1. Präambel
Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Diese Verordnung hat in den Mitgliedsländern der Europäischen Union unmittelbare Geltung und wirkt wie ein inländisches Gesetz. Mit ihr werden die Regeln zur Verarbeitung und zum Schutz personenbezogener Daten unionsweit vereinheitlicht. Gleichzeitig ist die Neufassung des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten. Die DSGVO hebt das Niveau des Datenschutzes generell an. Sie präzisiert die Voraussetzungen einer rechtmäßigen Verarbeitung personenbezogener Daten und stärkt die Rechte der betroffenen Bürgerinnen und Bürger. Die Verarbeitung personenbezogener Daten wird in weit größerem Ausmaß als bisher von der Einwilligung der Betroffenen abhängig gemacht. Die Weitergabe der Daten und ihre automatisierte Auswertung werden erschwert. Vor allem weitet die DSGVO die Informationsrechte gegenüber den Personen oder Organisationen aus, die personenbezogene Daten verarbeiten. Dazu gehört auch das Kulturforum München-West e.V.. Im folgenden stellen wir den Besuchern unserer Homepage und der Öffentlichkeit vor, welche personenbezogenen Daten wir verarbeiten, zu welchem Zweck und auf welche Weise wir dies tun und was wir zum Schutz dieser Daten unternehmen. Außerdem informieren wir über die Rechte der betroffenen Personen gegenüber dem Kulturforum München-West e.V. im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und über die Kontaktdaten der für den Datenschutz im Verein verantwortlichen Personen sowie der Datenaufsichtsbehörde.2. Wichtige Definitionen
Zum besseren Verständnis der Materie werden zunächst Schlüsselbegriffe definiert (vgl. Art.4 DSGVO): Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“ oder „Betroffener“) beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können. Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Sowohl elektronisch gespeicherte Dateien als auch Dateien in Papierform gehören somit zu den „Dateisystemen“. Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung. Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.3. Voraussetzungen einer rechtmäßigen Verarbeitung personenbezogener Daten
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der in Art.6 Abs.1 Buchst. a – f DSGVO genannten Bedingungen erfüllt ist:- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
4. Leitlinien der Datenverarbeitung beim Kulturforum München-West e.V.
Das Kulturforum München-West e.V. lässt sich im Umgang mit personenbezogenen Daten von folgenden Grundsätzen leiten:- Das Kulturforum München-West e.V. bemüht sich, entsprechend den Vorgaben der DSGVO und der datenschutzrechtlichen Bestimmungen des nationalen Rechts, um einen möglichst lückenlosen Schutz personenbezogener Daten durch technische und organisatorische Maßnahmen.
- Wir fühlen uns dem Grundsatz der Datenvermeidung und Datensparsamkeit verpflichtet.
- Das Kulturforum München-West e. V. erfasst und speichert in aller Regel keine sensiblen Daten wie rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten und Daten zur sexuellen Orientierung.
- Wir erfassen von Besuchern unserer Homepage keine personenbezogenen Daten. Wer unsere Homepage aufruft, warum dies geschieht, welche Informationen gesucht werden all dies wissen wir nicht. Weil wir die Besucher auf unserer Homepage nicht identifizieren können, sind wir auch nicht in der Lage, ihre personenbezogenen Daten zu speichern oder weiterzugeben. Auch einen Blog mit Kommentarfunktion betreiben wir nicht. Weitere Informationen zur Homepage finden sich im Abschnitt „Personenbezogene Daten auf unserer Homepage“.
- Soweit wir außerhalb der Homepage personenbezogene Daten erfassen und speichern, z.B. zu Zwecken der Mitgliederbetreuung und zur Information über das vielfältige Veranstaltungsangebot unseres Vereins, tun wir dies ausschließlich unter Beachtung der in Art. 5 und 6 DSGVO niedergelegten Grundsätze. So verarbeiten wir beispielsweise personenbezogene Daten unserer Mitglieder ausschließlich, um das Mitgliedschaftsverhältnis im Rahmen der satzungsmäßigen Vereinszwecke ordnungsgemäß durchführen zu können. Personenbezogene Daten unserer Vertragspartner, z. B. von Künstlern, verarbeiten wir, soweit dies zur Durchführung des jeweiligen Vertrags erforderlich ist. Und personenbezogene Daten von Interessenten an den Aktivitäten des Vereins erfassen wir – z. B. in den Dateien „Freunde des Kulturforums München-West“ und „Freunde der Kammermusik in Pasing“ - nur mit Einwilligung der Betroffenen.
- Eine Datenverarbeitung aus kommerziellen Gründen bzw. Interessen findet bei uns nicht statt.
