300.000 Euro - das ist die Höhe des Bußgeldes, welches der VfB Stuttgart wegen "fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht" zahlen muss. Zuvor war auch über Strafen im zweistelligen Millionenbereich spekuliert worden. Der Datenschutzbeauftragte des Landes Baden-Württemberg erklärt, wie es zu dem Strafmaß kam.

SWR: Herr Brink, worin genau besteht das Unrecht, das vom VfB Stuttgart begangen wurde?

Dr. Stefan Brink: "Der VfB hat Mitgliederdaten an Dritte weitergeleitet und war später nicht mehr in der Lage, das nachzuweisen oder zu dokumentieren. Das ist ein Fehler in der Rechenschaftsverpflichtung, die nach der Datenschutzgrundverordnung jeder Verantwortliche erbringen muss. Dieser Fehler alleine ist ein Bußgeldtatbestand und wurde dementsprechend auch geahndet."

Wie kooperativ haben der Verein, Herr Hitzlsperger und Herr Vogt die Aufklärung betrieben?

"Der VfB war durchaus kooperativ. Er hat nicht nur eigene Anstrengungen unternommen, die problematischen Datenflüsse in der Vergangenheit aufzuklären, sondern er hat diese Ergebnisse auch mit uns geteilt. Und das hat unsere Ermittlungen wesentlich erleichtert."

300.000 Euro beträgt die Strafe. Vorher waren viel höhere Summen im Gespräch, Millionenbeträge im zweistelligen Bereich wurden dort verschiedentlich aufgerufen. Wie kam es zu der vergleichsweise milden Strafe?

"Nach der Datenschutzgrundverordnung können für Datenschutzverstöße sehr hohe Bußgelder verhängt werden. Sie müssen allerdings im Einzelfall jeweils angemessen sein. Bei der Bemessung des Bußgeldes in Bezug auf den VfB war insbesondere zu berücksichtigen, dass sie sich sehr kooperativ verhalten haben und dass sie tatsächlich auch Anstrengungen dafür unternommen haben, dass ähnliche Fehler zukünftig nicht mehr passieren. Beides war zu berücksichtigen. Und deswegen fiel die Strafe vergleichsweise milde aus."

Hat der VfB zusätzliche Auflagen zum Bußgeld von 300.000 Euro bekommen?

"Ja, der VfB muss nicht nur ein Bußgeld zahlen, sondern er muss auch dafür Sorge tragen, dass er zukünftig besser organisiert ist im Bereich des Datenschutzes. Er muss externe Hilfe in Anspruch nehmen, er muss ein eigenes Datenschutzmanagement-System aufsetzen. Und er wird darüber hinaus im Kinder- und Jugendbereich auch dafür sorgen, dass stärker sensibilisiert wird für Datenschutzfragen. Auch das ist alles bei der Bußgeldbemessung zu berücksichtigen."

Stellt ein Bußgeld von 300.000 Euro ein ausreichend großes Abschreckungspotenzial dar für Vereine und andere, die den Datenschutz missachten?

"Absolut. Auch in dieser Höhe ist ein Bußgeld nicht nur für sich allein zu betrachten, sondern es sind die Folgen für den Verein zu sehen. Und da wird man sehen müssen, dass das Bußgeld an sich nur einen Teil der Strafe darstellt. Wir haben darüber hinaus einen ganz offensichtlichen Schaden für das öffentliche Ansehen, der immer verbunden ist mit entsprechenden Bußgeldverfahren. Da wird öffentlich diskutiert, dass Fehler gemacht wurden. Und darüber hinaus muss man auch berücksichtigen, welche Maßnahmen zukünftig getroffen werden. Auch das ist tatsächlich nicht günstig. Insgesamt gesehen hat dieses Paket, das da geschnürt wurde, eine ganz erhebliche Abschreckungswirkung."

Was ist mit den ganzen Mitgliederdaten passiert?

"Die Mitgliederdaten waren ursprünglich vom Verein über die AG an Dritte geflossen. Wir haben sichergestellt, dass diese Daten nicht mehr bei der AG vorliegen, sie sind gelöscht. Und noch wichtiger: Wir haben dafür Sorge getragen, dass zukünftig durch ein ordentliches Datenschutzmanagement vergleichbare Fehler auch nicht mehr vorkommen."