Musik und Recht: Neues zum Datenschutz

Frage eines SMPV-Mitgliedes: Viele SMPV-Mitglieder haben eigene Homepages. BesucherInnen hinterlassen ihre IP-Adressen, wenn sie diese besuchen, vielleicht ihren Namen und ihre Mailadresse, wenn sie mit den MusikerInnen über das Kontaktformular in Verbindung treten, wenn z.B. Google Analytics installiert ist, werden Personendaten verarbeitet, bestellt jemand z.B. eine CD via die Homepage, hinterlässt er oder sie sogar die Privatadresse. Daher stellen sich folgende Fragen:

• Wie gross muss der Aufwand für eine einfache Musiker*innen-Homepage das neue Datenschutzgesetz betreffend sein?
• Reicht es, einmal eine angepasste Datenschutzerklärung zu erstellen und die gut sichtbar auf der Homepage im Footer zu platzieren, oder muss diese laufend ergänzt werden, wenn z.B. ein PlugIn dazu installiert wird?
• Welche zusätzlichen Pflichten im Umgang mit Personendaten im weitesten Sinn haben Besitzer*innen einer einfachen (Musiker*innen)-Homepage?

Antwort Dr. Kovacs:

1. Ab 1.September 2023 tritt in der Schweiz das total revidierte Datenschutzgesetz (DSG) in Kraft. Auch Musikerinnen und Musiker müssen sich mit den neuen Anforderungen auseinandersetzen. Insbesondere können Bussen bis zu CHF 250 000.- ausgesprochen werden, wenn die Vorgaben nicht eingehalten werden. Dieser Beitrag bringt die Leitlinien dazu, was aber nicht dazu führt, dass sich die detaillierte eigene Risikoabschätzung erübrigt.
2. Der Aufwand für die Beachtung der datenschutzrechtlichen Bestimmungen hält sich für Musikerinnen und Musiker in Grenzen. Insbesondere entfallen für sie als KMU aufwendige Pflichten, die nur für grössere Unternehmen gelten. Vorab sind die neuen Vorgaben einmalig umzusetzen. Nachher sind nur noch bei Gesetzesänderungen oder Änderungen in der eigenen Geschäftstätigkeit resp. der Ausgestaltung der Website die diesbezüglichen Angaben zu integrieren.
3. Folgende Leitfragen sind vorab im eigenen Betrieb zu klären und im Rahmen einer ausführlichen Datenschutzerklärung den potenziellen Nutzer*innen Ihrer Website auf derselben gut sichtbar mitzuteilen.3.1. Welche Personendaten werden erhoben und wie werden diese bearbeitet? Genaue Angaben über die verwendeten Betriebssysteme und Programme, z.B. wie folgt:
   • Cookies und Bildelemente
   • Newsletter und Marketing-E-Mails
   • Google Analytics
   • Google reCaptcha
   • Plug-ins
   • Profiling / automatische Entscheidungsfindung

   Diese Angaben müssen bei der Verwendung neuer Programme und Systeme jeweils auf den aktuellsten Stand gebracht werden. Es ist auch mitzuteilen, ob und wie diese ausgeschaltet oder umgangen werden können.

   3.2.  Welchen Zweck verfolgen die Datenbearbeitungen? Die Daten dürfen ausschliesslich zum angegebenen Zweck gesammtelt und bearbeitet werden. Z.B. folgende Angaben:

   • Informationen und Werbung zu Angeboten, Dienstleistungen, Webseiten und weiteren Plattformen, auf welchen man präsent ist;
   • Kommunikation mit Dritten und Bearbeitung derer Anfragen (z.B. Anfragen von Interessenten)
   • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse zwecks direkter Kundenansprache sowie Erhebung von Personendaten aus öffentlich zugänglichen Quellen zwecks Kundenakquisition;
   • Durchführung von «Online-Meetings».
   • Anmeldung zum Erhalt des Newsletters mit Information über das jederzeitige Widerrufsrecht

3.3. Von wem erhalten Sie Personendaten?

3.4. Wem geben Sie Personendaten weiter? Angabe der Empfänger resp. der Kategorien von Empfängern, denen Personendaten
bekannt gegeben werden.

3.5.  Wie lange werden die Personendaten gespeichert? Sicherstellung, dass die Personendaten gelöscht oder anonymisiert werden,
sobald sie entsprechend des ursprünglichen Grundes der Erhebung nicht länger benötigt werden. Insbesondere das Tracking
von Daten auf Websites ist zu prüfen und allenfalls aufzuheben.

3.6. Wie werden die Daten technisch geschützt? Es muss eine zeitnahe Meldung an den Eidgenössischen Datenschutzbeauftragten
(EDÖB) bei Verletzung der Datensicherheit erfolgen. Der EDÖB hat zur technischen Sicherheit einen Leitfaden erlassen, der auf
dessen Website aufgeschaltet ist.

3.7. Wie werden betroffene Personen über die Beschaffung und Bearbeitung der Daten informiert? Genaue Identität und Adresse
online und offline des Verantwortlichen für die Datenbeschaffung und -bearbeitung und Aufklärung über das Auskunfts-,
Berichtigungs- und Löschungsrecht der Betroffenen. Die Informationspflicht gilt auch bei Datenbeschaffung bei Dritten.

3.8. Wie hat man die Kontrolle über beauftragte Dritte? Schriftliche Verträge mit externen Datenbearbeitern müssen geprüft und
allenfalls angepasst werden.

3.9. Werden Daten aus dem Ausland bezogen oder dorthin weitergegeben? Werden die DSGVO für den EU-Raum oder andere
Rechtsordnungen für andere Länder beachtet?

4.  Das Fazit ist, dass Sie die potenziellen Leser und Benutzer Ihrer Websites über all diese Fragen informieren müssen und diese Angaben immer auf dem neusten Stand halten müssen. Die entsprechenden Datenschutzerklärungen müssen individuell abgefasst werden, da die jeweiligen Angaben sehr unterschiedlich sein können. Dazu kann die Rechtsberatungsstelle des SMPV jederzeit Unterstützung anbieten.