00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT, mit Dr. Klaus Meffert

00:00:10: und Stephan Plesnik.

00:00:12: Ja, hallo und herzlich willkommen, liebe Hörer, diesmal begrüße ich euch, Stephan Plesnik

00:00:16: hier zu einer neuen Folge vom Datenschutz Deluxe Podcast mit mir und Klaus Meffert.

00:00:22: Ja, hallo.

00:00:23: Und ich, wir hatten ja beim letzten Mal über den Google Tag Manager gesprochen und

00:00:28: schon das Thema Einwilligung, dieses ominöse Thema, wo man auf Webseiten kommt und immer

00:00:32: so hübsche Cookie Boxen sieht, die einem dann angeblich ermöglichen, selber zu kontrollieren,

00:00:37: wohin welche Daten übertragen werden.

00:00:39: Und ich dachte, vielleicht wäre das ein ganz spannendes Thema, so als Follow-up für

00:00:43: den Google Tag Manager, dass wir mal wirklich in der Tiefe darüber sprechen, welche Tools

00:00:49: gibt es, die funktionieren, warum funktionieren manche und warum gibt es eigentlich

00:00:54: Cookie Boxen beziehungsweise Consent Manager, die nicht funktionieren.

00:00:57: Und das wäre eigentlich auch meine erste Frage an dich, Klaus.

00:01:00: Kannst du einmal in vielleicht ein paar wenigen Worten beschreiben, wo genau das Problem liegt,

00:01:05: dass du schon häufiger mal in Blog Artikeln geäußert hast, bezüglich dem Einsatz von

00:01:10: solchen Consent Management Tools beziehungsweise solchen Cookie Boxen, wie sie häufig genannt

00:01:15: werden?

00:01:16: Ja, Stephan, hallo erst mal möchte ich sagen, schön, dass wir uns wieder hier zusammen

00:01:19: finden und hallo auch an die Zuhörer, ich hoffe, es wird wieder eine spannende

00:01:24: Folge und vielen Dank, Stephan, auch, dass du das jetzt wieder moderierst und für den

00:01:29: Frank Kremin übernommen hast.

00:01:30: Das wollte ich vorab nochmal loswerden.

00:01:32: Also zu deiner Frage, das Problem bei den Consent Tools ist das eine, dass viele eben

00:01:39: denken, es geht nur um Cookies.

00:01:40: Wir alle reden jetzt sozusagen von Cookie Tools oder du hast Cookie-Bot gesagt oder

00:01:46: Cookie-Banner oder Cookie-Popup.

00:01:47: Wir nutzen diese Begriffe beide ja auch, weil es einfacher ist, als von einer Einwilligungsverwaltungslösung

00:01:54: zu sprechen oder von einem Consent Management.

00:01:56: Also es geht nicht nur um Cookies, es geht auch um viele andere Dinge.

00:01:59: Es geht um Nutzerprofilbildung, es geht um Datenverarbeitung, die nicht notwendig ist, wo es

00:02:06: also mildere Mittel gibt, die auch nicht im berechtigten Interesse das Webseitenbetreibers

00:02:11: zum Beispiel oder App-Betreibers liegen kann, weil es eben einfacher Mittel gibt oder bessere

00:02:16: Mittel hinsichtlich des Datenschutzes.

00:02:18: Wenn man also nur auf Cookies geht, dann ist es schon der erste Fehler.

00:02:21: Der zweite Fehler ist, dass angenommen wird von vielen, dass diese Cookie Tools einen automatischen

00:02:29: Cookie Blocker hätten.

00:02:30: Also erst mal kann man Cookies selbst gar nicht blockieren, sondern man kann höchstens Dienste

00:02:34: oder Tools oder Plugins, das selbe ist, andere Begriffe, diese Tools kann man blockieren

00:02:41: und diese Tools würden dann also keine Cookies nachladen, so die Theorie.

00:02:45: Aber ein Cookie selbst kann man schon mal nicht blockieren.

00:02:47: Ein Tool selbst kann man aber auch nicht zuverlässig blockieren.

00:02:51: Das hat technische Gründe, auf die können wir gerne nochmal näher eingehen.

00:02:54: Und dann ist es auch so, dass die Angaben in diesen Cookie Tools einfach nur geraten sind.

00:02:59: Das ist jetzt kein Vorwurf, das ist einfach eine Feststellung.

00:03:01: Man kann es auch gar nicht anders tun, weil Google und andere Firmen, die gerne Daten klauen.

00:03:06: Ich sage es jetzt mal mit meinen Worten, die möchten, die sagen einfach gar nicht,

00:03:10: was da so passiert bei Google und so weiter.

00:03:14: Das heißt, wir wissen es gar nicht, was da passiert und deswegen können wir es auch

00:03:17: gar nicht erklären.

00:03:17: Also das ist so in ganz schnell gesagt, das sind einige der Probleme

00:03:21: mit diesen sogenannten Cookie Tools.

00:03:24: Okay, also wenn ich das mal zusammenfasse, dann würde ich sagen,

00:03:28: habe ich jetzt im Endeffekt drei kritische Punkte identifiziert.

00:03:32: Der erste ist, Cookies kann man gar nicht blockieren, das ist eine Superinfo.

00:03:37: Der zweite ist, die meisten Angaben zur Ausführung, die ich gebe,

00:03:41: wenn ich darüber meinen Nutzer informiere, sind zwangsläufig geraten,

00:03:45: weil ich einfach gar nicht genug transparente Information von den Herstellern

00:03:49: selber habe, wo die Daten hinübertragen werden, wie damit umgegangen wird.

