DAV 360

Datenschutzerklärung / Privacy Policy

1. Über uns und den Zweck der Datenschutzerklärung

Willkommen auf DAV360, der digitalen Verwaltungsplattform des Bundesverbands des Deutschen Alpenvereins, Anni-Albers-Straße 7, 80807 München.

Die Online-Plattform DAV360 ist eine, mit einem zentralen Log-in gesicherte Umgebung und erleichtert ehrenamtlichen und hauptberuflichen Mitarbeitern der DAV Sektionen und des Bundesverbandes den Zugang zu ihren Verwaltungsanwendungen. Der Bundesverband des Deutschen Alpenvereins (im Folgenden „DAV“, „wir“, „uns“, „unser“) nimmt als verantwortliche Stelle der Online-Plattform www.DAV360.de die Verpflichtung zum Datenschutz sehr ernst und gestaltet die Verwaltungsplattform so, dass nur so wenige personenbezogene Daten wie nötig erhoben, verarbeitet und genutzt werden. Personenbezogene Daten werden unter keinen Umständen zu Werbezwecken an Dritte vermietet oder verkauft. Ohne die ausdrückliche Einwilligung des Anwenders werden keine personenbezogenen Daten für Werbe- oder Marketingzwecke genutzt.

Wir legen besonderen Wert darauf, Ihre personenbezogenen Daten unter Beachtung der anwendbaren gesetzlichen Vorschriften zu schützen. Zugriff auf personenbezogene Daten haben bei uns nur solche Personen, die diese Daten zur Durchführung ihrer Aufgaben innerhalb der verantwortlichen Stelle benötigen, die über die gesetzlichen Bestimmungen zum Datenschutz informiert sind und sich gemäß der geltenden gesetzlichen Bestimmungen (Art. 5 der EU-Datenschutzgrundverordnung (EU-DSGVO)) verpflichtet haben, diese einzuhalten. Die Erhebung, Verarbeitung, Nutzung und Übermittlung der erhobenen personenbezogenen Daten erfolgt, nach Art 6. Absatz 1 EU-DSGVO, nur in dem Umfang, der für die Durchführung eines Vertragsverhältnisses zwischen dem DAV, als verantwortlicher Stelle, und dem Nutzer, als Betroffenen, erforderlich ist. Die Sektionen und der Bundesverband kooperieren auf Basis der bestehenden Auftragsverarbeitungsverträge („AVV“).

2. Zweckänderungen der Verarbeitung und Datennutzung

Da sich auf Grund des technischen Fortschritts und organisatorischer Änderungen der eingesetzten Verarbeitungsverfahren ändern/weiterentwickeln können behalten wir uns vor, die vorliegende Datenschutzerklärung gemäß den neuen technischen Rahmenbedingungen weiterzuentwickeln. Wir bitten Sie deshalb die Datenschutzerklärung vom DAV von Zeit zu Zeit zu überprüfen. Sollten Sie mit den im Verlaufe der Zeit auftretenden Weiterentwicklungen nicht einverstanden sein, so können Sie schriftlich, gemäß Art 17 EU-DSGVO, eine Löschung der Daten, die nicht auf Grundlage anderer gesetzlicher Vorgaben, wie handelsrechtlicher oder steuerrechtlicher Aufbewahrungspflichten, gespeichert werden, verlangen.

3. Die Verarbeitung Ihrer personenbezogenen Daten

3.1 Registrierung für DAV360 – Einwilligungserklärung

Um Zugang zu allen Funktionen von DAV360 zu erhalten, müssen Sie sich auf office.com registrieren und ein Benutzerkonto („Benutzerkonto“) anlegen. Im Rahmen des Registrierungsprozesses werden Sie gebeten, Ihrem Sektionsadministrator verschiedene notwendige Informationen einschließlich Vor- und Nachnamen, die E-Mail-Adresse sowie die Mobilfunknummer zur Verfügung zu stellen. Diese Daten sind für die Authentifizierung notwendig. Die betreffenden Informationen werden von ihrer Sektion und uns benötigt, um ihre Identität im zentralen Azure Active Directory („AAD“ = Verzeichnisdienst, in dem den Benutzern Zugriffsrechte auf Daten, Anwendungen und Servern verwaltet werden) anzulegen und ihnen dann ein Benutzerkonto zur Nutzung von DAV360 zu erstellen. Darüber hinaus benötigen wir die Mobilfunknummer für die 2-Faktor-Authentifizierung. Dieser zweite Faktor ermöglicht, dass jeder Nutzer sein Passwort eigenständig zurücksetzen kann und somit keine Administratoren in den Passwort-Prozess eingebunden werden müssen. Damit wird ein hinreichendes Datenschutzniveau gegen unerlaubte Zugriffsversuche von Dritten erzielt. Die verantwortliche Stelle hält sich dabei an die Vorgaben der Art 5 und 6 EU-DSGVO.

Neben den zur Registrierung erforderlichen Informationen können Sie uns weitere Informationen zur Verfügung stellen, die es uns erleichtern, Sie zu identifizieren. Keine dieser Informationen ist erforderlich zur Erstellung eines Benutzerkontos, wobei die Bereitstellung durch Sie auf freiwilliger Basis erfolgt. Im Rahmen der Erstellung des Accounts lassen wir Ihnen zwecks Bestätigung der von Ihnen genannten E-Mail-Adresse eine E-Mail mit einem temporären Passwort zukommen. Um die Registrierung abzuschließen, müssen Sie das temporäre Passwort ändern und ein persönliches Passwort wählen. Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) muss bei einem sicheren Passwort die Länge von mindestens 8 Zeichen und die Komplexität entsprechend berücksichtigt werden. Weitere Informationen finden Sie hier.

Im Rahmen der Registrierung werden keine sensiblen personenbezogenen Daten erhoben oder anderweitig verarbeitet. Nach erfolgreicher Registrierung können Sie sich zusammen mit Ihrem Passwort und dem Ihnen zugewiesenen Benutzernamen an Ihrem Benutzerkonto anmelden. Mit der zentralen Anmeldung („Single Sign-on“) können Sie in Zukunft auf alle für Sie freigeschalteten Funktionen zugreifen.

3.2 Nutzung und Weitergabe personenbezogener Daten

Die zur Registrierung erforderlichen Informationen (nachfolgend zusammen „Registrierungsdaten“) werden bis auf die unten genannten Organisationsprozesse durch den DAV direkt verarbeitet.

Ihre Registrierungsdaten werden wie nachfolgend beschrieben gespeichert und Dritten zur Verfügung gestellt:

  • Ihre Registrierungsdaten werden ausschließlich in der Microsoft Azure Cloud gespeichert. Die Server, auf denen die Microsoft Azure Cloud betrieben wird, befinden sich in deutschen Rechenzentren und damit im Gültigkeitsbereich der DSGVO.
  • Vereinzelt können Ihre Registrierungsdaten oder Teile Ihrer Registrierungsdaten Dienstleistern zugänglich sein, die IT-Dienstleistungen für den DAV erbringen. Mit diesen bestehen Auftragsverarbeitungsverträge („AVV“). Die Dienstleister werden Ihre Registrierungsdaten ausschließlich dann und nur in dem Umfang in unserem Auftrag und entsprechend unseren Anweisungen verarbeiten, wie es zur Erbringung der IT-Dienstleistungen erforderlich ist. Die von der verantwortlichen Stelle eingeschalteten Dienstleister haben ihren Sitz und betreiben ihre IT-Infrastruktur ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR). Dies gilt auch für die Nutzung von cloud-basierten Diensten. Mit den Dienstleistern bestehen Verträge, die den Datenschutz- und Datensicherheitsvorgaben der EU-DSGVO entsprechen. Auch im Falle der Einschaltung von externen Dienstleistern bleibt der DAV die für die Verarbeitung verantwortliche Stelle.

Im Übrigen findet keine Weitergabe an sonstige Dritte statt. Sollte sich die verantwortliche Stelle zu Ihrer Leistungserbringung der Unterstützung von Dienstleistern bedienen, wurden die erforderlichen Verträge gem. Art. 28 DSGVO geschlossen. Wenn Sie nähere Informationen bzgl. der eingesetzten Auftragsverarbeiter benötigen, wenden Sie sich bitte an den Datenschutzbeauftragten, Prof. Dr. Rolf Lauser (Tel.: 08131/511750 oder per E-Mail datenschutzbeauftragter@alpenverein.de)

Soweit nicht zuvor beschrieben werden Ihre Registrierungsdaten keinen Dritten zur Verfügung gestellt. Ihre Registrierungsdaten werden verarbeitet, bis Sie die unten abgedruckte Einwilligungserklärung widerrufen, die Sie im Rahmen des Registrierungsprozesses für Ihr Benutzerkonto abgegeben haben, oder bis Sie Ihr Benutzerkonto schließen. In diesen Fällen werden Ihre Registrierungsdaten von sämtlichen Datenbanken gelöscht. Damit ist eine Nutzung von DAV360 nicht mehr möglich.

Bestätigung:

Indem Sie sich registrieren und ein Benutzerkonto erstellen, bestätigen Sie ausdrücklich in die zuvor beschriebene Verarbeitung Ihrer Registrierungsdaten ein. Sie sind sich der Tatsache bewusst, dass die Speicherung der personenbezogenen Daten für die Nutzung von DAV360 notwendig ist. Dieser können Sie jederzeit unter Nutzung der folgenden Kontaktdaten widersprechen. Bitte senden Sie eine E-Mail an datenschutzbeauftragter@alpenverein.de mit dem Betreff "Datenbestände austragen". Allerdings müssen wir die darauf hinweise, dass damit die weitere Nutzung des Portals mit Wirkung für die Zukunft nicht mehr möglich sein wird.

4. Externe Links

Zu Ihrer Information finden Sie auf unseren Seiten Links, die auf Seiten Dritter verweisen. Soweit dies nicht offensichtlich erkennbar ist, weisen wir Sie darauf hin, dass es sich um einen externen Link handelt. Die verantwortliche Stelle hat keinerlei Einfluss auf den Inhalt und die Gestaltung dieser Seiten anderer Anbieter. Die Garantien dieser Datenschutzerklärung gelten daher für externe Anbieter nicht.

5. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur solange wir Sie zur Bereitstellung des von Ihnen genutzten Webangebotes benötigen bzw. solange uns Ihre Einwilligung vorliegt oder wir ein anderweitiges berechtigtes Interesse an der Datenverarbeitung haben. Eine darüberhinausgehende Speicherung erfolgt lediglich auf der Grundlage gesetzlicher Vorschriften. Bei buchhaltungsrelevanten Daten gilt gemäß § 147 AO, bzw. § 257 HGB eine Speicherdauer von 10 Jahren.

6. Export und Verarbeitung der Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes

Generell findet kein Export ihrer personenbezogenen Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes (Im Folgenden EWR) statt, gleiches gilt für die Schweiz.

Allerdings können im Zusammenhang mit der Bereitstellung von Microsoft Teams und der damit verbundenen Verwendung von Add-in Apps sowie die Verwendung von weiteren Plugins oder externen Links, Daten in die USA exportiert werden. Weitere Hinweise sind diesbezüglich den folgenden Gliederungspunkten zu entnehmen: „8. Verwendung von Office 365 und ausgewählten Addin Apps“ bzw. „12. Nutzung von Social Plug-ins“.

7. Cookies

Auf DAV360 sowie weiteren Systemen, wie DAV360 Hilfe und Wissen (Jira und Confluence), auf die Sie über den direkten Zugang über DAV360 gelangen können, werden Cookies eingesetzt. Bei Cookies handelt es sich um kleine Textdateien, die von Ihrem Internet-Browser heruntergeladen und auf dem von Ihnen zur Nutzung der Systeme verwendeten Endgerät (wie z.B. Ihr Desktop-Computer, Tablet oder Smartphone) gespeichert werden. Zu unterscheiden sind Textdateien, die entweder temporär im Arbeitsspeicher des Computers abgelegt ("Sitzungscookie") oder auf der Festplatte gespeichert wird ("permanenter" Cookie). Abhängig von Ihrem Verwendungszweck speichern Cookies bestimmte nutzerspezifische Informationen wie etwa Ihre Nutzereinstellungen, Authentifizierungsmerkmale oder Sicherheitsparameter.

