Die DSGVO trifft jeden, der in der EU personenbezogene Daten verarbeitet. Neben Name und Adresse fallen darunter auch Fotos, Kredit-kartendaten, E-Mail- oder IP-Adressen. In der Regel kommen Kreative nicht ohne das Verarbeiten solcher Daten aus, etwa wenn sie E-Mail-Newsletter versenden, ein Kontaktformular auf ihrer Website haben, Google Analytics oder Facebook-Pixel einsetzen oder eine Kundendatei führen – digital oder analog. 

1 

Website checken. Stimmt das Impressum in rechtlicher Hinsicht? Sind meine Datenschutzerklärung, mein Kontaktformular, mein E-Mail-Newsletter DSGVO-konform? Setze ich Tools wie Google Analytics richtig ein? Hier gibt es eine kostenlose Checkliste zum Download.

2 

Vorsicht bei Generatoren für die Datenschutzerklärung! Wer nur eine kleine Website ohne viele Social-Media-Plug-ins und Analysetools hat, macht mit den von diversen Rechtsanwälten kostenlos zur Verfügung gestellten Datenschutzerklärungsgeneratoren nichts verkehrt – vorausgesetzt, er weiß, dass die Haftung nur bei ihm selbst liegt und er auch für Aktualisierungen verantwortlich ist. In Haftungsfragen besser sind die kostenpflichtigen Generatoren, ganz auf Nummer sicher geht man mit einer individuellen Datenschutzerklärung, die man von einem Anwalt formulieren lässt.

3 

Status klären. Wer für seinen Kunden eine Website nicht nur gestaltet, sondern auch betreut und entsprechend Log-in-Daten und damit Zugriff auf die Daten von dessen Kunden hat, ist Auftragsverarbeiter und braucht einen Auftragsverarbeitungsvertrag. Für abhanden gekommene Kundendaten haften nämlich seit der DSGVO beide, Auftraggeber und Auftragsverarbeiter.

4 

Keine Rechtsberatung anbieten. Es ist völlig in Ordnung, dem Kunden zu sagen, welche Plug-ins er nutzen kann und welche nicht. Oder ihn auf das Problem mit Google Fonts hinzuweisen. Einen DSGVO-Check der Website sollte man als Kreativer aber nicht anbieten: Rechtsberatung ist Anwälten vorbehalten.

5 

Visitenkarten nicht offen liegen lassen. Schöne Karten zu sammeln ist weiterhin okay, offen herumliegen dürfen sie aber nicht. Denn auch das sind personenbezogene Daten.

6 

Verschwiegenheitserklärungen aufsetzen. Von allen, die im Büro oder im Homeoffice um einen herumspringen, sollte man eine Verschwiegenheitsverpflichtung unterzeichnen lassen. Denn laut DSGVO muss man für Vertraulichkeit sorgen. Eine solche Erklärung liefert den Nachweis dafür.

7 

Auskunft geben können. Ein Kunde möchte, dass seine Daten gelöscht werden, oder er verlangt Auskunft darüber, welche bereits vorliegen und was mit ihnen passiert – das wird in Zukunft öfter vorkommen. Jede Anfrage muss beantwortet werden, und zwar sofort. Hilfreich kann es sein, sich rechtzeitig einen Prozess zu überlegen und zu etablieren. Ein Musterantwortschreiben kann man sich hier herunterladen.

DSGVO und Schriften

Was Sie beim Einsatz von Google Fonts und Webfonts in puncto Datenschutz beachten müssen

● Die DSGVO betrifft auch den Einsatz von Google Fonts. Denn bei jedem Aufruf einer Website, die diese Schriften nutzt, fragt der Browser bei den Google-Servern an, ob es Änderungen an ihnen oder an der CSS-Datei gab. Damit erkennt Google, von welcher IP-Adresse eine Anfrage gesendet wird und zudem einen Großteil des persönlichen Browserverlaufs – nicht wirklich DSGVO-konform. Um das zu verhindern, sollte man Google Fonts lokal in die Website einbinden. Der Webhoster Mittwald etwa erklärt in seinem Blog, wie das für WordPress funktioniert. Wer sich das nicht zutraut, kann ein Plug-in wie etwa DSGVO Patron installieren, für eine Website kostet es circa 35 Euro, für zwölf 175 Euro. Das Plug-in zieht die Inhalte vom Server der Drittanbieter und speichert diese auf dem Webspace des Kunden zwischen. Damit stellt man sicher, dass die IP des Seitenbesuchers nicht an den Drittanbieter übertragen wird.

Aber auch wenn man keine Google Fonts nutzt, sondern Webfonts einer Foundry, kann das problematisch sein. Denn die Überprüfung der Lizenzen erfolgt per IP-Adresse, das heißt, die Nutzerdaten werden abgeglichen. Monotype etwa löst dieses Problem, indem sie sich auf Artikel 6 Absatz 1 (f) der DSGVO beruft: auf ein berechtigtes Interesse zur kurzzeitigen Verarbeitung der IP, um ein Zählen zu ermöglichen und Missbrauch auszuschließen. Nach 30 Tagen löscht das Unternehmen diese Log-Daten. Rechtsanwältin Sabrina Keese-Haufs empfiehlt, in der Datenschutzerklärung anzugeben, welche Schrift von welcher Foundry die Seite nutzt.

Noch viel mehr Infos und schöne Projekte rund um das Thema Geschäftsausstattung in digitalen Zeiten, ein Interview mit Rechtsanwältin Sabrina Keese-Haufs sowie Statements von Kreativen lesen Sie in der PAGE 11.2018, die Sie hier bestellen können.