Interne Datenschutzhinweise für Mitglieder
BVB-Fanclub Borussia Ratisbona
Diese Datenschutzhinweise gelten für die Verarbeitung personenbezogener Daten von Mitgliedern im internen Bereich des BVB-Fanclubs Borussia Ratisbona. Sie ergänzen die öffentliche Datenschutzerklärung der Website und betreffen ausschließlich interne Abläufe, Funktionen und Datenverarbeitungen im Zusammenhang mit Mitgliedschaft, Community, Ticketvergabe und Fanclub-Organisation. Die DSGVO verlangt insbesondere Angaben zu Verantwortlichem, Zwecken, Rechtsgrundlagen, Empfängern, Speicherdauer und Betroffenenrechten.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Mitgliederbereich ist:
BVB-Fanclub Borussia Ratisbona
Heimatort: Regensburg (Bayern)
Verantwortlich für Webseitenbetrieb, Administration, Wartung und Entwicklung:
Andreas Liedl
Schweiz
E-Mail: info@borussia-ratisbona.de
Soweit künftig weitere leitende Personen administrative Aufgaben übernehmen, erhalten diese nur im erforderlichen Umfang Zugriff auf personenbezogene Daten. Vereine und ähnliche Organisationen müssen Verantwortlichkeiten klar festlegen und personenbezogene Daten nur zweckgebunden und mit angemessenen Zugriffsrechten verarbeiten.
2. Zweck der internen Datenverarbeitung
Wir verarbeiten Mitgliederdaten, um die Community organisatorisch, technisch und inhaltlich zu führen. Dazu gehören insbesondere die Mitgliederverwaltung, die Nutzung des geschützten Mitgliederbereichs, die Durchführung von Abstimmungen und Community-Prozessen, die Organisation von Fanclub-Aktivitäten, die Dokumentation von Beiträgen zur Gemeinschaft sowie die faire Vergabe von Tickets anhand der innerhalb des Systems vorgesehenen Kriterien. Solche Verarbeitungen müssen nach Art. 13 DSGVO transparent beschrieben werden.
3. Welche Daten wir verarbeiten
Im Mitgliederbereich können insbesondere folgende Daten verarbeitet werden:
- Stammdaten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und BVB-Mitgliedsnummer
- Login- und Zugangsdaten, insbesondere Benutzername und Passwort-Hash
- freiwillige Profildaten wie Profilbild
- Aktivitätsdaten, Punkte, Bonuspunkte, Datum, Art der Aktivität und zugehörige Hinweise
- interne Ordnungs- und Bewertungsdaten im Zusammenhang mit dem Ticketumgang, insbesondere Fouls, Gelbe Karten, Rote Karten, jeweilige Gründe, Datum und Punktabzüge
- Ticketdaten wie Bewerbungen, Zuteilungen, Zahlungsstatus und gegebenenfalls Sitzplatzdaten
- Medieninhalte wie Bilder und Kurzvideos sowie gegebenenfalls damit verbundene Metadaten
- Zuordnungen und Freigaben bei Markierungen anderer Mitglieder auf Medien
- Beiträge zu Abstimmungen, Wahlen, Änderungsanträgen, Anregungen und Community-Entscheidungen
- Nutzungs- und Zugriffsangaben, soweit diese technisch für den sicheren Betrieb erforderlich sind.
Das BayLDA weist für Vereine darauf hin, dass Datenverarbeitungen nachvollziehbar beschrieben und in einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden sollten.
4. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung der Daten im Mitgliederbereich erfolgt je nach Sachverhalt auf unterschiedlichen Rechtsgrundlagen. Soweit die Verarbeitung für die Begründung, Durchführung und Organisation der Mitgliedschaft sowie der internen Community-Abläufe erforderlich ist, stützen wir sie auf Art. 6 Abs. 1 lit. b DSGVO. Soweit eine Verarbeitung zur ordnungsgemäßen Organisation, Sicherheit, Transparenz und fairen Durchführung des Fanclub-Betriebs erforderlich ist, kann sie zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, soweit nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Für freiwillige Angaben oder bestimmte Veröffentlichungen kann außerdem eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO relevant sein. Die möglichen Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO.
5. Punkte-, Foul- und Kartensystem
Borussia Ratisbona erhebt keine klassischen Mitgliedsbeiträge. Stattdessen arbeitet die Community mit einem internen Punkte- und Bewertungssystem. Die „Währung“ innerhalb des Systems ist die sichtbare Aktivität und der Beitrag eines Mitglieds zur Gemeinschaft.
Dazu können positive Punkte für Aktivitäten vergeben werden, etwa für Teilnahme, Organisation, Unterstützung oder sonstige Beiträge zum Fanclub-Leben. Zusätzlich können bei ticketbezogenen Pflichtverletzungen negative Einträge vergeben werden. Diese werden aktuell in Form von Foul, Gelber Karte oder Roter Karte abgebildet und sind mit negativen Punkten verbunden. Solche Einträge betreffen insbesondere Fälle wie verspätete Zahlung, fehlende Rückmeldung, Reservierung ohne Abnahme oder vergleichbare Verstöße im Zusammenhang mit dem fairen Umgang mit Tickets.
Die Regeln für das System sind grundsätzlich definiert, können aber durch interne Beschlüsse der Community angepasst oder weiterentwickelt werden. Aktuell erfolgt die Vergabe durch die Administration; künftig kann sie auch auf leitende Personen übertragen werden. Da es sich um personenbezogene interne Bewertungs- und Ordnungsdaten handelt, müssen Mitglieder hierüber transparent informiert werden.
6. Transparenz innerhalb der Community
Das Punkte-, Foul- und Kartensystem ist innerhalb des Mitgliederbereichs für andere Mitglieder sichtbar. Dabei können insbesondere Name, Aktivität, Punktestand, Karte/Foul, Grund und Datum angezeigt werden. Zweck dieser internen Transparenz ist die Nachvollziehbarkeit des Systems, die Förderung von Fairness und Gemeinschaft sowie die transparente Organisation der Ticketvergabe.
Diese interne Sichtbarkeit ist Teil des Community-Konzepts von Borussia Ratisbona. Sie erfolgt nicht zur öffentlichen Bloßstellung, sondern zur nachvollziehbaren, gemeinschaftlich getragenen Organisation des Fanclub-Betriebs. Mitglieder werden hierüber ausdrücklich informiert. Werden Daten für einen anderen Zweck als ursprünglich vorgesehen verwendet, ist nach den Hinweisen des BayLDA vorab erneut zu informieren.
7. Ticketvergabe
Die Punkte sowie negative Einträge aus dem Foul- und Kartensystem fließen in die Ticketvergabe ein. Tickets sind der Hauptbereich, für den die Punkte innerhalb des Systems relevant sind. Ziel ist eine möglichst faire, transparente und nachvollziehbare Vergabe auf Grundlage des Community-Beitrags und des verantwortungsvollen Umgangs mit Reservierungen, Zahlungen und Teilnahmen.
Die konkrete Gewichtung einzelner Faktoren kann durch die Community weiterentwickelt werden. Unabhängig davon werden Mitglieder darüber informiert, dass ihre Aktivitäts- und Ordnungsdaten für Ticketentscheidungen verwendet werden. Solche Angaben zu Zweck und Folgen der Verarbeitung gehören zu den Pflichtinformationen nach Art. 13 DSGVO.
8. Medien, Markierungen und Freigaben
Mitglieder können im internen Bereich Bilder oder Kurzvideos hochladen. Dabei können auch andere Mitglieder markiert werden. Für solche Markierungen und Sichtbarkeitsentscheidungen besteht ein Freigabesystem. Mitglieder können festlegen beziehungsweise werden beteiligt, wenn Medien öffentlich oder nur intern sichtbar gemacht werden sollen.
Soweit Bilder von Personen verarbeitet oder veröffentlicht werden, sind neben der DSGVO auch die rechtlichen Anforderungen an den Umgang mit Bildern zu beachten. Das BayLDA weist darauf hin, dass vereinsinterne Regeln allein nicht automatisch jede Bildverarbeitung rechtfertigen und je nach Konstellation insbesondere Einwilligungen oder andere tragfähige Rechtsgrundlagen erforderlich sein können.
9. Wahlen und Abstimmungen
Im Mitgliederbereich können Wahlen, Abstimmungen, Änderungsanträge und Anregungen durchgeführt werden. Soweit Abstimmungen offen durchgeführt werden, werden die jeweils erforderlichen Angaben zur Teilnahme und Stimmabgabe verarbeitet. Soweit Abstimmungen geheim durchgeführt werden, ist die technische und organisatorische Umsetzung so zu gestalten, dass eine Zuordnung der konkreten Stimme zu einer bestimmten Person nicht möglich oder nur insoweit verarbeitet wird, wie dies für die Durchführung zwingend erforderlich ist.
Wenn Art oder Zweck der Verarbeitung sich ändern oder zusätzliche Daten erhoben werden, sind Mitglieder hierüber erneut zu informieren. Das folgt aus den Informationspflichten nach Art. 13 DSGVO und den Hinweisen des BayLDA für Vereine.
10. Einspruch und Nachprüfung
Mitglieder können gegen Punktevergaben, Fouls, Gelbe Karten oder Rote Karten Einspruch erheben oder eine Nachprüfung verlangen, wenn sie die Einordnung oder Bewertung für ungerecht halten. Dies gilt sowohl für eigene Einträge als auch, soweit zulässig und organisatorisch vorgesehen, für die Nachprüfung von Einträgen anderer Mitglieder im Rahmen der internen Transparenz- und Fairnessregeln.
Ein solcher Einspruch wird intern geprüft. Gegebenenfalls werden Einträge berichtigt, ergänzt oder entfernt, wenn sie sachlich falsch oder nicht mehr erforderlich sind. Die DSGVO sieht ein Recht auf Berichtigung unrichtiger Daten vor.
11. Speicherdauer
Mitgliedsdaten werden grundsätzlich nur so lange gespeichert, wie sie für die Mitgliedschaft, den sicheren Betrieb des Mitgliederbereichs, die Ticketorganisation, die interne Dokumentation oder gesetzliche Pflichten erforderlich sind. Punkte-, Foul- und Karteneinträge bleiben derzeit mindestens für eine Saison gespeichert. Ob und in welcher Form danach eine Archivierung erfolgt, wird intern noch festgelegt.
Nach dem Ausscheiden eines Mitglieds werden personenbezogene Daten gelöscht, sobald keine Rechtsgrundlage oder keine gesetzliche Aufbewahrungspflicht mehr besteht. Das BayLDA weist ausdrücklich darauf hin, dass Daten in der Regel zu löschen sind, sobald keine gesetzliche Grundlage mehr für die Speicherung besteht; dies ist bei Vereinsmitgliedern häufig erst nach dem Ausscheiden und nach Ablauf etwaiger Aufbewahrungsfristen der Fall.
12. Empfänger und Zugriffsberechtigte
Zugriff auf personenbezogene Daten erhalten nur diejenigen Personen, die sie für ihre Aufgaben benötigen. Das sind derzeit insbesondere die Administration sowie gegebenenfalls künftig weitere leitende Personen mit entsprechender Zuständigkeit. Innerhalb des Mitgliederbereichs können darüber hinaus die dort freigegebenen Inhalte und internen Transparenzangaben für andere Mitglieder sichtbar sein, soweit dies Bestandteil des Community-Systems ist.
Eine Verarbeitung durch externe Dienstleister erfolgt nur, soweit dies für Hosting, Betrieb, E-Mail-Versand, Sicherheit, Wartung oder vergleichbare technische Zwecke erforderlich ist. Werden externe Unternehmen im Auftrag personenbezogene Daten verarbeiten, ist dafür regelmäßig ein Vertrag zur Auftragsverarbeitung erforderlich. Darauf weist auch das BayLDA hin.
13. Technische und organisatorische Maßnahmen
Zum Schutz der personenbezogenen Daten setzen wir angemessene technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere passwortgeschützte Zugänge, rollenbasierte Berechtigungen, aktuelle Softwarestände, regelmäßige Backups, Schutz vor unberechtigtem Zugriff, sichere Übertragung per SSL/TLS sowie organisatorische Begrenzung von Zugriffsrechten. Das BayLDA nennt für Vereine als typische Standardmaßnahmen unter anderem aktuelle Systeme, Passwortschutz, Backups, Sicherheitssoftware und Benutzerrechte.
