Viele Sportvereine und Sportverbände haben diese beiden Vorgaben der DSGVO dadurch umzusetzen versucht, dass sie nach Einführung der DSGVO neue Datenschutzerklärungen veröffentlichten. Allerdings sollten Sportvereine oder Sportverbände nicht dem Irrglauben unterliegen, dass eine neue – oftmals von Online-Anbietern automatisch erstellte – Datenschutzerklärung allein alle Vorgaben zur rechtmäßigen Datenverarbeitung erfüllen kann. Vielmehr soll die Datenschutzerklärung nur darüber informieren, wie der Verein die Vorgaben der DSGVO umsetzt. Eine fehlerhafte, unwahre oder unvollständige Datenschutzerklärung dürfte sogar genau das bewirken, was Sportvereine zu verhindern zu suchen: Die Aufmerksamkeit der Aufsichtsbehörden wird auf die Datenverarbeitung im Verein oder Verband gelenkt.
In den letzten Jahren ist der organisierte Sport vermehrt in den Fokus der Aufsichtsbehörden gerückt. Außerdem bahnen sich Klagen von Sportler:innen an, die auf eine fehlende Rechtmäßigkeit der Verarbeitung ihrer Daten abstellen. Sportvereinen und Sportverbänden ist daher dringend geraten, ihr eigenes Datenschutzkonzept nochmals genau zu prüfen und es nicht bei einer „neuen“ Datenschutzerklärung zu belassen.
In diesem Blogbeitrag wird anhand der wichtigsten Rechtsgrundlagen für die Datenverarbeitung in Grundzügen erläutert, wie sich Datenschutzerklärung und Datenschutzkonzept im Sportverein und Sportverband ergänzen sollten, um Bußgelder und Schadensersatzklagen zu vermeiden.
Die Einwilligung
Eine Einwilligung nach Artikel 6(1)(a) DSGVO setzt zunächst die Zustimmung zur Verarbeitung der eigenen personenbezogenen Daten durch den Betroffenen voraus. Bereits hier zeigt sich aber, dass im Sportkontext größte Vorsicht geboten ist. Werden besonders sensible Daten (etwa Gesundheitsdaten oder Daten zur ethnischen Herkunft) verarbeitet, muss die Einwilligung ausdrücklich (nicht nur stillschweigend) erfolgen. Der betroffene Sportler muss zudem – etwa in der Datenschutzerklärung – auf die besondere Schutzwürdigkeit dieser Daten hingewiesen worden sein (Artikel 9 (1) und (2) (a) DSGVO). Zugleich muss innerhalb des Vereins ein spezielles Konzept für den Umgang mit solchen besonders sensiblen Daten bestehen.
In diesen Zusammenhang ist es essentiell, dass Sportvereine und Sportverbände zunächst selbst danach differenzieren, welche Daten sie zu welchem Zweck verarbeiten. Unter anderem aus diesem Grund ist die Erstellung und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) unerlässlich (zum VVT informieren wir in einem unserer nächsten Beiträge). Erst eine sorgfältige Kategorisierung der verarbeiteten Daten ermöglicht es, in der Datenschutzerklärung vollständig und widerspruchsfrei über Art und Zweck der Datenverarbeitung zu informieren.
Oftmals erwecken Sportvereine und Sportverbände durch ihre nur vermeintlich DSGVO-konformen Datenschutzerklärungen demgegenüber den Eindruck, dass sie sich gar nicht darüber im Klaren sind, welche Art von Daten sie zu welchem Zweck verarbeiten. So finden sich in den Datenschutzerklärungen einiger Sportvereine und Sportverbände häufig nur Informationen über die Datenverarbeitung für Websitenbesucher. Kein Wort findet sich zur Verarbeitung von Mitgliederdaten, von Sportdaten oder Daten von Bewerbern. Gerade der Bereich der Mitglieder- und Sportdaten kann aber die Verarbeitung der oben genannten besonders sensiblen Daten beinhalten. Sollten Einwilligungserklärungen von Sportlern nur auf die allgemeine und oftmals einzige Datenschutzerklärung auf der Website verweisen, wären sie nicht nur rechtsfehlerhaft, sondern könnten angesichts des sensiblen Charakters der rechtsfehlerhaft verarbeiteten Daten auch zu hohen Bußgeldern führen.
Weiteres wichtiges Kriterium für eine rechtswirksame Einwilligung ist deren Freiwilligkeit. Die Erfahrung zeigt, dass viele Sportvereine innerhalb ihrer Mitgliedsanträge auf „die“ Datenschutzerklärung verweisen. Letztere enthält dann aber häufig keine Ausführungen zur Freiwilligkeit der Einwilligung (die je nach Einzelfall an die Besonderheiten des jeweiligen Mitgliedsverhältnisses angepasst sein müssen), sodass wiederum die Aufmerksamkeit der Aufsichtsbehörden auf ein zentrales Problem von Einwilligungserklärungen gelenkt wird.
