Agenturen und die DSGVO - Agenturen müssen sich an neue Datenschutzregeln gewöhnen

Agenturen müssen sich an neue Datenschutzregeln gewöhnen

Im Dialogmarketing gehört die Verarbeitung personenbezogener Daten zu Werbezwecken zum täglichen Geschäft. Mit dem 25. Mai, dem Tag an dem die Umsetzungsfrist der Europäischen Datenschutz-Grundverordnung (DSGVO) endete, begann auch für Marketing- und Werbeagenturen eine neue Ära: Sie mussten sich an neue, teils strengere Regeln gewöhnen, gewinnen aber auch neue Möglichkeiten.

Marketing- und Kommunikationsagenturen mit Fokus auf Direktmarketing leben vom Umgang mit personenbezogenen Daten. Sie wissen, wie man sie gesetzeskonform gewinnt und erfolgversprechend selektiert. Schließlich sollen ihre Aussendungen auf den unterschiedlichen Kanälen – Mail, Post, Anruf oder gezielte Werbeausspielung auf Webseiten – ihre Adressaten erfolgreich ansprechen. Der Datenschutz war deswegen für diese Agenturen schon immer wichtig, die Maßstäbe wegen der strengen Regeln des BDSG (Bundesdatenschutzgesetzes) hoch. Nun steigt die Bedeutung dieses Themas weiter an. Denn die DSGVO schafft erstens teils neue Regeln und knüpft zweitens an Regelverstöße drastische Bußgelder und andere Sanktionen bis hin zum Verbot der Datenverarbeitung.

Die DSGVO entstand aus dem Willen, das europäische Datenschutzrecht zu vereinheitlichen und damit zu vereinfachen. Denn der Flickenteppich der bestehenden Regelungen machte es grenzübergreifend arbeitenden und werbenden Unternehmen und ihren Agenturen schwer, die in jedem Land geltenden unterschiedlichen Regelungen einzuhalten und war deshalb Sand im Getriebe einer florierenden europäischen Wirtschafts- und Werbungslandschaft. Umgekehrt waren die Schutzstandards für Bürger und Bürgerinnen bisher in jedem Land unterschiedlich. Der erste Schritt, die europäische Rechtsordnung fit für das Zeitalter der Digitalisierung und Globalisierung zu machen, war die 1995 erlassene Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Sie war kein direkt bindendes Recht, sondern ließ den EU-Ländern einen weiten Umsetzungsspielraum, was zu unterschiedlichem Recht in den europäischen Ländern führte.

Deshalb entstand die DSGVO. Diese Verordnung wurde am 4. Mai 2016 von der EU veröffentlicht, trat am 24. Mai 2016 in Kraft und wird nun, nach Ablauf der zweijährigen Übergangsfrist, unmittelbar geltendes Recht im gesamten EU-Bereich. Die Mitgliedsländer können auf bestimmten Gebieten abweichende Regeln erlassen oder beibehalten, wenn diese das Schutzniveau der EU nicht unterschreiten. Nationale Regelungen müssen also genauso streng oder strenger sein.

Die Grundregel von BDSG und DSGVO: Verboten ist alles, was nicht erlaubt ist

Die Regeln der DSGVO sind umfassend und gelten für alle Unternehmen, Behörden aber auch Vereine und gemeinnützige Organisationen, die personenbezogene Daten verarbeiten: vom Großunternehmen bis zur Ein-Mann-Firma. Personenbezogene Daten sind dabei solche, aus denen sich die Identität einer Person ermitteln lässt, also etwa, Name, Adresse oder E-Mail, Cookies oder IP-Adressen. Selbst wenn eine E-Mailadressen als Hashwert pseudonymisiert wurden ist es sinnvoll im Rahmen eines effektiven Datenschutzes noch weiter darüber hinaus zu gehen.

Die DSGVO gilt, sobald ein Anbieter oder eine Organisation Produkte oder Dienstleistungen in Europa vermarktet und bestellbar macht – selbst dann, wenn es keine eigenen Niederlassungen in Europa gibt. Das heißt: Auch eine amerikanische Marketingagentur, die potentielle Kunden im Geltungsbereich der DSGVO mit einem Newsletter beliefert oder plant, dies zu tun und dafür Adressen sammelt oder erwirbt, muss die europäischen Regeln einhalten.

