Datenschutzrichtlinie
Richtlinie über die Regelungen und Verfahren für den Umgang mit personenbezogenen Daten der Mitglieder, Kooperationspartner und Interessenten des Golf Management Verband Deutschland e.V. und der GMVD Marketing GmbH (nachfolgende GMVD genannt)
Datenschutz-Richtlinie GMVD
1. Präambel
Auf der Grundlage der Satzung des Golf Management Verbands Deutschland e.V. beschließt der Vorstand folgende, für die Mitglieder, Kooperationspartner und Organe des GMVD verbindliche Regelungen zum Umgang, der Erhebung und Verarbeitung personenbezogener Daten der Mitglieder, Kooperationspartner und Interessenten.
Der GMVD hat die Regelungen dieser Richtlinie in den jeweiligen Mitgliedsanträgen integriert.
Die GMVD Marketing GmbH hat die Regelungen dieser Richtlinie in den jeweiligen Koopera-
tionsverträgen integriert.
Der Begriff GMVD umfasst beide Einheiten: Golf Management Verbands Deutschland e.V. und GMVD Marketing GmbH.
2. Grundsätze der Datenerhebung und Datenverarbeitung
Eine Erhebung und Verarbeitung personenbezogener Daten erfolgt grundsätzlich nur, soweit dies zur Erfüllung der Satzungszwecke des „Golf Management Verband Deutschland e.V.“ und der „GMVD Marketing GmbH“ notwendig ist.
Die Erhebung und Verarbeitung personenbezogener Daten erfolgt im Rahmen der datenschutzrechtlichen Bestimmungen.
3. Gemeinsame Verantwortliche (Art. 26 DSGVO)
Die Verbandstätigkeit des GMVD wird von zwei verschiedenen Rechtsformen organisiert, der GMVD Marketing GmbH und dem Golf Management Verband Deutschland e.V.
Da die personenbezogenen Daten der Mitglieder und Kooperationspartner in einer gemein-
samen EDV-Anwendung verarbeitet werden, nehmen die beiden Organisation Ihre Verantwortung als gemeinsam Verantwortliche nach Art. 26 DSGVO war.
Die Zusammenarbeit als gemeinsam Verantwortliche wird wie folgt geregelt:
Die GMVD Marketing GmbH ist verantwortlich für die Verarbeitung der personenbezogenen
Daten der Kooperationspartner in folgenden Kategorien und Bereichen:
- Verwaltung der Kooperationspartner über die EDV-Software „PC Caddie“
- Einzug der Mitgliedsbeiträge der verschiedenen Kooperationsverträge
Der Golf Management Verband Deutschland e. V. ist verantwortlich für die Verarbeitung der personenbezogenen Daten der Mitglieder, der Interessenten und des angestellten Personals in folgenden Kategorien und Bereichen:
- Mitgliederverwaltung der Vereinsmitgliedschaften über EDV-Software „PC Caddie“
- Einzug der Mitgliedsbeiträge für den e.V.
- Organisation der Turniere mit Ausschreibung, Abwicklung der Anmeldungen, Vorbereitung der Startlisten, Veröffentlichung der Start- bzw. Ergebnislisten
- Erhebung der Einwilligung von Interessenten für die Werbung über Newsletter für
- Angebote des e.V.
Die GMVD Marketing GmbH und der Golf Management Verband Deutschland e. V. haben
gemeinsam einen externen Datenschutzbeauftragten bestellt.
Die „Fachverantwortlichen für Datenschutz“ sowie der „Datenschutzbeauftragte“ sind in der Anlage zu dieser Richtlinie konkret benannt.
4. Rechtsgrundlage der Erhebung und Verarbeitung der personenbezogenen Daten der Mitglieder
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Mitglieder sind die entsprechenden Mitgliedsanträge und diese Richtlinie in der jeweils aktuellen Fassung.
5. Erhebung und Verarbeitung der personenbezogenen Daten der Mitglieder bei Eintritt (Stammdaten)
Mit dem Beitritt eines Mitglieds in den Verband werden folgende personenbezogenen Daten erhoben:
- Name, Vorname, Geburtsname
- Bei Personen unter 18 Jahren: Erziehungs-/Sorgeberechtigte
- Geburtsdatum
- Wohnanschrift
- Bankverbindung
- Kommunikationsdaten: Telefonnummer, Mobil-Nummer, Email-Adresse
- Beruf
- Geschäftsanschrift
- Früherer Arbeitgeber (freiwillig)
Diese personenbezogenen Daten werden in dem EDV-System „Mitgliederverwaltung“ des
Verbandes gespeichert. Jedem Mitglied wird dabei eine Mitgliedsnummer zugeordnet.
Die personenbezogenen Daten werden dabei durch geeignete technische und organisatorische Maßnahmen vor der Kenntnisnahme Dritter geschützt. Weitere Einzelheiten zu dem eingesetzten Verfahren sowie zu den technischen und organisatorischen Maßnahmen zur Sicherung der Daten sind in dem „Verzeichnis Verarbeitungstätigkeiten Mitgliederverwaltung“ näher dargestellt.
Die oben genannten personenbezogenen Daten sowie alle Daten in Zusammenhang mit der Bezahlung der Beiträge werden für die Dauer der Mitgliedschaft gespeichert.
Bei Beendigung der Mitgliedschaft werden diese personenbezogenen Daten bis zum
31. Dezember des Jahres, das dem Jahr mit dem Ende der Mitgliedschaft folgt, gespeichert, um einen ordnungsgemäßen Jahresabschluss zu ermöglichen.
Nach Ablauf dieser Frist werden die Daten aus dem System „Mitgliederverwaltung“ gelöscht, sofern nicht ein berechtigtes Interesse vorliegt.
Unabhängig davon werden die Daten gemäß anderer gesetzlicher Speicherfristen (z.B. Gesellschaftsrecht, Steuerrecht) bis zu 10 Jahre nach Ende der Mitgliedschaft gesondert archiviert. Der Zugang zu diesen Archiven ist nur eingeschränkt möglich.
6. Erhebung und Verarbeitung der personenbezogenen Daten der Mitglieder während der Mitgliedschaft (Bewegungsdaten)
Während der Mitgliedschaft werden personenbezogene Daten in Zusammenhang mit der Ausübung der Mitgliedschaft verarbeitet. Dies sind insbesondere Daten in folgenden Kategorien
oder Bereichen:
- Teilnahme an Veranstaltungen
- Teilnahme an Weiterbildungsmaßnahmen
- Teilnahme an Golfrunden
- Für das Abonnement der Fachzeitschrift „golfmanger“ wird Ihre gewünschte
Adresse an den Verlag zum Postversand weitergegeben. - Abwicklung des Zertifizierungssystems zum CCM - Certified Clubmanager für alle hauptamtlich tätigen Personen im professionellen Golfmanagement
Diese Daten und Informationen werden von dem Verband verarbeitet, da sie zur Förderung des Verbandszweckes erforderlich sind und keine Anhaltspunkte bestehen, dass die betroffene Person ein schutzwürdiges Interesse hat, das der Verarbeitung oder Nutzung entgegensteht.
7. Weiterbildungsmaßnahmen, Zertifizierungssystem
- Der GMVD bietet umfangreiche Weiterbildungsmaßnahmen für seine Mitglieder an. In diesem Zusammenhang werden personenbezogene Daten verarbeitet und auch an Dritte übermittelt, sofern dies zur Durchführung der Veranstaltungen erforderlich ist.
Der Verband führt ein verbandsinternes Zertifizierungssystem für Mitarbeiter im Golfmanagement. Die Teilnahme an der Zertifizierung erfolgt auf der Basis der Freiwilligkeit.
Die erforderlichen, persönlichen Daten und sowie weitere Informationen können der Graduierungsordnung entnommen werden.
Die zum Stichtag in der Geschäftsstelle eingegangenen Unterlagen zur Zertifizierung werden auf Vollständigkeit überprüft, digitalisiert und per Postversand mit versichertem Paket an den Graduierungsausschuss zur weiteren Bearbeitung weitergeleitet.
Die physischen und digitalen Unterlagen werden für die Dauer von 10 Jahren gespeichert und archiviert.
Den Organen des Vereins, allen Mitgliedern oder sonst für den Verein Tätigen ist es untersagt, personenbezogene Daten unbefugt zu anderen als dem jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, Dritten zugänglich zu machen oder sonst zu nutzen. Diese Pflicht besteht auch über das Ausscheiden der genannten Personen aus dem Verein hinaus.
- Für Webinare, Online-Meetings, etc. setzt der GMVD ein Videokonferenz-Tool ein. In der Regel findet eine Aufzeichnung der Sitzung statt über die die Teilnehmenden im Vorhinein transparent in Kenntnis gesetzt werden und – soweit erforderlich – um Zustimmung gebeten werden. Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist das berechtigte Interesse der GMVD (Art. 6 Abs. 1 lit. f) DS-GVO) an der effektiven Durchführung der Sitzungen.
8. Zugang zu Mitgliederverzeichnissen
Da die Weitergabe der personenbezogenen Daten der Mitglieder nicht der Förderung des
Verbandszwecks dient, kann ein Zugang zu dem gesamten Mitgliederverzeichnis nur dann
erfolgen, wenn ein berechtigtes Interesse des Betroffenen vorliegt.
Vorstandsmitglieder und sonstige Mitglieder, die im Verband eine besondere Funktion aus-üben, welche die Kenntnis bestimmter Mitgliederdaten erfordert (z.B. Graduierungsausschuss, Regionalkreisvorsitzende etc.) erhalten eine Mitgliederliste mit den erforderliche Daten der-jenigen Personen ausgehändigt, die sie im Rahmen ihrer Aufgabenerfüllung benötigen.
In diesem Fall sind die Daten gegen unberechtigten Zugriff zu sichern und nach Ende der jeweiligen Tätigkeit zu löschen. Eine Weitergabe dieser Daten an Dritte ist nicht gestattet.
9. Erhebung und Verarbeitung der personenbezogenen Daten von Kooperationspartner und Interessenten
Sollen personenbezogene Daten über einzelnen Veranstaltungen hinaus für weitere Zwecke der Werbung (Newsletter o.a.) verarbeitet werden, dann ist dies nur im Rahmen einer gesonderten Einwilligung zulässig.
Die Einwilligungen werden in der Geschäftsstelle dokumentiert und aufbewahrt. Im IT-System werden die personenbezogenen Daten des Interessenten erfasst und die vorliegende Einwilligung entsprechend dokumentiert.
Durch den Grundsatz der Datensparsamkeit werden nur solche personenbezogenen Daten
erhoben und verarbeitet, die auch für spätere Einladungen und Werbung tatsächlich benötigt werden.
Zu Beginn eines Jahres wird überprüft, ob Daten von Interessenten gespeichert sind, für die in den letzten beiden zurückliegenden Jahren keine Aktivität (Teilnahme an Veranstaltungen o.a.) verzeichnet wurde. Diese können nun nochmals im Rahmen eines gesonderten Newsletters angeschrieben werden und Ihnen entsprechende Angebote unterbreitet werden. Hierbei ist eine Bestätigung der Einwilligung einzuholen. Stimmt die Person nicht zu, sind die Daten zu
löschen.
10. Presseveröffentlichungen
Presseveröffentlichungen über Ereignisse oder Veranstaltungen dienen der Verwirklichung des Vereinszwecks.
Bei sonstige Presseveröffentlichungen über besondere Ereignisse ist bei der Veröffentlichung personenbezogener Daten von Mitgliedern oder Gästen der Text vor der Veröffentlichung mit dem Vorstand abzustimmen, da dies nur im Einzelfall beurteilt werden kann.
Zu Bildveröffentlichungen wird auf die folgenden Ausführungen verwiesen.
11. Bildveröffentlichungen von Personen über 16 Jahre
Vereine dürfen aus Gründen des Persönlichkeitsschutzes grundsätzlich keine Angaben über Mitglieder an die Presse oder an andere Medien übermitteln, soweit schutzwürdige Interessen der Mitglieder entgegenstehen.
Eine Veröffentlichung von Bildern ist deshalb grundsätzlich nur mit Einwilligung der Betroffenen zulässig.
Dabei sind zwei Ausnahmeregelungen von Bedeutung: Eine Einwilligung ist nicht erforderlich bei besonderen Ereignissen als sogenannte „Ereignisse der Zeitgeschichte“ (z.B. größere Golfturniere) oder bei größeren Veranstaltungen (z.B.: GMVD-Golfkongress / GMVD-Fortbildungsseminar).
Bei allen anderen Fällen wird eine Einwilligung zur Veröffentlichung von Bildern benötigt. Werden einzelne Personen im Rahmen von Veranstaltungen oder Siegerehrungen gebeten, für eine Bildaufnahme sich aufzustellen, dann sind sich die Teilnehmer bewusst, dass diese Aufnahmen zur Veröffentlichung dienen und willigen insofern ein.
Sollen Bildaufnahmen von Veranstaltungen gemacht werden, ohne dass die Teilnehmer sich darüber direkt bewusst sind, dann wird zu Beginn der Veranstaltung in geeigneter Form darauf hingewiesen. Sollte ein Betroffener von seinem Widerspruchsrecht Gebrauch machen, dann ist dies mit den eingesetzten Fotografen entsprechend zu regeln.
12. Internetseiten des GMVD
Der GMVD verfügt über eine umfangreiche Internetpräsentation. Die Pflege der Seiten erfolgt durch die Geschäftsstelle.
Zur Veröffentlichung von Bildern, Startlisten und Ergebnislisten wird auf die jeweiligen Punkte verwiesen.
Sollen auf den Internetseiten im Rahmen von Berichten oder sonstigen Darstellungen personenbezogene Daten von Mitgliedern oder Gästen veröffentlicht werden, dann ist dies nur im Rahmen einer Einwilligung möglich. Hierauf sind auch die jeweiligen verantwortlichen Mitglieder für bestimmte Gruppen hinzuweisen.
Jedes Mitglied kann jederzeit gegenüber dem Verantwortlichen für Datenschutz oder gegenüber dem Datenschutzbeauftragten einer solchen Veröffentlichung widersprechen. Im Falle des Widerspruches unterbleiben in Bezug auf das widersprechende Mitglied weitere Veröffentlichungen. Personenbezogene Daten des widersprechenden Mitglieds werden von der Homepage des Verbandes entfernt.
13. Startzeiten von Turniere
Der GMVD veranstaltet für seine Mitglieder verschiedene Golfturniere, die auf Golfplätzen von Partner-Golfclubs ausgerichtet werden. Wegen der mit dem Internet verbundenen Risiken ist sicherzustellen, dass der Zugriff auf eine Startliste über das Internet nicht für jedermann möglich ist. Eine Startliste enthält sensible Daten, nämlich die Startzeiten einzelner Personen, die gleichzeitig deren Abwesenheit von zu Hause dokumentieren.
Die Veröffentlichung einer Melde- und Startliste im Internet ist deshalb nur über einen passwortgeschützten Zugang über die Internet-Seite des GMVD möglich. Für die Übermittlung der Startzeiten auf mobile Endgeräte, wird die Mobilnummer des Turnierteilnehmers an den Partner-Golfclub weitergebeben.
14. Ergebnislisten von Turnieren
Dem Aushang von Ergebnislisten stehen keine überwiegenden schutzwürdigen Interessen der Mitglieder regelmäßig entgegen. Dies dient unmittelbar der Verwirklichung des Vereinszwecks (Sportausübung durch die Mitglieder) und ist daher zulässig, auch die Veröffentlichung der
Ergebnisliste im Internet.
Über die Veröffentlichung von Ergebnislisten werden alle Turnierteilnehmer durch einen
Hinweis in der jeweiligen Turnierausschreibung informiert.
Widerspricht ein Betroffener der Veröffentlichung seiner Daten im Rahmen der Ergebnisliste, so ist dies entsprechend zu dokumentieren und umzusetzen. In diesem Fall wird der Name in der Ergebnisliste nicht veröffentlicht.
15. Datenübermittlung an Kooperationspartner
Eine Weitergabe von personenbezogenen Daten von Mitgliedern an Kooperationspartner
findet nicht statt.
Soll durch einen Kooperationspartner eine Zusendung von Information an Mitglieder des
Verbandes erfolgen, werden die personenbezogenen Daten der Mitglieder unmittelbar an das beteiligte Letter-shop-Unternehmen übermittelt oder eine Versendung erfolgt durch die Geschäftsstelle selbst. Eine Datenübermittlung an den Kooperationspartner findet nicht statt.
16. Witere themenspezifische Richtlinien
Folgende weitere Richtlinien ergänzen diese Datenschutz-Richtlinie:
- Richtlinie des GMVD zur internen Datenverarbeitung der Daten der Mitarbeiter und zur Informationssicherheit
17. Verzeichnisse über Verarbeitungstätigkeiten
Zu den einzelnen Verfahren zur Verarbeitung personenbezogener Daten sind entsprechende Verzeichnisse über diese Verarbeitungstätigkeiten vorhanden, die regelmäßig aktuell gehalten werden.
18. Informationen an die Betroffenen
Durch die Regelungen der DSGVO sind die Informationspflichten an die Betroffenen deutlich erweitert worden.
Der GMVD hat im Dezember 2018 alle Mitglieder in einem Informationsschreiben über die Verarbeitung der personenbezogenen Daten informiert. Bei wesentlichen Veränderungen oder Ausweitungen sind ergänzende Informationen allen Mitgliedern zur Verfügung zu stellen.
Diese Informationen sind auch im Mitgliederbereich auf den Internetseiten des Verbandes
jederzeit in der aktuellen Fassung abrufbar. Jedem neuen Mitglied wird im Rahmen seines
Beitritts ein entsprechendes Informationsblatt ausgehändigt.
19. Rechte der Betroffenen, Widerspruchsmöglichkeiten
Soweit die in den jeweiligen Vorschriften beschriebenen Voraussetzungen vorliegen, hat jedes Mitglied, wie auch jeder CCM Teilnehmer insbesondere die folgenden Rechte:
- das Recht auf Berichtigung nach Artikel 16 DS-GVO,
- das Recht auf Löschung nach Artikel 17 DSGVO,
- das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DS-GVO,
- das Recht auf Datenübertragbarkeit nach Artikel 20 DS-GVO.
Darüber hinaus hat jedes Mitglied/jeder CCM-Teilnehmer das Recht, jederzeit eine Auskunft über die Verarbeitung seiner personenbezogenen Daten durch die GMVD-Geschäftsstelle zu verlangen. Ein solches Ersuchen ist durch den Beschäftigten, gegenüber dem dies geäußert wird, entgegenzunehmen und unverzüglich an den Datenschutzbeauftragten weiterzuleiten. Dieser wird die Beantwortung in Abstimmung mit den Verantwortlichen des Verbandes vornehmen.
Widerspricht ein Mitglied einer Verarbeitung seiner personenbezogenen Daten (Widerspruchsrecht nach Art. 21 DSGVO), ist in gleicher Weise zu verfahren.
20. Meldung von Datenpannen
Die neuen gesetzlichen Regelungen sehen nun vor, dass eine „Datenpanne“ unverzüglich, spätestens innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden ist.
Was ist eine „Datenpanne“?
Die Möglichkeiten, dass personenbezogene Daten in unbefugte Hände gelangen, sind vielseitig, z.B.
- eine Webanwendung, die eine Sicherheitslücke aufweist,
- ein Bug im Webserver, der einen Vollzugriff auf Systemebene ermöglicht,
- ein verlorener USB-Stick mit Personendaten,
- ein Einbruch in den Serverraum,
- Diebstahl eines mobilen Endgerätes (Laptop, Smartphone), auf dem Zugangsdaten zum IT-System des Verbandes gespeichert sind,
- Angriff von außen durch Schadsoftware wie Virus oder Trojaner,
- Missbrauch von Personendaten durch Beschäftigte,
- Unzulässige Weitergabe von Daten an Dritte.
Jeder Beschäftigte und jeder ehrenamtliche Funktionsträger des Verbandes wird deshalb ausdrücklich gebeten, bei Verdacht einer Datenpanne unverzüglich den Datenschutzbeauftragten zu informieren. Wenn möglich sollte das Formular „Interne Meldung Datenpanne“ verwendet werden.
Der Datenschutzbeauftragte wird die weiteren erforderlichen Schritte in Abstimmung mit den Verantwortlichen des Verbandes einleiten.
Baierbrunn-Buchenhain 01.07.2022