© rawpixel-com_stock.adobe.com

Bauchrowitz, Frank

Angst vor Abmah­nun­gen

Was haben Musikschulen bei Verstößen gegen die DSGVO zu befürchten?

Rubrik: musikschule )) DIREKT
erschienen in: üben & musizieren 6/2018 , musikschule )) DIREKT, Seite 02

Im Mai ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten und sorgt auch in Musikschulen für Wirbel. Viele Musikschulen sind unsicher, welche Maßnahmen sie konkret ergreifen müssen.1 Unklar ist zudem, mit welchen Folgen bei Verstößen gegen die DSGVO zu rechnen ist.

Abmah­nung

Eine kost­spie­li­ge Abmah­nung von einem Rechts­an­walt zu bekom­men, ist für Musik­schu­len und pri­va­te Musik­lehr­kräf­te das Hor­ror­sze­na­rio schlecht­hin. Immer wie­der hört man von Men­schen und Unter­neh­men, die durch anwalt­li­che Abmah­nun­gen in den Ruin getrie­ben wur­den. Auch mit dem Gel­tungs­be­ginn der DSGVO wuch­sen die Befürch­tun­gen, bei Feh­lern, z. B. in der Daten­schutz­er­klä­rung auf der eige­nen Web­site, habe man mit Abmah­nun­gen zu rech­nen. Aber stimmt das?
Nach aktu­el­lem Stand (Sep­tem­ber 2018) ist die befürch­te­te Abmahn­wel­le ausgeblie­ben. Ich habe ledig­lich von ver­ein­zel­ten Abmah­nun­gen Kennt­nis. Das deckt sich mit Berich­ten in den Medien.2 Dass bis­her eher zurück­hal­tend abge­mahnt wird, könn­te dar­an lie­gen, dass unter Juris­ten nach wie vor stark umstrit­ten ist, ob bei Ver­stö­ßen gegen die DSGVO eine Abmah­nung über­haupt mög­lich ist. Die Recht­spre­chung hier­zu ist bis­her rar und unein­heit­lich. Der Man­dant eines abmah­nen­den Rechts­an­walts geht also ein erhöh­tes Risi­ko ein, selbst auf den Kos­ten der Abmah­nung sit­zen zu blei­ben.
Vor­aus­set­zung für die Abmah­nung von Ver­stößen gegen die DSGVO wäre zunächst, dass es sich bei die­sen Vor­schrif­ten um soge­nann­te Markt­ver­hal­tens­re­geln han­delt (vgl. § 3 Gesetz gegen den unlau­te­ren Wett­be­werb – UWG). Das Ziel der DSGVO ist aller­dings mei­ner Auf­fas­sung nach, Daten­miss­brauch zu ver­hin­dern und so die Per­sön­lich­keits­rech­te des Ein­zel­nen zu schüt­zen. Um die Regu­lie­rung eines unlau­te­ren Ver­hal­tens des Wett­be­werbs geht es bei der DSGVO hin­ge­gen nicht.
Die Gegen­mei­nung ist der Auf­fas­sung, dass die Ver­ar­bei­tung der Daten zu geschäft­li­chen Zwe­cken erfolgt. Damit sei eine Abmah­nung statt­haf­tes Mit­tel, um bei­spiels­wei­se feh­ler­haf­te Daten­schutz­er­klä­run­gen anzu­ge­hen. Zwei­fel­haft bleibt bei die­ser Rechts­auf­fas­sung aller­dings, ob die wei­te­ren Vor­aus­set­zun­gen für eine Abmah­nung nach dem UWG gege­ben sind. Ein Ver­stoß gegen die DSGVO müss­te dem­nach geeig­net sein, „die Inter­es­sen von Ver­brau­chern, Markt­teil­neh­mern oder Mit­be­wer­bern spür­bar zu beein­träch­ti­gen“.
Abmah­nun­gen erfor­dern aller­dings (gleich­gültig, ob sie zurecht erfol­gen oder nicht) immer ein schnel­les Han­deln des Abge­mahn­ten. Eine Zah­lung oder die Unter­zeich­nung einer Unter­las­sungs­er­klä­rung soll­ten aber in kei­nem Fall ohne juris­ti­sche Bera­tung erfol­gen.
Die gute Nach­richt in Sachen Abmah­nung ist, dass der Gesetz­ge­ber die Pro­ble­ma­tik erkannt hat und an einer Ent­schär­fung der Situa­ti­on arbei­tet. Im Sep­tem­ber hat das Bun­des­jus­tiz­mi­nis­te­ri­um einen Geset­zes­ent­wurf vor­ge­legt. Die Hür­den für Abmah­nun­gen sol­len hier­nach gene­rell erhöht und klei­ne Unter­neh­men, Ver­ei­ne und Selbst­stän­di­ge ent­las­tet wer­den. Dies soll bei­spiels­wei­se dadurch gesche­hen, dass der Streit­wert bei uner­heb­li­chen Ver­stö­ßen auf maxi­mal 1000 Euro gesenkt wird. Damit sinkt auch der Kos­ten­er­satz­an­spruch, den Anwäl­te gel­tend machen kön­nen. Ein wei­te­rer Geset­zes­ent­wurf liegt aus Bay­ern vor. Die­ser sieht vor, dass die DSGVO gene­rell von Abmah­nun­gen nach dem UWG aus­ge­nom­men wird.
Fazit: Bis­her wird im Zusam­men­hang mit Ver­stö­ßen gegen die DSGVO wegen der juris­tisch unkla­ren Situa­ti­on eher zurück­hal­tend abge­mahnt. Der Gesetz­ge­ber ar­beitet zudem an einer Ent­schär­fung bzw. Auf­he­bung der Mög­lich­kei­ten zur Ab­mah­nung im Zusam­men­hang mit der DSGVO.

