daten)
2.2 Berichtigung und Vervollständigung – Artikel 16 DSGVO
Sollten Ihre Daten unrichtig/unvollständig sein, können Sie die unverzügliche Korrektur/Ergänzung fordern.
2.3 Löschung – Artikel 17 DSGVO
Sofern keine gesetzlichen Beschränkungen gemäß Artikel 17 Absatz 3 DSGVO gelten, können Sie in folgenden Fällen die unverzügliche Löschung verlangen:
- Der Zweck, für den Ihre personenbezogenen Daten erhoben/verarbeitet wurden, ist entfallen.
- Widerruf Ihrer Einwilligung
- Fehlen einer anderweitigen Rechtsgrundlage für die Verarbeitung[1]
- Widerspruch gegen die Verarbeitung sofern keine vorrangig berechtigten Gründe für die Verarbeitung vorliegen (vgl. Artikel 21 Abs. 1)
- Widerspruch gegen die Nutzung für Direktwerbung (vgl. Artikel 21 Absatz 2)
- Unrechtmäßige Verarbeitung Ihrer Daten
- Fehlen der Einwilligung durch den Träger der elterlichen Verantwortung bei Personen unter 16 Jahren (vgl. Artikel 8 Absatz 1)
(vgl. 3.5 Beschränkung Recht auf Löschen)
2.4 Einschränkung der Verarbeitung – Artikel 18 DSGVO
Sie haben das Recht eine Einschränkung der der Verarbeitung von uns zu verlangen. In diesem Fall dürfen wir ihre personenbezogenen Daten nur mit Ihrer Einwilligung, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeiten. Bevor wir die Einschränkung aufheben, haben wir die Pflicht, Sie darüber zu unterrichten.
In folgenden Fällen haben Sie das Recht eine Einschränkung der Verarbeitung von uns zu verlangen:Sie bestreiten die Richtigkeit der personenbezogenen Daten. In diesem Fall ist die Verarbeitung solange eingeschränkt, die es uns ermöglicht, die Richtigkeit der Daten zu überprüfen.
- Sollte die Verarbeitung unrechtmäßig sein und sie die Löschung der personenbezogenen Daten abgelehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt haben.
- Falls wir die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigen, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.
- Sie gegen die Verarbeitung gemäß Artikel 21 Absatz 1 Widerspruch eingelegt haben und es nicht feststeht, ob die berechtigten Gründe unsererseits gegenüber Ihren überwiegen.
2.5 Datenübertragbarkeit – Artikel 20 DSGVO
Sie haben das Recht, die sie betreffenden personenbezogenen Daten von uns in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und einem anderen Verantwortlichen ohne Behinderung unsererseits zu übermitteln, sofern
- Die Verarbeitung auf einer Einwilligung [2] oder auf einen Vertrag[3] beruht.
- Die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Sie haben das Recht, unter möglicher technischer Voraussetzung, dass die personenbezogenen Daten direkt von uns an einen anderen Verantwortlichen übermittelt werden.
Das Recht auf Löschung bleibt unberührt.
Ausgeschlossen wird das Recht, wenn die Verarbeitung im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die uns übertragen wurde. Außerdem darf dieses Recht die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
2.6 Widerspruch – Artikel 21 DSGVO
Spätestens zum Zeitpunkt der ersten Kommunikation mit Ihnen als betroffene Person, weisen wir sie ausdrücklich auf das Recht des Widerspruchs in einer verständlichen und von anderen Informationen getrennten Form hin.
Ergeben sich besondere Gründe aus Ihrer Situation, haben Sie das Recht gegen die Verarbeitung sie betreffender personenbezogener Daten, beruhend auf die Rechtmäßigkeit der Verarbeitung, Widerspruch einzulegen. Dies gilt auch auf gestütztes Profiling.
Sofern wir keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen können, die die Interessen, Rechte und Freiheiten der betroffenen Personen überwiegen oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient, verarbeiten wir ihre personenbezogenen Daten nicht mehr.
Im Falle einer Verarbeitung für Direktwerbung haben Sie als betroffene Person jederzeit das Recht Widerspruch gegen die Verarbeitung zum Zwecke derartiger Werbung einzulegen, einschließlich Profilinig, soweit es mit solcher Direktwerbung in Verbindung steht.
In diesem Fall werden die personenbezogenen Daten nicht mehr zu diesem Zwecke verarbeitet.
Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft können Sie ungeachtet der Richtlinie 2002/58/EG Ihr Widerspruchsrecht mittels automatisierte Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einlegen, es sei denn die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
2.7 Widerruf einer Einwilligung
Sie haben jederzeit das Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der Einwilligung bis zum Zeitpunkt des Widerrufs bleibt dabei unberührt.
Nach Eingang des Widerrufs, der formlos telefonisch, per Email oder an unsere Postadresse gesandt erfolgen kann, wird die Datenverarbeitung, die ausschließlich auf Ihrer Einwilligung beruhte, eingestellt.
2.8 Beschwerde
Sollten sie der Ansicht sein, wir haben gegen die DSGVO verstoßen, haben Sie die Möglichkeit sich bei einer Aufsichtsbehörde zu beschweren. Dies kann zum Beispiel eine Behörde am Ort Ihres Aufenthalts, Ihres Arbeitsplatzes oder der Ort des Datenschutzverstoßes sein.
2.9 Datensicherheit
Um alle Daten bestmöglich zu sichern, setzen wir, in einem uns möglichen Rahmen, Maßnahmen ein. So werden zum Beispiel die Daten auf einem externen Server gespeichert, welche wöchentlich gesichert werden. Die Datenübertragung findet stets verschlüsselt statt.
