© rawpixel-com_stock.adobe.com

Bauchrowitz, Frank

Angst vor Abmahnungen

Was haben Musikschulen bei Verstößen gegen die DSGVO zu befürchten?

Rubrik: musikschule )) DIREKT
erschienen in: üben & musizieren 6/2018 , musikschule )) DIREKT, Seite 02

Im Mai ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten und sorgt auch in Musikschulen für Wirbel. Viele Musikschulen sind unsicher, welche Maßnahmen sie konkret ergreifen müssen.1 Unklar ist zudem, mit welchen Folgen bei Verstößen gegen die DSGVO zu rechnen ist.

Abmahnung

Eine kostspielige Abmahnung von einem Rechtsanwalt zu bekommen, ist für Musikschulen und private Musiklehrkräfte das Horrorszenario schlechthin. Immer wieder hört man von Menschen und Unternehmen, die durch anwaltliche Abmahnungen in den Ruin getrieben wurden. Auch mit dem Geltungsbeginn der DSGVO wuchsen die Befürchtungen, bei Fehlern, z. B. in der Datenschutzerklärung auf der eigenen Website, habe man mit Abmahnungen zu rechnen. Aber stimmt das?
Nach aktuellem Stand (September 2018) ist die befürchtete Abmahnwelle ausgeblie­ben. Ich habe lediglich von vereinzelten Abmahnungen Kenntnis. Das deckt sich mit Berichten in den Medien.2 Dass bisher eher zurückhaltend abgemahnt wird, könn­te daran liegen, dass unter Juristen nach wie vor stark umstritten ist, ob bei Verstößen gegen die DSGVO eine Abmahnung überhaupt möglich ist. Die Rechtsprechung hierzu ist bisher rar und uneinheitlich. Der Mandant eines abmahnenden Rechtsanwalts geht also ein erhöhtes Risiko ein, selbst auf den Kosten der Abmahnung sitzen zu bleiben.
Voraussetzung für die Abmahnung von Ver­stößen gegen die DSGVO wäre zunächst, dass es sich bei diesen Vorschriften um sogenannte Marktverhaltensregeln handelt (vgl. § 3 Gesetz gegen den unlauteren Wettbewerb – UWG). Das Ziel der DSGVO ist allerdings meiner Auffassung nach, Datenmissbrauch zu verhindern und so die Persönlichkeitsrechte des Einzelnen zu schützen. Um die Regulierung eines unlauteren Verhaltens des Wettbewerbs geht es bei der DSGVO hingegen nicht.
Die Gegenmeinung ist der Auffassung, dass die Verarbeitung der Daten zu geschäftlichen Zwecken erfolgt. Damit sei eine Abmahnung statthaftes Mittel, um beispielsweise fehlerhafte Datenschutzerklärungen anzugehen. Zweifelhaft bleibt bei dieser Rechtsauffassung allerdings, ob die weiteren Voraussetzungen für eine Abmahnung nach dem UWG gegeben sind. Ein Verstoß gegen die DSGVO müsste demnach geeignet sein, „die Interessen von Verbrauchern, Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen“.
Abmahnungen erfordern allerdings (gleich­gültig, ob sie zurecht erfolgen oder nicht) immer ein schnelles Handeln des Abgemahnten. Eine Zahlung oder die Unterzeichnung einer Unterlassungserklärung sollten aber in keinem Fall ohne juristische Beratung erfolgen.
Die gute Nachricht in Sachen Abmahnung ist, dass der Gesetzgeber die Problematik erkannt hat und an einer Entschärfung der Situation arbeitet. Im September hat das Bundesjustizministerium einen Gesetzesentwurf vorgelegt. Die Hürden für Abmahnungen sollen hiernach generell erhöht und kleine Unternehmen, Vereine und Selbstständige entlastet werden. Dies soll beispielsweise dadurch geschehen, dass der Streitwert bei unerheblichen Verstößen auf maximal 1000 Euro gesenkt wird. Damit sinkt auch der Kostenersatzanspruch, den Anwälte geltend machen können. Ein weiterer Gesetzesentwurf liegt aus Bayern vor. Dieser sieht vor, dass die DSGVO generell von Abmahnungen nach dem UWG ausgenommen wird.
Fazit: Bisher wird im Zusammenhang mit Verstößen gegen die DSGVO wegen der juristisch unklaren Situation eher zurückhaltend abgemahnt. Der Gesetzgeber ar­beitet zudem an einer Entschärfung bzw. Aufhebung der Möglichkeiten zur Ab­mah­nung im Zusammenhang mit der DSGVO.

