© DOC RABE Media_stock.adobe.com

Simon, Jürgen

Daten­schutz kon­tra Musik­un­ter­richt?

Die neue EU-Datenschutzgrundverordnung ist eine Heraus­forderung für Musikschulen und Privatmusiklehrkräfte

Rubrik: musikschule )) DIREKT
erschienen in: üben & musizieren 4/2018 , musikschule )) DIREKT, Seite 02

Am 25. Mai 2018 endete die zweijährige Übergangsfrist für die neue EU-Datenschutzgrundverordnung (DSGVO). Seit­dem können selbst für nicht besonders schwerwiegende Verstöße erhebliche Bußgelder verhängt werden. Wer bisher noch nichts unternommen hat, sollte nun möglichst schnell handeln.

Wer nun denkt, als pri­va­te Instru­ment­al­leh­re­rin, klei­ne Musik­schu­le oder Musik­ver­ein nicht betrof­fen zu sein, der irrt. Nach­dem dem Daten­schutz jah­re­lang kei­ne gro­ße Bedeu­tung bei­gemes­sen wur­de, wirkt sich das neue Gesetz jetzt in nahe­zu jedem Bereich des Lebens aus. Und obwohl sich der Daten­schutz bei Wei­tem nicht nur auf Inter­net­an­ge­bo­te erstreckt, soll­te die­sen die ers­te Auf­merk­sam­keit gel­ten, da davon aus­zu­ge­hen ist, dass sich die übli­chen Abmahn­un­ter­neh­men mit Eifer auf die Suche nach Ver­stö­ßen machen wer­den.

Wor­um geht es eigent­lich?

Im Grun­de ist der Haupt­punkt, dass perso­nenbezogene Daten nur mit aus­drück­li­cher Zustim­mung der Betrof­fe­nen erho­ben wer­den dür­fen. Das bedeu­tet kon­kret, dass Per­so­nen, deren Daten erfasst wer­den sol­len, vor der Erfas­sung infor­miert wer­den müs­sen, wel­che Daten zu wel­chem Zweck gespei­chert wer­den. Anschlie­ßend dür­fen die­se Daten aus­schließ­lich zu die­sem Zweck ver­wen­det wer­den. Wenn also jemand sei­ne E-Mail-Adres­se hin­ter­lässt, um über einen mög­li­chen Unter­richts­aus­fall infor­miert zu wer­den, so ist es ein Ver­stoß gegen den Daten­schutz, wenn an die­se Adres­se eine Ein­la­dung für das nächs­te Musik­schul­kon­zert ver­sen­det wird. Eine Wei­ter­ga­be oder gar ein Ver­kauf an Drit­te ist ohne aus­drück­li­che Erlaub­nis selbst­ver­ständ­lich völ­lig aus­ge­schlos­sen. Außer­dem steht jedem, des­sen Daten gespei­chert wur­den, ein Aus­kunfts­recht über die gespei­cher­ten Daten zu. Und dar­über hin­aus kann auch eine Löschung der Daten ver­langt wer­den, sofern dies zuläs­sig ist. Das bedeu­tet, dass ein Kun­de zwar mög­li­cher­wei­se die Löschung der E-mail-Adres­se ver­lan­gen kann, nicht jedoch die Löschung von Abrech­nungs­da­ten, die aus steu­er­recht­li­chen Grün­den auf­be­wahrt wer­den müs­sen.

Theo­rie …

Wie häu­fig bei Geset­zen hat sich der Gesetz­ge­ber nicht mit Details auf­ge­hal­ten und über­lässt die Fol­gen sei­ner Gesetz­gebung der spä­te­ren Klä­rung durch Gerich­te. Dies führt im Fal­le der DSGVO zunächst zu teils absurd anmu­ten­den Kon­se­quen­zen. So fin­det eine Daten­er­he­bung bereits statt, wenn Eltern bei einer Musik­schu­le anru­fen, um sich nach Unter­richt für ihre Kin­der zu erkun­di­gen. In die­sem Fall wer­den Daten wie Name, Tele­fon­num­mer, E-Mail-Adres­se, Alter, Geschlecht, Instru­men­ten­wunsch und musi­ka­li­sche Vor­er­fah­run­gen der Kin­der, aber unter Umstän­den auch beson­ders sen­si­ble Daten wie kör­per­li­che oder geis­ti­ge Behin­de­run­gen abge­fragt, um den Eltern ein pas­sen­des Ange­bot machen zu kön­nen. Bereits bevor all die­se Anga­ben abge­fragt wer­den, müss­te eine daten­schutz­recht­li­che Beleh­rung am Tele­fon statt­fin­den, da nur so eine infor­mier­te Ein­wil­li­gung erzielt wer­den kann. Und um die­se Ein­wil­li­gung in einem Streit­fall nach­wei­sen zu kön­nen, müss­te die­se – eben­falls mit Ein­wil­li­gung der Betrof­fe­nen – auf­ge­zeich­net wer­den.
Wäh­rend der geschil­der­te Fall sicher­lich eine eher theo­re­ti­sche Aus­wir­kung der DSGVO dar­stellt, ist die feh­len­de Aus­nah­me für das digi­ta­le Foto­gra­fie­ren und Fil­men ein rea­les Pro­blem. Wäh­rend auch bis­her Fotos von Kin­dern, die z. B. bei einem Kon­zert auf­tra­ten, nur mit Zustim­mung der Eltern ver­öf­fent­licht wer­den durf­ten, stellt das digi­ta­le Foto­gra­fie­ren und Fil­men nun per se eine Daten­er­he­bung dar. Aus­nah­men gibt es in Deutsch­land bis­her nur für fest­an­ge­stell­te Pres­se­fo­to­gra­fen. Alle ande­ren müs­sen vor dem Foto­gra­fie­ren oder Fil­men eine nach­weis­ba­re (im Zwei­fels­fall also schrift­li­che) Ein­wil­li­gung aller auf­genommenen Per­so­nen ein­ho­len. Dies gilt auch im öffent­li­chen Raum, also etwa für das Publi­kum bei einem Kon­zert – aber sogar bei einem Schnapp­schuss des Köl­ner Doms, bei dem alle Pas­san­ten zuvor ihre Ein­wil­li­gung geben müss­ten.

… und Pra­xis

Im All­tag wer­den ver­mut­lich ande­re Berei­che eine Rol­le spie­len. Das Wich­tigs­te dürf­te die eige­ne Inter­net­sei­te sein, da die­se für jeder­mann und damit auch für Abmahn­un­ter­neh­men öffent­lich ein­seh­bar ist. Eine Ver­fol­gung durch die zustän­di­gen Lan­desdatenschutzbehörden dürf­te sich auf­grund der Tat­sa­che, dass die­se meist ohne­hin zu wenig Per­so­nal haben, auf gra­vie­ren­de Fäl­le beschrän­ken.
Das obers­te Gebot der DSGVO ist, dass – wie bereits erwähnt – per­so­nen­be­zo­ge­ne Daten nicht ohne die vor­he­ri­ge Ein­wil­li­gung der betrof­fe­nen Per­so­nen erfasst und ver­ar­bei­tet wer­den dür­fen. Was sich zunächst wie eine Selbst­ver­ständ­lich­keit anhört, stellt jedoch eini­ge Anfor­de­run­gen an Anbie­ter. Bereits wenn nur eine E-Mail-Adres­se ange­ge­ben wird, unter der ein poten­zi­el­ler Kun­de Infor­ma­tio­nen ein­ho­len kann, muss dar­über infor­miert wer­den, was mit den Daten, die in der E-Mail ent­hal­ten sind, geschieht. Dar­über hin­aus dür­fen immer nur sol­che Daten erho­ben wer­den, die für den jewei­li­gen Zweck unbe­dingt erfor­der­lich sind. So ist der Geburts­ort für die Ertei­lung von Musik­un­ter­richt nicht erfor­der­lich, darf also nicht abge­fragt und gespei­chert wer­den.
Wer auf sei­ner Inter­net­sei­te Daten erfasst, muss eine Daten­schutz­er­klä­rung ein­stel­len. Im Inter­net fin­den sich diver­se Ange­bo­te von zum Teil kos­ten­frei­en Gene­ra­to­ren für Datenschutzerklärungen.1 Dabei ist davon aus­zu­ge­hen, dass jede Inter­net­sei­te Daten erfasst, da die Inter­net­pro­vi­der, bei denen die Ange­bo­te gehos­tet wer­den, in der Regel wenigs­tens die IP-Adres­se der Auf­ru­fer spei­chern, um aus­sa­ge­kräf­ti­ge Sta­tis­ti­ken über die Nut­zung der Inter­net­sei­ten erstel­len zu kön­nen.
Beim Ver­sand von News­let­tern, aber auch über Ant­wort­for­mu­la­re oder E-Mail-Ad­res­sen, die als Kon­takt ange­ge­ben wer­den, wer­den Daten der Nut­zer erfasst. In der Daten­schutz­er­klä­rung muss für jede ein­zel­ne Art der Daten­er­fas­sung eine Erläu­te­rung abge­ge­ben wer­den. Dies bezieht sich auch auf die Daten­er­fas­sun­gen durch Fremd­anbieter. So über­trägt ein Like-But­ton Daten an Face­book und ein­ge­blen­de­te Wer­be­ban­ner sen­den Daten an die Auf­trag­ge­ber. Auch Tracking­diens­te wie z. B. Goog­le-Ana­ly­tics sen­den per­so­nen­be­zo­ge­ne Daten an die jewei­li­gen Anbie­ter.
Über alle die­se Vor­gän­ge muss in der Daten­schutz­er­klä­rung infor­miert wer­den. Zu­sätzlich wird bei allen Daten­ver­ar­bei­tun­gen durch Fremd­an­bie­ter ein Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung benö­tigt. Dies ist bereits dann erfor­der­lich, wenn der Hos­ter die IP-Adres­sen der Besu­cher spei­chert. Vie­le Anbie­ter stel­len geeig­ne­te Mus­ter­ver­trä­ge zur Ver­fü­gung. Wel­che Auf­ga­ben eine Auf­trags­da­ten­ver­ar­bei­tung dar­stellt, soll­te gründ­lich geprüft wer­den, da dies nicht in jedem Fall offen­sicht­lich ist. Selbst eine kos­ten­lo­se E-Mail-Adres­se bei Anbie­tern wie gmx, web oder gmail stellt eine Auf­trags­da­ten­ver­ar­bei­tung dar. Aber auch, wenn Rech­nun­gen von Kun­den nicht im eige­nen Haus, son­dern durch eine exter­ne Abrech­nungs­fir­ma erle­digt wer­den, fin­det eine Auf­trags­da­ten­ver­ar­bei­tung statt, da die per­so­nen­be­zo­ge­nen Daten der Kun­den oder Mit­ar­bei­ter an die­se Fir­ma wei­ter­ge­ge­ben wer­den müs­sen.

Wei­te­re Anfor­de­run­gen

Alle Arbei­ten, die mit per­so­nen­be­zo­ge­nen Daten durch­ge­führt wer­den, müs­sen in einem Ver­zeich­nis der Verarbeitungstätigkei­ten auf­ge­führt wer­den. Die­ses Ver­zeich­nis ist nicht öffent­lich, muss aber jeder­zeit der zustän­di­gen Behör­de vor­ge­legt wer­den kön­nen. Das Feh­len die­ses Ver­zeich­nis­ses kann mit erheb­li­chen Buß­gel­dern belegt wer­den. Ob ein sol­ches Ver­zeich­nis selbst erstellt wer­den kann, muss jeder für sich selbst prü­fen. Der Bran­chen­ver­band Bit­kom stellt einen fast 50-sei­ti­gen Leit­fa­den zur Erstel­lung eines Ver­zeich­nis­ses von Ver­­arbeitungstätigkeiten zur Verfügung.2
Ein eben­falls nicht uner­heb­li­ches Pro­blem dürf­te die Benen­nung eines Daten­schutz­be­auf­trag­ten dar­stel­len. Es gibt zwar Aus­nah­men, die­se tref­fen auf Musik­schu­len und selbst auf frei­schaf­fen­de Musik­lehr­kräf­te jedoch kaum zu. Ins­be­son­de­re die Aus­nah­me, dass nur gele­gent­lich personen­bezogene Daten ver­ar­bei­tet wer­den, dürf­te schon des­halb nicht zutref­fen, weil Unter­richt regel­mä­ßig abge­rech­net und bezahlt wird. Auch wenn beson­ders geschütz­te Daten ver­ar­bei­tet wer­den, muss zwin­gend ein Daten­schutz­be­auf­trag­ter benannt wer­den. Zu den beson­ders geschütz­ten Daten, die für den Instru­men­tal­un­ter­richt eine gewis­se Bedeu­tung haben, zäh­len vor allem Gesund­heits­da­ten über kör­per­li­che und geis­ti­ge Behin­de­run­gen, aber auch Infor­ma­tionen über die eth­ni­sche Her­kunft von Schü­le­rIn­nen.
Doch damit sind die Pro­ble­me noch nicht erle­digt. Der Daten­schutz­be­auf­trag­te soll nur eine Kon­troll­in­stanz sein, er soll also die erfor­der­li­chen Arbei­ten zum Daten­schutz nicht selbst durch­füh­ren, son­dern nur über­wa­chen – es sind also fak­tisch min­des­tens zwei Per­so­nen erfor­der­lich. Vie­le der Auf­ga­ben sind so kom­plex, dass sie nicht mehr pri­vat umge­setzt wer­den kön­nen, son­dern nur durch eine Fir­ma, die sich auf Daten­schutz spe­zia­li­siert hat. Doch sind die Diens­te sol­cher Fir­men nicht bil­lig. Gera­de klei­ne Musik­schu­len und Frei­be­ruf­ler dürf­ten Pro­ble­me damit haben, die Kos­ten dafür auf­zu­brin­gen.

Fazit

Die neue DSGVO ist ein Gesetz, bei dem die Inter­es­sen klei­ner und kleins­ter Unter­neh­men bis hin zu Ein­zel­un­ter­neh­mern nicht berück­sich­tigt wur­den. Groß­un­ter­neh­men wer­den die gefor­der­ten Auf­ga­ben umset­zen kön­nen – und die Kos­ten dafür auf die Kun­den abwäl­zen. Den Instru­ment­al­leh­re­rIn­nen und Musik­schu­len bleibt nur, die offen­sicht­lichs­ten Maß­nah­men nach bes­tem Wis­sen und Gewis­sen umzu­set­zen, um eine teu­re Abmah­nung zu ver­mei­den und dar­auf zu hof­fen, dass die Daten­schutz­be­hör­den über­las­tet sind. Ob dem Daten­schutz auf die­se Wei­se tat­säch­lich gedient ist?

1 Wei­ter­füh­ren­de Infor­ma­tio­nen stellt der Hei­se Ver­lag unter ct.de/yg9g zur Ver­fü­gung. Der dort ver­link­te Gene­ra­tor für Daten­schutz­er­klä­run­gen ist jedoch nur für Privatperso­nen und Klein­un­ter­neh­mer kos­ten­frei. Gene­ra­to­ren für die Daten­schutz­er­klä­run­gen, die kos­ten­frei ver­wen­det wer­den dür­fen:
www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator
www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator
2 www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918 170529-LF-Verarbeitungsverzeichnis-online.pdf