Buß­geld

Ein wei­te­rer Bereich, der Musik­schu­len Sor­gen macht, sind die mög­li­chen Buß­gel­der, die bei Ver­stö­ßen von den Daten­schutz­auf­sichts­be­hör­den ver­hängt wer­den kön­nen. Die­se kön­nen sich auf maxi­mal zwei bis vier Pro­zent des welt­wei­ten Unter­neh­mens­um­sat­zes bzw. 10 bis 20 Mil­lio­nen Euro belau­fen. Sol­che Zah­len sind beein­dru­ckend, geben aller­dings nur die höchst­mög­li­chen Buß­gel­der wie­der. Die in der Pra­xis von den Daten­schutz­auf­sichts­be­hör­den ver­häng­ten Buß­gel­der wer­den deut­lich gerin­ger aus­fal­len. Die­se müs­sen eine für den Ein­zel­fall ver­hält­nis­mä­ßi­ge Buß­geld­hö­he ermit­teln, die ange­sichts der wirt­schaft­li­chen Ver­hält­nis­se des Musik­schul­be­trei­bers oder Pri­vat­leh­rers eine effek­ti­ve, aber kei­ne unver­hält­nis­mä­ßi­ge Wir­kung ent­fal­tet.
Nach Art. 83 DSGVO sind bei der Bestim­mung der Höhe des Buß­gelds fol­gen­de Kri­te­ri­en her­an­zu­zie­hen: Art, Schwe­re, Dau­er des Ver­sto­ßes, Grad des Ver­schul­dens, Maß­nah­men zur Min­de­rung des den betrof­fe­nen Per­so­nen ent­stan­de­nen Scha­dens, frü­he­re ein­schlä­gi­ge Ver­stö­ße, Umfang der Zusam­men­ar­beit mit Auf­sichts­be­hör­den zur Abhil­fe oder Min­de­rung von nach­tei­li­gen Aus­wir­kun­gen sowie die Kate­go­ri­en der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten.
Zu den Auf­ga­ben der Auf­sichts­be­hör­den gehört aber neben der Durch­füh­rung von Buß­ver­fah­ren auch die akti­ve Behe­bung von Män­geln in der Daten­ver­ar­bei­tung. Wird also in einer Musik­schu­le ein Ver­stoß gegen die DSGVO fest­ge­stellt, kann die Auf­sichts­be­hör­de zunächst ein­mal konk­rete Maß­nah­men anord­nen, die nötig sind, um eine rechts­kon­for­me Daten­nut­zung her­zu­stel­len. Ob dane­ben oder dar­über hin­aus über­haupt ein Buß­geld für die feh­ler­haf­te Daten­ver­ar­bei­tung ange­mes­sen ist, hängt vom Ein­zel­fall ab. Mög­lich wäre statt eines Buß­gelds ein mil­de­res, aber eben­so effek­ti­ves Mit­tel: die Ertei­lung einer Ver­war­nung nach Art. 58 Abs. 2 DSGVO.
Medi­en­be­rich­ten zufol­ge ist zumin­dest seit Inkraft­tre­ten der DSGVO im Mai 2018 kein ein­zi­ges Buß­geld ver­hängt wor­den. Eher unwahr­schein­lich ist aller­dings, dass nie­mand einen Ver­stoß began­gen hat, der mit einem Buß­geld belegt wer­den könn­te. Even­tu­ell sind die Daten­schutz­auf­sichts­be­hör­den zur­zeit noch über­for­dert. Es muss zumin­dest damit gerech­net wer­den, dass die Daten­schutz­auf­sichts­be­hör­den zukünf­tig akti­ver agie­ren wer­den, als sie dies der­zeit tun.
Fazit: Buß­gel­der müs­sen sich am Ein­zel­fall ori­en­tie­ren. Den Daten­schutz­auf­sichts­be­hör­den ste­hen auch mil­de­re Mit­tel als Buß­gel­der zur Ver­fü­gung, um Ver­stö­ße zu ahn­den. Wie die Daten­schutz­auf­sichts­be­hör­den die­se bei­den Mit­tel in der Pra­xis anwen­den wer­den, bleibt abzu­war­ten.

Scha­den­er­satz

Wenig Beach­tung fin­det zur­zeit noch die Tat­sa­che, dass Ver­stö­ße gegen datenschutz­rechtliche Vor­schrif­ten auch Schadenersatz­ansprüche aus­lö­sen kön­nen. Die DSGVO ent­hält umfang­rei­che Vor­ga­ben für die rechts­kon­for­me Ver­ar­bei­tung von Daten. Hier­zu gehö­ren z. B. Doku­men­ta­ti­ons- und Nach­weis­pflich­ten, Lösch- und Berich­ti­gungs­pflich­ten, Mel­de- und Benach­rich­ti­gungs­pflich­ten bei Daten­schutz­ver­let­zun­gen und die Gewähr­leis­tung der gesetz­lich vor­ge­schrie­be­nen Daten­si­cher­heit.
Außer­dem sieht die DSGVO Informa­tions­pflich­ten vor. Die­se Pflicht zur unauf­ge­for­der­ten Infor­ma­ti­on umfasst auch Aus­sa­gen dazu, ob Daten an Drit­te wei­ter­ge­ge­ben wer­den, wie lan­ge Daten gespei­chert wer­den und wel­che Rech­te die betrof­fe­nen Per­so­nen nach der DSGVO haben. Unter­neh­men müs­sen daher stets in der Lage sein, die ihnen oblie­gen­den Infor­ma­ti­ons­pflich­ten und Aus­kunfts­rech­te betrof­fe­ner Per­so­nen zu erfül­len.
Ein Scha­den­er­satz­an­spruch nach Art. 82 I DSGVO kann jeder Per­son, der wegen eines Daten­schutz­ver­sto­ßes ein mate­ri­el­ler oder imma­te­ri­el­ler Scha­den ent­stan­den ist, gegen ein Unter­neh­men oder einen Auf­trags­ver­ar­bei­ter zuste­hen. Ver­stö­ße gegen den Daten­schutz haben über­wie­gend imma­te­ri­el­le Schä­den zur Fol­ge. Sie bedeu­ten Ein­schrän­kun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung, die sich auf die Per­sön­lich­keit der Betrof­fe­nen und nicht auf deren Ver­mö­gen aus­wir­ken. Als Nicht­ver­mö­gens­schä­den kom­men bei­spiels­wei­se die öffent­li­che Bloß­stel­lung durch Zugäng­lich­ma­chen per­so­nen­be­zo­ge­ner Daten für Dritte,3 sozia­le Dis­kri­mi­nie­rung, Hem­mung in der frei­en Per­sön­lich­keits­ent­fal­tung, psy­chi­sche Aus­wir­kun­gen oder Iden­ti­täts­dieb­stahl bzw. -betrug in Betracht.4
Wie hoch ein Scha­den­er­satz­an­spruch anzu­set­zen sein könn­te, ist zur­zeit unklar. Die oben genann­ten Kri­te­ri­en zu Buß­gel­dern kön­nen aber zur Ori­en­tie­rung dienen.5
