Datenschutz

Regelungen zur Auftragsdatenverarbeitung nach § 11 BDSG und EU-DSGVO

zwischen dem Besucher dieser Internetseite im folgenden Interessent genannt und dem Segelflugverein Hoya von 1931 e.V., Schluttweg 1 27318 Hoya (Weser),  im folgenden Verein genannt.

1. Gegenstand der Vereinbarung

Der Verein erhebt und speichert im Rahmen der Bereitstellung der webbasierten Datenverarbeitungslösung (Homepage mit der URL: sfv-hoya.de) personenbezogene Daten ausschließlich zur Erfüllung der Vereinsaufgaben. Gegenstand der Vereinsaufgaben sind die komplette Verwaltung eines Flugsportvereins. Im Rahmen der Systembetreuung oder Wartung kann der Verein dabei mit personenbezogenen Daten des Interessenten in Berührung kommen. Die Verarbeitung beruht auf den hier aufgeführten Regelungen.

Zielgruppe für die Nutzung von dieser webbasierten Datenverarbeitungslösung sind Flugsportinteresierte Personen und Vereinsmitglieder. Die webbasierte Datenverarbeitungslösung führt die Bereitstellung der Anwendung zur Erhebung, Verarbeitung und Nutzung von Daten aus.

2. Dauer der Datenspeicherung

Automatisch durch die EDV Systeme generierte Interessentendaten (z.B. IP Adresse, Verwendeter Browser, Bildschirmauflösung, etc.) werden ab dem Zeitpunkt der eingabe der URL „sfv-hoya.de“ gespeichert und spätestens mit einem Update der webbasierten Datenverarbeitungslösung wieder gelöscht. Personenbezogene Interessentendaten werden ausschließlich nach dem Absenden des endsprechenden Kontaktformulares in dessen Datenfelder die personenbezogenen Daten eingetragen worden sind gespeichert und jederzeit auf Wunsch des Interessenten oder spätestens mit einem Update der webbasierten Datenverarbeitungslösung wieder gelöscht.

Der Interessent kann jederzeit ohne Einhaltung einer Frist die löschung seiner gespeicherten Daten verlangen. Insbesondere, wenn ein schwerwiegender Verstoß des Vereins gegen Datenschutzvorschriften oder die hier aufgeführten Bestimmungen vorliegen, der Verein eine Weisung des Interessenten nicht ausführen kann oder will oder der Verein Kontrollrechte des Interessenten entgegen dieser oder gesetzlicher Regelungen verweigert.

3. Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

Daten zur internen Auftragsbearbeitung Bei Absenden des Kontaktformulares für am Flugsport interessierte Personen in der Rubrik Ausbildung erfassen wir die folgenden Interessentendaten: Vorname, Nachname, Wohnort, e-Mail Adresse, Telefonnummer, Geburtstag, Anmerkungen, Komentar. Diese Daten werden ausschließlich für die Wahrnehmung der Vereinsaufgaben verwendet.

Kreis der Betroffenen: Alle Besucher dieser webbasierten Datenverarbeitungslösung die das Kontaktformular im Bereich Ausbildung ausgefüllt und abgesendet haben.
Dauer der Datenspeicherung: Die Daten werden spätestens mit Ablauf des auf die Beendigung der Vereinsmitgliedschaft folgenden Kalenderjahres oder nach einem Update der webbasierten Datenverarbeitungslösung gelöscht, sofern dem im Einzelfall nicht besondere Gründe entgegenstehen. Solte sich aus dem Interesse am Verein und der Kontaktaufnahme keine Vereinsmitgliedschaft entwickeln werden die gesammelten Daten spätestens mit Ablauf eines Kalenderjahres nach der Kontaktaufnahme oder nach einem Update der webbasierten Datenverarbeitungslösung gelöscht. Ferner können Daten bis zum Ablauf von zwei Jahren gespeichert bleiben, sofern Beschwerdebearbeitungen sowie sonstige Gründe einer ordnungsgemäßen Abwicklung dieser Regelungen dies erfordern. Im Übrigen darf die Löschung von Daten unterbleiben, soweit dies gesetzliche Regelungen vorsehen oder die Verfolgung von Ansprüchen dies erfordert.
Zugriffsdaten / Server-Logfiles: Der Verein / der vom Verein eingesetzte Internethoster speichert in Serverlogfiles Daten über jeden Zugriff auf die webbasierte Datenverarbeitungslösung. Zu den Zugriffsdaten gehören: Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp/Version, das Betriebssystem des Nutzers und IP-Adresse. Der Verein verwendet die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung der webbasierten Datenverarbeitungslösung. Der Verein behält sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.
Cookies: Cookies sind kleine Dateien, die es ermöglichen, auf dem Zugriffsgerät der Interessenten (PC, mobile Endgeräte) spezifische, auf das Gerät bezogene Informationen zu speichern. Sie dienen zum einem der Benutzerfreundlichkeit von Webseiten und damit den Interessenten. Zum anderen dienen sie, um die statistischen Daten der Webseitennutzung zu erfassen und sie zwecks Verbesserung des Angebotes analysieren zu können. Die Interessenten können auf den Einsatz der Cookies Einfluss nehmen. Die meisten Browser verfügen eine Option mit der das Speichern von Cookies eingeschränkt oder komplett verhindert wird. Der Verein verwendet Cookies um die Session Informationen der an der webbasierten Datenverarbeitungslösung angemeldeten Interessenten zu speichern.

