Neue Datenschutzregeln am 25.5.18 in Kraft

Veröffentlicht von , 29. März 2018

Text: Patrick Kreimer, Rechtsanwalt / Datenschutzbeauftragter des AEROCLUB | NRW e.V.

HINWEIS: Eine neue Version dieses Beitrages wurde am 15. Mai veröffentlicht. Bitte beachten, dass dieser Artikel vom 29. März abweicht und das inzwischen eine geänderte Muster-Datenschutzerklärung in dem aktualisierten Beitrag und im Downloadbereich abrufbar ist.

Wie erfüllt der Verein die Anforderungen?

Zum 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DS-GVO) als in der gesamten EU unmittelbar geltendes Recht in Kraft. Die nationalen Regelungen der EU-Mitgliedsstaaten zum Datenschutz werden weitgehend abgelöst. Auch das deutsche Bundesdatenschutzgesetz, welches in seiner ursprünglichen Fassung aus dem Jahre 2003 stammt, wird durch ein neues Bundesdatenschutzgesetz ersetzt, das die DS-GVO in einzelnen Bereichen durch nationale deutsche Regelungen ergänzt.

Um welche Daten geht es?

Im Verein muss das Datenschutzrecht beachtet werden, wenn personenbezogene Daten verarbeitet werden. Dies sind individuelle Informationen über eine natürliche Person. Im Verein fallen darunter Daten und Informationen über die einzelnen Mitglieder, wie

  • Name, Vorname, Geburtstag, Geschlecht
  • Adresse, Telefonnummer, Emailadresse
  • Bankverbindung, SEPA-Lastschriftmandat
  • Mitglied in der Abteilung Modellflug / Segelflug / Ballon / Motorflug / Ultraleichtflug / Fallschirm / Hängegleiten etc.
  • Scheininhaber / Lizenzen / in Ausbildung / Halter des Luftfahrzeuges D-XYZW
  • Startlisten mit namentlicher Nennung der Besatzung und ggfs. Gäste
  • Tauglichkeitszeugnis vorhanden ja / nein

Mit Ausnahme der Information über das Vorliegen eines Tauglichkeitszeugnisses (dazu später mehr) können, wie bisher, alle vorgenannten Daten der Mitglieder erhoben und gespeichert werden. Voraussetzung ist, dass das einzelne Mitglied informiert wird, wer welche Daten zu welchem Zweck erhebt, wie lange diese gespeichert werden und ob eine Weitergabe an andere Stellen erfolgt. Ferner ist über Auskunftsrechte des Betroffenen und darüber zu informieren, ob einer weiteren Nutzung der Daten widersprochen werden kann. Diese Informationspflichten werden durch eine sogenannte Datenschutzerklärung erfüllt, die jeder Verein dem einzelnen Mitglied zukommen lassen sollte.

Eine Muster Datenschutzerkärung für einen Luftsportverein ist hier abrufbar. Zu beachten ist, dass diese Erklärung an die konkreten Gegebenheiten im jeweiligen Verein angepasst werden muss. Es ist praktisch unmöglich, ein Muster zur Verfügung zu stellen, dass für alle Vereine passt.

Das Muster berücksichtigt nicht die Verwendung von Analyse- oder Tracking-Tools in der Website des Vereins oder den Verkauf von Waren oder Gastflugscheinen per Online-Shop.

Einwilligung nicht notwendig

Es ist nicht notwendig bei jedem einzelnen Mitglied eine ausdrückliche und ggfs. nachweisbare Einwilligung einzuholen. Nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO ist die Erhebung und Verarbeitung der Daten zulässig, wenn dies zur Wahrung der berechtigten Interessen des Verantwortlichen (= Verein) erforderlich ist und nicht überwiegende Interessen des einzelnen Mitglieds entgegenstehen. Ein berechtigtes Interesse eines Luftsportvereines an der Erhebung und Nutzung von Adressdaten der Mitglieder oder Informationen über den Ausbildungsstatus bzw. vorhandene Lizenzen kann unproblematisch bejaht werden. Der Verein ist schon zur Erfüllung seiner satzungsmäßigen Aufgaben, zum Beispiel Einladung zu Mitgliederversammlungen oder Einziehung von Beiträgen und Gebühren, auf entsprechende Daten angewiesen. Ein Verein der ausbildet und/oder seinen Mitgliedern Luftfahrzeuge zur eigenverantwortlichen Nutzung zur Verfügung stellt, hat ein berechtigtes Interesse an Informationen über das Vorhandensein der notwendigen Lizenzen bzw. des Ausbildungsstandes. Bei der Ausbildung kommt hinzu, dass eine rechtliche Verpflichtung zur Dokumentation der Ausbildung besteht. Hinsichtlich der Daten zur Ausbildung ist die Datenverarbeitung und Nutzung ohne Einwilligung der betroffenen Person daher auch nach Art. 6 Abs. 1 Satz 1c) DS-GVO zulässig.

