Datenschutz im Sport: Das Verzeichnis der Verarbeitungstätigkeiten (VVT)

Datenschutz im Sport – Das Verzeichnis von Verarbeitungstätigkeiten

Viele Sportvereine haben sich seit Geltung der EU-Datenschutzgrundverordnung (DSGVO) am 25.05.2018 mit den Grundlagen des Datenschutzes im Sportverein vertraut gemacht und erste Schritte zu deren Umsetzung ergriffen. Dennoch scheint sich noch nicht überall die Bedeutung eines sorgsam geführten Verzeichnisses von Verarbeitungstätigkeiten (VVT) durchgesetzt zu haben. In diesem Beitrag soll ein Überblick über die Pflicht zum Führen eines VVT, die Anforderungen und insbesondere die Vorteile eines sorgsam geführten VVT gewährt werden.

Die Rechtspflicht – Wer muss ein VVT führen?

Gemäß Artikel 30 Abs.1 DSGVO muss grundsätzlicher jeder Verantwortliche ein VVT führen. Verantwortlicher ist nach der Definition des Artikels 4 Nr.7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Darunter kann selbstverständlich auch ein Sportverein fallen. Ein Sportverein entscheidet selbst darüber, welche Daten (etwa von Mitgliedern oder Webseitenbesuchern) er erhebt und zu welchem Zweck (etwa zur Mitgliederverwaltung oder für Marketingzwecke) er Daten verarbeitet. Grundsätzlich muss daher auch jeder Sportverein ein VVT führen.

Warum führen einige Sportvereine dennoch kein VVT?

Über die Gründe hierfür lässt sich teils nur spekulieren. Einerseits dürfte es daran liegen, dass das VVT von vielen Vereinen immer noch (fälschlicherweise) als zu hohe Hürde wahrgenommen und daher vernachlässigt wird. Allerdings könnte auch eine fehlerhafte Subsumtion unter Artikel 30 Abs. 5 DSGVO dafür verantwortlich sein, dass Sportvereine kein (vollständiges) VVT führen. Aus Artikel 30 Abs.5 DSGVO folgt, dass die Pflicht zur Erstellung eines VVT nicht gilt

„für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn

die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
die Verarbeitung erfolgt nicht nur gelegentlich
oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10“.

Liegt auch nur eine der Rückausnahmen des Artikels 30 Abs.5 vor, muss auch ein Unternehmen oder eine Einrichtung mit weniger als 250 Mitarbeitern ein VVT führen.

Für Sportvereine dürften fast immer alle drei Rückausnahmen eingreifen, sodass es bei ihrer grundsätzlichen Pflicht zur Führung eines VVT bleibt.

Zur ersten Rückausnahme: „Ein Risiko für die Rechte und Freiheiten der betroffenen Person“, bemisst sich u.a. nach Art, Umfang und Zweck der Datenverarbeitung sowie dem daraus resultieren (gesteigerten) Risiko für das Persönlichkeitsrecht der Betroffenen. Insbesondere sind davon schutzwürdige Daten erfasst, die noch nicht die Schutzschwelle des Artikels 9 erreicht haben, also z.B. keine Gesundheitsdaten (s. Artikel 9 DSGVO) darstellen, aber dennoch besonders in das Recht des Betroffenen auf informationelle Selbstbestimmung eingreifen. Hierzu können z.B. Informationen über Stadionverbote, Konto- und Bankdaten oder Daten zählen, die aus dem Einsatz neuartiger und noch nicht vollständig transparenter Technologien (etwa Tracking-Devices) folgen. Es ist kaum vorstellbar, wie Sportvereine ohne die Verarbeitung derartigen Daten ihre Mitgliederverwaltung, ihr Hausrecht oder ihre sportliche Entwicklung umsetzen bzw. vorantreiben können sollen. Demnach dürfte bereits die erste Rückausnahme für Sportvereine eingreifen.

Zur zweiten Rückausnahme: Eine „nur gelegentliche Datenverarbeitung“ dürfte selbst bei kleinen Sportvereinen kaum realisierbar sein, da bereits eine vorhersehbar regelmäßig wiederkehrende Verarbeitung, die nicht nur Hilfstätigkeit zur Erreichung eines anderen Ziels darstellt, als nicht mehr gelegentlich gilt. Jeder Sportverein, der seine Mitgliederdaten zur Mitgliederverwaltung erfasst, verarbeitet daher nicht mehr nur gelegentlich Daten.