4. Technische und organisatorische Maßnahmen nach § 9 BDSG Für die auftragsgemäße Verarbeitung personenbezogener Daten nutzt der Verein / dessen Internethoster schwerpunktmäßig folgende DV-Technik und Softwareprodukte: – mit SSL verschlüsselte Datenübertragung zwischen Interessent und Server – ein detailliertes Rechtesystem – PHP in der jeweils aktuellen Fassung – mysql-Datenbank in der jeweils aktuellen Fassung
Die Daten werden 14 tägig gesichert und auf einem gespiegelten Serversystem (RAID) gespeichert. Der Verein / dessen Internethoster erfüllt die Anforderungen an die Datensicherung gemäß den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnologie)
Der Verein / dessen Internethoster beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Die Datensicherheitsmaßnahmen beim Verein / dessen Internethoster können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind vom Verein / dessen Internethoster mit dem Interessenten schriftlich abzustimmen.

5. Regelungen zur Berichtigung, Löschung und Sperrung von Daten:
Der Verein hat personenbezogene Daten des Interessenten zu berichtigen, zu löschen oder zu sperren, wenn der Interessent dies mittels einer Weisung verlangt und berechtigte Interessen des Vereins dem nicht entgegenstehen.

6. Pflichten des Vereins:
(1) Der Verein verarbeitet personenbezogene Daten ausschließlich wie hier / in einer gesondert handschriftlich zu unterzeichnenden Vereinbarung vereinbart oder wie vom Interessenten angewiesen, es sei denn, der Verein ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Verein diese dem Interessenten vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Verein verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen Zwecke.
(2) Der Verein bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
(3) Der Verein verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
(4) Personen, die Kenntnis von den verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich / vertraglich einer einschlägigen Geheimhaltungspflicht unterliegen.
(5) Der Verein sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieser Regelungen vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Verein trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
(6) Im Zusammenhang mit der beauftragten Verarbeitung hat der Verein den Interessenten bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen.Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Interessenten auf Anforderung unverzüglich zuzuleiten.
(7) Wird der Interessent durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Verein gemäß den gesetzlichen Regelungen die Aufsichtsbehörden oder andere Stellen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung der Daten davon betroffen ist.
(8) Auskünfte an Dritte oder den Betroffenen darf der Verein nur nach vorheriger schriftlicher Weisung oder schriftlicher Zustimmung durch den Interessenten erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Interessenten weiterleiten.
(9) Soweit gesetzlich verpflichtet, bestellt der Verein eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Interessent direkt an den Datenschutzbeauftragten wenden. Der Verein teilt dem Interessenten unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innervereins Aufgaben des Beauftragten teilt der Verein dem Kunden unverzüglich mit.
(10) Die Auftragsverarbeitung erfolgt ausschließlich und dauerhaft in Deutschland. Jegliche Verlagerung in ein Drittland darf nur mit schriftlicher Zustimmung des Interessenten und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieser Regelungen erfolgen.
(11) Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Interessenten abzustimmen. Soweit die beim Verein getroffenen Sicherheitsmaßnahmen den Anforderungen des Interessenten nicht genügen, benachrichtigt er den Interessenten unverzüglich.
(12) Der Verein / dessen Internethoster protokolliert alle Datenzugriffe und speichert das Zugriffsprotokoll unter Berücksichtigung der geltenden gesetzlichen Regelungen.
(13) Werden unberechtigte Zugriffe registriert informiert der Verein unverzüglich den Interessenten.
(14) An der Aufklärung unberechtigter Zugriffe oder Zugriffsversuche hat der Interessent mitzuwirken. Er hat die erforderlichen Angaben dem Verein zuzuleiten.
(15) Der Verein wird den Interessenten unverzüglich darauf aufmerksam machen, wenn eine vom Interessenten erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Verein ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie amtlich nachgewiesen, bestätigt oder geändert wird.
(16) Der Verein erklärt sich damit einverstanden, dass der Interessent – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Sicherheitskontrollen vor Ort.

