Datenschutz für Agenturen

Datenschutz für Agenturen und WordPress Entwickler:innen

Die digitale Markterschließung ist für Unternehmen und Selbstständige kein neues Thema. Leider kann man das über den Datenschutz für Agenturen nicht unbedingt behaupten. Was müssen Agenturen und FreiberuflerInnen datenschutzrechtlich berücksichtigen? Und wie sieht es bei WordPress mit der Auftragsverarbeitung aus? Eine Übersicht.

Die Datenschutz-Grundverordnung (DSGVO) ist schon fast 2 Jahre in Kraft – sie beschäftigt auch all jene, die im Umfeld von WordPress arbeiten. Das Thema Datenschutz existiert allerdings schon seit 1971. Zwischen Datenschutz und der verantwortungsvollen Digitalisierung von Geschäftsprozessen entwickelt sich zunehmend ein Spannungsfeld. Umso wichtiger ist es, die zentralen Regeln zu kennen.

Hinweis: Dieser Grundlagenbeitrag ersetzt keine Rechtsberatung. Zur Überprüfung deiner Maßnahmen und deiner Webseite solltest du dich immer an eine fachlich geeignete Kanzlei für Onlinerecht und Datenschutz wenden.

Wann muss eine Agentur einen Datenschutzbeauftragten bestellen?

Hier gab es in der Vergangenheit heiße Diskussionen. Wir können aber nun für deutsche Agenturen folgende Eckpunkte festhalten:

  1. Die Agentur beschäftigt mehr als 20 Mitarbeiter, welche personenbezogene Daten verarbeiten
  2. Die Agentur führt Verarbeitungen durch, welche durch eine Datenschutz-Folgenabschätzung bewertet werden müssen
  3. Die Agentur ist im Bereich der Markt- oder Meinungsforschung aktiv 
  4. Die Agentur verarbeitet besonders schützenswerte personenbezogene Daten

Mit dem Wunsch nach einem Abbau von Bürokratie hatten die Unionsfraktionen die Forderung in die Gesetzesberatung eingebracht, die Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten (§ 38 BDSG) auf 50 Personen zu erhöhen. Schlussendlich hat man sich Mitte 2019 bei einer Grenze von 20 Mitarbeitern geeinigt.

Grundsätzlich stellt sich hier die Frage, ob die Anhebung der Grenze sinnvoll war, da der Datenschutz von jedem Unternehmen eingehalten werden muss. Auch von einem 1-Personen-Unternehmen.

Was ist bei Agentur-Software datenschutzrechtlich zu beachten?

Viele Agenturen arbeiten mit einer Agentursoftware, Ticketsystemen oder einem Workflow-Management, um Prozesse zu automatisieren und den Überblick zu behalten. Typischerweise werden in diesen Softwarelösungen personenbezogene Daten der Kunden und von weiteren Partnern verarbeitet. Daher gelten auch hier die datenschutzrechtlichen Vorgaben.

Grundsätzlich müssen Agenturen sicherstellen, dass ein angemessenes Schutzniveau bei den eingeführten Softwareprodukten besteht. Neben einem Berechtigungs- und Löschkonzept müssen weitere technisch-organisatorische Maßnahmen (TOM) gemäß Artikel 32 DSGVO eingehalten werden, um die jeweilige Software datenschutzkonform zu nutzen.

Dabei ist die wirtschaftliche Angemessenheit zu berücksichtigen. Beispielsweise können die TOM einer kleinen Agentur aus wirtschaftlichen Aspekten nicht in allen Bereichen die gleichen Standards erfüllen wie die Maßnahmen eines Großkonzerns.

In den meisten Fällen handelt es sich bei dieser Software um einen Cloud-Dienst. Das sind zum Beispiel:

  • monday.com
  • Google Suite oder
  • Atlassian Jira Service Desk

, um nur einige zu nennen. Mit diesen Anbietern sollte definitiv eine Auftragsverarbeitung abgeschlossen werden, da durch die Tools weisungsgebunden personenbezogene Daten verarbeitet werden.

Google DSGVO
Google stellt für seine Cloud-Dienste eigene Ressourcen bereit

Im Rahmen des Abschlusses einer Auftragsverarbeitung (vor Beginn der Zusammenarbeit) müssen Agenturen oder EntwicklerInnen diese technischen und organisatorischen Maßnahmen des Dienstes überprüfen.

Der Auftragsverarbeitungs-Vertrag sollte zudem unter anderem die folgenden Themen enthalten: Unterstützungsleistungen bei Geltendmachungen von Rechten der Betroffenen, Qualitätsstandards, gegebenenfalls vorhandene Unterauftragnehmer.

Ist WordPress Entwicklung eine Auftragsverarbeitung?

Viele Agenturen verzweifeln an der Bewertung, ob sie nun als Auftragsverarbeiter Daten verarbeiten, oder als (Eigen-) Verantwortlicher. Eigentlich ist die Bewertung ganz einfach: Denn Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Artikel 4 Nummer 7 DSGVO). Als Auftragsverarbeiter nach Artikel 4 Nummer 8 DSGVO wird eine Agentur hingegen tätig, wenn sie personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.

