Der FC Barcelona stand jüngst nicht aufgrund sportlicher Leistungen im Fokus der Öffentlichkeit, sondern wegen eines Datenschutzverstoßes. Die spanische Datenschutzaufsichtsbehörde (AEPD) hat gegen den Verein ein Bußgeld in Höhe von 500.000 Euro verhängt, weil der Verein vor der Verarbeitung biometrischer Daten keine Datenschutz-Folgenabschätzung durchführte.
Was ist passiert?
Ausgangspunkt war eine Beschwerde eines Mitglieds im Jahr 2023. Der FC Barcelona hatte eine verpflichtende Kampagne gestartet, um den Mitgliederbestand („Censo“) zu aktualisieren. Dieser Prozess lief überwiegend digital ab und verlangte von den Mitgliedern, den Upload eines Ausweisdokuments, die Anfertigung eines Selfies bzw. Video sowie zusätzliche biometrische Verifikationsschritte (z. B. Kopfbewegungen).
Technisch wurde dabei ein biometrisches Abgleichverfahren (Gesichtserkennung und teilweise Sprachbiometrie) eingesetzt: Das heißt, es fand ein Vergleich von Ausweisfoto und Live-Aufnahme („1:1“-Matching) statt. Sodann erfolgte die Erstellung biometrischer Vektoren zur Authentifizierung. Insgesamt nutzten über 96.000 Mitglieder das digitale Verfahren.
Die Beschwerdeführer des Falls kritisieren, die biometrische Datenerhebung sei faktisch erforderlich gewesen. Eine echte freiwillige Alternative habe nicht bestanden und die Verarbeitung sei unverhältnismäßig.
Kein Verstoß aus Sicht des FCB
Der FC Barcelona trug dagegen unteranderem vor, die Authentifizierung sei nicht mit einem Identifikations-Verfahren gleichzusetzen. Durch den 1:1-Abgleich sei keine Datenbank mit biometrischen Templates entstanden, da gerade keine Speicherung biometrischer Daten erfolgte. Es habe zudem keine automatisierte Entscheidung mit Rechtswirkung stattgefunden. Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO seien nicht verarbeitet worden.
Zudem habe eine Alternative bestanden – nämlich die Möglichkeit, ein „Präsenz-Update“ bei dem offiziellen Mitgliederservice-Büro des Vereins, Oficina d’Atenció al Barcelonista (OAB), zu geben.
Eine Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO sei gerade nicht notwendig gewesen. Der Verein habe vor Start der Kampagne eine Risikoanalyse durchgeführt, aus der für den Verein ersichtlich geworden sei, dass kein Hochrisiko vorläge.
Der zentrale Datenschutzverstoß: Keine Datenschutz-Folgenabschätzung
Die AEPD sah den Fall in Wesentlichen Punkten anders. Die AEPD stellte klar, dass der Authentifizierungsvorgang biometrische Daten umfasste und diese im großen Umfang und systematisch verarbeitet. Es kamen zudem neue Technologien zum Einsatz. Damit lag ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vor. Die interne Risikoanalysen des Clubs genügten hierfür nicht: Sie waren inhaltlich unzureichend, erfüllten die Anforderungen einer echten Datenschutzfolgeabschätzung nicht und ließ einen präventive Charakter vermissen.
Aus sich der Behörde, führte der FC Barcelona daher keine ordnungsgemäße Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch, obwohl dies erforderlich gewesen wäre.
Die AEPD betonte ausdrücklich, eine Folgenabschätzung sei keine Formalie, sondern eine zwingende Vorab-Prüfung bei risikoreichen Verarbeitungen.
Sanktion
Der Fokus der Sanktion lag somit klar auf Art. 35 DSGVO und der fehlende Datenschutzfolgeabschätzung. Die AEPD verhängte ein Bußgeld wegen Verstoßes gegen Art. 35 DSGVO. In der finalen Bewertung: 500.000 Euro. Im Raum stand zunächst sogar ein deutlich höheres Bußgeld.
Zusätzlich wurde geprüft, ob auch ein Verstoß gegen Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) vorliegt. Die AEPD hat diesen Punkt letztlich nicht sanktioniert und das Verfahren insoweit eingestellt.
Fazit
Das Bußgeld gegen den FC Barcelona verdeutlicht, dass Datenschutzverstöße auch im Sportbereich konsequent sanktioniert werden. Verantwortliche sollten insbesondere ihre Informationsprozesse und den Umgang mit Betroffenenrechten regelmäßig überprüfen.
Wer personenbezogene Daten verarbeitet, muss nicht nur technisch, sondern auch organisatorisch sicherstellen, dass die Vorgaben der DSGVO eingehalten werden – unabhängig von Größe oder Bekanntheit der Organisation.
Besonders wichtig: Sobald neue Technologien und sensible Daten (wie Biometrie) eingesetzt werden, ist eine Datenschutz-Folgenabschätzung Pflicht und zwar vor Beginn der Verarbeitung.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
