Der Beginn einer Beziehung: Warum die DSGVO für PR-Agenturen eine Chance ist

Wie finden die Geschichten den Weg in die Medien? Die Antwort ist einfach: Durch Journalistentelefonate, per Presseversand oder selektiver E-Mail-Ansprache. Ab Mai stehen Agenturen vor einer großen Herausforderung, denn in nur wenigen Wochen endet die Übergangszeit der EU-Datenschutzgrundverordnung, kurz: EU-DSGVO. Am 25. Mai 2018 ist es soweit und Unternehmen können für Mängel hinsichtlich sensibler Kunden- und Mitarbeiterdaten stärker belangt werden. Was viele Entscheider dabei vergessen: Die EU-DSGVO betrifft nicht nur Big Player der Branche, die offensichtlich personenbezogene Informationen erheben und verarbeiten. Auch kleine Agenturen, seien es beispielsweise Werbe- oder PR-Dienstleiter, stehen nun vor der Aufgabe „Datenschutz“. Es ist nie zu spät, aber höchste Eisenbahn entsprechende Maßnahmen in die Wege zu leiten, um hohe Bußgelder zu vermeiden. Daneben sind Spezialregelungen z.B. aus dem Telemediengesetz (TMG) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) zu beachten.

Ja, ich will: „Opt-In“ statt „Opt-Out“

PR-Agenturen leben von personenbezogen Daten, denn nur mit ihnen erreichen die Geschichten den relevanten Journalisten. Wenn Agenturen persönliche Daten weiterverarbeiten, konnten sie das bislang gut und gerne tun – bis der Betroffene aktiv widerspricht. Das ändert sich nun, denn das bisher geltende „Opt-Out-Verfahren“ wird abgelöst. Ab sofort heißt es: „Opt-In“ statt „Opt-Out“ – Zustimmung statt Widerspruch. Unternehmen benötigen ab sofort die aktive Zustimmung über die Weiterverarbeitung der jeweiligen personenbezogenen Daten. Betroffen davon sind Journalistendatenbanken, sei es für den internen Gebrauch oder externe Dienstleister, die Kontaktinformationen zur Verfügung stellen. Angefangen bei digitalen Fingerabdrücken, über IP-Adressen, Cookie-IDs bis hin zu gehashten E-Mailadressen – Agenturen, die mit derartigen Datensätzen arbeiten, müssen in Zukunft transparenter denn je mit sensiblen Informationen umgehen und aktiv Zustimmung einfordern.

Lass uns eine Pause machen: Das Recht auf Vergessen werden

Irgendwann kommt der Beziehungsbruch, der Journalist oder Newsletter-Empfänger beendet die Partnerschaft. Das Recht auf Vergessenwerden ist nun in § 17 DSGVO festgehalten. Es umfasst die Aufgabe alle vertretbaren Anstrengungen zu unternehmen, um Querverweise und Links auf personenbezogene Daten im Internet zu löschen. Auch Dritte, die Daten erhalten haben, müssen auf die Löschung der Informationen hingewiesen werden. Sobald eine Person die Entfernung der Nutzerdaten einfordert, sind die Datenbanken zu updaten bzw. zu „säubern“. Ebenfalls wichtig: Insofern Dritte Profildaten von Personen speichern, müssen diese für die Betroffenen einfach einsehbar sein.

Und die Mitarbeiterdaten?  – Rechtsanwältin Maria Dimartino im Interview

Frau Maria Dimartino ist Rechtsanwältin mit Interessenschwerpunkten Arbeitsrecht, Datenschutz und Neue Medien. Ihre Klienten berät sie im Individual- und Kollektivarbeitsrecht und tritt zudem als Autorin sowie Referentin für Arbeitsrecht und Betriebsverfassungsrecht in Erscheinung. Ebenso ist sie regelmäßig als Lehrbeauftragte und Tutorin an verschiedenen Hochschulen tätig. Mehr unter www.jurvita.de

Was  schützt die DSGVO?
Maria Dimartino: „Geschützt werden sollen sogenannte personenbezogene Daten. Darunter werden nach Art. 4 DSGVO alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten sind beispielsweise: Namen, Geburtsdatum, Adressen, Kontaktdaten, Kennnummer, Standortdaten, Online-Kennung etc.“

Was bedeutet das im Detail für die Mitarbeiterdaten in PR-Agenturen?

Maria Dimartino: „Gerade im Beschäftigtenbereich werden regelmäßig auch besonders schützenswerte Daten genutzt und verarbeitet (Art. 9 DSGVO). Hierunter fallen unter anderem Gesundheitsdaten, die Gewerkschaftszugehörigkeit oder die Religion des Arbeitnehmers. An dieser Stelle hilft ein ständig aktuelles Verarbeitungsverzeichnis nach Art. 30 DSGVO. Um was geht es dabei? Hier spielt die Analyse der Daten eine wesentliche Rolle. Die Fragen „Wie werden Daten verarbeitet?“, „Wer hat Zugriff?“ und „Wie sind die Daten geschützt“ stehen dabei im Mittelpunkt. In diesem Sinne muss eine Bestandsaufnahme durchgeführt und zusätzlich sogenannte Technisch-Organisatorische-Maßnahmen – kurz: TOMs – in die Wege geleitet werden. Schlussendlich müssen Unternehmen evaluieren, ob die Benennung eines Datenschutzbeauftragten erforderlich ist (Art. 37 DSGVO, § 38 BDSG).

Wie können Agenturen reagieren und welche Maßnahmen sind notwendig?

Maria Dimartino: „Wichtige Maßnahmen für Arbeitgeber sind, die von Beschäftigten und Auftragsverarbeitern genutzten Tools auf die Vertraulichkeit zu prüfen und die Sensibilisierung für die Wichtigkeit des Schutzes von personenbezogener Daten. Außerdem ist es zwingend notwendig, proaktiv besondere Maßnahmen in Angriff zu nehmen, um personenbezogene Daten vor Zugriffen oder Einsicht Dritter zu schützen. Sowohl mit Beschäftigten als auch mit Auftragsverarbeitern sollten entsprechende Vertraulichkeitsvereinbarungen getroffen werden.“

Fazit: Datenschutz für mehr Vertrauen in einer glücklichen Beziehung

Mit der kommenden neuen Datenschutzgrundverordnung schafft die EU eine Harmonisierung im Datenschutzrecht und dadurch mehr Sicherheit, Kontrolle und Vertrauen. Zwar gibt es schon seit 1977 ein Bundesdatenschutzgesetz, d.h. die Schützbedürftigkeit von personenbezogenen Daten ist schon lange anerkannt doch bislang noch nicht flächendeckend in der Praxis angekommen, die Sanktionen wurden nun durch die DSGVO massiv erhöht. Zwischen PR-Agenturen und Redaktionen aber auch den Kunden besteht somit ab Mai endgültig absolute Sichtbarkeit über die Verarbeitung sensibler Informationen. Daraus resultiert ein größeres Vertrauen zwischen den Beteiligten in Zeiten, in denen die digitale Privatsphäre immer wichtiger wird. Und auch Agentur-intern ändert sich einiges: Mitarbeiter wissen von nun an konkret, was mit ihren Daten geschieht und profitieren somit von der Transparenz und zugleich digitalen Sicherheit. Die EU-DSGVO ist also nicht nur eine Herausforderung bezüglich der Umsetzung, sondern auch eine Chance auf externer sowie interner Ebene und kann für eine vertrauensvolle Beziehung zwischen allen Beteiligten sorgen.