Wirtschaftsvorteil Datenschutz?
Transkript anzeigen
00:00:03: Auslegungssache, der CT Datenschutz Podcast.
00:00:14: Hallo und herzlich willkommen in der Auslegungssache, heute mit Episode onehundertzweiundfünfzig.
00:00:20: Wir zeichnen auf am zweiten, zweiten, zweitausendsechsten zwanzig.
00:00:24: Und mein Name ist Holger Bleich, ich bin Redaktor bei CT, dem Magazin für Computertechnik aus Hannover, das auch diesen Podcast hier ermöglicht und produziert.
00:00:34: Jetzt kann ich es endlich auswendig.
00:00:36: Jörg, du bist das nächste Mal, bist du mal da, da musst du das mal sagen.
00:00:40: An meiner Seite ist nämlich, wie steht's, Jörg, wie man dem hintergrund schon gehört hat, hallo Jörg.
00:00:44: Hallo Olga, ich du mich ganz so nachts um drei Uhr weg, hallo und herzlich willkommen in der Auslegungshardium, CD-Datenschutz-Podcast.
00:00:51: Das kann ich gut, ich glaube meine Frau ist ziemlich erschrocken, wenn ich das nachts mache.
00:00:58: Ja, herzlich willkommen.
00:01:00: Wir freuen uns, dass es wieder losgeht.
00:01:01: Wir haben einen prominenten Gast und ein spannendes Thema und würde sagen, wir fangen einfach
00:01:06: mal
00:01:07: an.
00:01:09: Unser Thema heute ist, wir haben es mal genannt, als Arbeitstitel Wirtschaftsvorteil Datenschutz.
00:01:15: Ich habe mir erlaubt, das mit einem großen Fragezeichen zu versehen, während unser Gast das mit einem großen Ausrufezeichen versehen hat.
00:01:22: Denn es ist der Ähm, bin ich gerade der Job unseres Gastes, aber es gehört schon seinen Aufgaben auch positiv, den guten Weib des Datenschutzes zu verbreiten.
00:01:34: Herzlich willkommen, Frederik Richter.
00:01:36: Schön, dass du da bist, Vaterik.
00:01:38: Hallo, lieber Jörg, lieber Holger, das Prominentadjektiv, lass ich mal dahinstehen.
00:01:42: Aber Gast bin ich sehr gerne bei euch.
00:01:45: Das war ich schon mal und immer gerne wieder.
00:01:47: Zweimal warst du schon Gast.
00:01:49: Einmal in der Echtaufzeichnung und einmal so, ich habe mir nachgeschaut.
00:01:53: Das war auch schon wieder lange her.
00:01:57: Ich darf dich kurz vorstellen, du bist, also euch und wahrscheinlich jedem im Bereich des Datenschutzes bekannt, im Vorstand der Stiftung Datenschutz.
00:02:06: Du hast Jura studiert in Hamburg und hast einen Magisterstudiengang, LLM-Studiengang Informationsrecht in Wien und Hannover.
00:02:14: Es scheint mir ein sehr bekannter, mir sehr bekannter Gang zu sein.
00:02:19: Du warst dann Referent- und Datenschutzbeauftragte des Bundesverbandes der deutschen Industrie, warst im Deutschen Bundestag, Berater und wurdest, das war auch schon eine lange Zeit, inzwischen im Jahr zwei Tausend Dreizehnt zum Vorstand, der von der Bundesregierung seinerzeit neu gegründeten Stiftung Datenschutz berufen.
00:02:39: und du sitzt in verschiedenen Beiräten, Beratungsgruppen, bist Autor und bist, glaube ich, auch den meisten bekannt als durch die Veranstaltung, die er so macht.
00:02:47: Und im Datenschutz politischen Berlin gehört es deine Aufgabe, dass man dir häufig begegnet.
00:02:56: Haben wir kurz vor Weihnachten wie das letzte
00:02:58: Mal.
00:02:59: Ja, stimmt.
00:03:00: Schön, dass du da bist.
00:03:01: Und als dich ein Dich, der du so einen guten Überblick hast, wie ist denn die Lage im Datenschutz Anfang?
00:03:13: Gebrauche um gern diese Kriegsmetaphern.
00:03:14: Deswegen trotzdem ist es eine Abwehrschlacht oder ist es ein Hurra vorwärts.
00:03:20: Wie siehst du das?
00:03:22: Also ich würde sagen, die Lage im Datenschutz Anfang sixundzwanzig ist doppelt bewegt oder mehrfach bewegt.
00:03:30: Wir haben einerseits Bewegung im deutschen Bereich, wo wir über die Strukturen des Datenschutzes sprechen, stichwort Zentralisierung der Datenschutzaufsicht.
00:03:41: Das hat die vorgängige Koalition auch schon mal hervorgebracht, das Thema aber jetzt scheint es ernster zu werden.
00:03:48: Und was noch viel revolutionärer oder bewegender ist, ist die Diskussion um die Grundlagen des Datenschutzes, die Reform des Materiellen in Datenschutz rechts.
00:03:57: Die DSGVO soll nicht nur angefasst, sondern aufgemacht werden, in welchem Umfang das ist noch nicht bekannt, aber dass sie angefasst werden wird.
00:04:06: Das ist auf jeden Fall wohl feststehend und das ist eine Neuerung gegenüber dem halben Jahrzehnt zuvor, wo alle gesagt haben, diese DSGVO steht noch in hundert Jahren sozusagen dieser Gestalt, wie sie das Licht der Welt erblickte und das sorgte für viel Streit.
00:04:22: Die einen haben gesagt, sie ist viel zu lasch, die anderen haben gesagt, sie ist viel zu streng und die Wahrheit liegt wie immer dazwischen.
00:04:28: Aber jetzt kommt tatsächlich Bewegung in die Sache, also spannende Zeiten im Datenschutz.
00:04:33: Die FDP hätte damit gerechnet, dass die DSGVO jemals angefasst wird, dass alle haben erwartet, dass die Diskussion darüber so toxisch ist, dass sich da keiner antraut.
00:04:43: Ich meine, die Diskussion nehme ich durchaus als etwas toxisch waren, nicht so ganz furchtbar schlimm, wie ich es mir erwartet hätte.
00:04:51: Aber wie du sagst, von ist viel zu lasch zu, das ist das Ende des Datenschutzes, wie wir ihn kennen, oder ist es überhaupt das Ende des Datenschutzes?
00:04:57: Es ist glaube ich alles dabei.
00:04:58: Ich weiß nicht, wie nimmst du das mal?
00:05:01: Ja, natürlich, sehr genau so.
00:05:02: Und dann haben wir noch den Elefanten im Raum, muss man einfach sagen, ist die KI, die ja auch jetzt auf die Reformen großen Einfluss nimmt.
00:05:10: Wir haben ja einige DSGVO-Änderungen, die da in das Omnibus-Paket eingeschnitten wurden, die auch eindeutig eine Reaktion auf die Entwicklung in der generativen KI zu sehen sind.
00:05:23: Da kommt noch einiges mehr auf uns zudenkig.
00:05:25: Es wird, das ist halt im Moment so ein Moving Target, das ist glaube ich auch für den Gesetzgeber in Brüssel so unendlich schwer ist.
00:05:33: Also der Stand, wo man sich das Omnibus, der Paket ausgedacht hat, der ist schon wieder vier Monate her.
00:05:39: In den vier Monaten haben sich schon wieder Dinge geändert und haben sich, ich meine ich habe mich zum Beispiel gerade mit der ganzen AI-Slop-Problematik beschäftigt und hat festgestellt, da ist noch gar nichts gesetzlich adressiert.
00:05:50: Das beschrifft jetzt nicht unbedingt den Datenschutz, aber es sind so viele neue Phänomen im Moment auf dem IT-Sektor zu sehen, dass ich das so wahnsinnig schwer finde, sowas dann in adäquater Zeit, in Gesetze oder Gesetzesänderungen umzumünsten.
00:06:07: Ich weiß nicht, wir haben früher immer gedacht, das Internet ist jetzt da und jetzt können wir uns darum kümmern, es zu regulieren und dann bleibt es so.
00:06:16: Aber dass es jetzt Wiederänderungen gibt, die manche ja sogar im Bereich der Erfindung des Buchdrucks sehen, von der Gravitas her, von der Schwere her und vom Impact her, das stellt uns wieder vor eine völlig neue Herausforderung und insbesondere auch den Datenschutz.
00:06:32: Weil der ist überhaupt noch nicht dafür präpariert, wie man damit umgehen soll.
00:06:36: Also das, was du sagst, während der Gesetzgeber noch eine Antwort auf technologische Neuentwicklungen sucht, entwickelt sich die Technologie schon wieder weiter.
00:06:46: Und zwischen Ergebnisse haben schon wieder keinen Bestand mehr.
00:06:49: Das war ja gerade einer der Beweggründe, warum die DSQVO Technologie neutral ausgestaltet werden sollte, damit sie eben nicht auf jede technische Neuerung reagieren muss.
00:06:58: und über die Zeit her, da kann man darüber gesprochen, ob es eigene Vorschriften für Blockchain geben soll, ob es eigene Vorschriften für Big Data geben soll.
00:07:07: KI ist jetzt so ein bisschen die Nachfolgerin von Big Data, da spricht kein Mensch mehr drüber.
00:07:12: Viele nehmen das gerade als Beleg, dass wir es eben nicht reinschreiben, eine bestimmte Technologie und die versuchen zu regulieren.
00:07:19: Das machen dann ja die KI-Verordnung.
00:07:21: Aber trotzdem muss der Datenschutz natürlich antworten und schämigen, dass KI-Training verlässlich legalisieren zu können.
00:07:27: Sonst kann es wirklich problematisch werden im globalen Wettland.
00:07:31: Also wenn ich das richtig verstanden habe, ist im Moment die Antwort in Brüssel darauf, diese neue Art der Gesetzgebung, wie sie auch mit dem AI-Eigt eigentlich das erste Mal so richtig durchgezogen wurde.
00:07:40: Das hat man bei der Bei der Grundverordnung ist ja keine Grundverordnung mehr, sondern eine Verordnung.
00:07:46: Man hat das damit gelöst, dass man wirklich nur noch grobbe Rahmenbedingungen reinschreibt.
00:07:53: An denen kann man viel rumkritisieren.
00:07:54: Das haben wir ja schon gemacht, Jörg.
00:07:55: Ich sehe das genau wie du.
00:07:57: Aber dass man unheimlich viel in Rechtsaktor auslagert.
00:08:00: Dass die Kommission unheimlich viel im, auch wenn das Gesetz schon verabschiedet ist, nachträglich korrigieren und ändern kann.
00:08:06: Also, wir sehen jetzt diese ganzen Code of Practice, Code of Conduct, zum Beispiel, die natürlich keinen rechtsverbindlichen Status haben, aber bei der DSGVO war sowas ja nicht vorgesehen.
00:08:15: Man stelle sich mal vor, die DSGVO wäre damals erlassen worden oder wäre in Kraft gedreht oder wirksam geworden.
00:08:21: in den Jahr zwei Tausend Achtzehn.
00:08:22: Und erst irgendwie, keine Ahnung, ein Jahr später wären dann die ersten konkreten Compliance aus Julian gewesen.
00:08:29: Wie soll ich es denn überhaupt verstehen?
00:08:30: Was meint denn der Gesetzgeber da?
00:08:32: Unser ähnliches ist ja als bei der KI-Verordnung.
00:08:34: Und das scheint ja der neue Weg zu sein.
00:08:36: Man sagt halt einfach, wir definieren es die Rechenleistung.
00:08:39: Oh, in einem Jahr ist aber die Rechenleistung schon wieder verdoppelt.
00:08:42: Dann machen wir einen neuen derlegierten Rechtsakt und definieren das jetzt wieder um.
00:08:46: Aber genauso hat sich die Kommission das bei der DSG vorgestellt.
00:08:50: Als sie vorgeschlagen hatte, sich an siebzig Stellen die Berechtigung einzubauen, die Details nachzuliefern.
00:08:58: Das wurde dann massiv zurückgestutzt auf unter zehn Stellen und teilweise ist das auch ausgeblieben.
