Datenschutz für Online- und Medien-Agenturen

Sicherheit für Ihre Kreativität

Wir sind Ihre zuverlässigen Partner in Datenschutzfragen und bei der Umsetzung der Anforderungen des neuen Datenschutzrechts (DSGVO).

datenschutz-fuer-agenturen-mitarbeiter-herodata

Die DSGVO in der Agenturarbeit

Kunden- und Mitarbeiterdaten sind ein sensibles Gut. Online- und Medienagenturen werden durch die EU-Datenschutz-Grundverordnung daher vor besondere Anforderungen gestellt. Der Umgang mit den Daten in der Agenturarbeit erfordert besondere Sicherheitsvorkehrungen und geschultes Personal. Wir unterstützen Sie bei der Erstellung und Umsetzung eines Datenschutzkonzepts und beraten Sie und Ihre Mitarbeiter.

datenschutz-fuer-agenturen-online-shopping-herodata

Neue Rechte für Kunden

Die DSGVO hat für Besucher und Kunden von Websites zusätzliche Rechte und für Agenturen neue Vorschriften eingeführt. Diese betreffen vor allem die Information darüber, welche Daten zu welchem Zweck erhoben werden, an wen sensible Daten weitergegeben werden dürfen und wie lange Daten gespeichert bleiben. Wir helfen Ihnen dabei, die Verarbeitung der Daten an die gesetzlichen Standards anzupassen und die Informationspflichten gegenüber Ihren Kunden zu erfüllen.

datenschutz-fuer-agenturen-cms-herodata

Externe Datenschutz-beauftragte

Gern prüfen wir für Sie, ob Ihre Online- oder Medienagentur dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Auf Wunsch können wir als externe Datenschutzbeauftragte für Sie tätig werden und Sie vor unnötigem Stress bewahren.

Wir sind Ihre zuverlässigen Partner in Datenschutzfragen

... und bei der Umsetzung des neuen Datenschutzrechts (DSGVO) in Ihrer Agentur.

Fragen aus der Praxis

Betrifft mich und meine Kunden das aktuelle EuGH-Urteil zum Einsatz von Cookies?

Vermutlich schon, gibt es doch so gut wie keine Website, die ohne Cookies betrieben wird. Zu unterscheiden, sind dabei aber die technisch notwendigen Cookies (wie z.B. die für die Warenkorb-Session eines Online-Shops) und die Cookies, die zur Vermarktung oder zum Tracking eingesetzt werden. Für letztere benötigen Sie eine aktive und informierte Einwilligung des Nutzers – bevor einer dieser Cookies gesetzt wird (Opt-In). Der richtige Prozess ist individuell zu besprechen, wir beraten Sie gerne.

Wir betreiben und verwalten für unsere Kunden auch Google Analytics-Konten. Müssen wir mit dem Kunden einen Auftragsverarbeitungsvertrag abschließen?

Ja, natürlich. Da Sie im Auftrage Ihres Kunden hier Zugriff auf personenbezogene Daten haben (bspw. IP-Adressen von Website-Nutzern), benötigen Sie einen Auftragsverarbeitungsvertrag. Bei der Erstellung eines solchen Vertrags  helfen wir Ihnen gerne und vertreten Ihre Interessen bei der Ausgestaltung der notwendigen vertraglichen Inhalte.

Können Sie uns bei der Ausgestaltung der internen Prozesse bei Betroffenenanfragen oder bei Datenschutzvorfällen helfen?

Selbstverständlich. Wenn Sie z.B. mit Ihren Teams wie eine externe Abteilung Ihrer Kunden tätig sind und Online-Shops oder Websites administrieren, haben Sie auch laufend Umgang mit personenbezogenen Daten der Kunden. Wir helfen Ihnen dabei, die notwendigen internen Prozesse aufzusetzen, damit Sie Betroffenenanfragen oder Meldungen aufgrund von Datenschutzvorfällen frist- und formgerecht beantworten können.

Hilfe bei...

Erstellung von Datenschutzerklärungen und Kunden-/Mitarbeiterinformationen

Die Internetseiten Ihrer eigenen Agentur und auch die Ihrer Kunden müssen eine Datenschutzerklärung enthalten, in der die Seitenbesucher über die Nutzung der sie betreffenden personenbezogenen Daten aufgeklärt werden. Diese Erklärung erstellen wir gern für Sie.

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Die für die Verarbeitung von personenbezogenen Daten verantwortlichen Stellen sind verpflichtet, ein Verzeichnis der Verarbeitungsvorgänge zu erstellen und es aktuell zu halten. Dafür müssen diese Vorgänge in Ihrer Agentur erfasst und dann einzeln dokumentiert werden. Hierbei beraten und unterstützen wir Sie gern.

Benennung eines Datenschutzbeauftragten für Ihre Agentur

Der Datenschutzbeauftragte Ihrer Agentur unterstützt die Verantwortlichen bei der Einhaltung der komplexen Vorschriften der neuen Datenschutz-Grundverordnung und dient zugleich als Ansprechpartner für die Betroffenen und die zuständigen Aufsichtsbehörden. Wir prüfen, ob auch Sie einen Datenschutzbeauftragen bestellen müssen.

Meldung von Datenschutzverstössen

Datenschutzverstöße sind häufig – schon die versehentliche Übersendung eines Werbe-Mailings an einen Kunden, der nicht eingewilligt hat, kann eine Verletzung von Datenschutzvorschriften darstellen. Wenn durch den Datenschutzverstoß ein hohes Risiko für die Rechte und persönlichen Freiheiten der Betroffenen entstehen sollte, sind Sie sogar dazu verpflichtet, den Verstoß gegenüber dem Betroffenen  und auch bei der zuständigen Datenschutzbehörde zu melden, um empfindliche Sanktionen zu vermeiden. Wir helfen Ihnen, zu überprüfen, ob ein entsprechender Verstoß vorliegt und was ggfs. zu veranlassen ist.

Beschwerden von Betroffenen

Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.

Wir unterstützen Sie für den Fall, dass eine Aufsichtsbehörde Ihnen ein Auskunftsersuchen zuschickt und übernehmen die Koordination und Kommunikation im Rahmen der gesetzlichen Fristen.

Erfolge mit...

Erfüllung der Informationspflichten

Neu in der DSGVO ist, dass die Verantwortlichen dazu verpflichtet sind, die von der Datenverarbeitung Betroffenen (in der Regel Kunden und Beschäftigte) über die Datenverarbeitungsvorgänge zu informieren. Hierbei unterstützen wir Sie gern.

Aufsetzen von Prozessen zu Auskunftsrechten von Kunden

Kunden haben durch die DSGVO neue Rechte, die z.B. die Information über Datenverarbeitungsprozesse und umfassende Auskunft über gespeicherte Daten, aber auch Ansprüche auf die Berichtigung und Löschung von Daten betreffen. Entsprechende Anfragen muss Ihre Agentur innerhalb kurzer Fristen bearbeiten.  Sie sollten daher hierfür rechtzeitig Prozesse aufsetzen, um nicht unvorbereitet von Anfragen überrascht zu werden. Bei der Erarbeitung und Umsetzung dieser Prozesse sind wir Ihnen gern behilflich.

Erarbeitung einer Datenschutzrichtlinie

Die personenbezogenen Daten Ihrer Mitarbeiter und Ihrer Kunden sind besonders geschützt. Ein Datenschutzkonzept, das die Datenerhebung, -verarbeitung und -weitergabe regelt, Notfallpläne enthält und für Sie und ihre Mitarbeiter klare Regeln im Umgang mit Kunden- und Beschäftigtendaten enthält, ist eine gute Voraussetzung für den gesetzlich gebotenen sicheren Umgang mit personenbezogenen Daten. Bei der Erarbeitung eines Datenschutzkonzepts stehen wir Ihnen gern beratend zur Seite.

Unterstützung durch...

Auftragsverarbeitungs-Verträge (AVV)

Online- und Medienagenturen, die sich bei der Verarbeitung personenbezogener Daten externer Dienstleister bedienen, sind verpflichtet, mit ihnen Vereinbarungen zur Auftragsverarbeitung abzuschließen, in denen die Rechte und Pflichten der Parteien geregelt werden. Wir stehen Ihnen beratend zur Seite und erstellen für Sie bei Bedarf entsprechende Verträge.

Technische und organisatorische Maßnahmen

Die rechtmäßige Verarbeitung von personenbezogenen Daten setzt voraus, dass in Ihrer Agentur geeignete technische und organisatorische Maßnahmen (z.B. beim Einsatz von Verwaltungssoftware und IT-Ressourcen, aber auch im Hinblick auf die Datensicherheit) getroffen werden. Bei der Erfüllung der Anforderungen an die technischen und organisatorischen Maßnahmen beraten wir Sie gern.

