Vorab: das ist jetzt länger geworden, als geplant. Aber ich freue mich über jeden, der es durchliest...
In Frankreich gelten ja nicht die gleichen Regeln, wie bei uns. Das ist Teil unserer Unsicherheit hier.
Hier in Deutschland ist alles nur absurd. Der Witz ist halt, dass selbst die meisten Anwälte nicht durchblicken, zumindest die, die nicht Fachanwälte in dem Bereich sind und selbst unter den Fachanwälten im Bereich Datenschutz und IT weichen die Meinungen vielfach ab.
Wie bei uns auf der Facebook-Seite jemand kommentiert hat, der Anwalt ist:
"Kapiert doch auch keine Sau, wir haben von der Kammer Vorlagen zur Hilfestellung bekommen, von denen ich teilweise noch nicht einmal die Vorlage verstehe ..."
und
"Immerhin werden uns Informationsveranstaltungen angeboten - muß man sich mal vorstellen: Für Anwälte, damit die das auch kapieren"
Gleichzeitig wird von uns Webseitenbetreibern aber gefordert, alle neuen Texte, die wir für User vorhalten müssen, in leicht verständlicher Sprache zu formulieren.
Und beim Thema Fotos hört es ja nicht auf. Es geht um so vieles mehr. Wir diskutieren gerade ob wir unser Team von dein-dlrp verkleinern müssen, weil theoretisch mehr als 10 Personen mit Userdaten in Kontakt kommen.
Ab 10 "Mitarbeitern" und als die gelten die Leute in unserem Team, auch wenn sie kein Geld bekommen, weil die Seite ja als kommerziell gilt wg. der Provisionen, die wir einnehmen. Also ab 10 oder mehr "Mitarbeitern" die mit Userdaten, also personenbezogenen Daten, in Kontakt kommen, bräuchten wir nämlich einen eigens ernannten Datenschutzbeauftragten für dein-dlrp - der entsprechende Fortbildungen etc. nachweisen muss und dann auch in (Mit)haftung bei Vertößen gerät. Dörthe und ich als Inhaber und Admins dürften das nicht sein, weil es da zu Interessenkonflikten kommen könnte. Es müsste als jemand sein, der sonst im Team ist und das als Hobby macht - dann aber in der Haftung bei Verstößen gegen die neuen Regeln (die noch keiner komplett versteht) wäre.
Ich habe mir schon vor einigen Monaten eine Checkliste angelegt für jede unserer Seiten, die ich jetzt nach und nach abarbeite (seit Wochen und noch für Wochen kommen ich zu keiner produktiven Arbeit mehr, mit der ich Geld verdienen könnte), diese Checkliste umfasst alleine für dein-dlrp folgende Punkte:
- neues Impressum (abgehakt)
- neue Datenschutzeklärung (abgehakt)
- Erstellug von Verarbeitungsverzeichnissen für die Verarbeitung von personenbezogenen Daten (noch offen)
- Erstellung von Verarbeitungsverzeichnissen für den Umgang mit "Mitarbeiter"-Daten (noch offen)
- Cookie Consent (abgehakt)
- Erstellung eines Musterablaufplanes zum Vorgehen im Falle einer Datenpanne auf dem Server inkl. Vorlagen für Meldungen an Behörden (noch offen)
- Änderung der Einbindung aller youtube-Videos auf allen Seiten, im Forum, im Blog (abgehakt)
- Änderung der Newsletter-Anmeldung (teilweise abgehakt)
- Änderung des Footers im Newsletter (noch offen)
- Änderungen am Kontaktformular (abgehakt)
- Änderung des Anmeldevorgangs beim Forum (noch offen)
- Muster erstellen zur Beantwortung von Auskunftsanfragen von Usern nach den über sie gespeicherten Daten (abgehakt)
- Vorgehensplan bei Löschwünschen von Usern (abgehakt)
- diverse Einstellungen bzgl. der Kommentarfunktion im Blog (abgehakt)
- diverse Einstellungen zur automatischen Spam-Prüfung bei Kommentaren im Blog (abgehakt - ein Witz: de facto macht es die DSGVO einem schwerer, Spam bei den Kommentaren im Forum zu vermeiden)
- Umstellung der Seite auf verschlüsselte Datenübertragung (schon lange abgehakt)
- Erstellung von einem Passwortschutz für alle lokal auf dem Rechner gespeicherten Dateien, die Userdaten enthalten könnten (Wichtellisten, Gewinnspieladressen etc.) (noch offen)
- Erstellung eines Planes zur regelmäßigen Änderung dieses Passwortes und eines Verzeichnisses, welcher "Mitarbeiter" wann auf passwortgeschützte Dateien zugreift (noch offen)
- Auftragsdatenverarbeitungsverträge von externen Dienstleistern anfordern (Webhoster, Newsletter-Tool, freie Mitarbeiter (wir haben ja zum Beispiel einen freien Entwickler aus Usbekistan, den ich manchmal für technische Sachen noch zusätzlich engagiere, das bedeutet, dass ich den ADV-Vertrag mit dem sogar 3sprachig bräuchte) (noch offen)
- Verschwiegenheitserklärung für alle "Mitarbeiter" (= Team-Mitglieder) erstellen und unterschreiben lassen (noch offen).
