Gastbeitrag von Dirk Gerasch :
EU-Datenschutz-Verordnung: Warum Agenturen dringend handeln müssen

Ab Mai 2018 gilt beim Cookie-Einsatz die "Opt-in"-Regel. Und: Agenturen können direkt haftbar gemacht werden, wenn von ihnen entwickelte Lösungen nicht rechtskonform sind. Das gilt es zu beachten.

Text: W&V Redaktion

- 3 Kommentare

Dirk Gerasch kennt sich aus mit der (ungeliebten) EU-Datenschutz-Grundverordnung.
Dirk Gerasch kennt sich aus mit der (ungeliebten) EU-Datenschutz-Grundverordnung.

Umfragen zufolge sind nur die wenigsten Unternehmen und Agenturen auf die umfassende Neuordnung des Datenschutzes richtig vorbereitet. Und das, obwohl schon lange bekannt ist, dass die EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt. Dirk Gerasch, Chef von Gerasch Communication, erklärt in seinem Gastbeitrag das Wichtigste.

Von Dirk Gerasch

Das Thema DSVGO hat uns gerade noch gefehlt: Als ob wir nicht schon genug Arbeit damit hätten, der permanent steigenden Komplexität in den Bereichen Steuer und Personalwesen und diverser juristischen Fragen im Agenturalltag Herr zu werden. Das alles ist für uns unproduktive Zeit.

In vielen Agenturen landet das Thema DSGVO, wenn überhaupt, gleich zu Beginn beim Datenschutzbeauftragten. Das Problem: Datenschutzbeauftragte sind in Agenturen wie auf Unternehmensseite meist eher IT-Spezialisten und selten versiert im Umgang mit Nutzungsrechten und der aktuellen Rechtsprechung. Juristische Beratung endet in der Regel bei der Auslegung der neuen Verordnung. Dies bietet aber keine Lösung – schon gar nicht für die Medienbranche.

Vier Prozent des Jahresumsatzes als Bußgeld

Mit der neuen Verordnung sind alle Agenturen in der Verantwortung, gleich ob internationales Netzwerk, Digitalagentur oder One-Man-Show. Sie können ab Ende Mai 2018 schon für eine nicht rechtskonforme Außendarstellung im Internet oder in den sozialen Medien sowie im Newsletter-Marketing ihrer Kunden haftbar gemacht werden. Und das kann richtig teuer werden.

Drastische Bußgelder von bis zu vier Prozent des Jahresumsatzes zwingen zum Handeln, kommen Agenturen doch täglich mit einer Vielzahl datenschutzrechtlicher Fragen in Berührung. Dabei obliegt ihnen eine entsprechende Sorgfaltspflicht bei der Umsetzung.

Agenturverantwortliche sollten deshalb schnellstmöglich ihre Verarbeitung personenbezogener Daten an die DSGVO anpassen und sich gegenüber ihren Kunden entsprechend aufstellen: Denn künftig gilt alles, was einen EU-Bürger identifizierbar macht, als persönliche Daten. Dazu gehören auch digitale Fingerprints, IP-Adressen, Cookie-IDs und gehashte E-Mail-Adressen. Damit ihre persönlichen Daten verarbeitet werden können, bedarf es künftig der aktiven Zustimmung der Nutzer, während sie bisher aktiv widersprechen mussten. Es gilt: "Opt-in" statt "Opt-out". Besonders relevant ist dies im Bereich des E-Mail-Marketings.

Recht auf Vergessenwerden

Neu ist das Recht auf Vergessen. Agenturen müssen künftig alle vertretbaren Anstrengungen unternehmen, um Querverweise bzw. Links auf personenbezogene Daten (z.B. in Suchmaschinen) im Web zu löschen. Darüber hinaus müssen sie auch andere Stellen, an die die Daten weitergegeben wurden, darauf hinweisen, dass die Daten zu löschen sind. Dabei müssen Agenturen das sofortige Löschen von Nutzerdaten so verwalten, dass sie auf Wunsch des Nutzers jederzeit aus den Datenbanken gelöscht werden können. Auch ist dem Nutzer ein vereinfachter Zugang zu Nutzerdaten, die bei Dritten über ihn gespeichert sind, zu gewähren.

Durch das Recht, künftig vereinfacht Profildaten weiterreichen zu können, wird die Möglichkeit geschaffen, den Dienstleister leichter zu wechseln, ohne dass dabei ein Datenverlust entsteht.

Die Regeln lassen sich nicht umgehen -
auch nicht durch Verlagerung ins Ausland

Künftig gilt nicht mehr das Datenschutzgesetz des Landes, in welchem das Unternehmen seinen Sitz hat, sondern jenes Landes, in dem der Betroffene lebt – ganz unabhängig davon, wo die Daten verarbeitet wurden. Mit anderen Worten: Die DSGVO lässt sich auch nicht durch Verlagerung ins außereuropäische Ausland umgehen.

Auch wenn die Grundprinzipien des Datenschutzes unverändert bleiben und die Neuerungen vor allem für größere Unternehmen vieles vereinfachen, stellt die DSGVO insbesondere Agenturen, die personenbezogene Daten verarbeiten, vor erhebliche Herausforderungen. Das fängt schon mit der umgekehrten Beweislast an. Agenturen müssen ab Mai 2018, ähnlich wie Wirtschaftsprüfer, den Aufsichtsbehörden jährliche Reports abliefern. Diese sind im Ernstfall juristisch verbindlich.

