Rück­blick

Kom­mu­ni­ka­ti­on und Daten­schutz im Wan­del der Zeiten

von Rai­ner Maas­sen, Geschäfts­füh­rer der Con­ven­to GmbH

Wie gehen Kom­mu­ni­ka­ti­ons­pro­fis mit dem The­ma “Daten­schutz” um? Wie haben sich die Bedeu­tung des Daten­schut­zes und der Umgang damit im Lau­fe der letz­ten 25 Jah­re verändert?

Beim “Daten­schutz” geht es vor­wie­gend um den Schutz per­so­nen­be­zo­ge­ner Daten. Also genau genom­men um den Schutz der Per­so­nen, deren Daten ver­ar­bei­tet werden.

Wie wich­tig und heiß dis­ku­tiert die­ser Schutz ist, zeigt das kürz­li­che getrof­fe­ne Urteil des Euro­päi­schen Gerichts­ho­fes. Das bis­he­ri­ge Abkom­men “Pri­va­cy Shield”, das zum Schutz der EU- Bür­ger vor dem Daten­trans­fer in die USA errich­tet wur­de, gilt nun als unzu­läs­sig. Es ist schlicht­weg zu lasch, bie­tet den Betrof­fe­nen kei­ne wirk­li­chen Sicher­hei­ten und hin­ter­lässt im Über­gang zu einem neu­en Abkom­men wei­te­re Fra­gen und Unsi­cher­hei­ten rund um den Schutz per­so­nen­be­zo­ge­ner Daten. Eine Unsi­cher­heit kann ich Ihnen jedoch neh­men: Daten, die Sie mit mycon­ven­to spei­chern, sind von die­sem Abkom­men über­haupt nicht betrof­fen, da wir uns bewusst für die Spei­che­rung in einem deut­schen Rechen­zen­trum in Düs­sel­dorf ent­schie­den haben, um den höchs­ten Sicher­heits­an­for­de­run­gen gerecht zu werden.

Wir als Con­ven­to GmbH stel­len uns den Anfor­de­run­gen und Fra­gen rund um den Schutz per­so­nen­be­zo­ge­ner Daten seit der Ent­wick­lung unse­rer ers­ten PR-Soft­ware Anfang der 90er Jahre.

Kern unse­res Ange­bots war von Anfang an “Adress­ma­nage­ment”.

Wir haben die­ses Adress­ma­nage­ment sehr früh mit der Recher­che in Medi­en- und Jour­na­lis­ten Daten­ban­ken (in den ers­ten Jah­ren von Zim­pel und Stamm) erwei­tert. Erst durch die Kom­bi­na­ti­on mit Recher­che-Daten wur­de aus dem Adress­ma­nage­ment Sys­tem eine “PR-Lösung”. Um 2002 kam E‑Mail-Ver­sand dazu.

Das Bewusst­sein für Daten­schutz und der Umgang damit in den letz­ten 25 Jah­ren lässt sich nach mei­ner Erin­ne­rung grob in drei zeit­li­che Pha­sen einteilen:

  • Anfang der 90er Jah­re bis 2009
  • 2009 bis 2018
  • Mai 2018 bis heute

Im vor­lie­gen­den Bei­trag geht es mir nicht dar­um, den tat­säch­li­chen recht­li­chen Rah­men oder die recht­li­chen Ver­än­de­run­gen zu beschrei­ben. Viel­mehr möch­te ich aus mei­ner Erin­ne­rung dar­le­gen, was bei den PR-Fach­leu­ten wahr­ge­nom­men und dann in kon­kre­tes Han­deln umge­setzt wur­de. Es sind die Erin­ne­run­gen eines Dienst­leis­ters. Des­halb bit­te ich um Nach­sicht, falls ein(e) Leser(in) eine ande­re Wahr­neh­mung hat­te. Schrei­ben Sie mir gern an .

