DSGVO-Guide für Galerien

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) ist seit dem 25.05.2018 in Kraft, trotzdem herrscht in vielen Bereichen weiterhin Unsicherheit darüber, was im Umgang mit personenbezogenen Daten noch erlaubt ist und was nicht und welche konkreten Schritte überhaupt unternommen werden müssen. Davon ist auch der Kunstmarkt betroffen. Mit unserem DSGVO-Guide für Galerien möchten wir Ihnen helfen und die wichtigsten Punkte aufzeigen, die Sie im Rahmen der DSGVO beachten und umsetzen sollten.

 

Dieser Artikel stellt keine Rechtsberatung dar. Wir weisen ausdrücklich darauf hin, dass diese Liste keinen Anspruch auf Vollständigkeit erhebt. Auch wenn wir alle Informationen mit angemessener Sorgfalt recherchiert haben, übernehmen wir keinerlei Gewähr in Bezug auf die Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen und für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben.

 

Inhalt:

1 Betrifft mich die DSGVO überhaupt?

2 Darf ich personenbezogene Daten verarbeiten?

3 Das Verzeichnis von Verarbeitungstätigkeiten: was muss dort drin stehen?

4 Das Verzeichnis von Verarbeitungstätigkeiten und ARTBUTLER

5 Der Vertrag zur Auftragsverarbeitung – was ist das und wozu brauche ich das?

6 Was passiert, wenn jemand Auskunft über seine Daten anfordert?

7 Datenschutz auf Ihrer Webseite – das müssen Sie tun

7 a Schritt 1: die Datenschutzerklärung

7 b Schritt 2: das Impressum

7 c Schritt 3: der Newsletter

8 Checkliste DSGVO

 

Betrifft mich die DSGVO überhaupt?

Diese Frage kann mit einem ganz klaren „Ja“ beantwortet werden. Alle UnternehmerInnen, GaleristInnen oder Webseiten-BetreiberInnen in der EU oder mit Geschäftsbeziehungen in der EU, die personenbezogene Daten erheben, sind von der Datenschutzgrundverordnung betroffen.

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit erlauben (Art. 4 Nr. 1 DSGVO). Das können die Namen Ihrer KundInnen sein, die sich über die neuesten Werke Ihrer KünstlerInnen informieren, oder die BesucherInnen Ihrer Website, die sich mit ihrer E-Mail-Adresse für Ihren Newsletter eintragen.

Immer wenn Sie Ihren Kontakten also Newsletter schicken, Sie eine Kundendatei (wie z.B. in ARTBUTLER) führen oder das Nutzerverhalten auf Ihrer Webseite mit Google Analytics analysieren, verarbeiten Sie personenbezogene Daten.

Darf ich personenbezogene Daten verarbeiten?

shutterstock.com / © StunningArt

 

Hier wird es knifflig mit der DSGVO. Grundsätzlich dürfen personenbezogene Daten nur verarbeitet werden, wenn bestimmte Voraussetzungen erfüllt sind. Dazu gehören unter anderem:

  • Sie sonst einen Vertrag nicht erfüllen können (z.B. verkaufte Werke ausliefern)
  • Sie eine Einwilligung zur Verarbeitung haben (z.B. für den Newsletter-Versand)

Das Verzeichnis für Verarbeitungstätigkeiten: was muss dort drin stehen?

Nach Art. 30 DSGVO müssen Sie ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses Verzeichnis soll Ihnen als Übersicht und Dokumentation über Ihre bestehenden Vorgänge und Tätigkeiten dienen, bei denen Sie mit personenbezogenen Daten umgehen. Einfach gesagt: wo kommen Sie und Ihr Team mit Daten von realen Personen in Kontakt? Das Verzeichnis ist für Ihren internen Gebrauch bestimmt und muss lediglich auf Anfrage der für Sie zuständigen Datenschutzbehörde zur Verfügung gestellt werden.

