Verein

Informationspflichten für Vereine nach Art. 13 DSGVO

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.

Seit Februar 2021 steht nun für Vereine ein Generator für „Datenschutzinformationen“ auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.

Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.

Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.

Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.

Weitere Hilfestellungen für Vereine durch den LfDI BW

Bereits in der 2. Auflage ist der Praxisratgeber „Datenschutz im Verein nach der DS-GVO“ (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.

Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.

Wenn alle Stricke reißen

Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.

Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

Datenschutz-Anpassungsgesetz 2019 und die Folgen

Die Unionsparteien lassen sich feiern bzw. feiern sich selbst. Von einem Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.

Hintergrund ist die Anhebung der Mitarbeitergrenze, ab der für Unternehmen und Vereine die Bestellpflicht für einen Datenschutzbeauftragten vorliegt. War hier bisher die Grenze von mindestens 10 (mit der Verarbeitung personenbezogener Daten befassten) Mitarbeitern gezogen, soll zukünftig – die Zustimmung im Bundesrat vorausgesetzt – erst ab 20 Mitarbeitern eine Bestellpflicht für einen Datenschutzbeauftragten vorliegen. Die Verantwortlichen versprechen den betroffenen Unternehmen und Vereinen eine spürbare bürokratische Entlastung im Datenschutz. Ist dem so?

Wegfall des Datenschutzbeauftragten bedeutet weniger Datenschutz-Bürokratie?

Ein klares NEIN. Und das ist auch ganz ohne juristische Kenntnisse ganz leicht zu beantworten. Die DSGVO schreibt (wie übrigens auch das vorherige Datenschutzrecht) die Bestellpflicht eines Datenschutzbeauftragten unter gewissen Voraussetzungen vor. Ebenso beinhaltet das Bundesdatenschutzgesetz in neuer Fassung 2018 die Bestellpflicht eines Datenschutzbeauftragten und konkretisiert im Rahmen einer sog. Öffnungklausel weitere Voraussetzungen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Diese Grenze von mindestens 10 Personen für die Bestellpflicht eines internen oder externen Datenschutzbeauftragten soll nun mit den aktuellen Anpassungen, denen der Bundesrat noch zustimmen muss (was sehr wahrscheinlich ist), auf 20 Personen angehoben werden. Weder in den bisherigen Begründungen und Erläuterungen zu diesem Gesetzesentwurf noch in den zahlreichen Presseartikeln der Unionsparteien, den Befürwortern dieser Änderung oder Wirtschaftsverbänden ist jedoch eine nachvollziehbare Erklärung vorhanden, wieso dies nun weniger Bürokratie für die betroffenen Unternehmen und Vereine bedeutet.

Es wird auch sehr schwer sein, eine solche Erklärung zu finden. Denn der Datenschutzbeauftragte sorgt nicht für die Bürokratie im Datenschutz. Das übernehmen die Gesetze und teilweise auch die nicht immer klaren bzw. gelegentlich praxisfernen Auslegungen der Landesdatenschutzbehörden.

„Ja, aber jetzt müssen kleine Unternehmen und Vereine für den Datenschutz nichts mehr tun!“

Auch hier wieder eine klare Aussage: DOCH! Ohne jetzt mal eine Unterscheidung zwischen Behörden, Unternehmen oder Vereinen vorzunehmen: Ein Paragraph von 85 insgesamt im BDSG n.F. wurde angepasst, die sonstigen Anforderungen aus dem BDSG und der DSGVO (99 weitere Artikel) bleiben von der Grenze zur Bestellpflicht eines Datenschutzbeauftragten unberührt. Rechnen wir doch einfach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathematisch keine allzugroße Entlastung bei herauskommen. Denn um es mit aller Deutlichkeit zu sagen, ALLE Anforderungen, die von Unternehmen und Vereinen als bürokratische „Belastung“ empfunden werden, bleiben weiterhin bestehen und müssen entsprechend erfüllt werden (einige Beispiele):

  • Pflicht zum Erstellen und Pflegen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Identifikation, Bewertung und Meldung von Datenpannen an Aufsichtsbehörde und Betroffene nach Art. 33, 34 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Prüfen ausreichender technischer und organisatorischer Maßnahmen von externen Dienstleistern und Vereinbarung zur Auftragsverarbeitung gemäß Art. 28, 32 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Bearbeiten und Sicherstellen von Betroffenenrechten nach Art. 12-23 DSGVO inkl. Zusammenstellen und Zurverfügungstellen der Angaben zu den Informationspflichten? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Sicherheit der eigenen Verarbeitung regelmäßig prüfen und notwendige Anpassungen sicherstellen nach Art. 32 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Risikoabschätzung von Verarbeitungstätigkeiten bis hin zur Datenschutz-Folgenabschätzung nach Art. 32+35 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Regelmäßige Schulung und Sensibilisierung von Mitarbeitern, nicht nur am Tag der Einstellung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Und diese Liste ließe sich noch um viele weitere (durchaus auch mal) „bürokratiebehaftete“ Tätigkeiten fortführen …. CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden

Die von der beschlossenen Anpassung ausgesendete Botschaft ist durchaus als toxisch zu bezeichnen. Der Fehlglaube, mit Wegfall der Bestellpflicht entfielen auch alle anderen datenschutzrechtlichen Anforderungen war auch im alten BDSG vor 2018 weit verbreitet. Aus unserer Erfahrung quälen sich seit der DSGVO gerade die Betriebe und Vereine mit dem Datenschutz am meisten, welche es in den Jahren davor unter dem alten Datenschutzrecht etwas lässig haben angehen lassen. Für diese Versäumnisse und auch die generellen rechtlichen Formalitäten im Datenschutzrecht kann der Datenschutzbeauftragte jedoch nichts. Im Gegenteil: Der Datenschutzbeauftragte wäre der ideale Ansprechpartner mit ausreichend Wissen und Sachverstand, um diese bürokratischen Anforderungen problemlos zu meistern und für eine Datenschutz-Kultur in der Organisation zu sorgen.

Datenschutzverstöße und Bußgelder werden zunehmen

Man muss kein Wahrsager sein, dass sowohl die Zahl der Datenschutzverstöße und die der Bußgelder nun zunehmen wird. Die Landesdatenschutzbehörden haben bereits in 2018, in der Planungsphase für dieses Anpassungsgesetz signalisiert, mit der vorhandenen Personalausstattung keine beratenden, sondern nur noch kontrollierende Tätigkeiten ausüben zu können. Eine Aufstockung ist nach unserem Kenntnisstand in keinem Bundesland geplant. Sorgte bisher der Datenschutzbeauftragte für das notwendige Wissen in kleinen Unternehmen und Vereinen, so geht dieses Wissen nun im Rahmen der vermeintlichen „Entbürokratisierung“ von Bord. Damit stehen üblicherweise Inhaber, Geschäftsführer und Vereinsvorstände in der Pflicht, für die korrekte Umsetzung und den Betrieb des Datenschutzes Sorge zu tragen. Und da reden wir bisher nur von den Formalitäten, siehe Abschnitt zuvor. Ein aktiver Datenschutzbeauftragter ist Berater, Coach, Motivator und Kontrolleur zugleich. Ein aktiver Datenschutzbeauftragter sorgt bei guter Aufgabenerfüllung für einen gelebten Datenschutz in der Organisation. Auch diese Aufgabe obliegt nun anderen Verantwortlichen. Woher kommt der notwendige Zeitanteil dafür, wo doch alle Unternehmen personell auf spitzer Kante fahren? Woher kommt das notwendige Wissen für die korrekte Umsetzung des Datenschutzes? Wird es jetzt 4-stündige Crash-Kurse der einschlägigen Anbieter geben „DSGVO ohne Bürokratie und Aufwand für Geschäftsführer und Vereinsvorstände“, selbstverständlich mit buntem Zertifikat auf Hochglanz? Gute Kurse zum Einstieg für einen DSB dauern 5 Tage. Und danach hat der DSB immer noch einen langen Weg vor sich, bis er weiß, was und wie es konkret zu tun ist!

Und wenn etwas passiert oder im Falle einer Überprüfung als Mangel festgestellt wird, die Haftung bleibt. Die bisherige Art von „Versicherung“ oder zumindest die Möglichkeit zur Verringerung von Eintrittswahrscheinlichkeiten von Risiken und Mängeln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bundesrat nicht noch zur Vernunft kommt.

Der Bundesdatenschutzbeauftragte Ulrich Kelber twitterte nicht zu Unrecht:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein ☹️

Im Ergebnis haben kleine Unternehmen und Vereine nur wenige Möglichkeiten:

  1. Ignoranz des Themas Datenschutz: Siehe Haftung und Bußgelder
  2. Eigenregie und Prinzip Hoffnung: Inhaber, Geschäftsführer oder Vereinsvorstand eignen sich in ihrer eh schon knappen Zeit das notwendige Know How an, halten dieses aktuell und kümmern sich um die korrekte Umsetzung in der eigenen Organisation. Wie realistisch wird das sein?
  3. Externes Know How zukaufen: Da das notwendige Wissen und die Möglichkeit zur Weiterbildung nicht gegeben sind, wird das Know How extern zugekauft
  4. Internen Mitarbeiter für das Thema Datenschutz ausbilden und Aufgaben übertragen: Kosten für die Aus- und Weiterbildung, notwendige Zeitanteile müssen eingeplant werden

Übrigens sind die Varianten 3 und 4 ganz nah am externen und internen Datenschutzbeauftragten. Und ob Varianten 1 und 2 so geschickt sind, die Erfahrung muss jetzt jeder Verantwortliche für sich selbst machen. Sofern dieser in Betracht zieht, die Aufweichung zur Grenze der Bestellpflicht nach oben für die eigenen Organisation zu nutzen.

