Hinweise zum Umgang mit personenbezogenen Daten durch die Software "bytepix"

Stand: Anfang Mai 2018

Die folgenden Zeilen sind keine Datenschutzerklärung, die sie einfach auf Ihrer Homepage oder in bytepix hinterlegen können. Machen Sie sich bitte selbst Gedanken, was mit den personenbezogenen Daten in Ihrem Unternehmen geschieht und wie diese geschützt werden.
Außerdem liefern wir Ihnen hier keine Checkliste dafür, was Sie alles in Ihrer Datenschutz-Dokumentation und -Erklärung berücksichtigen müssen. Wir nennen Ihnen am Ende ein paar nützliche Adressen im Internet, die Ihnen sicher weiterhelfen.

Das Wichtigste gleich zu Beginn:

Da gemäß DS-GVO (Datenschutz Grundverordnung) die Erfassung von personenbezogenen Daten "nach dem Stand der Technik" sicher, d.h. verschlüsselt, transportiert werden müssen, sind Sie gezwungen, den Zugriff via HTTPS auf bytepix einzurichten. Damit dies auf allen Ebenen funktioniert, muss bytepix aktuell sein. D.h. Sie müssen mindestens Version 3.1 von bytepix installiert haben. Details zum Thema HTTPS/SSL-Zertifikate schildern wir Ihnen weiter unten.

Webserver, Hosting

bytepix ist eine Software, die Sie auf einem sogenannten Webserver betreiben. Ein Webserver ist selbst Software, die auf einem Computer in einem Rechenzentrum ausgeführt wird und Dateien (Webseiten) über das Internet an Ihren Browser zurückliefert, wenn Sie eine WWW-Adresse eingeben oder auf einen Link klicken.
Einen solchen Webserver haben Sie üblicherweise bei einem Hoster (=Provider), wie Strato, 1und1, Hosteurope oder anderen angemietet.
Meist liegen auf dem gleichen Webserver die Dateien (Webseiten), aus welchen Ihre Homepage besteht.
Webseiten werden heutzutage oft dynamisch, erst beim Abruf erzeugt, z.B. durch die Software "WordPress".

Art der verarbeiteten Daten

In bytepix speichern Sie Bilder, legen Kunden an und erfassen und bearbeiten Bestellungen. Sie "verarbeiten" also personenbezogene Daten mit bytepix. Neben den Bildern sind dies Adressangaben und weitere Informationen über die bestellten oder bestellbaren Produkte (Abzüge, Fotoarbeiten), die mit den Kundendaten verknüpft sind. Hierzu gehören auch Statistik-Daten über die Bestellungen und über Anmeldezeitpunkt und -Häufigkeit Ihrer Kunden an Ihrem bytepix.

Auftragsverarbeitung

Üblicherweise hat ein Hoster weder die Zeit noch erlauben es ihm die eigenen Datenschutzerklärungen und Vertragsbedingungen in Ihre Daten Einblick zu nehmen. Aber er "verarbeitet" die in bytepix gehaltenen Daten dadurch, dass er diese speichert, sichert und irgendwann wieder löscht. Genau wie die Webseiten Ihrer Homepage. Außerdem speichert er die IP-Adressen der Besucher von bytepix in Log-Dateien (siehe weiter unten), um sein Angebot gegen Missbrauch zu schützen oder Fehler aufzuspüren.
Nach der DS-GVO sollten Sie deshalb mit Ihrem Hoster einen "Vertrag zur Auftragsverarbeitung" abschließen, der die neuen Erfordernisse der GVO berücksichtigt.

Wichtig!
Mit uns müssen Sie keinen solchen Vertrag zur Auftragsverarbeitung abschließen. Wir verarbeiten keinerlei Daten in Ihrem Auftrag. (Ausnahme: Download-Speicher & Freigabe-Funktion, sprechen Sie uns diesbezüglich an, falls Sie dieses zusätzliche Feature angemietet haben.)

Sollte Ihr Hoster im Nicht-EU-Ausland angesiedelt sein, gelten andere Grundsätze, die Sie klären sollten (kompliziert, Stichwort "e-privacy" Abkommen).

