2. Informationen des Verbands und des DFB e.V. zur FIFA Connect ID
Die FIFA hat mit dem Circular No. 1679 vom 1. Juli 2019 die Regularien zum „Status und dem Transfer von Spielern“ angepasst und u.a. ein von der FIFA zentral vergebenes, eindeutiges Identifikationsmerkmal für alle in den Mitgliedsverbänden der FIFA organisierten Spieler*innen ab dem 12. Lebensjahr vorgesehen (FIFA Connect ID). Der DFB e.V. ist, wie alle übrigen Mitgliedsverbände der FIFA durch die Änderung verpflichtet, die für die Generierung der FIFA Connect ID erforderlichen personenbezogenen Daten der Spieler*innen an die FIFA zu übermitteln.
In Deutschland sind überwiegend die Regional- und Landesverbände für die Spieler*innenregistrierung und Erteilung von Spielberechtigungen datenschutzrechtlich verantwortlich, daher übermitteln alle Mitgliedsverbände des DFB e.V. den Vor- und Zunamen sowie das Geburtsdatum, das Geschlecht und den Status (Amateur oder Professional) aller der bei ihnen registrierten Spieler*innen ab dem 12. Lebensjahr zunächst an den DFB e.V. Diese Daten werden im Rahmen einer gemeinsamen Verantwortlichkeit (Art. 26 DS-GVO) zwischen dem bzw. den jeweils für die betroffene Person zuständigen Mitgliedsverband bzw. -verbänden und dem DFB e.V. verarbeitet.
Der DFB e.V. übermittelt dann zunächst den Vor- und Nachnamen der Spieler*innen an einen Dienst der FIFA, der daraus mehrere sogenannte Hashwerte (etwa für unterschiedliche Schreibweisen der Namen) generiert und diese Werte dann an den DFB e.V. zurücksendet. Hashwerte sind durch eine mathematische Funktion generierte Zahlenwerte, die sich nicht in den ursprünglichen Wert (vorliegend der Name) zurückführen lassen. Die Verarbeitung dieser Daten bei der FIFA erfolgt ausschließlich zur Generierung der Hashwerte; eine dauerhafte Speicherung des Vor- und Zunamens bei der FIFA erfolgt nicht. Dieses Verfahren soll sicherstellen, dass die FIFA möglichst keine unmittelbar personenbezogenen Daten verarbeitet, insbesondere nicht die Namen der Spieler*innen. Die FIFA verfügt insofern lediglich über einen pseudonymisierten Datensatz von den Spieler*innen aus Deutschland.
In einem zweiten Schritt werden diese generierten Hashwerte mit zusätzlichen Informationen zu Geburtsdatum, Geschlecht, Status (Amateur oder Professional) und der Zugehörigkeit zu einem Mitgliedsverband der FIFA (in Deutschland dem DFB e.V.) an die FIFA übermittelt und bis zur Abmeldung der Spielberechtigung bei der FIFA verarbeitet. Bei der FIFA erfolgt eine Verarbeitung insoweit ausschließlich mit pseudonymisierten Daten. Die FIFA übermittelt im Rahmen dieser Registrierung dem DFB e.V. eine eindeutige FIFA Connect ID, welche der DFB e.V. zusammen mit den jeweils mitverantwortlichen Mitgliedsverbänden gemeinsam verarbeitet.
Im Rahmen des erstmaligen Registrierungsprozesses erfolgt seitens der FIFA ein Abgleich mit den dort zu anderen FIFA Connect IDs gespeicherten Hashwerten sowie dem Geschlecht und dem Geburtsdatum. Stellt die FIFA dabei fest, dass die Möglichkeit einer Doppelregistrierung besteht, übermittelt sie diesen Umstand zusammen mit der Information, bei welchem Mitgliedsverband der FIFA eine solche Doppelregistrierung bestehen könnte, automatisiert an den Mitgliedsverband, der die Registrierung der Spieler*innen initiiert hat. Dieser Mitgliedsverband kann daraufhin über eine Ende-zu-Ende-verschlüsselte Verbindung zu dem Mitgliedsverband aufbauen, bei dem eine mögliche Doppelregistrierung besteht. Daraufhin soll dieser Mitgliedsverband direkt den Vor- und Zunamen, das Geburtsdatum und, soweit vorhanden, den Geburtsort zur Überprüfung an den anfragenden Mitgliedsverband übermitteln, um so Doppelregistrierungen weitestgehend auszuschließen.
