Die fahrlässige Verletzung der datenschutzrechtlichen Rechenschaftspflicht brachte dem Fußballverein VfB Stuttgart 1893 AG neben medialer Aufmerksamkeit ein Bußgeld in Höhe von 300.000 € ein.
Übermittlung von Mitgliederdaten an Dritte ohne Rechtsgrundlage
Leitende Mitarbeiter des Vereins gaben im Zeitraum von 2016 – 2018 personenbezogene Daten in Form von Telefonnummern, E-Mail-Adressen und Teilnahmedaten von Mitgliederversammlungen von Mitgliedern an Dritte weiter. Bei einer Mitgliederversammlung 2017 wurde für eine Ausgliederung der Fußballabteilung des Vereins in eine AG gestimmt. Eine externe PR-Agentur nutzte vorab die Mitgliederdaten, um für die Ausgliederung zu werben.
Verfahrensablauf
Der Landesbeauftragte für Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, Stefan Brink, untersuchte mit seiner Behörde den Fußballverein innerhalb eines Prüfverfahrens und begann zum Februar 2021 das Bußgeldverfahren.
Rechtlicher Rahmen
Art. 5 Abs. 2 der Datenschutz-Grundverordnung (DSGVO) formuliert die Pflicht des Verantwortlichen, die in Absatz 1 aufgezeigten Grundsätze für die Verarbeitung von personenbezogenen Daten der DSGVO einzuhalten und die Einhaltung nachweisen zu können (Rechenschaftspflicht). Die Grundsätze umfassen die Rechtmäßigkeit und Transparenz der Verarbeitung, die Zweckbindung, Datenminimierung, Richtigkeit der erfassten Daten, Speicherbegrenzung sowie die Vertraulichkeit des Umgangs mit den personenbezogenen Daten.
Im vorliegenden Fall wurden das Prinzip der Rechtmäßigkeit der Datenverarbeitung verletzt. Eine Verarbeitung von personenbezogenen Daten darf nur auf Grundlage eines gesetzlichen Rechtfertigungstatbestandes oder einer Einwilligung erfolgen. Die Weitergabe an eine externe PR-Agentur, also an einen Dritten, wurde hier nicht von der Mitgliedschaft gedeckt. Es lag keine Rechtsgrundlage für die Übermittlung der Mitgliederdaten vor, die Betroffenen hatten auch nicht eingewilligt.
Verstöße gegen die Grundprinzipien der DSGVO gehören zu den häufigsten und schwerwiegend sanktionierten Verstößen. Bußgelder können bis zu 20 Millionen Euro betragen. Es ist die Aufgabe der Datenschutzbehörden, ein verhältnismäßiges Bußgeld festzusetzen.
Kooperation bringt allen Beteiligten Vorteile
Beim VfB Stuttgart wurde zu Gunsten des Vereins bedacht, dass eine „ungewöhnlich“ große Kooperationsbereitschaft bestand. So beschrieb Herr Brink die Zusammenarbeit in der Pressemitteilung des LfDI. Zudem plant der Fußballverein Umstrukturierungen des Datenschutzmanagements und Maßnahmen zum sensiblen Umgang mit Datenschutzanliegen.
Hiernach gilt die Höhe des Bußgeldes im vorliegenden Fall als „spürbar“ genug, um das Verfahren beenden zu können. Der Verein kann aus diesem Vorfall und der folgenden medialen Aufmerksamkeit gelernt haben und die technischen und organisatorischen Maßnahmen zum Datenschutz verbessern. Gleichzeitig plant er, Schulungen und Aufklärungsaktionen zu etablieren, um den korrekten Umgang mit Daten sicherzustellen.
Diese Maßnahmen sind individuell auf den jeweiligen Betrieb zuzuschneiden. Wir beraten Sie gerne darin, welche Maßnahmen im organisatorischen und technischen Bereich und welche Sensibilisierungen im Datenschutz für Sie in Frage kommen könnten!
Ihre Datenschutzbeauftragten
Diese Beiträge könnte Sie zu Bußgeldverfahren auch interessieren: