Diesmal gibt’s ein bisschen was Autobiographisches. Die Belege und Weblinks dazu sind zwar weitestgehend aus dem aktuellen Netz verschwunden, aber wer, unter Archive.org zum Beispiel, tiefer gräbt, findet das alles noch.
Im Jahr 2000 habe ich eine Aktiengesellschaft gegründet, um für die allererste Crowdfunding-Plattform Geld an Land zu ziehen. Das ist natürlich etwas schwierig, also haben wir uns erstmal auf einen Bereich konzentriert, wo „Crowdfunding“ eigentlich ein alter Hut war: Bücher. Crowdfunding bei Büchern nannte man „Subskription“ und das gab’s schon ewig. Nur eben nicht im Internet. Die AG hieß „Amundio“ – von „Anima Mundi“ (Weltseele) und die Website „Booksagain“. Wir hatten seinerzeit schon Webseiten für andere Projekte angemeldet – z.B. „Carsagain“ für die Nachfertigung von historischen Autoteilen. Wir haben das Projekt seinerzeit neben lokalen Businessleuten auch google, Amazon und Bertelsmann vorgestellt, aber die haben alle nicht kapiert, worauf wir hinauswollten. Und Google war nur daran interessiert, unseren Buchscanner abzugreifen, den wir erfunden hatten.
Was das jetzt mit der DSGVO zu tun hat? Ich habe damals zwangsläufig gelernt, mich in Rechtsthemen einzufuchsen, weil man sich da mit Urheber- und Markenschutzrechten, AG-Recht und internationalem Rechtehandel auseinandersetzen musste. Und ich habe feststellen müssen, dass man sich da auf niemanden verlassen kann. Nicht auf Rechtsanwälte und nicht auf Berater. Mir hat ein freundlicher Herr gesagt „Du musst Dir vor Gericht die Handlungen Deines Anwalts zurechnen lassen.“ Also wenn der Anwalt Quark macht, würde erstmal ich hängen. Wenn ich hinterher noch dazu fähig bin, könnte ich natürlich versuchen, ihn auf Anwaltshaftung zu verklagen.
Seitdem versuche ich, meine Rechtspositionen selbst zu durchdenken und möglichst fair zu handeln, so dass es überhaupt nicht dazu kommt, dass ich mich mit irgendwem streiten muss. Ich sehe mir an, was ich selbst als lästig empfinde und vermeide anderen Leuten mit dem gleichen Verhalten auf den Wecker zu gehen.
Kleines Beispiel: Newsletter. Ich habe bei Booksagain die Möglichkeit, einen Newsletter zu abonnieren. Das ist durchaus für meine Kunden von Interesse, da ich ja hin und wieder Gratisupdates für meine Bücher ausliefere – und da ist es natürlich praktisch, wenn man erfährt, wenn’s was umsonst gibt. Aber wer’s nicht wissen will – kein Problem. Gratisupdates sind ja für mich kein Umsatz – das sind nur Kosten.
Ich mache meine Newsletter ohne Grafiken. Vorteil beim Kunden: Bandbreite wird gespart. Speicher wird gespart.
Nun kriege ich aber jeden Tag Newsletter von anderen Leuten. Fast alle beinhalten Grafiken. Nur haben diese Helden von ihren IT-Beratern erklärt bekommen, dass es eine prima Idee ist, die Grafiken nicht mitzuschicken, sondern im Netz vorzuhalten. Dann könne man die Grafiken auch jederzeit austauschen – wer die Mail schneller aufmacht, kriegt eine andere Grafik als der Nachzügler – und man könne genau sehen, wer den Newsletter aufmacht und von wo und mit welchem Endgerät. Sowas nennt man „Lazy HTML“, übersetzt „faules HTML“, weil eben beim Nachladen solcher Inhalte auch Schadcode eingeschleust werden kann. Vor ein paar Wochen ging es durch die Presse: PGP und S/MIME sind geknackt worden. Mittels LazyHTML. Wer also „automatisch Nachladen“ aktiviert hat, schickt dem Newslettersender persönliche Daten ohne Ende – und macht sein System auf wie ein Scheunentor. Wirklich lustig war es in den letzten Tagen, wenn die Mailüberschrift hieß „Wir nehmen den Datenschutz ernst“ und dann die ganze Mail nur aus LazyHTML bestand. (Ich verwende PegasusMail, das mir ins solchen Fällen halt eine freundliche Info anzeigt – und dann nur graue Kästen. ) Nun gibt’s zwei Möglichkeiten: Der Absender des Newsletters hat von IT-Sicherheit und Datenschutz keine Ahnung – was jetzt nicht wirklich ein Argument ist, diese Newsletter zu öffnen. Oder sie wissen genau, was sie tun. Und dann sollte man die Mail erst recht nicht lesen.
Zum letzten Thema: Kognitive Dissonanz. Das ist ein Zustand, in dem man versucht, Dinge, die man gerne macht, zu tun, obwohl man genau weiß, dass das eigentlich eine dumme Idee ist. Rauchen. Saufen. Solche Newsletter verschicken. Die DSGVO so auszulegen, dass sie das eigene Business so wenig wie möglich behindert. Vor allem Letzteres sehe ich jeden Tag im Netz. Anstatt dass die Webseiten die Datensammelwut einstellen, bauen Sie meilenlange „Datenschutzerklärungen“ ein, in denen sie vor allem erklären, dass sie sammeln, was sie kriegen können und die Daten auch mit Freuden weiterverticken. Ich habe gestern mal wieder eine Hochzeit fotografiert. Ich habe vorher alle Gäste aufgeklärt, dass ich sie fotografiere und was mit den Daten passiert. Alles locker, alles Bestens. Nun gibt’s Fotografen, die halt gerne zur Eigenwerbung, weil sie es so praktisch finden, Fotos von Hochzeiten auf ihre Website stellen. Und da sind dann eben Hochzeitsgäste drauf. Wenn’s hochkommt, fragen die das Hochzeitspaar, ob sie dürfen. Aber eben nicht die Gäste. Und ganz ehrlich: Wenn ich auf einmal in meiner ganzen Pracht auf der Werbeseite eines Hochzeitsfotografen auftauchen würde – und zwar, ohne dass ich gefragt werde – dann bekäme ich einen dicken Hals. Und wenn ich auf der Hochzeit vorher darüber aufgeklärt würde, dass ich, wenn ich Pech habe, zwei Tage später auf der Website des Hochzeitsfotografen auftauchen würde, ich würde darauf bestehen, dass die Nase um mich rumfotografiert.
Und so sollte man sich bei allen Aussagen zur DSGVO erstmal ansehen, was will mir der Sprecher verkaufen? Der Journalist will seine Auflage verkaufen, der Datenschützer seine Dienstleistung, der Fotograf seine Fotos. Warum hält sich Strato, als größter Internetdienstleister Deutschlands, zum Thema DSGVO so bedeckt? Weil sie genau wissen, was sie treiben. Man kann dort easy seine Vereinbarung zur Auftragsverarbeitung machen, es wird einem erklärt, dass die IP-Adressen nach 7 Tagen gelöscht werden und für den Rest soll man sich zum Henker doch bitte einen Rechtsanwalt oder Datenschutzbeauftragten holen, der die eigene Situation analysiert. Womit ich wieder beim Eingang wäre: Rechtstexte selber lesen macht schlau. Es gehört dazu und kann einem den Hintern retten.
Hallo Reinhard,
habe dazu etwas bei heise.de gefunden: https://www.heise.de/security/bilderstrecke/bilderstrecke_4058497.html?back=4057866
Direkt das erste Bild mit dem „roten Punkt“ 😉
LG
Rudolf
Jo. Da hat es wieder jemand nicht verstanden.
PGP und S/MIME sind nicht “geknackt” worden. Bei vorschriftsmäßigem Gebrauch mit Mail-Programmen, die nicht doof sind, funktionieren sie problemlos und tun das, was sie sollen.
Wer natürlich ein Mail-Programm benutzt, das HTML-Nachrichten automatisch als HTML anzeigt und am Ende gar noch unaufgefordert externe Inhalte aus dem Netz nachlädt, dem ist nicht zu helfen, aber das ist nicht primär das Problem von PGP und S/MIME.
Da gebe ich Dir völlig recht. Es ging halt der Aufreger durch die Presse – und wenn man’s genau angesehen hat, war’s halt nur mit Hilfe von LazyHTML möglich. Aber gerade die Unart, LazyHTML für Newsletter zu verwenden, regt mich halt auf. Und ich versuche, dafür zu sensibilisieren.
Naja, was will man sagen? Hinter den Newslettern stehen zumeist Marketing-Leute, und die legen oft Wert auf ansprechende Optik und “Corporate Identity”. Mit nerdigen Plain-Text-E-Mails sind die nicht zufrieden. Und das mit der Reichweitenanalyse durch die Serverzugriffe ist natürlich auch extrem verlockend.
Hier haben wir mal wieder ein Beispiel dafür, dass nicht alles, was technisch möglich ist, auch dringend gemacht werden muss. Aber hinterher ist man meistens schlauer …
Ich habe nichts gegen HTML-Mails, (auch wenn ich selbst eher die „nerdigen“ Mails bevorzuge und mich auch nur schwer an TOFU gewöhnen kann) , mir geht’s nur um die Nachladerei. Und klar, die Reichweitenkontrolle meines Newsletters habe ich nicht. Aber ich seh ja an mir, dass diese Reichweitenkontrolle kontraproduktiv ist. Gerade die Leute, die sich auskennen, erreiche ich mit einem solchen Verfahren nicht. Im Gegenteil. Ich säe Misstrauen.
Durch die DSGVO kommt noch etwas hinzu: ich kann die Mail einfach an die nächste Datenschutzbehörde weiterleiten. Treffer. Versenkt.
Naja, die Frage ob ich als Hochzeitsgast ungefragt auf einem Bild im Portfolio eines Hochzeitsfotografen auftauchen darf, war schon vor der DSGVO nicht ganz einfach zu beantworten, da ein Brautpaar ja ein durchaus berechtigtes Interesse daran hat, dass auf der eigenen Hochzeit viele Bilder von allen Gästen gemacht werden, damit man sich später um so besser an den Tag erinnern kann. Wenn es also um das „ungefragt“ fotografiert werden geht, hat man als jemand, der nicht gerne fotografiert wird, schlechte Karten.
Mit etwas Glück hat man einen guten Fotografen wie Dich, der vorher aufklärt und vielleicht auch darum bittet, dann halt im Zweifelsfall bitte aus dem Bild zu gehen, eine entsprechende Handbewegung zu machen und sich nicht ganz vorne aufs Gruppenbild zu stellen.
[…]
Grundsätzlich muss man immer bedenken, dass die DSGVO es nicht auf die Fotografen abgesehen hat, die sind quasi nur ein derzeit in den Medien überproportional aufgeblasener Kollateralschaden. Deshalb wird ja auch von den meisten offiziellen Stellen gesagt, dass sich für Fotografen kaum was ändert. Und was sich ändert ist nicht das Fotografieren, sondern die Dienstleistung, d.h. DSGVO gerechte Verträge und AGBs sowie sicheres Verarbeiten der personenbezogenen Daten, wie Name und Adresse des Brautpaars und natürlich deren Fotos. Ich muss mir als Fotograf z.B. auch überlegen, wie ich den Kunden vor Verlust seiner Hochzeitsfotos schütze, solange ich für diese verantwortlich bin.
So gesehen freue ich mich ganz besonders über diesen ruhigen und besonnenen Artikel, in dem Reinhard gute Tipps gibt und auf gesunden Menschenverstand setzt, statt wie so viele andere auch unnötig Panik zu verbreiten.
[…]
Hallo Acahaya,
ich habe Deinen Post gekürzt, wie Du festgestellt hast. Da Du entsprechende Würdigungen der Rechtslage schon an anderer Stelle getroffen hast, müssen die hier nicht nochmal stehen. Ich bin da lieber vorsichtig. Better safe than sorry.
Hallo,
in diesem Zusammenhang könnte folgender Artikel bei Heise von Interesse sein:
DSGVO und Fotografie: OLG Köln schafft etwas Klarheit
https://www.heise.de/newsticker/meldung/DSGVO-und-Fotografie-OLG-Koeln-schafft-etwas-Klarheit-4092556.html