DSGVO für Blogger und Fotografen

Jetzt schreibt der auch noch einen Artikel darüber? Ja klar! Weil es mich, wie viele andere auch, beschäftigt. Im wahrsten Wortsinn.

Vorab

Dies ist keine Rechtsberatung, sondern nur meine persönliche Meinung, mit der ich durchaus im rechtlichen Sinne falsch liegen kann. Ich bin kein Jurist aber ich behaupte, einen gesunden Menschenverstand zu besitzen. Und Dinge damit zu betrachten und zu bewerten soll bekanntlich hilfreich sein.

Ich nehme das Thema Datenschutz sehr ernst und setze auch bisher schon alles daran, so wenige Daten wie möglich und diese nur solange wie nötig zu speichern. Aber ganz ohne geht es nicht. Das Internet funktioniert nicht ohne den Versand von personenbezogenen Daten, zu denen die IP-Adresse nun einmal gehört. Wie soll eine Seite wie diese angezeigt werden, wenn der Server nicht weiß, wohin er die ganzen Datenpakete schicken soll?

Die letzten Wochen liest man gefühlt nichts anderes mehr im Netz als Schreckensszenarien zum Thema DSGVO. Alle machen entweder Panik oder wollen Geld damit verdienen. Aber es nützt nichts, wenn man das Thema ernst nimmt.

Für uns Blogger bedeutet es daher in jedem Fall eines: Wir können das Thema nicht aussitzen. Keiner von uns. Auch die privaten Blogger nicht. Fotografen erst recht nicht.

Es gibt nur drei Alternativen

  • a) Ignorieren und weitermachen wie bisher – schlecht und ausdrücklich nicht zu empfehlen. Außer man steht auf Abmahnungen.
  • b) Die Seite vom Netz nehmen – das wäre schade um die Vielfalt im Internet. Andere Länder haben die Freiheiten gar nicht und wir wollen uns sie aus Angst vor Abmahnvereinen nehmen lassen?
  • c) Die Seite nach bestem Wissen und Gewissen DSGVO-konform umstellen bzw. anpassen – jede Menge Arbeit und am Ende keine 100%ige Sicherheit ohne anwaltliche Unterstützung.

Ich habe immer wieder zwischen b und c geschwankt, mich dann aber für c entschieden. Zu viel Arbeit und Herzblut stecken bereits in meinem Blog und es ist ein, wenn auch kleines, Standbein für mein Einkommen geworden. Das lasse ich mir nicht von einem Gesetz kaputt machen. Und an Gesetze müssen wir uns in unserem Land nun mal halten, so wenig zu Ende gedacht sie auch sein mögen.

Von der Zielsetzung und aus Sicht der Surferinnen und Surfer im Netz finde ich die DSGVO ja sogar gut! Diese erhalten mehr Rechte und es wird großen Firmen – zumindest in der Theorie – erschwert unsere Daten ohne unsere Einwilligung zu speichern. Und ich habe durch die Beschäftigung mit der DSGVO viel dazu gelernt. Lernen an sich ist etwas, was ich gerne mache (wenn mich das Thema interessiert). Gut, die DSGVO hätte ich jetzt nicht ohne Anlass gelesen und mich intensiv damit beschäftigt aber was muss, das muss. Auch wenn ich manche Male geflucht habe (und das immer noch tue). Nun aber ist die Entscheidung vorerst gefallen, meinen Blog weiter zu betrieben.

Also durchbeissen!

Ich will jetzt auch keine allgemeinen Ratschläge geben, Euch aber mitteilen, was ich unter anderem gemacht habe. Ohne Anspruch auf Vollständigkeit natürlich.

Auf CremerSeele habe ich ohnehin schon so wenige Daten wie möglich gesammelt. Ich versende keine Newsletter und habe keinen Shop. Ich nutze kein Google Analytics, habe kein Google AdSense im Einsatz und auch Social Media Buttons  verwende ich nicht. Das sind alles schonmal Dinge, die ich abhaken kann. Ich brauche also z. B. keinen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Was ich nutze, sind Affliliate Links und Werbebanner um den Blog am laufen zu halten und meine Arbeit damit ein wenig entlohnt zu bekommen. Hinweise dazu befinden sich schon in der „alten“ bzw. aktuell noch gültigen Datenschutzerklärung und auch dieser Text enthält mit „*“ gekennzeichnete Werbelinks. Denn Kommentare sind zwar auch eine Art Lohn für mich aber davon kann ich nicht einkaufen 🙂 Daher bin ich jedem dankbar, der über einen dieser Links bei Amazon* einkauft, der ein Adobe Abo über das Banner rechts abschließt oder eine App im iTunes Store kauft, die ich in einem meiner Artikel empfohlen habe.

Kommentare

Hier werden Daten gesammelt und das werde ich, entgegen der Empfehlung auf einigen Seiten, auch weiterhin machen. Ich bin als Betreiber der Seite verantwortlich für Kommentare unter den Artikeln. Auch wenn ich diese nicht selber geschrieben habe. Da ich nicht jeden Kommentar einzeln moderieren will, lasse ich Kommentare ohne Links immer zu. Ich glaube zunächst an das Gute im Menschen und an Euch. Ich gucke mir alle Kommentare natürlich immer im Nachhinein an und beantworte diese auch so zeitnah wie möglich. Aber es kann theoretisch vorkommen, dass dies erst ein paar Tage später geschieht. In der Regel gucke ich zwar täglich aber auch ich werde mal krank oder bin unterwegs und dort auch mal bewusst offline. Jetzt schreibt in dieser Zeit z. B. jemand eine Hasstirade oder rechtsradikales Gedankengut als Kommentar. Natürlich würde ich den Kommentar sofort löschen aber vielleicht löst das ganze eine Strafverfolgung aus. Und ich will in einem solchen, wenn auch unwahrscheinlichen Fall, auskunftsfähig sein. Dazu speichere ich die IP Adressen des Kommentators neben dem Namen (kann ja auch ein Nickname sein) plus die angegebene E-Mail Adresse vorübergehend (!) in der Datenbank.

Name und E-Mail könnten zwar gefaket sein aber über die IP kann man (wenn diese nicht auch „verbogen“ wird) Rückschlüsse ziehen. Ich habe also ein berechtigtes Interesse gem. Artikel 6 der DSGVO an diesen Daten und werde die IP daher auch nicht anonymisieren. Kommentare abschalten möchte ich auch nicht. Davon lebt ein Blog meiner Meinung nach und Rückmeldungen von Euch machen einen großen Teil der Freude aus, die ich am Schreiben habe. Wenn ich Kommentare nur um auf Nummer Sicher zu gehen, komplett deaktiviere, kann ich das Blog meiner Meinung nach auch einstampfen. Und es ist auch gar nicht schwer, das DSGVO-konform einzubinden. Wie ihr unten sehen könnt, kann keiner mehr einen Kommentar abgeben, ohne nicht vorher der Speicherung der Daten zuzustimmen. Dazu gehört auch die Übermittlung der Daten um einen evtl. vorhandenen Gravatar anzuzeigen. Auch das finde ich wichtig, um Leserinnen und Leser wiederzuerkennen. Schließlich sind wir Blogger so etwas wie eine virtuelle Gemeinschaft. Und mit dem Hinweis neben dem Button – vor dessen Bestätigung auch kein Kommentar mehr möglich ist – komme ich meiner Informationspflicht gegenüber den Nutzern nach.

Ich kann Euch zu diesem Zweck übrigens das WordPress Plugin „WP GDPR Compliance“ empfehlen. Damit werde ich ab spätestens 25.05. auch das Recht auf Auskunft und das Recht auf Vergessen umsetzen. So kann sich jeder per Mail eine Auskunft einholen, welche Daten gespeichert sind und diese auf Verlangen durch mich löschen lassen.

Hosting und die Auftragsdatenverarbeitung

Pflicht ist in jedem Fall einen Vertrag zur Auftragsdatenverarbeitung mit seinem Hoster abzuschließen! Das genau ist aber nun ein Thema, was mich in einem besonderen Maße betrifft. Die Alpendeich Community setzt aus guten Gründen auf Server der Firma Cyon. Diese hat Ihren Sitz allerdings in der Schweiz. Die gehört bekanntlich nicht zur EU. Aber sie zählt zu einem von zwölf Ländern, welchen die EU-Kommission einen sogenannten Angemessenheitsbeschluss ausgestellt hat. Darin wird dem jeweiligen Land bescheinigt, ein zur EU passendes Datenschutzlevel zu haben. Soweit so gut. Mit Cyon kann man rechtzeitig vor dem 25.05.2018 auch einen DSGVO konformen Vertrag zur Auftragsdatenvereinbarung abschließen und ist hier safe. Wenn nun die EU aber auf die Idee kommt, der Schweiz den Angemessenheitsbeschluss nicht zu verlängern, stehe ich dumm da. Dann müsste ich den Anbieter für meinen Webspace wechseln. Der Aufwand wäre nicht zu verachten. Wer schon mal mit seinem Blog von A nach B gezogen ist, weiß was ich meine. Links funktionieren evtl. nicht mehr, Medien wie Bilder und Audio müssen neu verknüft und eingebunden werden, etc. Das wäre nervig. Ist noch nicht spruchreif, schwebt aber wie ein Damoklesschwert über jedem, der einen Hostinganbieter außerhalb der EU nutzt.

Abmahnvereine oder „Wie mache ich mein Impressum und die Datenschutzerklärung abmahnsicher“.

Ich könnte Euch in deftigen Worten beschreiben, wie ich mich als Mitglied eines Abmahnvereins fühlen würde. Aber damit ist keinem geholfen. Denn ob man will oder nicht, ob andere beim Gedanken an diese Vereine vielleicht Bock auf Gewalt kriegen oder nicht, sie sind da und werden Dich finden! Wenn man nicht aufpasst. Was es in Eurem konkreten Fall zu beachten gibt, kann nur ein Anwalt sicher sagen. Wenn man sein Impressum und seine Datenschutzseiten über einen Anwalt erstellen lässt, ist man zumindest dahingehend auf der sicheren Seite, dass er mit dafür verantwortlich ist. Wenn nicht, sollte man zumindest ein paar Punkte beachten und über entsprechende Generatoren eine passende Erklärung sowie ein Impressum erstellen lassen und dieses anpassen! Es gibt auf dieser Webseite – natürlich anonym – die Möglichkeit, sich einen Eindruck zu verschaffen, ob das eigene Impressum oder die Datenschutzrichtlinie OK und abmahnsicher ist. Ohne Garantie und letztlich wurden auch schon Blogs für Dinge abgemahnt, die augenscheinlich falsch sind. Aber man hat zunächst den Aufwand. Daher lieber ein wenig Aufwand im Vorfeld betreiben. Der kostet zwar auch Zeit aber zumindest kein Geld. Außer, man nimmt sich einen Anwalt.

Markenrecht

Bei dieser Gelegenheit empfehle ich übrigens, den genutzten Blog-Namen zu prüfen. Eventuell ist der Name markenrechtlich geschützt. Das kann man hier überprüfen.

Fotografen

Die DSGVO ist ein Thema, welches einen als Fotograf in jedem Fall betrifft! Aber auch hier wird zu viel Panik gemacht. Das geht soweit, dass manch einer schon das Ende der Fotografie sieht.

Stichwort: „Ein Foto ist ein personenbezogener Datensatz.“ 

In der Studiofotografie hat man einen Vertrag oder zumindest eine Vereinbarung mit den Models. Ein Model-Release-Vertrag sollte hier Standard sein. Der muss bis zum 25.05. angepasst und um einige Punkte bezogen auf die DSGVO ergänzt werden. Fotos verarbeitet man somit auf Grundlage der passenden Absätze des Artikels 6 der DSGVO.

Schwieriger wird das Thema bei Hochzeiten, Street-Photography und Veranstaltungen. Schwierig aber nicht unlösbar. Denn: Bis auf die Street-Photography haben die meisten Fotografen eine Vereinbarung mit den Vereinen, dem Brautpaar oder anderen „Vertragspartnern“. Hier muss man zwar noch ein wenig abwarten, bis echte rechtliche Klarheit herrscht aber ich würde nicht direkt meinen Job an den Nagel hängen.

Zusammenfassend kann man Auftrags-Fotografen bescheinigen, dass diese Fotos – Entschuldigung: personenbezogene Daten – nicht „einfach so“ speichern (daher heißt es ja auch „Speicherkarte“), sondern aus gutem Grund!

Ein Alternative zu Artikeln die „Das Ende der Fotografie“ einläuten, bietet übrigens dieser Artikel.

Verfahrensverzeichnis

Das ist nicht erst seit der DSGVO ein Thema. Daher überrascht es mich nicht. Legt Euch eines an und gut ist. Investiert ein paar Stunden Arbeit (wenn überhaupt) und ihr seid auch hier auf der sicheren Seite. Muster dazu gibt es genügend. Zum Beispiel auf den Seiten der Handwerkskammer. Die Beschäftigung damit sensibilisiert einen auch nochmal mit dem Thema Datenverarbeitung. Und das an sich ist positiv.

Handwerkskammer

Als Fotograf muss man, wenn man diese Bezeichnung auch tragen möchte, ein Gewerbe anmelden und in der Handwerkskammer eingetragen sein. Diese hat eine gute Übersicht zusammengestellt:

https://www.hwk-duesseldorf.de/artikel/eu-datenschutz-neue-pflichten-fuer-unternehmer-31,0,4012.html

WordPress Plug-ins

Da gibt es einige problematische und ich hatte zum Glück keines davon im Einsatz. Die Antispam-Bee nutze ich DSGVO konform und habe alle Funktionen deaktiviert, die Daten weiterleiten würden.

Eine gute Übersicht findet ihr auf dieser Seite.

Und last but nost least: Kekse!

Einen Cookie Hinweis habe ich schon länger im Einsatz. Wenn man Drittanbieter Cookies nutzt (mache ich nicht, siehe meine Hinweise zu Google Analytics) könnte man auch noch einen Button einbauen, der diesen Code blockieren würde. So aber gibt es nur den Button zur Zustimmung. Ein echtes „Opt-in“ ist technisch aktuell schlicht nicht möglich. Da sind die Hersteller der Browser gefragt, die Cookies per default nicht zulassen dürften. Jeder Nutzer kann das zwar selber so einstellen, wird es aber im Zweifelsfall nicht. Das hat ja auch was mit dem Abwägen zwischen Komfort beim surfen und „ich mag keine Kekse“ zu tun. Mehr als darauf hinweisen und den „Zustimmen“ Button und einen Link auf den Datenschutz setzen, kann man meiner Meinung nach mit den aktuellen technischen Voraussetzungen nicht machen und sollte hier auf der sicheren Seite sein. Ich nutze dazu das Plug-in Cookie-Notice.

Wie geht ihr mit dem Thema um?

Das Web bietet einige Seiten für Euch, die auf die einzelnen Themen intensiver eingehen als ich. Wenn ihr Zeit, Lust und viel Kaffee oder Tee habt, sucht das Netz gerne ab. Ich habe es bereits hinter mir.

Habt einen schönen Tag und lasst Euch die Freude am Netz und vor allem an der Fotografie nicht durch die DSGVO verderben!

Mit (*) gekennzeichnete Links sind Affiliate/Werbe-Links. Ein Kauf kostet keinen Cent mehr, unterstützt aber meine Arbeit an dem Blog, da ich im Falle eines Kaufs eine Provision erhalte. Mehr Infos dazu auch hier.

3 Comments

  1. Jürgen Drogies
    12. Mai 2018

    Hallo Markus,
    zum Thema Cookie-Hinweis: Sind Cookies für ein (Ex-)Alpendeich WordPress-Blog überhaupt relevant? Wenn man keinen Shop betreibt, keine Google-Analytics eingebunden hat?
    Viele Grüße
    Jürgen

    Antworten
    1. Markus
      13. Mai 2018

      Hallo Jürgen,
      für mich sind sie relevant. Und für Dich vermutlich auch. Stichworte sind z. B. VG-Wort, Amazon-Links, etc. Du kannst die Cookies über die Chrome oder Firefox Entwickler Tools anzeigen lassen. Hier ist ein englischer Artikel dazu:
      http://cookielawinfo.com/does-my-website-use-cookies/
      Viele Grüße
      Markus

      Antworten
      1. Jürgen Drogies
        13. Mai 2018

        Danke Markus, Amazon und VG-Wort hatte ich ganz vergessen. Inzwischen habe ich gelesen, dass auch eingebettete You-Tube Videos dazugehören. Bei mir läuft jetzt „Cookie notice“.
        Beste Grüße
        Jürgen

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.