Die Erforderlichkeit zur Vertragsdurchführung
Artikel 6(1)(b) DSVGVO erlaubt die Datenverarbeitung, soweit sie zur „Vertragsdurchführung“ erforderlich ist. Die wechselseitigen Pflichten zwischen Sportverein und (zukünftigem) Mitglied erfordern die Verarbeitung bestimmter Daten durch den Verein. Größte Vorsicht ist aber bei Beantwortung der Frage geboten, welche Daten für die Erfüllung der Pflichten aus diesen Schuldverhältnissen wirklich erforderlich sind; eine bloße Behauptung in der Datenschutzerklärung reicht nicht.
Einigkeit dürfte bestehen, dass die interne Verarbeitung von Daten, die der Mitgliederverwaltung dienen, zur Vertragsdurchführung erforderlich ist. Hierzu gehören in der Regel Name, Anschrift, Zahlungsdaten, je nach Zweck der Mitgliedschaft auch Start-/ Spielerpassnummer und Geburtsdatum. Deutlich schwieriger zu beantworten ist die Frage, welche Daten zur Erfüllung des Vereinszwecks- und der Vertragsziele erhoben und veröffentlicht werden dürfen. Vorsicht ist zudem bei der Frage geboten, ob Daten des Mitglieds eines Sportvereins automatisch auch vom Dachverband derselben Sportart verarbeitet werden dürfen.
Im Sportkontext spielen Leistungs- und Gesundheitsdaten eine zentrale Rolle. Es mag für viele Sportvereine und Sportverbände überraschend sein, aber Gesundheitsdaten dürfen nicht ohne Weiteres nach Artikel 6(1)(b) DSGVO verarbeitet werden. In der Praxis ist hier mit größtmöglicher Sorgfalt nach einer Rechtsgrundlage für die Verarbeitung dieser Daten zu suchen.
Die Interessenabwägung
Daneben kommt auch ein überwiegendes berechtigtes Interesse des Sportvereins oder Verbandes an der Verarbeitung von personenbezogenen Daten nach Artikel 6(1)(f) DSGVO als Rechtsgrundlage in Betracht. Das berechtigte Interesse des Vereins kann grundsätzlich ein wirtschaftliches, rechtliches oder auch ideelles Interesse sein. Die Frage, ob dieses Interesse die Rechte und Interessen des Mitgliedes bzw. Sportlers überwiegt, bedarf einer umfassenden Interessenabwägung im Einzelfall.
Sportvereine und Sportverbände sollten darauf achten, nicht vorschnell ein solches überwiegendes Interesse in Datenschutzerklärungen zu behaupten. Wichtiger ist es, zunächst das eigene berechtigte Interesse des Vereins oder Verbandes zu bestimmen und zu dokumentieren. Erst wenn die Interessen des Sportvereins oder Verbandes klar definiert und gewichtet sind sowie die Erforderlichkeit der Datenverarbeitung zur Erreichung des vom Verein angestrebten Zwecks bejaht wird, kann es zur Abwägung mit den Rechten und Interessen von Mitgliedern, Sportlern und Dritten kommen. Erst das Ergebnis einer Abwägung sollte Eingang in die Datenschutzerklärung finden und nicht der bloße Verweis auf (angebliche) berechtigte Interessen. Wichtig ist zudem: eine Interessenabwägung kann niemals die Verarbeitung von Gesundheitsdaten rechtfertigen.
Fazit
Die Vielfältigkeit der im Sport verarbeiteten Kategorien von Daten (Mitgliederdaten, Leistungsdaten aktiver Sportler, Bewerberdaten, Bilder, Tonaufnahmen etc.) macht es unumgänglich, die verarbeiteten Daten in einem ersten Schritt zu kategorisieren. Sodann ist für jede Kategorie das Vorliegen einer Rechtsgrundlage für die Verarbeitung der Daten zu überprüfen. Um der Pflicht nachzukommen, über Art und Zweck der Datenverarbeitung zu informieren, bietet sich natürlich die Datenschutzerklärung an. Eine Datenschutzerklärung kann aber nur DSGVO-konform sein, wenn die Datenverarbeitung im Sportverein oder Sportverband selbst DSGVO-konform erfolgt. Die Datenschutzerklärung sollte tunlichst nicht zur Schönfärberei genutzt werden mit dem Ziel zu „beweisen“, dass man den „Datenschutz auf dem Schirm“ habe. Die Aufsichtsbehörden durchschauen solche Ablenkungsmanöver sehr schnell – spätestens aufgrund von Beschwerden Betroffener. Neben Schadensersatzforderungen und hohen Bußgeldern drohen in diesem Fall auch erhebliche Imageschäden mit Auswirkungen auf Medien, Fans und Sponsoren. Diese Risiken bestehen gleichermaßen im Amateur- wie Profisport.
I look forward to your mail.