1:0 für den Datenschutz

Bild von jorono auf Pixabay 

Aufsichtsbehörde Baden-Württemberg verhängt Bußgeld gegen den VFB-Stuttgart

In der Bundesliga läuft es in letzter Zeit relativ gut für den letztes Jahr aufgestiegenen VFB-Stuttgart. Nach 25 Spieltagen stehen die Schwaben auf dem 8. Tabellenplatz. Nicht so positiv präsentiert sich der Verein dagegen in Sachen Datenschutz. Die von Stefan Brink geleitete Baden-Württembergische Aufsichtsbehörde hat kürzlich ein Bußgeld in Höhe von 300.000 Euro gegen die VFB Stuttgart 1893 AG verhängt. Dabei soll es sich nach Aussagen der Aufsichtsbehörde um ein „einvernehmlich gefundenes Ergebnis“ handeln. Der VFB hat die Strafe bereits akzeptiert und verzichtet auf Rechtsmittel.

Wie kam es zu dem Bußgeld?

Der Erstligist soll zwischen 2016 und 2018 wiederholt zehntausende Mitgliederdaten an Dritte weitergereicht haben. Als Grund für die Bußgeldverhängung nennt der LfDI BW die fahrlässige Verletzung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Dies lässt erahnen, dass neben den konkreten Vorwürfen der sog. „Datenaffäre“ auch die allgemeinen datenschutzrechtlichen Grundsätze Gegenstand des Verfahrens waren. Ob und inwieweit dies tatsächlich der Fall war, lässt sich der Pressemitteilung des LfDI BW nicht entnehmen.

Nach der Darstellung de VFB-Stuttgart handelt es sich dabei nicht um Sachverhalte aus den Jahren 2016 und 2017, die im Zusammenhang mit der Mitgliederversammlung und Ausgliederung der AG stehen, sondern insbesondere die Zusammenarbeit mit einem externen Dienstleister ohne gebotene vertragliche Grundlagen. Als vertragliche Grundlage für die Zusammenarbeit mit sog. Auftragsverarbeitern sieht die DSGVO den Abschluss von Auftragsverarbeitungsverträgen (AV-Verträgen oder auch AVV) gemäß Art. 28 DSGVO vor. Zudem sei laut AG gegen datenschutzrechtliche Dokumentationspflichten im Umgang mit personenbezogenen Daten verstoßen worden, da „die E-Mail zu dem untersuchten Vorgang aus dem Jahr 2018 beim VfB nicht mehr aufzufinden war.“ Was genau Inhalt dieser erwähnten E-Mail gewesen sein soll ist nicht bekanntgegeben worden. Festzuhalten ist aber, dass der LfDI BW einzelne Datenübermittlungen an einen externen Dienstleister der AG im Jahr 2018 untersucht hat und daraufhin ein Bußgeld wegen Verletzung der Rechenschaftspflicht verhängt wurde. Das Bußgeld zeigt wiederholt, wie wichtig der korrekte Vertragsschluss mit Dienstleistern und eine saubere Dokumentation in Sachen Datenschutz ist.

Bild von moerschy auf Pixabay

Fazit für die Zukunft

Der Stuttgarter Fußballverein gibt sich geläutert und verspricht Besserung. Thomas Hitzelsberger, ehemaliger Nationalspieler und seit 2019 Vorstandsvorsitzender beim VFB sagte zu den Vorfällen: „Wir müssen uns noch intensiver mit Datenschutz befassen in Zukunft. Wir haben gesehen, wie ernst und wichtig dieses Thema ist.“ Der VFB Stuttgart gibt an in Zukunft für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz sorgen zu wollen.

Weiterhin seien in Abstimmung mit dem LfDI BW Maßnahmen zur Sensibilisierung junger Menschen für Datenschutzanliegen geplant, wie die Förderung des Projekts „Datenschutz geht zur Schule“. Auch eigene Schulungen des VfB für seine Nachwuchsmannschaften zum Thema „Datenschutz bei Jugendlichen“ seien in Zukunft vorgesehen. Damit geht der VfB über die allgemeine Schulungspflicht für eigene Mitarbeiter im Bereich des Datenschutzes hinaus.

Vergleichsweise mildes Bußgeld

Der Landesdatenschutzbeauftragte von Baden-Württemberg scheint die Reaktionen des VFB für überzeugend und honoriert dies mit einem relativ geringen Bußgeld. Theoretisch wären beim VFB Stuttgart bis zu 6,17 Millionen Euro Bußgeld möglich gewesen (4% des Jahresumsatzes von 154,4 Mio in 2019), ausschlaggebend für die milde Strafe waren wohl „der Umfang des […} Aufklärungsinteresses und der Kooperationsbereitschaft des VfB“.