Agenturen brauchen dringend einen Datenschutzbeauftragten

Da die DSGVO in Teilbereichen zwingend ein Qualitätsmanagement vorsieht, sollte jede Agentur schnellstmöglich ein stabiles, nachweisbares Datenschutzmanagement einrichten und sich im Idealfall durch einen TÜV-zertifizierten Datenschutz-Auditor zertifizieren lassen. Agenturen, die noch keinen Datenschutzbeauftragten haben, sollten sich schleunigst darum bemühen.

Mit qualifizierter Unterstützung ist die Umsetzung der Datenschutzgrundverordnung gut zu meistern. Hilfe gibt es unter anderem hier: www.bvdnet.de und www.gdd.de.

Datenschutz-Audit durch TÜV-zertifizierten Datenschutz-Auditor: www.krieg-stoever.de

Über den Autor:

Dirk Gerasch, Jahrgang 1961, studierte Kommunikationsdesign in Darmstadt und gründete dort im Alter von 30 Jahren die Werbeagentur Gerasch Communication. Er leitet als geschäftsführender Inhaber die Agentur mit 40 festen und freien Mitarbeitern. Zu seinen Kunden gehören Unternehmen wie Bosch, Getrag, Merck und Kia. Gerasch Communication ist eine der ersten Agenturen in Deutschland mit einem Datenschutz-Audit durch einen TÜV-zertifizierten Datenschutz-Auditor.


Autor:

W&V Redaktion
W&V Redaktion

Nicht alle W&V-Artikel erscheinen unter dem Namen eines einzelnen Autoren. Es gibt unterschiedliche Gründe, warum Artikel mit „W&V-Redaktion“ gekennzeichnet sind. Zum Beispiel, wenn mehrere Autoren daran mitgearbeitet haben oder wenn es sich um einen rein nachrichtlichen Text ohne zusätzliche Informationen handelt. Wie auch immer: Die redaktionellen Standards von W&V gelten für jeden einzelnen Artikel.



3 Kommentare

Kommentieren

Dirk Gerasch 7. September 2017

TÜV Zertifikate und ihre Qualität kann man in Einzelfällen durchaus kritisch betrachten. Wir empfehlen allerdings das Datenschutz-Audit durch einen TÜV-zertifizierten Datenschutz-Auditor vorzunehmen - nicht vom TÜV. Als mittelständische Agentur haben wir uns entschieden das Thema Datenschutz grundsätzlich outzusourcen. Mit diesem Schritt ist das TÜV-Label und der Zertifizierer ein und die selbe Person. Wir halten uns so den Rücken frei und können uns den wesentlichen Agenturaufgaben widmen.

Thomas Werning 7. September 2017

Hallo,

hm, ich finde das stimmt ja so nicht ganz.
Ein Opt-Out zur Datenverarbeitung gab und gibt es in Deutschland nicht.
Die Datenverarbeitung benötigt immer eine Erlaubnisgrundlage.

IP Adresse, digital Fingerprrint etc. sind schon jetzt personenbezogene Daten.

Aber ab Mai 2018 gilt tatsächlich die DSGVO.

Diese sieht als Bußgeldrahmen 4% des Umsatzes vor, das ist richtig, oder aber 20 Millionen.
Ausschlaggebend ist welcher Betrag höher ist. Ich denke die meisten Agenturen brauchen sich um die 4% keine Gedanken machen.

Spannend wird dies für Agenturen vor allem in der Auftragsdatenverarbeitung. Hier ist der Auftraggeber die verantwortliche Stelle und nach deren Umsatz/Größe richtet sich dann das Bußgeld wenn bspw. die Agentur die Passwörter der Nutzer einees Onlineshop nicht ausreichend geschützt hat (im Auftrag).
Stand der heutigen Technik ist bspw. mindestens die Verschlüsselung mit Salts.

Hinzu kommen Dokumentationspflichten. Die Einhaltung des Datenschutzes muss nachgewiesen werden können.
Es gibt Verfahrensdokumentationen sowohl für eigene Verfahren als auch für Verfahren die man als Dienstleister im Rahmen einer Auftragsdatenverarbeitung erbringt.
Es gibt Informationspflichten und auch Meldepflichten.

Datenschutz gilt auch nicht nur für die Dienstleistungen sondern insbesondere auch für die eigenen Beschäftigtendaten.

Ebenso gilt zu schauen, was die ab Mai 2018 wahrscheinlich auch geltende ePrivacyverordnung so bereithält.


Aber schon jetzt sollte man nur datenschutzkonforme Lösungen (PlugIns, Datenschutzerklärungen, https etc.) einsetzen bzw. als professionelle Agentur anbieten.


Viele Grüße
Thomas Werning

Siamac Rahnavard 5. September 2017

TÜV Zertifikate und ihre Qualität lässt sich schon eine geraume Zeit in Frage stellen. Was qualifiziert speziell dieses?
http://daserste.ndr.de/panorama/archiv/2014/Wie-der-TUeV-seinen-guten-Ruf-verspielt,tuev215.html

Diskutieren Sie mit