Auf DAV360 werden ausschließlich permanente Cookies verwendet. Permanente Cookies sind Cookies, die wir Im Rahmen Ihrer Nutzung von DAV360 in unserer Eigenschaft als für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle auf Ihrem Endgerät speichern und von dort abrufen. Sämtliche auf DAV360 verwandte permanente Cookies dienen ausschließlich dazu, die Übertragung von Nachrichten über das elektronische Kommunikationsnetz durchzuführen oder zu erleichtern, über das auf DAV360 zugegriffen wird, oder sind unbedingt erforderlich, um die von Ihnen ausdrücklich gewünschten Funktionen von DAV360 zur Verfügung stellen zu können.

Soweit im Übrigen bei DAV360 Hilfe und Wissen (Jira und Confluence) weitere Cookies eingesetzt werden, finden Sie die entsprechenden Informationen unter dem Punkt "9.2 Einsatz von Cookies bei Jira und Confluence".

7.1. Vermeidung von Cookies

Der Besucher hat jederzeit die Möglichkeit, das Setzen von nicht betriebsnotwendigen Cookies abzulehnen. Dies geschieht in der Regel durch die Wahl der entsprechenden Option in den Einstellungen des Browsers oder durch zusätzliche Programme. Näheres ist der Hilfe- Funktion des kundenseitig verwendeten Browsers zu entnehmen. Entscheidet sich der Kunde für die Ausschaltung von Cookies, kann dies den Leistungsumfang des Service mindern und sich bei der Nutzung der Dienste der verantwortlichen Stelle negativ bemerkbar machen. Betriebsrelevante Cookies, wie jene des Portals DAV360, können hingegen nicht abgelehnt werden, da eine Verwendung von DAV360 sonst nicht möglich ist.

8. Webstorage

Die Speichertechnologie des Web Storage findet im Portal DAV 360 Anwendung und speichert Daten im Browser des Endnutzers. Dies ist für das Arbeiten im Portal notwendig (Bsp.: JWTToken für Authentifizierung). Die Daten verbleiben dabei auf dem Endgerät des Nutzers. Damit behält jener die Kontrolle über seine Daten. Der Web Storage wird grundsätzlich in zwei Speicherarten, den SessionStorage und LocalStorage unterteilt.

Beim SessionStorage werden die Daten mit dem Schließen des Tabs/Fensters, in welchem sie gespeichert wurden, gelöscht. Die Daten sind nur im selben Tab/Fenster verfügbar, in welchem sie gespeichert wurden.

Beim LocalStorage hingegen bleiben die Daten nach dem Schließen des Tabs oder des Browsers weiterhin gespeichert. Die Daten sind über Browserfenster und -tabs hinweg verfügbar, jedoch nur unter derselben Domain und demselben Protokoll.

Bei beiden Speicherarten werden die Daten verschiedener Websites strikt getrennt voneinander im Web Storage abgelegt.

Der Web Storage ermöglicht das client-seitige Speichern von Daten, damit eine effiziente Arbeitsweise gewährleistet wird und keine unnötigen Wartezeiten entstehen. Nur so können anwendungs- und benutzerspezifische Einstellungen während einer Session oder Session übergreifend gespeichert werden und es kann ohne erneute Authentifizierung gearbeitet werden.

9. Verwendung von Jira und Confluence

Der Zugang zu den Systemen Jira und Confluence von Atlassian erfolgt über das Portal DAV360. Die Wissensdatenbank, DAV360 Wissen, ist auf Confluence aufgebaut und das Support Ticketing Tool, DAV360 Hilfe, basiert auf Jira HelpDesk. Beide Systeme werden auf der Azure Cloud durch den DAV gehostet.

9.1 Registrierung und Nutzung von JIRA und Confluence

Mit der Registrierung und dem Zugang zu DAV360 können Sie auch die Services DAV360 Hilfe und Wissen, entsprechend Jira und Confluence nutzen. Mit der zentralen Anmeldung („Single Sign-on“) können Sie auf DAV360 Hilfe und Wissen umgehend zugreifen und entsprechend ihrer Berechtigungen nutzen. Dafür werden ihr Benutzername und das Passwort an die jeweiligen Systeme zur Authentifizierung weitergeleitet.

Ihre Registrierungsdaten werden verarbeitet, bis Sie die Einwilligungserklärung widerrufen, die Sie im Rahmen des Registrierungsprozesses für Ihr Benutzerkonto abgegeben haben, ansonsten bis Sie Ihr Benutzerkonto schließen. In diesen Fällen werden Ihre Registrierungsdaten von sämtlichen Datenbanken, einschließlich Jira und Confluence umgehend gelöscht. Damit ist eine Nutzung von DAV360 sowie DAV360 Hilfe und Wissen nicht mehr möglich.

9.2 Einsatz von Cookies bei Jira und Confluence

Jira verwendet betriebsnotwendige Cookies u.a. für den Zweck der Verbesserung der Sicherheit und der Speicherung grundlegender Browsereinstellungen, wie den Darstellungszustand. Die Authentifizierungsdaten der JIRA-Benutzer werden von diesen Cookies nicht gespeichert. Rechtsgrundlage für das Setzen der Cookies ist das berechtigte Interesse an der Bereitstellung des Dienstes, für welchen Cookies zwingend erforderlich. Zudem müssen uns die Nutzer eine Einwilligung über das Cookie-Banner erteilen.

Die konkreten Informationen zu den verwendeten Cookies bei Jira sind folgende:

Cookie-Name Beschreibung Kategorie Speicherdauer
JSESSIONID Cookie wird durch den Applikationsserver kreiert und wird für das Tracking der Session benötigt. Dieses Cookie enthält eine zufällige Abfolge. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
atlassian.xsrf.token Cookie verhindert XSRF Angriffe und stellt sicher, dass während der Session die Browseranfragen, die an einen Jira-Server gesendet werden, auch von diesem Jira-Server stammen. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
mo.jira-oauth.baseurl Speicherung der Basis-URL über die sich der Nutzer anmelden will. Der Einsatz des Cookies ist für den SSO notwendig, um dem Nutzer der korrekten URL zuzuordnen. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
mo.jira-oauth.logoutcookie Cookie speichert die ID des OAuth-Anbieters, den der Benutzer zur Durchführung des SSO verwendet hat. Dieser Wert wird verwendet, um zum Zeitpunkt der Abmeldung eine einzelne Abmeldeanfrage an den OAuth-Anbieter zu senden. Die ID wird vom Plugin generiert, wenn die OAuth-Provider-Einstellungen im Plugin konfiguriert werden. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
AJS.thisPage Zeigt an, dass der Browser des Benutzers die lokale Speicherung nicht unterstützt. Bezieht sich auf einen Mechanismus, der von Jira verwendet wird, um Feldinformationen in Suchansichten zu speichern, wenn der Benutzer auf die Zurück-Taste seines Browsers klickt. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.

Auch für Confluence gibt es mehrere Cookies, mit denen grundlegende Zustände der Produktpräsentation gespeichert werden. Die Authentifizierungsdaten von Confluence-Nutzern werden ebenfalls von diesen Cookies nicht gespeichert. Rechtsgrundlage für das Setzen der Cookies ist das berechtigte Interesse an der Bereitstellung des Dienstes, für welchen Cookies zwingend erforderlich. Zudem müssen uns die Nutzer eine Einwilligung über das Cookie-Banner erteilen.

Die konkreten Informationen zu den verwendeten Cookies bei Confluence sind folgende:

Cookie-Name Beschreibung Kategorie Speicherdauer
JSESSIONID Cookie wird durch den Applikationsserver kreiert und wird für das Tracking der Session benötigt, erfolgt in einer zufälligen Abfolge. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird
mo.confluence-oauth.LOGOUTCOOKIE Cookie speichert die ID des OAuth-Anbieters, den der Benutzer zur Durchführung von SSO verwendet hat. Dieser Wert wird verwendet, um zum Zeitpunkt der Abmeldung eine einzelne Abmeldeanfrage an den OAuth-Anbieter zu senden. Die ID wird vom Plugin generiert, wenn die OAuth-Provider-Einstellungen im Plugin konfiguriert werden. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird

10. Verwendung von Office 365 und ausgewählten Add-in Apps

Microsoft bietet eine Vielzahl an Produkten an, inklusive der Azure Cloud, einem cloudbasierten Serverprodukt. Mit dem Zugang zu DAV360 können Sie auf das Microsoft Produkt Office 365 zugreifen. Dies ist die cloudbasierte Version des Office-Anwendungspakets von Microsoft, weitere Informationen sind dem Punkt 10.1 zu entnehmen. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint sowie Cloud-Speicher-Dienste wie SharePoint und OneDrive. Bei Nutzung der cloudbasierten Version werden die Daten automatisch in der Cloud gespeichert und sind über die Basisverschlüsselung gesichert.

Ihnen wird Office 365 über den DAV zur Verfügung gestellt, dementsprechend können IT-Administratoren des DAV mit gesonderten Rechten die eingesetzten Produkte kontrollieren und ggf. den jeweiligen Verantwortlichen zur Überprüfung kontaktieren bzw. adäquate Sicherheitsmaßnahmen ergreifen. Die Verarbeitung ist zur Wahrung berechtigter Interessen der Verantwortlichen, gemäß Art 6 (1) lit. f) DSGVO gestattet. Die Verarbeitung Ihrer personenbezogenen Daten durch Microsoft im Zusammenhang mit diesem Produkt wird durch einen Auftragsverarbeitungsvertrag („AVV“) zwischen Microsoft und dem DAV geregelt. Microsoft verarbeitet Ihre personenbezogenen Daten, um das Produkt dem DAV und Ihnen zur Verfügung zu stellen. Sollte aus diesem Grund ein Datentransfer in einen Drittstaat erfolgen, liegen sogenannte Standardvertragsklauseln vor. Diese von der Europäischen Kommission verabschiedeten Vertragswerke gewährleisten im Falle eines Datentransfers in einen Drittstaat die Einhaltung der europäischen Datenschutzstandards. Wenn Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten durch Microsoft im Zusammenhang mit der Bereitstellung von Produkten für den DAV haben, wenden Sie sich bitte an den Datenschutzbeauftragten des DAV, Prof. Dr. Rolf Lauser (Tel.: 08131/511750 oder per E-Mail datenschutzbeauftragter@alpenverein.de).

Für den DAV ist Office 365 Deutschland im Einsatz. Dabei handelt es sich um eine Version für die in Europa verfügbaren Office 365 Dienste. Sie hat dazu beigetragen, dass die Anforderungen der Kunden in Deutschland, der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) erfüllt werden, indem Office 365 von deutschen Rechenzentren mit Daten bereitgestellt werden. Office 365 wird für den DAV in dieser isolierten Umgebung angeboten. Allerdings ist ein Datentransfer in Drittländer in Supportfällen sowie bei der Verwendung von bestimmten Produkten nicht ausgeschlossen. Zu diesen Produkten zählen beispielsweise Yammer und Sway, die aus diesem Grund über den DAV nicht zur Verfügung stehen.

Weitere Informationen zu den Vertrauens- und sicherheitsrelevanten Informationen finden Sie im Microsoft Trust Center.

10.1. Microsoft Outlook App

Über Office365 stellt der Deutsche Alpenverein den Sektionen die cloudbasierte Version von Outlook zur Verfügung. Damit erhält jeder Nutzer eine personenbezogene E-Mail-Adresse. Dem Nutzer ist untersagt dieses Postfach für private Zwecke zu Verwenden oder an Dritte weiterzugeben. Funktionsgebundene E-Mail-Adressen dürfen jedoch an entsprechende Funktionsträger weitergegeben werden, auch hier ist die private Nutzung untersagt.

10.2. Teilen von Daten mit unabhängigen Dritten

Einige Office 365-Produkte umfassen Erweiterungsoptionen, mit denen Daten mit unabhängigen Drittanbietern geteilt werden können. Bei Exchange Online handelt es sich beispielsweise um eine Plattform, die durch die Integration von Drittanbieter-Add-Ins oder Connectors (wie Apple Mail, o.ä.) in Outlook erweitert werden kann. Bei Add-Ins oder Connectors handelt es sich um vorgefertigte Funktionen, die in Anwendungen eingebunden und vollständig in das Hauptprogramm integriert werden können. Diese Drittanbieter von Add-Ins oder Connectors agieren unabhängig von Microsoft und ermöglichen es, dass durch den Alpenverein bereitgestellte Outlook-Konto in andere Anwendungen, wie Apple Mail oder Samsung E-Mail zu integrieren. Die Add-Ins oder Connectors wurden von den Administratoren aktiviert.

Mit der Verwendung von Drittanbieter-Add-Ins oder Connectors in Outlook stimmt der Nutzer automatisch den Administrationsrichtlinien zu. Diese können in begründeten Fällen jederzeit eingesehen werden. Damit haben die Administratoren das Recht bei einem vorliegenden triftigen Grund (wie bspw. ein Missbrauch oder Austritt aus der Organisation) das in der Drittanbieter-App integrierte DAV Konto zu löschen.

Um dies zu umgehen, empfiehlt es sich, auf die Integration des Alpenverein Outlook-Kontos in einer Drittanbieter-App zu verzichten und die Outlook-App auf den Anwendungen zu verwenden, denn auch mit der Outlook-App lassen sich weitere E-Mail-Konten sicher einbinden.

10.3. Microsoft Teams App

Die Kollaborationsplattform Microsoft Teams nutzt in großem Umfang Exchange Online, SharePoint Online und Skype for Business Online für elementare Produktivitätsszenarien wie Besprechungen, Kalender, Chats und Dateifreigabe. Richtlinien für bedingten Zugriff, die für diese Cloud-Apps festgelegt wurden, gelten auch für Microsoft Teams, wenn sich Benutzer direkt bei Microsoft Teams anmelden – unabhängig vom Client.

Microsoft Teams wird separat als Cloud-App in Azure Active Directory-Richtlinien für bedingten Zugriff unterstützt. Die oben genannten Richtlinien die für Office365 zutreffen sind auch für die Microsoft Teams-Cloud-App festgelegt wurden.

Als Bestandteil von Office 365 Deutschland werden die Daten von Microsoft Teams ebenfalls von deutschen Rechenzentren bereitgestellt. Allerdings kann dies bei der Verwendung von sogenannten Add-in Apps nicht gewährleistet werden. Bei dem Umfrage Tool Polly beispielsweise können Daten über die USA geroutet werden.

Soweit Sie als Teilnehmer Ihre Einwilligung erteilen (Art. 6 Abs. 1 lit. a DSGVO), kann mittels der Funktion „Transkription“ von Teams der genaue Wortlaut aller Wortbeiträge in einer Besprechung für alle Teilnehmer sichtbar verschriftlicht werden.

Generell folgt Microsoft Teams den gleichen Leitlinien und Prinzipien wie das Microsoft Trust Center.

10.3.1. Sektionsübergreifende Arbeitsgruppen

Für die sektionsübergreifende Kommunikation und Zusammenarbeit steht den registrierten Nutzern Microsoft Teams zur Verfügung. Für die Zusammenarbeit können die Nutzer sektionsübergreifenden Arbeitsgruppen zugeordnet werden. Mit der Zustimmung der Datenschutzerklärung bei der Nutzeranlage willigen die Betroffenen ein, dass ihre personenbezogenen oder funktionsbezogenen E-Mail-Adressen den Teilnehmern der Arbeitsgruppe ersichtlich sind.

Die E-Mail-Adressen dürfen in sektionsübergreifenden Arbeitsgruppen verwendet werden, bis Sie die Einwilligung schriftlich widerrufen oder Ihr Benutzerkonto schließen. Allerdings sind Sie dann von der Nutzung der Microsoft Teams App im Alpenverein ausgeschlossen.

10.4. Microsoft Forms

Wir informieren nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Microsoft Forms“. Wir setzen das Tool „Microsoft Forms“ für interne und externe Um- und Abfragen, wie z.B. Evaluierung von durchgeführten Aktionen, Anmeldung zu Veranstaltungen etc. ein. „Microsoft Forms“ ist ein Tool von Microsoft 365 / DAV360 und ein Dienst der Microsoft Ireland Operations Limited. Die Daten von Nutzern aus der Europäischen Union werden in Rechenzentren innerhalb des Europäischen Wirtschaftsraumes (EWR) verarbeitet. Dennoch kann es für die Erbringung des Dienstes sowie im Rahmen des Supportes erforderlich sein, dass Daten am Hauptsitz von Microsoft Inc. in den USA verarbeitet werden/Fernzugriffe stattfinden. Für Datenübermittlungen in Drittländer sind die EU-Standardvertragsklauseln vertraglich vereinbart. Die EU-Standardvertragsklauseln stellen gemäß Art. 46 Abs. 2 lit. c DSGVO eine Garantie für ein angemessenes EU-Datenschutzniveau dar. Wir informieren, dass die USA derzeit nach Rechtsprechung des EuGH kein sicheres Drittland im Sinne des EU-Datenschutzrechts sind. Aufgrund der Überwachungsgesetze in den USA können US-Dienstleister verpflichtet sein, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Betroffene einen Rechtsbehelf hiergegen einlegen können. Es kann daher nicht ausgeschlossen werden, dass US-Behörden, wie Geheimdienste, Ihre auf Servern der US-Dienstleister befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern werden. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

Daher hat Microsoft zusätzliche technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten ergriffen. Insbesondere werden die personenbezogenen Daten über Forms nur verschlüsselt übertragen. Darüber hinaus hat sich Microsoft vertraglich verpflichtet, Herausgabeanfragen von US-Behörden soweit möglich gerichtlich abzuwehren. Daher kann grundsätzlich von einem angemessenen Schutzniveau bei der Verarbeitung personenbezogener Daten durch Microsoft ausgegangen werden.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Datenverarbeitung der Formulare ist:

Deutscher Alpenverein e.V.
Anni-Albers-Straße 7
80807 München
Tel.: 089/14003-0
Fax: 089/14003-23
E-Mail: info@alpenverein.de

Betrieblicher Datenschutzbeauftragter ist:

Prof. Dr. Rolf Lauser
Dr. Gerhard-Hanke-Weg 31
85221 Dachau,
Fax: 08131/511619
E-Mail: datenschutzbeauftragter@alpenverein.de

Sollte die MS Forms Umfrage durch eine Sektion des Deutschen Alpenvereins e.V. erstellt worden sein, so ist diese Sektion die verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO. Die jeweiligen Kommunikationsdaten und auch den Kontakt zum Datenschutz der Sektion entnehmen Sie in diesem Fall bitte der jeweiligen Webseite der Sektion.

Microsoft ist insofern lediglich Auftragsverarbeiter. Soweit die Internetseite von Microsoft www.Office.com bzw. „Microsoft Forms“, personenbezogene Daten verarbeitet bzw. Cookies einsetzt, ist Microsoft für die Datenverarbeitung verantwortlich. Für die Erbringung des Dienstes Microsoft Forms werden auf der Umfrageseite Cookies von Microsoft eingesetzt. Weitere Informationen zum Datenschutz bei Microsoft unter https://privacy.microsoft.com/de-de/privacystatement.
Bei der Nutzung von „Microsoft Forms“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei von den gestellten und beantworteten Fragen sowie einem eventuellen Upload von zusätzlichen Diensten ab.

Grundsätzlich handelt es sich dabei um folgende personenbezogene Daten:

  • Name, Vorname
  • E-Mailadresse
  • Profilbild (optional, wenn in Microsoft 365 hinterlegt)
  • Bevorzugte Sprache
  • Status (optional, wenn in Microsoft 365 hinterlegt)
  • Datum und Uhrzeit der Öffnung des Fragebogens
  • Datum und Uhrzeit der Absendung der Antwort

Wenn Sie an einer anonymen Umfrage teilnehmen, enthält Ihre Antwort keine Kontaktinformation und kann nicht zu Ihnen zurückverfolgt werden.

Die Formular-Inhaber (Projektteam) haben Zugang zu Forms und können entweder allein oder mit anderen Inhabern Umfragen, Formulare und Fragebögen direkt erstellen und verteilen. Sie sind auch die alleinigen Empfänger der Antworten. Diese werden in Microsoft grafisch aufbereitet und sind für das Projektteam verfügbar.
Die Daten aus Umfragen/Formularen/Fragebögen (Fragen und Antworten) werden in der Microsoft Cloud gespeichert und von dort durch das Projektteam abgerufen. Sofern keine betriebliche Notwendigkeit, gesetzliche Verpflichtung oder ein besonderes betriebliches Interesse an einer dauerhaften Speicherung besteht, werden alle Angaben nach Zweckwegfall innerhalb eines Jahres gelöscht.
Die Teilnahme an unseren Umfragen ist grundsätzlich freiwillig. Soweit durch die Teilnahme an der Umfrage eine Einwilligung erteilt wird, ist die Rechtsgrundlage dann Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Durch Widerruf oder Nichterteilung der Einwilligung entstehen keine Nachteile. Sofern Umfragen im Rahmen eines Beschäftigtenverhältnisses erfolgen, die für die Durchführung des Beschäftigtenverhältnisses erforderlich sind, geschieht diese gemäß § 26 BDSG. Sollten Umfragen für die Anbahnung und/oder Erfüllung von Verträgen erforderlich sein, erfolgt die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1lit. b DSGVO. Falls keine Vertragsbeziehung bestehen sollte, können Umfragen auch zur Wahrung unserer berechtigten Interessen an einer effektiven Planung und Durchführung von Projekten und Prozessen gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich sein.

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „MS Forms-Umfragen und Formularen“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern die Daten nicht gerade zur Weitergabe bestimmt oder zur Zweckerfüllung erforderlich sind. Sofern externe Dienstleister für die Zweckerfüllung eingesetzt werden, können Daten an diese zweckgebunden weitergegeben werden.
Der Anbieter von „Microsoft Forms“ erhält notwendigerweise im Rahmen seiner Diensterbringung Kenntnis von diesen Daten als Auftragsverarbeiter.

Kinder unter 16 Jahren dürfen nur mit Zustimmung der Erziehungsberechtigten an unseren Umfragen teilnehmen.

