Datenschutz: Missachtung der Rechenschaftspflicht kostet 300.000 Euro

Fehlender Dienstleister-Vertrag führt zu Eigentor

Derzeit steht der VfB Stuttgart sportlich gut da. Die Schwaben belegen als Aufsteiger in die Bundesliga derzeit einen Platz im Mittelfeld und sind frei von irgendwelchen Abstiegssorgen. Schlagzeilen produzierte der fünfmalige Deutsche Meister außerhalb des Sportplatzes aber nicht zu knapp. Neben einer veritablen Führungskrise wurde auch über einen schweren Verstoß gegen den Datenschutz berichtet. Das Datenschutzverfahren ist nun beendet. Der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) verhängte abschließend gegen den VfB Stuttgart 1893 AG ein Bußgeld von 300.000 Euro. Diese Strafe konnte der VfB noch dadurch abmildern, dass sich die Vereinsverantwortlichen kooperativ verhielten und sich zu einem Engagement für die Datenschutzaufklärung verpflichteten. „Der Traditionsverein ist hier mit einem dunkelblauen Auge davongekommen, aber eine Strafe von 300.000 Euro für ein datenschutzrechtliches Eigentor tut weh. Es zeigt die Bedeutung der Rechenschaftspflicht im Datenschutz“, erklärt der langjährige Datenschutzbeauftragte Dr. Jörn Voßbein. Was hatte zu dieser Strafe und den monatelangen Negativschlagzeilen rund um die „Datenaffäre“ geführt?

Die Verantwortlichen des schwäbischen Traditionsvereins mit inzwischen über 70.000 Mitgliedern haben sich bei deren Betreuung und Einladung zu Mitgliederversammlungen externer Unterstützung bedient. Auf einer dieser Mitgliederversammlungen sollte die Ausgliederung der AG auf den Weg gebracht werden. Wichtige und für einen Verein mit Geschichte wie den VfB hochemotionale Entscheidungen standen an. Gerade in solchen Zeiten sollte auf alle Regeln und Vorgaben geachtet werden. Leider nicht so beim VfB Stuttgart. Der vom VfB engagierte Dienstleister erhielt die Mitgliederdaten, um diese für Einladungen und Anschreiben zu nutzen. Spätestens hier hätten bei den Verantwortlichen alle Warnsignale aufleuchten müssen, denn Datenweitergabe zur Verarbeitung dieser Daten geht nicht ohne Auftragsverarbeitungsvertrag (gemäß Art. 28 DSGVO).

Ein Blick in die rechtlichen Grundlagen bringt Klarheit: Die Datenschutz-Grundverordnung (DSGVO) fordert an verschiedenen Stellen eine Bewertung der Risiken durch eine Datenverarbeitung. Dies ist im Zusammenhang der Einführung neuer Systeme und auch bei der Gestaltung der technischen und organisatorischen Maßnahmen erforderlich. Die Revision und Risikobewertung ist aufgrund der in der DSGVO verankerten Rechenschaftspflicht auch zu dokumentieren. Auch das unterließen die Stuttgarter Verantwortlichen. Zu einer solchen Dokumentation gehört auch der Aufbau eines Datenschutz-Managementsystems.

Die Vereinsakteure schlossen keinen Vertrag und verstießen damit auf fahrlässige Art und Weise gegen ihre Rechenschaftspflicht sowie datenschutzrechtliche Dokumentationspflichten. „Die Botschaft dieser Datenaffäre lautet: Die Rechenschaftspflicht ist wichtig. Sie wird von den Datenschutzbehörden durchgesetzt und bei Zuwiderhandlung mit Geldstrafen sanktioniert“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein. Unternehmen, Vereine und Institutionen sollten sich bei einer Weitergabe von Daten zur Verarbeitung deshalb stets über ihre Rechenschafts- und Dokumentationspflicht im Rahmen des Datenschutzes bewusst sein. „Wie teuer – finanziell und imageschädigend – solche Eigentore werden, sieht man am Bundesligisten aus dem Südwesten“, kommentiert Dr. Jörn Voßbein den Fall von Rechenschaftsverletzung.