DSGVO für Fotografen – Der Ultimative Guide

5. April 20186. Juli 2018

DSGVO für Fotografen – Der Ultimative Guide

[Update 09.05.2018 Datenschutzerklärung – Generator gefunden / Rechtsberatung zur DSGVO / Weiterführende Links bezüglich Fotorecht / Neue Infos bezüglich Cookie Plugin + Update auf v.1.5 / Neue Plugins alternativ zu Autoptimize / WordPress mit SSL Zertifikat auf HTTPS umstellen / Google Analytics IP-Adressen anonymisiert / Auftragsdatenverarbeitungsverträge Hinweise hinzugefügt]

Der Tag der Entscheidung rückt näher. Am 25.05.2018 tritt Europaweit die DSGVO in Kraft. Eine Grundverordnung zum Schutz der Daten von Privatpersonen im Internet. Normale Bürger sollen vor Unternehmen geschützt werden, die mit persönlichen Daten arbeiten. Doch was haben gewöhnliche Fotografen damit zutun?

DGVO-Fotografen

Inhaltsverzeichnis

DGVO-Fotografen
Was ist die DSGVO und wieso wurde sie geschaffen?
DSGVO Fotografie: Folgen
Websiteänderungen DSGVO für Fotografen
DSGVO Website Umstellung ist abgeschlossen (fast)
Drittanbieter Verträge abschließen
- Wer hat Zugriff auf die Daten?
Verzeichnis von Verarbeitungstätigkeiten erstellen
- Pflichtangaben für das Verzeichnis von Verarbeitungstätigkeiten:
Datenschutzerklärung DSGVO konform erstellen
Fazit

Wichtig zu wisen: Hobbyfotografen werden werden von der DSGVO nicht betroffen sein. Hier gilt weiterhin (noch) aktuelles Recht. Sobald Geld fließt und man die Fotografie kommerziell betreibt, greift jedoch die DSGVO.

Was ist die DSGVO und wieso wurde sie geschaffen?

Sobald Du eine Website kommerziell betreibst, wie zum Beispiel deine Website mit Portfolio und Kontaktformular für Shooting Anfragen, bist Du betroffen. Du kommst mit persönlichen Daten in Kontakt und verwaltest sie. Doch auch Cookies und verschiedene Plugins speichern persönliche Daten. Der Einfluss den Du darauf hast ist häufig gleich null.

Vielleicht kennt Du das auch. Du hast einen Film im Internet geschaut oder ein bestimmtes Produkt gesucht und plötzlich verfolgt es dich. Überall wird Dir Werbung angezeigt zu diesem Thema oder dem Produkt. Du fühlst Dich irgendwie ausspioniert und verfolgt.

Oder vielleicht kennst du auch folgendes Beispiel. Dein Mail Postfach ist voller Spam, obwohl du nur irgendwo einen Kommentar hinterlassen hast. Eventuell hast Du Dich für einen Newsletter angemeldet, oder in ein Branchenverzeichnis angemeldet und plötzlich bekommst Du Mails für Viagra (Der Klassiker).

Um diesen Dubiosen Machenschaften einen Riegel vorzuschieben (und wegen vieler weiterer Gründe), wird es nun die DSGVO geben. Wichtiger in diesem Artikel sind jedoch die aufgedeckten Folgen, die die DSGVO mit sich bringen kann.

DSGVO Fotografie: Folgen

Die Folgen der DSGVO: Fotografen ohne große Rechtsabteilung stehen vor gravierenden Herausforderungen. Agenturen und Anwälte müssen beauftragt werden um Websites und Datenschutzerklärungen wasserdicht zu machen. Hat man keine Lust das Geld dafür auszugeben, muss man es als kleiner Unternehmer, Freelancer oder als Fotostudio eben selbst machen. Diese Umstellung ist jedoch mit großem Aufwand und notwendigem Fachwissen verbunden. Doch ohne Umsetzung bestimmter Maßnahmen drohen Strafen. Es gilt also in jedem Fall sich mit dem Thema DSGVO Fotografie zu beschäftigen. Andernfalls können durch Fahrlässigkeit Probleme entstehen.

Die Folgen bei Nichteinhaltung der DSGVO sind konkret festgelegt und belaufen sich laut intersoft consulting services AG auf 1 Million Euro oder mindestens 2 – 4 % des Jahresumsatzes. Ferner bis zu zwei Jahren Freiheitsstrafe.

Um das in einfachen Worten auszudrücken: Wenn Du dein Kontaktformular nicht richtig eingerichtet hast und beispielsweise 60.000 € im Jahr erwirtschaftest, kann Dich eine Strafe 2.400 € kosten. Alternativ kommst du halt in den Knast. Von jedem der Dein Kontaktformular ausfüllt und nicht darüber im klaren ist was Du mit seinen Daten anstellst, droht Dir eine Abmahnung.

Psychopathen gibt es überall. Das weißt Du und das weiß ich. Deswegen ist Handlungsbedarf angesagt. Doch keine Sorge! Mit meinem Guide helfe ich Dir Deine Website sicherer zu machen. So kannst Du auch in Zukunft Sorgenfrei selbständig sein und konform mit der DSGVO Fotografie entspannt weiterhin betreiben.

Die Inhalte im folgenden Guide sind für jede Website und Plattform gültig. Die Plugin Empfehlungen sind jedoch WordPress gebunden. Solltest Du eine HTML-Seite, Joomla, Typo3 oder etwas anderes verwenden um deine Website zum laufen zu bringen, musst Du selbst nach Plugins oder Code suchen, die die folgenden Probleme lösen. Nimm jedoch meine Ratschläge an.

Haftungsausschluss: Das ist keine endgültige Rechtsberatung. Mein Guide basiert auf bestem Wissen und Gewissen, doch ich bin kein Anwalt. Im Zweifelsfall empfehle ich dringen einen Anwalt für Internetrecht mit der Prüfung Deiner Website sowie Deiner Datenschutzerklärung zu beauftragen. Alternativ bietet eRecht 24 einen wunderbaren Service an.

Websiteänderungen DSGVO für Fotografen

Es gibt viel zu tun, doch wenn Du fleissig bist, ist es in wenigen Stunden abgearbeitet. Kopf hoch! Solltest Du nicht über das Notwendige Wissen verfügen meine folgenden Tipps umzusetzen, empfehle ich Dir eine Agentur zu beauftragen. Du wirst nicht drum herum kommen diese Änderungen umzusetzen, sonst drohen Dir Strafen. Der rechtsfreie Raum Internet wird abgeschafft. Sollte man die DSGVO nicht einhalten, ist das wie über eine Rote Ampel zu fahren oder jemandem seinen Geldbeutel zu entwenden. Das Gesetzt greift. Europaweit. Fangen wir also mit der Optimierung der Website an!

WordPress auf HTTPS umstellen

Nicht nur wegen der DSGVO, sondern auch wegen des Ranking-Faktors bei Google sollte man seine Website schon längst mit einem SSL Zertifikat auf HTTPS umgestellt haben. Diese Umstellung hat nicht nur den Vorteil, dass die Website sicherer wird und bei deinen Besuchern oder Kunden mehr Vertrauen aufbaut, sondern auch schneller wird.

1. SSL Zertifikat Installieren

Zuerst benötigst Du ein SSL Zertifikat. Bei welchem Hoster Du auch bist, er bietet mit an Sicherheit grenzender Wahrscheinlich ein kostenloses SSL Zertifikat an. Solltest Du zu lange suchen müssen, kontaktieren den Support deines Hosters. Anbei die Links zu den gängigsten Hostern und weiterführenden Informationen:

Sollte ich einen wichtigen Hoster vergessen haben, dann schreib unten in die Kommentare und ich füge den Link der Tabelle hinzu.

