Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
- Das update 2007
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 4

7. Reaktionsmöglichkeiten des Betroffenen (Kunden)
7.1 Das Auskunftsrecht
7.2 Das Berichtigungsrecht
7.3 Das Sperrungs- und Gegendarstellungsrecht
7.4 Das Löschungsrecht
7.5 Das Einwand- oder Widerspruchsrecht
7.6 Rechtsfolgen bei Verstößen
8. Internationaler Datenverkehr
8.1 Übermittlung in EU- oder EWR-Mitgliedstaaten
Anwendbares Recht
Sonderfall: Auftragnehmer nimmt für verantwortliche Stelle und für eigene Zwecke Eigendatenverarbeitung vor
Datenübermittlungen im Kunst- und Kulturbereich
8.2 Übermittlung in Drittstaaten
8.3 Feststellung der EU-Kommission, Safe Harbor Abkommen
8.4 EU-Standardvertragsklauseln
8.5 Unternehmensregelungen („Codes of Conduct")
8.6 Gesetzliche Ausnahme vom angemessenen Datenschutzniveau
8.7 Genehmigung der Aufsichtsbehörde
9. Marketinginstrument Datenschutz
9.1 Datenschutzrisiken beim E-Commerce aus Verbrauchersicht
9.2 Wettbewerbsvorteil Datenschutz: Der Total-Quality-Ansatz­ Teil 4

7. Reaktionsmöglichkeiten des Betroffenen (Kunden)
Lassen Sie uns nun klären, wie Ihr (potentieller) Kunde auf die von Ihrem Unternehmen vorgenommene Datenverarbeitung datenschutzrechtlich reagieren kann. Vorstehend haben wir ja bereits mehrmals Benachrichtigungs-, Unterrichtungs- und Informationspflichten und Auskunftsrechten angesprochen. Aufgrund dieser Pflichten/Rechte soll der Betroffene sich zunächst einmal einen Überblick über die ihn betreffenden gespeicherten Daten verschaffen, um dann je nach Ergebnis seines Überblicks im bestimmten Maße reagieren zu können. Insoweit korres-pondieren die Rechte des Betroffenen spiegelbildlich mit den Verpflichtungen Ihres Unternehmens.

7.1 Das Auskunftsrecht
Das zunächst wichtigste Mittel des Betroffenen ist sein Auskunftsrecht., § 34 BDSG. Es beruht auf dem Gedanken: „Jeder hat das Recht zu wissen, wer, was, wann über ihn weiß."
Verfassungsrechtlich ist es durch das Recht auf informationelle Selbstbestimmung abgesichert (siehe oben).
Danach hat der Kunde einen umfassenden Auskunftsanspruch.

Grundsätzlich müssen Sie ihm folgende Informationen mitteilen:
1. Werden Daten über den Kunden gespeichert und wenn ja, welche?
2. Wer verarbeitet die Daten des Kunden?
3. Von wem haben Sie die Daten des Kunden?
4. Zu welchen Zwecken sollen die Daten des Kunden verarbeitet werden bzw. werden bereits verarbeitet?
5. An welche Empfänger werden die Daten des Kunden weitergegeben?

Der Kunde muss dabei in der Lage versetzt werden, dass er aufgrund der Aus-kunft beurteilen kann, ob alle über ihn gespeicherten Daten rechtmäßig sind. Daher muss der Inhalt der konkret gespeicherten Daten vollständig wiedergege-ben werden. Eine Auskunft wie z. B. „Wir haben Ihren Namen, Ihre Adresse usw." genügt nicht.

In den Fällen, in denen auch eine Benachrichtigung nicht erfolgen muss (siehe oben), besteht eine Pflicht zur Auskunftserteilung ausnahmsweise nicht.
Darüber hinaus dürfen Sie bzw. Ihr Unternehmen nur in (krassen) Ausnahmefäl-len die Auskunft verweigern. Beispielsweise kann die Geltendmachung des Aus-kunftsanspruches missbräuchlich sein, wenn der betroffene Kunde wöchentlich mehrfach in kurzen Abständen Auskunft über die gespeicherten Daten verlangt, obwohl wesentliche Änderungen des gespeicherten Datensatzes nicht zu erwarten sind.

