Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 1
1. Einleitung
2. „Datenschutzkultur" als Zielvorgabe
3. Datenschutzrecht
3.1 Das Recht auf informationelle Selbstbestimmung
3.2 Welche Daten sollen geschützt werden?
3.3 Welche Vorgänge sollen durch den Datenschutz geschützt werden?
3.4 Grundsatz der Vermeidung der Datenerhebung
3.5 Grundsatz der Datensparsamkeit
3.6 Grundsatz der kurzen Dauer der Datenspeicherung
3.7 Grundsatz des Datenweitergabeverbots ohne Einwilligung
3.8 An wen richten sich die Anforderungen des Datenschutzes?
3.9 Datensicherheit/Datenschutz: „Chefsache"!
3.10 Verpflichtung der Mitarbeiter auf das Datengeheimnis

Teil 1

1. Einleitung
Datenschutz und Datensicherheit, diese beiden Themen gewinnen auch im mittlerweile „technisierten und elektronisierten" Kunst- und Kulturbetrieb zunehmend an Bedeutung. Ob im Online-Shop des Museums, in dem der Katalog zur aktuellen Ausstellungen oder Merchandising-Artikel online geordert werden können, ob der Ticket-Vorverkauf für Vortragsreihen online abgewickelt wird oder der Newsletter des Fördervereins online bezogen wird, gerade in der Online-Welt erzeugt jede digitale Lebensregung ihre Datenspur. „Datenjäger und -sammler" haben den steigenden Wert personenbezogener Daten und deren wachsende Bedeutung für die Informationswirtschaft erkannt. Die Verwertung derartiger Daten wird zunehmend auch im Kunst- und Kulturbetrieb als weitere Einnahmequelle entdeckt.

Die „Jagd nach Daten" und deren weitere Aufbereitung unterliegt den gesetzlichen Regelungen des Datenschutzrechts. Dabei wird der Datenschutz gemeinhin als wichtiges Thema des Verbraucherschutzes propagiert, während aus Sicht der Unternehmer die datenschutzrechtlichen Anforderungen oftmals eher als lästig empfunden werden. Dass praktizierter Datenschutz auch aus Unternehmersicht - hier aus Sicht der im Kunst- und Kulturbereich Verantwortlichen -im Hinblick auf „Kundenbindung" sich „auszahlen" kann, zeigt der nachfolgende Beitrag auf.

2. "Datenschutzkultur" als Zielvorgabe
Beim Einsatz moderner Informationstechnologie (IT) spielen Datenschutz und Datensicherheit eine große Rolle. Dabei wird, wie wir später sehen werden, Datenschutz auch durch Datensicherheit gewährleistet. Damit beides „Hand in Hand läuft", ist neben einem Grundbestand an technischen Sicherungsmaßnahmen die Schaffung einer (unternehmenseigenen) „Datenschutzkultur" erforderlich. Damit dieses Ziel verwirklicht werden kann, hat der Gesetzgeber rechtliche Vorgaben gemacht, die Auswirkung auf die unternehmensinterne Organisation wie auch auf die unternehmensexterne Kommunikation hat. - Der Vollständigkeit halber sei erwähnt, dass die (Kulturunternehmens-)Kommunikation nicht nur die Belange des Datenschutzrechts zu beachten hat, sondern die gesamte Kommunikationstätigkeit eines Unternehmens im Blick behalten muss. So muss der eMail-Verkehr oder die unternehmenseigene Web-Site selbstverständlich auch den Bestimmungen des Gewerbe-/Wettbewerbs- und Urheberrechts wie etwa auch den Jugendschutzbestimmungen entsprechen. Nachfolgend wollen wir jedoch nur den Aspekt des Datenschutzes herausgreifen. Schauen wir uns zu diesem Zwecke zunächst an, was Datenschutz gewährleisten soll, welche Daten überhaupt und warum geschützt werden sollen.

3. Das Datenschutzrecht
Das Datenschutzrecht ist über mehrere Gesetze, wie z.B. dem Bundesdatenschutzgesetz (BDSG), dem Teledienstedatenschutzgestz (TDDSG und dem Mediendienstestaatsvertrag der Länder (MediendiensteStV) verteilt. Diese Gesetze regeln unterschiedliche Aspekte des Datenschutzes, die sowohl den Online- wie auch den Offline-Bereich betreffen. Spezielle „kulturrechtliche" Gesetze wie etwa das Gesetz über die Sicherung und Nutzung von Archivgut des Bundes (Bundesarchivgesetz BArchG) enthalten ebenfalls datenschutzrechtliche Aspekte. Sie verweisen jedoch in der Regel auf das (allgemeine) Datenschutzrecht. Daher soll das Ineinandergreifen von Datenschutz und Datensicherheit nachfolgend anhand der BDSG-Regelungen dargestellt werden.

- Für (Kultur-)Unternehmen, die sich - gezwungenermaßen - mit dem Thema Datenschutz beschäftigen müssen, kommt erschwerend hinzu. dass in der Vergangenheit die Datenschutzbestimmungen in kurzen Intervallen geändert wurden, so das Anfang 2003 zuletzt geänderte BDSG. Da das Thema Datenschutz gemeinhin mit elektronisch generierten Daten in Verbindung gebracht werden, verwundert dies nicht. Denn so wie auf der Seite der Technik die Möglichkeiten der Datenverarbeitung ständig fortschreiten, so ändern sich auch die Anforderungen, die das Datenschutzrecht gewährleisten muss. -

Bevor wir jedoch einen Blick auf die einzelnen gesetzlichen Regelungen werfen, lassen Sie uns zunächst eine Vorfrage klären: Warum gibt es überhaupt das Datenschutzrecht, was soll durch das Datenschutzrecht überhaupt geschützt werden?

3.1 Das Recht auf informationelle Selbstbestimmung
Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Art. 2 Absatz 1 in Verbindung mit Art. 1 Absatz 1 Grundgesetz auch ein Recht auf informationelle Selbstbestimmung. Danach kann der Einzelne über die Preisgabe und Verwendung seiner persönlichen Daten grundsätzlich frei bestimmen (= verfassungsrechtlich verankerter Datenschutz). Einschränkungen dieses Rechts sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen einer besonderen gesetzlichen Grundlage. - So ist etwa in Zeiten der DNA-Analyse auch die genetische Identität vom Recht auf informationelle Selbstbestimmung miterfasst. Doch sind sowohl die Anfertigung als auch die Speicherung des sogenannten „genetischen Fingerabdrucks" von Straftätern, die wegen Straftaten von erheblicher Bedeutung verurteilt worden sind, zur vorbeugenden Verbrechensbekämpfung zulässig. -

Dass der Datenschutz ein verfassungsrechtlich geschütztes Persönlichkeitsrecht ist, findet sich auch im Wortlaut der einfachgesetzlichen Regelung des § 1 BDSG wieder: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird." Wie bereits an anderer Stelle erwähnt (siehe Beitrag M1), kann der Inhalt des Datenschutzrechts faustformelhaft in folgendem Satz gefasst werden:

„Meine Daten, Deine Daten - Daten sind nicht für alle da!"

3.2 Welche Daten sollen geschützt werden?
Der Schutz von Daten umfaßt nicht nur den Missbrauch von Daten, sondern allgemein den gesamten Umgang mit Daten inner- und außerhalb von Datennetzen. Geschützt sind dabei nur natürliche Personen, nicht juristische Personen, im Geltungsbereich der Bundesrepublik Deutschland, genauer deren personenbezogene Daten. Das sind nach § 3 Absatz 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlicher Person (Betroffener)." Dabei beschränkt sich das Datenschutzrecht auf den lebenden Menschen. Datenschutz betrifft nicht Informationen über Verstorbene. (Das Andenken an Verstorbene ist jedoch anderweitig z. B. auch verfassungsrechtlich als „postmortales Persönlichkeitsrecht" geschützt.)

- Abzugrenzen sind Daten als textliche Informationen von bildlichen (z. B. Foto, Film und grafischen) Darstellungen (bei letzteren ist das Recht am eigenen Bild, §§ 22 ff. KUG als Ausprägung des Allgemeinen Persönlichkeitsrechts betroffen).

Der Schutz greift in dem Moment, in dem die Person „bestimmt" oder „bestimmbar" ist. Bestimmbar ist eine Person, wenn man mit Hilfe der zur Verfügung stehenden Angaben eine bestimmte Person ermitteln kann. Bestimmt ist eine Angabe, wenn sie sich nur auf eine einzige Person bezieht. - So kann z. B. die IP-Nummer, die bei der Einwahl ins Internet zwischen vernetzten Rechnern wie eine postalische Adresse wirkt, ein personenbezogenes Datum sein, wenn man die Zuweisung der IP-Nummer zu bestimmten Rechnern kennt oder ermitteln kann und aus dieser Kenntnis auf einen bestimmten User schließen kann. -

Der Begriff „Einzelangaben über persönliche oder sachliche Verhältnisse" ist sehr weit zu verstehen. Persönliche Verhältnisse können sein: Eigenschaften des Betroffenen, sachliche Verhältnisse, Dinge, die dem Betroffenen zuzuordnen sind. „Einzelangaben" liegen jedoch nicht mehr vor, wenn die Informationen nicht mehr auf eine Person zurückzuführen sind.

Hervorzuheben ist, dass der Datenschutz insbesondere den strukturierten Datenbestand erfasst, womit nicht nur „automatisierte" Dateien gemeint sind. In diesem Fall können nämlich die personenbezogenen Daten regelmäßig in kurzer Zeit unter bestimmten Gesichtspunkten ausgewertet werden.

3.3 Welche Vorgänge sollen durch den Datenschutz geschützt werden?
Datenschutz ist der Schutz von Daten. Darunter fällt der gesamte Vorgang

- der Erhebung, Verarbeitung und Nutzung personenbezogener Daten,

- die unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden

- mit Ausnahme von: persönlicher/familiärer Tätigkeit.

Dabei bezeichnet die Datenerhebung das Beschaffen von personenbezogenen Daten des Betroffenen. Sie liegt regelmäßig bei aktiver Beschaffung von Informationen vor.

Die Datenverarbeitung betrifft das Speichern, Verändern, Übermitteln, Löschen und/oder Sperren von Daten.

Ersteres, das Speichern, ist dabei nicht auf irgendein Speichermedium beschränkt. Betroffen ist das „Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger." (§ 3 Absatz 4 Nr. 1 BDSG). Die Speicherung kann dabei digital und/oder analog, also etwa auf einer Papierkarteikarte - erfolgen. Eine dauerhafte Speicherung ist nicht erforderlich.

Verändern ist das „inhaltliche Umgestalten gespeicherter personenbezogener Daten" (§3 Absatz 4 Nr. 2 BDSG).

Übermitteln ist das Weitergeben von personenbezogenen Informationen an einen Dritten, § 3 Absatz 4 Nr. 3 BDSG. Gerade diese Form der Datenverarbeitung ist datenschutzrechtlich besonders bedeutsam, weil die Information den ursprünglichen Verwenderkreis verlässt und damit der Kreis der Datenverarbeiter erweitert wird.

Löschen ist das Unkenntlichmachen (das Tilgen) von gespeicherten personenbezogenen Daten § 3 Absatz 4 Nr. 5 BDSG. Ein Löschen liegt nur vor, wenn die Daten unwiederbringlich getilgt sind. Kann etwa die geschwärzte Textstelle gelesen werden indem das Papier gegen das Licht gehalten wird, so liegt datenschutzrechtlich kein Löschen vor. Gleiches gilt, wenn mittels der „Del" - oder „Entf" - Taste Informationen im Textverarbeitungsprogramm eines Computers eine Information „gelöscht" wird. Durch die „Änderung verfolgen" - Funktion kann die vermeintlich „gelöschte" Textstelle wieder lesbar gemacht werden. Mittels des Einsatzes von Wiederherstellungsprogrammen können so auch ganze vormals „gelöschte" Dateien wiederhergestellt werden.

Sensible Daten, die gelöscht werden müssen, erfordern daher den Einsatz von „Säuberungs"-Programmen, die eine derartige Wiederherstellung verhindern, indem z. B. die Festplatte mehrmals mit „Datenmüll" überschrieben wird. (Zwischen den Programmierern von Wiederherstellungs- und Säuberungssoftware besteht jedoch ein fortwährender „Wettlauf": Neuere Methoden der Wiederherstellung schaffen neuere Methoden der Löschung, und umgekehrt.)

Im Gegensatz zum „Löschen" soll die Datennutzung beim Sperren nicht für immer und für alle Nutzungen ausgeschlossen sein. Sperren bedeutet ein „Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken" (§ 3 Absatz 4 Nr. 4 BDSG).

Ein Sperren kommt immer dann in Betracht, wenn eigentlich eine Löschung von personenbezogenen Daten erforderlich wäre. Andererseits es jedoch gute Gründe gibt, z. B. weil es ein Gesetz (z. B. Aufbewahrung steuerrechtlich relevanter Daten) verlangt, oder auch das Interesse des Betroffenen dafür spricht, dass die Daten weiterhin gespeichert werden (z. B. Aufnahme einer Adresse in einen Werbeverteiler gegen die der betroffene Widerspruch erhebt: Die Sperrung der Daten bewirkt, dass der Widerspruch erkannt wird im Falle, dass etwa die Adresse im Rahmen von kommerziellem Adresshandel angeboten wird und somit verhindert wird, dass der Betroffene wieder zu Werbezwecken angeschrieben wird.).

In diesem Fall bewirkt also eine Sperrung, dass die Daten zwar gespeichert werden, jedoch einzig aus dem Grunde genutzt werden dürfen, zu dem sie gesperrt und nicht gelöscht wurden.

Der Begriff der Datennutzung umfasst jede über eine Erhebung und Verarbeitung hinausgehende Datenverwendung. Darunter fallen z. B. die Datenweitergabe innerhalb eines (Kultur-)Unternehmens oder etwa die telefonische, persönliche Nachfrage, ob der Kunde mit der vom Unternehmen erhaltenden Ware/Dienstleistung zufrieden ist.

Für alle vorgenannten Tätigkeiten gelten die nachfolgenden Grundsätze

3.4 Grundsatz der Vermeidung der Datenerhebung
Die Datenschutzgesetze stellen den gesetzlichen Anspruch auf, dass die Erhebung von Daten nur insoweit zulässig ist, als für ihre Erhebung ein berechtigter Grund vorliegt, d. h. soweit die Datensammlung überhaupt erforderlich und notwendig ist (vgl. § 3a BDSG). Der „gläserne Mensch" entspricht daher nicht dem verfassungsrechtlichen gesetzlichen Bild.

3.5 Grundsatz der Datensparsamkeit
Wenn Daten erhoben werden, dann soll die so sparsam wie möglich erfolgen: Soweit wie möglich soll dabei von der Anonymisierung und Pseudonymisierung Gebrauch gemacht werden (vgl. § 3a BDSG).

3.6 Grundsatz der kurzen Dauer der Datenspeicherung
Die Datenspeicherung soll so kurz wie möglich und nur so lange wie nötig erfolgen. Gemeint sind hier in erster Linie alle Datenerhebungen, soweit sie für eigene (Abrechnungs-)Zwecke, etwa zur Beweiserbringung erforderlich und (noch) notwendig sind. Auch die Datenerhebung unterliegt somit einer Art gesetzlicher „Haltbarkeitsdauer". Das bedeutet: Regelmäßige Durchsicht und Löschen von Daten wird zur (auch) datenschutzrechtlichen Pflicht. Im datenschutzrechtlich bestem Fall versehen Sie die Daten bereits bei der Eingabe mit einem Löschdatum, an dem die Daten wiedervorgelegt und (oder automatisch) gelöscht werden. In der Praxis wird das automatische Löschen wohl auf Widerstand stoßen. Zu groß ist oftmals das „Kontrollbedürfnis". Auf der anderen Seite schafft Löschen auch wieder „aufgeräumte", d. h. aktualisierte Datenbestände.

3.7 Grundsatz des Datenweitergabeverbots ohne Einwilligung
Dieser Grundsatz besagt, dass die Weitergabe von personenbezogenen Daten an Dritte (namentlich der „Verkauf von Daten") ohne Einwilligung des Betroffenen verboten ist.

Der Grundgedanke lautet: Jeder soll weitgehendste Kontrolle über die Weitergabe seiner eigenen Daten haben. Die geschäftliche Weiterverwertung von Kundendaten wird dadurch zumindest erschwert, wenn nicht gar rechtlich unmöglich. - Sollte also eine Weiterverwendung der Kundendaten geplant sein, so ist z.B. in den AGB eines Online-Shops unbedingt eine Datenschutzerklärung aufzunehmen, welche die Möglichkeit eines Widerspruchs gegen die Datenweitergabe enthält.

3.8 An wen richten sich die Anforderungen des Datenschutzes?
Sowohl öffentliche wie auch nicht-öffentliche Stellen, die personenbezogenen Daten verarbeiten, haben die gesetzlichen Regelungen des Datenschutzes zu beachten. Daher spielt es datenschutzrechtlich zunächst auch keine Rolle, ob Ihr Kulturunternehmen eine öffentlich-rechtliche, staatliche Einrichtung oder ein privatrechtlich organisiertes Unternehmen/Gewerbe ist. - Die nachfolgende Darstellung beschränkt sich auf die Datenverarbeitung nicht-öffentlicher (privater) Stellen. - § 3 Absatz 7 BDSG nennt solche Datenverarbeiter „verantwortliche Stellen". Das sind alle Menschen, Unternehmen, Vereine oder Gruppierungen, die personenbezogene Daten für sich verwenden oder andere dazu beauftragen.

3.9 Datensicherheit/Datenschutz: „Chefsache"!
Datensicherheit und Datenschutz sind dabei „Chefsache". Das zeigt ein Blick auf gesetzliche Haftungsregeln. So heißt es etwa in § 91 Absatz 2 AktienG: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden." Hier wird ein „Risikomanagement" verlangt, d. h. gefordert sind das (proaktive) Ergreifen von Maßnahmen, die verhindern, dass der Fortbestand des Unternehmens gefährdet wird.

Für die Aktiengesellschaft wird damit vorsorgliche Datensicherheit und Datenschutz Teil des Risikomanagements. Für die GmbH sieht § 43 GmbH-Gesetz eine Geschäftsführerhaftung vor. In beiden Fällen droht bei Verletzung der Pflichten (gesellschaftsrechtlich) Schadensersatz, wobei für den jeweiligen Datenschutzverantwortlichen (Unternehmensleitung) auch die Haftung mit dem privaten Vermögen in Betracht kommt.

Darüber hinaus können datenschutzrechtlich relevante Verstöße mit einer Geldbuße bis zu 25.000,00 Euro bzw. bis zu 250.000,00 Euro geahndet werden oder im Falle einer sogar strafbaren Handlung u.U. mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden §§ 43, 44 BDSG.

3.10 Verpflichtung der Mitarbeiter auf das Datengeheimnis
Welchen Stellenwert der Gesetzgeber dem (innerbetrieblichen) Datenschutz im übrigen beimisst, zeigt die Regelung des § 5 BDSG. Danach ist es den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden (z. B. auch im Kunst- und Kulturbereich), bei der Aufnahme ihrer Tätigkeit (in der Regel bei Aufnahme des Arbeitsverhältnisses) auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de