Teilnahme an Veranstaltungen:

Sofern eine Abfrage über die Teilnahme an Veranstaltungen erfolgt, ist die Teilnahme grundsätzlich freiwillig. Sofern die Teilnahme zugesagt wird, erfolgt die Verarbeitung personenbezogener Daten für die Durchführung der Veranstaltung gemäß Art. 6 Abs. 1 lit. b DSGVO. Eine Zusage der Teilnahme kann jederzeit zurückgezogen werden. Für die Anmeldung zu einer Veranstaltung werden hauptsächlich Name, Vorname und E-Mailadresse verarbeitet. Je nach Veranstaltungsform können weitere Angaben abgefragt werden. Diese Angaben erhalten nur die internen Mitarbeiter, die diese für die Zweckerfüllung oder Erfüllung ihrer beruflichen Aufgaben benötigen. Sofern externe Dienstleister zur Zweckerfüllung eingesetzt werden, können die Angaben zweckgebunden weitergeleitet werden, soweit dies für die Aufgabenerfüllung erforderlich ist. Die personenbezogenen Daten werden nach Zweckerfüllung gelöscht, sofern diese nicht zu Abrechnungszwecken benötigt werden oder gesetzliche Aufbewahrungspflichten bestehen.
Es besteht das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch der Verarbeitung personenbezogener Daten sowie der Widerruf einer erteilten Einwilligung. Im Übrigen besteht das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
Weitere Informationen zum Datenschutz unter https: https://www.alpenverein.de/Info/Datenschutz/

11. Einsatz und Verwendung des Twilio Sendgrid E-Mail Dienstes

Für die Versendung von Informationen via Mail aus DAV360 und den damit verbundenen Services hat der DAV Twilio Sendgrid für den Mailversand im Einsatz. Twilio Sendgrid ist ein kommerzieller Service-Anbieter für Email-Versand. Der DAV nutzt diesen Dienst auf DAV360 und den Sektionswebsites für den Versand von Benachrichtigungen.

Betreibergesellschaft von Twilio SendGrid ist die Twilio Inc. 375 Beale Street, Suite 300 San Francisco, CA 94105 (USA). Der Versanddienstleister wird auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO und eines Auftragsverarbeitungsvertrages gem. Art. 28 Abs. 3 S. 1 DSGVO eingesetzt. Zudem liegen Standardvertragsklauseln mit Twilio vor. Der Versanddienstleister kann die Daten der Empfänger in pseudonymer Form, d.h. ohne Zuordnung zu einem Nutzer, zur Optimierung oder Verbesserung der eigenen Services nutzen. Der Versanddienstleister nutzt die Daten der Nutzer/innen jedoch nicht, um diese selbst anzuschreiben oder um die Daten an Dritte weiterzugeben.

E-Mail-Benachrichtigungen kommen im Rahmen von DAV360 bei folgenden Aktionen zum Einsatz:

  • Bei der Zustimmung der Datenschutzerklärung vor der Anlage
  • Bei der Mitarbeiteranlage zum Versand der Nutzerdaten und des temporären Passworts
  • Bei der Benutzung der Funktion zur Zurücksetzung des Passwortes
  • Bei Anfragen über das Kontaktformular der Sektionswebsite

Die Datenschutzbestimmungen des Versanddienstleisters können Sie hier einsehen: Services Privacy Policy.

12. Nutzung von Social Plug-ins

Im Rahmen von DAV360 bieten wir unterschiedliche Onlineangebote an, um darüber Informationen bereitzuhalten und um mit Ihnen in Kontakt treten zu können. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO.

Auf die Verarbeitung personenbezogener Daten durch den jeweiligen Plattformbetreiber haben wir keinen Einfluss. Wir achten bei der Auswahl von Social Plug-ins jedoch darauf, dass die Bertreiber sich dazu verpflichten, die Datenschutzstandards der EU einzuhalten.

12.1 Verwendung von Vimeo

Wir verwenden für die Einbindung von Videos den Anbieter Vimeo. Betrieben wird das Videoportal durch Vimeo LLC, 555 West 18th Street, New York, New York 10011, USA. Mit Hilfe eines Plug-ins können wir Ihnen so interessantes Videomaterial direkt auf unseren Portalen und Websites anzeigen. Dabei können gewissen Daten von Ihnen an Vimeo übertragen werden. In dieser Datenschutzerklärung erhalten Sie Informationen über die Datenverarbeitung im Zusammenhang mit der Nutzung von Vimeo. Den entsprechenden Link zur Datenschutzerklärung finden Sie unter https://vimeo.com/privacy.

12.1.1 Welche Daten werden auf Vimeo gespeichert?

Wenn Sie über unser Onlineangebot ein eingebettetes Vimeo-Video aktiv aufrufen, verbindet sich Ihr Browser mit den Servern von Vimeo. Damit kommt es zu einer Datenübertragung. Diese Daten werden auf den Vimeo-Servern gesammelt, gespeichert und verarbeitet. Das Tracking zur Erstellung von Nutzerprofilen und die Weitergabe der Nutzerinformationen an weitere Analyseprogramme wurde für die Verwendung von Vimeo im Rahmen des DAVs deaktiviert.

Unabhängig davon, ob Sie ein Vimeo-Konto haben oder nicht, sammelt Vimeo die Benutzerdaten, wenn ein Video bewusst angeklickt wird. Dazu zählen Ihre IP-Adresse, technische Infos über Ihren Browsertyp, Ihr Betriebssystem oder ganz grundlegende Geräteinformationen.

Falls Sie als registriertes Mitglied bei Vimeo eingeloggt sind, können meistens mehr Daten erhoben werden, da möglicherweise mehr Cookies bereits in Ihrem Browser gesetzt wurden. Zudem werden Ihre Handlungen auf unsere Webseite direkt mit Ihrem Vimeo-Account verknüpft. Um dies zu verhindern müssen Sie sich, während des “Surfens” auf unserer Webseite, von Vimeo ausloggen.

12.1.2 Wie lange und wo werden die Daten gespeichert?

Vimeo hat den Hauptsitz in White Plains im Bundesstaat New York (USA). Die Dienste werden aber weltweit angeboten. Dabei verwendet das Unternehmen Computersysteme, Datenbanken und Server in den USA und auch in anderen Ländern. Ihre Daten können somit auch auf Servern in Amerika gespeichert und verarbeitet werden. Die Daten bleiben bei Vimeo so lange gespeichert, bis das Unternehmen keinen wirtschaftlichen Grund mehr für die Speicherung hat. Dann werden die Daten gelöscht oder anonymisiert. Um ein angemessenes Datenschutzniveau bei der Übermittlung von Daten in die USA zu gewährleisten, hat der DAV die EU-Standardvertragsklauseln mit dem Anbieter von Vimeo in der sog. „Controller to Controller“-Variante abgeschlossen. Als weitere Schutzmaßnahmen bindet der DAV Videos von Vimeo grundsätzlich in der „Do Not Track“-Variante ein, so dass personenbezogene Daten nur in minimaler Weise an Vimeo übermittelt werden.

12.1.3 Datenspeicherung und -löschung?

Sie haben immer die Möglichkeit, Cookies in Ihrem Browser nach Ihren Wünschen zu verwalten. Wenn Sie beispielsweise nicht wollen, dass Vimeo Cookies setzt und so Informationen über Sie sammelt, können Sie in Ihren Browser-Einstellungen Cookies jederzeit löschen oder deaktivieren. Je nach Browser funktioniert dies ein bisschen anders. Bitte beachten Sie, dass möglicherweise nach dem Deaktivieren/Löschen von Cookies diverse Funktionen nicht mehr im vollen Ausmaß zur Verfügung stehen.

13. Datensicherheit

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Wir verwenden geeignete technische und organisatorische Maßnahmen und Sicherheitsvorkehrungen, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und jede andere Form der unrechtmäßigen Verarbeitung Ihrer personenbezogenen Daten erforderlich sind. In begründeten Fällen können die IT-Sicherheitslinien gerne eingesehen werden.

Der Umgang mit personenbezogenen Daten ist über die Technisch Organisatorischen Maßnahmen in der Bundesgeschäftsstelle geregelt. Dazu zählen die Zutritts-, Zugangs-, Zugriffs-, Weitergabe, Eingabe-, Auftrags-, und Verfügbarkeitskontrolle sowie das Trennungsgebot und die Verschlüsslung.

13.1 Sicherheits-Monitoring

Zur Datensicherheit muss auf Serverseite Monitoring betrieben werden. Dabei kombinieren Monitoring-Lösungen Protokolldaten der IT-Sicherheit, um Angriffe aufzudecken.

Folgende Daten werden dabei vom Server erfasst:

  • URL, Zeitstempel sowie zufällig generierte ID des Aufrufs
  • Angefragte Daten und aufgerufene Funktion
  • HTTP Status Code der Antwort
  • Leistungsdaten, z.B. Dauer der Verarbeitung und Größe der transferierten Daten
  • IP-Adresse des Aufrufers
  • Informationen über das Endgerät des Aufrufers
  • Anhand der IP ermittelte Standortdaten des Aufrufers (Stadt, Region sowie Land)

14. Rechte der Betroffenen

Soweit wir Ihre personenbezogenen Daten verarbeiten, stehen Ihnen die folgenden Rechte zu:

14.1 Recht auf Widerruf einer gegebenen Einwilligung

Sofern die Verarbeitung der personenbezogenen Daten auf einer erteilten Einwilligung beruht, haben Sie das Recht, diese Einwilligung zu widerrufen. Der Widerruf gilt für die Zukunft.

14.2 Recht auf Auskunft

Sie können von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall ist, können Sie die folgenden Auskünfte verlangen:

  • die Zwecke der Verarbeitung;
  • welche personenbezogenen Daten verarbeitet werden;
  • die Empfänger der Daten im Falle einer Datenübermittlung an Dritte, sowie den Namen und das Sitzland des Dritten;
  • die Speicherdauer der Daten;
  • das Bestehen eines Beschwerderechts bei der zuständigen Aufsichtsbehörde;
  • soweit die Daten nicht bei Ihnen direkt erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten.

Die gewünschte Auskunft wird Ihnen längstens binnen eines Monats nach Eingang des schriftlichen Auskunftsersuchens gegeben. Wir weisen Sie darauf hin, dass Auskünfte nur gegeben werden können, wenn die Identität des Antragstellers eindeutig feststellbar ist.

14.3 Recht auf Berichtigung

Sie haben das Recht, von uns unverzüglich die Berichtigung Ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig sind.

14.4 Recht auf Datenlöschung („Recht auf Vergessenwerden“)

Sie haben das Recht, von uns zu verlangen, dass Ihre personenbezogenen Daten gelöscht werden, soweit einer der folgenden Gründe zutrifft. Diese dürfen nicht im Widerspruch zueinanderstehen.

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig.
  • Es besteht für uns keine gesetzliche Pflicht die Daten zu speichern.
  • Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung stützte, und es existiert keine anderweitige Rechtsgrundlage für die Speicherung.
  • Sie legen Widerspruch gegen die Verarbeitung ein und es liegt keine Rechtsgrundlage für eine weitere Speicherung vor.
  • Die personenbezogenen Daten wurden von vorn herein unrechtmäßig erhoben und verarbeitet.

14.5 Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Sie bestreiten die Richtigkeit der Verarbeitung Ihrer personenbezogenen Daten für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • die Verarbeitung Ihrer personenbezogenen Daten ist eigentlich unrechtmäßig und Sie verlangen anstelle der Löschung die Einschränkung der Nutzung der personenbezogenen Daten;
  • wir benötigen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen diese jedoch zur Geltendmachung Ihrer Rechtsansprüche, oder
  • Sie haben Widerspruch gegen die Verarbeitung eingelegt, es aber noch nicht feststeht, ob unsere berechtigten Interessen Ihre berechtigten Interessen überwiegen.

14.6 Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die bei uns gespeichert sind, in einem gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, zu übermitteln.

14.7 Widerspruchsrecht

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten diese Daten dann nicht mehr, es sei denn, wir können schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, überwiegen.

14.8 Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei der für die verantwortliche Stelle zuständigen Datenschutzaufsichtsbehörde.

15. Weitere Informationen und Kontakte

Wenn Sie weitere Fragen zum Thema “Datenschutz bei der verantwortlichen Stelle” haben, wenden Sie sich an den Datenschutzbeauftragten der Bundesgeschäftsstelle des Deutschen Alpenvereins. Sie können erfragen, welche Ihrer Daten bei uns gespeichert sind. Darüber hinaus können Sie Auskünfte, Löschungs- und Berichtigungswünsche zu Ihren Daten und gerne auch Anregungen jederzeit per Brief oder E-Mail an folgende Adresse senden:

Prof. Dr. Rolf Lauser, Dr.-Gerhard-Hanke-Weg 31, 85221 Dachau

Tel.: 08131/511750, Fax: 08131/511619, E-Mail: datenschutzbeauftragter@alpenverein.de

DAV 360

Datenschutzerklärung / Privacy Policy

1. Über uns und den Zweck der Datenschutzerklärung

Willkommen auf DAV360, der digitalen Verwaltungsplattform des Bundesverbands des Deutschen Alpenvereins, Anni-Albers-Straße 7, 80807 München.

Die Online-Plattform DAV360 ist eine, mit einem zentralen Log-in gesicherte Umgebung und erleichtert ehrenamtlichen und hauptberuflichen Mitarbeitern der DAV Sektionen und des Bundesverbandes den Zugang zu ihren Verwaltungsanwendungen. Der Bundesverband des Deutschen Alpenvereins (im Folgenden „DAV“, „wir“, „uns“, „unser“) nimmt als verantwortliche Stelle der Online-Plattform www.DAV360.de die Verpflichtung zum Datenschutz sehr ernst und gestaltet die Verwaltungsplattform so, dass nur so wenige personenbezogene Daten wie nötig erhoben, verarbeitet und genutzt werden. Personenbezogene Daten werden unter keinen Umständen zu Werbezwecken an Dritte vermietet oder verkauft. Ohne die ausdrückliche Einwilligung des Anwenders werden keine personenbezogenen Daten für Werbe- oder Marketingzwecke genutzt.

Wir legen besonderen Wert darauf, Ihre personenbezogenen Daten unter Beachtung der anwendbaren gesetzlichen Vorschriften zu schützen. Zugriff auf personenbezogene Daten haben bei uns nur solche Personen, die diese Daten zur Durchführung ihrer Aufgaben innerhalb der verantwortlichen Stelle benötigen, die über die gesetzlichen Bestimmungen zum Datenschutz informiert sind und sich gemäß der geltenden gesetzlichen Bestimmungen (Art. 5 der EU-Datenschutzgrundverordnung (EU-DSGVO)) verpflichtet haben, diese einzuhalten. Die Erhebung, Verarbeitung, Nutzung und Übermittlung der erhobenen personenbezogenen Daten erfolgt, nach Art 6. Absatz 1 EU-DSGVO, nur in dem Umfang, der für die Durchführung eines Vertragsverhältnisses zwischen dem DAV, als verantwortlicher Stelle, und dem Nutzer, als Betroffenen, erforderlich ist. Die Sektionen und der Bundesverband kooperieren auf Basis der bestehenden Auftragsverarbeitungsverträge („AVV“).

2. Zweckänderungen der Verarbeitung und Datennutzung

Da sich auf Grund des technischen Fortschritts und organisatorischer Änderungen der eingesetzten Verarbeitungsverfahren ändern/weiterentwickeln können behalten wir uns vor, die vorliegende Datenschutzerklärung gemäß den neuen technischen Rahmenbedingungen weiterzuentwickeln. Wir bitten Sie deshalb die Datenschutzerklärung vom DAV von Zeit zu Zeit zu überprüfen. Sollten Sie mit den im Verlaufe der Zeit auftretenden Weiterentwicklungen nicht einverstanden sein, so können Sie schriftlich, gemäß Art 17 EU-DSGVO, eine Löschung der Daten, die nicht auf Grundlage anderer gesetzlicher Vorgaben, wie handelsrechtlicher oder steuerrechtlicher Aufbewahrungspflichten, gespeichert werden, verlangen.

3. Die Verarbeitung Ihrer personenbezogenen Daten

3.1 Registrierung für DAV360 – Einwilligungserklärung

Um Zugang zu allen Funktionen von DAV360 zu erhalten, müssen Sie sich auf office.com registrieren und ein Benutzerkonto („Benutzerkonto“) anlegen. Im Rahmen des Registrierungsprozesses werden Sie gebeten, Ihrem Sektionsadministrator verschiedene notwendige Informationen einschließlich Vor- und Nachnamen, die E-Mail-Adresse sowie die Mobilfunknummer zur Verfügung zu stellen. Diese Daten sind für die Authentifizierung notwendig. Die betreffenden Informationen werden von ihrer Sektion und uns benötigt, um ihre Identität im zentralen Azure Active Directory („AAD“ = Verzeichnisdienst, in dem den Benutzern Zugriffsrechte auf Daten, Anwendungen und Servern verwaltet werden) anzulegen und ihnen dann ein Benutzerkonto zur Nutzung von DAV360 zu erstellen. Darüber hinaus benötigen wir die Mobilfunknummer für die 2-Faktor-Authentifizierung. Dieser zweite Faktor ermöglicht, dass jeder Nutzer sein Passwort eigenständig zurücksetzen kann und somit keine Administratoren in den Passwort-Prozess eingebunden werden müssen. Damit wird ein hinreichendes Datenschutzniveau gegen unerlaubte Zugriffsversuche von Dritten erzielt. Die verantwortliche Stelle hält sich dabei an die Vorgaben der Art 5 und 6 EU-DSGVO.

Neben den zur Registrierung erforderlichen Informationen können Sie uns weitere Informationen zur Verfügung stellen, die es uns erleichtern, Sie zu identifizieren. Keine dieser Informationen ist erforderlich zur Erstellung eines Benutzerkontos, wobei die Bereitstellung durch Sie auf freiwilliger Basis erfolgt. Im Rahmen der Erstellung des Accounts lassen wir Ihnen zwecks Bestätigung der von Ihnen genannten E-Mail-Adresse eine E-Mail mit einem temporären Passwort zukommen. Um die Registrierung abzuschließen, müssen Sie das temporäre Passwort ändern und ein persönliches Passwort wählen. Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) muss bei einem sicheren Passwort die Länge von mindestens 8 Zeichen und die Komplexität entsprechend berücksichtigt werden. Weitere Informationen finden Sie hier.

Im Rahmen der Registrierung werden keine sensiblen personenbezogenen Daten erhoben oder anderweitig verarbeitet. Nach erfolgreicher Registrierung können Sie sich zusammen mit Ihrem Passwort und dem Ihnen zugewiesenen Benutzernamen an Ihrem Benutzerkonto anmelden. Mit der zentralen Anmeldung („Single Sign-on“) können Sie in Zukunft auf alle für Sie freigeschalteten Funktionen zugreifen.

3.2 Nutzung und Weitergabe personenbezogener Daten

Die zur Registrierung erforderlichen Informationen (nachfolgend zusammen „Registrierungsdaten“) werden bis auf die unten genannten Organisationsprozesse durch den DAV direkt verarbeitet.

Ihre Registrierungsdaten werden wie nachfolgend beschrieben gespeichert und Dritten zur Verfügung gestellt:

  • Ihre Registrierungsdaten werden ausschließlich in der Microsoft Azure Cloud gespeichert. Die Server, auf denen die Microsoft Azure Cloud betrieben wird, befinden sich in deutschen Rechenzentren und damit im Gültigkeitsbereich der DSGVO.
  • Vereinzelt können Ihre Registrierungsdaten oder Teile Ihrer Registrierungsdaten Dienstleistern zugänglich sein, die IT-Dienstleistungen für den DAV erbringen. Mit diesen bestehen Auftragsverarbeitungsverträge („AVV“). Die Dienstleister werden Ihre Registrierungsdaten ausschließlich dann und nur in dem Umfang in unserem Auftrag und entsprechend unseren Anweisungen verarbeiten, wie es zur Erbringung der IT-Dienstleistungen erforderlich ist. Die von der verantwortlichen Stelle eingeschalteten Dienstleister haben ihren Sitz und betreiben ihre IT-Infrastruktur ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR). Dies gilt auch für die Nutzung von cloud-basierten Diensten. Mit den Dienstleistern bestehen Verträge, die den Datenschutz- und Datensicherheitsvorgaben der EU-DSGVO entsprechen. Auch im Falle der Einschaltung von externen Dienstleistern bleibt der DAV die für die Verarbeitung verantwortliche Stelle.

Im Übrigen findet keine Weitergabe an sonstige Dritte statt. Sollte sich die verantwortliche Stelle zu Ihrer Leistungserbringung der Unterstützung von Dienstleistern bedienen, wurden die erforderlichen Verträge gem. Art. 28 DSGVO geschlossen. Wenn Sie nähere Informationen bzgl. der eingesetzten Auftragsverarbeiter benötigen, wenden Sie sich bitte an den Datenschutzbeauftragten, Prof. Dr. Rolf Lauser (Tel.: 08131/511750 oder per E-Mail datenschutzbeauftragter@alpenverein.de)

Soweit nicht zuvor beschrieben werden Ihre Registrierungsdaten keinen Dritten zur Verfügung gestellt. Ihre Registrierungsdaten werden verarbeitet, bis Sie die unten abgedruckte Einwilligungserklärung widerrufen, die Sie im Rahmen des Registrierungsprozesses für Ihr Benutzerkonto abgegeben haben, oder bis Sie Ihr Benutzerkonto schließen. In diesen Fällen werden Ihre Registrierungsdaten von sämtlichen Datenbanken gelöscht. Damit ist eine Nutzung von DAV360 nicht mehr möglich.

Bestätigung:

Indem Sie sich registrieren und ein Benutzerkonto erstellen, bestätigen Sie ausdrücklich in die zuvor beschriebene Verarbeitung Ihrer Registrierungsdaten ein. Sie sind sich der Tatsache bewusst, dass die Speicherung der personenbezogenen Daten für die Nutzung von DAV360 notwendig ist. Dieser können Sie jederzeit unter Nutzung der folgenden Kontaktdatenx widersprechen. Bitte senden Sie eine E-Mail an datenschutzbeauftragter@alpenverein.de mit dem Betreff "Datenbestände austragen". Allerdings müssen wir die darauf hinweise, dass damit die weitere Nutzung des Portals mit Wirkung für die Zukunft nicht mehr möglich sein wird.

4. Externe Links

Zu Ihrer Information finden Sie auf unseren Seiten Links, die auf Seiten Dritter verweisen. Soweit dies nicht offensichtlich erkennbar ist, weisen wir Sie darauf hin, dass es sich um einen externen Link handelt. Die verantwortliche Stelle hat keinerlei Einfluss auf den Inhalt und die Gestaltung dieser Seiten anderer Anbieter. Die Garantien dieser Datenschutzerklärung gelten daher für externe Anbieter nicht.

5. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur solange wir Sie zur Bereitstellung des von Ihnen genutzten Webangebotes benötigen bzw. solange uns Ihre Einwilligung vorliegt oder wir ein anderweitiges berechtigtes Interesse an der Datenverarbeitung haben. Eine darüberhinausgehende Speicherung erfolgt lediglich auf der Grundlage gesetzlicher Vorschriften. Bei buchhaltungsrelevanten Daten gilt gemäß § 147 AO, bzw. § 257 HGB eine Speicherdauer von 10 Jahren.

6. Export und Verarbeitung der Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes

Generell findet kein Export ihrer personenbezogenen Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes (Im Folgenden EWR) statt, gleiches gilt für die Schweiz.

Allerdings können im Zusammenhang mit der Bereitstellung von Microsoft Teams und der damit verbundenen Verwendung von Add-in Apps sowie die Verwendung von weiteren Plugins oder externen Links, Daten in die USA exportiert werden. Weitere Hinweise sind diesbezüglich den folgenden Gliederungspunkten zu entnehmen: „8. Verwendung von Office 365 und ausgewählten Addin Apps“ bzw. „12. Nutzung von Social Plug-ins“.

