Anti-Doping-Standards vs. Datenschutz. Erfüllt das Kontrollsystem der NADA die Datenschutz-Bestimmungen der Datenschutz-Grundverordnung (2018)?

Inhaltsverzeichnis

1. Einleitung: Datenschutzer warnen vor ADAMS

2. Anti-Doping-Standards vs. Datenschutz
2.1. WADA und NADA: eine Skizze
2.2. Der Datenschutz der NADA
2.2.1. Der Datenschutz-Standard (2018)
2.2.2. ADAMS: Praxis der Datenerhebung
2.3. Die DS-GVO 2018 und die Verarbeitung personenbezogener Daten
2.4. Vergleich: DS-GVO (2018) vs. Datenschutz der NADA

3. Fazit: Problematik von Standards im internationalen Regieren und Zukunftsaussicht

Abkurzungsverzeichnis

ADAMS Anti-Doping Administration and Management System

CAS Internationaler Sportgerichtshof

DKS Doping-Kontroll-System

DS-GVO Datenschutz-Grundverordnung

ebd ebenda

NADA Nationale Anti-Doping Agentur Deutschland

NADC Nationaler Anti-Doping Code

NTP Nationaler Testpool

RTP Registered Testing Pool

WADA World Anti-Doping Agency

Anmerkung:

Zur Vereinfachung und leichteren Lesbarkeit wird im Lauftext fur einzelne Personenkategorien nur die mannliche Form verwendet. Hieraus resultiert keinerlei Negierung weiblicher Kompetenz.

1. Einleitung

Ende 2016 erst berichtete Die Zeit uber das internetbasierte Datenbanksystem ADAMS (Anti-Do­ping Administration and Management System) und dessen Probleme, vor allem im Bereich des Datenschutzes (Scheler 2016). Im gleichen Zug erwahnte der Autor ein neues System namens Eves, das jedoch bis heute nicht implementiert ist (vgl. ebd.) und im Projektstatus „verweilt“ (NADA 2014). So ist also auch im Jahre 2019 das System ADAMS gangige Praxis als Informationsbasis fur Doping-Kontrollen der Nationalen Anti-Doping Agentur Deutschland (NADA). Datenschutzer, ebenso wie Sportler, warnen vor dem Datenbanksystem ADAMS und halten es fur „bedenklich“ (Scheler 2016). Das ist wohl darauf zuruckzufuhren, dass alle Sportler, „die an offiziel- len Wettkampfen teilnehmen wollen“ (ebd.), ADAMS nutzen mussen, um dort ihre Aufenthaltsorte (mehr oder weniger minutios) anzugeben. Datenschutzer, und auch Sportler, beklagen hieran, dass das System Grundrechte verletze (ebd.) - vor allem, weil Kontrolleure der NADA immer, also jederzeit, auf die Daten zugreifen konnen. Das System „Eves“ konnte hier Abhilfe schaffen, da GPS-Daten etwa nur dann ubermittelt werden, wenn eine Anfrage der NADA geschickt worden ist - es musste also nicht standig der Aufenthaltsort eines Sportlers in ADAMS angegeben werden (ebd.). Hinzu kommt, dass die Athleten auch nicht in Erfahrung bringen konnen, wer wann welche Daten uber sie gelesen oder genutzt hat; die NADA wisse das auch nicht, so Scheler (ebd.) weiter. Die Datenschutz-Problematik im Rahmen von Doping-Kontrollen der NADA durfte offenkundig er- scheinen, wobei vor allem das Datenbanksystem ADAMS heraussticht.

Die hier erlauterten Kritikpunkte stammen aus dem Jahre 2016, im Mai 2018 allerdings trat die eu- ropaische Datenschutz-Grundverordnung (DS-GVO 2018) in Kraft. Insofern pruft die vorliegende Arbeit die Kritikpunkte an ADAMS und am gesamten Doping-Kontrollsystem (DKS) der NADA auf Aktualitat, indem sie einen Vergleich der DS-GVO-Bestimmungen mit dem NADA-Datenschutz- Standard (NADA 2018a) sowie deren Kontrollpraxis (im Kern ADAMS) leistet. Doch bevor dieser zentrale Forschungsteil angestellt werden kann, scheint es unabdingbar, zunachst weitere Informa- tionen bezuglich der Anti-Doping-Arbeit weltweit, aber vor allem auch im nationalen Kontext Deutschlands zu prasentieren. Wie ist Anti-Doping international aufgestellt, wie sieht es national aus und welche Aufgaben und Ziele hat die Arbeit gegen Doping? Hierfur wird Kapitel 2.1 einlei- tend eine kleine Skizze zeichnen, um dem Leser eine adaquate Basis zum Verstandnis folgender Ausfuhrungen zu gewahren. Darauf folgen wird ein Kapitel zum Datenschutz der NADA selbst: Zu- nachst wird auf deren Papier zum „Datenschutz-Standard“ (NADA 2018a) einzugehen sein (2.2.1), bevor dann unter 2.2.2 die Praxis des DKS und speziell ADAMS en detail zu betrachten sein wird. Kapitel 2.3 widmet sich dann den Inhalten der DS-GVO (2018). Dieses Kapitel scheint ebenso zen- tral wie Kapitel 2.2, um dann in Kapitel 2.4 die zentrale Analyse - den Vergleich der Kontrollpraxis sowie des Datenschutz-Standards der NADA mit den Datenschutz-Bestimmungen der DS-GVO (2018) - anstellen zu konnen. Ein kurzes Fazit (Kap. 3) wird die Arbeit letztlich abrunden.

2. Anti-Doping-Standards vs. Datenschutz

2.1 WADA und NADA: eine Skizze

Auf internationaler Ebene hat sich die sogenannte WADA, die World Anti-Doping Agency, 1999 gegrundet und etabliert (WADA 2019c). Akteure hierbei waren vor allem Sportverbande und verschiedene Regierungen; von diesen wird die WADA auch bis heute finanziert (ebd.). Sie fungiert somit als eine Art Dachorganisation fur zahlreiche nationale Anti-Doping-Agenturen - in Deutschland etwa die Nationale Anti-Doping Agentur Deutschland (NADA), die den Vorgaben der WADA, etwa bezuglich des „WADA-Codes“, folgen mussen bzw. sollen. Die WADA definiert ihre „Mission“ selbst als „to lead a collaborative worldwide movement for doping-free sport“ (WADA 2019c). Ihr ubergeordnetes Ziel ist es also, eine weltweite kollaborative Bewegung fur einen dopingfreien Sport anzuleiten.

Dabei scheint der sogenannte WADA-Code zentral, der unter anderem sechs Standards der Anti- Doping-Arbeit in folgenden Bereichen definiert: Tests, Laboratorien, Ausnahmen fur den therapeutischen Gebrauch bestimmter Praparate (sog. TUE's), die Verbotsliste (engl. „Prohibited Substances and Methods“), der Schutz von Privatsphare und personenbezogenen Daten sowie zuletzt auch die Einhaltung der Vorschriften durch die Unterzeichner (vgl. WADA 2019a). Diese Standards sollen die Harmonisierung der Anti-Doping-Arbeit weltweit (primar in den genannten Bereichen) fordern und somit Koharenz zwischen den nationalen Anti-Doping-Agenturen, den Sportverbanden und den entsprechenden Behorden herstellen (WADA 2019b). Interessant ware an dieser Stelle auch die Frage, inwieweit tatsachlich Koharenz zwischen den nationalen Anti­Doping Agenturen besteht - eine Analyse hierzu kann an dieser Stelle allerdings nicht geleistet werden.

Des Weiteren scheint die interne Organisation der NADA von Interesse. Ahnlich wie die internationale WADA besteht die NADA aus einem Stiftungs- bzw. Aufsichtsrat, einem Vorstand (NADA 2011: 3ff.) und zahlreichen Kommissionen bzw. Ressorts (NADA 2019b). Letztere nehmen eine ehrenamtliche und beratende Funktion wahr und haben dementsprechend keine Entscheidungsbefugnis (ebd.). Zu Entscheidungen befugt sind dagegen Vorstand und Aufsichtsrat, die in der Regel mit einfacher Mehrheit (mit mindestens 50% der Mitglieder) abstimmen konnen; bei Anderung der Stiftungsverfassung wird eine Zwei-Drittel-Mehrheit benotigt (vgl. NADA 2011: 6). Insgesamt ubt der Aufsichtsrat Kontrollfunktionen gegenuber dem Vorstand aus, wobei Letzterer vor allem operative Aufgaben wie etwa die Erstellung des Haushaltsplanes oder die Anstellung neuer Arbeitskrafte wahrnimmt (vgl. ebd.: 4ff.).