Eine hilfreiche Liste von Hostern und Links auf deren Vertragsangebote zur Auftragsverarbeitung finden Sie hier:
https://www.blogmojo.de/adv-vertraege

Rechtmäßigkeit, Zweckbindung, Widerruf

Kunden, für die Sie bytepix-Galerien anlegen, müssen der Verarbeitung dieser Daten zugestimmt haben. Am einfachsten im Rahmen Ihres Auftrags mit ihnen.
Für Besteller besteht beim Bestellvorgang in Ihrem bytepix-Webshop, über das zu setzende Häkchen und den Links bei AGB & Datenschutz einfach und klar sichtbar die Möglichkeit sich über AGB, Datenschutzerklärung und in Kurzform auch über ihr Widerrufsrecht zu informieren und sie als Teil des späteren Auftrags anzunehmen. Hierzu müssen Sie die hinterlegten Info-Seiten für AGB, Datenschutz und Impressum natürlich mit Inhalten gefüllt werden. Denken Sie in den AGB an die Widerrufsbestimmungen und heben Sie diese dort hervor.
In beiden Fällen dienen die erfassten personenbezogenen Daten der Anbahnung eines Verkaufsgeschäfts und in Folge der "Vertragserfüllung". Rechtsgrundlage ist daher sowohl die DS-GVO als auch das Bundesdatenschutzgesetz-Neu, die diese "Zweckbindung" ausdrücklich erlauben.
Umgekehrt bedeutet dies, dass Sie eine anderweitige Nutzung, der mit bytepix erfassten Daten, Ihren Kunden erklären müssen und eine freiwillige Zustimmung dazu einholen müssen.
Weisen Sie Ihren Kunden auch daraufhin, dass und wie er die Speicherung seiner Daten, im Rahmen der gesetzlichen Bestimmungen (Vertragsdokumentation), löschen lassen kann.

Datenhaltung und Löschung

Bilder werden durch bytepix im Dateisystem des Webservers gespeichert. Adress- und Bestelldaten, Statistikdaten und Verweise auf die Bilder werden in einer Datenbank abgelegt, die sie ebenfalls auf Servern Ihres Hoster betreiben.
Im Verwaltungsteil von bytepix haben Sie die Möglichkeit, jederzeit Kunden mit all seinen Adress-, Bestell- und Bilddaten zu löschen und zu ändern. Wann Sie dies tun, legen Sie selbst fest und sollten es in Ihrer Datenschutzerklärung festhalten.

Datensparsamkeit

Schon bei der Entwicklung der bytepix Software haben wir darauf geachtet, möglichst nur die Daten zu erfassen, die unbedingt notwendig für eine Bestellung und Abwicklung derselben im Web-Shop und Verwaltungsteil sind. Einige Angaben sind freiwillig und dienen der Verbesserung Ihres Angebots, wozu Sie ein berechtigtes Interesse haben.

Sicherheit und Backup

Im Normalfall sind sämtliche Zugriffe auf die in bytepix gespeicherten Daten durch Passwort gesichert. Sie als Verwalter des System, melden sich über ein spezielles Administrator-Passwort an und haben damit Zugriff auf alle Daten und Bilder Ihrer Kunden.
Ihre Kunden erreichen durch individuelle Passworte nur die jeweils für sie hinterlegten Bilder bzw. solche (meist Gruppenaufnahmen), die Sie gezielt für eine Gruppe von Kunden oder allgemein der Öffentlichkeit zugänglich gemacht haben.
Passworte werden in der Datenbank gespeichert.
Kunden erhalten innerhalb von bytepix keinen Zugang zu den Daten anderer Kunden. Höchstens auf deren Bilder, wenn sie die entsprechenden Passworte kennen.

Der Zugang auf den/die Webserver erlaubt meist auch den Zugriff auf die Datenbank-Inhalte. Einen solchen Zugang erhalten Sie durch den Kundenlogin bei Ihrem Hoster (Provider) oder über FTP-Zugangsdaten und über den Verwaltungsteil von bytepix. Die Passworte für diese verschiedenen Zugangsarten sind also sehr wichtig und sorgfältig festzulegen.
Die Kundenpassworte von bytepix bieten keine direkte Zugangsmöglichkeit auf Ihren Webserver.

bytepix fertigt beim Abmelden aus dem Verwaltungsteil, einmal täglich, ein Backup des Datenbankinhalts an. Die Backupdateien sind ebenfalls nur für Sie als Betreiber des Systems zugänglich. Beim jeweils elften Backup wird das älteste Backup automatisch gelöscht.

Ihr Hoster sichert meistens täglich Ihre gesamten Homepage-Dateien und damit auch die von bytepix, inklusive der Datenbank-Inhalte. Die so gesicherten Daten werden einige Tage aufgehoben.

Log-Dateien

bytepix führt Statistiken über Anmeldezeitpunkt und -Häufigkeit und speichert diese, teilweise kundenbezogen, in der Datenbank, in welcher auch alle anderen Daten von bytepix liegen. An diesen Daten haben sie ein berechtigtes Interesse als Verkäufer, um Ihr Angebot an die Nachfrage anzupassen bzw. zu verbessern.

Gesonderte Log-Dateien registrieren Fehlfunktionen und dienen der Fehlersuche, im Falle eines Fehlverhaltens der bytepix-Software. Die Log-Dateien werden jeweils nach 10 Tagen automatisch gelöscht.

Jeder Webserver unterhält Server-Log-Dateien, die die Zugriffe über das Internet registrieren. Üblicherweise sind dies:

  • Browsertyp und Browserversion, verwendetes Betriebssystem
  • Referrer URL (Webadresse von woher Sie auf die jeweilige Seite gekommen sind)
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • URL der Serveranfrage

Bitte informieren Sie sich wie Ihr Hoster mit diesen Log-Dateien umgeht, da die dort registrierten IP-Adressen als personenbezogene Daten gelten. Solche Informationen sollten im Vertrag zur Auftragsverarbeitung, den Sie mit Ihrem Hoster abschließen niedergeschrieben sein.

E-Mail Versand

bytepix versendet E-Mails, die personenbezogene Daten enthalten. Die Software bietet hierzu zwei Wege an:
1. über die von PHP zur Verfügung gestellte mail()-Funktion
2. über eine SMTP-Verbindung zu einem beliebigem Mail-Server
Nach der DS-GVO dürfen personenbezogene Daten nur noch verschlüsselt übertragen werden. Das bedeutet, auch Sie müssen bytepix so betreiben, dass E-Mails verschlüsselt versendet werden.
Bei der Konfiguration via SMTP ist das relativ problemlos, da Sie im Verwaltungsteil von bytepix bei den E-Mail Einstellungen, die Verschlüsselung gemäß SSL/TLS und der entsprechenden SMTP-Port-Nummer vorgeben können. Jeder Mail-Server den Sie mit den SMTP-Verbindungsdaten ansprechen sollte heutzutage eine verschlüsselte Verbindung ermöglichen.
Problematischer ist der Weg über die erste Methode. Hier liegt es in den vertrauensvollen Händen Ihres Hosters, wie er die Verschlüsselung des Mail-Versands aus einem PHP-Skript heraus ermöglicht (die Software bytepix besteht aus solchen PHP-Skripten). Versuchen Sie diese Frage mit ihm zu klären.
Wir raten Ihnen deshalb zum Versand via SMTP. Eine Anleitung finden Sie hier:
https://www.bytepix.de/docu/konfiguration.php#mail-versand

Cookies

Damit sich bytepix von einer aufgerufenen Seite zu nächsten bspw. die ausgewählten Bilder merken kann, benötigt es ein sogenanntes Sitzungs-Cookie. Dieses Cookies wird vom jeweiligen Browser eines Besuchers in dessen Dateisystem gespeichert.
Das Cookie beinhaltet die ausgewählten Bilder und andere Daten nicht selbst, sondern nur einen Verweis auf einen Datensatz (Pseudonymisierung).
Dieser Datensatz wiederum wird temporär auf dem Webserver und dort im Dateisystem gespeichert, auf welchem die bytepix-Software betrieben wird. Am Sitzungsende (Logout oder nach ca. 20 Minuten) wird der Verweis ungültig und mit ihm auch das Cookie.
Ein weiteres Cookie enthält ggf. einen Verweis auf einen "gespeicherten Warenkorb" von bytepix, falls die entsprechende Funktion aktiviert wurde und der Besucher den Warenkorb speichert. Dieses Cookie veraltet nach 7 Tagen genau wie die zugehörige Datei mit dem Warenkorbinhalt auf dem Webserver.
Mit diesen Cookies allein, also ohne den durch Passwort geschützten Zugriff auf bytepix, kann niemand etwas anfangen. Es handelt sich um sogenannte "First-Party-Cookies" (Sitzungs-Cookies), die der Nutzerfreundlichkeit der Anwendung dienen. Diese sind auch nach der DS-GVO zulässig und zwar sogar ohne expliziten Hinweis auf der Login-Seite von bytepix. Wir empfehlen, diese Informationen zum Thema Cookies dennoch in Ihrer Datenschutzerklärung zu berücksichtigen.
Aus dem Gesagten dürfte klar geworden sein, dass die von bytepix erzeugten Cookies weder an Dritte weitergegeben werden noch zu irgendeinem anderen Zweck (z.B. SPAM) verwendet werden können.

Newsletter-Versand

In den aktuelleren Versionen bietet bytepix die Möglichkeit, Newsletter zu erstellen und zu versenden. Gerade bei diesem Thema legt die DS-GVO großen Wert auf saubere Durchführung.
Üblicherweise registrieren sich Kunden beim Ausfüllen des Bestellformulars in bytepix für den Erhalt Ihres Newsletters. Dies bewirkt den zusätzlichen Versand einer E-Mail an den Kunden, neben der Bestellbestätigung, um dem Newslettererhalt nochmals explizit zuzustimmen (Double Opt-In Verfahren). Bestätigt der Kunde diese E-Mail durch Klick auf einen darin enthaltenen Link, merkt sich bytepix die Entscheidung.
Als Verwalter des Systems können Sie aber auch direkt in den Einstellungen zum Kunden seinem Wunsch zum Empfang Ihres Newsletters entsprechen. Stellen Sie dann auf andere Weise (am besten schriftlich) sicher, dass der Kunde seine Einwilligung erteilt hat.
Wenn Sie später einen Newsletter versenden, bietet bytepix die Möglichkeit nur die Adressaten auszuwählen, die ihre Einwilligung erteilt haben.
Den Newslettern wird automatisch ein Link angefügt, um den Newsletter abzubestellen.
Sollten Sie den Newsletter-Versand nutzen, müssen Sie in Ihrer Datenschutzerklärung auf diese Möglichkeiten hinweisen.
Die Daten, die im Zusammenhang mit dem Newsletterversand verarbeitet werden stammen aus den bei der Bestellung erfassten. Es sind dies Vorname, Nachname, E-Mail-Adresse und die IP-Adresse des Kunden in den Log-Dateien (siehe oben).
Beschreiben Sie in Ihrer Datenschutzerklärung, was mit diesen Daten geschieht. Also bspw. dass sie Sie nur für den Versand des Newsletters verwenden und nicht weitergeben. Informieren Sie sich über weitere Einschränkungen, die die DS-GVO bezüglich Werbung über Newsletter vorsieht.

HTTPS, SSL Zertifikate

Die DS-GVO und auch das Bundesdatenschutzgesetz fordern Sicherheit gegen missbräuchlichen Abgriff oder Veränderung, bei der Übertragung personenbezogener Daten und nach dem Stand der Technik. Das bedeutet im Klartext, die Übertragung muss spätestens ab dem 25.5.2018 verschlüsselt erfolgen.
Beim Ausfüllen eines Bestellformulars in bytepix überträgt der Browser die Daten an Ihren Webserver und speichert Sie dort. Umgekehrt sendet der Webserver Bilder an den Browser, damit Ihr Kunde oder Sie diese betrachten können. Und schließlich überträgt auch das Zusatzprogramm "mitt3" Bilder über das Internet auf Ihren Webserver (=Hochladen).
Damit all diese Datenübertragungen verschlüsselt erfolgen, bietet sich das Protokoll "HTTPS" anstelle von "HTTP" an.
Vielleicht haben Sie schon einmal beim Online-Banking ein grünes oder graues Schloss-Symbol in Ihrem Browser beobachtet. Dieses Schloss zeigt an, dass die Kommunikation mit dem jeweiligen Webserver momentan über das HTTPS-Protokoll, also verschlüsselt erfolgt.
Ihr Browser kann bereits verschlüsselt und nicht verschlüsselt mit einem Webserver Daten austauschen. Ihren Webserver müssen Sie jedoch erst dazu bringen.
Fast alle Hoster (=Provider) bieten heute sogenannte SSL-Zertifikate an, um diese einer Domain (www-Adresse) zuzuweisen. Diese SSL-Zertifikate sind sozusagen der Schlüssel für einen verschlüsselten Datenaustausch.
Eigentlich könnten SSL-Zertifikate heutzutage kostenlos sein (Stichwort: Let's Encrypt), viele Hoster halten jedoch die Hand dafür auf.
Sollten Sie auf Ihrer Homepage ein Gästebuch betreiben oder anderweitig personenbezogene Daten erfassen und bytepix in einer gesonderten Subdomain betreiben, benötigen Sie bereits zwei SSL-Zertifikate. Eines für Ihre Homepage und eines für die Subdomain. Liegen bytepix und Homepage in derselben Domain genügt ein einziges Zertifikat.
Zertifikate erwerben und den Domains zuweisen können Sie üblicherweise im Kundenlogin bei Ihrem Hoster. Oder Sie wenden sich telefonisch an ihn.

Zwingend erforderlich, bytepix ab Version 3.1

Aufgrund einer gravierenden Änderung in den vergangenen Jahren arbeitet nur das aktuelle bytepix ab Version 3.1 reibungslos mit den verschiedenen Webservern zusammen. Eine neue Version von mitt3 ist ebenfalls im Update enthalten, die auch die neueren Varianten von HTTPS unterstützt. Nutzen Sie also das neue mitt3 sobald Sie das SSL-Zertifikat Ihrer Domain zugewiesen haben.
Im Programm mitt3 selbst müssen Sie nur den "Link zu Ihrer bytepix-Installation" in den Einstellungen anpassen. Setzen Sie "https://" vor den Link dort im Eingabefeld. Alles andere bleibt gleich. Der Eintrag sieht dann bspw. so aus: https://www.domain.de/bytepix
Für die unverschlüsselte Kommunikation konnte die Angabe "http://" vor dem Link bisher entfallen.

Hinweis:
Aktualisieren Sie Ihr bytepix zunächst ohne HTTPS und unter PHP Version 5.6 im Verwaltungsteil von bytepix unter "Software aktualisieren". Schalten Sie erst bei Erreichen der Version 3.1.x auf HTTPS und ein aktuelleres PHP um (siehe Folgendes).
Die Zuweisung des SSL-Zertifikats und den Wechsel der PHP-Version nehmen Sie üblicherweise im Kundenlogin bei Ihrem Hoster vor.

PHP 7 und das bytepix-Update:
Es gibt noch einen weiteren Grund Ihr bytepix zu aktualisieren. Für Ende 2018 ist das Ende der Sicherheitsalktualisierung von PHP 5.6 angekündigt (Quelle http://php.net/supported-versions.php). Danach werden die Hoster vermutlich keine 5er Version von PHP mehr anbieten.
Da bytepix in der Skript-Sprache PHP geschrieben ist und ältere Versionen von bytepix nicht mehr unter PHP 7 funktionieren, müssen Sie bytepix aktualisieren und zwar mindestens auf Version 3.1.
Version 3.1.3 unterstützt aktuell PHP 5.6.x, 7.0.x, 7.1.x. Version 7.2 jedoch noch nicht vollständig.
Version 3.1.4 unterstützt inzwischen auch PHP 7.2.x vollständig.
Eine Update-Wegweiser von Ihrer Version finden Sie hier:
https://www.bytepix.de/docu/update_wegweiser.php

Bestellen können Sie das Update hier:
https://www.bytepix.de/worp/shop/

Das Update auf 3.1 wird Sie auch zu weiteren Updates berechtigen, bis PHP 7.2.x unterstützt wird.

Paypal

Wenn Sie in bytepix die Zahlungsweise PayPal konfiguriert haben und der Kunde am Ende des Bestellvorgangs diese auswählt, werden automatisiert Daten der betroffenen Person an PayPal übermittelt. Mit der Auswahl der Zahlungsoption willigt ihr Kunde in die zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.
Bei den an PayPal übermittelten personenbezogenen Daten handelt es sich in der Regel um Vorname, Nachname, Adresse, E-Mail-Adresse, IP-Adresse, Überweisungsbetrag, Währung, Bestellnummer, Sprache, Rücksprung-Link zu bytepix und Transaktions-IDs oder andere Daten, die zur technischen Zahlungsabwicklung und zur Betrugsprävention notwendig sind.

Die Europäische Betreibergesellschaft von PayPal ist die PayPal (Europe) S.à.r.l. & Cie. S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.

Paypals Datenschutzerklärung findet sich hier https://www.paypal.com/de/webapps/mpp/ua/privacy-full

PayPal gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen. Widerrufswunsch, Einschränkung oder Änderungswünsche müssen direkt an PayPal adressiert werden und sind in deren Datenschutzgrundsätzen beschrieben.

Sofortüberweisung

Wenn Sie in bytepix die Zahlungsweise Sofortüberweisung (sofort.de) konfiguriert haben und der Kunde am Ende des Bestellvorgangs diese auswählt, werden automatisiert Daten der betroffenen Person an die Sofort GmbH übermittelt.
Mit der Auswahl der Zahlungsoption willigt ihr Kunde in die zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.
Bei den an die Sofort GmbH übermittelten personenbezogenen Daten handelt es sich in der Regel um Überweisungsbetrag, Währung, Bestellnummer, Sprache, Rücksprung-Link zu bytepix und Transaktions-IDs, die zur technischen Abwicklung und zur Betrugsprävention notwendig sind.

Betreibergesellschaft ist die Sofort GmbH, Theresienhöhe 12, 80339 München, Deutschland

Etwas verwirrend, das "Produkt" Direktüberweisung der Firma Sofort GmbH wird "Klarna" genannt.
Die Sofort GmbH erfasst in Ihren Eingabemasken weitere bei Bank-Überweisungen übliche Daten zur Zahlungsabwicklung, zur Bonitätsprüfung und zur Betrugsprävention. Diese werden nicht an bytepix zurückgeleitet.
Die Sofort GmbH gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen.

Die Datenschutzerklärung der Sofort GmbH bzw. von Klarna findet sich hier:
https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/privacy

Datenübertragbarkeit

Der Datensatz aus im wesentlichen Name und Adresse eines Kunden an ein völlig fremdes System zu übertragen geschieht am einfachsten manuell, durch Neueingabe auf dem Zielsystem. Die Bilder des Kunden zu übertragen, scheidet von vornherein aus, da Sie als Fotograf das Urheberrecht an den Bilder haben. Sollte ein Kunde sämtliche Bilder und Rechte von Ihnen erworben haben, werden Sie ihm die Bilder nicht aus dem bytepix Web-Shop heraus zur Verfügung stellen, sondern auf anderer Weise. Dort liegen nur Thumbnails und Voransichtien und keine Bilder in Originalgröße.
Im Grunde ist bytepix durch die Forderung nach "einfacher Datenübertragbarkeit", wie Sie die DS-GVO vorsieht, nicht betroffen.

Sonstige Themen

Wie schon einleitend geschrieben sind diese Hinweise für Ihre Datenschutzerklärung und Dokumentation keine vollständige Checkliste der Themen, die Sie gemäß DS-GVO berücksichtigen müssen. Bspw. schreiben wir nichts zum Thema "Verzeichnis von Verarbeitungstätigkeiten", Datenpannen oder Risiko-Folgenabschätzung. Wir können Ihnen die zeitraubende Auseinandersetzung mit dem Thema Datenschutz nicht ersparen.

Disklaimer

Wir weisen darauf hin, dass wir diese Erläuterungen nach bestem Wissen und Gewissen und unserem aktuellen Kenntnisstand über die Erfordernisse der DS-GVO erstellt haben. Eine rechtliche Gewähr auf Vollständigkeit und 100%ige Richtigkeit bieten wir ausdrücklich nicht an. Wir sind keine Juristen. Schauen Sie gelegentlich auf dieser Seite vorbei, ob neue Erkenntnisse eingeflossen sind.

Praktische Tipps

Was ändert sich mit der DSGVO für Fotografen?

Das KUG wird auch nach dem 25.5.2018 Gültigkeit und Vorrang haben:
https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/16-datenschutzgrundvo-fotografien.html

Für bytepix ab Version 3.1.4

Version 3.1.4 von bytepix wurde im Wesentlichen realisiert, um die Vorschriften der DS-GVO besser umsetzen zu können. So können nunmehr AGB, Datenschutzerklärung und Impressum als "Info-Seiten" realisiert werden und getrennte Links auf diese "Sonderseiten" finden sich auf der Login-Seite, im Menü des Kundenteils sowie im Bestellformular und der Zusammenfassung vor dem Auslösen des "jetzt kaufen"-Buttons.

