Externe Social-Media-Agenturen brauchen Zugriff – aber bitte kontrolliert. Der Artikel zeigt, welche Rechte wirklich nötig sind, warum Admin-Zugänge riskant sind und wie du mit AVV, Least-Privilege, Freigabe-Workflows, zeitlicher Begrenzung und sauberem Offboarding DSGVO-konform bleibst.
Die Zusammenarbeit mit einer externen Social-Media-Agentur ist Standard. Die Agentur übernimmt Content-Erstellung, Community Management oder Kampagnensteuerung – und braucht dafür Zugang zu euren Kanälen und Tools.
Genau hier beginnt für viele Unternehmen ein blinder Fleck: Wie viel Zugang bekommt die Agentur? In welcher Form? Wie wird der Zugang begrenzt? Was passiert am Vertragsende? Und was sind die DSGVO-Konsequenzen, wenn eine Agentur Zugang zu Kundendaten bekommt?
Aus Bequemlichkeit wird die Agentur oft mit maximalen Rechten ausgestattet: Admin-Zugang, direkter Plattformzugriff, manchmal sogar geteilte Passwörter. Das fühlt sich einfach an. In Wirklichkeit bedeutet es:
• Die Agentur kann ohne Rücksprache Inhalte veröffentlichen – ohne Freigabeprozess.
• Account-Einstellungen können geändert werden, ohne dass das Unternehmen es mitbekommt.
• Bei Vertragsende hat die Agentur möglicherweise noch monatelang Zugang.
• Im Streitfall ist nicht nachvollziehbar, wer was getan hat.
• Es gibt keine DSGVO-konforme Grundlage für die Datenweitergabe.
Das Principle of Least Privilege gilt auch für externe Dienstleister. Die Frage ist immer: Was braucht die Agentur konkret für ihre Aufgabe?
Content-Erstellung: Entwürfe anlegen und bearbeiten. Kein Publish-Recht, kein Zugang zu Analytics oder Account-Einstellungen.
Community Management: Antworten auf Kommentare und Nachrichten. Kein Recht, neue Posts zu erstellen oder zu veröffentlichen.
Kampagnensteuerung: Zugang zum Werbeanzeigenmanager. Kein organischer Content-Zugang notwendig.
Vollständiges Management: Erweiterter Zugang mit klaren Freigabe-Workflows. Kein Admin-Zugang zu Account-Einstellungen oder Nutzerverwaltung.
Keine Agentur braucht Admin-Rechte, die über ihre konkrete Aufgabe hinausgehen. Wer Admin-Rechte hat, kann das gesamte Konto verwalten – inklusive Löschen und Sperren.
Auftragsverarbeitungsvertrag (AVV) abschließen
Sobald eine Agentur im Auftrag des Unternehmens personenbezogene Daten verarbeitet – und das tut sie bei Social Media fast immer –, ist nach Art. 28 DSGVO ein AVV verpflichtend. Ohne AVV ist die Datenweitergabe an die Agentur ein DSGVO-Verstoß.
Serverstandort der Agentur prüfen
Verwendet die Agentur Tools mit US-amerikanischen Servern? Das kann eine Drittlandübermittlung darstellen. Prüfe, welche Tools die Agentur einsetzt und ob diese DSGVO-konform sind.
Datenzugriff dokumentieren
Welche Daten hat die Agentur Zugang zu? Das muss im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert sein.
1. AVV abschließen, bevor der erste Zugang vergeben wird.
2. Aufgaben der Agentur klar definieren: Was soll sie tun?
3. Nur die minimal notwendigen Rechte vergeben – kein Admin-Zugang ohne konkreten Bedarf.
4. Individuelle Nutzerkonten für Agentur-Mitarbeitende einrichten (keine geteilten Passwörter).
5. Zeitliche Begrenzung festlegen: Zugänge laufen mit Vertragsende ab.
6. Freigabe-Workflow einrichten: Kein Post der Agentur ohne interne Freigabe.
7. Offboarding bei Vertragsende definieren: Wer deaktiviert wann welche Zugänge?
8. Access Reviews einplanen: Regelmäßig prüfen, ob Rechte noch angemessen sind.
• Alle Nutzerkonten der Agentur deaktivieren.
• Prüfen, ob die Agentur direkten Plattformzugang hatte – falls ja, Passwörter ändern.
• Laufende Entwürfe und geplante Posts sichern und übergeben.
• Zugriffsrechte im AVV-Dokument als beendet dokumentieren.
• Prüfen, ob die Agentur Daten gespeichert hat, die gelöscht werden müssen.
Luceena ermöglicht die sichere Einbindung externer Agenturen mit granularen Rechten: eigene Konten, erzwungener Freigabe-Workflow, Offboarding mit einem Klick.
Externe Agenturen sind wertvoll. Unkontrollierter Zugang ist es nicht. Mit klaren Prozessen, individuellen Konten und einem definierten Freigabe-Workflow profitierst du von der Expertise der Agentur – ohne die Kontrolle über deine Kanäle, deine Daten und deine Compliance zu verlieren.