Die Anfangs­zeit bis 2009

Anfang der 90er Jah­re hat­te der Daten­schutz noch kei­ne beson­ders hohe Rele­vanz. Das Inter­net war noch im Ent­ste­hen, es gab weder Sozia­len Netz­wer­ke noch Mobil­te­le­fo­ne. Es gab aller­dings bereits Adress­händ­ler und soge­nann­te Bro­ker, die mit Kon­takt­adres­sen Geschäf­te betrie­ben. Adres­sen wur­den für Brief-Mai­lings ver­kauft und ver­mie­tet. Die­ses Busi­ness gibt es bis heu­te, es ist aber deut­lich klei­ner gewor­den. Ein­fach, weil Wer­bung heu­te auch über ande­re Kanä­le abläuft und vor allem “Online Mar­ke­ting” die Bud­gets an sich gezo­gen hat.

Damals dach­te kaum jemand dar­an, dass natür­li­che Per­so­nen vor dem Han­del mit ihren (Adress-) Daten geschützt wer­den müss­ten. Die Erhe­bung und Nut­zung der Daten war sehr auf­wän­dig. Eine anony­mi­sier­te Ver­ar­bei­tung oder Aggre­ga­ti­on aus ver­schie­de­nen Daten­quel­len fand nicht oder kaum statt, wenn man von Spe­zia­lis­ten wie der Schufa oder Wirt­schafts­aus­kunftei­en wie Credit­re­form absieht.

Daten­si­cher­heit und Daten­schutz dien­ten damals vor allem dazu, kei­nen wirt­schaft­li­chen Scha­den durch Ver­lust der Daten zu erlei­den. Ein Ver­ant­wor­tungs­be­wusst­sein gegen­über den “Betrof­fe­nen” exis­tier­te damals noch nicht. Ein Fall sei hier exem­pla­risch erwähnt: Der Kun­den­stamm des damals sehr bekann­ten PR-Bera­ters Moritz Hun­zin­ger wur­de von einem sei­ner Mit­ar­bei­ter an die Pres­se wei­ter­ge­reicht. Moritz Hun­zin­ger ent­schul­dig­te sich damals mit der Bemer­kung, das sei einer der vie­len Prak­ti­kan­ten gewe­sen, und die kön­ne er ja nicht alle beauf­sich­ti­gen. Es gab kei­ne Straf­ver­fol­gung wegen feh­len­den Daten­schut­zes. Heu­te wür­de er mit einer sol­chen Ent­schul­di­gung ein Geständ­nis über schwer­wie­gen­de Ver­säum­nis­se able­gen, die Stra­fen nach sich zie­hen würden.

Gegen Ende die­ser ers­ten Zeit ereig­ne­ten sich eini­ge gro­ße tech­no­lo­gi­sche Ver­än­de­run­gen: die ers­ten Sozia­len Netz­wer­ke wur­den gegrün­det (zunächst Stu­diVZ in Deutsch­land, spä­ter auch Face­book und Mys­pace), 2007 stell­te Ste­ve Jobs das ers­te iPho­ne vor und es wur­den immer mehr E‑Mails zu Wer­be­zwe­cken ver­sen­det. Damit kam es zur gro­ßen Wende.

2009 bis 2018

Im Jahr 2009 reagier­te der Gesetz­ge­ber auf den tech­no­lo­gi­schen Wan­del. Es gab eine Novel­le des schon bestehen­den Bun­des­da­ten­schutz­ge­set­zes, und fast zeit­gleich wur­de das UWG, das Gesetz gegen den Unlau­te­ren Wett­be­werb, ver­schärft. Das nun gel­ten­de Bun­des­da­ten­schutz­ge­setz unter­schied sich damals vom Geist und vie­len Rege­lun­gen her nur noch wenig von der aktu­ell gel­ten­den DSGVO. Trotz­dem schaff­te es das BDSG nicht, ins Bewusst­sein der Kom­mu­ni­ka­ti­ons­pro­fis zu kom­men oder sie zu kon­kre­ten Hand­lun­gen zu bewe­gen. Man kann sagen, dass das BDSG noch weit­ge­hend igno­riert wurde.