2. WordPress SLL Umstellen

Sobald Du dein SSL Zertifikat bekommen hast und alle notwendigen Einstellungen bei deinem Hostern eingerichtet hast, kannst Du dich in dein WordPress Backend einloggen.

Wichtig ist, dass Du zuerst ins Menü Einstellungen -> Allgemein gehst und dort in den Feldern WordPress-Adresse (URL) und Website-Adresse (URL) auf HTTPS umstellst. Das sollte so aussehen:

Anschließend gehst Du zu Einstellungen -> Permalinks und aktualisierst noch ein Mal. Speichere erneut ab, da Du ansonsten einen 404 Fehler erhalten könntest und keine Ahnung hast woran das liegt.

  3. Weiterleitungsfehler vermeiden

Um weitere Fehler durch falsche Weiterleitungen zu umgehen, solltest Du das Plugin Better Search Replace installieren. Dort kannst Du nämlich alle Datenbankeinträge von HTTP auf HTTPS umstellen. Das ist sehr hilfreich, da die Datenbank sehr unübersichtlich ist und der Laie mehr kaputt macht als alles Andere.

  ACHTUNG: Mache ein Backup, vor dem nächsten Schritt. Sollte dein Strom ausfallen hast Du ein Problem.

Nachdem Du better search replace aktiviert hast gehst Du zu -> Werkzeuge -> Better Search Replace und stellst dort alle alten HTTP-Einträge in der deiner Datenbank auf HTTPS um. Wähle dafür alle Einträge in Tabellen Auswählen aus und entferne das Häkchen bei Testlauf?.

5. Hat noch nicht funktioniert?

Dann installier das Plugin Force SSL und lass es einmal durchlaufen. Dann sollte spätestens ein grünes Schloss in deiner Adressleiste im Browser sein.

6. Redirect in der .htacess

Als letztes musst Du noch auf deine .htacess Datei zugreifen. Diese befindet sich auf deinem Server im Root-Verzeichnis. Dort gelangst Du entweder per Web-FTP deines Hosters oder mit einem FTP-Client wie FileZilla. Falls Du die .htacess übrigens nicht siehst, aktiviere unsichtbare Daten.

Füge folgenden Code in deine Datei ein (Falls Du sie nicht öffnen kannst, installier Atom):

CODE  RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Da Du nun alle Schritte durchlaufen hast, bist Du mit der Umstellung fertig und deine Website ist sicher. Zumindest SSL abgesichert und mit einem grünen Schloss. Falls nun Logos oder Plugins fehlen, musst du ggf. die Datei erneut hochladen oder die internet Verlinkung ändern. Das sollte jedoch das kleinste Problem sein.

Cookies

Solltest Deine Website ein kleines Cookie-Monster sein, musst Du deine Besucher darauf aufmerksam machen. Du musst Deinem Besucher die Wahl geben die Cookies zu akzeptieren oder abzulehnen. Wenn Dein Besucher Deine Cookies ablehnt, darfst Du ihm dennoch nicht den Zugang zu Deiner Website verbieten. (Ja, ich weiß. Ist unfair, aber Egal…)

Wenn Du nicht weißt ob Du Cookies auf deiner Website verwendest, schau hier: https://hootproof.de/cookie-hinweis/

Mit an Sicherheit grenzender Wahrscheinlichkeit verwendest Du also Cookies. Um das Problem mit den Cookies schnellstmöglich in den Griff zu bekommen, empfehle ich Dir folgendes Plugin für WordPress: https://de.borlabs.io/borlabs-cookie/

Es kostet zwar etwas Geld, aber funktioniert und lässt sich gut integrieren. Ich zeige Dir nun wie man es einrichtet.

Schritt 1
Plugin Kaufen, herunterladen, hochladen und installieren. Anschließend aktivieren.
Schritt 2
Die Javascript Codes der einzelnen Plugins, je nachdem ob Du eigene Cookies hast oder nur Drittanbieter Plugins wie Google Analytics.
In meinem Fall (und bei Dir ist es wahrscheinlich genau so) öffne ich nur Google Analytics und finde den Javascript Tracking-Code.
Schritt 3
Den Google Analytics Tracking-Code kopieren und im Dashboard in das Feld „Drittanbieter-Cookies“ einfügen. Zusätzlich weiter unten im Auswahlkasten „Datenschutz Seite“ die richtige Datenschutz-Seite auswählen und speichern.
Schritt 4
Auf Wunsch im Reiter „Texte“ oben die Texte verändern / anpassen. Hinterher Testen. Das Endergebnis sollte so ausschauen wie auf folgendem Screenshot.

Darüber hinaus können Plugins wie „Google Analytics Dashboard for WP (GADWP) deaktiviert und entfernt werden. Der Tracking Code wird nun durch Borlabs Cookie eingefügt und funktioniert tadellos.

UPDATE: Alternativ braucht man inzwischen seit der Version 1.5 nur noch seine ID im Backend einzutragen. Das geht schnell und unkompliziert.

Kontaktformular

Im nächsten Schritt kümmern wir uns um Dein Kontaktformular. Sofern Du das altbekannte „Contact Form 7“ verwendest, kannst Du aufatmen. Du kannst es nämlich weiterhin verwenden. Allerdings musst du ein-zwei Dinge anders einstellen, als bisher.

Wenn sich ein Benutzer in Dein Kontaktformular einträgt, sei es wegen einer Anfrage für Hochzeitsfotografie oder ob es um eine Kooperationsanfrage geht. Wenn er Dir eine Email sendet, werden seine Daten auf Deinem Email-Server gespeichert. Das ist Fakt.

Darüber macht sich normalerweise niemand Gedanken. Deshalb müssen wir den Benutzer deutlich darüber aufklären. Konkret machen wir das mit einem Opt-in Verfahren. Wir verwenden dafür eine Checkbox mit dem notwendigen und eindeutigen Hinweis auf Datenspeicherung. Erst wenn in diese Checkbox einen Haken setzt und akzeptiert, kann man das Kontaktformular absenden.

Folgendes, kostenloses Plugin empfehle ich Dir für diese Aufgabe: https://de.wordpress.org/plugins/wp-gdpr-compliance/

Einmal installiert findest man die Einstellmöglichkeiten unter „Werkzeuge“. Es sollte jedes Feld (Kontaktformular) aktiviert werden und ggf. muss man den Text ändern.

Wenn man nun auf seinen Formularen nachschaut sollte überall so ein Kästchen zu finden sein.

Kommentare

Sofern Deine Benutzer auf Deine Website Kommentare hinterlassen können, empfehle ich Dir die IP-Adressen gar nicht erst zu speichern. Folgendes Plugin verhindert die Speicherung der IP-Adresse Deiner Benutzer und spart somit Konfliktpotenzial ein: https://wordpress.org/plugins/remove-ip/

Nach der Installation und Aktivierung muss nichts mehr eingestellt werden. Es funktioniert von selbst.

Social Share Buttons

Solltest Du die regulären Share-Buttons verwenden, musst Du dich leider davon verabschieden. Denn die meisten der Buttons und Symbole werden nicht auf Deinem Server gespeichert, sondern von Facebook, Twitter und Google + geladen. Diese Plattformen speichern dadurch Daten Deiner Benutzer und Du hast keinen Einfluss darauf mehr darauf was passiert. Mit der neuen DSGVO geht das natürlich nicht mehr klar. Deshalb muss eine anderen Lösung her!

Ich habe es wie folgt gemacht, dass ich mein altes premium „Add This“ Plugin gelöscht habe und stattdessen das kostenlose Plugin Sheriff installiert habe. Dadurch werden die Daten erst nach einem Klick auf den Button an Facebook und Co. gesendet. Das Plugin findet Du hier: https://de.wordpress.org/plugins/shariff/

Unter „Einstellungen“ -> „Shariff“, hast du anschließend einige Designmöglichkeiten sowie viele weitere Optionen zum Auswählen. Es ist leicht verständlich und Du kannst es nach Belieben anpassen. Die Standardeinstellungen sind jedoch ausreichend. Probiere es direkt einmal aus!

Google Fonts und Emojis entfernen

Leider geht mit diesen schönen, kostenlosen Fonts auch ein Nachteil einher. Sie werden extern geladen. Zur Sicherheit der Benutzer reduzieren wir uns also auf klassische Fonts und deaktivieren Google Fonts sowie Emojis.

Praktischerweise bietet das Cache Plugin „Autoptimize“ zwei Kästchen an in denen man diese Einstellungen mit nur einem Klick aktivieren, bzw. deaktivieren kann. Das Plugin findet Du hier und sollte sowie zum Standard jeder WordPress-Installation sein: https://de.wordpress.org/plugins/autoptimize/

Nach der Installation und Aktivierung sollten die Häkchen folgendermaßen gesetzt und anschießend gespeichert werden.

UPDATE: Mit manchen WordPress Installationen soll Autoptimize nicht ausreichend funktionieren und Fehler auswerfen. Google Fonts und Emojis werden dadurch nicht korrekt unterdrückt / entfernt. Als Alternative zu Autoptimize kann ich im Zweifelsfall die Plugins Disable Embeds und Disable Emojis empfehlen. Sie sind beide kostenlos und auf manchen Projekten verwende ich sie selbst.

Eingebettete Videos

Wenn Du auf deiner Website eventuell einen Imagefilm von Dir zeigst, kann das zu Probleme führen. Natürlich nur je nach dem wo das Video geostet ist. Wenn Du dafür YouTube verwendest und das Video in deiner website durch einen sogenannten „embed code“ eingebettet ist, solltest Du vorsichtig sein, denn der „normale“ embed link von Google (YouTube) entspricht nicht unbedingt den aktuellen Datenschutzrichtlinien.

Folgendes Plugin hilft eine Verbindung erst aufzubauen, sobald der Benutzer aktiv auf den „Play-Button“ drückt: https://de.wordpress.org/plugins/video-embed-privacy/

einmal installiert benötigt es keine Einstellungen mehr. Es funktioniert einfach und unterbindet von vornherein eine passive Datenübertragung.

Antispam-Plugins

Solltest Du ebenfalls einen mehr oder weniger erfolgreichen Fotografie-Blog betreiben, kommen Spam Kommentare sehr häufig vor. Als Website Betreiben möchte man sich selbstverständlich davor schützen. Doch das richtige Plugin dafür muss man erst einmal finden, denn sonst werden, wie sollte es auch anders sein, Daten an dritte übertragen.

Meine Empfehlung hierfür ist Anti-Spam-Bee. Es ist kostenlos und hier zu finden: https://de.wordpress.org/plugins/antispam-bee/

Es funktioniert sehr gut, doch muss man zwei Einstellungen vornehmen, da es sonst Daten an Google übermitteln kann.

Setze Die Häkchen einfach so wie ich und alles ist easy.

IP-Adressen Anonymisieren

Bei der Kommentarfunktion sowie auch bei Google Analytics ist es wichtig die IP-Adressen der Besucher zu anonymisieren. Sollte das nicht möglich sein, musst man diese Services für seine Besucher abstellen. Da jedoch Google Analytics ein berechtigtes Interesse für uns als Website Betreiber darstellt, darf man auch weiterhin Daten sammeln.   Allerdings muss in diesem Fall wie bereits geschrieben die IP-Adresse anonymisiert werden und eine Möglichkeit das Tracking für den Benutzer einzustellen muss ebenfalls gegeben sein. Die beste Option ist es daher in der Datenschutzerklärung einen opt-out Link zu platzieren. Doch kommen wir zuerst zur Kommentarfunktion.

  Google Analytics IP Adresse anonymisieren

Bei der Anonymisierung der Google Analytics Tracking Codes ist die Umstellung mit etwas höherem Aufwand verbunden.

Weil dieser Artikel aber auch schon in Überlänge geschrieben ist, schaust Du dir am besten das Video unten an. Dort wird Schritt für Schritt erklärt wie Du den Code richtig umstellst.

Da Du nun die IP-Adressen deine Nutzer anonymisiert hast, benötigst Du nur noch den opt-out Link in deiner Datenschutzerklärung. Wie Du diesen generierst steht weiter unten. Lies also weiter.

DSGVO Website Umstellung ist abgeschlossen (fast)

Wir haben nun eine ganze Menge geschafft! Insgesamt sind wir auf einem guten Weg Deine Website DSGVO konform zu machen. Alle Plugins sind nun aktuell und zeitgemäß. Wir haben Deine Benutzer auf Cookies aufmerksam gemacht und dafür gesorgt, dass keine Personenbezogenen Daten mehr nach außen gelangen. Drittanbieter bleiben sozusagen draußen. Doch leider war das noch längst nicht alles, denn jetzt müssen wir ins Detail gehen und Deinen interessierten Benutzern erklären was wir mit den ganzen Daten machen.

Doch bevor wir uns um Deine Datenschutzerklärung kümmern, müssen wir noch Kontakt zu unserem Hoster aufnehmen und Kontakt zu ein paar unerlässlichen Drittanbietern herstellen, denn Daten werden immer gespeichert. Da führt leider kein Weg dran vorbei.

Drittanbieter Verträge abschließen

Bei welchem Hoster bist Du eigentlich? One.om, Strato, 1&1? Oder doch eher ganz woanders? Ist jedenfalls egal, denn Du musst einen Vertrag mit deinem Hoster abschließen! Die meisten haben diesen Vertrag sogar schon fertig und stellen ihn Dir online bereit. Ich hatte zwar nicht damit gerechnet, dass ich das einmal sagen werde, doch bei Strato ist es recht einfach. Man kann es online mit einem Klick machen.

Bei anderen Hostern muss man sich erst einmal etwas ausdrucken und anschließend mit der Post versenden. Bis der Vertrag dann wieder im eigenen Postfach landet, kann schonmal ein halber Monat vergehen. Die Zeit wird also knapp!

Wo Du diesen Vertrag findest, kann ich Dir nicht genau sagen, doch mein Freund Finn hat auf seinem Blog eine übersichtliche Liste mit direkten Links dazu erstellt. Check es hier an und kümmere Dich jetzt darum.

PS: Wenn Du dort noch weitere Anbieter findest, wie z.B. den Newsletter Anbieter deines Vertrauen, oder Google Analytics, dann schließe mit denen auch direkt Verträge ab. Andernfalls läufst Du Gefahr Dich strafbar zu machen.

Wer hat Zugriff auf die Daten?

Denk daran, dass Du mit jedem der Kontakt mit den Daten hat einen Vertrag abschließen musst. Das gilt nicht nur von Google Analytics und deinen Webhoster, sondern auch für deinen Steuerberater und ggf. andere Dienstleister, wenn Du Angestellt hast. Die DSGVO ist kein Zuckerschlecken und verlangt nicht nur von dir, dass deine Website umgebaut wird, sondern auch, dass Du alle Prozesse deines Unternehmens protokollierst und überdenkst. Ich finde, dass es ein Schritt in die richtige Richtung ist und man sollte die DSGVO als Chance sehen.

Mach dir also Gedanken darum wer Zugang zu den Daten die Du gesammelt hast, hat. Nimm Anschließend Kontakt auf und schließe einen Auftragsdatenverarbeitungsvertrag. By the way. Denk auch daran, dass Deine Putzfrau Zugang haben kann. Schließlich hat sie ja einen Schlüssel zum Büro. Sorgen also für mehr Sicherheit und leg die vernünftige Aktenschränke zu, die man auch abschließen kann.

Verzeichnis von Verarbeitungstätigkeiten erstellen

Wichtig für die Dokumentation „hinter den Kulissen“ ist es ein sogenanntes Verfahrensverzeichnis zu erstellen. Dieses Verfahrensverzeichnis muss sorgsam erstellt werden. Laut meinem Verständnis geht das so;

Das Verfahrensverzeichnis ein Verzeichnis, in welches jede Person die Kontakt mit Personenbezogenen Daten hat aufgelistet wird und in dem jeder Verarbeitungsschritt bis hin zur Löschung dokumentiert wird. Dadurch weiß jeder Benutzer genau was mit seinen Daten genau passiert.

Ich empfehle deshalb ein Verfahrensverzeichnis für jede Art der gespeicherten personenbezogenen Daten anzulegen. Beispielsweise eins für Email, eins für Bewerbungen, eins für Kunden und eins für den Newsletter. Je nachdem was Du sonst noch für Prozesse in Deinem Unternehmen mit den Daten am laufen hast, solltest Du tatsächlich für jeden Prozess ein Verzeichnis anlegen. Damit gehst du auf Nummer sicher. Es folgt ein formloses Beispiel.

Pflichtangaben für das Verzeichnis von Verarbeitungstätigkeiten:

- Bezeichnung der Verarbeitung
  Beispielsweise „Email“
- Zwecke der Verarbeitung
  Beispielsweise „Angebotserstellung / Kontaktaufnahme mit Kunden“
- Beschreibung der Kategorien personenbezogener Daten
  Beispielsweise „Name der Person, Anschrift, Telefonnummer, Email-Adresse, Bestandsdaten, Nutzungsdaten“
- Beschreibung der Kategorien betroffener Personen

Beispielsweise „Kunde, Brautpaar, Besucher, Kooperationspartner“

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
Beispielsweise „Martin Kleinheinz (+ Auflistung der Adresse, Email, Telefonnummer) und One.com / Hosting Provider (+ Auflistung der Adresse, Email, Telefonnummer)“
Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Beispielsweise „Für die Verarbeitung der Daten und zum Tracking des Nutzerverhaltens sowie der Benutzeranzahl wird der Google Analytics verwendet. Es findet ein Austausch mit Servern in den USA statt. Ein angemessenes Dateschutzniveau ergibt sich aus der Teilnahme am Google Privacy Shield Programm (Am besten noch einen Link setzen). Darüber hinaus ist beim Versand von E-Mails niemals auszuschließen, dass der Datentransfer über Server in einem Drittland stattfinden“
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Beispielsweise „Personenbezogenen Daten werden nur solange gespeichert wie es das Gesetzt vorsieht und sie zur Auftragserfüllung verwendet werden müssen“

Du siehst also, dass viel Arbeit dahinter steckt. Es muss wirklich alles transparent sein. Nur können Benutzer mündig entscheiden, ob man einen Service (eine Website) verwenden möchte. In der Realität wird wahrscheinlich auch weiterhin jeder auf „akzeptieren“ drücken, doch es muss die Möglichkeit gegeben sein alles einsehen zu können.
Einen weiteren, sehr guten Überblick zum Thema Verzeichnis von Verarbeitungstätigkeiten findest Du auf der Website vom Datenschutz Guru: https://www.datenschutz-guru.de/verzeichnis-von-verarbeitungstaetigkeiten/

Datenschutzerklärung DSGVO konform erstellen

Kommen wir nun schlussendlich zum letzten Punkt, den Du abarbeiten musst. Die Datenschutzerklärung neu aufsetzen. Du weißt schon. Das Ding, dass Du sonst auf E-Recht 24 schnell zusammengeklickt und niemals durchgelesen hast.

Drei Optionen kenne ich:

Selbst schreiben und vom Anwalt prüfen lassen
Datenschutzerklärung vom Anwalt schreiben lassen (Englische DSGVO auf internationalen Seiten sollte man bestenfalls übersetzen lassen, oder gibt es beim eRecht 24 Premium dazu)
eRecht 24 Premium Generator verwenden

Sofern Du bei eRecht24 die Mitgliedschaft erhältst Du auch durch den Datenschutzgenerator den opt-out-Link für Google Analytics. Dieser wird automatisch generiert und kann über Copy-Paste am Ende auf deine Website eingefügt werden. Denk jedoch daran bei Borlabs Cookies deine richtige Datenschutz-Seite zu verlinken und darauf aufmerksam zu machen, dass man als Besucher deiner Website das opt-out Verfahren auch anwenden kann. Dann bist Du auf der sicheren Seite.

Fazit

Bei Zweifel ob Deine Datenschutzerklärung nun zu 100 % DSGVO konform ist, kann ich nichts versprechen. Ich weiß schließlich nicht was bei Dir nun genau drin stehen hast und bin kein Anwalt. Ich empfehle deshlab immer einen Fachanwalt um Rat zu fragen. An den paar Euro zu sparen sind den Stress nicht Wert. Investier lieber in Rechtssicherheit und setze damit einen Haken in die Checkbox.

Da ich selbst für meine vielen ehemaligen Webdesign Kunden und aktuellen SEO Kunden diese Umstellungen machen muss, habe ich mich bei eRecht 24 als Premium Partner angemeldet. Dort findet man sieben Stunden Video-Content, Checklisten und einen Whitelabel DSGVO-konformen Datenschutzerklärungs-Generator. Mir selbst hat es enorm geholfen und ich setze gerade fleißig (neben Hochzeitsfotos bearbeiten und dem täglichen Wahnsinn…) alle Änderungen bei meinen Kunden um. Viele meiner Kunden haben sich aufgrund meiner Empfehlung sogar dazu entschlossen einen Anwalt im Anschluss zu beauftragen um alle Änderungen prüfen zu lassen. Sicher ist sicher.
Falls Du auch endlich mit der DSGVO Schluss machen möchtest und den Kopf für anderen Dinge frei haben möchtest, dann empfehle ich Dir dich für ein paar Euro bei eRecht 24 anzumelden. Der Kosten-Nutzen-Faktor ist enorm.

Vielen Dank fürs Lesen dieses Artikels! Wenn er Dir geholfen hat, dann würde ich mich über eine Verlinkung freuen. Ein Teilen meines Beitrags auf Social Media wär alternativ auch schön, damit wir nun auch Deinen ganzen Freunden helfen können ihre Website sicher zu machen. By the way. Trage dich einfach in meinen Newsletter unten ein, wenn Du Interesse an DSGVO konformen Muster-Vereinbarungen und Verträgen hast. Ich habe nun ein Produkt gelauncht: Empfehlungsmarketing für Fotografen wo auch DSGVO-konforme Muster für Hochzeits- und Portraitfotografen dabei sind.

Bis bald!
Martin

Folgende Links könnten die übrigens bezüglich Fotorecht weiterhelfen:
1. https://www.fotorecht-seiler.eu/dsgvo-fotobusiness/
2. https://natur-photocamp.de/dsgvo-fuer-fotografen/
3. http://nordbild.com/foto-einwilligungen-dsgvo/
4. https://www.cr-online.de/blog/2018/03/09/das-ende-der-freien-veroeffentlichung-von-personenbildnissen-fuer-die-meisten-von-uns/

Comments (56)

Wer sich an den Code der functions.php herantraut, kann auch folgenden Code einbauene:
/* IP des Kommentators entfernen */
function wpb_remove_commentsip( $comment_author_ip ) {
return “;
}
add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );
Um alte IP’s zu entfernen muss man an die Datenbank ran:
UPDATE xx_comments SET comment_author_IP = ‚ ‚;
xx natürlich durch den eigenen WP-Prefix ersetzen
Marcus 5. April 2018 Reply
- Hallo Marcus!
  Danke Dir für diesen hilfreichen Kommentar!
  Sehr gut!
  Viele Grüße!
  Martin
  Martin Kleinheinz 5. April 2018 Reply
- Klingt interessant, aber wird die functions.php nicht möglicherweise bei einem WP Update überschrieben, so dass man die jedesmal wieder aufs neue anpassen muss?
  Thomas 6. April 2018 Reply
  - Hi Tomas.
    Das kann natürlich sein! Am besten ein Child -Theme erstellen? Gute Frage!
    Kennst sonst jemand eine bessere Antwort?
    Martin Kleinheinz 9. April 2018 Reply
  - die functions.php ist Teil des Themes und wird bei einem Update von WordPress nicht verändert aber bei einem Update des Themes. Ein Child-Theme wäre eine Lösung oder man ändert die functions.php immer wieder wenn das Theme aktualisiert wurde
    Jürgen 10. Mai 2018 Reply
Lieber Martin, ein toller und sehr ausführlicher Post, der mir sehr geholfen hat. Das Thema ist zwar noch nicht vollständig abgearbeitet, aber erste Optimierungen konnte ich dank deines Artikels schon vornehmen. Vielen Dank
Beste Grüße
Simone
Simone 6. April 2018 Reply
- Hallo Simone.
  Danke für dein Feedback. Es freut mich sehr, dass ich Dir zum Thema DSGVO helfen konnte!
  Viele Grüße!
  Martin
  Martin Kleinheinz 9. April 2018 Reply
Vielen Dank für deinen Beitrag, war doch noch etwas zum dazu lernen dabei auch wenn ich beim Thema DSGVO schon ein Weilchen dran bin.
Dirk 7. April 2018 Reply
- Hallo Dirk.
  DSGVO ist gerade in aller Munde. Gut, dass es so viel Content dazu gibt. Ich glaube da hat niemand (ich auch nicht) die Weisheit mit goldenem Löffel gegessen.
  Viele Grüße!
  Martin
  Martin Kleinheinz 9. April 2018 Reply
Lieber Martin,
wow! Ich bin fertig – und zwar fix und…
Herzlichen Dank für diesen tollen Beitrag – ich werde ihn auf jeden Fall weiter teilen!
Ein paar Dinge sind noch offen, wie z.B. die Verträge für 1und1 und Google fertig zu machen.
Außerdem habe ich in meinem Theme keine Möglichkeit gefunden, die Share-Buttons zu verändern. Hast du dazu eine Idee? Ich verwende das Oyster-Theme mit wordpress auf meiner Seite.
Ist es für dich übrigens o.k., wenn ich deine „Persönlichen Worte zum Thema Datenschutz“ übernehme?
Vielen lieben Dank noch einmal für deinen Support durch diesen ausführlichen Artikel!!!
Herzliche Grüße, Juliane
Juliane 12. April 2018 Reply
- Hallo Juliane.
  Danke für dein Kompliment!
  Ja, ich habe eine Idee. Entferne die Share Plugins einfach aus dem Code deiner Website. Ich weiß jedoch nicht, ob display:none; dafür als CSS ausreichend ist. Besser Du nimmst sie aus dem Code.
  Du kannst gerne meine persönlichen Worte verwenden. Was auch immer Du damit meinst.
  By the way. Ich habe mich heute morgen bei E-Recht 24 angemeldet als Premium und arbeite weiterhin an der DSGVO Umsetzung für mich und meine Kunden. Ich kann es nur jedem empfehlen.
  Viele Grüße!
  Martin
  Martin Kleinheinz 12. April 2018 Reply
  - > Ich weiß jedoch nicht, ob display:none; dafür als CSS ausreichend ist.
    Das wird nicht reichen, die Daten werden trotzdem übertragen (es wird ja geladen, nur nicht angezeigt).
    Wie ist das eigentlich mit Bildern machen auf einer Hochzeitsgesellschaft? Muss man sich da nicht von jedem die Einwilligung holen von dem man ein Foto macht?
    Was ist in Städten, wenn man z.B. sein Auto fotografiert und im Hintergrund Personen laufen? Im Normalfall sind die ja nur unnötiges Beiwerk gewesen, wie ist das nun mit dem DSGVO?
    Lars 4. Mai 2018 Reply
    - Danke! Das dachte ich mir schon. Dann muss es eben komplett aus dem Code gelöscht werden.
      Tum Thema Hochzeitsfotografie gibt es 2 Möglichkeiten:
      1. Von jedem Gast, Pastor und Standesbeamten, etc. eine Unterschrift einholen.
      2. Analog fotografieren und anschließend scannen.
      Andere Wege sind meines Erachtens illegal, aber ich lasse mich gerne eines Anderen belehren.
      Viele Grüße!
      Martin
      Martin Kleinheinz 4. Mai 2018 Reply
- Hallo Juliane,
  ich nutze auch das Theme Oyster, wüsste aber nicht, dass es Share-Buttons hat. Bei mir sind das nur Verlinkungen zu den Profilen. Und da musst Du ja nichts ändern.
  Christian 24. Mai 2018 Reply
  - Danke Christian! Ich hoffe, dass dein Rat noch mehr Leuten hilft.
    Viele Grüße!
    Martin
    Martin Kleinheinz 24. Mai 2018 Reply
Hallo Martin, was macht man wenn die Webseite die sid per Cookies übetragt, die kann man nicht weglassen dann geht ja die Seite nicht mehr…
Jürgen 12. April 2018 Reply
- Hallo Jürgen.
  Keine Ahnung, das übersteigt leider meine Kompetenz. Wenn Du dir unsicher bist, dann frage am besten einen Softwareentwickler / Webentwickler und einen Anwalt. Die kennen sich damit meistens aus. Ich kann nur HTML5, CSS3 und ein wenig PHP sowie SEO. Das reicht für meine kleinen, bescheidenen Projekte.
  Viele Grüße!
  Martin
  Martin Kleinheinz 13. April 2018 Reply
Danke für die Tipps, ich werde einiges davon umsetzen. Es geht im übrigen in vielen Foren die Meinung um, man dürfe aufgrund der neuen Gesetze des DSGVO keine Menschengruppen mehr fotografieren wenn man nicht von jedem eine Unterschrift hat (Thema Eventfotografie und Hochzeitsfotografie). Schon das Auslösen wäre eine unzulässige Datenspeicherung. Ich bin der Meinung, dass dies nichts mit dem DSGVO zu tun hat, weil schützenswerte Daten voraussetzen, dass man sie einer identifizierbaren Person zuordnen kann. Ich denke mir als Laie, solange das Foto keine kritischen Exif-Dateien beinhaltet, der Dateiname unkritisch ist und ich auch keine andere Möglichkeit habe den Namen einer Person zuzuordnen ist das kein Thema des Datenschutzes…. auch nicht des DSGVO… Die Unsicherheit scheint ein Nährboden für allerhand Gerüchte. Es reiche, wenn man auf einem Foto eine Person sehe und vielleicht die GPS-Daten im Exif sind. Es könnten ja Betrachter der Webseite eine Person wiedererkennen und damit sehen, an welchem Tag sie sich wo aufgehalten haben.
Wie ist Deine Meinung zum Thema Speicherung von Fotos durch Auslösen der Kamera?
Liebe Grüß, Alex
Alex 13. April 2018 Reply
- Hallo Alex.
  Vielen Dank für deinen Kommentar und für das Kompliment!