Die Auskunft ist in der Regel schriftlich und unentgeltlich zu gewähren, es sei denn die personenbezogenen Daten werden geschäftsmäßig zum Zweck der Ü-bermittlung gespeichert und der Betroffene kann die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen. Das Entgelt darf über die durch die Aus-kunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen.

Wollen Sie die Auskunftserteilung nicht unentgeltlich gewähren, so haben Sie dem Betroffenen gemäß § 34 Absatz 6 BDSG die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffen-den Daten und Angaben zu verschaffen. Er ist hierauf in geeigneter Weise hinzuweisen. - Hier sollten Sie überlegen, ob der (Kosten-)Aufwand für persönliche Besuche sich im Verhältnis zu einer „einfachen" unentgeltlichen, schriftlichen Mitteilung überhaupt lohnt. Denn bei jedem „Besuch" müssen Sie selbstverständ-lich auch auf die Einhaltung der dann hinsichtlich allen anderen gegenüber beste-henden datenschutzrechtlichen Anforderungen achten.

Ein Entgelt darf jedoch dann schon nicht verlangt werden, wenn die Annahme besteht, dass Daten unrichtig oder unzulässig gespeichert werden, oder wenn die Auskunft ergibt, dass die Daten zu berichtigen oder sogar zu löschen sind, § 34 Absatz 5 BDSG.

7.2 Das Berichtigungsrecht
Sind die gespeicherten Daten unrichtig, so hat der Betroffene das Recht auf Be-richtigung der Daten, § 35 Absatz 1 BDSG. Schon aus Eigeninteresse sollte Ih-rem Unternehmen an der richtigen Speicherung korrekter personenbezogener Daten gelegen sein. Danken Sie Ihrem Kunden in diesem Fall für seine tatkräftige Mithilfe.

Wenn Ihr Unternehmen unrichtige Daten an andere Unternehmen übermittelt hat, müssen Sie zudem das andere Unternehmen von der Unrichtigkeit unterrichten!

7.3 Das Sperrungs- und Gegendarstellungsrecht
Für den Fall, dass die Unrichtigkeit nicht offensichtlich ist oder Sie ernsthafte Zweifel an der Richtigkeit der Angaben des Betroffenen haben, dürfen Sie nicht nur einen gegenteiligen Beweis vom Kunden verlangen und ansonsten untätig bleiben. In einem solchen Fall müssen Sie vielmehr die betreffenden Daten zu-mindest solange sperren bis der Sachverhalt aufgeklärt ist und anschließend entweder die Sperrung beibehalten oder die (dann als unrichtig sich ergebenden) Daten sogar löschen (§ 35 Absatz 3, 4 BDSG). Der Betroffene muss dabei keinen vollen Beweis für die Unrichtigkeit erbringen und er braucht auch nicht die korrekten Daten liefern. Die Verpflichtung zur Sperrung (bzw. sogar zur Lö-schung) besteht für Sie bereits dann, wenn der Betroffene Anhaltspunkte benennt, woraus sich die Unrichtigkeit der gespeicherten personenbezogenen Daten ergibt.

Anderes gilt, wenn der Betroffene etwa eine „berichtigende Ergänzung" verlangt, wie z. B. Eintragung eines akademischen Titels. Hier können Sie vollen Beweis hinsichtlich der Berechtigung des Führens dieses Titels verlangen.

In anderen Fällen, in denen die Daten unrichtig sind oder ihre Richtigkeit bestrit-ten wird, müssen diese nicht immer gleich gelöscht oder gesperrt werden. Allerdings muss dann auf Verlangen des Betroffenen diesen Daten für die Dauer der Speicherung seine Gegendarstellung beigefügt werden. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden (siehe im Einzelnen § 35 Absatz 2 Nr. 2, Absatz 6 BDSG).

