Am 5. März 2026 verhängte die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) ein Bußgeld in Höhe von 500.000 Euro gegen den Fußballverein FC Barcelona. Im Mittelpunkt der Entscheidung stand ein Verstoß gegen die Anforderungen der Datenschutz-Grundverordnung (DSGVO), insbesondere im Zusammenhang mit der Verarbeitung biometrischer Daten und einer unzureichenden Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO.
Was war der Hintergrund des Datenschutzverstoßes?
Die AEPD leitete das Verfahren ein, nachdem mehrere Mitglieder des FC Barcelona Beschwerden eingereicht hatten. Diese betrafen die Aktualisierung des Mitgliederverzeichnisses im Jahr 2023.
Im Rahmen dieses Prozesses wurden sensible biometrische Daten erhoben, darunter:
- Selfie-Aufnahmen mit Kopfbewegungen zur Identitätsprüfung
- Optional: Sprachaufnahmen zur zusätzlichen Verifikation
Problematisch war dabei vor allem:
- Fehlende informierte Einwilligung der Betroffenen
- Keine gleichwertige Alternative ohne biometrische Datenverarbeitung
- Verarbeitung besonders sensibler Daten im großen Umfang
Insgesamt waren rund 143.000 Mitglieder von der Maßnahme betroffen.
Warum nutzte der FC Barcelona biometrische Daten?
Der Verein argumentierte, dass die Maßnahmen notwendig gewesen seien, um:
- einen veralteten Mitgliederbestand zu bereinigen
- Betrugsfälle zu verhindern (z. B. Nutzung von Mitgliedskarten verstorbener Personen)
- die illegale Weitergabe von Abonnements zu unterbinden
- ein modernes digitales Authentifizierungssystem einzuführen
Diese Ziele sind grundsätzlich legitim – jedoch müssen sie im Einklang mit der DSGVO umgesetzt werden, insbesondere bei der Verarbeitung biometrischer Daten.
DSGVO-Verstoß: Fehlende Datenschutz-Folgenabschätzung
Die AEPD stellte klar, dass der FC Barcelona verpflichtet gewesen wäre, eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchzuführen.
Dies gilt insbesondere bei:
- großflächiger Verarbeitung biometrischer Daten
- hohen Risiken für die Rechte und Freiheiten der Betroffenen
- Einsatz automatisierter Verfahren
- Einbeziehung von Minderjährigen
Warum war die DSFA unzureichend?
Die vom Verein vorgelegten Risikoanalysen wurden von der AEPD als unzureichend bewertet. Konkret fehlten zentrale Elemente:
- Keine frühzeitige Durchführung (erst nach Vertragsabschluss erstellt)
- Unzureichende Risikobewertung der biometrischen Verarbeitung
- Keine Prüfung alternativer, weniger eingriffsintensiver Lösungen
- Fehlende Analyse der Auswirkungen auf Betroffene
- Mangelnde technische Detailtiefe
Damit erfüllte die Analyse nicht die Anforderungen an eine präventive Datenschutzprüfung, wie sie die DSGVO verlangt.
Besondere Kritikpunkte der Aufsichtsbehörde
Zusätzlich kritisierte die AEPD folgende Aspekte:
- Mitglieder drohten ihre Mitgliedschaft zu verlieren, wenn sie die Datenaktualisierung nicht durchführten
- Der Verifizierungsprozess war teilweise automatisiert und blockierte Nutzer bei negativen Ergebnissen
- Menschliche Überprüfung erfolgte erst nachgelagert
