Fotografen Verzeichnis deutscher Berufsfotografen:

23.04.2018 - 13:02 Uhr

Die Umsetzung der DSGVO als Fotograf oder Freiberufler - eine Anleitung, was zu beachten ist!

DSGVO Umsetzung Fotograf

 

Was ist bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) als Freiberufler, Fotograf und Selbstständiger zu beachten?

Um eines Vorweg zu nehmen: Ja, die DSGVO betrifft jeden Fotografen und Freiberufler. Die Annahme, dass kleine Betriebe befreit sind, oder dass man personenbezogene Daten gar nicht oder nur unregelmäßig verarbeitet, trifft auf einen professionellen Fotografen nicht zu. Denn IP-Adressen zählen genauso zu den personenbezogenen Daten, wie E-Mailadressen oder Telefonnummern.

Die gute Nachricht ist allerdings, dass die Umsetzung bei den meisten Fotografen und Freiberuflern zwar einige Stunden in Anspruch nehmen wird, aber nicht so weitreichende Änderungen nötig macht, wie viele meinen. Somit ist sie auch jetzt noch - rechtzeitig zum Stichtag am 25. Mai 2018 - zu schaffen.

 

Der Grundgedanke der DSGVO ist, dass personenbezogene Daten nur rechtmäßig, für einen festgelegten Zweck, transparent und in möglichst geringem Umfang erhoben werden und dauerhaft geschützt werden sollen.

Eigentlich sollte das im Interesse Aller sein und im nachfolgenden beschreiben wir anhand einer typischen Internetseite eines Fotografen / Freiberuflers, welche Punkte beachtet werden müssen.

Aufgrund der Komplexibilität der Materie und der teilweise noch nicht vorhandenen Rechtsprechungen sind unsere Empfehlungen allerdings weder vollständig noch rechtlich verbindlich. Eine weiterführende Recherche oder der Kontakt zu einer fachlichen Stelle ist bei Unklarheiten unbedingt zu empfehlen.

 

Um Ängsten vorzubeugen: Die DSGVO schränkt niemanden in der Ausführung seiner Dienstleistung ein. Die Erhebung und Weitergabe von Daten, die zur Vertragserfüllung einer angebotenen Dienstleistung notwendig sind, ist zulässig. Allerdings ist man in der Pflicht dafür zu sorgen, dass der Umgang mit den Daten und die Weitergabe an externe Dienstleister den Vorgaben der DSGVO entspricht.

 

Wie gehe ich bei der Umsetzung der DSGVO als Fotograf oder Freiberufler konkret vor? Hier eine Schritt für Schritt Anleitung mit Muster für das Verarbeitungsverzeichnis.

- Herausfinden, wo on- und offline personenbezogene Daten erhoben, verarbeitet und weitergegeben werden

- alle Vorgänge an die DSGVO anpassen (falls notwendig)

- Verarbeitungsverzeichnis erstellen

- Datenschutzerklärung aktualisieren

 

Der erste Schritt bei der Umsetzung der DSGVO als Fotograf sollte eine Bestandsaufnahme sein, an welchen Stellen auf der eigenen Seite personenbezogene Daten erhoben, verarbeitet, bewusst weitergegeben oder unbewusst durch plug-ins erfasst werden. Bei der gewöhnlichen Seite eines Fotografen sind meist die folgenden Punkte zu beachten:

- Hoster

- SSL Verschlüsselung

- IP-Adressen

- Kontaktformular

- Analysetool / google analytics

- Facebook plugin / widget

- Eingebundene Videos

- Newsletter

- Share tool

- Cookies

- google fonts

- Datenweitergabe an externe Dienstleister wie Steuerberater, Mailingdienste, Buchungssyteme, Shops, CRM, Cloud Lösungen

 

Aus dieser Auflistung ergeben sich sofort etliche Fragen, denen die Überlegung, auf welche Tools man verzichten kann, vorangestellt werden sollte. Denn je weniger Plug-ins man nutzt und je weniger Daten man an Externe weitergibt, desto unkomplizierter ist die Umsetzung der DSGVO. Muss es beispielsweise ein facebook Plug-in sein, oder genügt eine Verlinkung? Kann der Newsletter über den eigenen Server versendet werden, anstatt über einen US-Anbieter? Benötige ich wirklich ein Kontaktformular?

