Datenschutz für Websites

00:00:00: Hallo und herzlich willkommen in der Auslegungssache, heute mit Episode 141.

00:00:20: Wir zeichnen auf am 6.08.2025 und mein Name ist Holger Bleich.

00:00:27: Ich bin Redaktor bei CT die Magazin für Computertechnik, das auch diesen Podcast hier produziert.

00:00:32: Bei der Gelegenheit möchte ich gleich mal oder möchte ich endlich mal wieder Danke sagen an unsere beiden Audio-Video-Producer,

00:00:38: die diesen Podcast immer nach bearbeiten, dafür sorgen, dass er besser klingt.

00:00:42: Ab und zu auch mal ein paar Pausen von Jörg raus schneiden.

00:00:45: Jörg habe ich gehört und auch uns das Intro und Auto reinschneiden.

00:00:51: Hallo Shahin, hallo Pascal, vielen Dank dafür ungelegentlich übrigens auch Karin und Gordon,

00:00:55: die ab und zu auch mit schneiden an uns am Podcast, vielen Dank dafür.

00:01:00: Übrigens Jörg habe ich gehört, dass sie sich manchmal ein bisschen Spaß daraus machen zwischen Intro und meiner "Hallo" Begrüßung,

00:01:08: so eine lange Pause rein zu machen, um das Publikum zu tiesen, das finde ich ziemlich fies, das habe ich ihnen jetzt verboten.

00:01:14: Aber jetzt erstmal viele Grüße, hallo Jörg ins Homeoffice.

00:01:18: Hallo Holger, es ist mal wieder soweit, diesmal zeichnen wir ein bisschen im Voraus auf,

00:01:24: was mit unseren Urlaubsplänen zu tun hat und da liegen vor über zwei Wochen zwischen Aufzeichnung.

00:01:29: Aber ich glaube, wir haben uns ein Thema rausgesucht, wo es nicht unbedingt um Tagesaktuelle Themen geht.

00:01:35: Und dafür haben wir uns wie immer einen wollen Gast eingeladen und der war auch schon mal bei uns,

00:01:41: nämlich in Episode 82, März 2023.

00:01:45: Eifrige Hörer dieses Podcast werden sich erinnern, das ist ja sicher auswendig gelernt und unser Gast.

00:01:51: Und herzlich willkommen, Dr. Sebastian Kraska, hallo Sebastian, schön, dass du da bist.

00:01:55: Ja, grüße euch ihr beiden und vielen Dank für die erneute Einladung.

00:01:59: Es fühlt sich gar nicht so an, als ob es schon zwei Jahre her gewesen sei.

00:02:03: Ich dachte irgendwie, das sei letztes Jahr gewesen, da sieht man auch, wie schnell das vergeht mit der Zeit.

00:02:09: Ja, wie schnell die Zeit vergeht, wenn man Spaß hat.

00:02:11: Und ich darf dich kurz vorstellen, du bist Rechtsanwalt und Diplomkaufmann

00:02:16: und bist Geschäftsführer der EITR Datenschutz GmbH.

00:02:21: Ihr seid spezialisiert auf völlig baruschen Datenschutz und aber auch Informationssicherheit.

00:02:26: Und ich nehme mal an, da hast du nicht zu wenig zu tun in der Funktion.

00:02:31: Das ist richtig, ja.

00:02:32: Wir betreuen Unternehmen als Datenschutzbeauftragte und haben verschiedene Softwareprodukte,

00:02:38: Datenschutzmanagement-System, E-Learning-System, Auditsystem unter anderem.

00:02:43: Mit denen unterstützen wir Unternehmen, gerade im Mittelstand, bei den ganzen Datenschutz-Compliance-Themen

00:02:48: und zunehmend auch der ISMS-Dokumentation.

00:02:51: Und wie du richtig sagst, da ist natürlich viel zu tun, gerade auch bei dem ISMS-Thema der Zeit.

00:02:56: Sebastian, hallo auch von meiner Seite, kannst du mal sagen, was ISMS ist, weißt du das gar nicht?

00:03:02: Informationssicherheitsmanagement-System.

00:03:04: Ah, hatten wir auch schon hier, ja, habe ich wieder, ich glaube nicht.

00:03:08: Also ehrlich gesagt, das mit den ganzen Akronomen hier im Podcast, das bin ich immer wieder ein bisschen anstrengend.

00:03:13: Und ich, die ESGVO kriege ich gut hin, nüsse ich auch gut hin, da kommen wir vielleicht auch noch mal kurz zu.

00:03:18: Aber da hört es dann auch schon ganz lang auf.

00:03:21: Das kriegen wir empfehlen, wir müssen es halt immer übersetzen.

00:03:23: Und unser Thema heute wird sein, wir machen mal wieder so ein Service-Thema, was wir auch immer ganz interessant finden.

00:03:31: Unser Thema heute ist ein Website zu Datenschutzen.

00:03:33: Wir schauen mal uns die wichtigsten Punkte an, die man für den Datenschutz auf Websites beachten muss.

00:03:39: Da haben wir so 6, 5, 6 identifiziert.

00:03:42: Und da gehen wir mal durch, was muss man aber achten, was gibt es da für eine neue Entwicklung?

00:03:47: Heuber hat immer die Endkundenperspektive noch im Blick und gerätcht uns rein.

00:03:52: Und wir werden eine aktive Katzen-Zugeher-Website nachher an den Start bringen und uns überlegen, was wir da beachten müssen.

00:04:02: Aber das sind wusste ich gar nichts.

00:04:04: Auch das hat mir in einem Vorgespräch.

00:04:05: Na da haben wir einen Katzenfutterverkauf gehabt.

00:04:08: Ja, ein Katzenfutterverkauf ist ein Katzenzugeher.

00:04:10: Oh, dann will ich, aber das ist doch die Menze in Jörg nachher.

00:04:12: Ja, okay.

00:04:13: Wir können auch einen Katzenfutterverkauf machen, es ist auch egal.

00:04:17: Jedenfalls irgendwas mit Katzen.

00:04:19: Aber bevor wir zu den Katzen kommen, kommen wir immer zu unserem Bußgeld der Woche.

00:04:26: Unser Bußgeld der Woche ist heute gar kein Bußgeld, sondern es ist ein Urteil.

00:04:32: Und wer sich ein bisschen mit Datenschutz auskennt, wird nicht völlig überrascht sein.

00:04:36: Wir hatten in der letzten Folge oder vorletzten Folge schon mal darüber gesprochen.

00:04:40: Es geht um das Urteil des Landgerichts Leipzig vom 4. Juli 2025.

00:04:45: Worum geht es?

00:04:46: Es geht um einen hohen immateriellen Schadenzusatz, nämlich 5.000 Euro.

00:04:52: Das hat das Gericht einem Kläger zugesprochen, da Facebook unrechtmäßig und ohne Einwilligung

00:04:59: sein Verhalten aufgetrackt hat und mit Business Tools verfolgt hat.

00:05:05: Olga, vielleicht magst du mal kurz erklären, was die Business Tools sind, bevor ich zu

00:05:09: dem juristischen Part aushole?

00:05:10: Wir hatten es ja in der letzten Episode schon mal kurz, das sind einfach Servicewerkzeuge

00:05:16: für Webseitenbetreiber, womit sie zum Beispiel Konversion in ihren Shop oder so messen können

00:05:21: oder auch auf ihrer Facebook-Seite.

00:05:23: Also zum Beispiel sind es diese Social Plugins, das heißt, du hast da irgendwie ein Plug-in

00:05:29: von Facebook auf deiner Webseite und jedes Mal, wenn die Webseite besucht wird, bekommt

00:05:33: das Facebook mit.

00:05:34: Der Vorwurf ist eben, dass Facebook über diesen Weg auch über Zeltpixel zum Beispiel,

00:05:38: die auch zu den Business Tools gehören, eben sehr, sehr viel mitbekommt, dass außerhalb

00:05:42: der eigentlichen Social Media-Plattform Facebook selbst passiert und das betrifft übrigens

00:05:46: nicht nur Facebook, sondern zum Beispiel auch Instagram als auch andere Plattformen, die

00:05:49: Meta betreibt und da liegt eben das Problem.

00:05:52: Sie können, ein Problem ist das Tracking auf der einen, auf der eigenen Seite.

00:05:56: Gut dafür, da haben wir schon genügend Entscheidungen und auch Stellungnahmen von der Anschutzbehörden

00:06:01: und so, aber das andere ist halt alles, was außerhalb der Plattform selbst passiert und

00:06:05: da strecken sie halt überall in ihre Fühle aus und das machen sie schon seit wirklich

00:06:09: vielen Jahren.

00:06:10: Ja, und das fand, das Landgericht leibt sich jetzt nicht so richtig gut und hat ein karniges,

00:06:16: muss ich wirklich sagen, ein karniges Chance, als das rausgehauen, der unüblich ist.

00:06:21: Also normalerweise gibt es da irgendwie 100 Euro, 200, 500 Euro und wir fassen uns mal

00:06:27: kurz zusammen, was war hier besonders, also das Gericht sieht einen erheblichen Kontrollverlust

00:06:32: an den erfassten Daten und daraus, dass diesem Kontrollverlust konstruieren sie einen erheblichen

00:06:39: immateriellen Schaden und der Schaden wird durch das Gefühl des Klegers überwacht zu

00:06:43: werden und die Befürchtung des Datenmissbrauchs weiter vertieft, auch wenn, das muss man ja

00:06:49: auch sagen, kein konkreter Nachteil nachgewiesen wurde und nach Ansicht des Gerichts auch nicht

00:06:54: nachgegießen werden muss, warum die hohe Bewertung, die nehmen den wirtschaftlichen Wert der Daten

00:06:59: für Facebook als Bemessungsfaktor und das ist tatsächlich, glaube ich, ein relativ neuer

00:07:03: Gedanke.

00:07:04: Das Gericht sagt, es nimmt, diese Daten haben einen enorm wirtschaftlichen Wert, der sich

00:07:10: aus den gesamten Daten für das Geschäftsmodell von Facebook letztendlich herauskristallisiert

00:07:17: bedingt und diese Werbeeinnahmen des Konzerns beruhen eben aus personalisierten Nutzerprofilen

00:07:23: und diese Ruhe-Summe repräsentiert den Wert der unrechtmäßig verarbeitlichen Daten

00:07:30: und sei auch keine Bagatelle und das ist ne Abkehr, glaube ich, von der bisherigen Rechtsprechung

00:07:34: auch so ein bisschen des Eugaha, finde ich, also schon ein mutiges Urteil und das Gericht

00:07:39: betreibt Kollegen-Schelte und sagt, dass die bisherige deutsche Rechtsprechung hier viel

00:07:43: zu niedrig gegriffen habe und ein vollständiger und wirksamer Ausgleich des Schadens erfordert

00:07:50: eine Summe, die den Eingriff ernst nimmt und nicht als Bagatelle abtut.

