Die VfB Stuttgart 1893 AG hat den Abschluss des Bußgeldverfahrens durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) akzeptiert. Damit ist die Aufklärung der entsprechenden Vorkommnisse formal abgeschlossen. Dem VfB Stuttgart ist bewusst, dass die Datenaffäre über das rechtliche Fehlverhalten hinausgeht, das juristisch beurteilt und behördlich sanktioniert wurde. Sie hat vor allem einen Vertrauensschaden gegenüber Mitgliedern und Fans verursacht.
Dafür bitten wir aufrichtig um Entschuldigung.
Über die Notwendigkeit, die Vorwürfe aufzuklären, die auf Grundlage einer dem VfB unbekannten Quelle am 28. September 2020 im Magazin „kicker“ erhoben wurden, bestand kein Zweifel. Um dies zu gewährleisten, wurden Untersuchungen von externen Experten durchgeführt. Die Ermittlungen des Landesdatenschutzbeauftragten wurden in allen Verfahrensschritten aktiv und kooperativ unterstützt. Zur Bewertung der dabei festgestellten Sachverhalte wurden Rechtsgutachten eingeholt. VfB Präsident Claus Vogt und der Vorstandsvorsitzende des VfB, Thomas Hitzlsperger, haben sich dazu bei einem digitalen Pressegespräch geäußert.
Aktuell befindet sich der VfB in laufenden juristischen Auseinandersetzungen, die in Verbindung mit den aufgearbeiteten Vorgängen stehen. Wir bitten daher um Verständnis dafür, dass eine Veröffentlichung der während der Untersuchungen erstellten Berichte und Gutachten nicht möglich ist. Das öffentliche Interesse an der Veröffentlichung war und ist uns klar. Zugleich sind zwingend gesetzliche Vorgaben zu beachten. Diese Vorgaben stehen einer Offenlegung entgegen. Denn die Berichte enthalten eine Vielzahl personenbezogener Angaben. Auch in pseudonymisierter Form wären sie auf Personen beziehbar. Selbst eine teilweise Veröffentlichung wäre deshalb juristisch angreifbar und könnte zu gerichtlichen Auseinandersetzungen führen. Der Aufsichtsrat der VfB Stuttgart 1893 AG hat vor diesem juristischen Hintergrund und nach Abwägung aller Umstände einstimmig einen entsprechenden Beschluss gefasst. Auch im Zuge einer solchen Aufklärung muss allen arbeits-, persönlichkeits- und datenschutzrechtlichen Gesetzen sowie vertraglichen Regelungen Genüge getan werden. Der VfB darf keinen Datenschutzverstoß aufklären und im Zuge dessen neue Rechtsverstöße begehen.
Darüber hinaus ist beispielsweise der Bericht der Esecon GmbH zu Vorgängen in der AG durch die Ermittlungsergebnisse des Landesdatenschutzbeauftragten in Teilen überholt.
Zugleich besteht ein berechtigtes Interesse aller VfB Mitglieder, umfassend informiert zu werden. Im Folgenden macht der VfB daher im rechtlich möglichen Rahmen transparent, was im Zuge der Aufarbeitung über die Vorgänge ermittelt werden konnte und welche Konsequenzen der VfB daraus gezogen hat.
Was genau wurde untersucht und aufgeklärt?
Der VfB Stuttgart 1893 e.V. sowie die VfB Stuttgart 1893 AG ließen die im „kicker“ dargestellten Vorwürfe zu Datenschutzverstößen von internen und externen, neutralen Untersuchungen aufarbeiten. Die Ergebnisse wurden rechtlich bewertet. Parallel kooperierte der VfB Stuttgart mit dem Landesdatenschutzbeauftragten, der ein Auskunftsverfahren gegen die VfB AG und den VfB e.V. einleitete. Es wurde im Februar 2021 in ein Bußgeldverfahren gegen die VfB AG übergeleitet.
Die Ermittlungen des LfDI wurden vom VfB aktiv und vorbehaltlos unterstützt, wie der Landesdatenschutzbeauftragte Dr. Stefan Brink, bescheinigt: „Ungewöhnlich war auch der Umfang des durch die Einschaltung der Esecon belegten Aufklärungsinteresses und der Kooperationsbereitschaft des VfB mit unserer Behörde“.
Wie ging der VfB Stuttgart bei der Aufklärung vor?
Mit dem Bekanntwerden der Vorwürfe formierte VfB Präsident Claus Vogt eine gremienübergreifende Koordinierungsgruppe unter seiner Leitung, in der Thomas Hitzlsperger (Vorstandsvorsitzender VfB Stuttgart 1893 AG), Rainer Adrion (Mitglied des Aufsichtsrats VfB AG) und Dr. Marc Nicolai Schlecht (Mitglied des Vereinsbeirats 1893 e.V.) vertreten waren. Diese interne Gruppe sollte prozessbegleitend wirken. Parallel mandatierte das Vereinspräsidium das Unternehmen Esecon Legal Services für die Aufklärungsarbeit beim VfB Stuttgart 1893 e.V., die sich schwerpunktmäßig auf die Vorwürfe aus den Jahren 2016 und 2017 bezog. Die VfB Stuttgart 1893 AG beauftragte auf Empfehlung des Aufsichtsrats das Unternehmen Esecon GmbH, um den im Raum stehenden Vorwurf aus dem Jahr 2018 aufklären zu lassen.
Mit Vorliegen der Abschlussberichte der Esecon GmbH und von Esecon Legal Services veranlassten die jeweils zuständigen VfB Gremien deren rechtliche Bewertungen. Der Aufsichtsrat mandatierte zur Erstellung von Rechtsgutachten die Kanzlei Gleiss-Lutz, der AG-Vorstand die Kanzlei Osborne Clarke. Das Präsidium beauftragte die Kanzlei Seitz mit der Ausarbeitung einer Stellungnahme.
Wer wurde für die Aufklärungsarbeit befragt?
Insgesamt führten die Unternehmen Esecon GmbH und Esecon Legal Services sogenannte Zeitzeugengespräche mit VfB Mitarbeitern, Gremienvertretern sowie ehemaligen Gremienvertretern und ehemaligen Mitarbeitern. Die für die rechtliche Bewertung des Abschlussberichtes der Esecon GmbH mandatierte Rechtsanwaltskanzlei Osborne Clarke unternahm darüber hinaus noch schriftliche Befragungen. Losgelöst davon befragte auch der Landesdatenschutzbeauftragte während des Bußgeldverfahrens eine Reihe von Personen. Um wen es sich dabei handelte, ist dem VfB Stuttgart nicht mitgeteilt worden.
Für was wurde die VfB Stuttgart AG konkret durch den Datenschutzbeauftragten des Landes Baden-Württemberg sanktioniert?
Der Landesdatenschutzbeauftragte kam zu dem Ergebnis, dass die unzureichende Dokumentation der vertraglichen Beziehungen zu einem externen Dienstleister sowie fehlende klare Regelungen zu dessen Befugnissen einen Verstoß gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO darstellen. Wegen der fehlenden vertraglichen Grundlage für die Zusammenarbeit mit dem externen Dienstleister konnte die VfB AG nicht dokumentieren, von wem konkret der Dienstleister ursprünglich beauftragt worden war, welche konkreten Befugnisse er im Unternehmen der VfB AG hatte und in welchem Umfang er Zugriff auf personenbezogenen Daten erhalten hat. Dass der externe Dienstleister auch nach dem Wirksamwerden der DSGVO tatsächlich Zugriff auf personenbezogene Daten erhalten haben dürfte, legt eine E-Mail eines ehemaligen VfB Mitarbeiters vom 31.10.2018 nahe, die der Dienstleister erhielt und die eine Excel-Tabelle mit mehr als 100.000 Sätzen personenbezogener Daten enthielt.
Welche Vorgänge wurden vom Landesdatenschutzbeauftragten nicht sanktioniert?
Der Landesdatenschutzbeauftragte hat die vom „kicker“ beschriebenen Sachverhalte aus den Jahren 2016 und 2017, in denen VfB Mitarbeiter in drei Fällen Datensätze mit personenbezogenen Daten von Fans und Mitgliedern an einen externen Dienstleister geschickt hatten, wegen Verjährungsvorschriften nicht weiter untersucht. Diese Vorgänge aus der Zeit vor der Ausgliederung waren daher nicht Gegenstand des gegen den VfB Stuttgart geführten Bußgeldverfahrens. Sie geschahen zudem vor Inkrafttreten der DSGVO. Die festgestellten Datenschutzverstöße organisatorischer und technischer Art hat der Landesdatenschutzbeauftragte in Anbetracht des verhängten Bußgelds vorläufig eingestellt.
Warum wurden überhaupt Daten von VfB Fans und Mitgliedern an einen externen Dienstleister weitergegeben?
Spätestens seit dem Frühjahr 2016 wurde von der damaligen Vereinsführung des VfB Stuttgart 1893 e.V. die Ausgliederung der Profifußballabteilung in eine Aktiengesellschaft verfolgt. Das Vorhaben wurde dann zurückgestellt und erst im Frühjahr 2017 mit einer Kampagne zur Mitgliedermobilisierung im Sommer 2017 erneut verfolgt. In diesem Zeitraum herrschte bei Führungskräften des VfB Stuttgart offensichtlich die Annahme, dass die bisherige Online-Kommunikation des VfB unzureichend sei, um zu verschiedenen Themen auch kritisch eingestellte Fans und Mitglieder zu erreichen. Der VfB Stuttgart ließ sich daher von einem externen Dienstleister beraten, der unter anderem auch zu diesem Thema gezielt an verschiedene Zielgruppen kommunizieren sollte, unter anderem über Facebook. Dabei wurden gravierende Fehler im Umgang mit Mitgliederdaten begangen. Auf Basis der Untersuchungsergebnisse gehen wir davon aus, dass von VfB Mitarbeitern in drei Fällen jeweils bis zu 40.000 E-Mail-Adressen und personenbezogene Daten von Fans und Mitgliedern an den externen Dienstleister weitergegeben wurden – am 7. März 2016, 9. Februar 2017 und 20. Februar 2017. Eine schriftliche Vertragsgrundlage hierfür konnte der VfB e.V. für diese Datenverarbeitungsvorgänge wegen unzureichender Protokollierung und Dokumentation nicht ermitteln. Daher waren die Datentransfers rechtswidrig.
Die Umsetzung dieser Maßnahmen geschah offenbar, obwohl es laut Aussagen von im Zuge der Aufarbeitung befragten Zeugen im Verein erhebliche Vorbehalte gegen das Vorgehen gegeben haben soll, die auch geäußert wurden. Insofern bittet der VfB auch diese Mitarbeiter ausdrücklich dafür um Entschuldigung, dass ihre berechtigten Einwände übergangen wurden.
Warum wurden im Oktober 2018 erneut Datensätze von Mitgliedern und Fans an einen externen Dienstleister weitergeleitet und was wurde mit diesen Datensätzen gemacht?
Nach den uns vorliegenden rechtlichen Bewertungen bestehen nach den internen Ermittlungen und den Ermittlungen des LfDI hinreichende Anhaltspunkte dafür, dass ein VfB-Mitarbeiter am 31. Oktober 2018 eine E-Mail nebst angehängter Datei mit der Bezeichnung „VfB Forum“ an einen externen Dienstleister gesandt hat. Die entsprechende E-Mail war im VfB-Mailsystem nicht mehr auffindbar. Das war wiederum Anknüpfungspunkt für die datenschutzrechtliche Sanktion durch den Landesdatenschutzbeauftragten. Dem LfDI selbst lag aber eine Kopie der E-Mail vor, die er auszugsweise dem VfB zur Kenntnis gegeben hat.
Es konnte kein datenschutzkonformer Zweck für die Weitergabe der in der Datei „VfB Forum“ enthaltenen, ca. 100.000 Datensätze ausgemacht werden. Der einzig valide Hinweis ergab sich aus dem Wortlaut der Begleitmail, wonach die Daten dem Empfänger zur „Säuberung“ bereitgestellt worden seien. Die befragten Personen haben hierzu aber keine konkreten Angaben gemacht. Auch die Ermittlungen von Esecon konnten hier zu keiner weiteren Aufklärung beitragen. Der Zweck der Datenübermittlung bleibt daher auch nach den Untersuchungen unklar. Dem VfB ist nicht bekannt, dass in Folge oder auf Grundlage dieser erneuten Datenweitergabe irgendwelche Maßnahme oder Kampagnen des Clubs gestartet wurden.
Was ist das Fazit der Aufklärung?
Nach der von uns in Auftrag gegebenen rechtlichen Bewertung hat der VfB gegen jeweils anwendbare Datenschutzvorschriften verstoßen.
Wie vom LfDI in seinem Bescheid festgestellt, hat die VfB AG gegen ihre Verpflichtung aus Art. 5 Abs. 2 DSGVO verstoßen, im Einzelfall die Rechtmäßigkeit und die Zweckbindung der Verarbeitung personenbezogener Daten nachweisen zu können. In Bezug auf die E-Mail vom 31. Oktober 2018 konnte weder ein legitimer Zweck noch die hierfür beanspruchte Rechtsgrundlage hinreichend festgelegt und dokumentiert werden. Die Offenlegung personenbezogener Daten von VfB-Mitgliedern und Forums-Mitgliedern per E-Mail nebst anhängender Datei „VfB Forum“ vom 31. Oktober 2018 war in Ermangelung einer genügenden datenschutzrechtlichen Dokumentation rechtswidrig.
Auch die früheren Übermittlungen personenbezogener Daten in den Jahren 2016 und 2017 namens des VfB e.V. waren datenschutzwidrig. Für sie lag keine ausreichende datenschutzrechtliche Rechtsgrundlage vor, so dass sie gegen Paragraf 4 Abs. 1 des bis zum 25. Mai 2018 anwendbaren Bundesdatenschutzgesetzes verstießen.
Auf welche Weise wurden die oben aufgeführten Erkenntnisse gewonnen?
Grundlage der Aufklärung waren neben einer umfassenden Auswertung von Daten und Dokumenten zahlreiche Befragungen von Mitarbeitern des VfB – die meisten von ihnen als Zeugen und nicht etwa, weil sie unter Verdacht eines Fehlverhaltens gestanden hätten. Die Mitarbeiter haben sich den Befragungen freiwillig unterzogen, sämtliche von Esecon angefragten Mitarbeiter und Organmitglieder haben dabei an den Gesprächen mitgewirkt, viele auch mehrfach. Auf Wunsch konnten sich die interviewten Mitarbeiter und Repräsentanten dabei von einem von ihnen ausgewählten Rechtsanwalt begleiten lassen.
Ist durch die Vorgänge die Entscheidung über die Ausgliederung gefährdet?
Nein, denn es liegen keine Indizien für eine Manipulation des Abstimmungsergebnisses auf der außerordentlichen Mitgliederversammlung 2017 vor. Die Ergebnisse der Abstimmungen wurden nicht angefochten. Die Entscheidung einer eindeutigen Mehrheit der VfB Mitglieder für die Ausgliederung hat daher Bestand. Abgesehen davon, dass dieser Vorgang rechtlich nicht rückgängig gemacht werden kann, stehen alle Gremien des VfB Stuttgart nach wie vor zu der erfolgten Ausgliederung. Sie ist unabdingbar für die Wettbewerbsfähigkeit des VfB.
Welche Konsequenzen zieht der VfB Stuttgart aus den Vorkommnissen?
Die Verstöße gegen Datenschutzrecht, interne Verhaltensrichtlinien sowie weitere Pflichtverletzungen zum Nachteil des VfB haben zu personellen Konsequenzen geführt. Wir bedauern, dass es dazu kommen musste, denn die betroffenen Mitarbeiter haben sich abgesehen von ihrem Fehlverhalten in Bezug auf die Datenaffäre stets engagiert für unseren Verein eingesetzt, teilweise über Jahrzehnte. Dennoch waren die getroffenen Konsequenzen ohne Alternative, um weiteren Schaden vom VfB Stuttgart abzuwenden.
Um dafür Sorge zu tragen, dass alle geltenden Vorgaben künftig konsequent eingehalten werden, wird der VfB Stuttgart auf Empfehlung des Landesdatenschutzbeauftragten für den e.V. und die AG jeweils einen externen Datenschutzbeauftragten bestellen. Er wird zudem weitere Verbesserungen der sogenannten technischen und organisatorischen Maßnahmen im Bereich des Datenschutzes vornehmen. Darüber hinaus hat der VfB Stuttgart dem Landesdatenschutzbeauftragten zugesagt, sich bei datenschutzrechtlichen Präventionsmaßnahmen für Kinder und Jugendliche zu engagieren.
Was ist das Fazit für den VfB?
Die Ergebnisse der Untersuchungen zeigen, dass die im „kicker“ genannten Datenübermittlungen unter Verstoß gegen das Datenschutzrecht erfolgten. Die Kritik von Mitgliedern und Fans an den damaligen Vorgängen ist gerechtfertigt. Der VfB Stuttgart bittet für seine Fehler und Versäumnisse um Entschuldigung.
Der VfB Stuttgart will ein im besten Sinne schwäbisch korrekter, professioneller und sympathischer Verein sein. Ein nicht-rechtskonformer Umgang mit persönlichen Daten seiner Fans und Mitglieder passt nicht zu diesen Werten. Ebenso widerspricht es den Werten des VfB, wenn 2016 und 2017 offenbar in Teilen des Vereins die Überzeugung herrschte, der VfB sei auf fragwürdige Ansätze von Social-Media-Marketing angewiesen. Unabhängig davon, wie umfangreich deren konkrete Umsetzung war, bleiben Überlegungen und Planungen dieser Art unvereinbar mit den Werten und Ansprüchen des VfB Stuttgart.
Mit dem Abschluss des Bußgeldverfahrens und der Untersuchungen ist ein wichtiger Meilenstein erreicht, um wieder nach vorne schauen zu können. Das bedeutet aber eindeutig nicht: „Schwamm drüber“. Es bleibt unsere gemeinsame Aufgabe, durch künftiges Verhalten Vertrauen und Glaubwürdigkeit wiederherzustellen. Dabei bitten wir alle VfB Mitglieder, Fans, Partner und Sponsoren um ihre Unterstützung.
Präsidium und Vereinsbeirat VfB Stuttgart 1893 e.V., Aufsichtsrat und Vorstand VfB Stuttgart 1893 AG