Datenschutz
Vereinbarung über die gemeinsame
Verarbeitung von Daten in Overso
Als Administrator (z.B. Vereinsadministrator) haben Sie eine besondere Aufgabe und Verantwortung. Sie sollten mindestens 16 Jahre alt sein um Overso in der Rollen „Administrator“ zu nutzen.
Sie müssen bei der Registrierung korrekte und vollständige Informationen angeben, um sich für ein Konto zur Nutzung in Overso zu registrieren. Für die Registrierung benötigen Sie eine gültige E-Mail- Adresse, welche per Mail-Link freigegeben wird. Diese E-Mail-Adresse wird zur Kommunikation in Overso verwendet. Sie dürfen Ihre Zugangsdaten nicht weitergeben oder Ihr Konto einer anderen Person zugänglich machen und sind für alle Aktivitäten verantwortlich, die unter Ihrem Konto stattfinden. Wenn Sie im Namen einer anderen natürlichen oder juristischen Person ein Konto erstellen oder Overso nutzen, müssen Sie berechtigt sein. Sie können auf Overso zugreifen und den Dienst nutzen unter der Voraussetzung, dass Sie diese Bedingungen einhalten. Bei der Nutzung von Overso müssen Sie alle geltenden Gesetze und Richtlinien einhalten. Sie dürfen Overso nicht für illegale, schädliche oder missbräuchliche Aktivitäten nutzen zum Beispiel das die Rechte anderer verletzt oder missbraucht.
Einverständniserklärung zur Datenverarbeitung der durch den Administrator angelegten Personen
In OVERSO werden personenbezogene Daten wie Namen, E-Mail-Adressen und Wohnorte gespeichert. Für die Verarbeitung (etwa eine Eintragung oder Änderung) dieser Daten ist das Einverständnis der jeweils betreffenden Person nötig. Als Administrator:in liegt es in Ihrer Verantwortung, dieses Einverständnis von bestehenden sowie zukünftigen Vereinsmitgliedern einzuholen. Zur Vereinfachung des Vorgangs finden Sie dafür bei Bedarf in der OVERSO-Hilfe einen Vordruck über die Einwilligung zur Datenverarbeitung, den Chormitglieder unterschreiben können – bei einer Neuaufnahme idealerweise direkt zusammen mit dem Aufnahmeantrag.
Wir im Deutschen Chorverband respektieren die Privatsphäre und sind nachdrücklich bemüht, alle Daten, die wir von Ihnen oder über Sie erhalten, zu schützen.
Vereinbarung über die gemeinsame
Verarbeitung von Daten in Overso
1. Gegenstand dieser Vereinbarung
1.1. Der DCV betreibt zusammen mit den Mitgliedsvereinen die Verbandssoftware OVERSO, in der die personenbezogenen Daten der Funktionsträger, Mitglieder und Sänger der Mitgliedsvereine und des DCV verarbeitet werden. Diese Vereinbarung regelt die diesbezügliche datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO).
1.2. Der DCV und die Mitgliedsvereine sind für die Datenverarbeitung im Rahmen der OVERSO-Software gemeinsam verantwortlich im Sinne von Art. 26 Abs. 1 DSGVO. Die technische Bereitstellung der Plattform erfolgt dabei durch den DCV im Wege des Software-as-a-Service.
1.3. Gegenstand der Datenverarbeitung sind ausschließlich personenbezogene Daten der der Funktionsträger, Mitglieder und Sänger der Mitgliedsvereine und des DCV.
1.4. Der DCV und die Mitgliedsvereine einigen sich darauf, dass die Verarbeitung der Daten im Rahmen der OVERSO-Software ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stattfindet. Der DCV und die Mitgliedsvereine stimmen einer Übermittlung oder sonstige Verlagerung der Daten in ein Drittland unter der Bedingung zu, dass die besonderen gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt werden (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln). Die Verantwortung für die Sicherstellung dieser Voraussetzung trifft der DCV.
2. Nutzungszwecke der OVERSO-Software
2.1. Zwecke der Datenverarbeitung über OVERSO sind die Mitgliederverwaltung, Jahresbestandserfassung zu Abrechnungszwecken und das Ehrungswesen.
3. Umsetzung der OVERSO-Software
Der DCV und die Mitgliedsvereine wirken bei der Umsetzung im Rahmen ihrer nachfolgend geregelten Rollen zusammen.