Was hätte der Gesetzgeber besser machen können?

Die Sinnhaftigkeit der Anhebung der Grenze für die Bestellpflicht eines Datenschutzbeauftragten kann man durchaus in Zweifel ziehen. Dabei hätte der Gesetzgeber – zumindest in Teilen – durchaus die Möglichkeit gehabt, für Klarheit zu sorgen. Diese wurde jedoch versäumt. So hätte der immer noch schwelende Konflikt mit dem Recht auf freie Meinungsäußerung und dem Recht auf informationelle Selbstbestimmung auch oder gerade im Rahmen journalistischer Tätigkeiten gelöst werden können. Ein paar klärende Paragraphen zu der noch immer herrschenden Unsicherheit beim Anfertigen und Nutzen von Fotografien im Konflikt mit dem KUG hätten durchaus auch Charme gehabt. Ob es zweckdienlich für das Thema Datenschutz ist, das BSI von Teilen der Betroffenenrechte zukünftig auszunehmen und die Rechenschaftspflicht hier einzuschränken, darf durchaus auch in Zweifel gezogen werden. Man hätte sich aber auch um den vom Bundesverfassungsgericht vor kurzem für ungültig erklärten § 4 Abs. 1 BDSG zur Videoüberwachung kümmern können oder zumindest klarstellen können, dass europäisches Recht hier gilt. Da kann man es auch nur noch mit einem leichten Schmunzeln zur Kenntnis nehmen, dass jetzt auch der Digitalfunk der Polizei einer 75-tägigen Vorratsdatenspeicherung unterworfen werden soll. Und das, wo die aktuelle Frist von 70 Tagen zur Zeit ausgesetzt ist und vor dem Bundesverfassungsgericht geklärt wird.

Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.

Übrigens ein Schelm, wer Böses dabei denkt: Der Passus zur Anhebung der Grenze von 10 auf 20 Mitarbeiter wurde erst Montag, den 24.06.2019 – also sehr kurzfristig vor der Verabschiedung am Freitag im Bundestag – (wieder) eingefügt.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht

Irrtümer im Datenschutz

Willkommen zum ersten Teil unserer Serie „Irrtümer im Datenschutz“. Datenschutz ist in aller Munde, doch kaum jemand kennt das dahinterstehende Bundesdatenschutzgesetz (BDSG). Dabei ist das Datenschutzgesetz auf Bundesebene nicht mehr das Jüngste, existiert es doch bereits seit 1977.

Erstaunlicherweise herrscht über das Thema Datenschutz in der Praxis meist ein risikoreiches Halbwissen. Die Existenz oder die Inhalte des BDSG sind selten konkret bekannt, Aufklärung seitens des Gesetzgebers zu diesem Thema erfolgt bedauerlicherweise ebenfalls keine. Unternehmen und Unternehmer sind auf sich alleine gestellt, wenn es um die rechtliche Auseinandersetzung mit dem Thema Datenschutz und dessen konkrete (vorgeschriebenen) Maßnahmen im Betrieb geht. Was Wunder, wenn Datenschutz im Tagesgeschäft einen geringen Stellenwert einnimmt.

Es kann teuer werden

Im Jahr 2009  hat der Gesetzgeber die Strafen und Sanktionen für Nichteinhaltung der gesetzlichen Datenschutzvorschriften durch Unternehmen verschärft. Konkret werden diese in § 43 BDSG Bußgeldvorschriften und § 44 BDSG Strafvorschriften ähnlich dem aus der Straßenverkehrsordnung bekannten Bußgeldkatalog aufgelistet. Neben Auflagen durch die Landesdatenschutzbehörden können Unternehmer und Unternehmen schnell einem Bußgeldrisiko von bis zu 300.000 Euro ausgesetzt sein – und das sogar ganz ohne Datenpanne. Unwissenheit schützt auch hier vor Strafe nicht.

„Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht“

Weit gefehlt, denn in jedem Unternehmen wird für gewöhnlich mit personenbezogene Daten hantiert (der Gesetzgeber spricht von Erheben, Verarbeiten und Nutzen). Sind es nicht die Daten von Kunden und Geschäftspartnern, so existieren doch zumeist noch Mitarbeiterdaten im Unternehmen – und diese gelten rechtlich als „sensitiv“ und damit besonders schützenswert. Doch schauen wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwendungsbereich des Gesetzes macht klar, was das Datenschutzgesetz schützt und wen es betrifft.

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

Betrachten wir die Definition nicht-öffentlicher Stellen:

§ 2 Öffentliche und nicht-öffentliche Stellen

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

Somit ist klar, die Annahme „Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht“ gehört ins Reich der Mythen und Irrtümer! Sollten Sie bisher mit Ihrem Unternehmen (auch als Ein-Mann-Betrieb) nach dieser Fehleinschätzung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Identifikation der Bußgeldrisiken, denen Sie sich und Ihrem Unternehmen ausgesetzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juristischen Untiefen des Bundesdatenschutzgesetzes stürzen und Aktivitäten entwickeln, fragen Sie einfach den Fachmann – a.s.k. Datenschutz. Mittels standardisierter Prüf- und Auditierungsverfahren identifizieren wir gemeinsam mit Ihnen schnell, unbürokratisch und zuverlässig die notwendigen Maßnahmen, die für eine gesetzeskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen sorgen. Selbstverständlich unterstützen wir Sie ebenfalls aktiv bei der internen Umsetzung und betreuen Sie im Anschluß als sog. externer Datenschutzbeauftragter, wenn die Überprüfung das Vorliegen einer Bestellpflicht ergibt.

Vertrauen Sie langjähriger Erfahrung aus der bundesweiten Beratung und Betreuung kleiner und großer Unternehmen aus den unterschiedlichsten Branchen und profitieren Sie von diesem übergreifenden Know-How.

Nutzen Sie einfach unseren Rückruf-Service, wir melden uns garantiert! Oder fordern Sie doch gleich Ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.


Lesen Sie hier die ande­ren Teile der Serie “Irr­tü­mer im Datenschutz”:

 

 

Bildnachweis: aboutpixel.de / Dead End © Nachtschreck

Kein Punktspiel: Datenpanne bei TSG Hoffenheim

Eigentor

Wie die Rhein-Neckar-Zeitung berichtete, erhielten die Abonnenten des vereinseigenen Videoportals interessante Post. Eine Email des Portals mit dem Betreff „Rückruf: achtzehn99 tv App“ enthielt keinen Texthinweis auf den Rückruf. Dafür jedoch die Email-Adressen aller Abonnenten. Darunter nicht nur geschäftliche Kontaktmöglichkeiten z.B. zu Journalisten, sondern auch private Email-Adressen u.a. die des Sinsheimer Oberbürgermeisters oder eines Betriebsrates der nahegelegenen BASF.

Rote Karte

Die rote Karte gibt es nicht nur für die Datenpanne, sondern in Verbindung mit dem fehlenden Krisenmanagement im Anschluss. „Leider ist uns heute ein technischer Fehler unterlaufen“, heißt es in deiner Mitteilung lapidar und man wolle sich „sehr herzlich entschuldigen“. Fehlanzeige, wer auf eine Erklärung der Panne hoffte zusammen mit getroffenen Maßnahmen, um solche zukünftig zu vermeiden. Stattdessen präsentierte der Verein eine neue Software, um sich dann zu verabschieden, als wäre nichts geschehen: „Wir wünschen Ihnen und Euch weiterhin gute Unterhaltung mit dem Angebot von achtzehn99.tv!

Wäre wünschenswert, wenn TSG Hoffenheim beim Umgang mit personenbezogenen Daten in der gleichen Liga spielen würde wie mit dem runden Leder. Versprochen wird dies auf der Vereinswebseite bereits „Die TSG 1899 Hoffenheim Spielbetriebs GmbH nimmt den Schutz persönlicher Daten [….] sehr ernst“ zusammen mit dem Versprechen, dass die Daten „nicht ohne Ihr ausdrückliches Einverständnis an Dritte“ weitergegeben werden.  Im Moment liegt der Ball jedoch weit im eigenen Feld!

Quellen:

  • https://www.datenschutzbeauftragter-info.de/rote-karte-fuer-hoffenheim-datenleck-beim-erstligisten/
  • https://www.stuttgarter-nachrichten.de/inhalt.mailadressen-veroeffentlicht-datenpanne-bei-1899-hoffenheim.0ce07647-f797-48e3-b20c-1b51fd60cfab.html
Hilfreiche Links
  • Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
  • Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
  • Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
  • Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
  • Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.