DSGVO Agentur: AVV, Joint Controller, US-Tools | IT-Medienrecht

So schützen Sie Ihre Agentur! Erfahren Sie alles zur DSGVO im Agentur-Alltag: AVV, Joint Controllership & US-Tools rechtssicher anwenden. Jetzt Bußgelder…

Das Wichtigste in Kürze

  • Die korrekte Bestimmung der datenschutzrechtlichen Rolle (Auftragsverarbeiter oder Gemeinsam Verantwortlicher) ist in jedem Kundenprojekt unerlässlich.
  • Bei Auftragsverarbeitung ist ein umfassender Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend, bei gemeinsamer Entscheidungsfindung eine Vereinbarung nach Art. 26 DSGVO.
  • Der Einsatz von US-Dienstleistern erfordert eine sorgfältige Prüfung der DPF-Zertifizierung oder die Nutzung von Standardvertragsklauseln (SCCs) in Verbindung mit einem Transfer Impact Assessment (TIA).
  • Lückenlose Dokumentation, rechtssichere Vertragswerke und proaktives Handeln sind entscheidend, um hohe Bußgelder und Haftungsrisiken zu vermeiden.
  • Datenschutzkonformität kann als Qualitätsmerkmal und Wettbewerbsvorteil für Agenturen dienen.

Datenschutz für Agenturen: Rollen, Pflichten und Herausforderungen der DSGVO

Für Kreativ-, Digital- und Werbeagenturen ist der Umgang mit personenbezogenen Daten tägliche Routine. Ob es um Adresslisten von Kunden für eine E-Mail-Kampagne, die Analyse von Nutzerverhalten auf einer Website oder die Verwaltung von Social-Media-Kanälen geht – die Datenschutz-Grundverordnung (DSGVO) ist ein ständiger Begleiter. Die korrekte Einordnung der eigenen Rolle und die daraus resultierenden vertraglichen Pflichten sind entscheidend, um Bußgelder und Haftungsrisiken zu vermeiden. Drei Kernbereiche stellen Agenturen immer wieder vor Herausforderungen: die Abgrenzung von Auftragsverarbeitung (AVV) und Gemeinsamer Verantwortlichkeit (Joint Controllership) sowie der rechtssichere Einsatz von US-Dienstleistern.

Die Agentur als Auftragsverarbeiter: Der klassische Fall des AVV

In den meisten Konstellationen agiert eine Agentur als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Dies ist immer dann der Fall, wenn die Agentur personenbezogene Daten im Auftrag und nach Weisung eines Kunden (des Verantwortlichen) verarbeitet. Der Kunde legt die Zwecke und die wesentlichen Mittel der Verarbeitung fest, während die Agentur als "verlängerter Arm" die technische und organisatorische Umsetzung übernimmt.

Praxisbeispiele für die Auftragsverarbeitung

Sobald eine solche Konstellation vorliegt, ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag stellt sicher, dass die Agentur die gleichen hohen Datenschutzstandards einhält, denen auch der Kunde unterliegt. Das Fehlen eines AVV ist ein formeller Verstoß, der von Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet werden kann (Art. 83 Abs. 4 lit. a DSGVO).

Agenturen sollten daher standardisierte, aber anpassbare AVV-Muster vorhalten, die sie mit ihren Kunden abschließen können. Es reicht nicht aus, die Regelungen im Hauptvertrag oder in den AGB zu verstecken; ein separater, klar als solcher erkennbarer Vertrag ist die rechtssichere Lösung.

Eine sorgfältige Ausgestaltung dieser Verträge ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Baustein im Rahmen eines umfassenden Vertragsmanagements.

Gemeinsame Verantwortlichkeit (Joint Controllership): Wenn die Rollen verschwimmen

Komplexer wird die Situation, wenn eine Agentur nicht nur weisungsgebunden handelt, sondern gemeinsam mit dem Kunden über die Zwecke und Mittel der Datenverarbeitung entscheidet. In diesem Fall liegt eine Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (Joint Controllership) vor. Die Abgrenzung zur Auftragsverarbeitung ist oft schwierig, aber rechtlich von enormer Bedeutung.

Der entscheidende Faktor ist die gemeinsame Definitionsmacht. Wenn beide Parteien ein wesentliches Interesse an der Verarbeitung haben und deren Ablauf maßgeblich mitgestalten, sind sie gemeinsame Verantwortliche. Dies hat zur Folge, dass beide gegenüber den Betroffenen und den Aufsichtsbehörden in der Verantwortung stehen.

Praxisbeispiele für Joint Controllership

Liegt eine Gemeinsame Verantwortlichkeit vor, müssen die Parteien eine Vereinbarung nach Art. 26 DSGVO schließen. Diese Vereinbarung regelt transparent, wer von beiden welche Pflichten der DSGVO erfüllt. Insbesondere muss festgelegt werden:

Der wesentliche Inhalt dieser Vereinbarung muss den betroffenen Personen zur Verfügung gestellt werden. Anders als beim AVV haften bei der gemeinsamen Verantwortlichkeit grundsätzlich beide Parteien gesamtschuldnerisch für Datenschutzverstöße. Eine fundierte datenschutzrechtliche Beratung ist hier unerlässlich, um die Rollen korrekt zu definieren und vertraglich abzusichern.

Die Herausforderung US-Dienstleister: Datentransfer nach dem „Schrems II“-Urteil

Kaum eine Agentur kommt heute ohne Tools und Cloud-Dienste aus den USA aus. Ob Analyse-Tools wie Google Analytics, CRM-Systeme wie HubSpot, Kollaborationsplattformen wie Slack und Figma oder Newsletter-Dienste wie Mailchimp – der Einsatz von US-Anbietern ist allgegenwärtig. Dies stellt Agenturen vor große datenschutzrechtliche Herausforderungen.

Die DSGVO (Art. 44 ff.) erlaubt die Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU/des EWR nur, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.

Der EuGH hat mit seinem „Schrems II“-Urteil (Urt. v. 16.07.2020, C-311/18) das damalige Abkommen „Privacy Shield“ für ungültig erklärt. Die Begründung: US-Sicherheitsgesetze (wie FISA 702) ermöglichen US-Behörden weitreichende Zugriffe auf Daten von EU-Bürgern, ohne dass diesen ein effektiver Rechtsschutz zur Verfügung steht.

Als Nachfolgeregelung wurde der EU-U.S. Data Privacy Framework (DPF) eingeführt. Für Transfers an US-Unternehmen, die unter dem DPF zertifiziert sind, besteht ein Angemessenheitsbeschluss der EU-Kommission. Praktisch bedeutet das:

  1. Prüfung der DPF-Zertifizierung

    Agenturen müssen für jeden eingesetzten US-Dienstleister prüfen, ob dieser auf der offiziellen DPF-Liste zertifiziert ist. Ist dies der Fall, ist der Datentransfer auf dieser Grundlage zulässig.

  2. Alternative bei fehlender Zertifizierung oder SCCs

    Ist ein Anbieter nicht zertifiziert, muss der Datentransfer auf eine andere Rechtsgrundlage gestützt werden. Die gebräuchlichste sind die Standardvertragsklauseln (Standard Contractual Clauses – SCCs) der EU-Kommission.

Der entscheidende Punkt aus dem „Schrems II“-Urteil bleibt jedoch auch beim Einsatz von SCCs bestehen: Der Datenexporteur (also die Agentur) muss eine fallbezogene Risikobewertung, ein sogenanntes Transfer Impact Assessment (TIA), durchführen.

In diesem TIA muss die Agentur dokumentieren, ob die Gesetze und die Praxis im Zielland (z.B. den USA) den Schutz durch die SCCs nicht untergraben. Falls ein Risiko besteht (was bei US-Überwachungsgesetzen anzunehmen ist), müssen zusätzliche Schutzmaßnahmen (sog. „supplementary measures“) ergriffen werden, wie z.B. eine starke Ende-zu-Ende-Verschlüsselung, bei der der US-Anbieter selbst keinen Zugriff auf die Klartextdaten hat.

Insbesondere für Digital- und Kreativagenturen ist die Dokumentation dieser Prüfung essenziell, um im Falle einer behördlichen Anfrage die eigene Sorgfalt nachweisen zu können.

Datenschutzrechtliche Absicherung und Haftungsrisiken für Agenturen

Die datenschutzrechtlichen Rollen und Pflichten müssen sich in der gesamten Vertragslandschaft einer Agentur widerspiegeln. Ein sauber aufgesetzter Agentur-Rahmenvertrag sollte bereits die Weichen stellen und klar definieren, in welchen Szenarien die Agentur als Auftragsverarbeiter oder potenziell als gemeinsam Verantwortliche agiert. Darauf aufbauend werden dann projektspezifisch AVVs oder Art. 26-Vereinbarungen geschlossen.

Die Haftungsrisiken sind erheblich. Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz.

Handelt eine Agentur als Auftragsverarbeiter fehlerhaft, etwa durch einen Verstoß gegen die Weisungen des Kunden oder durch eine Sicherheitslücke, kann sie direkt von Betroffenen in Anspruch genommen werden. Zudem kann der Kunde die Agentur im Innenverhältnis in Regress nehmen.

Noch gravierender können die Bußgelder nach Art. 83 DSGVO ausfallen. Verstöße gegen die Grundprinzipien der Verarbeitung, die Rechte der Betroffenen oder die Regeln zum Drittlandtransfer können mit bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes geahndet werden.

Formale Verstöße wie ein fehlender AVV oder ein unvollständiges Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) sind mit bis zu 10 Millionen Euro oder 2 % des Umsatzes bußgeldbewehrt.

Diesen Risiken können Agenturen nur durch eine lückenlose Dokumentation und rechtssichere Vertragsgrundlagen, die oft auch in den Allgemeinen Geschäftsbedingungen verankert werden, begegnen.

Fazit

Die Einhaltung der DSGVO ist für Agenturen keine optionale Kür, sondern eine grundlegende unternehmerische Pflicht. Die korrekte Bestimmung der datenschutzrechtlichen Rolle in jedem Kundenprojekt ist der erste und wichtigste Schritt. Meist wird die Agentur als Auftragsverarbeiter agieren und benötigt einen umfassenden AVV. In Konstellationen gemeinsamer Entscheidungsfindung ist jedoch eine Vereinbarung über die Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO unumgänglich, um die Pflichten klar zu verteilen und Haftungsrisiken zu steuern.

Eine besondere Daueraufgabe bleibt der Einsatz von Software und Tools von US-Anbietern. Der EU-U.S. Data Privacy Framework hat die Lage für zertifizierte Unternehmen entschärft, doch die Prüf- und Dokumentationspflichten bleiben bestehen. Für alle nicht-zertifizierten Anbieter ist der Weg über Standardvertragsklauseln in Kombination mit einem Transfer Impact Assessment weiterhin zwingend. Dies erfordert eine genaue Kenntnis der eingesetzten Dienste und eine fortlaufende Beobachtung der rechtlichen Entwicklungen.

Durch proaktives Handeln, die Implementierung sauberer Prozesse und die Verwendung rechtssicherer Vertragswerke können Agenturen nicht nur Bußgelder und Haftungsfälle vermeiden, sondern auch das Vertrauen ihrer Kunden stärken. Datenschutzkonformität wird so vom Kostenfaktor zum Qualitätsmerkmal und Wettbewerbsvorteil.

Häufig gestellte Fragen

Was ist eine Auftragsverarbeitung (AVV) im Kontext von Agenturen?
Eine Agentur agiert als Auftragsverarbeiter, wenn sie personenbezogene Daten im Auftrag und nach Weisung eines Kunden verarbeitet. Der Kunde legt dabei die Zwecke und Mittel der Verarbeitung fest, während die Agentur die technische und organisatorische Umsetzung übernimmt.
Wann liegt eine Gemeinsame Verantwortlichkeit (Joint Controllership) vor?
Eine Gemeinsame Verantwortlichkeit liegt vor, wenn eine Agentur gemeinsam mit dem Kunden über die Zwecke und Mittel der Datenverarbeitung entscheidet. Der entscheidende Faktor ist die gemeinsame Definitionsmacht und das wesentliche Interesse beider Parteien an der Verarbeitung.
Welche Auswirkungen hatte das „Schrems II“-Urteil auf den Datentransfer in die USA?
Das „Schrems II“-Urteil erklärte das damalige „Privacy Shield“-Abkommen für ungültig, da US-Sicherheitsgesetze weitreichende Zugriffe auf Daten von EU-Bürgern ermöglichen. Dies hat zur Folge, dass der Datentransfer in die USA auf neue Rechtsgrundlagen gestützt und eine Risikobewertung (TIA) durchgeführt werden muss.
Was ist der EU-U.S. Data Privacy Framework (DPF)?
Der EU-U.S. Data Privacy Framework (DPF) ist eine Nachfolgeregelung zum „Privacy Shield“. Für US-Unternehmen, die unter dem DPF zertifiziert sind, besteht ein Angemessenheitsbeschluss der EU-Kommission, was den Datentransfer auf dieser Grundlage zulässig macht.
Welche Haftungsrisiken bestehen für Agenturen bei Verstößen gegen die DSGVO?
Agenturen können nach Art. 82 DSGVO auf Schadensersatz in Anspruch genommen werden und nach Art. 83 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes belegt werden. Formale Verstöße können mit bis zu 10 Millionen Euro oder 2 % des Umsatzes geahndet werden.