3.1. Technische Bereitstellung
3.1.1. Der DCV und die Mitgliedsvereine bestimmen den DCV als verantwortlich für die technische Bereitstellung der OVERSO. Diese erfolgt entsprechend der Leistungsbeschreibung des Vertrags des DCV mit der pronomiX GmbH, Karl-Marx-Straße 147b, 12529 Schönefeld / OT Großziethen („pronomix“).
3.1.2. Diese Bereitstellung erfolgt als Software-as-a-Service und unter Einbeziehung des Auftragsverarbeiters pronomix. Der DCV hat mit pronomiX eine Vereinbarung nach Art. 28 Abs. 3 DSGVO geschlossen.
3.1.3. Der DCV ist für die Kontrolle von pronomix bezüglich der Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen einschließlich der technischen und organisatorischen Maßnahmen verantwortlich.
4. Betroffenenrechte
4.1. Der DCV übernimmt die Aufgabe, für die Betroffenen dauerhaft die Informationen gemäß Artt. 13 und 14 DSGVO bereitzustellen.
4.2. Jeder Mitgliedsverein ist jeweils selbst verpflichtet, gegenüber den Betroffenen die Rechte gemäß Art. 12 – 22 DSGVO zu erfüllen. Der DCV teilt in den Informationen nach Ziffer 4.1 den Betroffenen die jeweiligen Kontaktmöglichkeit mit, über die sie ihre Ansprüche auf Auskunft, Löschung, Berichtigung etc. geltend machen können.
4.3. Der DCV und die Mitgliedsvereine unterstützen sich im erforderlichen Umfang bei der Erfüllung der Betroffenenrechte.
4.4. Der DCV weist die Nutzer in den Informationen nach Ziffer 4.1. darauf hin, dass sie die wesentlichen Inhalte dieser Vereinbarung auf Anfrage einsehen können.
5. Datengeheimnis und Verpflichtung zur Vertraulichkeit
5.1. Der DCV und die Mitgliedsvereine stellen sicher, dass sämtliche Personen, die mit der Pflege und Betreuung der OVERSO betraut sind und so auf personenbezogene Daten des DCV und der Mitgliedsvereine zugreifen können oder sonst Kenntnis von deren Daten erlangen, vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht und für die Zeit ihrer Tätigkeit wie auch nach deren Beendigung in geeigneter Weise zur Verschwiegenheit verpflichtet sind (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).
5.2. Sonstige Dritte, die auftragsgemäß auf personenbezogene Daten des DCV und der Mitgliedsvereine zugreifen können, sind entsprechend zur Vertraulichkeit zu verpflichten. Der DCV und die Mitgliedsvereine stellen durch geeignete Maßnahmen sicher, dass Dritte, die Zugang zu den Daten des DCV und der Mitgliedsvereine haben, diese nicht über die hier geregelten Verarbeitungsvorgänge hinaus verarbeiten und dass den Weisungen und Vorgaben des DCV und der Mitgliedsvereine durch die Dritten Folge geleistet wird.
6. Einschaltung von Auftragnehmern
6.1. Die Mitgliedsvereine gestatten dem DCV unter der Bedingung der Einhaltung der Pflichten dieser Ziffer 6 die Beauftragung von Auftragnehmern zur Verarbeitung von Daten (Art. 28 Abs. 2 DSGVO).
6.2. Freigegebene Auftragnehmer sind in Anlage 1 aufgeführt.
6.3. Der DCV informiert die Mitgliedsvereine mindestens in Textform über jede beabsichtigte Hinzuziehung, Änderung oder Ersetzung von Auftragnehmern oder Unterauftragnehmern (nachfolgend zusammen „Auftragnehmer“).
6.4. Die die Mitgliedsvereine können der Hinzuziehung neuer Auftragnehmer nur aus wichtigem datenschutzrechtlichem Grund widersprechen. In diesem Fall unternimmt der DCV angemessene Schritte, um die gegen eine Einbeziehung bestehenden Gründe zu beheben. Hierbei ist auch die Hinzuziehung eines alternativen Auftragnehmers zu prüfen.
