DSGVO: Verlage müssen spätestens jetzt aktiv werden

Viele Verlage - wenn auch noch längst nicht alle Häuser - beschäftigen sich zur Zeit intensiv mit den Anforderungen der DSGVO wie etwa der detaillierten Dokumentationspflicht für den Newsletterversand und im Online-Vertrieb. Bei Nichtbefolgung drohen hohe Bußgelder.

Wurden intern noch keine entsprechenden Schritte eingeleitet, ist die DSGVO wohl eines der dringendsten Themen des ersten Quartals 2018.

Wir haben den Rechtsanwalt Markus Schließ  gefragt, was Verlage in den kommenden Monaten beachten und welche Maßnahmen sie unbedingt umsetzen müssen. Er ist Fachanwalt und Lehrbeauftragter für IT-Recht sowie Arbeitsrecht, zertifizierter Data Protection Risk Manager und einer der ausgewiesenen Experten für Datenschutz und E-Commerce. Seit fast 20 Jahren hält er Vorträge und Vorlesungen zu diesen Themen.

ipunkt: Gilt die DSGVO für alle Unternehmen gleichermaßen? Oder gibt es entscheidende Faktoren wie z.B. die Unternehmensgröße?

RA Schließ: Die Datenschutz-Grundverordnung gilt grundsätzlich für alle Unternehmen. Es gibt keine Ausnahmeregel, die besagt, dass die DSGVO für Klein- und Kleinstunternehmen nicht in vollem Ausmaß wirksam ist. Sie regelt den Umgang mit personenbezogenen Daten und betrifft damit alle Beschäftigten, alle Kunden und im Prinzip jeden, der mit dem Unternehmen in Interaktion tritt. Theoretisch ist es natürlich möglich, dass ein kleines Unternehmen keinerlei personenbezogene Daten verarbeitet. In der Praxis dürfte dies aber ein äußerst seltener Fall sein.

Sobald in einem Unternehmen mehr als zehn Mitarbeiter personenbezogene Daten bewegen, steht es zudem in der Pflicht einen Datenschutzbeauftragten zu bestellen. Verarbeitet ein Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung ist der Datenschutzbeauftragte ab dem ersten Mitarbeiter Pflicht.

Welche Vorteile haben Verlage, die zu einer Unternehmensgruppe gehören?

Die Vorteile gelten bei der DSGVO ebenso, wie es überhaupt von Vorteil ist, zu einem größeren Konzern zu gehören. Regelungen können konzernweit, also top-down geschaffen werden - sogenannte Binding Corporate Rules. Diese verbindlichen Richtlinien zum Umgang mit personenbezogenen Daten betreffen dann natürlich den gesamten Konzern.

Das einzelne Unternehmen kann so erheblich entlastet werden. Oft haben große Unternehmen die Aufgaben der Personalverwaltung an eine Tochter ausgegliedert. Dann ist es so, dass diese Tochter in der Verantwortung steht, die Regelungen der DSGVO umzusetzen und nicht das einzelne Unternehmen. Je nachdem, wie die Unternehmensgruppe strukturiert ist.

Das gleiche Prinzip gilt, wenn in einem Unternehmen der Gruppe ein globales Rechenzentrum für den Konzern betrieben wird. Sind dort alle Rechen-Aktivitäten gebündelt, werden die anderen Unternehmen entlastet.

Was sind die neuralgischen Punkte in Verlagen im Hinblick auf die DSGVO?  

Verlage sind dann von der Datenschutz-Grundverordnung betroffen, wenn Sie stark vertriebsorientiert sind. Was wohl bei den allermeisten Häusern der Fall sein dürfte. Jeder Verlag ist daran interessiert, seine Titel auch zu vertreiben und in den Handel zu bringen.

Eine Unterscheidung würde ich aber machen wollen:

Handelt es sich um einen Verlag, der sehr technisch orientiert ist oder ausschließlich Fachbücher vertreibt, dürfte dieser weniger Probleme mit der DSGVO bekommen. Die Zielgruppe dieses Verlages sind dann eher andere Verlage, Unternehmen und Universitäten - da spielen personenbezogene Daten eine kleinere Rolle.