7.4 Das Löschungsrecht
Vorab: Es gibt kein uneingeschränktes Löschungsrecht. Der Betroffene kann nur in den nachfolgenden Fallgruppen eine Löschung fordern (§ 35 Absatz 2 BDSG):
­- Die Datenspeicherung war von vornherein unzulässig
­- Die weitere Datenspeicherung wird unzulässig, weil etwa der Zweck der Speicherung (z. B. Vertragsabwicklung) erreicht worden ist oder überhaupt nicht mehr erreicht werden kann. Allerdings kann sich der Zweck ändern, so dass die weitere Speicherung zulässig ist.
Im Falle, dass Sie die mögliche Zweckänderung dem Betroffenen noch nicht mitgeteilt haben, müssen Sie ihn hierüber erneut benachrichtigen!

­- Der Betroffene behaupte die Unrichtigkeit von sensiblen Daten (= Daten über Weltanschauung, Gesundheitszustand, Straftaten oder Ordnungswidrigkeiten etc.) und Ihr Unternehmen kann die Richtigkeit der gespeicherten Daten nicht beweisen.
­- Ihr Unternehmen verarbeitet geschäftsmäßig personenbezogene Daten. Nach Ablauf von vier Jahren nach der ersten Speicherung muss Ihr Unternehmen prüfen, ob die Daten auch weiterhin noch benötigt werden. Ist dies nicht der Fall - was in der Regel z. B. bei personenbezogenen Markt- und Meinungsforschungsergebnissen gegeben sein dürfte, da diese nach drei bis vier Jahren an aktueller Relevanz verloren haben - so müssen Sie die Daten löschen.

7.5 Das Einwand- oder Widerspruchsrecht
Der Betroffene hat das Recht, einer Datenverarbeitung zu widersprechen, § 35 Absatz 5 BDSG. Es gelten die obigen zur Unterrichtung über das Widerspruchs-recht gemachten Ausführungen.

7.6 Rechtsfolgen bei Verstößen
Verstöße gegen Vorschriften des Bundesdatenschutzgesetzes sind nach §§ 43, 44 BDSG strafbar bzw. ordnungswidrig. In zivilrechtlicher Hinsicht können Betrof-fene beispielsweise Unterlassungsansprüche bei rechtswidriger Datenverarbei-tung geltend machen. Bei wettbewerbsrechtlich relevanten Datenschutzverstößen sorgt zumeist der Konkurrent mittels Abmahnung und etwaiger Unterlassungs- und Schadensersatzklage für die Einhaltung.

8. Internationaler Datenverkehr
Bislang war nur vom Fall die Rede, dass Ihr Unternehmen personenbezogene Daten innerhalb der Bundesrepublik Deutschland verarbeitet. Gerade der Kunst- und Kulturbereich ist jedoch von Internationalität geprägt. Damit einher geht auch der internationale Datenaustausch. Während etwa für die Datenbeschaf-fung das vorstehende gilt, sind aber bei Datenübermittlungen in Staaten, die nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschafts-raums (EWR) sind, besondere Rechtmäßigkeitsvoraussetzungen zu beachten. Die Zulässigkeit der Datenübertragung muss vorab von der übermittelnden Stelle überprüft werden, denn diese trägt die Verantwortung (§ 4b Absatz 5 BDSG). Damit ist Ihr Unternehmen bzw. die verantwortliche Person in Ihrem Unternehmen gemeint, d.h. also möglicherweise Sie selbst.

8.1 Übermittlung in EU- oder EWR-Mitgliedstaaten
Datenschutzrechtlich unproblematisch ist die Übermittlung in EU- oder EWR-Mitgliedstaaten (§ 4b Absatz 1 BDSG). Das sind seit dem 1. Januar 2007:

EU-Mitgliedstaaten (27)
Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Großbritannien, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlanden, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Zypern

EWR Staaten (3)
Island, Liechtenstein, Norwegen
In diesen Staaten herrscht aufgrund der durch die EU-Datenschutzrichtlinie erfolgten Rechtsangleichung ein gleiches Schutzniveau.

Anwendbares Recht
Zur Anwendung kommt jeweils das Recht, in dem die übertragende Stelle ihren Sitz/Niederlassung hat. Abzustellen ist dabei entweder auf die verantwortliche Stelle selbst (= jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, (§ 3 Absatz 7 BDSG) oder eben - im Fall der Auftragsdatenübermitt-lung - auf den Auftragnehmer (§ 3 Absatz 8 Satz 3 BDSG). Zur Feststellung, wo sich eine Niederlassung befindet, kann im deutschen Recht auf § 42 Absatz 2 Gewerbeordnung zurückgegriffen werden. Danach besteht eine Niederlassung, wenn der Gewerbetreibende einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr von ihm benutzten Raum für den Be-trieb seines Gewerbes besitzt.

Immer dann, wenn eine Datenerhebung, -verarbeitung oder -nutzung in Deutsch-land von einer Stelle ausgeht, die ihren Sitz außerhalb der Europäischen Union hat, ist das BDSG anzuwenden, § 1 Absatz 5 Satz 2 BDSG. So sind insbesondere die §§ 28 ff. BDSG anwendbar, wenn ein außerhalb der EU ansässiger Internet Service Provider auf seiner auch in Deutschland abrufbaren Web-Site in Deutsch-land Dienste anbietet.

Hinsichtlich der Durchsetzbarkeit dieser Regelungen wird oftmals geäußert, die Aufsichtsbehörden dürften davon nur träumen. Doch ist beispielsweise die Blo-ckierung des Zugriffs der URL von Deutschland aus möglich (siehe die Darstel-lung „Die Antwort der Musikindustrie: Rights Protection System" Punkt 8.5 im Beitrag M 2 zur Blockierung von Urheberrechtsverstößen aus dem Ausland mit-tels „virtueller Grenzbeschlagnahme"). Zudem statuiert § 1 Absatz 5 Satz 3 BDSG für im Inland stattfindende Datenerhebungen, -verarbeitung oder -nutzung seitens der verantwortlichen ausländischen Stelle die Pflicht, auch Angaben über im Inland ansässige Vertreter zu machen.

Eine Anwendung des deutschen BDSG ist allerdings ausgeschlossen, wenn Da-tenträger nur zum Zweck des Transits durch das Inland eingesetzt werden - z. B. auch „Datendurchschleusungen" mittels Telekommunikationsleitungen.

Sonderfall: Auftragnehmer nimmt für verantwortliche Stelle und für eigene Zwecke Eigendatenverarbeitung vor
Hinsichtlich der Eigendatenverarbeitung ist der „Auftragnehmer" selbst die ver-antwortliche Stelle. Folge: Bzgl. der Fremddatenverarbeitung gilt das Recht in dem der Auftraggeber seinen Sitz und/oder seine Niederlassung hat, während für die Eigenverarbeitung das Recht gilt, in dem der „Auftragnehmer" seinen Sitz und/oder seine Niederlassung hat.

Aufgrund der Regelung des § 4b Absatz 5 BDSG, wonach die Verantwortung für die Zulässigkeit der Übermittlung die übermittelnde Stelle trägt, trägt auch der Auftragnehmer eine eigene Verantwortung. Er kann sich also nicht mit Hinweis auf den Auftraggeber für eine unzulässige Datenübermittlung exkulpieren.

Datenübermittlungen im Kunst- und Kulturbereich
§ 4b Absatz 1 BDSG enthält die Einschränkung „soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbe-reich des Rechts der Europäischen Gemeinschaften fallen." Da in Deutschland selbst nach Verabschiedung des EU-Verfassungswerkes immer wieder eine Zu-ständigkeit der EU für Kultur in Zweifel gezogen wird, könnte für Datenübermitt-lungen im Kunst- und Kulturbereich fraglich sein, ob für diesen Bereich überhaupt die Datenschutzregelungen Anwendung finden.

Doch ist diese seit dem Vertrag von Maastricht (1992), Artikel 128 EU-Vertrag, seiner Fortschreibung im Vertrag von Amsterdam (1997), Artikel 151, rechtsverbindlich und ist schließlich sogar in der Grundrechte-Charta im Artikel 22 (Nizza 2000) festgeschrieben. Das Tätigkeitsfeld der Gemeinschaft im kulturellen Bereich ist damit verbindlich wie folgt definiert:
- Verbesserung der Kenntnis und Verbreitung der Kultur und Geschichte der europäischen Völker;
- Erhaltung und Schutz des kulturellen Erbes von europäischer Bedeutung;
- nichtkommerzieller Kulturaustausch;
- künstlerisches und literarisches Schaffen, auch im audiovisuellen Bereich (mit Konsequenzen im Urheberrecht).
Somit werden auch Datenübertragungen im Kunst- und Kulturbereich von den hier wiedergegebenen Regelungen erfasst.

8.2 Übermittlung in Drittstaaten
Gemäß § 4b Abs. 2 Satz 1, 2. Alternative BDSG finden grundsätzlich die „nor-malen" Erlaubnisnormen auch für Übermittlungen an sonstige ausländische oder über- oder zwischenstaatliche Stellen Anwendung.
Gemäß § 4b Absatz 2 Satz 2 BDSG hat eine Übermittlung jedoch zu unterblei-ben, wenn der Betroffene (also etwa Ihr Kunde) ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Hier hat immer eine umfangreiche Prüfung zu erfolgen, ob ein solches schutzwürdiges Interesse vorliegt. Ein solches schutzwürdiges Interesse wird auf jeden Fall immer dann angenommen, wenn bei der empfangenden Stelle ein angemessenes Datenschutzniveau nicht gewährleistet ist.

Die Feststellung, ob ein angemessenes Datenschutzniveau gewährleistet wird, hat grundsätzlich der Datenexporteur selbst (also Sie bzw. Ihr betrieblich beauf-tragter Datenschutzbeauftragte) zu beurteilen. Bei der Bewertung des jeweiligen Datenschutzniveaus sind u.a. zu berücksichtigen (§ 4b Absatz 3 Satz 1 BDSG):
­- die Art der übermittelten Daten
­- die Zweckbestimmung
­- die Dauer der geplanten Verarbeitung
­- das Herkunfts- und das Endbestimmungsland
­- die für den betreffenden Empfänger geltenden Rechtsnormen sowie
­- die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen.

Die tatsächlich bei der Beurteilung des Datenschutzniveaus hinzugezogenen Umstände sind abzuwägen.
Diese Abwägung sollte schriftlich festgehalten werden, damit sie bei einer datenschutzrechtlichen Kontrolle durch die Aufsichtsbehörde nachvollzogen werden kann.

8.3 Feststellung der EU-Kommission, Safe Harbor Abkommen
Die Feststellung wird jedoch dadurch erleichtert, dass ein angemessenes Datenschutzniveau immer dann als gewährleistet gilt, wenn dies durch die Europäische Kommission festgestellt wurde. Dies ist bisher der Fall bei Datenübermittlungen an Stellen in:
­- Argentinien
­- Guernsey
­- Insel Man
­- Kanada, in begrenztem Umfang
­- Schweiz
­- und den USA, soweit sich diese Stellen dem Safe Harbor Abkommen angeschlossen haben (siehe dazu etwa http://www.export.gov/safeharbor/.)