Auch die Beschriftung der Checkbox im Bestellformular wurde erweitert. Hier können, wie vorstehend beschrieben die Links auf Datenschutz und AGB integriert werden. Die Platzhalter sind %tc% und %pp%. Dies gilt auch für die Mobile App von bytepix.

Wie immer können Sie alle Texte im Kundenteil von bytepix abändern. Zugegeben, diese sind manchmal nicht so leicht zu finden. Nutzen Sie die Fähigkeiten Ihres Browsers, der über <ctrl>-f innerhalb einer angezeigten Seite nach Textpassagen suchen kann.

Widerrufbelehrung

Dies gilt auch für die Kurzfassung der Widerruf-Belehrung. Sie wird nun zusätzlich über der Checkbox im Bestellformular ausgegeben, so dass sie gut sichtbar ist. Der Text der Widerrufsbelehrung kann unter "Fotograf/Begriffe & Textpassagen", Bereich "längere Textpassagen" geändert werden. Zur Erinnerung, ein ähnlicher Text wird auch in der Bestellbestätigung, die als PDF Ihren Kunden zugesandt wird, integriert ("Fotograf/Begriffe & Textpassagen", Bereich "Bestellbestätigung & PDF"). Vergessen Sie nicht, eine ausführlichere Variante, hervorgehoben in Ihre AGB aufzunehmen.

Farbe der Links auf der Loginseite

Das Hintergrundbild der Login-Seite ist im Auslieferungszustand blau. Da die Links "Impressum, AGB und Datenschutzerklärung" in der Standard-Färbung ebenfalls blau sind, sind sie kaum sichtbar. Laden Sie sich also entweder einen eigenen Hintergrund hoch (Fotograf/Logo & Login-Seite) oder definieren Sie eine andere Farbe für die Links im CSS der Login-Seite (ebenfalls im Menü Fotograf/Logo & Login-Seite). Der CSS-Ausdruck wäre bspw. div#imprint-div a {color: red;}.
Für die Mobile App gibt es ab Version 3.1.4 ein eigenes CSS zur Änderung der Stilvorgaben.

Newsletter

Meldet sich ein Kunde durch Double Opt-In für den Empfang von Newslettern von Ihnen an oder über einfaches Opt-Out wieder ab, so erhalten Sie ab sofort jeweils eine E-Mail. Diese soll den Wunsch des Kunden nochmals explizit belegen.

HTTPS

Wir haben unsere Doku zu diesem Thema erweitert: http://www.bytepix.de/docu/php_version.php

 

Für bytepix bis Version 3.1.3

Impressum

Auf der Login-Seite Ihrer bytepix-Installation findet sich am unteren Rand ein Link mit der Beschriftung "Impressum". Verschiedene Quellen empfehlen nun, auf die Datenschutzerklärung bereits vor dem Login hinzuweisen. Sie können dies dann entweder auf einer Ihrer Homepage-Seiten tun, oder aber auf der Login-Seite Ihres bytepix.
Unter Fotograf/Begriffe & Textpassagen im Bereich "Login-Seite" können Sie bspw. den Begriff "Impressum" in "Impressum & Datenschutz" abändern. Der Begriff wird ein zweitesmal definiert und zwar unter Fotograf/Begriffe & Textpassagen im Bereich "generelle Begriffe". Als genereller Begriff wird "Impressum" im Menü "Mehr..." des Kundenteils und auf der Login-Seite der mobilen App verwendet.

Normalerweise generiert bytepix das Impressum aus Ihren Firmendaten automatisch. Sie können jedoch auch einen eigenen Text hinterlegen. Diesen finden Sie ebenfalls unter Fotograf/Begriffe & Textpassagen. Jetzt allerdings im Bereich "längere Textpassagen" ganz unten.
Dort steht lediglich das Wort "imprint". Sobald Sie dieses Wort durch einen beliebigen Text ersetzen, erscheint als Impressum der Text und nicht mehr die automatisch erzeugten Angaben. Formulieren Sie also Ihr Impressum selbst und ergänzen Sie es um einen Verweis auf Ihre Datenschutzerklärung.

