Jeder Pferdebetrieb verwaltet konkrete Kundendaten von
Foto: Kai Schwarz Thomas Doeser, Rechtsanwalt
Einstellern und Reitschülern, in speziellen Softwarelösungen oder Standardtools wie zum Beispiel Excel. Dabei werden Kundendaten oft nicht nur gespeichert, sondern auch verarbeitet, beispielsweise für Marketingaktionen wie die Anwerbung und Bindung von Kunden an den Pferdebetrieb mit Newslettern. In Anbetracht der gesteigerten Sensibilität der Verbraucher hinsichtlich des Datenschutzes sowie der laufenden Verschärfung datenschutzrechtlicher Bestimmungen, zuletzt durch die EU und deren geplante Datenschutzgrundverordnung, sollte sich jeder Pferdebetrieb und jeder Reitverein mit dieser Thematik beschäftigen. Zu beachten ist dabei vor allem das Bundesdatenschutzgesetz (BDSG), das unter anderem die Erhebung, Speicherung und Verarbeitung von „personenbezogenen Daten“ regelt.
Datenschutzbeauftragter
Ab mehr als neun Mitarbeitern im Betrieb, auch im Verein, ist ein betrieblicher Datenschutzbeauftragter erforderlich. Dieser kann entweder intern bestimmt werden oder der Betrieb bestellt einen externen Datenschutzbeauftragten. Außerdem sollten Pferdebetriebe darauf achten, dass sie Mitarbeitern, die mit den sensiblen Kundendaten im Betrieb umgehen, arbeitsrechtliche Verschwiegenheitsverpflichtungen auferlegen müssen (§§ 6, 42, 44 BDSG).
Datenschutz im Internet
Neben dem Bundesdatenschutzgesetz gilt es, für den gewerblichen Bereich auch das Telemediengesetz (TMG) zu beachten. Dieses Gesetz regelt die Datenverwendung bei Telemediendiensten und zusätzlich zum BDSG den Datenschutz im Internet. Welches der beiden Gesetze einschlägig ist, hängt von der jeweiligen Stufe der Internetnutzung ab. Werden zum Beispiel über das Internet Vertragsangebote vermarktet, ist das ein Telemediendienst. Erst bei direktem Vertragsschluss mit einem Kunden werden sogenannte Inhaltsdaten erhoben, zu denen auch personenbezogene Daten gehören – mit der Folge, dass ab dann das BDSG einschlägig ist. Das BDSG schützt alle Informationen, die etwas über einen Betroffenen aussagen. Selbst anonymisierte Daten sind dann geschützt, wenn man daraus ohne großen Aufwand Personen wieder zuordnen kann. Der Schutz solcher personenbezogenen Daten ergibt sich aus § 3 Abs. 1 BDSG. Die EU sieht sogar IP-Adressen als personenbezogen im Schutzbereich des europäischen Datenschutzrechts an.
Einwilligung nicht über AGB
Grundsätzlich gilt, dass jede Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten erst einmal unzulässig ist, es sei denn, sie ist ausnahmsweise erlaubt durch Einwilligung des Betroffenen oder durch die Legitimation aufgrund gesetzlicher Vorgaben. Die Einwilligungsvoraussetzungen sind in § 4 Abs.1 BDSG geregelt. Im Sinne des Gesetzes muss die Einwilligung freiwillig und ohne Zwang erfolgen. Außerdem muss der Betroffene über den Zweck der Erhebung, Speicherung und Verarbeitung informiert werden sowie über die Folgen einer etwaigen Verweigerung einer Einwilligung. Das regelt § 4a Abs. 2 BDSG. Die Einwilligung muss zudem schriftlich erfolgen und ist jederzeit frei widerrufbar. Pferdebetriebe sollten die Einwilligung zum Beispiel an den Einstellervertrag anhängen. Bei Reitunterrichtsverträgen sollte die Einwilligung ebenfalls gleich bei der ersten Kundendatenaufnahme abgefragt werden. Jede entgegenstehende Vereinbarung zum Beispiel in den AGB eines Betriebes ist unwirksam. Vor allem sind dabei die von der Rechtsprechung entwickelten Regelungen des Opt-in- und Opt-out-Verfahrens zu beachten, die insbesondere bei der Online-Vermarktung entwickelt worden sind und auch beim stationären Betrieb Auswirkungen aben. Hier ist in der Praxis festzustellen, dass viele AGB-Bestimmungen dazu unwirksam sind wegen Verstoß gegen das sogenannte Transparenzgebot des § 307 BGB i.V.m. § 4 Abs. 1 BDSG. Bei Telemediendiensten ist in § 13 Abs. 2 TMG die Einwilligung des Betroffenen einfacher geregelt, muss aber auch gewisse Vorgaben erfüllen.
Fazit
Datenschutz wird staatlich beaufsichtigt durch Landes- und Bundesdatenschutzbeauftragte mit umfangreichen Kompetenzen und Sanktionsmöglichkeiten bei Verstößen gegen Datenschutzvorschriften. Eine gute Einführung in Datenschutzbestimmungen findet man unter anderem bei http://www.stiftungdatenschutz.org, einer Gründung der Bundesrepublik Deutschland. Da der Datenschutz sehr komplex ist und ständigen Änderungen und Anpassungen unterliegt, sollte man sich auch als kleinerer Betrieb proaktiv mit der Thematik befassen. Verstöße gegen Datenschutzbestimmungen können teuer werden, auch wenn Mitbewerber auf etwaige Verstöße aufmerksam werden und diese dann kostenpflichtig abmahnen.
Thomas Doeser, Rechtsanwalt, Tübingen