Verpflichtungserklärungen

Ihre Mitarbeiter müssen unter Datenschutz-Gesichtspunkten schriftlich auf das Datengeheimnis verpflichtet werden. Entsprechende Formulare oder Zusätze zum Arbeitsvertrag erarbeiten wir gern für Sie.

Datenschutz-Folgenabschätzungen

Insbesondere bei der Verwendung neuer Technologien der Datenverarbeitung muss vorab geprüft werden, ob mit der Datenverarbeitung besondere Risiken für die Rechte und Freiheiten natürlicher Personen einhergehen. Wenn dies der Fall ist, muss der Verantwortliche vorab eine Abschätzung der Folgen der Verarbeitungsvorgänge durchführen. Hier führen wir Sie gern durch das Prozedere.

FAQs Datenschutz für Mediziner

Wann ist eine Arztpraxis oder eine Therapeutenpraxis zur Benennung eines Datenschutzbeauftragten verpflichtet?

Bislang brauchten nur große Arztpraxen mit minimal Zehn Beschäftigten einen Datenschutzbeauftragten (DSB). Dies hat sich mit der DSGVO geändert. Nun muss ein DSB beauftragt werden sobald eine umfangreiche Verarbeitung besonderer Kategorien von Daten – Gesundheitsdaten fallen unter diese Kategorie – vorliegt. Umfangreich ist die Verarbeitung dieser Daten laut Landesbeauftragte für Datenschutz des Landes Bremen sobald Zwei oder mehr Ärzte in einer Praxis beschäftigt sind.

Benötigt die Arztpraxis ein Verarbeitungsverzeichnis? In welchem Umfang?

Ja, jede Praxis benötigt ein Verzeichnis aller Verarbeitungsvorgänge, denn bei       Gesundheitsdaten handelt es sich um eine besonders sensible Kategorie von Daten. Hier ist zunächst zu klären welche Verarbeitungsvorgänge es gibt. Die verschiedenen Verarbeitungsvorgänge benötigen unterschiedliche Dokumentation von Formularen und es muss festgelegt werden, welche Daten mit welcher Berechtigung verarbeitet werden. Es müssen alle eingesetzten Anwendungen, auf denen personenbezogene Daten gespeichert werden, aufgelistet werden.

Mit wem muss die Arztpraxis eine Auftragsdatenvereinbarung abschließen?

Eine Auftragsdatenvereinbarung muss mit jedem externen Dienstleister, der Patientendaten verarbeitet abgeschlossen werden. Ob dies nun die Kassenärztliche Vereinigung oder ein Terminerinnerungsservice ist – der Auftraggeber trägt die datenschutzrechtliche Verantwortung für die übermittelten Daten.

Wer darf Datenschutzbeauftragte/r sein?

Der oder die Datenschutzbeauftragte (DSB) kann eine fachgerecht geschulte angestellte Person sein, diese genießt dann besonderen Kündigungsschutz. Alternativ kann auch ein externer DSB beauftragt werden. Unsere Mitarbeiter sind IHK-Zertifiziert und verfügen über das nötige datenschutzrechtliche als auch das technische Fachwissen.

Wann sind Patientendaten zu löschen?

Personenbezogene Daten dürfen nur Zweckgebunden erhoben werden. Im Falle einer unberechtigten Erhebung von Daten müssen diese gelöscht werden. Wenn die Zweckbindung nicht mehr besteht – z.B. weil die Behandlung abgeschlossen ist – dürfen die Daten ohne Einwilligung des Patienten nicht mehr verwendet werden. Es besteht bei ärztlichen Dokumenten allerdings eine Aufbewahrungsfrist von Zehn bis 30 Jahren, unter Umständen steht Patienten aber auch ein Recht auf Löschung, Benachrichtigung oder Sperrung einzelner personenbezogener Daten zu.

Was passiert bei einer Datenpanne?

Datenschutzverstöße sind binnen 72 Stunden der Datenschutzbehörde zu melden egal ob Werktags, Sonn- oder Feiertags. Bei der Speicherung sensibler Daten die ein hohes Risiko für die Betroffenen bedeuten bedarf es zudem eine Datenschutzfolgeabschätzung (DSFA). Diese wird auch bei Praxen in denen Zwei oder mehr Ärzte zusammen arbeiten benötigt.

Gibt es eine Möglichkeit Datenschutz einfacher zu gestalten?

Ja, durch Privacy by Design. Datenschutz lässt sich schon von Anfang an integrieren. Datenschutz durch Technikgestaltung beschreibt das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Sinne der Datenschutz-Grundverordnung. So lässt sich die Einhaltung der DSGVO durch Privacy by Design vereinfachen.