th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Informationen zur Datenschutzgrundverordnung für die Film- und Musikwirtschaft

Die Datenschutzgrundverordnung – Versuch einer Schnellanleitung  

Mit Erlaubnis der Sparte Gewerbe und Handwerk der Wirtschaftskammer Wien dürfen wir deren ausgezeichnete Information zur DSGVO mit Modifikationen für Film und Musik verwenden.

Bitte ignorieren Sie die DSGVO nicht. Sie tritt mit 25.5.2018 in Kraft und die Strafen sind exorbitant hoch.

Vor allem empfehlen wir jedem Unternehmen ein Verarbeitungsverzeichnis für die im jeweiligen Unternehmen geführten Datenanwendungen zu erstellen.

Nutzen Sie auch die Informationsveranstaltungen, die in den Ländern angeboten werden.  Eine Übersicht dazu

Wien: Informationsveranstaltung am 4.4.2018, 18 Uhr, im Gewerbehaus, Einladung 

Burgenland:Im April wird es drei Veranstaltungen geben. Dazu werden Sie von der Fachvertretung separat informiert.

Niederösterreich: Basisworkshops

16.3.2018, 18:00 – 20:00, WIFI Mödling, Guntramsdorfer Straße 101, 2340 Mödling

20.4.2018, 18:00 – 20:30, WIFI Gmünd, Weitraer Straße 44, 3950 Gmünd

25.4.2018, 18:00 – 20:30, WIFI Mistelbach, Pater Helde-Straße 19, 2130 Mistelbach

30.4.2018, 18:00 – 20:30, WIFI Amstetten, Leopold-Maderthaner-Platz 1, 3300 Amstetten

2.5.2018, 18:00 – 20:30, WIFI Neunkirchen, Triester Straße 63, 2620 Neunkirchen

Link zu den Workshops 

Oberösterreich:Startworkshop: 5.4.2018, 14:00 – 18:00;Abschlussworkshop: 30.4.2018, 14:00 – 18:00

WKO Oberösterreich, Julius-Raab-Saal, 4020 Linz, Hessenplatz 3

Link zu den Workshops 

Salzburg:18.5.2018 im WIFI

Steiermark: 4.6.2018, 14:00 – 17:00, Wirtschaftskammer Steiermark, Europasaal, E01, Körblergasse 111-113, 8010 Graz

11.6.2018, 14:00 – 16:30, Wirtschaftskammer Steiermark, Europasaal, E01, Körblergasse 111-113, 8010 Graz

Tirol:    Innsbruck                26.03.2018             18:30 – 20:00; 17.04.2018             18:00 – 20:00;•    Innsbruck                08.05.2018             18:00 – 20:00

Im Web: Unter wko.at/datenschutz sind alle aktuellen und wichtigen Informationen zum Thema Datenschutz zu finden (Checklisten, Broschüren usw).

Das Herzstück der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten. Damit will die Datenschutzbehörde die internen Verarbeitungsvorgänge kontrollieren und verhängt schmerzhaft hohe Strafen wenn es fehlt. Nehmen Sie die Inventur der Verarbeitungsvorschriften bitte ernst.

Vereinfachend: Was muss drinnen stehen – die 6 Fragen

  1. Wer?: Wessen Daten werden verarbeitet (z.B. Kundendaten, Mitarbeiterdaten)
  2. Warum?: Grundsatz der Zweckbindung (z.B. Vertragserfüllung, berechtigtes Interesse, gesetzliche Vorschrift, Einwilligung des Betroffenen)
  3. Welche Daten?: Name, Anschrift usw.
  4. Wie?: Wie kommen Sie zu den Daten?
  5. Wo?: Wo werden die Daten gespeichert (Cloud, lokal, externer Server)
  6. Wie lang?: So kurz wie möglich, so lang wie nötig

Verarbeitungsverzeichnis: Wir raten jedem Unternehmen jedenfalls ein Verzeichnis zu erstellen, in dem alle Anwendungen enthalten sind, mit denen Sie Daten verarbeiten und welche Daten das sind.

Ein Musterverzeichnis finden Sie hier.  

Datenschutzerklärung Informationspflichten: Wenn Sie Daten von Kunden aufnehmen, müssen Sie nach der neuen Gesetzeslage ab 25.5.2018 über bestimmte Details informieren und haben jedenfalls Informationspflicht.

Wichtig: Junktimierungsverbot! Sie dürfen Ihre Leistung nicht mit der Verpflichtung verbinden, die Daten zur Verfügung stellen zu müssen. Wenn Sie also beispielsweise in einem Raum fotografieren oder Filmen, genügt es nicht im Eingangsbereich alle Besucher zu informieren, dass fotografiert/gefilmt wird. Das alleine ist KEINE (konkudente ) Zustimmung der Betroffenen und – Junktimierungsverbot - könnte der Besucher die Veranstaltung ja nicht besuchen, wenn er nicht gefilmt werden will. Vorsicht – hier sind individuelle Lösungen zu finden, d.h. der Besucher müsste auch die Möglichkeit haben, die Veranstaltung zu besuchen, auch wenn er mit einer Bildaufzeichnung der mit einer Sammlung seiner Daten nicht einverstanden ist.

Newsletter-Versand : Der Versand von Newslettern war rechtlich bereits bis jetzt so geregelt, dass eine Versendung an mehr als 50 Empfängeradressen (Massen-E-Mail) der vorherigen Zustimmung des Empfängers bedurft hatte. Das ist also nicht neu. Zusendung von Newslettern oder sonstige Massenverteilungen sind daher nur mit Einwilligung des Empfängers oder ohne Einwilligung an bis zu 50 Empfänger (wenn nicht Direktwerbung) oder ohne Einwilligung des Kunden (allerdings unter bestimmten Voraussetzungen) möglich. Jedenfalls muss bei allen diesen Aussendungen die Möglichkeit gegeben sein, die Zusendung abzubestellen. Vorsicht: In Newslettern nie den Verteiler für alle Empfänger sichtbar verschicken, da die E-Mail-Adressen schützenswerte personenbezogene Daten enthalten.

Wann darf ich Daten verarbeiten? Jedenfalls bei konkreter Einwilligung des Betroffenen, bei gesetzlicher Pflicht zB gesetzliche Aufbewahrungspflicht für Buchhaltung (weitere Informationen) ihre berechtigten Interessen (zur näheren Definition müssen wir wohl auf die Rechtssprechung warten): Vorsicht bei sensiblen Daten (=jedenfalls ausdrückliche Zustimmung des Betroffenen; wenn im grossen Umfang sensible Daten verarbeitet werden, brauchen Sie eine Folgeabschätzung) 

Sensible Daten: Vorsicht – Daten über Rasse/Ethnie, Religion, sexuelle Orientierung, aber auch Sozialversicherungsnummern sind sensible Daten, für deren Verwendung es in jedem Fall eine eigenen, gesonderten Einwilligung bedarf. Bei deren Veröffentlichung oder Weitergabe sowieso! Hier bitte besonders vorsichtig umgehen, da für jede Weitergabe oder Veröffentlichung sensibler Daten jedenfalls eine gesonderte Erlaubnis notwendig ist.

Fotos oder Filme auf der Homepage: Ohne Einwilligung der Betroffenen problematisch(bereits bisher Persönlichkeitsrechtlich und urheberrechtlich problematisch =§78 UrhG Bildnisschutz : Schutz der Verletzung berechtigter Interessen von abgebildeten Personen)

Filmen und fotografieren auf Veranstaltungen: Es ist auf jeden Fall eine konkrete (!) Zustimmung der Betroffenen einzuholen ,zB Anmeldeformular mit Information und Einwilligung (Unterschrift, Kästchen nicht vorausgefüllt = aktive Zustimmungshandlung). Nochmals: Ich darf die Leistung selbst (zB Teilnahme an der Veranstaltung) nicht mit der Einwilligung zur Datennutzung koppeln.

Das Sammeln von Kundendaten auf Unterschriftslisten wie bei Veranstaltungen üblich, ist in Hinkunft zu vermeiden oder jedenfalls auf den Unterschriftslisten eine entsprechende Rechtsbelehrung abzugeben, dass die unterschriftsleistende Person mit der Sammlung der Daten bis auf Widerruf einverstanden ist.

Bewerbungsunterlagen oder Sammlung von Daten zur Erfüllung des Vertragszwecks (z.B. einer Casting- oder Schauspielagentur): Wenn Unterlagen auf Grund einer gesetzlichen Frist (6 Monate, 7 Jahre) aufzuheben sind, ist jedenfalls die gesetzliche Bestimmung als Maßstab heranzuziehen, wie lange diese Daten erhoben bzw. aufgehoben werden dürfen. Danach müssten die Daten aber eigentlich vernichtet werden, so es nicht eine explizite Zustimmung der Betroffenen gibt.

Braucht es eine neuerliche Einwilligung für Daten, die schon vor dem 25.5.2018 verarbeitet wurden? Wenn die Zustimmung des Betroffenen nachweislich bereits vorher erteilt wurde, gilt diese wohl weiter. Das gilt auch, wenn die Daten für die Vertragserfüllung nötig sind. Trotzdem empfehlen wir bestehende Datenanwendungen aus Anlass des Datenschutzverzeichnisses kritisch durchzusehen, ungenutzte Daten zu löschen und gegebenenfalls erneut um Zustimmung anzufragen.

Daten werden an Steuerberater, Eventagenturen oder andere Dienstleister weitergegeben: Sichern Sie sich vertraglich ab, dass diese Dienstleister diese Daten mit ausreichenden Sicherheitsmaßnahmen behandeln. Außerdem sind Sie verpflichtet die Betroffenen von der Weitergabe zu informieren; hier ein entsprechendes Merkblatt.

Brauche ich einen Datenschutzbeauftragten? Nur für Unternehmen, deren Kerntätigkeit regelmäßig umfangreiche Überwachung ist oder die besondere Datenkategorien verarbeiten (sensible Daten: z.B. Gesundheitsdaten).

Aber Vorsicht: Sie brauchen eine zuständige Person, die den Datenschutzbehörden Auskunft geben kann – also entweder einen dafür zuständigen Mitarbeiter oder bei Ein-Personen-Unternehmen wohl Sie selbst.

Informationen in „Lichtbildaufnahmen“: Besonders problematisch ist, dass die DSGVO zwischen Regelungen über Überwachungskameras und über die Herstellung von Lichtbildern und Filmaufnahmen nicht differenziert. Zwar gibt es ein Medienprivileg und eine vage formulierte Bestimmung über den Schutz der Meinungsfreiheit und der Kunstfreiheit, aber: Auch Bildaufnahmen selbst enthalten Daten, oft sogar sensible Daten. Neben den urheberrechtlichen Persönlichkeitsschutz tritt also nun auch das Datenschutzrecht, das jeden Betroffenen das jederzeitige Recht auf Berichtigung und Löschung der Daten einräumt. Auch die Archivierung von Filmmaterial kann daher einer Datensammlung gleichgestellt sein und ist daher entsprechend problematisch. Dafür gibt es keine Einheitslösung, aber seien Sie sich bewusst, dass beispielsweise bei Interviews oder dokumentarischen Aufnahmen die Einwilligung der Personen nun ebenso zu behandeln ist wie eine Einwilligung von Betroffenen zur Sammlung und Aufbewahrung von Daten.

§ 12 regelt die Bildaufnahme und erklärt sie jedenfalls dann für zulässig ,wenn sie im lebenswichtigen Interesse einer Person ist (?), die betroffene Person dieser Datenverarbeitung zugestimmt hat , sie durch besondere gesetzliche Vorschrift zugelassen oder vorgeschrieben ist, berechtigte Interessen des Verantwortlichen oder eines dritten bestehen. Nachdem zur DSGVO natürlich noch keine Rechtssprechung gibt, sind die Konsequenzen dieses Bereichs und die Interpretation der doch unklaren Bestimmungen des § 12 letztlich noch nicht abschätzbar.

Was ist zu tun?

Nutzen Sie die umfangreichen Ratgeber zur DSGVO und die umfassenden, allerdings sehr komplexen Infolinks oben.

Trotzdem: Erwarten Sie keine vorgegebenen Lösungen. Prüfen Sie Ihre eigenen individuellen Datenlösungen und passen Sie sie an die Verpflichtungen der Datenschutzgrundverordnung an.

Prüfen Sie Ihre Verträge mit Unternehmen, denen Sie Daten weitergeben (z.B. Steuerberater) und aktualisieren Sie die Verträge gegebenenfalls und lassen sich schriftlich versichern, dass mit den Daten DSGVO-konform umgegangen wird.

Betroffene haben immer Anspruch auf Auskunft über gespeicherte Daten und haben immer Anspruch auf Löschung! (Recht auf Vergessenwerden und auf Berichtigung der Daten) Löschen Sie Daten, die Sie nicht mehr brauchen. „Datenfriedhöfe“ sind aus Sicht der DSGVO besonders problematisch. Beachten Sie daher alle Ihre Beziehungen zu Kunden oder Dritte (Lieferanten, Steuerberater, usw.), denen Sie Daten weiterleiten.