Wir möchten Sie aber darauf hinweisen, dass Sie persönlich auch Einfluss auf die Sicherheit Ihrer Daten haben können, indem Sie zum Beispiel Ihren Browser sicher einstellen, Ihre Passwörter gut pflegen, auf Verschlüsselungen achten und die Betriebssystemeinstellungen beachten.[4]
3 Weiterführende Informationen
3.1 Grundsätze
Die Informationen über die Verarbeitung personenbezogener Daten und deren Grundsätzen finden sich in Artikel 4 und 5 DSGVO wieder. Demnach sind „Personenbezogene Daten“ alle Informationen, die sich auf eine Identifizierte oder
Identifizierbare Person (im Folgenden „betroffene Person“ genannt) beziehen. Personen können direkt oder indirekt identifiziert werden. „Verarbeitung“ ist der Vorgang, sobald diese Daten mit oder ohne Hilfe automatisierter Verfahrenerfasst, organisiert, geordnet, gespeichert, angepasst oder verändert,
- ausgelesen, abgefragt, verwendet, durch Übermittlung offengelegt, verbreitet oder
- in einer anderen Form bereitgestellt, abgeglichen, verknüpft, aber auch eingeschränkt, gelöscht oder vernichtet werden.
Wir verarbeiten Personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent. Dies geschieht zweckmäßig
und beschränken wir auf das notwendige Maß. Wir beachten den Grundsatz der Richtigkeit, wir löschen oder berichtigen fehlerhafte Daten unverzüglich. Wir speichern die Daten nur so lange, wie es die Zwecke erfordern. Wir verarbeiten
die Daten so, dass eine angemessene Sicherheit durch geeignete technische und organisatorische Maßnahmen gewährleistet ist (einschließlich Schutz vor unbefugter und unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung).
3.2 Weitergabe an Dritte
Personenbezogene Daten werden nur an Dritte übermittelt, wenn
- die betroffenen Personen ausdrücklich eingewilligt haben, oder
- die Weitergabe erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und kein Grund zur Annahme besteht, dass die betroffene Person ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe ihrer Daten hat, oder
- wir dazu gesetzlich verpflichtet sind, oder
- es notwendig ist, um den Vertrag mit der betroffenen Person zu erfüllen.
3.3 Beschränkungen
Beschränkungen ihrer Rechte beziehen sich auf Artikel 23 DSGVO.
Ist die Verarbeitung in folgenden Fällen erforderlich, gelten Ihre Rechte auf Löschung nicht:
3.4 Auskunftsrecht
Sie haben das Auskunftsrecht über folgende Informationen: Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet werden
- Die Empfänger oder Kategorien von Empfängern, gegenüber denen wir ihre Daten offenlegen oder offenlegen werden (zum Beispiel Drittländer oder internationale Organisationen)
- Falls möglich über die geplante Dauer der Speicherung
- Recht auf Berichtigung oder Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen diese Verarbeitung
- Beschwerderecht bei einer Aufsichtsbehörde
- Herkunft der Daten
- Ob eine automatisierte Entscheidungsfindung stattfindet, inklusive Profiling
- Bei Übermittlung in Drittländern: Unterrichtung über geeignete Garantien des Drittlandes
3.5 Datensicherheit
Gemäß Artikel 25 DSGVO sind wir verpflichtet datenschutzfreundliche Voreinstellungen zur Verfügung zu stellen, um durch einen System- und Selbstdatenschutz das Risiko von Datenmissbrauch zu minimieren.
Die Datenbank BweyaSoft ist durch ein striktes Berechtigungskonzept vor fremden Zugriff geschützt. Gleiches gilt für die Website www.zbk-ev.de, die mit WordPress erstellt wird. Vor der Veröffentlichung ihrer Inhalte können nur wenige Bearbeiter kennwortgeschützt darauf zugreifen.
4 Glossar
Auftragsverarbeiter
„Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“ Quelle: Artikel 4 Nr. 8 DSGVO
Dritte
„Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiter befugt sind, die personenbezogenen Daten zu verarbeiten;“ Quelle: Artikel 4 Nr. 10 DSGVO
Identifizierbare Person
Identifizierbar ist eine Person, wenn die Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen. Entscheidend für das Merkmal der Identifizierbarkeit ist, dass eine vorhandene Information als solche für die Identifizierung nicht ausreicht, sondern diese vielmehr erst durch die Zuhilfenahme und Verknüpfung mehrere Informationen miteinander ermöglicht wird.
Identifizierte Person Identifiziert ist eine Person, wenn ohne Schwierigkeiten die Identität der Person aus der Information selbst ermittelt werden kann; eine Person kann als identifiziert gelten, wenn keine zusätzlichen Informationen mehr notwendig sind, um die Person zu identifizieren.
Personenbezogene Daten
Alle Informationen, die erhoben werden, um eine Person zu identifizieren oder identifizierbar zu machen.
Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;“ Quelle: Artikel 4 Nummer 4 DSGVO
Pseudonymisierung
„die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ Quelle: Artikel 4 Nummer 5 DSGVO Im Rahmen einer Pseudonymisierung kann die betroffene Person unter Hinzuziehung von gesondert aufbewahrten oder gegebenenfalls öffentlich zugänglichen Informationen wieder identifiziert werden. Im Gegensatz zur Identifizierung im Falle einer Anony-misierung, die nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
Verantwortlicher
„Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“ Quelle: Artikel 4 Nr. 7 DSGVO
[1] Gestützt darauf, dass Sie eine Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben und die Rechtsgrundlage durch das Unionsrecht festgelegt wurde.
[2] gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a
[3] gemäß Artikel 6 Absatz 1 Buchstabe b
[4] Siehe Weiterführende Informationen „Datensicherheit“