Bußgeld akzeptiert und Engagement für Datenschutzaufklärung geplant
Das Bußgeldverfahren des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) gegen den VfB Stuttgart (wir berichteten) ist mit der Verhängung eines Bußgeldes in Höhe von 300.000 Euro gegen die VfB Stuttgart 1893 AG (AG) abgeschlossen. Es soll sich laut LfDI BW um ein „einvernehmlich gefundenes Ergebnis“ handeln. Die AG hat dieses Bußgeld bereits akzeptiert und auf Rechtsmittel verzichtet. Das gesamte Verfahren ist somit abgeschlossen. Ermittelt wurde zunächst gegen den VfB Stuttgart 1893 e.V. (Verein) und die AG. Das Bußgeldverfahren war ausschließlich gegen die AG gerichtet.
Grund des Bußgelds und Gegenstand des Bußgeldbescheids
Als Grund für die Bußgeldverhängung nennt der LfDI BW die fahrlässige Verletzung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Hierbei handelt es sich um eine recht allgemeine Verpflichtungsnorm, nach der der Verantwortliche nachweisen können muss, die Grundsätze für die Verarbeitung personenbezogener Daten (bspw. Transparenz, Datenminimierung, Zweckbindung) des Art. 5 Abs. 1 DSGVO eingehalten zu haben. Das Bußgeld auf die Verletzung der Rechenschaftspflicht zu stützen, erscheint hier insofern sinnvoll, da – wie der LfDI BW Dr. Brink mitteilt – „mit Blick auf die Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig“ untersucht werden konnten. Dies lässt erahnen, dass neben den konkreten Vorwürfen der sog. „Datenaffäre“ auch die allgemeinen datenschutzrechtlichen Grundsätze Gegenstand des Verfahrens waren. Ob und inwieweit dies tatsächlich der Fall war, lässt sich der Pressemitteilung des LfDI BW nicht entnehmen. Die für die datenschutzrechtliche Fachwelt interessante Frage, inwiefern ein auf die Verletzung der Rechenschaftspflicht gestützter Bußgeldbescheid dem Bestimmtheitsgrundsatz genügen kann, wird aufgrund des Rechtsmittelverzichts der AG nicht durch die Rechtsprechung geklärt werden können.
Nach der Darstellung der AG seien die Sachverhalte aus den Jahren 2016 und 2017 (im Zusammenhang mit der Mitgliederversammlung und Ausgliederung der AG) nicht Gegenstand des Bußgeldbescheids, sondern insbesondere die Zusammenarbeit mit einem externen Dienstleister ohne gebotene vertragliche Grundlagen. Als vertragliche Grundlage für die Zusammenarbeit mit sog. Auftragsverarbeitern sieht die DSGVO den Abschluss von sog. Auftragsverarbeitungsverträgen (AV-Verträgen oder auch AVV) gemäß Art. 28 DSGVO vor. Zudem sei laut AG gegen datenschutzrechtliche Dokumentationspflichten im Umgang mit personenbezogenen Daten verstoßen worden, da „die E-Mail zu dem untersuchten Vorgang aus dem Jahr 2018 beim VfB nicht mehr aufzufinden war.“ Was genau Inhalt jener einen (!) E-Mail gewesen sein soll ist außenstehend schwer zu beurteilen. Jedenfalls hatte der LfDI BW einzelne Datenübermittlungen an einen externen Dienstleister der AG im Jahr 2018 untersucht und hat nun ein Bußgeld wegen Verletzung der Rechenschaftspflicht verhängt.
Einvernehmlich gefundenes Ergebnis – Höhe des Bußgelds – Kooperation des VfB
Beim Verfahrensabschluss mit der genannten Bußgeldverhängung scheint es sich um ein „einvernehmlich gefundenes Ergebnis“ zu handeln, das der LfDI BW für „überzeugend“ hält. So sei ein empfindliches Bußgeld verhängt worden und der VfB sorge für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Diese sind naturgemäß immer erforderlich, wenn eine Datenschutzbehörde gegen einen Verantwortlichen wegen Datenschutzverletzungen tätig ist.
Vorliegend scheint für die Höhe des Bußgeldes – möglich wären theoretisch bis zu 20.000.000 EUR bzw. bis zu 4 % des erzielten Jahresumsatzes gewesen – auch relevant gewesen zu sein, dass, wie der LfDI BW betont, „der Umfang des […} Aufklärungsinteresses und der Kooperationsbereitschaft des VfB“ mit der Behörde „ungewöhnlich“ gewesen sei. Wie in verschiedenen Beiträgen unseres Blogs bereits beschrieben, ist die Kooperationsbereitschaft im Verlauf datenschutzbehördlicher Verfahren also nicht zu unterschätzen!
Zukünftiges Engagement des VfB für Datenschutzanliegen – Geplante öffentliche Stellungnahme
Ungewöhnlich und ggf. im Zusammenhang damit zu sehen, dass ein „einvernehmliches Ergebnis“ gefunden wurde, ist auch, dass die AG und der LfDI BW zu planen scheinen, ein Stück weit gemeinsame Wege zu gehen. So seien in Abstimmung mit dem LfDI BW Maßnahmen zur Sensibilisierung junger Menschen für Datenschutzanliegen geplant, wie die Förderung des Projekts „Datenschutz geht zur Schule“ und auch eigene Schulungen des VfB für seine Nachwuchsmannschaften zum Thema „Datenschutz bei Jugendlichen“ vorgesehen. Damit geht der VfB über die allgemeine Schulungspflicht für eigene Mitarbeiter im Bereich des Datenschutzes hinaus.
Aufgrund laufender personalrechtlicher Verfahren sei eine Veröffentlichung der verfahrensrelevanten Berichte und Gutachten derzeit nicht möglich. Für den 15. März planten Claus Vogt, Präsident des Vereins und Aufsichtsratsvorsitzender der AG und Thomas Hitzlsperger, Vorstandsvorsitzender der AG, jedoch eine ausführliche öffentliche Stellungnahme zur gesamten Thematik. Zudem würden den VfB-Mitgliedern noch weiterführende Informationen zugehen. Auf seiner Webseite stellt der VfB zudem klar, dass er sich mit Verfahrensabschluss zu seiner datenschutzrechtlichen Verantwortung bekenne und bittet seine Mitglieder und Fans um Entschuldigung für die Vorfälle in der Vergangenheit.
In der Hoffnung, dass derartige Vorfälle beim VfB tatsächlich ausschließlich der Vergangenheit angehören, schließen sich die beiden Autoren dem Wunsch der weiteren VfB-Fans nach zukünftig möglichst ausschließlich positiven Schlagzeilen an und werden Sie hier zur Thematik gerne auf dem Laufenden halten.