7. Unterauftragsverhältnisse:
Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Interessenten ist nur zugelassen, wenn der Verein Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Verein dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von § 9 BDSG sorgfältig auswählt. Der Verein hat vertraglich sicherzustellen, dass diese Regelungen zwischen Interessenten und Verein auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Vereins und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Interessent berechtigt sein, angemessene Kontrollen vor Ort bei Subunternehmern durchzuführen oder durch beauftragte Dritte durchführen zu lassen. Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach § 11 BDSG erfüllt hat.
Zurzeit sind für den Verein ausschließlich folgende Unternehmen/Rechenzentren für die Speicherung und Sicherung der Daten tätig: domainfactory GmbH, Oskar-Messter-Str. 33, 85737 Ismaning, Rechenzentrum Köln
STRATO AG, Pascalstraße 10, 10587 Berlin (Datenschutzinformationen von Strato Teil I)(Datenschutzinformationen von Strato Teil II )
Mit deren Beauftragung erklärt sich der Kunde einverstanden.
Leistungsmerkmale der verwendeten Rechenzentren:
Das Netzwerk des vom Verein eingesetzten Subunternehmers (Internethoster) und verwendeten Rechenzentrums verfügt über direkte Anbindungen an den DECIX-Knotenpunkt in Frankfurt, den INXS-Knotenpunkt in München sowie zu den Carriern euNetworks Managed Services GmbH und TeliaSonera. Über den Betrieb eines eigenen 10 Gbit Backbones erfolgt darüber hinaus ein Peering mit diversen weiteren Providern.
Die Server werden mit Linux-/Apache betrieben, wobei eine modifizierte Gentoo-Distribution mit aktuellen Paketen im Einsatz ist.
Es werden ausschließlich RAID-Systeme in den Servern verwendet. Hierbei werden die Daten auf mehreren Festplatten gespiegelt und sind somit bei einem etwaigen Hardwaredefekt weitgehend vor Datenverlust geschützt.
Des Weiteren werden täglich Backups der Daten durchgeführt und diese diese drei Tage lang vorgehalten, um beispielsweise bei einer irrtümlichen Löschung durch Anwender die Daten umgehend wiederherstellen zu können.
Das verwendete moderne Hochsicherheits- und Hochleistungs-Rechenzentrum in Köln genügt höchsten Anforderungen an ein professionelles, modernes Rechenzentrum. Neben obligatorischen Sicherheitsmerkmalen wie Video-Überwachung und Zugangskontrollen verfügt das Rechenzentrum über eine mehrfach redundante Anbindung, um eine optimale Ausfallsicherheit realisieren zu können:
geschützte Lage unter der Erde, unterbrechungsfreie Video-Überwachung der Außen- und Innenräume, Zugangskontrolle mittels personalisierter Kennkarten, Netzwerküberwachung rund um die Uhr, vollklimatisierte Räume mit modernsten Luftzirkulationseinrichtungen, redundante Stromzuführungen in die Gebäude, unterbrechungsfreie / redundante Stromversorgung, Notstromversorgung mittels mehrerer Dieselgeneratoren, Einsatz präventiver Brandschutzsicherungen, direkte Anbindung an den DECIX-Knotenpunkt, direkte Anbindung an das Lambdanet-Netzwerk, direkte Anbindung an den INXS-Knotenpunkt München, direkte Anbindung an TeliaSonera.
Die Systeme sind soweit wie möglich gegen Ausfälle abgesichert. Aufgrund der Struktur des Internets kann eine 100%ige Verfügbarkeit leider nicht garantiert werden. Der vom Verein eingesetzte Subunternehmer steht jedoch für eine optimale Ausfallsicherheit und Redundanz der Systeme und garantiert dem Verein eine stabile, schnelle und professionelle Anbindung mit einer Verfügbarkeit von 99,9 Prozent im Jahresmittel.

8. Rechte und Pflichten sowie Weisungsbefugnisse des Kunden:
Für die Beurteilung der Zulässigkeit der Datenerhebung / -verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Interessent verantwortlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Interessent und Verein abzustimmen und schriftlich festzulegen. Der Interessent erteilt alle Aufträge oder Teilaufträge in der Regel schriftlich. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Der Interessent ist berechtigt, sich wie unter Nr. 6 festgelegt vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Verein getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Der Interessent informiert den Verein unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Regelungen feststellt. Der Interessent ist verpflichtet, alle im Rahmen dieser Regelungen erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Vereins vertraulich zu behandeln.

9. Mitteilungspflichten des Vereins:
(1) Der Verein teilt dem Interessenten Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Vereins vom relevanten Ereignis an eine vom Interessenten benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d. eine Beschreibung der vom Verein ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Vereins oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder diese Regelungen.
(3) Der Verein informiert den Interessenten unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
(4) Der Verein sichert zu, den Interessenten bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

11. Verpflichtungen des Auftragnehmers nach Kündigung der Mitgliedschaft:
Nach Kündigung der Mitgliedschaft hat der Verein sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit diesen Regelungen stehen datenschutzgerecht zu löschen bzw. zu vernichten. Die Löschung bzw. Vernichtung wird dem Kunden mit Datumsangabe per Email bestätigt.

12. Haftung:
Der Verein haftet dem Interessenten für Schäden, die der Verein, seine Mitglieder bzw. die von ihm mit der durchführung dieser Regelungen Beauftragten schuldhaft verursachen und dem Interessenten hierdurch ein nachgewiesener wesentlicher wirtschaftlicher Schaden endstanden ist. Für den Ersatz von Schäden, die ein Interessent wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen dieser Regelungen erleidet, haftet der Verein mit einem maximalen Betrag in Höhe von sechs Monatsbeiträgen einer Vollmitgliedschaft.

13. Sonstiges:
Für Nebenabreden ist die Schriftform erforderlich. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Interessenten verarbeiteten Daten ausgeschlossen. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Hoya, den 26.02.2018