Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 2
4. Wann ist die Datenerhebung, -verarbeitung und -nutzung zulässig?
4.1 Einwilligung
4.2 Rechtsvorschrift
4.3 Vertragsabwicklung
4.4 Vertragsähnliches Verhältnis
4.5 Sonstiges berechtigtes Interesse
4.6 Allgemein zugänglichen Daten
4.7 Die Benachrichtigungspflicht
4.8 Checkliste: Rechtmäßigkeitsprüfung der Erhebung personenbezogener Daten

4. Wann ist die Datenerhebung, -verarbeitung und -nutzung zulässig?
Die Grundregel des Datenschutzrechts lautet: Die Datenerhebung, -verarbeitung und/oder -nutzung ist zulässig, wenn die Daten vom Betroffenen selbst zur Verfügung gestellt werden, d. h.. er eingewilligt hat.

Eine Erlaubnis besteht auch,

- wenn diese in einer Rechtsvorschrift erteilt wird;

- für den Geschäftszweck erforderlich ist

- oder ansonsten ein unverhältnismäßiger Aufwand entsteht

- und keine Anhaltspunkte vorliegen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden könnten,
siehe § 4 Absatz 1 und 2 BDSG.

4. 1 Einwilligung
Die Einwilligung des Betroffenen ist nicht nur datenschutzrechtlich eine wichtige Form der Rechtfertigung, sondern auch aus der Sicht des datenerhebenden Unternehmens eine „wertvolle" Datengenerierung: Erstens stammen sie vom Betroffenen selbst (die Wahrscheinlichkeit, dass die Daten/Angaben zutreffend und aktuell sind, ist damit sehr hoch) und zweitens stellt der Akt der Datenerhebung an sich bereits einen (ersten) Kundenkontakt her. Gerade bei einem ersten Kundenkontakt kann die Behandlung des Themas Datenschutz, sprich die Umsetzung der gesetzlichen Anforderungen, entscheidende Punkte bei der Bildung eines „Vertrauensvorschusses" bringen.

Damit eine wirksame Einwilligung vorliegt, muss sie auf der freien Entscheidung des Betroffenen beruhen. Das setzt zunächst voraus, dass der Betroffene die Tragweite seiner Entscheidung überblicken kann. Hier nun eröffnen sich aus Unternehmersicht reichhaltige Möglichkeiten, Datenschutz proaktiv zu betreiben und dies zusätzlich als Marketingmittel einzusetzen.

4.1.1 Transparenzprinzip
Die Tragweite einer Entscheidung kann der Einwilligende (Kunde) nur überschauen, wenn er zuvor hinreichend informiert wird. Eine Vertragsklausel, die Sie als (Kultur-)Unternehmen zu einer Datenverarbeitung berechtigen soll, muss deshalb klar den Zweck der Erhebung, Verarbeitung oder Nutzung beschreiben (= Transparenzprinzip). Darüber hinaus muss im Falle einer Datenübermittlung eine Einwilligungsklausel auch beschreiben, an wen Daten übermittelt werden. Der Kunde muss dabei immer zumindest eine ungefähre Vorstellung haben, in welchem Umfang personenbezogene Daten über ihn, wo und von wem verarbeitet werden. Auch auf die Folgen der Verweigerung der Einwilligung ist er hinzuweisen. Dabei bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben, § 4a Absatz 1 BDSG. Werden Leistungen im Falle der Auskunftserteilung versprochen (= Gewährung von Rechtsvorteilen), dann ist der Kunde auf die Freiwilligkeit seiner Angaben hinzuweisen, § 4a Absatz 3 BDSG.

4.1.2 Allgemeine Geschäftsbedingungen und Kundenbindungsprogramme
Das vorstehende gilt insbesondere für das Verfassen von Allgemeine Geschäftsbedingungen und Kundenbindungsprogramme wie Rabatt- und/oder Kundenkarten, etwa auch beim Theater-Abo. So muss etwa eine im Zusammenhang mit dem Vertragsschluss beabsichtigte Prüfung der Kreditwürdigkeit Ihres Neukunden als solches wie auch Name und Adresse desjenigen mitgeteilt werden, der die Prüfung durchführt (z. B. Schufa).