Das wichtigste Grundprinzip des BDSG wurde auch durch die DSGVO beibehalten – das Verbot mit Erlaubnisvorbehalt. Verboten ist danach alles, was nicht ausdrücklich erlaubt ist. Ob etwas erlaubt ist, entscheidet sich an der Rechtmäßigkeit der Datenverarbeitung (Art. 6, Abs. 1). Neben einer ausdrücklichen Einwilligung der betroffenen Person, ihre personenbezogenen Daten zu verarbeiten, ist die Rechtmäßigkeit der Verarbeitung auch in einer Reihe von weiteren Fällen gegeben, unter anderem und beim Marketing besonders relevant, wenn das Interesse eines Unternehmens an der Verarbeitung personenbezogener Daten das Schutzinteresse betroffener Personen überwiegt.

Entscheidet ist hier also, ob das Interesse eines Unternehmens, personenbezogene Daten zu verarbeiten, als ausreichend schwerwiegend betrachtet werden kann. Dieses Interesse ist dann abzuwägen gegen die Rechte der betroffenen Personen. Der Gesetzgeber hat die Durchführung von Dialogmarketingmaßnahmen in den Erwägungsgründen zur DSGVO grundsätzlich als berechtigtes Interesse für die Datenverarbeitung durch Unternehmen anerkannt (Erwägungsgrund 47). Er hat sich auf diesem Gebiet also für die Beibehaltung der bisher gültigen Opt-Out-Regel entschieden: Grundsätzlich ist die Nutzung personenbezogener Daten für Werbemaßnahmen erlaubt. Allerdings gilt dies nur, solange die betroffenen Personen der Nutzung ihrer Daten zu diesem Zweck nicht widersprechen, die Personen nicht unter 16 Jahren alt sind und es sich nicht um besonders umfangreiche oder sensible Daten handelt – etwa zu Religionszugehörigkeit, Vorstrafen oder sexueller Orientierung. Dem liegt die Erwägung zugrunde, dass es Unternehmen anders als durch Werbeansprache bislang unbekannter potentieller Kunden oder von Interessenten kaum möglich ist, neue Kunden zu gewinnen. Das wäre aber ein erhebliches Hindernis für die wirtschaftliche Entwicklung.

Festzuhalten bleibt also: Grundsätzlich ist die Verarbeitung auch personenbezogener Daten durch Unternehmen oder von ihnen beauftragte Dienstleister zuWerbezwecken zulässig, so lange ihr von den betroffenen Personen nicht widersprochen wird. Dazu reicht es auch, sich auf eine sogenannte Robinson-Liste setzen zu lassen, die Werbetreibende einsehen können. Wichtig ist zu wissen, dass das Risiko von Verstößen gegen die Rechtmäßigkeit der Datenverarbeitung wegen eines überwiegenden Interesses am Schutz der verwendeten Daten bei B2B-Direktwerbeaktionen in der Regel sehr gering sein dürfte, da hier keine Privatpersonen, sondern ein Unternehmen und bestimmte Funktionsträger adressiert werden.

Wichtig ist, dass Agenturen, die in erheblichem Umfang Daten verarbeiten, unter Umständen einen Datenschutzbeauftragten brauchen. Der Deutsche Dialogmarketingverband verneint die Notwendigkeit eines betrieblichen Datenschutzbeauftragten bei kleineren Direktmarketingagenturen in seinem Praxishelfer Dialogmarketing, weil es sich nicht um eine umfangreiche, regelmäßige und systematische Beobachtung von Personen handele und weil keine umfangreiche Verarbeitung sensibler Daten stattfindet. Gleichzeitig empfiehlt der Verband aber die Bestellung eines betrieblichen Datenschutzbeauftragten oder eines Datenschutzverantwortlichen, damit jemand für die Datenschutzaufgaben zuständig ist. Nach deutschem Recht, das insofern strenger ist als die DSGVO, ist auf jeden Fall ein Datenschutzbeauftragter erforderlich, wenn mehr als neun Personen im unternehmen Zugriff auf personenbezogene Daten haben. Dies dürfte gerade bei größeren Agenturen häufig der Fall sein.

Praktische Regeln, die Agenturen kennen sollten

Wer sicher gehen möchte, bei Direktwerbemaßnahmen die gesetzlichen Regeln einzuhalten, findet im Folgenden einige Anregungen dafür.

