Digital Asset Management und die Datenschutz-Grundverordnung der EU (DSGVO)

Die Tage sind längst vergangen, als man noch Unwissenheit bzgl. der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gelten machen konnte, denn am 25. Mai wird sie wirksam sein.

Die Datenschutz-Grundverordnung ist eine Verordnung, mit welcher das Europäische Parlament, der Rat der Europäischen Union und die Europäische Kommission beabsichtigen,  Datenschutz aller natürlicher Personen innerhalb der Europäischen Union (EU) zu stärken und vereinheitlichen.

Wikipedia

Während Datenschutzgesetze auf nationaler Ebene keine Neuigkeit sind, wird mit der DSGVO der EU das Ziel verfolgt, die Datenschutzbestimmungen in den Mitgliedstaaten der Europäischen Union zu stärken und untereinander zu harmonisieren. Dies betrifft alle Unternehmen, die mit personenbezogenen Daten von EU-Staatsangehörigen umgehen und wird deshalb auch für die meisten Unternehmen ausserhalb der EU (wie z.B. in den USA oder der Schweiz) wirksam.

Die DSGVO tritt automatisch per 25. Mai 2018 in Kraft. Die Medien, Berater und Rechtsanwälte  versuchen seit langem, daraus Kapital zu schlagen, indem sie beispielsweise allerlei Übereinstimmungs-Checklisten und massgescheiderte Beratungen anbieten.

Viele Inhalte, welche in Digital Asset Management (DAM) Systemen verwaltet werden, stellen personenbezogene Daten dar. Es stellt sich deshalb die Frage, inwiefern Kunden von DAM-Systemen von der DSGVO betroffen sind und wie sie Ihre Compliance-Prozesse optimieren können.

Sensitive persönliche Daten in DAM-Systemen

Unternehmen, welche Digital Asset Management (DAM)-Systeme einsetzen, sind in der Regel stark von der der DSGVO betroffen, weil Bilder und Videos von Privatpersonen mehr als nur ihre ID oder Namen aufdecken können. Ein Bild kann leicht „Rassenzugehörigkeit“ oder ethnische Herkunft, den physischen oder psychischen Zustand, religiöse Ansichten und noch mehr enthüllen.

Solche personenbezogenen Daten werden als besonders schützenswerte Personendaten betrachtet und als solche im Rahmen der DSGVO an strengere Bedingungen geknüpft. Deshalb sollten die Kunden und Benutzer von einer Digital Asset Management Software als Datenverantwortliche  (Data Controllers) folgendes sicherstellen:

  • Die DAM-Softwareanbieter müssen den Verarbeitungsanweisungen der Auftraggeber Rechnung tragen und allgemein die DSGVO einhalten, wie dies bspw. bei Picturepark der Fall ist.
  • Die ausdrückliche Zustimmung der bspw. auf Bildern abgebildeten Personen (Datensubjekte) für die Verarbeitung der persönlichen Daten muss vorliegen und auch später jederzeit vom Datensubjekt zurückgezogen werden können.

Einhaltung der DSGVO seitens DAM-Systemanbietern

Die Kunden von DAM-Systemen und ihre Benutzer sind die auftraggebenden Datenverantwortlichen (Data Controllers) und die DAM-Systemanbieter (bzw. Cloud-Hoster) die Auftragsdatenverarbeiter (Data Processors).

Obschon Picturepark seit langem hohen datenschutzrechtlichen Standards entspricht, startete das Unternehmen bereits Ende 2016 ein Projekt bzgl. Compliance mit der EU DSGVO, was u.a. in neuen Verträgen mit Kunden und Lieferanten, internen Richtlinien und Software-Features resultierte.

Datenverantwortliche müssen sicherstellen, dass die Auftragsdatenverarbeiter personenbezogene Daten nur gemäss Anweisung und übereinstimmend mit dem Einverständnis der Datensubjekte verarbeiten sowie den gesetzlichen Anforderungen der DSGVO genügen. Der Auftragsdatenverarbeiter muss seinerseits sicherstellen, dass alle seine Unterlieferanten wiederum denselben Prinzipien folgen.

In der Praxis bedeutet dies, dass die Kunden von DAM-Systemen ganz genau wissen müssen, wo und wie ihre Daten durch DAM-Systemanbieter abgelegt und verarbeitet werden, z.B. im Rahmen des Cloud Hostings oder für die Erbringung von technischem Support.

Obwohl dies auf den ersten Blick als eine Angelegenheit für Rechsanwälte erscheinen mag, erfordert die DSGVO von international tätigen Unternehmen das Ergreifen diverser Massnahmen und Änderungen vieler technischer und organisatorischer Prozesse, was bei einer Kette von Unterlieferanten rasch sehr anspruchsvoll werden kann.

Deshalb sollten sich Kunden von DAM-Systemen rechtzeitig mit dem Inhalt ihrer bestehenden Verträge mit ihrem DAM-Anbieter vertraut machen, um sicherzustellen, dass sie als Datenverantwortliche den Datensubjekten auch wirklich guten Gewissens die Einhaltung der DSGVO ab dem 25. Mai 2018 gewährleisten können.

Einverständnis bei Datensubjekten einholen

Das ausdrückliches Einverständnis von einem Datensubjekt protokolliert einzuholen kann eine komplexe und zeitraubende Aufgabe sein.

Picturepark Consent Manager GDPR DSGVOIn der Realität bedeutet dies, dass ein Editor, der die Bilder mit Menschen in ein DAM-System hochladen möchte, von allen auf dem Bild erscheinenden Menschen das Einverständnis vorliegen haben muss, und zwar genau für den Zweck, wie das Bild später verwendet werden soll.

Bei vielen Aufnahmen kann die explizite Zustimmung direkt bei einem Shooting eingeholt werden, indem bspw. alle Teilnehmer ein Freigabeformular unterzeichnen – eigentlich nichts Neues, aber halt doch öfters nicht gemacht.

In vielen anderen Situationen aber befinden sich Menschen auf den Bildern, die unter Umständen nicht einmal wissen, dass Aufnahmen von ihnen gemacht werden oder wofür diese später genau Verwendung finden. Nehmen wir als Beispiel eine Veranstaltung, auf welcher miteinander sprechende Personen fotografiert werden oder bspw. auch explizit zu einem Gruppenfoto zusammenkommen. Ein Plakat am Eingang der Veranstaltung mit der Aufschrift “Hiermit erteilen Sie Ihre Freigabe zur Verwendung der Bilder für allerlei Zwecke” reicht leider nicht, denn man muss eine explizite Zustimmung für bestimmte Verwendungen von jeder Person einholen.

Diese Zustimmung sollte unbedingt in Schriftform vorliegen, und sie kann beim Registrieren für die Veranstaltung erteilt oder wiederum durch das Zeichnen von Formularen eingeholt werden. Grundsätzlich sollte auch eine mündliche Zusage reichen, diese sind später aber schwierig zu beweisen.

Demo für den GDPR Consent Manager erhalten

Komplexität beim Widerruf erteilter Zustimmungen

Wenn eine Person ihre bereits erteilte Zustimmung widerrufen möchte, kann dies je nach Fall bedeuten, dass ein Bild oder Inhalt innert kurzer Frist nicht mehr verwendet werden darf.

In der Praxis stellt das grosse Problem dar, weil sich diese Angelegenheit ja nicht nur auf die personenbezogenen Daten innerhalb des DAM-Systems bezieht, wo das Foto bspw. einfach gelöscht oder passiviert werden kann. Betroffen sind aber eben alle, die z.B. das Foto heruntergeladen oder via DAM-Systeme ausgetauscht haben, und die nun drohen, persönlichen Daten in Präsentationen, auf Webseiten oder Ähnlichem zu verwenden, obwohl dies nicht mehr erlaubt ist.