00:07:55: Eretzung hier anhand des Durchschnittsbetroffenen, was erst daumlich ist und das unterscheidet

00:08:01: sich sehr oft von anderen Verhandlungen, auch die, die ich miterlebt habe, dass sie den

00:08:06: Kläger hier nicht vorgeladen haben und den auch nicht hören wollten, sondern man verzichterte

00:08:12: eben ihnen anzuhören und legte eben nur den Maßstab eines durchschnittlichen aufgeklärten

00:08:17: und verständigen Nutzers an, also in einen anderen Verfahren wird da gerne ziemlich

00:08:21: tief reingegangen, wo bist du denn hier betroffen, was hast du erlebt, hast du mehr Spam, hast

00:08:29: du mehr Anrufe, bläfst du nachts, will das jetzt gar nicht witzigeziehen oder so, bläfst

00:08:34: du nachts schlecht, weil du denkst deine Daten sind stehen offen, darauf hat man hier verzichtet

00:08:38: und ist trotzdem zu so einem hohen Ergebnis gekommen. Sebastian, ich nehme an, dieses

00:08:45: Urteil wird dich auch überrascht haben.

00:08:47: Es ist auf jeden Fall, ich sag mal, in Abkehr ähnlicher Fälle durch andere Gerichte,

00:08:52: insofern ja eine Überraschung in Begründung und Höhe.

00:08:55: Wenn du das Bild größer ziehst, haben wir ja, ich sag mal, drei Säulen, du hast die

00:09:00: Aufsichtsbehörden, Datenschutz und Kartellbehörden, die im Datenschutz eine Rolle spielen.

00:09:05: Du hast Wettbewerb, der in irgendeiner Weise dich verklagen kann, da gab es ja auch einige

00:09:10: Klarstellung in letzter Zeit und die dritte Säule eben diese Frage, können sich die

00:09:14: Betroffenen während grad so nach Datenschutzverletzungen bei Abhanden kommen von Daten oder eben hier

00:09:21: der rechtswidrigen Datenverarbeitung und da gibt es ja viel Bewegung auch im Markt, um

00:09:26: zu gucken, sind das, ich sag mal, Fälle, die man dann nur einzeln durchzieht oder lassen

00:09:31: sich da auch bestimmte Fälle zu Massenverfahren zusammenziehen und in diesem Aspekt natürlich

00:09:37: ein Urteil, dass Aufmerksamkeit verdient und weitere Beobachtung verdient, Meter wird

00:09:43: der eine Fall nicht stören, aber natürlich, wenn du die Fälle so gegebenenfalls dann

00:09:49: liegen hast, dass es nicht nur einen Betroffener ist, sondern eine große Anzahl an Betroffenen

00:09:53: und du diese Klagen dann in irgendeiner Weise bündeln kannst, dann kann das natürlich

00:09:58: auch nochmal ein relevantes Phänomen werden, um das Datenschutzrecht insgesamt durchzusetzen.

00:10:03: Olga, wie siehst du das?

00:10:04: Warst du auch erstaunt?

00:10:05: Oder findest du es gut?

00:10:06: Ich finde, ich erstaunt war ich schon, also wegen zwei Sachen, also erstens, dass Sie

00:10:12: selbst reden dürfen, ausgehen, dass diese Datenerhebung unrechtmäßig ist, was sagen Sie im Urteil?

00:10:16: Ich weiß jetzt nicht, ich hab den Vortex echt gesagt, nicht ganz gelesen und ich weiß

00:10:20: nicht, ob Sie das wirklich gut begründen, dass das unrechtmäßig ist, also ist das

00:10:25: schon soweit ausgefochten, dass das ganz klar unrechtmäßig ist, diese Business Tools,

00:10:30: also von Facebook-Seite aus, diese Business Tools einzusetzen, ich meine es wird ja so

00:10:34: laufen, dass du als Nutzer, du als Website-Betreiber, da kommst du ja noch zu, bindest die ja ein,

00:10:41: bindest also dieses Tracking in deine Website ein, du wirst wahrscheinlich in den Datenschutzerklärungen

00:10:45: darüber informieren, dass dieses, das Entferenz-Held-Pixel oder Social Plaggen oder so da ist und die Daten

00:10:51: sind so meta-transferiert, ja, ich weiß nicht, braucht man da eine Einwilligung, aber scheinbar

00:10:56: haben Sie es vorausgesetzt, denn das zweite, das zweite finde ich halt gerade was du gesagt

00:11:00: hast, dass Sie eben ganz darauf verzichtet haben, den Kläger überhaupt anzuhören und

00:11:04: den idyllischen Schaden irgendwie festzustellen, deutet für mich ja auch darauf hin und das

00:11:08: strotzt ja auch aus dem ganzen Text, dass Sie sehr wohl so ein allgemein oder so ein

00:11:14: größergefasstes, allgemein gültiges Urteil erwirken wollten oder erzielen wollten, indem

00:11:21: Sie sagen, es geht ja hier um den durchschnittlich versierten Nutzer und auch durchschnittlich

00:11:25: informierten Nutzer, das heißt also, so lässt sich der Fall natürlich viel leichter auf

00:11:30: viele andere Fälle, denke ich mal, projizieren, als wenn es um den individuell bemessenden

00:11:34: Schaden geht, also deswegen, glaube ich, auch ist die Tragweite umso höher. Übrigens,

00:11:38: vielleicht noch zur Ergänzung, ich habe gerade nochmal geguckt, also uns gegenüber meta-bestätigt,

00:11:43: dass sie Buchfunk eingelegt haben gegen das Urteil, also dass sie...

00:11:45: Erst Verwundheit, glaube ich, niemand.

00:11:47: Erst Verwundheit niemanden, das stimmt wohl.

00:11:48: Sebastian, wenn du das OEG wärst, würdest du das unterbestätigen?

00:11:52: Ich finde es, also dafür, dass man so viel Revolution macht in dem Urteil, inhaltlich,

00:11:57: finde ich sehr staunlich schwach begründet.

00:11:59: Für ich das bestätigen, ich bin etwas überrascht, ob der Höhe, dass man dafür die Einwilligung

00:12:05: braucht, um das einzubinden. Ich glaube, das würde ich so unterschreiben.

00:12:09: Das meine ich auch, also die Höhe, vor allem und die Begründung.

00:12:12: Die bei der Höhe, glaube ich, wird es in Richtung Korrektur laufen, aber ich kann dem Gericht

00:12:19: natürlich da nicht vorweg nehmen, gerade wenn es in die nächste Instanz geht.

00:12:22: Aber das würde mich jetzt nicht völlig überraschen, wenn das in der nächsten Instanz dann da noch

00:12:26: mal in der Höhe korrigiert wird.

00:12:28: Naja, aber immerhin, es wird ja immer so gerne verglichen mit dem BGH Scraping Urteil, also

00:12:35: mit dem Schadenersatz, den der BGH so mal Lose beziffert hat mit 100 Euro, der dann

00:12:40: zusteht, aber ich finde ja nicht, dass diese Fälle jetzt vergleichbar sind, aber bei dem

00:12:44: Scraping Urteil ging es ja um einen ganz anderen Sachverhalt.

00:12:46: Also es ging darum, dass da irgendwie Vereinzeltelefonemann oder Adressen durch eine Sicherheitslücke

00:12:51: irgendwie in die Öffentlichkeit gekommen sind bzw. in Daten und Fohren aufgetaucht sind.

00:12:56: Also quasi ein Data-Lost, aber hier ist es ja wirklich, das ist, so wie das geliebt ist.

00:13:01: Aber das ist einfach nicht viel schlimmer?

00:13:02: Ja, das Gericht sagt hierzu, ich meine, es ist eine gewollte, systematische Ausspionierung

00:13:08: und Überwachung von Nutzern außerhalb der Facebook-Plattform.

00:13:11: Ich glaube, dass das schon noch mal zumindest eine andere Kategorie, ob sie schlimmer ist

00:13:15: oder weniger schlimm weiß ich nicht, aber zumindest das zu vergleichen und zu sagen,

00:13:19: diese 5000 passen aber nicht zu den 100, die der BGH festgelegt hat, das finde ich ein

00:13:22: bisschen blödsinnig, ehrlich gesagt, weil der Sachverhalt lässt sich darüber nicht

00:13:25: vergleiten.

00:13:26: Sebastian, erlässt sich, natürlich ist es ein anderer Sachverhalt, aber um Jörgs Argument

00:13:33: aufzugreifen, in dem einen Fall kannst du eben nicht mehr die rechtswidrige Datenverarbeitung

00:13:39: zurückdrehen, weil du gar nicht weißt, in wessen Händen nach dem Angriff die Daten gegebenenfalls

00:13:44: sind.

00:13:45: Das hast du natürlich hier nicht, also das würde ich sagen, ist dann schon ein Argument

00:13:52: zu sagen, ist das wirklich so viel schlimmer als das andere und müssen wir uns dann nicht

00:13:56: an diesem vom BGH mal angeleuchteten Korridor orientieren.

00:14:01: Aus dem Urteil spricht ja schon der Wunsch zu sagen, wir wollen das Datenschutzrecht

00:14:08: in der Breite für die Rechtsdurchsetzung nutzen und es eröffnet natürlich dann auch

00:14:13: die Möglichkeit gerade, wenn das Gericht darauf verzichtet, einzelne Kläger dann anzuhören

00:14:18: und ihren Fall vorzutragen, öffnet dann natürlich auch die Möglichkeit dann da Verfahren zu

00:14:22: bündeln und ich sage mal jetzt Absatz von 5000 Euro, da natürlich dann zu Streitwerten

00:14:27: zu kommen, wenn du verschiedene betroffenen Klagen bündelst, da wirklich einen relevantes

00:14:31: Instrument zur Rechtsdurchsetzung zu werden und das ist letztlich das was die Berufungsinstanz

00:14:36: jetzt mal Absatz des Juristischen aber faktisch zu entscheiden haben wird, ob man diesen Weg

00:14:42: dort bestreitet oder nicht argumentativ begründen lassen sich sicherlich beide Richtungen.

00:14:46: Also wir müssen ja mal sagen, für Meta ist dieses Urteil natürlich höchst relevant,

00:14:51: weil es ist ja anders jetzt auch bei diesem Datenverlust, in den Scraping fallen gut,

00:14:57: es waren auch Tausende Nutzer, aber es geht hier um jeden Nutzer, es geht um jeden Einzelnen,

00:15:02: es geht um jeden Einzelnen der Zignillionen, Facebook und in Deutschland, die genau davon

00:15:06: betroffen sind und die theoretisch die Möglichkeit hätten eben auch diese Schadenersatzzumme irgendwie

00:15:11: zu bekommen und das muss finde ich, das OLG leibt sich aber wirklich sehr, sehr, sehr genau

00:15:15: abwägen, also damit das geht für Facebook in den Milliarden, wenn da tatsächlich jetzt

00:15:21: so eine Klage wieder rollt und dann kommt ja noch dazu, wir hatten es ja schon mal in

00:15:24: Scraping Fall, selbst für Legal Text wird es schwer sein, diese oder für Leute die Legal

00:15:30: Texten, für Betroffene die Legal Text nutzen, diese 100 Euro irgendwie gewinnbringend einzuklagen,

00:15:38: weil sie natürlich auch für die rechtsanwaltliche Diesleistung zahlen, aber das sind wir natürlich

00:15:43: bei 5000 Euro, da lohnt sich das eher, das ist natürlich eine ganz andere Ausnummer,

00:15:46: das ist die Motivation für auch für den Einzelnen Nutzer zu klagen oder vielleicht

00:15:49: auch für Wandsland zu machen, eine ganz andere. Ja, und da stellt sich das Leitziger Urteil

00:15:55: auf jeden Fall die Weichen in eine bestimmte Richtung und da wird die nächste Instanz

00:16:02: letztlich dann entscheiden müssen, trägt man diese Richtung oder dreht man sie ab, wie

00:16:08: eigentlich die bisherige Rechtsprechung eher versucht hat, das Phänomen runterzutreten

00:16:14: ist. Aber nochmal abschließen die Fragen nicht, Sebastian, konkret, du wirst ein bisschen

00:16:17: ausgewichen, ich wollte mal fragen, also jetzt, wir nehmen den Scraping-Fall mit den 100 Euro

00:16:21: und wir nehmen es diesen Fall mit den 5000 Euro, findest du diese Differenz gerechtfertigt

00:16:25: aus deiner Sicht oder findest du sie nicht gerechtfertigt?

00:16:29: Ich find die Diskrepanz zu hoch, muss ich ehrlich sagen, also das, ich hätte aber fast eher

00:16:35: die 100 Euro Fälle höher angesetzt, also ich werde dem Ganzen von unten entgegengekommen.

00:16:40: Das ist ja wirklich gerade so zu sagen, ja hier hast du ein bisschen was, also ich habe

00:16:50: kein Problem mit der Höhe, es ist einfach nur, ich sage mal, eine generelle Entscheidung,

00:16:54: ob man da das Zivilrecht am Schluss öffnet, um mittelbar das Datenschutzrecht in Massenverfahren

00:17:00: durchzusetzen.

00:17:01: Also ich find es auch zu hoch, insbesondere, weil ich die Rechtsprechung kriege für krasse

00:17:07: Scraping-Fälle, wo jetzt wirklich auch in Themen Daten abgeflossen sind und da bist du

00:17:11: irgendwie 1500 Euro oder so, das find ich passt nicht überein, aber ich würde eine höhere

00:17:18: Summe verwetten, dass es nicht hält, aber wir sind gespannt und wir werden es an dieser

00:17:22: Stelle verfolgen und wir sind ja eigentlich schon mitten im Thema.

00:17:27: So was ja kann man diese Problematik lösen, indem ich auf diese Tools, die hier verwendet

00:17:38: werden, indem ich die in meinem Guggebenner, das wäre unser erstes Thema, in meinem, auch

00:17:44: darauf in meinem Guggebenner hinweise und mir die abnicken lassen, also die Aufsichtsbehörden

00:17:49: zumindest beginnen wir mal mit, was ist die aufsichtsbördliche Perspektive auf das Thema

00:17:54: und da gibt es, ich würde sagen mittlerweile doch einigermaßen Klarheit, wie das Einwilligungsbanner

00:18:02: gestaltet sein sollte und wie du das Thema adressieren solltest, um die aufsichtsbehördlichen

00:18:11: Anforderungen zu erfüllen und nach denen, also mein Verständnis, ist es auch möglich,

00:18:18: eine Einwilligung für dieser Art von Datenweitergabe dann entsprechend einzuholen.

00:18:22: Ja, fangen wir an mit dem berühmt berüchtigten Cookie-Banner und Holger ist im, wir sind

00:18:32: ein Katzenfuttershop, okay, das lenken wir erst darauf, wir sind für versenden Katzenfutter

00:18:39: und das heißt, wir sind in gewerblichen Bereichen tätig und wir haben natürlich kein ganz

00:18:48: kleiner Katzenfuttershop und haben Cookies setzen, Cookies, wir machen Tracking auf

00:18:54: unserer Website, wir binden in ein paar externe Sachen ein, wir haben vielleicht YouTube-Videos,

00:19:01: ein Holger bin ich, würdest du das nicht auf deiner Katzenfutter-Webzeit machen?

00:19:06: Das stinkt ja furchtbar, aber ja doch ich würde es auch mal, aber das stinkt ja nach dem vollen

00:19:13: Programm. Darf ich nur mal ergänzen, aus technischer Perspektive nochmal kurz sagen, also die

00:19:19: Cookies, die wir nutzen, da könnt ihr vielleicht auch was dazu sagen, selbst wenn man nicht

00:19:23: checkt, also wenn du jetzt in dem Moment, wo du einen Webshop hast, hast du ja auch Session-Cookies,

00:19:27: also du brauchst Cookies ja auch, um zum Beispiel eine Bahn-Crop-Session aufrecht zu halten und

00:19:32: um den Nutzer bequem zu machen, die sind dabei eben, müssen nicht zum Tracking sein, also

00:19:38: die Frage ist, wie sich es damit verhält, muss man darüber dann auch aufklären in Form

00:19:41: eines Cookie-Benners oder nicht, das war nur eine ergänzende Frage für mich.

00:19:43: Fangen wir erstmal an mit, also ich behalbe jetzt mein Website am Start und ich stelle fest,

00:19:49: wir haben ein paar Cookies, die gesetzt werden und wir haben irgendwann mal gehört,

00:19:54: dass man das im Cookie-Benner bauen muss und wir kommen jetzt mit unserem wunderbaren Katzenfuttershop

00:19:59: zu dir und Sebastian und sagen, ihr ist unser Katzenfuttershop, was müssen wir machen?

00:20:04: Okay, also wir sollten zuerst uns die Frage stellen, wenn wir Cookies setzen, sind es Cookies,

00:20:15: die für den Betrieb der Seite erforderlich sind? Olga, du erwähntest das berühmte Cookie für den

00:20:22: Betrieb des Warenkorbs, sind es also technisch zwingend erforderliche Cookies oder sind sie nicht

00:20:31: für den Betrieb der Webseite erforderlich? Dann betrauchen wir die Zustimmung zum Setzen der

00:20:39: Cookies. Separat davon müssen wir betrachten, dass die Datenschutzgrundverordnung verlangt,

00:20:45: dass wenn wir Trackingmaßnahmen applizieren, die individuelles Verhalten erfassen und zuortbar

00:20:54: machen, wir die Zustimmung des Webseitenbesuchers haben. Wir haben also zwei Ebenen erst einmal,

00:21:02: die wir betrachten müssen, das abstrakt geregelte Setzen von Cookies, soweit nicht technisch

00:21:07: erforderlich für den Webseitenbetrieb und das ist eng auszulegen, brauchen wir für das Setzen

00:21:13: der Cookies eine Zustimmung und dann haben wir die Ebene des individualisierenden Verhaltens-Trackings,

00:21:20: das braucht dann nach Datenschutzrecht der Zustimmung des Betroffenen. Man kombiniert in der Regel

00:21:29: die beiden Zustimmungen in einem Konzent-Banner, aber erst einmal ist das für den Beginn wichtig zu

00:21:37: verstehen, wir sprechen ja auch über zwei rechtliche Regime, TDDDG, was das Setzen von Cookies angeht

00:21:45: und DSGVO, was das individualisierte Nutzungsverhalten angeht. Die Frage, die ich den …

00:21:53: Man das nachvollziehen als nicht, Tiffus, was fand ich nicht, aber das ist ja das Setzen,

00:21:56: die ich sage, weil wir haben ein Gehirn.

00:21:58: Es ist schon, genau, es ist ein bisschen abstrakt, aber es kommt natürlich später, holt uns das Thema ein,

00:22:03: wenn wir uns über cookiefreies Tracking ohne Einwilligungserfordernis sprechen, deswegen ist

00:22:10: es wahrscheinlich schon wichtig, das am Anfang einmal zu verstehen. Wenn ich es runterbreche,

00:22:14: auch hier auf jetzt dein Katzenshop-Beispiel oder Katzenfutterbeispiel, die Frage, die man sich

00:22:21: schon auch stellen muss und Holger, wir hatten ja im Vorgespräch auch darüber gesprochen,

00:22:25: ich bin ein ganz kleiner Betrieb, vielleicht ich mache einfach nur irgendwie eine Webseite

00:22:29: für eine Musikschule oder sowas, ist die Frage, brauche ich in überhaupt Messung von Besucherdaten,

00:22:39: brauche ich das Setzen von Cookies, brauche ich, wenn ich über die Messung von Besucherdaten

00:22:45: spreche, tatsächlich das individualisierende Tracking, denn ganz häufig ist zumindest bei

00:22:51: den kleinen Seiten das praktische Bedürfnis gar nicht da, würde ich mal überhaupt unser

00:22:57: Mantifa einsteigt, da wirklich individualisierendes Tracking zu applizieren gegebenenfalls auch

00:23:05: gar nicht das Bedürfnis, bestimmte Cookies zu setzen und in der Folge braucht man dann halt auch

00:23:10: kein Cookie-Banner, sondern kann die Seite dann halt entsprechend ohne diese Tools und dann auch ohne

00:23:16: das Banner fahren. Ich habe jetzt als Katzenshop-Betreiber sage, ich verzichte komplett aus Tracking,

00:23:23: aber ich muss natürlich trotzdem Cookies einsetzen, um den Job technisch zu realisieren,

00:23:31: dann brauche ich aber trotzdem einen Banner, muss ich trotzdem eine Einwilligung einholen,

00:23:34: auch für den technischen Einsatz der Cookies außerhalb vom Tracking. Du brauchst für nicht

00:23:39: erforderliche Cookies keine Zustimmung, also für erforderliche, du brauchst für erforderliche

00:23:50: Cookies keine Zustimmung, das heißt die spannende Frage ist, was sind, da verläuft die Frontlinie,

00:23:57: was sind erforderliche Cookies? Ja, ich sage mal den Bogen auch für die Hörer zu spannen, die sagen,

00:24:05: okay ich bin neu bei dem Thema und ich baue mir eine kleine Webseite, was muss ich beachten.

00:24:09: Wenn wir über die Gestaltung des Cookie-Banners sprechen, wir also für uns die Entscheidung

00:24:16: getroffen haben, ja ich möchte in irgendeiner Weise Tracking Möglichkeiten einsetzen,

00:24:24: ich sage mal eine Google Analytics oder dergleichen, die das individualisierte Nutzungsverhalten

00:24:29: erfasst und die eine Einwilligung bedürfen, entweder weil sie Cookies setzen, die für den

00:24:36: Seitenbetrieb nicht erforderlich sind oder weil sie individualisieren das Nutzungsverhalten erfassen,

00:24:41: dann geht es ja um die Gestaltung des Cookie-Banners als solchen und das ist auch das, was ich sage

00:24:47: mal häufig bei den Aufsichtsbehörden dann aufschlägt und was auch ja Gegenstand immer wieder

00:24:52: auch von Beschwerden war, Herr Schrems, der da auch gegen größere Webseiten entsprechende Beschwerden

00:24:58: appliziert hatte, dann ist das, dass die Aufsichtsbehörden sagen, gibt deine Nutzern eine echte

00:25:03: Wahlmöglichkeit, ob sie mit dem Tracking einverstanden sind oder nicht? Also wir haben festgehalten, wenn

00:25:11: ich technisch notwendige Cookie-Sätze, die für den Betrieb der Website zwingend erforderlich sind,

00:25:18: aber ungefähr die Definitionen, also das sind wir bei Holger's Warenkorb Cookies,

00:25:23: Racheinstellung Cookies, vielmehr fährt mir da nicht ein.

