DSGVO Datenschutz für Fotografen – iCloud, WhatsApp & Co.

Die Anpassung der eigenen Website ist die eine Konsequenz der DSGVO. Der Umgang mit Kundendaten endet aber nicht auf der Website, sondern geht weiter. Was hier in Sachen Apps und Cloud-Computing aus meiner Sicht zu beachten ist, fasse ich kurz in diesem Artikel zusammen.

Wie auch in meinem letzten Artikel gilt auch hier: Dies ist keine Rechtsberatung.

Die Kommunikation mit elektronischen Mitteln ist längst Alltag. Und was im privaten Umfeld zwar auch fraglich aber zumindest nicht verboten ist, wird im gewerblichen Umfeld schnell zur Gefahr für Abmahnungen oder einem Rechtsstreit. Ein paar Beispiele?

Apples iCloud

Die Synchronisierung von Fotos, Kontakten und Terminen per iCloud ist privat eine feine Sache. Wer aber hier gewerbliche Kontakte oder Termine anlegt oder gar Fotos von Kunden in die iCloud Fotomediathek lädt und diese über die iCloud Server synchronisiert, handelt entgegen der iCloud Nutzungsbedingungen Ziffer IV A von Apple:

[…] Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist […]

Zusätzlich bekommt man auch Probleme hinsichtlich der DSGVO. Denn Apple fungiert in dieser Hinsicht nicht als Datenverarbeiter und bietet dementsprechend auch keine Vereinbarungen zur Datenverarbeitung an. Im Gegenteil: Ich habe gelesen, dass Apple sich hier eher als Datenkontolleur versteht.

Also: Keine Fotos, Kontakte oder Termine von Kunden über die iCloud synchronisieren. Dazu zählt letztlich auch so ein Dienst wie iMessage. Wenn man nun aufgrund der im Impressum stehenden Mobilnummer per iMessage von einem Kunden angeschrieben wird, kann man das zwar nicht verhindern, die weitere (geschäftliche) Kommunikation würde ich dann aber über andere Kanäle wählen.

Mein Rat: iCloud = Finger weg bei gewerblicher Nutzung!

WhatsApp

Diese Datenkrake von Facebook liest Daten aus den Kontakten aus und gibt diese an Facebook weiter! Auch wenn die in den Kontakten befindlichen Personen selber kein WhatsApp nutzen! Daher Finger weg im gewerblichen Umfeld oder von jedem eine Einwilligung holen. Denn jeder, der diese App dienstlich nutzt ohne von jedem seiner im Adressbuch stehenden Personen eine Zustimmung zu haben, macht sich aus Datenschutzgesichtspunkten strafbar. Also auch hier gilt:

Mein Rat: WhatsApp = Finger weg bei gewerblicher Nutzung!

Hier noch ein Link, der das Thema ausführlicher behandelt.

E-Mail

Jetzt wird es ein wenig schwieriger mit der Bewertung. Der E-Mail Standard SMTP ist über 30 Jahre alt und während eMails zwar generell mit einer Transportverschlüsselung wie SSL verschlüsselt sind (oder sein sollten!), gilt diese Verschlüsselung eben nicht für den Inhalt. Und eine Ende-zu-Ende Inhaltsverschlüsselung wie S/MIME oder OpenPGP gilt niemals für den Header. Der enthält (wie ein Briefumschlag) immer die Daten von Absender, Empfänger und Betreff. Damit die Inhaltsverschlüsselung funktioniert, müssen beide Mail-Clients diese Verfahren unterstützen.

S/MIME oder OpenPGP sind Public-Key-Verfahren, welche in der Praxis aber wohl kaum bei der ersten Kommunikation mit einem Interessenten zum Einsatz kommen werden. Bei Kunden kann bzw. muss man das vereinbaren, wenn es genutzt werden soll. Denn schließlich ist dies keine einseitige Verschlüsselung, sondern auch alle Kunden müssten diese Verschlüsselung mit einrichten. Jeder Teilnehmer braucht seinen privaten Schlüssel sowie die öffentlichen Schlüssel aller Teilnehmer.

Hier eine gute Beschreibung:

https://netzpolitik.org/2013/anleitung-so-verschlusselt-ihr-eure-e-mails-mit-pgp/

Das es keine absolute Sicherheit gibt, zeigt aber auch die Berichterstattung zum Thema „Efail“. Aber das sollte bitte keinen Anlass zu der Annahme geben, dass man dann ja gar nicht verschlüsseln muss.

Artikel 32 der DSGVO besagt übrigens:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Nun ist die Frage also, wie vertraulich sind die Daten. Es werden natürlich personenbezogene Daten ausgetauscht aber wenn ein Kunde mit mir per Mail Kontakt aufnimmt, dann übermittelt er mir ja freiwillig diese Daten. Und eine Kontaktaufnahme kann ich per se ja nicht untersagen, weil ich ja sogar verpflichtet bin, meine Kontakdaten im Impressum zu nennen (und natürlich auch an einer Kontaktaufnahme interessiert bin). Wie dann die weitere Kommunikation läuft, sollte man eben unter Berücksichtigung der Risiken entscheiden.

Verträge

Jeder Fotograf sollte Verträge mit seinen Kunden abschließen. Schon alleine um die Nutzungsrechte der Fotos zu regeln. Diese Verträge kann man klassisch in Papierform archivieren oder aber (wie ich) elektronisch. Auch hier sind entsprechende TOM (Technich organisatorische Maßnahmen) zum Datenschutz zu treffen. Eine beliebte App ist z. B. Easy Release*. Kostet 10,99 EUR. Ich nutze als Alternative aktuell „SmartModelRelease*“. Diese bietet als InApp Kauf für einmalig 9,99 EUR eine unbegrenzte Anzahl an Verträgen und eine gut gelungene Vertragsverwaltung. Man kann eigene Verträge implementieren und diese auch je Kunde anpassen.

Eine Sache ist bei beiden Apps wichtig um DSGVO konform zu bleiben: Lasst den iCloud Upload deaktiviert. So praktisch dieses Feature sein mag: Ihr verstosst damit gegen den Datenschutz bzw. selbst wenn Eure Kunde dazu eingewilligt haben, verstosst ihr immer noch gegen die iCloud Nutzungsbedingungen (siehe oben). Ich erscheine Euch an dieser Stelle vielleicht päpstlicher als der Papst aber erstens habe ich mit der Kirche nichts am Hut und zweitens nehme ich den Datenschutz ernst.

So eine App bietet übrigens auch eine gute Möglichkeit seine Kunden im Bereich „Models“ zu verwalten und ersetzt für meine Kunden das klassische Adressbuch meiner privaten Kontakte. Verschlüsselt ist das ganze auch durch die Sicherheitsmechanismen am iPad und da die Backups für mein gewerbliches iPad lokal liegen und verschlüsselt sind, ist dem Datenschutz auch entsprechend Artikel 32 ein angemessenes Schutzniveau zu erreichen.

Adobe Lightroom CC (Cloudbasierte Version)

Auch hier bin ich persönlich vorsichtig und kann aktuell nur abraten Kundenfotos (also Menschen!) mit der Adobe-Cloud zu synchronisieren. Ich nutze dafür einen lokalen Katalog mit Lightroom CC Classic auf meinem gesicherten MacBook Air bzw. einer externen Platte und bin damit auf der sicheren Seite. Falls ihr es doch vorhabt wäre meine Empfehlung: Vorab eine Information aushändigen und Zustimmung der Kunden einholen sowie einen Vertrag zur Auftragsdatenverarbeitung mit Adobe abschließen.

vorläufiges Fazit (Abschließend ist so ein Thema irgendwie nie)

Macht Euch Gedanken um all diese Dinge, auch wenn sie nervig sind. Und verliert nicht den Spaß an der Fotografie deswegen!

Mit (*) gekennzeichnete Links sind Affiliate/Werbe-Links. Durch einen Kauf über den Link werde ich am Umsatz beteiligt. Dies hat für Dich keine Auswirkungen auf den Preis. Mehr Infos dazu auch hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.