Q: Was ändert sich durch die DSGVO für die Arbeit in PResstige?
A:
Am 25. Mai 2018 treten die Regeln der EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Mit den folgenden Informationen geben wir Ihnen einen einfachen Überblick über wichtige Regelungen zur DSGVO in der Nutzung von PResstige, inklusive der sich daraus ergebenden funktionellen Neuerungen, die Ihnen in PResstige Verfügung stehen.
Die folgenden Informationen beschränken sich auf, die aus unserer Sicht, wichtigsten gesetzlichen Regelungen und gibt diese in einer vereinfachten Sprache und in einer stark verkürzten Form wieder. Die darin enthaltenen Inhalte sollen Ihnen einen kurzen Überblick und einen leichten Einstieg in die Materie ermöglichen, erheben aber weder den Anspruch auf Vollständigkeit noch Verbindlichkeit und ersetzen daher in keiner Weise eine verbindliche Rechtsauskunft Ihrer eigenen Rechtsberatung.
ALLGEMEINE INFORMATIONEN ZUR DSGVO
Die Vorschriften der Datenschutzgrundverordnung (DSGVO) haben die Verarbeitung personenbezogener Daten von natürlichen Personen und dem freien Verkehr dieser Daten zum Inhalt. Juristische Personen, also die Daten von Verlagen und Medien, sind von den Regelungen nicht erfasst.
Die DSGVO regelt die Verarbeitung personenbezogener Daten, nicht jedoch die im Telekommunikationsgesetz geregelte Zulässigkeit der Zusendung von E-Mail-Nachrichten und die dafür erforderlichen Zustimmungserklärungen. Diese werden aktuell im Telekommunikationsgesetz (TKG §107) und zukünftig in der E-Privacy Verordnung geregelt. Aus diesem Grund finden Sie unsere Ausführungen zum Versand von Pressemeldungen via E-Mail-Nachrichten in einem eigen Artikel:
Rechtsmeinung zum Versand von Pressmeldungen an Journalisten
VERARBEITUNG PERSONENBEZOGENER DATEN OHNE ERFORDERLICHER EINWILLIGUNG
PR-Agenturen und PR-Verantwortliche von Unternehmen haben ein „berechtigtes Interesse“, Journalisten aktiv mit Informationen zu versorgen. Um Ihre Arbeit erfüllen zu können, benötigen Sie Kontaktdaten, wie Name, Medium, Telefonnummer und E-Mail-Adresse. Zudem ist davon auszugehen, dass Journalisten ebenso ein Interesse an Unternehmensnachrichten haben und damit eine Einwilligung zur Speicherung von Kontaktdaten besteht.
Aufgrund eines vorliegenden berechtigten Interesses, ist die Verwendung von Kontaktdaten, die durch den Journalisten oder dem betreffenden Medium veröffentlicht wurden, für den Zweck, für die die Daten veröffentlicht wurden, datenschutzrechtlich grundsätzlich zulässig. Dies gilt im Fall von Journalistenkontakten für „Pressemitteilungen“, deren Inhalt auch dem Ressort und/oder der redaktionellen Arbeit des Journalisten entsprechen.
Gleiches gilt für nicht-sensible Daten, die auf Basis einer bestehenden Geschäftsbeziehung bekannt geworden sind. Diese können auf Basis eines berechtigten Interesses grundsätzlich auch weiterhin und ohne erneute Einwilligung gespeichert werden.
Im Einzelfall ist die Berechtigung vom jeweiligen Dateninhalt abhängig. Wenn es sich dabei zB um Daten handelt, die für den eigentlichen Zweck nicht mehr erforderlich sind, so ist eine andere Rechtsgrundlage – meist wohl die Einwilligung – erforderlich.
Liegt kein berechtigtes Interesse zur Verarbeitung öffentlicher Daten oder aufgrund einer bereits bestehenden Geschäftsbeziehung bekannter Daten vor, ist eine Einwilligung des Betroffenen erforderlich. Laut DSGVO Regelung kann ein Kontakt die Einwilligung zur Verarbeitung der ihn betreffenden personenbezogenen Daten für bestimmte Zwecke geben. Die Einwilligung muss der Verantwortliche nachweisen. Der Kontakt hat das Recht, seine Einwilligung jederzeit zu widerrufen.
Um Berechtigungen entsprechend der Rechtsgrundlage im System abzubilden, erweitern wir PResstige um ein Rechtsgrundlagenmanagement zur Speicherung personenbezogener Daten. Die Rechtsgrundlage kann dabei in vier Stufen (offen, vorhanden, persönlich erteilt, persönlich entzogen) individuell nach Kontakt unter Angabe des Datums gemanaged werden.
Auf Basis des Rechtsgrundlagenmanagements wird PResstige mit der Möglichkeit erweitert, eine persönliche Einwilligung von jenen Kontakten einzuholen, die ihre Rechtsgrundlage auf Basis eines berechtigten Interesses, öffentlich kundgemachter Kontaktinformationen und/oder bereits bestehender Geschäftsbeziehungen haben. Eine persönliche Einwilligung oder ein Widerruf zum Verarbeiten personenbezogene Daten bekommen dabei in Folge Vorrang gegenüber der Verarbeitung auf Basis bestehender (allgemeiner) Rechtsgrundlagen.
KRITERIEN ZUR SPEICHERUNG PERSONENBEZOGENER DATEN
Personenbezogene Daten müssen auf das notwendige Maß des Zwecks der Verarbeitung beschränkt sein („Datenminimierung“). Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, unrichtige Daten zu berichtigen oder zu löschen.
Im Bezug der Datenminimierung weisen wir Sie darauf hin, nur jene personenbezogenen Daten zu erheben und nur für jene Zeitdauer zu speichern, die für die Tätigkeit (Pressearbeit und Eventeinladungen) erforderlich ist. In besonderen Weise betrifft dies die Felder “Anmerkungen” und “Schlagworte”, die im System für freie und ergänzende Inhalte vorgesehen sind.
Sollte Ihnen eine Überprüfung und Aktualisierung der Feldinhalte “Anmerkungen” und “Schlagworte” nicht möglich sein, bieten wir an, die Inhalte gesammelt aus der Kontaktdatenbank zu löschen.
INFORMATIONSPFLICHT ZUM ZEITPUNKT DER EINHOLUNG
Zum Zeitpunkt der Einholung der Einwilligung sind dem Kontakt folgende Informationen bereitzustellen:
- Namen und die Kontaktdaten des Verantwortlichen (gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten),
- der Verarbeitungszweck, die Rechtsgrundlage für die Verarbeitung, die Dauer der Verarbeitung (bzw. die Kriterien für die Festlegung dieser Dauer),
- Informationen zu den Rechten des Kontaktes auf Auskunft, Berichtigung, Widerspruch, Löschung und die Datenübertragbarkeit,
- Informationen, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte, sowie
- Informationen zum Profiling und aussagekräftige Informationen über die involvierte Logik.
Mit der neuen Funktion zur Einholung einer Einwilligung zur Verarbeitung von personenbezogenen Daten stellen wir Ihnen zur Orientierung und Adaption einen Mustertext zur Erweiterung Ihrer AGBs / Ihrer Datenschutzbestimmungen zur Verfügung, der die Vorgaben zur Informationspflicht zum Zeitpunkt der Einholung einer Einwilligung zur Verarbeitung von persönlichen Daten berücksichtigt und alle internen Informationen zum Profiling enthält.
AUTOMATISIERTE ENTSCHEIDUNGEN UND PROFILING
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden.
Zur individuellen Erhebung der Profilingdaten zum Versand (Erhalten, Öffnung, Portalbesuch und Download) in Abhängigkeit vom Empfängerkreis, überprüfen wir die Option, das Profiling individuell für jeden Versandvorgang vor dem Versand zu aktivieren und bei Aktivierung, nur bei jenen Kontakten Profilingdaten zu erheben, die ihre persönliche Einwilligung dazu gegeben haben. Zudem bieten wir Ihnen die Möglichkeit, das Profiling in Ihrem Client zu deaktivieren sowie vorhandene Profilingdaten zu löschen.
Darüber hinausgehend werden keine personenbezogenen Daten erhoben. PResstige verwendet weder Cookies zur Erhebung von personenbezogenen Daten, noch werden Detailinformationen zum Sitebesuch getrackt oder gespeichert.
AUSKUNFTSRECHT
Kontakte haben ein Auskunftsrecht zu ihren vom Verantwortlichen verarbeiteten personenbezogenen Daten. Der Verantwortliche hat demgemäß eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
Die Funktionalität zur Erfüllung des Auskunftsrechts von betroffenen Personen zu personenbezogenen Daten ist seitens PResstige bereits vorhanden. Die Inhalte einzelner Datensätze können via Exportfunktion einfach als Excel exportiert werden. Mit dem Export werden alle Feldinhalte des Datensatzes mit allen Inhalten exportiert.
ZUGANG FÜR NATÜRLICHE PERSONEN ZU PERSONENBEZOGENEN DATEN
Der Verantwortliche hat sicherzustellen, dass die ihm unterstellten natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
Hier weisen wir auf die bereits bestehenden Funktionen der Userverwaltung inklusive Rollenverwaltung hin. PResstige bietet die Möglichkeit, für jeden Benutzer einen eigenen User anzulegen und/oder die Rechte bestehender Nutzer über den Menüpunkt “Einstellungen/Teammanager” aktiv nach Bedarf zu verwalten. In diesem Sinne ersuchen wir Sie auch, dem Nutzer “WUNDERWERK PResstige”, der ausschließlich zu Servicezwecken verwendet wird, die entsprechenden Rechte und Zugriffsberechtigungen nur im Bedarfsfall zu erteilen.
SICHERE VERARBEITUNG DURCH AUFTRAGSVERARBEITER
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Um der Regelung der DSGVO für Auftragsverarbeiter Rechnung zu tragen und der Forderung der erforderlichen technischen und organisatorischen Maßnahmen zu gewährleisten, erweitern wir die vertragliche Grundlage um ein Dokument zur Auftragsverarbeitung im Sinne der DSGVO sowie eine Aktualisierung unserer AGBs, die wir Ihnen in den kommenden Tagen per E-Mail übermitteln.