28.02.2018

Die neue EU Daten­schutz­grund­ver­ord­nung kommt. Was bedeu­tet das für Kommunikationsprofis?

Rai­ner Maas­sen, Geschäfts­füh­rer Con­ven­to GmbH

Ab dem 25. Mai 2018 müs­sen in Deutsch­land und allen ande­ren EU Mit­glied­staa­ten die Regeln der EU-Daten­schutz­grund­ver­ord­nung (im Fol­gen­den DSGVO) beach­tet und umge­setzt wer­den. In Deutsch­land kommt zusätz­lich das auf der DSGVO basie­ren­de Bundesdatens…

Ab dem 25. Mai 2018 müs­sen in Deutsch­land und allen ande­ren EU Mit­glied­staa­ten die Regeln der EU-Daten­schutz­grund­ver­ord­nung (im Fol­gen­den DSGVO) beach­tet und umge­setzt wer­den. In Deutsch­land kommt zusätz­lich das auf der DSGVO basie­ren­de Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung (BDSG-neu) zur Anwen­dung. Die DSGVO und das BDSG-neu lösen in Deutsch­land das bis­he­ri­ge und bis zum 24. Mai 2018 noch gül­ti­ge Bun­des­da­ten­schutz­ge­setz (BDSG) ab.
Sie als Pro­fes­sio­nal in der Kom­mu­ni­ka­ti­ons­bran­che fra­gen sich jetzt sicher­lich: Was bedeu­tet das kon­kret für mich und mei­ne Arbeit?

Mit die­sem Rat­ge­ber beant­wor­te ich Ihre wich­tigs­ten Fra­gen. Ich kon­zen­trie­re mich dabei auf die Behand­lung der Kern-Ziel­grup­pe der Kom­mu­ni­ka­ti­on, die Jour­na­lis­ten und Blog­ger. Bit­te beach­ten Sie: Mei­ne Zusam­men­stel­lung stellt kei­ne Rechts­be­ra­tung dar und erhebt kei­nen Anspruch auf Voll­stän­dig­keit. Bit­te las­sen Sie sich im Zwei­fels­fall von einem Juris­ten bera­ten.
[b]


1. War­um betrifft die DSGVO unse­re Arbeit?


Beim Daten­schutz geht es streng genom­men nicht um den Schutz von Daten son­dern von Per­so­nen, deren per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Das sind in unse­rem Fall meist Ansprech­part­ner der Kom­mu­ni­ka­ti­on, deren Kon­takt- und Pro­fil­da­ten wir spei­chern, um ihnen Nach­rich­ten zu sen­den und mit ihnen zu kom­mu­ni­zie­ren. Deren „infor­ma­tio­nel­le Selbst­be­stim­mung“ soll durch die DSGVO gestärkt wer­den.

Defi­ni­tio­nen
Sie spei­chern und ver­ar­bei­ten Daten Ihrer Kom­mu­ni­ka­ti­ons-Ziel­grup­pen. Nach dem DSGVO gel­ten Sie des­halb als „Ver­ant­wort­li­cher“ gegen­über den „Betrof­fe­nen“, deren Daten Sie spei­chern. Oft geschieht die­se Ver­ar­bei­tung mit Hil­fe von IT-Dienst­leis­tern. Die­se nennt das Gesetz „Auf­trags­ver­ar­bei­ter“.

Kon­kre­ti­sie­rung und Erwei­te­rung der Betrof­fe­nen-Rech­te
Sie als „Ver­ant­wort­li­cher“ im Sin­ne der DSGVO müs­sen trans­pa­ren­ter wer­den und die Rech­te der Betrof­fe­nen genau beach­ten. Bereits das BDSG räum­te den betrof­fe­nen Per­so­nen das Recht ein zu erfah­ren, was genau über sie gespei­chert und ver­ar­bei­tet wur­de und war­um. Jetzt haben die­se auch das Recht auf Löschung. Wenn sich also ein Jour­na­list aus einem News­let­ter oder Pres­se­mit­tei­lungs-Ver­sand aus­ge­tra­gen hat, sind Sie als Ver­ant­wort­li­cher für die tech­nisch siche­re Umset­zung des Black­lis­tings ver­ant­wort­lich. Hier hilft Ihnen ein gutes IT-Sys­tem.

Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten
In vie­len Unter­neh­men oder Orga­ni­sa­tio­nen wer­den per­so­nen­be­zo­ge­ne Daten in ver­schie­de­nen Abtei­lun­gen und aus unter­schied­li­chen Grün­den ver­ar­bei­tet und oft auch lang­fris­tig gespei­chert. Meist gibt es nie­man­den, der dar­über noch den Über­blick hat. Es fehlt an einer zen­tra­len Stel­le, die die­se Ver­ar­bei­tun­gen sam­melt und doku­men­tiert. Hier greift die DSGVO mit Doku­men­ta­ti­ons- und Nach­weis­pflich­ten für die „Ver­ant­wort­li­chen“ ein. Dazu gehört das Erstel­len und Füh­ren eines soge­nann­ten „Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten“ (Art. 30 DSGVO). Von die­ser Pflicht aus­ge­nom­men sind nur Unter­neh­men mit weni­ger als 250 Mit­ar­bei­tern, aber auch nur dann, wenn sie (laut Art. 30 Abs.5) nur gele­gent­lich per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten. Das kann bei­spiels­wei­se bei PR- und Mar­ke­ting­agen­tu­ren aus­ge­schlos­sen wer­den: Hier wer­den regel­mä­ßig per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Aber kei­ne Sor­ge: als Agen­tur mit einem über­schau­ba­ren Geschäfts­mo­dell haben Sie das Ver­zeich­nis schnell aus­ge­füllt. Nur grö­ße­re Unter­neh­men, die Daten in vie­len Abtei­lun­gen ver­ar­bei­ten, haben oder hat­ten Auf­wand damit. Hin­wei­se zum Füh­ren des Ver­zeich­nis­ses und ein Word-Doku­ment als Mus­ter stel­len wir Ihnen gern zur Ver­fü­gung.

Erwei­ter­te Pflich­ten in Bezug auf die Daten­si­cher­heit und das Ver­trags­we­sen
Ände­run­gen erge­ben sich für Sie auch bei der Ein­hal­tung der „Daten­si­cher­heit“ und bei den ver­trag­li­chen Bezie­hun­gen mit Ihrem IT-Dienst­leis­ter. Sehen Sie dazu die Aus­füh­run­gen wei­ter unten (3. und 4.). 


2. Dür­fen wir Daten von Jour­na­lis­ten so ver­ar­bei­ten wie bisher?


Wie bis­her benö­tigt ein Unter­neh­men eine Rechts­grund­la­ge, um per­so­nen­be­zo­ge­ne Daten recht­mä­ßig ver­ar­bei­ten zu dür­fen. Die DSGVO nennt kon­kre­te Grün­de, unter denen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig ist.

Zwei für uns wesent­li­che Grün­de sind:
1. Die betrof­fe­ne Per­son erteilt ihre „Ein­wil­li­gung“ zur Ver­ar­bei­tung.
2. Es liegt ein „berech­tig­tes Inter­es­se“ der ver­ar­bei­ten­den Stel­le vor.

Ad 1.
Jour­na­lis­ten und Blog­ger, die sich auf Ihrer Web­site für News­let­ter oder Pres­se­mit­tei­lun­gen ein­tra­gen, haben Ihnen damit die erfor­der­li­che Ein­wil­li­gung erteilt. Sol­che expli­zi­ten Ein­wil­li­gun­gen blei­ben auch mit der DSGVO bestehen und müs­sen nicht neu ein­ge­holt wer­den. Dar­über hin­aus dür­fen Sie von einer „impli­zi­ten Ein­wil­li­gung“ zur Ver­ar­bei­tung zum Zweck der Zusen­dung von Pres­se­mit­tei­lun­gen aus­ge­hen, wenn die Kon­takt­da­ten eines Jour­na­lis­ten im Impres­sum eines Medi­ums oder auf der Web­site eines Medi­ums ver­öf­fent­licht wer­den. Das Glei­che gilt, wenn ein Jour­na­list sei­ne E‑Mail Adres­se auf einer eige­nen Web­site oder in sei­nem Social Media Account veröffentlicht.


Ad 2.
Sie als Kom­mu­ni­ka­ti­ons­pro­fi haben ein „berech­tig­tes Inter­es­se“, Jour­na­lis­ten aktiv mit Infor­ma­tio­nen zu ver­sor­gen. Dazu benö­ti­gen Sie Kon­takt­da­ten, wie die E‑Mail Adres­se und die geschäft­li­che Tele­fon­num­mer der betrof­fe­nen Per­son. Gemäß Art. 6 Abs. 1 lit. f) der DSGVO bedeu­tet dies, dass die Inter­es­sen, Grund­rech­te und Grund­frei­hei­ten des Jour­na­lis­ten, die den Schutz sei­ner per­so­nen­be­zo­ge­nen Daten erfor­dern, nicht das berech­tig­te Inter­es­se des Ver­ar­bei­ters sei­ner Daten über­wie­gen.
Dar­über hin­aus heißt es aus den Rei­hen der Berufs­ver­bän­de (DPRG, BdP, DJV), dass auch Jour­na­lis­ten ein „berech­tig­tes Inter­es­se“ an Unter­neh­mens­nach­rich­ten haben und somit qua­si eine „impli­zi­te Ein­wil­li­gung“ zur Zusen­dung von Nach­rich­ten besteht.


Gren­zen der Ein­wil­li­gung und des berech­tig­ten Inter­es­ses:
Ein­wil­li­gung und berech­tig­tes Inter­es­se von Jour­na­lis­ten an der Zusen­dung von Nach­rich­ten gilt aber nur für aus deren Sicht „rele­van­te Mel­dun­gen“. Es muss sich also um eine „Pres­se­mit­tei­lung“ han­deln und nicht etwa um Wer­bung (das wäre Spam), und die Mel­dung muss zumin­dest im wei­tes­ten Sin­ne auch mit den The­men des Jour­na­lis­ten zu tun haben (andern­falls wird die­se auch als Spam wahr­ge­nom­men).
Außer­dem muss es sich defi­ni­tiv um einen Jour­na­lis­ten han­deln. Die­se Fra­ge ist nicht immer ein­deu­tig und sofort zu beant­wor­ten. Blog­ger und sons­ti­ge Autoren im Web, die sich selbst nicht als Jour­na­lis­ten sehen, soll­ten tun­lichst nicht ohne expli­zi­te Ein­wil­li­gung ange­schrie­ben wer­den. Hier emp­fiehlt es sich, zunächst genau deren Web­sites und Tex­te zu stu­die­ren, und sie dann gege­be­nen­falls dezent per Brief zu kon­tak­tie­ren. Lei­der ist die Gren­ze zwi­schen Jour­na­lis­ten und Blog­gern nicht ein­deu­tig zu ziehen.


3. Was hat sich bei den Rege­lun­gen zur Ein­hal­tung der „Daten­si­cher­heit“ geändert?


Die DSGVO, eben­so wie das BDSG-neu, ver­lan­gen auch zukünf­tig eine beson­de­re Sorg­falt in Bezug auf die „Daten­si­cher­heit“. Dar­un­ter ver­steht man alle tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM), die dem Schutz vor u.a. Ver­lust, Dieb­stahl oder Beschä­di­gung von Daten die­nen. Bei­spie­le: Daten­si­che­rung, Fire­wall, unter­bre­chungs­freie Strom­ver­sor­gung, aber auch orga­ni­sa­to­ri­sche Maß­nah­men wie Zugriffs­kon­trol­le, Zutritts­kon­trol­le zu IT-Anla­gen usw.

Falls es trotz aller Maß­nah­men zu einem Ver­lust, Dieb­stahl oder einer Beschä­di­gung kommt, ist jetzt aber die [b]Beweislast umgekehrt[/b]: Bis­her muss­ten betrof­fe­ne Per­so­nen im Scha­dens­fall nach­wei­sen kön­nen, dass die ver­ar­bei­ten­de Stel­le als „Ver­ant­wort­li­cher“ nicht sau­ber gear­bei­tet hat. In Zukunft muss der „Ver­ant­wort­li­che“ nach­wei­sen, dass er „in kei­ner­lei Hin­sicht für den Umstand, durch den der Scha­den ein­ge­tre­ten ist, ver­ant­wort­lich ist“.

Die­sel­be Nach­weis­pflicht trifft zukünf­tig auch im Scha­dens­fall alle Auf­trags­ver­ar­bei­ter gegen­über betrof­fe­nen Per­so­nen. Der Ver­ant­wort­li­che und sein Auf­trags­ver­ar­bei­ter kön­nen so Gesamt­schuld­ner gegen­über geschä­dig­ten betrof­fe­nen Per­so­nen wer­den.
Unbe­scha­det einer mög­li­chen zivil­recht­li­chen Haf­tung gegen­über geschä­dig­ten betrof­fe­nen Per­so­nen kön­nen nach der DSGVO die zustän­di­gen Auf­sichts­be­hör­den auch wei­ter­hin Buß­gel­der ver­hän­gen, deren maxi­ma­ler Rah­men deut­lich erhöht wur­de, um so dem Daten­schutz in der EU noch mehr Nach­druck zu ver­lei­hen. Wich­tig ist daher eine mög­lichst lücken­lo­se Doku­men­ta­ti­on aller Maß­nah­men und Ver­ar­bei-tungs­schrit­te und eine ent­spre­chend risi­ko­ba­sier­te Aus­prä­gung der „TOM“ (tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen). 