00:09:04: Der delegierte Rechtsakt zu den Pictogrammen im Datenschutzen gibt es bis heute nicht.
00:09:10: Gut, da werden wir gleich wieder einsteigen.
00:09:13: Bevor wir da einsteigen, wie immer an dieser Stelle,
00:09:16: das Bußgeld der Woche.
00:09:20: Unser Bußgeld der Woche kommt heute aus
00:09:24: Spanien.
00:09:26: Und da hat die spanische Aufsichtsbehörde die, ich kann kein spanisch, ID, CQ, Hospitales, Sanidad verurteilt oder bzw.
00:09:36: hat ihr ein Bußgeld.
00:09:38: verhängt und zwar in der nicht ganz unerheblichen Höhe von zwei Millionen Euro.
00:09:45: Worum geht's?
00:09:46: Und das haben wir ausgesucht, weil wir es wirklich sehr skurril fanden.
00:09:50: Es geht ausnahmsweise mal darum, dass Daten zu
00:09:52: kurz
00:09:53: gespeichert wurden.
00:09:54: Also wir haben, glaube ich schon, zig Bußgelder gehabt, wo die Daten in alle Welt entlassen wurden.
00:10:00: Wir haben schon zig Bußgelder gehabt, wo Daten viel zu lange gespeichert werden.
00:10:04: Dass wir Daten zu kurz gespeichert werden, hatten wir tatsächlich noch nicht.
00:10:07: Was war, worum geht's?
00:10:08: Auslöser war hier die Vernichtung einer Patienten-CD mit MRT-Aufnahmen nach nur wenigen Monaten.
00:10:17: Und darüber hatte sich der Betroffene beschwert und
00:10:22: die
00:10:24: bansche Behörde hat es bewertet.
00:10:25: Zunächst mal als Verstoß gegen Artikel neun Daten.
00:10:29: Denn das Krankenhaus löschte irreversibel, sensibel Gedundheitsdaten.
00:10:34: und hatte dafür keine Rechtsgrundlage nach Ansicht der Behörde.
00:10:41: Das heißt, die Vernichtung dieser besonders geschützten Datenkategorie war unbefugt und rechtswidrig und das war schon eine Million von diesen, eine Million.
00:10:50: Dann gab es noch einen Verstoß gegen Artikel sechs.
00:10:53: Es fehlte nämlich eine tagfähige Rechtsgrundlage für die vorgenommenen Datenverarbeitung.
00:10:59: Da wurde gesagt, die bloße Information über eine einmonatige Abholfrist legitimiert die Datenvernichtung als solche nicht.
00:11:07: Und, alles Last but not least, ein Verstoß gegen Artikel twenty-fünf, DSGVO.
00:11:13: Die Behörde rügte das Fähren von Privacy by Design und von strukturellen Verfahren hier hinsichtlich des Umgangs mit diesen Daten.
00:11:23: Da wurde dem Krankenhaus vorgeworfen, dass es über keine angemessenen Prozesse für den Umgang mit mit diesen klinischen Dokumenten verfügt hat.
00:11:32: Wie gesagt, sanktionshöhe, eins, zwei Millionen.
00:11:35: Davon enthält eine Million allein auf die mangelhaften organisatorischen Schutzmaßnahmen und vielleicht noch kleine Ergänzung dazu, weil ein spanisches Spezialgesetz, wir können sagen ein spanisches Spezialgericht, nein, klinische Dokumente müssen laut einem spanischen Gesetz mindestens fünf Jahre lang sicher aufbewahrt werden.
00:11:57: Die Missachtung dieser Vorgabe wertet die Spanischwürde als grobe berufliche Fahrlässigkeit.
00:12:03: Ich war erstaunt.
00:12:05: Einwohnete es vielleicht ein bisschen sehr schnell.
00:12:08: Aber die Hochschrift dieses Unterlagen fünf Jahre aufzubewandt, finde ich auch irgendwie ein bisschen
00:12:13: merkwürdig.
00:12:14: Heulerik oder Holger, Holger meldet sich.
00:12:17: Holger, was sagt denn dein Bauchgefühl?
00:12:20: Na ja, vielleicht sollte man noch ergänzen.
00:12:22: Ich habe nicht den ganzen Bericht gelesen, bzw.
00:12:24: den ganzen Bescheid, es sind nämlich neunvierzig spanische eng bedruckte Seiten, das habe ich nicht geschafft in der Vorbereitung auf heute.
00:12:32: Aber ich habe ein bisschen Zusammenfassung gelesen.
00:12:34: und es war ja so, dass der Patient die CD mit seinen älteren Bildern, MRT-Bildern gebracht hatte, weil er dort einen MRT hat machen lassen, wenn ich das richtig verstanden habe.
00:12:49: und hat die CDU abgegeben zur Vorbereitung.
00:12:52: Und dann beruft sich dieses Krankenhaus jetzt darauf, dass im Vertrag mit den Patienten steht, dass die eingereichten Daten nach einem Monat gelöscht werden, dass nur die Befunde, die aus den Daten hervorgehen, aufbewahrt werden.
00:13:08: Und sie sagen, damit hätten sie ja ihre Aufbewahrungsfaskenüge getan, weil die Befunde sind ja noch da, nur die Originalbilder hat man halt gelöscht, warum auch immer.
00:13:16: Aber wenn es tatsächlich ein Gesetz gibt, was vorschreibt, dass diese Daten fünf Jahre aufzubewahren sind, dann ist es natürlich völliger Humbug, dass man das Vertrag kein mehr kommt vorstellen.
00:13:24: Also ich habe übrigens nochmal geguckt nach diesem Konzern.
00:13:27: Die haben allein fünfzig stationäre, also große Krankenhäuser in Spanien und haben noch eine Menge Belegkliniken dazu.
00:13:35: Ich kann nochmal gucken, haben ein Jahresumsatz von zwei tausendzweiundzwanzig, knapp fünf Milliarden Euro.
00:13:41: Und witzigerweise.
00:13:43: Witzigerweise gehören sie dem Frisienius Konzern.
00:13:46: Die sind aus dem Jahr zwei Tausend Sechzehn von Frisienius gekauft worden, auch für fünf Milliarden Euro.
00:13:52: Ja, auch
00:13:52: noch ein bisschen Umsatz hatte.
00:13:54: Ja, auch noch ein bisschen Umsatz hatte, genau.
00:13:57: Wenn man das tatsächlich noch dazuzählen würde, dann wäre man natürlich noch mal ganz anders.
00:14:01: Ich
00:14:01: würde vermuten, dass Sie diese eingereichten Sachen nur einen Monat auftreten.
00:14:07: haben.
00:14:07: Wer
00:14:11: so viel, wer so groß ist, hat ja eigentlich auch ein großes Internist-Datenschutzmanagement, sollte man meinen, kundige Personen, die sich kritisch damit auseinandersetzen, auch was vielleicht die nationale Aufsichtsbehörde so für Erwartungen hat, an die Datenhaltung und was die DSGVO sagt oder wie man sie interpretieren kann.
00:14:30: Wenn es ein ganz kleiner Akteur gewesen wäre, hätte ich gedacht, na ja, Das wäre das typische Modell, bevor ich was falsch mache mit Daten, schmeiße sie lieber weg.
00:14:38: Dann kann ich nichts mehr falsch machen mit Daten, dass man eben auch beim Wegschmeißen einiges falsch machen kann und dass der Verarbeitungsbegriff weit zu verstehen ist und man eben für das mögliche Rechtsgrundlagen Informationspflichten haben muss und erfüllen muss.
00:14:50: Das ist ja oftmals ein bisschen, dieses Datenschutz ist verhindert, deswegen mache ich lieber in einem Prozess mit weniger Daten etwas.
00:14:58: Das ist ja dieses Bild, das wir kennen, aber bei einem so großen Akteur wundert mich, dass Schon.
00:15:04: Ich meine, spannend ist, dass wir Privacy bei Design ja eigentlich auch eher in anderer Hinsicht kennen.
00:15:09: Bei der Falldeutsche Wohnen ging es ja darum, da konnte man gar nicht löschen.
00:15:13: Und hier konnte man und wollte man zu viel und zu früh löschen.
00:15:16: Und in beiden Fällen kommen wir auf den Gestaltungsgrundsatz.
00:15:20: Ich habe mal noch eine Verständnisfrage an euch beide.
00:15:24: Wenn die sagen, die Vernichtung, es hätte kein Rechtsgrund.
00:15:28: Grund gegeben oder kein Erlaubnis für die Vernichtung der Daten, verstehe ich das dann richtig, dass in dem Fall die Vernichtung der Daten als Datenverarbeitung angesehen wird.
00:15:39: Also auch die Vernichtung ist eine Datenverarbeitung und Rechtsgrundlage in dem Fall.
00:15:44: Also ich glaube die ganz herrschende Meinung sieht den Begriff aus Artikel vier, jeder Umgang mit personenbezogene Daten sehr weit.
00:15:52: Deswegen, es gab auch mal einen Streit, ob man für das Anonymisieren von Daten eine Rechtsgrundlage bräuchte.
00:15:59: Da hat damals der Bitcoin gesagt, nein, das ginge zu weit und der BfDI gesagt, doch, das ist ohne Weiteres ein Verarbeitungsvorgang.
00:16:09: Mhm, selber war das sicher.
00:16:11: Ich erinnere mich gut, wobei das natürlich immer, eigentlich, ich kann mir keinen Fall vorstellen, wo das nicht ein berechtiges Interesse wäre, weil es ist ja immer nur zum Vorteil desjenigen.
00:16:18: Also jedenfalls das Datenschutzsicht.
00:16:20: Ja, aber hier zum Beispiel, wenn der Patient keine Kopie hat und die Daten einfach weg sind, dann hat er ein Recht.
00:16:26: jetzt Interesse am natürlich sicheren, an der sicheren Datenhaltung, nicht an der unsicheren, aber dadurch, dass die Daten nicht wegkommen.
00:16:33: Und das ist ja auch bei anderen ebenso werthaltig Daten auch vorstellbar, dass es eben das Interesse gibt an der weiteren Aufbewahrung.
00:16:40: Ist sicherlich die Ausnahme der Fälle aber denkbar.
00:16:43: Na ja, und der Fall ist ja nicht weit weg.
00:16:46: Also eine echte Anonymisierung ist natürlich nicht weit weg von der Löschung.
00:16:50: Weil es existiert dann kein Personbezug mehr.
00:16:52: Das heißt, du kriegst die Daten hinterher nicht wieder, weil ich weiß, ob es deine sind oder nicht.
00:16:56: Also, der Kälber hat damals im Jahr zwanzig-zwanzig in seinem Positionspapier gesagt, der löschen muss, der kann auch anonymisieren und hat damit seine Löschpflicht erfüllt.
00:17:07: Aber gerade im medizinischen Kontext spannend, er behält ja einen anonymisierten Datensatz.
00:17:12: Er hat ja mehr als null.
00:17:13: Er hat nicht personenbezogene Daten angenommen.
00:17:16: Er hat gut und richtig anonymisiert.
00:17:18: Das heißt, er kann noch Wert haben, gerade im Forschungskontext.
00:17:21: Und deswegen ist es ganz spannend, diese Gleichsetzung.
00:17:24: Ich weiß nicht, ob es dazu Urteile gibt.
00:17:25: Ich glaube, es gab mal einen Dankgericht.
00:17:27: Es gab neuerdings ein, zwei Urteile, die mussten noch in die Richtung gehen.
00:17:30: Ich weiß nicht, dass ich bewappt habe, mich da auch immer stark mit beschäftigt.
00:17:33: Also der Frage, zum Beispiel, wenn ich etwas verschlüsselt und den Schlüssel wegschmeiße, löscht Equivalent würde ich sagen.
00:17:41: Ja, aber... Es führt uns vielleicht ein bisschen weit weg, aber es gibt tatsächlich jetzt ein Landgerichtsurteil, was das auch so gesehen hat.
00:17:47: Ich glaube, die meisten Datenschutz würden eher nicht
00:17:50: haben.
00:17:50: Ja, das ist ein praxisfreundliches Landgerichtsurteil.
00:17:52: Denn wenn richtig anonymisiert ist, haben wir das Risiko minimiert.
00:17:56: Wir haben es praktisch sogar vielleicht ausgeschlossen.
00:17:58: Das finde ich richtig gut.
00:18:00: Ich schreibe das auch so.
00:18:02: Gut, da sind wir schon mitten drin im Thema.
00:18:05: Das könnte ein Wettbewerbsvorteil sein, das so zu machen.
00:18:08: Oh!
00:18:09: Ja, hat toller Übergang.
00:18:11: Und das bringt mich zu eurem White Paper, was ihr veröffentlicht habt, als Stiftung, nämlich Datenschutz oder das Thema, die das offizielle Titel ist, ein Wirtschaftsvorteil Datenschutz ohne Fragezeichen, aber auch ohne Ausrufezeichen.
00:18:27: Und das wollen wir uns jetzt mal ein bisschen anschauen.
00:18:30: Wir haben das natürlich ausgewertet.
00:18:32: Es geht darum, ganz gleich gerne ergänzen, dass Warum dies, also die Unterüberschrift, warum dies GVU Standards unter Unternehmen resilient und erfolgreich für die Zukunft aufstellen.
00:18:45: Das ist schon mal ein hoher Anspruch.
00:18:48: Und im Intro steht so die wichtigsten Sachen, dass der Daten verfälschlicherweise häufig als Innovationsbremse dargestellt wird.
00:18:56: Unternehmen geben ihnen wie Schuld an mangelndem Fortschritt oder werfen ihnen vor Entwicklungen zu blockieren.
00:19:02: Ihr seid der Ansicht, dass das Gegenteil der Fall ist.
00:19:06: Bei zielgerichteter Interpretation und Anwendung ist Datenschutz ein entscheidender Standort und Wettbewerbsvorteil, denn er schafft die wichtigste Währung der digitalen Welt, nämlich Vertrauen.
00:19:17: Und deswegen wären Geschäftsmodelle die Datenschutz beherzigen und Grundrechte respektieren, die handeln zum einen ethisch und sind zum anderen wirtschaftlich nachhaltiger und zukunftsfester.
00:19:30: und deswegen Möchtet ihr, das ist so ein bisschen die Quintessence made in Germany, soll, wie bisher, oder soll für Ingenieurskunst und hohe Qualitätsstandards, den aber eben auch für Datenschutz Know-how, was zu einem weltweit anerkannten Qualitätsmerkmal für digitale Produkte und Dienstleistungen
00:19:55: werden soll.
00:19:56: Da habt ihr euch ganz schön aus dem Fenster gegangen.
00:19:58: Erzähl mal, wie ist das zustande gekommen, dieses Paper?
00:20:02: Also, wenn wir uns da vielleicht in den Bildern wieder hervorrufen, ein bisschen aus dem Zähnster hängen, machen wir das natürlich unter dem Eindruck der Stimmung, die den Datenschutz so in den letzten Monaten, vielleicht im vergangenen Jahr entgegengeschlagen ist, nämlich dass er sich mal bitte zu verziehen habe, weil er für Bürokratie steht, die es abzubauen geht.
00:20:27: Und weil er eben Innovationen hindert, wo sie doch eigentlich gefördert werden müssten, weil Deutschland und Europa im europäischen, im globalen Wettstreit nach vorne kommen müssten und sich nicht mit.
00:20:39: zu strengen Standards aufhalten müssen.
00:20:41: Nun wäre ich ja kein wahrer Jurist, wenn ich das, es kommt darauf an, nicht irgendwo bemühen würde.
00:20:47: Und hier ist es eben ganz wichtig, diesen Beisatz zu lesen, wenn Datenschutz zielgerichtet interpretiert wird und gut umgesetzt wird, dann steht er Innovation nicht entgegen, dann kann er die Wirtschaft voranbringen, weil dann schafft er auch Vertrauen.
00:21:00: Wenn Datenschutz natürlich nicht konsistent interpretiert wird, wenn er falsch erklärt wird oder gar nicht erklärt wird und so als komplexe Materie da irgendwo liegt und dann werden die Leute allein gelassen, wenn sie Prozesse aufsetzen und Projekte umsetzen wollen und dann sind da Leute, die sagen, oh, alles schwierig, wir haben da überall Bedenken, dann kann es natürlich nicht klappen.
00:21:19: Aber wenn man mal eine bisschen idealere wählt, als wir sie jetzt haben, vorstellt, in der sich alle möglichst einig sind, wie die DSGVO zu verstehen ist, wie die umzusetzen ist und klare Radstärke dazu geben und nicht um alles immer bis zum Ende diskutiert wird, bis die Leute die Lust am Projekt verlieren.
00:21:37: Dann kommen wir dahin, wo wir hin wollen.
00:21:41: Also wir haben bewusst Wirtschaftsvorteil, nicht Wettbewerbsvorteil geschrieben, weil Datenschutz als Wettbewerbsvorteil Diesen Begriff gibt es ja schon, solange es die DSGVO-Vorschläge gibt.
00:21:50: Also seit zwanzig zwölf, so ungefähr.
00:21:52: Da haben wir gesagt, Datenschutz muss jetzt mal ein Wettbewerbsvorteil werden, der unter der Richtlinie mit verschiedenen Datenschutzgesetz in Europa so nicht war in unserer Wahrnehmung.
00:22:02: Datenschutz hatte damals so ein verstaubtes Image, so irgendwas aus Ende der siebziger Jahre.
00:22:07: Technik und Recht und Bedenken, irgendein Cocktail, der keinem so richtig schmeckte und die DSGVO sollte das Ganze auf eine neue Spur bringen.
00:22:16: Und das hat sie aus unserer Sicht auch getan.
00:22:19: Und man darf den Erfolg der DSGVO nicht zerreden, weil man nur über die Probleme spricht, die da sind.
00:22:26: Die Probleme wollen wir natürlich als Stiftung Datenschutz nicht wegreden.
00:22:30: Aber wir sind am Ende pro Datenschutz und pro DSGVO und hoffen deswegen sehr, dass der Reformprozess zu einem guten Ende führt.
00:22:40: Also wir sehen sehr kritisch diese Haltung, man darf an der DSGVO kein einziges Komma ändern, weil das wäre dann das Ende des Datenschutzes, wie manche das in Netz dann so ganz, ganz, ganz konzentriert gesagt haben.
00:22:51: Ich finde das überhaupt nicht hilfreich, diplomatisch ausgedrückt, um so guten Ergebnissen zu kommen.
00:22:57: Weil wenn wir daran festhalten sind, es muss darf sich gar nichts ändern, das ist alles perfekt.
00:23:02: dann gerät man wirklich irgendwann in die Gefahr weggewischt zu werden.
00:23:05: Weil ganz schnell jetzt irgendwann die Politik die Geduld mit den Datenschutz und sagt, jetzt müssen wir ja mal ganz stark durchkehren und irgendwelche Grundprinzipien in Frage stehen.
00:23:13: Ich habe ein bisschen Bedenken, wie der Reformprozess zurzeit läuft, weil auch wir, die wir ja kleine Einrichtungen, kleine Organisationen dabei beraten, wie sie mit der DSGVO gut klarkommen, weil das Ganze auf einen guten Zweck abzielt.
00:23:26: Wir fordern ja auch, dass man zum Beispiel Dokumentationspflichten für kleine Einrichtungen dazu schert, wo kein Risiken geschaffen werden.
00:23:34: Und was bekommen wir jetzt in Brüssel?
00:23:36: Eine intensive Diskussion über den Personenbezug.
00:23:42: Wir setzen, glaube ich, an grundsätzlichen Themen an.
00:23:45: Da jetzt kommen noch weitere grundsätzliche Forderungen hinzu, denen wir uns in der Sache anschließen.
00:23:51: die Anbieter von Produkten und Dienstleistungen einzubeziehen, der DSGV, und nicht nur den Verantwortlichen in die Pflicht zu nehmen, der das Ganze dann einsetzen muss und gegebenenfalls gar nicht beeinflussen kann.
00:24:02: Diese Anbieterhaftung können wir ja noch darüber sprechen, finde ich eine spannende Sache, ob das alles in so ein Schnellverfahren passt, wie es jetzt in Brüssel besprochen wird.
00:24:10: Das ist natürlich eine andere Frage.
00:24:14: Holger, aus deiner Sicht teilst du das?
00:24:17: Ja, ich teile
00:24:19: es.
00:24:21: Ich teile es.
00:24:23: Also, ich finde, man muss es zweischneidig.
00:24:26: Also, wenn wir jetzt von dem Binnenmarkt ausgehen, wenn wir jetzt von Europa als geschlossenen System ausgehen, dann glaube ich schon, dass diejenigen Unternehmen in Europa, also diejenigen, die wirtschaftlich agieren, schon ein Wettbewerbsvorteil haben können.
00:24:42: Und übrigens auch ein ganz praktischen Vorteil, wenn sich nämlich irgendwie auch an die zum Beispiel Artikel zwei und drei sich an die Toms halten, dass sie dann auch einen technischen Vorteil haben, weil die sind ja nicht von ungefähr da und die bringen zum Beispiel, das habt ihr ja auch geschrieben, die bringen ja auch Vorteile, nämlich eine erhöhte Cyber Security.
00:25:01: Wenn man sich an gewisse Kompleinstandards hält, dann ist man normalerweise auf einer etwas sicheren Seite, dass man sich auditieren lässt, dass man vielleicht Folgenabschätzung macht.
00:25:11: im Security-Bereich und so.
00:25:13: Alles gut und schön.
00:25:16: Was mich immer ein bisschen skeptisch werden lässt, ist, ich verfolge diesen Markt ja auch schon fast dreißig Jahre, das ganze Internetgedöns, seit dem Aufkommen des Webs und so.
00:25:26: Und das war bis jetzt immer so, dass... Also, ich sag nur, move fast and break things.
00:25:32: Das US-amerikanische Konzerne auf dem deutschen Markt gekommen sind.
00:25:36: Wir haben das bei den sozialen Netzwerken gesehen.
00:25:42: Facebook, das war lange Zeit der Leitspur des Unternehmens von Mark Zuckerberg.
00:25:46: Das heißt, wir gehen in den europäischen Markt und machen erst mal alles kaputt und halten uns nicht angesetzt.
00:25:50: Das ist jetzt total überspitzt formuliert.
00:25:52: Ich weiß, aber genauso haben Sie es ja gemacht.
00:25:54: Sie sind hier in den europäischen Markt reingegangen und Datenschutz war Ihnen wirklich komplett egal.
00:25:59: Ja,
00:25:59: bei den Verzeichnissen.
00:26:01: Ja, ja, damit haben Sie jetzt zum Beispiel die StudiVZ und Co.
00:26:05: platt gemacht, weil sie haben sich einfach einen Vorsprung durch Datenschutzrechtsbrüche erarbeitet, aber es hat einfach niemanden interessiert.
00:26:15: Und genauso ist es heute auch.
00:26:17: Also im Gegenteil, jetzt wird sogar darauf reagiert, ja okay, wenn die sich daran halten können, dann sind die Gesetze vielleicht ja auch einfach zu scharf.
00:26:24: Also das, was mit den sozialen Netzwerken passiert ist, was mit Google passiert ist, die auch jede Menge DSG vor Urrechtsverstöße hier begangen haben in der Vergangenheit und sich damit ihre marktbeherrschende Positionen Okay, ergauner, das ist vielleicht ein bisschen viel, aber geschaffen haben.
00:26:40: Ja,
00:26:40: ich auch.
00:26:44: Aber was Ähnliches haben wir jetzt im Bereich KI wieder?
00:26:47: Da ist es wieder, also hier wird sich ein Dreck darum geschert, unruheberechte Beispielsweise beim Skraten von Trainingsdaten usw.
00:26:55: Und dann heißt es hier, anstatt dass man sagt, jetzt müssen wir aber das mal mit alle Härte durchsetzen, was wir schon jetzt an Instrumentarium haben, ist es vielleicht in so einer Gesetze einfach zu scharf, vielleicht müssen wir die ein bisschen korrigieren.
