VFB Stuttgart kassiert 300.000 Euro Bußgeld
Das Bußgeldverfahren des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) – ganz schön sperriger Name, gemeint ist die zuständige Datenschutzaufsichts-behörde – gegen den VfB Stuttgart ist mit der Verhängung eines Bußgeldes in Höhe von 300.000 Euro gegen die VfB Stuttgart 1893 AG (AG) abgeschlossen. Die AG hat dieses Bußgeld bereits akzeptiert und auf Rechtsmittel verzichtet. Man hat sich dort offensichtlich im Vorfeld geeinigt auf die Bußgeldhöhe und auf die zu ergreifenden Maßnahmen. So ein Deal ist in dem Kontext taktisch sicher nicht unklug, um das öffentlichkeitswirksame Verfahren endlich abzuschließen.
Grund des Bußgelds – Verstoß gegen die Rechenschaftspflicht
Als Grund für die Bußgeldverhängung nennt der LfDI BW in einer Presseerklärung die fahrlässige Verletzung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Das ist eine recht allgemeine Aussage. Im Kern geht es bei der Rechenschaftspflicht darum, dass der Verantwortliche (das Unternehmen, der Verein etc.) nachweisen können muss, die Grundsätze für die Verarbeitung personenbezogener Daten (bspw. Transparenz, Datenminimierung, Zweckbindung) des Art. 5 Abs. 1 DSGVO und die umfangreichen Dokumentationspflichten (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzerklärungen etc.) eingehalten zu haben.
Wichtig: Nicht die Datenschutzbehörde muss nachweisen, dass Fehler gemacht wurden, sondern das Unternehmen muss nachweisen, dass es die DSGVO-Vorgaben umsetzt. Das ist ein wesentlicher Unterschied. Die Aufsichtsbehörde kann im Prüfverfahren kommen und sagen: „So, jetzt zeigt uns mal was ihr bisher in Sachen DSGVO gemacht habt?“ Beim VFB war das offensichtlich viel zu wenig. Das Bußgeld auf die Verletzung der Rechenschaftspflicht zu stützen, erscheint hier insofern sinnvoll, da – wie der LfDI BW Dr. Brink mitteilt – „mit Blick auf die Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig“ untersucht werden konnten.
Dies lässt erahnen, dass neben den konkreten Vorwürfen der sog. „Datenaffäre“ auch die allgemeinen datenschutzrechtlichen Grundsätze Gegenstand des Verfahrens waren. Offensichtlich wurden in der Vergangen beim VFB grundlegende Prinzipien nicht beachtet bzw. Vorgaben nicht umgesetzt.
Fehlender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Das sieht der VFB offenbar genauso. So erfolgte nach der Darstellung des VFB in einer Presserklärung die Zusammenarbeit mit einem externen Dienstleister aus dem Bereich Marketing im Zusammenhang mit der Mitgliederversammlung und Ausgliederung der AG ohne gebotene vertragliche Grundlagen. Als vertragliche Grundlage für die Zusammenarbeit mit sogenannten Auftragsverarbeitern sieht die DSGVO den Abschluss von Auftragsverarbeitungsverträgen (AV-Verträgen oder auch AVV) gemäß Art. 28 DSGVO vor.
Für Sie ist das ein alter Hut – für den VFB war das damals offensichtlich weniger bekannt. Es handelt sich daher auch weniger um einen „Datenskandal“, vielmehr wurden die Basics der DSGVO nicht beachtet. Den grundsätzlich ist es einem Verantwortlichen möglich einen externen Dienstleister einzusetzen. Im Klartext heißt das aber auch: Das Fehlen von Auftragsverarbeitungsverträgen oder die fehlende Sorgfalt bei der Auswahl und Prüfung von Dienstleistern kann Konsequenzen haben.
Für die Datenschutzpraxis in Ihrer Organisation gilt deshalb:
Kommt ein neuer Dienstleister zum Einsatz, der personenbezogene Daten verarbeitet muss geprüft werden, ob es sich um Auftragsverarbeitung handelt. In der Folge muss ein Auftragsverarbeitungsvertrag abgeschlossen werden und in dem Zug muss auch geprüft werden, inwieweit die technischen und organisatorischen Maßnahmen zum Datenschutz beim Dienstleister den Anforderungen der DSGVO entsprechen. Kommen Sie da gerne auf mich zu.
Bei Fragen, Anregungen – gerne melden.
Thomas Lang