Königsweg Opt-in: Sicher fährt, wer für die nötigen persönlichen Daten und den vorgesehenen Verwendungszweck eine Einwilligung der betroffenen Person vorweisen kann. Dabei ist bei neuen Verwendungen von Daten, für die keine direkte Einwilligung vorliegt, auf jeden Fall dann eine neue Einwilligung erforderlich, wenn der bisherige Zweck, für den die Einwilligung erteilt wurde, nicht mit dem neuen Zweck vereinbar ist. Wer keine Einwilligung vorweisen kann, befindet sich damit zumindest potentiell auf unsicherem Boden. Die Opt-In-Lösung wird damit zum flächendeckenden Standard beim Aufbau von Adressverzeichnissen für Marketing und Werbung, die sich an EU-Bürger richtet. Der einfache Aufkauf von Adresslisten kann angesichts dieser Situation nicht mehr empfohlen werden, wenn man sich rechtlich auf sicherem Grund bewegen will. Zwar spricht der Grundsatz der Interessenabwägung außer in Spezialfällen für die Rechtmäßigkeit der Verarbeitung – die Grenzlinien an denen entlang sich die rechtspraktische Handhabung dieses Grundsatzes gestaltet, werden sich allerdings mit den Jahren erst entwickeln. Wer risikofrei werben will, sollte also mit Einwilligung werben.

Auskunftsrechte: Vorbereiten sollten sich Unternehmen auf die neue Ausgestaltung der Auskunftsrechte betroffener Personen nach der DSGVO. Betroffene haben das Recht, jederzeit Auskunft zu allen über sie gespeicherten Daten zu verlangen (Art. 15) und ergänzend laut Art. 17 DSGVO das Recht auf Löschung aller oder Teile der über sie gespeicherten Daten. Der Datenverantwortliche, das kann die Agentur aber auch deren Auftraggeber sein, muss dafür sorgen, dass entsprechende Auskünfte jederzeit möglich sind und die Daten auf Anfrage löschen. Das betrifft auch Links oder Querverweise, die auf die zu löschenden Daten verweisen. Gerade letzteres könnte sich in manchen Fällen als mühevoll herausstellen, ist aber unumgänglich. Die Löschpflicht besteht auch dann fort, wenn man einen selbst generierten personenbezogenen Datensatz weiterverkauft hat – man bleibt als Erstinstanz beim Sammeln der Daten gegenüber der betroffenen Person bis zum Letztkäufer zuständig dafür, dass die entsprechenden Daten auf Verlangen gelöscht werden.

Herausgabeanspruch: Zudem können betroffene Personen laut Art. 20 verlangen, dass die über sie gespeicherten Daten in einem maschinenlesbaren Format an sie herausgegeben werden. Dabei müssen nur die Daten übergeben werden, die die Person ursprünglich dem Unternehmen zur Verfügung gestellt hat, nicht etwaige Ergänzungen durch andere Datenquellen. In welchem Format die Daten übertragen werden sollen, ist noch nicht klar.

Privacy by Design, Privacy by Default: Diese Prinzipien halten mit der DSGVO /(Art. 25) Einzug in das Datenschutzrecht. Sie tragen der technischen Weiterentwicklung und der Tatsache Rechnung, das es bisher auf Webseiten häufig „vorangeklickte“ pauschale Einwilligungen zur Nutzung personenbezogener Daten gab. Nach dem neuen Recht müssen Softwaresysteme, Webseiten, Bestellformulare, Prozesse und so weiter grundsätzlich datenschutzfreundlich gestaltet werden (Privacy by Design). Auch Voreinstellungen müssen datenschutzfreundlich sein (Privacy by Default). In Zukunft darf also beispielsweise auf Formularen für die Zustimmung einer Person zur Verarbeitung persönlicher Daten keinesfalls bereits das Zustimmungs-Kästchen angekreuzt sein, so dass man dieses Kreuzchen erst löschen muss, um die Herausgabe von Daten zu verweigern.

