Überspringen zu Hauptinhalt

Anzeige

Eine private Musikschule mit 20 Lehrern und 500 Schülern braucht keinen Datenschutzbeauftragten.

Musikschulen in ganz Deutschland haben derzeit Angst vor Abmahnungen und hohen Bußgeldern bei Verstößen gegen die neue Datenschutzgrundverordnung (DS-GVO). Auch sind viele unsicher, ob sie überhaupt einen Datenschutzbeauftragten brauchen. Doch ist die Angst berechtigt? msi-Redakteur Michael Herrmann hat Thomas Kranig, den Präsidenten des Landesamts für Datenschutzaufsicht in Bayern, zur neuen Datenschutz-Grundverordnung befragt. Er gibt – vorsichtig – Entwarnung.

msi: Die Datenschutz-Grundverordnung (DS-GVO) ist in aller Munde. Ich nehme mal an, Ihr Arbeitsaufkommen hat sich in letzter Zeit stark gesteigert. Wie sieht Ihr Alltag im Moment aus?

Thomas Kranig: Anstrengend. Wir müssen derzeit erst einmal einen Überblick bekommen, was bei uns überhaupt aufläuft. Wir haben bis zum Stand 6. Juli über 6.000 Beratungsanfragen erhalten. Im ganzen letzten Jahr hingegen waren es nur 2.800. Und wir haben es noch gar nicht geschafft, alle eingegangenen Beratungsanfragen auch in unserem internen Verwaltungs-System zu erfassen. Die Unsicherheit, die momentan vorhanden ist, was die Anwendbarkeit betrifft, in Verbindung mit dem von vielen Leuten genannten Drohpotenzial „Dann kommt die Behörde und setzt 20 Millionen Bußgeld fest, oder auch nur das kleine Bußgeld von nur 10 Millionen“, führt dazu, dass ganz, ganz viele wissen wollen, wie sie es richtig machen sollen, wofür ich natürlich Verständnis habe. Aber es führt auch dazu, dass wir schlicht absaufen.

Parallel dazu ist auch die Zahl der Beschwerden bezüglich Datenschutzverstößen deutlich gestiegen: schon 1.380 zum jetzigen Zeitpunkt. Im gesamten letzten Jahr waren es 1.700. Da ist der Anstieg also nicht ganz so überproportional, aber wenn man betrachtet, dass die 1.380 bereits innerhalb von 6 Monaten erreicht wurden, ist erkennbar, dass auch diese Zahl mehr werden wird als im letzten Jahr.

Und eine dritte Sache, die uns im Moment belastet: wir haben seit der DS-GVO die Meldepflicht für Datenschutzverletzungen. Das bedeutet, wenn irgendwo ein USB-Stick verloren geht, wenn Sie Ihr Tablet verlieren, oder wenn Sie auch nur die Rechnung einer Musikschule mit personenbezogenen Daten an einen Falschen schicken, dann ist das unter Umständen eine Übermittlung personenbezogener Daten an eine unberechtigte Person und somit eine Datenschutzverletzung. Diese ist bei uns meldepflichtig. Das explodiert derzeit dermaßen, dass wir 442 Meldungen im ersten Halbjahr 2018 bei 150 Meldungen im gesamten letzten Jahr hatten. Da sind dann Dinge dabei, bei denen wir nicht viel machen können, wie bei einem Rechnungs-Fehlversand, aber eben auch Hacking-Vorfälle oder ein sonstiger Verlust von Datenträgern, wo es schon problematischer werden kann.

Sind sie denn als Datenschutz-Aufsichtsbehörde überhaupt zuständig für Beratungen?

Wir diskutieren gerade intern, in welchem Umfang wir für Beratungen zuständig sind. Sicher ist, dass wir auf jeden Fall für Beratung von Bürgern, ebenso für Beratung von Datenschutzbeauftragten zuständig sind.

Ob wir allerdings die Verantwortlichen, beispielsweise eine Musikschule oder einen Musikschulverein, beraten müssen, haben wir intern noch nicht abschließend geklärt. Auf jeden Fall dürfen wir es und unser Ziel ist auch, in dem Umfang, in dem wir es können, zu beraten und damit auch präventiv mitzuwirken, dass Datenschutzverstöße gar nicht erst entstehen.

Musikschulen und andere Unternehmen haben derzeit sehr viel Angst vor Abmahnungen. Wie konkret ist diese Gefahr, wenn ich jetzt auf ihr Beispiel von vorhin zurückkomme, den Fehlversand einer Rechnung. Was muss eine Musikschule wirklich befürchten?

Wenn es zu einer Datenschutzverletzung kommt, kann diese auch sanktioniert werden. Allerdings nur, wenn sie nicht zuvor bei uns vom Verursacher gemeldet worden ist. Wenn sie bereits gemeldet worden ist, werden wir wegen dieses Sachverhalts zumindest kein Bußgeldverfahren einleiten. Wer einen Verstoß meldet, ist also sicher vor einer Verfolgung.

Und zum Thema Abmahnungen mal eine Gegenfrage: Wie viele Abmahnungen wegen Datenschutzverstößen haben Sie schon bekommen? Oder kennen Sie jemanden, der eine bekommen hat?

Gott sei Dank kenne ich keinen, der eine bekommen hat.

Ich auch nicht. Ich war gestern Abend in Aschaffenburg bei einer Abendveranstaltung mit über 200 Leuten, und habe dann mal gefragt – auch da ist noch kein einziger mit Datenschutzverstößen abgemahnt worden. Wir wissen auch, dass traditionelle Abmahnkanzleien derzeit Abstand davon nehmen, wegen Datenschutzverstößen vorzugehen, da eben die Rechtslage aktuell viel zu unsicher ist.

Es wird immer behauptet, es gebe eine Abmahnwelle. Dazu sage ich: es hätte schon immer eine Abmahnwelle geben können, da sich auch jetzt durch die Grundverordnung insoweit nichts geändert hat. Ich habe sie früher nicht gesehen, ich sehe sie jetzt auch nicht.

Was ich allerdings sehe, ist die Angst, die da ist. Diese ist jedoch unberechtigt.

Insofern halte ich das Risiko bei Vereinen, beziehungsweise bei gemeinnützigen Organisationen, die nicht im Wettbewerb stehen schlicht für ausgeschlossen. Bei privaten Musikschulen, die ja schon im gewissen Umfang im Wettbewerb stehen, glaube ich es auch nicht.

Ich kann nur sagen, es gibt auch eine Initiative der Bayrischen Staatsregierung über den Bundesrat, dass das Gesetz gegen den unlauteren Wettbewerb und das sogenannte Unterlassungsklagengesetz geändert werden sollen, um rechtsmissbräuchlichen Abmahnungen wegen Datenschutz den Boden zu entziehen, so dass solche Verstöße grundsätzlich nicht abgemahnt werden können. Ich würde das befürworten, um damit die Rechtslage eindeutig zu machen.

Könnte man dann sagen, Musikschulen können sich zurücklehnen?

Naja, zurücklehnen ist die Frage. Alleine die Tatsache, dass man nicht abgemahnt werden kann, bedeutet nicht, dass man nicht trotzdem seine Anforderungen erfüllen muss. Als Drohpotenzial sind ja die Aufsichtsbehörden wie wir auch noch da, die eben dann auch die Einhaltung der Datenschutzvorschriften prüfen müssen.

Aber ist denn die kleine Musikschule mit ihren zehn bis zwanzig Musiklehrern überhaupt interessant für die Datenschutzaufsichtsbehörde?

Jein. Jeder, der mit personenbezogenen Daten umgeht, ist für uns interessant. Jede Musikschule – ich war selber mal im Vorstand eines Fördervereins einer Musikschule, von daher kenne ich das Geschäft ein bisschen – hat personenbezogene Daten, hat die Schülerdaten, die Elterndaten, oder auch die Bankdaten, Daten wie fähig Schüler oder Lehrer sind, also Daten, die durchaus nicht ganz belanglos sind. Allerdings ist die Verarbeitung und Nutzung diese Daten bei Musikschulen nicht Teil des Geschäftsmodells. Musikschulen „verkaufen“ ihre Unterrichtsleistung und dazu brauchen sie die Daten, damit das überhaupt funktioniert. Insofern sind sie jetzt nicht im Fokus von uns, was die sogenannten anlasslosen Prüfungen betrifft. Andererseits ist es aber so, dass dann, wenn sich ein Musikschüler oder ein Elternteil eines Musikschülers beziehungsweise einer Musikschülerin bei uns beschwert und behauptet, die Schule gehe nicht ordentlich mit ihren Daten um, wir in diesen Fällen immer reagieren. Wir prüfen den Fall. Dann kann es auch passieren, dass wir eine Musikschule genauer unter die Lupe nehmen. Wenn dann ein wirklich gravierender Verstoß vorliegt, werden wir auch eine Sanktion vornehmen.

Wie sieht denn so ein sanktionierbarer Fall aus – ein konstruierter, beim Sie  sich denken könnten, da könnte eine Musikschule wirklich Gefahr laufen (mal abgesehen von der fehlenden Datenschutzerklärung auf der Webseite), ganz allgemein Schwierigkeiten zu bekommen?

Denkbar wäre folgendes: Ein Musikschüler hat Unterricht in Gitarre. Sein Musiklehrer wiederum hat eine Kooperation mit einem Musikgeschäft und ist der Meinung, die Gitarre des Schülers muss durch eine neue ersetzt werden, und gibt die Kontaktdaten des Schülers an das Musikgeschäft weiter, zusammen mit der Anregung, dem Schüler eine neue Gitarre zu verkaufen.

Die Weitergabe dieser personenbezogenen Daten wäre eine solche Datenschutzverletzung, da gibt es keine Rechtsgrundlage dafür. Wenn sich dann die Eltern beschweren, warum der Lehrer oder die Musikschule die Daten des Schülers weitergegeben hat, prüfen wir das und stellen fest, dass das nicht in Ordnung ist.

Und wenn wir darüber hinaus im Rahmen dieser Prüfung feststellen würden, dass es sich hierbei sogar um ein Geschäftsmodell dieses Lehrers handelt (also er bekommt beispielsweise 5 Prozent Provision für jedes verkaufte Instrument), würden wir wirklich eine schmerzhafte Sanktion (wenn vielleicht auch nicht gleich 10 Millionen Euro) verhängen.

Das klingt nach viel Arbeit. Wie groß ist Ihre Behörde eigentlich? Wie viele Mitarbeiter haben Sie?

(seufzt) …zu klein! Wir haben momentan gerade einmal 21 Stellen besetzt. Wir werden spätestens bis August auf 24 Stellen aufgestockt.

Wir sind allerdings, wenn ich mal als Beispiel nur die Vereine nehme, in Bayern zuständig für 91.000 Vereine, die wir kontrollieren und beraten müssen. Und dann haben wir über 700.000 sonstige Unternehmen, von Siemens, Audi, BMW bis zum Handwerker und Bäcker um die Ecke, die mit personenbezogenen Daten umgehen. Wahrscheinlich sind es sogar noch mehr, die wir beaufsichtigen und kontrollieren müssen.

Eine andere Frage, die mir in den letzten Wochen häufig gestellt worden ist: Braucht eine Musikschule mit 20 Mitarbeitern überhaupt einen Datenschutzbeauftragten?

Da muss man unterscheiden:

Wenn es sich um eine Musikschule in öffentlicher Trägerschaft handelt, dann muss sie Kraft Gesetzes einen Datenschutzbeauftragten haben, denn jede Behörde ist dazu verpflichtet.

Anders sieht es aus bei Musikschulen, die als Verein organisiert sind, gemeinnützige GmbHs oder in privater Trägerschaft sind. Eine solche Musikschule benötigt einen Datenschutzbeauftragten, wenn mindestens zehn Personen ständig überwiegend mit personenbezogenen Daten umgehen.

Und “ständig” haben wir so definiert, dass es sich um die überwiegende Arbeitszeit handelt. Wenn ich jetzt einen Geigenlehrer als Beispiel nehme, dann schaut dieser vielleicht kurz vor der Unterrichtsstunde nach, wie sein nächster Schüler heißt, oder er ruft ihn gelegentlich an, weil er krank ist und nicht unterrichten kann. Aber die meiste Zeit seiner Arbeitszeit macht er Musikunterricht. Und damit würde so jemand aus unserer Sicht nicht dazuzählen, weil er nicht ständig mit der automatisierten Verarbeitung der Daten befasst ist. Eine typische Musikschule mit 20 Lehrern und 500 Schülern braucht keinen Datenschutzbeauftragten. Eine Ausnahme wäre natürlich eine Musikschule mit 2.000 Schülern oder mehr. Wenn eine solche Musikschule 10 oder mehr Mitarbeiter in der Verwaltung hat, die täglich überwiegend automatisiert Daten verarbeiten, dann ist ein Datenschutzbeauftragter obligatorisch.

Es gibt ja interessante Auswüchse, seit es die Datenschutz-Grundverordung gibt. Die Gerüchte überschlagen sich. Beispiel: Was man sehr häufig hört, das ist, dass WhatsApp-Gruppen mittlerweile nicht mehr genutzt werden dürfen. Wie sehen Sie das? Zum Beispiel: Ein Lehrer hat ein Schüler-Ensemble, das er leitet, und hat das in einer WhatsApp-Gruppe organisiert. Oder es gibt die typische Lehrer-WhatsApp-Gruppe, in der alle Lehrer einer Musikschule Mitglied sind. Wie sehen Sie das?

Kritisch. Es ist aus meiner Sicht praktisch nicht möglich, WhatsApp datenschutzkonform einzusetzen. Denn, wenn Sie WhatsApp nutzen, bedeutet dies, dass Sie Ihre ganzen Kontakte, die Sie haben, zu WhatsApp in die USA übertragen, und zwar absolut alle, die Sie auf Ihrem Gerät haben.

Was WhatsApp dann mit diesen Daten macht und an wen diese Daten weitergegeben werden, ist von unserer Seite aus nicht nachvollziehbar und mit Sicherheit nicht mit unserem Recht vereinbar.

Es gibt andere Messenger-Dienste, die datenschutzkonform arbeiten, Threema zum Beispiel.

Haben Sie ein Beispiel aus Ihrem Arbeitsalltag, das Ihnen besonders in Erinnerung geblieben ist?

Eine der schwierigsten Fragen, die wir momentan im neuen Datenschutzrecht haben, ist die Frage der Informationspflichten. Was muss ich meinen Geschäftspartnern an Informationen geben, was ich mit ihren Daten mache? Oder wenn ich es für Sie runterbreche: Was muss eine Musikschule den Eltern an Informationen geben, wenn ein Schüler sich anmeldet? Das Gesetz ist da sehr weitgehend, was die Informationspflichten angeht. Trotzdem steht drin, dass man nur „geeignete“ Maßnahmen ergreifen und nicht über Dinge informieren muss, die man schon weiß. Um nun ein Beispiel zu nennen: Wir hatten am 26. Mai, also einen Tag nach Inkrafttreten der DS-GVO, schon eine Beschwerde. Jemand hat mit seinem Arzt telefoniert, weil er einen Termin ausmachen wollte, und dieser habe ihn bei dem Telefongespräch nicht davor informiert, wer er ist, ob er einen Datenschutzbeauftragten hat und was er mit den Daten mache. Und deswegen beantrage er jetzt, gegen den Arzt ein saftiges Bußgeld zu verhängen.

Unglaublich.

Ja, und dabei sollte doch eigentlich klar sein, wenn ich mit jemandem telefoniere, und einen Termin vereinbare, dass das Gegenüber sich wohl vermutlich Namen, Telefonnummer und vielleicht noch eine kleine Notiz dazu aufschreibt.

Herr Kranig, vielen Dank für das Gespräch, das war sehr, sehr aufschlussreich.

Avatar-Foto
Michael Herrmann ist Musikschulleiter und geschäftsführender Gesellschafter der intakt Musikinstitut gemeinnützigen GmbH in Pfaffenhofen. Er studierte Jazz-Piano und unterrichtet Klavier und Gesang, ist Gründer und ehemaliger Herausgeber von musikschule intern und ist darüber hinaus als Musiker unterwegs.

Keine Kommentare

Dieser Beitrag hat 0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

An den Anfang scrollen