Zur dritten Rückausnahme: Der wohl relevanteste Unterfall der dritten Rückausnahme für Sportvereine dürfte die Verarbeitung besonders sensibler Daten gemäß Artikel 9 DSGVO darstellen. Darunter fallen Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“ sowie „genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zu Sexualleben und sexueller Orientierung“. Insbesondere Gesundheitsdaten, also Daten, aus denen Rückschlüsse auf die Gesundheit möglich sind, werden häufig in Sportvereinen – jedenfalls solchen mit höherklassigen Mannschaften – erhoben, etwa im Rahmen sportmedizinischer Untersuchungen, zur Auflistung und Bekanntgabe von Verletzungen oder ggf. zur Verwaltung der Para-Sport-Abteilung.

Zwischenergebnis: In der Praxis dürfte kaum ein Fall vorstellbar sein, in dem Sportvereine kein VVT führen müssen.

Welche Angaben muss ein VVT beinhalten?

Artikel 30 DSGVO unterscheidet zwischen einem VVT für Verantwortliche einerseits und für Auftragsverarbeiter andererseits. Vorliegend sollen die Anforderungen an ein VVT für Sportvereine als Verantwortliche dargestellt werden (auf die Anforderungen der DSGVO an Auftragsverarbeiter gehen wir in einem unserer folgenden Blogbeiträge ein).

Das VVT muss keinesfalls jede einzelne Datenverarbeitung (Aufnahme eines Mitgliedes, Durchführung einer Leistungsdiagnostik, Versenden einer E-Mail) erwähnen, sondern lediglich die Datenverarbeitung in verschiedenen Kategorien strukturiert erfassen. Zudem soll aus dem VVT hervorgehen, wer die Daten verarbeitet und wie man diesen Verantwortlichen kontaktieren kann. Liegt ein Fall der gemeinsamen Verantwortlichkeit vor (wenn also zwei oder mehr Verantwortliche über die Zwecke und Mittel der Datenverarbeitung entscheiden), sollte vorab geklärt werden, wer von beiden das VVT für die Bereiche der gemeinsamen Verarbeitung führt. Außerdem soll der Datenschutzbeauftrage benannt werden, falls ein solcher bestellt wurde. (Zur Bestellung eines Datenschutzbeauftragten in Sportvereinen informieren in einem unserer nächsten Blogbeiträge.)
Daneben soll den jeweils verarbeiteten Datenkategorien (z.B. Mitgliederdaten, Sportdaten, Sponsorendaten etc.) ein bestimmter Zweck (z.B. Mitgliederverwaltung, Leistungsentwicklung, Sponsorenmanagement) zugeordnet werden und außerdem dokumentiert werden, an wen diese Daten weitergeleitet werden und wann sie gelöscht werden. Außerdem sind technische und organisatorische Maßnahmen („TOM’s“) zum Schutz der Daten zu benennen. TOM’s können einfache Maßnahmen wie Passwörter oder verschlossene Server-Räume bis hin zu komplexen Systemen zur Pseudonymisierung von Daten umfassen. Der Zusatz „wenn möglich“ bezüglich Löschfristen und den TOM’s meint nicht, dass derlei Angaben fehlen dürfen, wenn sie mit zu viel Aufwand verbunden sind, sondern nur, dass auch allgemeine Verweise (etwa auf ein IT-Sicherheitskonzept oder zu allgemeinen gesetzlichen Speicher- und Löschvorgaben) ausreichen können.

Aus den Anforderungen an den Inhalt des VVT folgt, dass das VVT möglichst in Tabellenform, schriftlich oder elektronisch und leicht lesbar verfasst sein sollte, auch wenn dies von der DSGVO nicht zwingend verlangt wird.

Welche Konsequenzen drohen bei einem fehlenden VVT?

Wichtig ist ein transparentes, vollständiges und stets aktualisiertes VVT. Fehlt ein VVT, obwohl der Sportverein zu dessen Erstellung verpflichtet ist oder ist das VVT lückenhaft, liegt bereits hierin ein DSGVO-Verstoß, der mit einem Bußgeld geahndet werden kann.

Welche Vorteile bietet ein VVT?

Das VVT kann als Basis für die Umsetzung weiterer datenschutzrechtlicher Pflichten herangezogen werden. So ermöglicht es eine Umsetzung der Rechenschaftspflicht nach Artikel 5 Abs.2 DSGVO.

Die übersichtliche Auflistung aller Datenverarbeitungsvorgänge ermöglicht es außerdem, jeder Datenverarbeitung bzw. jedem Verarbeitungszweck die richtige Rechtsgrundlage nach den Artikeln 6, 9 DSGVO zuzuordnen. Jede Datenverarbeitung ohne (zutreffende) Rechtsgrundlage kann zu (weiteren) empfindlichen Bußgeldern und Schadensersatzansprüchen führen, da sie ein Grundprinzip der DSGVO – das präventive Verbot der Datenverarbeitung (mit Erlaubnisvorbehalt) – verletzt.