00:27:07: Und ich glaube einfach, dass die US-amerikanischen Konzerne da immer im Vorteil sind aufgrund der Schienenmarktmacht und... Deswegen automatisch diejenigen in Europa, die sich, die da im Wettbewerb treten und sich dran halten an die DSGVO, eben nicht immer diesen Wettbewerbsvorteil haben, von denen du sprichst.
00:27:23: Also ganz kurz zu dem ersten Punkt, und Jörg hat das auch erwähnt, wir haben auch die Resilienz herausgestellt, die guter Datenschutz besorgen kann, weil eben guter Datenschutz dafür sorgt, dass gute IT-Sicherheit nicht nur mitgemein, sondern mit innen begriffen ist.
00:27:39: Denn wer die DSGVO umsetzt, der setzt auch Artikel thirty-two um, der guckt eben auch auf die Datensicherheit.
00:27:44: Er guckt aber nicht nur auf die Datensicherheit.
00:27:46: Man könnte ja sagen, Datenschutz interessiert mich nicht, IT-Sicherheit schon, weil ich will hier die Daten, meine Geschäftsgeheimnisse schützen.
00:27:53: meine Kunden, dann springen die mir ab, die interessieren sie auch nicht für Datenschutz.
00:27:56: Das könnte man so eng sehen, aber wenn man es breiter sieht, wenn man den Grundrechtsfaktor mit rein nimmt, dann hat man die IT-Sicherheit eigentlich mit drin.
00:28:03: Deswegen kann eben auch guter Datenschutz im Rahmen der Diskussion um digitale Souveränität und Resilienz und so weiter uns wirklich voranbringen.
00:28:12: Und zum zweiten Teil, Datenschutz kann nur ein Wettbewerbsvorteil werden in einer Welt, wo es um Angebot und Nachfrage geht.
00:28:22: Wenn wir erstens Wettbewerb haben und zweitens, wenn die Nachfrage einen Vorteil darin sieht, weil sonst wird auch das Angebot kein Vorteil darin sehen.
00:28:29: Wenn niemand nach Datenschutz fragt, bietet auch niemand Datenschutz an.
00:28:33: Er stellt ihn zumindest nicht ins Schaufenster und investiert in Datenschutz-Zertifizierung, in Auditierung, in diese ganzen Geschichten.
00:28:42: Damit es nicht nur Geschichten bleiben, erfolge euer Datenschutz-Zertifizier, müsste der Film investiert werden.
00:28:47: Dazu müsste aber nachgefragt werden.
00:28:49: StudiVZ hatte am Ende ein Datenschutz-Zertifikat.
00:28:52: Das war zwar noch keines unter der DSGVO, aber es war überhaupt ein Datenschutz-Zertifikat, weil es Kritik gab an der Datenhaltung dort.
00:28:59: Hat es den im Wettbewerb mit damals dem noch jungen Facebook genutzt?
00:29:03: Nein, überhaupt nicht, weil die Kunden und Kunden oder die Nutzenden nicht danach ausgesucht haben.
00:29:08: Die haben nicht gesagt, Facebook hat kein Datenschutz-Zertifikat.
00:29:11: weiß auch noch BDSG-alt und Studie-for-Z hat einen.
00:29:15: Also das alleine reicht überhaupt nicht, um gute Angebote auch gut ankommen zu lassen, bei den Nutzen.
00:29:21: Aber da wollen wir natürlich irgendwie hinkommen.
00:29:24: Ich
00:29:25: erlebe, dass sich das auch immer so ein bisschen verschiebt, wie in der Gesellschaft Datenschutz wahrgenommen wird.
00:29:31: Aber nicht gerade den Eindruck, vielleicht frage ich dich, Horger, nicht gerade den Eindruck, dass Datenschutz gerade besonders Guten Ruf hat oder den Leuten besonders wichtig ist als solcher, was den Leuten nach meiner Wahrnehmung schon besonders wichtig ist, dass sie ihren Daten sicher sind.
00:29:49: Also das ist so, glaube ich, so ein bisschen, ja, so ein Widerspruch, den man schwer auflösen kann, ich möchte sich ihren Datenschutz, ansonsten ist mir das aber alles relativ egal.
00:29:58: Ich gebe meine Daten eben WhatsApp und wie wir alle heißen und möchte aber zumindest, dass sie da sicher sind.
00:30:04: Auch das ist nicht immer der Fall, wie wir alle gelernt haben.
00:30:08: Ich glaube, dieser Widerspruch ist schwer aufzulösen, aber ich habe im Moment nicht so das Gefühl, auch bei der jüngeren Generation, soweit ich mit denen zu tun habe, da habt ihr vielleicht mehr Berührungspunkte.
00:30:17: Er hat jetzt gerade einen Berührungspunkt mit seiner Katze, das seht ihr nicht.
00:30:22: Ob die tatsächlich den Datenschutz so ernst nehmen, wie wir das tun, als ich darf das mal von uns alle sagen, weil es alte Männer.
00:30:30: Redest du jetzt mit mir oder mit Friedrich?
00:30:37: Ja, also ich fühle mich dann als Mittelalter, weiß man auch mal.
00:30:42: angesprochen von Jörg, aber das ist schon okay, denn ich teile die Einschätzung sehr.
00:30:48: daran liegt aus meiner Sicht, dass man die Risiken, die bei der IT-Sicherheit bekämpft oder mitigiert werden sollen, einfach viel anschaulicher darstellen kann.
00:30:57: Passwort weg, Kontolär, keine Ahnung, Identitätsdipstal, die ganzen Risiken, die da drohen, lassen sich einfach leichter veranschaulichen.
00:31:06: Vielleicht haben sie Leute aus selber schon mal erlebt.
00:31:10: Und dann sagen sie, ja, also da bin ich empfindlich.
00:31:13: die Datensicherheit gegen die bösen Hacker, den man sich auch irgendwie vorstellen kann, die muss gegeben sein.
00:31:18: Aber das jetzt da, der Verantwortliche, die Daten vielleicht zwar nicht zerliert auf dem Marktplatz oder der Altpapiertonne, aber irgendwie anders verwendet oder an seine Partnerinnen und Partner, also unbekannte Werbetreibende weiterreicht, das wird dann nicht mehr als so ein großes Risiko gesehen im Zeitalter der Personalisierung und Individualisierung.
00:31:38: Und da ist eben auch diese Diskrepanz, die gerne bemüht wird, wenn man gegen zu strengen Datenschutz argumentiert, indem man sagt, naja, die Leute kippen doch ihr ganzes Leben ins die digitale Welt.
00:31:48: Dann können sie sich da auch nicht beschweren, wenn da jetzt so eine Chatkontrolle oder so eine Vorratsdatenspeicherung oder so um die Ecke kommt, die Leute geben doch sowieso alles von sich preis.
00:31:56: Also, da werden Sachen verglichen, die nicht zueinander passen.
00:32:00: Aber am Ende muss sich der Datenschutz immer bemühen und das wird immer eine ganz schwierige Aufgabe.
00:32:05: bleiben, die Risiken, vor denen er die Menschen, nicht die Daten oder die Menschen, die Menschen schützen will, die wirklich so zu veranschaulichen, dass die Leute Datenschutz auch bestellen und verlangen und sagen, sag mal, wie macht ihr das denn mit dem Datenschutz?
00:32:18: Nicht nur mit der IT-Sicherheit, lieber Anbieter.
00:32:22: Ja, ich sehe es so wie du, Frederik.
00:32:26: Allerdings, ich meine, die hatten das hier schon öfter besprochen, es gibt halt auf ganz vielen Ebenen, es gibt in der Wirtschaft und es gibt auch wirklich im Privatbereich und das ist ja auch nicht immer voneinander zu trennen, weil jeder hat mit dem anderen Bürgungspunkte, gibt es halt eine gewisse Müdigkeit und Fertig und eine Genärftheit.
00:32:45: Und das sind halt diese paar Dinge, eine davon, die soll die, ja, und eine soll die davon im Omnibus auch angesprochen werden, ist eben zum Beispiel, Wo begegnet dich jeden Tag den Datenschutz oder wo nervt er mich?
00:32:58: Wir wissen es sind Cookie-Banner.
00:33:02: Das ist ein Ding.
00:33:03: Es sind Einwilligungen.
00:33:04: Es ist das Gefühl, dass du dich in der Kita an deinem... dreimals Eltern behindert wirst weil du erst mal zehn formulare unterschreiben musst und jedes mal wenn wenn irgendwo der der schulfotograf in der schule ist dann musst du wieder zehn formulare unterschreiben und diesen.
00:33:21: da ist ein jenes.
00:33:22: das sind einfach das sind diese vielen kleinigkeiten.
00:33:25: und dann.
00:33:27: Das sind auch die gleichen Leute, die die Unternehmen arbeiten und die auch in Unternehmen Entscheidungen treffen.
00:33:32: Und ich glaube, dass sie das manchmal auch ein bisschen vermischen, könnte ich mir vorstellen.
00:33:35: Also, dass sie das Gefühl haben, da ist die Bürokratie, bei ihnen im Unternehmen ist die Datenschutzbürokratie.
00:33:42: Und wenn man das alles zusammennimmt, dann gibt es so viel Datenschutzbürokratie, dass man das mindestens mal halbieren müsste, um auf ein vernünftiges Level zu kommen.
00:33:50: Den Eindruck habe ich immer.
00:33:51: Das würde ich auch unterschreiben, dass man die Bürokratie mindestens mal um die Hälfte vermindern kann.
00:33:57: Datenschutz in Unternehmen, Frederik ist meiner Ansicht nach größtes Komplanz, ist Papierkrieg.
00:34:04: Ich kann mir
00:34:05: schon
00:34:05: vorstellen, dass das extrem nervt.
00:34:08: Ja, aber auch nur da, wo es Sinn macht.
00:34:11: Ich habe sie an der Stelle schon häufig gesagt, so ein Tier-Transfer Impact Assessment, wo ich jedes Mal mich mit der Rechtslage in dem Land beschäftigen muss und dann, wo ich meine Daten hin... Sicken will und dann gut achten schreiben will, was das fertiger Blödsinn ist, was absolut niemandem nutzt und auch die, naja, gut, stellen wir mal zurück, aber ich...
00:34:35: Du hast ja recht, welcher amerikanische Dienst wird sich davon beeindrucken lassen, dass hier Anwälte und Anwälte ganz große Rechnung schreiben für ganz große Transfer Impact Assessments, die, wenn es hart auf hart kommt, kein Interessieren drücken und auch nichts mehr.
00:34:50: Nein, nirgends.
00:34:51: Also, wer hat letzte Anfrage für den Transfer Impact Assessment für Singer-Abruhr?
00:34:55: Also, wie wird die Welt besser?
00:34:57: Ja, also, dass wir da sowas schreiben.
00:34:59: Das kostet Geld und macht wenig Sinn.
00:35:02: Was ich erlebe und was mich wirklich nervt, auch wieder von der anderen Seite, also, dir das Datenschutz beauftragten, ist, dass der Datenschutz gerade als neue Einkommensquelle gesehen wird.
00:35:11: Ich kriege jetzt gerade irgendwie jeden zweiten Tag irgendeine E-Mail von ihr.
00:35:15: habt hier irgendwas... Daten nicht datenschutzkonform gemacht, sei es Cookie-Banner, sei es Datenschutzerklärung, sei es irgendwas zu, zu ninety Prozent Unsinn, mit einer Rechnung dabei.
00:35:27: Also hier bitte überweist mir dafür hundert Euro auf mein Konto und die ist mein Aktenzeichen, dann kommt tausende Aktenzeichen, das weiß also der, der versucht jetzt davon zu leben und sowas nervt nicht.
00:35:39: Aber kommen wir doch mal zu eurem
00:35:42: White Paper.
00:35:43: würde ich sagen und weil das natürlich jetzt viel auch von dem abbildet, über was wir diskutieren und ihr habt das so in vier Punkte eingeteilt, die ich würde vorschlagen gehen wir tatsächlich mal durch und diskutieren sie auch.
00:35:56: Der erste ist Vertrauenstärkung und Reputationsaufbau.
00:36:00: Das heißt Datenschutz schafft Glaubwürdigkeit und schützt Unternehmen vor Reputationsverlusten bei Verbrauchern, Kunden und Investoren.
00:36:10: Das
00:36:11: würde ich wahrscheinlich unterschreiben.
00:36:13: Also spätestens dann, wenn ich meine Mitte und meine Kunden nach, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um,
00:36:33: um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um, um.
00:36:37: funktionierenden, gut funktionierenden Markt haben ohne große Monopole oder gar missbräuchliche Wettwerbsgroßerstellungen, dann sollte doch jeder diese Akteure darauf bedacht sein, eine gute Reputation haben, zu haben im Datenschutz, also eine, wo es keine Meldung über Data Bridges oder so gibt.
00:36:57: Vielleicht noch nicht das güllende Datenschutz-Certificat, was einen da besonders hervorhebt, aber zumindest will man sicher sein, dass irgendwo in der Presse steht, So wie das bei einem, ich glaube, Mietwagenanbieter vor ein paar Jahren war, da ist jetzt die Kundendatenbahn weg oder so.
00:37:11: Davor will man ja sicher sein.
00:37:13: Und kann man sagen, das ist alles noch Datensicherheit.
00:37:15: Aber wenn wir sagen, das ist umfasst vom Datenschutz, dann zeugt es ja von einem ganzheitlichen Verständnis zum guten Umbau mit Daten.
00:37:22: Und nun tun manche leider erst was für Datenschutz, wenn was passiert ist.
00:37:28: Und das ist natürlich eine gefährliche Sache.
00:37:31: Man investiert erst dann in diesem Teil der Compliance, wenn da irgendwie Ärger drum.
00:37:35: Und viele sagen sich, na ja, wie hoch ist denn, also die machen eine Risikoeinschätzung nicht bezüglich des Risikos des Missbrauchs der Kundendaten, sondern bezüglich des Risikos, dass da jemand kommt und leckert.
00:37:47: Die Aufsichtsbehörde, die Anwaltschaft der Gegenseite oder der Verbraucherschutz oder irgendwer, der da Wind bekommt von nicht ganz so guten Datenpraktiken.
00:37:57: Und erst wenn das droht, investiert man.
00:37:59: Und da das Verständnis ein bisschen dahin zu schiften, wartet doch nicht auf das negative Ereignis, investiert doch einfach mal proaktiv.
00:38:07: dieses moderne Wort, dass sich die Kunden bei euch wohlfühlen mit ihren Daten.
00:38:12: Ja, sicher fühlen vor allem.
00:38:14: Also wohl ist jetzt wahrscheinlich das Hauptproblem.
00:38:17: Ja, bisschen urzeichnisch.
00:38:18: Also sicher vertrauensvoll.
00:38:20: Dass wir sich sicher fühlen, das ist glaube ich auch
00:38:23: eben
00:38:24: wichtig, also dass man auch davon ausgehen kann, deine Daten werden nicht verkauft für... Deine Daten werden nicht weitergegeben, das würde ich auch so sehen.
00:38:33: und der Reputationsverlust ist natürlich spätestens da, wo man dann irgendwann mal ertappt wird und im US Case seiner Kunden informieren muss, was ja auch nicht so heuer wahnsinnig häufig vorkommt, aber es kommt natürlich vor.
00:38:46: Weiter Punkt, gestärkte Marktpositionen.
00:38:50: DSG, also These, DSG VOR-konforme Geschäftsmodelle sichern eine stabile Marktposition.
00:38:57: Weil das europäische Regelwerk den globalen Standard im Datenschutz setzt, damit die nicht da an sich.
00:39:07: Da mag es möglich sein, ein Quäntchenbundstenken hineinzulesen und diese Passagen, weil viele in der Wirtschaft das aktuell anders sehen, aber da werden wir über dem Thema Angebot und Nachfrage.
00:39:19: Wenn ich feststelle, als Anbieter meine Kundinnen und Kunden fragen, dass überhaupt nicht nach.
00:39:25: Und meine Wettbewerber, die nicht auf Datenschutz setzen, haben damit viel Erfolg, ich will jetzt nicht sagen, es vorspringt durch Rechtsbruch, aber zumindest Erfolg, auch ohne Datenschutz hochzuhängen oder besonders herauszuhängen.
00:39:37: Wir können ja erst mal von Gesetzes treuen Anbietern in der Breite ausgehen, aber man kann natürlich immer mehr machen mit den datenschutzfreundlichen Geschäftsmodellen und weniger.
00:39:47: Und wenn natürlich sich herumsprecht, die Kundschaft interessiert das gar nicht mit dem Datenschutz.
00:39:52: Dann haben wir an der Stelle natürlich ein großes Problem.
00:39:55: Ja, bei Eurothese ist ja eine andere.
00:39:56: Die Eurothese sagt, dass die EU, und das ist ein sehr weit verbreitetes, wie ich persönlich finde, Wunschdenken in Brüssel, die EU-Standards im globalen Wettbewerb der Regulierung setzt.
00:40:11: Das hat man im Datenschutz sich versprochen.
00:40:13: Ich habe es mal vor der Aufzeichnung mal recherchiert und es gibt nicht so wahnsinnig viele Länder, wo das tatsächlich der Fall war, Südkorea.
00:40:22: Japan, ein bisschen in Brasilien, ein bisschen in Indien, du hast vorher noch gesagt, ein bisschen in Kalifornien.
00:40:28: Das sind aber jetzt weltweit nicht so eine verhandelsinnige Vorreiterrolle und ich habe in Indien länger gesprochen mit Leuten dazu, die alle sagen, also ja, wir gucken uns das schon an, was ihr da macht, aber wir würden es auf gar keinen Fall so stark regulieren.
00:40:46: und mit diesen ganzen Auswuchsen, die wir da sehen.
00:40:49: ist das für uns nur sehr begrenzt in der praktischen Auswirkung ein Vorbild.
00:40:55: Ja, das möchte ich einhaken.
00:40:57: Ja, also praktische Auswirkungen.
00:41:00: Also natürlich konnte jetzt Jan-Philip Albrecht und Nelly Kröss und Juliane, wir werden wedding, nicht davon ausgehen, dass die ganze Welt die DSGVO einfach kopiert und bei sich ins Internet.
00:41:11: Davon sind sie sowohl ausgegangen, wenn ich mich daran zu erinnere, vielleicht nicht die ganze Welt, aber doch große Teile der Welt.
00:41:17: Ja, explizit, aber vielleicht konnten sie nicht davon aus, obwohl sie es getan haben, weil das natürlich, es stieß natürlich auf andere Datenschutz Traditionen oder Datennutzungstraditionen oder Gesetzgebungstraditionen in allen Teilen der Welt.
00:41:32: Dieser Brussels Effect, ja, der wird gerne als Erfolgsgeschichte erzählt, dann muss man natürlich auch den zweiten Teil der Geschichte erzählen, wie wird das gelebt und wie wird es durchgesetzt.
00:41:42: Weil das eine ist ja, DSGVO-ähnliche Elemente ins Gesetz zu schreiben und ja, das ist auch in Kalifornien passiert, zwar eher auf drängen eine Art Volksbegehrens, was dem voran ging, aber trotzdem es stehen dort DSGVO-ähnliche Elemente in kalifornischen Verbraucher- und Datenschutzrecht.
00:41:59: Die Frage ist natürlich, wie wird das dann umgesetzt und durchgesetzt?
00:42:03: Und wir haben die interessante Situation, dass die Deutschen im europäischen Konzert am lautesten immer nach DSGVO-Reformen rufen und im Ausland, dass gar nicht so ein großes Thema ist in der EU.
00:42:16: Und das liegt natürlich auch daran, wie der Datenschutz dann gelebt wird, wie er interpretiert wird.
00:42:22: Ja, ich sag mal, wie heißt das Ganze gegessen wird, was vielleicht heiß gekocht wurde.
00:42:28: Wenn am Ende sich wenig Leute um die Buchstabengetreue umsetzen und der DSGVO kümmern, dann kann es eben auch sein, dass man sagt, na ja, das, was da im Gesetz steht, in meinem Mitgliedstaat wird das alles gar nicht so umgesetzt, aber dann ist es ja wohl auch nicht so wichtig.
00:42:45: Wir wollen es natürlich immer ganz genau machen hier und wir wollen aber auch genau wissen, Wie wir das jetzt hinkriegen, was da so wortwörtlich im Gesetz steht.
00:42:52: Das fing schon an, im Jahr zwanzig achtzehn, als dann die Leute eine Visitenkarte überreicht haben und dann wurden im Gegenzug ganz seitige Datenschutz-Infektionsschriften überreicht.
00:43:03: Weil es eben heißt, zum Zeitpunkt der Verarbeit des Verarbeitungsbeginnens oder der Erhebung der Daten muss informiert werden.
00:43:10: Das kann man jetzt lockerer sehen oder man kann den Wortlaut nach oben hängen.
00:43:14: Und wir wollen es natürlich immer ganz genau machen.
00:43:21: Wie soll man sagen, die Tradition des Gesetzeslebens, die Gesetzesumsetzung, die müssen wir natürlich auch mitdenken, wenn wir über den Rechtsexport sprechen.
00:43:30: Na ja, aber wir haben ja hier in Deutschland auch noch diese besondere Situation, wenn du sagst, also ich habe diese Erfahrungen nicht, ehrlich gesagt, mit anderen EU-Staaten, aber wenn du sagst, woanders wird der Datenschutz anders gelebt, vielleicht an der einen oder anderen Stelle ein bisschen lockerer gehandhabt als hier in Deutschland, weiß ich nicht.
00:43:49: Ich finde, es spricht ein bisschen dafür, dass ich den Eindruck habe, aber das habe ich noch nicht nachgezählt, ehrlich gesagt, da müsste ich mir helfen.
00:43:57: Das außergewöhnlich viele Vorlageentscheidungen oder Vorlagefragen beim EUGH aus Deutschland kommen, von Deutschen zum Beispiel vom BGH.
00:44:05: Vielleicht billigst mir auch ein, keine Ahnung.
00:44:07: Aber zumindest ist es so, dass wir hier eben anders als in anderen Staaten nicht nur eine Aussichtsbehörde haben, sondern miteinander... Nicht im Wettbewerb stehende, aber teilweise in ihren Meinungen auch noch divergierende Aufsichtsbehörden, was das Ganze ja nochmal ein bisschen komplizierter macht.
00:44:23: Also ich glaube schon, ich kann mir das gut vorstellen, dass es so ist, wie du sagst, Friederik, dass hier der Ruf nach Reform vielleicht ein bisschen größer ist als woanders, weil hier die DSG verur, vielleicht ein bisschen Buchstabengetreuer und vielleicht auch drakonischer ausgelebt wird als in anderen EU-Staaten.
00:44:41: Ja, das sehen wir immer so ein bisschen auch bei den Bußgeldern.
00:44:44: Ich bin ja in der Vorbereitung immer viel auf diesen Bußgeldseiten unterwegs und wenn ich da mal eines von zehntausend Euro, sagen wir mal, aus immerigen Ostbrockstaaten sehe, dann ist das schon viel.
00:44:54: So weiß ich nicht, ob wir nur nicht dann da landen, aber es fällt mir halt extrem auf.
00:44:58: An der Seite haben wir Frankreich, zum Beispiel die, die ja gut dabei ist.
00:45:06: Also, ich weiß gar nicht, ob wir jetzt der Bußgeld-Weltmeister sind im europäischen Vergleich.
00:45:12: Ich meine, wir haben auch einen Luxemburg-Irland, auch dreistellige Millionen Bußgeld in Luxemburg-Irland.
00:45:20: Also, da sind wir vielleicht gar nicht die Weltmeister.
00:45:23: Ich habe da keine Zahl auf der Hand.
00:45:26: Ich habe auch keine Zahl zu den Vorlagefragen, aber welche Zahlen ja wirklich eindrucksvoll sind.
00:45:30: Das sind die Zahlen der Beschwerden bei den Aufsichtsbehörden.
00:45:34: nach und nach nehmen immer in der Bundesländer, dass sie praktisch untergehen und in Beschwerden erzinken, in den Eingaben der Bürgerinnen und Bürgern zu Datenschutz verstößen oder vermeintlichen Datenschutz verstößen.
00:45:46: Das muss ja jeweils erst gekrüft werden.
00:45:48: Wenn wir das mal hochrechnen und schauen, wie ist das im Ausland, wo es dann oft ja nur eine oder eigentlich immer nur eine Datenschutzbehörde pro Mitgliedstaat gibt.
00:46:01: Und wir haben eben siebzehnten in Bundesländern, Bayern hat zwei, die Bundesbehörde.
00:46:06: Und das Beschwerdeaufkommen, das ist ja damit ein Vielfaches, weil die alle Tausende von Beschwerden mit aufsteigender Tendenz melden, ein Vielfaches der europäischen Nachbarn.
00:46:19: Ich finde, wenn es auch nach viel Vorspannend war, das liegt, also diese Erklärung, dass das jetzt mehr wird, weil Leute gar nicht benutzen.
00:46:25: Ich weiß ich nicht, dass es.
00:46:27: Aber
00:46:27: was ist dann die Erklärungsfrage?
00:46:29: Sind die Leute jetzt sensibilisiert dafür?
00:46:31: Datenschutz?
00:46:32: Dann wären wir ja wieder um beim Ausgangspunkt anzulangen.
00:46:35: Bei Angebot und Nachfrage bei Datenschutz, dann wären wir ganz ganz toll dabei.
00:46:38: Dann würden die alle jetzt nur noch datenschutzfreundliche Geschäftsmodelle unternehmen.
00:46:42: So viele Beschwerden sind es aber auch nicht.
00:46:48: Naja,
00:46:49: da kann man, glaube ich, das nicht unbedingt hochrechnen.
00:46:52: Ich weiß es auch nicht, warum es liegt.
00:46:53: Ich glaube, Leute sind auch genervt und beschworen sich gerne.
00:46:55: Ich glaube, wir wählen Leben in einem Zeitalter, wo Menschen sich gerne beschweren.
00:46:58: Ich nehme mich da nicht aus.
00:47:00: Also, um vielleicht nochmal anzuknüpfen, ich meine, ihr habt ja, Frederik, mit eurem White Paper habt ihr ja eure, sagen wir mal, natürlichen Antipoden, die sich immer wieder gerne äußern.
00:47:10: Das sind insbesondere in Deutschland die Wirtschaftsverbände und hier besonders die Digitalwirtschaftsverbände.
00:47:16: Also, wir liegen immer im Ohr Da kriege ich in regelmäßigen Abständen Pressenmitteilungen, wie schlimm der Datenschutz vom Bit kommt, zum Beispiel, oder vom Bundesverband der Digitalwirtschaft auch gerne genommen.
00:47:27: Jetzt gerade zum Datenschutztag, wann der war, am siebenzwanzigsten ersten, glaube ich, hat das wieder Pressenmitteilungen gehagelt, also der Bundesverband der Digitalwirtschaft zum Beispiel hat mir dem zu gefordert.
00:47:40: dass man doch bitte den Datenschutz-Tag, den Datennutzungstag umbenennen soll, um das Paradigma endlich mal zu ändern.
00:47:47: Das wird
00:47:47: alles ändern.
00:47:49: Und ich darf vielleicht Frau Susanne Demel, Mitglied der Bitcoin-Geschätzleitung, zitieren.
00:47:56: Datenschutz gilt als das Innovationsheimnis Nummer eins in der deutschen Wirtschaft.
00:48:01: Dabei müsste das nicht so sein.
00:48:04: Und sie stellt in dem Zuge dann wieder auf den Omnibus ab und sagt halt wird es alles.
00:48:08: höchste Zeit, eine DSG-Faoreform.
00:48:11: und was wir dringend brauchen ist den Umgang mit pseudonymisierten Daten, weil ohne können wir nicht weiterarbeiten und so weiter und so fort.
00:48:17: Also es ist immer eine neue Sau, die dich so aufgetrieben wird, habe ich den Eindruck.
00:48:23: Wirst du dessen müde oder sprichst du auch viel mit den Leuten und haben sie auch Verständnis zu deiner Position oder?
00:48:31: Die erste Frage muss natürlich oft lauten, woran liegt es wirklich?
00:48:34: Machen wir uns ehrlich, woran liegt es wirklich?
00:48:36: Sind es die Vorschriften zum Datenschutz im Gesetz?
00:48:38: Ist es die Umsetzung des Datenschutzes in den Unternehmen, die so schwierig ist, weil das keiner versteht, wie er es machen soll?
00:48:45: Oder sind es die Leitschnüre der Aufsichtsbühren, die zu wenig in ihrer Art sind, zu unverständlich, zur Praxis fern?
00:48:52: Also, wenn ich da ganz kurz einhören darf, das Schlagwort, was immer, immer im ersten Satz auftaucht, ist Bürokratie.
00:49:00: Datenschutz ist sorgt bei uns nur für mehr Bürokratie ohne Nutzen.
00:49:04: Das unterschreib ich.
00:49:07: Also das unterschreib ich in den Fällen, wo wir vernachlässigbare Risiken mit großer Bürokratie belegen.
00:49:13: Da muss sie wirklich weg, weil das ist einfach gleichheitswidrig zu sagen, wir behandeln ungleiche Risiken mit den gleichen Methoden.
00:49:21: Das sind
00:49:22: zwei, drei Beispiele oder mal ein?
00:49:24: Ja, es ist doch einfach nicht effizient.
00:49:26: Also das können wir nicht an der Betriebsgröße festmachen.
00:49:29: Angenommen, da ist ein kleiner Handwerksbetrieb.
00:49:31: Der macht das, der betreibt das übliche Geschäften unter den Handwerksbetriebs.
00:49:36: Er hat eine Website, der informierte über seine Dienstleistungen.
00:49:39: Er hat da keine besonderen Tools, um die Leute zu beobachten, während sie seine Preise durchlesen auf der Website.
00:49:45: Es wird nicht an hundert Unternehmen weitergeleitet, was der Handwerksinteressierte nicht kennt und so weiter.
00:49:52: Und trotzdem muss er das alles dokumentieren nach Artikel fünf im Rahmen seiner Rechenschaftspflicht.
00:49:59: Das ist aus meiner Sicht Unsinn, weil wir da ganz kleine Risiken mit einem Instrumentenbesteck behandeln, die für große Risiken eigentlich geschaffen wurden.
00:50:09: Das heißt, diese Idee aufzuteilen, wie der in der KI-Verordnung, der KI-Regulierung, wo wir große Risiken ganz anders behandeln als ganz kleine oder vernachlässigbare Risiken.
00:50:20: Da müssen wir auch im Datenschutz hin.
00:50:22: Es gibt natürlich nicht das Nullrisiko, aber wir können nicht sagen, ja, da könnte, da könnte, da könnte.
00:50:29: Da müssen wir trotzdem mit dem vollen Programm an Pflichten darauf werfen.
00:50:32: Das kann es nicht sein.
00:50:33: Und am anderen Ende der Skala müssen wir eben auch nachschärfen, dass die Bürgerinnen und Bürger nicht das Gefühl haben, ich kriege das Cookie-Banner und der Große kommt mit meinen Daten weg und die Data Broker kriegen wir auch nicht zu fassen.
00:50:45: Wenn das das Bild des Datenschutzes ist, darauf wird die Politik irgendwann antworten und wir wollen ja nicht, dass der Datenschutz dann komplett abgeräumt wird.
00:50:52: Ich meine jetzt nicht die Grundrechtekarte, das ist nicht möglich, aber die Idee ist, geholt in ihrer konkreten Gesteilung.
00:50:57: Weil das europäische Primärrecht sagt nur, das Verfassungsrecht, es muss ein Auskunftsrecht geben, es muss eine Aufsichtsbehörde geben, es muss ein Berichtigungsrecht geben und es gibt ein Recht am Datenschutz.
00:51:07: Aber wie das alles umgesetzt wird, einfach gesichtlich, da steht da nicht drin.
00:51:11: Das heißt, im Rahmen von Artikel acht Grundrechte, da können wir alles neu machen oder wollen, das müssen wir gar nicht.
00:51:16: Wir müssen es aber nachschärfen, wenn wir sehen, Es passt nicht.
00:51:20: Und jetzt deswegen sehe ich ja auch Chancen in diesem Omnibus-Prozess.
00:51:23: Vieles ist umstritten.
00:51:25: Es gibt ganz viel Geschrei, was mir in seiner naturalen Tonalität auch nicht immer geschält im Netz.
00:51:30: Aber zumindest haben wir die Diskussion eröffnet und können über eine echte, risikodifferenzierende Datenschutzregime sprechen.
00:51:38: Und das müssen wir aus meiner Sicht auch.
00:51:41: Das wiederum werde ich unangeschränkt unterschreiben.
00:51:43: Die spannende Frage ist halt nur, wo kommt es raus?
00:51:46: darf dann natürlich nicht so bei völlig, ich muss das mal so nennen, völlig schwachsinnigen Reformen, Ideen, wie wir schaffen einfach die betrieblichen Datenschutzbeauftragten ersatzlos ab und dann passiert irgendwie, dann wird der Datenschutz
00:52:00: irgendwie
00:52:00: komisch wurden, über alles besser, wo sich keiner drum kümmert.
00:52:05: Ich glaube, da sind wir uns alle drei sehr einig, dass das ja seit blöde Idee ist.
00:52:10: Also es gibt zurzeit viele böle Ideen und das verstehe ich auch nicht, weil wir haben so viel Sachverstand im Datenschutz in der Europäischen Union und in Deutschland sowieso.
00:52:21: Wir haben es ja erfunden angeblich das Datenschutzrecht und stimmt ja legislatorisch auch und wir müssen diese ganze Energie, die wir haben, in gute Vorschläge bringen.
00:52:31: Und wenn wir jetzt sagen, es ändert sich an den DSG veropflicht nichts, aber wir schaffen erstmal die Beauftragten ab, in denen Organisationen, die dabei helfen sollen, die noch nicht mal selber umsetzen müssen.
00:52:42: Nach der gesetzlichen Idee müssen die der Rechtsabteilung helfen oder der Unternehmensleitung das Ganze umzusetzen.
00:52:47: So, die nehmen wir aus dem Spiel.
00:52:49: Was wird dann besser?
00:52:50: Im Zweifel gar nichts.
00:52:52: Nun kann man natürlich sagen, die, die das fordern, die Beauftragten abzuschaffern, die fordern ja auch Teile der DSGVO abzuschaffen.
00:52:58: Also wenn man so radikal sehen will, wird wieder ein Schuh draus, aber das ist ja... Keine realistischen, auch keine vernünftige Sicht.
00:53:06: Und
00:53:06: dann auch die zentrale Delegierung an die BFDI.
00:53:11: Ja, und da kommt es darauf an, wie man es macht.
00:53:16: Es hat natürlich überhaupt keine Auswirkungen für die Praxis, jetzt die Bundesaufsicht um zu benennen.
00:53:21: Das bringt auch nichts.
00:53:23: Es bringt aber auch nichts, alles so zu lassen, wie es ist und zu sagen, Egal, wie viele Bundesländer ein Sachverhalt betrifft und egal, wie viele Bundesländer ein großer Akteur oder ein Forschungsverbund tätig ist, wir lassen alles aufgespalten und dann müssen die sich mit bis zu einem halben Dutzend verschiedener Meinungen und Auslegungsnionsen zum europäischen einheitlichen vollharmonisierten Recht auseinander setzen.
00:53:47: Das kann es auch nicht sein.
00:53:48: Wir brauchen natürlich ein Reformprozess und da muss man auch wieder Risikoadäquat oder Größe skaliert, das ganze angehen, dass jetzt der Bäcker an der Ecke, der so oft bemüht wird, weiter, wenn er ein Datenschutzproblem tatsächlich mal haben sollte zu seiner Aufsichtsbehörde geht, ob er da wirklich hingeht, dass man weiter hingestellt.
00:54:07: Im Zweifel ist alles fernkommunikativ, also dieses Dieses Wartezimmer, was da oft bemüht wird nach dem Motto, denn ist der Weg so schön kurz zur Landesaufsicht, das halte ich nicht ganz für realistisch.
00:54:18: Aber trotzdem natürlich kennt eine Landesaufsicht vielleicht die regionale Wirtschaft da besser als die Bundesaufsicht.
00:54:25: Das kann dann auch gern so bleiben.
00:54:27: Aber zu sagen, übergreifende Sachverhalte lösen wir auch übergreifend einheitlich auf Bundesebene.
00:54:32: Dafür habe ich sehr viel Sympathie.
00:54:35: Ich muss hier aber auch tatsächlich mal eine Landswürfel, die Landesdatenschutz beauftragten werden.
00:54:40: Ich habe den Eindruck, was sicherlich auch dem Druck geschuldet ist, dass die sehr viel sich stärker zusammenraufen und sehr viel mehr mit einer Sprache sprechen, soweit ich das wahrnehme in meiner Umgebung.
00:54:50: Also das erlebe ich sehr stark.
00:54:54: Wir machen kurz noch die zwei anderen Punkte aus dem Paper, das ich sie zumindest genannt habe.
00:54:58: Der dritte Punkt ist Risikomanimierung und finanzieller Vorteil.
00:55:02: Das heißt, euer These ist professionell umgesetzt zur Datenschutzmaßnahmen.
00:55:07: Erhöhen die unternehmerische Resilienz und mindern das Risiko von wirtschaftlichen Eingussen, Betriebsausfällen oder von Sanktionen betroffen zu sein.
00:55:17: Von Sanktionen würde ich unterschreiben.
00:55:20: Und der letzte Punkt, um ihn auch mal schnell zu nennen.
00:55:22: Das zählt auf Artikel thirty-two und das habe ich schon erwähnt.
00:55:27: Ja, aber da sind natürlich auch andere Gesetze inzwischen, also das ist jetzt keine, also wenn ich nicht zwei anschaue, geht das in eine ganz ähnliche Richtung.
00:55:33: Ah, New York, wir kämpfen für den Datenschutz, da müssen wir ein bisschen parteiischer sein.
00:55:38: Der
00:55:39: vierte Punkt, Datenschutz aus Bekanntheil, Bestandteil der Corporate Governance, ein guter Datenschutz Governance schützt automatisch auch interne Geschäftsgeheimnisse, Know-How und den USP.
00:55:48: Na ja, bei USP bin ich mir nicht so sicher, bei den anderen Sachen würde ich das unterschreiben.
00:55:53: Ja, beim USP sind wir noch nicht am Ziel, um das kurz zu sagen.
00:55:56: Wir müssen heute noch mehr Ihre Anbieter nach Datenschutz-Gesichtspunkten auswählen.
00:56:00: Das tun Sie noch nicht so, wie wir davon träumen.
00:56:03: Das ist richtig.
00:56:05: Das andere, um den Punkt aus der Bürokratie-Au-Parecke noch mal kurz anzuwählen, so Datengabernenz ja auch gehört.
00:56:11: Das ist ja der andere dumme Vorschlag, den ich gehört habe.
00:56:14: Wir wollen jetzt das Verfahrensverzeihendes abschaffen.
00:56:17: Aber die Idee kommt, Dokumentationspflichten bleiben.
00:56:19: Es muss, aus meiner Sicht, bei kleinen Organisationen genau andersrum sein.
00:56:24: Bei Verarbeitungsvorgängen ohne großes Risiko können wir die Dokumentationspflichten lassen.
00:56:29: Aber das zentrale Inventurregister, das Hauptbuch des Datenschutzes, das Verfahrensverzeichnis über Verarbeitungstätigkeiten, bevor ihr Leserbriefe kriegt, dass es falsches Wording ist.
00:56:40: Also das muss auf jeden Fall bleiben und das ist auch nicht das Hauptbürokratieübel.
00:56:48: Dazu gut passend.
00:56:50: Es gibt eine Umfrage, wenn man sich für nur kurz angesprochen von Bitcoin.
00:56:55: Stackshundert irgendwas unternehmen.
00:56:58: Zum Datenschutz und wer die bisherigen Umfragen von der Bitcoin zum Datenschutz kennt, ist nicht wirklich überrascht, was da rauskommt.
00:57:06: Allerdings muss ich sagen, als jemand, der viele Unternehmen in dem Bereich bereit bin ich es auch nicht, ehrlich gesagt, weil ich dadurch aus die gleichen Wahrnehmungen habe.
00:57:15: Sagst du nochmal kurz die Ergebnisse so ein bisschen?
00:57:16: Ja,
00:57:17: ja, komm ich jetzt zu.
00:57:18: Das heißt, das fängt nämlich an mit neun-sebzig Prozent der Unternehmen, fordern von der Deutschlandpolitik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt.
00:57:27: Davon sind einundsebzig Prozent, was dann aber auch gar nicht mehr so viel ist.
00:57:31: Der Meinung, die DSG vor oben müsse gelockert werden, was die anderen holen, ist mir da nicht ganz klar, Verschärfung, keine Ahnung.
00:57:39: Dann rund zwei Dritteln hat der Aufwand im vergangenen Jahr weiter zugenommen.
00:57:43: Inzwischen bezeichnen ihn siebenundneunzig Prozent als sehr hoch oder eher hoch.
00:57:52: Und was war hier noch?
00:57:53: Wir sind eine ganze Menge zahlen.
00:57:56: Für Unternehmen sind die größten Herausforderungen bei der Umsetzung, dass dieser Prozess nie abgeschlossen ist.
00:58:04: So wie die Unsicherheit zu genauen Vorgaben der DSGVO, immerhin zweiundachtzig Prozent.
00:58:10: Das wäre ein lösbares Problem, ist aber nicht gelöst worden, sondern es ist irgendwie schlimmer geworden seit Beginn der DSGVO.
00:58:17: Und auch das kann ich sehr bestätigen aus meinem Alltag, die immer wiederkehrende Prüfung beim Aushäulen.
00:58:23: Neuer Tools, siebenundsiebzig Prozent.
00:58:28: Allgemein zu hohe Anforderungen und sechzig Prozent also schon alles ziemlich, ziemlich eindeutig inwieweit jetzt man jetzt diese Bitcoin Ergebnisse werden kann.
00:58:36: Sechsunderte Unternehmen jetzt aber auch nicht so wenig.
00:58:39: Das ist nicht so schmeichelhaft.
00:58:41: den Datenschutz.
00:58:43: Ja, also wenn ich jetzt nicht Datenschützer wäre, sondern Leiter eines Unternehmens und man hätte mir ein Mikro und fragt, finden die Datenschutz eigentlich toll.
00:58:52: Das macht ziemlich einen Aufwand.
00:58:55: Und ob das mir jetzt richtig viel bringt und warum ich das alles machen soll, das weiß ich auch nicht.
00:59:00: In diese Richtung zielt ja unser White Paper nochmal ein bisschen auf den Kern zu blicken und zu sagen, was eigentlich bei Datenschutz alles mitgekauft ist, nämlich auch IT-Sicherheit, Resilienz, Data Governance, Computationsaufbau, auch wenn wir nicht am Ende des Weges sind.
00:59:14: Und warum das dann konkret so nervt, dass mit diesen Unsicherheiten, ja, da können viele dran mithelfen.
00:59:20: Da kann der Gesetzgeber mithelfen.
00:59:22: Wenn er nicht irgendetwas, die kommt darauf an ins Gesetz schreibt, wir hatten jetzt gerade das Thema Umgang mit minderjährigen Daten.
00:59:28: Da steht im Gesetz, ja, diese Vorschriften gelten insbesondere, wenn es um die Verarbeitung der Daten von Kindern geht.
00:59:34: Und dann fragt sich jeder, was heißt denn das nur genau?
00:59:39: Die DSK hat ein Papier vorgelegt, wo das dann auch noch mal betont wird.
00:59:43: Ja, dies gilt insbesondere, wenn es um Kinderdaten geht.
00:59:46: Und als Praktikerin und Praktikerin würde ich fragen, was soll ich jetzt konkret machen?
00:59:50: Leute, sagt mir, was ich machen sollten, die DSK-Programme umzusetzen und sagt mir nicht, dass das alles schwierig und wichtig ist.
00:59:55: Das weiß ich, das habe ich schon öfter gelesen.
00:59:57: Stichwort Anonymisierung.
01:00:00: Ich will wissen, wie ich ordentlich anonymisiere und dann mache ich das auch, weil ich will keinen Rechtsverstoß.
01:00:06: Dann gucke ich, was gibt's denn da im Gesetz?
01:00:08: Da steht nix.
01:00:09: Was gibt's da in der Gesetzgebung?
01:00:10: Da gibt's die Diskussion.
01:00:12: Die hilft mir auch nicht weiter.
01:00:13: Und dann, okay, dann gibt's doch bestimmt was bei der Aufsicht.
01:00:18: Die deutsche Aufsicht hat jetzt zumindest ein Papier in Arbeit.
01:00:22: Das wartet aber noch auf ein Papier aus Europa.
01:00:25: Und das Papier in Europa wartet da eigentlich auf den EUGH.
01:00:28: Der EUGH hat geliefert.
01:00:29: Und das Papier in Europa gibt es immer noch nicht vom europäischen.
01:00:33: Datenschutz Ausschuss.
01:00:34: Da könnte drin stehen, wie man es macht, damit man es richtig macht.
01:00:37: Das Vorgängerpapier ist jetzt zwölf Jahre alt.
01:00:40: Also das ist älter als die DSGVO.
01:00:44: Das bringt niemandem mehr irgendwas.
01:00:46: Und die Leute stehen im Regen, weil sie wollen es richtig machen.
01:00:49: Wir haben selber als Stiftung Datenschutz vor mittlerweile vier Jahren einen Leitfahren zum Anonymesien herausgegeben.
01:00:55: Aber die Leute wollen natürlich eher von der Aufsichtsfassur als von der kleinen Bundesstiftung.
01:00:59: Und das kommt nicht.
01:01:00: Das heißt, da sind alle in der Pflicht zu liefern.
01:01:02: Dann gehen auch diese Zahlen.
01:01:04: Aber ein gutes Thema, um es noch mal zu bogen.
01:01:10: Das würde ich sehr gerne.
01:01:13: Aber es reicht eben nicht.
01:01:15: Und dann gehen auch diese Zahlen mit der Unsicherheit runter, wenn man den Leuten mehr an die Hand gibt.
01:01:20: Und wir haben in der DSGVO stehen, die Aufsichtsbehörden müssen bei den Datenschutzfolgenabschätzung Blacklist rausgeben.
01:01:29: Also was man nicht machen darf, ohne Datenschutzfolgenabschätzung.
01:01:33: Und da steht dann weiter.
01:01:34: Und sie können Widelists herausgeben.
01:01:37: Das heißt, sie können sagen, in diesem Fall braucht ihr keine Datenschutzfolgenabschätzung.
01:01:41: Das eine haben sie gemacht, das andere haben sie nicht gemacht.
01:01:44: Und ich hörte jetzt auf einer Veranstaltung einen Landesbrauchtagent, der sagte, also so weit ich weiß, ist da gar kein Bedarf an diesen Widelist.
01:01:51: Da hab ich noch nie von Problemen gehört.
01:01:53: Ich hör aus der Wirtschaft,
01:01:54: die
01:01:55: möchten klare Leitplanken innerhalb der Sicht bewegen können.
01:01:59: Die möchten wirklich mehr... Einfacher Maßgaben, das dürft ihr nicht, aber wenn ihr es so macht, dann dürft ihr es.
01:02:06: Und nicht immer nur es kommt drauf an und bittet prüft den Einzelfall, weil das kriegen gerade die Kleinen einfach nicht hin ohne teure externe Hilfe.
01:02:14: Und selbst dann kriegen sie flatt hin.
01:02:16: Gut, aber das ist doch ein Ausfluss des Problems, was wir am Anfang genannt haben, nämlich, dass die DSGVO in vielen Punkten als Grundverordnung so unbestimmt ist.
01:02:26: Damals war es uns ja schon klar, als sie in Kraft getreten ist, dass wir minimum zehn Jahre dauern, bis sie so ausgelegt ist, dass man irgendwie, dass es diese Leitplanken eben gibt und die Leitplanken können eigentlich nur vom EUGH kommen, wo sonst sie sonst herkommen.
01:02:38: Ja,
01:02:38: aber wir beschäftigen uns ja oft mit dem EUGH, so, ich werde da rein rede, weil mir das gerade auch auf den Lippen brinnt.
01:02:45: Da kommt ja im Wesentlichen jetzt auch nichts, was irgendwie hilfreich ist.
01:02:49: oder bei den ganz vielen Entscheidungen, die ich jetzt so an Russ-Media, ich kann es jetzt nicht mehr kurz erklären, lehst es nach.
01:02:58: Dann macht das alles nur noch schlimmer, also das Sorry, dass ich dir da reingeredet habe.
01:03:03: Ja, ist schon richtig.
01:03:04: Ich stoße eigentlich in das gleiche Horn.
01:03:06: Also, diese Leitplanken sind teilweise immer noch nicht da, Bruderik.
01:03:10: Und die Aufsichtsbehörden können sich ja auch nur unterhalten, weil dann bringen sie jetzt eine Orientierungshilfe raus oder einen Beschluss und ein halbes Jahr später.
01:03:18: Deswegen sagst du, ja, warten Sie immer auf die ORGH-Entscheidungen, wenn da welche anstehen, weil da sind die Leitplanken an, die Sie sich dann auch richten müssen bei Ihrer Auslegung.
01:03:27: Aber ich meine, das zieht sich von Anfang an durch.
01:03:29: Du sagst jetzt das Thema Kinder- und Jugendschutz.
01:03:33: in der DSGVO, genau dasselbe Problem haben wir auch im Digital Services Act, im DSA.
01:03:38: Da reden sich die Juristen auch gerade, die Köpfe heißt, darüber geht eigentlich aus diesem Gesetz hervor, dass wir eine Altersvalidierung bei sozialen Netzwerken brauchen oder nicht.
01:03:47: Manche sagen so, manche sagen so, die ... Wenn man sich die Artikel in der Verordnung anguckt, sind sie doch ziemlich unbestimmt.
01:03:55: Es geht eigentlich nicht direkt aus hervor, dass eine Altersvalidierung verpflichtend ist, aber es muss halt alles Menschenmögliche getan werden, dass die Plattformen das realisieren.
01:04:03: Also alles so ein bisschen unbestimmt.
01:04:06: Und ich kann mich noch gut erinnern, das fand ich ja den größten Fail ganz am Anfang von der DSGVO.
01:04:11: auch was, wo ich da die Unternehmen sehr gut verstanden habe, dass jeder darauf gewartet hat, dass die Zwillingsverordnung kommt, nämlich die E-Privacy-Verordnung.
01:04:20: Und alle haben darauf gewartet, dass da jetzt endlich mal endlich mal geklärt wird, wie es jetzt mit den Cookies konkret aussieht.
01:04:26: Und dann kam es nicht.
01:04:27: Und dann kamen, weißt du noch damals, Jörg, dann kamen die DSK vier Wochen vor die... vor dem Mai, dass die DSGVO wirksam wurde, mit einer Empfehlung um die Ecke von wegen.
01:04:40: Wir können euch gleich sagen, wer nicht Wer nicht nachfragt oder die Einwilligung einholt, bevor er dritt an mit der Cookie setzt, der hat ein echtes Problem mit uns.
01:04:50: Und das können wir euch jetzt schon sagen.
01:04:52: Und plötzlich kam halt diese Cookie-Schwämme.
01:04:54: Vorher war das, glaube ich, vielen noch nicht so klar, dass das jetzt so plötzlich mit der DSGVO bei uns herein bricht.
01:05:00: Und das sind Leute, aber auch das steht ja nicht in der DSGVO.
01:05:03: Das ist ja auch was, was die Aufsichtsbehörden ein bisschen reinterpretiert haben, dass es jetzt so sein muss.
01:05:09: Also an der Stelle kann der Omnibus ja wirklich mal was Gutes bewirken, es wird ja alles mögliche kritisiert, eigentlich wird alles von allen kritisiert, aber ich möchte eine Lanze für den Kommissionsvorschlag in dem Bereich brechen, weil diese Diskrepanz zwischen der, ist zwischen dem ePrivacy recht, weil es diese Werbekuckis reguliert und den sonstigen Datenschutzrecht legt ja aus der Hand, dass wir bei Werbekuckis, die zwar auch risiken, wie jede Datenverarbeitung riesigen bergen können, dass wir da voll auf die Einwilligung setzen bei anderen Datenverarbeitungspraktiken, aber nicht, dass man das mal systematisiert und gleichsetzt.
01:05:45: Das ist sicherlich okay, dass man dann aber auch Instrumente zum Operationalisieren dieser schwierigen Prozesse einführt oder fördern will.
01:05:57: Das ist auch wichtig, weil seit Jahren gibt es Ideen dafür, wie wir diese Cookiebeiner in den Griff kriegen, indem man sagt, ich stelle das einmal ein, ich lasse alle Cookies zu oder ich lasse gar keine Cookies zu oder ich lasse bestimmte Arten für Cookies zu.
01:06:11: Das wäre technisch natürlich überhaupt kein Problem, das zu implementieren, aber es gibt halt keine Vorschriften dazu.
01:06:17: Und wir haben dann die E-Prives hier richtig...
01:06:20: Sorry, es gibt aber auch keine Lobby dafür.
01:06:22: Also es gibt eine Lobby dagegen.
01:06:24: massivst.
01:06:25: Nämlich diejenigen, die auf die Einnahmen, die mit Tritt an die Kokis, mit Tracking-Kokis generieren, angewiesen sind.
01:06:32: Und die schreien natürlich zählter in dem Audio, wenn du sagst, das ist ja das Argument von Do not track und auch das Argument, das jetzt im Omnibus kommt von wegen, ich kann einmal ein Einsagen und dann werde ich sechs Monate lang von der Website in Ruhe gelassen.
01:06:46: Auch dagegen wird jetzt wieder fleißig lobbyiert, weil das natürlich der Tod für ein ganzes Geschäftsmodell bedeutet.
01:06:52: Und da werden die Teile der Wirtschaft dann auch wieder sagen, ja, von wegen Datenschutz befördert uns.
01:07:02: Datenschutz sorgt dafür, dass wir hier beim Quad gehen, weil wir keine Werbeeinnahmen erzielen können mit Personalität der Werbung.
01:07:09: Gut, aber man kann ja nicht sagen, dann lassen wir auch da alles, wie es ist, weil alle Vorschläge schwierig sind.
01:07:15: Und dann werden die Leute halt vom Kuckibanner weiter täglich tausendmal genervt, am Ende sind sie vom Datenschutz genervt und haben nichts dagegen, wenn die Politik damals richtig durchklar hat, böse gesprochen.
01:07:25: Das kann es auch nicht sein.
01:07:26: Also entweder gibt es ja mehrere Optionen, entweder wir verbieten Werbelkuckis, was jetzt manche aus dem Verbraucherschutz fordern, oder wir sagen, berechtigtes Interesse.
01:07:37: Das sagen viele, die sagen wir machen das systematisch mit der DSGVO.
01:07:40: Und dann kann man ja wieder sprechen.
01:07:42: Das steht dann in den Datenschutz hinweisen, aber dann gibt es kein Banan mehr, weil ich brauche keine Allbedingung mehr.
01:07:49: Da führen wir jetzt natürlich noch ganz neue Diskussionen, weil wir eben auch über Eingriff in Endgeräte sprechen.
01:07:54: Dann auch, was Jörg hat anklicken lassen, über Medien müssen wir da sprechen.
01:07:59: Die Kommission sieht ja eine Ausnahme vor.
01:08:01: Also sieht erst mal vor, ich kann das machen.
01:08:03: Einen Tool sagen, ich will keine Cookies.
01:08:05: Und keiner darf mich dann fragen für ein paar Monate, außer die Medien.
01:08:09: Die dürfen praktisch an dieser Cookie-Systematik vorbei, an dieser neuen, da sagen andere, na ja, aber das Datenschutzrecht ist doch nun wirklich der falsche Ort für Mediensubventionen.
01:08:23: Also da kann man jetzt auch Medienpolitisch drüber überstreiten.
01:08:26: Wie macht man das mit der Refinanzierung nach zwei Jahrzehnten kostenlos Kultur, nach einer Anfütterung der Nutzenen mit kostenlosen Medien halten?
01:08:36: Wie schützen wir da die Qualitätsmedien und helfen da nicht den falschen... Große Diskussion, also das E-Privacy-Thema ist der Hartenmüsse im Datenschutz.
01:08:50: Ja, ich würde mal zum Ende kommen.
01:08:52: Also ich habe mir das Papier mit White Paper Papierklinien zu abwehren.
01:08:57: Das White Paper mit Interesse durchgesehen.
01:09:01: Ich habe viel gelesen.
01:09:02: Also ich empfehle es auch zum Lesen.
01:09:03: Ich habe viel gesehen, was ich unterschreiben kann.
01:09:04: Ich habe viel gesehen, was ich nie unbedingt unterschreiben kann.
01:09:06: Ich finde, das würde ich jetzt aber nicht wirklich überraschen.
01:09:10: Frederick ist genauso schwierig zu sagen, der Datenschutz ist an allem schuld, dann alternativ zu sagen, der Datenschutz ist völlig problemlos und der macht uns allen überhaupt kein Problem im Alltag.
01:09:21: Und alles in der DSGV ist super.
01:09:23: Das stimmt sicherlich auch nicht.
01:09:26: ist auch nicht so meine tägliche Erfahrung im Umgang mit Datenschutz.
01:09:30: Aber nichtsdestotrotz, finde ich, in dem Papier sind wertvolle Anregungen und von daher empfehle ich es zu lesen.
01:09:37: Und würde sagen, damit kommen wir auch zum Ende.
01:09:40: Wir haben schon wieder die einstunden Regel gut gerissen.
01:09:45: Danke dir, Frederik, ganz herzlich, dass du unser Gast warst.
01:09:48: Das war wie immer sehr interessant.
01:09:51: Ja, ich war sehr gerne hier, das White Paper findet sich auf der Website, auf der Homepage, der Stiftung, Stiftungartenschutz, Stiftungartenschutz.org.
01:09:59: Ich freue mich über euer Interesse nach.
01:10:02: Das verlinken wir ohnehin in den Show Notes, auf jeden Fall genauso wie auch das Bußgeld der Woche, wo ich ja hingewiesen wurde, dass wir das doch bitte tun sollen, mache ich gerne.
01:10:11: Ja, auch von mir, Frederik, vielen, vielen Dank.
01:10:13: Hat Spaß gemacht.
01:10:14: Ich hätte jetzt noch ganz viel zu sagen gehabt.
01:10:16: Oh, ich
01:10:17: hätte noch ein lockerer Stand.
01:10:18: Das wäre schwer, wenn man so schön
01:10:20: ist.
01:10:23: Lass uns das mal schön... Wenn du mal wieder in Handung vor bist, dann gehen wir mal aus Essen und dann führen wir diese Diskussion weiter.
01:10:30: Dann wahrscheinlich mit noch härteren Medagen als hier.
01:10:33: Ja, privaten muss ich ja nicht mehr so freundlich sein.
01:10:37: I'll be back.
01:10:42: Ich möchte noch ganz kurz darauf hinweisen, dass ihr diese und alle Episoden unter ct.es-Auslegungssache findet, dort auch mit der Möglichkeit, sie zu kommentieren und uns auch Kritik oder Lob zu hinterlassen.
01:10:55: Auch alles anhörbar ab Episode I, auch die beiden älteren Episoden mit Friedrichsen da zu finden.
01:11:02: Ihr könnt uns jederzeit kontraktieren unter auslegungssacheatct.de.
01:11:08: Ja, das war's schon mit dem Housekeeping.
01:11:09: In diesem Sinne sage ich auch, tschüss bis in Verzindern.
01:11:12: Tschüss,
01:11:14: tschüss.
Neuer Kommentar