a) Verantwortliche Stelle & Kontakt zum Datenschutzbeauftragten
Für die Erstellung der FIFA Connect ID und der damit einhergehenden, notwendigen Verarbeitung personenbezogenen Daten besteht eine gemeinsame Verantwortlichkeit zwischen
Deutscher Fußball-Bund e.V. (DFB), Kennedyallee 274, 60528 Frankfurt/Main, vertreten durch den Präsidenten sowie der Generalsekretärin (siehe www.dfb.de), info@dfb.de, Telefon: 069-67 880, Telefax: 069-67 88 266
sowie
dem unter 1.a. genannten Verband, bei dem Sie als Spieler*in registriert sind.
Den Datenschutzbeauftragten des DFB e.V. erreichen Sie unter: Datenschutzbeauftragter des Deutschen Fußball-Bundes e.V., Kennedyallee 274, 60528 Frankfurt, Tel. 069/67880, datenschutz@dfb.de. Die Kontaktdaten zum Datenschutzbeauftragten Ihres Verbands finden Sie unter 1.a.
Der DFB e.V. und seine Mitgliedsverbände haben einen Vertrag über die gemeinsame Verantwortlichkeit geschlossen, welcher die konkreten Zuständigkeiten der Beteiligten regelt. Der wesentliche Inhalt dieser Vereinbarung kann im Datenschutz-Portal des DFB unter www.dfb.de/datenschutz-im-fussball/start/ eingesehen werden.
Überdies erfolgt eine Verarbeitung der FIFA Connect ID, der Hashwerte sowie des Mitgliedsverbands der FIFA (hier der DFB e.V.), des Geburtsdatums, des Geschlechts und des Status (Amateur oder Professional) in eigener Verantwortlichkeit durch die FIFA (Fédération Internationale de Football Association, FIFA-Strasse 20, 8044 Zürich, Schweiz).
b) Verarbeitung der personenbezogenen Daten
Der DFB e.V. übermittelt den Vor- und Nachnamen der Spieler*innen an die FIFA. Die FIFA übermittelt daraufhin an den DFB e.V. mehrere sog. Hashwerte (pseudonyme Daten), welche der DFB e.V. zusammen mit den übrigen Spieler*innendaten verarbeitet. Die Verarbeitung dieser Daten bei der FIFA erfolgt ausschließlich zur Generierung der Hashwerte; eine dauerhafte Speicherung des Vor- und Zunamens bei der FIFA erfolgt nicht.
Die Hashwerte, das Geburtsdatum, das Geschlecht sowie der Status (Amateur oder Professional) und der Zugehörigkeit zum DFB e.V. übermittelt der DFB e.V. wiederum an die FIFA, welche diese bis zur Abmeldung der Spielberechtigung verarbeitet. Die FIFA übermittelt im Rahmen dieser Registrierung dem DFB e.V. eine eindeutige FIFA Connect ID.
Im Rahmen des erstmaligen Registrierungsprozesses erfolgt seitens der FIFA ein Abgleich mit den dort zu anderen FIFA Connect IDs gespeicherten Hashwerten sowie dem Geschlecht und dem Geburtsdatum.
c) Verarbeitungszwecke und Rechtsgrundlagen
Die Übermittlung der personenbezogenen Daten dient der Umsetzung der Vorgaben zur FIFA Connect ID. Die FIFA Connect ID verfolgt die folgenden Zwecke:
- Verhinderung von nationalen Doppelregistrierungen
Die FIFA Connect ID verbessert – eingesetzt als nationale ID – den bereits etablierten Mechanismus zur Verhinderung von Registrierung einer betroffenen Person bei mehreren Mitgliedsverbänden des DFB e.V. (sog. satzungswidrige Doppelregistrierung), da sie durch das eingesetzte Hashing-Verfahren auch unterschiedliche Schreibweisen von Namen berücksichtigt.
- Verhinderung von internationalen Doppelregistrierungen
Durch die FIFA Connect ID werden auch internationale Doppelregistrierung verhindert, welche bisher (etwa in den Grenzregionen zu Frankreich oder den Niederlanden) nicht erkannt werden konnten.
- Abwicklung von Ausbildungsentschädigungen und Solidaritätsbeiträgen bei internationalen Transfers
Die FIFA Connect ID ist Voraussetzung für die Abwicklung der Ausbildungsentschädigungen und Solidaritätsbeiträgen im Rahmen von internationalen Transfers. Die FIFA stellt mit einem zentralen Clearinghouse sicher, dass die Entschädigungen auch tatsächlich gezahlt werden.
- Schutz von Minderjährigen
Durch die FIFA Connect ID steigt das Entdeckungsrisiko von Namens- und Altersmanipulationen bei minderjährigen Spieler*innen, die international – meist aus Ländern mit geringem Durchschnittseinkommen – transferiert werden, um im Zielland in Wettbewerben eingesetzt zu werden, die lebensälteren Spieler*innen vorbehalten sind. Durch das Hashing-Verfahren können auch ähnliche Schreibweisen von Spieler*innen bei der Prüfung berücksichtigt werden, die häufig bei dieser Art von Manipulation genutzt werden, und so unzulässige internationale Transfers Minderjähriger verhindert werden.
Die Rechtsgrundlage ist ein berechtigtes Interesse bzw. Drittinteresse gem. Art. 6 Abs. 1 lit. f DS-GVO, um die zuvor genannten Zwecke zu erreichen.
d) Speicherdauer
Die im Rahmen der FIFA Connect ID erzeugten Daten werden bis zur endgültigen Löschung der betroffenen Spieler*innen verarbeitet. Zu den Bedingungen der Löschung siehe 4.
e) Drittlandsübermittlungen
Eine Übermittlung personenbezogener Daten erfolgt an die FIFA mit Sitz in der Schweiz. Die Schweiz wird von der EU-Kommission als ein Land mit angemessenem Datenschutzniveau betrachtet, für das insofern ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO vorliegt (Entscheidung der Kommission vom 26. Juli 2000, 2000/518/EG). Weitere Informationen zur Datenverarbeitung durch die FIFA erhalten Sie unter de.fifa.com/legal/data-protection-portal.
Im Rahmen der Kommunikation mit den Mitgliedsverbänden der FIFA über den „Connect Service Bus“ zum Zwecke der Prüfung von Doppelregistrierungen ist eine Übermittlung von personenbezogenen Daten auch in weitere Staaten außerhalb der EU möglich.
Für eine solche Übermittlung sieht die DSGVO besondere Voraussetzungen vor (Art. 44 ff. DS-GVO).
Direkte Anfragen von Mitgliedsverbänden der FIFA über den „Connect Service Bus“ wird der DFB e.V. daher zunächst nur gegenüber Mitgliedsverbänden mit Sitz in der EU oder solchen Mitgliedsverbänden gegenüber beantworten, die ihren Sitz in einem Staat haben, zu dem ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs. 3 DS-GVO gefasst wurde. Derzeit erfolgt eine Übermittlung an die Mitgliedsverbände der FIFA außerhalb der EU in Andorra, Argentinien, Großbritannien, die Färöer-Inseln, Israel, Japan, Kanada, Neuseeland und Schweiz.
Nach der Bewährung des Systems wird der DFB e.V. eine Einzelfallprüfung für die Mitgliedsverbände der FIFA aus den übrigen Drittländern vornehmen, um sicherzustellen, dass eine Übermittlung ohne Angemessenheitsbeschluss auf Grundlage angemessener Garantien im Sinne von Art. 46 Abs. 1 DS-GVO erfolgt und deren Wirksamkeit auch hinreichend gesichert erscheint. Dazu wird der DFB e.V. für jeden Fall das Einvernehmen mit seinen Mitgliedsverbänden herstellen und diese Datenschutzinformationen entsprechend aktualisieren.
f) Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung findet nicht statt.