Wie sehr ich mich mit dem Thema der neuen Datenschutz-Grundverordnung beschäftige, zeigen meine im entsprechenden Teil meines Blogs bereits erstellten Blogbeiträge (siehe „DSGVO-Konformes E-Mail-Marketing“ sowie „EU-DSGVO betrifft die meisten Schweizer Unternehmen„), wie auch meine Veröffentlichungen in anderen Medien. Auch wenn die neue Rechtsgrundlage in Anführungszeichen und bis 2020 „nur“ für Bürger von EWR-Staaten gilt und damit Schweizer Bürger noch nicht betrifft, habe ich mich dennoch bereits fit gemacht und möchte hier darauf eingehen, was die Europäische Datenschutz-Grundverordnung (EU-DSGVO oder englisch: GDPR) für mich als Fotograf ganz konkret in der Praxis bedeutet, resp. wie ich in diesem Kontext mit dem Thema verfahre.
Durch DSGVO erhalten betroffene Personen umfangreiche Rechte bzgl. ihrer personenbezogener Daten:
Recht auf Zugänglichkeit und Daten-Portabilität – Man kann eine Kopie der über sich erfassten Daten verlangen. Das Datenformat muss „üblich“ sein resp. sich für den Transfer zu einem anderen Anbieter eigenen.
Recht auf Richtigkeit und Aktualität – Man kann beantragen, dass die Informationen korrekt sind und falls gewünscht aktualisiert werden.
Recht auf Löschung – Sollte die Speicherung der Daten nicht notwendig sein, um rechtliche Anforderungen zu erfüllen, kann man deren Löschung beantragen.
Recht die Verarbeitung einzuschränken – Man kann die Verarbeitung seiner Daten (jederzeit) einschränken oder ganz verbieten.
Recht eine Beschwerde einzureichen – Man hat die Möglichkeit eine Beschwerde in seinem Land – aktuell nur EU- und EWR-Staaten – einzureichen.
Recht eine Freigabe (Consent) zu widerrufen – Man hat das Recht eine erteilte Freigabe zu widerrufen. Die Schwierigkeit dazu darf nicht grösser sein, als es war die ursprüngliche Freigabe zu erteilen.
Wichtig ist, dass man die Herkunft sämtlicher Informationen kennt, weiss wo und wie diese gespeichert und zu welchen Zwecken man diese verwendet. Hierzu ist es notwendig sämtliche Prozesse im Zusammenhang mit schützenswerten Daten zu überprüfen und allfällige Anpassungen vorzunehmen. Folgende Fragen habe ich mir gestellt:
- Welche personenbezogenen Daten werden gesammelt und verarbeitet?
- Was ist der Zweck meiner Datenverarbeitung?
- Werden die Rechte der Personen gemäss DSGVO erfüllt?
- Wie sieht mein Data Breach Konzept aus?
- Bin ich als Datenschutz-Beauftragter ausreichend informiert?
Aber, welche Daten fallen denn alles unter die neue Regelung?
Abgesehen einiger weniger Ausnahmen (z.B. Fotos im öffentlichen Raum ohne Fokus auf eine bestimmte Person), sind alle Daten als besonders schützenswert zu betrachten, welche eine Person identifizierbar machen. Das heisst beispielsweise: Name, Geburtstag, E-Mail-Adresse, Wohnadresse aber auch jede Abbildung des Gesichts etc. Folgende Themen sind in der Folge im Rahmen der DSGVO für mich relevant und müssen entsprechend berücksichtigt werden:
1. Einwilligungspflicht
Bereits heute müssen Personen, welche in einer Fotografie erkennbar sind – abgesehen einiger Ausnahmen – aufgrund der Persönlichkeitsrechte um Erlaubnis gebeten werden, wollte man sie oder hat sie bereits abgelichtet. Neu ist, dass die Erlaubnis auch für die Verarbeitung der übrigen schützenswerten Daten im Kontext des Datenschutzes eingeholt werden muss. Liegt keine explizite Einwilligung vor, dürfen keine personenbezogene Daten verarbeitet werden.
Meine Massnahmen:
- Formulieren allgemeiner Angebots-Hinweise als Beilage zu jedem Angebot
- Ergänzung der allgemeinen Geschäftsbedingungen
- Ergänzung der Model- und Visa-Releases (Consents)
- Änderung der Cookie-Warnung zu einer Cookie-Zustimmung
- Sicherstellen der IP-Anonymisierung im Web-Analytics und Tag-Management Tool
2. DSGVO konforme Datenschutz-Richtlinie (Privacy Policy)
Eine aktuelle Datenschutz-Richtlinie muss öffentlich zugänglich sein. Insbesondere muss diese folgende Anforderungen erfüllen:
- Welche Daten werden verarbeitet
- Zu welchem Zweck werden erfasste Daten verarbeitet
- Wie und durch welche Systeme werden Daten verarbeitet
- Welche Parteien haben Zugriff auf die erhobenen Daten
- Wie werden Daten vor Zugriff unbefugter geschützt
- Wie lange die Daten gespeichert bleiben
- Wer ist der zuständige Datenschutz-Beauftragter
- Welche Firma steht hinter der Website („Verantwortlicher“)
Meine Massnahmen:
- Dokumentation sämtlicher Datenverarbeitungsprozesse
- Überarbeiten und vereinheitlichen der Datenschutz-Richtlinien aller Websites
- Technische Anpassungen der Website sowie der Tools für mein Digital-Marketing sowie deren Automation
3. Widerrufsrecht betroffener Personen
Gemäss DSGVO darf die Schwierigkeit eine Einwilligung zu widerrufen nicht schwieriger sein, als diese initial einmal zu erteilen.
Meine Massnahmen:
- Ergänzung der Model- und Visa-Release Dokumente (Consents)
- Einführung einer Konventionalstrafe bei Schaden durch Widerruf der Nutzungsrechte
4. „Privacy by Design“ (Informationssicherheit)
Die Datensicherheit (Schutz vor Zugriff unbefugter) muss in allen datenverarbeitenden Prozessen integriert und berücksichtigt sein. Auch dürfen Datenschutz-verschlechternde Optionen nicht mit einem Angebot gekoppelt werden („Kopplungsverbot“), wenn dies nicht notwendig ist.
Meine Massnahmen:
Keine, da ich dies bereits in früheren Überlegungen stehts bereits berücksichtigt und sichergestellt habe.
5. „Privacy by Default“ (Voreinstellungen)
Die Voreinstellungen müssen immer den höchstmöglichen Datenschutz ermöglichen. Nur eine aktive/explizite Änderung durch die betroffene Person darf den Datenschutz „verschlechtern“.
Meine Massnahmen:
- Prüfung sämtlicher Formulare und Dokumente sowie allfällige Anpassung dieser
6. weitere Massnahmen
Folgende weiteren Massnahmen habe ich ausserdem beschlossen umzusetzen:
- Konzept-Erstellung (Prozess) bei Antrag zur Löschung oder Übertragung personenbezogener Daten
- Konzept-Erstellung zur regelmässigen Löschung nicht benötigter Daten
Ausserdem
Ich halte mir offen, jederzeit weitere Massnahmen zu bestimmen, sobald ich weitere Erkenntnisse zur neuen Rechtsgrundlage erhalte. Da noch keine Rechtsprechung vorhanden ist, muss sich in Bezug auf viele Bereiche der neuen Verordnung erst zeigen wie diese im Kontext der Fotografie ausgelegt werden.
Für das in der Schweiz zusätzlich geltende Recht auf Anhörung bei automatischen Entscheidungen, stehe ich jederzeit persönlich zur Verfügung.
Aktuell prüfe ich ausserdem einen zukünftigen Einsatz eines elektronischen Systems zur Verwaltung der Freigaben. Ob und ab wann ich sowas einsetzen werde, kann ich zum aktuellen Zeitpunkt noch nicht beantworten. Im Moment bin ich überzeugt, dass die getroffenen Massnahmen einen weitaus umfangreicheren Schutz meiner Kundendaten gewährleistet als dies wohl 99% meiner Mitbewerber bieten.