Eine Datenübertragung ins Ausland liegt bereits bei der Buchung einer Flugreise in die USA vor, wenn Daten etwa auch an dort ansässige Dienstleister übermittelt werden (zum EU-Datenschutz siehe http://ec.europa.eu/justice_home/fsj/privacy/

8.4 EU-Standardvertragsklauseln
Wenn eine Datenübermittlung in andere Staaten als den zuvor genannten erfolgt, können Sie ein angemessenes Datenschutzniveau durch die Nutzung der EU-Standardvertragsklauseln schaffen. Denn wenn Sie diese Musterklauseln der EU-Kommission (Standardvertrag II, Anhang zur Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personen-bezogener Daten in Drittländer (2004/915/EG) Amtsblatt L 385/77) anwenden, gilt die Vermutung, dass bei der empfangenden Stelle ein angemessenes Datenschutzniveau herrscht, auch wenn dies grundsätzlich in dem Land, in dem der Empfänger sitzt, nicht der Fall ist.

8.5 Unternehmensregelungen („Codes of Conduct")
Im Rahmen der oben erwähnten Beurteilung des angemessenen Datenschutzni-veaus sind alle Umstände heranzuziehen. Dazu gehören also auch Unternehmens-regelungen (oft auch „Codes of Conduct", kurz CoC genannt), die ein solches gewährleisten könnten. Damit Ihre Unternehmensregelungen eine ausreichende Gewähr für das Vorliegen eines angemessenen Datenschutzniveaus bieten, müssen sie den datenschutzrechtlichen Mindeststandard des BDSG einhalten. Das ist der Fall, wenn die „CoC" sich inhaltlich an den Standardvertragsklauseln, insbe-sondere im Hinblick auf die Drittbegünstigtenklausel und die Haftungsregeln, orientieren. Dabei sind inhaltlich Abweichungen unschädlich, wenn sie durch sonstige verbindliche Regelungen oder organisatorische Maßnahmen hinreichend kompensiert werden.

8.6 Gesetzliche Ausnahme vom angemessenen Datenschutzniveau
Die Feststellung eines angemessenen Datenschutzniveaus bei der empfangenden Stelle ist dann nicht nötig, wenn einer der folgenden Ausnahmetatbestände erfüllt wird (§ 4c Absatz 1 Nr. 1 - 6 BDSG):
­- Der Betroffene hat seine (schriftliche) Einwilligung in die Übermittlung erteilt.
­- Die Übermittlung ist erforderlich, damit ein Vertrag zwischen dem Betroffenen und der verantwortlichen Stelle oder eine vorvertragliche Maßnahme, die auf Veranlassung des Betroffenen getroffen wird, durchgeführt werden kann.
­- Die Übermittlung ist zum Abschluss oder zur Erfüllung eines Vertrages erforderlich, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll.
­- Die Übermittlung ist zur Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprü-chen vor Gericht erforderlich.
­- Die Übermittlung ist zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich.
­- Die Übermittlung erfolgt aus einem Register, das zur Information der Öffent-lichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall ge-geben sind.

In allen vorgenannten Ausnahmefällen unterliegen die Datenübermittlungen in Drittstaaten einer strikten Zweckbindung. Darauf sind die Datenempfänger je-weils ausdrücklich hinzuweisen (siehe §§ 4b Absatz 6, 4c Absatz 1 Satz 2 BDSG).

8.7 Genehmigung der Aufsichtsbehörde
Liegen keine der vorgenannten Ausnahmefälle vor, kann die zuständige Auf-sichtsbehörde einzelne Übermittlungen personenbezogener Daten an andere als die „unproblematische Übermittlung" an die obengenannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vor-weist. Namentlich wird in § 4c Absatz 2 Satz 1 BDSG darauf hingewiesen, dass solche Garantien aus Vertragsklauseln oder verbindlichen Unternehmensregelun-gen hervorgehen können. - Letztlich einfacher gestaltet sich die Datenübermittlung jedoch, wenn Sie für Ihre Datenübermittlung gleich auf den EU-Standardvertrag zurückgreifen. Denn die Genehmigung einer einzelnen Daten-übertagung ins Ausland seitens der Aufsichtsbehörde ist zumindest zeit- und damit mitunter auch kostenintensiv. - Etwaige Verstöße gegen (z. B. aufgrund Verträge oder Unternehmensregelungen) von der Aufsichtsbehörde genehmigte Datenübermittlungen können zur Rücknahme der Genehmigung und/oder mit der Verhängung eines Bußgeldes gegen den Datenexporteur geahndet werden.

