Datenschutzerklärung

Förderverein Kita Maria Frieden e.V.

1. Verantwortlicher für die Datenverarbeitung

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der Förderverein Kita Maria Frieden e.V., Tannenweg 22, 37085 Göttingen.
E-Mail: info (at) fvkitamfrieden (Punkt) clubdesk (Punkt) com – Website: https://fvkitamfrieden.clubdesk.com
Vertretungsberechtigt: der Vorstand gemäß § 26 BGB.

2. Datenschutzverantwortung im Verein

Die Gesamtverantwortung für die Einhaltung der Datenschutzvorgaben trägt der Vereinsvorstand. Ein externer Datenschutzbeauftragter ist nicht benannt, da die Voraussetzungen nach Art. 37 DSGVO nicht erfüllt sind (der Verein ist klein und verarbeitet keine umfangreichen oder sensiblen Datenbestände). Alle Personen, die im Verein mit der Verarbeitung personenbezogener Daten betraut sind, wurden auf das Datengeheimnis und die Vertraulichkeit verpflichtet.

3. Zwecke der Datenverarbeitung, verarbeitete Datenkategorien und Rechtsgrundlagen

Der Verein verarbeitet personenbezogene Daten ausschließlich im Rahmen der satzungsgemäßen Vereinszwecke und der Mitgliederverwaltung. Rechtsgrundlagen hierfür sind entweder vertragliche Erforderlichkeit im Kontext der Mitgliedschaft gemäß Art. 6 Abs. 1 lit. b DSGVO oder – in bestimmten Fällen – eine freiwillige Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO.

Verarbeitete Daten und jeweilige Zwecke/Rechtsgrundlagen im Überblick:

  • Mitgliederdaten (Name, Anschrift, E‑Mail-Adresse, Telefonnummer) – Zweck: Mitgliederverwaltung, Kommunikation und Einladung zu Vereinsveranstaltungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Vereinsmitgliedschaft).

  • Bankverbindung (IBAN, Kontoinhaber) – Zweck: Einzug des Mitgliedsbeitrags per SEPA-Lastschrift. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

  • Eintritts- und AustrittsdatumZweck: Verwaltung des Mitgliedschaftsstatus und Nachweis gegenüber Behörden (z.B. für Gemeinnützigkeit, steuerliche Pflichten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

  • Fotos/Videos von Vereinsveranstaltungen (falls Personen abgebildet sind und eine Nutzung erlaubt wurde) – Zweck: Öffentlichkeitsarbeit des Vereins, z. B. Berichte auf der Website, im Newsletter oder Aushänge. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der abgebildeten Personen. (Die Teilnahme an Fotos ist selbstverständlich freiwillig; ohne Einwilligung werden keine erkenntlichen Personenbilder veröffentlicht.)

Hinweis: Die ersten drei Kategorien (Mitgliederdaten, Bankdaten, Mitgliedschaftsdaten) sind für die Eingehung und Verwaltung der Mitgliedschaft erforderlich. Ohne diese Daten kann der Verein die Mitgliedschaft nicht begründen oder verwalten. Werden erforderliche Angaben verweigert, ist eine Aufnahme in den Verein leider nicht möglich.

4. Dauer der Speicherung / Löschfristen

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erfüllung der Vereinszwecke oder gesetzlicher Aufbewahrungspflichten notwendig ist. Nach Wegfall des Zwecks bzw. Ablauf der Fristen werden die Daten gelöscht.

  • Mitgliedsdaten: Spätestens 2 Jahre nach Austritt aus dem Verein werden personenbezogene Mitgliederdaten gelöscht, sofern nicht im Einzelfall längere gesetzliche Pflichten entgegenstehen. (Beispielsweise können bestimmte Abrechnungsdaten länger aufbewahrt werden müssen – siehe Bankdaten unten.)

  • Bankdaten / Zahlungsinformationen: Werden für buchhalterische Zwecke 10 Jahre ab dem Jahresende der Verwendung aufbewahrt (gesetzliche Aufbewahrungspflicht nach § 147 Abgabenordnung). Rechtsgrundlage:Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).

