Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit (LfDI BW) hat ein Bußgeldverfahren gegen die VfB Stuttgart 1893 AG (AG) eröffnet. Herr Dr. Stefan Brink machte deutlich: „Wir lesen auch „Kicker“.“
Auch wenn die Bundesligamannschaft in dieser Saison durch ihre erfrischende und erfreulich offensive Spielweise zu gefallen weiß, war der VfB Stuttgart neben dem chaotischen Machtkampf rund um das Präsidentenamt insofern leider mit einer weiteren Negativschlagzeilen in den Medien präsent. Ähnlich wie im Präsidiumsmachtkampf ist allerdings auch bei dem datenschutzrechtlichen Bußgeldverfahren die Lage von außen besonders schwer zu beurteilen. Daher versuchen wir, anhand der vorliegenden Informationen einen kleinen Überblick zur Datenaffäre, deren Ursprünge in vermutlich unzulässigen Übermittlungen von Vereinsmitgliederdaten vor und im Zusammenhang mit jener Mitgliederversammlung stehen, in der die Ausgliederung der Profifußballabteilung und deren Umwandlung in Aktiengesellschaft beschlossen wurde, zu bieten.
Auswirkungsreichweite von Datenschutzverstößen
Dass Datenschutzverstöße nicht nur bedauerliche Formfehler sind, sondern grundsätzlich auch gravierende Rechtsfolgen gesellschaftsrechtlicher (Nichtigkeit des Ausgliederungsbeschlusses der Profifußballabteilung und deren Umwandlung in eine Aktiengesellschaft) oder arbeitsrechtlicher Art (beispielweise Abmahnungen oder fristlose Kündigungen) auslösen können, zeigen die Ausführungen von Rechtsanwalt Marius Breucker gegenüber dem SWR (siehe hier). Auch bei der AG hat die Datenaffäre Auswirkungen. So wurde bestätigt, dass es zumindest für zwei hochrangige Mitarbeiter der AG „arbeitsrechtliche Konsequenzen“ geben werde. Auch beim VfB Stuttgart 1893 e.V. (Verein) gab es bei den Präsidiumsmitgliedern ein Stühlerücken.
Für eine genaue Prüfung oder Analyse stehen freilich nicht genügend Informationen zur Verfügung, doch ist insofern zuzustimmen, dass Datenschutzverstöße auch weitreichende Auswirkungen in andere Bereiche und Rechtsgebiete hinein haben können, zumal es bei jener Mitgliederversammlung zu weiteren Ungereimtheiten gekommen sein soll. Laut Informationen des Spiegels hätte es „massive Probleme“ mit den elektronischen Abstimmungsgeräten und deswegen vor Ort – noch während der Abstimmung – Beschwerden zahlreicher Mitglieder gegeben. Die Technik hätte besonders dort, wo die kommerzkritischen Anhänger gesessen hätten, gestreikt. Obwohl die Offiziellen über diese Probleme Bescheid gewusst hätten, wäre die Versammlung fortgesetzt worden. Auffällig ist jedenfalls, dass bei dieser für die Vereinsgeschichte entscheidenden Abstimmung von rund einem Viertel der Abwesenden keine Stimme eingegangen war. Da weitere Ausführungen hierzu reine Spekulation wären und über den datenschutzrechtlichen Tellerrand und die Themengebiete dieses Blogs hinausgingen, wird der Schwerpunkt im Folgenden auf die Informationen, die durch den Landesbeauftragten selbst veröffentlicht wurden, gelegt.
Konkrete Prüfungsgestände des behördlichen Verfahrens
In der zitierten Pressemitteilung gibt der LfDI BW an, geprüft worden seien Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017 sowie einzelne Datentransfers an einen externen Dienstleister der AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DSGVO.
Die bisherige Berichterstattung deutet darauf hin, dass die inhaltlichen Schwerpunkte auf dem ersten Punkt liegen. Dennoch zeigt der LfDI BW hiermit auf, dass er die Befugnis für eine Überprüfung der grds. datenschutzrelevanten Abläufe hat.
Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung 2017 sowie einzelne Datentransfers an einen externen Dienstleister der AG im Jahr 2018
„Sind doch eh alles Cannstatter Jungs, wo gibt es denn da personenbezogene Daten?“ mag man sich hierbei eventuell kurz fragen. Allerdings ist zu beachten, dass dieser Gedanke die Cannstatter Mädels nicht berücksichtigt und die VereinsmitgliederInnen selbstverständlich Individuen sind, deren Rechte, selbst über die Zwecke, zu denen ihre personenbezogenen Daten verarbeitet werden, nicht verletzt werden dürfen.
