Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs (LfDI) verhängte am 10. März 2021 eine Geldbuße in Höhe von 300.000 Euro gegen den VfB Stuttgart. Der Fußball-Bundesligist akzeptierte den Bescheid und will sich in Zukunft vermehrt für den Datenschutz engagieren. Damit findet ein laut Behörde „ungewöhnliches“ Verfahren seinen Abschluss.
Hintergrund des Bußgelds
Der VfB Stuttgart, der keine Rechtsmittel gegen das verhängte Bußgeld einlegen möchte, teilte in einer Pressemitteilung mit, dass das Bußgeld verhängt wurde, weil „bei der Zusammenarbeit mit einem externen Dienstleister die gebotenen vertraglichen Grundlagen in Bezug auf die Überlassung von Daten nicht geschaffen wurden. Zudem wurde gegen datenschutzrechtliche Dokumentationspflichten im Umgang mit personenbezogenen Daten verstoßen, da die E-Mail zu dem untersuchten Vorgang aus dem Jahr 2018 beim VfB nicht mehr aufzufinden war.“
Der LfDI begründete das Bußgeld in seiner eigenen Mitteilung mit „fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.“
Die Höhe des Bußgelds scheint dabei mit 300.000 € milde auszufallen. Der LfDI hob besonders hervor, dass der Verein im Rahmen der Aufarbeitung nicht nur vorbildlich mit der Behörde kooperiert habe, sondern auch eine Verbesserung des Datenschutzmanagements festgestellt werden konnte und in Zukunft ein Engagement für die Stärkung des Datenschutzes geplant sei. Der VfB möchte sich vor allem im Bereich Datenschutzsensibilisierung für junge Leute engagieren. Auch war ein Teil der Vorwürfe schon verjährt und wurde daher gar nicht mehr untersucht.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Die datenschutzrechtliche Rechenschaftspflicht
Nicht nur das öffentliche Interesse, sondern auch die Begründung des Bußgelds mit der datenschutzrechtlichen Rechenschaftspflicht macht diesen Fall besonders interessant. Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können.
Kontaktiert die Aufsichtsbehörde ein Unternehmen und verlangt Auskunft darüber, ob dieses personenbezogene Daten datenschutzkonform verarbeitet (in diesem Fall: Mitgliederdaten an einen Dienstleister weitergibt), so muss das Unternehmen diese Frage beantworten können. Die Beweispflicht für die ordnungsgemäßen Verarbeitung liegt beim Verantwortlichen. Wie der Nachweis zu erbringen ist unterliegt keiner bestimmte Form. Vielmehr ist es dem Verantwortlichen überlassen, wie er seiner Pflicht nachkommt.
Der VfB Stuttgart konnte einen solchen Nachweis wohl nicht erbringen. Um in Zukunft seiner Rechenschaftspflicht nachkommen zu können bedurfte es einer „kostenträchtigen Umstrukturierung und Verbesserung [des] Datenschutzmanagements“.
Ein solches Datenschutzmanagement bzw. Datenschutz-Managementsystem (DSMS) stellt die Grundlage des Schutzes personenbezogener Daten in Unternehmen dar. Ziel eines solchen Systems ist es, geplante, dokumentierte und funktionierende Prozesse, die es erlauben die relevanten Datenschutzvorschriften einzuhalten, aufzubauen, zu kontrollieren und laufend zu verbessern. Starre Vorgaben, wie das DSMS aussehen muss, gibt es nicht. Die eigene Umsetzung muss sich am Ende aber am Erfolg messen lassen.
Gängige Vorgehensweise ist es, sich an etablierten (zertifizierbaren) Managementsystemen anderer Themenbereiche zu orientieren. Aufgrund der thematischen Überschneidung bietet sich vor allem der Bereich Informationssicherheit und die ISO 27001 an.
Unsere langjährige Erfahrung im Bereich Datenschutz und Informationssicherheit, unter anderem als Datenschutzbeauftragte und ISO27001 Auditoren, hat uns aufgezeigt, dass ein Datenschutzmanagementsystem, das auf den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) aufbaut, einen sehr effizienten Weg bietet, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen.
Fazit
Der VfB Stuttgart hat das Bußgeld akzeptiert und bemüht sich jetzt um Wiedergutmachung. Man möchte das Vertrauen in den Verein, vor allem das der Mitglieder wiederherstellen. Die ersten Stimmen, unter anderem die des LfDI BaWü, Dr. Stefan Brink, finden lobende Worte für den transparenten Umgang und die umfassende Aufarbeitung des Datenschutzverstoßes. Besonders das geplante Engagement des Bundesligavereins im Bereich Datenschutzsensibilisierung der Jugend stößt auf großen Zuspruch. Schade, dass es dafür erst eines Bußgeldverfahrens bedurfte.
Am Ende wäre es für alle Beteiligten, allen voran natürlich für den Verein selbst und für die vom Verstoß betroffenen Personen besser gewesen, wenn es gar nicht so weit gekommen wäre. Der Fall zeigt deutlich, dass es sich lohnt, den Datenschutz so früh wie möglich anzugehen und mit einem funktionierenden Managementsystem vorzusorgen. Zudem wird verdeutlich wie wichtig die vollständige Kooperation und Aufarbeitung eines Verstoßes sein kann.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!