Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Upcoming SlideShare
Loading in...5
×
 

Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“

on

  • 487 views

 

Statistics

Views

Total Views
487
Views on SlideShare
487
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“ Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“ Document Transcript

  • M Recht der neuen MedienM13Vom Datenschutz und der Datensicher-heit zur „Datenschutzkultur“Die datenschutzrechtlichen Anforderungen im Kunst- und KulturbetriebDr. Rutger von der HorstRechtsanwalt, Fredricks & von der Horst (Los Angeles Köln Münster)www.virtuelle-kanzlei.comTätigkeitsschwerpunkt Wirtschaftsmedienrecht: Urheber, Marken, E-Commerce,Werbung, Wettbewerb; Mitbegründer von MedienAnwälte-International (MAI)®Inhalt Seite1. Einleitung 32. „Datenschutzkultur“ als Zielvorgabe 33. Datenschutzrecht 43.1 Das Recht auf informationelle Selbstbestimmung 43.2 Welche Daten sollen geschützt werden? 53.3 Wann sind Daten geschützt? 63.4 Welche Vorgänge sollen durch den Datenschutz geschützt werden? 73.5 Grundsatz der Vermeidung der Datenerhebung 83.6 Grundsatz der Datensparsamkeit 93.7 Grundsatz der kurzen Dauer der Datenspeicherung 93.8 Grundsatz des Datenweitergabeverbots ohne Einwilligung 93.9 An wen richten sich die Anforderungen des Datenschutzes? 103.10 Datensicherheit/Datenschutz: „Chefsache“! 103.11 Verpflichtung der Mitarbeiter auf das Datengeheimnis 114. Wann ist die Datenerhebung, -verarbeitung und -nutzung zulässig? 124.1 Einwilligung 124.2 Rechtsvorschrift 144.3 Vertragsabwicklung 144.4 Vertragsähnliches Verhältnis 154.5 Sonstiges berechtigtes Interesse 154.6 Allgemein zugängliche Daten 164.7 Die Benachrichtigungspflicht 165. Datenschutz durch Datensicherheit 205.1 Datensicherheitsgrundsätze 215.2 Datenschutzsicherungsmaßnahmen 215.3 Datenschutz und –sicherheits-Risikoanalyse 22 M 13 S. 1 40 Kultur & Recht Januar 2008
  • M Recht der neuen Medien M13 6. Pflicht zur Bestellung eines Datenschutzbeauftragten 23 6.1 Automatisierte Datenverarbeitung 24 6.2 Nicht-automatisierte Datenverarbeitung 25 6.3 Wer kann Datenschutzbeauftragter werden? 25 6.4 Aufgaben des Datenschutzbeauftragten 27 6.5 Welche (arbeitsrechtliche) Stellung hat der betriebsinterne Datenschutzbeauftragte? 28 6.6 Wie muss die Bestellung des Datenschutzbeauftragten erfolgen? 29 7. Reaktionsmöglichkeiten des Betroffenen (Kunden) 30 7.1 Das Auskunftsrecht 30 7.2 Das Berichtigungsrecht 31 7.3 Das Sperrungs- und Gegendarstellungsrecht 32 7.4 Das Löschungsrecht 32 7.5 Das Einwand- oder Widerspruchsrecht 33 7.6 Rechtsfolgen bei Verstößen 33 8. Internationaler Datenverkehr 33 8.1 Übermittlung in EU- oder EWR-Mitgliedstaaten 34 8.2 Übermittlung in Drittstaaten 36 8.3 Feststellung der EU-Kommission, Safe Harbor Abkommen 36 8.4 EU-Standardvertragsklauseln 37 8.5 Unternehmensregelungen („Codes of Conduct“) 37 8.6 Gesetzliche Ausnahme vom angemessenen Datenschutzniveau 37 8.7 Genehmigung der Aufsichtsbehörde 38 9. Marketinginstrument Datenschutz 39 9.1 Datenschutzrisiken beim E-Commerce aus Verbrauchersicht 39 9.2 Wettbewerbsvorteil Datenschutz: Der Total-Quality-Ansatz 40 Muster: Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG) 11 Checkliste: Rechtmäßigkeitsprüfung der Erhebung personenbezogener Daten 18 Bestellung zum Datenschutzbeauftragten 29 Datenschutzerklärung 40M13S. 2 40 Kultur & Recht Januar 2008
  • M Recht der neuen MedienM131. EinleitungDatenschutz und Datensicherheit, diese beiden Themen gewinnen auch im mitt-lerweile „technisierten und elektronisierten“ Kunst- und Kulturbetrieb zuneh-mend an Bedeutung. Ob im Online-Shop des Museums, in dem der Katalog zu aktuellen Aus- stellungen oder Merchandising-Artikel online geordert werden können, obder Ticket-Vorverkauf für Vortragsreihen online abgewickelt wird oder der News-letter des Fördervereins online bezogen wird, gerade in der Online-Welt erzeugtjede digitale Lebensregung ihre Datenspur.„Datenjäger und -sammler“ haben den steigenden Wert personenbezogener Datenund deren wachsende Bedeutung für die Informationswirtschaft erkannt. DieVerwertung derartiger Daten wird zunehmend auch im Kunst- und Kulturbetriebals weitere Einnahmequelle entdeckt.Die „Jagd nach Daten“ und deren weitere Aufbereitung unterliegt den gesetzli-chen Regelungen des Datenschutzrechts. Dabei wird der Datenschutz gemeinhinals wichtiges Thema des Verbraucherschutzes propagiert, während aus Sicht derUnternehmer die datenschutzrechtlichen Anforderungen oftmals eher als lästigempfunden werden. Dass praktizierter Datenschutz auch aus Unternehmersicht– hier aus Sicht der im Kunst- und Kulturbereich Verantwortlichen – imHinblick auf „Kundenbindung“ sich „auszahlen“ kann, zeigt der nachfolgendeBeitrag auf.2. „Datenschutzkultur“ als ZielvorgabeBeim Einsatz moderner Informationstechnologie (IT) spielen Datenschutz undDatensicherheit eine große Rolle. Dabei wird, wie wir später sehen werden, Da-tenschutz auch durch Datensicherheit gewährleistet. Damit beides „Hand in Handläuft“, ist neben einem Grundbestand an technischen Sicherungsmaßnahmen dieSchaffung einer (unternehmenseigenen) „Datenschutzkultur“ erforderlich. Umdieses Ziel verwirklichen zu können, hat der Gesetzgeber rechtliche Vorgabengemacht, die Auswirkung auf die unternehmensinterne Organisation wie auchauf die unternehmensexterne Kommunikation hat.Der Vollständigkeit halber sei erwähnt, dass die (Kulturunternehmens-)Kommu-nikation nicht nur die Belange des Datenschutzrechts zu beachten hat, sonderndie gesamte Kommunikationstätigkeit eines Unternehmens im Blick behaltenmuss. So muss der E-Mail-Verkehr oder die unternehmenseigene Web-Siteselbstverständlich auch den Bestimmungen des Gewerbe-/Wettbewerbs- undUrheberrechts wie etwa auch den Jugendschutzbestimmungen entsprechen. MNachfolgend wollen wir jedoch nur den Aspekt des Datenschutzes herausgreifen. 13Schauen wir uns zu diesem Zwecke zunächst an, was Datenschutz gewährleistensoll, welche Daten überhaupt und warum geschützt werden sollen. S. 3 40 Kultur & Recht Januar 2008
  • M Recht der neuen Medien M13 3. Datenschutzrecht Das Datenschutzrecht ist über mehrere Gesetze verteilt, wie z. B. dem Bundesda- tenschutzgesetz (BDSG), den Landesdatenschutzgesetzen und dem Telemedienge- setz (TMG), welches u. a. auch die Regelungen des vormaligen Teledienstedaten- schutzgesetzes (TDDSG) und des Mediendienstestaatsvertrags (MDStV) beinhal- tet. Diese Gesetze regeln unterschiedliche Aspekte des Datenschutzes, die sowohl den Online- wie auch den Offline-Bereich betreffen. Spezielle „kulturrechtliche“ Gesetze wie etwa das Gesetz über die Sicherung und Nutzung von Archivgut des Bundes (Bundesarchivgesetz BArchG) enthalten ebenfalls datenschutzrechtliche Aspekte. Sie verweisen jedoch in der Regel auf das (allgemeine) Datenschutzrecht. Die Abgrenzung zwischen TMG und BDSG etwa lässt sich anhand der verschie- denen Stufen der Internetnutzung wie folgt vornehmen: Die Aufforderung zur Abgabe eines Vertragsangebots (sogenannte „invitatio ad offerendum“) auf einer Web-Site selbst ist ein Telemediendienst und unterliegt daher den Regelungen des TMG. Gibt der Nutzer anschließend tatsächlich ein Angebot ab, dann werden erneut Daten ausgetauscht. Diese Daten betreffen In- formationen, die für den Vertrag selbst nötig sind. Die Erhebung, Verarbeitung und Nutzung dieser (personenbezogenen) Daten durch Unternehmen als Teleme- diendiensteanbieter bestimmt sich nach dem BDSG. Nachfolgend beschäftigen wir uns mit den BDSG-Regelungen, anhand derer das Ineinandergreifen von Datenschutz und Datensicherheit dargestellt werden soll. Für (Kultur-)Unternehmen, die sich – gezwungenermaßen – mit dem Thema Datenschutz beschäftigen müssen, kommt erschwerend hinzu, dass in der Ver- gangenheit die Datenschutzbestimmungen in kurzen Intervallen geändert wurden, so das erst 2006 geänderte BDSG, welches bereits wieder zur weiteren Novellie- rung ansteht. Da das Thema Datenschutz gemeinhin mit elektronisch generierten Daten in Verbindung gebracht wird, verwundert dies nicht. Denn so wie auf der Seite der Technik die Möglichkeiten der Datenverarbeitung ständig fortschreiten, ändern sich auch die Anforderungen, die das Datenschutzrecht gewährleisten muss. Bevor wir jedoch einen Blick auf die einzelnen gesetzlichen Regelungen werfen, lassen Sie uns zunächst eine Vorfrage klären: Warum gibt es überhaupt das Da- tenschutzrecht, was soll durch das Datenschutzrecht überhaupt geschützt werden? 3.1 Das Recht auf informationelle Selbstbestimmung Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Art. 2 Absatz 1 inM Verbindung mit Art. 1 Absatz 1 Grundgesetz auch ein Recht auf informationelle13 Selbstbestimmung. Danach kann der Einzelne über die Preisgabe und Verwen-S. 4 dung seiner persönlichen Daten grundsätzlich frei bestimmen (= verfassungs- 40 Kultur & Recht Januar 2008