[Update 16.04.2018  Datenschutzerklärung – Generator gefunden / Rechtsberatung zur DSGVO / Weiterführende Links bezüglich Fotorecht]

Der Tag der Entscheidung rückt näher. Am 25.05.2018 tritt Europaweit die DSGVO in Kraft. Eine Grundverordnung zum Schutz der Daten von Privatpersonen im Internet. Normale Bürger sollen vor Unternehmen geschützt werden, die mit persönlichen Daten arbeiten. Doch was haben gewöhnliche Fotografen damit zutun?

Was ist die DSGVO und wieso wurde sie geschaffen?

Sobald Du eine Website kommerziell betreibst, wie zum Beispiel deine Website mit Portfolio und Kontaktformular für Shooting Anfragen, bist Du betroffen. Du kommst mit persönlichen Daten in Kontakt und verwaltest sie. Doch auch Cookies und verschiedene Plugins speichern persönliche Daten. Der Einfluss den Du darauf hast ist häufig gleich null.

Vielleicht kennt Du das auch. Du hast einen Film im Internet geschaut oder ein bestimmtes Produkt gesucht und plötzlich verfolgt es dich. Überall wird Dir Werbung angezeigt zu diesem Thema oder dem Produkt. Du fühlst Dich irgendwie ausspioniert und verfolgt.

Oder vielleicht kennst du auch folgendes Beispiel. Dein Mail Postfach ist voller Spam, obwohl du nur irgendwo einen Kommentar hinterlassen hast. Eventuell hast Du Dich für einen Newsletter angemeldet, oder in ein Branchenverzeichnis angemeldet und plötzlich bekommst Du Mails für Viagra (Der Klassiker).

Um diesen Dubiosen Machenschaften einen Riegel vorzuschieben (und wegen vieler weiterer Gründe), wird es nun die DSGVO geben. Wichtiger in diesem Artikel sind jedoch die aufgedeckten Folgen, die die DSGVO mit sich bringen kann.

DSGVO Folgen

Die Folgen der DSGVO sind für Normalsterbliche ohne große Rechtsabteilung gravierend. Agenturen und Anwälte müssen beauftragt werden um Websites und Datenschutzerklärungen wasserdicht zu machen. Hat man keine Lust das Geld dafür auszugeben, muss man es als kleiner Unternehmer, Freelancer oder als Fotostudio eben selbst machen. Diese Umstellung ist jedoch mit großem Aufwand und notwendigem Fachwissen verbunden. Doch ohne Umsetzung bestimmter Maßnahmen drohen Strafen.

Die Folgen bei Nichteinhaltung der DSGVO sind konkret festgelegt und belaufen sich laut intersoft consulting services AG auf 1 Million Euro oder mindestens 2 – 4 % des Jahresumsatzes. Ferner bis zu zwei Jahren Freiheitsstrafe.

Um das in einfachen Worten auszudrücken: Wenn Du dein Kontaktformular nicht richtig eingerichtet hast und beispielsweise 60.000 € im Jahr erwirtschaftest, kann Dich eine Strafe  2.400 € kosten. Alternativ kommst du halt in den Knast. Von jedem der Dein Kontaktformular ausfüllt und nicht darüber im klaren ist was Du mit seinen Daten anstellst, droht Dir eine Abmahnung.

Psychopathen gibt es überall. Das weißt Du und das weiß ich. Deswegen ist Handlungsbedarf angesagt. Doch keine Sorge! Mit meinem Guide helfe ich Dir Deine Website sicherer zu machen. So kannst Du auch in Zukunft Sorgenfrei selbständig sein.

Die Inhalte im folgenden Guide sind für jede Website und Plattform gültig. Die Plugin Empfehlungen sind jedoch WordPress gebunden. Solltest Du eine HTML-Seite, Joomla, Typo3 oder etwas anderes verwenden um deine Website zum laufen zu bringen, musst Du selbst nach Plugins oder Code suchen, die die folgenden Probleme lösen. Nimm jedoch meine Ratschläge an.

Haftungsausschluss: Das ist keine endgültige Rechtsberatung. Mein Guide basiert auf bestem Wissen und Gewissen, doch ich bin kein Anwalt. Im Zweifelsfall empfehle ich dringen einen Anwalt für Internetrecht mit der Prüfung Deiner Website sowie Deiner Datenschutzerklärung zu beauftragen. Alternativ bietet eRecht 24 einen wunderbaren Service an.

Websiteänderungen DSGVO für Fotografen

Es gibt viel zu tun, doch wenn Du fleissig bist, ist es in wenigen Stunden abgearbeitet. Kopf hoch! Solltest Du nicht über das Notwendige Wissen verfügen meine folgenden Tipps umzusetzen, empfehle ich Dir eine Agentur zu beauftragen. Du wirst nicht drum herum kommen diese Änderungen umzusetzen, sonst drohen Dir Strafen. Der rechtsfreie Raum Internet wird abgeschafft. Sollte man die DSGVO nicht einhalten, ist das wie über eine Rote Ampel zu fahren oder jemandem seinen Geldbeutel zu entwenden. Das Gesetzt greift. Europaweit. Fangen wir also mit der Optimierung der Website an!

Cookies

Solltest Deine Website ein kleines Cookie-Monster sein, musst Du deine Besucher darauf aufmerksam machen. Du musst Deinem Besucher die Wahl geben die Cookies zu akzeptieren oder abzulehnen. Wenn Dein Besucher Deine Cookies ablehnt, darfst Du ihm dennoch nicht den Zugang zu Deiner Website verbieten. (Ja, ich weiß. Ist unfair, aber Egal…)

Wenn Du nicht weißt ob Du Cookies auf deiner Website verwendest, schau hier: https://hootproof.de/cookie-hinweis/

Mit an Sicherheit grenzender Wahrscheinlichkeit verwendest Du also Cookies. Um das Problem mit den Cookies schnellstmöglich in den Griff zu bekommen, empfehle ich Dir folgendes Plugin für WordPress: https://de.borlabs.io/borlabs-cookie/

Es kostet zwar etwas Geld (Das ist kein affiliate Link!), aber funktioniert und lässt sich gut integrieren. Ich zeige Dir nun wie man es einrichtet.

    • Schritt 1

Plugin Kaufen, herunterladen, hochladen und installieren. Anschließend aktivieren.
Wordpress-Cookie-Plugin-Installieren

    • Schritt 2

Die Javascript Codes der einzelnen Plugins, je nachdem ob Du eigene Cookies hast oder nur Drittanbieter Plugins wie Google Analytics.
In meinem Fall (und bei Dir ist es wahrscheinlich genau so) öffne ich nur Google Analytics und finde den Javascript Tracking-Code.
Google-Analytics-Tracking-Code-DSGVO

    • Schritt 3

Den Google Analytics Tracking-Code kopieren und im Dashboard in das Feld „Drittanbieter-Cookies“ einfügen. Zusätzlich weiter unten im Auswahlkasten „Datenschutz Seite“ die richtige Datenschutz-Seite auswählen und speichern.
Cookie-Einstellungen-DSGVO

    • Schritt 4

Auf Wunsch im Reiter „Texte“ oben die Texte verändern / anpassen. Hinterher Testen. Das Endergebnis sollte so ausschauen wie auf folgendem Screenshot.
Cookie-Plugin-DSGVO

Darüber hinaus können Plugins wie „Google Analytics Dashboard for WP (GADWP) deaktiviert und entfernt werden. Der Tracking Code wird nun durch Borlabs Cookie eingefügt und funktioniert tadellos.

Kontaktformular

Im nächsten Schritt kümmern wir uns um Dein Kontaktformular. Sofern Du das altbekannte „Contact Form 7“ verwendest, kannst Du aufatmen. Du kannst es nämlich weiterhin verwenden. Allerdings musst du ein-zwei Dinge anders einstellen, als bisher.

Wenn sich ein Benutzer in Dein Kontaktformular einträgt, sei es wegen einer Anfrage für Hochzeitsfotografie oder ob es um eine Kooperationsanfrage geht. Wenn er Dir eine Email sendet, werden seine Daten auf Deinem Email-Server gespeichert. Das ist Fakt.

Darüber macht sich normalerweise niemand Gedanken. Deshalb müssen wir den Benutzer deutlich darüber aufklären. Konkret machen wir das mit einem Opt-in Verfahren. Wir verwenden dafür eine Checkbox mit dem notwendigen und eindeutigen Hinweis auf Datenspeicherung. Erst wenn in diese Checkbox einen Haken setzt und akzeptiert, kann man das Kontaktformular absenden.

