Fotografieren wird ja ab dem 25.5.18 deutlich gefährlicher sobald Personen auf den Bildern zu sehen sind. Was müssen wir hier ab dann bei unseren Berichten beachten?
Vorsicht, Kamera!
Vorsicht, Kamera!
Was bedeutet die DSGVO für uns hier im Forum?
- Ersteller pecorella
- Erstellt am
Die Frage von pecorella finde ich wichtig. Auch wenn ja schon bei Fotografieren selbst jeder leicht gegen die DSGVO verstösst, ist dies doch etwas anderes (bis zu dem Punkt ist es ein individuelles Problem) als die Veröffentlichung im Forum. Dann fällt es ja aufs Forum zurück. Auch auf den Admin bzw. Betreiber? Fotos z. B. vom Trevibrunnen dürften kaum ohne Personen abzulichten möglich sein.
Man muss aber obigen Artikel auch ganz genau lesen, das angebrachte Beispiel des Hochzeitsfotografen, der bei sämtlichen Gästen eine Genehmigung einholen muss, war eigentlich schon vor der DSGVO so und behandelt eine eindeutig kommerzielle Nutzung (im Sinne des Urheberrechts/KUG) der Fotografien, die der Hochzeitsfotograf natürlich verkaufen will. Rückschlüsse auf private (Urlaubs-)Fotografien sind nicht unbedingt möglich.
Etwas genauer wird es bspw. hier erklärt: Die Regelungen des Datenschutzgesetzes zur "Bildverarbeitung", Teil 2 » Die Datenschutzflüsterer
Solange man die Fotos nicht "vermarktet", also entgeltlich irgendwo hochlädt (bspw. bei einer Bildagentur o.ä.) gilt der Grundsatz der "Verhältnismäßigkeit". Siehe auch folgende Quelle(n): DSGVO und Fotografie – Teil 2 und DSGVO und Vermarktung von Personenfotos durch Bildagenturen
Man muss sicher ein wenig Achtsamkeit walten lassen, wenn Personen auf den Fotos identifizierbar sind.
Das Problem von Foren mit der DSGVO liegt eigentlich ganz woanders, da von den registrierten Benutzern und auch von Gästen personenbezogene Daten (u.a. Emailadressen, IP-Adressen der Zugriffe usw. usf.) verarbeitet werden, dafür gibt es künftig Löschfristen und im Prinzip kann jeder eine Anfrage an den Betreiber stellen, welche Daten gespeichert sind und ob und wofür diese benötigt werden. Genauso kann die (teilweise) Löschung der Daten verlangt werden, diese muss in einer angemessenen Frist erfolgen.
Das größte Problem dürften wohl Abmahnanwälte sein, die testweise eine solche Anfrage stellen und bei nicht fristgerechter Erfüllung mit weiteren Maßnahmen drohen (werden). Die scharren wahrscheinlich schon mit den Hufen bzw. stehen in den Startlöchern.
Etwas genauer wird es bspw. hier erklärt: Die Regelungen des Datenschutzgesetzes zur "Bildverarbeitung", Teil 2 » Die Datenschutzflüsterer
Solange man die Fotos nicht "vermarktet", also entgeltlich irgendwo hochlädt (bspw. bei einer Bildagentur o.ä.) gilt der Grundsatz der "Verhältnismäßigkeit". Siehe auch folgende Quelle(n): DSGVO und Fotografie – Teil 2 und DSGVO und Vermarktung von Personenfotos durch Bildagenturen
Man muss sicher ein wenig Achtsamkeit walten lassen, wenn Personen auf den Fotos identifizierbar sind.
Das Problem von Foren mit der DSGVO liegt eigentlich ganz woanders, da von den registrierten Benutzern und auch von Gästen personenbezogene Daten (u.a. Emailadressen, IP-Adressen der Zugriffe usw. usf.) verarbeitet werden, dafür gibt es künftig Löschfristen und im Prinzip kann jeder eine Anfrage an den Betreiber stellen, welche Daten gespeichert sind und ob und wofür diese benötigt werden. Genauso kann die (teilweise) Löschung der Daten verlangt werden, diese muss in einer angemessenen Frist erfolgen.
Das größte Problem dürften wohl Abmahnanwälte sein, die testweise eine solche Anfrage stellen und bei nicht fristgerechter Erfüllung mit weiteren Maßnahmen drohen (werden). Die scharren wahrscheinlich schon mit den Hufen bzw. stehen in den Startlöchern.
Dieses Argument zieht (allerhöchstens) nur halb, wie ich finde. Ich habe fast tagtäglich mit kleinen und mittelgroßen Unternehmen zu tun, die sich erst jetzt darüber Gedanken machen, was sie noch umsetzen müssen. Da bricht vielerorts Panik aus, die eigentlich in jedem Fall vermeidbar gewesen wäre. Das Thema wird schon seit Monaten bzw. Jahren in der Presse und auch in branchenspezifischen Magazinen diskutiert und gerade in letzteren auch branchenspezifisch abgehandelt (was betrifft mich, was nicht usw.) inkl. Fallbeispielen. Wir befinden uns immerhin in einer Übergangsfrist zur Umsetzung bis zum Stichtag Ende Mai. Die Bedeutung des Begriffs "Übergangsfrist" war vielen offenbar nicht so ganz klar, das sollte ein Geschäftführer aber im Fokus haben, dafür ist er ja nun mal Geschäftsführer. Die Panikreaktionen kurz vorher zeugen meineserachtens eher von Vogel-Strauß-Taktik, was nicht besonders professionell ist.
Ich bin sicher nicht absolut für das Gesamtwerk der DSGVO, aber es ist nunmal so und wurde auch rechtzeitg vorher kommuniziert.
Man kann sicher trefflich darüber streiten, was nahezu jedem damit "aufgehalst" wird, das schützt aber nicht davor, dass Prozesse umgestellt werden müssen, wo man (aus Sicht von Endverbrauchern) eigentlich größtenteils davon ausgehen sollte, dass diese schon lang existieren, es handelt sich ja schließlich um personenbezogene Daten.
Vgl. dazu auch: 5 Mythen über die EU-Datenschutz-Grundverordnung
Zuletzt bearbeitet:
Auch das ist m.E. kein Argument, denn auch die (laufende) Dokumentation, wer wann und wie mit den Daten "arbeitet" sollte eigebntlich schon längst etabliert sein. Wir hatten in den vergangenen Jahren nicht nur einen Datenskandal, wovon mehrere tausend oder gar Millionen Nutzer betroffen waren. Wenn überhaupt eine Quelle der "geklauten" Daten ermittlet werden konnte, wurde dennoch mit dem Finger auf irgendwelche Schuldigen gezeigt, die offenbar nicht besonders professionell mit den Daten umgehen. Aber auch die Kunden gehen mit ihren Daten häufig sehr lax um, geben überall - ohne weiter nachzudenken - alles nötige und unnötige ein.
Ernsthaft?!? - Noch nie davon gehört.
Ein Bekannter von mir ist Registraturleiter (nicht in Köln; in einem anderen Bistum), sollte es also wissen - und er erwähnte neulich, dass sie nunmehr fast genau so viel Zeit für die Dokumentation ihrer Arbeitsvorgänge an den Daten aufwenden müssten wie bislang für die Verwaltung der Daten selbst.
Kam vielleicht nicht so ganz heraus, aber das mit der Dokumentation war in dem Fall meine Meinung. Es ist nunmal gängige Praxis, dass häufig - ohne weiteres Nachdenken - jeder Vollzugriff auf den Datenbestand hat, einfach aus Bequemlichkeit. Wenn dann einer mit den Daten Schindluder treibt, ist das Geschrei groß. Das betrifft kleine Firmen wie auch Großkonzerne, wo Mitrbeiter Zugriff auf Daten haben, die sie im Rahmen ihrer Aufgaben gar nicht benötigen oder wo Daten einfach gesammelt wurden, nur um des Sammelns willen (was ich habe, habe ich). Ich habe das schon vieleorts erlebt, wo externe Dienstleister bspw. eine Buchhaltungslösung (oder nhd. ERP-System) installiert haben und die Firmenleitung dann entschieden hat, dass alle Mitarbeiter, die mit dem Buchhaltungsprogramm arbeiten, aus Bequemlichkeit Admin-Rechte in der Software erhalten haben, auch wenn sie nur Angebote bzw. Rechnungen (lesend) einsehen können mussten. Die hatten dann alle Vollzugriff auch auf die internen Abrechnungen oder die kompletten Stammdaten.
Danke, humocs, für die links.
Inhaltlich stimme ich humocs voll zu. Auch das Abwarten der Firmen bei gesetzlichen Notwendigkeiten habe ich oft erlebt. Irgendwie guckt dann kurz vor in Kraft treten jeder genau so erstaunt, wie jährlich, wenn schon wieder Weihnachten ist. Und auch Regelungen für den Zugriff auf Daten sind schon lang m. E. für eine ordentliche Geschäftsführung unumgänglich. Dabei kenne ich es auch, dass es schwer ist, für gute Infrastruktur hierfür entsprechende Mittel zu erhalten. Aber auch die Bearbeiter zu überzeugen, dass Beschränkungen und Dokumentation unbedingt notwendig sind, stellt einen vor Herausforderungen. Ich habe es öfter erlebt, dass der Zugang zu Daten (bzw. zu Bearbeitungen damit) zum Statussymbol erhoben wurde. Es entwickelte sich leicht die Einschätzung, dass der, der die umfangreichsten Zugriffe hat, der King ist. Leider gilt das auch die für Führungskräfte, die häufig überhaupt nicht mehr direkt in die Sachbearbeitung eingebunden sind.
Bei meiner Frage bzgl. der Berücksichtigung der DSGVO für uns Nutzer im Forum ging es auch eher darum, ob es Hinweise gibt, wie wir uns so zu sagen proaktiv verhalten könnten, damit das Forum / der geschätzte Betreiber weniger Sorge gerade vor Abmahnvereinen haben muss. Oder kann man da so und so nicht vorsorgen, da die erst einmal völlig allgemeine Anfragen stellen, die dann eine Fülle von Arbeit nach sich ziehen?
Inhaltlich stimme ich humocs voll zu. Auch das Abwarten der Firmen bei gesetzlichen Notwendigkeiten habe ich oft erlebt. Irgendwie guckt dann kurz vor in Kraft treten jeder genau so erstaunt, wie jährlich, wenn schon wieder Weihnachten ist. Und auch Regelungen für den Zugriff auf Daten sind schon lang m. E. für eine ordentliche Geschäftsführung unumgänglich. Dabei kenne ich es auch, dass es schwer ist, für gute Infrastruktur hierfür entsprechende Mittel zu erhalten. Aber auch die Bearbeiter zu überzeugen, dass Beschränkungen und Dokumentation unbedingt notwendig sind, stellt einen vor Herausforderungen. Ich habe es öfter erlebt, dass der Zugang zu Daten (bzw. zu Bearbeitungen damit) zum Statussymbol erhoben wurde. Es entwickelte sich leicht die Einschätzung, dass der, der die umfangreichsten Zugriffe hat, der King ist. Leider gilt das auch die für Führungskräfte, die häufig überhaupt nicht mehr direkt in die Sachbearbeitung eingebunden sind.
Bei meiner Frage bzgl. der Berücksichtigung der DSGVO für uns Nutzer im Forum ging es auch eher darum, ob es Hinweise gibt, wie wir uns so zu sagen proaktiv verhalten könnten, damit das Forum / der geschätzte Betreiber weniger Sorge gerade vor Abmahnvereinen haben muss. Oder kann man da so und so nicht vorsorgen, da die erst einmal völlig allgemeine Anfragen stellen, die dann eine Fülle von Arbeit nach sich ziehen?
