Datenschutzbeauftragter Agentur – Praxistipps für die Umsetzung der DSGVO

 Täglich sehen sich Werbeagenturen mit zahlreichen datenschutzrechtlichen Fragen konfrontiert. Neben den eigenen Personaldaten verarbeiten sie oft auch personenbezogene Daten im Auftrag und auf Anweisung ihrer Kunden (sogenannte Auftragsverarbeitung). Werbeagenturen, die als Auftragsverarbeiter agieren, müssen über ein funktionierendes Datenschutzmanagement verfügen, da sie regelmäßigen Kontrollen durch ihre Kunden unterliegen. Ein Datenschutzbeauftragter Agentur kann da Abhilfe schaffen und für Klarheit sorgen. In diesem Beitrag geben wir Ihnen Tipps, wie Sie die DSGVO in Ihrer Agentur umsetzen können. 

Datenschutz Agentur – Praxistipps für die Umsetzung der DSGVO  

Auch Agenturen müssen ihrerseits ein Datenschutz-Managementsystem etablieren. Vor diesem Hintergrund sollten Agenturen und Webdesigner folgende DSGVO-Praxistipps beachten: 

1. Datenschutzbeauftragten benennen: Eine Agentur muss einen Datenschutzbeauftragten benennen, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Position kann entweder intern durch einen eigenen Mitarbeiter oder extern durch einen Datenschutzbeauftragten besetzt werden.
   
2. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten: Alle datenschutzrelevanten Geschäftsprozesse in der Eigenschaft als verantwortliche Stelle, z. B. Bewerberdatenmanagement, Personalmanagement, Personalplanung, Buchhaltung, Kundenberatung, sind zu dokumentieren und fortlaufend zu aktualisieren (Art. 30 Abs.1 DSGVO) . 
3. Technische und organisatorische Maßnahmen (TOM) implementieren: Durch die Implementierung von technischen und organisatorischen Sicherheitsmaßnahmen wird der Schutz personenbezogener Daten sichergestellt. In einer Agentur wären denkbare Maßnahmen zur Datensicherheit z. B. verschließbare Aktenschränke, Firewalls, Endgeräte-Verschlüsselung, Passwortschutz oder anderweitige Maßnahmen zum Schutz vor Cyberangriffen. Je größer die übertragene Datenmenge bzw. je größer die Risiken umso größer der Schutzbedarf. 
4. Datenschutzerklärungen einbinden: Agenturen müssen die betroffene Person mithilfe von Datenschutzerklärungen über die bevorstehende Datenverarbeitung nach Art. 13 DSGVO aufklären. Neben Webseitenbesuchern muss auch Bewerbern, Mitarbeitern, Geschäftspartnern und Kunden die Kenntnisnahme einer sachlich richtigen Datenschutzerklärung ermöglicht werden. 
5. Cookie Consent Banner implementieren: Beim Einsatz von technisch nicht erforderlichen Cookies ist die Annahme von Cookies die Einrichtung eines Cookie-Banners auf der Webseite zwingend erforderlich (§ 25 TTDSG). Dieser dient der Einholung der ausdrücklichen Einwilligung des Users. Wenn Agenturen Informationen über ihre Besucher durch den Einsatz von Tracking- und Analyse-Software wie Google Analytics und Matomo auf ihrer eigenen Webseite sammeln, muss der Cookie-Consent-Banner beim ersten Besuch der Website erscheinen. 
6. Dienstleister managen: Sobald personenbezogene Daten im Auftrag Ihrer Agentur von externen Dienstleistern verarbeitet werden, muss ein AV-Vertrag zwischen der Agentur und den sog. „Auftragsverarbeitern“ geschlossen werden. Dazu gehören auch Online-Dienste, die zur Erbringung der Kundenberatung einsetzen, sofern Ihre Agentur das Tool eigenständig auswählt und das Konto in ihrem eigenen Namen anlegt. Im Gegensatz dazu ist kein (Unter-)Auftragsverarbeitungsvertrag erforderlich, wenn Sie beispielsweise das Google Analytics Konto des Auftraggebers verwalten. Das Konto gehört dem Auftraggeber und nicht der Agentur. In diesem Fall ist Google ein Auftragsverarbeiter des Kunden, nicht der Agentur. 
7. Löschkonzept: Die Verarbeitung personenbezogener Daten ist nur für konkrete Zwecke erlaubt. Nach Wegfall des Zwecks bzw. nach Ablauf gesetzlicher Aufbewahrungsfristen sind Daten schnellstmöglich zu löschen. Hierfür sollte ein Konzept mit Löschregeln definiert werden, das manuelle oder automatisierte Löschroutinen festlegt. 
8. Direktmarketing prüfen: Der Versand werblicher E-Mails und die dahinterstehende Software (CRM oder Newsletter-Tool) müssen datenschutzkonform erfolgen. Einwilligungserklärungen müssen die datenschutz- und wettbewerbsrechtlichen Anforderungen erfüllen. Die erteilte Einwilligung ist entsprechend vom CRM-System zu dokumentieren.  

Verantwortung der Agenturen bei der Auftragserbringung  

Als Agentur oder Webdesigner müssen Sie Ihrem Auftraggeber ein Produkt (z. B. eine Webseite) erstellen, das frei von Mängeln ist und nicht gegen die geltenden Gesetze verstößt. Agenturen sollten sich mit den rechtlichen Gesichtspunkten aus der DSGVO im Hinblick auf die datenschutzkonforme Erstellung der Website auseinandersetzen, um Haftungsrisiken zu vermeiden. Was es für den Aufbau einer datenschutzkonformen Website zu beachten gibt, erfahren Sie in unserem Artikel „10 Tipps für eine DSGVO-konforme Website„.

Agentur Abschluss Auftragsverarbeitungsvertrag 

Sobald personenbezogene Daten im Auftrag Ihres Kunden von Ihrer Agentur verarbeitet werden, muss ein AV-Vertrag zwischen Kunde (als Verantwortliche Stelle)  und Ihrer Agentur geschlossen werden. Angenommen, eine Werbeagentur soll die Social-Media-Kanäle verwalten oder eine Newsletter-Kampagne des Auftraggebers planen. Die Agentur erhält Einblicke in Nutzerstatistiken oder Adresslisten und verarbeitet im Auftrag des Kunden personenbezogene Daten von natürlichen Personen. In diesem Fall ist die Agentur Auftragsverarbeiter und es muss bereits zum Beginn der Zusammenarbeit ein Auftragsverarbeitungsvertrag geschlossen werden. Agenturen sollten das eigene Leistungsspektrum im Hinblick auf eine mögliche Auftragsverarbeitung bewerten und ein Vertrags-Template vorbereiten. Weiterhin müssen Agenturen die im AV-Vertrag auferlegten Pflichten gegenüber den Auftraggebern einhalten. Daher sollten Agenturen im Vorfeld gewisse Vorkehrungen treffen. 

1. Kontrolle von Auftragsverarbeitern 

Die Datenschutz-Grundverordnung (DSGVO) sieht bei einer Datenverarbeitung im Auftrag die regelmäßige Kontrolle des Dienstleisters vor. Agenturen sehen sich deshalb nicht nur zu Beginn einer Zusammenarbeit mit Fragen zum Datenschutz konfrontiert. Oftmals kontrollieren Auftraggeber die Datensicherheit ihrer Dienstleister im Laufe der Zusammenarbeit regelmäßig, um die Kontrollpflichten aus der DSGVO zu erfüllen. Agenturen sollten sich auf umfangreiche Datenschutz-Audits, Fragebögen, Interviews und ggf. auf Kontrollen vor-Ort einstellen, indem sie ihr eigenes Sicherheitskonzept jährlich überprüfen und aktualisieren. 

2.  Datenpannen im Verantwortungsbereich des Auftraggebers  

Agenturen müssen Datenpannen bzw. Datenschutzverletzungen im Verantwortungsbereich des Auftraggebers gemäß Art. 33 Abs. 2 DSGVO unverzüglich an ihren Ansprechpartner melden. ​​Beispiele für eine Verletzung von Datenschutz und die Erklärung der unterschiedlichen Begriffe “Datenschutzverstoß” , “Datenschutzverletzung” oder Datenpanne 

finden Sie in unserem Artikel. Einige AV-Verträge verlangen bereits eine Meldung nur bei dem Verdacht einer Datenpanne. Spezifische Vorgaben zum Umgang mit potenziellen Datenpannen und zu den W-Fragen (wer, was, wann, wo usw.) sind regelmäßig im Auftragsverarbeitungsvertrag (AVV) beschrieben. Agenturen sollten sich mit den Inhalten und abgeschlossenen AV-Verträge vertraut machen und Vorkehrungen treffen, um ihre vertraglichen und gesetzlichen Pflichten einhalten zu können.   

3. Unterstützungspflicht der Agentur bei Betroffenenanfragen  

Es kommt häufig vor, dass Betroffene sich direkt an die Mitarbeiter der Agenturen wenden, um Auskunft über die von ihnen gespeicherten Daten zu erhalten. Oftmals verfügt die Agentur detaillierte Kenntnisse der verarbeiteten Daten des Betroffenen. Deshalb neigen Agenturen häufig dazu, eigenständig auf Auskunftsanfragen zu antworten. Agenturen sind als Auftragsverarbeiter jedoch nicht befugt Betroffenenanfragen innerhalb des Verantwortungsbereich des Auftraggebers zu beantworten. Agenturen sollten ihre Mitarbeiter hierzu sensibilisieren und stets Rücksprache mit dem Auftraggeber halten.

4. Auftragsverarbeitung und der Einsatz von Subunternehmern 

Es ist nicht ungewöhnlich, dass Agenturen ihre Verpflichtungen aus einem Auftrag mithilfe von Subunternehmern erfüllen. In einem solchen Szenario spricht man von Unterauftragsverarbeitung. Die Einbindung von Unterauftragsverarbeitern muss mit der Genehmigung des Auftraggebers erfolgen (entweder ausdrücklich für jeden Unterauftragsverarbeiter oder als pauschale Allgemeineinwilligung. Weiterhin müssen dem  Unterauftragnehmer dieselben Datenschutzpflichten auferlegt werden wie der Agentur im Rahmen des AV-Vertrags mit dem Auftraggeber. Dies gewährleistet, dass das Schutz- und Pflichtniveau nicht schrittweise durch die Beauftragung von Unterauftragnehmern verringert wird, sondern dass eine konsistente Einhaltung der Datenschutzstandards gewährleistet ist.

5. Verzeichnis von Verarbeitungstätigkeiten in der Eigenschaft als Auftragsverarbeiter  (Art. 30 Abs. 2 DSGVO) 

Die Agentur ist als Auftragsverarbeiter für die Datenschutzkonformität der Verarbeitungsprozesse mitverantwortlich. Daraus ergibt sich für die Agentur die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses. Das Verarbeitungsverzeichnis enthält alle  datenschutzrelevanten Geschäftsprozesse  in der Eigenschaft als Auftragsverarbeiter. Folgende Inhalte sind verpflichtet:  

• den Namen und die Kontaktdaten der (Unter-) Auftragsverarbeiter 
• den Namen und die Kontaktdaten jedes Verantwortlichen 
• Gesetzliche Vertreter und Datenschutzbeauftragte jedes Auftragsverarbeiter und Verantwortlichen 
• Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden 
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland 
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen 

Datenschutz und Datensicherheit bei der Verarbeitung und Übertragung vertraulicher Daten 

Die Sicherheit der übertragenen Datenmenge ist ein wesentlicher Bestandteil des Datenschutzes in Agenturen. Insbesondere wenn es um die Verarbeitung und Übertragung vertraulicher Informationen geht, stehen Agenturen vor der Herausforderung, höchste Sicherheitsstandards zu gewährleisten. Dies umfasst nicht nur die Einhaltung der rechtlichen Verpflichtung zur Wahrung der Vertraulichkeit der von einer betroffenen Person übermittelten Daten in der eigenen Organisation, sondern auch die Sicherstellung der Integrität und Verfügbarkeit dieser Daten in der Organisation des Auftraggebers. 

1. Sicherer Datentransfer: Agenturen sollten darauf achten, dass bei der Übertragung vertraulicher Daten, wie umfangreichen Kundenlisten, internen Informationen und andere übertragene Datenmengen sichere Übertragungswege genutzt werden. Die Verschlüsselung der Daten spielt eine zentrale Rolle, um die Integrität und Vertraulichkeit während der Übertragung zu gewährleisten. Deshalb sollte auf einen unverschlüsselten E-Mail-Versand verzichtet werden. Stattdessen sollte vielmehr auf einen Austausch über einen sicheren Cloud-Dienst ausgewichen werden.   
2. Schutzmaßnahmen gegen unbefugten Zugriff: Die vorübergehende Speicherung und Verarbeitung personenbezogener Daten erfordert strenge Sicherheitsvorkehrungen, um den unbefugten Zugriff zu verhindern. Dies beinhaltet die Implementierung von Multi-Faktor-Authentifizierung (MFA), Firewalls, Antivirus-Programmen und regelmäßigen Sicherheitsupdates. 
3. Regelmäßige Sicherheitsüberprüfungen: Um die Datensicherheit kontinuierlich zu gewährleisten, sollten Agenturen regelmäßig die Aktualität ihrer Sicherheitssysteme prüfen. Ein Vulnerability-Management hilft dabei, Schwachstellen frühzeitig zu erkennen und die Systeme regelmäßig zu patchen. 
4. Datenschutzschulungen für Mitarbeiter: Mitarbeiter spielen eine entscheidende Rolle bei der Sicherung der von einer natürlichen Person gespeicherten Daten. Unabhängig von ihrer Position, sei es Projektleiter oder -mitarbeiter, IT- oder Buchhaltungspersonal, müssen Agenturen ihre Mitarbeiter regelmäßig in Sachen Datenschutz zum Thema Datensicherheit schulen.  
5. Transparenz und Vertrauen: Durch eine transparente Kommunikation über die getroffenen Sicherheitsmaßnahmen und Datenschutzpraktiken gegenüber den Kunden, kann das Vertrauen in die Agentur gestärkt werden. Dies umfasst auch die explizite Nennung von Sicherheitsmaßnahmen in der Anlage des Auftragsverarbeitungsvertrages. 

Durch das Bewusstsein für und die Implementierung dieser Maßnahmen können Agenturen nicht nur die Einhaltung der gesetzlichen Anforderungen der Europäischen Union sicherstellen, sondern auch das Vertrauen ihrer Kunden stärken. Heutzutage ist die Gewährleistung der Datensicherheit nicht nur eine rechtliche Verpflichtung, sondern auch ein wichtiger Aspekt der Kundenzufriedenheit und des Geschäftserfolgs. 

FAQ zum Thema Datenschutz in Agenturen