Datenschutz für Agenturen
Dieser Beitrag richtet – in erster Linie an dich, wenn du Inhaber oder Mitarbeiter einer Agentur bist und das Thema Datenschutz auf dem Tisch hast. Als Agentur verstehe ich in erster Linie Digitalagenturen, also Agenturen, die Webseiten erstellen, digitales Marketing für Kunden machen oder Software und Apps erstellen.
Für deine Agentur wird das Thema Datenschutz in zwei großen Bereichen relevant. Als Unternehmen muss deine Agentur einerseits die datenschutzrechtlichen Vorgaben für die eigenen Prozesse beachten. Das sind z. B. der Datenschutz auf der eigenen Webseite, Datenverarbeitung durch die Personalabteilung, Marketingmaßnahmen oder Auskunftsanfragen von ehemaligen Mitarbeitern oder Dritten. Andererseits berühren vermutlich vieler deiner Leistungen, die du für deine Kunden erbringst, das Thema Datenschutz, z. B., wenn du Webseiten für deine Kunden baust, Newsletter-Kampagnen aufsetzt oder individuelle Software herstellst. In diesem Beitrag gebe ich dir einen Überblick, welche Themen, für die relevant sein können und was passieren kann, wenn man nicht aufpasst.
Datenschutz in deiner Agentur
Ganz unabhängig davon, welche Leistungen deine Agentur für Kunden erbringt, musst du natürlich auch die datenschutzrechtlichen Vorgaben für deine eigenen Prozesse beachten. Hier bist du oder genau genommen deine Agentur Verantwortlicher im Sinne der DSGVO.
Das Ganze geht los beim Führen eines Verarbeitungsverzeichnisses. Das ist gewissermaßen der Grundstein deines Datenschutz-Managements. Dort finden sich alle Tätigkeiten, bei denen du personenbezogene Daten verarbeitest. Es gibt verschieden Mindestinhalte wie Zwecke der Verarbeitung oder eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die du für jede Tätigkeit aufnehmen musst.
Weiterhin musst du natürlich deine technischen und organisatorischen Maßnahmen im Blick haben. Diese müssen in Anbetracht des Einzelfalls angemessen sein. Dabei gilt, je mehr und sensibler die Daten sind, desto besser müssen diese geschützt sein.
Dich treffen Informationspflichten. Dabei musst du die betroffene Personen ausreichend über die Verarbeitung von personenbezogenen Daten informieren. Das gilt nicht nur für die Besucher deiner Webseite, sondern auch für deine Mitarbeiter und Ansprechpartner beim Kunden.
Außerdem musst du sicherstellen, dass deine Mitarbeiter personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen (also deiner Agentur) verarbeiten. Das geht am besten mit einer Verpflichtung der Mitarbeiter auf den Datenschutz.
Wenn du personenbezogene Daten durch Dritte verarbeiten lässt, musst du einen Auftragsverarbeitungsvertrag abschließen. Das ist in der Regel schon der Fall, wenn du deine Server bei einem Hoster betreibst.
Sobald du Daten nicht mehr benötigst, müssen diese in der Regel gelöscht werden. Ein Löschkonzept hilf dir, die notwendige Löschung von Daten im Auge zu behalten.
Wenn du sehr umfangreich personenbezogene Daten verarbeitest, muss du ggf. eine sogenannte Datenschutzfolgenabschätzung durchführen.
Und ab einer gewissen Größe wirst du auch um einen Datenschutzbeauftragten nicht mehr herumkommen. Die magische Grenze ist erreicht, wenn sich in deiner Agentur mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Sollte es zu einer Datenpanne kommen, besteht u.U. die Pflicht zur Meldung bei der Aufsichtsbehörde.
Das sind nur einige Punkte, die du bei deiner Datenschutz-Compliance berücksichtigen musst. Dass du das alles im Rahmen deiner Rechenschaftspflicht ordentlich dokumentieren musst, ist dabei selbstverständlich.
