Sie sind hier: Home » Dokumente » Datenschutz

Datenschutz

»Umgang mit personenbezogenen Daten durch die DTU
Stand: 2011
» Einverständniserklärung zur Aufnahme in die DTU Verwaltungsdatenbank
Stand: 2013

Die DTU-Verwaltungsdatenbank



Die DTU hat vor geraumer Zeit beschlossen eine Datenbank, die sogenannte DTU-Verwaltungsdatenbank, für alle Sportler einzurichten, um "die Verwaltung der Mitglieder für die Vereine und Geschäftsstellen zu vereinfachen und zu vereinheitlichen."
Es handelt sich dabei um ein geschlossenes, im Internet eingerichtetes Portal zur Erfassung und Verwaltung von u.a. personenbezogenen Daten. Nur besondere auf den Datenschutz belehrte Funktionsträger haben Zugriff auf dieses Portal.

Die Vereine wurden über die Landesverbände aufgefordert mit einer Einwilligungs-Erklärung die Zustimmung der einzelnen Vereinsmitglieder (Betroffenen) für die Erhebung, Speicherung und Verarbeitung ihrer personenbezogenen Daten in die DTU-Verwaltungsdatenbank einzuholen und die Eintragung vorzunehmen.

Datenschutzrechtlich ist die Eintragung in diese Datenbank kompliziert und es wurden einige wichtige Aspekte von Seiten der DTU in diesem Zusammenhang nicht kommuniziert oder schlicht ignoriert.

Wichtig für eine rechtlich einwandfreie Eintragung und Nutzung von personenbezogenen Daten der Betroffenen in die DTU-Verwaltungsdatenbank ist grundsätzlich:

- die Freiwilligkeit der Abgabe der Einverständniserklärung (ohne Zwang)

- die Möglichkeit des Widerrufs zu jeder Zeit.


Für die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten sind das Bundesdatenschutzgesetz und die einzelnen Landesdatenschutzgesetze maßgeblich.
Die Speicherung von personenbezogenen Daten ohne die Einwilligung des Betroffenen ist mit empfindlichen Strafen belegt.

Was sind personenbezogene Daten?

Nach §3 Abs. 1 des Bundesdatenschutzgesetzes sind personenbezogenen Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener)." Bei diesen Daten handelt es sich konkret um Name, Geburtsdatum / Alter, Anschrift oder Lichtbilder.
Weiterhin gehören "Familienstand, Einkommens- und Vermögensverhältnisse, Bankverbindungen, Steuer- KfZ- und Versicherungsnummer, Zensuren, Telefon-, Fax- und IP-Nummern, Vorstrafen, momentaner Aufenthalt, ärztliche Diagnosen, genetische Daten und Röntgenbilder zu den personenbezogenen Daten." (Quelle: LDSB MV)

Diese Informationen dürfen ohne eine rechtsgeschäftliche Beziehung zu dem Betroffenen nicht ohne Einwilligung des Betroffenen gespeichert werden. Selbst mit einer rechtlichen Beziehung dürfen nur erforderliche Daten gespeichert werden (§3a BDSG: Datenvermeidung und Datensparsamkeit).

Rechtliches

Mitglieder der DTU können nur die Landesverbände und ggf. andere verwandte Institutionen sein. Da laut Satzung der DTU kein Verein und kein Sportler Mitglied der DTU sein kann, gibt es für eine Datenspeicherung ohne Einwilligung der betroffenen Sportler keine rechtliche Grundlage. Da die DTU und die Landesverbände keine rechtsgeschäftliche Verbindung zu den Mitgliedern der Sportvereine haben, dürfen weder die DTU noch Landesverbände ohne Zustimmung des Betroffenen personenbezogene Daten erheben, speichern und verarbeiten.

Sofern Daten von Mitgliedern der Sportvereine in der DTU-Verwaltungsdatenbank gespeichert werden sollen, muss sich die DTU respektive der Landesverband oder auch der Verein (als Erfüllungsgehilfen der DTU) das freiwillige, schriftliche Einverständnis für die Erhebung, Speicherung und Verarbeitung der persönlichen Daten jedes einzelnen Betroffenen einholen.

Diese Einwilligung ist jederzeit widerrufbar.

Weder die DTU noch die Landesverbände haben hinsichtlich der Erhebung und Speicherung von Daten in der Verwaltungsdatenbank Weisungsbefugnis an die Vereine. Es ist immer eine freiwillige Einzelentscheidung des Betroffenen! Wird die Einwilligung zur Datenspeicherung in der DTU-Datenbank verweigert, so kann und darf es nicht zu Benachteiligungen des Betroffenen kommen.

Die DTU als Betreiber der Datenbank hat auch ein öffentliches Verfahrensverzeichnis zu erstellen aus dem ersichtlich ist, welche Daten gespeichert werden, zu welchem Zweck diese verarbeitet werden und an wen diese ggf. weitergegeben werden.

Zuwiderhandlungen können je nach Fall mit Bußgeldern von 3.000 Euro bis 50.000 Euro oder sogar als Ordnungswidrigkeit bestraft werden. In extremen Fällen kann auch eine Freiheitsstrafe von bis zu 2 Jahren verhängt werden.
Die Verfolgung geschieht auf Antrag.

Nutzung der DTU-Verwaltungsdatenbank

Laut DTU sollen alle Sportler der über die Landesverbände angeschlossenen Vereine in die DTU- Verwaltungsdatenbank aufgenommen werden um "die Verwaltung der Mitglieder für die Vereine und Geschäftsstellen zu vereinfachen und zu vereinheitlichen." Nach einem Bericht der Taekwondo Aktuell, Ausgabe 02, 2011 stellt der DTU-Breitensportreferent Robert Schmeling fest, dass der Anteil der Breitensportler über 90% aller Sportler beträgt.
Es stellt sich die Frage, ob die DTU-Verwaltungsdatenbank für weniger als 10% der Sportler eingerichtet wurde um deren Verwaltung zu vereinfachen.
Neben der Erfassung der Daten stellt sich derzeit auch die Frage, wozu die Daten konkret verwendet werden. Dies ist bisher leider nicht eindeutig definiert.

Bei Ausrichtung von Wettkämpfen durch die Vereine oder die Landesverbände ist die Nutzung der Daten für Wettkampflisten rechtlich nicht abgedeckt. Auch darf die DTU diese Daten an die Veranstalter (also Dritte) nicht einfach weitergeben. Die Erstellung und Veröffentlichung von Ranglisten oder Prüfungslisten etc. ist nicht zulässig.

Einwilligung zur Datenspeicherung

Die DTU hat eine Einwilligungserklärung zur Erhebung, Speicherung und Verarbeitung für die Betroffenen erstellt und diese über die Landesverbände und die Vereine an die Betroffenen geleitet. Eine getätigte Einwilligung ist nur wirksam, wenn sie auf einer freien Entscheidung des Betroffenen beruht (§4a Abs. 3, §13 Abs. 2 BDSG).
Sie ist somit vollkommen unabhängig von der Vereinsmitgliedschaft, eine obligatorische Verknüpfung mit der Aufnahme in einen Verein ist unzulässig! Zudem ist der vorgesehene Zweck der Erhebung, Verarbeitung oder Nutzung, sowie auf die Folgen einer Verweigerung der Einwilligung hinzuweisen (§ 4a BDSG). Wird keine Einwilligung gegeben, so darf der Betroffene davon keinen Nachteil erleiden.

Es wurde vorgeschlagen, die Einwilligung zur Speicherung der personenbezogenen Daten in die DTU-Datenbank als separaten Zusatz oder als Einarbeitung im wortlaut in die Mitgliedsanträge aufzunehmen. Dieser Einwilligungszusatz zusammen mit anderen Erklärungen ist nur zulässig, wenn eine besondere Hervorhebung erfolgt.
Insbesondere bei der Anmeldung von Minderjährigen ist es sehr wahrscheinlich, dass eine solche Einwilligung durch die Erziehungsberechtigten leichtfertig mit unterschrieben wird, weil angenommen werden könnte, dass die Aufnahme in einen Verein gefährdet wäre. Die Tragweite der Unterzeichnung der Einwilligungserklärung können viele in dieser Form nicht erkennen.

Nach oben genannten Kriterien ist die DTU-Einwilligungserklärung - aber auch der Zusatz zum Mitgliedsantrag - aus datenschutzrechtlicher Sicht unvollständig, da die konkreten Zwecke und die nachfolgende Nutzung der Daten fehlen. Auch die Hinweise auf Freiwilligkeit, das Recht auf Auskunft, Widerspruch und Löschung der Daten (zu jederzeit) fehlen. Es wird auch an keiner anderen Stelle auf diese Rechte hingewiesen. Ein Verweis auf ein separates in Internet verfügbares Dokument, welches auch noch jederzeit Änderungen unterliegt, reicht m. E. nicht aus. Die DTU-Einwilligungserklärung ist derzeit als unzureichend anzusehen. Gleiches gilt für den kurzen separaten Absatz bzw. die Einarbeitung im Mitgliedsantrag. Eine überarbeitete Einwilligungserklärung für die TUMV ist in Vorbereitung, jedoch wäre eine einheitliche, vollständige Variante vorzuziehen.

Unzulässige Aufforderung zur Einwilligung

Leider wurde und wird in einigen Landesverbänden öffentlich verkündet, dass eine Kup- oder Danprüfung für einen Betroffenen nur dann durchgeführt werden kann, wenn eine Eintragung in die DTU-Verwaltungsdatenbank vorgenommen wurde. Auch im Landesverband MV wurde diese Aussage getätigt. Eine solche Aussage oder Aufforderung ist rechtlich als Nötigung, wenn nicht sogar als Erpressung zu werten. Von Freiwilligkeit kann hier leider nicht die Rede sein. Einwilligungen, die aus diesem Grund unterschrieben wurden, sind nichtig! Die zugehörigen personenbezogenen Daten sind unverzüglich aus der Datenbank zu entfernen!

Öffentliches Verfahrensverzeichnis

Die DTU hat ein öffentliches Verfahrensverzeichnis vorzuhalten, in dem aufgeführt wird, welche Daten zu welchem Zweck wie verarbeitet werden. Die DTU verweist dabei auf ein auf der Internetseite der DTU vorhandenes Dokument "Datenbank FAQ und Hilfe", welches auch den Dokumentnamen FAQ-Datenbak.pdf hat. Bei dieser Datei handelt es sich keineswegs um ein öffentliches Verfahrensverzeichnis, sondern vielmehr um eine Bedienungsanleitung für die Datenerfassung- und verarbeitung des im Internet liegenden Zugangsportals.

Dieses Dokument unterliegt immer redaktionellen Änderungen und enthält im ersten Kapitel den Satz:
"Derzeit verfügt die Datenbank über Grundfunktionen, die im Laufe der nächsten Jahre ausgebaut und erweitert werden, um mehr Aufgaben aus der täglichen Arbeit zu erleichtern."

Dies bedeutet, dass sich Umfang, Verfahren und Funktionalitäten der Datenbank verändern können, was ggf. zukünftig nicht mehr mit der freiwilligen Einwilligungserklärung des Betroffenen in Übereinstimmung zu bringen ist. Bei signifikanten Änderungen ist eine erneute Einwilligung beim Betroffenen einzuholen.
Eine Trennung von Bedienungsanleitung und Aufgaben der Datenbank (Verfahrensverzeichnis) ist aus datenschutzrechtlicher Sicht dringend geboten. Auch einen Hinweis auf die Version/ Fassung des öffentlichen Verfahrensverzeichnisses in die Einwilligungserklärung ist dringend anzuraten.

Datenerfassung

Grundsätzlich ist klar, wer auf welche Daten Zugriff haben kann. Dazu wurden Funktionen und Funktionsträger definiert, die bestimmte Zugriffsrechte und Sichten auf die Inhalte der Datenbank haben. Diese Rechte reichen je nach Funktion vom alleinigen Leserecht über das Änderungsrecht funktionsspezifischer oder aller Daten bis zum vollständigen Schreib-Leserecht aller Daten.
Bisher ist jedoch unklar, wer welche Daten wie verwenden darf und ob und wann eine Datenweitergabe (falls sie denn überhaupt zulässig ist) erfolgen darf. Wie wird mit Daten bei der Meldung zu einem Event (Prüfung, Turnier, o.Ä.) verfahren? Wer darf die Daten nutzen? Wie erfolgt die Übergabe? Hier gibt es noch erheblichen Klärungsbedarf.

Hinweis: Leider fand sich im Internet wenigstens eine Prüfungsliste mit Namen und Geburtsdatum, was eindeutig als Verstoß gegen das Datenschutzgesetz zu werten ist. Es ist also von den Verantwortlichen darauf zu achten, dass derartige Listen nicht im Internet veröffentlicht werden!

Löschung von Daten

Eine Löschung von Daten in der Datenbank ist bisher nicht vorgesehen.

Daten, die aus der Datenbank genommen werden sollen, werden bisher nur durch ein Kennzeichen zur Löschung markiert. Diese Daten sind dann eingeschränkt recherchierbar und können z.B. bei einem Austritt aus einem Verein und einem Wiedereintritt in einen anderen Verein wieder reaktiviert werden.

Eine physische Datenlöschung ist nach dem derzeitigen Kenntnisstand bisher nicht vorgesehen. Einem Widerspruch zur Datenspeicherung und die damit erforderliche Löschung kann somit nicht ohne weiteres und zeitnah durchgeführt werden. Die erfassenden Vereine haben keine Möglichkeit Widerrufe rechtskonform durchzuführen. Bisher ist auch nicht klar, wie die Daten eines Betroffenen nach dessen Ableben behandelt werden.

Datensicherheit

Die Forderungen nach der Anlage zu § 9 des BDSG über Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und weiteren Kontrollen wird zwar intern weitgehend den Betroffenen zugesichert, jedoch einen Beleg gegenüber den Datenschutzbeauftragten gibt es dafür bislang nicht. Da die DTU-Verwaltungsdatenbank über das Internet jederzeit verfügbar ist, ist hier mit Unzulänglichkeiten und möglichen Datenlecks zu rechnen.

Anonymisierung

Um den Datenschutzgesetzen genüge zu tun und dennoch die erforderlichen Daten für statistische Auswertungen in die DTU-Verwaltungsdatenbank eintragen zu können gibt es nur den Weg der Anonymisierung. Dies ist so auch im BDSG explizit vorgesehen. Dazu könnten statt Name und Geburtsdatum beispielsweise eine Vereinsmitgliedsnummer und nur der Jahrgang des Betroffenen eingetragen werden. Sofern dies nicht in die vorhandenen Felder eingetragen wird, wären dafür die entsprechenden Felder in dem Portal vorzusehen und die Datenbank entsprechend anzupassen.


Änderung und Anpassungen vorbehalten
C. Dieste - Datenschutzbeauftragter TUMV
Datenschutz[at]TUMV.de
Version 20121104



Kontakt

» Impressum
» Links