Pressearbeit & DSGVO – Datenschutz bei der Öffentlichkeitsarbeit von Unternehmen

Pressearbeit im Allgemeinen ist eine der Kernaufgaben des Marketing im Unternehmen, schließlich geht es darum, die Öffentlichkeit zu informieren und auf das Unternehmen aufmerksam zu machen. Mit der Europäischen Datenschutzgrundverordnung (DSGVO) von 2018 haben die Stabsstellen eine neue Herausforderung zu bewältigen: Auf der einen Seite das Recht der freien Meinungsäußerung und Informationsfreiheit, auf der anderen den Schutz personenbezogener Daten, miteinander in Einklang zu bringen. Das derzeitige Fehlen nationaler Regelungen zur Öffentlichkeitsarbeit in Zusammenhang mit der DSGVO macht diese Aufgabe nicht einfacher. Pressearbeit und DSGVO, betrachtet im Zusammenhang mit Datenschutz – eine Gratwanderung zwischen rechtlichen Beschränkungen und freier Meinungsäußerung.

Wie ist der Datenschutz in der Pressearbeit geregelt?

Im Artikel 85 Abs. 1 DSGVO ist festgelegt, dass die nationalen Gesetzgeber Regelungen treffen, um freie Meinungsäußerung und Informationsfreiheit mit den Anforderungen der DSGVO (Verarbeitung zu journalistischen Zwecken) in Einklang zu bringen. Die Frage stellt sich, ob Presseabteilungen im Unternehmen Daten zu journalistischen Zwecken verarbeiten und unter die Öffnungsklausel fallen. Entscheidend wird sein, ob es sich um reine Produktwerbung handelt oder die Information für die Öffentlichkeit von Bedeutung ist. Nachdem noch durchgängige nationale Regelungen fehlen, unterliegt die Pressearbeit derzeit den Bestimmungen und Anforderungen der DSGVO.

Pressemitteilungen DSGVO-konform an Journalisten / Redaktionen versenden

Die DSGVO regelt die Zusendung von Informationen ohne vorhergehende Zustimmung des Empfängers und ermöglicht diese, wenn:

• Es im Interesse des Empfängers liegt, diese Informationen zu erhalten.
• Das Interesse des Versenders einen berechtigten Versand begründet.

In Auslegung dieser Bestimmungen sollte klar sein, dass reine Produktwerbung nicht im Interesse von Journalisten und Medien liegt, dass jedoch Informationen, die auch die Öffentlichkeit tangieren, sehr wohl einen berichtenswerten Inhalt haben können. In letzter Konsequenz wird wohl eine rechtliche Bewertung das Pendel in Richtung erlaubt oder verboten schwingen lassen.

Da Pressemitteilungen vielfach personenbezogene Daten enthalten (Namen, Beruf, Wohnort, …) oder ein Rückschluss auf die Person möglich ist, ist nach DSGVO die Zustimmung zur Veröffentlichung einzuholen. Das kann im Einzelfall alle Beschäftigten eines Unternehmens betreffen, die dann in entsprechender Weise zu informieren sind. Zwei Szenarien sind denkbar:

• Die Presse ist ohne dezidierte Aufforderung im Unternehmen anwesend, dann trifft das Medienprivileg (Ausnahme der Medien vom Datenschutzrecht) zu und die DSGVO hat Nachrang.
• Hat das Unternehmen die Presse zur Berichterstattung eingeladen, dann liegt es in dessen Verantwortungsbereich, dass von den Beschäftigten die Zustimmung zur Veröffentlichung eingeholt wird.

 

 

Erstellung und Nutzung von Presseverteilern

Bei einem Presseverteiler handelt es sich um ein grundlegendes Tool der Öffentlichkeitsarbeit. Eigentlich kann kein Unternehmen, Verein oder Verband bei seiner Medienarbeit darauf verzichten. Dort werden Kontaktdaten und weitere Informationen über Medien, Redaktionen und Journalisten gesammelt, die für das Unternehmen und jeweiligen thematischen Schwerpunkte relevant sind. Der Presseverteiler wird für die Kontaktpflege zu den Medien und vor allem für den Versand von Pressemeldungen verwendet.