Datenschutzmanagement: Zudem muss der Datenverantwortliche oder Auftragsverarbeiter nachweisen, dass er ein ausreichendes Datenschutzmanagement betreibt. Das heißt: Es reicht nicht mehr, die Regeln der DSGVO einzuhalten – man muss das auch schriftlich belegen können, um rechtlich auf sicherem Grund zu sein. Das bedeutet umfangreiche Dokumentationspflichten, die gerade für mittelständische Unternehmen zur erheblichen Herausforderung werden könnten.

Wer die Regeln nicht einhält, muss bei Entdeckung mit saftigen Bußgeldern und darüber hinaus auch mit Schadenersatzansprüchen rechnen, die auch im Wege der Verbandsklage geltend gemacht werden können. Die Bußgelder können bis zu 4% vom Jahresumsatz betragen, beim Schadenersatz ist die Grenze nach oben offen und er wird auch für immaterielle Schäden gewährt. Dabei gilt als Berechnungsbasis der Umsatz des Gesamtunternehmens, bei einer gemeinsam wirtschaftenden Agenturgruppe also der Umsatz, den alle Agenturen gemeinsam erwirtschaften. Legt man den Umsatz des Daimler-Konzerns aus dem Jahr 2016, 164 Milliarden Euro, zugrunde, dann kommt man auf ein maximal mögliches Bußgeld von rund 6,5 Milliarden Euro. Für eine kleine Agentur mit einem Jahresumsatz von einer Million Euro könnten immerhin 40.000 Euro Bußgeld fällig werden – dazu kommen möglicherweise Schadenersatzklagen. Es lohnt sich also auf jeden Fall, in die Einhaltung der DSGVO zu investieren.

Rollendefinition: Entscheidend für Rechte, Pflichten und Verantwortlichkeiten, die einer Agentur nach der DSGVO zufallen, ist, welche Rolle sie beim Umgang mit personenbezogenen Daten spielt! Die meisten Agenturen werden sich in einer Doppelrolle wiederfinden: Sie verarbeiten einerseits personenbezogene Daten im Kundenauftrag. Andererseits sammeln sie auch selbst personenbezogene Daten für ihre internen Zwecke an, für die sie als Datenverantwortlicher zuständig sind. Das bedeutet, dass abhängig vom Kontext, in dem die Agentur Daten verarbeitet, unterschiedliche Regelungen einzuhalten sind.

Personenrechte: Oberster Grundsatz einer rechtmäßigen Verarbeitung personenbezogener Daten gemäß DSGVO ist die Einhaltung aller Rechte der Personen, deren Daten gesammelt werden. Das Auskunftsrecht, das Recht auf Löschung, das Recht, Zustimmungen jederzeit wieder zurückzunehmen, das Recht, sich die über die eigene Person gespeicherten Daten übertragen zu lassen und so weiter müssen in die Prozesse und IT-Systeme im Unternehmen so implementiert werden, dass Individuen diese Rechte jederzeit einfordern können.

Rechtmäßigkeit der Datenverarbeitung: Noch sorgfältiger als bisher müssen Agenturen sich darum kümmern, dass die Daten, die sie verarbeiten, auch rechtmäßig, das heißt, entweder aufgrund einer positiven Interessenabwägung oder einem anderen der in Art. 6, Abs. 1 genannten Gründe und am besten nur mit den nötigen Einwilligungen, verarbeitet werden. Opt-In-Lösungen auf allen Ebenen zu implementieren, ist daher das Gebot der Stunde. Das bedeutet auch, dass zunächst genau geprüft werden muss, welche Daten vorhanden sind, wie sie verarbeitet, wo sie gespeichert werden und ob sie mit den nötigen Einwilligungen versehen sind – einschließlich aller ausgelagerten Verarbeitungen, beispielsweise bei einem nachgelagerten Dienstleister, der E-Mail-Newsletter im Auftrag einer Agentur versendet. Alle Systeme und Prozesse sollten datenschutzkonform sein. Gegebenenfalls muss ein Redesign erfolgen. Fehlende Einwilligungen müssen nachträglich eingeholt oder die entsprechenden Daten sollten gelöscht werden, um keinen Anlass für Bußgelder und Schadenersatzklagen zu bieten. Grauzonen, in denen die Legalität einzelner Datensätze oder Personenregister unklar ist, sollten nicht geduldet werden. Zu berücksichtigen ist gegebenenfalls auch die nationale Gesetzgebung, die strenger sein darf als die DSGVO.

