Header-Bild mit Ruderteam
Zurück zur Übersicht

Digitalisierung im Sport – Verheißung und Herausforderung

Zum Einstieg

Der organisierte Sport soll digitaler werden, lautet seit einigen Jahren eine häufig wiederholte Forderung. Inzwischen ist die „digitale Transformation der Gesellschaft“ definitiv auch in den Sportvereinen des organisierten Breitensports angekommen. Immer mehr Vereine nutzen digitale Tools, die ihnen die Planungs- und Organisationsaufgaben erleichtern und neue Kommunikationswege ermöglichen. 

Schon lange wird die mannschaftsinterne Kommunikation über WhatsApp abgewickelt. Die Reichweite der Öffentlichkeitsarbeit ist über soziale Medien wie Instagram oder Facebook gewaltig gestiegen und erreicht die relevanten Zielgruppen. Das ging mit dem Generationswechsel im Verein oder Verband relativ „schmerzfrei“ über die Bühne und ist sehr erfolgreich. Vieles wurde einfacher.
Schon länger gibt es über das Internet zugängliche Dienste des DOSB zur zentralen verbands- und vereinsübergreifenden Verwaltung der höheren Trainer-Lizenzen (LIMS vom DOSB) und Systeme in denen Kaderathleten verwaltet (DaLiD) werden. In den meisten Verbänden und Vereinen ist schon seit Jahren die Wettkampfsteuerung, die Verwaltung der Wettkampberechtigungen und ggf. auch die Vereinsverwaltung zentralisiert über Dienste im Internet realisiert.

Die Vorteile liegen auf der Hand: Die digitale Abbildung bietet mehr Effizienz beim Einsatz der wertvollen Zeit unserer ehrenamtlich Engagierten, mehr Transparenz und effektivere Prozesse in der Vereins- und Verbandsverwaltung.

Dieser Prozess der Digitalisierung dauert noch an, ist längst nicht in allen Bereichen abgeschlossen und weitere neue Möglichkeiten kommen Tag für Tag hinzu.
So weit, so positiv und gut. Oder auch nicht?

Wo Licht ist, ist auch Schatten. Den sieht man aber nicht so gut, weil er bekannterweise einer differenzierten Wahrnehmung bedarf. Licht und Schatten verändern sich mit dem Standpunkt und können Dinge hervortreten lassen und verbergen.
Und genau darum geht es bei der Digitalisierung. Sie erfordert nicht nur neue Fähigkeiten und Kenntnisse, sondern auch die Bereitschaft, neue Perspektiven einzunehmen und seine Aufgabenfelder neu zu definieren.

Zu den wenig bemerkten Schattenfeldern gehören insbesondere einige Risiken und neue juristische sowie organisatorische Aufgabenstellungen, die bei der Planung, Einführung und Nutzung der digitalen (Cloud-)Dienste im Sport, leider nicht immer gesehen bzw. hinreichend berücksichtigt wurden und werden.
Ziel dieser Randbemerkung, ist es, auf einige wichtige Risiko-Umstände und mögliche Verbesserungen hinzuweisen. Alles in der Hoffnung, hier mit diesem Perspektivwechsel zum Nachdenken und Handeln anregen zu können.

Organisatorische Risiken

Der Sport stützt sich auf ehrenamtliche Strukturen. Infolgedessen gibt es oft keine strukturiert aufgebaute IT-Kompetenz in den Vereinen und Verbänden. Vielfach besteht somit die Gefahr einer fehlerhaften Administration der Systeme. Die Einführung neuer Anwendungen wird eher als Inselprojekt behandelt, weil das Gesamtverständnis für die Systeme fehlt. Grundsätzlich erschwerend hinzu kommt als Risiko eine relativ hohe Fluktuation bei den Amtsträgern, die eine kontinuierliche Weiterentwicklung der digitalen Infrastruktur verhindern kann
Die Konsequenzen: Unzureichende Schulungen – in Kombination mit häufigem Wechsel der Zuständigen und mangelnde Stellvertretersystem – können zu gravierenden Bedienungsfehlern und damit zu „Datenpannen“ führen.

Anders als in Unternehmen ist es in ehrenamtlich geführten Vereinen nicht so einfach, entsprechende Kompetenz zur Nutzung der Systeme aufzubauen und zu erhalten. Es fehlt an klaren Aufgabenstellungen und Verantwortlichkeiten und an der Dokumentation der installierten Systeme. All diese Faktoren sind häufige Ursachen für Sicherheitsvorfälle und Datenschutzverletzungen. Daher müssen die Systeme in der Anwendung möglichst intuitiv und einfach sein und die Anwender (Administratoren und deren Stellvertreter) trotzdem darin geschult werden.

Klare interne Anweisungen zur risikoarmen Nutzung der Dienste und zum allgemeinen Umgang mit den Daten, die auch Bestandteil der Schulungen sind, helfen hier „Datenpannen“ und anderes Ungemach zu vermeiden.

Typische Cloud-Risiken

Nahezu alle Systeme werden als über das Internet erreichbare Cloud-Lösungen angeboten. Das ist vorteilhaft, weil so keine eigenen Hardware-Systeme betrieben werden müssen. Welcher Verband oder gar Verein kann sich denn schon ein professionell gemanagtes Rechenzentrum leisten?
Leider entsteht dadurch aber auch eine Abhängigkeit von den jeweiligen Anbietern und das in mehrfacher Hinsicht. 

Zum einen ist man von der ständigen Verfügbarkeit des Netzes aber auch von der Verfügbarkeit der Anbieter abhängig. Wenn es einmal zu den – immer wieder im Rahmen der laufenden internationalen Auseinandersetzungen (Kriege) befürchteten – durch Hackergruppen ausgelöste Internetstörungen kommt, werden Vereine ohne einen „Plan B“ erhebliche Schwierigkeiten haben, den Sport-Betrieb aufrecht zu erhalten.

Zum anderen ist jeder Verein – soweit er die meisten Prozesse effizient in eine Cloud-Lösung überführt hat – von diesem Systemanbieter in Bezug auf Preiserhöhungen, strategische Produktänderungen, schlimmstenfalls sogar Produkteinstellungen oder bei veränderten Entwicklungsschwerpunkten bei Unternehmensübernahmen völlig abhängig. Ein solcher „Vendor Lock-In“ bedeutet langfristig ein Risiko. Je größer die Abhängigkeiten sind, desto notwendiger ist es, auch einen „Exit-Plan“ zu haben, der bereits solche Eventualitäten abdeckt. Hierzu gehört auf jeden Fall die Möglichkeit, sich zumindest die Daten selbst in einem gängigen lesbaren Format (z. B. CSV) exportieren zu können; und zwar alle Daten.

Ein weiteres Problem kann sich für den Betrieb ergeben, wenn bei den Verträgen mit den Anbietern Zuständigkeiten, Aufgabenfelder und der Leistungsumfang nicht sauber definiert wurden. In der Anbahnungsphase wird oft eine „Rundum-sorglos-Lösung“ angeboten, was bei den Verbänden/Vereinen den Eindruck erweckt, dass die eigenen Aufgaben aus dem IT-Betrieb hier entsprechend ausgelagert werden. Oft gibt es aber keine tragfähigen Vereinbarungen, die sicher stellen, dass z. B. Sicherheitsupdates regelmäßig und zeitnah in die Serverinfrastruktur eingebracht werden oder ein dem Risiko der Verarbeitung entsprechendes Backup-Konzept umgesetzt wird. Auch wird oft nicht verstanden, dass einige administrative Aufgaben, z. B. die Erstellung und Umsetzung eines Berechtigungs- oder Löschkonzeptes, eigentlich immer beim Verein/Verband verbleibt.

Selbst wenn es Vereinbarungen zu den Betriebsaufgaben gibt, gibt es in der Regel keine Vertragsstrafen, sondern nur ein Sonder-Kündigungsrecht aus nicht erbrachter Leistung. Dieses Sonderkündigungsrecht kann und will man aber nicht wahrnehmen, wenn man den eigenen Betrieb nicht endgültig stilllegen will. („Vendor-Lock-In“, erinnern Sie sich?)

Beim Einsatz einer Cloud-Lösung bedienen sich die Anbieter zudem oft weiterer Unter-Auftragnehmer (z. B. US-amerikanische Anbieter wie AWS, Google, Microsoft), die ggf. Ihren Sitz nicht in der EU haben und somit nicht dem Schutzniveau der EU unterliegen. Dabei kann es zu einem Datentransfers aus der EU in diese Länder kommen. Dies erfordert besondere Schutzmaßnahmen, die ständig zu überwachen sind. Hier hat sich in den letzten Jahren (Stand 2026) zwar viel Positives getan, aber die Risiken bleiben und verantwortlich (d. h. er haftet!) ist der Auftraggeber, also häufig der Verein/Verband vertreten durch den Vorstand!

Verantwortlichkeit und Haftung

Viele Systeme werden in der Regel über die Vereins- und Verbandsebenen hinweg genutzt. Der Verein gibt die Daten (z. B. aus dem Spielbetrieb) ein, der Verband nutzt sie und berichtet daraus ggf. an den Dachverband.

Die spannende Frage in diesem Fall lautet: Wer haftet, wenn hier eine betroffene Person einen Schaden erleidet, weil z. B. bei einem Hackerangriff die Bankdaten abgeflossen sind und es zu einem erfolgreichen Identitätsdiebstahl gekommen ist – und das gleich bei 300 Sportlern?
Wer ist der Datenschutz-Aufsicht Rechenschaft über die Datenschutzkonformität der Verarbeitung schuldig bzw. wer muss die Betroffenenanfragen beantworten und die Erfüllung Ihrer Rechte aus dem Datenschutz (Auskunft, Berichtigung, Löschung, Sperrung, Datenübertragbarkeit, Widerruf, Widerspruch) umsetzen?

Man bemerke: Sieht kompliziert aus. Ist es auch. Und nicht vergessen werden darf: Es geht auch möglichweise um hohe Bußgelder und etwaige Schadensersatzforderungen aus Art. 82 DSGVO.
Daher ist zwingend bei allen Prozessen, die mit Hilfe einer Cloud-Lösung vereins- und verbandsübergreifend umgesetzt werden, vorher zu klären, welche datenschutzrechtliche Verantwortung welcher Partner einnimmt. Die DSGVO schreibt dazu vor, dass es hier entsprechende Vereinbarungen geben muss – je nach Sachlage Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO oder eine Vereinbarung zur gemeinsamen Verantwortung nach Art 26 DSGVO (oft auch beides). Soweit dies geklärt ist, sind die Zuständigkeiten und auch die Haftung aus der DSGVO klar geregelt.

Auch dies muss übrigens gegenüber den Betroffenen, deren Daten in diesen Systemen verarbeitet werden, in der Datenschutzerklärung neben zahlreichen anderen Pflichtinformationen transparent erläutert werden.

Soweit Sie davon betroffen sind, haben Sie dies bei der Vereinbarung mit dem DOSB zur Verwendung von LIMS schon einmal gesehen.

Sicherheit der Informationen

Der Datenschutz schreibt nachweisbare technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vor. Vertraulichkeit, Verfügbarkeit und Integrität der Daten müssen dadurch in angemessener Weise und nach den Stand der Technik sichergestellt werden. Das gilt auch ohne Datenschutz für alle anderen Daten im Eigeninteresse des Vereins. Wir sind von den Daten abhängig.

Hier gibt es im Rahmen der Vereins- und Verbandstätigkeiten aber bei allem vorhandenen Verantwortungsbewusstseins einige „strukturelle“ Probleme:

Es fehlt an Mitteln: Informationssicherheit erfordert ein zentrales Management und ggf. auch z.B. eine Antivirensoftware oder „Mobile Device Management“, das kostet Geld, dass lieber und evtl. vermeintlich sinnvoller an anderer Stelle eingesetzt wird.

Es fehlt an Wissen: Die Leitungen von Vereinen und Verbänden sind oft nicht hinreichend über erforderliche Maßnahmen, z. B. die Erstellung von Notfallkonzepten, Meldepflichten bei Datenschutzverletzungen, die Erstellung und Umsetzung von Berechtigungs- oder Löschkonzepten etc. informiert.

Es fehlt an Allem: So setzen Ehrenamtliche z. B. in der Regel ihre privaten Geräte zur Handhabung der Daten des Vereins oder Verbands ein. Diese Geräte sind eben privat und deren Schutzmaßnahmen hängen vom Wissen und Können des Nutzers ab. Und schon sind die Vereinsdaten außerhalb der Kontrolle des Vereins in der iCloud oder im Google-Drive. Vereinsdaten werden von Gmail oder Web.de bei der Nutzung privater Mailadressen ausgewertet usw. …
Hier können Cloud-Lösungen, wenn sie technisch und vertraglich richtig aufgesetzt sind, zusammen mit der Anweisung und Schulung, alle Daten auch in der Cloud (= Verfügungsgewalt des Vereins) zu lassen, Abhilfe schaffen. Richtig aufgesetzt heißt aber, dass die Vorgänge in der Cloud-Lösung bleiben, der Mail-Versand und Empfang für den Verein aus der Lösung erfolgt und solche Einrichtungen wie eine „Multi-Faktor-Authentifizierung“ und ein Berechtigungskonzept umgesetzt sind. Dazu kommt dann noch, dass die Nutzer geschult und für den Datenschutz bzw. die Informationssicherheit sensibilisiert sein sollten.

Datenschutz und Jugendliche

Eine weitere besondere Herausforderung stellt nicht zuletzt aus Datenschutzsicht der Umgang mit den Daten unserer jugendlichen Sportler dar. Jugendliche gelten im Datenschutz grundsätzlich als „Schutzwürdige Betroffene“. Das kann man verstehen, ist aber für die „Rechtmäßigkeit der Verarbeitung“ ggf. ein Problem. 

Hier muss ich ein wenig ausholen: Damit eine Verarbeitung von Daten erfolgen darf, brauchen wir entweder eine Einwilligung, einen Vertrag mit der betroffenen Person, eine rechtliche Verpflichtung oder ein „berechtigtes Interesse“ an der Verarbeitung als Rechtsgrundlage. Eine Verarbeitung ohne Rechtsgrundlage ist ein Datenschutzverstoß und rechtswidrig.

Viele Verarbeitungen erfolgen auf Grundlage von „berechtigten Interessen“, z. B. die Veröffentlichung von Sportlernamen und Ergebnissen, die Einteilungen in Mannschaften, Aufzeichnungen von Trainern etc. Das berechtigte Interesse kann eine tragfähige Rechtsgrundlage für die Datenverarbeitung bei Kindern sein, erfordert jedoch eine strenge Interessenabwägung. Denn aufgrund des besonderen Schutzbedürfnisses von Minderjährigen überwiegen deren Grundrechte oft gegenüber geschäftlichen Interessen. Eine Verarbeitung aufgrund von berechtigtem Interesse des Vereins wäre somit nur zulässig, wenn sie wirklich erforderlich ist und keine schutzwürdigen Interessen des Kindes verletzt.

Das bedeutet, dass wir bei der Verarbeitung von Daten von Jugendlichen besonders, wenn es um Veröffentlichung von Daten geht „am Rande der datenschutzrechtlichen Legalität wandeln“.
Die Datenschutzaufsicht NRW hat vor dem Hintergrund, dass diese Daten immer schon veröffentlicht wurden, sich dahingehend geäußert, dass dies in Abhängigkeit vom öffentlichen Interesse für einen begrenzten Zeitraum zulässig sein könne.

Bedeutet: Ergebnisse auf Kreisebene mit Daten Jugendlicher könnten ggf. für ein paar Monate, Ergebnisse auf höheren Ebenen auch länger, veröffentlicht werden. Aber eben nur zeitlich begrenzt.
Sicherer und datenschutzfreundlicher ist es aber, sich eine Einwilligung dazu zu holen. Und schon wieder lohnt sich ein Blick in das Gesetz: Denn bei Minderjährigen brauchen wir die nachweisbare freiwillige Einwilligung beider Sorgeberechtigter. (Dazu gibt es einige Urteile.) Auch dieses kann in einer „richtig“ gestalteten Online-Lösung gut umgesetzt werden, wenn die Verantwortlichkeiten geklärt sind.

Datenschutz und Umsetzbarkeit Betroffenenrechte

Eine der Verpflichtungen des für die Verarbeitung der personenbezogenen Daten Verantwortlichen aus dem Datenschutz ist, dass die Rechte der Betroffenen (ich schrieb es oben schon: (Auskunft, Berichtigung, …) nachweislich umsetzbar sein müssen und auch tatsächlich umgesetzt werden.
Soweit die Verantwortlichkeiten bei Ebenen-übergreifenden Verarbeitungen geklärt sind, sollten die Systeme eine Funktion haben, die „auf Knopfdruck“ alle im System erfassten Daten zu einer Person zusammenstellt. Hiermit ist es ein Leichtes, eine rechtskonforme Antwort z. B. auf ein Auskunftsersuchen, zu erstellen. Ohne eine solche Funktion kann es sein, dass aufgrund des erforderlichen Berechtigungskonzeptes viele Mitarbeitende an der mehr oder weniger manuellen Zusammenstellung der Informationen beteiligt werden müssen. Ein auch in der Abstimmung erheblicher Aufwand, durch den die gesetzliche Frist zur Erfüllung der Ersuchens von 1 Monat ab Eingang schnell sehr knapp wird.

Webauftritt, Online-Marketing und Vermarktung von Inhalten

Zu diesem Thema könnte man ein eigenes Buch schreiben. Daher hier an dieser Stelle nur die wichtigsten Dinge in Kürze:

Die Nutzung von „sozialen Medien“ ist in der Regel leider nicht datenschutzkonform möglich. Das liegt daran, dass die datengetriebenen Finanzierungsmodelle der meisten Anbieter einer datensparsamen Nutzung entgegenstehen. Stattdessen werden personenbezogene Daten in einem erheblichen Umfang gesammelt, zu Profilen zusammengestellt, im eigenen Konzern geteilt und an Dritte verkauft. Hier sollte man abwägen, wieviel Aktivität man zeigt, denn eine gute Jugendarbeit wird ohne den Einsatz sozialer Medien kaum möglich sein. Seien Sie so sparsam wie möglich mit Bildern von Personen und Namen. Denken Sie daran, dass Sie bei Bildern von Einzel-Personen auf jeden Fall eine Einwilligung nach dem Kunsturhebergesetz benötigen. (Bei Jugendlichen mal wieder von beiden Sorgeberechtigten).Hinzu kommen noch die Herausforderung des Urheberechts und die Risiken aus der (ungewollten) Verletzung durch die Einbindung von Texten, Liedern und Bildern.

Viele Webagenturen, die Homepages für Vereine oder Verbände erstellen, bauen dort ungefragt Mechanismen zum Tracking und zur optimalen Darstellung der Webseite ein. Dazu bedienen sie sich Cookies, die auf den Geräten der Websitebesucher gespeichert werden und eine Identifikation der Personen möglich machen. Als verantwortlicher Auftraggeber der Website und damit als Anbieter eines digitalen Dienstes sind Sie gut beraten, dem Thema größte Aufmerksamkeit zu widmen.

Insbesondere lohnt sich ein Blick in das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das dem Schutz der Privatsphäre auf den Endgeräten (Laptop, Smartphone, Tablet und Co.) der Verbraucher dient.

Erlaubt sind gemäß § 25 TDDDG nur technisch notwendige Cookies. Alle anderen Cookies, die Sie auf den Endgeräten der Nutzer Ihres Digitalen Dienstes setzen bzw. dort für andere Zwecke auslesen wollen, bedürfen der vorherigen Zustimmung. Wird von Ihnen als Webseitenbetreiber so ein Cookie gesetzt, ohne dass eine Einwilligung (nach den Vorgaben des Art. 7 DSGVO) vorliegt, dann ist dies ein Rechtsverstoß.

Bedeutet: Sie müssen Ihre Webseite so aufbauen, dass keine Cookies gesetzt werden, die nicht technisch notwendig sind. Sie müssen sich für jeden Cookie bzw. jeden nicht technisch notwendigen Zweck der Cookie-Verarbeitung eine Einwilligung einholten. Dafür bedarf es eines Cookie-Banners, dass eine dezidierte Einwilligung ermöglicht. Und erst dann dürfen dies Cookie-Daten verarbeitet werden. Achtung: Vielen Dienste, die auf Webseiten eingesetzt werden, setzen selbst Cookies und bedürfen der Zustimmung der Nutzer, bevor Sie aktiviert werden können (z. B. Google-Maps, YouTube etc.).

Sollten Sie mit der Idee liebäugeln, die Nutzung der Daten zu einem durch Werbung getriebenen Geschäftsmodell auszubauen (Tracking und Weitergabe an IAB oder TCM-Dienste): Seien Sie sich bewusst, dass Sie dann viele Herausforderungen zu meistern haben, für die die meisten Vereine nicht das notwendige Know-how und die Manpower haben. Dann lassen sie es besser.

Übrigens: Nicht nur Webseiten müssen ein Impressum gemäß § 5 DDG und § 18 MStV haben, sondern auch alle Social Media-Angebote, die Sie als Verein betreiben. Für alle gilt: Impressum und Datenschutzerklärung müssen jederzeit mit maximal 2 Klicks erreichbar sein und den gesetzlichen Anforderungen genügen. . Wahrheit, Klarheit und Vollständigkeit sind hier die wichtigsten zu erfüllenden Bedingungen. Aber das ist wirklich ein eigenes Thema.

Fazit

Die Digitalisierung ist längst im Sport angekommen und hat viele Dinge verbessert. Den Vorteilen stehen aber neue Verantwortlichkeiten und Risiken gegenüber, die jeder Verein kennen sollte. Nicht Alles, was in der schönen digitalen Welt wünschenswert erscheint, ist daher auch empfehlenswert. Vielmehr gilt es, eine Standortbestimmung vorzunehmen und neue Perspektiven einzunehmen, um die Aufgaben dann auch strukturiert und nachhaltig anzugehen. Zusätzliche Beratung und Unterstützung durch Experten (aus den Bereichen IT, Datenschutz und Recht) sind Garanten für den Erfolg. Hat man es „richtig“ gemacht und ggf. auch einen „Plan B“ in der Tasche, kann der Einsatz digitaler Lösungen die Vereinsarbeit deutlich erleichtern, zugleich die „Rechtssicherheit für das Ehrenamt“ verbessern und auch das Grundrecht auf informationelle Selbstbestimmung der Beteiligten wahren. 

Vergessen Sie nie: Die Daten gehören nicht Ihnen, sondern den jeweiligen Personen. Sie sind als Verantwortlicher Treuhänder der Daten und zum sorgfältigen rechtskonformen Umgang mit den Daten verpflichtet. Andernfalls drohen durch die Digitalisierung zusätzliche Risiken für die Vereine, Verbände und vor allem für alle Aktiven, deren Daten in den Systemen stecken. Achtsamer Umgang damit ist somit auch eine Frage des gegenseitigen Respekts als Mensch.