Obwohl die Erstellung eines Presseverteilers und die stetige Pflege der Daten großen Rechercheaufwand bedeutet, bietet er einen ungeheuren Mehrwert, der sich lohnt. Ein gut gepflegter Presseverteile erhöht die Wahrscheinlichkeit, dass die eigenen Pressemeldungen bei der richtigen Person ankommen und veröffentlicht werden. Es lässt sich sagen, dass es nicht auf den Umfang ankommt, sondern auf eine adäquate Zusammenstellung.

Beim Aufbau eines Presseverteilers zwei wichtige Aspekte beachtet werden:

• Welche Daten dürfen gespeichert werden?
• Wer erhält unter welchen Umständen Pressemitteilungen?

Im Vordergrund steht das berechtigte Interesse des Unternehmens (dessen Presseabteilung), wenn es Kontakte zu Journalisten aufnimmt. Sofern diese nicht im Widerspruch zu einem schützenswerten Interesse stehen, ist es möglich, sie in einem Presseverteiler zu speichern. Es empfiehlt sich jedoch, darauf zu achten, dass die Daten der Öffentlichkeit ebenso zugänglich und wenig sensibel sind (Mail- und Arbeitsadressen).

 

 

Checkliste zum Aufbau eines DSGVO-konformen Presseverteilers:

• Recherchieren Sie die allgemeinen Redaktionsadressen, wie sie meist im Impressum der Medien zu finden sind. Dabei handelt es sich um keine personenbezogenen Daten (z. B. wirtschaft@tageszeitung.de). In einer Mail zur ersten Kontaktaufnahme ist auch die Kontaktadresse des zuständigen Journalisten zu erfragen. Mit der Übermittlung ist dann auch von der Zustimmung nach DSGVO auszugehen.
• In den Medien selbst und einzelnen Artikeln lassen sich die Kontaktadressen des zuständigen Journalisten entnehmen. Damit ist eine klare Ausrichtung auf die Zielgruppe zu erkennen und es liegt mit hoher Wahrscheinlichkeit berechtigtes Interesse vor.
• Bauen Sie eine Datenbank mit persönlichen Kontakten auf und sammeln Sie bei Veranstaltungen, Messen, Seminaren und Vergleichbarem Kontaktdaten. In einem weiteren Schritt können Sie um die Erlaubnis zur Verwendung im Presseverteiler bitten (elektronisch, persönlich). Die elektronische Variante weist wegen der Nachvollziehbarkeit eine höhere Sicherheit auf.
• Nutzen Sie die sozialen Medien zur Recherche. LinkEdin, Twitter und Co. werden immer wieder von Journalisten und Medienleuten bedient. Deren berechtigtes Interesse leitet sich aus den dort veröffentlichten Inhalten ab, wenn der Konnex zur Information aus dem Unternehmen als gegeben erscheint.
• Zu guter Letzt sind Journalisten immer auf der Suche nach berichtenswerten Inhalten. Sorgen Sie dafür, dass Ihre Pressemitteilungen in den Suchmaschinen gut ranken, dann gewinnen Sie hohe Aufmerksamkeit und die Medien kontaktieren Sie aus eigenem Interesse.

Soziale Medien

Oft bieten soziale Medien wie Xing oder LinkedIn eine berufliche Plattform zum Aufbau von Kontakten für Journalisten. In der Branche ist der Kurznachrichtendienst Twitter sehr beliebt, aber die Gestaltung eines souveränen Twitter-Profils, mit dessen Hilfe auch mit Journalisten kommuniziert werden kann, gestaltet sich meist als sehr zeitaufwendig. Allerdings lässt sich damit ein effektives, DSGVO konformes Netzwerk für den Presseverteiler aufbauen. Für die interne Kontaktaufnahme der sozialen Netzwerke spielt die DSGVO keine Rolle, denn die Zustimmung ist in den AGBs der jeweiligen Plattformen bereits geregelt.