Außerdem kann das VVT als Grundlage für die Umsetzung von Betroffenenrechten nach den Artikeln 15ff. DSGVO herangezogen werden. Eine übersichtliche Auflistung der Verarbeitungskategorien ermöglicht es z.B., Auskunftsantragen nach Artikel 16 DSGVO zügig zu beantworten.

Darüber hinaus kann das VVT für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO herangezogen werden, da anhand des VVT bereits eine Übersicht über besonders risikoträchtige Datenverarbeitungen sowie über Art und Umfang der Datenverarbeitung besteht – beides wesentliche Kategorien im Rahmen der Datenschutz-Folgenabschätzung.

Weiterhin kann das VVT als Überblick über die Gesamtheit der eigenen Datenverarbeitungen herangezogen werden, über die möglicherweise im Rahmen einer Datenschutzerklärung (etwa auf der Vereinswebseite) zu informieren ist.

Aber auch über die DSGVO hinaus bietet das VVT zahlreiche Anknüpfungspunkte, um Synergieeffekte zu schaffen. Sportvereine bekennen sich zunehmend zu dem Ziel einer nachhaltigen Vereins- und Geschäftstätigkeit. Nachhaltigkeit auf digitaler Ebene beginnt v.a. bei der Reduzierung der verarbeiteten Datenmenge und dem Schutz von Persönlichkeitsrechten im digitalen Raum. Anknüpfungspunkte für Einspar- und Verbesserungspotentiale lassen sich einem gut geführten VVT schnell entnehmen. Auch für Compliance-Management-Systeme oder die allgemeine Optimierung von Vereins- und Managementabläufen bietet das VVT eine gute Grundlage, da es eine Übersicht über nahezu alle Tätigkeiten eines Vereins und eine Verknüpfung mit den damit verbundenen Zwecken beinhaltet.

Fazit: Das VVT ist nicht nur Pflicht für nahezu jeden Sportverein, sondern bietet auch diverse Möglichkeiten zur erleichterten Erfüllung weitere datenschutzrechtlicher Vorgaben und zur Optimierung (nachhaltiger) Vereins- und Geschäftsabläufe. Das VVT stellt die Grundlage für ein effektives Datenschutzmanagement dar und sollte als solches regelmäßig aktualisiert werden. Nicht zu vergessen ist, dass das VVT im Sport stets auch primäre und sekundäre Sportdaten und deren Zuordnung zur richtigen Rechtsgrundlage umfassen sollte.

Dr. Tinusch Jalilvand Rechtsanwalt Associate

Fragen oder Feedback?
Ich freue mich auf Ihre E-Mail.

Ihre hochqualifizierte Kanzlei für Sportrecht, Alternative Streitbeilegung, Prozessführung, IP- und Medienrecht, Wirtschaftsrecht und Erbrecht

Datenschutz im Sport: Das Verzeichnis der Verarbeitungstätigkeiten (VVT)

Datenschutz im Sport – Das Verzeichnis von Verarbeitungstätigkeiten

Die Rechtspflicht – Wer muss ein VVT führen?

Warum führen einige Sportvereine dennoch kein VVT?

Welche Angaben muss ein VVT beinhalten?

Welche Konsequenzen drohen bei einem fehlenden VVT?

Welche Vorteile bietet ein VVT?

News-Archiv

BAT veranstaltet Webinar zur Einführung der Payment Order Procedure (POP)

David Menz, Dr. Tinusch Jalilvand und Juliane Schneider veröffentlichen Artikel über „Greenwashing“ im Sport in der SpoPrax

Heiner Kahlert, David Menz und Maximilian Wegge erneut im „Who’s Who Legal Germany Report 2024 (hosted by Lexology)“ aufgeführt

BAT führt Mahnverfahren / Payment Order Procedure (POP) ein

Dr. Heiner Kahlert ist neuer Mitherausgeber der SpuRt

Dr. Tinusch Jalilvand nimmt die besonderen Herausforderungen der angestrebten Olympiabewerbung des DOSB in den Blick

Unterstützung für Nowitzki Stiftung

NJW-Bericht zur Entwicklung des Sportrechts im Jahr 2023

Wir suchen Verstärkung für das Assistenz-Team

David Menz und Paul Fischer veröffentlichen Beiträge im StichwortKommentar „eSport-Recht“

Nächster Blog Eintrag

Risiken in Datenschutzerklärungen von Sportvereinen und Sportverbänden