Folgende Infos müssen in das Verzeichnis:

  • Name und Kontaktdaten der verantwortlichen Person (das ist entweder der oder die GeschäftsführerIn oder ein Datenschutzbeauftragter*)
  • Der Zweck der Verarbeitung – das WARUM
  • Die betroffenen Personengruppen (z.B. KundInnen, MitarbeiterInnen, LieferantInnen, etc.)
  • Die Daten von diesen Personengruppen (Name, Adresse, Telefonnummer, etc.)
  • Wer hat Zugriff auf diese Daten (sowohl intern als auch extern, auch Drittländer!)
  • Wie ist die Übermittlung in ein Drittland abgesichert?
  • Wann werden diese Daten gelöscht (Löschfristen)?
  • Eine Beschreibung der technischen Sicherung der Daten

Das Erstellen dieses Verzeichnisses ist wohl der zeitaufwändigste Punkt bei der Umsetzung der DSGVO. Haben Sie das Verzeichnis aber erst einmal erstellt, können Sie darauf aufbauend alle anderen Aufgaben schneller umsetzen. Es gibt zahlreiche Muster, die Sie nutzen können, um Ihr Verzeichnis zu erstellen.

* Wann Sie einen Datenschutzbeauftragten ernennen müssen, können Sie in diesem Artikel von eRecht24 nachlesen.

Das Verzeichnis für Verarbeitungstätigkeiten und ARTBUTLER

Nutzen Sie ARTBUTLER CLASSIC, dann sind folgende Informationen für Ihr Verzeichnis wichtig:

  • Wer hat Zugriff auf die Daten?

In ARTBUTLER CLASSIC können Sie Nutzerrollen vergeben, die den Zugriff auf bestimmte Bereiche einschränken. Damit können Sie einzelnen Teammitgliedern den Zugriff auf sensible Daten, wie zum Beispiel Rechnungen, gestatten und anderen nicht. Diese Information geben Sie in Ihrem Verzeichnis an.

Nur Sie und Ihr Team haben Zugriff auf Ihre in ARTBUTLER CLASSIC gespeicherten Daten, da diese auf Ihrem lokalen Server und nicht in einer Cloud gespeichert werden. Damit sind die Daten die Sie in ARTBUTLER CLASSIC speichern DSGVO-konform abgesichert!

Unseren KundInnen bieten wir darüber hinaus auch das Online Werksarchiv und das sogenannte ARTBUTLER Datenbank Hosting an, bei dem Sie standortunabhängig auf Ihre Datenbank zugreifen können. Zur technischen Bereitstellung dieser Services werden Ihre Daten auf unseren gesicherten Servern gespeichert. Wir haben ohne Ihre ausdrückliche Einwilligung und Anweisung keinen Zugriff auf diese Daten und sichern unseren Service für Sie zusätzlich mit einem Vertrag zur Auftragsverarbeitung ab.

Der Vertrag zur Auftragsverarbeitung – was ist das und wozu brauche ich das?

canva.com / © edar von CCO

 

Nehmen Sie für bestimmte Aufgaben Hilfe von externen Dienstleistern in Anspruch, die in Ihrem Auftrag personenbezogene Daten Ihrer KundInnen verarbeiten, handelt es sich dabei höchstwahrscheinlich um einen Auftragsverarbeiter. In diesem Fall legen Sie als verantwortliche Person Zweck und Mittel der Datenverarbeitung fest und Ihr DienstleisterInn hat keine Entscheidungsgewalt über diese Daten.

Klassische Beispiele für Auftragsverarbeiter sind:

  • Agenturen für Werbemaßnahmen
  • externe Newsletter-Anbieter (z.B. Mailchimp, Rapidmail, Newsletter2Go etc.)
  • Web-Hoster (der technische Anbieter Ihrer Website)
  • Cloud Systeme zur Personal- und Kundenverwaltung
  • Aktenvernichtung, Vernichtung von Datenträgern

Mit diesen Dienstleistern sollten Sie einen Vertrag abschließen, der Zweck und Mittel der Datenverarbeitung regelt. Haben Sie schon Ihr Verfahrensverzeichnis erstellt, erkennen Sie schnell, mit wem Sie so einen Vertrag abschließen müssen. Wann ein Dienstleister kein Auftragsverarbeiter ist, können Sie hier nachlesen.

