Das sind jetzt alles eher technische Aspekte, die meines Wissens nichts mit Rechtsberatung zu tun haben und daher auch diskutiert werden dürfen.
Ich habe verschiedene Softwaretools für Datanschutzmanagement evaluiert und es gilt der Satz: You get what you pay for. In aller Regel werden die Tools als Software as a Service und reichhaltige Web-Anwendung angeboten.
Meines Wissens gibt es kein brachenspezifisches Tool für Fotografen, umso wichtiger sind umfangreiche Möglichkeiten der Anpassung. Ein Tool sollte zudem vom Anbieter regelmäßig aktualisierte Vorlagen, ein möglichst umfangreiches Reporting "auf Knopfdruck" und die Möglichkeit jedem Vorgang eine beliebige Anzahl von Sekundärdokumenten anzuhängen enthalten. Professionelle Tools enthalten zudem ein Segment zur Kommunikation mit den Betroffenen. Allerdings habe ich kein Tool gefunden, in dieses Segment unabhängig mittels Api auf eine öffentliche Web-Seite gestellt werden kann.
Nun kommt es: Die Lizenzkosten gehen bei prof. Tools bei ca. 70 Euro
im Monat los...
Natürlich kann man das auch alles "händisch" organisieren. Wichtig ist dabei, dass man z.B. auf seinem Verarbeitungsverzeichnis immer ein Datum der anlasslosen Überprüfung notiert, weil Managementsystem bedeutet "zyklische Überprüfung der Maßnahmen". Je nach Risiko für den Betroffenen genügt hier aber sicherlich eine jährliche Überprüfung.
Hier erlaube ich mir noch einmal auf den in der DSGVO, insbesondere im Hinblick auf die technisch-organisatorischen Maßnahmen, verankerten Aufwandsvorbehalt hinzuweisen.
Nach allem was mir bisher zugetragen wurde, halt sich die Anzahl der Anträge der Betroffenen in sehr engen Grenzen, was auch meiner Erfahrung entspricht. Von einer "Antragswelle", wie sie von den Untergangs-Auguren prophezeit wurde, kann aus meiner Sicht keine Rede sein.
Hier sollte man vor allem auch erst einmal prüfen, ob es sich um einen
berechtigten Antrag handelt und die verschiedenen Anträge auseinander halten, sowie ggf. bei strittigen Anträgen auf Art. 18 Einschränkung der Verarbeitung zurück greifen.
Beispiele für unberechtigte Anträge:
Ich habe bisher genau einen Antrag erhalten. Der Antrag war unberechtigt, weil ich die Daten überhaupt nicht verarbeitet habe. Vielmehr hat ein Dritter ein Datum zur Verbreitung meines Content genutzt. Ich habe freundlich aber bestimmt darauf hingewiesen, hätte aber auch gar nicht reagieren oder meinen Aufwand dem Antragsteller in Rechnung stellen können.
Ein Antrag kann auch unberechtigt sein, weil sich gesetzliche Schranken ergeben.
Das eigentliche Problem scheint mir im Moment aber zu sein, aus dem oft, ähhh, wirren Geschreibsel des Betroffenen seinen eigentlichen Willen abzuleiten. Hingegen ist in der beschriebenen Situation und bei einer 4-Wochen-Frist die Einhaltung der Fristen (4 Wochen) das geringste Problem.
Was in der Antwort stehen muss, ergibt sich aus Art. 15.
Ich weiß nicht so genau, was TOM für Fotografen sein soll? Was die technischen Maßnahmen angeht, so sind aus meiner Sicht die "Big 6" zu nennen:
Backup, Update, Passwort (Nutzerverwaltung), Firewall, Gebäudesicherheit (Zutritt) und Verschlüsselung.
Das eigentliche Problem scheint mir hier, dass in nicht wenigen Unternehmen die IT ein völliger Sumpf ist, die kaum etwas mit einer geplanten Datenverarbeitung mit geeigneten Tools zu tun hat: Tausende für das Kameraequipment, aber keine 500 im Jahr für ein gescheites Backup (das können auch USB-Platten und ein Bankschließfach sein).
Bei einer "Kleinst-IT" eines Einzelunternehmers, aber nicht nur hier, erscheint mir eine der wichtigsten Maßnahmen überhaupt,
die private und geschäftliche Nutzung konsequent zu trennen! Alles andere lässt sich inzwischen nahezu vollständig mit "Bordmitteln" erledigen.
Wie gesagt: Gerade hier ist der Aufwandsvorbehalt, der im Gesetz mehrfach formuliert wird, zu beachten. Manchmal genügt halt ein vernünftiges Schloss, um der Gebäudesicherheit genüge zu tun.
, die Firewall und Update-Funktion des Betriebssystems und/oder des Routers, ein sog. "Passwortsave", USB-Platten und ein Bankschließfach, etc.
Eine besondere Herausforderung sind und bleiben die Löschfristen, da IT-System grundsätzlich darauf ausgelegt sind Daten zu speichern und nicht zu löschen. Ich lege meine Finanzdaten in Jahresordnern und -Kisten ab und empfinde es immer als eine Erleichterung, wenn ich wieder ein Jahr löschen und schreddern kann.
Mit Bildern ist das entsprechend schwieriger...
Ich übermittle meine Dokumente, die personenbezogene Daten enthalten (Bilder, Rechnungen, etc.) inzwischen ausschließlich über einen temporären Privat-Cloud-Link mit Hilfe einer Transportverschlüsselung. Bei einem mittleren Risiko kommt noch ein Passwort hinzu, dass über ein zweites Medium (Link via E-Mail, Passwort via SMS) übertragen wird.