Datensparsamkeit und Einschränkung des Zugriffs

Ein der Datenerhebung und Verarbeitung entgegenstehendes berechtigtes Interesse der betroffenen Person kann insbesondere dann vorliegen, wenn der Verein die Vorgaben des Datenschutzes nicht ausreichend beachtet. Wichtig ist, dass nicht mehr Daten erhoben werden, als zur Erfüllung des Zwecks notwendig ist und dass der Kreis der Personen, die auf die Daten zugreifen können, auf das notwendige Mindestmaß beschränkt wird. Es darf daher nicht allen Mitgliedern der Zugriff auf die Adressdatenbank einschließlich Lizenzdaten der Mitglieder ermöglicht werden. Der Zugriff muss eingeschränkt werden auf die Personen, die die Daten zur Erfüllung der Aufgaben des Vereins einsehen müssen. Welche Personen dies sind, hängt von der Organisation des einzelnen Vereins ab. Adressdaten müssen jedenfalls für die Personen einsehbar sein, die Einladungen verschicken. Lizenzdaten müssen für die Personen zugänglich sein, die über die Vergabe von Luftfahrzeugen entscheiden (in der Regel der Vorstand). Informationen über den Ausbildungsstatus sind hingegen nur für die Ausbilder relevant. In vielen Vereinen ist es allerdings Aufgabe der Ausbilder die Vergabe von Luftfahrzeugen an Mitglieder zu begleiten und ggfs. zu überwachen, so dass auch hier ein berechtigtes Interesse vorliegen dürfte, Lizenzdaten von Scheininhabern einzusehen.

Es spricht nichts dagegen zur Gewährung eines reibungslosen Flugbetriebes eine Telefonliste der am Flugbetrieb beteiligten, aktiven Mitglieder den anderen aktiven Mitgliedern zugänglich zu machen. Jedoch besteht kein berechtigtes Interesse zusätzlich Telefondaten passiver Mitglieder bekannt zu machen oder etwa die Telefonliste einer Segelfluggruppe zugleich auch den Mitgliedern der Modellfluggruppe eines Vereins zugänglich zu machen.

Wichtig ist, dass der Zweck und die Art der Nutzung der Daten in der Datenschutzerklärung beschrieben werden. Wenn etwa eine Telefonliste der aktiven Mitglieder verteilt werden soll, sollte hierauf in der Datenschutzerklärung hingewiesen werden.

Einwilligung notwendig, wenn Daten über das notwendige Maß hinaus genutzt werden

Wenn anderen Mitgliedern Informationen bekannt gemacht werden sollen, die für die Erfüllung der Zwecke des Vereins oder für die Durchführung eines Flugbetriebes nicht notwendig sind, ist eine ausdrückliche und nachweisbare Einwilligung des jeweiligen Mitgliedes einzuholen. Dies gilt etwa dann, wenn eine Geburtstagsliste oder private Anschriften an alle Mitglieder bekannt gemacht werden sollen.

Daten von Minderjährigen

Soweit ein berechtigtes Interesse zur Datennutzung vorliegt und überwiegende Interessen der betroffenen Person nicht entgegenstehen, ist auch bei Minderjährigen die Einholung einer ausdrücklichen Einwilligung grundsätzlich nicht erforderlich. Die Information über die Erhebung der Daten, den Zweck und die Rechte des Betroffenen muss altersentsprechend erfolgen und für den Minderjährigen verständlich sein. Bei Kindern unter 14 Jahren sollten vorsorglich zusätzlich die Eltern die entsprechenden Informationen bekommen. Eine ausdrückliche gesetzliche Pflicht hierzu gibt es nicht. Da es aber nicht in jedem Falle möglich sein wird, einem Kind die Informationen verständlich zu vermitteln, empfiehlt sich die zusätzliche Information der Eltern.

Zu beachten ist, dass in den Fällen, in denen in die Nutzung der Daten ausdrücklich eingewilligt werden muss (zum Beispiel Geburtstags- oder Adressliste, siehe oben, Verwendung der Daten zu Werbezwecken, Gesundheitsdaten), bei Minderjährigen unter 16 Jahren an Stelle des Minderjährigen die Eltern einwilligen müssen.

Weitergabe von Daten an andere Stellen

Häufig werden die im Verein erhobenen Daten ganz oder teilweise an andere Stellen weitergegeben. Im Falle der Vereine, die Mitglied im Landesverband sind, werden regelmäßig Daten weitergegeben an den AEROCLUB I NRW e.V.. Daten von Flugschülern und Fluglehrern werden an die Bezirksregierungen Düsseldorf bzw. Münster als aufsichtführende Landesluftfahrtbehörden weitergegeben. Ferner gibt es Vereine, die für ihre Mitgliederverwaltung cloudbasierte Softwarelösungen nutzen, bei denen die Daten an die Anbieter der jeweiligen Software übermittelt werden (z.B. Aircraft-Info-Desk, Air-Software, AmeAvia, Vereinsflieger).

Die Weitergabe der Daten an die genannten Stellen ist in der Regel ohne Einwilligung zulässig. Es ist jedoch zu unterscheiden:

Die Weitergabe von Daten an den AEROCLUB I NRW e. V. als Landesverband ist ohne ausdrückliche Einwilligung zulässig, wenn und soweit dies der Erfüllung berechtigter Interessen dient und wiederum keine überwiegenden Interessen des Betroffenen entgegenstehen. Das berechtigte Interesse des Landesverbandes liegt vor, da in Abhängigkeit von der Anzahl und dem Alter der Mitglieder und ihren jeweiligen Sportarten Beiträge erhoben und Versicherungsleistungen erbracht werden. Weitere berechtigte Interessen sind die Versendung der Mitgliederzeitschrift und die Ausstellung von Mitgliedsausweisen. Die Erhebung von Daten zur Ausbildung erfolgt zur Erfüllung der berechtigten Interessen der ATO des Landesverbandes. Dies gilt auch für die Daten der in der ATO tätigen Fluglehrer.

Wichtig ist abermals, dass nur die zur Erfüllung des jeweiligen Zwecks notwendigen Daten erhoben werden. Auf die Weitergabe der Daten an andere Stellen ist in der Datenschutzerklärung hinzuweisen.

Während der Landesverband die Daten zur Erfüllung eigener Zwecke erhält, erfolgt eine Übermittlung an eine cloudbasierte Vereinsverwaltungssoftware nicht zur Erfüllung eigener Zwecke des Softwareanbieters, sondern im Rahmen der eigenen Zwecke des Vereins. Im Verhältnis Verein – Softwareanbieter liegt eine sogenannte Auftragsverarbeitung vor. Der Softwareanbieter ist datenschutzrechtlich nicht Dritter, sondern sozusagen ein Teil des Vereins bzw. dessen verlängerter Arm. Die Weitergabe von Daten im Rahmen einer solchen Auftragsverarbeitung ist zulässig, wenn zwischen dem Verein als verantwortliche Stelle und dem Softwareanbieter als Auftragsverarbeiter eine schriftliche Vereinbarung vorliegt, in welcher die jeweiligen datenschutzrechtlichen Verantwortlichkeiten geregelt sind. Sofern eine solche schriftliche Vereinbarung nicht ohnehin bereits vorliegt, sollte diese umgehend bei dem jeweiligen Softwareanbieter angefordert werden.

Selbstredend dürfen nur solche Auftragsverarbeiter beauftragt werden, die einen ordnungsgemäßen Umgang mit den Daten erwarten lassen. Dies ist dann der Fall, wenn der Softwareanbieter angemessene technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes getroffen hat und eine Beschreibung dieser Maßnahmen vorliegt und im Übrigen keine Anhaltspunkte ersichtlich sind, dass der Datenschutz nicht eingehalten wird.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss nach § 38 Abs. 1 BDSG-neu bestellt werden, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies wird bei den meisten Luftsportvereinen nicht der Fall sein. Beim AEROCLUB I NRW e. V. ist ein Datenschutzbeauftragter bestellt.

Besonderheit: Tauglichkeitszeugnisse

Alles Vorstehende gilt, solange nicht eine sogenannte besondere Kategorie personenbezogener Daten verarbeitet wird. Personenbezogene Daten besonderer Kategorie sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen. Ferner fallen hierunter genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Daten dieser Kategorie dürfen grundsätzlich nur erhoben und verarbeitet werden, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Die Information, ob ein Tauglichkeitszeugnis vorliegt, gehört zu den Gesundheitsdaten in diesem Sinne. Das bedeutet, dass eine Information über das Vorliegen eines Tauglichkeitszeugnisses oder eine Kopie des Tauglichkeitszeugnisses nur gespeichert und verwendet werden darf, wenn die betroffene Person ausdrücklich einwilligt. Die Vereine müssen daher entweder auf eine Speicherung von Informationen zum Tauglichkeitszeugnis verzichten oder aber bei jeder betroffenen Person eine ausdrückliche Einwilligung einholen. Das Vorliegen der Einwilligung muss nachweisbar sein, so dass diese schriftlich vorliegen sollte. Sofern auf die Einholung einer ausdrücklichen Einwilligungserklärung und einer Speicherung verzichtet wird, kann sich ein Fluglehrer bei Zweifeln an der Tauglichkeit zu Beginn eines Flugbetriebstages das Tauglichkeitszeugnis vorlegen lassen. Ebenso kann ein Vorstand (oder in seinem Auftrage ein Fluglehrer) die Überlassung eines Vereinsflugzeuges an einen Scheininhaber davon abhängig machen, dass ein gültiges Tauglichkeitszeugnis vorgelegt wird.

Zu guter Letzt

Auf die neue Datenschutzgrundverordnung wird seit Monaten an vielen Stellen hingewiesen. Es wird sehr viel Wirbel darum gemacht, nur leider fehlen oft konkrete Hinweise, was zu tun ist, um zukünftig gesetzeskonform zu sein. Ziel dieses Beitrages ist es, diese Lücke für die Luftsportvereine in NRW etwas zu schließen. Gleichwohl bitte ich zu beachten, dass dieser Artikel nicht auf alle denkbaren Besonderheiten eingehen und eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen kann.

Kontakt
Boris Langanke
Geschäftsführer
Tel.: (0203) 77844-11
langanke@aeroclub-nrw.de