6.5. Der DCV trägt Sorge dafür, dass Auftragnehmer unter Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt werden. Eine Beauftragung von Auftragnehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, anerkannte Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
6.6. Der DCV hat, soweit gesetzlich vorgeschrieben, vertraglich sicherzustellen, dass mit dem Auftragnehmer eine Vereinbarung gemäß Art. 28 DSGVO geschlossen wird. Diese Vereinbarung muss gleichermaßen sicherstellen, dass die Pflichten des DCV und der Mitgliedsvereine aus dieser Vereinbarung, insbesondere die Wahrung der Betroffenenrechte ohne Einschränkung erfüllt werden können.
7. Unterstützung bei Datenpannen, Kontrollpflichten, Folgeabschätzungen, Beanstandungen
7.1. Der DCV und die Mitgliedsvereine weisen sich auf ihnen bekannt gewordene Verletzungen des Schutzes personenbezogener Daten im Rahmen der OVERSO-Software unverzüglich hin. Der Hinweis enthält eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
7.2. Soweit der DCV oder ein Mitgliedsverein im Rahmen seiner Nutzung der OVERSO selbst zur Kontrolle der Einhaltung der DSGVO-Vorgaben bei weiteren Mitgliedsvereinen verpflichtet ist, unterstützen die betroffenen den kontrollverpflichteten Verein im erforderlichen Umfang. Die bestehende Kontrollverpflichtung ist nach Möglichkeit durch Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. gemäß ISO/IEC 27001:2017) zu erfüllen.
7.3. Die Mitgliedsvereine nehmen zur Kenntnis, dass nach einer vom DCV durchgeführten Voranalyse gemäß Art. 33 Abs. 1 DSGVO keine Datenschutz-Folgenabschätzung für den grundsätzlichen Betrieb erforderlich ist. Der DCV und die Mitgliedsvereine prüfen gemeinsam dauerhaft, ob eine solche aufgrund einer späteren Nutzung der OVERSO-Software entsteht. In diesem Fall wird die Durchführung federführend vom DCV übernommen. Die Mitgliedsvereine unterstützen den DCV hierbei im erforderlichen Umfang.
7.4. Der DCV und die Mitgliedsvereine informieren sich gegenseitig über Beanstandungen, Anfragen oder Ersuchen hinsichtlich der Datenverarbeitung seitens Aufsichtsbehörden oder Betroffener, insbesondere über Kontrollhandlungen, Ermittlungen oder sonstige Maßnahmen von Aufsichtsbehörden, sofern geltendes Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der DCV und die Mitgliedsvereine unterstützen sich bei der Umsetzung von Weisungen der Aufsichtsbehörden.
8. Technische und organisatorische Maßnahmen
8.1. Der DCV stellt sicher, dass die technischen und organisatorischen Maßnahmen (TOM) von pronomix umgesetzt und eingehalten werden. Der DCV überwacht für die Mitgliedsvereine, dass in Bezug auf die konkrete Verarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau besteht.
8.2. Die Mitgliedsvereine setzen den DCV davon in Kenntnis, wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden sollen oder sich aus anderen Gründen Besonderheiten ergeben, insbesondere eine erhöhte Eintrittswahrscheinlichkeit oder Schwere des Risikos für die Rechte und Freiheiten der Betroffenen besteht. Der DCV prüft, ob eine Erhöhung der technischen und organisatorischen Maßnahmen erforderlich ist und sorgt ggf. gegenüber pronomix für die Umsetzung.
9. Laufzeit und Kündigung
9.1. Diese Vereinbarung gilt ab Beitritt durch mindestens den DCV und einen Mitgliedvereine und nur für die beigetretenen Mitgliedsvereine und den DCV.
9.2. Die Laufzeit dieser Vereinbarung entspricht der des Vertrags über die Nutzung der OVERSO.
9.3. Das Recht zur Kündigung eines Mitgliedvereins aus wichtigem Grund bleibt unberührt. Mit Wirksamwerden der Kündigung ist die Nutzung der OVERSO vom Mitgliedsverein einzustellen.
Anlage 1: Freigegebene Auftragnehmer
|
Name |
Anschrift |
Auftragsinhalt |
|---|---|---|
|
pronomiX GmbH |
Karl-Marx-Straße 147b12529 Schönefeld / OT Großziethen |
Entwicklung und Pflege der OVERSO-Software |
|
Deutscher Chorverband Verlags- und Projektgesellschaft mbH |
Karl- Marx- Strasse 14512043 Berlin |
Abobetreuung „Chorzeit“ |
September 2024