Gastbeitrag von Dirk Gerasch:
EU-Datenschutz-Verordnung: Warum Agenturen dringend handeln müssen
Ab Mai 2018 gilt beim Cookie-Einsatz die "Opt-in"-Regel. Und: Agenturen können direkt haftbar gemacht werden, wenn von ihnen entwickelte Lösungen nicht rechtskonform sind. Das gilt es zu beachten.
Umfragen zufolge sind nur die wenigsten Unternehmen und Agenturen auf die umfassende Neuordnung des Datenschutzes richtig vorbereitet. Und das, obwohl schon lange bekannt ist, dass die EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt. Dirk Gerasch, Chef von Gerasch Communication, erklärt in seinem Gastbeitrag das Wichtigste.
Von Dirk Gerasch
Das Thema DSVGO hat uns gerade noch gefehlt: Als ob wir nicht schon genug Arbeit damit hätten, der permanent steigenden Komplexität in den Bereichen Steuer und Personalwesen und diverser juristischen Fragen im Agenturalltag Herr zu werden. Das alles ist für uns unproduktive Zeit.
In vielen Agenturen landet das Thema DSGVO, wenn überhaupt, gleich zu Beginn beim Datenschutzbeauftragten. Das Problem: Datenschutzbeauftragte sind in Agenturen wie auf Unternehmensseite meist eher IT-Spezialisten und selten versiert im Umgang mit Nutzungsrechten und der aktuellen Rechtsprechung. Juristische Beratung endet in der Regel bei der Auslegung der neuen Verordnung. Dies bietet aber keine Lösung – schon gar nicht für die Medienbranche.
Vier Prozent des Jahresumsatzes als Bußgeld
Mit der neuen Verordnung sind alle Agenturen in der Verantwortung, gleich ob internationales Netzwerk, Digitalagentur oder One-Man-Show. Sie können ab Ende Mai 2018 schon für eine nicht rechtskonforme Außendarstellung im Internet oder in den sozialen Medien sowie im Newsletter-Marketing ihrer Kunden haftbar gemacht werden. Und das kann richtig teuer werden.
Drastische Bußgelder von bis zu vier Prozent des Jahresumsatzes zwingen zum Handeln, kommen Agenturen doch täglich mit einer Vielzahl datenschutzrechtlicher Fragen in Berührung. Dabei obliegt ihnen eine entsprechende Sorgfaltspflicht bei der Umsetzung.
Agenturverantwortliche sollten deshalb schnellstmöglich ihre Verarbeitung personenbezogener Daten an die DSGVO anpassen und sich gegenüber ihren Kunden entsprechend aufstellen: Denn künftig gilt alles, was einen EU-Bürger identifizierbar macht, als persönliche Daten. Dazu gehören auch digitale Fingerprints, IP-Adressen, Cookie-IDs und gehashte E-Mail-Adressen. Damit ihre persönlichen Daten verarbeitet werden können, bedarf es künftig der aktiven Zustimmung der Nutzer, während sie bisher aktiv widersprechen mussten. Es gilt: "Opt-in" statt "Opt-out". Besonders relevant ist dies im Bereich des E-Mail-Marketings.
Recht auf Vergessenwerden
Neu ist das Recht auf Vergessen. Agenturen müssen künftig alle vertretbaren Anstrengungen unternehmen, um Querverweise bzw. Links auf personenbezogene Daten (z.B. in Suchmaschinen) im Web zu löschen. Darüber hinaus müssen sie auch andere Stellen, an die die Daten weitergegeben wurden, darauf hinweisen, dass die Daten zu löschen sind. Dabei müssen Agenturen das sofortige Löschen von Nutzerdaten so verwalten, dass sie auf Wunsch des Nutzers jederzeit aus den Datenbanken gelöscht werden können. Auch ist dem Nutzer ein vereinfachter Zugang zu Nutzerdaten, die bei Dritten über ihn gespeichert sind, zu gewähren.
Durch das Recht, künftig vereinfacht Profildaten weiterreichen zu können, wird die Möglichkeit geschaffen, den Dienstleister leichter zu wechseln, ohne dass dabei ein Datenverlust entsteht.
Die Regeln lassen sich nicht umgehen -
auch nicht durch Verlagerung ins Ausland
Künftig gilt nicht mehr das Datenschutzgesetz des Landes, in welchem das Unternehmen seinen Sitz hat, sondern jenes Landes, in dem der Betroffene lebt – ganz unabhängig davon, wo die Daten verarbeitet wurden. Mit anderen Worten: Die DSGVO lässt sich auch nicht durch Verlagerung ins außereuropäische Ausland umgehen.
Auch wenn die Grundprinzipien des Datenschutzes unverändert bleiben und die Neuerungen vor allem für größere Unternehmen vieles vereinfachen, stellt die DSGVO insbesondere Agenturen, die personenbezogene Daten verarbeiten, vor erhebliche Herausforderungen. Das fängt schon mit der umgekehrten Beweislast an. Agenturen müssen ab Mai 2018, ähnlich wie Wirtschaftsprüfer, den Aufsichtsbehörden jährliche Reports abliefern. Diese sind im Ernstfall juristisch verbindlich.
Agenturen brauchen dringend einen Datenschutzbeauftragten
Da die DSGVO in Teilbereichen zwingend ein Qualitätsmanagement vorsieht, sollte jede Agentur schnellstmöglich ein stabiles, nachweisbares Datenschutzmanagement einrichten und sich im Idealfall durch einen TÜV-zertifizierten Datenschutz-Auditor zertifizieren lassen. Agenturen, die noch keinen Datenschutzbeauftragten haben, sollten sich schleunigst darum bemühen.
Mit qualifizierter Unterstützung ist die Umsetzung der Datenschutzgrundverordnung gut zu meistern. Hilfe gibt es unter anderem hier: www.bvdnet.de und www.gdd.de.
Datenschutz-Audit durch TÜV-zertifizierten Datenschutz-Auditor: www.krieg-stoever.de
Über den Autor:
Dirk Gerasch, Jahrgang 1961, studierte Kommunikationsdesign in Darmstadt und gründete dort im Alter von 30 Jahren die Werbeagentur Gerasch Communication. Er leitet als geschäftsführender Inhaber die Agentur mit 40 festen und freien Mitarbeitern. Zu seinen Kunden gehören Unternehmen wie Bosch, Getrag, Merck und Kia. Gerasch Communication ist eine der ersten Agenturen in Deutschland mit einem Datenschutz-Audit durch einen TÜV-zertifizierten Datenschutz-Auditor.