Bußgeld

Ein weiterer Bereich, der Musikschulen Sorgen macht, sind die möglichen Bußgelder, die bei Verstößen von den Datenschutzaufsichtsbehörden verhängt werden können. Diese können sich auf maximal zwei bis vier Prozent des weltweiten Unternehmensumsatzes bzw. 10 bis 20 Millionen Euro belaufen. Solche Zahlen sind beeindruckend, geben allerdings nur die höchstmöglichen Bußgelder wieder. Die in der Praxis von den Datenschutzaufsichtsbehörden verhängten Bußgelder werden deutlich geringer ausfallen. Diese müssen eine für den Einzelfall verhältnismäßige Bußgeldhöhe ermitteln, die angesichts der wirtschaftlichen Verhältnisse des Musikschulbetreibers oder Privatlehrers eine effektive, aber keine unverhältnismäßige Wirkung entfaltet.
Nach Art. 83 DSGVO sind bei der Bestimmung der Höhe des Bußgelds folgende Kriterien heranzuziehen: Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße, Umfang der Zusammenarbeit mit Aufsichtsbehörden zur Abhilfe oder Minderung von nachteiligen Auswirkungen sowie die Kategorien der betroffenen personenbezogenen Daten.
Zu den Aufgaben der Aufsichtsbehörden gehört aber neben der Durchführung von Bußverfahren auch die aktive Behebung von Mängeln in der Datenverarbeitung. Wird also in einer Musikschule ein Verstoß gegen die DSGVO festgestellt, kann die Aufsichtsbehörde zunächst einmal konk­rete Maßnahmen anordnen, die nötig sind, um eine rechtskonforme Datennutzung herzustellen. Ob daneben oder darüber hinaus überhaupt ein Bußgeld für die fehlerhafte Datenverarbeitung angemessen ist, hängt vom Einzelfall ab. Möglich wäre statt eines Bußgelds ein milderes, aber ebenso effektives Mittel: die Erteilung einer Verwarnung nach Art. 58 Abs. 2 DSGVO.
Medienberichten zufolge ist zumindest seit Inkrafttreten der DSGVO im Mai 2018 kein einziges Bußgeld verhängt worden. Eher unwahrscheinlich ist allerdings, dass niemand einen Verstoß begangen hat, der mit einem Bußgeld belegt werden könnte. Eventuell sind die Datenschutzaufsichtsbehörden zurzeit noch überfordert. Es muss zumindest damit gerechnet werden, dass die Datenschutzaufsichtsbehörden zukünftig aktiver agieren werden, als sie dies derzeit tun.
Fazit: Bußgelder müssen sich am Einzelfall orientieren. Den Datenschutzaufsichtsbehörden stehen auch mildere Mittel als Bußgelder zur Verfügung, um Verstöße zu ahnden. Wie die Datenschutzaufsichtsbehörden diese beiden Mittel in der Praxis anwenden werden, bleibt abzuwarten.

Schadenersatz

Wenig Beachtung findet zurzeit noch die Tatsache, dass Verstöße gegen datenschutz­rechtliche Vorschriften auch Schadenersatz­ansprüche auslösen können. Die DSGVO enthält umfangreiche Vorgaben für die rechtskonforme Verarbeitung von Daten. Hierzu gehören z. B. Dokumentations- und Nachweispflichten, Lösch- und Berichtigungspflichten, Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen und die Gewährleistung der gesetzlich vorgeschriebenen Datensicherheit.
Außerdem sieht die DSGVO Informa­tions­pflich­ten vor. Diese Pflicht zur unaufgeforderten Information umfasst auch Aussagen dazu, ob Daten an Dritte weitergegeben werden, wie lange Daten gespeichert werden und welche Rechte die betroffenen Personen nach der DSGVO haben. Unternehmen müssen daher stets in der Lage sein, die ihnen obliegenden Informationspflichten und Auskunftsrechte betroffener Personen zu erfüllen.
Ein Schadenersatzanspruch nach Art. 82 I DSGVO kann jeder Person, der wegen eines Datenschutzverstoßes ein materieller oder immaterieller Schaden entstanden ist, gegen ein Unternehmen oder einen Auftragsverarbeiter zustehen. Verstöße gegen den Datenschutz haben überwiegend immaterielle Schäden zur Folge. Sie bedeuten Einschränkungen der informationellen Selbstbestimmung, die sich auf die Persönlichkeit der Betroffenen und nicht auf deren Vermögen auswirken. Als Nichtvermögensschäden kommen beispielsweise die öffentliche Bloßstellung durch Zugänglichmachen personenbezogener Daten für Dritte,3 soziale Diskriminierung, Hemmung in der freien Persönlichkeitsentfaltung, psychische Auswirkungen oder Identitätsdiebstahl bzw. -betrug in Betracht.4
Wie hoch ein Schadenersatzanspruch anzusetzen sein könnte, ist zurzeit unklar. Die oben genannten Kriterien zu Bußgeldern können aber zur Orientierung dienen.5
Um Schadenersatzforderungen zu vermeiden, ist die konforme Verarbeitung der Daten die beste Prävention. Eine genaue Kenntnis davon, welche personenbezogenen Daten einzelner Personen oder Personengruppen das Unternehmen auf welche Weise und für welche Zwecke verarbeitet, ist daher unerlässlich. Hierfür ist ein gut ge­führtes Verarbeitungsverzeichnis notwendig. Ein solches anzufertigen und aktuell zu halten, ist für viele Musikschulen eine nicht unerhebliche organisatorische und technische Herausforderung.6 Die Wahrscheinlichkeit, dass Daten nicht DSGVO-konform verarbeitet werden und die Musikschule Schadenersatzforderungen wegen der falschen Verarbeitung von Daten ausgesetzt ist, sinkt jedoch enorm.
Fazit: Ein Schadenersatzanspruch gegen ein Unternehmen wegen eines Verstoßes gegen die DSGVO kann Personen zustehen, wenn ihnen daraus ein Schaden entstanden ist. Wie hoch hier die Spanne möglicher Forderungen sein kann, ist zurzeit noch nicht klar. Zur Vermeidung von Schadenersatzforderungen sollte ein Verarbeitungsverzeichnis geführt werden.

1 vgl. Jürgen Simon: „Datenschutz kontra Musikunterricht? Die neue EU-Datenschutzgrundverordnung ist eine Herausforderung für Musikschulen und Privatmusiklehrkräfte“, in: musikschule )) DIREKT 4/2018, S. 2 ff.
2 z. B. www.zeit.de/2018/30/dsgvo-hamburg-entruempler-abmahnung (Stand: 9.10.2018).
3 Paul Nemitz in: Eugen Ehmann/Martin Selmayr (Hg.): Datenschutz-Grundverordnung, C. H. Beck, München 2018, Art. 82 Rn. 13; BAG, NJW 2015, NJW 2015, S. 2749.
4 Philip Laue/Judith Nink/Sascha Kremer: Das neue Datenschutzrecht in der betrieblichen Praxis, No­mos, Baden-Baden 2016, § 11 Rn. 6.
5 Tim Wybitul/Detlef Haß/Jan Philipp Albrecht: „Abwehr von Schadensersatzansprüchen nach der Datenschutz-Grundverordnung“, in: Neue Juristische Wochenschrift, 2018, S. 113.
6 Ein Leitfaden für die Erstellung eines Verarbeitungsverzeichnisses findet sich hier: www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html (Stand: 9.10.2018).