Ab dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedstaaten. Der europäische Gesetzgeber bekennt sich mit der DSGVO klar zur Charta der Grundrechte der Europäischen Union, welche in den Art. 7 und 8 das Recht auf Achtung des Privat- und Familienlebens sowie das Recht auf Schutz personenbezogener Daten regelt. Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Sie schützt also natürliche Personen vor der Beeinträchtigung ihrer Persönlichkeitsrechte, sofern deren personenbezogene Daten verarbeitet werden.
Die wesentliche Idee beziehungsweise das Ziel des Datenschutzes ist es, den sogenannten „gläsernen Menschen“ zu verhindern: Jeder Mensch soll grundsätzlich selbst entscheiden können, wem wann welche seiner persönlichen Daten zugänglich sein sollen.
Mit der DSGVO werden erstmals EU-weit einheitliche Standards zum gesetzeskonformen Umgang mit personenbezogenen Daten geschaffen. Damit verbunden ist eine Stärkung der strategischen Bedeutung des Datenschutzes in den verantwortlichen Stellen. Dies gilt primär für öffentliche und nicht-öffentliche Stellen innerhalb der Europäischen Gemeinschaft, aber auch für alle Unternehmen, die personenbezogene Daten von EU-Bürgern irgendwo in der Welt verarbeiten.
Um ein reibungsloses Zusammenspiel der DSGVO und dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen wurde es erforderlich, das bisherige Bundesdatenschutzgesetz (BDSG) durch ein neues Bundesdatenschutzgesetz abzulösen. Diese Neufassung des BDSG erfolgte mit dem Datenschutz-Anpassungsgesetz- und Umsetzungsgesetz EU (DSAnpUG-EU oder einfachheitshalber BDSG-neu), welches ebenfalls zum 25. Mai 2018 in Kraft tritt.
Die DSGVO in Verbindung mit dem BDSG-neu gilt auch für Vereine, sobald diese elektronisch oder nicht automatisiert in einer strukturierten Ablage (zum Beispiel Mitgliederkartei mit Karteikasten) personenbezogene Daten verarbeiten oder nutzen. Betroffen von der DSGVO sind folglich Unternehmen, Vereine, Verbände, Parteien, Stiftungen, Körperschaften des öffentlichen Rechts und Einrichtungen des Bundes, der Länder und Kommunen. Dabei ist es unerheblich ob der Absatz von Waren oder Dienstleistungen unentgeltlich erfolgt, auch NGOs (Nichtregierungsorganisationen) sind betroffen.
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen“. Typische personenbezogene Daten sind Name, Adresse, Telefonnummer, Geburtsdatum, Fotos, E-Mail-Adresse, Gesundheitsinformationen, Wettkampfergebnisse, Mitgliedschaften in Organisationen oder persönliche Interessen und anderes: letztlich alle Daten, die die betroffene Person, deren Verhalten oder Lebensumstände beschreiben. Haben die Informationen keine eindeutige Zuordnung zu einer natürlichen Person und kann diese Zuordnung zudem nicht hergestellt werden, weil sie zum Beispiel anonymisiert wurden, dann fällt die Verarbeitung solcher Daten nicht unter die DSGVO. Mit „Verarbeiten“ meint der Gesetzgeber das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten. Unter die Nutzung fällt zum Beispiel die Datenweitergabe innerhalb eines Vereins oder wenn der Verein die Daten extern verwalten lässt.
Nach wie vor ist die DSGVO ein Gesetz mit Erlaubnisvorbehalt. Das heißt: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, sofern die Verarbeitung nicht ausdrücklich gesetzlich erlaubt ist oder die betroffene Person in die Verarbeitung eingewilligt hat. Soll ein Kind bei einem Angebot von Diensten der Informationsgesellschaft einwilligen, muss dieses nach der DSGVO und in Deutschland das 16. Lebensjahr vollendet haben. Die Verarbeitung ist also nur dann rechtmäßig, wenn mindestens eine Einwilligung der betroffenen Person vorliegt oder die Verarbeitung erforderlich ist für:
- die Erfüllung eines Vertrages mit der betroffenen Person oder dessen Anbahnung,
- die Erfüllung der rechtlichen Verpflichtung des Verantwortlichen
- den Schutz von lebenswichtigen Interessen,
- die Wahrnehmung von Aufgaben im öffentlichen Interesse oder
- die Wahrung berechtigter Interessen des Verantwortlichen bei Interessenabwägung.
Weiterhin besteht insbesondere Anpassungsbedarf für die Bereiche:
- Einwilligungen der Betroffenen
- Informationen an die Betroffenen (spätestens nach 4 Wochen)
- interne Dokumentation (zum Beispiel Datenschutzkonzept, Verzeichnis von Verarbeitungstätigkeiten/Verfahrensverzeichnis und so weiter)
- Auftragsdatenverarbeitung (soweit Dritte mit der Verarbeitung oder Nutzung personenbezogener Daten beauftragt werden)
- Sicherheit der Verarbeitung (Umsetzung durch geeignete technische und organisatorische Maßnahmen, die getroffen wurden, unter Berücksichtigung des Stands der Technik)
- Meldepflicht bei Datenschutzverstößen
Diese Auflistung umfasst nur die wichtigsten Bereiche. Begriffe wie Privacy by design und by default, Risikoanalyse und Folgeabschätzung, Inhalte der Datenschutzerklärung, Bußgeld, Rechte der Aufsichtsbehörden und die wohl voraussichtlich in 2019 in Kraft tretende ePrivacy-VO, et cetera, wurden noch nicht angesprochen.
Die Umsetzung der DSGVO ist eine große Herausforderung und der Druck, die datenschutzrechtlichen Vorgaben einzuhalten ist aufgrund des drastischen Bußgeldrahmens der Verordnung groß. Der Verantwortliche, in der Regel die Geschäftsführung, haftet für Schäden, die einer Person aufgrund einer Datenverarbeitung entstehen, die mit der DSGVO oder dem BDSG-neu nicht im Einklang stehen.
Bis zum 25. Mai 2018 müssen die Regeln umgesetzt werden. Es ist daher ratsam für alle Musikschulen, sich vom zuständigen Datenschutzbeauftragten beraten zu lassen. Sollte es keinen Datenschutzbeauftragten geben, sollte sich die Schule an den zuständigen Landesdatenschutzbeauftragten wenden, um zu erfahren, inwieweit sie einen Datenschutzbeauftragten benötigt und welchen weiteren Anforderungen sie unterliegt.
Literaturempfehlung
- Die vom Bayerischen Landesamt für Datenschutzaufsicht herausgegebene Handreichung: Thomas Kranig, Dr. Eugen Ehmann: „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine. Das Sofortmaßnahmen-Paket“, 2017, 63 S. C.H.BECK ISBN 978-3-406-71662-1, 5,50 Euro.