- Erfasste und gespeicherte personenbezogene Daten geben wir grundsätzlich nicht an Dritte weiter, vor allem nicht an kommerzielle Nachfrager oder ins Ausland. Eine Weitergabe erfolgt ausnahmsweise, soweit wir hierzu gesetzlich oder aus sonstigen rechtlichen Gründen verpflichtet sind, beispielsweise gegenüber Finanz- und sonstigen Behörden. Eine Weitergabe, z. B. an Rechtsanwälte, Gerichte oder Versicherungen, kann auch erforderlich werden, wenn es um die Geltendmachung von Ansprüchen des Vereins, um die Abwehr von Ansprüchen gegen den Verein und um die Abwicklung von Versicherungsfällen geht.
- Generell lassen wir uns von dem Grundsatz leiten, dass wir personenbezogene Daten über die genannten Ausnahmefälle hinaus nur an Dritte weitergeben, wenn die betroffenen Personen nach Information über den Zweck der Weitergabe hierin einwilligen. Wenn betroffene Personen, z. B. Künstler, die mit uns zusammenarbeiten, die Weitergabe oder Veröffentlichung bestimmter personenbezogener Daten (Kontaktdaten, Fotos) ausdrücklich wünschen, kommen wir diesem Wunsch selbstverständlich nach.
- Wir erheben personenbezogene Daten grundsätzlich unmittelbar bei den Betroffenen oder aus Quellen, die uns oder der Allgemeinheit von der betroffenen Person (z.B. von Künstlern, Autoren etc.) zum Zweck der Veröffentlichung zugänglich gemacht worden sind.
- Automatisierte Entscheidungen einschließlich Profiling im Sinne von Art. 22 DSGVO finden nicht statt. Wir sammeln keine Daten, um durch Analyse oder Auswertung Aussagen über Persönlichkeit und Verhalten zu gewinnen.
5. Rechtsgrundlagen der Datenverarbeitung beim Kulturforum München-West e.V.
Die rechtlichen Grundlagen der Datenverarbeitung beim Kulturforum München-West e. V. ergeben sich aus Art. 6 DSGVO (siehe oben Abschnitt „Voraussetzungen einer rechtmäßigen Verarbeitung personenbezogener Daten).- Rechtsgrundlage der Verarbeitung von Mitgliederdaten ist das Mitgliedschaftsverhältnis zum Verein. Dies ist ein Vertragsverhältnis im Sinne von Art. 6 Abs.1 Buchst. b DSGVO.
- Auch die Verarbeitung personenbezogener Daten (vor allem: Kontaktdaten) unserer Vertrags-, Kooperations- und Veranstaltungspartner hat hier seinen Grund.
- Teilweise sind wir gesetzlich verpflichtet, personenbezogene Daten aufzubewahren, z. B. aus steuerrechtlichen Gründen (Rechnungen und andere Buchhaltungsunterlagen, Dokumentation von Spenden). Grundlage der Verarbeitung ist in diesen Fällen Art. 6 Abs. 1 Buchst. c DSGVO.
- Manche personenbezogenen Daten, z. B. von Ansprechpartnern in Behörden oder politischen Gremien (sog. Amtsträgern oder Amtsmitarbeitern), erfassen und speichern wir zur Wahrung sog. berechtigter Interessen des Vereins im Sinne von Art. 6 Abs.1 Buchst. f DSGVO. Auch die Veröffentlichung der Fotos von Künstlern, Autoren, Wissenschaftlern und sonstigen Akteuren unserer Veranstaltungen im elektronischen Archiv auf unserer Homepage oder auf Flyern fällt in der Regel unter diesen Erlaubnistatbestand.
- Ansonsten verarbeiten wir personenbezogene Daten nur mit Einwilligung der betroffenen Personen gemäß Art.6 Abs.1 Buchst. a DSGVO. wenn uns nicht ausnahmsweise das Gesetz erlaubt, solche Daten ohne Einwilligung zu verarbeiten, z. B. bei bestimmten Fotos (s. u. Abschnitt Veröffentlichung von Fotos). Von einer Einwilligung ist im Übrigen auch auszugehen, wenn uns Künstler, Autoren, Wissenschaftler, Redner und sonstige Akteure personenbezogene Daten zu Werbezwecken für Veranstaltungen zur Verfügung stellen.
6. Hinweise zur Einwilligung nach der DSGVO
In Art. 4 Nr. 11 DSGVO sind die Voraussetzungen einer wirksamen Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten zusammengefasst.- Die Einwilligung muss freiwillig sein.
- Sie muss in informierter Weise“ erfolgen Das heißt, der Betroffene muss zuvor darüber aufgeklärt worden sein, welchem Zweck die Verarbeitung der Daten dient und wer die für die Datenverarbeitung verantwortliche Person ist.
- Die Einwilligung kann nur für einen oder mehrere bestimmte, abgegrenzte Zwecke erteilt werden. Eine pauschale „Generaleinwilligung“ ist unwirksam.
- Die Einwilligung muss sich auf eine bestimmte Verarbeitung von Daten beziehen, also z. B. auf die Erfassung oder Speicherung. Eine „Blanko-Einwilligung“ gibt es nicht.
- Schließlich muss die Einwilligung unmissverständlich sein. Es muss entweder eine ausdrückliche Erklärung oder eine eindeutig bestätigende Handlung (sog. konkludente Einwilligung) vorliegen. Die betroffene Person hat das Recht, die Einwilligung jederzeit, auch ohne Anlass und ohne Begründung, zu widerrufen. Der Widerruf wirkt für die Zukunft, hat also keine Rückwirkung.
7. Zwecke der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Erfüllung der satzungsmäßigen Zwecke des Vereins erforderlich ist. Dazu gehören- die Mitgliederverwaltung- und Betreuung einschließlich der Ehrung von Mitgliedern
- die Durchführung von Mitgliederversammlungen
- die Information von Mitgliedern, Interessenten und der Öffentlichkeit über Veranstaltungen und sonstige Aktivitäten des Vereins (Werbeaktivitäten)
- die Buchhaltung bzw. das Rechnungswesen des Vereins einschließlich der Verbuchung von Mitgliedsbeiträgen
- das Spendenwesen
- die interne Kommunikation innerhalb des Vorstands sowie zwischen dem Vorstand und den mit besonderen Aufgaben betrauten Vereinsmitgliedern
- die Vorbereitung und Durchführung von Veranstaltungen
- die Berichterstattung über Veranstaltungen und sonstige Aktivitäten des Vereins in den Medien, in vereinsinternen Veröffentlichungen und im elektronischen Archiv auf der Homepage des Kulturforum München-West e. V.
- der Verkehr mit Behörden (z.B. Künstlersozialkasse, Finanzbehörden), Verwaltungen, Gerichten (z. B. Registergericht), politischen Gremien und Verwertungsgesellschaften (GEMA, VG Wort)
- der Verkehr mit Veranstaltungs- und Kooperationspartnern sowie befreundeten Organisationen (z.B. Vereinen, Bürgerinitiativen)
- die Vorbereitung, der Abschluss und die Durchführung von Verträgen mit Künstlern, Veranstaltungspartnern, Kooperationspartnern, Versicherern, Vermietern, Dienstleistern, Handwerkern, Lieferanten etc.
- Anmeldedaten für eine unserer Veranstaltungen: in einer Anmeldeliste
- Kontaktdaten von Personen, die auf Dauer über unser Veranstaltungsprogramm informiert werden wollen: in einer Datei "Freunde des Kulturforums" oder in einer Datei "Freunde der Kammermusik in Pasing"
- Mitgliedsdaten: in der Datei "Mitglieder"
- Interessenten für die Aktivitäten unseres Arbeitskreises Stadtgestaltung in der Datei "Interessentenliste Stadtgestaltung"
- Spendendaten: in einer Spendendatei, auch für Zwecke des Finanzamts
- Kontaktdaten von Künstlern in der Datei "Künstler"
- Kontaktdaten von Projektpartnern, Lieferanten, Auftragnehmern, Dienstleistern im Rahmen eines bestimmten Projekts in projektbezogenen Adressdateien
- Kontaktdaten der Mitarbeiter bzw. Vertreter einer Behörde bzw. Verwaltung, eines Gerichts, Veranstaltungs- oder Kooperationspartners, eines politischen Gremiums oder einer befreundeten Organisation in der Datei "Kontakte."
8. Kategorien der zu diesen Zwecken verarbeiteten Daten
- Name, Vorname
- Postanschrift
- E-Mail-Adresse
- Telefonnummer
- Datum des Eintritts und Austritts aus dem Verein bzw. der Beendigung der Mitgliedschaft
- Grund für die Geltendmachung eines Beitragsrabatts (sog. Partnerschaftsrabatt)
- Spendenleistungen (Name, Vorname von Spender/in, Höhe und Eingang der Spende, ggf. Spendenzweck)
- Fotos/Abbildungen
- Anmeldung zu Veranstaltungen und Zahlung des Eintritts oder von Unkostenbeiträgen
- Kontaktdaten, Bankkontodaten sowie sonstige für den Abschluss und die Durchführung von Verträgen erforderliche Daten
- Berufliche Stellung oder Funktion von Vertretern bzw. Mitarbeitern von Behörden, Verwaltungen, Gerichten, Veranstaltungs- und Kooperationspartnern, befreundeten Organisationen, politischen Gremien, soweit für die Kommunikation mit diesen Stellen im Rahmen der Vereinszwecke erforderlich
Zur Erläuterung:
- Für die Mitgliederverwaltung und -betreuung werden nur Name, Vorname und Anschrift zwingend erfasst. Die Angabe der E-Mail-Adresse ist optional, aber erwünscht. Die Angabe der Telefonnummer ist rein optional.
- Kontodaten von Mitgliedern und Spendern werden nicht erfasst, da ein Bankeinzugsverfahren nicht stattfindet.
- Fotos/Abbildungen werden nur verarbeitet zu Zwecken der Information über bzw. Werbung für Veranstaltungen des Vereins und zur Berichterstattung über Aktivitäten des Vereins, vor allem im elektronischen Archiv auf der Homepage.
- Für die Aufname in eine Datei von Interessenten, z. B. „Freunde des Kulturforums München-West“ und „Freunde der Kammermusik in Pasing“ oder andere künftig entstehende Interessentenkreise werden nur Name, Vorname und E-Mail-Adresse (falls nicht vorhanden: Anschrift oder Telefonnummer, nach Wahl, wenn als Kontakt angegeben) erfasst.
- Bei Anmeldung für eine Veranstaltung werden nur Name und Vorname sowie E-Mail-Adresse erfasst. Die Angabe der e-mail-Adresse ist optional, aber erwünscht (für eine etwaige Absage oder Änderungen); die Angabe der Telefonnummer ist rein optional. Telefonnummer oder Postanschrift werden nur erfasst, wenn dies der einzige bei der Anmeldung angegebene Kontakt ist.
- Berufliche Stellung bzw. Funktion werden nur erfasst, soweit dies für den Verkehr bzw. Kontakt mit den angegebenen Stellen im Rahmen der Vereinszwecke erforderlich oder sachdienlich ist.
9. Kategorien der Empfänger von personenbezogenen Daten
Wer Empfänger der vom Kulturforum München-West e. V. erfassten und gespeicherten Daten ist, ergibt sich aus den oben genannten Zwecken der Verarbeitung.- So sind die Mitglieder des Vorstands die Empfänger der zu Zwecken der Mitgliederverwaltung- und Betreuung, der Durchführung von Mitgliederversammlungen, des Rechnungswesens, des Spendenwesens und der Information über die Veranstaltungen bzw. Aktivitäten des Vereins erfassten personenbezogenen Daten.
- Im Zuge der Information über bzw. Werbung für Veranstaltungen oder sonstige Aktivitäten des Vereins sind Empfänger personenbezogener Daten - insbesondere von Künstlern, aber auch von sonstigen mit der Organisation der jeweiligen Veranstaltung befassten Personen - die Vorstandsmitglieder, der/die Pressebeauftragte des Vereins, der/die Betreuer/in der Homepage, die Vereinsmitglieder, und der an der Arbeit des Vereins interessierte Personenkreis. und generell die Öffentlichkeit.
- Das Gleiche gilt für die Berichterstattung über Veranstaltungen oder sonstige Aktivitäten des Vereins.
- Soweit es um die Organisation von Veranstaltungen geht, sind Empfänger personenbezogener Daten der an der Organisation beteiligten Personen ggf. alle in die Durchführung der Veranstaltung involvierten Personen oder Stellen bzw. Organisationen, soweit die Kenntnis der personenbezogenen Daten erforderlich ist, um die betreffende Veranstaltung ordnungsgemäß durchzuführen.
10. Dauer der Speicherung, Löschung
Die erfassten und gespeicherten personenbezogenen Daten werden nur so lange gespeichert bzw. verarbeitet, wie dies zur Erreichung des Zwecks der Speicherung erforderlich ist. Sie werden routinemäßig gelöscht, sobald sich der Zweck ihrer Erhebung erledigt hat. Allerdings können wir Daten, zu deren Aufbewahrung wir gesetzlich bzw. rechtlich verpflichtet sind, z. B. aus steuerrechtlichen Gründen, erst nach Ablauf der gesetzlichen Aufbewahrungsfristen (z. B. nach § 147 der Abgabenordnung oder nach § 14 b des Umsatzsteuergesetzes: 10 Jahre) löschen. In diesem Falle schränken wir die Verarbeitung entsprechend ein. Im Einzelnen:- Daten, die den Beginn und das Ende der Mitgliedschaft betreffen, werden gelöscht, sobald die Mitgliedschaft beendet ist und keine Ansprüche des Vereins gegen das Mitglied (bzw. umgekehrt) geltend gemacht werden. Allerdings müssen wir die Unterlagen, die die Leistung des Mitgliedsbeitrags betreffen, aufgrund der gesetzlichen Aufbewahrungsfrist gut zehn Jahre lang vorhalten. Denn die Mitgliedsbeiträge gelten rechtlich als Spenden
- Personenbezogene Daten in Anmeldelisten werden nach Durchführung der Veranstaltung unverzüglich gelöscht., auf Wunsch auch schon vorher.
- Personenbezogene Daten von Personen, die auf unbestimmte Zeit in Dateien von Interessenten (Freunde des Kulturforums München-West, Freunde der Kammermusik in Pasing) aufgenommen werden wollen, werden gelöscht, sobald die betroffene Person dies wünscht. Ob ein weiterer Verbleib in der Datei gewünscht ist, wird im Abstand von 5 Jahren abgefragt,
- Generell speichern wir Kontaktdaten, insbesondere bei E-Mail-Kontakten, nur so lange, wie hierzu ein begründeter Anlass gegeben ist, vorausgesetzt, es sind keine gesetzlichen Aufbewahrungsfristen (s. o.) zu beachten. Wenn sich der ursprüngliche Anlass der Speicherung erledigt hat, bleiben solche Daten nur auf Wunsch bzw. mit Einwilligung des Betroffenen gespeichert.
11. Personenbezogene Daten auf unserer Homepage
Wir erfassen von Besuchern unserer Homepage keine personenbezogenen Daten. Wir verwenden keine Analyseprogramme, Cookies oder ähnliche Programme oder Dienste Dritter zur Erhebung personenbezogener Daten. Wir verzichten auf die Möglichkeit eines Kommentar-Dialogs auf unserer Homepage und wir haben die Social-Media-Funktionen auf der Homepage deaktiviert, so dass wir keine personenbezogenen Daten erfassen können. Erst wenn eine Besucherin oder ein Besucher einen E-Mail-Link anklickt, um mit uns Kontakt aufzunehmen (z.B. um sich zu einer Veranstaltung anzumelden), erfassen wir personenbezogene Daten, soweit sie uns zugänglich gemacht werden. Nur so können wir auf persönliche Wünsche eingehen. Beim Besuch unserer Homepage erhebt jedoch der Provider die folgenden Daten, die technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO): · IP-Adresse · Datum und Uhrzeit der Anfrage · Zeitzonendifferenz zur Greenwich Mean Time (GMT) · Inhalt der Anforderung (konkrete Seite) · Zugriffsstatus/HTTP-Statuscode · jeweils übertragene Datenmenge · Website, von der die Anforderung kommt · Browser · Betriebssystem und dessen Oberfläche · Sprache und Version der Browsersoftware. Auf diese Daten greifen wir nicht zu. Wir können sie jedoch in anonymisierter Form für statistische Zwecke abrufen, z.B. um die Anzahl der Besuche auf unserer Homepage zu erfassen. Wenn uns der Verdacht einer missbräuchlichen Nutzung dieser Protokolldaten bekannt wird, werden wir dies nachträglich überprüfen lassen. Personen, die bei Veranstaltungen des Kulturforum München-West e. V. als Künstler, Redner oder sonstige Akteure mitwirken, werden auf unserer Homepage namentlich erwähnt, in der Regel unter Beifügung eines Fotos. Dies geschieht bei der Ankündigung und Archivierung der Veranstaltung. Auf Wunsch wird gelegentlich ein Link auf die Homepage dieser Personen aufgenommen. Dieser Link bleibt auf unserer Homepage bzw. im Archiv gespeichert, aber nur dort. Auf die Verwendung verlinkter Daten durch Dritte haben wir keinen Einfluss. Die Löschung solcher Links nehmen wir nur auf Aufforderung durch den Betroffenen vor. Bei der Aufforderung zur Löschung muss die genaue Webadresse der betroffenen Seite(n) angegeben werden. Links, die von unserer Homepage auf andere Websites führen, prüfen wir sorgfältig. Dennoch haben wir keinen Einfluss auf die Inhalte dieser Seiten oder die dauerhafte Gültigkeit solcher Linkziele. Für die Unrichtigkeit oder Widerrechtlichkeit solcher Daten übernehmen wir keine Haftung. Sollten unerwünschte Inhalte verlinkt sein, bitten wir die Besucher unserer Homepage um konkrete Hinweise.13. Kontaktaufnahme per E-Mail
Wenn Sie mit uns per E-Mail Kontakt aufnehmen, speichern wir die von Ihnen mitgeteilten personenbezogenen Daten (E-Mail-Adresse sowie Name und Telefonnummer, wenn Sie uns diese mitteilen), um Ihr Anliegen zu bearbeiten bzw. Ihre Fragen zu beantworten. Danach löschen wir die so gewonnenen Daten, soweit nicht gesetzliche Aufbewahrungsfristen bestehen.14. Sonderfall: Datenschutz bei Aufnahme und Veröffentlichung von Fotos