Ebenfalls alles schon erlebt, da kann man auch noch so viel predigen, dass das eine mindestens zweifelhafte Vorgehensweise ist, die ggf. sogar gänzlich externen Personen Zugriffsmöglichkeiten mit verhältnismäßig geringem Aufwand bietet, aber es darf halt alles nichts kosten und es wiord zunächst der Sinn der (m.E. notwendigen) Maßnahmen erstmal angezweifelt - kurz: "läuft doch". Ich habe bspw. vor Jahren mal einen Geschäftsführer die Augen geöffnet, der zunächst auch nicht hören wollte. Die hatten zum Datenaustausch mit Geschäftspartnern ein mehr oder weniger offenen FTP-Server betrieben, irgendwann sollte ich diesen Server auf anonyme Anmeldung umstellen, weil eine Firma es nicht auf die Reihe bekam, sich das Passwort zu merken. Ich hatte den Betrieb schon vorher darauf hingewiesen, den FTP-Server unbedingt abzusichern, da Benutzernamen und Passwörter bei FTP im Klartext übertragen werden. Wollten sie aber nicht hören und nach der Umstellung auf anonyme Verbindungen habe ich mal ein Protokollierprogramm über's Wochenende mitlaufen lassen. Das Protokoll habe ich dann in der folgenden Woche vorgelegt und gezigt, dass ungefähr 150 unberechtigte Zugriffe auf den Server stattgefunden haben. Bei einigen wurde sogar versucht, aus dem Server "auszubrechen" und auf weitere Rechner im Netz zuzugreifen.
und wissen erst wenn es zu spät ist, dass es sich um keine legitime Anfrage gehandelt hat. Für die Fotos würde ich bspw. vorschlagen, dass man zumindest Autokennzeichen unkenntlich macht. Gänzlich verhindern wird man die Versuche der Abmahner nicht können. Notfalls stricken die sich einfach einen (un)möglichen Angriffspunkt.
Wir als (legitime) Nutzer ohne "komische" Absichten können da m.E. wenig tun, man kann neuen Nutzern auch nur bis vor den eigenen Bildschirm schauen
und wissen erst wenn es zu spät ist, dass es sich um keine legitime Anfrage gehandelt hat. Für die Fotos würde ich bspw. vorschlagen, dass man zumindest Autokennzeichen unkenntlich macht. Gänzlich verhindern wird man die Versuche der Abmahner nicht können. Notfalls stricken die sich einfach einen (un)möglichen Angriffspunkt.
Danke für die Einschätzung, der ich zustimme.
Bei Deinem Beispiel musste ich ja lachen, aber es ist natürlich eigentlich nur traurig, dass Du auch noch beweisen musstest, wie leichtfertig die Insallation war! Früher dachte ich immer, dass die Sensibilität mit den großen Datenskandalen wächst. Aber anscheinend meint jeder, mit seinen Daten könnte nichts passieren.
Was m.w. bisher nicht so im deutschen Datenschutz geregelt war, waren die detaillierten Dokumentationspflichten für Datenverbleib, Abläufe, Berechtigte .... und die Pflicht, mit jedem, mit dem man Daten austauscht, einzelvertraglich zu regeln, daß der die EU-DGVO einhält. Die einzelnen Unternemen waren zwar verpflichtet, das BDSG einzuhalten (per Gesetz), aber das mußte nicht ausdrücklich zwischen den Unternehmen vertraglich vereinbart werden (mit der Dokumentation der Verträge); auch die Dokumentationsvorschriften waren bei weitem nicht so umfangreich, wie nach der neuen EU-DGVO. (Wobei Du natürlich Recht hast, daß derartiges eigentlich auch im Interesse des Unternehmens intern dokumentiert sein sollte - ist aber häufig halt nicht so in der jetzt erforderlichen Formalität erfolgt).
Man muss aber auch nicht immer auf die gesetzliche Keule warten und kann schon vorher Verantwortungsbewusstsein an den Tag legen. Natürlich haben diejenigen, die bisher noch gar keinen Prozess implementiert haben, einen nicht unerheblichen Mehraufwand. Da liegt dann aber der Fehler darin, dass eben noch keine eindeutige Vorgehensweise vorgesehen war.
Man will ja bspw. auch nicht, dass mit den eigenen Daten irgendwo unvorsichtig umgegangen wird. Offensichtlich war die große Keule von Seiten der EU aber notwendig, auch um Überprüfungswege zu schaffen, da jeder davon ausgegangen ist, dass der jeweils andere das schon ordentlich machen wird.
