Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
- Das update 2007
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 1

1. Einleitung
2. „Datenschutzkultur" als Zielvorgabe
3. Datenschutzrecht
3.1 Das Recht auf informationelle Selbstbestimmung
3.2 Welche Daten sollen geschützt werden?
Exkurs: Recht am eigenen Bild
3.3 Wann sind Daten geschützt?
3.4 Welche Vorgänge sollen durch den Datenschutz geschützt werden?
3.5 Grundsatz der Vermeidung der Datenerhebung
3.6 Grundsatz der Datensparsamkeit
3.7 Grundsatz der kurzen Dauer der Datenspeicherung
3.8 Grundsatz des Datenweitergabeverbots ohne Einwilligung
3.9 An wen richten sich die Anforderungen des Datenschutzes?
3.10 Datensicherheit/Datenschutz: „Chefsache"!
3.11 Verpflichtung der Mitarbeiter auf das Datengeheimnis
Muster: Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG) Teil 1

1. Einleitung
Datenschutz und Datensicherheit, diese beiden Themen gewinnen auch im mittlerweile „technisierten und elektronisierten" Kunst- und Kulturbetrieb zunehmend an Bedeutung.

Ob im Online-Shop des Museums, in dem der Katalog zu aktuellen Ausstellun-gen oder Merchandising-Artikel online geordert werden können, ob der Ticket-Vorverkauf für Vortragsreihen online abgewickelt wird oder der Newsletter des Fördervereins online bezogen wird, gerade in der Online-Welt erzeugt jede digitale Lebensregung ihre Datenspur.

„Datenjäger und -sammler" haben den steigenden Wert personenbezogener Daten und deren wachsende Bedeutung für die Informationswirtschaft erkannt. Die Verwertung derartiger Daten wird zunehmend auch im Kunst- und Kulturbetrieb als weitere Einnahmequelle entdeckt.

Die „Jagd nach Daten" und deren weitere Aufbereitung unterliegt den gesetzli-chen Regelungen des Datenschutzrechts. Dabei wird der Datenschutz gemeinhin als wichtiges Thema des Verbraucherschutzes propagiert, während aus Sicht der Unternehmer die datenschutzrechtlichen Anforderungen oftmals eher als lästig empfunden werden. Dass praktizierter Datenschutz auch aus Unternehmersicht - hier aus Sicht der im Kunst- und Kulturbereich Verantwortlichen - im Hinblick auf „Kundenbindung" sich „auszahlen" kann, zeigt der nachfolgende Beitrag auf.

2. „Datenschutzkultur" als Zielvorgabe
Beim Einsatz moderner Informationstechnologie (IT) spielen Datenschutz und Datensicherheit eine große Rolle. Dabei wird, wie wir später sehen werden, Da-tenschutz auch durch Datensicherheit gewährleistet. Damit beides „Hand in Hand läuft", ist neben einem Grundbestand an technischen Sicherungsmaßnahmen die Schaffung einer (unternehmenseigenen) „Datenschutzkultur" erforderlich. Um dieses Ziel verwirklichen zu können, hat der Gesetzgeber rechtliche Vorgaben gemacht, die Auswirkung auf die unternehmensinterne Organisation wie auch auf die unternehmensexterne Kommunikation hat.

Der Vollständigkeit halber sei erwähnt, dass die (Kulturunternehmens-)Kommu¬nikation nicht nur die Belange des Datenschutzrechts zu beachten hat, sondern die gesamte Kommunikationstätigkeit eines Unternehmens im Blick behalten muss. So muss der E-Mail-Verkehr oder die unternehmenseigene Web-Site selbstverständlich auch den Bestimmungen des Gewerbe-/Wettbewerbs- und Urheberrechts wie etwa auch den Jugendschutzbestimmungen entsprechen.

Nachfolgend wollen wir jedoch nur den Aspekt des Datenschutzes herausgreifen. Schauen wir uns zu diesem Zwecke zunächst an, was Datenschutz gewährleisten soll, welche Daten überhaupt und warum geschützt werden sollen.