Zuletzt sollte der Blick noch auf das Doping-Kontrollsystem der NADA gerichtet werden - schlieBlich scheint das fur den vorliegenden Kontext zentral. Das Doping-Kontrollsystem (DKS) der NADA stell neben den Kommissionen fur Recht, Medizin oder Pravention eine eigene Kommission dar; sie plant und koordiniert Dopingkontrollen und sorgt fur die Weiterentwicklung des DKS in Deutschland (vgl. NADA 2019c). Die Doping-Kontrollen selbst konnen sich durch Trainings-, Wettkampf- und „Medikationskontrollen bei Pferden im Training“ (ebd.) auBern. Dabei - und das scheint grundsatzlich zentral fur das Verstandnis von Doping - fokussieren die Kontrollen lediglich auf den Spitzen- bzw. Leistungssport (ebd.). Das heiBt: Hobbysportler sowie Sportler unterhalb des Leistungsniveaus werden generell nicht von der Anti-Doping-Arbeit erfasst. Nachdem die NADA beispielsweise den „Zeitpunkt, Ort sowie Proben- und Analyseart einer Dopingkontrolle“ (NADA 2019d) geplant hat, wird ein externer Dienstleister (Kontrollpartner) mit der Durchfuhrung der Kontrolle beauftragt (ebd.). Dieser Kontrollpartner versendet die entnommenen Proben an durch die WADA akkreditierte Labore, welche wiederum der NADA berichten - die Zuordnung der Analysen zu den Athleten findet dann „ausschlieBlich in der NADA statt“ (vgl. ebd.).

Zentral fur die Auswahl der zu kontrollierenden Athleten sind die sogenannten Testpools der NADA, die auf bestimmten Risikokategorien basieren: Sportarten mit einem hohen Doping-Risiko werden der Risikogruppe A zugeordnet; in Gruppe B sind Sportarten mit einem mittleren Risiko und in Gruppe C mit einem (relativ) geringen Risiko (NADA 2019e). AuBerdem melden die nationalen Sportfachverbande der NADA jahrlich ihre Athleten (ebd.). Auf der Grundlage dieser beiden Faktoren - Sportart bzw. Risikogruppe und Kaderniveau teilt die NADA die Athleten in Testpools ein: so gehoren etwa A-Kader-Athleten einer Sportart der Risikogruppe A dem Registered Testing Pool (RTP) an; B-Kader-Athleten der Risikogruppe A oder A-Kader-Athleten der Risikogruppe B und C etwa gehoren dem Nationalen Testpool (NTP) an (vgl. ebd.). Daneben existieren noch zwei weitere Testpools (Allgemeiner Testpool und Team-Testpool; ebd.), die allerdings fur den vorliegenden Kontext keine weiterreichenden Informationen versprechen. SchlieBlich sind lediglich die Athleten der Testpools RTP und NTP dazu verpflichtet, ihre Aufenthaltsdaten im Datenbanksystem ADAMS anzugeben (NADA 2019f). Diesem Datenbanksystem widmen wir uns in Kapitel 2.2.2 en detail.

2.2 Der Datenschutz der NADA

„Der Standard fur Datenschutz ist die nationale Umsetzung des International Standard for the Pro­tection of Privacy and Personal Information (ISPPPI) der WADA durch die NADA“ (NADA 2018a: 1), heiBt es zu Beginn des ersten Artikels im Datenschutz-Standard (NADA 2018a) der deutschen NADA. Welche Bestimmungen die NADA hierin aufgenommen hat, wird uns im Folgenden interes- sieren, um sodann einen Blick auf die Praxis zu werfen, indem das Datenbanksystem ADAMS be- trachtet werden soll (Kap. 2.2.2). Dieses Vorgehen scheint unabdingbar, da hierdurch die erste Grundlage fur den hier zentralen Vergleich (2.4) zwischen Datenschutz-„Anspruch“ der NADA (2.2) und gesetzlichen Datenschutz-Bestimmungen der DS-GVO (2.3) geschaffen wird.

2.2.1 Der Datenschutz-Standard der NADA (2018)

Grundsatzlich postuliert die NADA in ihrem Papier zum Datenschutz-Standard (NADA 2018a) die Einhaltung aller DS-GVO-Bestimmungen. Artikel 2 betont unter anderem, dass auch Auftragsver- arbeiter diese Bestimmungen erfullen mussen, wobei der Datenschutz-Standard als ein Minimum an Bedingungen angesehen wird (vgl. NADA 2018a: 2). Zudem mussen die Anti-Doping-Organisa- tionen selbst die Verarbeitung personenbezogener Daten dokumentieren - welche Informationen die Dokumentation umfasst, wird durch Auflistung recht konkret definiert (ebd.: 2f.). Interessant fur den vorliegenden Kontext erscheint dabei die Tatsache, dass die Verantwortung fur das Daten- banksystem ADAMS bei der WADA und nicht bei der NADA selbst liegt: ein Kommentar zu Artikel 2.4 halt ganz klar fest, dass die WADA „als verantwortliche datenverarbeitende Stelle anzusehen“ (ebd.: 3) ist und sie somit eben auch fur die Dokumentation personenbezogener Daten zustandig sei (ebd.). AuBer Frage steht jedoch, dass auch die deutsche NADA mit diesem Daten- banksystem arbeiten und interagieren muss (vgl. NADA 2019f) und somit die Verantwortung fur Datenschutz im Kontext von ADAMS nicht ganzlich auf die WADA zu ubertragen in der Lage ist. Artikel 2.5 enthalt die Bestimmung, dass ein Beauftragter fur Datenschutz ernannt werden muss, der die Einhaltung der konkreten Datenschutz-Bestimmungen sicherstellen soll (ebd.) - diese Be- stimmung enthalt auch die DS-GVO (vgl. Art. 37-39 DS-GVO) und wurde von der NADA bereits 2009 mit der Bestellung eines externen Datenschutzbeauftragten erfullt (NADA 2019a), so viel sei vorweg genommen. Artikel 3 bringt den juristischen Grundsatz der „VerhaltnismaBigkeit“ ins Spiel: Dementsprechend verarbeiten Anti-Doping-Organisationen personenbezogene Daten nur dann, wenn es „erforderlich und angemessen oder durch geltende Gesetze, Bestimmungen oder ein an- derweitig rechtlich verpflichtendes Verfahren vorgeschrieben ist“ (NADA 2018a: 4). Dabei wird auch die Einhaltung der DS-GVO betont (ebd.), was in der neuen Fassung^[I] von Marz 2019 immer wieder durch Rekurs auf das BDSG und „andere datenschutzrechtliche Vorschriften“ (NADA 2019g: 4) erweitert wird. Sollte eine Anti-Doping-Organisation jedoch das Erfordernis einer Verar- beitung personenbezogener Daten nicht feststellen konnen, so „sehen sie von der Verarbeitung der Personenbezogenen Daten [sic!] ab“ (ebd.), halt ein Kommentar zu Artikel 3.2 fest. Ein weiterer Kommentar zu diesem Artikel betont die Einhaltung des Artikels 5 der DS-GVO (2018) - dieser legt Grundsatze fur die Verarbeitung personenbezogener Daten fest. Welche das sind und was diese konkret bedeuten, wird in Kapitel 2.3 zu klaren sein, wenn es um die Inhalte der DS-GVO selbst gehen wird. Artikel 3.3 definiert, wer personenbezogene Daten wie verarbeiten darf (NADA 2018a: 4). Hierzu scheint lediglich nennenswert, dass auch dieser Artikel mit der Berucksichtigung der DS- GVO (2018) eingeleitet wird: besagt die DS-GVO also Gegenteiliges zu diesem Artikel, ist Letzte- rer de facto auBer Kraft gesetzt. Insofern kann auch gesagt werden, dass der Inhalt dieses Artikels an dieser Stelle keine wirklich nennenswerte Rolle spielt, schlieBlich zahlt letzten Ende das, was die DS-GVO festlegt - Letzteres impliziert jedenfalls die NADA. Sollte die NADA „falsche oder un- genaue“ (NADA 2018a: 5) oder nicht aktuelle Daten erfassen, mussen sie diese „fruhzeitig [...] be- richtigen oder [...] loschen“, so Artikel 3.4 weiter (ebd.).

Artikel 4 regelt die „Verarbeitung personenbezogener Daten aufgrund einer Rechtsvorschrift oder mit Einwilligung“ (ebd.: 6). So sieht dieser Artikel des NADA-Datenschutz-Standards vor, dass Ath- leten „angemessen unterrichtet“ (ebd.) werden mussen, wenn bzw. bevor „personenbezogene Da- ten mit Einwilligung verarbeitet“ (ebd.) werden. Die Athleten konnen ihre Einwilligung auch verwei- gern, was aber nicht zwangslaufig zu einer „Nicht-Verarbeitung“ fuhren muss: „eng begrenzte Um- -stande“ (ebd.: 7) konnen immer noch dazu fuhren, dass die NADA diese Daten verarbeiten darf. Artikel 5 widmet sich der „Benachrichtigung der Teilnehmer und anderer Personen“ (ebd.: 8). Hier wird klar definiert, uber welche Informationen die Athleten aufgeklart werden mussen: beispiels- weise muss die NADA die Athleten uber die DS-GVO informieren und ihnen die Moglichkeit der Veroffentlichung von Analyseergebnissen erlautern (ebd.). Dabei verweist die NADA auf die Einhal- tung der Artikel 13 und 14 DS-GVO (ebd.), die eine Informationspflicht bei der Erhebung perso- nenbezogener Daten postulieren. Zusatzlich postuliert die NADA auch die Einhaltung des Artikels 12 DS-GVO, der im Kern transparente Prozesse im Rahmen der Verarbeitung personenbezogener Daten gegenuber der betroffenen Person verlangt (DS-GVO 2018). Weiter geht es mit Artikel 6, der die „Ubermittlung personenbezogener Daten an andere Anti-Doping-Organisationen und an Dritte“ (ebd.: 10) regelt. Grundsatzlich muss dies „erforderlich“ sein, so Artikel 6.1 (ebd.); 6.2 setzt Bedingungen fest, die eine Datenubermittlung durch die NADA verbieten und Artikel 6.3 legt Sze- narien fest, wann die Ubermittlung an Dritte gestattet ist. Letzteres etwa, wenn der Teilnehmer sein Einverstandnis gegeben hat oder aber Gesetze dies gebieten (vgl. ebd.).

Unter Artikel 7 („Schutz personenbezogener Daten“) gibt die NADA wiederum die Einhaltung der DS-GVO an, „indem sie alle erforderlichen technischen und organisatorischen MaBnahmen im Sinne der DS-GVO treffen“ (ebd.: 12). Ein Kommentar dazu halt fest, dass nur dann auf personen- bezogene Daten zugegriffen werden darf bzw. soll, wenn es zur Erledigung der NADA-Aufgaben notwendig erscheint, das sogenannte „need-to-know-Prinzip“ (vgl. ebd.: 12). Weiterhin verpflichtet sich die NADA die Daten vertraulich zu behandeln, sowohl in- als auch extern: nicht nur die Ver- traulichkeit der Mitarbeiter, sondern auch der Auftragsverarbeiter liegt in der Verantwortung der NADA (vgl. ebd.), wobei sie die Einhaltung des Art. 28 DS-GVO sowie der Artikel 24 bis 34 DS- GVO anmerken (ebd.). Letztere regeln allgemeine Pflichten von Auftragsverarbeiter und Verant­wortlichen (DS-GVO 2018: Art. 24ff.). Sollte eine „Sicherheitsverletzung“ existent erscheinen, so muss die NADA die betroffenen Teilnehmer unverzuglich daruber unterrichten und dies der Auf- sichtsbehorde melden (NADA 2018a: 13); Letzteres stellt im vorliegenden Fall ubrigens der Lan- desbeauftragte fur Datenschutz und Informationsfreiheit Nordrhein-Westfalen (NADA 2019a) dar. AuBerdem erlegt sich die NADA eine Art Evaluationspflicht auf, die alle drei Jahre durchgefuhrt werden soll (NADA 2018a: 13). Letztlich postuliert sie in Artikel 7.7 auch, dass ihre Mitarbeiter den „gesetzlichen oder vertraglichen Verschwiegenheitspflichten unterliegen“ (ebd.: 14). Der vorletzte Artikel des NADA-Datenschutz-Standards, Artikel 8, beschaftigt sich mit dem Thema „Speicherung und Loschung personenbezogener Daten“ (ebd.: 15). Zentral erscheint Artikel 8.2, der die Speiche- rung nur fur einen Zeitraum erlaubt, „wie dies fur die Erfullung ihrer aus dem NADC hervorgehen- den Verpflichtungen, nach MaBgabe der DS-GVO, erforderlich ist“ (ebd.). Hierfur habe die NADA „klare Speicherungsfristen“ (ebd.) festgelegt, was im folgenden Kapitel bezuglich ADAMS betrach- tet werden wird.

Zuletzt widmet sich Artikel 9 noch den „Rechte[n] der Teilnehmer und anderer Personen“ (ebd.: 16). So hat grundsatzlich jeder Teilnehmer (Athlet) das Recht von der NADA Auskunft daruber zu erhalten, wer Empfanger seiner Daten ist, welche Kategorien an Daten erfasst werden und fur wel- chen Zweck sie bestimmt sind (ebd.), wobei im gleichen Zuge die Moglichkeit der Einschrankung gemaB Artikel 9.1 und 9.2 (NADA 2018a) sowie gemaB Artikel 23 DS-GVO (2016) angemerkt wird. So sehen Artikel 9.1 und 9.2 eine Einschrankung des Auskunftsrechts der Teilnehmer vor, wenn ein „Zusammentragen der Informationen einen unverhaltnismaBig hohen Aufwand erfordern wur- de“ (NADA 2018a: 16; Hervorhebung A.W.). Das Ersuchen von Aufklarung durch die Athleten kann durch die NADA durch eine schriftliche Begrundung abgelehnt werden: in diesem Fall kann sich ein Teilnehmer an die zustandige Aufsichtsbehorde melden - hieruber muss ihn die NADA aufkla- ren (vgl. ebd.). Letzten Endes scheint noch Artikel 9.5 nennenswert: nimmt ein Teilnehmer „in gu- tem Glauben“ (ebd.: 17) an, dass „eine Anti-Doping-Organisation den ISPPPI nicht einhalt“ (ebd.), so kann er Beschwerde uber diese Organisation erheben (ebd.). Wird diese (aus Sicht des Athle- ten) nicht adaquat behandelt, so kann er sich an die WADA wenden und bzw. oder Beschwerde beim CAS (Internationaler Sportgerichtshof) einreichen (ebd.) - wird der Beschwerde stattgegeben, so wird die jeweilige Anti-Doping-Organisation zur Behebung des VerstoBes aufgefordert werden (ebd.).

2.2.2 ADAMS: Praxis der Datenerhebung und -verarbeitung

Nachdem nun das zentrale Datenschutz-Dokument der NADA inhaltlich prasentiert worden ist, wird es nun um das eingangs erwahnte und von Journalisten, Datenschutzern und Athleten kritisierte Datenbanksystem ADAMS gehen: Welche Daten mussen welche Athleten fur welche Zeitraume angeben? Wie ist das System gesichert, etwa vor dem Zugang von Fremden? Unter anderem die­sen Fragen werden wir nun nachgehen, um so dann die gesetzlichen Datenschutz-Bestimmungen zusammenzufuhren (Kap. 2.3), bevor der hier zentral zu erachtende Vergleich (Kap. 2.4) zwischen Datenschutz-Standard der NADA (2018) sowie ADAMS und der europaischen und damit auch in Deutschland geltenden DS-GVO (2018) angestellt werden kann.

Wie bereits am Ende von Kapitel 2.1 erwahnt, werden die auf Doping zu kontrollierenden Athleten (im Kern Leistungssportler) in verschiedene Testpools eingeordnet (vgl. auch NADA 2019e). Diese Einordnung basiert einerseits auf der Sportart und ihrer Einstufung in drei Risikogruppen und an- dererseits auf dem Leistungsniveau eines jeden Athleten. So existieren insgesamt also vier ver- schiedene Testpools: RTP, NTP, Allgemeiner Testpool (ATP) sowie der Team-Testpool (TTP; vgl. hier: 5). Von diesen scheinen nur die beiden ersten fur uns relevant, da lediglich diese Athleten ihre Aufenthaltsdaten in das Datenbanksystem ADAMS einpflegen mussen (ebd.; vgl. auch NADA 2019f). Doch welche Daten mussen die Athleten dort konkret angeben? Neben dem vollstandigen Namen, dem Geburtsdatum, dem Geschlecht, verschiedenen Kontaktangaben (E-Mail, Handy, Festnetz etc.) mussen sie zum Beispiel auch ihren Wohnort, Verein, Spitzenverband, Trainingsstat- te, Berufsstatus und ihren Bundestrainer angeben (NADA 2017: 7f.). Weiterhin mussen RTP-Athle- ten taglich ein Zeitfenster (inklusive Ortsangabe) von 60 Minuten angeben, in dem sie fur eine Do- pingkontrolle anzutreffen sind (NADA 2017: 8). So weit geht es bei Athleten des NTP nicht ganz: zwar mussen diese auch weitreichende Angaben zu Aufenthaltsort und Erreichbarkeit ubermitteln, die Einrichtung und Meldung eines taglichen Zeitfensters von 60 Minuten jedoch mussen sie nicht gewahren (ebd.: 11f.). Allerdings mussen sie ebenso wie RTP-Athleten quartalsweise die Namen bzw. Bezeichnungen und Adressen jedes Ortes angeben, „an dem der Athlet einer regelmaBigen Tatigkeit nachgehen wird (beispielsweise Training, Arbeit, Schule [...]) sowie die ublichen Zeiten fur diese regelmaBigen Tatigkeiten“ (ebd.: 12).

In ADAMS mussen sie diese Informationen dann zum Beispiel wie folgt angeben: montags von 15 bis 17 Uhr Sporthalle, dienstags 14 bis 17 Uhr Laufstrecke, mittwochs 13 bis 15 Uhr Schwimmhalle (vgl. ebd.: 8, 12). Zu betonen ist hierbei, dass diese Angaben quartalsweise anzugeben sind: dem- nach mussen Athleten dieser beiden Testpools „vor Beginn eines jeden Quartals jeweils zum 25. dieses Monats [.] Angaben zu Aufenthaltsort und Erreichbarkeit machen“ (ebd.: 11). Es durfte of- fenkundig erscheinen, dass dies recht detaillierte Angaben beinhaltet, die praktisch auch nicht im- mer vollstandig erfullt werden konnen. Hinzu kommen relativ strenge Regeln bezuglich versaumter Meldepflichten (vgl. ebd.: 9-11 und 13-15). Als „versaumte Meldepflicht“ konnen auch zu ungenaue Angaben gelten, wenn der Athlet etwa nicht dort anzutreffen ist, wo er es fur einen bestimmten Zeitraum angegeben hat - so ist beispielsweise die Angabe „Joggen im Schwarzwald“ (ebd.: 10) als ungenau und somit als Versaumnis des Athleten zu werten (vgl. ebd.). Selbiges gilt etwa, wenn der vom Athlet angegebene Ort oder das Gebaude „nicht allgemein zuganglich ist“ (ebd.: 13). Das Versaumen von Meldepflichten durfte nicht allzu selten der Fall sein, wenn man sich kurz Gedan- ken uber die Frage der Praktikabilitat von alltaglichen (teilweise stundengenauen!) Voraussagen fur ein gesamtes Quartal zu machen beginnt - leider existieren hierzu keine publizierten Daten. Doch auch die Praktikabilitat dieser Meldepflichten sollte hinterfragt werden, auch wenn sie fur das Kontrollsystem der NADA durchaus Berechtigung besitzen und somit eine Daseinsberechtigung dieser Meldepflichten grundsatzlich existiert - schlieBlich ist eine unangemeldete und damit ad- aquate Doping-Kontrolle nur moglich, wenn man weiB, wo sich der Athlet zu einem bestimmten Zeitpunkt befindet. Letzteres durfte offenkundig erscheinen.

Kommen wir nun zu der Frage, wie das Datenbanksystem ADAMS (etwa vor externen (unberech- tigten) Zugriffen) gesichert ist? Diese Frage kann hier sicherlich nicht vollstandig beantwortet wer- den, schlicht aufgrund fehlender Fachkompetenzen im Bereich der Informationstechnik; dennoch sollen einige Punkte Eingang finden, um die Frage der Datensicherheit zumindest annahernd be- werten zu konnen. So ist zunachst zu sagen, dass die NADA auf ihrer Webseite die neue Funktion einer Zwei-Faktor-Authentifizierung zur „Erhohung der Datensicherheit“ (NADA 2019f) bewirbt. Das Funktionsangebot ist freiwillig, die Wahrnehmung obliegt also dem einzelnen Athleten (ebd.). Si- cherheitstechnisch ist dies jedoch als ein Fortschritt fur das System ADAMS zu deklarieren. Im Jahre 2016 implementierte die NADA auch Sicherheitsfragen, was sie mit „jungsten Cyberangriffe[n]“ (NADA 2016: 1) gerechtfertigt hat. Letzteres durfte offenkundig implizieren, dass bereits Cyberangriffe auf ADAMS von Dritten gestartet worden sind und der Datensicherheit dem- entsprechend hohe Relevanz eingeraumt werden sollte - schlieBlich handelt es sich hierbei um hochst personliche Daten von Spitzensportlern, die unter Umstanden auch eine breite Offentlich- keit erreichen.

AuBerdem sollte noch erwahnt werden, dass ADAMS eine web- bzw. internetbasierte Datenbank ist (und auch sein muss) und die entsprechenden Server in Kanada (Montreal) stehen (Mester 2017), dem Hauptsitz der WADA - demzufolge ist die Datensicherheit unter dem Gesichtspunkt des deutschen Datenschutzes zunachst einmal in Frage zu stellen. Doch letzterem Ansatz begeg- net bereits die Tatsache, dass die EU-Kommission das Datenschutzniveau Kanadas auf Grundlage des Art. 45 DS-GVO gepruft und als adaquat eingeordnet hat (EU-Kommission o.J.). Insofern gibt es zumindest an dieser Stelle keine Zweifel am „angemessenen" Datenschutzniveau Kanadas an- zumerken, da dies einer deutlich eingehenderen Analyse bedurfe als hier zu leisten ist.

Zuletzt sei zu der Frage der Speicherfristen, die unter anderem Kapitel 2.2.1 aufgeworfen hat, ge- sagt, dass diese in zwei Kategorien aufgeteilt sind und durchweg mit den Kriterien der Erforder- lichkeit und bzw. oder der VerhaltnismaBigkeit gerechtfertigt werden: demnach unterscheidet die NADA zwischen einer Speicherungsfrist von 18 Monaten oder 10 Jahren (vgl. NADA 2018b: 1). Beispielsweise werden Meldepflichtversaumnisse oder Quartalsmeldungen nur 18 Monate gespei- chert - weil „erforderlich“ (ebd.: 2). Kontaktinformationen der Athleten werden dagegen zehn Jahre nach Ausscheiden des jeweiligen Athleten aus dem Testpool gespeichert, ebenso mit der Begrun- dung der Erforderlichkeit, etwa um altere Laborergebnisse auf Doping (evtl. mit „neuen“ Doping- Praparaten) prufen zu konnen (vgl. ebd.: 1f.).

2.3 Die DS-GVO (2018) und die Verarbeitung personenbezogener Daten

Nachdem nun die internationale Organisation WADA wie auch ihr nationales deutsches Pendant NADA deskriptiv skizziert sowie das DKS der NADA vorgestellt worden sind, wird nun die zweite Voraussetzung fur einen Vergleich zwischen legislativen Datenschutz-Bestimmungen und postu- liertem Datenschutz durch die NADA geschaffen: im Folgenden soll daher nun die Datenschutz- Grundverordnung (2018) inhaltlich erlautert werden.

In Deutschland existieren verschiedene Datenschutz-Gesetze. So kann hier auch das Bundesda- tenschutzgesetz (BDSG 2018; vgl. Deloitte o.J.), das Grundgesetz - das zahlreiche vereinzelte, wenn auch stellenweise nur implizierte Bestimmungen zu Datenschutz bzw. Privatsphare bietet - oder auch die europaische Datenschutz-Grundverordnung (DS-GVO 2018), die seit Mai 2018 in Kraft ist, genannt werden. Aus Grunden des vorgesehenen Arbeitsumfangs und des Forschungsin- teresses (unter anderem „Aktualisierung“ der Kritiken) wird sich die vorliegende Arbeit auf die eu- ropaische DS-GVO (2018) konzentrieren. Das BDSG hatte sicherlich weitere Implikationen fur die zentrale Forschungsfrage, dennoch scheint die Auswahl auch neben Grunden des Arbeitsumfangs gerechtfertigt: schlieBlich gilt die DS-GVO als eine europaische Verordnung in allen Mitgliedstaaten unmittelbar und besitzt somit Anwendungsvorrang vor dem bundesdeutschen Datenschutz-Gesetz BDSG (Deloitte o.J.). Hinzu kommt, dass die Arbeit unter anderem das Ziel verfolgt, die eingangs erlauterten Kritikpunkte verschiedener Athleten, aber auch verschiedener Datenschutzer gegen- uber dem Datenbanksystem ADAMS (zeitlich) zu aktualisieren, da sich ihre Kritik vor allem auf die Jahre vor Inkrafttreten der DS-GVO (2018) bezieht. Insofern scheint es nicht nur von zentralem Interesse, ob, sondern auch inwiefern die NADA diese „neuen“ Datenschutz-Bestimmungen der DS-GVO (2018) anerkannt und implementiert hat.

[...]

^[I] Das hier zentrale Dokument „Standard fur Datenschutz“ (NADA 2018a) hat am 1. Marz 2019 eine Aktualisierung erfah- ren (vgl. NADA 2019g). Inhaltlich und strukturell decken sich die beiden Dokumente vollstandig, lediglich kleinere Formu- lierungsanderungen sind hier zu konstatieren: wichtig erscheint aber, dass die neuere Version nicht nur die Einhaltung der DS-GVO enorm betont, sondern nun auch immer wieder das BDSG sowie „andere datenschutzrechtliche Vorschrif- ten“ erwahnt (NADA 2019g: 4). Da ansonsten keine Unterschiede bestehen, wird weiter auf die Version von 2018 einge- gangen; sollten nennenswerte Unterschiede auftauchen, so werden diese auch hier Eingang finden.