4. Was hat sich in Bezug auf das benö­tig­te Ver­trags­we­sen geändert?


Wenn Sie mit einem IT-Dienst­leis­ter zusam­men­ar­bei­ten, der theo­re­tisch mit per­so­nen-bezo­ge­nen Daten in Kon­takt kom­men kann, für die Sie ver­ant­wort­lich sind, soll­ten Sie die­se Zusam­men­ar­beit durch einen „Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung“ (ADV-Ver­trag) absi­chern. Der ADV-Ver­trag ent­hält eine kla­re Defi­ni­ti­on der gegen­sei­ti­gen Rech­te und Pflich­ten im Ein­klang mit allen gel­ten­den Daten­schutz­be­stim­mun­gen.

Die­ser Ver­trag mit Ihrem Dienst­leis­ter ist wich­tig, weil Sie gegen­über den betrof­fe­nen Per­so­nen, zum Bei­spiel den Jour­na­lis­ten, „Ver­ant­wort­li­cher“ blei­ben. Mit dem ADV-Ver­trag sichern Sie sich die Mit­hil­fe und Arbeits­qua­li­tät des Auf­trags­ver­ar­bei­ters in Bezug auf den erfor­der­li­chen Datenschutz.


5. Wel­che Infor­ma­tio­nen dür­fen wir über­haupt verarbeiten?


Die DSGVO spricht hier von der „Ver­hält­nis­mä­ßig­keit der Ver­ar­bei­tungs­vor­gän­ge“ in Bezug auf den Zweck. Es sol­len nur die­je­ni­gen Infor­ma­tio­nen ver­ar­bei­tet wer­den, an denen ein „berech­tig­tes Inter­es­se“ besteht. Nicht legi­ti­mier­te per­so­nen­be­zo­ge­ne Daten soll­ten daher nicht ver­ar­bei­tet wer­den.
Damit ein­her geht das Gebot der „Daten­spar­sam­keit“. Daten sol­len nur zum ange­ge­be­nen Zweck erho­ben wer­den und nicht ohne kon­kre­ten Anlass, und nur in dem Umfang, den man für den Zweck auch wirk­lich braucht („Pri­va­cy by Default“). Die dabei ver­wen­de­ten Sys­te­me sol­len so auf­ge­baut sein, dass sie Daten­spar­sam­keit auto­ma­tisch unter­stüt­zen („Pri­va­cy by Design“).

Was das im Ein­zel­nen für Sie bedeu­tet, hängt von der kon­kre­ten Pra­xis ab. Das Geburts­da­tum mag nor­ma­ler­wei­se nicht wich­tig sein. Wenn Sie aber ein Auto­mo­bil­her­stel­ler sind und zu Test­fahr­ten nur Per­so­nen mit gül­ti­ger Fahr­erlaub­nis zwi­schen dem 25. und 60. Lebens­jahr zulas­sen wol­len, ist es in Bezug auf den Zweck für Sie wich­tig. Dahin­ter steht ein legi­ti­mes Inter­es­se, wel­ches inso­fern als ver­hält­nis­mä­ßig bewer­tet wer­den kann. Ein Schuh­her­stel­ler, der neue Model­le an Jour­na­lis­ten ver­teilt, darf daher auch deren Schuh­grö­ße spei­chern. Wich­tig sind mög­li­cher­wei­se auch Details aus den Ver­öf­fent­li­chun­gen der Jour­na­lis­ten, soweit sie selbst mit vol­lem Namen als Autor für den Inhalt ver­ant­wort­lich zeichnen.


6. Zusam­men­fas­sung: Pflich­ten der Verantwortlichen


Die Erschaf­fer der neu­en EU Daten­schutz­grund­ver­ord­nung wur­den von der Über­zeu­gung gelei­tet, dass per­sön­li­che Daten im Digi­ta­len Zeit­al­ter einen hohen und wach­sen­den Wert haben. Auf ihrer Basis ent­ste­hen immer neue Geschäftsmodelle.


Die DSGVO soll das Bewusst­sein der Men­schen für den Wert der eige­nen Daten stär­ken. Eben­so soll sie den Men­schen die Kon­trol­le über ihre Daten zurückgeben.


Für Unter­neh­men und Orga­ni­sa­tio­nen, die als „Ver­ant­wort­li­che“ per­so­nen­be­zo­ge­ne Daten pfle­gen und ver­wen­den, erge­ben sich dar­aus Pflich­ten, die die­se auf ver­trag­li­cher, orga­ni­sa­to­ri­scher und tech­ni­scher Ebe­ne erfül­len müs­sen. Die wesent­li­chen Punk­te:
• Sicher­stel­lung der Rech­te Betrof­fe­ner
• Trans­pa­renz der Daten­ver­ar­bei­tung
• Ange­mes­se­ne Ver­trä­ge
• Umset­zung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men
• Füh­ren eines Ver­fah­rens­ver­zeich­nis­ses

Dar­über hin­aus wird für bestimm­te Unter­neh­men und Orga­ni­sa­tio­nen eine Risi­ko­ab­schät­zung gefor­dert, auch „Daten­schutz­fol­gen­ab­schät­zung“ (Data Pro­tec­tion Impact Assess­ment) genannt. Hier ein­mal eine gute Nach­richt: Nur bei kri­ti­schen und beson­ders schüt­zens­wer­ten Daten ist dies not­wen­dig. Daten von Ansprech­part­nern der Kom­mu­ni­ka­ti­on gehö­ren übli­cher­wei­se nicht dazu, ins­be­son­de­re wenn die Daten aus deren Ver­öf­fent­li­chun­gen gewon­nen werden.


7. Wie hilft eine pro­fes­sio­nel­le PR-Lösung wie myconvento?


Betrof­fe­ne haben das Recht auf Ein­sicht­nah­me ihrer Daten und Trans­pa­renz der Verarbeitung:[/b] mycon­ven­to bie­tet eine lücken­lo­se Ände­rungs­his­to­rie, die auto­ma­tisch geführt wird und den Betrof­fe­nen auf Wunsch ohne gro­ßen Auf­wand zur Ver­fü­gung gestellt wer­den kann.
• Ver­ant­wort­li­che müs­sen den Export von per­so­nen­be­zo­ge­nen Daten in Län­der außer­halb der EU in ihrem Ver­zeich­nis füh­ren und den Zweck des Exports ange­ben: [/b] Die Daten sind und blei­ben im Rechen­zen­trum in Düs­sel­dorf und wer­den nicht ins Aus­land außer­halb der EU expor­tiert.

• Betrof­fe­ne haben das Recht auf Ände­rung und Löschung ihrer Daten: [/b] Emp­fän­ger kön­nen sich ein­fach und sicher von Infor­ma­tio­nen an- und abmel­den. mycon­ven­to über­trägt die Anmel­der-Daten direkt in kor­re­spon­die­ren­de Ver­tei­ler. Dadurch erhal­ten die Per­so­nen in Ihrer Daten­bank spä­ter genau die Infor­ma­tio­nen, zu denen sie sich ange­mel­det haben. Abmel­dun­gen füh­ren wie­der­um zu einem siche­ren „Black­lis­ting“ der abge­mel­de­ten Per­son.

• Ange­mes­se­ne Ver­trä­ge und Umset­zung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men: [/b] mycon­ven­to bie­tet sei­nen Kun­den ein regel­kon­for­mes Ver­trags­we­sen, einen fes­ten Ansprech­part­ner für den Daten­schutz, ein TÜV zer­ti­fi­zier­tes Rechen­zen­trum und aus­ge­ar­bei­te­te und über­prüf­ba­re TOMs. Daten­schutz sehen wir als Kern­kom­pe­tenz.

• Füh­ren eines Verfahrensverzeichnisses:[/b] Auf Wunsch stel­len wir unse­ren Anwen­dern alle Infor­ma­tio­nen für das Füh­ren ihres Ver­fah­rens­ver­zeich­nis­ses zur Ver­fü­gung.

Für Ihre Fra­gen und ste­hen wir Ihnen gern zur Ver­fü­gung.

Clau­dia Schi­kar­ski, Ver­trieb
Niko­la Bur­ck­hardt-Brandt, Mar­ke­ting
Rai­ner Maas­sen, Geschäftsführung














Zurück

pressbasePLUS
Online-Präsentation 

Bitte wählen Sie Ihren Wunschtermin:

Dienstag, 9. Juli, 15.00 Uhr

Donnerstag, 11. Juli, 11.00 Uhr

Dienstag, 16. Juli, 15.00 Uhr

Freitag, 19. Juli, 11.00 Uhr

Vielen Dank für Ihr Interesse

Füllen Sie das folgende Formular aus und es wird sich so schnell wie möglich jemand aus unserem Team mit Ihnen in Verbindung setzen.

Kontakt

Datenschutzhinweis