Gleiches gilt für den Forderungseinzug durch dritte Stellen. Auch hierüber ist der Kunde (vorab) zu informieren. Zum Beispiel werden damit Inkassounternehmen und manchmal sogar Banken/Sparkassen (Kreditinstitute) beauftragt. Solange der Kunde als Verbraucher damit rechnen muss (bei Inkassounternehmen), kann das rechtmäßig sein. Soweit er jedoch nicht damit rechnen muss (bei Kreditinstituten), ist die Datenbeschaffung durch den Beauftragten unzulässig, wenn der Kunde nicht vor seiner Einwilligung darüber informiert worden ist.

Speziell bei Rabatt- / Kundenkarten sollten folgende Angaben gemacht werden:

- Zu welchen Zwecken werden Daten verarbeitet?

- Nennung der Vertragspartner der Rabatt- / Kundenkarte

- In welcher Form und welchem Inhalt erhalten diese Vertragspartner die Daten - nur anonymisierte Auswertungen?

- Welche Daten werden vom Kartenbetreiber verarbeitet?

4.1.3 Optische Hervorhebung der „Datenschutzklausel"
Die entsprechende Klausel muss optisch hervorgehoben werden. Wer seine „Datenschutzklausel" (d. h. Klausel zur Einwilligung der Datenverarbeitung) z. B. fett, kursiv und mit Rahmen versieht und vom übrigen Text absetzt sowie dazu zusätzlich vom Kunden noch mal eigens unterschreiben lässt - womit dessen Kenntnisnahme dokumentiert wird -, der ist auf jeden Fall auf der datenschutzrechtlich sicheren Seite.

Gerade letzteres wird oftmals vergessen, wenn auf dem Kassenbon und/oder in Allgemeinen Geschäftsbedingungen Lastschriftermächtigungen aufgenommen werden. Häufig werden einfach mehrere Erklärungen - inklusive einer Einwilligungen in eine Datenverarbeitung - zusammengefasst, ohne dass die Einwilligung hervorgehoben ist. Fatale Folge: Die Einwilligungserklärung ist nicht wirksam erteilt worden. Sie kann daher auch nicht Grundlage für die Verarbeitung von Kundendaten sein.

4. 2 Rechtsvorschrift
Neben der Einwilligung ist die Datenverarbeitung auch noch rechtmäßig, wenn sie durch Rechtsvorschriften, insbesondere das BDSG, erlaubt wird. Das BDSG unterscheidet dabei zwischen der Verarbeitung zu eigenen Geschäftszwecken (§ 28 BDSG) und der geschäftsmäßigen Verarbeitung zum Zwecke der Übermittlung (§ 29 BDSG).

Immer dann, wenn eine Verarbeitung (auch) eigenen Belangen dient, liegt eine Verarbeitung zu eigenen Geschäftszwecken vor. Nur wenn ein Unternehmen Daten sammelt, um sie ausschließlich Dritten zur Verfügung zu stellen, liegt eine geschäftsmäßige Verarbeitung zum Zweck der Übermittlung vor. Je nach Verarbeitungszweck ändern sich die datenschutzrechtlichen Anforderungen. Daher kann es schon zu Beweiszwecken empfehlenswert sein, Verarbeitungszwecke schriftlich festzulegen (siehe auch nachfolgend). Werden in Ihrem Unternehmen eine Vielzahl von gleich gearteten Datenkategorien verarbeiten, kann dies auch in der Verfahrensmeldung nach § 4d BDSG oder in der Verfahrensübersicht nach § 4e (§ 4g Absatz 2) BDSG geschehen. Voraussetzung hierfür ist allerdings, dass diese hinreichend konkret ausgestaltet ist. Das ist der Fall, wenn anhand Ihrer Angaben eine Rechtmäßigkeitsprüfung möglich ist.

4. 3 Vertragsabwicklung
Rechtmäßig ist die Datenverarbeitung aller personenbezogener Daten, die Sie benötigen, um einen Vertrag mit Ihrem Kunden abzuwickeln. Dabei muss die Datenverarbeitung allerdings auch zur Vertragsabwicklung erforderlich sein (Erforderlichkeitsprinzip), § 28 Absatz 1 Nr. 1 BDSG.

Notwendig - und damit erforderlich - sind in der Regel: der Name, (Vorname bedingt) und die Adresse des Kunden.

Nicht notwendig sind (im offline-Bereich) in der Regel: Telefonnummer, Telefaxnummer und e-Mail-Adresse. Letzteres ist im online-Bereich allerdings wiederum unbedingt erforderlich, wenn eine elektronische (Daten-)Lieferung erfolgen soll, z. B. Musik-, Bild- oder Textdaten, deren Freigabe erst durch Eingabe eines zuvor an den Kunden versandten individuellen Passwortes erfolgt; anders wiederum, wenn per Kreditkarten online gezahlt wird und die online-Lieferung bzw. der online-Zugriff anschließend mittels freigegebenen Downloads möglich ist. Hier sind nur die Angabe von Name, Vorname, Kreditkartennummer, Konto und Bankleitzahl und allenfalls noch die Gültigkeitsdauer der Kreditkarte und eventuell die zusätzliche Eingabe der (dreistelligen) Sicherheitszahl (siehe Kreditkartenrückseite) erforderlich.

Beim Geburtsdatum ist es oft fraglich, ob dessen Angabe wirklich erforderlich ist. Die Datenauswertung wird durch die Angabe des konkreten Geburtsdatums (= Tag, Monat, Jahr) wesentlich erleichtert. Denn es dient der eindeutigen Feststellung der Person. Ihre Datenverarbeitung kann so Ihren Kunden besser „nachfolgen", wenn diese umziehen. Daraus folgt zwar nicht zwingend, dass die Information „Geburtsdatum" generell datenschutzwidrig verlangt wird. In der in § 28 Absatz 3 BDSG aufgeführten Auflistung wird jedoch nur das „Geburtsjahr" genannt, welches für Zwecke der Werbung, der Markt- und Meinungsforschung verarbeitet werden darf.

Um datenschutzrechtlich beim Vertrauen Ihrer Kunden zu „punkten", sollten Sie deshalb alle Angaben, die nicht absolut unentbehrlich für eine Vertragsabwicklung mit Ihren Kunden sind, als freiwillige Angaben kennzeichnen, z. B. „* freiwillige Angabe". Ihre Kunden - gerade im online-Bereich - werden dies (unterschwellig) mit einem erhöhten Vertrauensvorschuß honorieren.

4.4 Vertragsähnliches Verhältnis
Auch wenn kein „Vertragsverhältnis" vorliegt, kann die Datenverarbeitung rechtmäßig sein. So wird eine Mitgliedschaft in einem Verein (z. B. Theaterjugendring) rechtlich meist nicht als „Vertragsverhältnis" bezeichnet, weil in der Regel kein vertragstypisches Leistungs-Gegenleistungsverhältnis besteht. Das Mitgliedschaftsverhältnis wird datenschutzrechtlich jedoch als „vertragsähnlich" behandelt, weil ähnlich wie bei einem Vertrag bestimmte Datenverarbeitungsprozesse erforderlich sind, um den gemeinsamen Vereinszweck zu fördern.

4.5 Sonstiges berechtigtes Interesse
Auch wenn kein Vertragsverhältnis oder vertragsähnliches Verhältnis vorliegt, kann für die von Ihnen vorgenommene Datenverarbeitung u. U. ein sonstiges berechtigtes Interesse zu bejahen sein, § 28 Absatz 1 Nr. 2 BDSG.

Voraussetzung ist zunächst, dass die Verarbeitung für einen eigenen, berechtigten Zweck erforderlich ist. Das ist in der Regel der Fall bei einer Datenverarbeitung, die zur Vorbeugung bestimmter Geschäftsrisiken erfolgt z. B. Anlegen einer „Warn-/Negativliste", für „faule" Kunden, die entweder nur zögerlich (nach Mahnungen, Gerichtsverfahren, Zwangsvollstreckung) oder überhaupt nicht (Betrugsversuche) gezahlt haben. In beiden Fällen ist die Aufnahme der Kundendaten in die Datei nicht zur Vertragsabwicklung erforderlich. Sie dient jedoch dem berechtigten (Eigenschutz-)Interesse Ihres Unternehmens.

Zweite Voraussetzung ist, dass kein Grund zur Annahme besteht, schutzwürdige Belange des Betroffenen stünden der Verarbeitung entgegen. Gegenteiliges gilt insbesondere für Fälle, in denen die betreffende Dateninformation den Privat- und erst recht wenn sie den Intimbereich des Betroffenen berührt, so etwa u. U. auch, wenn die Informationsquelle nicht allgemein zugänglich ist (vgl. nachfolgend).

4.6 Allgemein zugänglichen Daten
Verarbeitet Ihr Unternehmen Kundendaten zur Vertragsabwicklung oder, um damit eigene berechtigte Interessen zu verfolgen, müssen Sie prüfen, welche Daten Sie für diese Datenverarbeitung benötigen. Diese Prüfung entfällt, wenn Sie lediglich allgemein zugängliche Daten verwenden, § 28 Absatz 1 Nr. 3 BDSG. Allgemein zugänglich sind Informationen nur, wenn sie einem nicht bestimmbaren Personenkreis zugänglich gemacht wurden, z. B. Telefon- oder Adressbuch, öffentlich zugängliche Register (Grundbuch-, Handelsregister).

Handelt es sich ausschließlich um allgemein zugängliche Daten, dann müssen Sie für die Datenverarbeitung nur prüfen, ob möglicherweise überwiegende schutzwürdige Interessen der Betroffenen der Verarbeitung dieser Daten entgegenstehen. Letzteres dürfte nur ausnahmsweise der Fall sein. (So wird etwa die sogenannte „Rückwärtssuche", bei der mittels Eingabe einer Telefonnummer der Anschlussteilnehmer ausfindig gemacht werden kann, z. T. datenschutzrechtlich als bedenklich betrachtet.)

4.7 Die Benachrichtigungspflicht
Unabhängig davon, ob Sie für eigene Zwecke oder zur geschäftsmäßigen Übermittlung an Dritte personenbezogene Daten erheben bzw. übermittelt, müssen Sie den Betroffenen beim ersten Mal benachrichtigen, § 33 BDSG. Diese Benachrichtigungspflicht entfällt nur in ganz bestimmten vom Gesetz aufgelisteten Ausnahmefällen, z. B. wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat (siehe dazu § 33 Absatz 2 Nr. 1 - 8 BDSG).

Die Benachrichtigung muß folgende Punkte enthalten.

- dass überhaupt eine Speicherung vorgenommen wurde,

- die Art der Daten, die gespeichert werden

- die Zweckbestimmung der Erhebung, der Verarbeitung oder der Nutzung

- und die Identität der verantwortlichen Stelle (Adresse)

Im Fall der Datenübermittlung:

- die Tatsache der Übermittlung

- und der Art der übermittelten Daten.

Das Gesetz schreibt nun allerdings nicht vor, dass Sie in jeder Datenverarbeitungsphase immer über alle Punkte informieren müssen. Möglich ist auch, dass Sie bereits im Vorfeld einer beabsichtigten, späteren Datenverarbeitung den Betroffenen klar und eindeutig auf die vorgenannten Punkte hinweisen. So reicht etwa hinsichtlich der Identität Ihres Unternehmens oftmals einfach der Briefkopf eines Schreibens aus. Doch auch hier gilt: Teilen Sie Ihren Kunden die Zweckbestimmung einer (geplanten) Datenverarbeitung auch dann mit, wenn eine Benachrichtigung - wie etwa im Fall der Vertragsabwicklung - nicht erforderlich ist:

Ihre Kunden werden es Ihnen mit einem Vertrauensvorschuss bzw. einer Vertrauensstärkung danken, wenn Sie eine derartige Unterrichtungsklausel vorsehen! Gleiches gilt im Falle der Mitteilung einer Datenübermittlung etwa an einen langjährigen Geschäftspartner: nennen Sie Ihren Geschäftspartner. Das schafft sogar doppeltes Vertrauen: beim Kunden und bei Ihrem Geschäftspartner!

Ändert, erweitert sich der Zweck Ihrer Datenverarbeitung, dann müssen Sie hierüber wiederum unterrichten. Unterbleibt diese Unterrichtung riskieren Sie ein Bußgeld bis zu 25.000,00 €.

Für den Fall, dass Sie lediglich Daten „aus allgemeinen Quellen entnommen" haben, um so der Benachrichtigungspflicht zu entgehen, gilt: Sammeln Sie Belege! Denn Sie müssen in diesem Fall den Nachweis erbringen, dass die Daten tatsächlich „aus allgemeinen Quellen entnommen" worden sind. Der bloße Nachweis, dass die Daten aus derartigen Quellen entnommen werden können, reicht nicht aus!

Anhand der nachfolgenden Checkliste können Sie Ihre Datenverarbeitung auf ihre Rechtmäßigkeit „abklopfen".
4.8 Checkliste: Rechtmäßigkeitsprüfung der Erhebung personenbezogener Daten
□ Welche personenbezogenen Daten werden tatsächlich für die Vertragsabwicklung benötigt?

"Listenprivileg"-Daten?

- Angabe über die Zugehörigkeit des Betroffenen zu einer (für Ihren Unternehmensbereich relevanten) Personengruppe,

- Berufs-, Branchen- oder Geschäftsbezeichnung,

- Name,

- Titel,

- akademische Grade,

- Anschrift,

- Geburtsjahr

(Solange Ihr Unternehmen „nur" den Namen, eine Gruppenzugehörigkeit, die Adressdaten und das Geburtsjahr zu Werbezwecken verwendet, dürfen grundsätzlich ganze Listen personenbezogener Daten sogar beliebig an dritte Unternehmen verkauft werden (sogenanntes Listenprivileg der Adressdatenverarbeitung). Es darf allerdings kein Widerspruch (des Kunden) erfolgt sein und auch sonst „kein Anhaltspunkt vorliegen, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat", § 28 Absatz 3 Nr. 3, Absatz 4 BDSG. Wichtig: e-Mail-Adresse, Telefon- und/oder Telefaxnummer sowie das genaue Geburtsdatum unterliegen nicht dem Listenprivileg! Eine Gruppenzugehörigkeit liegt nicht vor, wenn Sie mehrere Eigenschaften in einen Sammelbegriff zu verknüpfen suchen und sich somit durch die Verknüpfung weitere Informationen ableiten lassen.)

□ Kennzeichnung anderer (nichtprivilegierter) Daten als „freiwillige Angaben"?

□ Konkrete Festlegung des Zwecks der Datenverarbeitung in Bezug auf alle erhobenen personenbezogenen Daten (= Zweckbindung)?

□ Einholung einer klar formulierten Einwilligung des Kunden hinsichtlich des konkret festgelegten Zwecks der Datenverarbeitung?

□ Wenn nein, eigenes (nicht auf die Abwicklung eines Vertrages bezogenes) berechtigtes Interesse?

□ Wenn ja, welche personenbezogenen Daten werden tatsächlich für die Erfüllung dieses Interesses benötigt?

□ Wenn nein, werden von Ihnen lediglich allgemein zugängliche Daten des/der (potentiellen) Kunden verwendet?

Wollen Sie darüber hinaus Ihre Kunden zu Werbezwecken kontaktieren? Wenn ja, dann kennzeichnen Sie dies gesondert und geben Sie Ihrem Kunden die Möglichkeit, sich (datenschutzrechtlich) für Ihr Unternehmen (durch Anklicken/Ankreuzen eines Kästchens) zu entscheiden.

Geben Sie darüber hinaus Ihrem (potentiellen) Kunden, die Möglichkeit zum Widerspruch (siehe dazu auch unten) gegen Werbung.

- Dabei ist die Variante datenschutzfreundlicher, bei der der Kunde aktiv werden muss (durch Ankreuzen), wenn er Werbung erhalten will, während in anderer Variante der Kunde aktiv werden muss, um gerade keine Werbung zu erhalten. Doch auch die zweite Variante ist noch datenschutzkonform. Auf jeden Fall schlagen Sie mit beiden Varianten „drei Fliegen mit einer Klappe": Zum einen ermöglichen Sie Ihren Kunden die Ausübung ihres gesetzlichen Widerspruchsrechts (§ 28 Absatz 4 Satz 2 BDSG), zum anderen erhalten Sie eine Rückmeldung hinsichtlich der von Ihrem Unternehmen eingesetzten Werbeschreiben und Sie vermeiden/minimieren obendrein auch noch Streuverluste. -

□ Effektive Unterrichtung über Widerspruchsrecht?

Sie müssen dem Betroffenen zumindest eine Adresse benennen. Die Benennung eines Ansprechpartners nebst Kontaktdaten (Adresse, Telefonnummer und eMail-Adresse) ist zwar gesetzlich nicht vorgeschrieben, empfiehlt sich jedoch aus Marketinggründen. (Außerdem bietet sich auch hier wieder die Möglichkeit eines Kundenkontakts.)

□ Wenn ja, kein Widerspruch?

Im Falle des Vorliegens eines Widerspruchs dürfen Sie die entsprechenden Daten - außer zum Zwecke der Vertragsabwicklung, bzw. die Daten des Listenprivilegs (siehe oben) zum Zwecke der Werbung oder der Markt- oder Meinungsforschung - nicht nutzen oder an Dritte übermitteln.

Dabei kann der Widerspruch des Kunden z. B. im Rahmen der Vertragsanbahnung, des Vertragsschlusses oder im Laufe der Vertragsabwicklung im konkreten Einzelfall geäußert worden sein. Er kann jedoch auch generell erfolgt sein, z. B. durch Eintrag in eine sogenannte „Robinson-Liste". Der Verbraucher kann sich in derartige Listen eintragen, um einer Werbezusendung zu widersprechen. In Deutschland werden je nach Werbemedium entsprechende Listen geführt:

Deutsche Robinson-Listen gegen Werbezuschriften

- Für eMail, sms und Telefon

I.D.I. Interessenverband Deutsche Internet e.V.

eMail-Robinson: http://www.robinsonlist.de

SMS-Robinson: http://www.sms-robinsonlist.de

Tel-Robinson: http://www.telerobinson.de

http://www.erobinson.de

- Für Briefe

DDV Deutscher Direktmarketing Verband e.V.

Brief Robinson-Liste: http://www.ddv.de

- Für Faxe

BITKOM Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.V.

Telefax Robinson-Liste: http://www.retarus.de/robinsonliste

Doch nicht nur aus datenschutzrechtlichen Gründen sollten Sie als datenverarbeitendes Unternehmen regelmäßig diese Robinson-Listen durchgehen. Auch wettbewerbsrechtlich kann im Falle unverlangter Werbung ein Verstoß gegen § 3 in Verbindung mit § 7 Absatz 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) vorliegen. Danach ist es untersagt Telefonwerbung, Werbeschreiben per Fax, eMail oder SMS an Betroffene zu versenden, ohne dass diese um Zusendung zuvor gebeten hätten oder dass ein anderweitiger geschäftlicher oder sonstiger vorheriger Kontakt besteht und ohne dass hierzu eine Einwilligung seitens des Betroffenen vorliegt. Der Streitwert einer anschließenden Abmahnung und eventuell einem gerichtlichen Nachspiel liegt dabei regelmäßig bei ca. 7.000,00 €, so dass pro Verstoß schnell 1.000,00 € Kosten zusammenkommen zuzüglich eines eventuell noch zu zahlenden Schadensersatzes.

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de