Relevanter ist die Verordnung für Verlage, die sich im B2C-Bereich bewegen. Das betrifft Belletristik, populärwissenschaftliche Bücher und natürlich Zeitungen sowie Zeitschriften. Richten sich auflagenstarke Produkte an private Verbraucher, ist die Verantwortlichkeit im Bezug auf die Datenschutz-Grundverordnung natürlich sehr hoch.

Wichtig ist, dass in den Verlagen alle Datenpools strukturiert werden und geprüft wird, wie mit personenbezogenen Daten umgegangen wird.

Was müssen speziell die Marketingabteilungen zukünftig beachten? Wann kann man von einem “berechtigten Interesse” an der Wahrung der Daten ausgehen?

Ich möchte nochmal festhalten: Die DSGVO definiert die zukünftige Verfahrensweise mit personenbezogenen Daten. Es geht nicht um Firmendaten, nicht um Produktionsdaten. Es geht um Daten von Menschen aus Fleisch und Blut.

Relevant werden Datenbanken erst, wenn sie einen persönlichen Ansprechpartner enthalten. Wenn eine Privatperson - vielleicht mit Adresse oder Alter  - erfasst wurde, fängt das kritische Thema an.

Die Aufgabe der Marketingabteilungen ist es nun, zu beurteilen, wo ihre Adressbestände herkommen. Sind sie eingekauft worden von einem Adresshändler, von Branchen-Verbänden übermittelt worden oder selbst akquiriert? In Zukunft muss man da sehr genau hinschauen, weil die Verantwortlichen nur so ableiten können, was sie unter der DSGVO mit diesen Adressen machen können.

Im Online-Marketing sollten Werbeeinwilligungen immer in zwei Schritten über das Double-Opt-in-Verfahren bestätigt werden. Möchte man eine vorliegende Adresse für andere Vertriebsaktivitäten - zum Beispiel im Cross-Selling - nutzen, muss sichergestellt sein, dass eine Einwilligung vorliegt, die sich auf Marketing-Zwecke aller Art bezieht. Dann muss auch zukünftig die Einwilligung nicht noch einmal abgefragt werden. Nur dann liegt auch ein berechtigtes Interesse an der Wahrung der Daten vor.

Lag nur eine Einwilligung für eine einmalige Marketing-Aktion - etwa ein Gewinnspiel oder eine Gutscheinaktion - vor, ist das Interesse keinesfalls berechtigt.

Was bedeutet die Begrifflichkeit “Beweislastumkehr der Rechenschaftspflicht” im Datenschutz?

Grundsätzlich liegt es nun allein in der Verantwortung des Unternehmens, beweisen zu können, dass im Datenschutz alle nötigen Maßnahmen ergriffen worden sind. Sie sind hier in der Rechenschaftspflicht und müssen gegenüber Landesdatenschutzbeauftragten jederzeit ein entsprechendes Konzept vorlegen können.

Das bedeutet, dass einem Unternehmen, anders als früher, nicht erst ein Fehler nachgewiesen werden muss. Das ist die sogenannte Beweislastumkehr.

Welche Maßnahmen müssen Verlage, die sich mit der DSGVO nach gar nicht oder wenig beschäftigt haben jetzt ergreifen?

Unternehmen müssen nun jeden Prozess durchdenken, bei dem personenbezogene Daten eine Rolle spielen. Wenn man alle Prozesse kennt, muss daraus ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden. Aus diesem Verzeichnis lässt sich dann herleiten, wo kritische Daten bewegt werden, wo Daten verloren werden können und wie diese geschützt werden können. Folgend muss eine Datenschutzfolgenabschätzung durchgeführt werden.

Die nächsten zwingenden Schritte sind die Bestellung eines Datenschutzbeauftragten, sowie die Anpassung der Arbeitsverträge der Mitarbeiter und die Einholung entsprechender Einwilligungserklärungen.

Sind diese Schritte in den Unternehmen und Verlagen jetzt noch nicht eingeleitet, wird es wirklich höchste Zeit aktiv zu werden.

Herr Schließ, vielen Dank für das Interview.