  • Fotos/Veröffentlichungen: Im Falle von veröffentlichten Fotos oder personenbezogenen Berichten werden diese bis zum Widerruf der Einwilligung gespeichert bzw. online belassen. Wenn die Einwilligung zur Veröffentlichung widerrufen wird (siehe Punkt 11), werden die betreffenden Bilder/Beiträge zeitnah entfernt und nicht weiter verwendet.

5. Rechte der betroffenen Personen

Als betroffene Person im Sinne der DSGVO stehen Ihnen – je nach Situation – folgende Rechte zu, die Sie jederzeit gegenüber dem Verein geltend machen können (per formloser Mitteilung an unsere oben genannte Adresse oder E‑Mail):

  • Auskunft (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche personenbezogenen Daten der Verein über Sie gespeichert hat und zu welchem Zweck dies erfolgt. Eine Kopie dieser Daten kann bereitgestellt werden.

  • Berichtigung (Art. 16 DSGVO): Sollten gespeicherte personenbezogene Daten fehlerhaft oder unvollständigsein, können Sie deren Korrektur oder Vervollständigung verlangen.

  • Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen („Recht auf Vergessenwerden“), soweit keine rechtlichen Aufbewahrungsgründe oder andere überwiegende Berechtigungen entgegenstehen.

  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie verlangen, dass Ihre Daten nur noch eingeschränkt verarbeitet werden (z.B. Markierung der Daten zur reinen Archivierung und Sperrung für aktive Verarbeitungen).

  • Widerspruch (Art. 21 DSGVO): Sie können jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einlegen, sofern diese auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruht und Ihre besondere Situation Gründe für einen Widerspruch liefert. Im Fall eines Widerspruchs werden wir die betreffende Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen. (Hinweis: Im vorliegenden Vereinskontext verarbeiten wir Daten in der Regel nicht auf lit. f, da wir uns primär auf Vertrag/Einwilligung stützen. Sollte dennoch eine Interessenabwägung als Grundlage dienen, greift dieses Widerspruchsrecht.)

  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Daten, die Sie uns bereitgestellt haben, in einem gängigen, maschinenlesbaren Format zu erhalten. Auf Wunsch – und soweit technisch machbar – können wir diese Daten auch direkt einem anderen Verantwortlichen übertragen. Dieses Recht gilt, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt.

  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Das heißt, wenn Sie z.B. der Veröffentlichung eines Fotos zugestimmt haben, können Sie diese Einwilligung später wieder zurückziehen. Nach Widerruf werden wir die betreffenden Daten nicht weiterverarbeiten. (Details zum Widerruf siehe auch unten Punkt 11.)

  • Beschwerde bei einer Aufsichtsbehörde: Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, steht Ihnen das Recht zur Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Sie können sich dafür an die für uns zuständige Behörde wenden: Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover. Alternativ können Sie auch die Aufsichtsbehörde an Ihrem eigenen Wohnort kontaktieren; diese leitet den Fall gegebenenfalls weiter.

Hinweis: Zur Ausübung Ihrer Rechte reicht eine formlose Mitteilung (per E‑Mail an info@fvkitamfrieden.clubdesk.comoder postalisch an unsere Vereinsadresse). Wir bitten um Verständnis, dass wir ggf. einen Nachweis Ihrer Identitätverlangen, um personenbezogene Daten nicht unbefugt an Dritte herauszugeben. Wir werden Ihr Anliegen dann umgehend – gesetzlich ist hierfür maximal ein Monat vorgesehen – bearbeiten.

6. Empfänger personenbezogener Daten

Innerhalb des Vereins erhalten ausschließlich diejenigen Personen Zugriff auf Ihre Daten, die diese zur Erfüllung der Vereinsaufgaben benötigen. Darüber hinaus werden Daten nur weitergegeben, wenn eine Rechtsgrundlage dies erlaubt und es zur Aufgabenerfüllung erforderlich ist (oder Sie eingewilligt haben). Eine Weitergabe erfolgt im notwendigen Mindestumfang. Im Einzelnen:

6.1 Interne Empfänger:

  • Vorstand: Die Vorstandsmitglieder haben Zugriff auf die Mitgliederdaten, soweit dies für die Vereinsverwaltung, Beitragswesen, Organisation von Veranstaltungen etc. erforderlich ist.

  • Kassenprüfer: Im Rahmen der turnusmäßigen Kassenprüfung kann den gewählten Kassenprüfern Einsicht in finanzrelevante Unterlagen gewährt werden (z.B. Beitragszahlungen), jedoch ausschließlich zweckgebunden und unter Wahrung der Vertraulichkeit.

6.2 Externe Empfänger / Dienstleister:

  • Banken: Ihre Bankverbindungsdaten (und minimal erforderliche persönliche Angaben) werden an unsere Bank übermittelt, soweit dies für den Einzug der Mitgliedsbeiträge oder sonstige von Ihnen autorisierte Zahlungen notwendig ist (SEPA-Lastschriftverfahren).

  • Steuerberater / Buchhaltung: Sofern der Verein einen externen Steuerberater oder eine Buchhaltungsstelle einsetzt, erhalten diese Zugriff auf erforderliche Daten (z.B. Zahlungsbelege, Buchungslisten) zur Erfüllung unserer steuerlichen Pflichten (z.B. Erstellung von Abschlüssen, Steuererklärungen, Prüfungen durch das Finanzamt). Diese Stellen unterliegen ihrerseits dem Berufsgeheimnis und datenschutzrechtlichen Bindungen.

  • IT- und Cloud-Dienstleister: Wir nutzen zur Verwaltung der Vereinsdaten Cloud-Software (insbesondere die Vereinsplattform ClubDesk) sowie ggf. IT-Dienstleister für Hosting und E-Mail. Diese Dienstleister verarbeiten die personenbezogenen Daten in unserem Auftrag und nach unseren Weisungen (siehe auch Punkt 7 Auftragsverarbeitung). Beispiel: Die Mitgliederverwaltung und Website-Hosting erfolgen über die Plattform ClubDesk der Reeweb AG.

  • Versand- oder Druckdienstleister: Falls wir postalische Rundschreiben, Mitgliederbriefe oder Newsletter per Post versenden oder Materialien drucken lassen, können dazu Adressdaten an beauftragte Versanddienstleister oder Druckereien weitergegeben werden. Dies erfolgt nur im notwendigen Umfang (Name und Anschrift) und einmalig für die jeweilige Aktion.

Rechtsgrundlage für die Weitergabe an externe Stellen: Überwiegend Art. 6 Abs. 1 lit. b DSGVO(Mitgliedschaftsvertrag), soweit die Einschaltung Dritter zur Erfüllung unserer satzungsgemäßen Aufgaben oder vertraglichen Pflichten erfolgt (z.B. Bank, Steuerberater). In Fällen, in denen wir freiwillige Leistungen erbringen, die nicht zwingend für die Mitgliedschaft sind (z.B. Versand eines Newsletters an ehemalige Mitglieder) oder Veröffentlichungen mit Ihrer Zustimmung, stützen wir die Übermittlung auf Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung).

6.3 Veröffentlichung von Daten/Fotos:
Personenbezogene Daten von Mitgliedern werden grundsätzlich nicht öffentlich zugänglich gemacht, es sei denn, dies wurde ausdrücklich vereinbart. Insbesondere Fotos oder persönliche Berichte werden nur mit vorheriger Einwilligungder betroffenen Personen auf der Vereinswebsite, in Vereins-Newsletter oder Social-Media-Seiten des Vereins veröffentlicht (Rechtsgrundlage auch hier Art. 6 Abs. 1 lit. a DSGVO). Siehe dazu auch Punkt 9 und 11 bezüglich Datenübermittlung ins Internet und Widerrufsmöglichkeiten.

