VFB Stuttgart kassiert 300.000 Euro Bußgeld

Das Bußgeldverfahren des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) – ganz schön sperriger Name, gemeint ist die zuständige Datenschutzaufsichtsbehörde – gegen den VfB Stuttgart ist mit der Verhängung eines Bußgeldes in Höhe von 300.000 Euro gegen die VfB Stuttgart 1893 AG (AG) abgeschlossen. Die AG hat dieses Bußgeld bereits akzeptiert und auf Rechtsmittel verzichtet. Man hat sich dort offensichtlich im Vorfeld geeinigt auf die Bußgeldhöhe und auf die zu ergreifenden Maßnahmen. So ein Deal ist in dem Kontext taktisch sicher nicht unklug, um das öffentlichkeitswirksame Verfahren endlich abzuschließen.

Grund des Bußgelds – Verstoß gegen die Rechenschaftspflicht

Als Grund für die Bußgeldverhängung nennt der LfDI BW in einer Presseerklärung die fahrlässige Verletzung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Das ist eine recht allgemeine Aussage. Im Kern geht es bei der Rechenschaftspflicht darum, dass der Verantwortliche (das Unternehmen, der Verein etc.) nachweisen können muss, die Grundsätze für die Verarbeitung personenbezogener Daten (bspw. Transparenz, Datenminimierung, Zweckbindung) des Art. 5 Abs. 1 DSGVO und die umfangreichen Dokumentationspflichten (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzerklärungen etc.) eingehalten zu haben.

Wichtig: Nicht die Datenschutzbehörde muss nachweisen, dass Fehler gemacht wurden, sondern das Unternehmen muss nachweisen, dass es die DSGVO-Vorgaben umsetzt. Das ist ein wesentlicher Unterschied. Die Aufsichtsbehörde kann im Prüfverfahren kommen und sagen: „So, jetzt zeigt uns mal was ihr bisher in Sachen DSGVO gemacht habt?“ Beim VFB war das offensichtlich viel zu wenig. Das Bußgeld auf die Verletzung der Rechenschaftspflicht zu stützen, erscheint hier insofern sinnvoll, da – wie der LfDI BW Dr. Brink mitteilt – „mit Blick auf die Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig“ untersucht werden konnten.

Dies lässt erahnen, dass neben den konkreten Vorwürfen der sog. „Datenaffäre“ auch die allgemeinen datenschutzrechtlichen Grundsätze Gegenstand des Verfahrens waren. Offensichtlich wurden in der Vergangen beim VFB grundlegende Prinzipien nicht beachtet bzw. Vorgaben nicht umgesetzt. Dies geschah vermutlich aus Unkenntnis und fehlender Sensibilität für Datenschutzthemen. Hier ist der Vorstand oder die Unternehmensleitung regelmäßig gefordert die Mitarbeiterinnen und Mitarbeiter entsprechend zu sensibilisieren für die Datenschutzbelange und für die “Todo’s” aus der DSGVO.

Fehlender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Das sieht der VFB offenbar genauso. So erfolgte nach der Darstellung des VFB in einer Presserklärung die Zusammenarbeit mit einem externen Dienstleister aus dem Bereich Marketing im Zusammenhang mit der Mitgliederversammlung und Ausgliederung der AG ohne gebotene vertragliche Grundlagen. Als vertragliche Grundlage für die Zusammenarbeit mit sogenannten Auftragsverarbeitern sieht die DSGVO den Abschluss von Auftragsverarbeitungsverträgen (AV-Verträgen oder auch AVV) gemäß Art. 28 DSGVO vor.

Für viele “Datenschutzprofis” ist das “ein alter Hut” – für den VFB war das damals offensichtlich weniger bekannt. Es handelt sich daher auch weniger um einen „Datenskandal“ oder eine “Datenaffäre”, vielmehr wurden die Basics der DSGVO schlicht nicht beachtet. Den grundsätzlich ist es einem Verantwortlichen ja auch nach der DSGVO möglich einen externen Dienstleister einzusetzen und es ist in einem arbeitsteiligen Wirtschaftssystem auch unverzichtbar. Ich würde mal behaupten, dass Organisationen ab einer bestimmten Größe gar nicht umhin kommen mit externen Dienstleistern zusammenzuarbeiten, die dann zur Auftragsbearbeitung auch personenbezogenen Daten erhalten. Man denke hier an externe IT-Dienstleister, Lohnbuchhaltungsbüros, Werbeagenturen, Softwareanbieter etc.

Im Klartext heißt das aber auch: Das Fehlen von Auftragsverarbeitungsverträgen oder die fehlende Sorgfalt bei der Auswahl und Prüfung von Dienstleistern kann Konsequenzen haben.

Für die Datenschutzpraxis in Ihrer Organisation gilt deshalb:

Kommt ein neuer Dienstleister zum Einsatz, der personenbezogene Daten verarbeitet, muss geprüft werden, ob es sich um Auftragsverarbeitung handelt. In der Folge muss dann ein Auftragsverarbeitungsvertrag abgeschlossen werden und in dem Zug muss auch geprüft werden, inwieweit die technischen und organisatorischen Maßnahmen zum Datenschutz beim Dienstleister den Anforderungen der DSGVO entsprechen.

Wichtig: Nehmen Sie Ihre Mitarbeiter mit ins Boot und sensibilisieren Sie die Belegschaft für die Datenschutzbelange.

Kommen Sie bei Fragen gerne auf uns zu.

Thomas Lang
Rechtsanwalt, Fachanwalt für Arbeitsrecht & zertifizierter Datenschutzbeauftragter
https://www.datenschutzadvokat.de