Gehen wir nun aber der Reihe nach durch, wo man mit einer gewöhnlichen Seite mit personenbezogenen Daten in Berührung kommt und worauf man achten sollte:

 

 

Hoster, bei dem die eigene Seite liegt:

- Da hier immer personenbezogene Daten gespeichert sind, besteht Handlungsbedarf. Zuerst ist ein Vertrag zur Auftragsdatenverarbeitung mit dem Hoster abzuschließen. Bei den meisten Hostern gibt es dazu Vordrucke.

- Es muss dauerhaft sichergestellt sein, dass die eigene Webseite sicher ist, also dass sichere Passworte verwendet werden und regelmäßig Sicherheitsupdates gemacht werden.

- Da die IP-Adressen der Besucher beim Hoster in Logfiles gespeichert werden, muss dies deaktiviert oder die IP-Adressen anonymisiert werden.

 

SSL Verschlüsselung:

- Eine SSL Verschlüsselung führt zu einem Schutz der Daten und ist somit jedem - nicht nur im Hinblick auf die DSGVO - anzuraten. Für alle Seiten, die Formulare (und sei es nur ein Kontaktformular) haben, ist eine SSL Verschlüsselung sogar Pflicht.

 

IP-Adressen

- gelten als personenbezogene Daten und dürfen nur gespeichert werden, wenn sie zur Funktionsfähigkeit des Dienstes notwendig sind. Dann gilt

- Sie sollten möglichst immer anonymisiert werden.

- Es muss eine Widerspruchsmöglichkeit in der Datenschutzerklärung auf der Webseite geben.

- IP-Adressen werden meist in Logfiles gespeichert - siehe “hoster”.

 

Kontaktformular

- Eine SSL Verschlüsselung der Seite ist Pflicht.

- Ferner ist darauf zu achten, dass die IP Adresse nur anonymisiert gespeichert wird.

 

Analysetool wie google analytics

- Wie auch beim hostinganbieter muss hier ein Vertrag über die Auftragsdatenverarbeitung geschlossen werden. Dies geht im analytics account einfach per Klick.

- Die IP muss anonymisiert werden.

- Der Nutzer muss in der Datenschutzerklärung auf sein Widerspruchsrecht und auf technische Möglichkeiten dazu (opt out cookie) aufmerksam gemacht werden.

- Es muss sichergestellt sein, dass dies auch auf Smartphones funktioniert (dafür muss zusätzlich etwas Code eingefügt werden)?

 

Facebook Plug-in

- Alle Plug-ins sollten entfernt werden oder mit der Shariff-Lösung neu eingebunden werden. Selbst eine 2-Klick-Lösung ist nicht ausreichend.

 

Eingebundene Videos

- youtube bietet zwar keinen Auftragsdatenverarbeitungsvertrag (mit der DSGVO nur noch Auftragsverarbeitungsvertrag genannt), dafür aber einen “erweiterten Datenschutzmodus” an, mit dem Videos neu auf der eigenen Seite eingebunden werden können. Dies reduziert die übermittelten Daten.

- Die Datenschutzerklärung muss ergänzt werden.

 

Newsletter

- Die Nachweispflicht mit Double-Opt-In, elektronischer Protokollierung und Widerrufsrecht bleibt bestehen.

- Die Datenschutzerklärung muss unter anderem auch die Rechtsgrundlage, Dauer und den Zweck der Verarbeitung erhalten.

- Die Versendung über einen externen Anbieter unterliegt Vorgaben. Siehe “Weitergabe von Daten an externe Dienstleister”.

 

Share tools

- viele Tools übermitteln Daten schon vor dem Klick und sollten nicht mehr eingesetzt werden.

 

Cookies

- da Cookies als personenbezogene Daten gelten, gilt auch hier der nach der DSGVO der Grundsatz des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass auch weiterhin eigene Cookies und auch Cookies von Drittanbietern gesetzt werden dürfen, sofern das wirtschaftliche Interesse des Seitenbetreibers überwiegt und die Cookies notwendig und rechtmäßig sind.

- Beim ersten Besuch der Seite sollte auf die Cookies hingewiesen werden. Meist geschieht das durch ein Cookie Consent Plugin, was auf dem eigenen Server liegen sollte.

 

Google fonts

- Eine Einbindung sollte lokal erfolgen, damit beim Seitenaufruf keine Font-Daten geladen werden, denn dabei wird die IP-Adresse übermittelt.

 

Weitergabe von Daten an externe Dienstleister (Steuerberater, Mailingdienste, Buchungssyteme, Shops, CRM, Cloud Lösungen, etc.)

- Wie auch beim Hoster muss bei einer Weitergabe von Daten an Externe ein Vertrag über die Auftragsdatenverarbeitung (Data-Processing-Agreements) geschlossen werden und die eigene Datenschutzerklärung ergänzt werden. Gerade bei Anbietern außerhalb der EU sollte hier besondere Vorsicht walten. 