3. Datenschutzrecht
Das Datenschutzrecht ist über mehrere Gesetze verteilt, wie z. B. dem Bundesda-tenschutzgesetz (BDSG), den Landesdatenschutzgesetzen und dem Telemedienge-setz (TMG), welches u.a. auch die Regelungen des vormaligen Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienstestaatsvertrags (MDStV) beinhal-tet. Diese Gesetze regeln unterschiedliche Aspekte des Datenschutzes, die sowohl den Online- wie auch den Offline-Bereich betreffen. Spezielle „kulturrechtliche" Gesetze wie etwa das Gesetz über die Sicherung und Nutzung von Archivgut des Bundes (Bundesarchivgesetz BArchG) enthalten ebenfalls datenschutzrechtliche Aspekte. Sie verweisen jedoch in der Regel auf das (allgemeine) Datenschutz-recht.

Die Abgrenzung zwischen TMG und BDSG etwa lässt sich anhand der verschie-denen Stufen der Internetnutzung wie folgt vornehmen:
Die Aufforderung zur Abgabe eines Vertragsangebots (sogenannte „invitatio ad offerendum") auf einer Web-Site selbst ist ein Telemediendienst und unterliegt daher den Regelungen des TMG. Gibt der Nutzer anschließend tatsächlich ein Angebot ab, dann werden erneut Daten ausgetauscht. Diese Daten betreffen In-formationen, die für den Vertrag selbst nötig sind. Die Erhebung, Verarbeitung und Nutzung dieser (personenbezogenen) Daten durch Unternehmen als Teleme-diendiensteanbieter bestimmt sich nach dem BDSG.

Nachfolgend beschäftigen wir uns mit den BDSG-Regelungen, anhand derer das Ineinandergreifen von Datenschutz und Datensicherheit dargestellt werden soll.

Für (Kultur-)Unternehmen, die sich - gezwungenermaßen - mit dem Thema Datenschutz beschäftigen müssen, kommt erschwerend hinzu, dass in der Ver-gangenheit die Datenschutzbestimmungen in kurzen Intervallen geändert wurden, so das erst 2006 geänderte BDSG, welches bereits wieder zur weiteren Novellierung ansteht. Da das Thema Datenschutz gemeinhin mit elektronisch generierten Daten in Verbindung gebracht wird, verwundert dies nicht. Denn so wie auf der Seite der Technik die Möglichkeiten der Datenverarbeitung ständig fortschreiten, ändern sich auch die Anforderungen, die das Datenschutzrecht gewährleisten muss.

Bevor wir jedoch einen Blick auf die einzelnen gesetzlichen Regelungen werfen, lassen Sie uns zunächst eine Vorfrage klären: Warum gibt es überhaupt das Da-tenschutzrecht, was soll durch das Datenschutzrecht überhaupt geschützt werden?

3.1 Das Recht auf informationelle Selbstbestimmung
Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Art. 2 Absatz 1 in Verbindung mit Art. 1 Absatz 1 Grundgesetz auch ein Recht auf informationelle Selbstbestimmung. Danach kann der Einzelne über die Preisgabe und Verwen-dung seiner persönlichen Daten grundsätzlich frei bestimmen (= verfassungs-rechtlich verankerter Datenschutz). Einschränkungen dieses Rechts sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen einer besonderen ge-setzlichen Grundlage. So ist etwa in Zeiten der DNA-Analyse auch die genetische Identität vom Recht auf informationelle Selbstbestimmung miterfasst. Doch sind sowohl die Anfertigung als auch die Speicherung des so genannten „genetischen Fingerabdrucks" von Straftätern, die wegen Straftaten von erheblicher Bedeutung verurteilt worden sind, zur vorbeugenden Verbrechensbekämpfung zulässig.

Dass der Datenschutz ein verfassungsrechtlich geschütztes Persönlichkeitsrecht ist, findet sich auch im Wortlaut der einfachgesetzlichen Regelung des § 1 BDSG wieder: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird." Der Inhalt des Datenschutzrechts kann faustformelhaft in folgendem Satz gefasst werden: „Meine Daten, Deine Daten - Daten sind nicht für alle da!"

3.2 Welche Daten sollen geschützt werden?
Der Schutz von Daten umfasst nicht nur den Missbrauch von Daten, sondern allgemein den gesamten Umgang mit Daten inner- und außerhalb von Datennet-zen. Geschützt sind dabei nur natürliche Personen, nicht juristische Personen, im Geltungsbereich der Bundesrepublik Deutschland, genauer deren personenbezo-gene Daten. Das sind nach § 3 Absatz 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlicher Person (Betroffener)." Dabei beschränkt sich das Datenschutzrecht auf den lebenden Menschen. Datenschutz betrifft nicht Informationen über Verstorbene. (Das Andenken an Verstorbene ist jedoch anderweitig z. B. auch verfassungs-rechtlich als „postmortales Persönlichkeitsrecht" geschützt.)

Exkurs: Recht am eigenen Bild
Der umfassende Schutz zeigt sich auch im sogenannten Recht am eigenen Bild, geregelt in §§ 22 ff. Kunsturheberrechtsgesetz (KUG) als Ausprägung des Allge-meinen Persönlichkeitsrechts. Diese Regelungen gelten auch im „digitalen Umfeld" für Abbildungen. So dürfen Sie etwa Ihre Mitarbeiter im Internet auf der Web-Site Ihres Kunst- und Kulturunternehmens nur mit deren Einwilligung ab-bilden. Dies gilt sogar auch für Ihre leitenden Angestellten, die Ihr Unternehmen nach außen repräsentieren. Wobei sich eine Einwilligung, die sich auf die Ver-wendung eines Fotos für Personalzwecke bezieht, nicht automatisch auf die Nutzung auf der Unternehmens-Web-Site erstreckt.

So kann sich etwa eine Einwilligung, die vor 1995 erteilt worden ist, in entspre-chender Anwendung von § 31 Absatz 4 UrhG (unbekannte Nutzungsart) nicht auf eine Web-Site erstrecken. Die bloße Bekanntheit einer Nutzungsmöglichkeit bei Vertragsschluss reicht nicht aus, um eine Einwilligung nach KUG anzunehmen. Gleichfalls beinhaltet eine Einwilligung zu (internen) Personalzwecken entspre-chend dem urheberrechtlichen Zweckübertragungsgrundsatz (§ 31 Absatz 5 UrhG) keine (auch externe) Nutzung auf einer Firmen-Web-Site. Für den Fall, dass Sie z.B. minderjährige (beschränkt geschäftsfähige) Praktikanten oder Aus-zubildende in Ihrem Medien- und Kulturunternehmen beschäftigen, sollten Sie auf das zusätzliche Vorliegen („Doppelzuständigkeit") der Einwilligung des ge-setzlichen Vertreters/Erziehungberechtigten achten.

Eine einmal erteilte Einwilligung bedeutet nicht, dass sie immerfort gilt. So kann der Abgebildete aufgrund seines Rechts am eigenen Bild seine vormals erteilte Einwilligung zur Verbreitung seines Fotos bei Vorliegen eines wichtigen Grundes - in entsprechender Anwendung von § 42 UrhG - etwa wegen gewandelter Über-zeugung auch widerrufen. Die Zahlung einer angemessenen Entschädigung ana-log § 42 Absatz 3 UrhG kommt jedoch nicht in Betracht. Der Widerrufende ist allenfalls zum Ersatz des Vertrauensschadens in analoger Anwendung von § 122 BGB verpflichtet.
Insoweit entfalten die Regelungen des KUG auch einen „datenschutzrechtlichen Reflex".

3.3 Wann sind Daten geschützt?
Der rechtliche Schutz der Daten bezieht sich nicht auf personenbezogen Daten allgemein. Der Schutz greift nur in dem Moment, in dem die Person „bestimmt" oder „bestimmbar" ist. Bestimmbar ist eine Person, wenn man mit Hilfe der zur Verfügung stehenden Angaben eine bestimmte Person ermitteln kann. Bestimmt ist eine Angabe, wenn sie sich nur auf eine einzige Person bezieht.

So kann z. B. die IP-Nummer, die bei der Einwahl ins Internet zwischen vernetzten Rechnern wie eine postalische Adresse wirkt, ein personenbezogenes Datum sein, wenn man die Zuweisung der IP-Nummer zu bestimmten Rechnern kennt oder ermitteln kann und aus dieser Kenntnis auf einen bestimmten User schließen kann.

Der Begriff „Einzelangaben über persönliche oder sachliche Verhältnisse" ist sehr weit zu verstehen. Persönliche Verhältnisse können sein: Eigenschaften des Betroffenen, sachliche Verhältnisse, Dinge, die dem Betroffenen zuzuordnen sind. „Einzelangaben" liegen jedoch nicht mehr vor, wenn die Informationen nicht mehr auf eine Person zurückzuführen sind.

Hervorzuheben ist, dass der Datenschutz insbesondere den strukturierten Datenbestand erfasst, womit nicht nur „automatisierte" Dateien gemeint sind. In diesem Fall können nämlich die personenbezogenen Daten regelmäßig in kurzer Zeit unter bestimmten Gesichtspunkten ausgewertet werden.

3.4 Welche Vorgänge sollen durch den Datenschutz geschützt werden?
Datenschutz ist der Schutz von Daten. Darunter fällt der gesamte Vorgang
­- der Erhebung, Verarbeitung und Nutzung personenbezogener Daten,
­- die unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die in oder aus nicht automatisierten Dateien ver-arbeitet, genutzt oder dafür erhoben werden
­- mit Ausnahme von: persönlicher/familiärer Tätigkeit.

Dabei bezeichnet die Datenerhebung das Beschaffen von personenbezogenen Daten des Betroffenen. Sie liegt regelmäßig bei aktiver Beschaffung von Infor-mationen vor.
Die Datenverarbeitung betrifft das Speichern, Verändern, Übermitteln, Löschen und/oder Sperren von personenbezogenen Daten.
­

Ersteres, das Speichern, ist dabei nicht auf irgendein Speichermedium beschränkt. Betroffen ist das „Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung." (§ 3 Absatz 4 Nr. 1 BDSG). Die Speicherung kann dabei digital und/oder analog, also etwa auf einer Papierkarteikarte - erfolgen. Eine dauerhafte Speicherung ist nicht erforderlich.

Verändern ist das „inhaltliche Umgestalten gespeicherter personenbezogener Daten" (§ 3 Absatz 4 Nr. 2 BDSG).
­
Übermitteln ist das Bekanntgeben gespeicherter oder durch Datenverarbei-tung gewonnener personenbezogener Daten (§ 3 Absatz 4 Nr. 3 BDSG)
- entweder indem die Daten an einen Dritten weitergegeben
- oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.

Gerade diese Form der Datenverarbeitung ist datenschutzrechtlich besonders bedeutsam, weil die Information den ursprünglichen Verwenderkreis verlässt und damit der Kreis der Datenverarbeiter erweitert wird.
­Löschen ist das Unkenntlichmachen (das Tilgen) von gespeicherten perso-nenbezogenen Daten, § 3 Absatz 4 Nr. 5 BDSG. Ein Löschen liegt nur vor, wenn die Daten unwiederbringlich getilgt sind. Kann etwa die geschwärzte Textstelle gelesen werden, indem das Papier gegen das Licht gehalten wird, so liegt datenschutzrechtlich kein Löschen vor. Gleiches gilt, wenn mittels der „Del"- oder „Entf"-Taste Informationen im Textverarbeitungsprogramm eines Computers eine Information „gelöscht" wird. Durch die „Änderung verfol-gen"-Funktion kann die vermeintlich „gelöschte" Textstelle wieder lesbar gemacht werden. Mittels des Einsatzes von Wiederherstellungsprogrammen können so auch ganze vormals „gelöschte" Dateien wiederhergestellt werden.

Sensible Daten, die gelöscht werden müssen, erfordern daher den Einsatz von „Säuberungs"-Programmen, die eine derartige Wiederherstellung verhindern, indem z. B. die Festplatte mehrmals mit „Datenmüll" überschrieben wird. (Zwischen den Programmierern von Wiederherstellungs- und Säuberungssoftware besteht jedoch ein fortwährender „Wettlauf": Neuere Methoden der Wiederherstellung schaffen neuere Methoden der Löschung, und umgekehrt.)

Beim Sperren soll im Gegensatz zum „Löschen" die Datennutzung nicht für immer und für alle Nutzungen ausgeschlossen sein. Sperren bedeutet ein „Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken" (§ 3 Absatz 4 Nr. 4 BDSG).

Ein Sperren kommt immer dann in Betracht, wenn eigentlich eine Löschung von personenbezogenen Daten erforderlich wäre. Andererseits es jedoch gute Gründe gibt, z. B. weil es ein Gesetz (z. B. Aufbewahrung steuerrechtlich re-levanter Daten) verlangt, oder auch das Interesse des Betroffenen dafür spricht, dass die Daten weiterhin gespeichert werden (z. B. Aufnahme einer Adresse in einen Werbeverteiler gegen die der Betroffene Widerspruch er-hebt: Die Sperrung der Daten bewirkt, dass der Widerspruch erkannt wird im Falle, dass etwa die Adresse im Rahmen von kommerziellem Adresshandel angeboten wird und somit verhindert wird, dass der Betroffene wieder zu Werbezwecken angeschrieben wird.).

In diesem Fall bewirkt also eine Sperrung, dass die Daten zwar gespeichert werden, jedoch einzig aus dem Grunde genutzt werden dürfen, zu dem sie ge-sperrt und nicht gelöscht wurden.
Der Begriff der Datennutzung umfasst jede über eine Erhebung und Verarbeitung hinausgehende Datenverwendung. Darunter fallen z. B. die Datenweitergabe innerhalb eines (Kultur-)Unternehmens oder etwa die telefonische, persönliche Nachfrage, ob der Kunde mit der vom Unternehmen erhaltenden Wa-re/Dienstleistung zufrieden ist.
Für alle vorgenannten Tätigkeiten gelten die nachfolgenden Grundsätze.

3.5 Grundsatz der Vermeidung der Datenerhebung
Die Datenschutzgesetze stellen den gesetzlichen Anspruch auf, dass die Erhebung von Daten nur insoweit zulässig ist, als für ihre Erhebung ein berechtigter Grund vorliegt, d. h. soweit die Datensammlung überhaupt erforderlich und notwendig ist (vgl. § 3a BDSG). Der „gläserne Mensch" entspricht daher nicht dem verfassungsrechtlichen gesetzlichen Bild.

3.6 Grundsatz der Datensparsamkeit
Wenn Daten erhoben werden, dann soll dies so sparsam wie möglich erfolgen: Soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (Faustformel: „Je sensibeler die betreffenden Daten, desto höher die erforderlichen technischen/wirtschaftlichen Anforde-rungen des Datenschutzes"), soll dabei von der Anonymisierung und Pseudo-nymisierung Gebrauch gemacht werden (vgl. § 3a BDSG).

Anonymisieren ist das Verändern personenbezogener Daten, so dass die Einzel-angaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (§ 3 Abs. 6 BDSG).

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikations-merkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffe-nen auszuschließen oder wesentlich zu erschweren (§ 3 Abs. 6a BDSG).

3.7 Grundsatz der kurzen Dauer der Datenspeicherung
Die Datenspeicherung soll so kurz wie möglich und nur so lange wie nötig erfolgen. Gemeint sind hier in erster Linie alle Datenerhebungen, soweit sie für eigene (Abrechnungs-)Zwecke, etwa zur Beweiserbringung erforderlich und (noch) notwendig sind. Auch die Datenerhebung unterliegt somit einer Art gesetzlicher „Haltbarkeitsdauer". Das bedeutet: Regelmäßige Durchsicht und Löschen von Daten wird zur (auch) datenschutzrechtlichen Pflicht. Im datenschutzrechtlich bestem Fall versehen Sie die Daten bereits bei der Eingabe mit einem Löschdatum, an dem die Daten wiedervorgelegt und (oder automatisch) gelöscht werden. In der Praxis wird das automatische Löschen wohl auf Widerstand stoßen. Zu groß ist oftmals das „Kontrollbedürfnis". Auf der anderen Seite schafft Löschen auch wieder „aufgeräumte", d. h. aktualisierte Datenbestände.

3.8 Grundsatz des Datenweitergabeverbots ohne Einwilligung
Dieser Grundsatz besagt, dass die Weitergabe von personenbezogenen Daten an Dritte (namentlich der „Verkauf von Daten") ohne Einwilligung des Betroffenen verboten ist.
Der Grundgedanke lautet: Jeder soll weitgehendste Kontrolle über die Weiter-gabe seiner eigenen Daten haben. Die geschäftliche Weiterverwertung von Kun-dendaten wird dadurch zumindest erschwert, wenn nicht gar rechtlich unmöglich.

Sollte also eine Weiterverwendung der Kundendaten geplant sein, so ist z. B. in die AGB eines Onlineshops unbedingt zumindest eine Datenschutzerklärung aufzunehmen, welche die Möglichkeit eines Widerspruchs gegen die Datenweitergabe enthält (dazu unten).

