Poser: Rechtsprechungsübersicht zu Verkehrssicherungs- und Betreiberpflichten...
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
1. M Recht der neuen Medien
M13
Vom Datenschutz und der Datensicher-
heit zur „Datenschutzkultur“
Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
Dr. Rutger von der Horst
Rechtsanwalt, Fredricks & von der Horst (Los Angeles Köln Münster)
www.virtuelle-kanzlei.com
Tätigkeitsschwerpunkt Wirtschaftsmedienrecht: Urheber, Marken, E-Commerce,
Werbung, Wettbewerb; Mitbegründer von MedienAnwälte-International (MAI)®
Inhalt Seite
1. Einleitung 3
2. „Datenschutzkultur“ als Zielvorgabe 3
3. Datenschutzrecht 4
3.1 Das Recht auf informationelle Selbstbestimmung 4
3.2 Welche Daten sollen geschützt werden? 5
3.3 Wann sind Daten geschützt? 6
3.4 Welche Vorgänge sollen durch den Datenschutz geschützt werden? 7
3.5 Grundsatz der Vermeidung der Datenerhebung 8
3.6 Grundsatz der Datensparsamkeit 9
3.7 Grundsatz der kurzen Dauer der Datenspeicherung 9
3.8 Grundsatz des Datenweitergabeverbots ohne Einwilligung 9
3.9 An wen richten sich die Anforderungen des Datenschutzes? 10
3.10 Datensicherheit/Datenschutz: „Chefsache“! 10
3.11 Verpflichtung der Mitarbeiter auf das Datengeheimnis 11
4. Wann ist die Datenerhebung, -verarbeitung und -nutzung
zulässig? 12
4.1 Einwilligung 12
4.2 Rechtsvorschrift 14
4.3 Vertragsabwicklung 14
4.4 Vertragsähnliches Verhältnis 15
4.5 Sonstiges berechtigtes Interesse 15
4.6 Allgemein zugängliche Daten 16
4.7 Die Benachrichtigungspflicht 16
5. Datenschutz durch Datensicherheit 20
5.1 Datensicherheitsgrundsätze 21
5.2 Datenschutzsicherungsmaßnahmen 21
5.3 Datenschutz und –sicherheits-Risikoanalyse 22 M
13
S. 1
40 Kultur & Recht Januar 2008
2. M Recht der neuen Medien
M13
6. Pflicht zur Bestellung eines Datenschutzbeauftragten 23
6.1 Automatisierte Datenverarbeitung 24
6.2 Nicht-automatisierte Datenverarbeitung 25
6.3 Wer kann Datenschutzbeauftragter werden? 25
6.4 Aufgaben des Datenschutzbeauftragten 27
6.5 Welche (arbeitsrechtliche) Stellung hat der betriebsinterne
Datenschutzbeauftragte? 28
6.6 Wie muss die Bestellung des Datenschutzbeauftragten erfolgen? 29
7. Reaktionsmöglichkeiten des Betroffenen (Kunden) 30
7.1 Das Auskunftsrecht 30
7.2 Das Berichtigungsrecht 31
7.3 Das Sperrungs- und Gegendarstellungsrecht 32
7.4 Das Löschungsrecht 32
7.5 Das Einwand- oder Widerspruchsrecht 33
7.6 Rechtsfolgen bei Verstößen 33
8. Internationaler Datenverkehr 33
8.1 Übermittlung in EU- oder EWR-Mitgliedstaaten 34
8.2 Übermittlung in Drittstaaten 36
8.3 Feststellung der EU-Kommission, Safe Harbor Abkommen 36
8.4 EU-Standardvertragsklauseln 37
8.5 Unternehmensregelungen („Codes of Conduct“) 37
8.6 Gesetzliche Ausnahme vom angemessenen Datenschutzniveau 37
8.7 Genehmigung der Aufsichtsbehörde 38
9. Marketinginstrument Datenschutz 39
9.1 Datenschutzrisiken beim E-Commerce aus Verbrauchersicht 39
9.2 Wettbewerbsvorteil Datenschutz: Der Total-Quality-Ansatz 40
Muster: Verpflichtungserklärung nach § 5 des
Bundesdatenschutzgesetzes (BDSG) 11
Checkliste: Rechtmäßigkeitsprüfung der Erhebung
personenbezogener Daten 18
Bestellung zum Datenschutzbeauftragten 29
Datenschutzerklärung 40
M
13
S. 2
40 Kultur & Recht Januar 2008
3. M Recht der neuen Medien
M13
1. Einleitung
Datenschutz und Datensicherheit, diese beiden Themen gewinnen auch im mitt-
lerweile „technisierten und elektronisierten“ Kunst- und Kulturbetrieb zuneh-
mend an Bedeutung.
Ob im Online-Shop des Museums, in dem der Katalog zu aktuellen Aus-
stellungen oder Merchandising-Artikel online geordert werden können, ob
der Ticket-Vorverkauf für Vortragsreihen online abgewickelt wird oder der News-
letter des Fördervereins online bezogen wird, gerade in der Online-Welt erzeugt
jede digitale Lebensregung ihre Datenspur.
„Datenjäger und -sammler“ haben den steigenden Wert personenbezogener Daten
und deren wachsende Bedeutung für die Informationswirtschaft erkannt. Die
Verwertung derartiger Daten wird zunehmend auch im Kunst- und Kulturbetrieb
als weitere Einnahmequelle entdeckt.
Die „Jagd nach Daten“ und deren weitere Aufbereitung unterliegt den gesetzli-
chen Regelungen des Datenschutzrechts. Dabei wird der Datenschutz gemeinhin
als wichtiges Thema des Verbraucherschutzes propagiert, während aus Sicht der
Unternehmer die datenschutzrechtlichen Anforderungen oftmals eher als lästig
empfunden werden. Dass praktizierter Datenschutz auch aus Unternehmersicht
– hier aus Sicht der im Kunst- und Kulturbereich Verantwortlichen – im
Hinblick auf „Kundenbindung“ sich „auszahlen“ kann, zeigt der nachfolgende
Beitrag auf.
2. „Datenschutzkultur“ als Zielvorgabe
Beim Einsatz moderner Informationstechnologie (IT) spielen Datenschutz und
Datensicherheit eine große Rolle. Dabei wird, wie wir später sehen werden, Da-
tenschutz auch durch Datensicherheit gewährleistet. Damit beides „Hand in Hand
läuft“, ist neben einem Grundbestand an technischen Sicherungsmaßnahmen die
Schaffung einer (unternehmenseigenen) „Datenschutzkultur“ erforderlich. Um
dieses Ziel verwirklichen zu können, hat der Gesetzgeber rechtliche Vorgaben
gemacht, die Auswirkung auf die unternehmensinterne Organisation wie auch
auf die unternehmensexterne Kommunikation hat.
Der Vollständigkeit halber sei erwähnt, dass die (Kulturunternehmens-)Kommu-
nikation nicht nur die Belange des Datenschutzrechts zu beachten hat, sondern
die gesamte Kommunikationstätigkeit eines Unternehmens im Blick behalten
muss. So muss der E-Mail-Verkehr oder die unternehmenseigene Web-Site
selbstverständlich auch den Bestimmungen des Gewerbe-/Wettbewerbs- und
Urheberrechts wie etwa auch den Jugendschutzbestimmungen entsprechen.
M
Nachfolgend wollen wir jedoch nur den Aspekt des Datenschutzes herausgreifen.
13
Schauen wir uns zu diesem Zwecke zunächst an, was Datenschutz gewährleisten
soll, welche Daten überhaupt und warum geschützt werden sollen. S. 3
40 Kultur & Recht Januar 2008
4. M Recht der neuen Medien
M13
3. Datenschutzrecht
Das Datenschutzrecht ist über mehrere Gesetze verteilt, wie z. B. dem Bundesda-
tenschutzgesetz (BDSG), den Landesdatenschutzgesetzen und dem Telemedienge-
setz (TMG), welches u. a. auch die Regelungen des vormaligen Teledienstedaten-
schutzgesetzes (TDDSG) und des Mediendienstestaatsvertrags (MDStV) beinhal-
tet. Diese Gesetze regeln unterschiedliche Aspekte des Datenschutzes, die sowohl
den Online- wie auch den Offline-Bereich betreffen. Spezielle „kulturrechtliche“
Gesetze wie etwa das Gesetz über die Sicherung und Nutzung von Archivgut des
Bundes (Bundesarchivgesetz BArchG) enthalten ebenfalls datenschutzrechtliche
Aspekte. Sie verweisen jedoch in der Regel auf das (allgemeine) Datenschutzrecht.
Die Abgrenzung zwischen TMG und BDSG etwa lässt sich anhand der verschie-
denen Stufen der Internetnutzung wie folgt vornehmen:
Die Aufforderung zur Abgabe eines Vertragsangebots (sogenannte „invitatio ad
offerendum“) auf einer Web-Site selbst ist ein Telemediendienst und unterliegt
daher den Regelungen des TMG. Gibt der Nutzer anschließend tatsächlich ein
Angebot ab, dann werden erneut Daten ausgetauscht. Diese Daten betreffen In-
formationen, die für den Vertrag selbst nötig sind. Die Erhebung, Verarbeitung
und Nutzung dieser (personenbezogenen) Daten durch Unternehmen als Teleme-
diendiensteanbieter bestimmt sich nach dem BDSG.
Nachfolgend beschäftigen wir uns mit den BDSG-Regelungen, anhand derer das
Ineinandergreifen von Datenschutz und Datensicherheit dargestellt werden soll.
Für (Kultur-)Unternehmen, die sich – gezwungenermaßen – mit dem Thema
Datenschutz beschäftigen müssen, kommt erschwerend hinzu, dass in der Ver-
gangenheit die Datenschutzbestimmungen in kurzen Intervallen geändert wurden,
so das erst 2006 geänderte BDSG, welches bereits wieder zur weiteren Novellie-
rung ansteht. Da das Thema Datenschutz gemeinhin mit elektronisch generierten
Daten in Verbindung gebracht wird, verwundert dies nicht. Denn so wie auf der
Seite der Technik die Möglichkeiten der Datenverarbeitung ständig fortschreiten,
ändern sich auch die Anforderungen, die das Datenschutzrecht gewährleisten muss.
Bevor wir jedoch einen Blick auf die einzelnen gesetzlichen Regelungen werfen,
lassen Sie uns zunächst eine Vorfrage klären: Warum gibt es überhaupt das Da-
tenschutzrecht, was soll durch das Datenschutzrecht überhaupt geschützt werden?
3.1 Das Recht auf informationelle Selbstbestimmung
Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Art. 2 Absatz 1 in
M Verbindung mit Art. 1 Absatz 1 Grundgesetz auch ein Recht auf informationelle
13 Selbstbestimmung. Danach kann der Einzelne über die Preisgabe und Verwen-
S. 4 dung seiner persönlichen Daten grundsätzlich frei bestimmen (= verfassungs-
40 Kultur & Recht Januar 2008