Wie und Wo Datenschutz anwenden?

Datenschutz für Verlage

Bald kommt die DSGVO und mit Ihr umfangreiche Pflichten zum Datenschutz, die auch Verlage empfindlich treffen können. Lesen Sie hier wie Sie ein Datenschutz-Management in Ihrem Verlag umsetzen. Am Ende des Artikels finden Sie noch eine Checkliste mit der Sie überprüfen können wie gut Ihr Unternehmen in Sachen Datenschutz aufgestellt ist.

Lesezeit ca. 15 Minunten

Ab dem 25. Mai 2018 muss die Europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland angewandt werden. Verstöße gegen diese Regelungen können mit empfindlichen Strafen geahndet werden. Ordnungsgelder, die durch Aufsichtsbehörden verhängt werden,  können bis zu 20 Millionen Euro reichen. Landesdatenschutzbehörden und Verbraucherschutzverbände besitzen ein Klagerecht, um hier aktiv zu werden.

Auch wenn die Strafen empfindlich wirken –  wenn Sie Ihre Hausaufgaben in Punkto Datenschutz gemacht haben, sind Sie auf der sicheren Seite. Es wird nicht verlangt, das gesamte Unternehmen datenschutzkonform nach einem starren Muster auf den Kopf zu stellen. Aber von jedem Unternehmen wird nun gefordert, nach den eigenen Verhältnissen ein passendes Datenschutzmanagementsystem zu etablieren.

Disclaimer: Dieser Artikel dient zu Informationszwecken und ist ausdrücklich nicht als rechtliche Beratung zu verstehen. Die juni.com GmbH übernimmt keinerlei Haftung für die Richtigkeit und Vollständigkeit der dargelegten Informationen. Aufgrund der umfangreichen Materie sind die vorliegenden Unterlagen nicht erschöpfend. Die folgenden Ausführungen sollen Ihnen dabei helfen, einen ersten Einblick in den Datenschutz und die damit verbundenen rechtlichen Herausforderungen zu erhalten, um daraus die ersten Schritte zur Umsetzung für Ihr Unternehmen zu entwickeln.  Bei den Detailfragen sollten Sie auf einen ausgebildeten Datenschutzbeauftragten oder auf einen auf Datenschutzrecht spezialisierten Rechtsanwalt zurückgreifen. Auch wir von juni.com bieten ein umfangreiches Beratungsangebot zum Thema Datenschutz im Rahmen von Softwareanwendungen an.

Warum eigentlich Datenschutz?

Persönliche Daten verraten viel über einen Menschen. Vielleicht viel mehr als die Öffentlichkeit oder unbekannte Dritte wissen sollten. Daten gelten als das Erdöl des 21. Jahrhunderts, entsprechend steht hinter Daten ein beachtlicher wirtschaftlicher Wert. Findige Geschäftsleute, die wertvolle Daten ohne den Willen der betroffenen Personen sammeln, mögen raffinierte Geschäftsmodelle daraus entwickeln, agieren ethisch aber zweifelhaft. Neben den wirtschaftlich auswertbaren Daten ist der Missbrauch von solchen, die Rückschlüsse auf politische und religiöse Überzeugungen oder sexuelle Vorlieben und gesundheitliche Situationen zulassen, für eine demokratische und pluralisierte Gesellschaft eine große Gefahr. Diskriminierungen im großen Stil wären anhand einer Erhebung jener Daten möglich. Heute sind Big Data-Systeme schon so weit entwickelt, dass nicht einmal sensible Daten im Detail erhoben werden müssen, um Rückschlüsse zuzulassen. Mustererkennungen bei verschiedensten, weniger sensiblen Daten macht dies möglich. Datenschutz bedeutet, dem Konzept des gläsernen Menschen vorzubeugen, staatliche und privatwirtschaftliche Überwachungsmaßnahmen zu beschränken und letztendlich das Machtungleichgewicht zwischen großen Organisationen und dem Individuum herzustellen. Datenschutz wird nicht selten als Menschenrecht gefordert. Jede und jeder soll selbst entscheiden dürfen, welche ihrer und seiner Daten wie verwendet werden.

Wir, als wirtschaftliche Akteure in der Medien- und Verlagsbranche, stehen dabei in einem Dilemma. Einerseits wollen wir für unsere Geschäftsmodelle selbst so viele Daten wie möglich sammeln und nutzen, auf der anderen Seite ist jeder von uns persönlich betroffen. Umso mehr sollten wir Wert darauf legen, die gesetzlichen Anforderungen einzuhalten und im Rahmen des rechtlich Erlaubten zu operieren.

Begriffe im Datenschutz

Datenschutz: Datenschutz sind organisatorische und technische Maßnahmen gegen den Missbrauch von Daten.

Personenbezogene Daten: Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Betroffener: Ein Betroffener ist ein Mensch, dessen Daten verarbeitet werden oder wurden.

Verarbeiter: Ein Verarbeiter ist das Unternehmen, das die Daten verarbeitet oder verarbeitete.

Auftragsverarbeiter: Ein Auftragsverarbeiter ist ein Dritter, der für einen Verarbeiter als Dienstleister Daten verarbeitet.

Sensible Daten: Sensible Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben. Auch Daten, die Kinder betreffen, sind als sensible Daten zu werten.

Die 6 Gebote des Datenschutzes

Die folgenden “6 Gebote des Datenschutzes” fassen die wichtigsten Regelungen aus der DSGVO zusammen.

1. Gebot: Verbot mit Erlaubnisvorbehalt

Prinzipiell ist jede Datenverarbeitung zunächst verboten. Ausnahmen bestehen bei  Einwilligung des Betroffenen und/oder einer gesetzlichen Erlaubnis.

Die Rechtmäßigkeit der Datenverarbeitung liegt vor bei:

  • der Einwilligung des Betroffenen
  • der Erfüllung eines Vertrags, vorvertraglichen Maßnahmen, Anfragen
  • der Erfüllung einer rechtlichen Verpflichtung
  • lebenswichtigen Interessen
  • öffentlichem Interesse
  • berechtigtem Interesse des Unternehmens

Ein lebenswichtiges oder öffentliches Interesse sollte in Geschäftsfeldern der Medien- und Verlagsbranche irrelevant sein. Deutlich wichtiger ist hier, was unter einem berechtigten Interesse des Unternehmens aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO zu verstehen ist. Eine Vielzahl von Datenverarbeitungen könnten unter diesen Punkt fallen. Denkbar sind hier vor allem Datenverarbeitungen im Rahmen von Marketing- oder Vertriebsaktivitäten. Wenn eine Datenverarbeitung im Rahmen eines berechtigtem Interesse passiert, hat dies den großen Vorteil, dass dafür keine separate Einwilligung nötig ist.

Weiter unten finden Sie einen umfangreichen Abschnitt, der sich genauer mit Einwilligungen und dem berechtigtem Interesse auseinandersetzt.

2. Gebot: Datensparsamkeit

Nur die Daten, die wirklich benötigt werden, dürfen erhoben werden. Eine Datenverarbeitung muss entsprechend ihrem Zweck angemessen sein. Daten, die erhoben werden, müssen für das Ziel relevant sein und auf das notwendige Maß beschränkt werden.

3. Gebot: Zweckbindung

Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Sollte der Zweck wegfallen oder erreicht werden, müssen die Daten gelöscht werden.

4. Gebot: Datensicherheit

Es müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Das heißt, es müssen ausreichende Maßnahmen getroffen werden, sodass Unbefugte nicht auf die Daten zugreifen können. Das reicht von umfangreichen Schutzmaßnahmen gegen Hackerangriffe bis hin zu klaren Rollen- und Rechtekonzepten für die Mitarbeiter eines Unternehmens.

5. Gebot: Transparenz

Betroffene sollen wissen, welche Daten und zu welchem Zweck von Ihnen erhoben wurden. Darüber sollen sie bei der Erhebung informiert werden und haben später ein Auskunftsrecht.Betroffene können anfragen, ob und in welchem Umfang ihre Daten verarbeitet werden.

Betroffenen, deren Daten erhoben werden, müssen folgende Informationen bei der Erhebung mitgeteilt werden:

  • Zweck der Datenverarbeitung
  • Dauer der Speicherung der Daten
  • Regelungen zur Weitergabe von Daten an Dritte (auch Auftragsverarbeiter)
  • Regelungen zur Übermittlung in ein Drittland
  • Aufklärung über die Rechte (Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit)
  • die Rechtsgrundlage der Erhebung: Vertrag/Gesetz
  • Kontaktinformationen (auch des Datenschutzbeauftragten)
  • der Hinweis auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung (Profiling)

6. Gebot: Dokumentation

Es gilt nun, alle Informationen rund um Ihre Datenverarbeitung zu dokumentieren. Gewisse Dokumente und Verzeichnisse vorzuhalten ist Pflicht. Nachweise dazu können jederzeit von Aufsichtsbehörden gefordert werden.

Es ist nun umso wichtiger zu dokumentieren, welche personenbezogenen Daten ein Unternehmen verarbeitet, woher diese Daten kommen und an wen die Daten weitergegeben werden. Grund dafür ist die Beweislastumkehr in der DSGVO. Nach dieser muss ein Unternehmen darlegen, dass es sich rechtskonform verhalten hat.

Eine umfangreiche Dokumentation wird auch nötig sein, um Datenschutz-Zertifizierungen zu erhalten, die Unternehmen besondere Fähigkeiten und Prozesse im Datenschutz als eine Art Gütesiegel bescheinigen. Eine solche Zertifizierung kann entsprechend öffentlichkeitswirksam eingesetzt werden. Es ist aber auch vorstellbar, dass eine Zertifizierung über den Datenschutz für manche Geschäftspartner aus Compliance-Gründen Pflicht wird.

Folgende Dokumente sollten Sie führen, um umfassend Ihre Datenverarbeitung und die datenschutzrechtlichen Grundlagen-Entscheidungen Ihres Unternehmens zu dokumentieren.

Grundlagen:

  • Löschkonzept
  • IT-Sicherheitskonzept
  • Rechte- und Rollenkonzept
  • Löschfristenverzeichnis
  • Technische und organisatorische Maßnahmen

Dokumentation:

  • Datenschutz-Folgenabschätzung
  • Verfahrensverzeichnis
  • Löschungs-Protokoll
  • Einwilligungs-Protokoll
  • Vertragsmanagement
  • Verzeichnis aller Datenschutzvorfälle/-verstöße

 

Einführung eines Datenschutz-Managementsystems

Um den gesetzlichen Anforderungen Genüge zu tun, muss jedes Unternehmen ein Datenschutz-Managementsystem einführen. Dieses System beinhaltet:

  1. interne Datenschutz- und IT-Richtlinien

In entsprechenden Dokumenten werden Richtlinien zum Umgang mit Datenschutz und IT im Unternehmen festgehalten. Diese Richtlinien müssen den Mitarbeitern zugänglich sein und Vorgesetzte müssen die Einhaltung der Richtlinien überwachen.

  1. Datenschutz-Folgenabschätzungen

Datenverarbeitung, die sensible Daten betrifft oder die ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person beinhalten, muss im Vorfeld einer besonderen Datenschutz-Folgenabschätzung unterzogen werden. Diese ist relativ komplex und bezieht auch Wertungen aus den Grundrechten und den europäischen Grundfreiheiten ein. Eine solche Abschätzung sollte somit von entsprechend geschulten Datenschutzbeauftragten durchgeführt werden.

  1. regelmäßige Datenschutzschulungen der Mitarbeiter

Datenschutzmaßnahmen unterliegen der Gefahr, nach dem erstmaligen Erstellen der hier vorgestellten Richtlinien und Dokumentationen als bloße Theorie im Tagesgeschäft zu verstauben und vergessen zu werden. So werden nur die rechtlichen Anforderungen umgesetzt, das Konzept aber nicht firmenintern verinnerlicht. Nur durch regelmäßige Schulungen und Coachings aller Mitarbeiter, die mit Datenverarbeitung in Berührung kommen könnten, kann Datenschutz wirklich flächendeckend umgesetzt werden.

Der Datenschutzbeauftragte

Sollte Ihr Unternehmen zehn Mitarbeiter oder mehr beschäftigen, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten in Berührung kommen, müssen Sie einen Datenschutzbeauftragten benennen. Bei nicht automatisierter Datenverarbeitung liegt die Grenze bei 20 Mitarbeitern. In der Medien- und Verlagsbranche wird fast jeder Mitarbeiter in Form von E-Mails und Kundendaten in irgendeiner Form mit Datenverarbeitung in Kontakt kommen. Vermutlich werden nur sehr kleine Unternehmen ohne Datenschutzbeauftragten auskommen können. Der Datenschutzbeauftragte muss nicht zwangsläufig ein interner Mitarbeiter sein. Es kann ein externer Dienstleister eingesetzt werden. Der Datenschutzbeauftragte ist dafür verantwortlich, dass die Regelungen des Datenschutzes im Unternehmen eingehalten und diese rechtssicher dokumentiert werden. Der Datenschutzbeauftragte sollte dazu ausgebildet sein, die oben genannten Dokumente zu erstellen und zu pflegen. Die Eigenschaften eines Datenschutzbeauftragten sind Fachkunde, Einblick in Prozesse und eine hervorragende Kommunikationsfähigkeiten.

Die Aufgaben des Datenschutzbeauftragten im Detail variieren je nach individueller Datenverarbeitung eines Unternehmens. Der Datenschutzbeauftragte nimmt vor allem Beratungs- und Überwachungsaufgaben wahr, hat  aber keine Weisungsbefugnis im Unternehmen. Sollten Datenschutz-Verstöße im Unternehmen vorsätzlich oder fahrlässig begangen worden sein, muss der Datenschutzbeauftragte diese an die Aufsichtsbehörden melden.

In jedem Fall muss der Datenschutzbeauftragte Kenntnisse der Datenschutzgesetze haben und die Datenverarbeitung des Unternehmens überwachen sowie Reports und Analysen erstellen. Ein Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Auch die Schulung der restlichen Mitarbeiter in Datenschutzfragen gehört zu seinen Aufgaben.

Entsprechende Zertifizierungen für Mitarbeiter können bei kommerziellen Anbietern erworben werden. Zwingend sind solche Zertifizierungen nicht nötig, wenn der Mitarbarbeiter die nötigen Expertenkenntnisse besitzt.

Es dürfen keine Interessenkonflikte zur üblichen Tätigkeit des Datenschutzfragen entstehen. Leiter von IT- oder Personal-Abteilungen werden somit eher nicht in Frage kommen.

Aufgrund der Tätigkeit des Datenschutzbeauftragten ergeben sich für diesen auch einige Haftungsrisiken. Er haftet für eigene Fehler und fehlerhaft ausgeführte Schulungen. Durch den sogenannten „innerbetrieblichen Schadensausgleich“ wird der Haftungsschaden jedoch in der Regel auf das Unternehmen umgewälzt. Tatsächlich privat haften müsste der Datenschutzbeauftragte nur bei wirklich groben Fehlern.

Damit der Datenschutzbeauftragte möglichst abgesichert ist, zählt, dass er in regelmäßigen Fortbildungen sein Wissen auf dem neuesten Stand hält, eine Berufshaftpflichtversicherung abgeschlossen wird und dass der Arbeitgeber ihn für die gewissenhafte Bearbeitung seiner Aufgaben von seinen sonstigen Tätigkeiten freistellt.

Die Verantwortung für die gesetzeskonforme Anwendung des Datenschutzes im Unternehmen liegt trotz Datenschutzbeauftragtem weiter bei der Geschäftsführung.

Die Einwilligung zur Datenverarbeitung und berechtigte Interessen

Wie bereits oben erwähnt, darf eine Datenverarbeitung nur dann getätigt werden, wenn der Betroffene eingewilligt hat oder eine gesetzliche Erlaubnis für diese Art der Datenverarbeitung benannt ist. Zu letzterem gehört die Datenverarbeitung auf Grundlage von berechtigtem Interesse. Weil hierfür keine Einwilligung des Berechtigten nötig ist, ist diese Grundlage in der Praxis besonders interessant. Damit auf dieser Grundlage eine Verarbeitung erlaubt ist, muss im Vorfeld eine relativ komplexe Interessenabwägung durchgeführt werden. Diese sollte von einem entsprechend geschulten Datenschutzbeauftragten erstellt werden. Es geht um das Abwägen des Unternehmensinteresses gegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

Sollte eine betroffene Person bereits Kunde bei Ihnen sein, spricht dies zum Beispiel dafür, dass hier berechtigte Interessen vorliegen und sie die Daten für Marketingzwecken auch weiterverarbeiten dürfen. Das Interesse von Verbrauchern, nicht von Telefon- und Fax-Direktwerbung belästigt zu werden, überwiegt hingegen. Auch beim Weiterverkauf von Daten oder der Weiterverwendung von Daten nach einem Gewinnspiel sind zwingend Einwilligungen nötig.

Postalisches Marketing

Wenn Sie Direktwerbung an Verbraucher ohne Einwilligung per Post versenden wollen, müssen folgende Bedingungen vorliegen:

  • der Betroffene muss ein Bestandskunde sein
  • die Werbung muss für ähnliche Waren erfolgen
  • der Betroffene hat keinen Widerspruch eingelegt
  • bei Erhebung der Daten muss ein deutlicher Hinweis auf das Widerspruchsrecht erfolgen

In der Regel werden jedoch Einwilligungen nötig sein. Um wirklich rechtssicher zu sein, ergibt es durchaus Sinn, auch dann Einwilligungen einzuholen, wenn dies nicht unbedingt nötig ist.

Mindestanforderungen an Einwilligungen sind:

  • Der Berechtigte muss eine bewusste und eindeutige Handlung zur Einwilligung getätigt haben.
  • Der Inhalt der Einwilligungserklärung muss jederzeit abrufbar sein. Der Zweck muss hinreichend beschrieben sein.
  • Die Einwilligung muss protokolliert werden (z.B. in einer CRM-Software wie open.junixx.FM)
  • Es muss auf eine jederzeitige Widerrufsmöglichkeit hingewiesen werden.
  • Weiterhin sinnvoll: Eine gesonderte Bitte zur Kenntnisnahme der Datenschutzerklärung.

E-Mail-Marketing

Auch E-Mail-Marketing benötigt die Einwilligung der Betroffenen. Hier sind zum einen besondere Anforderungen an die E-Mail-Marketingsoftware zu stellen. Der Serverstandort des Anbieters befindet sich im Idealfall in Deutschland oder in der EU. Ansonsten muss der Anbieter nach dem US-EU-Datenschutzabkommen „Privacy Shield“ zertifiziert sein und sich verpflichten, die EU-Datenschutzvorgaben einzuhalten. Eine Datenschutz-Zertifizierung des Dienstleisters ist in jedem Fall Pflicht.

Zum anderen gelten für die Anmeldung zu Newslettern weitere Vorschriften. Die Anmeldung muss über ein sogenanntes Double-Opt-in-Verfahren erfolgen. Dieses Verfahren muss werbefrei gestaltet sein. Der Zweck des Newsletters muss im Formular erwähnt werden. Es muss einen Hinweis auf die Datenschutzerklärung in der Einwilligung geben. Die Verwendung des externen Mail-Dienstleisters muss in der Datenschutzerklärung aufgeführt werden. Auch gilt mit der DSGVO ein Kopplungsverbot. Das heißt, ein Vertragsschluss darf nicht vom Newsletter-Abo abhängig sein.

Umgang mit Bestandskunden

Sicher fragen Sie sich schon, wie die Lage für Ihre Bestandskunden ist, von denen Sie vermutlich noch keine Einwilligung nach der DSGVO abgeschlossen haben. Hier ist die rechtliche Lage zur Zeit noch etwas unklar und eine Klarstellung durch die Aufsichtsbehörden wäre wünschenswert. Voraussichtlich lässt sich die Problematik allerdings über das ältere Gesetz BDSG lösen. Hier war nach § 28 Abs. 3 BDSG auch schon eine Einwilligung nötig. Wenn alte Einwilligungen den neuen Bedingungen der DSGVO entsprechen, können diese voraussichtlich übernommen werden. Zweckänderungen brauchen aber gegebenenfalls eine neue Einwilligung. Sollten überhaupt keine Einwilligungen vorliegen, müssen sie diese wohl oder übel nachträglich einholen. Unter Umständen hilft Ihnen hier aber auch das berechtigte Interesse aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO weiter, sodass auf Einwilligungen verzichtet werden kann. Weil die Lage bei Bestandskunden besonders unklar ist, ist Ihnen eine Beratung durch einen fachkundigen Experten für Ihren Einzelfall hier besonders ans Herz gelegt.

Partnerunternehmen / Subunternehmen

Sollten Daten, die Ihr Unternehmen erhoben hat, nicht nur bei Ihnen im Haus verarbeitet werden und Sie externe Dienstleister nutzen, die mit den Daten in Kontakt kommen, ist mit diesen nach Art. 28, 32 DSGVO ein sogenannter Vertrag zur Auftragsverarbeitung nötig. Dieser regelt neben dem Hauptvertrag der externen Dienstleistung die Rechten und Pflichten in Sachen Datenschutz zwischen Ihren Unternehmen und Ihrem Dienstleister. Ein solcher Vertrag ist schon nötig, wenn Sie ein Mailing über einen Lettershop abwickeln und dort Ihre Kundendaten abliefern.

Datenlöschung

Daten müssen sofort und völlig rückstandslos gelöscht werden, wenn dies der Betroffene verlangt. Ein Verarbeiter sollte ein unternehmensweit gültiges Löschkonzept haben. Dieses kann sehr gut durch Funktionen in einer Software dargestellt werden. Schriftlich ausformuliert muss es aber trotzdem vorliegen.

Daten, die nach dem Gesetz vorgehalten werden müssen (z.B. für die Buchhaltung), dürfen nicht gelöscht werden. Allerdings dürfen diese für keinen anderen Zweck als für die Buchhaltung verwendet werden.

Datenportabilität

Gespeicherte, personenbezogene Daten müssen vom Betroffenen jederzeit abrufbar sein.

Jene Daten müssen an ein anderes Unternehmen gesendet werden können, beispielsweise über eine sichere API. Die Daten müssen strukturiert und in gängigen und maschinenlesbaren Formaten abrufbar und versendbar sein.

Fazit

Das Thema Datenschutz ist sicher komplex, doch auch kleinere Unternehmen können die Anforderungen mit vertretbarem Aufwand meistern, wenn man sich eingehend mit der Materie beschäftigt. Sollten Sie noch Fragen haben, wenden Sie sich gerne an uns. Gerne unterstützen wir Sie dabei, Ihr Unternehmen in Sachen Datenschutz besser aufzustellen.

 

Laden Sie sich hier eine Checkliste herunter, mit welcher Sie überprüfen können wie gut Ihr Unternehmen schon für die DSGVO aufgestellt ist:

Download Datenschutz Checkliste