Die datenschutzrechtlichen Anforderungen im Kunst- und Kulturbetrieb
Autor: Rechtsanwalt Dr. Rutger von der Horst Köln, Münster, Los Angeles

Inhalt

Teil 6
8. Internationaler Datenverkehr
8.1.1 Anwendbares Recht
8.1.2 Durchsetzbarkeit des Rechts
8.1.3 Ausschluß der Anwendung des deutschen Rechts
8.1.4 Datenübermittlungen im Kunst- und Kulturbereich
8.1 Übermittlung in EU- oder EWR-Mitgliedstaaten
8.2 Übermittlung in Drittstaaten
8.3 Feststellung der EU-Kommission, Safe Harbor Abkommen
8.4 EU-Standardvertragsklauseln
8.5 Unternehmensregelungen („Codes of Conduct")
8.6 Gesetzliche Ausnahme vom angemessenen Datenschutzniveau
8.7 Genehmigung der Aufsichtsbehörde
9. Marketinginstrument Datenschutz
9.1 Datenschutzrisiken beim E-Commerce aus Verbrauchersicht
9.2 Wettbewerbsvorteil Datenschutz: Der Total-Quality-Ansatz
10. Fazit

8. Internationaler Datenverkehr
Bislang war nur vom Fall die Rede, dass Ihr Unternehmen personenbezogene Daten innerhalb der Bundesrepublik Deutschland verarbeiten. Gerade der Kunst- und Kulturbereich ist jedoch von Internationalität geprägt. Damit einher geht auch der internationale Datenaustausch. Während etwa für die Datenbeschaffung das vorstehende gilt, sind aber bei Datenübermittlungen in Staaten, die nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) sind, besondere Rechtmäßigkeitsvoraussetzungen zu beachten. Die Zulässigkeit der Datenübertragung muss vorab von der übermittelnden Stelle überprüft werden, denn diese trägt die Verantwortung (§ 4b Absatz 5 BDSG). Damit ist Ihr Unternehmen bzw. die verantwortliche Person in Ihrem Unternehmen gemeint, d.h. also möglicherweise Sie selbst.

8.1 Übermittlung in EU- oder EWR-Mitgliedstaaten
Datenschutzrechtlich unproblematisch ist die Übermittlung in EU- oder EWR-Mitgliedstaaten (§ 4b Absatz 1 BDSG). Das sind (seit dem 1. Mai 2004):

EU-Mitgliedstaaten (25)

Belgien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Grossbritannien, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlanden, Österreich, Polen, Portugal, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Zypern

EWR Staaten (3)

Island, Liechtenstein, Norwegen

In diesen Staaten herrscht aufgrund der durch die EU-Datenschutzrichtlinie erfolgten Rechtsangleichung ein gleiches Schutzniveau.

8.1.1 Anwendbares Recht
Zur Anwendung kommt jeweils das Recht, in dem die übertragende Stelle ihren Sitz/Niederlassung hat. Abzustellen ist dabei entweder auf die verantwortliche Stelle selbst (= jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, § 3 Absatz 7 BDSG) oder eben - im Fall der Auftragsdatenübermittlung - auf den Auftragnehmer (§ 3 Absatz 8 Satz 3 BDSG). Zur Feststellung, wo sich eine Niederlassung befindet, kann im deutschen Recht auf § 42 Absatz 2 Gewerbeordnung zurückgegriffen werden. Danach besteht eine Niederlassung, wenn der Gewerbetreibende einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr von ihm benutzten Raum für den Betrieb seines Gewerbes besitzt.

Immer dann, wenn eine Datenerhebung, -verarbeitung oder -nutzung in Deutschland von einer Stelle ausgeht, die ihren Sitz außerhalb der Europäischen Union hat, ist das BDSG anzuwenden, § 1 Absatz 5 Satz 2 BDSG. So sind insbesondere die §§ 28 ff. BDSG anwendbar, wenn ein außerhalb der EU ansässiger Internet Service Provider auf seiner auch in Deutschland abrufbaren Web-Site in Deutschland Dienste anbietet.

8.1.2 Durchsetzbarkeit des Rechts
Hinsichtlich der Durchsetzbarkeit dieser Regelungen wird oftmals geäußert, die Aufsichtsbehörden dürften davon nur träumen. Doch ist beispielsweise die Blockierung des Zugriffs der URL von Deutschland aus möglich

(siehe die Darstellung „Die Antwort der Musikindustrie: Rights Protection System" Punkt 8.5 im Beitrag M 2 zur Blockierung von Urheberrechtsverstößen aus dem Ausland mittels „virtueller Grenzbeschlagnahme").

Zudem statuiert § 1 Absatz 5 Satz 3 BDSG für im Inland stattfindende Datenerhebungen, -verarbeitung oder -nutzung seitens der verantwortlichen ausländischen Stelle die Pflicht, auch Angaben über im Inland ansässige Vertreter zu machen.

8.1.3 Ausschluß der Anwendung des deutschen Rechts
Eine Anwendung des deutschen BDSG ist allerdings ausgeschlossen, wenn Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden - z. B. auch „Datendurchschleusungen" mittels Telekommunikationsleitungen.

Sonderfall: Auftragnehmer nimmt für verantwortliche Stelle und für eigene Zwecke Eigendatenverarbeitung vor.

Hinsichtlich der Eigendatenverarbeitung ist der „Auftragnehmer" selbst die verantwortliche Stelle. Folge: Bzgl. der Fremddatenverarbeitung gilt das Recht in dem der Auftraggeber seinen Sitz und/oder seine Niederlassung hat, während für die Eigenverarbeitung das Recht gilt, in dem der „Auftragnehmer" seinen Sitz und/oder seine Niederlassung hat. -

Aufgrund der Regelung des § 4b Absatz 5 BDSG, wonach die Verantwortung für die Zulässigkeit der Übermittlung die übermittelnde Stelle trägt, trägt auch der Auftragnehmer eine eigene Verantwortung. Er kann sich also nicht mit Hinweis auf den Auftraggeber für eine unzulässige Datenübermittlung exkulpieren.

8.1.4 Datenübermittlungen im Kunst- und Kulturbereich
§ 4b Absatz 1 BDSG enthält die Einschränkung „soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen." Da in Deutschland selbst nach Verabschiedung des EU-Verfassungswerkes immer wieder eine Zuständigkeit der EU für Kultur in Zweifel gezogen wird, könnte für Datenübermittlungen im Kunst- und Kulturbereich fraglich sein, ob für diesen Bereich überhaupt die Datenschutzregelungen Anwendung finden. Doch ist diese seit dem Vertrag von Maastricht (1992), Artikel 128 EU-Vertrag, seiner Fortschreibung im Vertrag von Amsterdam (1997), Artikel 151, rechtsverbindlich und ist schließlich sogar in der Grundrechte-Charta im Artikel 22 (Nizza 2000) festgeschrieben. Das Tätigkeitsfeld der Gemeinschaft im kulturellen Bereich ist damit verbindlich wie folgt definiert:

- Verbesserung der Kenntnis und Verbreitung der Kultur und Geschichte der europäischen Völker;

- Erhaltung und Schutz des kulturellen Erbes von europäischer Bedeutung;

- nichtkommerzieller Kulturaustausch;

- künstlerisches und literarisches Schaffen, auch im audiovisuellen Bereich (mit Konsequenzen im Urheberrecht).

Somit werden auch Datenübertragungen im Kunst- und Kulturbereich von den hier wiedergegebenen Regelungen erfasst.

8.2 Übermittlung in Drittstaaten
Gemäß § 4b Abs. 2 Satz 1, 2. Alternative BDSG finden grundsätzlich die „normalen" Erlaubnisnormen auch für Übermittlungen an sonstige ausländische oder über- oder zwischenstaatliche Stellen Anwendung.

Gemäß § 4b Absatz 2 Satz 2 BDSG hat eine Übermittlung jedoch zu unterbleiben, wenn der Betroffene (also etwa Ihr Kunde) ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Hier hat immer eine umfangreiche Prüfung zu erfolgen, ob ein solches schutzwürdiges Interesse vorliegt. Ein solches schutzwürdiges Interesse wird auf jeden Fall immer dann angenommen, wenn bei der empfangenden Stelle ein angemessenes Datenschutzniveau nicht gewährleistet ist.

Die Feststellung, ob ein angemessenes Datenschutzniveau gewährleistet wird, hat grundsätzlich der Datenexporteur selbst (also Sie bzw. Ihr betrieblich beauftragter Datenschutzbeauftragte) zu beurteilen. Bei der Bewertung des jeweiligen Datenschutzniveaus sind u.a. zu berücksichtigen (§ 4b Absatz 3 Satz 1 BDSG):

  • die Art der übermittelten Daten
  • die Zweckbestimmung
  • die Dauer der geplanten Verarbeitung
  • das Herkunfts- und das Endbestimmungsland
  • die für den betreffenden Empfänger geltenden Rechtsnormen sowie
  • die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen.

Die tatsächlich bei der Beurteilung des Datenschutzniveaus hinzugezogenen Umstände sind abzuwägen. Diese Abwägung sollte schriftlich festgehalten werden, damit sie bei einer datenschutzrechtlichen Kontrolle durch die Aufsichtsbehörde nachvollzogen werden kann.

8.3 Feststellung der EU-Kommission, Safe Harbor Abkommen
Die Feststellung wird jedoch dadurch erleichtert, dass ein angemessenes Datenschutzniveau immer dann als gewährleistet gilt, wenn dies durch die Europäische Kommission festgestellt wurde. Dies ist bisher der Fall bei Datenübermittlungen an Stellen in:

- Argentinien
- Guernsey
- Insel Man
- Kanada, in begrenztem Umfang
- Schweiz
- und den USA, soweit sich diese Stellen dem Safe Harbor Abkommen angeschlossen haben
(siehe dazu etwa http://www.export.gov/safeharbor/. und http://www.europa.eu.int/comm/internal_market/privacy/adequacy_de.htm).

- Nur mal zwischendurch: Eine Datenübertragung ins Ausland liegt bereits bei der Buchung einer Flugreise in die USA vor, wenn Daten etwa auch an dort ansässige Dienstleister übermittelt werden. -

8.4 EU-Standardvertragsklauseln
Wenn eine Datenübermittlung in andere Staaten als den zuvor genannten erfolgt, können Sie ein angemessenes Datenschutzniveau durch die Nutzung der EU-Standardvertragsklauseln schaffen. Denn wenn Sie diese Musterklauseln der EU-Kommission (Standardvertrag II, Anhang zur Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (2004/915/EG) Amtsblatt L 385/77) anwenden, gilt die Vermutung, dass bei der empfangenden Stelle ein angemessenes Datenschutzniveau herrscht, auch wenn dies grundsätzlich in dem Land, in dem der Empfänger sitzt, nicht der Fall ist.

8.5 Unternehmensregelungen („Codes of Conduct")
Im Rahmen der oben erwähnten Beurteilung des angemessenen Datenschutzniveaus sind alle Umstände heranzuziehen. Dazu gehören also auch Unternehmensregelungen (oft auch „Codes of Conduct", kurz CoC genannt), die ein solches gewährleisten könnten. Damit Ihre Unternehmensregelungen eine ausreichende Gewähr für das Vorliegen eines angemessenen Datenschutzniveaus bieten, müssen sie den datenschutzrechtlichen Mindeststandard des BDSG einhalten. Das ist der Fall, wenn die „CoC" sich inhaltlich an den Standardvertragsklauseln, insbesondere im Hinblick auf die Drittbegünstigtenklausel und die Haftungsregeln, orientieren. Dabei sind inhaltlich Abweichungen unschädlich, wenn sie durch sonstige verbindliche Regelungen oder organisatorische Maßnahmen hinreichend kompensiert werden.

8.6 Gesetzliche Ausnahme vom angemessenen Datenschutzniveau
Die Feststellung eines angemessenen Datenschutzniveaus bei der empfangenden Stelle ist dann nicht nötig, wenn einer der folgenden Ausnahmetatbestände erfüllt wird (§ 4c Absatz 1 Nr. 1 - 6 BDSG):

  • Der Betroffene hat seine (schriftliche) Einwilligung in die Übermittlung erteilt.
  • Die Übermittlung ist erforderlich, damit ein Vertrag zwischen dem Betroffenen und der verantwortlichen Stelle oder eine vorvertragliche Maßnahme, die auf Veranlassung des Betroffenen getroffen wird, durchgeführt werden kann.
  • Die Übermittlung ist zum Abschluss oder zur Erfüllung eines Vertrages erforderlich, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll.
  • Die Übermittlung ist zur Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich.
  • Die Übermittlung ist zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich.
  • Die Übermittlung erfolgt aus einem Register, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

In allen vorgenannten Ausnahmefällen unterliegen die Datenübermittlungen in Drittstaaten einer strikten Zweckbindung. Darauf sind die Datenempfänger jeweils ausdrücklich hinzuweisen (siehe §§ 4b Absatz 6, 4c Absatz 1 Satz 2 BDSG).

8.7 Genehmigung der Aufsichtsbehörde
Liegen keine der vorgenannten Ausnahmefälle vor, kann die zuständige Aufsichtsbehörde einzelne Übermittlungen personenbezogener Daten an andere als die „unproblematische Übermittlung" an die obengenannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist.

Namentlich wird in § 4c Absatz 2 Satz 1 BDSG darauf hingewiesen, dass solche Garantien aus Vertragsklauseln oder verbindlichen Unternehmensregelungen hervorgehen können. - Letztlich einfacher gestaltet sich die Datenübermittlung jedoch, wenn Sie für Ihre Datenübermittlung gleich auf den EU-Standardvertrag zurückgreifen. Denn die Genehmigung einer einzelnen Datenübertagung ins Ausland seitens der Aufsichtsbehörde ist zumindest zeit- und damit mitunter auch kostenintensiv. - Etwaige Verstöße gegen (z. B. aufgrund Verträge oder Unternehmensregelungen) von der Aufsichtsbehörde genehmigte Datenübermittlungen können zur Rücknahme der Genehmigung und/oder mit der Verhängung eines Bußgeldes gegen den Datenexporteur geahndet werden.

9. Marketinginstrument Datenschutz
Gerade in Deutschland ist das (subjektive) Sicherheitsbedürfnis der Verbraucher beim E-Commerce sehr groß.

9.1 Datenschutzrisiken beim E-Commerce aus Verbrauchersicht
Die Risiken beim (und damit die Vorbehalte gegen) E-Commerce aus Verbrauchersicht sind:

- Anonymität der Teilnehmer
- Flüchtigkeit und Manipulierbarkeit (= "Digipulierbarkeit") der Information/Daten
- Keine Unterscheidbarkeit von Original und Kopie ("digitaler Clon")
- Globalität des Netzes
- Grundsätzliche Offenheit des Netzes für Jedermann

Daher besteht eine erhöhte Verbraucher(nach)frage nach:

Anonymität: Wie kann ich meinen Namen und andere personenbezogenen Daten über mich verbergen bzw. selektiv preisgeben?

Vertraulichkeit: Wie kann ich sicherstellen, dass unbefugte Dritte keinen Zugriff auf meine Daten haben - sowohl während der Übertragung als auch danach?

Transparenz: Wie kann ich mir darüber im Klaren sein, welcher Aspekt meiner Person zu irgendeinem Zeitpunkt
überwacht wird, und unter welchen Umständen dies geschieht?

Vertrauen: Wem kann ich vertrauen, dass Abmachungen eingehalten werden?

Absicherung: Wer kann mir im Konfliktfall helfen?

9.2 Wettbewerbsvorteil Datenschutz: Der Total-Quality-Ansatz
Reagieren Sie auf diese Verbraucher(nach)fragen, indem Sie für Ihre Waren-/Dienstleistung - wenn im Rahmen des E-Commerce möglich - den anonymen Erwerb bzw. den Erwerb unter Pseudonym anbieten. Bieten Sie die Möglichkeit einer verschlüsselten Datenübertragung (z.B. SSL). Geben Sie Ihren Kunden Einblick in das von Ihnen erstellte Datenschutzkonzept.

Neben der (betriebs-)internen Einhaltung von Datenschutz- und Datensicherheitsregelungen sollte daher auch in den Fällen, in denen die Anzeige nicht gesetzlich festgeschrieben ist, ein Hinweis auf die jeweilige datenschutzrechtliche Selbstverpflichtung nach außen hin dokumentiert werden.

10. Fazit
Sicherheit beim E-Commerce bedeutet daher Rechtssicherheit, wobei (tatsächliche) Sicherheit + Vertrauen in die Sicherheit einen Mehrwert bedeutet.

Mit anderen Worten: Entwickeln Sie eine Datenschutzvision, die das Datenschutzrecht als Teil Ihres „Kundenbindungsprogramms" auffaßt. Werden Sie proaktiv tätig: Bieten Sie überdurchschnittlich qualitativ guten Datenschutz als Teil eines Total-Quality-Ansatzes an, um so einen Wettbewerbsvorteil zu erlangen!

... und gerne beraten wir auch Sie

portrait vonderhorst 200x284

Ihr Ansprechpartner in Deutschland

Dr. Rutger von der Horst

Rechtsanwalt

Tel.: 0251 / 37 94 200

Fredricks & von der Horst
LOS ANGELES │ MÜNSTER

Kontakt: kanzlei@vonderhorst.de