Datenschutz bei deinen Dienstleistungen
Und weil das alles noch nicht genug ist, wird das Thema Datenschutz auch noch relevant bei den Leistungen, die du für deine Kunden erbringst. Hier geht es nicht nur um die Verarbeitung von personenbezogene Daten durch deine Agentur, sondern auch um Haftung.
Personenbezogene Daten, die du im Auftrag deiner Kunden verarbeitest
Bei einer Vielzahl von Leistungen für deine Kunden kommst du vermutlich mit personenbezogenen Daten in Kontakt. Wenn du hier Daten verarbeitest, kann eine sogenannte Auftragsverarbeitung vorliegen. Du bist in diesem Fall der Auftragsverarbeiter für deinen Kunden und dein Kunde ist Verantwortlicher im Sinne des Datenschutzes. Hier sind viele Beispiele denkbar.
Wenn du für deine Kunden Webseiten erstellst oder wartest, siehst du eventuell Nutzerrollen im Backend der Seite. Name und E-Mail-Adresse sind personenbezogene Daten. Je nachdem, was du für deinen Kunden machst, kann darin eine Auftragsverarbeitung liegen. Wenn du diese Daten nur einsehen kannst, wird vermutlich noch keine Verarbeitung vorliegen. Aber auch das ist schon umstritten. Spätestens, wenn du Nutzerrollen erstellst oder änderst, liegt eine Auftragsverarbeitung vor. Gleiches gilt, wenn andere personenbezogene Daten im Backend einpflegst.
Eine Auftragsverarbeitung liegt in der Regel auch vor, wenn du Leistungen im Bereich Social Media für deinen Kunden erbringst. Die Interaktion über Kommentare oder das Erstellen und Verwalten von Postings kann eine Verarbeitung von personenbezogene Daten sein.
Wenn du Newsletter-Kampagnen für deinen Kunden erstellst und dabei auch mit den E-Mail-Adressen der Empfänger arbeitest, liegt ebenso eine Auftragsverarbeitung vor.
Das sind nur einige Beispiele. Immer dann, wenn du Daten deiner Kunden, in deren wirtschaftlichen Interesse verarbeitest, liegt eine Auftragsverarbeitung vor.
Falls du solche Daten auch in eigenem Interesse verarbeitest, kann sogar eine sogenannte gemeinsame Verantwortung vorliegen.
Haftung für Datenschutz
Unabhängig von der Frage, ob du in deiner Agentur selbst personenbezogene Daten deines Kunden verarbeitest, geht es darum, ob die von dir erbrachte Leistung aus Sicht des Datenschutzes mangelfrei ist. Kurz gesagt, kann eine erbrachte Leistung, die nicht datenschutzkonform ist, ein Mangel sein. In diesem Fall haftest du, genauer gesagt deine Agentur u.U. auf Schadensersatz oder ihr müsst zumindest den Mangel beseitigen.
Pflicht zur Beratung
Nehmen wir einmal an, dass du für deinen Kunden eine Webseite baust. Dort empfiehlst du deinem Kunden ein bestimmtes Plug-in und bindest dieses ein. Das Plug-in ist aber tatsächlich datenschutzrechtlich nicht unbedenklich. Hier hast du u.U. die Pflicht, deinen Kunden auf diesen Umstand hinzuweisen. Oder du bist SEO-Spezialist und sollst für deinen Kunden Google Analytics einrichten. Du weisst natürlich, dass Tracking fast nur mit Einwilligung geht. Dein Kunde hat dieses Thema nicht auf dem Schirm. Nichts anderes gilt, wenn du für deinen Kunden eine Newsletter-Kampagne betreiben sollst und dir dein Kunde eine Liste mit 100.000 E-Mails gibt, die er aus dem Netzt zusammenkopiert hat. Dass das nicht geht, weisst du natürlich. Dann musst du es dem Kunden auch sagen.
Dabei geht es in den meisten Fällen nicht um die eigentliche Leistung, sondern um die Beratung zu diesem Thema. Du musst selbstverständlich nicht die Rolle des Datenschutzbeauftragten für deinen Kunden übernehmen. Aber wenn du Probleme kennst, solltest du darauf hinweisen. Ggf. wird hier sogar eine entsprechende Beratung erwartet. Wenn dir etwas auffällt, weiße deinen Kunden daraufhin. AM besten schriftlich oder per E-Mail. Dann hast du es dokumentiert. Ob dein Kunde das Thema dann umsetzt oder nicht, ist nicht mehr in deiner Verantwortung.
Haftung für Produkt
Im Einzelfall kommt aber auch eine Haftung für die eigentliche Leistung in Betracht. Nehmen wir an, du programmierst eine Individualsoftware für deinen Kunden als SaaS-Lösung. Durch einen Bug besteht die Möglichkeit Daten aus der Software abzugreifen, die Datenbank ist mehr oder weniger frei zugänglich im Netz. Da wird unweigerlich die Frage aufkommen, ob die Software mangelfrei erstellt wurde. Bugs wird man nie ganz übersehen können. Aber du wirst die Haftung auch nie ganz ausschließen können. Das Ganze kannst du nur über die Leistungsbeschreibung regeln. Eine simple Formulierung, dass der Datenschutz durch dich nicht geschuldet ist, hilft hier vermutlich kaum. Besser wäre es, wenn du ggf. ein Sicherheitsaudit der Software mit als Leistung anbietest. Wenn der Kunde das nicht möchte, kannst du darauf hinweisen, dass dann auch nicht alle Punkte geklärt sind.
Leider sind hier viele Punkte noch völlig unklar. Es gibt wenig Rechtsprechung zu dem Thema, sodass man hier eher vorsichtiger sein sollte.
Bußgelder, Schadensersatz, Mängelgewährleistung
Ich spare mir hier die Floskel, dass dir bei einem Datenschutzverstoß bis zu 20 MIO. EUR Bußgeld drohen oder bis 5 % deinen weltweiten Konzernjahresumsatz, je nachdem, was höher ist. Ja, das ist die Obergrenze. In der Praxis wird dich das aber nicht treffen, wenn du nicht systematisch gegen datenschutzrechtliche Anforderungen verstößt. Dennoch können die Bußgelder empfindlich sein. Dabei ist ein einmaliger Fauxpas wahrscheinlich nicht das Problem. Aber sollte die Behörde in diesem Rahmen den Verdacht bekommen, dass dein Datenschutz ein strukturelles Thema ist, kann das natürlich unangenehme Folgen haben.
Unabhängig von Bußgeldern kannst du auf Schadensersatz haften. Die DSGVO sieht dabei erstmalig auch eine Haftung für einen sogenannten immateriellen Schaden vor. Das ist ein Schaden, der nicht anhand einer Vermögenseinbuße beziffert werden kann. Man spricht hier oft auch von Schmerzensgeld. Der EuGH hat hier mittlerweile klargestellt, dass nicht schon der reine Verstoß einen Schadensersatz auslöst, sondern ein Schaden auch wirklich eintreten muss. Das kann insbesondere bei immateriellen Schäden schwer sein. Oftmals geht es hier um Stress, den die betroffene Person aufgrund des Datenschutzverstoßes erleiden musste. Das Thema wird aber sicher nicht ganz vom Tisch sein.
Letztlich kommt auch noch die Mängelgewährleistung in Betracht, wenn du ein aus Sicht des Datenschutzes mangelhaftes Produkt lieferst. Das ist im besten Fall nervig. Wirklich unangenehm wird es, wenn du den Mangel gar nicht beseitigen kannst, weil es z. B. kein anderes Plug-in gibt. Wenn genau die Leistung dieses Plug-ins für deinen Kunden zentraler Bestandteil ist, kann das bis zum Rücktritt vom Vertrag führen. Hier solltest du also bereits bei Vertragsschluss sehr genau klarstellen, was deine Leistung ist und was nicht.
Datenschutz für Agenturen – Fazit
Wie du siehst, gibt es einige Punkte, die du beim Thema Datenschutz in deiner Agentur beachten solltest. Dabei sind die internen Prozesse nur ein Baustein, um den du dich kümmern musst. Als Agentur haftest du ggf. auch für eine falsche Beratung oder für ein Produkt, das datenschutzrechtlich nicht sauber ist.