Sportrecht

Datenschutz-Compliance im Sport

Artikel drucken

01.06.2019 | Autor: Dr. Philipp Wehler
Lesezeit: 5 Minuten

Dr. Philipp Wehler für das Fussball Business Magazin: Ausgabe #16  I  Juni 2019

 

Das Datenschutzrecht macht auch vor dem Sport nicht halt. Datenschutzverstöße können seit 2018 sehr teuer werden, es drohen Bußgelder von 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes - Geld, das besser in neue Spieler oder moderne Sportstätten investiert wäre.

 

In diesen Tagen feiert ein viel beachtetes Gesetzeswerk seinen ersten Geburtstag. Die europäische Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25. Mai 2018 volle Rechtswirkung in allen europäischen Mitgliedsstaaten. Zwar sind nicht alle Regelungen der DSGVO (und des überarbeiteten Bundesdatenschutzgesetzes) für deutsche Rechtsanwender neu, aber das neue Recht
sieht massive Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr vor. Beim umsatzstärksten Profifußballclub Real Madrid mit einem Umsatz von ca. 750 Millionen Euro (gemäß Deloitte Football Money League 2019) könnte ein Datenschutzverstoß somit theoretisch mit einem Bußgeld von 30 Millionen Euro bestraft werden. Grund genug auch für Akteure im Sport, das Thema Datenschutz-Compliance im Blick zu haben.


Eine Umfrage kurz vor Inkrafttreten der DSGVO durch LawInSport ergab, dass 84 Prozent der befragten Akteure aus dem Sportbereich (darunter Vertreter von Sportverbänden, Sportvereinen, Agenturen, Sportligen, Sponsoringunternehmen, Wettanbieter, NGOs) zum damaligen Zeitpunkt mit den Anforderungen der DSGVO nicht hinreichend vertraut waren. 40 Prozent der Befragten war nicht bekannt, dass Verstöße gegen die DSGVO mit Bußgeldern von 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresgruppenumsatzes eines Unternehmens geahndet werden können – und dass hier der jeweils höhere Betrag gilt. Mehr als drei Viertel der Teilnehmer an der Umfrage gaben an, dass ihre jeweilige Organisation keinen Datenschutzbeauftragten hat. In der Zwischenzeit haben sicherlich einige Akteure im Sport nachgelegt und Maßnahmen ergriffen, um zumindest die wesentlichen Anforderungen der DSGVO zu erfüllen. Aber es gibt weiterhin viel zu tun und angesichts der drohenden hohen Bußgelder kann sich kein Unternehmen erlauben, im Bereich Datenschutzrecht die Hände in den Schoß zu legen.


Aber wen treffen die Pflichten nach der DSGVO? Und was ist zu tun? Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Hierfür reicht der Einsatz von PCs bereits aus. Zu den personenbezogenen Daten zählen unter anderem naheliegende Daten wie Name, Adresse, Steuernummer, Religionszugehörigkeit, Familienstand und Telefonnummer, aber auch auf den ersten Blick nicht ohne Weiteres einer Person zuzuordnende Daten wie IP-Adressen. Für die Verarbeitung von personenbezogenen Daten durch Unternehmen, Vereine, Verbände oder sonstige Akteure mit EU-Bezug (d.h. insbesondere bei einem Sitz oder einer Niederlassung in der EU oder dem Anbieten von Waren oder Dienstleistungen in der EU) gilt: Alles, was nicht ausdrücklich gesetzlich erlaubt ist, ist verboten. Daher ist für Akteure im Sport vor jeder Verarbeitung personenbezogener Daten zu prüfen, ob die konkrete Verarbeitung erlaubt ist, zum Beispiel aufgrund einer Einwilligung des Betroffenen oder weil die Verarbeitung zur Durchführung eines Vertrages erforderlich ist. Darüber hinaus müssen die nach der DSGVO Verpflichteten ein sog. Verarbeitungsverzeichnis erstellen und aktuell halten. Viele Akteure im Sport werden auch einen (internen oder externen) Datenschutzbeauftragten benennen und geeignete technische und organisatorische Maßnahmen ergreifen müssen, um personenbezogene Daten zu schützen. Dazu zählen insbesondere Maßnahmen im Bereich IT-Sicherheit. Außerdem sieht die DSGVO eine umfassende Rechenschaftspflicht vor; Verpflichtete müssen ihren Umgang mit personenbezogenen Daten umfassend dokumentieren und gegenüber den Behörden nachweisen können, dass sie sich rechtskonform verhalten. Kurzum: die Bedeutung einer umfassenden Datenschutz-Compliance muss in den Leitungsgremien aller Organisationen, seien es Vereine, Verbände oder Unternehmen, bekannt sein. Ansonsten droht nicht nur eine Haftung der Organisation, sondern auch eine persönliche Haftung der Leitungspersonen für Datenschutzverstöße. Dies kann durch geeignete Maßnahmen vermieden werden.

 

Artikel als pdf - Klick auf das Cover

 

Cover Fussballstadion

 

Zur aktuellen Ausgabe des Fußball Business Magazins

(Werbung aufgrund der Verlinkung)

 

 

Partner
Dr. Philipp Wehler

"Oft empfohlen: Dr. Philipp Wehler („[...]nur gute Erfahrungen gemacht, ausgezeichnete Zusammenarbeit“; „exzellenter Jurist, pragmatischer Berater“, Mandant; „hoch qualifiziert u. engagiert“, Wettbewerber; IP/Compliance)"

Juve Handbuch Wirtschaftskanzleien 2020/2021

 

"Oft empfohlen: Dr. Philipp Wehler („guter Verhandler“, Wettbewerber; „pragmat., exzellenter Service, Top-Fachmann im Wettbewerbsrecht“, Mandant; IP/Compliance)"

JUVE Handbuch Wirtschaftskanzleien 2019/2020

 

Diesen Blogartikel teilen: