HINWEIS: Eine erste Version dieses Beitrages wurde am 29. März veröffentlicht. Bitte beachten, dass dieser aktualisierte, vorstehende Artikel von dem Märzbeitrag abweicht. Dieser aktuelle Beitrag enthält eine geänderte Muster-Datenschutzerklärung und eine Einwilligungserklärung. Sie sind auch im Downloadbereich abrufbar.
Wie erfüllt der Verein die Anforderungen?
Per 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DS-GVO) als in der gesamten EU unmittelbar geltendes Recht in Kraft. Die nationalen Regelungen der EU-Mitgliedsstaaten zum Datenschutz werden weitgehend abgelöst. Auch das deutsche Bundesdatenschutzgesetz, welches in seiner ursprünglichen Fassung aus dem Jahre 2003 stammt, gilt dann nicht mehr. Zusätzlich zur DS-GVO tritt ein neues Bundesdatenschutzgesetz in Kraft, welches die DS-GVO in einzelnen Bereichen durch nationale deutsche Regelungen ergänzt.
Daten
Um welche Daten geht es?
Im Verein muss das Datenschutzrecht beachtet werden, wenn personenbezogene Daten verarbeitet werden. Dies sind individuelle Informationen über eine natürliche Person. Im Verein fallen darunter Daten und Informationen über die einzelnen Mitglieder, wie
- Name, Vorname, Geburtstag, Geschlecht
- Adresse, Telefonnummer, Emailadresse
- Bankverbindung, SEPA-Lastschriftmandat erteilt
- Mitglied in der Abteilung Modellflug / Segelflug / Ballon / Motorflug / Fallschirm / Hängleiten…
- Scheininhaber / Lizenzen / in Ausbildung / Halter des Luftfahrzeuges D-XYZW
- Startlisten mit namentlicher Nennung der Besatzung und ggfs. Gäste
- Tauglichkeitszeugnis vorhanden ja / nein
Einwilligung
Einwilligung notwendig bei Daten zur Flugtauglichkeit und zur Übermittlung von Daten an den Landesverband
Mit Ausnahme der Information über das Vorliegen eines Tauglichkeitszeugnisses (dazu später mehr) können, wie bisher, die vorgenannten Daten der Mitglieder erhoben und gespeichert werden. Eine ausdrückliche Einwilligung des einzelnen Mitgliedes ist nicht erforderlich, wenn die Daten ausschließlich durch den Verein selbst verarbeitet werden. Sofern die Daten lediglich zur Gewährung der Rechte und Erfüllung der Pflichten aus der Mitgliedschaft in dem Verein benötigt und verwendet werden, gelten diese als Daten, die für die Erfüllung eines Vertrages notwendig sind gemäß Art. 6 Abs. 1 lit. b) DS-GVO. Nach allgemeiner Ansicht entspricht die Mitgliedschaft in einem Verein insoweit der Erfüllung eines Vertrages.
Eine ausdrückliche Einwilligung jedes einzelnen Mitgliedes in die Datenverarbeitung ist aber dann notwendig, wenn sogenannte Daten besonderer Kategorie in Sinne von Art. 9 Abs. 1 DS-GVO verarbeitet werden. Hierunter fallen unter anderem Gesundheitsdaten und daher auch eine Information darüber, ob ein gültiges Flugtauglichkeitszeugnis vorliegt.
Ferner ist die Einwilligung jedes einzelnen Mitgliedes einzuholen, wenn die Daten an einen Dritten weitergegen werden, der nicht ein vom Verein beauftragter Auftragsverarbeiter ist. Dies ist insbesondere bei der Weitergabe von Mitgliederdaten an einen Landesverband zu beachten. Es wird zwar die Auffassung vertreten, dass dies ohne Zustimmung des einzelnen Mitgliedes zulässig ist, wenn es der Verwirklichung der eigenen Ziele des Vereins dient, etwa bei der überregionalen Organisation von Turnieren oder Wettbewerben. Dies ist im Falle der Luftsportler aber nicht ohne weiteres der Fall, da sich diese in der Regel selbst und individuell zu Wettbewerben und Meisterschaften anmelden und nicht über ihren Verein gemeldet werden (wie es etwa bei Fußballvereinen im DFB der Fall ist).
Um die in Luftsportvereinen regelmäßig vorkommenden Sachverhalte datenschutzrechtlich sauber abzudecken, sollte sich der Verein daher für die Verarbeitung von Informationen über die Flugtauglichkeit und für die Weitergabe von Daten an den Landesverband (und im Rahmen der Ausbildung an die zuständige Luftfahrtbehörde) die Einwilligung seines Mitgliedes geben lassen.
Informationen der Mitglieder
Für die übrige Verarbeitung personenbezogener Daten ist, wie schon oben gesagt, eine ausdrückliche Einwilligung der betroffenen Personen nicht notwendig, diese müssen jedoch über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Eine solche Information erfolgt durch eine sogenannte Datenschutzerklärung (hierfür werden auch andere Bezeichnungen verwendet, wie zum Beispiel Datenschutzhinweise u. ä.). Jeder Verein sollte jedem einzelnen Mitglied nachweislich eine für ihn passende Datenschutzerklärung zukommen lassen und bei der Aufnahme neuer Mitglieder dokumentieren, dass eine Datenschutzerklärung zur Verfügung gestellt wurde. Die Datenschutzerklärung sollte zusätzlich auf der Website des Vereins hinterlegt werden.
Ich bitte zu beachten, dass diese Muster Datenschutzerklärung an die konkreten Gegebenheiten im jeweiligen Verein angepasst werden muss. Einige Hinweise dazu sind in der Erklärung selbst enthalten.
Einwilligungserklärung
Die Muster Einwilligungserklärung deckt die Verarbeitung von Daten zur Flugtauglichkeit und die Weitergabe von Daten an den Landesverband und die Luftfahrtbehörde ab. Auch hier ist genau zu prüfen, ob die Erklärung für die Gegebenheiten im jeweiligen Verein und Landesverband passt.
Weitere Maßnahmen
Das Datenschutzrecht verlangt weitere Maßnahmen. Um diese zu erfüllen, sollte sich der Verein ein Datenschutzkonzept geben, in welchem festgelegt ist, welche Personen zu welchem Zweck Daten verarbeiten dürfen. Das Datenschutzrecht verlangt, dass der Datenzugriff auf einen möglichst kleinen Personenkreis beschränkt wird. Ferner muss sichergestellt werden, dass nicht mehr benötigte Daten vollständig und unwiederbringlich gelöscht werden und es muss gewährleistet sein, dass die im Datenschutzrecht verankerten Betroffenenrechte gewährt werden können, wie etwa das Recht auf unverzügliche Auskunft zu den gespeicherten Daten. Weiter muss dokumentiert werden, dass alle Personen, die Zugriff haben auf personenbezogene Daten, mit den Grundzügen des Datenschutzes vertraut sind.
Der AEROCLUB | NRW prüft derzeit, welche weiteren Hilfen in Zukunft zur Verfügung gestellt werden können. Einstweilen wird allen Vereinen dringend geraten, sich selbstständig um die Einhaltung der neuen Anforderungen zum Datenschutz zu kümmern.
Ansprechpartner
Patrick Kreimer
– Rechtsanwalt –
Email: datenschutz@aeroclub-nrw.de
Der Beitrag Neue Datenschutzregeln [Update] erschien zuerst auf AEROCLUB | NRW.