Datenschutz kontra Musikunterricht?

Wer nun denkt, als private Instrumentallehrerin, kleine Musikschule oder Musikverein nicht betroffen zu sein, der irrt. Nachdem dem Datenschutz jahrelang keine große Bedeutung beigemessen wurde, wirkt sich das neue Gesetz jetzt in nahezu jedem Bereich des Lebens aus. Und obwohl sich der Datenschutz bei Weitem nicht nur auf Internetangebote erstreckt, sollte diesen die erste Aufmerksamkeit gelten, da davon auszugehen ist, dass sich die üblichen Abmahnunternehmen mit Eifer auf die Suche nach Verstößen machen werden.

Worum geht es eigentlich?

Im Grunde ist der Hauptpunkt, dass perso­nenbezogene Daten nur mit ausdrücklicher Zustimmung der Betroffenen erhoben werden dürfen. Das bedeutet konkret, dass Personen, deren Daten erfasst werden sollen, vor der Erfassung informiert werden müssen, welche Daten zu welchem Zweck gespeichert werden. Anschließend dürfen diese Daten ausschließlich zu diesem Zweck verwendet werden. Wenn also jemand seine E-Mail-Adresse hinterlässt, um über einen möglichen Unterrichtsausfall informiert zu werden, so ist es ein Verstoß gegen den Datenschutz, wenn an diese Adresse eine Einladung für das nächste Musikschulkonzert versendet wird. Eine Weitergabe oder gar ein Verkauf an Dritte ist ohne ausdrückliche Erlaubnis selbstverständlich völlig ausgeschlossen. Außerdem steht jedem, dessen Daten gespeichert wurden, ein Auskunftsrecht über die gespeicherten Daten zu. Und darüber hinaus kann auch eine Löschung der Daten verlangt werden, sofern dies zulässig ist. Das bedeutet, dass ein Kunde zwar möglicherweise die Löschung der E-mail-Adresse verlangen kann, nicht jedoch die Löschung von Abrechnungsdaten, die aus steuerrechtlichen Gründen aufbewahrt werden müssen.

Theorie …

Wie häufig bei Gesetzen hat sich der Gesetzgeber nicht mit Details aufgehalten und überlässt die Folgen seiner Gesetz­gebung der späteren Klärung durch Gerichte. Dies führt im Falle der DSGVO zunächst zu teils absurd anmutenden Konsequenzen. So findet eine Datenerhebung bereits statt, wenn Eltern bei einer Musikschule anrufen, um sich nach Unterricht für ihre Kinder zu erkundigen. In diesem Fall werden Daten wie Name, Telefonnummer, E-Mail-Adresse, Alter, Geschlecht, Instrumentenwunsch und musikalische Vorerfahrungen der Kinder, aber unter Umständen auch besonders sensible Daten wie körperliche oder geistige Behinderungen abgefragt, um den Eltern ein passendes Angebot machen zu können. Bereits bevor all diese Angaben abgefragt werden, müsste eine datenschutzrechtliche Belehrung am Telefon stattfinden, da nur so eine informierte Einwilligung erzielt werden kann. Und um diese Einwilligung in einem Streitfall nachweisen zu können, müsste diese – ebenfalls mit Einwilligung der Betroffenen – aufgezeichnet werden.
Während der geschilderte Fall sicherlich eine eher theoretische Auswirkung der DSGVO darstellt, ist die fehlende Ausnahme für das digitale Fotografieren und Filmen ein reales Problem. Während auch bisher Fotos von Kindern, die z. B. bei einem Konzert auftraten, nur mit Zustimmung der Eltern veröffentlicht werden durften, stellt das digitale Fotografieren und Filmen nun per se eine Datenerhebung dar. Ausnahmen gibt es in Deutschland bisher nur für festangestellte Pressefotografen. Alle anderen müssen vor dem Fotografieren oder Filmen eine nachweisbare (im Zweifelsfall also schriftliche) Einwilligung aller auf­genommenen Personen einholen. Dies gilt auch im öffentlichen Raum, also etwa für das Publikum bei einem Konzert – aber sogar bei einem Schnappschuss des Kölner Doms, bei dem alle Passanten zuvor ihre Einwilligung geben müssten.

… und Praxis

Im Alltag werden vermutlich andere Bereiche eine Rolle spielen. Das Wichtigste dürfte die eigene Internetseite sein, da diese für jedermann und damit auch für Abmahnunternehmen öffentlich einsehbar ist. Eine Verfolgung durch die zuständigen Lan­desdatenschutzbehörden dürfte sich aufgrund der Tatsache, dass diese meist ohnehin zu wenig Personal haben, auf gravierende Fälle beschränken.
Das oberste Gebot der DSGVO ist, dass – wie bereits erwähnt – personenbezogene Daten nicht ohne die vorherige Einwilligung der betroffenen Personen erfasst und verarbeitet werden dürfen. Was sich zunächst wie eine Selbstverständlichkeit anhört, stellt jedoch einige Anforderungen an Anbieter. Bereits wenn nur eine E-Mail-Adresse angegeben wird, unter der ein potenzieller Kunde Informationen einholen kann, muss darüber informiert werden, was mit den Daten, die in der E-Mail enthalten sind, geschieht. Darüber hinaus dürfen immer nur solche Daten erhoben werden, die für den jeweiligen Zweck unbedingt erforderlich sind. So ist der Geburtsort für die Erteilung von Musikunterricht nicht erforderlich, darf also nicht abgefragt und gespeichert werden.
Wer auf seiner Internetseite Daten erfasst, muss eine Datenschutzerklärung einstellen. Im Internet finden sich diverse Angebote von zum Teil kostenfreien Generatoren für Datenschutzerklärungen.1 Dabei ist davon auszugehen, dass jede Internetseite Daten erfasst, da die Internetprovider, bei denen die Angebote gehostet werden, in der Regel wenigstens die IP-Adresse der Aufrufer speichern, um aussagekräftige Statistiken über die Nutzung der Internetseiten erstellen zu können.
Beim Versand von Newslettern, aber auch über Antwortformulare oder E-Mail-Ad­ressen, die als Kontakt angegeben werden, werden Daten der Nutzer erfasst. In der Datenschutzerklärung muss für jede einzelne Art der Datenerfassung eine Erläuterung abgegeben werden. Dies bezieht sich auch auf die Datenerfassungen durch Fremd­anbieter. So überträgt ein Like-Button Daten an Facebook und eingeblendete Werbebanner senden Daten an die Auftraggeber. Auch Trackingdienste wie z. B. Google-Analytics senden personenbezogene Daten an die jeweiligen Anbieter.
Über alle diese Vorgänge muss in der Datenschutzerklärung informiert werden. Zu­sätzlich wird bei allen Datenverarbeitungen durch Fremdanbieter ein Vertrag zur Auftragsdatenverarbeitung benötigt. Dies ist bereits dann erforderlich, wenn der Hoster die IP-Adressen der Besucher speichert. Viele Anbieter stellen geeignete Musterverträge zur Verfügung. Welche Aufgaben eine Auftragsdatenverarbeitung darstellt, sollte gründlich geprüft werden, da dies nicht in jedem Fall offensichtlich ist. Selbst eine kostenlose E-Mail-Adresse bei Anbietern wie gmx, web oder gmail stellt eine Auftragsdatenverarbeitung dar. Aber auch, wenn Rechnungen von Kunden nicht im eigenen Haus, sondern durch eine externe Abrechnungsfirma erledigt werden, findet eine Auftragsdatenverarbeitung statt, da die personenbezogenen Daten der Kunden oder Mitarbeiter an diese Firma weitergegeben werden müssen.

Weitere Anforderungen

Alle Arbeiten, die mit personenbezogenen Daten durchgeführt werden, müssen in einem Verzeichnis der Verarbeitungstätigkei­ten aufgeführt werden. Dieses Verzeichnis ist nicht öffentlich, muss aber jederzeit der zuständigen Behörde vorgelegt werden können. Das Fehlen dieses Verzeichnisses kann mit erheblichen Bußgeldern belegt werden. Ob ein solches Verzeichnis selbst erstellt werden kann, muss jeder für sich selbst prüfen. Der Branchenverband Bitkom stellt einen fast 50-seitigen Leitfaden zur Erstellung eines Verzeichnisses von Ver­­arbeitungstätigkeiten zur Verfügung.2
Ein ebenfalls nicht unerhebliches Problem dürfte die Benennung eines Datenschutzbeauftragten darstellen. Es gibt zwar Ausnahmen, diese treffen auf Musikschulen und selbst auf freischaffende Musiklehrkräfte jedoch kaum zu. Insbesondere die Ausnahme, dass nur gelegentlich personen­bezogene Daten verarbeitet werden, dürfte schon deshalb nicht zutreffen, weil Unterricht regelmäßig abgerechnet und bezahlt wird. Auch wenn besonders geschützte Daten verarbeitet werden, muss zwingend ein Datenschutzbeauftragter benannt werden. Zu den besonders geschützten Daten, die für den Instrumentalunterricht eine gewisse Bedeutung haben, zählen vor allem Gesundheitsdaten über körperliche und geistige Behinderungen, aber auch Infor­ma­tionen über die ethnische Herkunft von SchülerInnen.
Doch damit sind die Probleme noch nicht erledigt. Der Datenschutzbeauftragte soll nur eine Kontrollinstanz sein, er soll also die erforderlichen Arbeiten zum Datenschutz nicht selbst durchführen, sondern nur überwachen – es sind also faktisch mindestens zwei Personen erforderlich. Viele der Aufgaben sind so komplex, dass sie nicht mehr privat umgesetzt werden können, sondern nur durch eine Firma, die sich auf Datenschutz spezialisiert hat. Doch sind die Dienste solcher Firmen nicht billig. Gerade kleine Musikschulen und Freiberufler dürften Probleme damit haben, die Kosten dafür aufzubringen.

Fazit

Die neue DSGVO ist ein Gesetz, bei dem die Interessen kleiner und kleinster Unternehmen bis hin zu Einzelunternehmern nicht berücksichtigt wurden. Großunternehmen werden die geforderten Aufgaben umsetzen können – und die Kosten dafür auf die Kunden abwälzen. Den InstrumentallehrerInnen und Musikschulen bleibt nur, die offensichtlichsten Maßnahmen nach bestem Wissen und Gewissen umzusetzen, um eine teure Abmahnung zu vermeiden und darauf zu hoffen, dass die Datenschutzbehörden überlastet sind. Ob dem Datenschutz auf diese Weise tatsächlich gedient ist?

1 Weiterführende Informationen stellt der Heise Verlag unter ct.de/yg9g zur Verfügung. Der dort verlinkte Generator für Datenschutzerklärungen ist jedoch nur für Privatperso­nen und Kleinunternehmer kostenfrei. Generatoren für die Datenschutzerklärungen, die kostenfrei verwendet werden dürfen:
www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator
www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator
2 www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918 170529-LF-Verarbeitungsverzeichnis-online.pdf