Dieses greift dann, wenn sie personenbezogene Daten verarbeiten – also alle individuellen Informationen über natürliche Personen. Im Verein fallen unter diese persönlichen Daten Informationen über einzelne Mitglieder wie zum Beispiel:
- Name, Vorname, Geburtstag, Geschlecht
- Adresse, Telefonnummer, E-Mail-Adresse
- Bankverbindung, SEPA-Lastschriftmandat
- Mitgliedschaft in der Abteilung Modellflug / Segelflug / Ballon / Motorflug / Fallschirm / Ultraleicht / Drachen und Gleitschirm
- Schein-Inhaber / Lizenzen / in Ausbildung / Halter des Luftfahrzeuges D-XYZW
- Startlisten mit namentlicher Nennung der Besatzung und gegebenenfalls Gäste
- Tauglichkeitszeugnis vorhanden ja / nein
Mit Ausnahme der Information darüber, ob ein Tauglichkeitszeugnis vorliegt, können diese Daten erhoben und gespeichert werden. Eine ausdrückliche Einwilligung des einzelnen Mitgliedes ist nicht nötig, sofern die Daten ausschließlich durch den Verein selbst verarbeitet werden. Wenn die Daten lediglich zur Gewährung der Rechte und zur Erfüllung der Pflichten aus der Mitgliedschaft in dem Verein benötigt und verwendet werden, gelten sie als Daten, die für die Erfüllung eines Vertrages notwendig sind gemäß Art. 6 Abs. 1 lit. b) DS-GVO. Nach allgemeiner Ansicht entspricht die Mitgliedschaft in einem Verein der Erfüllung eines Vertrages.
Notwendig wird eine ausdrückliche Einwilligung jedes einzelnen Mitgliedes in die Datenverarbeitung aber dann, wenn sogenannte Daten besonderer Kategorie in Sinne von Art. 9 Abs. 1 DS-GVO verarbeitet werden. Hierunter fallen unter anderem Gesundheitsdaten oder die Information darüber, ob ein gültiges Flugtauglichkeitszeugnis vorliegt.
Die Einwilligung jedes einzelnen Mitgliedes muss auch dann eingeholt werden, wenn die Daten an einen Dritten weitergegeben werden, der nicht ein vom Verein beauftragter Auftragsverarbeiter ist. Zu beachten ist das insbesondere bei der Weitergabe von Mitgliederdaten an einen Landesverband. Es gibt zwar die Auffassung, dass diese Weitergabe ohne Zustimmung zulässig ist, wenn damit die Ziele des Vereins verwirklicht werden – etwa bei der überregionalen Organisation von Turnieren oder Wettbewerben. Bei Luftsportlern ist das aber nicht ohne Weiteres der Fall: In der Regel melden sich diese selbst zu Wettbewerben und Meisterschaften an und werden nicht über ihren Verein gemeldet (wie es etwa bei Fußballvereinen im DFB der Fall ist).
Um die die Sachverhalte von Luftsportvereinen datenschutzrechtlich sauber abzudecken, sollte sich der Verein daher für die Verarbeitung von Informationen über die Flugtauglichkeit und für die Weitergabe von Daten an den Landesverband (und im Rahmen der Ausbildung an die zuständige Luftfahrtbehörde) die Einwilligung seines Mitgliedes geben lassen.
Informationen der Mitglieder
Für die übrige Verarbeitung personenbezogener Daten ist eine ausdrückliche Einwilligung der betroffenen Personen nicht notwendig, diese müssen jedoch über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Eine solche Information erfolgt durch eine sogenannte Datenschutzerklärung (hierfür werden auch andere Bezeichnungen verwendet, wie zum Beispiel Datenschutzhinweise o.ä.). Jeder Verein sollte jedem einzelnen Mitglied nachweislich eine für ihn passende Datenschutzerklärung zukommen lassen und bei der Aufnahme neuer Mitglieder dokumentieren, dass eine Datenschutzerklärung zur Verfügung gestellt wurde. Die Datenschutzerklärung sollte zusätzlich auf der Website des Vereins hinterlegt werden.
Eine Muster-Datenschutzerklärung gibt es hier.
Unbedingt beachten: Diese Erklärung muss an die konkreten Gegebenheiten im jeweiligen Verein angepasst werden. Einige Hinweise dazu sind in der Erklärung selbst enthalten.
Das Muster für eine Einwilligungserklärung, die die Verarbeitung von Daten zur Flugtauglichkeit und die Weitergabe von Daten an den Landesverband und die Luftfahrtbehörde abdeckt, stellen wir hier zur Verfügung. Auch bei diesem Dokument ist genau zu prüfen, ob die Erklärung für die Gegebenheiten im jeweiligen Verein und Landesverband passt.
Weitere Maßnahmen zum Datenschutz
Wichtig: Das Datenschutzrecht verlangt weitere Maßnahmen. Um diese zu erfüllen, sollte sich der Verein ein Datenschutzkonzept geben, in dem festgelegt ist, welche Personen zu welchem Zweck Daten verarbeiten dürfen. Das Datenschutzrecht verlangt, dass der Datenzugriff auf einen möglichst kleinen Personenkreis beschränkt wird. Außerdem muss sichergestellt werden, dass nicht mehr benötigte Daten vollständig und unwiederbringlich gelöscht werden – und dass die im Datenschutzrecht verankerten Betroffenenrechte gewährt werden, wie etwa das Recht auf unverzügliche Auskunft zu den gespeicherten Daten. Weiter muss dokumentiert werden, dass alle Personen, die Zugriff haben auf personenbezogene Daten, mit den Grundzügen des Datenschutzes vertraut sind.
Der Deutsche Aero Club prüft derzeit, welche weiteren Hilfen in Kürze zur Verfügung gestellt werden können. Einstweilen wird allen Vereinen dringend geraten, sich selbstständig um die Einhaltung der neuen Anforderungen zum Datenschutz zu kümmern.