Um Scha­den­er­satz­for­de­run­gen zu ver­mei­den, ist die kon­for­me Ver­ar­bei­tung der Daten die bes­te Prä­ven­ti­on. Eine genaue Kennt­nis davon, wel­che per­so­nen­be­zo­ge­nen Daten ein­zel­ner Per­so­nen oder Per­so­nen­grup­pen das Unter­neh­men auf wel­che Wei­se und für wel­che Zwe­cke ver­ar­bei­tet, ist daher uner­läss­lich. Hier­für ist ein gut ge­führtes Ver­ar­bei­tungs­ver­zeich­nis not­wen­dig. Ein sol­ches anzu­fer­ti­gen und aktu­ell zu hal­ten, ist für vie­le Musik­schu­len eine nicht uner­heb­li­che orga­ni­sa­to­ri­sche und tech­ni­sche Herausforderung.6 Die Wahr­schein­lich­keit, dass Daten nicht DSGVO-kon­form ver­ar­bei­tet wer­den und die Musik­schu­le Scha­den­er­satz­for­de­run­gen wegen der fal­schen Ver­ar­bei­tung von Daten aus­ge­setzt ist, sinkt jedoch enorm.
Fazit: Ein Scha­den­er­satz­an­spruch gegen ein Unter­neh­men wegen eines Ver­sto­ßes gegen die DSGVO kann Per­so­nen zuste­hen, wenn ihnen dar­aus ein Scha­den ent­stan­den ist. Wie hoch hier die Span­ne mög­li­cher For­de­run­gen sein kann, ist zur­zeit noch nicht klar. Zur Ver­mei­dung von Scha­den­er­satz­for­de­run­gen soll­te ein Ver­ar­bei­tungs­ver­zeich­nis geführt wer­den.

1 vgl. Jür­gen Simon: „Daten­schutz kon­tra Musik­un­ter­richt? Die neue EU-Daten­schutz­grund­ver­ord­nung ist eine Her­aus­for­de­rung für Musik­schu­len und Pri­vat­mu­sik­lehr­kräf­te“, in: musik­schu­le )) DIREKT 4/2018, S. 2 ff.
2 z. B. www.zeit.de/2018/30/dsgvo-hamburg-entruempler-abmahnung (Stand: 9.10.2018).
3 Paul Nemitz in: Eugen Ehmann/Martin Sel­mayr (Hg.): Daten­schutz-Grund­ver­ord­nung, C. H. Beck, Mün­chen 2018, Art. 82 Rn. 13; BAG, NJW 2015, NJW 2015, S. 2749.
4 Phil­ip Laue/Judith Nink/Sascha Kre­mer: Das neue Daten­schutz­recht in der betrieb­li­chen Pra­xis, No­mos, Baden-Baden 2016, § 11 Rn. 6.
5 Tim Wybitul/Detlef Haß/Jan Phil­ipp Albrecht: „Abwehr von Scha­dens­er­satz­an­sprü­chen nach der Daten­schutz-Grund­ver­ord­nung“, in: Neue Juris­ti­sche Wochen­schrift, 2018, S. 113.
6 Ein Leit­fa­den für die Erstel­lung eines Ver­ar­bei­tungs­ver­zeich­nis­ses fin­det sich hier: www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html (Stand: 9.10.2018).