3.9 An wen richten sich die Anforderungen des Datenschutzes?
Sowohl öffentliche wie auch nicht-öffentliche Stellen, die personenbezogene Daten verarbeiten, haben die gesetzlichen Regelungen des Datenschutzes zu beachten. Daher spielt es datenschutzrechtlich zunächst auch keine Rolle, ob Ihr Kulturunternehmen eine öffentlich-rechtliche, staatliche Einrichtung oder ein privatrechtlich organisiertes Unternehmen/Gewerbe ist.

Die nachfolgende Darstellung beschränkt sich auf die Datenverarbeitung nicht-öffentlicher (privater) Stellen (vgl. § 2 Abs. 4 BDSG). § 3 Absatz 7 BDSG nennt solche Datenverarbeiter „verantwortliche Stellen". Das sind alle Menschen, Un-ternehmen, Vereine oder Gruppierungen, die personenbezogene Daten für sich verwenden oder andere dazu beauftragen.

3.10 Datensicherheit/Datenschutz: „Chefsache"!
Datensicherheit und Datenschutz sind dabei „Chefsache". Das zeigt ein Blick auf gesetzliche Haftungsregeln. So heißt es etwa in § 91 Absatz 2 AktienG: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-system einzurichten, damit den Fortbestand der Gesellschaft gefährdende Ent-wicklungen früh erkannt werden." Hier wird ein „Risikomanagement" verlangt, d. h. gefordert ist das (proaktive) Ergreifen von Maßnahmen, die verhindern, dass der Fortbestand des Unternehmens gefährdet wird.

Für die Aktiengesellschaft wird damit vorsorgliche Datensicherheit und Daten-schutz Teil des Risikomanagements. Für die GmbH sieht § 43 GmbH-Gesetz eine Geschäftsführerhaftung vor. In beiden Fällen droht bei Verletzung der Pflich-ten (gesellschaftsrechtlich) Schadensersatz, wobei für den jeweiligen Datenschutzverantwortlichen (Unternehmensleitung) auch die Haftung mit dem priva-ten Vermögen in Betracht kommt.
Darüber hinaus können datenschutzrechtlich relevante Verstöße mit einer Geld-buße bis zu 25.000,00 Euro bzw. bis zu 250.000,00 Euro geahndet werden oder im Falle einer sogar strafbaren Handlung u.U. mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden §§ 43, 44 BDSG.

3.11 Verpflichtung der Mitarbeiter auf das Datengeheimnis
Welchen Stellenwert der Gesetzgeber dem (innerbetrieblichen) Datenschutz im übrigen beimisst, zeigt die Regelung des § 5 BDSG. Danach ist es den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden (z. B. auch im Kunst- und Kulturbereich), bei der Aufnahme ihrer Tätigkeit (in der Regel bei Aufnahme des Arbeitsverhältnisses) auf das Datengeheimnis zu ver-pflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Eine derartige Verpflichtungserklärung könnte etwa wie folgt gefasst sein:

Muster: Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG)

"Sehr geehrte(r) Frau/Herr Muster,
aufgrund Ihrer Aufgabenstellung in unserem (Kultur-)Unternehmen gilt für Sie das Datengeheimnis nach § 5 des Bundesdatenschutzgesetzes (BDSG). Nach dieser Vorschrift ist es Ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Sie sind verpflichtet, das Datengeheimnis zu wahren. Diese Verpflichtung besteht auch über das Ende Ihrer Tätigkeit in unserem Unternehmen hinaus. Wir weisen Sie darauf hin, dass Verstöße gegen das Datengeheimnis nach §§ 44, 43 Absatz 2 BDSG und anderen Strafvorschrif-ten mit Freiheits- oder Geldstrafe geahndet werden können. Den Wortlaut der genannten Vorschriften des BDSG haben wir in der Anlage 1 beigefügt. Ihre sich ggf. aus dem Arbeits- bzw. Dienstvertrag und der Arbeitsordnung ergebende allgemeine Geheimhaltungsverpflichtung wird durch diese Erklärung nicht berührt.

Ort, Datum
Unterschrift der Firma

Über die gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes wurde ich unterrichtet. Die sich daraus ergebenden Verhaltensweisen wurden mir mitgeteilt. Meine Verpflichtung auf das Datengeheimnis nach § 5 BDSG habe ich hiermit zur Kenntnis genommen.

Ort, Datum
Unterschrift der/des Mitarbeiter(s)in

Anlage 1 (Abdruck der §§ 5, 43, 44 BDSG und der §§ 4d - 4f, 16, 28, 29, 33, 35, 38 - 40 BDSG)"

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de