Schlagwort-Archive: DSGVO

Datenschutz-​Panne bei der Bildagentur Bigstock

Heute haben eini­ge Bigstock-Anbieter etli­che Emails erhal­ten, die nicht (nur) für sie bestimmt waren. Darin ging es um die Information, dass das ein­ge­reich­te Steuerformular abge­lau­fen sei und erneu­ert wer­den müsse.

Das Besondere an der Email: Bigstock hat dar­auf ver­zich­tet, jeden Anbieter ein­zeln anzu­schrei­ben, son­dern qua­si eine Sammel-​Email ver­fasst, in der in der „An:“-Zeile jeweils 125 Empfänger gleich­zei­tig ange­schrie­ben wurden:

Hier ein Blick in die kom­plet­te Email mit einem anony­mi­sier­ten Auszug der Emailadressen:

Warum ist das relevant und gefährlich?

Zum einen ist die­se Aktion von Bigstock natür­lich ein gro­ber Verstoß gegen die Europäische Datenschutz-​Grundverordnung (DSGVO), wel­che besagt, dass die Weitergabe von Email-​Adressen nur zuläs­sig ist, wenn eine Einwilligung erteilt wur­de. Ich bezweif­le stark, dass alle Anbieter ange­wil­ligt haben, dass ihre Emailadresse an hun­der­te ande­re Anbieter wei­ter­ge­ge­ben wer­den darf.

Zum ande­ren ist das unnö­ti­ge Bekanntwerden einer Emailadresse ein poten­ti­el­les Sicherheitsrisiko, weil es in den fal­schen Händen Verbrechern min­des­tens drei, eher mehr Informationen verrät:

  • Die Email-​Adresse selbst
  • dass die Person hin­ter der Adresse Anbieter bei Bigstock ist
  • dass die Person ein abge­lau­fe­nes Steuerformular bei Bigstock hin­ter­legt hat
  • ggf. auch: den Namen der Person selbst, falls sich die­se aus der Mailadresse ablei­tet oder im Impressum von selbst-​gehosteten Domain ver­birgt, dann meist sogar mit Adresse
  • ggf. auch: Dass die Person seit min­des­tens vier Jahren bei Bigstock aktiv ist, weil die Steuerformulare meist für ca. vier Jahre gül­tig sind

Mit die­ser Kombination aus Informationen kön­nen zum Beispiel maß­ge­schnei­der­te Phishing-​Angriffe ver­sucht wer­den, die mit gefälsch­ten Emails ver­su­chen, die Empfänger zum Klick auf eine betrü­ge­ri­sche Webseite zu bewegen.

Falls die Person die glei­che Kombination aus Email-​Adressen und Passwörtern ver­wen­det, wer­den auch Logins durch Hacker ermög­licht, wenn die­se sol­che Daten aus frü­he­ren Passwort-​Leaks haben. Ich erin­ne­re da nur an die Passwort-​Leaks bei EyeEm und 500px oder Adobe. Dann ist ggf. die Auszahlung vom Guthaben in Gefahr.

Zusätzlich zum Sicherheitsaspekt die­ser Aktion waren die Emails von Bigstock auch sehr ner­vig, weil eini­ge Betroffene teil­wei­se bis zu über 140 Emails erhal­ten haben. Waren in der ers­ten Email noch ca. 100 Empfänger sicht­bar, ist die Empfängerliste zum Schluss auf über 185 Empfänger angewachsen.

Was tun?

Falls ihr auch die­se Emails von Bigstock emp­fan­gen habt, gel­ten die übli­chen Regeln, um sei­ne Identität im Internet zu schüt­zen: Benutzt nie das glei­che Passwort für ver­schie­de­ne Seiten. Solltet ihr euer Bigstock-​Passwort auch auf ande­ren Seiten ein­set­zen, soll­tet ihr es schleu­nigst ändern.

Ideal wäre auch die Verwendung eige­ner Emailadressen für jede Webseite. So las­sen sich bei Google Mail bei­spiels­wei­se belie­bi­ge Varianten der eige­nen Emailadresse hin­zu­fü­gen, die alle im glei­chen Postfach lan­den, wobei Google aus Datenschutzgründen auch nicht die ers­te Wahl für Emailadressen sein sollte.

Fake-​News: DSGVO-​Widerspruch auf Facebook durch ein Bild?

Es begann mit einem däm­li­chen Internet-Bild.

Dieses Bild hier wur­de am 8. Mai 2018 in der Facebook-​Gruppe „kreativ[ge]recht“ des Medienanwalts Sebastian Deubelli gepos­tet.

Den aller­meis­ten Teilnehmern dort war klar, dass das unnüt­zer Blödsinn ist und in den Kommentaren dar­un­ter wur­de sich etwas über das Bild lus­tig gemacht. Der Anwalt schrieb dann sinn­ge­mäß sowas wie „fehlt nur noch das ‚tei­le das in Deinem Profil, um einer Abmahnung zu ent­ge­hen‘ „.

Fand ich lus­tig, also ent­warf ich in einer Minute die­ses Bild (sie­he oben, nur ohne den Fake-​Stempel) und ver­öf­fent­lich­te es am 9. Mai 2018 um 9:15 Uhr auf mei­ner Facebook-​Seite, um zu sehen, was passiert.

Einige mei­ner foto­af­fi­nen und urhe­ber­recht­lich ver­sier­ten Facebook-​Freunde teil­ten das Bild, weil sie den Insider-​Witz ver­stan­den und es eben­so lus­tig fan­den wie ich. Doch bald ent­wi­ckel­te der Witz sei­ne eige­ne Dynamik.

Einen Tag spä­ter wur­de das Bild schon 100x geteilt.
Am 13.5.2018 abends waren es schon 700 Leute, die das Bild geteilt hat­ten. Am 14.5.2018 ging das Ding dann durch die Decke.
Um 18 Uhr hat­ten es schon über 2700 Leute geteilt und auf der Fakten-​Check-​Seite mimi­ka­ma wur­de vor mei­nem „Fake“ gewarnt.

Aktueller Stand (16.5.2018 um 18:08): Das Bild wur­de 5385x geteilt und eine knap­pe Drittel Million Leute wur­den damit „erreicht“. (Update 18.05.2018 um 13:40: 6002x geteilt, 380.686 Leute erreicht, 25.05.2018 um 17:00: 7761x geteilt, 527.603 Leute erreicht)

Auch auf Twitter dreht das Bild sei­ne Runden, bei Instagram ging es in mei­nem Account nicht so ab.

Angesicht des doch etwas über­ra­schen­den Zuspruchs mei­nes unge­plan­ten vira­len Hits hier die Klarstellung:

Inhaltlich ist mein Bild falsch! Vollkommener Blödsinn.
Man kann nicht ein­fach will­kür­lich Verordnungen oder Gesetzen wider­spre­chen, damit sie für einen nicht gelten.

Im Facebook-​Post zum Bild hat­te ich sogar geschrieben:

Mein Anwalt hat mich auf eine lus­ti­ge Idee gebracht.
Das klappt ganz sicher…

Teile auch Du unbe­dingt, um vor der DSGVO geschützt zu sein.

Hinweis: Das gilt hier nur für Facebook, Du musst es auch bei Instagram und Whatsapp tei­len, damit es dort gel­ten soll.“

Durch das „lus­tig“ bin ich davon aus­ge­gan­gen, dass der feh­len­de Ernst even­tu­ell erkenn­bar ist, aber viel­leicht haben ande­re nur „Anwalt“ gele­sen und dar­aus eine recht­li­che Relevanz abgeleitet.

Ich schä­me mich nun etwas, mei­nen Teil dazu bei­getra­gen zu haben, Unwahrheiten und Unsicherheit in die Welt zu tragen.

Andererseits habe ich eine wich­ti­ge Lektion gelernt:
Wenn ich selbst es inner­halb einer Minute ohne viel Nachdenken schaf­fe, Fake-​News zu pro­du­zie­ren, die von einer knap­pen Drittel Million Leuten gese­hen wer­den, was errei­chen dann wohl Leute, die mit Absicht und Planung Lügen und Propaganda ver­brei­ten wol­len, um Menschen zu beein­flus­sen, zu len­ken oder Wahlen zu manipulieren?

Eine aktu­el­le Studie kam zu dem Schluss, dass sich Falschmeldungen bei Twitter viel schnel­ler ver­brei­ten als die Wahrheit. Das konn­te ich nun am eige­nen Leib erfahren.

Deshalb mei­ne Bitte an euch: Checkt die Fakten, glaubt nicht jeden Scheiß und teilt Informationen wirk­lich nur, wenn ihr der Quelle trau­en könnt. Lest vor dem Teilen viel­leicht auch mal auf mimikama.at, dort wer­den vie­le vira­le Falschmeldungen entlarvt.

ich wer­de gleich die­sen Artikel gleich im Original-​Post als Update hin­zu­fü­gen und hof­fe, dass eini­ge Leute, die es nicht als Witz, son­dern ernst auf­ge­fasst haben, eben­falls etwas ler­nen können.

DSGVO für Fotografen – Was ist zu tun?

Seit Wochen errei­chen mich total ver­un­si­cher­te Mails von Fotografen, die nicht wis­sen, wie sie sich auf die neue Datenschutz-​Grundverordnung (DSGVO) vor­be­rei­ten sol­len, wel­che ab dem 25. Mai 2018 in Kraft tritt.

Wie muss ich mei­ne Webseite oder mei­nen Blog absi­chern, um nicht abge­mahnt wer­den zu können?

Darf ich noch redak­tio­nel­le Fotos mit Personen drauf machen, ohne mit einem Bein im Knast zu stehen?

Wie muss ich mei­nen Modelvertrag abän­dern, damit die­ser rechts­si­cher bleibt?

Darf ich als Hochzeitsfotograf noch Bilder der Gäste machen?

Um es vor­weg­zu­neh­men: Auf alle die­se Fragen wer­det ihr von mir hier kei­ne Antwort finden.

Okay, fast, denn zumin­dest beim Thema Blogs und Webseiten kann ich nur raten: Abschalten. Komplett. Konzentriert euch auf die Fotografie und ihr habt ein Problem weni­ger. Nein, war nur ein Scherz, hier fin­det ihr eine Übersicht, was ihr beach­ten müsst, wenn ihr unbe­dingt in Aktionismus ver­fal­len wollt, bevor das Gesetz über­haupt in Kraft getre­ten ist.

Natürlich könnt ihr auch viel Geld aus­ge­ben für eine „maß­ge­schnei­der­te“ DSGVO-​kompatible Datenschutzerklärung im Impressum eurer Webseite oder euch gleich sich „auto­ma­tisch aktua­li­sie­ren­de“ AGB und DSGVO-​Erklärungen im Abo für eine monat­li­che Gebühr von gewief­ten Anwälten kaufen.

Wobei ich schon den Tenor die­ses Artikels ver­ra­ten kann: Keine Panik!

Erinnert ihr euch an die „EU Cookie-​Richtlinie“, wel­che Ende 2015 umge­setzt wur­de? Seitdem pflas­tern zig ner­vi­ge Pop-​Ups fast jede Webseite, wel­che den Besucher dar­über infor­mie­ren, dass Cookies ein­ge­setzt wer­den. Mann kann nicht mal wider­spre­chen, nur „okay“ oder „ver­stan­den“ drü­cken, um das ner­vi­ge Fenster ver­schwin­den zu las­sen. Geholen ist damit kei­nem. Im Gegenteil: Diese Pop-​Ups selbst wie­der­um könn­ten Abmahnungen pro­vo­zie­ren, wenn sie ande­re wich­ti­ge Webseiten-​Informationen wie das gesetz­lich vor­ge­schrie­be­ne Impressum ver­de­cken. Aber mal nüch­tern betrach­tet: Hat jemand von euch schon von einer Abmahnung gehört, wel­che durch ein feh­len­des „die­se Webseite ver­wen­det Cookies“-Banner her­vor­ge­ru­fen wurde?

Ähnlich sehe ich das mit der DSGVO:
Einfach mal locker blei­ben. Die 20 Millionen Bußgeld oder 4% das Jahresumsatzes, die bei Verstößen ger­ne von inter­es­sier­ten Anwälten in den Raum gewor­fen wer­den, die ihre „maß­ge­schnei­der­ten“ Datenschutzerklärungen ver­kau­fen wol­len, sind die Höchststrafe, wel­che Firmen wie Amazon, Facebook, Google oder Apple abschre­cken sol­len. Für einen klei­nen frei­be­ruf­li­chen Fotografen wird garan­tiert nicht die­se Keule aus­ge­packt werden.

Dazu kommt, dass natio­na­le Gesetzgeber der DSGVO teil­wei­se schon die Zähne zie­hen, bevor sie über­haupt gestar­tet ist, aktu­el­les Beispiel ist Österreich.

Außerdem hilft es nichts, panisch im Netz zu recher­chie­ren, wenn die vor­han­de­nen Quellen teil­wei­se sehr wider­sprüch­lich sind und auch der Original-​Gesetzestext der DSGVO so schwam­mig for­mu­liert ist, dass Laien dar­aus kaum schlau wer­den. Beispiel gefäl­lig? Hier will ein Anwalt mit dem Mythos auf­räu­men (sie­he dort #3), dass Gruppenfotos nach Einführung der DSGVO nur noch mit schrift­li­cher Genehmigung der abge­bil­de­ten Personen erlaubt sei­en. Aber in den Kommentaren wider­spre­chen gleich eini­ge Leute, durch­aus mit Argumenten, deren Plausibilität ich jedoch nicht beur­tei­len kann.

Und so geht es wei­ter und wei­ter. Am Ende hat der Fotograf eini­ge Stunden Zeit mit Lesen ver­schwen­det, ist ver­un­si­cher­ter als vor­her und hät­te in der Zeit mit dem Produzieren neu­er Fotos mehr Geld ver­die­nen kön­nen. Wer sich trotz­dem ver­rückt machen will, bit­te zum Beispiel hier lesen.

Ich ver­traue dar­auf, dass unse­re Politiker in Deutschland und im EU-​Parlament gemerkt haben, wie ver­un­si­chert die Bevölkerung ist und ein Auge dar­auf haben, dass es nicht die Falschen tref­fen wird.

Ich wer­de erst in Panik gera­ten, wenn das Gesetz in Kraft getre­ten ist und nach­weis­lich Abmahnungen erwirkt wor­den sind, wel­che auf mei­ne Situation zutreffen.

Ich wer­de mei­ne Model Releases dann anpas­sen, wenn auch der Branchenriese Getty Images sei­ne Model Releases anpasst, weil die­se in der Branche qua­si der Standard sind.

Deshalb mein Rat: Ruhig blei­ben und sich auf die eige­ne Kernkompetenz besin­nen: Gute Fotos machen! Oder ein­fach ab dem 25. Mai zwei Wochen Urlaub machen und schau­en, was sich danach ver­än­dert hat.

In Panik ver­fal­len kön­nen wir auch spä­ter noch, wenn es aktu­el­le Fälle gibt.

Wie seht ihr das?