  Was das Fotorecht angeht, kann ich nichts genaues sagen. Ich als Laie (das ist keine Rechtsberatung) denke, dass ein Biometrisches Passfoto ein personenbezogenes Datum ist. Ich denke jedoch nicht, dass eine Menschengruppe personenbezogene Daten sind. Darüber hinaus sollte man logisch denken, denn wenn sich jemand in aller Öffentlichkeit, oder auf einem Festival, vor deine Kamera wirft und dabei Direkt in deine Linse lächelt, dann muss er damit rechnen veröffentlicht zu werden. In jedem Fall macht er aber absichtlich das Foto. Das ist meine Meinung zu diesem Thema, ich bin jedoch kein Anwalt.
  Ich empfehle einen Anwalt nach seiner Fachmeinung zu fragen.
  Viele Grüße!
  Martin
  Martin Kleinheinz 13. April 2018 Reply
  - Hallo Martin,
    leider sieht ein Anwalt das aber genau so, dass nach der DSGVO jedes digitale Foto, auf dem Personen erkennbar abgebildet sind, eine Datenerhebung ist.
    Quelle: https://www.ipcl-rieck.com/allgemein/wissen-zur-dsgvo-7-tipps-fuer-fotografen.html
    Und da ohne explizite Einwilligung jeder einzelnen Person diese Daten nicht mehr erhoben werden dürfen, stellt das Hochzeitsfotografen wie mich vor ernsthafte Probleme.
    Angesichts dieses grundlegenden Verbots, überhaupt noch Bilder von Menschen ohne explizite Einwilligung machen zu dürfen, tritt das Thema „rechtssichere Webseite“ natürlich völlig in den Hintergrund, denn was nützt mir diese, wenn ich mein Kerngeschäft praktisch nicht mehr rechtssicher ausüben darf?
    Schweren Herzens bin ich echt am Überlegen, deswegen ab dem 25.05.2018 meinen Nebenjob als Hochzeitsfotograf komplett an den Nagel zu hängen, obwohl ich ihn eigentlich sehr liebe. Aber ich möchte keine Abmahnung kassieren, die möglicherweise meine Existenz gefährdet und muss daher wohl auf Nummer Sicher gehen.
    Es war eine schöne Zeit, als man noch seinem größten Hobby bedenkenlos nachgehen konnte, doch leider ist sie bald vorbei.
    Viele Grüße,
    Marco Sussek
    Marco 11. Mai 2018 Reply
    - Hallo Marco.
      Danke für deinen Kommentar und den weiterführenden Link.
      Die DSGVO für Hochzeitsfotografie ist nicht besonders schön. Ich muss mich dem Problem ebenfalls stellen, da jährlich ca. 30-50 % meines Einkommens davon abhängen. Ich könnte es mit den anderen Aufträgen noch nicht auffangen. Es wäre also schlecht, wenn das weg fällt! Denk doch darüber nach analog zu fotografieren. Ich bin ebenfalls bereits am überlegen die Hochzeitsfotografie DSGVO konform zu machen mit der analog Fotografie.
      Viele Grüße!
      Martin
      Martin Kleinheinz 11. Mai 2018 Reply
Was mich wundert: du erwähnst gar nicht die Einrichtung von SSL/HTTPS. Das ist doch notwendig wenn mit Nutzereingaben gearbeitet wird, dachte ich.
Nic 17. April 2018 Reply
- Hallo Nic.
  Da hast Du natürlich Recht! Das war für mich bereits so selbstverständlich, dass ich es nicht erwähnt habe. Google benachteiligt nämlich schon länger unverschlüsselte Websites. (SEO)
  Ich trage es nach.
  Viele Grüße!
  Martin
  Martin Kleinheinz 20. April 2018 Reply
  - Tja genau das ist ja das Problem. Für ein Kontaktformular muss er es bestätigen und du musst beschreiben wie diese Daten verarbeitet werden. Da wird ein Lächeln sicher nicht ausreichend sein.
    Tom 28. April 2018 Reply
    - Ein Lächeln kann man im Internet sowieso nicht sehen. Schließlich haben wir ja die Emojis deaktiviert, hehe.
      Viele Grüße!
      Martin
      Martin Kleinheinz 3. Mai 2018 Reply
Es gab neulich ein Urteil, das nach meinem Verständnis besagt, das man immer noch Einzelpersonen und auch Gruppen fotografieren darf.
So wie ich es verstanden habe, dürfen sie nur keine exponierte Stellung im Bild einnehmen.
Der Fotograf hatte in diesem Fall ein Frau fotografiert, das Bild dann vergrößert und wohl vor seinem Laden ausgestellt. Und das hat das Gericht verboten.
Marcus 18. April 2018 Reply
Wirklich sehr gut und übersichtlich geschrieben! Besten Dank dafür
Soll kein Klugscheißen sein, aber in dem Text bin ich über recht viele Tipp-/ Rechtschreibfehler gestolpert. Evtl. schaust du bei Gelegenheit nochmal drüber.
Malte 24. April 2018 Reply
- Danke, Malte.
  Vielen Dank für Deinen Kommentar!
  Martin Kleinheinz 28. April 2018 Reply
Hallo, ich bin Ben der Entwickler von Borlabs Cookie. Die Einbindung von Google Analytics und Facebook-Pixel wurde vor kurzem vereinfacht. Es muss jetzt nur noch die Tracking-ID bzw. Facebook-Pixel-ID eingetragen werden und Borlabs Cookie macht den Rest. Außerdem gibt es zusätzlich Shortcodes, um ein Opt-out nach dem Opt-in für Google Analytics bzw. Facebook-Pixel anzubieten.
Ben 25. April 2018 Reply
- Hallo Ben.
  Vielen Dank! Diese Information hilft sehr!
  Viele Grüße!
  Martin
  Martin Kleinheinz 28. April 2018 Reply
Ich bin jetzt erst drüber gestolpert: Du schreibst, das mit Borlabs Cookie das Plugin GADWP überflüssig wird.
Zeigt ein / das Cookie-Plugin neuerdings im Dashboard auch die Besucherzahlen an? Oder warum hältst Du es für überflüssig
PS: Ich würde die Checkbox für die Verarbeitung der Daten wieder entfernen
Marcus 3. Mai 2018 Reply
- Hi Marcus.
  Vielen Dank für Deinen Kommentar!
  Wegen GADWP und Borlabs:
  Man kann den Tracking-Code oder die Analytics ID einfügen. Im WP-Dashboard wird zwar nicht die Statistik angezeigt, aber das kann man nach wie vor im Analytics machen. Einfach dort einloggen.
  Wegen der Checkbox höre ich gerade deinen Link. Mal sehen was dort rüber kommt.
  PS: Ich habe deine Über uns Seite gelesen. Du hast einen wirklich tollen und starken Blog. An Deiner Stelle würde ich den versuchen zu monetarisieren und einfach in Vollzeit bloggen.
  Viele Grüße und alles Gute!
  Martin
  Martin Kleinheinz 3. Mai 2018 Reply
Ihr könnt euch entspannen.
Erwägungsgrund Nr.51 Punkt 3
Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.
Joe 5. Mai 2018 Reply
- Hallo Joe.
  Ich finde nicht, dass man sich da entspannen kann.
  Stell dir vor:
  Wenn es grundsätzlich biometrische Bilder sein müssen, die eine Person identifizieren, dann sind erstens Überwachungskameras in Banken sinnlos. Stell dir vor, dass sich durch eine Bargeld-Abhebung und die Kameraaufnahmen zusammenhänge schlussfolgern lassen. Eine Person so zu identifizieren wäre doch einfach, oder?
  Nur stell dir ein weiteres Beispiel vor: Am 08.08.2018 findet die Hochzeit deines Bruders statt. Zwei Wochen später findet man ein Foto von Dir im Internet auf dem Du extrem betrunken bist und in Unterhose tanzt. Du weißt, dass Du es bist. Dafür brauchst Du kein biometrisches Fotos. Du weißt auch wer der Fotograf ist. Durch den Zeitstempel auf der RAW-Datei (oder im Zweifelsfall jpg. Datei) kann man schlussfolgern, dass Du es bist. Schließlich hat dein Bruder an diesem Tag geheiratet und Du hast zwar keine Hose an, aber ein festliches Hemd mit Rüschen und trägst eine Krawatte. Neben dem Zeitstempel ist dann noch eine Geokoordinate durch GPS eingetragen.
