Das Wichtigste in Kürze
- Die korrekte Bestimmung der datenschutzrechtlichen Rolle (Auftragsverarbeiter oder Gemeinsam Verantwortlicher) ist in jedem Kundenprojekt unerlässlich.
- Bei Auftragsverarbeitung ist ein umfassender Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend, bei gemeinsamer Entscheidungsfindung eine Vereinbarung nach Art. 26 DSGVO.
- Der Einsatz von US-Dienstleistern erfordert eine sorgfältige Prüfung der DPF-Zertifizierung oder die Nutzung von Standardvertragsklauseln (SCCs) in Verbindung mit einem Transfer Impact Assessment (TIA).
- Lückenlose Dokumentation, rechtssichere Vertragswerke und proaktives Handeln sind entscheidend, um hohe Bußgelder und Haftungsrisiken zu vermeiden.
- Datenschutzkonformität kann als Qualitätsmerkmal und Wettbewerbsvorteil für Agenturen dienen.
Datenschutz für Agenturen: Rollen, Pflichten und Herausforderungen der DSGVO
Für Kreativ-, Digital- und Werbeagenturen ist der Umgang mit personenbezogenen Daten tägliche Routine. Ob es um Adresslisten von Kunden für eine E-Mail-Kampagne, die Analyse von Nutzerverhalten auf einer Website oder die Verwaltung von Social-Media-Kanälen geht – die Datenschutz-Grundverordnung (DSGVO) ist ein ständiger Begleiter. Die korrekte Einordnung der eigenen Rolle und die daraus resultierenden vertraglichen Pflichten sind entscheidend, um Bußgelder und Haftungsrisiken zu vermeiden. Drei Kernbereiche stellen Agenturen immer wieder vor Herausforderungen: die Abgrenzung von Auftragsverarbeitung (AVV) und Gemeinsamer Verantwortlichkeit (Joint Controllership) sowie der rechtssichere Einsatz von US-Dienstleistern.
Die Agentur als Auftragsverarbeiter: Der klassische Fall des AVV
In den meisten Konstellationen agiert eine Agentur als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Dies ist immer dann der Fall, wenn die Agentur personenbezogene Daten im Auftrag und nach Weisung eines Kunden (des Verantwortlichen) verarbeitet. Der Kunde legt die Zwecke und die wesentlichen Mittel der Verarbeitung fest, während die Agentur als "verlängerter Arm" die technische und organisatorische Umsetzung übernimmt.
Praxisbeispiele für die Auftragsverarbeitung
- Eine Digitalagentur erhält von ihrem Kunden eine Liste mit E-Mail-Adressen, um einen Newsletter zu versenden. Der Kunde entscheidet dabei über Inhalt, Zeitpunkt und Empfängerkreis.
- Eine Webagentur betreibt das Hosting für die Website eines Kunden und hat dabei zwangsläufig Zugriff auf Server-Logfiles oder Daten aus Kontaktformularen.
- Eine Performance-Marketing-Agentur verwaltet das Google-Ads-Konto eines Kunden und verarbeitet dabei Daten über Nutzer, die auf Anzeigen klicken.
Sobald eine solche Konstellation vorliegt, ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag stellt sicher, dass die Agentur die gleichen hohen Datenschutzstandards einhält, denen auch der Kunde unterliegt. Das Fehlen eines AVV ist ein formeller Verstoß, der von Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet werden kann (Art. 83 Abs. 4 lit. a DSGVO).
- Gegenstand, Dauer, Art und Zweck der Verarbeitung.
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen.
- Die Pflicht der Agentur, die Verarbeitung nur auf dokumentierte Weisung des Kunden durchzuführen.
- Die Verpflichtung zur Vertraulichkeit der Mitarbeiter der Agentur.
- Die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen (TOMs) zum Schutz der Daten (z.B. Verschlüsselung, Zugriffskontrollen).
- Regelungen zur Beauftragung von Sub-Auftragsverarbeitern (z.B. Hostinganbieter, E-Mail-Tool-Anbieter), die nur mit Genehmigung des Kunden erfolgen darf.
- Unterstützungspflichten gegenüber dem Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung etc.).
- Regelungen zur Meldung von Datenschutzverletzungen an den Kunden.
- Die Pflicht zur Löschung oder Rückgabe aller Daten nach Beendigung des Auftrags.
- Gegenstand, Dauer, Art und Zweck der Verarbeitung.
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen.
- Die Pflicht der Agentur, die Verarbeitung nur auf dokumentierte Weisung des Kunden durchzuführen.
- Die Verpflichtung zur Vertraulichkeit der Mitarbeiter der Agentur.
- Die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen (TOMs) zum Schutz der Daten (z.B. Verschlüsselung, Zugriffskontrollen).
- Regelungen zur Beauftragung von Sub-Auftragsverarbeitern (z.B. Hostinganbieter, E-Mail-Tool-Anbieter), die nur mit Genehmigung des Kunden erfolgen darf.
- Unterstützungspflichten gegenüber dem Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung etc.).
- Regelungen zur Meldung von Datenschutzverletzungen an den Kunden.
- Die Pflicht zur Löschung oder Rückgabe aller Daten nach Beendigung des Auftrags.
Agenturen sollten daher standardisierte, aber anpassbare AVV-Muster vorhalten, die sie mit ihren Kunden abschließen können. Es reicht nicht aus, die Regelungen im Hauptvertrag oder in den AGB zu verstecken; ein separater, klar als solcher erkennbarer Vertrag ist die rechtssichere Lösung.
Eine sorgfältige Ausgestaltung dieser Verträge ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Baustein im Rahmen eines umfassenden Vertragsmanagements.
Gemeinsame Verantwortlichkeit (Joint Controllership): Wenn die Rollen verschwimmen
Komplexer wird die Situation, wenn eine Agentur nicht nur weisungsgebunden handelt, sondern gemeinsam mit dem Kunden über die Zwecke und Mittel der Datenverarbeitung entscheidet. In diesem Fall liegt eine Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (Joint Controllership) vor. Die Abgrenzung zur Auftragsverarbeitung ist oft schwierig, aber rechtlich von enormer Bedeutung.
Der entscheidende Faktor ist die gemeinsame Definitionsmacht. Wenn beide Parteien ein wesentliches Interesse an der Verarbeitung haben und deren Ablauf maßgeblich mitgestalten, sind sie gemeinsame Verantwortliche. Dies hat zur Folge, dass beide gegenüber den Betroffenen und den Aufsichtsbehörden in der Verantwortung stehen.
Praxisbeispiele für Joint Controllership
- Eine Agentur und ein Kunde konzipieren und veranstalten gemeinsam ein Gewinnspiel auf Social Media. Beide legen die Teilnahmebedingungen, die zu erhebenden Daten (z.B. E-Mail-Adresse für die Gewinnbenachrichtigung) und die Werbezwecke fest.
- Eine PR-Agentur organisiert ein Event für einen Kunden und sammelt Anmeldedaten der Gäste, die sowohl für die Event-Organisation (Interesse der Agentur) als auch für spätere Marketing-Aktionen des Kunden (Interesse des Kunden) genutzt werden.
- Der Betrieb einer Facebook-Fanpage: Laut Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urt. v. 05.06.2018, C-210/16 – „Wirtschaftsakademie Schleswig-Holstein“) und nachfolgend des BGH sind der Seitenbetreiber (also die Agentur oder ihr Kunde) und Facebook gemeinsam für die Verarbeitung der Seiten-Insights-Daten verantwortlich.
Liegt eine Gemeinsame Verantwortlichkeit vor, müssen die Parteien eine Vereinbarung nach Art. 26 DSGVO schließen. Diese Vereinbarung regelt transparent, wer von beiden welche Pflichten der DSGVO erfüllt. Insbesondere muss festgelegt werden:
- Wer die Informationspflichten nach Art. 13 und 14 DSGVO gegenüber den betroffenen Personen erfüllt (z.B. in der Datenschutzerklärung).
- Wer die Anlaufstelle für die Geltendmachung von Betroffenenrechten (Auskunft, Löschung etc.) ist.
- Wer für die Sicherheit der Verarbeitung (Art. 32 DSGVO) und die Meldung von Datenschutzpannen (Art. 33, 34 DSGVO) zuständig ist.
Der wesentliche Inhalt dieser Vereinbarung muss den betroffenen Personen zur Verfügung gestellt werden. Anders als beim AVV haften bei der gemeinsamen Verantwortlichkeit grundsätzlich beide Parteien gesamtschuldnerisch für Datenschutzverstöße. Eine fundierte datenschutzrechtliche Beratung ist hier unerlässlich, um die Rollen korrekt zu definieren und vertraglich abzusichern.
Die Herausforderung US-Dienstleister: Datentransfer nach dem „Schrems II“-Urteil
Kaum eine Agentur kommt heute ohne Tools und Cloud-Dienste aus den USA aus. Ob Analyse-Tools wie Google Analytics, CRM-Systeme wie HubSpot, Kollaborationsplattformen wie Slack und Figma oder Newsletter-Dienste wie Mailchimp – der Einsatz von US-Anbietern ist allgegenwärtig. Dies stellt Agenturen vor große datenschutzrechtliche Herausforderungen.
Die DSGVO (Art. 44 ff.) erlaubt die Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU/des EWR nur, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.
Der EuGH hat mit seinem „Schrems II“-Urteil (Urt. v. 16.07.2020, C-311/18) das damalige Abkommen „Privacy Shield“ für ungültig erklärt. Die Begründung: US-Sicherheitsgesetze (wie FISA 702) ermöglichen US-Behörden weitreichende Zugriffe auf Daten von EU-Bürgern, ohne dass diesen ein effektiver Rechtsschutz zur Verfügung steht.
Als Nachfolgeregelung wurde der EU-U.S. Data Privacy Framework (DPF) eingeführt. Für Transfers an US-Unternehmen, die unter dem DPF zertifiziert sind, besteht ein Angemessenheitsbeschluss der EU-Kommission. Praktisch bedeutet das:
Prüfung der DPF-Zertifizierung
Agenturen müssen für jeden eingesetzten US-Dienstleister prüfen, ob dieser auf der offiziellen DPF-Liste zertifiziert ist. Ist dies der Fall, ist der Datentransfer auf dieser Grundlage zulässig.
Alternative bei fehlender Zertifizierung oder SCCs
Ist ein Anbieter nicht zertifiziert, muss der Datentransfer auf eine andere Rechtsgrundlage gestützt werden. Die gebräuchlichste sind die Standardvertragsklauseln (Standard Contractual Clauses – SCCs) der EU-Kommission.
Der entscheidende Punkt aus dem „Schrems II“-Urteil bleibt jedoch auch beim Einsatz von SCCs bestehen: Der Datenexporteur (also die Agentur) muss eine fallbezogene Risikobewertung, ein sogenanntes Transfer Impact Assessment (TIA), durchführen.
In diesem TIA muss die Agentur dokumentieren, ob die Gesetze und die Praxis im Zielland (z.B. den USA) den Schutz durch die SCCs nicht untergraben. Falls ein Risiko besteht (was bei US-Überwachungsgesetzen anzunehmen ist), müssen zusätzliche Schutzmaßnahmen (sog. „supplementary measures“) ergriffen werden, wie z.B. eine starke Ende-zu-Ende-Verschlüsselung, bei der der US-Anbieter selbst keinen Zugriff auf die Klartextdaten hat.
Insbesondere für Digital- und Kreativagenturen ist die Dokumentation dieser Prüfung essenziell, um im Falle einer behördlichen Anfrage die eigene Sorgfalt nachweisen zu können.
Datenschutzrechtliche Absicherung und Haftungsrisiken für Agenturen
Die datenschutzrechtlichen Rollen und Pflichten müssen sich in der gesamten Vertragslandschaft einer Agentur widerspiegeln. Ein sauber aufgesetzter Agentur-Rahmenvertrag sollte bereits die Weichen stellen und klar definieren, in welchen Szenarien die Agentur als Auftragsverarbeiter oder potenziell als gemeinsam Verantwortliche agiert. Darauf aufbauend werden dann projektspezifisch AVVs oder Art. 26-Vereinbarungen geschlossen.
Die Haftungsrisiken sind erheblich. Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz.
Handelt eine Agentur als Auftragsverarbeiter fehlerhaft, etwa durch einen Verstoß gegen die Weisungen des Kunden oder durch eine Sicherheitslücke, kann sie direkt von Betroffenen in Anspruch genommen werden. Zudem kann der Kunde die Agentur im Innenverhältnis in Regress nehmen.
Noch gravierender können die Bußgelder nach Art. 83 DSGVO ausfallen. Verstöße gegen die Grundprinzipien der Verarbeitung, die Rechte der Betroffenen oder die Regeln zum Drittlandtransfer können mit bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes geahndet werden.
Formale Verstöße wie ein fehlender AVV oder ein unvollständiges Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) sind mit bis zu 10 Millionen Euro oder 2 % des Umsatzes bußgeldbewehrt.
Diesen Risiken können Agenturen nur durch eine lückenlose Dokumentation und rechtssichere Vertragsgrundlagen, die oft auch in den Allgemeinen Geschäftsbedingungen verankert werden, begegnen.
Fazit
Die Einhaltung der DSGVO ist für Agenturen keine optionale Kür, sondern eine grundlegende unternehmerische Pflicht. Die korrekte Bestimmung der datenschutzrechtlichen Rolle in jedem Kundenprojekt ist der erste und wichtigste Schritt. Meist wird die Agentur als Auftragsverarbeiter agieren und benötigt einen umfassenden AVV. In Konstellationen gemeinsamer Entscheidungsfindung ist jedoch eine Vereinbarung über die Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO unumgänglich, um die Pflichten klar zu verteilen und Haftungsrisiken zu steuern.
Eine besondere Daueraufgabe bleibt der Einsatz von Software und Tools von US-Anbietern. Der EU-U.S. Data Privacy Framework hat die Lage für zertifizierte Unternehmen entschärft, doch die Prüf- und Dokumentationspflichten bleiben bestehen. Für alle nicht-zertifizierten Anbieter ist der Weg über Standardvertragsklauseln in Kombination mit einem Transfer Impact Assessment weiterhin zwingend. Dies erfordert eine genaue Kenntnis der eingesetzten Dienste und eine fortlaufende Beobachtung der rechtlichen Entwicklungen.
Durch proaktives Handeln, die Implementierung sauberer Prozesse und die Verwendung rechtssicherer Vertragswerke können Agenturen nicht nur Bußgelder und Haftungsfälle vermeiden, sondern auch das Vertrauen ihrer Kunden stärken. Datenschutzkonformität wird so vom Kostenfaktor zum Qualitätsmerkmal und Wettbewerbsvorteil.