00:25:31: Singlesign on Cookies zum Beispiel, also dass die Webseite ich wieder erkennt und ich nicht mehr

00:25:37: einloggen muss, das ist auch so was. Genau, also gibt es einige, die aber jetzt eher wirklich für

00:25:41: eine rudimentäre Webseite sind, also da darfst du nicht viel haben, das ist natürlich immer der

00:25:46: Idealfall, aber das wird bei einem Shop ja wahrscheinlich schon gar nicht funktionieren oder

00:25:50: schwer funktionieren, das wäre dann der Idealzustand, wo du sagst, ich brauche keinen Cookie-Banner,

00:25:57: was natürlich jeder gerne hätte. So, gut, jetzt sind wir aber drin, dass wir einen brauchen und

00:26:02: jetzt ist die nächste spannende Frage, wie gestalten wir den? Also da muss ich dann rausschreiben,

00:26:07: was ich vorhabe, da gibt es glaube ich inzwischen auch fast ein Standardtext, den alle haben,

00:26:11: den kennen wir und unsere bis zu, das ist übrigens an der Stelle wichtig, dass wir natürlich nicht

00:26:17: 210 Cookies von 210 Anbietern setzen oder niemand die setzt, zumindest in diesem Bereich nicht,

00:26:23: bis zu Anbieter setzen Cookies, die machen das und das, darunter sind amerikanische Cookies und so

00:26:30: weiter, bis du damit einverstanden und dann kommt die spannende Frage, wo du eben angesetzt hast,

00:26:36: darf ich, dass man mal die Verlagswelt erst mal raus und die Welt mit den Konsens-Tools,

00:26:47: sondern einfach die Frage muss ich ein, insbesondere, dass ja die wichtigste Frage hier,

00:26:52: brauche ich ein alles ablehnt Button und wo muss der sein? Dass die Position der Aufsichtsbehörden,

00:26:58: dass die sagen, du musst eine echte Wahlmöglichkeit zur Verfügung stellen und aus Sicht der Aufsichtsbehörden

00:27:05: bedeutet das, dass auch ein Nein im gleichen Layer erfolgen muss, also in der gleichen Oberfläche,

00:27:12: in der du Ja klicken kannst, musst du auch Nein klicken können, das Nein darf nicht unter

00:27:19: irgendwelchen weiteren Knöpfchen versteckt sein, so dass der Weg zum Nein quasi genauso weit ist,

00:27:25: wie der Weg zum Ja und es muss auch farblich in einer Weise und von den Formen her in einer

00:27:33: Weise gestaltet sein, dass es wirklich vergleichbar ist, also nicht ein großer grüner Ja-Knopf

00:27:39: und irgendwo unten im Text versteckt das Nein. Das ist, ich sag mal, die Standard-Erwartung der

00:27:45: Aufsichtsbehörden, was das Ja-Nein-Thema angeht. Ferner sagen Sie, du musst eine Möglichkeit erhalten,

00:27:52: dein Ja auch zu spezifizieren, also in Einstellungen einsehen zu können, was genau an Kategorien,

00:28:02: an Tracking Tools, was genau stimme ich hierzu und gegebenenfalls dann auch individuell

00:28:09: selektieren zu können, also zu sagen zum Beispiel. Das Granulare Einwilligungsmögliche. Das Granulare,

00:28:14: genau, also das man sagt, bestimmten funktionalen Features stimme ich zu, ich bin einverstanden,

00:28:19: dass du mir schon die YouTube-Videos einblendest, ich bin einverstanden, dass die Google Maps angezeigt

00:28:27: wird, aber mit der bestimmten Datenweitergabe, ein dritter Werbepartner beispielsweise bin ich

00:28:33: nicht einverstanden, also dass man das ja, das generelle ja Granulare dann aufteilen kann.

00:28:38: Ich habe mir das ja auch mal angeguckt, es gibt diverse Anbieter, die Cookie-Banner-Generatoren haben,

00:28:45: weil ich glaube auch, dass die wenigsten Nutzer tatsächlich jetzt hingehen und sich mit Drivers

00:28:49: kippt irgendwie selber so was basteln und auch entwerfen und es gibt Anbieter, die machen das

00:28:54: für einen allerdings, muss man auch dazu sagen, in aller Regel nicht kostenlos. So gibt es irgendwie

00:28:58: so 2-Versionen oder du kriegst teilweise irgendwie, kriegst halt für 20 oder 50 Unterseiten mal was

00:29:04: kostenlos zur Nutzung, aber dann zahlt es halt normalerweise monatliche Bühne, dass du das

00:29:09: nutzen darfst. Aber ich meine für einen Shop, der vielleicht einen gewissen Umsatz hat, sind dann

00:29:13: keine Ahnung, 5 oder 10 Euro pro Monat auch nicht so die Welt und ich glaube damit, wenn man sich auf

00:29:18: einen externen und vielleicht noch auditierten Anbieter verlässt, vielleicht auch nicht so die

00:29:23: Welt, um dann auf der sicheren Seite zu sein. Ich weiß nur nicht, Jörg, das ist halt die zweite Frage,

00:29:28: ist man dann immer auf der sicheren Seite. Wir hatten ja als Heise, als Verlag mit den Datenschutzbehörden,

00:29:35: mit unserer Datenschutzbehörde, auch wenn du dir so sicher warst, dass wir uns datenschutzkonform

00:29:41: verhalten, trotzdem immer wieder Stress. Naja, also wir hatten dann 2,5 bis 3-jähriges Verfahren

00:29:47: in Sicht der Gestaltung des Kookie-Benners, wo wir uns dann aber jetzt, glaube ich, ganz

00:29:52: einvernehmlich geeinigt haben. Eine Version, die beide Seiten einigermaßen zufrieden stellt,

00:29:58: perfekt ist sie nicht, die dann, glaube ich, auch von vielen übernommen wurde. Aber der Weg

00:30:03: dahin war, und ich glaube für beide Seiten. Wir hatten ja vielleicht ganz kurz ein ganz

00:30:08: hin dazu, wir hatten immer mit Sebastian Hilbig, unserem CEO, dazu auch mal eine extra eine

00:30:13: Episode gemacht, dass dieses Verfahren dann endlich abgestossen war, wo wir die Lösung,

00:30:17: die wir jetzt einsetzen, sehr genau beschreiben, vielleicht auch so unachvollziehbar beschreiben,

00:30:21: was das für andere durchaus interessant und nachhabenswert wäre. Das ist auch so ein bisschen

00:30:25: Standard geworden. Aber wir verwenden halt diese Spezialversion, die Maschine Namen hat,

00:30:32: pay or okay, hat sich jetzt, glaube ich, fast so ein bisschen durchgesetzt, wo man halt nicht die

00:30:39: Möglichkeit hat, alles abzulehnen, sondern man drei Möglichkeiten hat, die die erste ist einem

00:30:46: zuzustimmen, die zweite ist ein Abo abzuschließen, also dafür was zu bezahlen, und die dritte ist die

00:30:51: Website nicht anzuschauen. Und da gibt es eine ganze Menge Ärger, Sebastian, der sich jetzt so ein

00:30:56: bisschen, die Verlage haben das alle inzwischen, auch ganz viele andere Anbieter habe ich gesehen,

00:31:00: aber der Zündstoff gerade ist so ein bisschen rund um Meter und Facebook, die haben das jetzt

00:31:07: auch eingeführt und nehmen auch eine ganze ordentliche Summe für das Abo, was sie dann gerne

00:31:13: hätten. Erlaubst du mir, dass ich ganz kurz noch auf dieses Cookie-Thema von vorher und Einwilligungsband

00:31:20: einsetze? Ich glaube es dir sehr gerne. Bevor wir in die pay or okay Welt einschalten, weil ich habe

00:31:24: immer noch Holgers Zuhörer im Kopf zu sagen, ich möchte eine kleine Webseite machen und wir

00:31:33: diskutieren jetzt hier, ich sage mal, Bußgelder gegen Meter und pay or okay Modelle der Verlage und

00:31:40: das ist natürlich für die entsprechende Branche und auch für Meter von großem Interesse und

00:31:44: Relevanz, aber es ist ja doch, ich sage mal, weitestgehend entkoppelt, würde ich sagen, von der

00:31:49: kleinen Webseite und wie wir sie üblicherweise betrachten und wenn wir auch das aufsichtsrechtliche

00:31:55: Vorgehen anschauen und ich hatte im Vorfeld auch mal so ein bisschen die Tätigkeitsberichte der

00:32:00: Landesdatenschutzaufsichtsbehörden mir angeschaut, dann sagen die ein Großteil unserer Beschwerden

00:32:07: betrifft das Thema Webseitentracking. Also bei den Aufsichtsbehörden schlägt viel auf von Betroffenen,

00:32:13: die sagen, ich versuche hier Webseiten zu besuchen, aber ich werde quasi ins Tracking gezwungen. Die

00:32:19: Aufsichtsbehörden zum Beispiel in Sachsen haben dann auch eine automatisierte Massenprüfung mal

00:32:24: angelegt, haben 30.000 Webseiten geprüft und da wurde dann auch eben eine große Anzahl identifiziert

00:32:32: von Webseiten, die ihre Banner nicht richtig eingerichtet hatten. Man muss dazu sagen,

00:32:38: die Aufsichtsbehörden haben es in diesen Verfahren, das meine ich, in der Regel nicht darauf angelegt,

00:32:43: jetzt massenhafte Bußgelder zu verteilen, sondern es ist ein Insgespräch kommen mit den

00:32:48: Betreibern der Webseiten, es ist ein Aufzeigen, die es gerichtig eingerichtet wird und wenn man dann

00:32:54: die Sachen entsprechend abstellt, werden die Verfahren auch wieder geschlossen in der Breite bei den

00:32:59: kleinen Webseiten Betreibern. Das ist mir nur nochmal, dass wir den Ton richtig setzen, wenn

00:33:04: ich eine kleine Webseite betreibe und ich habe bestimmte Tracking Tools oder ich möchte YouTube

00:33:10: Videos einbinden oder Googlekarten, wo Datentransfer an Dritte stattfindet, der individualisierbar ist

00:33:18: oder der in irgendeiner Weise Cookie setzt, die eine Einwilligung bedürfen, dann bediene dich an den

00:33:24: verfügbaren Einwilligungskonzentmanagern, konfiguriere sie so, dass du den Nutzern eine echte

00:33:31: Wahlmöglichkeit gibst, ja, nein, und dass du das ja auch entsprechend einstellen kannst. Verlinke

00:33:37: Datenschutzerklärung und Impressum in der Form, dass es jederzeit im Zugriff steht und impliziere

00:33:45: das Cookie-Tool natürlich so, dass auch technisch gesehen erst dann die Tools geladen werden,

00:33:51: wenn auf Ja geklickt wurde. Das ist mir nur wichtig, bevor wir jetzt in die Pay-OK-Tiefen

00:33:56: einsteigen, dass wir da, ich sage mal, diese Empfehlung den kleinen Webseitenbetreibern an

00:34:05: die Hand geben, was muss ich tun, was muss ich machen? Da gibt es kostenlose Generatoren oder

00:34:11: Anbieter auch mit kleinem monatlichen Beitrag, die dieses Konzentthema weitestgehend adressieren und

00:34:17: dann kann man damit auch ohne Angst vor der Aufsichtsbehörde rechtskonform seine Webseite

00:34:22: betreiben. Wenn wir, das fassen wir ganz kurz, fassen wir mal das Richtige zusammen, also wir

00:34:28: Wir würden einen Tool empfehlen, ganz wichtig, keine Cookies.

00:34:33: vor dem "OK" klicken. Das sieht man ziemlich häufig, wenn man mal genau hinschaut, wo das dann eine ganze Menge hochgeladen wird.

00:34:42: Oder man muss sich eben genau überlegen, sind die OK, weil es Sprachversion oder solche Sachen sind, dann müsste das OK sein.

00:34:50: Dann Möglichkeit, das ist zumindest die Ansicht der Aufsichtsbehörden, sehe ich auch nicht auf jeder Website, kenne ich aber auch wenig Ergebnisse, wenig Urteile zu.

00:34:59: Waren möglicherweise auf der ersten Seite, also insbesondere an kein Tracking auf der ersten Seite und dann granulare Möglichkeiten des granularen Einstellens, dass das dann, glaube ich, die wichtigsten Punkte ist.

00:35:11: Ja, genau. Jetzt die Tiefen von "Pay OK", also da sind die Aufsichtsbehörden ein bisschen in dem Dilemma, dass wir Verlagsunternehmen, wie zum Beispiel euer Haus haben,

00:35:29: wo man sagt, "OK, da gibt es durchaus Ansatzpunkte zu sagen, wir müssen natürlich den Verlagen irgendwie zur Verfügung stellen, ihr Angebot zu monetarisieren und wir können die nicht zwingen,

00:35:44: ihre Angebote quasi kostenfreien Netz zu stellen, das ist ja, ich mache jetzt hier euren Fall, das könnt ihr im Zweifel besser, aber natürlich haben wir in der Verlagswirtschaft die Notwendigkeit irgendeinerweise ihr Angebot zu monetarisieren.

00:35:59: Und da sind viele Verlage, so wie ihr, eben mit entsprechenden Angeboten am Markt verfügbar zu sagen, du kannst hier wählen zwischen einer Variante, wo du in bestimmtes Werbetracking einwilligst

00:36:13: und dann kannst du das ganze dir kostenfrei anschauen oder eben du kaufst ein Aber-Normant und dann finden da bestimmte Datenübertragungen nicht statt.

00:36:23: Jetzt haben wir bei Facebook das Thema, bei Meta, dass da ja langanhaltende Verfahren sind, um die Frage, auf welcher Rechtsgrundlage darf Meta ihr Tracking applizieren,

00:36:37: das individuelle Nutzerverhalten zu erfassen, da hat man ja dann schon vorher gesagt, also vertragserforderlich ist es nicht,

00:36:45: als dann berechtigtes Interesse habt ihr auch nicht, jetzt hängen wir an der Rechtsgrundlage der Einwilligung.

00:36:51: Jetzt war die Frage, ist es zulässig für Meta, dass man hier auf dieses sogenannte Pay-OK-Modell wechselt, Pay-OK, also entweder du bezahlst für dein Meta-Aber-Normant

00:37:06: und dann verzichten wir auf Individualisierendes Tracking oder eben du klickst auf OK, gibst du uns deine Einwilligung in Individualisierendes Tracking?

00:37:14: Darf ich da mal ganz kurz einwirken?

00:37:17: Also mein letzter Stand war, das ist auch ein Teil, woran sich der ganze Konflikt entzündet, ist, dass Meta nicht sagt, wir verzichten aufs individualisierte Tracking,

00:37:27: sondern Meta sagt, du kriegst die Variante für 12,99 Euro, in der dir keine personalisierte Werbung mehr ausgespielt wird.

00:37:35: Also das ist für dich ein großer Unterschied, also meines Wissens verzichten Sie beim Pay-Nicht-Aus-Tracking nur auf das ausspielenpersonalisierte Werbung, also auf das Auswerten der Tracking-Daten quasi?

00:37:47: Das ist ein Punkt, der gemacht wird, ich sage nur ganz vorsichtig, es gibt natürlich auch Verlage, die trotz des Kaufes eines Abenormants auch weiterhin individualisierendes Tracking applizieren.

00:38:02: Also ich sage mal, so ist die Grundidee quasi zu sagen, bist du einverstanden, dann von des Tracking oder du zahlst und dann nicht.

00:38:15: Und die Aufsichtsbehörden haben sich auf jetzt den Kurs festgelegt, da ein bisschen einen Unterschied zu machen und zu sagen, es ist ein Unterschied, ob du eine Meta-Plattform bist, ob du ein großes soziales Netzwerk bist.

00:38:32: Dann, jetzt vereinfacht gesprochen, darfst du dieses Pay-OK-Modell so nicht einsetzen oder es ist ein Unterschied, ob du ein mittelständischer Verlag bist, dann darfst du dieses Pay-OK-Modell einsetzen.

00:38:46: Das ist vereinfacht gesprochen die Positionierung der Aufsichtsbehörden.

00:38:52: Ich finde sie ein bisschen schwierig, weil ich ehrlich gesagt da schon ein bisschen eine Rechtsfortbildung sehe durch die Datenschutzaufsichtsbehörden, die eigentlich Sache des Gesetzgebers ist, die argumentieren damit, dass es eben datenschutzrechtlich ein Unterschied mache, ob ich eine große Plattform bin oder ein mittelständisches Verlagshaus.

00:39:13: Das ist auch so ein bisschen aus, vor allem Großbritannien habe ich damals Kommentare gelesen zu sagen, so ein bisschen der Versuch der Aufsichtsbehörden auf der einen Seite das Meta-Modell anzugreifen, auf der anderen Seite den Verlagen dieses Modell offen zu lassen.

00:39:28: Und letztlich, wenn das jetzt die Gerichte zu entscheiden haben, die da die Standards zu setzen sind, ich befürchte nur, dass durch die Weigerung eine klare Entscheidung für das Modell oder gegen das Modell zu treffen.

00:39:41: Man am Schluss die eigene Argumentation an der Stelle dann schwächt, also dann wäre es aus meiner Sicht konsequenter gewesen zu sagen, wir verbieten es vollständig oder wir erlauben es vollständig.

00:39:51: So läuft man halt immer dann auch Gefahr quasi dem Gericht für die jeweilige Gegenposition gleich die Argumentation mitgeliefert zu haben, dass man sagt also den anderen kleineren hast du es doch auch erlaubt.

00:40:02: Das momentan dann der Gang der Dinge und da wird man dann das Verfahren gegen Meter weiter abwarten lassen.

00:40:09: Es ist auf jeden Fall natürlich jetzt erstmal für die Verlage die Möglichkeit, wie ihr ja auch beschrieben habt, jetzt auch in ich sage mal Übereinstimmung mit den Aufsichtsbehörden dieses Modell weiter fortfahren zu können und da auch wirtschaftlich entsprechend tätig sein zu können mit diesem Modell.

00:40:25: Ja, das ist ja das eine Katastrophe, wenn wir das nicht mehr hätten, dann würde halt der gesamte Content hätte die Paywall gehen.

00:40:33: Also wir machen das ja im Wesentlichen für die Sachen, die öffentlich zugänglich sind und damit alles hinter die Paywall gehen und ich bin auch eigentlich ganz sicher, ob das für die Demokratie so gut ist, wenn alle in Sachen von Verlagen nur noch hinter der Paywall sind.

00:40:45: Aber gut, das ist meine persönliche Sicht.

00:40:47: Ich würde sagen, wir gehen mal eine Runde weiter und schauen uns mal auf ein anderes wunderbares Thema, nämlich die Datenschutzerklärung.

00:40:53: Letztens in der Anwaltskünste eine Anfrage bekommt, von jemanden, der wollte eine kleine ländigen Page machen und hat uns gefragt, ob wir da mal schnell was machen können.

00:41:01: Da habe ich ihm gesagt, ja, aber der Gesetzgeber in seiner unendlichen Weisheit hat hier eine ganze Menge Sachen für dich vorgesehen.

00:41:07: Du musst eine in zweites Falle, weil er hatte auch Cookies, musst du da eine Länding-Page, Banna machen, dann brauchst du eine Datenschutzerklärung, du brauchst eine Impressum, richtig viel Spaß.

00:41:18: Datenschutzerklärung ist tatsächlich irgendwas, was ich auch glaube ich keinem empfehlen würde, selber zu schreiben.

00:41:23: Auch da gibt es, glaube ich, Vorlagen, ich weiß aber nicht, wie gut die sind.

00:41:26: Was muss denn eine Datenschutzerklärung für unsere Katzenfutter-Website, was müsste da so rein?

00:41:33: Du musst informieren über die Verarbeitungsvorgänge deiner Webseite und musst dann da auch entsprechend aufschlüsseln,

00:41:42: welche Web-Tracking-Tools beispielsweise in unserem Beispiel ja dann mit ConcentBanner dort eingesetzt werden,

00:41:48: auf welcher Rechtsgrundlage sie eingesetzt werden, an wen die Daten gegebenenfalls übermittelt werden.

00:41:54: Das heißt, du musst der betroffenen Person transparent machen, welche Daten erhoben, verarbeitet und gegebenenfalls weitergegeben werden.

00:42:05: Die Erklärung ist natürlich je knapper, je weniger du Tracking-Tools dort appliziert, aber natürlich, wenn du, ich sag mal, in größerem Umfang im Shop-Bereich dann da Dritt-Tools einsetzt,

00:42:17: dann wird die Erklärung natürlich schon auch entsprechend länger.

00:42:20: Selber basteln würde ich auch davon abraten.

00:42:23: Es gibt für kleine Shop-Betreiber eine ganze Reihe an Teils für den privaten, braucht sogar kostenfreien und für den kleinen gewerblichen Bereich zu kleiner Gebühr verfügbaren Generatoren,

00:42:35: die, ich würde sagen, für die kleinen Webseiten eigentlich schon eine gute erste Anlaufstelle bieten.