14. Rechte der Mitglieder
Mitglieder haben nach der DSGVO insbesondere das Recht auf Auskunft über die zu ihrer Person gespeicherten Daten, auf Berichtigung unrichtiger Daten, auf Löschung im Rahmen der gesetzlichen Voraussetzungen, auf Einschränkung der Verarbeitung, auf Widerspruch gegen bestimmte Verarbeitungen sowie gegebenenfalls auf Datenübertragbarkeit. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde. Die wesentlichen Informations- und Betroffenenrechte ergeben sich aus der DSGVO.
15. Pflicht zur Bereitstellung
Bestimmte personenbezogene Daten sind für die Mitgliedschaft und für die Nutzung des Mitgliederbereichs erforderlich. Ohne diese Daten kann eine Mitgliedschaft, eine interne Organisation oder die Teilnahme an bestimmten Funktionen wie Ticketvergabe, Abstimmungen oder Community-Management nicht oder nicht vollständig durchgeführt werden. Die DSGVO verlangt auch Informationen darüber, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist.
16. Änderungen dieser Hinweise
Diese internen Datenschutzhinweise können angepasst werden, wenn sich Funktionen, Abläufe, Zuständigkeiten oder rechtliche Anforderungen ändern. Wenn neue Datenarten erhoben oder bestehende Daten für neue Zwecke verarbeitet werden, erhalten Mitglieder hierzu aktualisierte Informationen. Das BayLDA weist für Vereine ausdrücklich darauf hin, dass bei Zweckänderungen oder später erhobenen weiteren Daten erneut zu informieren ist.
17. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist.
Bewerbungsdaten werden bei Ablehnung oder Rücknahme der Bewerbung grundsätzlich sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht, sofern keine Einwilligung in eine längere Aufbewahrung vorliegt.
Stammdaten von Mitgliedern speichern wir für die Dauer der Mitgliedschaft. Nach dem Austritt werden diese Daten grundsätzlich gelöscht, sobald sie für die Mitgliederverwaltung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Archivzwecke entgegenstehen.
Aktivitäts- und Punkteeinträge, die keine fortwirkende Relevanz für Ticketvergaben, Folgeentscheidungen, Nachprüfungen oder sonstige interne Bewertungsprozesse haben, werden grundsätzlich nach 3 Monaten gelöscht oder anonymisiert.
Aktivitäts-, Punkte- sowie Foul-, Gelb- und Rot-Einträge, die für Ticketvergaben, Folgeentscheidungen, Nachprüfungen oder laufende interne Bewertungsprozesse relevant sind, werden nur so lange gespeichert, wie dies für diese Zwecke erforderlich ist. Solche Einträge bleiben grundsätzlich mindestens für die laufende Saison gespeichert und werden danach gelöscht, anonymisiert oder nur noch mit eingeschränktem Zugriff archiviert, sofern keine weitere Erforderlichkeit besteht.
Ticketdaten, insbesondere zu Bewerbungen, Zuteilungen, Reservierungen, Zahlungen und ticketbezogenen Vorgängen, speichern wir grundsätzlich bis zum Ende der laufenden Saison zuzüglich zwölf Monaten, soweit keine längeren gesetzlichen Aufbewahrungspflichten bestehen.
Einsprüche, Nachprüfungen und zugehörige Vermerke speichern wir grundsätzlich bis zum Abschluss des jeweiligen Vorgangs und darüber hinaus nur so lange, wie dies zur Dokumentation und Konfliktklärung erforderlich ist.
Medien-Uploads und zugehörige Markierungen speichern wir grundsätzlich bis zur Löschung durch das Mitglied, bis zum Widerruf einer Freigabe oder bis zum Wegfall des jeweiligen Zwecks.
Offene Abstimmungen speichern wir grundsätzlich nur so lange, wie dies für Dokumentation und Nachvollziehbarkeit erforderlich ist. Bei geheimen Abstimmungen werden personenbezogene Zuordnungen der Stimmabgabe nicht gespeichert, soweit dies technisch und organisatorisch möglich ist.
Technische Protokoll- und Sicherheitsdaten speichern wir grundsätzlich nur kurzfristig für 7 bis 30 Tage, soweit keine längere Aufbewahrung zur Aufklärung von Sicherheitsvorfällen erforderlich ist.