Bußgeld in Höhe von 300.000 Euro gegen VfB Stuttgart

Wolfgang A. W. Franz/ März 11, 2021/ DS-GVO Bußgeld

Wegen Verletzung der datenschutzrechtlichen Rechenschaftspflicht

Fahne des VfB Stuttgart

Die Datenschutzbehörde in Baden-Württemberg verhängt gegen die VfB Stuttgart 1893 AG ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO. Die VfB Stuttgart 1893 AG hat das Bußgeld akzeptiert sowie auf weitere Rechtsmittel verzichtet und sich gegenüber der Datenschutzbehörde zu weitreichenden Maßnahmen verpflichtet, um das technische und organisatorische Datenschutzniveau zu verbessern.

Wie einer am 10. März diesen Jahres auf der Website des Vereins veröffentlichten Erklärung zu entnehmen ist, wird der VfB Stuttgart in Abstimmung mit dem Landesdatenschutzbeauftragten zudem zusätzlich zum Bußgeld das Projekt „Datenschutz geht zur Schule“ vielfältig unterstützen und auch eigene Schulungen zum Thema „Datenschutz bei Jugendlichen“ für die VfB Nachwuchsmannschaften konzipieren und durchführen.

Die Initiative „Datenschutz geht zur Schule“ wurde bereits 2009 vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. ins Leben gerufen. Sie zeigt Schülerinnen und Schülern einfache Wege auf, wie diese ihre persönlichen Daten besser schützen können, ohne dabei auf moderne Kommunikationsformen verzichten zu müssen. Seit 2020 wird das Projekt von dessen gemeinnütziger Gesellschaft privacy4people fortgeführt.

Was verlangt die Rechenschaftspflicht von den Verantwortlichen?

Die im Artikel 5 Absatz 2 der Datenschutz-Grundverordnung enthaltene Rechenschaftspflicht verlangt von den Verantwortlichen (dazu gehören u. a. Unternehmen, Selbstständige, Freiberufler, und Vereine), dass diese die Einhaltung der Anforderungen der DS-GVO nachweisen können (dies ist von größter Relevanz gegenüber Datenschutzbehörden, Gerichten und Betroffenen).

Zur Erfüllung der Rechenschaftspflicht gehören unter anderem umfassende Nachweise darüber, dass personenbezogene Daten vom Verantwortlichen

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden

  • nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und auf keinen Fall in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden

  • der Zweck der Verarbeitung angemessen und erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist („Datenminimierung“).

Von den Verantwortlichen werden zur Erfüllung ihrer Rechenschaftspflicht zudem belastbare Nachweise darüber verlangt, dass sie die Verarbeitung durch geeignete technische und organisatorische Maßnahmen (TOM) so gestalten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist. Dies schließt auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung ein.

Verstoß gegen Dokumentationspflichten und fehlender AV-Vertrag?

Wie der VfB in seiner am 10. März veröffentlichten Erklärung einräumt, erfolgte die Sanktionierung durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg insbesondere, weil bei der Zusammenarbeit mit einem externen Dienstleister die gebotenen vertraglichen Grundlagen in Bezug auf die Überlassung von Daten nicht geschaffen wurden und zudem gegen datenschutzrechtliche Dokumentationspflichten im Umgang mit personenbezogenen Daten verstoßen wurde.

Die VfB Stuttgart 1893 AG sichert in ihrer vorgenannten Erklärung zu, die behördlich vorgegebenen Maßnahmen umgehend und vollumfänglich umsetzen. Abschließend bekennt sich der VfB Stuttgart zu seiner datenschutzrechtlichen Verantwortung und entschuldigt sich bei seinen Mitgliedern und Fans für die Vorfälle.

Verjährungsvorschriften verhindern vollständige Untersuchung

Der Landesdatenschützer Dr. Brink weist in seiner Presserklärung zum Fall darauf hin, dass wegen den Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig untersucht werden konnten. Da die VfB Stuttgart 1893 AG das Bußgeld akzeptiert hat – die Sachverhalte beim VfB Stuttgart 1893 e. V. aus den Jahren 2016 und 2017 waren nicht Gegenstand des gegen die VfB Stuttgart 1893 AG ergangenen Bußgeldbescheids – und auf weitere Rechtsmittel verzichtete, hat die Datenschutzbehörde die Ermittlungen abgeschlossen.

Eine gute Compliance-Kultur schützt wirksam vor Bußgeldern

Verantwortungsbewusste Unternehmer mit einer guten Compliance-Kultur brauchen vor dem Datenschutz keine Angst zu haben, da sie die für ihr Unternehmen relevanten Anforderungen der DS-GVO, des BDSG-neu sowie weiterer in diesem Kontext relevante gesetzliche Bestimmungen längst regelgerecht umgesetzt haben – oder sich zumindest als Nachzügler nun mit etwas Verspätung aber großem Elan auf den richtigen Weg gemacht haben.

Alle anderen Verantwortlichen können letztendlich nur durch ausreichend hohe (und damit abschreckende) Bußgelder dazu bewegt werden, den Datenschutz endlich ernst zu nehmen.

Share this Post