7. Auftragsverarbeitung

Wenn der Verein externe Dienstleister einsetzt, die in seinem Auftrag personenbezogene Daten verarbeiten (sogenannte Auftragsverarbeiter nach Art. 28 DSGVO), schließen wir mit diesen schriftliche Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO. Darin wird geregelt, dass der Dienstleister die Daten nur nach unserer Weisung verwendet, geeignete Datenschutz-Maßnahmen einhält und den Anforderungen der DSGVO entspricht. Beispiele: das Hosting unserer Mitgliederdaten und Website erfolgt über ClubDesk (Reeweb AG) als Auftragsverarbeiter; sollte ein externer Buchhaltungsservice oder Cloud-Speicherdienst genutzt werden, wären auch hier AV-Verträge geschlossen. Dadurch stellen wir sicher, dass Ihre Daten auch bei externen Stellen geschützt bleiben.

8. Technische und organisatorische Maßnahmen (TOM)

Wir nehmen den Schutz Ihrer Daten ernst und haben diverse technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umgesetzt, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Dazu zählen insbesondere:

  • Zugangs- und Zugriffskontrolle: Vereinsinterne Systeme (Mitgliederdatenbank, E-Mail-Postfächer etc.) sind nur über passwortgeschützte Zugänge erreichbar. Die Zugriffsrechte sind nach dem Need-to-know-Prinzip verteilt – z.B. haben nur Vorstandsmitglieder vollen Zugriff auf die Mitgliederliste.

  • Verschlüsselung: Die elektronische Kommunikation und Datenübertragung erfolgt nach Möglichkeit verschlüsselt(z.B. TLS/SSL-Verschlüsselung für die Website und E-Mails), um Abhörsicherheit zu gewährleisten.

  • Gesicherte Datenspeicherung: Personendaten werden auf geschützten Systemen gespeichert. Unsere cloudbasierten Vereinssoftware (ClubDesk) hostet die Daten in einem professionell gesicherten Rechenzentrum. Lokale Daten (z.B. Excel-Listen oder Ausdrucke) werden nur auf sicheren, zugriffsbeschränkten Gerätengespeichert bzw. in abschließbaren Schränken aufbewahrt, sodass Unbefugte keinen Zugang haben.

  • Datensicherung und Protokollierung: Es erfolgen regelmäßige Backups der wichtigen Daten, sowohl lokal (Verein) als auch durch den Cloud-Anbieter. Wichtige Änderungen an elektronischen Daten können nachvollzogen werden (Protokollierung), sodass unautorisierte Veränderungen erkennbar sind.

  • Organisatorische Schulung und Kontrolle: Alle ehrenamtlichen Personen, die mit Mitgliederdaten umgehen, wurden auf die Vertraulichkeit verpflichtet und in grundlegenden Datenschutzregeln unterwiesen. Wir überprüfen mindestens jährlich die getroffenen Datenschutz-Maßnahmen auf Wirksamkeit und Aktualität und passen sie bei Bedarf an (z.B. bei neuen gesetzlichen Vorgaben oder technischen Entwicklungen).

Diese Maßnahmen werden dem aktuellen Stand der Technik entsprechend fortlaufend verbessert, um ein dem Risiko angemessenes Schutzniveau für Ihre Daten zu gewährleisten.

9. Datenübermittlung in ein Drittland

Unser Verein nutzt zur Verwaltung seiner Mitgliederdaten und für die Website die Vereinsverwaltungs-Software “ClubDesk” der Reeweb AG mit Sitz in der Schweiz. In diesem Zusammenhang werden personenbezogene Daten (Mitgliederliste, Beitragsdaten, evtl. Mailing-Inhalte) auf Servern in der Schweiz gespeichert und verarbeitet.