  Naja, du weißt worauf ich hinaus will. Zusammenhänge kann man so schließen. Deswegen ist digitales fotografieren eine Datenerhebung. Man hat meiner Meinung nach wie vor zwei Lösungen. Unterschriften bei den Gästen sammeln oder analog fotografieren. Da gibt es nämlich weder Zeitstempel noch GPS.
  Martin Kleinheinz 6. Mai 2018 Reply
  - Ein Fotograf der Fotos macht erhebt keine Daten. Wenn du Daten erheben willst, müssen Daten vorliegen um sie erheben zu können.
    Der Fotograf erstellt Daten. Ein bedeutender Unterschied.
    Eine Datenerhebung ist das Auswerten oder Verarbeiten vorhandener Daten, die du von jemanden willst (abfrage Kontaktformular), oder du bekommst einfach die Daten (Vermittlung) die du brauchst, dann redet man von Datenbeschaffung. Das Fotografieren an sich stellt aber keine Datenerhebung dar.
    Wo nichts ist, kann nichts erhoben werden.. Ganz einfach.
    Eine Hochzeit ist eine Privatveranstaltung, du bist für die Privatveranstaltung gebucht um dort die Fotos anzufertigen. Du bist Auftragnehmer. Du Arbeitest im Namen des Auftraggebers. Der Auftraggeber informiert seine Gäste, dass alle Fotografiert werden können.
    Wenn du Fotos veröffentlichen willst, auf denen Gäste klar und erkennbar sind, hast du vor der DSGVO schon eine Erlaubnis gebraucht. KUG Regelt indem Fall.
    Hier ändert sich nichts.
    Joe 6. Mai 2018 Reply
    - Der Klick auf den Auslöser ist dank Zeitstempel und Geotag ein personenbezogenes Datum.
      Ein Fotograf erstellt keine Daten. Er ist nicht Gott. Die Daten waren vorher schon da und werden vom Fotografen deshalb nur erhoben.
      Der Prozessor der Kamera verarbeitet diese Daten zu einer Fotografie.
      Nur weil jemand sagt, fotografier auf meiner Hochzeit alle Gäste, darf man das trotzdem nicht einfach machen. Ein Auftragsmörder zu sein, macht einen eben auch nicht weniger zum Mörder. In diesem Fall gibt es sogar noch eine Mitschuld aufgrund von Anstiftung (Setze ich gerade Brautpaare auf eine Stufe mit Mörder?).
      Von veröffentlichen ist hier nicht die Rede. Es geht nur um Datenerhebung im Bezug auf die DSGVO.
      Martin Kleinheinz 7. Mai 2018 Reply
Bitte schön
„Sehr geehrter Herr X….,
vielen Dank für Ihre Anfragen vom 30. April und 03. Mai 2018.
Eine Verbreitung dieser Antwort ist wünschenswert, sofern die Antwort vollständig wiedergeben und nicht einzelne Passagen aus dem Zusammenhang gerissen werden.
Gerne nehme ich vertiefend zu Ihren Fragen Stellung. Um Wiederholungen zu vermeiden, möchte ich jedoch eingangs erneut betonen, dass sich aus der Datenschutz-Grundverordnung (DS-GVO) und den diese ergänzenden nationalen Gesetzen keine wesentlichen Änderungen der Rechtslage bei der Anfertigung und Verbreitung von Fotografien ergeben.
Das Anfertigen von Fotografien wird sich auch zukünftig auf eine – wie bislang schon – jederzeit widerrufbare Einwilligung oder alternative Erlaubnistatbestände wie die Ausübung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DS-GVO) stützen können. Diese Erlaubnistatbestände (nach geltender Rechtslage Art. 7 der geltenden EU-Datenschutz-Richtlinie 95/46/EG i.V.m. den nationalen Umsetzungsgesetzen) decken seit vielen Jahren datenschutzrechtlich die Tätigkeit von Fotografen ab und werden in Art. 6 DS-GVO fortgeführt. Die Annahme, dass die DS-GVO dem Anfertigen von Fotografien entgegen stehe, ist daher unzutreffend.
Für die Veröffentlichung von Fotografien bleibt das Kunsturhebergesetz auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung erhalten. Es sind, wie ich bereits in meiner Antwort ausgeführt habe, keine Änderungen oder gar eine Aufhebung mit Blick auf die Datenschutz-Grundverordnung vorgesehen.
Die Ansicht, das Kunsturhebergesetz werde durch die DS-GVO ab dem 25. Mai 2018 verdrängt, ist falsch. Das Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DS-GVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Das Kunsturhebergesetz steht daher nicht im Widerspruch zur DS-GVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DS-GVO ein. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes ist nicht erforderlich. Ebenso führen die Ansätze anderer Mitgliedstaaten, die sich in allgemeiner Form zum Verhältnis von Datenschutz und Meinungs- und Informationsfreiheit verhalten, in der praktischen Umsetzung nicht weiter und führen nicht zu mehr Rechtssicherheit.
Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung der DS-GVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DS-GVO dar. Die DS-GVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist , sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (Erwägungsgrund 4). Zu den von der DS-GVO in diesem Zusammenhang genannten Grundrechten zählt ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.
Ich würde mich freuen, wenn die vorstehenden Ausführungen dazu beitragen, Ihnen Ihre Befürchtungen zu nehmen.
Mit freundlichen Grüßen
Im Auftrag
Regina Krahforst
Bundesministerium des Innern, für Bau und Heimat
– Bürgerservice –
E-Mail: Buergerservice@bmi.bund.de
[www.bmi.bund.de]
[www.115.de]”
Joe 8. Mai 2018 Reply
- Sehr nice, Joe!
  Allerdings bitte ich Dich das auf Deutsch zu übersetzen. Ich blick nicht ganz durch.
  Viele Grüße!
  Martin
  Martin Kleinheinz 9. Mai 2018 Reply
Danke für die Info´s erstmal. Hilft schon sehr das ganze besser zu verstehen. Auch die Kommentare der anderen sind sehr hilfreich.
Frage : Man kann doch Meta/Exif Daten etc. entfernen bzw. deaktivieren. Wäre das eventuell sinnvoll um z.b. das Datum und ggfs. Geotagging der gemachten Aufnahme nicht preiszugeben ? Hätte man dann nicht einen ähnlichen Effekt wie bei der analogen Fotografie ?
Danke für hilfreiche Kommentare.
Simon 11. Mai 2018 Reply
- Hallo Simon.
  Gerne. Ich musste mich schließlich selbst damit beschäftigen. Also wieso nicht helfen?
  Das mit den EXIF Daten macht für mich Sinn. Allerdings weiß ich nicht wie sich das verhält. By the way. Merkel möchte in letzter Minuten noch einmal Anpassungen vornehmen. Eventuell haben wir noch eine Chance digital weiter zu shooten.
  Alternativ analog. Ist auch nice und die Qualität wird angehoben.
  Viele Grüße!
  Martin
  https://t3n.de/news/dsgvo-angela-merkel-aenderungen-1078083/
  Martin Kleinheinz 11. Mai 2018 Reply
Nein, das dürfte laut Aussage eines Anwalts nicht ausreichen: https://www.ipcl-rieck.com/news/wissen-zur-dsgvo-2-fragen-antworten.html
Und auch die analoge Fotografie hilft nicht, denn sobald die Bilder in irgendeiner Form nachbearbeitet oder verschlagwortet werden, gelten sie auch als Datenerhebung.
