Benclowitz: Die Kunst ist frei!? Teil I: Tendenzschutz im Betriebs- und Perso...
Zeiter: Datenschutz im Kulturbetrieb
1. M Recht der neuen Medien
M17
Datenschutz im Kulturbetrieb –
Muster einer Datenschutzerklärung
mit Erläuterungen
Ein praxisorientiertes Muster einer Datenschutzerklärung mit Erläu-
terungen für den Betrieb einer Webseite im Kulturbereich
Dr. Anna Zeiter
Rechtsanwältin bei Norton Rose Germany LLP in Hamburg, Tätigkeitsschwer-
punkte: Medien- und Urheberrecht, IT- und Datenschutzrecht
Inhalt Seite
1. Einleitung 2
2. Erfordernis einer Datenschutzerklärung 2
3. Einbeziehung der Datenschutzerklärung in die betreffende
Webseite 5
4. Hinweise zum Umgang mit der Muster-Datenschutzerklärung 6
5. Muster einer Datenschutzerklärung 7
6. Resümee 15
M
17
S. 1
55 Kultur & Recht Oktober 2011
2. M Recht der neuen Medien
M17
1. Einleitung
Marketing und Werbung ohne den Einsatz des Internets sind heutzutage kaum
mehr vorstellbar. Dies gilt insbesondere auch für Kulturbetriebe, denn kaum ein
Kulturbetrieb existiert, der nicht auch im Internet in irgendeiner Form präsent ist.
So ist die Webseite eines Kulturbetriebes häufig für viele Kunden die erste In-
formationsquelle für aktuelle Veranstaltungen und Termine, Eintrittspreise, Kon-
taktdaten, Anfahrtsskizzen etc. Über den Internetauftritt von Kulturbetrieben
werden zunehmend auch Eintrittskarten für eigene Veranstaltungen verkauft (z.B.
über einen in die Webseite integrierten Online-Shop), wodurch wiederum Kun-
dendaten generiert werden.
Die Bereitstellung einer Webseite durch einen Kulturbetrieb findet aber nicht im
rechtsfreien Raum statt, sondern auch beim Betrieb einer Webseite sind von Kul-
turbetrieben verschiedene gesetzliche – insbesondere datenschutzrechtliche –
Vorgaben zu beachten.
Zusätzlich haben auch die vielen Datenschutzskandale der vergangenen Monate
und Jahre – in denen selbst renommierte Unternehmen geltendes Datenschutz-
recht missachtet haben und aus diesem Grund zum Teil hohe Bußgelder zahlen
mussten, ganz zu schweigen von den Imageschäden, die damit jeweils einherge-
gangen sind – gezeigt, dass Datenschutz kein unbedeutender rechtlicher Randbe-
reich ist.
Vor diesem Hintergrund soll der folgende Beitrag insbesondere Kulturbetrieben
Erläuterungen und praktische Hinweise an die Hand geben, da im Rahmen des
Betriebs einer unternehmenseigenen Webseite eine sogenannte Datenschutzerklä-
rung rechtlich erforderlich ist. Damit die Kultureinrichtung nicht Adressat von
Bußgeldern oder wettbewerbsrechtlichen Abmahnungen wird, behandelt der
Beitrag auch die Frage, wie eine solche Erklärung rechtskonform gestaltet wer-
den kann.
2. Erfordernis einer Datenschutzerklärung
Die Notwendigkeit der Gestaltung einer Datenschutzerklärung im Rahmen eines
Webseitenbetriebs erklärt sich wie folgt:
Webseiten und Online-Shops stellen nach allgemeiner Auffassung sogenannte
Telemedien im Sinne von § 1 Abs. 1 Satz 1 Telemediengesetz (TMG) dar.1 Gemäß
§ 13 Abs. 1 Satz 1 -3 TMG trifft den Anbieter eines solchen Telemediums – wie
beispielsweise einen Kulturbetrieb, der eine Webseite betreibt – eine umfassende
M Unterrichtungspflicht.
17
S. 2
55 Kultur & Recht Oktober 2011
3. M Recht der neuen Medien
M17
Mit dieser Unterrichtungspflicht soll nach Intention des Gesetzgebers vor allen
Dingen den besonderen Risiken einer Datenverarbeitung im Internet Rechnung
getragen werden.2 Der Nutzer soll somit bereits zu Beginn eines Webseitenbe-
suchs über die damit in Verbindung stehenden Datenverarbeitungsvorgänge in-
formiert werden, damit er abschätzen kann, wer wann was über ihn weiß.3 Diese
Unterrichtungspflicht dient damit der Ermöglichung einer aktiven Mitwirkung
des Betroffenen an der Preisgabe seiner Daten.4
Diese Unterrichtungspflicht aus § 13 Abs. 1 TMG umfasst dabei folgende Rege-
lungen:
Gemäß § 13 Abs. 1 Satz 1 TMG hat der Diensteanbieter den Nutzer zu Beginn
des Nutzungsvorgangs über
• die Identität der verantwortlichen Stelle,
• Art, Umfang und Zwecke der im Rahmen der Website vorgenommenen Da-
tenerhebungen und -verwendungen,
• etwaige Kategorien von Datenempfängern, soweit der Benutzer mit einer
Übermittlung seiner personenbezogenen Daten an diese nicht rechnen muss,
sowie
• über etwaige Datenübermittlungen an Empfänger außerhalb des Europäischen
Wirtschaftsraums (EWR)
in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrich-
tung nicht bereits erfolgt ist.
Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers
ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vor-
bereitet (wie z.B. beim Einsatz von sogenannten Cookies, Web-Bugs etc.), ist der
Nutzer nach § 13 Abs. 1 Satz 2 TMG zusätzlich bereits zu Beginn dieses Verfah-
rens zu unterrichten.
Nach § 13 Abs. 1 Satz 3 TMG muss der Inhalt der Unterrichtung für den Nutzer
zudem jederzeit abrufbar sein.
Aus diesen Bestimmungen von § 13 Abs. 1 Satz 1 bis 3 TMG ergeben sich damit
folgende Anforderungen:
Inhaltliche Grundanforderung an die Unterrichtung ist zunächst, dass sie wahr
und vollständig sein muss.5 Wichtig ist daher insbesondere, dass sämtliche Zwecke M
der im Rahmen der Website vorgenommenen Datenerhebungen und -verwendungen 17
vollständig und abschließend genannt werden.6 Ebenso sollten sämtliche Arten S. 3
55 Kultur & Recht Oktober 2011
4. M Recht der neuen Medien
M17
von Daten, die im Rahmen des Webseitenbetriebs erhoben und verwendet wer-
den, in der Unterrichtung bzw. in dem Hinweis aufgelistet werden.7 Darauf zu
achten ist auch, dass die genannten Verarbeitungszwecke dabei jeweils konkret
für die verschiedenen Datenarten anzugeben sind.8 Nicht ausreichend ist in die-
sem Zusammenhang damit auch der (oft verwendete) Hinweis, dass die Verarbei-
tung der Daten im Rahmen der bestehenden Gesetze erfolge.9
Darüber hinaus ist der Nutzer der betreffenden Webseite über etwaige Katego-
rien von Datenempfängern, soweit der Benutzer mit einer Übermittlung seiner
personenbezogenen Daten an diese nicht rechnen muss, sowie über etwaige Da-
tenübermittlungen an Empfänger außerhalb des Europäischen Wirtschaftsraums
(EWR) zu unterrichten. Der Grund für diesen Teil dieser Forderung ist, dass bei
Staaten außerhalb des EWR nicht ohne Weiteres von einem vergleichbaren Da-
tenschutzniveau ausgegangen werden kann10 und der Nutzer über diesen Umstand
informiert werden muss. Inhaltlich ist es insoweit nach dem Wortlaut der Vor-
schrift ausreichend, lediglich diejenigen Nicht-EWR-Staaten anzugeben, in wel-
chen die Verarbeitung stattfindet.11 Informationen über die konkreten Datenemp-
fänger, das tatsächliche Datenschutzniveau im Verarbeitungsstaat oder auch über
konkrete Datenschutzgarantien bei dem entsprechenden Datenempfänger sind
nicht geschuldet.12
Als einzige formelle Anforderung an die Unterrichtung sieht § 13 Abs. 1 TMG
vor, dass diese in allgemein verständlicher Form zu erfolgen hat. Die konkrete
Form und Gestaltung der Unterrichtung bzw. des Hinweises liegt mangels ande-
rer Angaben im Gesetz deshalb grundsätzlich im Ermessen des Diensteanbie-
ters.13 Die Formulierung der Unterrichtung sollte sich aber dennoch an dem
Zweck orientieren, dem Nutzer die Datenerhebung und -verwendung transparent
zu machen.14 Eine übermäßige Verwendung von technischen oder juristischen
Fachbegriffen sollte daher möglichst vermieden werden.15 Außerdem sollte die
Unterrichtung in deutscher Sprache verfasst sein.16 Die Informationen müssen für
den Nutzer zudem leicht wahrnehmbar sein und dürfen auf der Webseite auch
nicht versteckt werden.17
I18n der Praxis wird diese Unterrichtungs- bzw. Hinweispflicht gemäß § 13 Abs. 1
TMG üblicherweise im Rahmen einer sogenannten „Datenschutzerklärung“
bzw. „Privacy Policy“ erfüllt.19
In zeitlicher Hinsicht hat die Unterrichtung nach § 13 Abs. 1 Satz 1 TMG zu
Beginn des Nutzungsvorgangs zu erfolgen. Eine gleichzeitige Unterrichtung der
Nutzers mit der Erhebung der Daten ist damit also ausreichend.20 Dies ist auch
sachgerecht, da bereits im ersten Moment des Besuchs einer Webseite eine auto-
matisierte Erhebung von Daten (z.B. Tracking-Daten) erfolgen kann und eine
Unterrichtung vor der Erhebung dann nicht möglich ist.21 Bei einem automatisier-
M
ten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht (wie z.B.
17 beim Einsatz von sogenannten Cookies, Web-Bugs etc.), hat die Unterrichtung
S. 4 nach § 13 Abs. 1 Satz 2 TMG zwar erst zu Beginn des betreffenden Verfahrens zu
55 Kultur & Recht Oktober 2011