Schmaus Josef Gassmann Raphael„Was muss ich tun, um meine E-Mail-Verteiler, Fotos, und Kundendaten rechtssicher zu speichern?“ „Was ist zu beachten, wenn ich Daten im Auftrag meiner Kunden verwalte?“ „Und was gilt für Facebook, Whatsapp und Co.?“ – Es sind viele und zum Teil besorgte Fragen, die PR-Profis, Agenturbetreiber und die Kommunikationsbranche aktuell bewegen. Hintergrund ist die „Deadline“ zur Umsetzung der Europäischen Datenschutzgrundverordnung (EU DSGVO) am 25. Mai. An diesem Tag tritt die neue Verordnung offiziell in Kraft und ist dann bindend. 

Um Fragen möglichst vieler Mitglieder beantworten zu können, lud die DPRG erstmals zu einer Online-Infoveranstaltung ein. Per Telefon oder PC konnten sich die Teilnehmer zum Webinar einwählen. Fragen wurden vorab gesammelt - oder auch während der Veranstaltung per Chat gestellt. In der Leitung beantworteten der Berliner Fachanwalt Raphael Gaßmann und der Geschäftsführer der Outline online Medien GmbH, Josef Schmaus, die zahlreichen Fragen.

Zur Einführung ging es zunächst um die Grundlagen der EU DSGVO: Die neuen Dokumentations- und Berichtspflichten, die Einsetzung von Datenschutzbeauftragten und die rechtssichere Zusammenarbeit von Kunden mit Dienstleistern, die im Kundenauftrag Daten speichern und verarbeiten.

Ausnahmen für Einzelberater und kleine Unternehmen, das wurde schnell klar, gibt es im neuen Datenschutzrecht genauso wenig wie bisher. Mit dem Unterschied, dass jetzt aus kleinen Verstößen leicht unangenehme Verfahren werden können. An diese Erkenntnis schloss sich die Frage an, welche Maßnahmen man – gleich ob Agentur mit 100 Mitarbeitern oder Ein-Personen-Beratung – umsetzen muss? Hier konnten die Experten die wichtigsten Punkte erläutern, wie etwa Verarbeitungslisten und Berichte.

Doch auch wer selbst keine Daten speichert, sondern etwa Verteilerlisten an einen Dienstleister überträgt, ist nicht aus der Pflicht. In sogenannten Auftragsdatenverarbeitungs-Vereinbarungen regeln Kunde und Auftragnehmer, welche Daten wie gespeichert und genutzt werden und wie ihr Schutz durch „Technische und organisatorische Maßnahmen“ (TOMs) sichergestellt wird. Solche „ADV’s“ werden auch für Berater und Agenturen Pflicht, die Daten ihrer Kunden zur Pflege oder für den Versand erhalten.

Nicht alle Regelungen der neuen Datenschutzgrundverordnung sind völlig neu, auch dies erfuhren die Teilnehmer. Wer jedoch schon in der Vergangenheit das Bundesdatenschutz-Gesetz beachtet hat, kann in der Regel seine Altdatenbestände weiternutzen. Vor allem, wenn man ein „berechtigtes Interesse“ an der Nutzung der Daten nachweisen kann. Dieses kann die Information von Journalisten, aber auch Werbung sein. Neben den Datenschutzaspekten komme es bei der Nutzung von Bestandsdaten sehr darauf an, auch das Wettbewerbsrecht zu beachten. So könne ein Werbemailing datenschutzrechtlich durchaus in Ordnung sein – aber gegen andere Rechtsordnungen verstoßen.

Das bedeute allerdings nicht, dass alles, was bisher bei der Sammlung von Daten in einer Grauzone praktiziert wurde, Bestand hat. Mit der neuen Verordnung wird das Recht der informellen Selbstbestimmung gestärkt. Das gilt insbesondere für die Sammlung von Informationen, die nicht dem unmittelbaren Zweck – Versand einer Pressemeldung oder einer Werbemail als Beispiel – dienen. Persönliche Profile können schnell gegen das Prinzip der Datensparsamkeit verstoßen.

Künftig kann jede Person für sich entscheiden, welche Daten sie von sich speichern lassen möchte. Jeder, der Personendaten verarbeitet, ist künftig verpflichtet, Betroffenen und den jeweiligen Behörden auf Anfrage hin Auskunft über die gespeicherten Daten zu geben. Zugleich können Betroffene verlangen, dass ihre Daten gelöscht werden – das sogenannte Recht auf Vergessenwerden ist damit gemeint. Nachfragen der Landesdatenschutz-Behörden dürften immer dann unangenehm werden, wenn ein Unternehmen oder Berater nicht die entsprechenden Dokumentationen – auch über Löschungen – liefern kann. Dann werden unter Umständen sehr empfindliche Geldbußen fällig.

Um sicherzugehen, dass man seine gespeicherten Verteiler- und Kundendaten weiterhin nutzen kann, überlegt mancher, diese Personen schriftlich um Erlaubnis zu bitten. Davon muss ausdrücklich abgeraten werden, erfuhren die Teilnehmer im Webinar: Denn wenn vielleicht nur zwei, drei oder zehn Prozent der Kontakte mit Ja antworten, der Rest aber schweigt, hat man ein ernstes Problem: Schweigen heißt in diesem Fall nicht Zustimmung.

Viele der neuen Regelungen werden sich einspielen müssen, so die Experten. In manchen Bereichen, etwa der Verwendung und Speicherung von Fotos, ist noch nicht klar, wie die Umsetzung des Datenschutzes erfolgen soll. Aktuelle und vertiefende Informationen erhalten DPRG-Mitglieder fortlaufend im Mitglieder-Extranet tixxt in der Gruppe „Fakten zur EU DSGVO“.

Titelfoto: Rechtsanwalt Raphael Gaßmann (l.) und Josef Schmaus (Foto: Privat, Jens Jeske)