Anwalt Michael Vogelbacher steht Rede und Antwort

Datenschutz für Verlage

Das Thema Datenschutz für Verlage birgt viele rechtliche Fallstricke. Mangelnder Datenschutz kann mit empfindlichen Geldstrafen belegt sein. Gerade auch in Verlagen wird mit sensiblen Daten gearbeitet. Haben Sie für Ihren Verlag alle Verantwortlichkeiten im Blick?

 

Michael Vogelbacher bietet mit Advokat Pro ein externes Justiziariat und externe Datenschutzbeauftragte für Unternehmen an. Auch wir von juni.com nutzen Advokat Pro für unsere Rechtsberatung. Zum Thema Datensicherheit und Datenschutz für Verlage haben wir Herrn Vogelbacher ein paar Fragen gestellt.

ELEPHANT PARK: Welche Vereinbarungen müssen mit einem IT-Admin getroffen werden?

MICHAEL VOGELBACHER: Das kommt darauf an, wie wir Juristen sagen. Ist der IT ADMIN im Unternehmen angestellt, ist er auf das Datengeheimnis nach § 5 Datenschutzgesetz zu verpflichten, wie jeder andere Mitarbeiter auch. Hier gibt es ab 25.5.2018 eine Änderung mit der neuen EU DSGVO. Nach der neuen EU DSGVO gilt das nicht mehr, jedoch gibt Art. 29 vor, dass Daten nur auf Weisung des Verantwortlichen verarbeitet werden dürfen. Ist er extern, muss mit ihm eine sogenannte Auftragsdatenverarbeitungsvereinbarung geschlossen werden. Zukünftig heißt diese nur noch Auftragsvereinbarung.

ELEPHANT PARK: Wie ist die Zusammenarbeit mit einer Web-Agentur betroffen?

MICHAEL VOGELBACHER: Zum einen muss auch hier eine Auftragsdatenverarbeitungsvereinbarung geschlossen werden. Zum anderen sind natürlich die Datenschutzbestimmungen aus dem BDSG, aber auch die sonstigen Bestimmungen, allen voran 13, 15 TMG und 7 UWG zu berücksichtigen. Letztlich muss geprüft werden, was inhaltlich auf der Site umgesetzt werden soll. Danach bestimmt sich auch die nötige Datenschutzvereinbarung. Wichtig: Jede Website, auch die private Website braucht eine Datenschutzerklärung, denn allein durch den Aufruf der Website werden personen-bezogene Daten verarbeitet. Dies deshalb, weil eine Entscheidung des EUGH nun auch die dynamischen IP Adressen als personen-bezogene Daten im Sinne des Datenschutzes anerkennt.

ELEPHANT PARK: Was muss datenschutzrechtlich bei Newsletter-Adressen berücksichtigt werden?

MICHAEL VOGELBACHER: Hier gilt der Grundsatz vom Verbot mit Erlaubnisvorbehalt (§ 4 I BDSG) D.h. Wenn es keine Erlaubnisnorm gibt, die die Verarbeitung gestattet, darf eine Verarbeitung nur mit Einwilligung des Betroffenen erfolgen. Beim Newsletter kommt zusätzlich 7 II Nr. 3 UWG ins Spiel, der den Tatbestand der belästigenden Werbung bei elektronischer Post umfasst. Zudem ist natürlich bei der Abfrage von Daten das Prinzip der Datensparsamkeit / § 3a BDSG zu beachten, wonach nur die Daten abgefragt werden dürfen, die zur Umsetzung des Zwecks notwendig sind. Und selbstverständlich muss auch in der Datenschutzerklärung das Thema Newsletter aufgenommen werden.

ELEPHANT PARK: Wann müssen Daten von Kunden und Geschäftspartnern gelöscht werden?

MICHAEL VOGELBACHER: Auch hier gilt natürlich der Erlaubnisvorbehaltsgrundsatz. Die Frage ist aber abhängig auch von anderen Vorschriften, die teilweise eine Aufbewahrungsfrist vorsehen. So z.B. das Handelsgesetzbuch zusammen mit der Abgabenordnung, das 10 Jahre bei Eingangs- und Ausgangsrechnungen vorsieht. Nach § 28 Abs. 1 Nr. 1 BDSG muss das Erheben, Speichern und Verändern von Daten eines Betroffenen erforderlich sein. Dies ist z.B. dann der Fall, wenn Sie einen Vertrag mit dem Kunden schließen, dann müssen Sie auch wissen wohin Sie die Ware schicken müssen. § 35 BDSG normiert dann, ab wann die Daten zu berichtigen oder zu löschen sind. Wenn der Vertrag abgeschlossen und auch keine weiteren nachvertraglichen Ansprüche geltend gemacht werden können, sind die Daten zu löschen.  Die EU DSGVO hat die Betroffenenrechte in den §§ 12-23 noch weiter ausgestaltet. Zukünftig wird man ein Löschkonzept brauchen, denn die Strafen, die einen ereilen können, wenn man einem Löschverlangen nicht nachkommt liegen bei 4 % des Jahresumsatz oder 20 Mio € für das Unternehmen, je nachdem was günstiger für das Unternehmen ist.