Doch die Problematik ist, dass Agenturen und auch Freelancer oftmals ganzheitliche Leistungen anbieten. Dann kann nicht immer ganz trennscharf geprüft werden, ob es nicht eine Vermischung der Verantwortlichkeiten gibt. Die herrschende Meinung der Datenschutzbeauftragten ist aktuell, dass im Zweifel eine Auftragsverarbeitung abgeschlossen wird. Im Übrigen steht die Agentur dadurch haftungstechnisch besser da als ohne Vertrag über die Auftragsverarbeitung.

Was sollte man beim WordPress Hosting beachten?

Zum Thema Datenschutz für Agenturen gehört auch das Webhosting. Neben der Verfügbarkeit eines SSL-Zertifikats ist es von hoher Bedeutung, dass das Hosting in einem Rechenzentrum erfolgt, welches zertifiziert ist. Beispielsweise nach ISO/EN 27001. Denn hier gilt dieselbe Vorgabe des Artikel 32 DSGVO: Agenturen und EntwicklerInnen müssen die Verfügbarkeit, Integrität und Vertraulichkeit durch ein angemessenes Sicherheitsniveau gewährleisten.

Neben den präventiven Maßnahmen sollte ebenfalls eine geeignete Backup-Strategie implementiert werden. In der Praxis haben sich tägliche inkrementelle Backups und wöchentliche Vollbackups bewährt, welche bis zu 90 Tage gespeichert werden.

Backup Strategie
Automatische Backups erhöhen die Sicherheit

Gleichwohl sollten Backups nicht an einem Speicherort abgelegt werden. In der Regel bieten Rechenzentren hier die Möglichkeit an auf mehrere Brandabschnitte zurückzugreifen.

Was sollte eine WordPress-Seite für den Datenschutz erfüllen?

Grundsätzlich müssen Webseiten die Grundsätze der Datenschutz-Grundverordnung erfüllen. Somit gelten:

  • Der Grundsatz der Datenminimierung
  • Die Beachtung von Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten
  • Ebenso die Beachtung eines angemessenen Zwecks der Verarbeitung

Klassischerweise sollte jede Webseite über eine umfassende und korrekte Datenschutzerklärung verfügen, um die Informationspflichten zu erfüllen.

WordPress Datenschutz Seite
Die Seite für die Datenschutzerklärung in WordPress festlegen

Daneben müssen die Rechtsgrundlagen für die verschiedenen Verarbeitungen geschaffen werden, gerade im Hinblick auf den Einsatz von Drittanbieter-Cookies. Diese Anforderung lässt sich sehr einfach mit einem Cookie Consent Manager umsetzen. In Bezug auf WordPress sollte man folgende Aspekte beachten:

Ebenfalls sollten für gewisse Verarbeitungen (Registrierungen, Kontaktformulare o.Ä.) Einwilligungserklärungen erstellt werden, welche die Bedingungen gemäß Artikel 7 DSGVO erfüllen.

WordPress Plugin Management
Praktisch: Plugins und Themes zentral im Hosting Backend aktualisieren

Datenschutz für Agenturen: Wann benötigt man eine Einwilligung?

Grundsätzlich ist die Datenschutz-Grundverordnung als Verbot mit Erlaubnisvorbehalt zu verstehen. Das heißt, das erst einmal gar keine personenbezogene Daten verarbeitet werden dürfen. Da aber personenbezogene Daten oft verarbeitet werden müssen, hat der europäische Gesetzgeber sogenannte Erlaubnistatbestände definiert – in Artikel 6 Absatz 1 lit. a bis f DSGVO.

DSGVO Text
Der Text zur DSGVO auf eur-lex.europa.eu

Eine Einwilligung ist immer dann erforderlich, wenn einer der Erlaubnistatbestände gemäß Artikel 6 Abs. 1 lit. b bis f DSGVO nicht einschlägig ist. Solch eine Einwilligung muss die Bedingungen aus Artikel 7 erfüllen. Unter anderem ist darin festgelegt:

  • „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat“
  • „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“

Somit muss eine Einwilligung immer informiert, transparent, nachweislich, freiwillig und widerrufbar eingeholt werden.

Zusätzlich gibt es hierzu einen sogenannten Erwägungsgrund 32 zur DSGVO. Die darin genannten Beispiele sollen die Gestaltung einer Einwilligung für die geschäftliche Praxis erleichtern. Eigenentwickelte Lösungen – genauso wie zugehörige WordPress Plugins – sollte man jedoch regelmäßig rechtlich auf ihre Zulässigkeit hin überprüfen lassen, etwa durch eine geeignete Kanzlei.

Fragen zum Thema Datenschutz für Agenturen

Du hast Fragen zum Thema Datenschutz für Agenturen und Freelancer? Nutze gerne die Kommentarfunktion. Du willst über neue Beiträge zum Thema Onlinerecht informiert werden? Dann folge uns auf Twitter, Facebook oder über unseren Newsletter.

Hat dir der Artikel gefallen?

Mit deiner Bewertung hilfst du uns, unsere Inhalte noch weiter zu verbessern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert