Datenschutz: Missachtung der Rechenschaftspflicht kostet 300.000 Euro
Die Verantwortlichen des schwäbischen Traditionsvereins mit inzwischen über 70.000 Mitgliedern haben sich bei deren Betreuung und Einladung zu Mitgliederversammlungen externer Unterstützung bedient. Auf einer dieser Mitgliederversammlungen sollte die Ausgliederung der AG auf den Weg gebracht werden. Wichtige und für einen Verein mit Geschichte wie den VfB hochemotionale Entscheidungen standen an. Gerade in solchen Zeiten sollte auf alle Regeln und Vorgaben geachtet werden. Leider nicht so beim VfB Stuttgart. Der vom VfB engagierte Dienstleister erhielt die Mitgliederdaten, um diese für Einladungen und Anschreiben zu nutzen. Spätestens hier hätten bei den Verantwortlichen alle Warnsignale aufleuchten müssen, denn Datenweitergabe zur Verarbeitung dieser Daten geht nicht ohne Auftragsverarbeitungsvertrag (gemäß Art. 28 DSGVO).
Ein Blick in die rechtlichen Grundlagen bringt Klarheit: Die Datenschutz-Grundverordnung (DSGVO) fordert an verschiedenen Stellen eine Bewertung der Risiken durch eine Datenverarbeitung. Dies ist im Zusammenhang der Einführung neuer Systeme und auch bei der Gestaltung der technischen und organisatorischen Maßnahmen erforderlich. Die Revision und Risikobewertung ist aufgrund der in der DSGVO verankerten Rechenschaftspflicht auch zu dokumentieren. Auch das unterließen die Stuttgarter Verantwortlichen. Zu einer solchen Dokumentation gehört auch der Aufbau eines Datenschutz-Managementsystems.
Die Vereinsakteure schlossen keinen Vertrag und verstießen damit auf fahrlässige Art und Weise gegen ihre Rechenschaftspflicht sowie datenschutzrechtliche Dokumentationspflichten. „Die Botschaft dieser Datenaffäre lautet: Die Rechenschaftspflicht ist wichtig. Sie wird von den Datenschutzbehörden durchgesetzt und bei Zuwiderhandlung mit Geldstrafen sanktioniert“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein. Unternehmen, Vereine und Institutionen sollten sich bei einer Weitergabe von Daten zur Verarbeitung deshalb stets über ihre Rechenschafts- und Dokumentationspflicht im Rahmen des Datenschutzes bewusst sein. „Wie teuer – finanziell und imageschädigend – solche Eigentore werden, sieht man am Bundesligisten aus dem Südwesten“, kommentiert Dr. Jörn Voßbein den Fall von Rechenschaftsverletzung.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de