Drastische Bußgelder von bis zu vier Prozent des Jahresumsatzes zwingen zum Handeln, kommen Agenturen doch täglich mit einer Vielzahl datenschutzrechtlicher Fragen in Berührung. Dabei obliegt ihnen eine entsprechende Sorgfaltspflicht bei der Umsetzung.

Agenturverantwortliche sollten deshalb schnellstmöglich ihre Verarbeitung personenbezogener Daten an die DSGVO anpassen und sich gegenüber ihren Kunden entsprechend aufstellen: Denn künftig gilt alles, was einen EU-Bürger identifizierbar macht, als persönliche Daten. Dazu gehören auch digitale Fingerprints, IP-Adressen, Cookie-IDs und gehashte E-Mail-Adressen. Damit ihre persönlichen Daten verarbeitet werden können, bedarf es künftig der aktiven Zustimmung der Nutzer, während sie bisher aktiv widersprechen mussten. Es gilt: "Opt-in" statt "Opt-out". Besonders relevant ist dies im Bereich des E-Mail-Marketings.

Recht auf Vergessenwerden

Neu ist das Recht auf Vergessen. Agenturen müssen künftig alle vertretbaren Anstrengungen unternehmen, um Querverweise bzw. Links auf personenbezogene Daten (z.B. in Suchmaschinen) im Web zu löschen. Darüber hinaus müssen sie auch andere Stellen, an die die Daten weitergegeben wurden, darauf hinweisen, dass die Daten zu löschen sind. Dabei müssen Agenturen das sofortige Löschen von Nutzerdaten so verwalten, dass sie auf Wunsch des Nutzers jederzeit aus den Datenbanken gelöscht werden können. Auch ist dem Nutzer ein vereinfachter Zugang zu Nutzerdaten, die bei Dritten über ihn gespeichert sind, zu gewähren.

Durch das Recht, künftig vereinfacht Profildaten weiterreichen zu können, wird die Möglichkeit geschaffen, den Dienstleister leichter zu wechseln, ohne dass dabei ein Datenverlust entsteht.

Die Regeln lassen sich nicht umgehen -
auch nicht durch Verlagerung ins Ausland

Künftig gilt nicht mehr das Datenschutzgesetz des Landes, in welchem das Unternehmen seinen Sitz hat, sondern jenes Landes, in dem der Betroffene lebt – ganz unabhängig davon, wo die Daten verarbeitet wurden. Mit anderen Worten: Die DSGVO lässt sich auch nicht durch Verlagerung ins außereuropäische Ausland umgehen.

Auch wenn die Grundprinzipien des Datenschutzes unverändert bleiben und die Neuerungen vor allem für größere Unternehmen vieles vereinfachen, stellt die DSGVO insbesondere Agenturen, die personenbezogene Daten verarbeiten, vor erhebliche Herausforderungen. Das fängt schon mit der umgekehrten Beweislast an. Agenturen müssen ab Mai 2018, ähnlich wie Wirtschaftsprüfer, den Aufsichtsbehörden jährliche Reports abliefern. Diese sind im Ernstfall juristisch verbindlich.

Agenturen brauchen dringend einen Datenschutzbeauftragten

Da die DSGVO in Teilbereichen zwingend ein Qualitätsmanagement vorsieht, sollte jede Agentur schnellstmöglich ein stabiles, nachweisbares Datenschutzmanagement einrichten und sich im Idealfall durch einen TÜV-zertifizierten Datenschutz-Auditor zertifizieren lassen. Agenturen, die noch keinen Datenschutzbeauftragten haben, sollten sich schleunigst darum bemühen.

Mit qualifizierter Unterstützung ist die Umsetzung der Datenschutzgrundverordnung gut zu meistern. Hilfe gibt es unter anderem hier: www.bvdnet.de und www.gdd.de.

Datenschutz-Audit durch TÜV-zertifizierten Datenschutz-Auditor: www.krieg-stoever.de

Über den Autor:

Dirk Gerasch, Jahrgang 1961, studierte Kommunikationsdesign in Darmstadt und gründete dort im Alter von 30 Jahren die Werbeagentur Gerasch Communication. Er leitet als geschäftsführender Inhaber die Agentur mit 40 festen und freien Mitarbeitern. Zu seinen Kunden gehören Unternehmen wie Bosch, Getrag, Merck und Kia. Gerasch Communication ist eine der ersten Agenturen in Deutschland mit einem Datenschutz-Audit durch einen TÜV-zertifizierten Datenschutz-Auditor.


W&V Redaktion
Autor: W&V Redaktion

Es gibt unterschiedliche Gründe, warum Artikel mit "W&V-Redaktion" gekennzeichnet sind. Zum Beispiel, wenn mehrere Autor:innen daran mitgearbeitet haben oder wenn es sich um einen rein nachrichtlichen Text ohne zusätzliche Informationen handelt. Wie auch immer: Die redaktionellen Standards von W&V gelten für jeden einzelnen Artikel.