Eine solche Verletzung könnte hier jedoch erfolgt sein. Unabhängig vom Ergebnis der eigenen Überprüfungen des LfDI BW hatte die Beratungsfirma Esecon diese Datenaffäre im Auftrag des VfB untersucht und laut Spiegel legt deren Bericht den Verdacht nahe, dass Mitglieder der Vereinsspitze in eine Weitergabe von Mitgliederdaten verwickelt waren, und diese Weitergabe zum Zweck erfolgt sein soll, durch sog. Guerilla-Marketing die Ausgliederung der Profiabteilung zu fördern. So sollen Daten zehntausender Mitglieder weitergegeben worden sein mit dem Ziel, Vereinsanhänger subtil auf Facebook zugunsten einer Ausgliederung der Profifußballabteilung zu beeinflussen. Es ist nicht anzunehmen, dass die Mitglieder über die Verarbeitung bzw. Übermittlung ihrer Daten zu diesem Zweck informiert waren oder eine Rechtsgrundlage für diese Datenverarbeitungsvorgänge bestand. Denn das erhoffte Ziel des Guerilla-Marketings ist es gerade bei der Zielgruppe einen Überraschungseffekt zu landen. Man könnte es auch als Gegenstück zu den klassischen und teuren Werbekampagnen sehen. Laut dem Spiegel legt eine E-Mail aus dem Esecon-Bericht nahe, dass gezielt auch die Daten von Mitgliedern betroffen sein sollen, die damals noch 17 Jahre alt waren und erst im Laufe des Jahres und vor der Mitgliederversammlung die Volljährigkeit und somit ihr Abstimmungsrecht erlangten.
Auch nach jener Mitgliederversammlung, in der die Ausgliederung beschlossen wurde, soll es zu einzelnen Datentransfers an einen externen Dienstleister der AG im Jahr 2018 gekommen sei, die der LfDI BW näher untersuchte.
Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DSGVO
Für Datenschutzberater ist inhaltlich natürlich auch dieser Prüfungspunkt interessant. Denn schließlich besteht für Datenschutzaufsichtsbehörden gemäß Art. 58 Abs. 1 lit. b DSGVO die Befugnis, auch „Datenschutzüberprüfungen“ durchzuführen, also gewissermaßen die „allgemeine“ Umsetzung der Datenschutzgrundverordnung in den relevanten Bereichen (beim VfB Stuttgart bspw. Kundendatenverarbeitung beim Online-Shop, Betroffeneninformation, Bewerbungsmanagement oder Videoüberwachung in der Mercedes-Benz-Arena) zu untersuchen. Entsprechend kann die Behörde grundsätzlich auch sämtliche und „allgemeine“ Nichteinhaltungen der Datenschutzvorschriften (wie kein Verzeichnis von Verarbeitungstätigkeiten, das den Anforderungen des Art. 35 DSGVO gerecht wird, keine Hinweise auf die Videoüberwachung gemäß Art. 13 DSGVO oder der Nichtabschluss von Auftragsverarbeitungsverträgen) überprüfen.
Die Datenschützer sind sich weitestgehend einig, dass diese Befugnis der Aufsichtsbehörde zur Untersuchung ihrem Wortlaut nach „weit“ auszulegen ist. Dies kann bis zur Kontrolle der Geschäftsräume des Verantwortlichen oder sogar der Geschäftsräume der auftragsverarbeitenden Dienstleiter führen. Mithin kann solch eine „Datenschutzüberprüfung“ zu einer umfassenden qualitativen Überprüfung der datenschutzrechtlichen Prozesse innerhalb eines Unternehmens oder einer Organisation führen. Der genaue Prüfungsumfang im vorliegenden Verfahren ist derzeit nicht bekannt und liegt allein im Ermessen der zuständigen Aufsichtsbehörde.
Kooperation mit der Aufsichtsbehörde
Neben der eigentlichen Datenschutzverletzung sollten Verantwortliche den Umgang mit dieser und die nachfolgende Kommunikation nicht unterschätzen. Darauf weist auch der LfDI BW in seiner Pressemitteilung explizit hin: Die Datenschutzverstöße sind erheblich, jedoch haben der Verein und die AG „die Aufklärungsmaßnahmen unterstützt und erklären sich weiterhin kooperationsbereit“. Solch eine Kooperationsbereitschaft kann sich positiv auf das Geldbußverfahren und die -höhe auswirken.