Dass ein Fußballclub wie Eintracht Frankfurt professionell mit den Daten seiner Fans und Kunden umgehen muss, ist wohl selbstverständlich. Immerhin werden in Bereichen wie Ticketing, Merchandising und Hospitality jede Menge personenbezogene Daten gespeichert und verwaltet. Sie zu schützen, ist nicht nur eine gesetzliche Pflicht, sondern auch ein Unternehmensziel, zu dem sich der Club bekennt. Die Eintracht hat das Datenschutz-Management an die Unternehmensberatung Intargia ausgelagert, weil ihr die internen Ressourcen dafür fehlten.

Das Datenschutz-Management-System wurde wie folgt aufgebaut:

Schritt 1: Initial-Audit:

Zu Beginn wurde der Ist-Zustand aller relevanten Bereiche des betrieblichen Datenschutzes im Unternehmen analysiert und bewertet. Grundlage des Audits war ein Fragenkatalog, der die relevanten Themengebiete des Datenschutzes adressierte. Dabei wurden die besonderen Spezifika der Eintracht berücksichtigt. Stichproben bezüglich der Fragestellungen und Gespräche mit den Prozessverantwortlichen sorgten für ein korrektes Gesamtbild.

Der Initial-Audit bezog sich auf alle datenschutzrechtlich relevanten Unternehmensbereiche wie die interne IT-Leistungserbringung, das Personalwesen, den Karten- und Fanartikelvertrieb, den Einkauf und die Finanzbuchhaltung. Auf Basis dieser Erkenntnisse konnte der weitere Projektverlauf geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden.

Schritt 2: Datenschutzstrategie und Auswahl der Maßnahmen

Auf Basis der Audit-Ergebnisse folgte die Entwicklung der Datenschutzstrategie sowie die Identifikation der nötigen technischen und organisatorischen Maßnahmen. Letztere umfassen Aktivitäten im Bereich IT- und Informationssicherheit, aber auch Organisationsfragen.

Im Einzelnen hieß das:

• Datenschutzorganisation etablieren;

• Verantwortlichkeit für Datenschutz im Unternehmen festlegen;

• Mitarbeiter schulen und sensibilisieren;

• Datenschutzhandbuch erstellen und veröffentlichen;

• Datenschutz-konforme Entsorgung von Datenträgern und Papiermüll sicherstellen und

• die vom Gesetzgeber geforderten Verfahrensverzeichnisse anlegen.

Alle diese Maßnahmen wurden in dieser Phase geplant und priorisiert. Wichtig dabei war es, einen gemeinsamen Zeitplan zu erarbeiten und die Durchlauffrequenz für zukünftige Audit-Zyklen festzulegen.

Weitere Artikel zum Datenschutz:

Wehe wenn der Prüfer kommt - Interview;

Aktuell: das neue Datenschutzrecht und die Folgen für die IT;

Die häufigsten Datenschutz-Sünden;

Tipps zur Online-Privacy.