Datenschutz in Agenturen: Das gilt es zu beachten

Agenturen haben tagtäglich mit personenbezogenen Daten zu tun und daher große Berührungspunkte mit den Vorgaben zum Datenschutz nach der DSGVO. Nach der Einführung der DSGVO durch die Europäische Union im Jahr 2018 haben sich die Regeln zum Datenschutz für Unternehmen deutlich verschärft. 

Häufig entspricht der Datenschutz in Agenturen allerdings nicht den Regelungen der DSGVO. Welche Rechtslage für Ihre Agentur gilt, was Sie beachten müssen und wie Sie bei der Umsetzung vorgehen können, zeigen wir Ihnen in diesem Artikel. 

Das Wichtigste in Kürze

• Agenturen arbeiten nahezu jeden Tag mit personenbezogenen Daten. Eine gute Datenschutz-Compliance ist also essentiell, um Rechtsverstöße zu vermeiden.
• Bei Verstößen gegen die DSGVO drohen sensible Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
• Die DSGVO gewährt der jeweiligen betroffenen Person eine Vielzahl von Rechten, um Datenmissbrauch einzuschränken. Das bedeutet mehr Pflichten für Unternehmen: Von dem Führen eines Verarbeitungsverzeichnisses über das Treffen von technischen und organisatorischen Maßnahmen bis zur Risikoanalyse.
• Für einen rechtskonformen Datenschutz sind verlässliche Löschkonzepte notwendig. Agenturen, die mit großen Datenmengen arbeiten, sollten daher auf eine schnelle Löschung nicht mehr benötigter Daten achten.

Deshalb ist das Thema Datenschutz in Agenturen relevant

Ziel der Europäischen Union ist es, mithilfe der DSGVO personenbezogene Daten vor unzulässiger oder nicht notwendiger Verarbeitung zu schützen. Es geht also auch darum, die Freiheits- und Persönlichkeitsrechte aller zu wahren, die in Kontakt mit einem Unternehmen stehen und dabei Daten von sich preisgeben, unabhängig davon, ob es sich um Kunden, Geschäftspartner, Mitarbeiter oder Lieferanten handelt.

Agenturen erfassen, speichern, verarbeiten und vermitteln im Laufe eines Arbeitstags eine Menge Daten, die Aufschluss über die betroffene Person zulassen. Eine umfassende Datenschutz-Compliance gewährleistet die Zukunftsfähigkeit des Unternehmens und kann in allen Bereichen einer Agentur, egal ob IT, Marketing oder Kundenbetreuung, zum Einsatz kommen.

Durch eine gute Datenschutz-Compliance lassen sich Missstände und Lücken frühzeitig erkennen und teure Rechtsverstöße vermeiden, denn die DSGVO droht bei Verstößen mit nicht unerheblichen Bußgeldern (bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes). Hinzu kommt bei einer Datenpanne der öffentliche Skandal, verbunden mit dem Verlust wertvoller Geschäftspartner oder Kunden.

Aber nicht nur wegen möglicher Strafen sollten Agenturen den Datenschutz in ihrem Unternehmen großschreiben: Ein gut dokumentierter und vorangetriebener Datenschutz kann eine Agentur von anderen hervorheben, Rechtssicherheit bieten und so einen Wettbewerbsvorteil bedeuten.

Datenschutz-Checkliste für Agenturen 

Aufgrund der großen Datenmengen, die in Agenturen gespeichert und verarbeitet werden, gibt es viele Schnittstellen zu einschlägigen DSGVO-Vorschriften. Um eine angemessene Datenschutz-Compliance umzusetzen, sollten Sie sich einen Überblick über die wichtigsten Normen verschaffen und die Einhaltung zeitnah angehen.

Nachfolgend haben wir einmal aufgelistet, welche Regelungen Sie in Ihrer Agentur dringend einhalten sollten, um DSGVO-Verstöße zu vermeiden:

• Ein Verzeichnis für Verarbeitungstätigkeiten (VVT) erstellen: Ein solches Verzeichnis dient dazu, alle Verarbeitungsprozesse und -abläufe Ihrer Agentur zu erfassen. Es sollte auch deutlich werden, wer für die verschiedenen Tätigkeiten verantwortlich ist und welche Löschfristen gelten. Ein solches Verzeichnis dient zum einen dem Überblick über vorhandene Datenverarbeitungen, zum anderen aber auch der Nachweispflicht gegenüber der zuständigen Aufsichtsbehörde.
• Technische und organisatorische Maßnahmen (TOM) umsetzen: Sind alle Prozesse aufgelistet, kann daraus hervorgehen, wo bereits Datenschutzmaßnahmen greifen und an welchen Stellen noch konkrete Maßnahmen getroffen werden müssen, um die Daten entsprechend zu schützen. In der Regel werden bestimmte Maßnahmen definiert, die in einem zweiten Schritt realisiert werden.
• Risikoanalyse durchführen: Um die richtigen technischen oder organisatorischen Maßnahmen zu treffen, kann es sinnvoll sein, einzelne Tätigkeiten und Prozesse einer Risikoanalyse zu unterziehen, um abzuwägen, welche Daten bei welchen Prozessen auf welche Art zu schützen sind. Dabei gilt: Je sensibler die Daten und je riskanter der Prozess für Pannen, desto höher muss der Schutz sein. Außerdem muss abgewogen werden, ob auf den Prozess verzichtet werden kann, etwa wenn das Risiko für die betroffenen Personen und ihre Daten zu hoch ist.
• Auftragsverarbeitungsverträge (AVV) vereinbaren: Werden Daten an einen externen Dienstleister weitergegeben, muss mit diesem ein Auftragsverarbeitungsvertrag geschlossen werden, um sicherzustellen, dass auch er die Regelungen der DSGVO einhält.
• Löschkonzepte definieren: Nach der DSGVO dürfen Daten nur dann gespeichert werden, wenn dafür ein legitimer Grund vorliegt. Entfällt dieser Grund, beispielsweise aufgrund der Kündigung der betroffenen Person, sind die Daten schnellstmöglich zu löschen. Dazu sollten Löschkonzepte implementiert werden, die die fristgerechte Löschung möglichst automatisiert bzw. routiniert umsetzen und dabei trotzdem etwaige Aufbewahrungsfristen berücksichtigen.
• Datenschutzbeauftragte engagieren: Unter Umständen sind Sie zur Benennung eines Datenschutzbeauftragten verpflichtet. Dieser Aufgabe kann sich entweder ein eigener Mitarbeiter oder ein externer Datenschutzbeauftragter widmen. Wir bieten Ihnen den Service eines vertrauenswürdigen externen Datenschutzbeauftragten an und beraten Sie gerne zur rechtssicheren Umsetzung der DSGVO.
• Newsletter und Software überprüfen: Sowohl E-Mail-Newsletter als auch interne Software muss auf die DSGVO-Konformität geprüft werden. Im Zweifel müssen Sie auf datenschutzkonforme Tools umsteigen, die die Vorgaben der DSGVO erfüllen.
• Mitarbeiterschulungen organisieren: Datenschutz in Agenturen funktioniert nur, wenn das eigene Team die Grundsätze verinnerlicht und in seiner täglichen Arbeit umsetzt. Der Datenschutz bleibt eine unlösbare Aufgabe, wenn nicht alle Mitarbeiter darüber informiert sind, welche Regelungen eingehalten werden müssen. Bieten Sie daher regelmäßige Schulungen an, um sich selbst und Ihr Team auf dem neuesten Stand zu halten.

Rechtliche Verpflichtung: Opt-In-Lösung für Agenturen

Auf Webseiten hat sich durch die DSGVO etwas Grundlegendes verändert: Statt der Opt-Out-Lösung, bei der Nutzer den Einsatz von Cookies aktiv verweigern müssen, ist es nun verpflichtend, vorab eine ausdrückliche Einwilligung einzuholen (Opt-In-Lösung). Das soll dem Selbstbestimmungsrecht der betroffenen Personen besser Rechnung tragen.

Auch bei Newslettern müssen Nutzer vorab aktiv zustimmen und über die Verwendung ihrer Daten informiert werden. Gleichzeitig muss ihnen jederzeit die Möglichkeit zur Verfügung stehen, das Abonnement des Newslettern unverzüglich zu beenden. Das bedeutet: Am Fuß des Newsletters müssen Sie jederzeit einen entsprechenden Link einfügen, über den die Empfänger das Newsletter-Abonnement beenden können. Zudem muss betroffenen Personen jederzeit Zugang zu den Datenschutzinformationen gewährt werden.

Recht auf Vergessenwerden: Datenschutz in Agentursoftware

Die EU stärkt auf Grundlage von Art. 17 DSGVO das Recht auf Vergessenwerden betroffener Personen. Das bedeutet, dass Betroffene berechtigt sind, die Löschung ihrer personenbezogenen Daten jederzeit zu verlangen.

Das verpflichtet Agenturen dazu, auf Verlangen betroffener Personen entsprechende Daten unverzüglich und dauerhaft zu löschen sowie Auskunft zu erteilen. Es setzt voraus, dass Daten gut verwaltet werden, so dass alle Spuren zu diesen Daten zeitnah und effizient gefunden und vernichtet werden können. Eine gute Datenschutz-Software ermöglicht es Agenturen, Daten rechtskonform zu verarbeiten und eine Löschung im Nachhinein so einfach wie möglich zu gestalten.

Neben der Löschung auf Verlangen der betroffenen Person setzt die DSGVO auch voraus, dass Daten schnellstmöglich gelöscht werden, wenn sie für das Unternehmen nicht mehr von Nutzen sind oder ihr Verwendungszweck entfällt. Auch kann eine Software automatisiert erkennen, wann Daten längere Zeit nicht abgerufen wurden und ob der Zweck zur Datenverarbeitung entfallen ist.

Fazit zum Datenschutz für Agenturen

Gerade in Agenturen ist es aufgrund großer Datenmengen wichtig, eine gute Datenschutz-Compliance zu etablieren. Das gestaltet sich schwieriger, je mehr Prozesse und Abteilungen vorhanden sind, in denen mit personenbezogenen Daten gearbeitet wird.

Es ist daher wichtig, strukturiert und systematisch an die Umsetzung heranzugehen und auch Mitarbeiter hinsichtlich des Datenschutzes zu schulen. Eine große Hilfe kann es sein, externe Datenschutzberater oder Datenschutzbeauftragte zur Unterstützung zu engagieren, die Ihre Agentur analysiert und entsprechende Maßnahmen empfiehlt.

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 03.02.2023