Mit der DSGVO gibt es auch eine neue Regelung für Auftragsverarbeiter in Drittländern, also Staaten außerhalb der EU. Eine Datenübermittlung nach Art. 44 DSGVO in diese Länder ist danach nicht uneingeschränkt möglich und muss spezielle Voraussetzungen erfüllen.

Was passiert, wenn jemand Auskunft über seine Daten anfordert?

Eine der zentralen Erweiterungen, die mit der DSGVO in Kraft getreten ist, ist das Auskunftsrechts der betroffenen Personen (Art. 15 DSGVO). Ihre KundInnen haben danach das Recht auf Auskunft über die Daten, die Sie über sie gespeichert haben und über darüber hinausgehende Informationen zu deren Verarbeitung.

Bekommen Sie so eine Anfrage, müssen sie innerhalb eines Monats diese Informationen bereitstellen. Darum empfiehlt es sich geeignete Maßnahmen zu treffen, um diese Auskünfte schnell zur Verfügung stellen zu können.

Unseren ARTBUTLER CLASSIC KundInnen steht dafür im Support-Bereich eine Exportvorlage zur Verfügung, mit der Sie alle Informationen, die Sie über einen Kontakt in ARTBUTLER gespeichert haben, einfach als Antwortschreiben exportieren können. Daten, die Sie außerhalb von ARTBUTLER speichern müssen Sie nur noch in diesem Dokument ergänzen und können Auskunftsanfragen somit schnell beantworten.

Datenschutz auf Ihrer Webseite – das ist zu tun

shutterstock.com / © Stokkete

Schritt 1: die Datenschutzerklärung

Ihre Galeriewebseite ist eine der ersten Anlaufstellen für potenzielle KundInnen und SammlerInnen. Gleichzeitig ist Ihre Website aber auch eine leicht zugängliche Quelle für Abmahnungen. Darum sollte der erste Schritt sein, Ihre Datenschutzerklärung und die Hinweise zur Datenverarbeitung für Ihre Website zu aktualisieren. Wichtigste Neuerungen dabei sind die Informationen zu den Betroffenenrechten:

Auch Infos über die Prozesse der Datenerhebung und -verarbeitung, also an welchen Stellen auf Ihrer Webseite Daten erhoben werden, gehören in die Datenschutzerklärung: Das kann zum Beispiel ein Kontaktformular sein oder die Newsletter-Anmeldung. Aber auch die Verwendung von Cookies und die Analyse des Nutzungsverhaltens auf Ihrer Website (z.B. mit Google Analytics oder Matomo/Piwik) müssen aufgeführt werden. Ihre Datenschutzerklärung können Sie anwaltlich erstellen lassen, oder Sie nutzen dafür einen Datenschutz-Generator.
 

Schritt 2: das Impressum

Ein weiterer häufiger Abmahngrund ist das Fehlen eines Impressums auf der Website. Sollten Sie also noch keines haben, dann ist jetzt der Zeitpunkt eines anzulegen. Sowohl das Impressum als auch die Datenschutzerklärung müssen von jeder Seite Ihrer Website aus erreichbar sein. Daher empfehlen wir wenn möglich, beide Seiten in der Fußzeile zu verlinken.

Bei unseren ARTBUTLER Websites sind diese beiden Seiten für Sie bereits bereitgestellt. Sie müssen also nur noch Ihre Informationen eintragen!
 

Schritt 3: der Newsletter

shutterstock.com / © Rwapixel.com

Mit der DSGVO sind die Vorgaben an einen rechtskonformen Versand eines Newsletters gestiegen. Wenn Sie Newsletter an Ihre Kontakte schicken wollen und dafür die E-Mail Adressen und ggf. weitere personenbezogene Daten wie den Namen verwenden und speichern, brauchen Sie vorher die Einwilligung Ihrer potenziellen Newsletter-EmpfängerInnen (Art. 6 DSGVO). Neben der Erwähnung des Newsletter-Versands in Ihrer Datenschutzerklärung müssen Sie nach Art. 13 DSGVO Ihre Webseiten-BesucherInnen zusätzlich vor der Anmeldung zum Newsletter über die geplante Verarbeitung der Daten (E-Mail Adresse, Name, etc.) aufklären. Das lösen Sie am besten mit Hilfe einer Checkbox bei Ihrer Newsletter-Anmeldung, mit der Sie sich die Kenntnisnahme der Art der Datenverarbeitung bestätigen lassen. Diese Checkbox darf nicht vorausgewählt sein!

Ihre EmpfängerInnen müssen also vor dem Erhalt eines Newsletters ausdrücklich dem Erhalt zustimmen!

Darum bieten alle Newsletter-Anbieter das sogenannte Double-Opt-In an, bei dem eine E-Mail mit einem Bestätigungslink an Ihre EmpfängerInnen verschickt wird, nachdem diese sich eingetragen haben. Erst wenn sie zur Bestätigung der Anmeldung auf diesen Link geklickt haben, ist die Einwilligung DSGVO konform. Die Einwilligungen werden in Ihrer Verteilerliste mit Datum und Zeitstempel und nur im Newsletter-Programm gespeichert (Privacy by Design). Dokumentierte Einwilligungen müssen auf Anfrage, z.B. der EmpfängerInnen selbst oder der zuständigen Aufsichtsbehörde, vorgelegt werden können.

Nach Art. 7 Abs. 3 DSGVO müssen Ihre Kontakte auch immer die Möglichkeit haben, sich vom Newsletter abzumelden (Widerrufsrecht). Das funktioniert am besten über einen Abmelde-Link direkt im Newsletter.

Die gute Nachricht ist: Ihren KundInnen dürfen Sie auch ohne vorherige Einwilligung weiterhin Newsletter schicken. Auch bereits erteilte Einwilligungen, wenn sie dokumentiert sind, verlieren keine Gültigkeit. Bedenken Sie nur, dass „Nicht-auf-eine-E-Mail-reagieren“ schwer als gültiger Nachweis der Einwilligung gilt. Sollten Sie unsicher sein, ob Sie alle Einwilligungen richtig dokumentiert haben, könnte eine wiederholte Einwilligung in Ihren Newsletter-Versand sinnvoll sein.

 

Abschließend haben wir hier noch einmal die wichtigsten Punkte in einer Checkliste für Sie zusammengestellt:

  • Verzeichnis von Verarbeitungstätigkeiten erstellen
  • Verträge zur Auftragsverarbeitung abschließen
  • Verfahren zur Bearbeitung von Auskunftsanfragen einrichten
  • Website: Datenschutzerklärung und Impressum erstellen
  • Newsletter-Versand: Einwilligungen einholen & alte Einwilligungen prüfen und ggf. neu einholen

Alle Regelungen der DSGVO umzusetzen braucht Zeit und die vielen Vorgaben können auf den ersten Blick überwältigend wirken. Wir hoffen Ihnen mit unserem DSGVO-Guide ein wenig helfen und Ihnen die Angst davor nehmen zu können.

Das Thema Datenschutz nehmen wir von ARTBUTLER sehr ernst und auch unsere KundInnen wissen, dass die Sicherheit Ihrer Daten für uns oberste Priorität hat. Unsere Produkte können aus diesem Grund alle bedenkenlos und DSGVO-konform eingesetzt werden:

  • Einwilligungen Protokollieren
  • Auskunftsmanagement
  • Löschanfragen bearbeiten
  • Nutzerrechte einschränken um sensible Kundendaten zu schützen
  • ARTBUTLER CLASSIC: volle Datenkontrolle ohne Weitergabe an Dritte
  • DSGVO-konforme Newslettereinbindung für Websites
  • Sicherer Umgang mit Ihren Daten bei ARTBUTLER Hosting, CLOUD und Websites

Haben Sie noch Fragen zum Thema Datenschutz und ARTBUTLER? Wir beantworten Ihre Fragen gerne. Schicken Sie uns dafür einfach eine Nachricht oder rufen uns an!