In Vereinen werden regelmäßig personenbezogene Daten erhoben und verarbeitet. Bei einem Sportverein können dies auch mal Leistungsdaten wie etwa Laufwege, Passverhalten oder die Laufgeschwindigkeit sein, sodass sich die Frage stellt, welche datenschutzrechtlichen Anforderungen die Datenschutz-Grundverordnung (DSGVO) an deren Verarbeitung stellt.
Der Inhalt im Überblick
Leistungsdaten als Gesundheitsdaten
Bei den Leistungsdaten handelt es sich um Daten, die nur mittelbar Rückschlüsse auf den Gesundheitszustand des Sportlers erlauben. Jedoch ist es damit nicht getan, denn der Teufel steckt auch beim Datenschutz im Detail: Bei der Beurteilung, ob Daten zu sog. „sensiblen Daten“ im Sinne des Art. 9 DSGVO zu zählen sind, ist auf den Verwendungszusammenhang im Einzelfall abzustellen. Eine besondere Schutzbedürftigkeit kann sich auch erst durch die Verwendung durch bestimmte Personen oder Stellen zu bestimmten Zwecken ergeben.
Bei der Sammlung von Leistungsdaten im Sportbereich dürfte sich regelmäßig die Möglichkeit eröffnen, aufgrund der erhobenen Daten Rückschlüsse über die physische und psychische Verfassung der Spieler zu ziehen. In der Literatur wird daher angenommen, dass körperliche Leistungsdaten unter den weit zu verstehenden Begriff des Gesundheitsdatums i.S.d. Art. 9 Abs. 1 DSGVO fallen.
Strenge Vorgaben an die Verarbeitung von Gesundheitsdaten
Die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten bemisst sich nicht nach Art. 6 DSGVO und kann daher auch nicht auf ein berechtigtes Interesse gestützt werden (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Vielmehr bemisst sich diese nach dem deutlich strengeren Art. 9 DSGVO. Dieser Umstand ist dem risikobasierten Ansatz der DSGVO geschuldet, da die Verarbeitung von Gesundheitsdaten ein deutlich höheres Risiko für den Betroffenen begründen kann.
Im Grundsatz ist nach Art. 9 DSGVO die Verarbeitung von „sensiblen Daten“, wie sie in Art. 9 Abs. 1 DSGVO abschließend aufgelistet werden, verboten. In Abs. 2 werden jedoch einige Ausnahmen von diesem Verbot gemacht.
Einwilligung
Die wichtigste Ausnahme ist zweifellos Art. 9 Abs. 2 lit. a DSGVO: Hiernach ist die Verarbeitung rechtmäßig, soweit eine ausdrückliche Einwilligung zur Datenverarbeitung vorliegt. Hier gelten die folgenden Grundsätze zur Erteilung einer Einwilligung: Diese muss
- freiwillig sein (Art. 4 Nr. 11 DSGVO),
- informiert erfolgen (Art. 4 Nr. 11 DSGVO),
- auf einen bestimmten Zweck bezogen sein (Art. 6 Abs. 1 lit. a DSGVO),
- auf eine bestimmte Verarbeitung bezogen sein (Art. 4 Nr. 11 DSGVO),
- unmissverständlich sein (Art. 4 Nr. 11 DSGVO),
- einen Hinweis auf das Widerrufsrecht enthalten (Art. 7 Abs. 3 DSGVO),
- ausdrücklich erfolgen (Eine Besonderheit bei Gesundheitsdaten gem. Art. 9 DSGVO).
Eine konkludente Einwilligung ist hier nicht möglich.
Medizinische Diagnostik
Eine weitere gesetzliche Möglichkeit für die Verarbeitung sensibler Daten kann sich eventuell aus Art. 9 Abs. 2 lit. h DSGVO ergeben. Dieser wurde im deutschen Recht durch § 22 Abs. 1 Nr. 1 lit. b BDSG umgesetzt, der fast wortgleiche Bestimmungen enthält. Hiernach kann eine Verarbeitung sensibler Daten erlaubt sein, soweit sie
„zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden“
- Unter Gesundheitsvorsorge versteht man die präventive Verhinderung des Entstehens einer Gesundheitsbeeinträchtigung.
- Unter medizinischer Diagnostik ist die Feststellung oder Bestimmung einer körperlichen oder psychischen Krankheit, zumeist durch einen Arzt, zu verstehen.
- Behandlung im Gesundheitsbereich bezieht sich auf die individuelle medizinische Betreuung von Kranken.
Soweit es daher um die reine Messung von Leistungsdaten im Sportverein geht, dürfte § 22 Abs. 1 Nr. 1 lit. b BDSG regelmäßig nicht einschlägig sein. Anders kann der Fall zu beurteilen sein, wenn die Leistungserfassung im Rahmen der Gesundheitsförderung und Leistungssteigerung an die Abteilung der medizinischen Diagnostik des Vereins, sowie zur Behandlung durch einen Vereinsarzt oder Physiotherapeuten erhoben und verwendet werden.