00:03:53: Und dann, dass wir bestimmte andere Funktionalitäten, externe Verbindungen

00:03:58: zu anderen Diensten, wo Daten übertragen und gesammelt werden,

00:04:01: nicht zuverlässig identifizieren beziehungsweise blockieren können.

00:04:05: Ja, also das ist der Dritte vielleicht, beim Dritten weint ich jetzt vor allem

00:04:10: sowas wie, also man kann ja auch Daten zum Nutzer erheben, ohne Cookie zu verwenden.

00:04:15: Oder auch mithilfe eines Cookies von mir aus.

00:04:18: Also das heißt, diese Nutzerprofilbildung wird es immer genannt.

00:04:20: Das ist ein Punkt, der einwilligungspflichtig sein kann,

00:04:23: also Tracking sagen viele dazu.

00:04:25: Und was ja auch einwilligungspflichtig ist, noch zumindest und hoffentlich

00:04:29: auch bald wieder, sofern der Angemessenheitsbeschluss überraschenderweise kommt.

00:04:33: Datentransfer in unsichere Drittländer wie die USA,

00:04:35: das ist auch eine Einwilligungspflicht, siehe Google Fonts-Urteil.

00:04:38: Also das möchte ich nur noch mal kurz erwähnen,

00:04:40: damit da keine Missverständnisse aufkommen.

00:04:42: Absolut, sehr wichtiger Punkt.

00:04:44: Klär mich mal bitte kurz auf, du sagst, Cookies kann man nicht blockieren.

00:04:48: Ich glaube, das ist vielen Leuten nicht klar, was ist überhaupt der Unterschied

00:04:51: zwischen einem Cookie, also was genau ist wirklich ein Cookie

00:04:54: und wo liegt der Unterschied zwischen anderen Diensten, die du gerade angesprochen hast?

00:04:59: Wie gestalten die sich, also was ist der technologische

00:05:03: Unterschied zwischen einem Cookie und zum Beispiel einem normalen Skript,

00:05:07: das eine Verbindung zu einem externen Server aufmacht und warum genau ist

00:05:11: das relevant für die Ausführung, die ich

00:05:16: in meiner Datenschutzerklärung oder in so einem Cookie-Banner hinterlege?

00:05:20: Ja, also technisch ist es so, ein Cookie gibt es so nicht.

00:05:24: Ein Cookie kann immer nur bei einer Datenübertragung anfallen, nenne ich es jetzt mal.

00:05:31: Ein, das Cookie selbst ist ja ein Zugriff auf das Endgerät des Nutzers.

00:05:35: Das heißt, es wird eine Information im Endgerät des Nutzers abgespeichert,

00:05:39: nämlich in Form eines Cookies und später dann wieder auf diese Information zugegriffen,

00:05:43: dann sagt man, man greift auf dieses Cookie zu und wie passiert das?

00:05:47: Dieses Speich an dem Endgerät des Nutzers kann nur so stattfinden,

00:05:51: dass der Nutzer im Browser eine Adresse eingibt, zum Beispiel.

00:05:53: Wir könnten auch eine App nehmen, aber beim Browser ist es einfacher zu verstehen,

00:05:57: wenn es um Webseiten geht. Der ruft also eine Webseite auf der Nutzer.

00:06:01: Die Webseite, die lädt zum Beispiel Google Analytics nach als Skript und dieses Skript

00:06:07: schickt dann ein Cookie mit zurück zum Browser des Nutzers, also auf die Webseite,

00:06:12: über die Webseite, die Google Analytics geladen hat.

00:06:16: Und beim Zurückschicken, sozusagen, kriegt der Browser mit.

00:06:20: Da ist ja ein Cookie mit zurückgekommen, also Cookie-Information muss man sagen.

00:06:24: Das Cookie selbst gibt es zu dem Zeitpunkt noch nicht,

00:06:26: denn ein Cookie gibt es nur im Endgerät des Nutzers.

00:06:28: Das sind die Informationen, die nötig sind, um ein Cookie zu bauen.

00:06:31: Das Erbgut sozusagen wird mitgeschickt.

00:06:33: Und dann wird dieses Erbgut im Endgerät des Nutzers abgelegt und somit wird es ein Cookie.

00:06:40: Um Missverständnis zu vermeiden, die Webseite selbst hat damit nichts zu tun.

00:06:43: Sie stößt aber nur den Vorgang an sozusagen.

00:06:46: Also datenschutzrechtlich gibt es ja schon eine Verantwortlichkeit.

00:06:49: Aber nachdem der Vorgang angestoßen wurde, ist der technische Prozess

00:06:52: zum Erzeugen des Cookies außerhalb dessen, was die Webseite kontrollieren kann.

00:06:56: Außer es geht um Cookies, die die Webseite selbst nutzt.

00:06:58: Also es ist immer eine Datenübertragung oder man kann auch sagen,

00:07:01: ein Datei-Abruf notwendig, damit ein Cookie im Endgerät des Nutzers gespeichert wird.

00:07:06: Und normalerweise ist dann eben auch ein Aufruf einer Adresse notwendig,

00:07:12: damit das Cookie wieder ausgelesen werden kann.

00:07:15: Also wenn ich jetzt zum Beispiel Google-Analytics.com aufrufe als Adresse,

00:07:20: dann guckt der Browser in deinem Rechner nach,

00:07:23: welche Cookies sind zu Domäne Google-Analytics.com eigentlich bei dir im

00:07:27: Browser gespeichert und alle diese, die zu dieser Domäne passen,

00:07:30: die jetzt gerade aufgerufen wurde, über die Adresse im Browser oder über eine Webseite,

00:07:35: die diese Adresse aufruft, werden automatisch vom Browser an diese Zieladresse mitgeschickt.

00:07:40: Da kann niemand sich gegen wehren, weder die Webseite, die Google-Analytics einbindet,

00:07:44: noch du, also im gewissen Rahmen, aber im normalen Prozess nicht.

00:07:47: Noch der Empfänger dieses Cookies kann sich dagegen wehren.

00:07:50: Er will sich auch nicht dagegen wehren.

00:07:52: Aber selbst wenn er es wollte, könnte er sich dagegen gar nicht wehren.

00:07:54: Okay, das bedeutet, wenn ich das jetzt richtig verstanden habe,

00:07:57: sagst du, ein Cookie an sich wird nicht geschickt,

00:08:01: sondern wird schon im Endgerät selbst erzeugt.

00:08:04: Aber die Information, um es zu erzeugen, kommt von außen

00:08:08: und wird noch nicht mal hauptsächlich von der Webseite, die ich aufrufe,

00:08:12: jetzt auf mein Gerät gebracht, sondern von dem externen Dienst,

00:08:16: zudem die Verbindung über die Webseite, die ich eigentlich aufgerufen habe, erzeugt wird.

00:08:21: Und dann ist ein Cookie am Ende des Tages eine kleine Datei,

00:08:26: weil man sagt immer so häufig Cookies sein Textdateien.

00:08:29: Aber ich habe bei dir mal die Aussage gehört oder irgendwo wahrgenommen,

00:08:33: dass das eben keine Textdateien sind, sondern es etwas anderes ist.

00:08:36: Aber was genau steht denn jetzt in so einem Cookie drin?

00:08:39: Steht da was drin, was ich lesen kann oder steht da was drin,

00:08:42: was nur Maschinen lesen können?

00:08:44: Also vorab ein Cookie ist weder eine Datei noch klein.

00:08:49: Ich möchte es auch kurz erklären.

00:08:51: Der Browser speichert Cookies in einer Art und Weise ab, wie er es möchte.

00:08:55: Das wissen wir beide nicht.

00:08:56: Später, wenn wir uns im Browser angucken, wissen wir es.

00:08:58: Aber es kann ja beliebig unendlich viele Browser geben

00:09:01: und ich könnte meinen eigenen Browser programmieren

00:09:03: und müsste dir auch nicht sagen, wie ich diese Cookies abspeichere.

00:09:07: Also du müsstest dir alle Browser der Welt angucken

00:09:09: und natürlich wird alles irgendwie in Dateien abgespeichert.

00:09:13: Aber wir reden ja auch nicht bei Auto von einem Haufen Materie.

00:09:15: Ich meine, alles ist Materie.

00:09:17: Also es ist genauso, wenn wir alles als Materie bezeichnen,

00:09:19: als wenn wir alles als Dateien bezeichnen.

00:09:21: Also es kann man nicht machen, das Quatsch.

00:09:23: Das heißt, Cookies werden heutzutage üblicherweise

00:09:25: in eine Datenbank abgelegt.

00:09:27: Und die Datenbank, die besteht natürlich auch im Endeffekt

00:09:30: aus einer Datei, weil alles aus einer Datei besteht,

00:09:33: was abgespeichert wird.

00:09:34: Das ist halt so.

00:09:36: Aber da von einer Datei zu sprechen, ist einfach nicht richtig,

00:09:39: weil dann könnte man alles auf der Welt als Datei bezeichnen,

00:09:41: was irgendwie in elektronischer Form gespeichert wird.

00:09:44: Also Cookies sind Informationsspeicher

00:09:47: oder Informationsträger, so muss man es sagen.

00:09:50: Und was üblicherweise, also was mitgeschickt wird,

00:09:52: immer ist ein Cookie-Name und ein Cookie-Wert.

00:09:55: Bei Google Analytics zum Beispiel heißt es ja, glaube ich,

00:09:58: GA oder Unterstrich GA, der Cookie-Name und der Cookie-Wert

00:10:02: ist dann so ein Identifizierer, der es erlaubt dich

00:10:05: und jeden anderen Menschen in der Welt eindeutig zu identifizieren.

00:10:08: Man könnte auch bei einer Spracheinstellung Sprache

00:10:12: eine Cookie-Name sein oder Lang, wie Language.

00:10:15: Und der Wert heißt dann DE zum Beispiel.

00:10:17: Und dann gibt es noch Metainformationen,

00:10:19: die damit geschickt werden, wie zum Beispiel die Lebensdauer.

00:10:22: Soll das Cookie nur über die aktuelle Sitzung,

00:10:24: also bis der Browser geschlossen wird, oder die Webseite leben,

00:10:27: oder soll das Cookie einen Tag lang existieren,

00:10:30: oder einen Monat oder ein Jahr.

00:10:31: Und der Browser guckt dann, ist die Lebensdauer des Cookies erreicht,

00:10:35: und dann löscht der Browser das Cookie,

00:10:37: außer das Cookie wird erneut innerhalb der Lebensdauer

00:10:40: wieder gesetzt oder gespeichert, dann beginnt die Lebensdauer von vorne.

00:10:44: Das heißt, also Cookies existieren sozusagen bei dir

00:10:49: in Form eines Namen und eines Wertes mit den Zusatzinformationen,

00:10:53: wie Lebensdauer und ein paar anderen Dingen,

00:10:55: noch Sicherheitseinstellungen.

00:10:57: Und bei dem, der das Cookie erzeugt,

00:10:59: der schickt einfach nur mit ein paar Metainformationen zusammen

00:11:02: den Cookie-Name und den Cookie-Wert mit.

00:11:04: Es ist aber technisch kein Cookie,

00:11:05: sondern es ist einfach nur ein Name und ein Wert.

00:11:08: Und bei dir ist es auch ein Name und ein Wert,

00:11:11: nur dass es eben abgespeichert wird im Browser und Cookie genannt wird,

00:11:14: weil Cookie eben spezielle Eigenschaften hat.

00:11:17: Ein Cookie hat spezielle Eigenschaften, deswegen wird es Cookie genannt.

00:11:20: Aber ein Cookie existiert nur bei dir, wenn der Empfänger,

00:11:24: also der, das Cookie ausliest sozusagen,

00:11:26: indem seine Adresse aufgerufen wird, die zu einem Cookie passt,

00:11:29: aufgrund dessen der Browser dieses Cookie dann mitschickt

00:11:32: oder den Cookie-Namen und Wert muss man sagen.

00:11:34: Beim Empfänger ist es eben ein Cookie-Namen und ein Cookie-Wert.

00:11:37: Okay, nur mal kurz daran anknüpfend.

00:11:40: Bedeutet das jetzt, du hast gesagt, wenn der Cookie Sender

00:11:44: den, das Cookie ausliest, also die Anfrage zum Auslesen stellt,

00:11:48: dann liest er das für seine Domäne aus.

00:11:50: Bedeutet das, ich kann von der Domäne,

00:11:52: von der ich die Anfrage stelle an ein Endgerät

00:11:55: oder über eine Webseite an ein Endgerät,

00:11:58: nur das Cookie auslesen, was zu meiner Domäne passt

00:12:02: oder kann ich die Domäne frei wählen,

00:12:03: zu dessen Cookie Informationen nicht auslösen möchte?

00:12:06: Ja, das ist eine sehr gute Frage.

00:12:08: Also zunächst fragt niemand nach, ob er ein Cookie auslesen darf,

00:12:12: sondern es wird eine Adresse aufgerufen

00:12:14: und dabei wird das Cookie, wenn es da ist, mitgeschickt.

00:12:17: Wenn es nicht da ist, wird es nicht mitgeschickt.

00:12:19: Wenn zehn Cookies da sind, werden zehn Cookies mitgeschickt.

00:12:21: Der Empfänger kann sich nicht dagegen wehren, es passiert immer.

00:12:24: Also, das heißt, dieser Zugriff auf das Endgerät

00:12:27: in Form von Cookie-Zugriffen passiert immer,

00:12:30: wenn es Cookies gibt, die zu der Domäne passen

00:12:33: von einer Adresse, die gerade aufgerufen wird.

00:12:36: Und gerade aufgerufen heißt,

00:12:38: entweder gibst du diese Adresse direkt im Browser ein,

00:12:40: dann ist es die Webseite, die du aufrufst.

00:12:42: Oder die Webseite ruft eben diese Adresse auf,

00:12:44: indem sie ein Tool einbindet, wie Google Analytics zum Beispiel.

00:12:47: Oder auch Google Maps oder Google Fonts könnten auch Cookies haben.

00:12:50: Haben sie jetzt aktuell nicht, aber so könnte es sein.

00:12:53: Und deine Frage?

00:12:55: Stopp, ich muss dich kurz unterbrechen,

00:12:57: um das für die Zuhörer klarzumachen.

00:12:59: Weil das ist ein ganz wichtiger Punkt.

00:13:01: Den haben, glaube ich, die meisten Menschen

00:13:03: noch nicht wirklich verstanden.

00:13:05: Ich habe ich auf meinem Rechner eine Cookie-Information,

00:13:08: die zum Beispiel zu www.facebook.com gehört.

00:13:12: Und ich rufe www.facebook.com auf,

00:13:15: dann nehmen weder ich noch Facebook Einfluss darauf,

00:13:20: dass diese Information ausgelesen und mitgesendet wird.

00:13:23: Das ist ein vollautomatisierter Prozess,

00:13:25: aufgrund der Tatsache, dass ich eine URL aufrufe,

00:13:28: die matched, also in einem Abgleich,

00:13:31: einen Ja-Wert zurückgibt für eine Information

00:13:34: und genau so ist es.

00:13:36: Facebook ist natürlich nicht unschuldig,

00:13:38: weil vorher hat Facebook ja Cookies gesetzt.

00:13:41: Aber das wolltest du auch nicht sagen, das ist richtig.

00:13:44: Also das perfide ist ja.

00:13:46: Nein, das ist klar.

00:13:48: Ich würde das Facebook-Plugin nutzen

00:13:50: oder Facebook Connect oder Facebook Pixel,

00:13:52: wie auch immer man es nennt.

00:13:54: Und dann setzt Facebook ein Cookie in meinem Endgerät,

00:13:57: wenn ich deine Webseite aufrufe.

00:13:59: Jetzt rufe ich später unabhängig von deiner Webseite

00:14:02: und dann kann Facebook die Cookies auslesen,

00:14:06: die nur deswegen in meinem Endgerät sind,

00:14:08: weil du das Facebook-Plug in eingebunden hast.

00:14:11: Also das heißt Facebook...

00:14:13: Ja, und weißt dann, dass du auf meiner Webseite warst,

00:14:18: weil ich das Pixel eingesetzt habe

00:14:20: und die wissen auch genau, wann du da warst

00:14:22: und wie lange du warst.

00:14:24: Also rück zu deiner Frage, die du vorhin gestellt hast,

00:14:26: ob man sozusagen alle Cookies auslesen kann

00:14:28: oder nur die einer bestimmten Domäne

00:14:30: eine sehr gute Frage.

00:14:32: Also man kann nur die Cookies auslesen,

00:14:35: die zu eigenen Adresse, also eigenen Domäne passen.

00:14:38: Also wenn du jetzt ne Webseite hast,

00:14:40: stephanplesnik.de oder datenschutzistpflicht.de,

00:14:42: ist es die Adresse, frage ich nochmal kurz.

00:14:44: Okay.

00:14:48: Genau, das kann man vielleicht auch nochmal kurz sagen,

00:14:50: ist auch wichtig.

00:14:52: Dann kriegst du nur die Cookies,

00:14:54: die zu datenschutz.flicht.de

00:14:57: auf bei mir im Rechner gespeichert sind.

00:15:00: Die Cookies, die zu Google-Analytics.com gespeichert wären,

00:15:04: würdest du nicht bekommen.

00:15:06: Also mittlerweile ist Google Analytics

00:15:08: auf datenschutzistpflicht.de, aber früher war es anders.

00:15:10: Mach mal Google Maps.

00:15:12: Da ist es maps.gstatic oder maps.google.com

00:15:16: oder sowas.

00:15:18: Wenn jetzt zu dieser Domäne bei mir Cookies gespeichert werden

00:15:20: und du bindest das Google Maps Plug in ein,

00:15:22: dann kriegt Google Maps sozusagen,

00:15:24: also Google, die Cookies, die zu maps.google.com passen.

00:15:27: Du kriegst die nicht,

00:15:29: sondern die werden direkt zu Google geschickt.

00:15:31: Du kannst die selbst auch gar nicht auslesen

00:15:33: und du kannst die selbst auch gar nicht löschen.

00:15:35: Du könntest die höchstens löschen aus meinem Endgerät

00:15:37: und das wäre ja für den Widerruf wichtig,

00:15:39: wenn jemand seine Einwilligung widerruft.

00:15:41: Dann müsstest du sozusagen Google Maps bitten,

00:15:44: dass das Cookie bei mir im Endgerät löschen

00:15:47: und wenn Google diese Funktion dummerweise nicht anbietet,

00:15:50: dann haben wir alle Pech gehabt, außer Google.

00:15:53: Ja, und dummerweise heißt natürlich,

00:15:55: dass Sie das auf keinen Fall anbieten,

00:15:57: weil die verdienen mit Datengeld und mit Profilbildung

00:16:00: und dementsprechend werden die ja schön blöd,

00:16:02: wenn die sowas anbieten würden auf einem einfachen Weg.

00:16:04: Ja, also ich würde ja an sich recht geben,

00:16:06: du hast vollkommen recht, so kann man es sagen,

00:16:08: aber ich würde sogar sagen,

00:16:10: Google kann es sogar anbieten,

00:16:12: vielleicht machen Sie es sogar, ich weiß es gar nicht.

00:16:15: Ich glaube es nicht, sonst hätte ich gehört,

00:16:17: weil die meisten sind, ich will jetzt niemandem zu nahe treten,

00:16:20: entweder zu dumm oder wollen nicht

00:16:22: oder wissen gar nicht, dass Sie diese Funktion aufrufen können.

00:16:24: Und die Cookie-Tool-Anbieter, also die kriegen es erst rechtlich hin

00:16:27: und die wollen sich die Mühe gar nicht machen,

00:16:29: die machen das erst, wenn es dann irgendwann mal ein Urteil gibt.

00:16:32: Ab dann, angeblich, wer die Rechtslage so wie sie dann ist,

00:16:35: weil es dann ausnahmsweise mal ein Gericht festgestellt hat,

00:16:38: aber selbstverständlich gilt irgendwas,

00:16:40: auch jetzt schon, wenn es ein Gericht auch noch nicht festgestellt hat.

00:16:43: Ich meine, wir brauchen nicht für jede Frage

00:16:46: eine Antwort von einem Gericht, um zu wissen,

00:16:49: was richtig und falsch ist.

00:16:51: Wir müssen sagen, wir wissen es wirklich nicht

00:16:54: oder wir gehen davon aus.

00:16:56: Das ist eine philosophische Frage,

00:16:58: da müsste man die Juristerei tiefer einsteigen.

00:17:01: Wenn man es ganz hart betrachtet, dann müsste man sagen,

00:17:04: alles ist erlaubt, bis ein Gericht es verbietet.

00:17:07: Aber die Frage ist, wer ist der erste, der angeklagt wird?

00:17:10: Der möchte man vielleicht nicht sein.

00:17:12: Absolut.

00:17:13: Ich halte mal kurz als Zwischenstand fest.

00:17:15: Wir haben schon mal auseinanderklamüsert,

00:17:18: ob wir einen Wert haben, vielleicht andere Bezugswerte,

00:17:21: die noch irgendetwas einen Eigenschaften mit übergeben.

00:17:24: Diese werden immer durch den Cookie-Geber übermittelt,

00:17:28: an das Endgerät, aber im Endgerät erst als Information gespeichert.

00:17:33: Das geschieht meistens in Form von Einträgen in einer Datenbank,

00:17:37: die zum Beispiel von meinem Webbrowser oder der App,

00:17:40: die ich benutze, gepflegt wird.

00:17:42: Und ich kann diesen Cookie selber weder auslesen,

00:17:45: noch kann irgendwer den auslesen, außer die URL,

00:17:49: über die die Anfrage kommt, die zu dem Cookie passt,

00:17:52: die liest diesen Cookie Wert dann, wenn man so möchte, automatisch aus.

00:17:57: Aber nur dadurch, dass eben der Betreiber der URL selbst entscheidet,

00:18:01: wie er die Information verwertet, die dort dann an ihn übermittelt wird.

00:18:05: Im Fall von Google und Facebook und Co.

00:18:08: werden das natürlich eine Haufen Informationen sein,

00:18:10: gerade weil sie dadurch gesammelt werden können,

00:18:12: dass solche Cookies eben durch Einbindungen externer Dienste in meiner Webseite

00:18:17: bei den Endnutzern, also Besuchern meiner Webseite, erzeugt werden,

00:18:22: ohne dass diese Nutzer einen Einfluss darauf nehmen können.

00:18:25: Aber beim nächsten Aufruf einer anderen Seite, wo auch diese URL,

00:18:30: also diese externe Verbindung zu Facebook oder Google geöffnet wird,

00:18:34: oder eben durch das direkte Aufrufen eines der Services,

00:18:37: die zu dem Unternehmen gehört, wird dieses Cookie dann wieder ausgelesen

00:18:40: und mitgeschickt und dadurch ist es dann eben möglich,

00:18:44: zum Beispiel zurück zu verfolgen, wer wann welche Webseiten besucht hat,

00:18:47: wie lange er dort verweilt hat und eben auch unter Umständen

00:18:50: welche Aktionen er durchgeführt hat.

00:18:52: Ja, genau, also sehr gut zusammengefasst.

00:18:54: Ich will nur noch ergänzen, man kann natürlich auch feststellen,

00:18:57: wer welche Webseiten wann besucht hat, auch ohne Cookies,

00:19:00: das geht vielleicht nicht ganz so gut, aber es geht auch ausreichend gut.

00:19:04: Das wollte ich nur noch mal sagen, also auch ohne Cookies können du

00:19:07: und ich und alle anderen nachverfolgt werden von Google und Facebook.

00:19:11: Absolut, das ist nämlich der nächste Punkt, auf den ich eingehen wollte.

00:19:14: Du hattest ja gesagt zu den Angaben, dass die geraten sind.

00:19:17: Ich meine gut, da können wir nicht viel machen,

00:19:19: weil ist halt so, was die Unternehmen uns geben an Informationen,

00:19:22: ist das womit, wenn wir arbeiten müssen.

00:19:24: Man kann sich natürlich informieren in deren Datenschutzerklärung

00:19:27: und auch auf diese hinweisen,

00:19:29: was ich auch denke, was immer ein wichtiger Schritt ist,

00:19:31: wenn man jetzt so ein Consentbanner irgendwo macht

00:19:33: und erwähnt, dass man einen externen Dienst nutzt,

00:19:35: eben nicht nur zwangsläufig das, was nötig ist zu beschreiben,

00:19:39: nämlich was ist das für ein Dienst, wer ist der Hoster,

00:19:41: was ist der Zweck, warum ich diesen Dienst nutze,

00:19:44: wie lange ist die Speicherdauer des Cookies

00:19:46: und beziehungsweise der Cookie in ähnlichen Informationen,

00:19:50: aber eben auch den Hinweis zu geben,

00:19:52: hier ist eine Datenschutzerklärung von dem Anbieter,

00:19:54: damit man sich vergewissern kann, wie die denn mit den Daten umgehen,

00:19:58: weil wir eben nur auf dieses Maß,

00:20:01: was dann dort uns eine Information präsentiert wird,

00:20:03: uns verlassen können.

00:20:04: Ja, also stimmt, also ein bisschen stimmt es natürlich schon,

00:20:07: man muss nicht alles wissen, aber letztendlich

00:20:10: ist man selbst verantwortlich für das, was man tut

00:20:12: und niemand muss Google Analytics nutzen.

00:20:14: Wenn man es nutzt, dann sollte man genau wissen,

00:20:16: was es tut und das auch erklären können

00:20:18: und wenn man das nicht kann, dann sage ich,

00:20:20: kann man es nicht nutzen.

00:20:21: Und deswegen hat die französische Aufsichtsbehörde ja,

00:20:23: hat mir letztes Mal schon drüber gesprochen,

00:20:25: gesagt, Google Analytics ist generell rechtswidrig,

00:20:28: weil einfach niemand weiß, was damit passiert

00:20:30: beziehungsweise haben die Franzosen glaube ich darauf abgestellt,

00:20:33: dass Google Analytics so maximal invasiv die Daten klaut von uns,

00:20:38: so muss man es ja eigentlich sagen,

00:20:39: sogar der Verantwortliche, der Google Analytics einbindet,

00:20:42: wird ja ein bisschen betrogen von Google aus meiner Sicht,

00:20:44: weil er eben nicht alle Daten bekommt,

00:20:46: die Google von ihm zugeschanzt bekommt.

00:20:48: Also Google macht da so viel Unsinn mit,

00:20:50: mit diesen Daten, dass man das gar nicht mehr beschreiben kann

00:20:53: und wir wissen es ja auch alle gar nicht.

00:20:55: Also deswegen, wer verantwortlich ist,

00:20:57: der muss einfach wissen, was passiert

00:20:59: und wenn er es nicht weiß, dann soll das Gefälligst nicht tun.

00:21:01: Das sage ich.

00:21:02: Ja, sehr gutes Statement, finde ich absolut wichtig,

00:21:05: das auch noch mal so klar zu kommunizieren.

00:21:07: Jetzt noch mal, lasst uns mal zum Ende kurz auf einen Punkt eingehen.