Folgendes, kostenloses Plugin empfehle ich Dir für diese Aufgabe: https://de.wordpress.org/plugins/wp-gdpr-compliance/

Kontaktformular-Plugin-Einstellungen-DSGVO

Einmal installiert findest man die Einstellmöglichkeiten unter „Werkzeuge“. Es sollte jedes Feld (Kontaktformular) aktiviert werden und ggf. muss man den Text ändern.

Wenn man nun auf seinen Formularen nachschaut sollte überall so ein Kästchen zu finden sein.

Kontaktformular-fuer-DSGVO

Kommentare

Sofern Deine Benutzer auf Deine Website Kommentare hinterlassen können, empfehle ich Dir die IP-Adressen gar nicht erst zu speichern. Folgendes Plugin verhindert die Speicherung der IP-Adresse Deiner Benutzer und spart somit Konfliktpotenzial ein: https://wordpress.org/plugins/remove-ip/

Kommentarfunktion-mit-DSGVO

Nach der Installation und Aktivierung muss nichts mehr eingestellt werden. Es funktioniert von selbst.

Social Share Buttons

Solltest Du die regulären Share-Buttons verwenden, musst Du dich leider davon verabschieden. Denn die meisten der Buttons und Symbole werden nicht auf Deinem Server gespeichert, sondern von Facebook, Twitter und Google + geladen. Diese Plattformen speichern dadurch Daten Deiner Benutzer und Du hast keinen Einfluss darauf mehr darauf was passiert. Mit der neuen DSGVO geht das natürlich nicht mehr klar. Deshalb muss eine anderen Lösung her!

Ich habe es wie folgt gemacht, dass ich mein altes premium „Add This“ Plugin gelöscht habe und stattdessen das kostenlose Plugin Sheriff installiert habe. Dadurch werden die Daten erst nach einem Klick auf den Button an Facebook und Co. gesendet. Das Plugin findet Du hier: https://de.wordpress.org/plugins/shariff/

Unter „Einstellungen“ -> „Shariff“, hast du anschließend einige Designmöglichkeiten sowie viele weitere Optionen zum Auswählen. Es ist leicht verständlich und Du kannst es nach Belieben anpassen. Die Standardeinstellungen sind jedoch ausreichend. Probiere es direkt einmal aus! 😉

Google Fonts und Emojis entfernen

Leider geht mit diesen schönen, kostenlosen Fonts auch ein Nachteil einher. Sie werden extern geladen. Zur Sicherheit der Benutzer reduzieren wir uns also auf klassische Fonts und deaktivieren Google Fonts sowie Emojis.

Praktischerweise bietet das Cache Plugin „Autoptimize“ zwei Kästchen an in denen man diese Einstellungen mit nur einem Klick aktivieren, bzw. deaktivieren kann. Das Plugin findet Du hier und sollte sowie zum Standard jeder WordPress-Installation sein: https://de.wordpress.org/plugins/autoptimize/

Nach der Installation und Aktivierung sollten die Häkchen folgendermaßen gesetzt und anschießend gespeichert werden.

Cache-Plugin-Emojis-entfernen-und-Google-Fonts-DSGVO

Eingebettete Videos

Wenn Du auf deiner Website eventuell einen Imagefilm von Dir zeigst, kann das zu Probleme führen. Natürlich nur je nach dem wo das Video geostet ist. Wenn Du dafür YouTube verwendest und das Video in deiner website durch einen sogenannten „embed code“ eingebettet ist, solltest Du vorsichtig sein, denn der „normale“ embed link von Google (YouTube) entspricht nicht unbedingt den aktuellen Datenschutzrichtlinien.

Folgendes Plugin hilft eine Verbindung erst aufzubauen, sobald der Benutzer aktiv auf den „Play-Button“ drückt: https://de.wordpress.org/plugins/video-embed-privacy/

einmal installiert benötigt es keine Einstellungen mehr. Es funktioniert einfach und unterbindet von vornherein eine passive Datenübertragung.

Antispam-Plugins

Solltest Du ebenfalls einen mehr oder weniger erfolgreichen Fotografie-Blog betreiben, kommen Spam Kommentare sehr häufig vor. Als Website Betreiben möchte man sich selbstverständlich davor schützen. Doch das richtige Plugin dafür muss man erst einmal finden, denn sonst werden, wie sollte es auch anders sein, Daten an dritte übertragen.

Meine Empfehlung hierfür ist Anti-Spam-Bee. Es ist kostenlos und hier zu finden: https://de.wordpress.org/plugins/antispam-bee/

Es funktioniert sehr gut, doch muss man zwei Einstellungen vornehmen, da es sonst Daten an Google übermitteln kann.

Setze Die Häkchen einfach so wie ich und alles ist easy.

Antispam-DSGVO

Ein Drittel ist geschafft!

Wir haben nun eine ganze Menge geschafft! Insgesamt sind wir auf einem guten Weg Deine Website DSGVO konform zu machen. Alle Plugins sind nun aktuell und zeitgemäß. Wir haben Deine Benutzer auf Cookies aufmerksam gemacht und dafür gesorgt, dass keine Personenbezogenen Daten mehr nach außen gelangen. Drittanbieter bleiben sozusagen draußen. Doch leider war das noch längst nicht alles, denn jetzt müssen wir ins Detail gehen und Deinen interessierten Benutzern erklären was wir mit den ganzen Daten machen.

Doch bevor wir uns um Deine Datenschutzerklärung kümmern, müssen wir noch Kontakt zu unserem Hoster aufnehmen und Kontakt zu ein paar unerlässlichen Drittanbietern herstellen, denn Daten werden immer gespeichert. Da führt leider kein Weg dran vorbei.

Drittanbieter Verträge abschließen

Bei welchem Hoster bist Du eigentlich? One.om, Strato, 1&1? Oder doch eher ganz woanders? Ist jedenfalls egal, denn Du musst einen Vertrag mit deinem Hoster abschließen! Die meisten haben diesen Vertrag sogar schon fertig und stellen ihn Dir online bereit. Ich hatte zwar nicht damit gerechnet, dass ich das einmal sagen werde, doch bei Strato ist es recht einfach. Man kann es online mit einem Klick machen.

Bei anderen Hostern muss man sich erst einmal etwas ausdrucken und anschließend mit der Post versenden. Bis der Vertrag dann wieder im eigenen Postfach landet, kann schonmal ein halber Monat vergehen. Die Zeit wird also knapp!

Wo Du diesen Vertrag findest, kann ich Dir nicht genau sagen, doch mein Freund Finn hat auf seinem Blog eine übersichtliche Liste mit direkten Links dazu erstellt. Check es hier an und kümmere Dich jetzt darum.

PS: Wenn Du dort noch weitere Anbieter findest, wie z.B. den Newsletter Anbieter deines Vertrauen, oder Google Analytics, dann schließe mit denen auch direkt Verträge ab. Andernfalls läufst Du Gefahr Dich strafbar zu machen.

Verzeichnis von Verarbeitungstätigkeiten erstellen

Wichtig für die Dokumentation „hinter den Kulissen“ ist es ein sogenanntes Verfahrensverzeichnis zu erstellen. Dieses Verfahrensverzeichnis muss sorgsam erstellt werden. Laut meinem Verständnis geht das so;

Das Verfahrensverzeichnis ein Verzeichnis, in welches jede Person die Kontakt mit Personenbezogenen Daten hat aufgelistet wird und in dem jeder Verarbeitungsschritt bis hin zur Löschung dokumentiert wird. Dadurch weiß jeder Benutzer genau was mit seinen Daten genau passiert.

Ich empfehle deshalb ein Verfahrensverzeichnis für jede Art der gespeicherten personenbezogenen Daten anzulegen. Beispielsweise eins für Email, eins für Bewerbungen, eins für Kunden und eins für den Newsletter. Je nachdem was Du sonst noch für Prozesse in Deinem Unternehmen mit den Daten am laufen hast, solltest Du tatsächlich für jeden Prozess ein Verzeichnis anlegen. Damit gehst du auf Nummer sicher. Es folgt ein formloses Beispiel.

Pflichtangaben für das Verzeichnis von Verarbeitungstätigkeiten:

    • Bezeichnung der Verarbeitung

Beispielsweise „Email“

    • Zwecke der Verarbeitung

Beispielsweise „Angebotserstellung / Kontaktaufnahme mit Kunden“

    • Beschreibung der Kategorien personenbezogener Daten

Beispielsweise „Name der Person, Anschrift, Telefonnummer, Email-Adresse, Bestandsdaten, Nutzungsdaten“

    • Beschreibung der Kategorien betroffener Personen

Beispielsweise „Kunde, Brautpaar, Besucher, Kooperationspartner“

    • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Beispielsweise „Martin Kleinheinz (+ Auflistung der Adresse, Email, Telefonnummer) und One.com / Hosting Provider (+ Auflistung der Adresse, Email, Telefonnummer)“

    • Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Beispielsweise „Für die Verarbeitung der Daten und zum Tracking des Nutzerverhaltens sowie der Benutzeranzahl wird der Google Analytics verwendet. Es findet ein Austausch mit Servern in den USA statt. Ein angemessenes Dateschutzniveau ergibt sich aus der Teilnahme am Google Privacy Shield Programm (Am besten noch einen Link setzen). Darüber hinaus ist beim Versand von E-Mails niemals auszuschließen, dass der Datentransfer über Server in einem Drittland stattfinden“

    • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Beispielsweise „Personenbezogenen Daten werden nur solange gespeichert wie es das Gesetzt vorsieht und sie zur Auftragserfüllung verwendet werden müssen“

Du siehst also, dass viel Arbeit dahinter steckt. Es muss wirklich alles transparent sein. Nur können Benutzer mündig entscheiden, ob man einen Service (eine Website) verwenden möchte. In der Realität wird wahrscheinlich auch weiterhin jeder auf „akzeptieren“ drücken, doch es muss die Möglichkeit gegeben sein alles einsehen zu können.
Einen weiteren, sehr guten Überblick zum Thema Verzeichnis von Verarbeitungstätigkeiten findest Du auf der Website vom Datenschutz Guru: https://www.datenschutz-guru.de/verzeichnis-von-verarbeitungstaetigkeiten/

Datenschutzerklärung DSGVO konform erstellen

Kommen wir nun schlussendlich zum letzten Punkt, den Du abarbeiten musst. Die Datenschutzerklärung neu aufsetzen. Du weißt schon. Das Ding, dass Du sonst auf E-Recht 24 schnell zusammengeklickt und niemals durchgelesen hast.

Drei Optionen kenne ich:

  • Selbst schreiben und vom Anwalt prüfen lassen
  • Datenschutzerklärung vom Anwalt schreiben lassen (Englische DSGVO auf internationalen Seiten sollte man bestenfalls übersetzen lassen, oder gibt es beim eRecht 24 Premium dazu)
  • eRecht 24 Premium Generator verwenden

Fazit

Bei Zweifel ob Deine Datenschutzerklärung nun zu 100 % DSGVO konform ist, kann ich nichts versprechen. Ich weiß schließlich nicht was bei Dir nun genau drin stehen hast und bin kein Anwalt. Ich empfehle deshlab immer einen Fachanwalt um Rat zu fragen. An den paar Euro zu sparen sind den Stress nicht Wert. Investier lieber in Rechtssicherheit und setze damit einen Haken in die Checkbox.

Da ich selbst für meine vielen ehemaligen Webdesign Kunden und aktuellen SEO Kunden diese Umstellungen machen muss, habe ich mich bei eRecht 24 als Premium Partner angemeldet. Dort findet man sieben Stunden Video-Content, Checklisten und einen Whitelabel DSGVO-konformen Datenschutzerklärungs-Generator. Mir selbst hat es enorm geholfen und ich setze gerade fleißig (neben Hochzeitsfotos bearbeiten und dem täglichen Wahnsinn…) alle Änderungen bei meinen Kunden um. Viele meiner Kunden haben sich aufgrund meiner Empfehlung sogar dazu entschlossen einen Anwalt im Anschluss zu beauftragen um alle Änderungen prüfen zu lassen. Sicher ist sicher.
Falls Du auch endlich mit der DSGVO Schluss machen möchtest und den Kopf für anderen Dinge frei haben möchtest, dann empfehle ich Dir dich für ein paar Euro bei eRecht 24 anzumelden. Der Kosten-Nutzen-Faktor ist enorm.

cat good job GIF-source

Vielen Dank fürs Lesen dieses Artikels! Wenn er Dir geholfen hat, dann würde ich mich über eine Verlinkung freuen. Ein Teilen meines Beitrags auf Social Media wär alternativ auch schön, damit wir nun auch Deinen ganzen Freunden helfen können ihre Website sicher zu machen. Bis bald!
Martin

Folgende Links könnten die übrigens bezüglich Fotorecht weiterhelfen:
1. https://www.fotorecht-seiler.eu/dsgvo-fotobusiness/
2. https://natur-photocamp.de/dsgvo-fuer-fotografen/
3. http://nordbild.com/foto-einwilligungen-dsgvo/
4. https://www.cr-online.de/blog/2018/03/09/das-ende-der-freien-veroeffentlichung-von-personenbildnissen-fuer-die-meisten-von-uns/