Datensicherheit: Für die in der Agentur vorhandenen personenbezogenen Daten sollte eine Risikoanalyse durchgeführt werden, die alle möglichen Bedrohungen aufführt. Wenn erforderlich, muss diese Risikoanalyse gesondert für unterschiedliche Datenbestände durchgeführt werden. Anschließend gilt es, entsprechende Gegenmaßnahmen zu entwickeln, durchzuführen und zu dokumentieren. Schriftlich sollte festgehalten werden, wer welche personenbezogenen Daten wie und warum verarbeitet sowie wer sonst noch auf die betreffenden Daten mit welcher Berechtigung zugreifen kann, welche Prozesse bei Datenschutzverletzungen ablaufen sollen und wie die Datensicherheit der jeweiligen Daten garantiert wird.

Datenschutz flächendeckend sicherstellen, Rechte der Betroffenen einhalten: Alle Datenschutzrichtlinien, Verträge, Nutzungsbedingungen und ähnliche Dokumente müssen so aktualisiert werden, dass sie datenschutzkonform sind. Das betrifft nicht nur Verträge mit Kunden, sondern auch die mit allen Arten von Partnern, seien sie nun Lieferanten, Cloud-Provider oder Subunternehmen eines Geschäftspartners. Sind mehrere voneinander getrennte Bestände personenbezogener Daten vorhanden, braucht jede eine eigene Datenschutzrichtlinie. Jede Agentur muss zudem darauf vorbereitet sein, dass Personen, deren Daten sie speichert, Auskunfts- und/oder Löschverlangen stellen oder ihre Daten herausverlangen. Darauf gilt es sich durch ein sorgfältiges Datenmanagement vorzubereiten. Letztlich trägt das auch zu einer schlanken, übersichtlichen Datenverwaltung bei, die sich Agenturen wünschen.

Datenschutzbeauftragter dringend empfohlen

Viele Agenturen werden unter Umständen in Zukunft einen betrieblichen Datenschutzbeauftragten brauchen – sei es, weil das Gesetz es vorschreibt oder aber weil der Wettbewerb es verlangt. Schließlich könnte sich die sichere, gesetzeskonforme Handhabung von personenbezogenen Daten in Zukunft sehr gut zum erfolgsentscheidenden Merkmal von Werbe- und Kommunikationsagenturen entwickeln. Die ist auf jeden Fall besser gewährleistet, wenn es geschultes und verantwortliches Fachpersonal für Datenschutzaufgaben im oder für das Unternehmen gibt.

Dabei spricht viel für externe, entsprechend qualifizierte Spezialisten als betriebliche Datenschutzbeauftragte, die als Dienstleister tätig werden. Beratungsunternehmen, welche die Funktion des Datenschutzbeauftragten extern übernehmen können, sollten technisches, rechtliches und branchenbezogenes Know-how aufweisen – Kenntnisse auf nur einem dieser Gebiete dürften häufig nicht ausreichen, um sachgerechte und praktikable Lösungen zu finden und jederzeit up to date zu bleiben. Branchenwissen ist wünschenswert, weil jede Branche ihre eigenen, sehr spezifischen Datenschutzherausforderungen aufweist.

Memex Consulting, ein innovatives Beratungshaus mit Fokus auf Datenschutz und Datensicherheit, besitzt ausgewiesene juristische Erfahrung und kenne die Agenturbranche. Deshalb weiß Memex, wie man die DSGVO in diesem Kontext sinnvoll umsetzt. Zudem weist Memex alle Qualifikationen auf, die nötig sind, um externe Datenschutzbeauftragte zu stellen. Investitionen in Datenschutzberatung oder einen externen Datenschutzbeauftragten, der die nötigen Qualifikationen ausweist und sich auf diesem Gebiet ständig fortbildet, gleichzeitig aber Branchen-Know-how besitzt, dürfte sich auszahlen. Denn es erleichtert bei Prüfungen oder im Konfliktfall nachzuweisen, dass sich Datenschutz und Datensicherheit im eigenen Unternehmen auf dem aktuellen Stand befinden. Geht doch einmal etwas schief, sind exorbitante Bußgelder dann sehr viel unwahrscheinlicher.

0 Comments

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

© 2018 Der Datenschutzbeauftragte - Memex consulting GmBH

Log in with your credentials

Forgot your details?