Mit anderen Worten: Das Hinzufügen oder Entfernen von Inhalten in einem DAM-System aufgrund erteilter bzw. zurückgezogener Zustimmung einer Person sind nicht ausreichend. Datenverantwortliche sollten genau wissen, wer personenbezogene Inhalte verwendet und diese Verwender zumindest darüber informieren, dass die Zustimmung zur Nutzung von Inhalt X nun widerrufen wurde. Dies wiederum erfordert, dass alle Benutzer von DAM-Systemen entsprechenden Nutzungsbestimmungen zugestimmt haben müssen, welche eben auch das „Depublizieren“ von Inhalten auf Anweisung des Datenverantwortlichen umfasst, wenn so vom Datensubjekt angefordert.

Automatisierung des Zustimmungsprozesses

Wie beschrieben, kann die Verwaltung der Zustimmungen zur Nutzung personenbezogener Daten für die Kunden von DAM-Systemen eine mühsame und aufwändige Angelegenheit sein.

gdpr consent management digitalö asset management Um diesen Prozess zu erleichtern, beschoss Picturepark zusammen mit seinem Premier Partner, DAM United eine Lösung zu entwickeln, die bei der Einholung bzw. beim Widerruf des Einverständnisses allen involvierten Parteien behilflich sein kann. Als Ergebnis wurde der “GDPR Consent Manager“ (Pressemitteilung) für Picturepark entwickelt.

Durch die Verwendung des “GDPR Consent Manager” können Content-Editoren und Manager leicht die Zustimmung für die Nutzung von personenbezogenen Daten innerhalb Picturepark anfordern. Auf Anfrage wird ein Link per E-Mail gesendet, der die Empfänger zu einer sicheren Webseite führt, wo sie die zur Verwendung vorgesehenen persönlichen Daten, die geplante Nutzung und weitere Vereinbarungen mit nur wenigen Klicks überprüfen können. Sollten sie zu einem späteren Zeitpunkt ihre Zustimmung widerrufen wollen, kann dies wiederum leicht über den Aufruf desselben Links erledigt werden.

Der GDPR Consent Manager unterstützt diverse Typen von digitalen Assets wie z.B. Bilder, Videos oder Dokumente. Alle Transaktionen werden protokolliert und können jederzeit eingesehen und analysiert werden. Die Rechtevorlagen für Metadaten in Picturepark ermöglichen es zudem, dass nur bestimmte Benutzern die Zustimmungsinformationen wie bspw. E-Mail-Adressen der Datensubjekte einsehen können.

Picturepark Technologien und API Frameworks

Alle Picturepark-Aktionen können als Auslöser für zusätzliche Workflows verwendet werden, wie z.B. Gesichtsidentifizierung auf Bildern und die anschliessende Aussortierung für die Einholung der Zustimmungen. Sobald die Zustimmung von allen Datensubjekten vorhanden ist, kann das digitale Asset auch automatisch veröffentlicht werden. Oder wenn die Zustimmung widerrufen wird, können zuständige Content-Manager automatisch benachrichtigt und entsprechende Informationen an alle Benutzer gesendet werden, welche die Inhalte heruntergeladen oder weitergeleitet haben.

Wenn Sie mehr über den GDPR Consent Manager erfahren möchten, kontaktieren Sie bitte sales@picturepark.com.

Der GDPR Content Manager wurde von Picturepark und dem Picturepark Premier Partner DAM United entwickelt, und ist momentan als Preview-Version verfügbar. Der GDPR Consent Manager verwendet Adaptive Metadata™ Layers,  die Picturepark API und das Picturepark Plugin-Workflow-Framework. Diese Technologien werden auch in der bald erscheinenden Picturepark Content Platform in grundlegend überarbeiteter Weise eingesetzt werden.

 

Picturepark bedankt sich bei der Rechtsanwältin Irene Bodle von „Bodle Law“, die mit ihrer Expertise zu diesem Blog beigetragen hat. Die Firma Bodle Law ist eine in Deutschland registrierte Anwaltskanzlei und spezialisiert auf SaaS, Cloud-Computing and IT-Recht.

Demo für den GDPR Consent Manager erhalten