Fotos von Künstlern, Rednern oder sonstigen Akteuren einer Veranstaltung werden auf der Homepage des Vereins bei der Ankündigung und später bei der Archivierung einer Veranstaltung gespeichert und abrufbar gemacht. Auch im Gästebuch der Veranstaltungsreihe „Kammermusik in Pasing“ (und eventuell zukünftig weiterer Veranstaltungsreihen) finden sich Fotos von Künstlern, die von den Besuchern der Konzerte (Veranstaltungen) eingesehen werden können. Voraussetzung ist, dass keine Bildrechte Anderer verletzt werden. Wir gehen davon aus, dass Fotoaufnahmen von Künstler, Rednern oder sonstigen bei der Organisation oder Durchführung einer Veranstaltung Beteiligten auch ohne Einwilligung der betroffenen Personen durch berechtigte Interessen im Sinne von Art.6 Abs.1 DSGVO gedeckt sind und schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Gleichwohl werden wir auf Wunsch des Künstlers, Redners oder sonstigen Akteurs das Foto löschen oder die betroffene Person unkenntlich machen.- Der Presse werden Fotos von Künstlern, Rednern oder sonstigen Akteuren einer Veranstaltung zur Verfügung gestellt, wenn wir davon ausgehen können, dass die betreffenden Personen damit einverstanden sind.
15. Rechte der betroffenen Personen im Überblick
Die DSGVO unterscheidet zwischen- der Informationspflicht, die der betroffenen Person gegenüber besteht, wenn bestimmte personenbezogene Daten erstmals bzw. neu erhoben werden (Art. 13 und 14 DSGVO), und
- einem Auskunftsrecht sowie weiteren Rechten - auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, Information über die Datenherkunft und automatisierte Entscheidungsfindung , die nach der erstmaligen Erhebung bzw. Neuerhebung personenbezogener Daten greifen (Art. 15 bis 22 DSGVO).
16. Informationsrecht bei Neuerhebung von personenbezogenen Daten
Das Kulturforum München-West ist gegenüber allen von der Verarbeitung personenbezogener Daten Betroffenen gegenüber bereits bei der Erhebung der Daten zu einer Art Basisinformation verpflichtet. Dieser Verpflichtung kommen wir mit der vorliegenden Datenschutzerklärung nach.17. Auskunftsrecht und sonstige Rechte auf Verlangen der Betroffenen
Jede Person, die glaubt, dass das Kulturforum München-West e. V. ihre personenbezogenen Daten verarbeitet, kann nach Art. 15 Abs. 1 DSGVO jederzeit, anlasslos und ohne Begründungszwang eine Bestätigung darüber verlangen, ob der Verein personenbezogene Daten verarbeitet, die sie betreffen. Ansprechpartner sind insoweit der Verantwortliche oder die Stellvertreter des Verantwortlichen (Kontaktdaten am Ende dieser Datenschutzerklärung). Ist dies der Fall, so muss die Auskunft folgende Punkte umfassen:- Verarbeitungszwecke
- Kategorien der personenbezogenen Daten, die verarbeitet werden
- Empfänger oder Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden
- falls möglich die geplante Dauer der Speicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer
- das Bestehen eines Rechts auf Berichtigung und auf Löschung der Daten, auf Einschränkung der Verarbeitung und auf Widerspruch gegen die Verarbeitung
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art.77 DSGVO)
- wenn die Daten nicht beim Betroffenen erhoben werden: alle verfügbaren Informationen über die Herkunft der Daten
- ggf.: ob eine automatisierte Entscheidungsfindung bzw. ein Profiling stattfindet.
Erläuterungen zu den Rechten auf Berichtigung, Löschung, Einschränkung, Widerspruch, Beschwerde, Information über Herkunft der Daten und automatisierte Entscheidungsfindung:
- Recht auf Berichtigung: Dieses Recht bezieht sich auf die Korrektur falscher oder Vervollständigung unvollständiger Daten.
