Nachrichten der Führungs-Akademie des Deutschen Olympischen Sportbundes

Nachrichten - Details

08. September 2017

Was kommt mit der neuen EU Datenschutz-Grundverordnung auf die Sportorganisationen zu? Datenschutz-Experte Dirk-Michael Mülot im Interview.

RED: Datenschutz und Datensicherheit spielen auch im Sport eine immer größere Rolle. Neben einzelnen Bereichen in denen beispielsweise sensible Gesundheits- und Leistungsdaten bearbeitet werden, hat der Datenschutz mittlerweile fast alle Ebenen der Vereins- und Verbandsarbeit durchdrungen.

Herr Mülot, Sie sind bundesweit sowohl in der freien Wirtschaft als auch im Sport agierender Datenschutzbeauftragter und Dozent für zahlreiche Seminare rund um das Thema Datenschutz. Hier sehen Sie sich tagtäglich mit Fragen der Akzeptanz und der Umsetzung des Datenschutzes konfrontiert: Wie schätzen Sie die aktuelle Situation des Datenschutzes im Sport ein? Ist der Datenschutz im Sport angekommen?

D. M. Mülot: Es hat schon einen Ruck gegeben. Das merken wir an den zunehmenden Anfragen in unserem Büro aus den gesamten Bereichen des Sports, ob von Vereinen oder Verbänden, weil die Vorstände und Geschäftsführungen immer mehr für das Thema sensibilisiert werden und man den Handlungsbedarf immer mehr erkennt. Denn gerade der Startschuss der Datenschutz-Grundverordnung (DSGV), die am 25. Mai 2018 rechtskonform in allen Einrichtungen umgesetzt werden muss, erhöht seitens der Vorstände und der Geschäftsführungen den Leidensdruck und geht mit einem Handlungsbedarf einher. Ich stelle fest, dass sich die Sportorganisationen mehr und mehr Gedanken darüber machen, wie sie diesen Anforderungen bis Mai 2018 gerecht werden können.

RED: Mit der EU Datenschutz-Grundverordnung (DSGV) ist also Bewegung ins Spiel gekommen. Viele Datenschützer sind ebenso wie die verantwortlichen Vorstände und Geschäftsführungen verunsichert, was die DSGV für den eigenen Verein bzw. Verband bedeutet. Wer ist von dieser Gesetzgebung betroffen und was sind aus Ihrer Sicht die wichtigsten Neuerungen gegenüber den bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG)?

D. M. Mülot: Ja, es ist Bewegung ins Spiel gekommen. Durch die DSGV sind die Strafen deutlich höher aufgehängt worden, als dies bisher im BDSG der Fall war und das führt zu Handlungsnot, denn hier drohen Strafen in Höhe von 2 % bis 4 % des Jahresumsatzes bzw. 10 bis 20 Mio. EUR. Ich denke, man sollte es an dieser Stelle nicht überbewerten, nichtsdestotrotz sind das natürlich Summen, die für Vereine und Verbände unter Umständen existenzbedrohend sein können.

Von den neuen Regelungen betroffen sind natürlich zunächst einmal die Geschäftsführung, die Vorstände sowie jeder einzelne Mitarbeiter, jede einzelne Mitarbeiterin. Denn sie sind letztendlich diejenigen, die Datenschutz im operativen Tagesgeschäft realisieren und sich an die Vorschriften halten müssen. Wir haben hier einerseits die DSGV und die so genannten Anpassungsgesetze, das neue BDSG beispielsweise, das ebenfalls mit Wirkung zum 25. Mai 2018 eintritt und weiterhin die Landesdatenschutzgesetze (LDSG), die noch nicht veröffentlicht sind und aktuell in der Entwicklung stehen.

Eine wichtige Neuerung, die die Einführung der DSGV mit sich bringt ist folgende: Bisher musste man nur den Nachweis erbringen, dass man im Bereich des Datenschutzes aktiv ist und die vorgegebenen Gesetze einhält. Mit der neuen Gesetzgebung muss nun zukünftig jede Einrichtung, also jeder Verein/Verband anhand von beschriebenen Prozessen und mit geltenden Dokumenten nachweisen, wie genau sie die Einhaltung der Regelwerke sicherstellt.

