Your SlideShare is downloading. ×
Zeiter: Datenschutz im Kulturbetrieb
Zeiter: Datenschutz im Kulturbetrieb
Zeiter: Datenschutz im Kulturbetrieb
Zeiter: Datenschutz im Kulturbetrieb
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Zeiter: Datenschutz im Kulturbetrieb

235

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
235
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. M Recht der neuen MedienM17Datenschutz im Kulturbetrieb –Muster einer Datenschutzerklärungmit ErläuterungenEin praxisorientiertes Muster einer Datenschutzerklärung mit Erläu-terungen für den Betrieb einer Webseite im KulturbereichDr. Anna ZeiterRechtsanwältin bei Norton Rose Germany LLP in Hamburg, Tätigkeitsschwer-punkte: Medien- und Urheberrecht, IT- und DatenschutzrechtInhalt Seite1. Einleitung 22. Erfordernis einer Datenschutzerklärung 23. Einbeziehung der Datenschutzerklärung in die betreffende Webseite 54. Hinweise zum Umgang mit der Muster-Datenschutzerklärung 65. Muster einer Datenschutzerklärung 76. Resümee 15 M 17 S. 1 55 Kultur & Recht Oktober 2011
  • 2. M Recht der neuen Medien M17 1. Einleitung Marketing und Werbung ohne den Einsatz des Internets sind heutzutage kaum mehr vorstellbar. Dies gilt insbesondere auch für Kulturbetriebe, denn kaum ein Kulturbetrieb existiert, der nicht auch im Internet in irgendeiner Form präsent ist. So ist die Webseite eines Kulturbetriebes häufig für viele Kunden die erste In- formationsquelle für aktuelle Veranstaltungen und Termine, Eintrittspreise, Kon- taktdaten, Anfahrtsskizzen etc. Über den Internetauftritt von Kulturbetrieben werden zunehmend auch Eintrittskarten für eigene Veranstaltungen verkauft (z.B. über einen in die Webseite integrierten Online-Shop), wodurch wiederum Kun- dendaten generiert werden. Die Bereitstellung einer Webseite durch einen Kulturbetrieb findet aber nicht im rechtsfreien Raum statt, sondern auch beim Betrieb einer Webseite sind von Kul- turbetrieben verschiedene gesetzliche – insbesondere datenschutzrechtliche – Vorgaben zu beachten. Zusätzlich haben auch die vielen Datenschutzskandale der vergangenen Monate und Jahre – in denen selbst renommierte Unternehmen geltendes Datenschutz- recht missachtet haben und aus diesem Grund zum Teil hohe Bußgelder zahlen mussten, ganz zu schweigen von den Imageschäden, die damit jeweils einherge- gangen sind – gezeigt, dass Datenschutz kein unbedeutender rechtlicher Randbe- reich ist. Vor diesem Hintergrund soll der folgende Beitrag insbesondere Kulturbetrieben Erläuterungen und praktische Hinweise an die Hand geben, da im Rahmen des Betriebs einer unternehmenseigenen Webseite eine sogenannte Datenschutzerklä- rung rechtlich erforderlich ist. Damit die Kultureinrichtung nicht Adressat von Bußgeldern oder wettbewerbsrechtlichen Abmahnungen wird, behandelt der Beitrag auch die Frage, wie eine solche Erklärung rechtskonform gestaltet wer- den kann. 2. Erfordernis einer Datenschutzerklärung Die Notwendigkeit der Gestaltung einer Datenschutzerklärung im Rahmen eines Webseitenbetriebs erklärt sich wie folgt: Webseiten und Online-Shops stellen nach allgemeiner Auffassung sogenannte Telemedien im Sinne von § 1 Abs. 1 Satz 1 Telemediengesetz (TMG) dar.1 Gemäß § 13 Abs. 1 Satz 1 -3 TMG trifft den Anbieter eines solchen Telemediums – wie beispielsweise einen Kulturbetrieb, der eine Webseite betreibt – eine umfassendeM Unterrichtungspflicht.17S. 2 55 Kultur & Recht Oktober 2011
  • 3. M Recht der neuen MedienM17Mit dieser Unterrichtungspflicht soll nach Intention des Gesetzgebers vor allenDingen den besonderen Risiken einer Datenverarbeitung im Internet Rechnunggetragen werden.2 Der Nutzer soll somit bereits zu Beginn eines Webseitenbe-suchs über die damit in Verbindung stehenden Datenverarbeitungsvorgänge in-formiert werden, damit er abschätzen kann, wer wann was über ihn weiß.3 DieseUnterrichtungspflicht dient damit der Ermöglichung einer aktiven Mitwirkungdes Betroffenen an der Preisgabe seiner Daten.4Diese Unterrichtungspflicht aus § 13 Abs. 1 TMG umfasst dabei folgende Rege-lungen:Gemäß § 13 Abs. 1 Satz 1 TMG hat der Diensteanbieter den Nutzer zu Beginndes Nutzungsvorgangs über• die Identität der verantwortlichen Stelle,• Art, Umfang und Zwecke der im Rahmen der Website vorgenommenen Da- tenerhebungen und -verwendungen,• etwaige Kategorien von Datenempfängern, soweit der Benutzer mit einer Übermittlung seiner personenbezogenen Daten an diese nicht rechnen muss, sowie• über etwaige Datenübermittlungen an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR)in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrich-tung nicht bereits erfolgt ist.Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzersermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vor-bereitet (wie z.B. beim Einsatz von sogenannten Cookies, Web-Bugs etc.), ist derNutzer nach § 13 Abs. 1 Satz 2 TMG zusätzlich bereits zu Beginn dieses Verfah-rens zu unterrichten.Nach § 13 Abs. 1 Satz 3 TMG muss der Inhalt der Unterrichtung für den Nutzerzudem jederzeit abrufbar sein.Aus diesen Bestimmungen von § 13 Abs. 1 Satz 1 bis 3 TMG ergeben sich damitfolgende Anforderungen:Inhaltliche Grundanforderung an die Unterrichtung ist zunächst, dass sie wahrund vollständig sein muss.5 Wichtig ist daher insbesondere, dass sämtliche Zwecke Mder im Rahmen der Website vorgenommenen Datenerhebungen und -verwendungen 17vollständig und abschließend genannt werden.6 Ebenso sollten sämtliche Arten S. 3 55 Kultur & Recht Oktober 2011
  • 4. M Recht der neuen Medien M17 von Daten, die im Rahmen des Webseitenbetriebs erhoben und verwendet wer- den, in der Unterrichtung bzw. in dem Hinweis aufgelistet werden.7 Darauf zu achten ist auch, dass die genannten Verarbeitungszwecke dabei jeweils konkret für die verschiedenen Datenarten anzugeben sind.8 Nicht ausreichend ist in die- sem Zusammenhang damit auch der (oft verwendete) Hinweis, dass die Verarbei- tung der Daten im Rahmen der bestehenden Gesetze erfolge.9 Darüber hinaus ist der Nutzer der betreffenden Webseite über etwaige Katego- rien von Datenempfängern, soweit der Benutzer mit einer Übermittlung seiner personenbezogenen Daten an diese nicht rechnen muss, sowie über etwaige Da- tenübermittlungen an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) zu unterrichten. Der Grund für diesen Teil dieser Forderung ist, dass bei Staaten außerhalb des EWR nicht ohne Weiteres von einem vergleichbaren Da- tenschutzniveau ausgegangen werden kann10 und der Nutzer über diesen Umstand informiert werden muss. Inhaltlich ist es insoweit nach dem Wortlaut der Vor- schrift ausreichend, lediglich diejenigen Nicht-EWR-Staaten anzugeben, in wel- chen die Verarbeitung stattfindet.11 Informationen über die konkreten Datenemp- fänger, das tatsächliche Datenschutzniveau im Verarbeitungsstaat oder auch über konkrete Datenschutzgarantien bei dem entsprechenden Datenempfänger sind nicht geschuldet.12 Als einzige formelle Anforderung an die Unterrichtung sieht § 13 Abs. 1 TMG vor, dass diese in allgemein verständlicher Form zu erfolgen hat. Die konkrete Form und Gestaltung der Unterrichtung bzw. des Hinweises liegt mangels ande- rer Angaben im Gesetz deshalb grundsätzlich im Ermessen des Diensteanbie- ters.13 Die Formulierung der Unterrichtung sollte sich aber dennoch an dem Zweck orientieren, dem Nutzer die Datenerhebung und -verwendung transparent zu machen.14 Eine übermäßige Verwendung von technischen oder juristischen Fachbegriffen sollte daher möglichst vermieden werden.15 Außerdem sollte die Unterrichtung in deutscher Sprache verfasst sein.16 Die Informationen müssen für den Nutzer zudem leicht wahrnehmbar sein und dürfen auf der Webseite auch nicht versteckt werden.17 I18n der Praxis wird diese Unterrichtungs- bzw. Hinweispflicht gemäß § 13 Abs. 1 TMG üblicherweise im Rahmen einer sogenannten „Datenschutzerklärung“ bzw. „Privacy Policy“ erfüllt.19 In zeitlicher Hinsicht hat die Unterrichtung nach § 13 Abs. 1 Satz 1 TMG zu Beginn des Nutzungsvorgangs zu erfolgen. Eine gleichzeitige Unterrichtung der Nutzers mit der Erhebung der Daten ist damit also ausreichend.20 Dies ist auch sachgerecht, da bereits im ersten Moment des Besuchs einer Webseite eine auto- matisierte Erhebung von Daten (z.B. Tracking-Daten) erfolgen kann und eine Unterrichtung vor der Erhebung dann nicht möglich ist.21 Bei einem automatisier-M ten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht (wie z.B.17 beim Einsatz von sogenannten Cookies, Web-Bugs etc.), hat die UnterrichtungS. 4 nach § 13 Abs. 1 Satz 2 TMG zwar erst zu Beginn des betreffenden Verfahrens zu 55 Kultur & Recht Oktober 2011

×