Datenschutzbeauftragter Marketing-Agentur

Häufig gestellte Fragen

Braucht mein Unternehmen einen Datenschutzbeauftragten?

Wenn mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten, besondere Datenkategorien verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist, müssen Sie einen DSB bestellen.

Was kostet ein externer Datenschutzbeauftragter?

Bei der DATUREX GmbH beginnen die Kosten ab 250 €/Monat als Pauschale. Darin enthalten sind alle gesetzlichen Pflichtaufgaben, Schulungen und laufende Beratung. Alle Preise im Überblick →

Was passiert bei einem Datenschutzverstoß?

Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes drohen. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener.

Datenschutz in der Marketing-Agentur

Marketing-Agenturen stehen vor besonderen datenschutzrechtlichen Herausforderungen, da sie häufig sowohl eigene Daten als auch Daten ihrer Kunden verarbeiten. Die Abgrenzung zwischen eigenverantwortlicher Verarbeitung und Auftragsverarbeitung, der Umgang mit Tracking-Technologien und die Einhaltung der Einwilligungspflichten sind zentrale Themen, die eine professionelle Datenschutzberatung unerlässlich machen.

Tracking und Webanalyse

Marketing-Agenturen implementieren und verwalten häufig Tracking-Lösungen für ihre Kunden: Google Analytics, Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel, Google Tag Manager und serverseitiges Tracking. Seit dem TTDSG und der Rechtsprechung zum Cookie-Consent ist für nahezu alle Marketing-Tracking-Tools eine vorherige Einwilligung erforderlich. Die Agentur muss sicherstellen, dass die Consent-Management-Plattform korrekt konfiguriert ist und die Tags tatsächlich erst nach Einwilligung feuern. Ein häufiger Fehler: Der Google Tag Manager wird ohne Consent geladen und überträgt bereits beim Seitenaufruf Daten an Google — dies muss durch einen korrekten Consent-Mode verhindert werden. Serverseitiges Tracking bietet mehr Kontrolle, entbindet aber nicht von der Einwilligungspflicht.

Newsletter und E-Mail-Marketing

E-Mail-Marketing ist für viele Agenturen ein Kerngeschäft. Die datenschutzrechtlichen Anforderungen sind umfangreich: Double-Opt-in-Verfahren für die Einwilligung, nachweisbare Dokumentation der Einwilligung mit Zeitstempel und IP-Adresse, jederzeitige Widerrufsmöglichkeit durch einen Abmeldelink in jeder E-Mail, Auftragsverarbeitungsvertrag mit dem Newsletter-Dienstleister (Mailchimp, CleverReach, Sendinblue, ActiveCampaign). Die Analyse des Öffnungs- und Klickverhaltens durch Tracking-Pixel bedarf einer eigenen Einwilligung oder zumindest eines Hinweises mit Widerrufsmöglichkeit. Bei internationalen Kampagnen sind die unterschiedlichen rechtlichen Anforderungen der Zielländer zu beachten.

Social-Media-Management

Agenturen, die Social-Media-Kanäle für Kunden betreuen, agieren häufig als gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO — dies hat der EuGH in seiner Rechtsprechung zu Facebook-Fanpages klargestellt. Es muss eine Vereinbarung über die gemeinsame Verantwortlichkeit geschlossen werden, die die jeweiligen Pflichten transparent regelt. Bei der Erstellung von Social-Media-Content mit Personenfotos ist das Recht am eigenen Bild (KUG) zu beachten, bei User Generated Content die Einwilligung der dargestellten Personen einzuholen.

Auftragsverarbeitung im Agenturkontext

Die Frage, ob eine Agentur als Auftragsverarbeiter oder als eigenverantwortlich Verantwortlicher handelt, hängt vom konkreten Leistungsumfang ab. Reine Datenverarbeitung nach Weisung des Kunden (z. B. Versand eines Newsletters über die Kundendatenbank) ist Auftragsverarbeitung. Kreative Leistungen mit eigenem Gestaltungsspielraum (z. B. Konzeption einer Kampagne) sind eigenverantwortliche Verarbeitung. In der Praxis liegen häufig Mischformen vor, die vertraglich klar geregelt werden müssen.

Agenturen als Auftragsverarbeiter

Wenn Marketing-Agenturen personenbezogene Daten im Auftrag ihrer Kunden verarbeiten, sind sie Auftragsverarbeiter nach Art. 28 DSGVO. Dies hat weitreichende rechtliche und organisatorische Konsequenzen, die sowohl die Agentur als auch den Auftraggeber betreffen.

Anforderungen an den Auftragsverarbeitungsvertrag

Der AVV muss gemäß Art. 28 Abs. 3 DSGVO folgende Regelungen enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen, Weisungsbindung der Agentur, Vertraulichkeitspflichten, technische und organisatorische Maßnahmen, Regelungen zur Unterauftragsverarbeitung, Unterstützung bei Betroffenenrechten und Datenschutzverletzungen sowie Löschung oder Rückgabe der Daten nach Vertragsende. Viele Agenturen nutzen standardisierte AVV-Vorlagen, die jedoch an den konkreten Leistungsumfang angepasst werden müssen.

Unterauftragsverarbeitung

Marketing-Agenturen setzen typischerweise zahlreiche Subdienstleister ein: Cloud-Hosting, E-Mail-Plattformen, Analyse-Tools, CRM-Systeme, Design-Tools (Adobe Creative Cloud, Canva), Projektmanagement-Software und Freelancer. Jeder Subdienstleister, der personenbezogene Daten des Kunden verarbeitet, ist ein Unterauftragsverarbeiter, für den die Agentur die Genehmigung des Auftraggebers einholen muss. Die gängige Praxis ist eine allgemeine Genehmigung mit Widerspruchsrecht: Der Kunde wird über neue Unterauftragsverarbeiter informiert und kann innerhalb einer Frist widersprechen.

Technische und organisatorische Maßnahmen

Die Agentur muss angemessene TOMs nach Art. 32 DSGVO implementieren und nachweisen können: Zutrittskontrolle (gesicherte Büroräume), Zugangskontrolle (Passwortrichtlinien, Zwei-Faktor-Authentifizierung), Zugriffskontrolle (Berechtigungskonzepte), Weitergabekontrolle (verschlüsselte Datenübertragung), Eingabekontrolle (Protokollierung), Auftragskontrolle (Weisungsdokumentation), Verfügbarkeitskontrolle (Backups) und Trennungsgebot (mandantengetrennte Datenhaltung). Besonders die mandantengetrennte Verarbeitung der Kundendaten ist eine häufige Schwachstelle bei Agenturen.

Häufig gestellte Fragen

Braucht unsere Agentur einen Datenschutzbeauftragten?

Die Bestellpflicht hängt von der Mitarbeiterzahl und der Art der Verarbeitung ab. Ab 20 Mitarbeitern, die regelmäßig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter Pflicht. Aber auch kleinere Agenturen sollten einen DSB bestellen: Wer als Kerngeschäft personenbezogene Daten verarbeitet — etwa durch E-Mail-Marketing, Tracking oder Social-Media-Management —, kann unabhängig von der Mitarbeiterzahl bestellpflichtig sein. Ein externer Datenschutzbeauftragter bietet für Agenturen den Vorteil, dass er nicht in interne Konflikte gerät und branchenspezifische Expertise mitbringt.

Wie gehen wir mit Kundendatenbanken um, wenn ein Kundenvertrag endet?

Nach Beendigung des Agenturvertrags müssen alle personenbezogenen Daten des Kunden nach dessen Wahl gelöscht oder zurückgegeben werden — so sieht es Art. 28 Abs. 3 lit. g DSGVO vor. Die Löschung muss dokumentiert und dem Kunden bestätigt werden. Ausnahmen gelten nur für Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (steuerrechtliche Aufbewahrungspflichten für Rechnungen). Erstellen Sie einen standardisierten Off-Boarding-Prozess, der die vollständige Datenlöschung und -rückgabe sicherstellt.

Dürfen wir Kundenprojekte als Referenzen auf unserer Website zeigen?

Referenzen mit Kundennamen, Logos oder Projektdetails bedürfen der Zustimmung des Kunden. Dies sollte idealerweise bereits im Agenturvertrag geregelt werden. Dabei ist zu beachten: Wenn die Referenz personenbezogene Daten Dritter enthält (z. B. Screenshots mit Nutzerprofilen, E-Mail-Adressen in Newsletter-Beispielen), müssen diese Daten anonymisiert oder unkenntlich gemacht werden. Die Einwilligung des Kunden allein reicht nicht für die Verarbeitung personenbezogener Daten Dritter.