- Google Webfonts lokal installieren, statt über die Google API nutzen (noch offen)
Neben diesen Punkten, von denen ich weiß, dass sie erledigt werden müssen, gibt es aber noch weitere, offene Fragen, die ich noch mit Fachanwälten klären muss (die natürlich aktuell gerne ihre Stundensätze erhöhen, 300 Euro aufwärts sind keine Seltenheit und bei denen es aktuell nicht einfach ist, Termine zu bekommen).
Das sind Fragen wie:
- was ist mit unserem "Wer ist da"-Feature im Kalender? Dürfen wir das überhaupt noch anbieten?
- was ist mit Spenden, die wir über PayPal erhalten? Gelten wir damit als jemand, der selbst nicht nur Userdaten, sondern auch "Kunden"daten verarbeitet? und wenn die als Zahlungen gelten, wie siegt es denn dann mit Informationen zur Verschlüsselung des Zahlungsverkehrs aus, die wir Kunden geben müssten?
- Welche Regeln müssen wir für das Forum neu aufstellen? Dürfen wir das überhaupt noch betreiben wie bisher? (Ich weiß von mindestens 3 anderen Seiten im unserem und anderen Bereichen, die sich entschieden haben, ihre Foren ab 25.5. einzustellen, weil es ihnen zu unsicher wird)
- Wenn wir das Forum weiterbetreiben, wie sieht es aus mit Bildern/Videos, die User aus dem DLP posten? Dürfen wir das überhaupt noch erlauben, weil darauf ja mit großer Sicherheit Menschen abgebildet sind, von denen keine schriftliche Einwilligung vorliegt.
- das selbe zu Facebook-Seiten
- das selbe zu Facebook-Gruppen (tragen wir als Betreiber da die Haftung oder liegt die bei Facebook? Wie sieht es da mit Bildern aus, die 90% des Lebens in einer Gruppe ausmachen? Müssen wir die verbieten und damit die Gruppe sterben lassen?)
und und und - mit jeder beantworteten Frage tauchen quasi 2 neue auf.
Und das ist alles nur für dein-dlrp, eine Hobby-Seite! Und vieles davon gilt für jeden(!), der eine Webseite in irgendeiner Form betreibt, ein Blog, eine Gruppe, whatever, egal ob er damit auch nur 1 Cent verdient oder ob es privat ist. Sobald man als kommerziell eingestuft wird, wie wir, weil wir an Provisionen verdienen, wird es halt so richtig extrem, auch wenn die Einnahmen nur die Kosten decken. Interessiert keine Sau.
Für meinen Weihandel sieht das noch viel übler aus, da das ein Shop ist, da ist noch viel mehr zu tun. Und für andere Seiten auch, die wir betreiben, ist es teilweise mehr, teilweise weniger. Ein paar der kleinen Seiten, die wir betreiben, die sich weder monetär richtig lohnen, noch wirklich ein Hobby sind, das man lieb gewonnen hat, habe ich schon dicht gemacht und weitere andere werde ich dicht machen.
Am allerübelsten wird es für meinen Weinhandel. Da müssen noch Sachen darüber hinaus erledigt werden.
Was dort aber erschwerend hinzukommt: Wir arbeiten dort mit Menschen mit Behinderung, in Kooperation mit einer Stiftung und einer Behindertenwerkstatt. Da haben wir schon mehrere, bei denen es hieß "mehr als Lagerhelfer wird aus dem nie" soweit gefördert, dass sie zu vollwertigen Bürokräften wurden, die sogar Buchhaltung etc. machen konnten und manche auch eine richtige Ausbildung über uns formal abschließen konnten und nun in ganz normalen Berufen als ausgebildeter Lagerist oder Bürofachkraft arbeiten könnten.
Es gibt aber auch welche, die das nicht schaffen, die dann aber bei uns trotzdem was zu tun haben, und sei es nur im Lager und die stolz drauf sind, eben nicht nur abgestempelt zu werden, dass sie nichts leisten könnten und zumindest eine "Ausbildung", wenn auch nicht zertifiziert, zum "Lagerhelfer" bekommen.
Aber schon im Lager kommen die mit personenbezogenen Daten in Kontakt (Adressdaten und Bestellungen von Kunden, die sie ja sehen müssen, um zu wissen, was gepackt werden soll). Deshalb müssten wir dem, den wir aktuell dort mit Behinderung im Lager beschäftigen, auch schulen, sich an die neue Datenschutzregeln halten, sind zur Verschwiegenheit über jegliche Bestellung verpflichtet usw.
Denen müssten wir den neuen Kram auch erklären - einem Menschen mit geistiger Behinderung, neue Regeln und viel komplexer werdende Handlungsabläufe erklären, die teilweise langjährige Anwälte nicht verstehen? Echt? Wie soll das denn in der Praxis funktionieren?
Und Berufsgruppen wie Anwälte, Ärzte, Architekten etc. haben ja wenigstens noch Vorteile, denn die haben wenigstens ihre Kammern, die Schulungen, Mustervorlagen etc., zugeschnitten auf die Berufsgruppen, anbieten, siehe auch die eingangs zitierten Kommentare.
Und dennoch weiß ich von 2 Ärzten, die ihre Praxen noch aus Spaß an der Arbeit geführt haben und aus Leidenschaft, aber über 70 waren und es nicht mehr gemusst hätten, die jetzt zum 1.5. schließen, weil es keinen Sinn mehr macht.
Das gibt es bei uns nicht, nicht bei unseren Webseiten, nicht für den Weinhandel etc.
Die IHK, für die wir bezahlen, die eigentlich sowas für ihre ZWANGSmitglieder anbieten müsste, stellt sich an unserem Standort tot. Die bieten NICHTS an, 0,0. Dabei sind wir zwangsweise Mitglied und müssen Kohle abdrücken. Wofür eigentlich?
Ja, es gibt Online-Portale von spezialisierten Kanzleien. Ich habe gleich Zugänge für 3(!) verschiedene gekauft, um mehr als eine Meinung einholen zu können.
Die bieten in ihren Mandantenbereichen auch Muster an, aber die sind natürlich nicht so spezialisiert zugeschnitten auf die Branchen, wie die Kammern und Berufsverbände das anbieten können, weil die das ja jedem anbieten und nicht branchenspezifisch.
Und: diese 3 Fachkanzleien widersprechen sich teilweise! Tja, scheiße, gell?!? Zeigt aber, dass die wenigstens wirklich alles durchblicken bei dem neuen Scheiß.
Und alle haben FAQs/Häufige-Fragen-Listen und was steht bei mindestens 50% der Fragen die dort hinterlegt sind als Antwort?
"Wir arbeiten mit Hochdruck an einer Klärung dieser Frage" o.ä.
Auf Rückfrage, wann mit Antworten zu rechnen sei oder mit noch fehlenden Mustervorlagen für Dokumente und Generatoren zur Erstellung heißt es auch mal "Wir hoffen, zumindest einen Teil der Punkte noch vor dem 25.5. klären und einen Teil der Tools zur Verfügung stellen zu können".
Einen Teil der Punkte vor dem 25.5.... tja, schön, am 25.5. um 0:00 h tritt das aber alles in Kraft.
Und ab dem Moment stehen wir mit einem Fuß vor dem Ende unserer wirtschaftlichen Existenz, wie Jutta schon gesagt hat. Die Strafen von 20 Millionen im Extremfall mögen für kleine Krauter wie uns nicht wirklich angewendet werden, aber selbst wenn eine etwaige Strafe auch nur bei 1% der Maximalsumme liegen würde, wäre das existenzgefährdend - und wir haften mit allem, privat, mit jedem Cent des Privatvermögens, mit unserer kleinen Eigentumswohnung etc. und für uns gibt es in dem Bereich, im Gegensatz zum Beispiel zu Anwälten, keine spezielle Haftpflichtversicherung (oder wenn, dann zu solch immens hohen Kosten, dass wir dann auch direkt dicht machen könnten).
Und das alles für ein Hobby, für eine Seite, die eigentlich nur Leuten helfen sollte, ihre Aufenthalte im Disneyland Paris und in WDW besser zu planen.
Schöne neue Welt...
disneyfan5000 schrieb:
Eines vorweg: Ich finde diese Regelung total bescheuert, weil total praxisfremd, bei allem Verständnis für die Notwendigkeit des Datenschutzes. Mal ne Frage: Wie ist denn die Rechtslage wenn ihr bei den Personen die zufällig auf Photos gelandet sind, die Gesichter unkenntlich macht oder sie einfach wegretuschiert? Ist denn sowas nicht möglich oder praktikabel?
Tja, das ist auch so ein Witz.
Das nützt 0,0 Gesichter unkenntlich zu machen.
Gab es nach dem bisher in Deutschland gültigen Kunsturhebergesetz (KUG) noch die Regelung "Personen als Beiwerk" die es erlaubte, Straßenszenen, Sehenswürdigkeiten etc. zu fotografieren und auch die Bilder zu veröffentlichen, wenn da andere Leute drauf waren, so lange die nicht Ziel und Mittelpunkt der Aufnahme waren, so gilt das ab 25.5. nicht mehr.
Jetzt könnte man sagen: ok, macht man sich die Mühe und verpixel alles. Wäre viel Aufwand - und würde nichts bringen.
Weil nämlich nicht mehr die Veröffentlichung eines Bildes entscheidend ist, sondern die DSGVO das Entstehen des Verstoßes auf den Zeitpunkt der Anfertigung(!) verlegt. Das heißt für Fptps: Ich begehe den Verstoß nicht erst in dem Moment, in dem ich das Bild veröffentliche, sondern in dem Moment, indem ich das Foto mache(!) und das Bild erstmals in einem Dateisystem gespeichert wird (also auf der Speicherkarte der Kamera oder dem internen Speicher des Handys).
Helfen würde es also nur, wenn die Kamera jedes Bild VOR dem ersten Speichervorgang selbst so bearbeiten würde, so dass keine Person zu erkennen ist.
Das ist aber technisch unmöglich, denn das Bild landet auf dem Sensor der Kamera und wenn es dann nicht gespeichert wird, ist es verloren. Also müsste es, vor dem Speichern auf der Karte/im Speicher, während der internen Bearbeitung (wenn das technisch überhaupt möglich wäre, dass die Kamera alle Personen erkennt und unkenntlich macht) in irgendeiner Form zwischengespeichert werden. Tja und dieses Zwischenspeichern wäre dann was? eben: ein Speichern in einem Dateisystem und damit unzulässig.
Das gilt übrigens nicht nur für kommerzielle Aufnahmen, sondern auch privat, sobald Ihr mit Eurem Handy irgendwo ein Bild als Erinnerung macht und da außer Euch noch jemand drauf ist.
Es ist zwar strittig, ob das noch durchgehen würde, einige Anwälte sagen, ja könnte noch ok sein, aber es ist nicht abgesichert. Und bei potentiellen Strafen von bis zu 20 Millionen Euro pro Bild(!) ist auch 1% Unsicherheit 1% zuviel.
Nach aktuellem Stand gesichert erlaubt, auch im privaten Rahmen, sind nur noch:
- Bilder, bei denen man VOR dem Fotografieren die schriftliche(!) Erlaubnis von jedem auf dem Bild einholt, dass man ihn fotografieren darf
- "Hausaufnahmen" in den eigenen privaten Räumlichkeiten, insofern man dort maximal die engsten Familienmitglieder aufnimmt oder den engsten Freundeskreis
- Fotos von Verstorbenen (damit sind nicht alte Fotos gemeint, sondern das Fotografieren von Leichen, etwa auf Beerdigungen oder so, denn es gilt ja der Zeitpunkt der Anfertigung ab dem 25.5., alte Photos sind nicht betroffen, sondern nur neu geschossene nach dem 25.5.)
- analoge Fotos (weil Filme nicht als Dateisysteme gelten), also holt Eure alten Kameras aus dem Schrank...