Auch das war offenbar notwendig, es betrifft ja auch meine Branche nicht unerheblich, als Beispiel genügt schon eine bisher bedenkenlos durchgeführte Fernwartung, wo man auch nur die theoretische Möglichkeit hat, beim Hilfesuchenden personenbezogene Daten einzusehen (bspw. bei Änderungen am Benutzerkonto oder beim Zugriff auf das Emailprogramm, um Einstellungen vorzunehmen), dann muss schon eine vertragliche Regelung zur Auftragsdatenverarbeitung zwischen den Parteien existieren, auch wenn den Supporter die Daten überhaupt nicht interessieren.
Zusatz zu der im Ausgangsbeitrag verlinkten Seite:
Es gibt einen aktuelleren Artikel von heute, dem 22. Mai: Ende der Fotografie oder halb so schlimm?
Im vorletzten Absatz liest man:
Es gibt einen aktuelleren Artikel von heute, dem 22. Mai: Ende der Fotografie oder halb so schlimm?
Im vorletzten Absatz liest man:
Nach allen Aussagen, die ich bisher in der letzten Zeit - nach der ersten Schockphase - gelesen habe, hat sich dadurch gegenüber der alten Rechtslage nichts wesentliches geändert (sh. z.B. Fotografieren in Zeiten der DSGVO – Große Panikmache unangebracht) - auch bisher mußte man von Personen, die erkennbar auf Bildern dargestellt waren, die Einwilligung einholen (hat blos normalerweise kaum jemand gemacht, wenn er nicht die Person als Hauptmotiv darstellen wollte). Personen, die man nicht erkennen kann (Staffage) sind und waren unproblematisch - Grenzbereich ist offensichtlich die sog. "Streetfotografie", weil da eben auch häufig Personen (quasi als wesentliches Hauptmotiv) erkennbar abgebildet sind - da ist es im Zweifel besser, die Aufnahme zu unterlassen oder - wenn möglich - nachträglich die Einwilligung einzuholen und notfalls das Bild zu löschen. Nach dem "alten" Recht am eigenen Bild war die Veröffentlichung ohne Einwilligung verboten, nach der DSGVO ist es bereits die Speicherung ( da ist die DSGVO rigider).
Ich habe obigen Beitrag von FestiNalente aus einem Reisebericht zusätzlich hierhin kopiert, wo er leichter gefunden wird.
Im von FestiNalente verlinktem Artikel heißt es:
Ich habe mal versucht, mit der Retuschierfunktion zu arbeiten. Schränkt das Vergnügen an den Fotos ein, dürfte aber ein möglicher Weg sein. Dabei ist das für die Spanische Treppe eher unmöglich (da sehen alle mich als Fotografen an und es sind einfach zu viele), aber schon beim Trevibrunnen geht's (da schauen fast alle in die andere Richtung). Besser ist es natürlich bei wenigen Personen auf dem Foto (wie z. B. im Rosengarten)
Allerdings war der Trevibrunnen mehr Arbeit als ich dachte. Zum Schluss habe ich dann doch nicht mehr die einzelnen Gesichter retuschiert sondern Balken gezogen. Sieht nicht toll aus.
Wenn man dem folgt, dann sind die Aufnahmen an sich durch uns wohl noch kein Verstoß gegen die DSGVO. Anders könnte es sich dann bei Veröffentlichung im Forum darstellen.
Ich habe mal versucht, mit der Retuschierfunktion zu arbeiten. Schränkt das Vergnügen an den Fotos ein, dürfte aber ein möglicher Weg sein. Dabei ist das für die Spanische Treppe eher unmöglich (da sehen alle mich als Fotografen an und es sind einfach zu viele), aber schon beim Trevibrunnen geht's (da schauen fast alle in die andere Richtung). Besser ist es natürlich bei wenigen Personen auf dem Foto (wie z. B. im Rosengarten)
Allerdings war der Trevibrunnen mehr Arbeit als ich dachte. Zum Schluss habe ich dann doch nicht mehr die einzelnen Gesichter retuschiert sondern Balken gezogen. Sieht nicht toll aus.
.
Zuletzt bearbeitet: