Was bedeutet die EU-DSGVO für die PR-Branche?
Regulierungen
Posted 17 Mai 2018
Die Uhr tickt – am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft! Unternehmen erhalten damit umfassende Richtlinien hinsichtlich personenbezogener Daten, die in der EU gespeichert und verarbeitet werden. Damit sollen Konsumentenrechte gestärkt werden. Auch auf PR- und Marketing-Abteilungen hat die EU-DSGVO einen großen Einfluss, denn diese haben jeden Tag mit persönlichen Daten von Journalisten und ihrer Verarbeitung zu tun. Mit der Einführung der DSGVO unterliegt die Verarbeitung von Daten und die Kommunikation mit Journalisten damit vollkommen neuen Richtlinien. Zu beachten ist hierbei, dass das Gesetz nicht nur Unternehmen in der EU betrifft, sondern auch all diejenigen Firmen, die Daten von EU-Bürgern verarbeiten.
Bei der Verarbeitung von Daten in der PR-Branche spielen vor allem die Aspekte Einwilligungserklärung und berechtigtes Interesse eine Rolle. Bei der Einwilligungserklärung unterscheidet man zwischen explizierter und implizierter Einwilligung. Die explizite setzt voraus, dass eine Willenserklärung des jeweiligen Journalisten vorliegt, in der er dem Erhalt von Informationen zustimmt. Dies ist beispielsweise im Rahmen eines Opt-in-Verfahrens möglich. Die implizierte Einwilligung umfasst alle Kontaktdaten, die man im Impressum des Mediums, auf der Website des Mediums oder auf der eigenen Website veröffentlicht hat. Die Nachweispflicht der DSGVO besagt, dass man jederzeit nachweisen können muss, dass die Person zur Datennutzung eingewilligt hat. Diese Einwilligung muss offensichtlich erfolgt sein. Komplizierte AGBs mit versteckten Klauseln zählen hier natürlich nicht als offensichtliche Einwilligung. Zudem muss ein berechtigtes Interesse bestehen, um den Journalisten zu kontaktieren. Hierbei muss eine Interessensabwägung stattfinden, ob der Journalist erwarten kann, dass seine persönlichen Daten von dem Unternehmen verarbeitet werden.
Zudem gibt der Zweckbindungsgrundsatz der DSGVO vor, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen. Bei der zweckentfremdeten Weiterverarbeitung der Daten oder bei einer Erhebung ohne festgelegten Zweck handelt es sich bereits um einen Datenverstoß.
Ein nächster wichtiger Punkt ist die Frage, wie man die Daten abspeichern muss. Presseverteiler sind oft veraltet und werden ungeschützt abgespeichert. Werden Pressemitteilungen an veraltete oder falsche Kontakte geschickt, zählt dies als Werbung bzw. Spamming und somit als Rechtsverletzung. Daher empfiehlt sich mit der neuen EU-Verordnung eine zentrale Speicherung der Verteiler, das regelmäßige Sicherstellen der Relevanz und Aktualität sowie der Schutz durch Passwörter. Wenn ein Journalist darum gebeten hat, aus dem Verteiler genommen zu werden, aber eine andere Person aus der Abteilung sie erneut kontaktiert, kann dies bereits ein Rechtsbruch sein. Zudem legt die neue Verordnung fest, dass Unternehmen immer sofort überprüfen können müssen, welche Daten gesammelt wurden und wo sie gespeichert sind.
Außerdem wird Unternehmen noch mehr Transparenz abverlangt: Sobald ein Kunde oder Journalist anfragt, welche Daten von ihm gespeichert sind, muss diesbezüglich Auskunft erteilt werden. Und auch, wenn ursprünglich eine Einwilligung zur Speicherung der Daten erfolgt ist, kann diese jederzeit widerrufen werden. Demnach muss das vollständige Löschen von Daten möglich sein.
Ein weiterer Punkt ist die Richtlinie der Datenminimierung. Die Datenverarbeitung muss auf das Notwendigste beschränkt werden. Informationen, die nicht relevant sind, wie beispielsweise das Geburtsdatum eines Journalisten, dürfen nicht gespeichert werden.
All diese Informationen und Vorbereitungen bringen aber nichts, wenn Mitarbeiter nicht geschult und vorbereitet werden. Ihnen muss klar sein, dass sich Routineaufgaben, wie zum Beispiel der Versand von Massenmails, ab dem 25. Mai ändern müssen.
Auch wenn es bei guter Vorbereitung gar nicht soweit kommen sollte, ist es im Falle einer Datenpanne hilfreich, über einen Notfallplan zu verfügen. Wurden gespeicherte Daten in irgendeiner Form geleaked, muss der Fall innerhalb von 72 Stunden der Datenschutzbehörde und gegebenenfalls den betreffenden Personen gemeldet werden.
Viele Unternehmen haben bis jetzt immer noch nicht die entsprechenden Maßnahmen ergriffen. Eine Studie hat Mitte April ergeben, dass 87 Prozent der deutschen Unternehmen ihre Prozesse noch nicht an die EU-DSGVO angepasst haben. Wenn Unternehmen ihren Pflichten allerdings nicht nachkommen, drohen gravierende Folgen: Sie müssen bei Datenschutzverletzungen mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes rechnen. Um diese enormen Strafen zu verhindern, sollten auch PR- und Marketingunternehmen schnellstmöglich tätig werden und ihre Prozesse an die neuen Vorgaben anpassen.
So viel negativen Wind es auch um die DSGVO gibt, es besteht die Chance, dass die Folgen der neuen Verordnung Platz für bessere PR machen, die Journalisten nur kontaktiert, wenn die Inhalte relevant sind. PRler sollten die DSGVO deswegen als Möglichkeit betrachten, ihre interne sowie externe Kommunikation zu optimieren.
– Dieser Beitrag wurde erstellt von Christine Gierlich, Account Manager bei HBI
