[Leitfaden] Ob Websites von Museen, Blogs von Bibliotheken oder Ticket-Shops von Theatern – jede Internetpräsenz in Deutschland ist von der europäischen Allgemeinen Datenschutzverordnung (General Data Protection Regulation – GDPR, zu deutsch DSGVO) betroffen. Dabei geht es nicht nur um technische Aspekte, die auch im Kulturbereich berücksichtigt werden müssen, sondern auch um Auswirkungen der Datenschutzgrundverordnung auf die Presse- und Öffentlichkeitsarbeit oder um die Notwendigkeit eines Datenschutzbeauftragten. Welche Rolle die DSGVO für Museen und andere Kultureinrichtungen spielt, dazu haben wir wichtige Links auf einen Blick zusammengestellt.
Dieser Beitrag stellt keine Rechtsberatung dar. Für Vollständigkeit, Aktualität oder Richtigkeit der hier bereitgestellten Inhalte und der verlinkten Seiten und Dokumente wird keine Haftung übernommen.
Mehr Rechte, aber auch mehr Pflichten durch die DSGVO
Bei der Datenschutzgrundverordnung handelt es sich um eine weitreichende Verordnung zum Datenschutz, die am 25. Mai 2018 in Kraft tritt. Die DSGVO fordert von Betreibern eines Internetauftritts mehr Transparenz über die Art und Weise, wie personenbezogene Daten erhoben, genutzt und weitergegeben werden. Dies betrifft natürlich auch Museen und Kultureinrichtungen. Auf der anderen Seite bietet die DSGVO den Nutzern mehr Zugang und bessere Wahlmöglichkeiten, wenn es darum geht, wie ihre persönlichen Daten gesammelt, verwendet und weitergegeben werden.
Ob es um den „virtuellen Besucher“ in der online verfügbaren Sammlung eines Museums geht, um den Versand eines Newsletters einer Bibliothek oder um den Verkauf von Online-Tickets eines Theaters: Jedes Mal werden Daten von Nutzern erhoben – ob IP-Adressen beim einfachen Besuch einer Seite bis hin zu Wohnadresse und Zahlungsinformationen beim Ticketkauf. Alle digitalen Angebote im Kulturbereich sind also von der DSGVO mehr oder weniger betroffen. Um Licht ins Dunkel zu bringen, haben wir bei MusErMeKu einen Überblick von Informationen von Juristen, IT-Experten bis hin zu Behörden zusammengestellt, welche Rolle die DSGVO für Museen und andere Institutionen im Kulturbereich spielt.
Weitere Informationen zur DSGVO:
Technische Anforderungen zum Datenschutz, nicht erst seit der DSGVO
Die meisten Punkte, die in der DSGVO geregelt werden, sind nach deutschem Datenschutz schon lange erforderlich. Bisher wurden die Vorgaben jedoch einfach nicht konsequent umgesetzt. IT-Experte Ernesto Ruge weist in seinem Blog Binary Butterfly darauf hin, dass viele Websites, Blogs und Online-Shops bereits jetzt schon nicht datenschutzkonform sind – nicht erst ab dem 25.05.2018, wenn die DSGVO in Kraft tritt. Auch bei vielen Kultur- und Bildungseinrichtungen dürfte hier dringender Handlungsbedarf bestehen, was ihre Online-Auftritte anbelangt.
Praxisleitfaden zu technischen Aspekten der DSGVO
In seinem Blog stellt Entwickler Ernesto Ruge einen Praxisleitfaden zur Verfügung, wie aus technischer Sicht die Vorgaben der DSGVO zu interpretieren sind und wie man möglicherweise bestehende Probleme einer Online-Präsenz identifizieren und beheben kann. Nicht neu sind dabei Punkte, welche bereits das Bundesdatenschutzgesetz (BDSG) betreffen, wie:
- die Notwendigkeit einer SSL-Verschlüsselung, falls die Internetpräsenz z.B. eine Kommentarmöglichkeit, Formulare oder einen Shop bereitstellt,
- die Pflicht einen Vertrag zur Auftragsdatenverarbeitung (ADV) abzuschließen, mit jedem Drittanbieter der Daten der Online-Präsenz erfasst, verarbeitet und speichert, etwa der Hoster, Analytics-Dienstleister wie Google Analytics oder Newsletter-Anbieter,
- oder ab wann ein Datenschutzbeauftragter benötigt wird.
Ernesto Ruge gibt auch Tipps, wie man unterschiedliche Arten externer Ressourcen auf einem Internetauftritt identifiziert, wie man Scripte erkennt, die Daten sammeln, und wie man Cookies ausfindig macht. Museen und Kulturinstitutionen sollten dringend prüfen, ob ihre Online-Angebote hier noch technischen Verbesserungsbedarf haben, um DSGVO-konform zu sein.
- Mehr zu den technischen Anforderungen der DSGVO: Ernesto Ruge, Binary Butterfly: DSGVO. So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt
Wie die DSGVO die Presse- und Öffentlichkeitsarbeit beeinflusst
Die Datenschutzgrundverordnung hat nicht nur Einfluss auf den technischen Umgang mit Daten, sondern auch auf die inhaltliche Nutzung personenbezogener Informationen. Bei Telemedicus stellt IT- und Medienrechtsanwalt Jan Mönikes dazu in einem Beitrag heraus, welche Auswirkungen die DSGVO auf die Presse- und Öffentlichkeitsarbeit hat. Unternehmen und Institutionen produzieren heute oft eigene, meinungsbildende Inhalte und die Grenzen zwischen PR und Journalismus verschwimmen. Hier wird es interessant für Museen und Kultureinrichtungen, denn viele betreiben mittlerweile sogenanntes Content Marketing und stellen auf Websites, Blogs und Social Media durchaus auch journalistisch geprägte Inhalte zur Verfügung, z.B. in Form von Berichterstattung zu eigenen Events.
Problematische Rechtslage für die Presse- und Öffentlichkeitsarbeit
Mönikes weist in seinem Beitrag auf das Problem hin, dass der EU-Gesetzgeber bei Verabschiedung der DSGVO die nationalen Gesetzgeber dazu verpflichtet hat, durch Rechtsvorschriften den Datenschutz einerseits und die Informations- und Meinungsfreiheit andererseits in Einklang zu bringen. Es müssten Ausnahmen oder Abweichungen zugunsten der Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken festgelegt werden. Dies sei, bezogen auf den Kommunikationsbereich, in Deutschland bislang noch nicht geschehen, betont der IT- und Medienrechtsanwalt.
Bisher sind nur Ausnahmevorschriften für die institutionelle Presse und den Rundfunk vorgesehen. Mönikes hierzu: „Die Freiheit der Presse, für Berichterstattungszwecke personenbezogene Daten verarbeiten und veröffentlichen zu dürfen, soll nach dem Willen der Landesgesetzgeber somit wie bislang gewahrt bleiben, ohne dass der Betroffene dem mit anderen Instrumenten als dem bewährten Presse- und Persönlichkeitsrecht entgegentreten könnte. […] Nur in wenigen Bundesländern sind darüber hinaus jedoch ausdrückliche Regelungen geplant, die auch für andere Bereiche meinungsbildender öffentlicher Publikation gelten können.“
Du findest unsere Inhalte bei musermeku.org für deinen Job hilfreich? Dann zeige uns deine Wertschätzung und unterstütze uns finanziell mit einem kleinen Beitrag.
Vorsicht bei der Veröffentlichung digitaler Aufnahmen von Personen
Für Unternehmen und Institutionen besteht also Ungewissheit, wie sie im Rahmen ihrer Presse- und Öffentlichkeitsarbeit personenbezogene Daten nutzen können, um mit der DSGVO konform zu gehen. Mönikes mahnt hierzu: „Da zukünftig jede freiwillige Einwilligung in digitale Aufnahmen und ihre Verbreitung – anders als heute – nach Art. 7 DSGVO jederzeit und völlig frei widerruflich ist, würde die Verwendung von Personenbildern im bisherigen Umfang […] somit ein zukünftig rechtlich kaum noch zu vertretendes Kosten- und Rechtsrisiko darstellen. Damit aber würde ein ganz großer Teil der Öffentlichkeitsarbeit, die Berichterstattung über öffentliche Veranstaltungen, Events und Aktionen, die mit eigenen Aufnahmen illustriert ist, auf den eigenen Kanälen im Internet entfallen.“ Ein Problem also, mit dem sich Museen und Kulturinstitutionen künftig auseinandersetzen müssen.
Im Beitrag wird außerdem auch auf die Probleme bei Medienmonitoring hingewiesen, also die Auswertung von Presse- und Online-Berichterstattung über Tools. Auch davon dürften einige Institutionen im Kulturbereich betroffen sein.
Was müssen wordpress.com Nutzer beachten?
Einige Museen und Kulturinstitutionen nutzen wordpress.com für ihre Blogs oder Websites. Hierdurch werden Daten auf den Servern des amerikanischen Anbieters Automattic erfasst, verarbeitet und gespeichert. Der Anbieter steht auch hinter beliebten und nützlichen Angeboten wie Jetpack, WooCommerce, Akismet oder Gravatar, die auch in WordPress-Installationen Verwendung finden, die nicht bei wordpress.com gehostet werden.
Auch Automattic setzt sich deshalb mit der Allgemeinen Datenschutzverordnung auseinander, um seine Services entsprechend anzupassen. Das Unternehmen schreibt dazu: „We are currently working to add features to enhance user choice and bring more transparency to our practices around the collection, storage, and use of your data. We expect that Automattic products and services will be in compliance with GDPR requirements by May 2018. We’ll also provide additional tools and information so that users of our services can take the steps needed to comply with the law, if necessary.“
Falls wordpress.com bzw. andere Angebote von Automattic, z.B. Plugins, genutzt werden, sollte man also den Anbieter im Auge behalten, ob alle Leistungen bis zum 25.05.2018 datenschutzkonform angepasst werden. Für den Notfall kann man aber auch Alternativen in Betracht ziehen und ggf. Plugins bereits austauschen. Auch ein Umzug von wordpress.com zu wordpress.org, also einem eigenen Hosting bei einem Anbieter in Deutschland, ist möglich.
- Hinweise zum Export der Daten von wordpress.com: WordPress.com Support: Export (move your content to a new WordPress site)
Die Bestellung eines Datenschutzbeauftragten
Einige Museen und Kulturinstitutionen verarbeiten automatisiert (also elektronisch) personenbezogene Daten. Hierzu zählen die Daten von Mitarbeitern, aber z.B. auch die Daten von Freundeskreis- oder Förderkreis-Mitgliedern, von Inhabern eines Jahres- und Saison-Abonnements oder die Daten von Newsletter-Abonnenten. Aus diesem Grund ist es auch für Kulturinstitutionen wichtig zu prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen.
Bestellt eine Institution keinen Datenschutzbeauftragten, obwohl sie dies müsste, oder ist diese Bestellung unzureichend, drohen erhebliche rechtliche Konsequenzen – darauf weisen Rechtsanwältin Nina Diercks und Jurist Christian Frerix hin. In ihrem Beitrag im Social Media Recht Blog wird genau erläutert, wo ein Datenschutzbeauftragter nach aktueller Rechtslage zum Einsatz kommt, was seine Aufgaben sind und ab wann ein Unternehmen einen solchen überhaupt bestellen muss. Im Bezug zur DSGVO geht es auch darum, von welchen neuen Regelungen Datenschutzbeauftragte betroffen sind.
Hinweise zum Datenschutzbeauftragten:
Weitere wichtige Links zur DSGVO für Museen und Kulturinstitutionen
Datennutzung für Werbung:
Auskunftsrecht von Nutzern:
Muster für Auftragsverarbeiter und Verantwortliche:
Header-Bild: Angelika Schoder – Hamburg, 2017
Wir brauchen deine Unterstützung
Werde jetzt Mitglied im musermeku Freundeskreis: Erhalte wöchentlich News zu Kunst und Kultur direkt per E-Mail, sichere dir den Zugang zu exklusiven Inhalten und hilf uns dabei, unsere Betriebskosten für musermeku.org zu decken.
Bei musermeku schreibt Dr. Angelika Schoder über Themen zur Digitalisierung, über Museen und Ausstellungen sowie über Reise- und Kultur-Tipps.
Linktipps
Der Newsletter zu Kunst & Kultur
In unserem kostenlosen Newsletter informieren wir einmal im Monat über aktuelle Neuigkeiten aus dem Kunst- und Kulturbereich.