9. Marketinginstrument Datenschutz
Gerade in Deutschland ist das (subjektive) Sicherheitsbedürfnis der Verbraucher beim E-Commerce sehr groß.

9.1 Datenschutzrisiken beim E-Commerce aus Verbrauchersicht
Die Risiken beim (und damit die Vorbehalte gegen) E-Commerce aus Verbrauchersicht sind:
-­ Anonymität der Teilnehmer
­- Flüchtigkeit und Manipulierbarkeit (= "Digipulierbarkeit") der Informati-on/Daten
­- Keine Unterscheidbarkeit von Original und Kopie ("digitaler Clon")
­- Globalität des Netzes
­- Grundsätzliche Offenheit des Netzes für Jedermann

Daher besteht eine erhöhte Verbraucher(nach)frage nach:
- Anonymität: Wie kann ich meinen Namen und andere personenbe-zogenen Daten über mich verbergen bzw. selektiv preisgeben?
- Vertraulichkeit: Wie kann ich sicherstellen, dass unbefugte Dritte keinen Zugriff auf meine Daten haben - sowohl während der Übertragung als auch danach?
- Transparenz: Wie kann ich mir darüber im Klaren sein, welcher Aspekt meiner Person zu irgendeinem Zeitpunkt
überwacht wird, und unter welchen Umständen dies geschieht?
- Vertrauen: Wem kann ich vertrauen, dass Abmachungen ein-gehalten werden?
- Absicherung: Wer kann mir im Konfliktfall helfen?

9.2 Wettbewerbsvorteil Datenschutz: Der Total-Quality-Ansatz
Reagieren Sie auf diese Verbraucher(nach)fragen, indem Sie für Ihre Waren-/
Dienstleistung - wenn im Rahmen des E-Commerce möglich - den anonymen Erwerb bzw. den Erwerb unter Pseudonym anbieten. Bieten Sie die Möglichkeit einer verschlüsselten Datenübertragung (z.B. SSL). Geben Sie Ihren Kunden Einblick in das von Ihnen erstellte Datenschutzkonzept.

Neben der (betriebs-)internen Einhaltung von Datenschutz- und Datensicherheits-regelungen sollte daher auch in den Fällen, in denen die Anzeige nicht gesetzlich festgeschrieben ist, ein ähnlicher Hinweis wie der folgende als datenschutzrechtliche Selbstverpflichtung nach außen hin dokumentiert werden:

„Datenschutzerklärung

­ Personenbezogene Daten werden nur im Rahmen des Datenschutzrechts, insbesondere des Bundesdatenschutzgesetzes (und des Teledienstedaten-schutzgesetzes), genutzt.
­ Personenbezogene Daten werden nur in dem Maße erhoben und verarbeitet, wie dies für die Vertragsabwicklung (oder dieses Website-Angebot) erforder-lich ist.
­ Personenbezogene Daten werden nicht über Cookies erhoben.
­ Personenbezogene Daten werden nicht genutzt, um Nutzerprofile zu bilden und das Nutzerverhalten auszuwerten.
­ Personenbezogene Daten werden nicht an Dritte übermittelt.

­Ort der Datenverarbeitung ist (Musterstadt).

Wenn Sie Fragen haben, können Sie diese an unsere E-Mail-Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! senden."

Sicherheit beim E-Commerce bedeutet daher Rechtssicherheit, wobei (tatsächliche) Sicherheit + Vertrauen in die Sicherheit einen Mehrwert bedeutet.

Entwickeln Sie eine Datenschutzvision, die das Datenschutzrecht als Teil Ihres „Kundenbindungsprogramms" auffasst. Werden Sie proaktiv tätig: Bieten Sie überdurchschnittlich qualitativ guten Datenschutz als Teil eines Total-Quality-Ansatzes an, um so einen Wettbewerbsvorteil zu erlangen!

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de