Darüber hinaus umfasst § 22 Abs. 1 Nr. 1 lit. b BDSG auch den Bereich der Arbeitsmedizin. Der Bereich der Arbeitsmedizin ist geprägt von einem „Dreiecksverhältnis“ zwischen Arbeitgeber, Beschäftigten und medizinischem Personal. Hierunter dürften etwa Leistungsmessungen von Berufssportlern im Verein fassen, solange die Daten in einem medizinischen Kontext erhoben werden.
Der Anwendungsbereich des Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs.1 Nr.1 lit. b BDSG ist zusätzlich dadurch eingeschränkt, dass die Daten nur von Fachpersonal oder unter dessen Verantwortung verarbeitet werden dürfen und dieses Fachpersonal dem Berufsgeheimnis unterliegen muss. Hierunter sind auch Erfüllungsgehilfen der genannten Gesundheits- und Heilberufe erfasst. Der Sporttrainer, der die Laufzeiten stoppt und aufzeichnet, dürfte jedoch erkennbar nicht hierunter fallen.
Statistische Zwecke
Eine Verarbeitung für „statistische Zwecke“ gem. Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 BDSG dürfte unter Zugrundelegung von Erwägungsgrund 162 der DSGVO von vornherein nicht in Betracht kommen, da nach dem Willen des Verordnungsgebers eine Verarbeitung im Zusammenhang mit statistischen Zwecken voraussetzt,
„dass die Ergebnisse der Verarbeitung zu statistischen Zwecken keine personenbezogenen Daten, sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen verwendet werden.“
Im Sportverein dürften die Daten jedoch immer personenbezogen bleiben und eventuell auch für Entscheidungen gegenüber einzelnen Mitgliedern verwendet werden (z.B. wenn ein bestimmter Sportler aufgrund seiner schlechten Leistungsdaten im Training nicht aufgestellt wird).
Anforderungen der DSGVO an den Sportverein
Im Ergebnis lässt sich festhalten, dass die Erhebung und Verarbeitung von Leistungsdaten durch den Sportverein, regelmäßig nur aufgrund einer ausdrücklichen Einwilligung des Sportlers datenschutzrechtlich zulässig sein dürfte.
Dabei ist zu beachten, dass soweit diese Verarbeitung von Leistungsdaten umfangreich erfolgt, gem. Art. 35 Abs. 3 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch ist in diesen Fällen gem. Art. 35 Abs. 1 lit. c DSGVO und § 38 Abs. 1 S. 2 BDSG ein Datenschutzbeauftragter zu benennen.
Neben dieser Besonderheit bei der Erhebung und Verarbeitung von Leistungsdaten im Sportverein müssen bei allen weiteren Tätigkeiten die Vorgaben der Datenschutz-Grundverordnung beachtet werden. Hilfestellungen dazu finden Sie in unserem Beitrag DSGVO-Hilfe für Vereine: Checklisten, Praxisratgeber und 10-Punkte-Plan oder im FAQ des LfDI BaWü.
Schon Mal bei der TSG Hoffenheim gewesen? Die Leistungsdaten der Fußballer ist quasi öffentliche Daten. Da wird nicht mit Einwilligungen gearbeitet.
Und welche Schlussfolgerung möchten Sie uns mit dieser Tatsachenbeschreibung mitteilen?
Verbreitung von Beratertheorie ohne in das echte Leben zu kennen. ;-)
Wobei einiges auch ganz gut von euch ist.
Die Tatsache, dass der TSG Hoffenheim diese Daten veröffentlicht ist doch weder ein Beweis noch ein Kriterium dafür, dass oder ob ein solches Vorgehen rechtskonform ist. Wenn der Manager des TSG Hoffenheim bei Rot über die Ampel fährt, wird das dadurch auch nicht zulässig. Es ist gut möglich, dass der TSG Hoffenheim schlicht gegen geltendes Datenschutzrecht verstößt. Ob das der Fall ist, kann ich nicht beurteilen, da mir der konkrete Sachverhalt unbekannt ist.
Strengen Sie sich hält man an:
Spieldaten: Großzügiges Verständnis von Art. 9 Abs. 2 lit. e DSGVO.
Trainingsdaten: Art. 9 Abs 2 lit. h DSGVO.
Erhebt nach dieser Logik dann auch ein Sportlehrer Gesundheitsdaten von Kindern, wenn er die Zeit beim 100m Lauf stoppt? Und geht dies dann nur mit Einwilligung?
Gemäß Art. 2 Abs.1 DSGVO gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Soweit ein Sportlehrer lediglich die Uhrzeit mitstoppt, sollte man sich noch nicht im Anwendungsbereich der DSGVO befinden.
Soso, die Spieler haben also ihre eigenen Daten freiwillig öffentlich gemacht? Da müssen Sie den Art. 9 Abs. 2 lit. h DSGVO schon äußerst kreativ auslegen, um fremdes Handeln mit dem Handeln der Spieler gleichzusetzen. ;-)
Die interne Verarbeitung von Leistungsdaten z.B. für die Beurteilung der Leistungsfähigkeit der Spieler innerhalb des Vereins stand nie zur Debatte und hat auch niemand angezweifelt.
Hallo,
passt nicht wirklich hierher – aber schön wäre eine DSGVO Einschätzung bezgl. des neu eingeführten, verpflichtenden digitalen Spielerpasses (Foto) bei diversen Fußballverbänden.