00:42:40: Wenn die Seiten natürlich größer und professioneller und das Tracking komplexer wird,

00:42:44: da empfiehlt sich dann, ich sag mal, individueller Rat natürlich dann auch an der Stelle.

00:42:48: Ja, wir schauen mal rein, was da so auf muss.

00:42:50: Da muss Name und Kontaktdaten des Verantwortlichen, Datenschutzbeauftragte, Zwecke und Rechtsgrundlagen der Datenverarbeitung.

00:42:58: Das kann natürlich ein sehr langer, sehr bunter Strauß werden.

00:43:01: Empfänger oder Kategorien von Empfängern der Daten, Informationen über die Übermittlung in Drittländer,

00:43:07: Dauer der Speicherung der Daten, Hinweis auf betroffenen Rechte, Hinweis auf das Beschwerderichte, auf die jeweilige Aufsichtsbehörde.

00:43:14: Und wenn man eine Website hat, die so komplex ist wie zum Beispiel heise.de mit sich unterseiten,

00:43:18: die dann auch zum Teil andere Dinge machen, also im Shop ist ja was anderes als eine Nachrichtenseite, wie die Startseite zum Beispiel.

00:43:27: Dann hat man da einen sehr, sehr, sehr langen Text, der finde ich mal ausgerechnet.

00:43:33: Und ich bin mir ziemlich sicher, dass das Ding schon wieder länger ist, dass es 14, das Datenschutzerklärung von heise ungefähr die Länge von 14 Prinzseiten in der CT hätten.

00:43:44: Hugo, würdest du es lesen, wenn es 14 Prinzseiten, wenn es in der CT wäre, liest du so was?

00:43:50: Wenn ich in der CT wäre.

00:43:51: Liest lesen, dass nur, wenn ich dafür bezahlt werde, also frage ich jetzt auch einen.

00:43:54: Sag mal so, also da würde ich, glaube ich, deinen Weg wählen und würde sagen,

00:43:58: JetGPT fasst mir das auf einer Dienervielseite zusammen ohne Informationsabstriche, obwohl du machst das wahrscheinlich mehr mit Perplexity.

00:44:06: Wie dem auch sei, also 14 Seiten würde ich auf keinen Fall lesen.

00:44:11: Es gab ja mal den Fall, wo ein Anwalt, glaube ich, ich glaube, es war ein AGB, ich bin mir nicht mehr ganz sicher,

00:44:18: dem ersten Leser, der auf diese Passage anspricht, eine Flasche Wein versprochen hat und ich glaube,

00:44:23: es hat ein Dreivierteljahr gebraucht, bis sich jemand meldete und den Wein eingenüstet.

00:44:27: Hätte auch mal unheimlich gerne eine Auswertung von online Wiefelmännchen auf unserer Datenschutzerklärung.

00:44:32: Und die ist so schön, da ist so viel Liebe drin, also einfach mal lesen, so einen Tag frei nehmen und dann.

00:44:37: Aber ich würde natürlich auch sagen, ihr seid natürlich schon auch ein besonderer Fall.

00:44:41: Ihr steht in besonderer Weise in der Öffentlichkeit.

00:44:43: An euch wurde auch das PayOK-Modell, ich würde sagen, konkretisiert und erprobt insofern.

00:44:52: Seid ihr vielleicht auch jetzt in besonderer Weise im Sonnenlicht der kleine Shopbetreiber von Holger?

00:45:01: Der kommt, glaube ich, dann schon, was weiß ich, seine Katzenfutterseite oder seine Webseite für die private Musikschule.

00:45:08: Der kommt dann, glaube ich, schon mit den Generatoren ganz gut weiter.

00:45:11: Das denke ich auch, ja, aber trotzdem nicht vergessen und trotzdem relevant.

00:45:15: Und nächster Punkt auf unserer Liste, Datenübermittlung in Drittländer.

00:45:22: Da fallen mir viele lustige Sachen ein.

00:45:25: Zum Beispiel die Diskussion rund um Google Analytics, die Massenabmahnwelle für Google-Fonds, die wir damals mal hatten.

00:45:34: Die allermeisten Sachen werde ich hier ja vermutlich auch, wenn ich das ordentlich mache,

00:45:39: mit einem gut formulierten und ordentlich gepflichteten Cookiebänder erschlagen konnte.

00:45:44: Da der Datenübertragung sagt, also wir bleiben jetzt mal bei USA als Beispiel.

00:45:47: Also um wieder, ich sage mal, den Hörer der kleinen Webseite im Kopf zu haben,

00:45:51: der sagt vielleicht, okay, ich will Google Analytics einsetzen.

00:45:54: Bei Google Analytics wird dann individualisiertes Nutzungsverhalten gegebenenfalls erfasst.

00:46:01: Vielleicht nutze ich das dann später auch, um über Google AdWords gezielt Werbung an den auszuspielen.

00:46:06: Brauch der Einwilligung des Betroffenen vorher.

00:46:10: Ich würde sagen, dieses Drittransfer-Thema, das damit ein außer-europäischer Datentransfer gegebenenfalls verbunden ist,

00:46:17: habe ich den Eindruck jetzt in der Diskussion der letzten Jahre, hat kein großes Thema mehr gespielt.

00:46:23: Nicht mehr so, nicht mehr so, nicht mehr so, nicht mehr so, ja.

00:46:27: Dann haben wir das Thema, das du aufgemacht hast, das gegebenenfalls bestimmte Drittdienste in die Webseite eingebettet sind,

00:46:35: von denen vielleicht auch der gängige Webseitenbetreiber einer kleinen Webseite vielleicht gar nicht so weiß.

00:46:41: Ein Thema ist das von dir angesprochene Google Fonds Thema, also das Laden kostenfreier Schriftarten,

00:46:48: um deine Webseite in schöner Schrift erscheinen zu lassen.

00:46:51: Wenn du Google Fonds standardmäßig einbindest, lädt es die Schriftart von einem Google Server.

00:46:57: Das heißt, jeder Webseitenbesucher, der auf die Webseite geht, dessen IP wird über Google Server geleitet,

00:47:04: um die Schriftart entsprechend laden zu können.

00:47:07: Das bedarf dann an sich wieder der vorherigen Zustimmung des Webseitenbesuchers.

00:47:11: Das ist ja auch eine Art von Tracking.

00:47:14: Wir waren bei den Facebook Business Tools oder Vita Business Tools und im Grunde genommen,

00:47:22: du bist ein Drittdienst an, der Drittdienst kriegt jeder Nutzung der Seite mit.

00:47:26: Genau. Jetzt gibt es für Google Fonds, weil man möchte ja zum einen vielleicht nicht dieses Tracking haben

00:47:31: und zum anderen, das mache ich mit den Nutzern, die dann auf "Nein" klicken,

00:47:35: die bekommen dann eine Webseite in einer schlechten Schriftart dargestellt.

00:47:38: Das heißt, eigentlich ohne Schrift, keiner Wahl gar nicht zugänglich.

00:47:43: Da ist die gängige Gestaltung, dass man die Schriftart von Google auf den eigenen Web-Server zwischenlädt

00:47:48: und dann vom eigenen Web-Server aus lädt.

00:47:51: Das heißt, ich kann durch eine gängige technische Umgestaltung weiter Google Fonds einsetzen,

00:47:56: ohne dass es aber den Datentransfer an Google gibt.

00:48:00: Wichtig ist, dass die Web-Agentur das weiß, die die Seite gegebenenfalls baut oder wenn man es selbst baut,

00:48:05: dass man das also so entsprechen darf.

00:48:07: Ja, da würde ich nochmal eine Lanze auch für die Webposter sprechen, die zum Beispiel Webseitbau-Kästen haben.

00:48:13: Also wie wir es beobachten, die geben sich da schon sehr viel Mühe, transparent zu sein,

00:48:17: auch wenn jetzt mal Externe-Dienste eingesetzt werden oder so.

00:48:20: Also ich spreche jetzt irgendwie von Jonas oder so von diesen Webpaustern, die da Fertiglösungen anbieten

00:48:25: und damit ja auch sehr aktiv zum Beispiel in die Fernsehwerbung versuchen, Kunden zu gewinnen.

00:48:30: Wo ich ein bisschen vorsichtig wäre, würde ich vielleicht aus technischer Sicht noch ergänzen,

00:48:33: ist jetzt, wenn man zum Beispiel selber ein Wordpress installiert und benutzt oder ein anderes CMS,

00:48:38: auch da kann es passieren, je nachdem, welches Park immer nutzt, dass man unter Umständen Drittdienste auf Drittdienste zurückgreift,

00:48:44: die dann und die Nutzer dann ohne es zu merken oder zu wollen Sachen von den Drittdiensten nachladen.

00:48:50: Da ist so ein bisschen vielleicht einfach mal ein bisschen Sensibilität gefragt und auch nochmal nachforschen,

00:48:57: was wird denn da eigentlich genutzt, das gleiche Dritt passiert natürlich bei jedem vorgefertigten JavaScript-Modulen,

00:49:03: was unter Umständen dann auch irgendwas nachlädt, was wovon dann gar nichts weiß.

00:49:07: Also ganz gedankengos sollte man nicht agieren, wenn man so eine Webseite aufsetzt,

00:49:12: sondern gerade mit dem Hinterkopf Achtung, DSGVO, schon ein bisschen schauen, was nutzt sich da eigentlich,

00:49:18: gerade wenn es um fertige Software geht.

00:49:20: Gibt es auch eine ganze Reihe von Crawlern im Internet mit Hilfe derer man dann eine Webseite überprüfen kann?

00:49:25: Das ist auch keine immer ganz genaue Wissenschaft, aber es gibt einem für die gängigen Tools

00:49:30: dann schon auch einen, die zu irgendwas geladen wird, was man hier nicht möchte.

00:49:34: Und um Jörgs Beispiel abzuschließen, also Schriftart, da gibt es eine Gestaltungsmöglichkeit.

00:49:39: Wenn du Videos einbindest oder Karten von Google, Google Maps Karte, YouTube Videos einbindest,

00:49:47: dann ist durch das bloße Einbinden des Videos ja dann auch schon ein Datentransfer an den jeweiligen Anbieter verbunden.

00:49:57: Da gibt es dann auch die Möglichkeit zu sagen, wenn der Webseitenbesucher auf Nein geklickt hat am Anfang in dem Konzentbanner,

00:50:07: dann diese Videos oder die Karten eben so einzubinden, dass mit dem ersten Aufruf der Datentransfer an Google oder YouTube oder Google Maps noch nicht gestartet wird,

00:50:19: sondern mit einem Overlay versehen ist, der das Laden verhindert und erst wenn da draufklickt wird das geladen.

00:50:25: Auch letztlich eine alte Thematik, wenn ich an die Social Media Like Button denke,

00:50:30: da hattet ihr damals ja bei Heise auch eine technische Lösung angeboten um dieses automatische Datenschutz.

00:50:37: Das würde ich noch holen, weißt du das?

00:50:38: Zwei Klicks für mehr Datenschutz, genau, die setzen wir ja auch noch ein und es gibt auch noch eine Reihe von anderen größeren Medienwebsites, die die einsetzen.