Tipp:
Da "imprint" nur ein Wort ist, bietet bytepix beim Ändern (nach Klick auf das Stiftsymbol vor der Zeile) nur ein einzeiliges Eingabefeld an. Um daraus ein mehrzeiliges Eingabefeld zu machen, kopieren Sie am einfachsten (copy) einen mehrzeiligen aus den darüber dargestellten Texten und fügen ihn (paste) in das einzeilige Eingabefeld ein und klicken auf speichern. Dadurch wird zwar der Änderungsmodus verlassen, aber durch erneuten Klick auf das Stiftsymbol ist das Eingabefeld jetzt mehrzeilig. Und Sie können Ihr eigenes Impressum anlegen.

Leider können Sie in der aktuellen Version 3.1.3 von bytepix noch keine anklickbaren Links in die "längeren Textpassagen" einfügen. Eine www-Adresse ist jedoch schnell per Copy & Paste in ein neues Browser-Fenster zu übertragen.
Im nächsten Update werden wir falls möglich eine Infoseite als Impressum ermöglichen. In ihr können Sie dann entweder noch längere und formatierte Texte oder eben anklickbare Links hinterlegen.

AGB

Ein Kunde findet im Bestellformular eine Checkbox mit der Beschriftung: "Ich stimme den AGB zu und möchte die Bestellung fortsetzen. (*)"
Diesen Text können Sie abändern und gleichzeitig Ihre Datenschutzerklärung den AGB anfügen.

Die Abkürzung "AGB" finden Sie unter Fotograf/Begriffe & Textpassagen im Bereich "Bestellvorgang". Hier ändern Sie diesen bspw. in "AGB & Datenschutzerklärung" ab.
Direkt darüber finden Sie den Satz "Ich stimme den %tc% zu und möchte die Bestellung fortsetzen." Der Platzhalter %tc% wird durch den Link auf die AGB-Seite mit der vorstehend geänderten Beschriftung ersetzt.
Ändern Sie den Text ggf. nach Ihren Wünschen ab. Vergessen Sie dabei nicht %tc% in Ihren Text einzufügen, sonst erscheint der Link nicht.
Die Abkürzung AGB wird ein zweites Mal unter Fotograf/Begriffe & Textpassagen im Bereich "generelle Begriffe" definiert. Diese Definition findet Verwedung im Menü "Mehr..." des Kundenteils.

Den Text der allgemeinen Geschäftsbedingungen selbst finden Sie unter Fotograf/Begriffe & Textpassagen im Bereich "längere Textpassagen". Ergänzen Sie ihn entweder direkt um Ihre Datenschutzerklärung oder nehmen Sie einen Verweis auf diese darin auf.
Hinsichtlich des Verweis gilt das unter "Impressum" Gesagte hier ebenfalls.

Farbe der Links "Impressum" auf der Loginseite

Das Hintergrundbild der Login-Seite ist im Auslieferungszustand blau. Da der Link "Impressum" in der Standard-Färbung ebenfalls blau ist, ist er kaum sichtbar. Laden Sie sich also entweder einen eigenen Hintergrund hoch (Fotograf/Logo & Login-Seite) oder definieren Sie eine andere Farbe für den Link im CSS der Login-Seite (ebenfalls im Menü Fotograf/Logo & Login-Seite). Der CSS-Ausdruck wäre bspw. div#imprint-div a {color: red;}.

Ein guter Ausgangspunkt für Ihre eigene Datenschutzerklärung könnte ein Generator wie der unter
https://www.e-recht24.de/muster-datenschutzerklaerung.html
sein. In seiner kostenlosen Variante deckt er jedoch Ihre Belange nicht vollständig ab! Seien Sie vorsichtig hinsichtlich der kostenpflichtigen Angebote dort und anderswo. Diese müssen auf Ihren konkreten Fall nicht unbedingt passen.

Die "Erste Hilfe zur Datenschutz-Grundverordnung" herausgegeben von Bayerischen Landesamt für Datenschutzaufsicht im C.H.Beck Verlag für € 5,50 ist eine große Hilfe. Sie enthält außerdem ein gesondertes Kapitel für den Umgang mit Fotos im Internet.

Bei Detailfragen finden Sie sicher hier umfassende Informationen:
https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo