Datenschutz
1. Einwilligungspflicht
Bereits heute müssen Personen, welche in einer Fotografie erkennbar sind – abgesehen einiger Ausnahmen – aufgrund der Persönlichkeitsrechte um Erlaubnis gebeten werden, wollte man sie oder hat sie bereits abgelichtet. Neu ist, dass die Erlaubnis auch für die Verarbeitung der übrigen schützenswerten Daten im Kontext des Datenschutzes eingeholt werden muss. Liegt keine explizite Einwilligung vor, dürfen keine personenbezogene Daten verarbeitet werden.
Meine Massnahmen:
-
Formulieren allgemeiner Angebots-Hinweise als Beilage zu jedem Angebot
-
Ergänzung der allgemeinen Geschäftsbedingungen
-
Ergänzung der Model- und Visa-Releases (Consents)
-
Änderung der Cookie-Warnung zu einer Cookie-Zustimmung
-
Sicherstellen der IP-Anonymisierung im Web-Analytics und Tag-Management Tool
2. DSGVO konforme Datenschutz-Richtlinie (Privacy Policy)
Eine aktuelle Datenschutz-Richtlinie muss öffentlich zugänglich sein. Insbesondere muss diese folgende Anforderungen erfüllen:
-
Welche Daten werden verarbeitet
-
Zu welchem Zweck werden erfasste Daten verarbeitet
-
Wie und durch welche Systeme werden Daten verarbeitet
-
Welche Parteien haben Zugriff auf die erhobenen Daten
-
Wie werden Daten vor Zugriff unbefugter geschützt
-
Wie lange die Daten gespeichert bleiben
-
Wer ist der zuständige Datenschutz-Beauftragter
-
Welche Firma steht hinter der Website („Verantwortlicher“)
Meine Massnahmen:
-
Dokumentation sämtlicher Datenverarbeitungsprozesse
-
Überarbeiten und vereinheitlichen der Datenschutz-Richtlinien aller Websites
-
Technische Anpassungen der Website sowie der Tools für mein Digital-Marketing sowie deren Automation
3. Widerrufsrecht betroffener Personen
Gemäss DSGVO darf die Schwierigkeit eine Einwilligung zu widerrufen nicht schwieriger sein, als diese initial einmal zu erteilen.
Meine Massnahmen:
-
Ergänzung der Model- und Visa-Release Dokumente (Consents)
-
Einführung einer Konventionalstrafe bei Schaden durch Widerruf der Nutzungsrechte
4. „Privacy by Design“ (Informationssicherheit)
Die Datensicherheit (Schutz vor Zugriff unbefugter) muss in allen datenverarbeitenden Prozessen integriert und berücksichtigt sein. Auch dürfen Datenschutz-verschlechternde Optionen nicht mit einem Angebot gekoppelt werden („Kopplungsverbot“), wenn dies nicht notwendig ist.
Meine Massnahmen:
Keine, da ich dies bereits in früheren Überlegungen stehts bereits berücksichtigt und sichergestellt habe.
5. „Privacy by Default“ (Voreinstellungen)
Die Voreinstellungen müssen immer den höchstmöglichen Datenschutz ermöglichen. Nur eine aktive/explizite Änderung durch die betroffene Person darf den Datenschutz „verschlechtern“.
Meine Massnahmen:
-
Prüfung sämtlicher Formulare und Dokumente sowie allfällige Anpassung dieser
6. weitere Massnahmen
Folgende weiteren Massnahmen habe ich ausserdem beschlossen umzusetzen:
-
Konzept-Erstellung (Prozess) bei Antrag zur Löschung oder Übertragung personenbezogener Daten
-
Konzept-Erstellung zur regelmässigen Löschung nicht benötigter Daten
Ausserdem
Ich halte mir offen, jederzeit weitere Massnahmen zu bestimmen, sobald ich weitere Erkenntnisse zur neuen Rechtsgrundlage erhalte. Da noch keine Rechtsprechung vorhanden ist, muss sich in Bezug auf viele Bereiche der neuen Verordnung erst zeigen wie diese im Kontext der Fotografie ausgelegt werden.
Für das in der Schweiz zusätzlich geltende Recht auf Anhörung bei automatischen Entscheidungen, stehe ich jederzeit persönlich zur Verfügung.
Aktuell prüfe ich ausserdem einen zukünftigen Einsatz eines elektronischen Systems zur Verwaltung der Freigaben. Ob und ab wann ich sowas einsetzen werde, kann ich zum aktuellen Zeitpunkt noch nicht beantworten. Im Moment bin ich überzeugt, dass die getroffenen Massnahmen einen weitaus umfangreicheren Schutz meiner Kundendaten gewährleistet als dies wohl 99% meiner Mitbewerber bieten.