Vor drei Wochen, am 25. Mai 2018, war es soweit: Die EU Datenschutz-Grundverordnung, kurz „EU DSGVO “, trat offiziell in Kraft*. Seit gefühlt einem Jahr ist dieses Thema in Medien, Newslettern und Ratgeberartikeln omnipräsent – während der letzten Wochen mit praktisch penetranter Intensität. Für viele sinnbildlich das Damokles-Schwert 2018, skizzieren wir in diesem Blogbeitrag die maßgeblichen Auswirkungen auf die Kommunikationsbranche sowie auf unsere PR-Arbeit.
DSGVO Start: Was verbirgt sich dahinter?
Die neue EU DSGVO (Englisch: GDPR – General Data Protection Regulation) hat das generelle Ziel, das Datenschutzniveau innerhalb aller Länder der Europäischen Union auf einen einheitlich hohen Standard zu setzen. Im Kern betrifft dies umfassende Bestimmungen rund um alle technischen und organisatorischen Prozesse für die Verarbeitung personenbezogener Daten…
A) zur Regulierung für die professionelle Datenverarbeitung von Unternehmen. Und dies…
B) zum Schutz von Betroffenen (Verbrauchern / Konsumenten).
Aber kommt einem dies nicht irgendwie schon bekannt vor? Ja, denn in Deutschland galten bis dato bereits ähnlich strenge Bestimmungen hinsichtlich Transparenz und Sorgfaltspflicht im Umgang mit personenbezogenen Daten im Rahmen des Bundesdatenschutzgesetzes / §11 BDSG. Alle im Bundesgebiet tätigen Unternehmen sollten also dem Start der neuen, EU-weiten Datenschutz-Grundverordnung einigermaßen gelassen entgegenblicken – eigentlich!
Wären da nicht die für die EU typischen, immensen Formalien als erheblicher Aufwand on-top: Denn neben vergleichsweise „ein paar wenigen“ noch strengeren Regularien in Bezug auf Datenerhebung und -umgang, ist die wohl größte Herausforderung für deutsche Unternehmen die Bewältigung von mehreren hunderte Seiten umfassenden Dokumentationspflichten.
Und noch etwas scheint gravierend neu im Zuge der EU DSGVO: Um kriminelle Datenschutzverletzungen wie jüngst à la Cambridge Analytica & Facebook zu unterbinden, drohen künftig deutlich empfindlichere Bußgeldstrafen. Bei Rechtsverletzungen können diese bis zu 20 Mio. Euro bzw. 4 Prozent des weltweit erzielten Jahresumsatzes betragen.
*Ach ja, und offiziell in Kraft getreten ist die EU DSGVO bereits vor genau zwei Jahren, am 24. Mai 2016. Seit dem 25. Mai 2018 sind die umfangreichen DSGVO Vorschriften konkret in der Praxis anzuwenden und verpflichtend!
Aber zurück zum Kern. Gehen wir jetzt auf die tatsächlichen Neuerungen ein, die sich im Zuge der anzuwendenden Verordnung ergeben, sowie auf deren Bedeutung für die Kommunikationsbranche und unsere tägliche Arbeit als PR-Agentur.
Wie verändert die DSGVO unsere PR-Arbeit?
Was sind also zunächst maßgeblich betroffene, zu schützende personenbezogene Daten?
Im Prinzip alle Daten, die zu einer direkten oder indirekten Identifizierung einer Person beitragen, zum Beispiel:
- Name / Adresse/ Telefonnummer
- E-Mail Adresse
- Geburtsdatum
- Profilbild
- Kontodaten
Ebenso zählen dazu:
- Nutzernamen in Social Media Profilen
- IP-Adressen oder
- Cookie-IDs
Hauptaugenmerk liegt in unserer Arbeit demnach – wie bisher – auf dem transparenten und sorgfältigen Umgang mit dem Presse-/Medienverteiler. Dabei stellt die DSGVO aber neu folgende Punkte in den Fokus:
„Einwilligungserklärung“ & „berechtigtes Interesse“
Für eine rechtssichere Datenverarbeitung bedeutet dies für uns Kommunikationsprofis:
- Option 1: Journalisten haben der Agentur bzw. dem Kunden-Unternehmen die Einwilligung erteilt, Presse-Mailings zu erhalten bzw. dediziert kontaktiert / informiert zu werden und, um hierfür bestimmte autorisierte Daten sicher zu speichern. Dies muss nun in Form eines rechtskonformen Double-Opt-in Prozesses erfolgen, d.h. ein Journalist meldet sich beispielsweise über ein Online-Presseformular auf der Homepage der PR-Agentur offiziell an und bestätigt doppelt, dass er mit bestimmten Informationen versorgt werden möchte.
- Option 2: Die Agentur bzw. das Kunden-Unternehmen definiert ein „berechtigtes Interesse“, einzelne Personen zu adressieren. Dies könnte im PR-Kontext beispielsweise der Kommunikationszweck sein, einen Journalisten mit wichtigen Infos zu seinem Ressort-Thema zu versorgen.
Auskunftsrecht und das „Recht auf Vergessen werden“
Jeder Empfänger von Informationen hat nun auch ein offizielles Recht auf Auskunft zu den über ihn gespeicherten Daten. Dies reicht von sämtlichen Kategorien seiner personenbezogenen Daten über deren Verarbeitungszweck bis hin zur Herkunft der Daten und die Dauer der Speicherung.
Zudem sollte ein Medienvertreter jederzeit die PR-Agentur auf verschiedenen Wegen kontaktieren können, um seine gegebene Einwilligung zu widerrufen. Obendrein kann das „Recht auf Vergessen werden“ geltend gemacht werden. Dies bedeutet, Betroffene können die sofortige Löschung ihrer gespeicherten Daten einfordern – alles natürlich doppelt abgesichert und dokumentiert über ein Double Opt-out Verfahren. Um eine Rechtsverletzung zu vermeiden, obliegt es künftig uns PR-Agenturen, noch intensivere Datenpflege und Qualitätssicherung rund um den Datenbestand zu betreiben.
Sichere, zentrale Datenhaltung und geschütztes Handling
In diesem Kontext ist es nun noch wichtiger, eine sichere, idealerweise zentrale Datenspeicherung im Unternehmen zu gewährleisten. Das heißt: Die Tage von separat gepflegten Excel Charts, und diffus verteilten Speicherorten für Presse-/Medienverteiler-Daten sind endgültig passé. Eine zentrale und zugangsbeschränkte/-geschützte Datenhaltung sichert das einfache Pflegen und Löschen – check.
Gleiches gilt für den geschützten und idealerweise verschlüsselten / passwortschützten Austausch von personenbezogenen Daten mit Dritten bzw. die entsprechende Absicherung aller involvierten Endgeräte innerhalb der Agentur-Infrastruktur.
Geschärftes & manifestiertes DSGVO Bewusstsein bei Dritten
Ebenso muss sichergestellt sein, dass nicht nur die eigenen Mitarbeiter umfassend zur EU DSGVO und zu datensensiblen Aspekten geschult wurden. Vielmehr ist es zudem notwendig, auch bei allen relevanten Dritten wie Partnerunternehmen, Sub-Dienstleistern und Freelancern, die Zugriff auf personenbezogene Daten der der PR-Agentur haben könnten, das Bewusstsein zu schärfen. Hierfür sollte ein Pool mit Auftragsverarbeiter-Vereinbarungen unter Dach und Fach sein. Nicht zuletzt regeln ab sofort so genannte Joint Control Verträge zwischen PR-Agentur und Kunden-Unternehmen die gemeinsame Auftragsdatenverarbeitung. Hierzu zählen etwa die rechtskonforme Pflege, Weiterentwicklung, Löschung und der gesicherte Austausch personenbezogener Daten.
Transparenzgrundsatz & Datenschutzerklärung Up-to-Date
Wie erwähnt, hat absolute Transparenz bei der Datenerhebung im Zuge der neuen EU-Verordnung oberste Priorität. In diesem Sinne sollte die eigene Homepage als Informations- und Content-Hub ebenso DSGVO-konform sein. Dies reicht von aktuellen Cookie Banner Hinweisen, die einem unkontrollierten Daten-Tracking Einhalt gebieten, über ebenso Tracking-abgesicherte Social Media Icons auf Inhaltsseiten der Homepage bis hin zu einer aktualisierten Datenschutzerklärung.
Datenschutzbeauftragter – selbstverständlich!
Last but not Least, schreibt die neue EU DSGVO die Benennung eines betrieblichen Datenschutzbeauftragten vor. Kein Problem, denn bei Flutlicht wacht bereits seit 2013 ein solcher über alle rechtlichen Pflichten des bislang eh schon im internationalen Vergleich strengen Bundesdatenschutzgesetzes (BDSG). Seit gut einem halben Jahr bereiten wir uns mit unserem Datenschutzbeauftragten auf die nun bevorstehenden DSGVO Richtlinien vor. Dieser wird auch künftig mit wachem Auge deren Einhaltung und den rechtssicheren Umgang mit personenbezogenen Daten in unserer Agentur kontrollieren.
Fazit
Alles in allem bedeutet die neue EU DSGVO für uns als PR-Agentur also ein gewisses Paket an Mehrarbeit und zusätzlichen Aufwand – insbesondere mit Blick auf rechtskonformes, sicheres Presseverteiler Handling. Dies ist allerdings nur die Spitze des Eisbergs. Denn der wahre DSGVO Workload liegt in …
- der umfassenden Dokumentation aller dazugehörigen technischen und organisatorischen Prozesse innerhalb der gesamten Agentur Infrastruktur
- der erweiterten Schulung und Aufklärung des Agentur Teams
- dem rechtskonformen Zusammenspiel mit Kunden und so genannten Dritten. Hierzu zählen etwa eventuell involvierte Partner der Agentur oder Freelancer, die mit personenbezogenen Daten in Kontakt kommen könnten.
Wir sind soweit gewappnet und beobachten seither, wie sich die neuen Regularien auf das Tagesgeschäft einer PR-Agentur sowie generell auf die Kommunikationsbranche real weiter auswirken werden und wo erste Abmahnfallen lauern. Das Thema wird uns also in den kommenden Monaten noch „etwas“ beschäftigen – wir halten Dich auf dem Laufenden!
Auch interessant:
DSGVO „Fünf vor Zwölf Checkliste“
DSGVO: Praxischeck statt Panikmache
DSGVO: Erdbeben oder Sturm im Wasserglas?
DSGVO – Was ändert sich für Onlinewerbung?
Trackbacks