Bei E‑Mail-Ver­sen­dern sorg­te vor allem fol­gen­de Rege­lung für Ände­run­gen: E‑Mails durf­ten nur noch “per­mis­si­on based”, also erlaub­nis­ba­siert, ver­sen­det wer­den. Das heißt, man benö­tig­te von nun an die Ein­wil­li­gung des Emp­fän­gers. Man muss­te neue Begrif­fe wie “Opt In”, “Dou­ble Opt In” und “Opt Out” erler­nen und in die Tech­nik imple­men­tie­ren, um recht­lich sau­ber zu arbeiten.

Die­se Ver­än­de­run­gen betra­fen werb­li­che E‑Mails, aber im wei­te­ren Sin­ne auch die Pres­se­mit­tei­lun­gen von PR-Schaf­fen­den. Es wur­de vom Gesetz­ge­ber kein Unter­schied zwi­schen Mar­ke­ting E‑Mails und Pres­se­mit­tei­lun­gen gemacht. Bei­des waren “uner­laubt zuge­sand­te elek­tro­ni­sche Nach­rich­ten”. Eine Aus­nah­me bil­de­ten nur Kun­den-News­let­ter. Hier konn­te die gewach­se­ne Geschäfts­be­zie­hung die feh­len­de Zustim­mung sozu­sa­gen hei­len. Die Bezie­hung zwi­schen PR-Schaf­fen­den und Jour­na­lis­ten fiel aber nicht in die­se Kate­go­rie von Geschäftsbeziehungen.

Trotz­dem wur­den die neu­en Rege­lun­gen von den PR-Schaf­fen­den igno­riert. Man glaub­te, beim Kon­takt mit den Jour­na­lis­ten eine ande­re Posi­ti­on zu haben, allein schon wegen der Not­wen­dig­keit auf der jour­na­lis­ti­schen Sei­te, auch unver­langt zuge­sand­te Infor­ma­tio­nen zu ver­ar­bei­ten. Ent­spre­chend wur­de Opt Out, also die Abmel­dung von einer Lis­te oder einem Ver­tei­ler, nur in sehr weni­gen Pres­se­mit­tei­lun­gen ange­bo­ten. Man hielt es schlicht für über­flüs­sig und befürch­te­te zudem, damit den Ver­tei­ler unnö­tig auszudünnen.

Am 24. Mai 2016 trat dann der ein­heit­li­che Euro­päi­sche Rechts­rah­men für den Daten­schutz als EU-Daten­schutz Grund­ver­ord­nung (EU-DSGVO) in Kraft. Nun hat­ten die Län­der noch genau zwei Jah­re Zeit, sie in natio­na­les Recht zu über­neh­men. Die Zeit soll­te vor allem den vie­len Insti­tu­tio­nen und Unter­neh­men gege­ben wer­den, sich auf die neu­en Rege­lun­gen ein­zu­stel­len. Zwi­schen 2016 und 2018 geschah bei den Kom­mu­ni­ka­ti­ons­pro­fis zunächst – nichts. Mit Beginn des Jah­res 2018, mit zuneh­men­der Bericht­erstat­tung und wach­sen­der Nähe zum tat­säch­li­chen Inkraft­tre­ten in Deutsch­land am 25. Mai 2018, konn­ten wir dann wach­sen­de Unru­he bei unse­ren Kun­den fest­stel­len. Vie­le frag­ten sich, ob sie Ihr Busi­ness noch betrei­ben könn­ten. Im März und April 2018 erhiel­ten wir vie­le Anfra­gen dar­über, weit ver­streu­te Daten­be­stän­de zu kon­so­li­die­ren und ent­spre­chend der neu­en Trans­pa­renz- und Berichts­pflich­ten “DSGVO-fest” zu machen. Die­ser Unsi­cher­heit und Unru­he haben wir mit einem Bera­tungs­an­ge­bot und einem “Rat­ge­ber zum Daten­schutz” ent­ge­gen­ge­wirkt und die wich­tigs­ten Dos und Don´ts für Kom­mu­ni­ka­ti­ons­pro­fis zusammengefasst.

Bei Con­ven­to gab es hohen Arbeits­auf­wand für die Erstel­lung rechts­kon­for­mer Ver­trä­ge: unser ADV-Ver­trag (Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung), der zuvor eher unbe­ach­tet geblie­ben war, unse­re TOMs (Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men) und unse­re Daten­schutz­er­klä­rung rück­ten in den Fokus. Wir reagier­ten mit einem Ange­bot an ein­heit­li­chen Ver­trä­gen. Trotz­dem gab es vie­le Dut­zend Kun­den mit indi­vi­du­el­len Ver­trä­gen und spe­zi­el­len Vor­stel­lun­gen, die dis­ku­tiert und ver­ab­schie­det wer­den mussten.

Mai 2018 bis heute

Nach in Kraft tre­ten der neu­en DSGVO am 25. Mai 2018 folg­te nach anfäng­li­cher Unru­he und vie­len Akti­vi­tä­ten eines: Ruhe. Anfangs befürch­te­te gro­ße Skan­da­le oder exor­bi­tan­te Buß­gel­der blie­ben aus. Dies war nicht nur für unse­re Kun­den son­dern auch für uns ein gro­ßer Erfolg.

Vie­le unse­rer Anwen­der stat­te­ten ihre Pres­se­mit­tei­lun­gen erst­mals mit einem “unsub­scri­be-But­ton” bzw. “Abmel­de­link” aus. Die­ser wie­der­um mach­te die the­ma­ti­sche Zuord­nung zu Pres­se­mit­tei­lun­gen und folg­lich das the­men­be­zo­ge­ne Abmel­den bedeut­sa­mer. Nie­mand woll­te die Abmel­dung eines Emp­fän­gers die­sen für alle Mel­dun­gen ver­lie­ren. Das betraf beson­ders die PR-Agen­tu­ren, die Jour­na­lis­ten oft für meh­re­re Kun­den und zu ver­schie­de­nen The­men anschreiben.

Dass die Bedeu­tung des Daten­schut­zes all­ge­mein bei Unter­neh­men zunimmt, stel­len wir posi­tiv fest. So kommt es bei Con­ven­to zum regel­mä­ßi­gen Aus­tausch mit Daten­schutz­be­auf­trag­ten, Com­pli­an­ce Offi­cers und exter­nen Dienst­leis­tern unse­rer Kun­den. Dadurch stel­len wir unse­re eige­nen hohen Auf­la­gen stets unter Beweis und erhal­ten teil­wei­se auch Impul­se zur Wei­ter­ent­wick­lung ein­zel­ner Maß­nah­men. Ein­kaufs- oder Com­pli­an­ce Abtei­lun­gen eta­blie­ren Pro­zes­se und Ver­trags­wer­ke, die für alle Clou­dan­bie­ter der Unter­neh­men gel­ten, und Con­ven­to wird wie jeder ande­re Anbie­ter auch die­sen Ver­trä­gen und Pro­zes­sen unter­wor­fen, auch wenn es bei uns “nur” um Jour­na­lis­ten­da­ten geht.

Zusam­men­ge­fasst hat der Daten­schutz inner­halb der dar­ge­stell­ten 25 Jah­re bis heu­te stark an Rele­vanz gewon­nen. Damit Sie als PR-Schaf­fen­de die­sem ste­tig wach­sen­den Anspruch gerecht wer­den kön­nen, unter­stüt­zen wir Sie und sor­gen mit allen nöti­gen Mit­teln für den Schutz ihrer Daten.

Sind Sie bereit, Ihre Pres­se­ar­beit zu revolutionieren?

Jetzt …

pressbasePLUS
Online-Präsentation 

Bitte wählen Sie Ihren Wunschtermin:

Dienstag, 9. Juli, 15.00 Uhr

Donnerstag, 11. Juli, 11.00 Uhr

Dienstag, 16. Juli, 15.00 Uhr

Freitag, 19. Juli, 11.00 Uhr

Vielen Dank für Ihr Interesse

Füllen Sie das folgende Formular aus und es wird sich so schnell wie möglich jemand aus unserem Team mit Ihnen in Verbindung setzen.

Kontakt

Datenschutzhinweis