- Recht auf Löschung: Damit können die Betroffenen erreichen, dass die Daten „vergessen“ werden, wenn die Speicherung für die Erfüllung des zugrundliegenden Zwecks nicht mehr notwendig ist, wenn der Betroffene die Einwilligung widerrufen hat und wenn es für die weitere Speicherung keine andere Rechtsgrundlage gibt. Das Gleiche gilt, wenn die Erhebung und Verarbeitung von vornherein unrechtmäßig war.
- Recht auf Einschränkung der Verarbeitung: Dieses Recht besteht, wenn und solange zwischen den Beteiligten Streit über die Richtigkeit der Daten, über das Recht oder die Pflicht zu ihrer Löschung oder über die Berechtigung bestimmter Verarbeitungsweisen besteht. Dieses Recht wird bei der Datenverarbeitung durch das Kulturforum München-West kaum praktisch bedeutsam werden. Wir werden im Zweifel hierüber nicht streiten, sondern die Daten löschen bzw. dem Begehren des Betroffenen nachkommen.
- Recht auf Widerspruch gegen die Verarbeitung: Dieses Recht besteht, wenn die Datenverarbeitung ausschließlich auf berechtigte Interessen (s. o. Abschnitt "Rechtsgrundlagen der Datenverarbeitung“) gestützt wird und der Betroffene gegen die Verarbeitung überwiegende eigene, rechtlich geschützte Belange geltend macht. Dann darf die Datenverarbeitung nicht fortgesetzt werden. Einer Direktwerbung kann der Betroffene ohne Gründe widersprechen. Auch dieses Recht wird beim Kulturforum München-West e. V. nicht praktisch bedeutsam werden, weil wir im Zweifel dem Widerspruch folgen werden.
- Recht auf Information über die Herkunft der Daten: Wie oben im Abschnitt „Grundsätze“ ausgeführt ist, erheben wir personenbezogene Daten grundsätzlich unmittelbar beim jeweils Betroffenen und nicht bei Dritten.
- Recht auf Auskunft über automatisierte Entscheidungsfindung und Profiling: Beides findet beim Kulturforum München-West e. V. nicht statt.
- Recht auf Beschwerde bei einer Aufsichtsbehörde: Kontaktdaten der Aufsichtsbehörde sind am Ende dieser Informationen wiedergegeben.
18. Recht auf Datenübertragbarkeit
Alle von einer Speicherung ihrer personenbezogenen Daten beim Kulturforum München-West e. V. betroffenen Personen haben das Recht, diejenigen Daten, die sie selbst dem Verein übermittelt haben, in Form eines „strukturierten“, d. h. geordneten Datensatzes in einem gängigen maschinenlesbaren Format zur Verfügung gestellt zu bekommen. „Maschinenlesbar“ ist ein Dateiformat, das so strukturiert ist, dass Softwareanwendungen die einzelnen Daten nebst ihrem inneren Zusammenhang leicht identifizieren, erkennen, darstellen (öffnen) und übermitteln können. Sinn der Datenübertragbarkeit ist, dass der Datensatz anderen Datenverarbeitern zur Verfügung gestellt werden kann. Deshalb hat die betroffene Person auch das Recht, dass der bisherige Verantwortliche die Daten unmittelbar an den Verantwortlichen eines anderen Datenverarbeiters (z. B. an den Vorstand eines anderen Vereins) weitergibt.19. Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen
Weder in der DSGVO noch im neugefassten Bundesdatenschutzgesetz ist eine Verpflichtung auf das Datengeheimnis ausdrücklich vorgesehen. Aus verschiedenen Regelungen der DSGVO (vor allem Art. 29 und Art. 32 Abs. 4 DSGVO) folgt aber, dass alle Personen, deren sich der Verantwortliche bei der Verarbeitung von personenbezogenen Daten bedient, auf die Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO zu verpflichten sind. Dem kommt das Kulturforum München-West e. V. nach, indem es alle Personen, die im Verein mit personenbezogenen Daten Umgang haben, auf diese Anforderungen hinweist und sie in Textform darauf verpflichtet. Die Verpflichtung wird zu Beginn eines Kalenderjahres wiederholt.20. Keine Bestellung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter ist beim Kulturforum München-West e. V. nicht bestellt, weil die Voraussetzungen für eine Pflicht zur Bestellung nach Art. 37 Abs. 1 DSGVO und § 38 BDSG (neu) nicht erfüllt sind. Danach wäre ein Datenschutzbeauftragter zu bestellen, wenn im Verein mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt wären oder wenn die Kerntätigkeit des Vereins die umfangreiche Verarbeitung sensibler Daten beträfe. Beides ist beim Kulturforum München-West e. V. nicht der Fall. Für die freiwillige Bestellung besteht angesichts der Überschaubarkeit des Vereins und der Verarbeitungsvorgänge aus unserer Sicht kein Anlass.21. Datensicherheit
Die Schutzziele der Datensicherheit nach Art. 32 DSGVO - Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten – haben für uns höchste Priorität. Allerdings muss darauf hingewiesen werden, dass ein absoluter Schutz nicht möglich ist. Denn eine internetbasierte Datenübertragung weist immer gewisse Sicherheitslücken auf. Deshalb können alle Personen, die mit unserem Verein in Kontakt treten wollen, dies auch auf postalischem Weg oder per Telefon tun. Für die Datenverarbeitung im Verein wird private Hard- und Software der rein ehrenamtlich tätigen Vorstandsmitglieder und einiger mit besonderen Aufgaben betrauter Vereinsmitglieder verwendet. Für die Schutzziele der IT-Sicherheit bedeutet dies eine besondere Verantwortung der mit der Datenverarbeitung im Verein befassten Personen. Wir schützen die von uns verarbeiteten personenbezogenen Daten durch technische und organisatorische Maßnahmen, um die Risiken eines unberechtigten Zugriffs, einer unberechtigten Weitergabe, eines Missbrauchs und eines Verlusts zu minimieren. Im Einzelnen:- Der Zugang zu personenbezogenen Daten im Verein - abgesehen von den Daten von Künstlern, Rednern und sonstigen Akteuren bei Ankündigung, Berichterstattung und Archivierung von Veranstaltungen - ist auf einen kleinen Personenkreis beschränkt. Dies sind - die Mitglieder des Vorstands - die mit der Betreuung der Homepage betraute Person - der/die Beauftrage für die Organisation der Ausstellungen im Rathaus Pasing - der/die Beauftrage für die Organisation der Veranstaltungsreihe Kammermusik in Pasing, ggf. unterstützt durch eine Person an der Abendkasse.
- Zur Gewährleistung der Vertraulichkeit der personenbezogenen Daten bzw. zum Schutz gegen Angriffe werden im E-Mail-Verkehr von Seiten des Vereins die an die jeweiligen Server übertragenen Daten mit dem SSL/TLS-Verfahren verschlüsselt (SSL = Secure Socket Layer, TLS = Transport Layer Security).
- Der Nutzer-Account auf dem jeweiligen PC und auf allen Arten von mobilen Geräten (Smartphones, Tablets, Notebooks) wird duch Zugangscode bzw. Passwort gesichert. Das Passwort ist an sicherer Stelle aufzubewahren und alle sechs Monate sowie im Falle von Sicherheitswarnungen etc. zu wechseln. Der Wechsel ist zu dokumentieren.
- Zum Zweck der Verfügbarkeit der Daten und zum Schutz gegen Datenverlust sind diese regelmäßig durch Backup-Kopien auf externen Medien zu sichern. Die Kopien sind an sicherer Stelle aufzubewahren.
- Auf jedem Rechner müssen ein Virenschutz und eine Firewall installiert sein, die dem Stand der Technik entsprechen und bei denen permanent automatische Updates stattfinden.
- Der Provider des Vereins für die Homepage ist Strato, ein deutscher Provider mit Sitz in Berlin und Servern in Deutschland. Es finden automatische Backups zur Vermeidung von Datenverlust und aktuelle Softwareupdates gegen Angriffe statt. Strato verwendet SSL-Verschlüsselung von Symantec.
- Wenn wir Serien-E-Mails an unsere Mitglieder oder an Interessenten oder Freunde des Kulturforums München-West e. V. versenden, etwa um sie über Veranstaltungen oder Aktivitäten des Vereins zu informieren, verwenden wir die sog. BCC-Funktion („blind carbon copy“ = Blindkopie). Dies bedeutet, dass die einzelnen Empfänger nicht erkennen können, an welche anderen Empfänger die E-Mail sonst noch versandt wurde. Die BCC-Funktion verwenden wir auch beim sonstigen E-Mail-Verkehr, wo immer es sachlich gerechtfertigt ist.
- Daten, die zu unterschiedlichen Zwecken erhoben werden, werden getrennt verarbeitet.
- Die mit der Datenverarbeitung für das Kulturforum München-West e. V. befassten Personen werden bei Aufnahme der Verarbeitungstätigkeit sowie bei aktuellem Anlass, mindestens aber einmal im Jahr auf die Anforderungen der Datensicherheit hingewiesen. Die Kenntnisnahme dieser Hinweise ist in Textform zu bestätigen.