00:21:11: Und zwar haben wir jetzt im Endeffekt gelernt,

00:21:14: dass der Begriff Cookies, das haben wir gerade beschrieben,

00:21:16: was das ist und zusammenfasst,

00:21:18: aber sie werden eben auch erst dann relevant,

00:21:21: wenn eine URL aufgerufen wird,

00:21:23: die diese Informationen sendet,

00:21:25: damit diese Informationen auf dem Endgerät gespeichert werden.

00:21:28: Bedeutet, durch externe Verbindungen meiner Webseite

00:21:31: zu anderen Services, die ich selber nicht kontrollieren kann,

00:21:34: lasse ich diese unkontrollierbaren Cookie-Informationen

00:21:38: in den Prozess der Versendung geben

00:21:41: und auch in den Prozess der Abspeicherung

00:21:43: auf dem Endgerät des Nutzers.

00:21:45: Wenn ich jetzt aber diese Webseite betreibe,

00:21:47: bin ich ja dafür verantwortlich, den Nutzer darüber zu informieren,

00:21:50: zu welchen Zwecken ich diese Verbindungen öffne.

00:21:54: Und du hast ja gerade schon angesprochen,

00:21:56: man muss das nicht nutzen.

00:21:58: Es gibt keine Notwendigkeit, Google Analytics zu nutzen.

00:22:01: Es gibt wahrscheinlich für einen Haufen von Services,

00:22:04: die man jetzt so kennt aus Webseiten,

00:22:06: keinen Grund, den man wirklich verargumentieren kann,

00:22:09: warum das notwendig ist.

00:22:10: Also ich denke jetzt an Facebook und Remarketing Pixel,

00:22:13: Twitter-Einbindungen und all so ein Zeug.

00:22:16: Das ist alles nicht notwendig für die Funktionsweise der Webseite

00:22:19: oder der Vertragung der Informationen,

00:22:21: die ich auf der Webseite bereithalte.

00:22:23: Wie genau müsste ich denn jetzt mit meinem Cookie-Box,

00:22:28: meinem Cookie-Banner auf meiner persönlichen Webseite umgehen?

00:22:31: Wenn ich zum Beispiel, ich mache das jetzt mal rudimentär einfach,

00:22:34: ich nutze kein Google Analytics,

00:22:36: sondern ich nutze natürlich Matomo, ist ja klar,

00:22:39: kleiner Wink mit dem Zaunpfahl.

00:22:41: Und ich nutze jetzt aber YouTube-Videos,

00:22:45: weil ich ein YouTube-Kanal pflege

00:22:47: und ich binde diese Videos in meinen Blog ein.

00:22:50: Jetzt bietet mir mein Cookie-Banner an,

00:22:52: sagt das ja okay, das ist so eine externe Verbindung.

00:22:54: YouTube-Videos kann ich für dich filtern, kann ich finden

00:22:56: und dann werden die geblockt.

00:22:58: Das ist dann so ein Script-Blocking-Prozess,

00:23:00: der sagt dann immer, hier will ein Inhalt von YouTube geladen werden,

00:23:03: muss er erst einzeln bestätigen.

00:23:05: Kann der Nutzer dann auswählen,

00:23:06: ob er das nur für dieses eine Video,

00:23:07: diesen einen Klick macht

00:23:08: oder ob er das global für die Webseite freigibt.

00:23:11: Wie genau läuft denn jetzt der Prozess?

00:23:14: Ab wann weiß ich sicher,

00:23:17: dass ich keine Daten, keine Verbindung zu YouTube geöffnet habe,

00:23:21: bevor der Nutzer geklickt hat,

00:23:23: weil das muss ich ja sicherstellen.

00:23:25: Das vielleicht nur ganz kurz,

00:23:27: weil wir schon ein bisschen am Ende der Zeit sind.

00:23:29: Wenn ich es genau wissen will,

00:23:31: muss ich eine technische Analyse machen.

00:23:33: Ich kann das selbst machen über die Entwicklerkonsole im Browser.

00:23:35: Die TASTER F12 ist jetzt im Firefox zum Beispiel.

00:23:38: Ich rufe die TASTER F12 auf,

00:23:40: wähle dann den Karteirat der Netzwerkanalyse

00:23:42: und rufe dann die Seite auf, die ich analysieren möchte.

00:23:45: Dann kann ich mir die Datentransfers angucken,

00:23:47: die da stattfinden.

00:23:48: Oder ich mache einen Webseiten-Check,

00:23:50: damit geht es einfacher.

00:23:51: Dem biete ich auf meiner Webseite an,

00:23:53: dm-dsgvo.de.

00:23:55: Da gibt es einen Webseiten-Check, den kann jeder online nutzen.

00:23:57: Da gebe ich einfach die Adresse einer Webseite ein

00:23:59: und dann scannt mein Tool automatisch drüber

00:24:02: und zeigt auch, welche Datentransfers stattfinden.

00:24:05: Das ist die einfachere Möglichkeit.

00:24:07: Okay, wunderbar.

00:24:09: Das heißt, du sagst, die beste Möglichkeit

00:24:11: ist es wirklich, in der technischen Tiefe nachzuvollziehen,

00:24:14: welche Verbindungen sind da.

00:24:16: Und das geht nur, wenn ich den Analyseprozess starte,

00:24:18: bevor ich die Verbindung zur Webseite eröffne,

00:24:20: um wirklich sehen zu können,

00:24:22: welche Verbindungen werden da alle geöffnet.

00:24:24: Und dann kann ich mir im Endeffekt,

00:24:26: nach der Einrichtung meines Cookie Tools

00:24:28: dadurch visuellen Beweis holen,

00:24:30: dass das Cookie Tool richtig eingerichtet ist

00:24:32: und richtig arbeitet.

00:24:34: Ich würde dir dazu raten, das Cookie Tool zu vermeiden.

00:24:36: Ich würde das Video entweder so anbinden,

00:24:38: dass man keinen Cookie Tool braucht.

00:24:40: Über ein Vorschaubild oder lokale Ablage,

00:24:42: wenn es ein kleines Video ist.

00:24:44: Oder ich würde bei größeren Unternehmen,

00:24:46: die werden sich auch einen CDN haben,

00:24:48: wenn es so wichtig ist mit dem Video

00:24:50: und können sich das auch leisten,

00:24:52: brauchen sie YouTube nicht.

00:24:54: Oder man kann da, wo das Video dargestellt werden soll,

00:24:56: eine In-Place sozusagen Abfrage machen.

00:24:58: Da muss ich kein nerviges Pop-up machen.

00:25:00: Okay, das ist sehr spannend.

00:25:02: Ich glaube, über so eine technische Einrichtung

00:25:04: würde es sich lohnen, nochmal einen Beitrag zu verfassen.

00:25:06: Oder das in einem Video zu thematisieren,

00:25:08: wo wir wirklich mal tutorialmäßig da drin vorgehen.

00:25:10: Weil gerade das ist jetzt auch eine neue Information für mich,

00:25:12: die ich sehr spannend finde.

00:25:14: Ich muss ganz ehrlich sagen, ich bin da eher so derjenige,

00:25:16: der sagt, ja, wenn mir da jemand ein Tool anbietet,

00:25:18: das mir hilft, das etwas galanter und einfacher abzubilden,

00:25:20: bin ich der erste, der, wenn es denn funktioniert,

00:25:22: das nutzt.

00:25:24: Aber natürlich gebe ich dir absolut recht.

00:25:26: Diese Cookie Banner sind absolut nervig.

00:25:28: Und ich glaube, das ist auch der Grund,

00:25:30: warum dieses Thema für viele Menschen

00:25:32: so ein Bauchschmerzthema ist.

00:25:34: Und deswegen finde ich es super,

00:25:36: dass du damals in der Tiefe aufgeklärt hast,

00:25:38: mal diesen Begriff geklärt haben heute.

00:25:40: Was ist überhaupt ein Cookie?

00:25:42: Was macht das Ding?

00:25:44: Und wo entsteht überhaupt die Problematik?

00:25:46: Und deswegen wäre zum Schluss jetzt

00:25:48: mein Appell an alle Webseitenbetreiber

00:25:50: überprüft die Verbindung vernünftig,

00:25:52: die die Webseite aufmachen.

00:25:54: Nutzt gerne das Tool vom Klaus

00:25:56: auf Dr. DSGVO.de

00:25:58: und Webseite zu checken.

00:26:00: Dr. DSGVO.de

00:26:02: und dann könnt ihr da die Webseite checken.

00:26:04: Dann könnt ihr euch sicher sein,

00:26:06: über die Verbindung, die geöffnet werden.

00:26:08: Und dann könnt ihr da hingehend

00:26:10: eben auch die Cookie Boxen richtig einrichten lassen,

00:26:12: sodass die Skripte wirklich blockiert bleiben,

00:26:14: bis der Nutzer eingewilligt hat.

00:26:16: Und formuliert

00:26:18: die vernünftigen Zwecke

00:26:20: und die vernünftigen Absichten

00:26:22: für die externen Verbindung.

00:26:24: Und seid nicht Spiegel online

00:26:26: oder Sternonline und ballert da

00:26:28: 500 Tracking Tools

00:26:30: von allen möglichen

00:26:32: Derivatsstatistikseiten rein,

00:26:34: die ihr sowieso nicht auswerten

00:26:36: würdet oder könnt,

00:26:38: weil ihr gar keinen Überblick mehr haben könnt.

00:26:40: Also ab 50 Tracker wird es irgendwann lächerlich,

00:26:42: ist so meine Grundlage,

00:26:44: dass man da wirklich

00:26:46: meine Kontrolle auch darüber bekommt,

00:26:48: so was ist denn überhaupt wirklich nötig

00:26:50: und was mache ich denn mit den ganzen Analyse-Daten

00:26:52: auch wirklich am Ende?

00:26:54: Das ist ja auch die wichtige Frage,

00:26:56: die man eigentlich für sich erst mal klären sollte.

00:26:58: Ich danke dir vielmals Klaus.

00:27:00: War wieder ein schöner Morgen.

00:27:02: Tschüss an alle, die zugehört haben.

00:27:04: Ja, Stephan, vielen Dank.

00:27:06: Auch vielen Dank an die Zuhörer.

00:27:08: Stephan, vielleicht beim nächsten Mal wieder ein Zitat,

00:27:10: damit der Frank seine Philosophie so zu sagen,

00:27:12: wie der auflebt.

00:27:14: Ja, du hast vollkommen recht.

00:27:16: Ich schreibe es mir auf.

00:27:18: Ich werde auf jeden Fall ein Zitat mit einfließen,

00:27:20: dass ihr sehr gerne macht.

00:27:22: Mach ich sehr gerne.

00:27:24: Gut. Tschüss.

00:27:26: Tschüss.

00:27:28: Das war Datenschutz Deluxe.

00:27:30: Das war es.

00:27:32: Das war es.

00:27:34: Bis zum nächsten Mal.