Personenbezogene Daten in Pressemitteilungen

Unter Veröffentlichung personenbezogener Daten fällt auch die Möglichkeit, dass auf deren Identität durch die Angabe von Position, körperlichen Merkmalen und mehr geschlossen werden kann. Eine Veröffentlichung ohne Zustimmung ist beim Nachweis von berechtigtem oder öffentlichem Interesse möglich, wenn nicht die individuellen und schutzbedürftigen Interessen der Person überwiegen.

Liegt eine Zustimmung vor, dann ist zu beachten, dass diese jederzeit frei widerruflich ist. Wie weit sich ein derartiger Widerruf auf bereits veröffentlichte Aussendungen auswirkt, bedarf im Einzelfall einer rechtlichen Klärung. Es ist jedenfalls von der Position der betroffenen Person und der Art der Berichterstattung abhängig.

Beispiel: Vorstand eines Unternehmens: Es wird im berechtigten Interesse des Unternehmens und der betroffenen Person liegen, wenn über die erfolgreiche Führung und Entwicklung berichtet wird. Falls der Bericht allerdings bspw. rechtliche Verfehlungen der Person zum Inhalt hat, dann wird deren individuelles Interesse einer Veröffentlichung (Kenntlichmachung) entgegenstehen. Das ist auch zu beachten, wenn es in der Vergangenheit eine Zustimmung zur Verwendung personenbezogener Daten gegeben hat.

Die Medien sind geradezu verpflichtet, relevante Themen an die Öffentlichkeit zu bringen. Dafür wurde für Pressemitarbeiter ein wichtiges Grundrecht eingeführt: die allgemeine Pressefreiheit, die in der Verfassung unter Artikel 5 des Grundgesetzes geregelt ist. Demgegenüber steht das Persönlichkeitsrecht jedes einzelnen Bürgers, so dass die Presse immer in diesem Spannungsbogen.

Der deutsche Presserat hat dafür einen in seinem Pressekodex einen Leitfaden für Journalisten und Berichterstatter entwickelt. Unter der Wahrung des Datenschutzes sollen für die publizistischen Grundsätze ethische Maßgaben gelten, an denen sich jeder Journalist bei seiner Recherche, Berichterstattung oder Pressemitteilung orientieren sollte. Der Pressekodex gründet sich auf eine freiwillige Selbstverpflichtung des Einzelnen. Generell geht es u.a. darum:

• Um die Persönlichkeitsrechte zu wahren, sollen identifizierbare Informationen nur veröffentlicht werden, wenn das öffentliche Interesse über dem der schutzwürdigen Interessen des Betroffenen liegt. Ansonsten gilt natürlich die Anonymisierung der Daten.
• Da die Presse zur Wahrheit verpflichtet ist, werden nur Informationen veröffentlicht, die einer gewissenhaften und umfassenden Recherche standhalten kann.
• Bei dem Sammeln von Informationen sollen nur „saubere“ Methoden angewendet werden.
• Aus Gründen der Verschwiegenheit sind sämtliche Informanten zu schützen, da die schutzwürdigen Persönlichkeitsrechte dem Datenschutz genügen müssen.
• Falsche Informationen verlangen nach einer Richtigstellung (s. Gegendarstellung).
• Analog zu Gericht gilt auch in den Medien jemand so lange als unschuldig, bis seine Schuld ohne Zweifel bewiesen wird, z.B. durch eine Verurteilung.

DSGVO und Pressearbeit mit Fotos

Wenn Personen auf einer Fotografie, einem Video oder anderen Aufnahmen erkennbar abgebildet sind, ist eine Nutzung aufgrund des „Rechts am eigenen Bild“ nur mit der Zustimmung der entsprechenden Person möglich. Anders sieht es bei Versammlungen oder Demonstrationen aus, wo bestimmte Ausnahmeregelungen für die Presse gelten.

Wenn von Unternehmen über Veranstaltungen, Messen und mehr berichtet wird, sind die Informationen meist mit Fotos, auf denen auch Personen aufscheinen, aufgewertet. Die Öffentlichkeitsarbeit im Unternehmen unterliegt auch dabei den Regelungen der DSGVO. Das „mildere“ Kunsturheberrechtsgesetz (KUG) ist nur für Journalisten und Agenturen anwendbar. Es speilt auch keine Rolle, um wie viele Personen es sich handelt und wer darauf erkannt werden kann. Der Veranstalter sollte bei einer Einladung oder Anmeldung eine entsprechende Regelung treffen.

Bei Bildaufnahmen sind deshalb von der Presseabteilung folgende Punkte zu beachten:

Was ist noch bei DSGVO & Öffentlichkeitsarbeit im Unternehmen zu beachten?

In einem Unternehmen finden immer wieder mal Pressekonferenzen, ein Tag der offenen Tür oder andere Veranstaltungen für die Öffentlichkeit statt. Zahllose Personen tummeln sich auf dem Firmengelände, was allerdings hinsichtlich des Datenschutzes zu Problemen führen kann. Mit einer rechtzeitigen Vorbeugung behält man den Überblick und garantiert die Sicherheit der Daten.

Es ist wichtig zu wissen, wer sich im Unternehmen aufhält. Aus diesem Grund sollten die Besucher bei Ihrer Ankunft namentlich erfasst und nach der Registrierung mit einem Besucherausweis oder einem Namensschild ausgestattet werden. Dadurch ist eindeutig wer sich auf dem Firmengelände befindet, der Gast kann leicht identifiziert und von Mitarbeitern durch das Unternehmen geführt werden. In der Regel wird das von den Besuchern nicht als unnötige Kontrolle erachtet, sondern eher als Wertschätzung. Für die Familienmitglieder gibt es keine Ausnahmen. Sie müssen sich ebenso wie alle anderen Gäste auch an bestimmte Regeln halten. Nicht zugängliche Bereiche bleiben einfach nicht zugänglich. Es ist wichtig, das vorab klar zu kommunizieren, damit es später keine Irritationen oder Verärgerung wegen eines unerwünschten Verhaltens gibt.

Am Tag der offenen Tür oder bei Dreharbeiten sollten die Schreibtische aufgeräumt und sämtliche Unterlagen in abschließbaren Schubladen oder Schränken verstaut sein. Auf keinen Fall darf ein Tablet oder USB-Stick offen herumliegen. Nicht auszudenken, wenn das in falsche Hände geraten würde.

Um den Zugriff auf firmeninterne Daten zu vermeiden, sollten alle PCs ausgeschaltet und passwortgeschützt sein.

Bevor die Besucher eintreffen kann ein sorgfältiger Rundgang durch alle Räume nicht schaden, denn kleine Unachtsamkeiten lassen sich noch schnell korrigieren. Wenn Räume oder Bereiche mit sensiblen Daten nicht geschützt werden können, sollten sie wenigstens für Besucher gesperrt werden. Wenn die Mitarbeiter entsprechend instruiert sind, können sie ungebetene Besucher in diesen Gebieten freundlich aber bestimmt wieder auf den allgemein zugänglichen Bereich führen.

In den Besprechungsräumen könnten sich am Schwarzen Brett, auf White Boards oder auf Flipcharts sensible Informationen oder Daten, ggf. auch zu Personen, befinden. Das geht natürlich niemand etwas an, deshalb müssen sie gelöscht oder zumindest für diesen Tag entfernt werden.

Es ist natürlich vergebliche Mühe, wenn für Besucher ein Foto- und Filmverbot ausgesprochen wird. Im Zeitalter der Handys und Smartphones eher lächerlich. Wenn es tatsächlich Tabu-Bereiche im Unternehmen geben, sollte man auf Nummer sichergehen und sie wirksam verschließen. 

Bereits im Vorfeld sollte mit dem IT-Stab abgeklärt werden, ob und wie eine ungeschützte WLAN Schadsoftware installiert werden kann und wie ein effektiver Schutz davor aussieht. Kann sich tatsächlich ein Besucher unbefugt Zugang zu den Unternehmensnetzwerken verschaffen? Hier ist eine effiziente Vorsorge gefragt.