00:50:48: Ja, genau, aber also so viel zu dieser Drittransfer Thematik, wenn wir sie einwilligungsgestützt und transparent dargestellt machen,

00:50:57: dann hält das und es gibt eben eine Reihe von Tools wie zum Beispiel Google Fonts,

00:51:03: wo man mit technischen Möglichkeiten die Tools einsetzen kann oder ohne aber den Datentransfer an Google dann entsprechend zu ermöglichen.

00:51:15: Wunderbarer Übergang, ich glaube über Social Media Placken haben wir jetzt schon gesprochen.

00:51:18: Nächster Punkt auf unserer Liste wäre Tracking und Web-Analyse, haben wir schon insofern gesprochen, als das in den allermeisten Fällen einer Einwilligung bedarf,

00:51:27: nämlich im Rahmen von Cookie-Banner.

00:51:30: Was ist denn Sebastian mit den ganzen Anbietern, die einem versprechen und wir haben es vorhin von schon mal kurz gehabt,

00:51:39: als Thema die einem ganz versprechen, dass es Cookie-Less ist. Wir tracken Cookie-Less. Bin ich dann aus allem raus?

00:51:45: Wir haben ja eröffnet mit diesen zwei Gesetzen, wo du Holger gleich sagtest, oh Gott, ist das noch für Leute, die nicht Jura studiert haben, verständlich.

00:51:54: Also wir haben ja zwei Regelungsregime. Wir haben TDDG, schon der Name ist.

00:52:00: Also auf jeden Fall die Vorgabe, Cookies nur zu setzen, wenn zwingend für die Webseite erforderlich.

00:52:14: Und dann haben wir die DSGVO, die vereinfacht gesagt, individualisierendes Tracking braucht der Einwilligung des Webseitenbesuchers.

00:52:23: Wenn wir jetzt ein Tool einsetzen, das keine Cookies setzt, dann sind wir aus der ersten Stufe schon mal raus und müssen uns nur noch die Frage stellen,

00:52:34: ist es ein Tool, das individualisierendes Tracking ermöglicht?

00:52:37: Und da jörgst du deiner Frage, wenn du also ein cookie-freies Tracking-Tool einsetzt, das individualisiert Nutzerverhalten erfasst,

00:52:46: dann brauchst du die Zustimmung im Umkehrschluss, wenn du ein cookie-freies Tracking-Tool einsetzt,

00:52:52: das kein individualisiertes Nutzungsverhalten analysiert, dann brauchst du keine Zustimmung des Webseitenbesuchers.

00:52:59: Und da gibt es ja auch durchaus einige Anbieter am Markt, Open Source, wie auch bezahlte Angebote von Tracking-Anbietern,

00:53:10: die cookie-freies und nach Darstellung der Anbieter auch einwilligungsfreies, weil nicht individualisierendes Tracking ermöglicht.

00:53:20: Um das Bild komplett zu spannen, das heißt, wir haben schon die Möglichkeit,

00:53:25: aggregierendes Tracking auf Webseiten einzusetzen, ohne Einwilligung der Webseitenbesucher.

00:53:32: Das ist aber natürlich noch sehr rudimentär, also ich habe 10.000 Besucher auf der Seite.

00:53:37: Du hast 10.000 Besucher, du hast vielleicht eine regionale Aussage, kommen die aus Deutschland,

00:53:45: kommen die aus Amerika, was weiß ich, du kannst sowas anzeigen wie Seitenverweildauer.

00:53:52: Du kannst jetzt nicht individualisiert sagen, das ist der Nutzer aus der Stadt und du kannst

00:53:57: keinen Rietargeting zum Beispiel applizieren, du kannst den nicht mit Werbung durchs Internet verfolgen,

00:54:01: wenn er deine Webseite verlassen hat, aber du bekommst eine allgemeine Aussage über das Webseitenbesucher.

00:54:07: Und meine Erfahrung nach, gerade bei den kleinen Webseiten ist das eigentlich das,

00:54:13: was die meisten Webseitenbetreiber interessiert, also das ist durchaus eine,

00:54:19: ich würde sagen, in der Praxis unterschätzte Variante. Ich glaube, es gehört so bei der Webseite

00:54:24: so zum guten Ton, dass man ein Konzentbanner hat und dann wird ein Konzentbanner draufgeknallt

00:54:30: und da wird vielleicht ein Tracking-Tool appliziert, das man aber eigentlich gar nicht braucht,

00:54:34: weil vielleicht auch das ganze Thema ein bisschen zu kompliziert ist und man muss halt tiefer einsteigen,

00:54:40: um zu verstehen, dass es da eigentlich auch für den eigenen Nutzungsfall vielleicht auch kuckifreie,

00:54:46: konzentfreie Alternativen gäbe. Mittlerweile ist es ja schon so, wenn du kein Kucki-Banner entgegenstickt

00:54:53: bei einer Webseite denkst du, das aber war es faul. Aber Sebastian, ganz kurz eine Nachfrage,

00:55:01: vielleicht hast du eine Antwort vielleicht nicht. Hast du irgendwelche konkreten Tipps für Tools,

00:55:07: die du in deiner Praxis schon erlebt hast, die du okay findest, also es gibt ja eine Reihe von

00:55:12: Kucki-Lest-Jacking-Tools, die auch auf Open Source Basis dabei sind. Also die zwei Namen,

00:55:19: die mir sofort einfallen, sind Matomo Piwik und E-Trecker. Wie hast du die beide angeguckt,

00:55:25: sind beide okay? Es kommt bei beiden auf die Einstellungen an, die du bei beiden wählen kannst,

00:55:31: aber aus meiner Sicht sind die beide für diesen Einwendungsfall entsprechend konfigurierbar.

00:55:38: Es gibt auch noch andere. Holger Frager hat für die Großkunden ein entsprechendes Produkt,

00:55:46: das du Kucki-Lest und mit aggregierten Daten kombinieren kannst. Also da gibt es viele Anbieter,

00:55:54: aber die zwei, auch für die Zielgruppe, die wir hier so im Kopf haben, sind wahrscheinlich die,

00:56:00: die als erstes genannt werden. Was man auch machen kann und was ich vielleicht an der Stelle

00:56:05: erwähnen sollte, ist, du kannst auch das individualisierende Tracking und das Tracking mit

00:56:13: einem kuckifreien, aggregierten Tracking-Tool kombinieren. Was will ich sagen? Du hast ja,

00:56:18: wenn du ein Tracking-Tool einbaust, das kuckifrei erfasst und mit aggregierten Daten, wo du keine

00:56:25: Einwilligung brauchst, dann hast du da 100 Prozent der Nutzerdaten drin. Wenn du ein Tracking-Tool

00:56:30: einbaust, wo du die Einwilligung brauchst, dann hast du nur einen bestimmten Prozestsatz,

00:56:34: der Nutzer, die halt eben auf Einwilligung klicken. Das heißt, du weißt aber nicht,

00:56:40: wie viel 100 Prozent der User hatte ich. Es ist nicht so, dass du nur das eine oder das andere

00:56:46: einsetzen kannst. Du kannst das durchaus kombinieren. Du kannst also sagen, ich will, um die Gesamtheit

00:56:51: der Nutzerzahl erfassen zu können, setze ich auf ein einwilligungsfreies Tool und dann schalte

00:56:59: ich noch für jene, die zugestimmt haben, eben das entsprechend individualisiertes Nutzerverhalten

00:57:06: auslesende Ton hinzu. Wir bieten noch den Übersetzungs-Service, das TDDD ist das Telekommunikations-Digital

00:57:16: dienste Datenschutz-Gesetz und das unterscheidet sich vom den Vorgängern, die im Wesentlichen

00:57:23: den gleichen Inhalt hatten, dadurch das Telemedien jetzt nicht mehr Telemedien heißen, sondern

00:57:28: digitale Dienste. Was an der Einführung des DSA liegt, weil wir ja auch in digitale Dienste

00:57:34: gesessen in Deutschland haben und in dem zugehat man damals diese ganze Nomenklatur angepasst,

00:57:38: glaube ich. Ich ehrlich sagen, ich fremde immer noch hart damit. Letzter Punkt auf unserer Liste,

00:57:46: dass wahrscheinlich gar nicht so in die Tiefe gehen wäre, mangelnde Sicherheit der Datenverarbeitung.

00:57:53: Das heißt, ich habe natürlich datenschutzrechtlich auch die Pflicht geeignete technische und organisatorische

00:57:58: Maßnahmen für meine Website zu ergreifen, die, wie das grundsätzlich so ist, eine Rateko 32,

00:58:05: DSGVO, je höher sind, desto höher das Risiko letztendlich der Verarbeitung der Daten ist,

00:58:12: sei es durch besonders sensible Daten. Das ist jetzt bei Katzenbesitzern vielleicht nicht unbedingt,

00:58:15: aber wenn es jetzt irgendwas Krankheiten ging oder so, Menge der Daten und Ähnliches. Das heißt,

00:58:22: ich muss ein paar Sachen für die Website eben aus technischer Sicht angehen, die Datenschutz

00:58:27: aus dem Datenschutz kommen. Und der erste Punkt, und jetzt hat sie auch ziemlich hart durchgesetzt,

00:58:33: ich gar nicht gedacht, ist Verschlüsselung, also SSL, TLS, Verschlüsselung erkennbar an dem HTTPS,

00:58:41: ich sehe glaube ich kaum noch was ohne, ich glaube, da gibt es jetzt auch direkt eine Warnung von den

00:58:45: Browser. Das wäre der erste Punkt, dann haben wir so ein bisschen Privacy bei Design, wahrscheinlich in

00:58:53: der Praxis nicht so richtig ausgeliebt, wie sein könnte, dann natürlich, und das haben wir ja

00:59:01: häufig, wenn was schiefgegangen ist, Schutz vor unbefugtem Zugriff, also Scraping, Fälle,

00:59:08: dein Server ist offen. Hier brauche ich natürlich auch entsprechend eine Maßnahme und dann,

00:59:12: last but not least, habe ich die Meldepflicht bei Datenpannen, die auch, glaube ich, hart zu

00:59:17: beachten ist, also das kenne ich aus, glaube ich, relativ wenig Gnade, wenn das jetzt hier nicht

00:59:21: erfolgt, obwohl es ein offensichtlicher Fall ist. Habe ich was vergessen, Sebastian? Ich versuche

00:59:28: es ja immer so ganz einfach unterzubrechen, das sind aus meiner Sicht drei Themen noch. Backup

00:59:34: Management, also kümmere dich um strukturierte regelmäßige Backups der Seite. Zweitens Patch

00:59:41: Management, habe einen Prozess, die Seite auf aktuellem technischen Stand zu halten und das

00:59:48: dritte, zwei Faktor-Authentifizierung, sichere deine Zugänge, gerade ins Backend der Webseite,

00:59:54: alle mit einem zweiten Faktor ab. Also die drei Empfehlungen, Wünsche an jeden Webseitenbetreiber.

01:00:02: Ich würde noch ganz kurz ergänzen, weil Jörg, wenn du dich richtig erinnerst, wir hatten mal

01:00:07: auch mehrere Mal Silvester, schon hier Silvester-Tremel und dann ein Kollegen von High Security, der immer

01:00:14: wieder erstaunlicherweise berichtet, dass es immer noch zum Beispiel Passport-Datenbank gibt, die nicht

01:00:19: gesoltet sind. Also die, wo nicht einfach, wo Passport-Hashes drinstehen, die man nicht zurückführen

01:00:24: kann, sondern dass es immer noch Unternehmen gibt, die Passport im Klartext in irgendeiner Datenbank

01:00:29: speichern und sich dann bremmen, wenn diese Datenbank gehackt wird, dass die Passworder dann im

01:00:33: Lauf kommen, weil eben keine Hashes da sind. Das vielleicht noch als Hinweis, Passworder niemals

01:00:39: never ever, und wir reden ja hier von dem Webshop, das heißt, es wird Passworder geben, never ever

01:00:44: im Klartext irgendwo in der Datenbank ablehnen. Oh, da fehlt mir noch ein letzter Punkt ein,

01:00:48: wo es, glaube ich, gerade jetzt auch, ich meine irgendwo, wo es Geld gab, Gast-Tops. Das finde ich ja

01:00:54: nach wie vor eine relativ, eine Gastzugängerschuldigung, nicht Gast-Tops. Gast-Zugäng finde ich

01:00:59: nach wie vor fremdlich ein bisschen mit, aber es gibt wohl tatsächlich zumindest nach Ansicht der

01:01:03: Aussichtsbehörden, die Pflicht, dass ich meinen Shop oder so mehr unserer Katztuhr haben möchte,

01:01:10: dass ich das auch über einen Gastzugang bereitstelle und es also nicht zwingend erforderlich ist,

01:01:17: ich Wort Passworder, dass ich mich dann zu melden habe. Kannst du dich an das, kannst du dich an

01:01:24: das Oter erinnern, Sebastian? Ich meine es gerade irgendwo. Es gibt ein Positionspapier der

01:01:29: Aufsichtsbehörden, die sagen, dass Webseitenbetreiber von Shops verpflichtet sein, bei der Durchführung

01:01:39: von Bestellungen nicht zwingend einen Account anzulegen, sondern auch eine Bestellung als Gast,

01:01:46: ohne quasi das ein fester Account, über den man sich einloggen kann, angelegt wird,

01:01:51: möglich sein muss. Ein bisschen ein Novum, würde ich sagen, so in der europäischen Datenschutz-Szene,

01:01:58: was die Aufsichtsbehörden angeht. Es gab ein Urteil in Norddeutschland, das ULG Hamburg.

01:02:05: Dankeschön, dass da eine ganz andere Rechtsauffassung vertreten hat, also die Kaufleute in Hamburg,

01:02:13: das Gericht gesagt, die sind schon frei zu entscheiden, ob sie einen Gastzugang zur Verfügung

01:02:20: stellen oder nicht. Es ist auch durchaus so, dass diese Praxis in anderen europäischen Ländern

01:02:26: ganz anders gehandhabt wird. Also nicht jede Aufsichtsbehörde scheint da diesen deutschen Weg zu

01:02:33: teilen. Ich finde ehrlich gesagt die Argumente auch nicht zwingend aus der DSGVO hinaus. Also ich

01:02:41: verstehe, dass es, was man sagt, es mag sinnhaft sein, die Nutzer nicht dazu zu zwingen, Gastaccounts

01:02:48: anzulegen. Aber das ist so ein bisschen das Argument, das du vorher auch genannt hast. Dann

01:02:53: Besucher halt unsere Webseite nicht. Also kann man wirklich all das aus der DSGVO generisch

01:03:00: herauslesen. Ich bin mir da ehrlich gesagt nicht so sicher. Also ich fremdele ein wenig mit dieser

01:03:04: Position. Aber ja, diese behördliche Ansicht gibt es dort. Sie ist auch durch das Hamburger

01:03:11: Urteil oder nach dem Urlbier Hamburg Urteil auch nicht weiter verändert worden. Also ich gehe nach

01:03:19: aktuellem Stand auch davon aus, dass die Aufsichtsbehörden weiter in ihrer Rechtsauffassung

01:03:23: dort festhalten. Zwei Filme muss man dann halt riskieren, das mit seiner jeweiligen Aufsichtsbehörde

01:03:30: dann auch vor Gericht auszufächten. Ich lehse das nicht raus. Aber unser Katzenfutter ist so gut,

01:03:40: dass es nur bei uns gibt. Deswegen ist es für uns jetzt hier vielleicht schon rüberwandt und

01:03:44: damit sind wir auch durch. Aber ich glaube, es reicht auch. Du hast natürlich mal, wenn ich was

01:03:49: beenden will, eine Frage. Also nur weil wir das auch in Vorgespräch besprochen hatten,

01:03:58: wir haben es hier in den Podcast immer mal wieder in mehreren Episoden vom Datenschutz in

01:04:03: der Schublade gehabt. Nämlich von solchen Dingen wie Verfahrensverzeichnissen unter Umständen,

01:04:08: vielleicht auch Datenschutzfolgeabschätzung oder sowas. Wenn ich jetzt ein kleiner privater

01:04:13: Website beteilbar bin oder sagen wir mal, ich habe diesen kleinen Katzenshop oder ich bin

01:04:17: im Verein, muss ich jetzt mir wirklich ganz ganz viel Gedanken machen um dieses Verfahrensverzeichnissen

01:04:25: oder kann ich es da auch eher darauf ankommen lassen? Natürlich willst du niemals sagen,

01:04:28: lasst es drauf ankommen. Würde ich glaube, ich keinen Berat haben. Ja, das kann ich.

01:04:34: Ich leite mal so ein, dass ich noch kein Verfahren um Bannergestaltung gesehen habe,

01:04:44: wo dann auch zugleich nach dem Verzeichnis der Verarbeitungstätigkeiten gefragt wurde.

01:04:49: Ich glaube, da muss man auch sehen, welche Ressourcen haben die Aufsichtsbehörden und wie

01:04:54: setzen sie diese sinnhaft ein und das tun sie, indem sie zum einen, das muss man ihnen wirklich

01:05:00: lassen, deutlich erklärt haben, wie sind aus ihrer Sicht die Anforderungen für ein datenschutzkonformes

01:05:09: Banner und das tragen die in die Breite und die Köpfen einen auch nicht, wenn man ein kleiner

01:05:14: Website betreibt und dann Fehler macht, sondern man behebt das, man schreibt den und die schließen

01:05:20: die Akte. Also, da hat die Aufsichtsbehörde schon, macht schon einen Unterschied, habe ich Meter

01:05:25: vor mir oder einen Verlag oder einen riesengroßen Shop oder den kleinen Shopbetreiber um die Ecke

01:05:32: oder die kleine Musikschule. Also, nur um das Bild auch gerade zu richten. Die Aufsichtsbehörden

01:05:40: bieten darüber hinaus auch Vorlagen fürs Verzeichnis der Verarbeitungstätigkeiten an. Da gibt es ja

01:05:45: auch mittlerweile viel, auch kostenfreies Material an Vorlagen, auch von den Aufsichtsbehörden,

01:05:51: sogar Vorlagen, die sich an Soloselbstständige, an kleinen Unternehmen und so weiter richten, wo die

01:05:57: Vorlagen drin sind. Also, das ist jetzt auch nicht riesenkomplex an der Stelle. Darüber hinaus

01:06:03: steht das Verzeichnis der Verarbeitungstätigkeiten, ja, was die Kleinen angeht oder hin mit einem

01:06:09: Fragezeichen muss ich es überhaupt. Wird die Schwelle auch nochmal angepasst gerade? Also,

01:06:15: ich glaube, dass in der Praxis jetzt nicht ein Riesenstress und das Verzeichnis der Verarbeitungstätigkeiten

01:06:20: für die Webseite angeht. Wenn man sich dem Thema stellen möchte, gibt es da aber auch von den

01:06:26: Aufsichtsbehörden gestellte Vorlagen dafür. Für die, die das dem Begriff nicht kennen können, es gibt

01:06:32: die Vorgabe in meinen Worten, die Kernverarbeitungstätigkeiten einer Organisation schriftlich zu

01:06:39: dokumentieren, damit man einen groben Überblick über die Kerndatströme im eigenen Haus hat und die

01:06:45: größer das wird, desto wichtiger wird dieses Thema, um damit auch seine Datenschutzprozesse dann auch

01:06:51: steuern zu können. Ja, also, ich glaube es ist generelle Geschichte, wenn ich nach aus das Bälle

01:06:56: zeige, ich habe mich bemüht, ich habe was gemacht, so, dann werden die einem nicht, wie du es schon sagst,

01:07:01: was denn, wenn die einem nicht den Kopf abreißen, sondern einen vielleicht sogar, wenn ich jetzt

01:07:04: vereint bin, bin ich mir auch sicher, wenn die einen sogar unterstützen. Aber wenn ich jetzt Datenschutz

01:07:10: völlig ignoriere, dann gibt es halt so. Aber und es gibt ja, wie wir jetzt am Hand gesehen haben,

01:07:16: und wenn Horger jetzt nicht nur eine Frage hat, würde ich das Ende jetzt dann mal einhalten,

01:07:19: das genug zu tun, wie wir, wie wir gelernt haben, also es gibt durchaus einige Herausforderungen

01:07:26: vom Cookie-Banner über Datenschutz-Export, über, was haben wir noch, Einbietung von Social Media,

01:07:34: Plug & Tracking, mangelnde Sicherheit, das sind schon Herausforderungen, gerade für so eine kleine

01:07:41: Website wie unsere Katzenfutterseite. Aber jetzt sind wir ja gut informiert und deswegen nochmal dir,

01:07:47: Sebastian, recht herzlichen Dank für den Einblick, schön, dass du da warst. Und mir auch vielen Dank.

01:07:54: Auf jeden Fall bin ich jetzt erstmal ganz stolz, dass ich darauf verzichtet habe,

01:08:01: die allerletzte Frage zu stellen. Ansonsten war ich noch auf unsere Kontaktmöglichkeiten hin.

01:08:12: Ihr erreicht uns via e-mail an auslegungssachect.de oder diese und alle vorigen Folgen findet ihr

01:08:21: unter ct.de/auslegungssache, wo dann auch ein eigenes Forum für die Episode eingerichtet ist.

01:08:28: Und man kann es heute im Web-Stream hören oder natürlich findet man uns unter auslegungssache

01:08:33: bei allen gängigen Podcast-Plattformen und auch bei Spotify zum Beispiel. In diesem Sinne würde

01:08:40: ich auch sagen vielen Dank, Sebastian. Wir beide verabschieden uns in unseren wohlverdienten Urlaub.

01:08:48: Und sind dann Anfang September wieder da. So ist es. Danke euch. Ich habe einen schönen Urlaub.