7. Cookies

Auf DAV360 sowie weiteren Systemen, wie DAV360 Hilfe und Wissen (Jira und Confluence), auf die Sie über den direkten Zugang über DAV360 gelangen können, werden Cookies eingesetzt. Bei Cookies handelt es sich um kleine Textdateien, die von Ihrem Internet-Browser heruntergeladen und auf dem von Ihnen zur Nutzung der Systeme verwendeten Endgerät (wie z.B. Ihr Desktop-Computer, Tablet oder Smartphone) gespeichert werden. Zu unterscheiden sind Textdateien, die entweder temporär im Arbeitsspeicher des Computers abgelegt ("Sitzungscookie") oder auf der Festplatte gespeichert wird ("permanenter" Cookie). Abhängig von Ihrem Verwendungszweck speichern Cookies bestimmte nutzerspezifische Informationen wie etwa Ihre Nutzereinstellungen, Authentifizierungsmerkmale oder Sicherheitsparameter.

Auf DAV360 werden ausschließlich permanente Cookies verwendet. Permanente Cookies sind Cookies, die wir Im Rahmen Ihrer Nutzung von DAV360 in unserer Eigenschaft als für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle auf Ihrem Endgerät speichern und von dort abrufen. Sämtliche auf DAV360 verwandte permanente Cookies dienen ausschließlich dazu, die Übertragung von Nachrichten über das elektronische Kommunikationsnetz durchzuführen oder zu erleichtern, über das auf DAV360 zugegriffen wird, oder sind unbedingt erforderlich, um die von Ihnen ausdrücklich gewünschten Funktionen von DAV360 zur Verfügung stellen zu können.

Soweit im Übrigen bei DAV360 Hilfe und Wissen (Jira und Confluence) weitere Cookies eingesetzt werden, finden Sie die entsprechenden Informationen unter dem Punkt "9.2 Einsatz von Cookies bei Jira und Confluence".

7.1. Vermeidung von Cookies

Der Besucher hat jederzeit die Möglichkeit, das Setzen von nicht betriebsnotwendigen Cookies abzulehnen. Dies geschieht in der Regel durch die Wahl der entsprechenden Option in den Einstellungen des Browsers oder durch zusätzliche Programme. Näheres ist der Hilfe- Funktion des kundenseitig verwendeten Browsers zu entnehmen. Entscheidet sich der Kunde für die Ausschaltung von Cookies, kann dies den Leistungsumfang des Service mindern und sich bei der Nutzung der Dienste der verantwortlichen Stelle negativ bemerkbar machen. Betriebsrelevante Cookies, wie jene des Portals DAV360, können hingegen nicht abgelehnt werden, da eine Verwendung von DAV360 sonst nicht möglich ist.

8. Webstorage

Die Speichertechnologie des Web Storage findet im Portal DAV 360 Anwendung und speichert Daten im Browser des Endnutzers. Dies ist für das Arbeiten im Portal notwendig (Bsp.: JWTToken für Authentifizierung). Die Daten verbleiben dabei auf dem Endgerät des Nutzers. Damit behält jener die Kontrolle über seine Daten. Der Web Storage wird grundsätzlich in zwei Speicherarten, den SessionStorage und LocalStorage unterteilt.

Beim SessionStorage werden die Daten mit dem Schließen des Tabs/Fensters, in welchem sie gespeichert wurden, gelöscht. Die Daten sind nur im selben Tab/Fenster verfügbar, in welchem sie gespeichert wurden.

Beim LocalStorage hingegen bleiben die Daten nach dem Schließen des Tabs oder des Browsers weiterhin gespeichert. Die Daten sind über Browserfenster und -tabs hinweg verfügbar, jedoch nur unter derselben Domain und demselben Protokoll.

Bei beiden Speicherarten werden die Daten verschiedener Websites strikt getrennt voneinander im Web Storage abgelegt.

Der Web Storage ermöglicht das client-seitige Speichern von Daten, damit eine effiziente Arbeitsweise gewährleistet wird und keine unnötigen Wartezeiten entstehen. Nur so können anwendungs- und benutzerspezifische Einstellungen während einer Session oder Session übergreifend gespeichert werden und es kann ohne erneute Authentifizierung gearbeitet werden.

9. Verwendung von Jira und Confluence

Der Zugang zu den Systemen Jira und Confluence von Atlassian erfolgt über das Portal DAV360. Die Wissensdatenbank, DAV360 Wissen, ist auf Confluence aufgebaut und das Support Ticketing Tool, DAV360 Hilfe, basiert auf Jira HelpDesk. Beide Systeme werden auf der Azure Cloud durch den DAV gehostet.

9.1 Registrierung und Nutzung von JIRA und Confluence

Mit der Registrierung und dem Zugang zu DAV360 können Sie auch die Services DAV360 Hilfe und Wissen, entsprechend Jira und Confluence nutzen. Mit der zentralen Anmeldung („Single Sign-on“) können Sie auf DAV360 Hilfe und Wissen zugreifen und entsprechend ihrer Berechtigungen nutzen. Dafür werden ihr Benutzername und das Passwort an die jeweiligen Systeme zur Authentifizierung weitergeleitet.

Ihre Registrierungsdaten werden verarbeitet, bis Sie die Einwilligungserklärung widerrufen, die Sie im Rahmen des Registrierungsprozesses für Ihr Benutzerkonto abgegeben haben, ansonsten bis Sie Ihr Benutzerkonto schließen. In diesen Fällen werden Ihre Registrierungsdaten von sämtlichen Datenbanken, einschließlich Jira und Confluence umgehend gelöscht. Damit ist eine Nutzung von DAV360 sowie DAV360 Hilfe und Wissen nicht mehr möglich.

9.2 Einsatz von Cookies bei Jira und Confluence

Jira verwendet betriebsnotwendige Cookies u.a. für den Zweck der Verbesserung der Sicherheit und der Speicherung grundlegender Browsereinstellungen, wie den Darstellungszustand. Die Authentifizierungsdaten der JIRA-Benutzer werden von diesen Cookies nicht gespeichert. Die Rechtsgrundlage für das Setzen der Cookies ist das berechtigte Interesse an der Bereitstellung des Dienstes, für welchen Cookies zwingend erforderlich sind. Zudem müssen uns die Nutzer eine Einwilligung über das Cookie-Banner erteilen.

Die konkreten Informationen zu den verwendeten Cookies bei Jira sind folgende:

Cookie-Name Beschreibung Kategorie Speicherdauer
JSESSIONID Cookie wird durch den Applikationsserver kreiert und wird für das Tracking der Session benötigt. Dieses Cookie enthält eine zufällige Abfolge. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
atlassian.xsrf.token Cookie verhindert XSRF Angriffe und stellt sicher, dass während der Session die Browseranfragen, die an einen Jira-Server gesendet werden, auch von diesem Jira-Server stammen. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
mo.jira-oauth.baseurl Speicherung der Basis-URL über die sich der Nutzer anmelden will. Der Einsatz des Cookies ist für den SSO notwendig, um dem Nutzer der korrekten URL zuzuordnen. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
mo.jira-oauth.logoutcookie Cookie speichert die ID des OAuth-Anbieters, den der Benutzer zur Durchführung des SSO verwendet hat. Dieser Wert wird verwendet, um zum Zeitpunkt der Abmeldung eine einzelne Abmeldeanfrage an den OAuth-Anbieter zu senden. Die ID wird vom Plugin generiert, wenn die OAuth-Provider-Einstellungen im Plugin konfiguriert werden. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.
AJS.thisPage Zeigt an, dass der Browser des Benutzers die lokale Speicherung nicht unterstützt. Bezieht sich auf einen Mechanismus, der von Jira verwendet wird, um Feldinformationen in Suchansichten zu speichern, wenn der Benutzer auf die Zurück-Taste seines Browsers klickt. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird.

Auch für Confluence gibt es mehrere Cookies, mit denen grundlegende Zustände der Produktpräsentation gespeichert werden. Die Authentifizierungsdaten von Confluence-Nutzern werden ebenfalls von diesen Cookies nicht gespeichert. Die Rechtsgrundlage für das Setzen der Cookies ist das berechtigte Interesse an der Bereitstellung des Dienstes, für welchen Cookies zwingend erforderlich. Zudem müssen uns die Nutzer eine Einwilligung über das Cookie-Banner erteilen.

Die konkreten Informationen zu den verwendeten Cookies bei Confluence sind folgende:

Cookie-Name Beschreibung Kategorie Speicherdauer
JSESSIONID Cookie wird durch den Applikationsserver kreiert und wird für das Tracking der Session benötigt, erfolgt in einer zufälligen Abfolge. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird
mo.confluence-oauth.LOGOUTCOOKIE Cookie speichert die ID des OAuth-Anbieters, den der Benutzer zur Durchführung von SSO verwendet hat. Dieser Wert wird verwendet, um zum Zeitpunkt der Abmeldung eine einzelne Abmeldeanfrage an den OAuth-Anbieter zu senden. Die ID wird vom Plugin generiert, wenn die OAuth-Provider-Einstellungen im Plugin konfiguriert werden. betriebsnotwendig Ablauf mit Ende jeder Sitzung oder wenn der Browser geschlossen wird

10. Verwendung von Office 365 und ausgewählten Add-in Apps

Microsoft bietet eine Vielzahl an Produkten an, inklusive der Azure Cloud, einem cloudbasierten Serverprodukt. Mit dem Zugang zu DAV360 können Sie auf das Microsoft Produkt Office 365 zugreifen. Dies ist die cloudbasierte Version des Office-Anwendungspakets von Microsoft, weitere Informationen sind dem Punkt 10.1 zu entnehmen. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint sowie Cloud-Speicher-Dienste wie SharePoint und OneDrive. Bei Nutzung der cloudbasierten Version werden die Daten automatisch in der Cloud gespeichert und sind über die Basisverschlüsselung gesichert.

Ihnen wird Office 365 über den DAV zur Verfügung gestellt, dementsprechend können Admins mit gesonderten Rechten Ihre eingesetzten Produkte kontrollieren. Die Verarbeitung ist zur Wahrung berechtigter Interessen der Verantwortlichen, gemäß Art 6 (1) lit. f) DSGVO gestattet. Die Verarbeitung Ihrer personenbezogenen Daten durch Microsoft im Zusammenhang mit diesem Produkt wird durch einen Auftragsverarbeitungsvertrag („AVV“) zwischen Microsoft und dem DAV geregelt. Microsoft verarbeitet Ihre personenbezogenen Daten, um das Produkt dem DAV und Ihnen zur Verfügung zu stellen. Sollte aus diesem Grund ein Datentransfer in einen Drittstaat erfolgen, liegen sogenannte Standardvertragsklauseln vor. Diese von der Europäischen Kommission verabschiedeten Vertragswerke gewährleisten im Falle eines Datentransfers in einen Drittstaat die Einhaltung der europäischen Datenschutzstandards. Wenn Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten durch Microsoft im Zusammenhang mit der Bereitstellung von Produkten für den DAV haben, wenden Sie sich bitte an den Datenschutzbeauftragten des DAV, Prof. Dr. Rolf Lauser (Tel.: 08131/511750 oder per E-Mail datenschutzbeauftragter@alpenverein.de).

Für den DAV ist Office 365 Deutschland im Einsatz. Dabei handelt es sich um eine Version für die in Europa verfügbaren Office 365 Dienste. Sie hat dazu beigetragen, dass die Anforderungen der Kunden in Deutschland, der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) erfüllt werden, indem Office 365 von deutschen Rechenzentren mit Daten bereitgestellt werden. Office 365 wird für den DAV in dieser isolierten Umgebung angeboten. Allerdings ist ein Datentransfer in Drittländer in Supportfällen sowie bei der Verwendung von bestimmten Produkten nicht ausgeschlossen. Zu diesen Produkten zählen beispielsweise Yammer und Sway, die aus diesem Grund über den DAV nicht zur Verfügung stehen.

Weitere Informationen zu den Vertrauens- und sicherheitsrelevanten Informationen finden Sie im Microsoft Trust Center.

10.1. Microsoft Outlook App

Über Office365 stellt der Deutsche Alpenverein den Sektionen die cloudbasierte Version von Outlook zur Verfügung. Damit erhält jeder Nutzer eine personenbezogene E-Mail-Adresse. Dem Nutzer ist untersagt dieses Postfach für private Zwecke zu Verwenden oder an Dritte weiterzugeben. Funktionsgebundene E-Mail-Adressen dürfen jedoch an entsprechende Funktionsträger weitergegeben werden, auch hier ist die private Nutzung untersagt.

10.2. Teilen von Daten mit unabhängigen Dritten

Einige Office 365-Produkte umfassen Erweiterungsoptionen, mit denen Daten mit unabhängigen Drittanbietern geteilt werden können. Bei Exchange Online handelt es sich beispielsweise um eine Plattform, die durch die Integration von Drittanbieter-Add-Ins oder Connectors (wie Apple Mail, o.ä.) in Outlook erweitert werden kann. Bei Add-Ins oder Connectors handelt es sich um vorgefertigte Funktionen, die in Anwendungen eingebunden und vollständig in das Hauptprogramm integriert werden können. Diese Drittanbieter von Add-Ins oder Connectors agieren unabhängig von Microsoft und ermöglichen es, dass durch den Alpenverein bereitgestellte Outlook-Konto in andere Anwendungen, wie Apple Mail oder Samsung E-Mail zu integrieren. Die Add-Ins oder Connectors wurden von den Administratoren aktiviert.

Mit der Verwendung von Drittanbieter-Add-Ins oder Connectors in Outlook stimmt der Nutzer automatisch den Administrationsrichtlinien zu. Diese können in begründeten Fällen jederzeit eingesehen werden. Damit haben die Administratoren das Recht bei einem vorliegenden triftigen Grund (wie bspw. ein Missbrauch oder Austritt aus der Organisation) das in der Drittanbieter-App integrierte DAV Konto zu löschen.

Um dies zu umgehen, empfiehlt es sich, auf die Integration des Alpenverein Outlook-Kontos in einer Drittanbieter-App zu verzichten und stattdessen die Outlook-App zu verwenden, denn auch mit der Outlook-App lassen sich weitere E-Mail-Konten sicher einbinden.

10.3. Microsoft Teams App

Die Kollaborationsplattform Microsoft Teams nutzt in großem Umfang Exchange Online, SharePoint Online und Skype for Business Online für elementare Produktivitätsszenarien wie Besprechungen, Kalender, Chats und Dateifreigabe. Richtlinien für bedingten Zugriff, die für diese Cloud-Apps festgelegt wurden, gelten auch für Microsoft Teams, wenn sich Benutzer direkt bei Microsoft Teams anmelden – unabhängig vom Client.

Microsoft Teams wird separat als Cloud-App in Azure Active Directory-Richtlinien für bedingten Zugriff unterstützt. Die oben genannten Richtlinien gelten für Office365 und die Microsoft Teams Cloud App gleichermaßen.

Als Bestandteil von Office 365 Deutschland werden die Daten von Microsoft Teams ebenfalls von deutschen Rechenzentren bereitgestellt. Allerdings kann dies bei der Verwendung von sogenannten Add-in Apps nicht gewährleistet werden. Bei dem Umfrage Tool Polly beispielsweise können Daten über die USA geroutet werden.

Generell folgt Microsoft Teams den gleichen Leitlinien und Prinzipien wie das Microsoft Trust Center.

10.3.1. Sektionsübergreifende Arbeitsgruppen

Für die sektionsübergreifende Kommunikation und Zusammenarbeit steht den registrierten Nutzern Microsoft Teams zur Verfügung. Für die Zusammenarbeit können die Nutzer sektionsübergreifenden Arbeitsgruppen zugeordnet werden. Mit der Zustimmung der Datenschutzerklärung bei der Nutzeranlage willigen die Betroffenen ein, dass ihre personenbezogenen oder funktionsbezogenen E-Mail-Adressen den Teilnehmern der Arbeitsgruppe ersichtlich sind.

Die E-Mail-Adressen dürfen in sektionsübergreifenden Arbeitsgruppen verwendet werden, bis Sie die Einwilligung schriftlich widerrufen oder Ihr Benutzerkonto schließen. Allerdings sind Sie dann von der Nutzung der Microsoft Teams App im Alpenverein ausgeschlossen.

10.4. Microsoft Forms

Wir informieren nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Microsoft Forms“. Wir setzen das Tool „Microsoft Forms“ für interne und externe Um- und Abfragen, wie z.B. Evaluierung von durchgeführten Aktionen, Anmeldung zu Veranstaltungen etc. ein. „Microsoft Forms“ ist ein Tool von Microsoft 365 / DAV360 und ein Dienst der Microsoft Ireland Operations Limited. Die Daten von Nutzern aus der Europäischen Union werden in Rechenzentren innerhalb des Europäischen Wirtschaftsraumes (EWR) verarbeitet. Dennoch kann es für die Erbringung des Dienstes sowie im Rahmen des Supportes erforderlich sein, dass Daten am Hauptsitz von Microsoft Inc. in den USA verarbeitet werden/Fernzugriffe stattfinden. Für Datenübermittlungen in Drittländer sind die EU-Standardvertragsklauseln vertraglich vereinbart. Die EU-Standardvertragsklauseln stellen gemäß Art. 46 Abs. 2 lit. c DSGVO eine Garantie für ein angemessenes EU-Datenschutzniveau dar. Wir informieren, dass die USA derzeit nach Rechtsprechung des EuGH kein sicheres Drittland im Sinne des EU-Datenschutzrechts sind. Aufgrund der Überwachungsgesetze in den USA können US-Dienstleister verpflichtet sein, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Betroffene einen Rechtsbehelf hiergegen einlegen können. Es kann daher nicht ausgeschlossen werden, dass US-Behörden, wie Geheimdienste, Ihre auf Servern der US-Dienstleister befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern werden. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

Daher hat Microsoft zusätzliche technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten ergriffen. Insbesondere werden die personenbezogenen Daten über Forms nur verschlüsselt übertragen. Darüber hinaus hat sich Microsoft vertraglich verpflichtet, Herausgabeanfragen von US-Behörden soweit möglich gerichtlich abzuwehren. Daher kann grundsätzlich von einem angemessenen Schutzniveau bei der Verarbeitung personenbezogener Daten durch Microsoft ausgegangen werden.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Datenverarbeitung der Formulare ist:

Deutscher Alpenverein e.V.
Anni-Albers-Straße 7
80807 München
Tel.: 089/14003-0
Fax: 089/14003-23
E-Mail: info@alpenverein.de

Betrieblicher Datenschutzbeauftragter ist:

Prof. Dr. Rolf Lauser
Dr. Gerhard-Hanke-Weg 31
85221 Dachau,
Fax: 08131/511619
E-Mail: datenschutzbeauftragter@alpenverein.de

Sollte die MS Forms Umfrage durch eine Sektion des Deutschen Alpenvereins e.V. erstellt worden sein, so ist diese Sektion die verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO. Die jeweiligen Kommunikationsdaten und auch den Kontakt zum Datenschutz der Sektion entnehmen Sie in diesem Fall bitte der jeweiligen Webseite der Sektion.

Microsoft ist insofern lediglich Auftragsverarbeiter. Soweit die Internetseite von Microsoft www.Office.com bzw. „Microsoft Forms“, personenbezogene Daten verarbeitet bzw. Cookies einsetzt, ist Microsoft für die Datenverarbeitung verantwortlich. Für die Erbringung des Dienstes Microsoft Forms werden auf der Umfrageseite Cookies von Microsoft eingesetzt. Weitere Informationen zum Datenschutz bei Microsoft unter https://privacy.microsoft.com/de-de/privacystatement.
Bei der Nutzung von „Microsoft Forms“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei von den gestellten und beantworteten Fragen sowie einem eventuellen Upload von zusätzlichen Diensten ab.

Grundsätzlich handelt es sich dabei um folgende personenbezogene Daten:

  • Name, Vorname
  • E-Mailadresse
  • Profilbild (optional, wenn in Microsoft 365 hinterlegt)
  • Bevorzugte Sprache
  • Status (optional, wenn in Microsoft 365 hinterlegt)
  • Datum und Uhrzeit der Öffnung des Fragebogens
  • Datum und Uhrzeit der Absendung der Antwort

Wenn Sie an einer anonymen Umfrage teilnehmen, enthält Ihre Antwort keine Kontaktinformation und kann nicht zu Ihnen zurückverfolgt werden.

Die Formular-Inhaber (Projektteam) haben Zugang zu Forms und können entweder allein oder mit anderen Inhabern Umfragen, Formulare und Fragebögen direkt erstellen und verteilen. Sie sind auch die alleinigen Empfänger der Antworten. Diese werden in Microsoft grafisch aufbereitet und sind für das Projektteam verfügbar.
Die Daten aus Umfragen/Formularen/Fragebögen (Fragen und Antworten) werden in der Microsoft Cloud gespeichert und von dort durch das Projektteam abgerufen. Sofern keine betriebliche Notwendigkeit, gesetzliche Verpflichtung oder ein besonderes betriebliches Interesse an einer dauerhaften Speicherung besteht, werden alle Angaben nach Zweckwegfall innerhalb eines Jahres gelöscht.
Die Teilnahme an unseren Umfragen ist grundsätzlich freiwillig. Soweit durch die Teilnahme an der Umfrage eine Einwilligung erteilt wird, ist die Rechtsgrundlage dann Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Durch Widerruf oder Nichterteilung der Einwilligung entstehen keine Nachteile. Sofern Umfragen im Rahmen eines Beschäftigtenverhältnisses erfolgen, die für die Durchführung des Beschäftigtenverhältnisses erforderlich sind, geschieht diese gemäß § 26 BDSG. Sollten Umfragen für die Anbahnung und/oder Erfüllung von Verträgen erforderlich sein, erfolgt die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1lit. b DSGVO. Falls keine Vertragsbeziehung bestehen sollte, können Umfragen auch zur Wahrung unserer berechtigten Interessen an einer effektiven Planung und Durchführung von Projekten und Prozessen gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich sein.

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „MS Forms-Umfragen und Formularen“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern die Daten nicht gerade zur Weitergabe bestimmt oder zur Zweckerfüllung erforderlich sind. Sofern externe Dienstleister für die Zweckerfüllung eingesetzt werden, können Daten an diese zweckgebunden weitergegeben werden.
Der Anbieter von „Microsoft Forms“ erhält notwendigerweise im Rahmen seiner Diensterbringung Kenntnis von diesen Daten als Auftragsverarbeiter.

Kinder unter 16 Jahren dürfen nur mit Zustimmung der Erziehungsberechtigten an unseren Umfragen teilnehmen.

Teilnahme an Veranstaltungen:

Sofern eine Abfrage über die Teilnahme an Veranstaltungen erfolgt, ist die Teilnahme grundsätzlich freiwillig. Sofern die Teilnahme zugesagt wird, erfolgt die Verarbeitung personenbezogener Daten für die Durchführung der Veranstaltung gemäß Art. 6 Abs. 1 lit. b DSGVO. Eine Zusage der Teilnahme kann jederzeit zurückgezogen werden. Für die Anmeldung zu einer Veranstaltung werden hauptsächlich Name, Vorname und E-Mailadresse verarbeitet. Je nach Veranstaltungsform können weitere Angaben abgefragt werden. Diese Angaben erhalten nur die internen Mitarbeiter, die diese für die Zweckerfüllung oder Erfüllung ihrer beruflichen Aufgaben benötigen. Sofern externe Dienstleister zur Zweckerfüllung eingesetzt werden, können die Angaben zweckgebunden weitergeleitet werden, soweit dies für die Aufgabenerfüllung erforderlich ist. Die personenbezogenen Daten werden nach Zweckerfüllung gelöscht, sofern diese nicht zu Abrechnungszwecken benötigt werden oder gesetzliche Aufbewahrungspflichten bestehen.
Es besteht das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch der Verarbeitung personenbezogener Daten sowie der Widerruf einer erteilten Einwilligung. Im Übrigen besteht das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
Weitere Informationen zum Datenschutz unter https: https://www.alpenverein.de/Info/Datenschutz/

11. Einsatz und Verwendung des Twilio Sendgrid E-Mail Dienstes

Für die Versendung von Informationen via Mail aus DAV360 und den damit verbundenen Services hat der DAV Twilio Sendgrid für den Mailversand im Einsatz. Twilio Sendgrid ist ein kommerzieller Service-Anbieter für Email-Versand. Der DAV nutzt diesen Dienst auf DAV360 und den Sektionswebsites für den Versand von Benachrichtigungen.

Betreibergesellschaft von Twilio SendGrid ist die Twilio Inc. 375 Beale Street, Suite 300 San Francisco, CA 94105 (USA). Der Versanddienstleister wird auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO und eines Auftragsverarbeitungsvertrages gem. Art. 28 Abs. 3 S. 1 DSGVO eingesetzt. Zudem liegen Standardvertragsklauseln mit Twilio vor. Der Versanddienstleister kann die Daten der Empfänger in pseudonymer Form, d.h. ohne Zuordnung zu einem Nutzer, zur Optimierung oder Verbesserung der eigenen Services nutzen. Der Versanddienstleister nutzt die Daten der Nutzer/innen jedoch nicht, um diese selbst anzuschreiben oder um die Daten an Dritte weiterzugeben.

E-Mail-Benachrichtigungen kommen im Rahmen von DAV360 bei folgenden Aktionen zum Einsatz:

  • Bei der Zustimmung der Datenschutzerklärung vor der Anlage
  • Bei der Mitarbeiteranlage zum Versand der Nutzerdaten und des temporären Passworts
  • Bei der Benutzung der Funktion zur Zurücksetzung des Passwortes
  • Bei Anfragen über das Kontaktformular der Sektionswebsite

Die Datenschutzbestimmungen des Versanddienstleisters können Sie hier einsehen: Services Privacy Policy.

12. Nutzung von Social Plug-ins

Im Rahmen von DAV360 bieten wir unterschiedliche Onlineangebote an, um darüber Informationen bereitzuhalten und um mit Ihnen in Kontakt treten zu können. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO.

Auf die Verarbeitung personenbezogener Daten durch den jeweiligen Plattformbetreiber haben wir keinen Einfluss. Wir achten bei der Auswahl von Social Plug-ins jedoch darauf, dass die Bertreiber sich dazu verpflichten, die Datenschutzstandards der EU einzuhalten.

12.1 Verwendung von Vimeo

Wir verwenden für die Einbindung von Videos den Anbieter Vimeo. Betrieben wird das Videoportal durch Vimeo LLC, 555 West 18th Street, New York, New York 10011, USA. Mit Hilfe eines Plug-ins können wir Ihnen so interessantes Videomaterial direkt auf unseren Portalen und Websites anzeigen. Dabei können gewisse Daten von Ihnen an Vimeo übertragen werden. In dieser Datenschutzerklärung erhalten Sie Informationen über die Datenverarbeitung im Zusammenhang mit der Nutzung von Vimeo. Den entsprechenden Link zur Datenschutzerklärung finden Sie unter https://vimeo.com/privacy.

12.1.1 Welche Daten werden auf Vimeo gespeichert?

Wenn Sie über unser Onlineangebot ein eingebettetes Vimeo-Video aktiv aufrufen, verbindet sich Ihr Browser mit den Servern von Vimeo. Damit kommt es zu einer Datenübertragung. Diese Daten werden auf den Vimeo-Servern gesammelt, gespeichert und verarbeitet. Das Tracking zur Erstellung von Nutzerprofilen und die Weitergabe der Nutzerinformationen an weitere Analyseprogramme wurde für die Verwendung von Vimeo im Rahmen des DAVs deaktiviert.

Unabhängig davon, ob Sie ein Vimeo-Konto haben oder nicht, sammelt Vimeo die Benutzerdaten, wenn ein Video bewusst angeklickt wird. Dazu zählen Ihre IP-Adresse, technische Infos über Ihren Browsertyp, Ihr Betriebssystem oder ganz grundlegende Geräteinformationen.

Falls Sie als registriertes Mitglied bei Vimeo eingeloggt sind, können meistens mehr Daten erhoben werden, da möglicherweise mehr Cookies bereits in Ihrem Browser gesetzt wurden. Zudem werden Ihre Handlungen auf unsere Webseite direkt mit Ihrem Vimeo-Account verknüpft. Um dies zu verhindern müssen Sie sich, während des “Surfens” auf unserer Webseite, von Vimeo ausloggen.

12.1.2 Wie lange und wo werden die Daten gespeichert?

Vimeo hat den Hauptsitz in White Plains im Bundesstaat New York (USA). Die Dienste werden aber weltweit angeboten. Dabei verwendet das Unternehmen Computersysteme, Datenbanken und Server in den USA und auch in anderen Ländern. Ihre Daten können somit auch auf Servern in Amerika gespeichert und verarbeitet werden. Die Daten bleiben bei Vimeo so lange gespeichert, bis das Unternehmen keinen wirtschaftlichen Grund mehr für die Speicherung hat. Dann werden die Daten gelöscht oder anonymisiert. Um ein angemessenes Datenschutzniveau bei der Übermittlung von Daten in die USA zu gewährleisten, hat der DAV die EU-Standardvertragsklauseln mit dem Anbieter von Vimeo in der sog. „Controller to Controller“-Variante abgeschlossen. Als weitere Schutzmaßnahmen bindet der DAV Videos von Vimeo grundsätzlich in der „Do Not Track“-Variante ein, so dass personenbezogene Daten nur in minimaler Weise an Vimeo übermittelt werden.

12.1.3 Datenspeicherung und -löschung?

Sie haben immer die Möglichkeit, Cookies in Ihrem Browser nach Ihren Wünschen zu verwalten. Wenn Sie beispielsweise nicht wollen, dass Vimeo Cookies setzt und so Informationen über Sie sammelt, können Sie in Ihren Browser-Einstellungen Cookies jederzeit löschen oder deaktivieren. Je nach Browser funktioniert dies ein bisschen anders. Bitte beachten Sie, dass möglicherweise nach dem Deaktivieren/Löschen von Cookies diverse Funktionen nicht mehr im vollen Ausmaß zur Verfügung stehen.

13. Datensicherheit

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Wir verwenden geeignete technische und organisatorische Maßnahmen und Sicherheitsvorkehrungen, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und jede andere Form der unrechtmäßigen Verarbeitung Ihrer personenbezogenen Daten erforderlich sind. In begründeten Fällen können die IT-Sicherheitslinien gerne eingesehen werden.

Der Umgang mit personenbezogenen Daten ist über die Technisch Organisatorischen Maßnahmen in der Bundesgeschäftsstelle geregelt. Dazu zählen die Zutritts-, Zugangs-, Zugriffs-, Weitergabe, Eingabe-, Auftrags-, und Verfügbarkeitskontrolle sowie das Trennungsgebot und die Verschlüsslung.

13.1 Sicherheits-Monitoring

Zur Datensicherheit muss auf Serverseite Monitoring betrieben werden. Dabei kombinieren Monitoring-Lösungen Protokolldaten der IT-Sicherheit, um Angriffe aufzudecken.

Folgende Daten werden dabei vom Server erfasst:

  • URL, Zeitstempel sowie zufällig generierte ID des Aufrufs
  • Angefragte Daten und aufgerufene Funktion
  • HTTP Status Code der Antwort
  • Leistungsdaten, z.B. Dauer der Verarbeitung und Größe der transferierten Daten
  • IP-Adresse des Aufrufers
  • Informationen über das Endgerät des Aufrufers
  • Anhand der IP ermittelte Standortdaten des Aufrufers (Stadt, Region sowie Land)

14. Rechte der Betroffenen

Soweit wir Ihre personenbezogenen Daten verarbeiten, stehen Ihnen die folgenden Rechte zu:

14.1 Recht auf Widerruf einer gegebenen Einwilligung

Sofern die Verarbeitung der personenbezogenen Daten auf einer erteilten Einwilligung beruht, haben Sie das Recht, diese Einwilligung zu widerrufen. Der Widerruf gilt für die Zukunft.

14.2 Recht auf Auskunft

Sie können von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall ist, können Sie die folgenden Auskünfte verlangen:

  • die Zwecke der Verarbeitung;
  • welche personenbezogenen Daten verarbeitet werden;
  • die Empfänger der Daten im Falle einer Datenübermittlung an Dritte, sowie den Namen und das Sitzland des Dritten;
  • die Speicherdauer der Daten;
  • das Bestehen eines Beschwerderechts bei der zuständigen Aufsichtsbehörde;
  • soweit die Daten nicht bei Ihnen direkt erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten.

Die gewünschte Auskunft wird Ihnen längstens binnen eines Monats nach Eingang des schriftlichen Auskunftsersuchens gegeben. Wir weisen Sie darauf hin, dass Auskünfte nur gegeben werden können, wenn die Identität des Antragstellers eindeutig feststellbar ist.

14.3 Recht auf Berichtigung

Sie haben das Recht, von uns unverzüglich die Berichtigung Ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig sind.

14.4 Recht auf Datenlöschung („Recht auf Vergessenwerden“)

Sie haben das Recht, von uns zu verlangen, dass Ihre personenbezogenen Daten gelöscht werden, soweit einer der folgenden Gründe zutrifft. Diese dürfen nicht im Widerspruch zueinanderstehen.

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig.
  • Es besteht für uns keine gesetzliche Pflicht die Daten zu speichern.
  • Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung stützte, und es existiert keine anderweitige Rechtsgrundlage für die Speicherung.
  • Sie legen Widerspruch gegen die Verarbeitung ein und es liegt keine Rechtsgrundlage für eine weitere Speicherung vor.
  • Die personenbezogenen Daten wurden von vorn herein unrechtmäßig erhoben und verarbeitet.

14.5 Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Sie bestreiten die Richtigkeit der Verarbeitung Ihrer personenbezogenen Daten für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • die Verarbeitung Ihrer personenbezogenen Daten ist eigentlich unrechtmäßig und Sie verlangen anstelle der Löschung die Einschränkung der Nutzung der personenbezogenen Daten;
  • wir benötigen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen diese jedoch zur Geltendmachung Ihrer Rechtsansprüche, oder
  • Sie haben Widerspruch gegen die Verarbeitung eingelegt, es aber noch nicht feststeht, ob unsere berechtigten Interessen Ihre berechtigten Interessen überwiegen.

14.6 Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die bei uns gespeichert sind, in einem gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, zu übermitteln.

14.7 Widerspruchsrecht

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten diese Daten dann nicht mehr, es sei denn, wir können schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, überwiegen.

14.8 Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei der für die verantwortliche Stelle zuständigen Datenschutzaufsichtsbehörde.

15. Weitere Informationen und Kontakte

Wenn Sie weitere Fragen zum Thema “Datenschutz bei der verantwortlichen Stelle” haben, wenden Sie sich an den Datenschutzbeauftragten der Bundesgeschäftsstelle des Deutschen Alpenvereins. Sie können erfragen, welche Ihrer Daten bei uns gespeichert sind. Darüber hinaus können Sie Auskünfte, Löschungs- und Berichtigungswünsche zu Ihren Daten und gerne auch Anregungen jederzeit per Brief oder E-Mail an folgende Adresse senden:

Prof. Dr. Rolf Lauser, Dr.-Gerhard-Hanke-Weg 31, 85221 Dachau

Tel.: 08131/511750, Fax: 08131/511619, E-Mail: datenschutzbeauftragter@alpenverein.de