Die detaillierte, saubere Dokumentation dieser Prozesse ist sicherlich eine der größten Herausforderungen, die jetzt auf die Sportorganisationen zukommt.
Das bedeutet zwar deutlich mehr bürokratischen Aufwand, aber ist mit Blick auf die Zielrichtung der DSGV durchaus wichtig. Denn beim Datenschutz geht es nicht – wie meist irrtümlich angenommen – um den Schutz der Daten, sondern darum, den Betroffenen davor zu schützen, dass ihm durch die Erhebung, Verarbeitung und Nutzung seiner Daten ein Nachteil entsteht. Bisher haben die Organisationen meist den Fokus auf den eigenen Schaden gelegt, der ihnen möglicherweise entstehen kann, wenn sie sich nicht an Regelwerke halten. Dies muss im Rahmen der DSGV komplett neu gedacht werden.

Die DSGV betrachtet den Datenschutz immer aus Sicht des Betroffenen: Welcher Schaden kann dem Betroffenen beispielsweise entstehen, wenn seine Gesundheits- oder Leistungsdaten unberechtigterweise Dritten zur Kenntnis gelangen? Das bedeutet im Umkehrschluss, dass wir anhand von Verfahrensbeschreibungen, die eigentlich auch schon aus dem alten Gesetz heraus vorliegen sollten, letztendlich zu jedem Verfahren auch eine so genannte Datenschutzfolgenabschätzung durchführen müssen, um zu prüfen, welche Risiken bei Verlust von Vertraulichkeit, Verfügbarkeit und Integrität für den Betroffenen auftreten. Dadurch wird der Aufwand natürlich etwas umfangreicher.

RED: Neben diesen neuen Gesetzen, die wir gerade diskutiert haben, sind ab 2018 auch landesweite Einzelregelungen im Datenschutzrecht angedacht. Die EU möchte mit diesen Öffnungsklauseln den nationalen Parlamenten die Möglichkeit geben, bestehende Datenschutzgesetze in die EU Datenschutz-Grundverordnung zu integrieren. Diese machen das Gesetz flexibler und in den Ländern auch leichter durchsetzbar. Wird damit aber nicht zugleich auch die Chance vertan, eine tatsächlich europäisch einheitliche Datenschutzgesetzgebung durchzusetzen?

D. M. Mülot: Man hatte in der Vergangenheit mit Einführung einer so genannten EU Datenschutzrichtlinie den Wunsch, dass die einzelnen Länder eigene Datenschutzgesetze schaffen, um diese Regelwerke entsprechend einhalten zu können.

Wir in Deutschland haben daraufhin ein Bundesdatenschutzgesetz, ein Landesdatenschutzgesetz und auch kirchliche Datenschutzgesetze entwickelt, die dieser Richtlinie entsprochen haben. Da es sich allerdings nur um eine Richtlinie handelte, die nicht verpflichtend war, führten einige Länder keine Datenschutzgesetze ein, was wiederum zu klaren Wettbewerbsverzerrungen führte.

Die DSGV, die sofort geltendes Gesetz in allen Ländern ist, ohne dass diese ein eigenes Gesetz haben müssen, fordert jetzt alle Beteiligten dazu auf, sich an dieses Grundregelwerk zu halten. Die Eröffnungsklauseln besagen, dass ein Land, das vor Inkrafttreten der EU Grundverordnung eigene Regelwerke hatte, diese noch weiter verfeinern kann. Diese Landesgesetze werden dann auch entsprechend akzeptiert. Die vorhandenen Bundesdatenschutz- oder Landesdatenschutzgesetze oder die Gesetze, die einzelne Länder, wie Italien oder Frankreich jetzt noch ins Leben rufen werden, können nur noch weiter verfeinert, jedoch die Grundregeln der DSGV nicht aufgebrochen werden.
Das ist also das Mindestrahmenwerk, das eingehalten werden muss. Gerade im Kontext der zunehmenden Digitalisierung ist es aus meiner Sicht durchaus sinnvoll, einen einheitlichen Mindestschutz für die Betroffenen in allen Ländern zu gewährleisten.