Marco 11. Mai 2018 Reply
Es gibt übrigens eine Petition zu dem Thema. In der Hoffnung, dass sie doch noch etwas bewirkt habe ich sie unterzeichnet: https://www.openpetition.de/petition/online/aufhebung-der-eu-datenschutz-grundverordnung-dsgvo-fuer-fotografen-agenturen-kunst-presse
Marco 11. Mai 2018 Reply
Hallo Martin, herzlichen Dank für diese ausführliche Anleitung. Ich habe sie wissbegierig gelesen und muss leider feststellen das ich keine Ahnung habe. Ich hätte da ein paar Fragen zu diesem Thema.
Gruß Ben
Benjamin 23. Mai 2018 Reply
- Hi Benjamin.
  Dafür ist die Kommentarfunktion doch da! Na dann, schieß mal los.
  Martin Kleinheinz 23. Mai 2018 Reply
  - Danke für das schnelle Antworten.
    Erstmal zu mir, ich bin noch Hobbyfotograf also so sehe ich mich jedenfalls. Wie es das Gesetz sieht weiß ich leider nicht. Denn meine momentanen „Bezahlungen“ sind frei Essen und Trinken sowie freie Eintritte bei Events.Was sagt da das Gesetz?
    Ich möchte später gerne in die Kategorie Geld verdienen aufsteigen und möchte vorsorglich meine Webseite anpassen. Diese ist jedoch über jimdoo erstellt, denn ich habe im Bereich selber Webseite erstellen keine Erfahrung und fand die „Baukasten“ Möglichkeit am einfachsten. Meiner Ansicht nach für mich vollkommen ausreichend. Nur wie sieht es da aus wegen Kontaktformularen Kommentarfunktion etc. muss ich das auch alles ändern?
    Danke schonmal für die Mühe
    Benjamin 23. Mai 2018 Reply
    - Gerne!
      Die genaue Gesetzeslage kenne ich nicht. Da ich auf Events nur für Geld fotografiere, habe ich selbstverständlich einen Gewerbeschein und schreibe Rechnungen. Wobei meine erste Hochzeit ein Freundschaftsdienst war und ich selbstverständlich auch mitgegessen habe. Ich denke jedoch, dass sobald eine Geld- oder Sachleistung fließt, sollte man das versteuern. Da Du aber kein Geld verlangst und es ein reines Hobby ist, sollte das OK sein. Ich bin jedoch kein Anwalt!
      Für genau solche Fotografen wie Du es bist, habe ich gerade einen Kurs, den ich wöchentlich (manchmal leider auch nur zweiwöchentlich) veröffentliche. Du findest ihn zum lesen auf meiner Website und zum schauen auf meinen YouTube-Kanal (Abonnieren!).
      Bezüglich der Website, halte ich Jimdo nicht für empfehlenswert. Ich kann WordPress empfehlen, da man verhältnismäßig wenig Kenntnisse mitbringen muss und trotzdem gut zurecht kommt. Außerdem kann man wunderbar SEO optimieren mit WordPress.
      Spätestens im September veröffentliche ich meinen Onlinekurs „Webdesign für Fotografen„. Wenn Du also noch wartest, dann zeige ich dir alles Schritt für Schritt + exklusive Facebook-Gruppe.
      Bis dahin komm in meine aktuelle Facebook-Gruppe „Selbständig machen als Fotograf“ und stell dich gern vor.
      Viele Grüße!
      Martin
      Martin Kleinheinz 23. Mai 2018 Reply
Ok danke für die Infos, dann werde ich mir mal WordPress anschauen. Youtubekanal wird aboniert und in die FacebookGruppe werde ich auch kommen.
Bezüglich Anwalt; Welcher Bereich ist das denn? Das ich da evtl. mal ein wenig nachfrage bezüglich meiner Dienstleistungen.
Schönen Abend noch. Gruß
Benjamin 23. Mai 2018 Reply
- Dafür nicht.
  Ja, schau mal hier bezüglich WordPress.
  DANKE!
  Wegen dem Anwalt weiß ich nicht genau was Du meinst. Am besten googlest Du „Fotorecht Deinestadt“. Dann findest Du sicherlich einen kompetenten Ansprechpartner.
  Viele Grüße und bis bald in der FB-Gruppe!
  Martin Kleinheinz 23. Mai 2018 Reply
Hallo Martin,
besten Dank für diese Anleitung, sie rettet uns das Leben!
Eine Frage hätte ich noch: An welcher Stelle muss ich den Code in die .htacess Datei einfügen??
Lieben Dank und viele Grüße!
Adam
Adam 24. Mai 2018 Reply
- Hallo Adam.
  Einfach rein damit. Am besten irgendwo in die Mitte wo Platz ist.
  Viele Grüße!
  Martin
  Martin Kleinheinz 24. Mai 2018 Reply
Vielen Dank für diesen überaus informativen und hilfreichen Artikel!!! Er hat mir sehr weitergeholfen in dem ganzen DSGVO Dschungel etwas mehr durchzublicken! Weiter so!
Sabine 24. Mai 2018 Reply
- Sehr gerne!
  Ich aktualisiere morgen noch einmal den Artikel, da ich selbst meine eigenen Seiten erst heute umstelle. Schau die Tage nochmal vorbei.
  PS: Trage dich ruhig erst morgen in den Newsletter ein. Wahrscheinlich lösche ich einfach meine fast 700 Abonnenten und fange von vorn an. Das ist wohl die schnellste und einfachste Mehtode.
  Viele Grüße!
  Martin
  Martin Kleinheinz 24. Mai 2018 Reply
Hello Martin,
Danke fuer all die Info’s.
Ich bin Fotografin in LA/CALIFORNIA, ich bin doppel Staatsbuergerin, gilt das fuer mich auch?
ich habe ein paar europaeische arbeiten/fotos auf meiner webseite /socialmedia von vor jahren. diese arbeiten sind auch betroffen oder nur neue/zukuenftige?
gibt es das alles , was du hier so toll aufgeschrieben hast, auch in englisch?
wenn ich so einen vertrag aufsetzen lasse, kann ich das nur von einem europaeischen anwalt machen lassen? ich glaube kaum, dass hier einer sich auskennt und ich mich auch nicht. koenntest du mir jemanden empfehlen?
herzlichen dank!
Ute Ville
Ute 7. Juni 2018 Reply
- Nochmals hallo, Ute!
  Es gilt nur für neue Fotos. Die alten sind clean.
  Ich würde zumindest empfehlen so einen Vertrag von europäischen Anwalt erstellen zu lassen, wenn Du einen benötigst. In English gibt es meinen Artikel nicht dafür fehlt mir leider noch die Zeit.
  Viele Grüße!
  Martin
  Martin Kleinheinz 27. Juli 2018 Reply
Hello Martin,
Danke fuer all diese infos, die ich allerdings kaum verstehe. Ich bin Fotografin in Los Angeles ( doppel staatsbuergerin) und habe auf meiner webseite/social media fotos von europaern, obwohl ich hauptsaechlich hier in USA fotografiere. Gilt das gesetz fuer alle zukuenftigen fotos oder auch fotos von vergangenen jahren? kannst du bitte einen anwalt empfeheln der mir so eine Datenschutzerklaerung verfassen kann, ich glaube in LA weiss davon niemand. Und kannst Du einen webdesigner empfehlen, der das alles in eine webseite reinbasteln kann?
Ich bedanke mich im voraus! Sonnige Gruesse, Ute
Ute 7. Juni 2018 Reply
- Hi Ute.
  Bitte entschuldige die späte Antwort. Aktuell ist in der richtigen Welt viel zutun. Du kennst das sicherlich!
  Grundsätzlich gilt, dass jede Seite die in Europa aufgerufen wird, auch DSGVO Konform sein muss.
  Wenn du keinen Besucher auf deiner Website hast, die deine Seite aus Europe besuchen, dann ist es relativ egal.
  Ich könnte das umsetzen. Schreib mir doch eine Email. Die werden von mir auch mit einer anderen Priorität behandelt als Blog-Kommentare.
  Viele Grüße!
  Martin
  Martin Kleinheinz 27. Juli 2018 Reply