Die Schweiz gilt datenschutzrechtlich als Drittland mit angemessenem Schutzniveau. Die Europäische Kommission hat der Schweiz einen Angemessenheitsbeschluss erteilt (d.h. offiziell anerkannt, dass das Datenschutzniveau dort den EU-Standards entspricht), zuletzt bestätigt im Januar 2024edoeb.admin.ch. Somit ist die Übermittlung von Mitgliederdaten in die Schweiz zulässig. Wir haben mit der Reeweb AG zudem einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen, der sicherstellt, dass ClubDesk die Daten im Einklang mit der DSGVO und nur für unsere Zwecke verarbeitet. Weitere spezielle Schutzmaßnahmen sind daher nicht erforderlich. (Hinweis gemäß Art. 13 Abs. 1 lit. f DSGVO: Die Datenverarbeitung außerhalb der EU erfolgt auf Grundlage des genannten Angemessenheitsbeschlusses und vertraglicher Vereinbarungen, somit mit angemessenem Schutzniveau.)

10. Information bei Datenerhebung (Mitgliedsantrag)

Bereits im Beitrittsformular für neue Mitglieder stellen wir sicher, dass die betroffene Person über die Datenverarbeitung informiert wird, noch bevor die Daten an uns übermittelt werden. Konkret enthält unser digitales Anmeldeformular einen gut sichtbaren Hinweis auf diese Datenschutzerklärung (inklusive Direktlink auf den vollständigen Text). Auf diese Weise kann jedes neue Mitglied sich vorab darüber informieren, welche Daten wir erheben und wie wir sie verwenden.

Soweit im Antragsformular optionale Einwilligungen abgefragt werden (z.B. die Erlaubnis, Fotos zu veröffentlichen oder einen Newsletter zu erhalten), sind diese ausdrücklich als freiwillig gekennzeichnet. Das Absenden des Formulars ist nicht von einer Zustimmung zur gesamten Datenschutzerklärung abhängig – die Kenntnisnahme wird jedoch dringend empfohlen. (Anders gesagt: Durch das Absenden des Mitgliedsantrags willigt das neue Mitglied nicht pauschal in jede Datenverarbeitung ein – es bestätigt lediglich den Vereinsbeitritt. Die erforderlichen Verarbeitungen erfolgen rechtmäßig auf Basis der Mitgliedschaft, wie oben beschrieben.)

11. Widerruf von Einwilligungen

Einmal erteilte Einwilligungen – etwa zur Veröffentlichung eines Fotos, zur Zusendung eines Newsletters oder anderer optionaler Services – können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf ist formfrei möglich, zum Beispiel durch eine kurze E‑Mail an info@fvkitamfrieden.clubdesk.com. Nach Eingang eines Widerrufs werden wir die betreffenden Datenverarbeitungen stoppen und (soweit möglich) bereits veröffentlichte Inhalte entfernen. Wichtig: Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs. Daten, die aufgrund einer früheren Einwilligung bereits verarbeitet wurden (z.B. ein Foto im letzten Newsletter), bleiben daher für die Vergangenheit rechtmäßig; ab Widerruf unterbleibt aber jede weitere Nutzung.

(Dieser Widerruf betrifft natürlich nur Verarbeitungsvorgänge, die auf Einwilligung beruhen. Verarbeitungen, die wir auf einer anderen Rechtsgrundlage durchführen – etwa die grundlegende Mitgliederverwaltung auf Vertragsbasis – können Sie nicht durch Widerruf stoppen, wohl aber ggf. durch Austritt oder Widerspruch, siehe oben.)

12. Version und Inkrafttreten

Version der Erklärung: 1.0
Beschlossen vom Vorstand am: 14.08.2025
Letzte Aktualisierung: 14.08.2025 (Erstellung)
Gültig ab: 14.08.2025

Diese Datenschutzerklärung bleibt in Kraft, bis sie durch eine aktuellere Fassung ersetzt wird. Etwaige Änderungen (z.B. bei Anpassung an neue gesetzliche Vorgaben oder geänderte Vereinsprozesse) werden wir kenntlich machen und – sofern erforderlich – eine aktualisierte Version veröffentlichen.