Nehmen wir ein einfaches Beispiel: Die DSGV schreibt ab gewissen Risikoklassen oder verarbeiteten Datenmengen die Bestellung eines Datenschutzbeauftragten vor. Im neuen Bundesdatenschutzgesetz hat man das alte Regelwerk beibehalten, das bereits vor der DSGV existierte und dieses noch verfeinert. So gilt in Deutschland, dass Organisationen, in denen mehr als neun Mitarbeiter/-innen, die in ihrer Tätigkeit mit personenbezogenen Daten in Kontakt kommen (also Daten erheben, verarbeiten oder mittels elektronischer Datenverarbeitung nutzen) einen Datenschutzbeauftragten bestellen müssen.
Man hat hier die Latte also noch ein wenig höher gehängt. Ich halte das für sehr sinnvoll, denn für viele Organisationen ist der Datenschutz ein noch relativ unbekanntes Thema, gerade, wenn es um die Feinheiten geht. Hier bedarf es einen Datenschutzbeauftragten, der die Grundregeln des Datenschutzes kennt und den Vorstand sowie die die Mitarbeiter entsprechend im Umgang mit personenbezogenen Daten beraten kann.

Die Bestellung eines Datenschutzbeaufragten wird in den meisten Vereinen und Verbänden unabwendbar sein. Darüber sollte sich jede Organisation Gedanken machen. Denn die bereits erwähnten Regelungen betreffen auch ehrenamtlich Tätige, die mit personenbezogenen Daten arbeiten, wie beispielsweise Übungsleiter oder Jugendwarte. Vereine und Verbände sind daher gefordert, erst einmal eine Auflistung zu machen, wer Zugang und Zugriff auf die personenbezogenen Daten bekommt und zu welchem Zweck.

Red.: Der Aufwand, den Sportvereine und –verbände kalkulieren müssen, um die neuen Vorgaben der DSGV und des Anpassungsgesetzes des Bundestages im eigenen Verein / Verband umzusetzen, ist sicher unterschiedlich und sehr stark vom aktuellen Status des Datenschutzes und der bisherigen Tätigkeit in diesem Feld abhängig. Was müssen aus Ihrer Sicht Vereine und Verbände unternehmen, um die Forderungen der neuen Datenschutzgesetzgebung bis Mai 2018 umzusetzen? Was können erste Schritte sein, um den konkreten Aufwand zu ermitteln?

D. M. Mülot: Zunächst einmal gilt es, Strukturen und Prozesse in der Organisation anzupassen. Es müssen Prüfprozesse installiert werden, die festlegen, wie und von wem die Rechtmäßigkeit der Datenverarbeitung geprüft wird. Diese Strukturen und Prozesse müssen dann genau beschrieben und dokumentiert werden. Gleiches gilt für die Festlegung der Rechtsgrundlagen und der Zwecke der Datenverarbeitung sowie deren Dokumentation. Nehmen wir das Beispiel der Lizenzvergabe eines Spielers. Hier müssen die entsprechenden Rechtsgrundlagen vorliegen, die es zu erfüllen gilt und es muss geklärt sein, welche Daten in welchem Zusammenhang erhoben, verarbeitet und genutzt werden dürfen.

Ein weiterer Punkt ist die Implementierung von Informationspflichten und die Sicherstellung der Betroffenenrechte sowie der Aufbau von entsprechenden Löschkonzepten. Die Betroffenen haben ein Recht auf Datenkorrektur, auf Löschung, auf Auskunft, das Recht auf Vergessenwerden usw.. Hierzu muss es entsprechende Prozesse geben, die sicherstellen, dass die Rechte der Betroffenen eingehalten werden. Das Ganze erfolgt unter dem Oberbegriff „Intervenierbarkeit“. Es muss also dokumentiert werden, wie der Verein/Verband sicherstellt, dass die Betroffenen ihre Rechte wahrnehmen und auch durchsetzen können.

In einem nächsten großen Block muss die Anpassung der Datenschutzorganisation in Angriff genommen werden. Die Organisation muss nachweisen, dass sie Informationen oder Prozesse sauber prüft und letztendlich auch eine entsprechende Datenschutzfolgenabschätzung durchführen kann, um das Risiko für den Betroffenen im Falle einer Verletzung von Vertraulichkeit, Verfügbarkeit oder Integrität der Daten zu ermitteln.
Falls es doch zu so genannten Datenpannen kommt, müssen entsprechende Reaktionsmechanismen sichergestellt sein, wie beispielsweise Prozesse im Zuge einer Meldung an die Aufsichtsbehörde. Auch diese Regelung ist mit dem §42a bereits im alten BDSG enthalten und wurde in die DSGV aufgenommen. Letztlich muss hier ein sauberer Prozess mit Zuständigkeiten, Verantwortlichkeiten und Abläufen beschrieben werden. Das Gleiche gilt für die Organisation von Meldepflichten, also der Meldung an den Betroffenen, zu welchem Zweck welche Daten über ihn erhoben, gespeichert und verarbeitet werden.

Ein weiterer Block widmet sich den Auftragsbearbeitungen, wie beispielsweise dem Einsatz von Dienstleistern, Support oder Cloud-Lösungen. Wir stellen häufig in der Zusammenarbeit mit den Vereinen fest, dass keinerlei Auftragsdatenverarbeitungsverträge nach dem alten §11 vorliegen. Hier sind die Organisationen in höchster Handlungsnot, sich eine Übersicht zu verschaffen, wer überhaupt als Auftragsverarbeiter eingesetzt wird und diese mit den entsprechenden rechtlich korrekten Verträgen zu versorgen, um Datenzugriff, -zugang, -nutzung, -weitergabe und -verarbeitung rechtlich auf sichere Füße zu stellen.

Des Weiteren muss sich ein Verein/Verband mit einer umfangreichen Dokumentation auseinandersetzen. Prüfprozesse, Auditierung, Auditprozesse – all das muss sauber definiert und letztlich auch niedergeschrieben sein. Es genügt nicht, sich einmalig einen Prozess anzuschauen, sondern es müssen Verfahren im eigenen Verein/Verband wiederkehrend in den Blick genommen werden. Sofern sich Änderungen im Verfahrensablauf, im Bereich der technisch-organisatorischen Maßnahmen oder in den Rechtsgrundlagen ergeben, muss ggf. noch einmal eine Datenschutzfolgenabschätzung durchgeführt werden.
Abschließend gibt es den gesamten Bereich der IT-Sicherheit: Wie sind Zugangs- und Zugriffsberechtigungen sauber geregelt und wie kann ich im Falle eines Datenverlustes meine Systeme möglichst schnell wiederherstellen, um die Datenverfügbarkeit zu garantieren? Auch diesen Fragen muss sich ein Verein/Verband widmen.

Dies sind erst einmal die wichtigsten Punkte, die bis Mai 2018 umgesetzt werden müssen.

Die Vereine und Verbände, die datenschutzrechtlich ihre Basishausaufgaben gemacht haben, wird ein überschaubarer und auch zu bewältigender Aufwand bis Mai 2018 erwarten. Schlecht sind die Vereine und Verbände gestellt, die sich noch gar nicht mit Thema beschäftigt haben und jetzt in sehr kurzer Zeit vieles auf die Beine stellen müssen. Ich empfehle in diesem Fall jedoch, nicht in reinen Aktionismus zu verfallen, sondern besonnen vorzugehen und erst einmal eine Bestandsaufnahme zu machen: was haben wir bereits erfüllt und wo besteht Nachbesserungsbedarf?

Red.: Haben Sie weitere Anregungen, Tipps und Anmerkungen, die sie den Vereinen und Verbänden mit auf den Weg geben möchten?

D. M. Mülot: Ich kann den Vereinen und Verbänden, vor allem den Vorständen und Geschäftsführungen nur empfehlen, sich in geeigneter Weise über das Thema zu informieren, beispielsweise in der von der Führungs-Akademie angebotenen Veranstaltungen zum Datenschutz oder im Datenschutz-Portal, um überhaupt erst einmal die Haftungsrisiken zu erkennen und einen Maßnahmenplan mit an die Hand zu bekommen, wie man letztendlich auch in der relativ kurzen Zeit noch möglichst viel erledigen kann. Natürlich setzt das immer die Bereitschaft voraus, dass jemand auch etwas tun möchte. Es ist hier aber keine Frage, die natürlich immer wieder im Raum steht, ob dieser Aufwand gerechtfertigt ist oder nicht. Niemand, auch kein Gesetzgeber, erwartet von einem Verein oder Verband, dass er Klassenbester ist. Aber er muss seine Basishausaufgaben machen. Bei vielen Organisationen ist nach wie vor ein Informationsdefizit vorhanden und die zu erfüllenden Basishausaufgaben sind unklar. Hier empfehle ich dringend, sich an kompetenter Stelle kundig zu machen und zu erfahren, welche Prioritäten gesetzt werden müssen. Daraus kann dann ein Maßnahmenplan entwickelt werden, der sukzessive abgearbeitet wird.

Red.: Vielen Dank für das Interview, Herr Mülot.