Zum Datenschutzverfahren des Landesbeauftragen für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) gegen die VfB Stuttgart 1893 AG (VfB AG), über das wir allgemein und konkreter zum Bußgeldbescheid bereits berichtet hatten, sind nun weitere Details bekannt geworden.
Sachverhalt und Tathandlung zum Bußgeldbescheid: Datenübermittlungen ohne Vertragsgrundlage
Wie bei vielen anderen Vereinen im Profifußball, so reifte auch beim VfB Stuttgart 1893 e. V. (VfB e. V.) seit 2016 die Idee, die Profifußballabteilung in eine Aktiengesellschaft auszugliedern. Um dafür zu sorgen, dass eine Mehrheit der Mitglieder für eine entsprechende Ausgliederung bei der Mitgliederversammlung stimmen würde, wurde ein externer Dienstleister eingebunden. Dieser Dienstleister sollte bei der Strategieentwicklung zur Mitgliedermobilisierung und der zielgruppenorientierten Kommunikation mit den Vereinsmitgliedern unterstützen.
Im Rahmen seiner Ermittlungen stellte der LfDI BW fest, dass der Dienstleister hierzu aus dem Kreis des VfB e. V. im März 2016 und Februar 2017 insgesamt drei Mal mehrere zehntausend Datensätze mit personenbezogenen Daten von Vereinsmitgliedern übermittelt bekam. Hierunter waren auch Daten minderjähriger Vereinsmitglieder, die bis zur Mitgliederversammlung volljährig und stimmberechtigt wären. Eine hierfür benötigte schriftliche Vertragsgrundlage konnte weder beim VfB e. V. noch bei der VfB AG ermittelt werden.
Diese Sachverhalte sind allerdings nicht Teil der mit dem Bußgeld sanktionierten Tathandlung. Hier sanktioniert der LfDI BW ausschließlich die unzureichende Dokumentation der vertraglichen Beziehungen zu jenem Dienstleister und die fehlende Anpassung des Datenschutzmanagements seit Anwendbarkeitsbeginn der DSGVO am 25. Mai 2018 und somit auch nach der zwischenzeitlich erfolgten Ausgliederung der Profifußballabteilung. Adressat des Bescheids ist daher die seit jener Ausgliederung bestehende VfB AG und nicht der VfB e. V. Diese habe nicht dokumentieren können, von wem (aus dem Kreis des VfB) der Dienstleister ursprünglich beauftragt worden war, welche konkreten Befugnisse er im Unternehmen der VfB AG hatte und in welchem Umfang er Zugriff auf die personenbezogenen Daten von Vereinsmitgliedern und VfB-Mitarbeitern erhalten hat.
Dass der Dienstleister seit Anwendbarkeitsbeginn der DSGVO entsprechende Daten erhielt, werde durch eine E-Mail vom 31. Oktober 2018 belegt. Diese E-Mail habe eine Excel-Tabelle enthalten mit über 100.000 Sätzen personenbezogener Daten, darunter die vollständigen Namen, Anschriften, E-Mail-Adressen und auch die telefonischen Erreichbarkeiten er jeweiligen Personen, nämlich von Vereinsmitgliedern und sog. „Forum VfB-Nutzern“.
Geständnisse für Größenordnung des Bußgeldes relevant – (Un-)Kenntnis des VfB-Vorstands unbeachtlich
Im Rahmen des Verfahrens hatte der LfDI BW der, wie er betont, sehr kooperativen VfB AG bei einer geständigen Einlassung ein Bußgeld in einer Größenordnung zwischen ca. 300.000 Euro und 400.000 Euro in Aussicht gestellt. Da es entsprechende Geständnisse – die Namen der Vernommenen sind in der Veröffentlichung selbstverständlich datenschutzkonform geschwärzt – gab, liegt das tatsächliche Bußgeld auch in diesem Rahmen. Gemäß Art. 83 Abs. 4 DSGVO wären grundsätzlich Bußgelder von bis zu 20 Millionen Euro bzw. von bis zu 4 Prozent des Umsatzes des vorangegangenen Geschäftsjahres möglich.
Da unter der DSGVO der funktionale Unternehmensbegriff anzuwenden sei, seien die Verstöße der VfB AG zuzurechnen, auch für den Fall, dass der Vorstand ggf. keine Kenntnis hatte. Insofern wird also ein Organisationsverschulden und fehlendes Datenschutzmanagement bestraft. Rechtlich ordnet der LfDI BW die unzureichende vertragliche Dokumentation als Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO ein, da hierdurch die Rechtmäßigkeit vorgenommener Datenverarbeitungsvorgänge nicht hinreichend überprüft bzw. nachgewiesen werden könne.
Bei konkreter Bemessung wurden die pandemiebedingte Wirtschaftslage und die Anzahl der Betroffenen berücksichtigt
Dass letztlich die untere Grenze innerhalb der in Aussicht gestellten Größenordnung des Bußgeldes gewählt wurde, begründet der LfDI BW auch mit der pandemiebedingten aktuellen Wirtschaftslage, die beim Adressaten die Inanspruchnahme eines Kredits und Sparauflagen erfordert hätten. Die erhebliche Anzahl der Betroffenen habe hingegen trotz der sehr guten Zusammenarbeit und vorbehaltlosen Aufklärungsbereitschaft zunächst für eine Zumessung des Bußgeldes im mittleren Bereich des vorangekündigten Rahmens gesprochen.
Soziales Engagement des VfB wirkt sich positiv auf die Höhe des Bußgeldes aus
Aufgrund des besonderen Umstandes des sozialen Engagements für junge Menschen im Bereich Datenschutz wurde das Bußgeld letztlich auf das untere Ende des Bereichs festgelegt. Dieses Engagement soll übrigens in Abstimmung mit dem LfDI BW selbst erfolgen. Demnach dürften sich Schüler im Rahmen des Projekts „Datenschutz geht zur Schule“ über die Mitwirkung prominenter Vertreter des VfB und/oder des VfB-Maskottchens Fritzle freuen. Ferner sollen mit dem LfDI BW konzeptionierte altersspezifische Schulungen für die Fußballnachwuchsmannschaften (U 10 bis U 21) zum Thema „Datenschutz bei Jugendlichen“, insbesondere im Zusammenhang mit Social-Media-Nutzung stattfinden. Sollten diese beiden Projekte nicht durchführbar sein, ist hilfsweise eine Geldspende i. H. v. 50.000 Euro an eine gemeinnützige Institution im Bereich des Datenschutzes vorgesehen.
Zu den entsprechend festgesetzten 300.000 Euro kommen noch Verfahrensgebühren i. H. v. 7.500 Euro (höchstmögliche Gebühr in Ordnungswidrigkeitsverfahren gemäß § 107 Abs. 1 S. 3 OWiG), die die VfB AG zu tragen hat, sowie Zustellungskosten i. H. v. 3,50 Euro hinzu.
Die Veröffentlichung des Bußgeldbescheides finden Sie unter https://fragdenstaat.de/anfrage/bugeldbescheid-wegen-datenschutzverstoen-beim-vfb-stuttgart/603646/anhang/bugeldbescheid-vfb-stuttgart.pdf.
Die VfB AG hat das Bußgeld bereits akzeptiert. Ebenso wurde seitens der VfB AG auf die Möglichkeit der Rechtmitteleinlegung verzichtet.