 

Hat man dies alles geklärt, müssen für die Umsetzung der DSGVO noch folgende Punkte bedacht werden:

Verarbeitungsverzeichnis (bisher: Verfahrensverzeichnis):

Die Führung eines Verzeichnisses aller Datenverabeitungstätigkeiten ist mit der DSGVO auch für einen einzelnen Selbstständigen Pflicht, denn er ist zwar kleiner als 250 Mitarbeiter, verarbeitet aber "nicht nur gelegentlich" personenbezogene Daten zum Beispiel durch die Internetseite und E-Mail Kundenkontakt. Es gibt keine Vorgabe, wie das Verzeichnis auszusehen hat.

Eine leicht zu nutzende Vorlage, die man als Muster für das Verarbeitungsverzeichnis nach DSGVO als Fotograf nutzen kann, findet man hier: https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis

Weitere Erklärungen findet man hier:

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

 

Recht auf Vergessen-werden:

Auf Verlangen des Nutzers müssen alle personenbezogenen Daten gelöscht werden. Allerdings haben die gesetzlichen / steuerlichen Aufbewahrungspflichten Vorrang.

 

Auskunftsrecht:

Jeder Betroffene kann Auskunft darüber verlangen, ob und welche personenbezogenen Daten von ihm erhoben, verarbeitet und weitergegeben werden. Die Beantwortung muss innerhalb eines Monats geschehen. Eine Muster findet man hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.pdf

 

Datenschutzerklärung als Fotograf - sie muss in Bezug aufi die DSGVO angepasst werden:

Je nachdem welche Tools man auf der Internetseite einsetzt und welche Inhalte sie hat, muss die Datenschutzerklärung individuell angepasst werden. Es gibt Baukastensysteme, mit deren Hilfe man sich eine Datenschutzerklärung nach DSGVO als Fotograf zusammenstellen kann. Ein Anbieter ist www.e-recht24.de

  

Je nach Aufbau, Inhalten und verwendeten Tools wird es bei jedem Fotografen noch weitere Punkte bei der Umsetzung der DSGVO geben, die bedacht werden müssen.

Wenn man sich aber klar darüber ist, an welchen Stellen man Daten erfasst oder weitergibt, kann man das eigene Unternehmen mit dieser Anleitung relativ zügig DSGVO konform gestalten und sehen, an welchen Punkten weiterer Handlungsbedarf besteht.

 



1 2 3
...
12 13 14 15 16
...
210 211 212

Portfolios auf Berufsfotografen

Jetzt als Fotograf anmelden:

zeigen Sie Ihre Bilder, Vita, Referenzen - alle Vorteile und Infos:

kostenlos als Fotograf anmelden
Newsletter Anmeldung Berufsfotografen
Ich abonniere den kostenlosen Newsletter und habe die Datenschutzerklärungen gelesen und akzeptiert.


Datenschutzerklärung kostenloser Newsletter

Sie stimmen dem kostenlosen Erhalt des Newsletters der Miss Audrey UG (haftungsbeschränkt) zu. Der Newsletterversand erfolgt per E-Mail. Der Newsletter enthält Informationen über fotografische und verwandte Themen, über Produkte und Angebote für Fotografen und Selbstständige. Ihre personenbezogenen Daten, die wir für den Versand des Newsletters verarbeiten, werden nicht an Dritte weitergegeben oder Ihnen zur Verfügung gestellt. Sie können den Erhalt des Newsletters jederzeit mit Wirkung für die Zukunft per Email an mail@berufsfotografen.de oder postalisch an die im Impressum angegebene Adresse abbestellen.

Jobangebote wie diese automatisch per Mail erhalten?

Alle Fotografen, die mit einem Silber- oder Goldeintrag registriert sind, erhalten Jobs aus der jeweiligen Region, die Auftraggeber über die Jobbörse einstellen, per Mail zugesendet.

Wenn auch Sie zukünftig diese Jobangebote per Mail erhalten möchten, registrieren Sie sich bitte mit einem Silber- oder Goldeintrag.

Weitere Features zur Selbstvermarktung als Fotograf, die Ihnen ein Eintrag bietet:

  • Jobangebote über die Mailunktion
  • News im eigenen Profil veröffentlichen
  • PDF und vCard Ihres Profils zum Download für Kunden
  • Vita, Referenzen, Verlinkungen, Google Maps
Jetzt eintragen