2018 hat die Europäische Union ihre Datenschutzvorschriften in der EU-Datenschutzgrundverordnung (EU-DSGVO) vereinheitlicht, die in Deutschland unter anderem im Bundesdatenschutzgesetz (BDSG) umgesetzt wird. Sie soll gewährleisten, dass jede Person selbst über die Verwendung ihrer personenbezogenen Daten bestimmen kann. Unternehmen sind verpflichtet, im Umgang mit Daten Rechtmäßigkeit, Zweckbindung, Transparenz, Verhältnismäßigkeit, Integrität und Vertraulichkeit zu gewährleisten.
Datensicherheit
Unternehmen müssen organisatorische und technische Maßnahmen ergreifen, um Personendaten angemessen vor unbefugtem Zugriff oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Beschädigung zu schützen. Dies kann beispielsweise durch aktuelle Soft- und Hardware, Zugangsbeschränkungen durch Passwort-Schutz, interne Passwortrichtlinien oder technische Barrieren wie einen abschließbaren Serverschrank sowie Geheimhaltungsvereinbarungen mit Mitarbeitern und Mitarbeiterinnen gewährleistet werden.
Dokumentationspflicht
Auf Nachfrage muss das Kino Auskunft über Verwendung und Speicherung personenbezogener Daten geben können. Das Kino sollte in Form eines ausführlichen Verfahrensverzeichnisses für alle datenrelevanten Vorgänge folgende Informationen festhalten: Um welche Art von Daten handelt es sich? Wie und zu welchem Zweck werden die Daten gesammelt? Wo werden sie gelagert und wer ist verantwortlich? Wer hat darüber hinaus noch Zugriff? Sind Auftragsdatenverarbeiter beteiligt? Wann werden die Daten gelöscht?
Kundendaten
Kundendaten dürfen nur mit Einverständnis der betroffenen Personen erhoben und nur zum benannten Zweck verwandt werden. Sie dürfen nur im für den beabsichtigten Zweck benötigten Umfang abgefragt und aufbewahrt werden. Für einen Newsletter ist beispielsweise nur eine E-Mail-Adresse und kein Name erforderlich. Bei der Anmeldung muss die Kundschaft über die geplante Verwendung der Daten, involvierte Drittanbieter und das Recht auf Auskunft und Löschung informiert werden. Die Zustimmung muss über das Double-Opt-In-Verfahren eingeholt werden: Im ersten Schritt entscheidet sich der Kunde oder die Kundin für das Abonnement des Newsletters bzw. Anlegen eines Kundenkontos – z. B. über eine Newsletter-Maske auf der Website oder durch das schriftliche Eintragen in einen Verteiler an der Kasse. Im zweiten Schritt erhalten die Kunden eine Bestätigungsmail, die sie auffordert, die Mailadresse nochmals zu bestätigen (meist durch Klicken auf einen Link).
Beim bargeldlosen Ticketkauf und Online-Ticketing
liegt die Verwaltung der Kundendaten in der Regel beim Zahlungs- oder Ticketingdienstleister.
Kino-Website
Verwendet die Kinowebsite Cookies (z. B. Analysetools wie Google Analytics) müssen Personen, die die Seite besuchen, auf die Verwendung hingewiesen werden und ihre Zustimmung erteilen. Ebenso muss jede Website über eine leicht auffindbare Datenschutzerklärung verfügen, die über die Datenverarbeitung des Unternehmens informiert, den oder die Datenschutzbeauftragte/n (soweit erforderlich) benennt und Kooperationen mit Drittanbietern auflistet.
Auftragsdatenverarbeitung
Mit allen Unternehmen, die an der Nutzung und Lagerung von Kundendaten beteiligt sind, wie z. B. Zahlungsdienstleister, Ticketinganbieter, Newsletter-Tools, Anbieter von Cloudcomputing, Social Media Plugins oder Analysetools, muss das Kino Verträge über die Auftragsverarbeitung abschließen, die detailliert enthalten sollten, welche technischen und organisatorischen Maßnahmen die Partnerfirmen für die Datensicherheit treffen. Ein Muster bietet das Bayerische Landesamt für Datenschutzaufsicht an: lda.bayern.de/media/muster_adv.pdf
Belegschaft
Ebenso wie die Kundendaten müssen auch die – besonders sensiblen – Personaldaten der Belegschaft nachweislich sicher gehandhabt werden. Dazu gehört auch, den Zugang zu diesen Daten IT-mäßig zu schützen (beispielsweise durch Passwort) und klar festzulegen, wer Zugang zu den Daten hat. Personen, die mit Kunden- und Mitarbeiterdaten zu tun haben, sollten eine Vertraulichkeitserklärung unterschreiben.
Datenschutzbeauftrage/r
Unternehmen, in denen mehr als 20 Personen mit der „automatisierten Verarbeitung“ personenbezogener Daten wie Gehaltsabrechnungen, Kundendaten oder Bewerbungen betraut sind, sind verpflichtet eine/n Datenschutzbeauftragte/n zu benennen. Dies kann eine externe Fachkraft, aber auch eine Person aus dem eigenen Betrieb sein, die über eine entsprechende Qualifikation verfügt. Fortbildungen bieten beispielsweise die regionalen Industrie- und Handelskammern an. Kleinere Betriebe sind von dieser Regelung ausgenommen.
Die Kinoverbände bieten detaillierte Informationen zum Datenschutz und Musterformulare für ihre Mitglieder an. Informationen, hilfreiche Materialsammlungen, Musterformulare, Beratungen und Fortbildungen bieten auch die regionalen Industrie- und Handelskammern an.
Checkliste Datenschutz der IHK Berlin: ihk-berlin.de/blueprint/servlet/…
IHK Stuttgart (Hrsg.), „Datenschutz für kleine Unternehmen und Existenzgründer“, stuttgart.ihk24.de/fuer-unternehmen/…
Mustervertrag Auftragsdatenverarbeitung des Bayerischen Landesamtes für Datenschutzaufsicht: lda.bayern.de/media/muster_adv.pdf
Muster Verarbeitungsverzeichnis des Bayerischen Landesamtes für Datenschutzaufsicht: lda.bayern.de/medi…
Musterdatenschutzerklärung der Universität Münster: itm.nrw/lehre/materialien/musterdatenschutzerklaerung/