00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

00:00:13: Hallo und herzlich willkommen, liebe Zuhörer zum Datenschutz Deluxe Podcast.

00:00:16: Mein Name ist Stephan Plesnik und heute bei mir dabei ist wieder Dr. Klaus Meffert, Dr. DSGVO.

00:00:22: Klaus, wie geht es dir?

00:00:23: Ja, Stephan, mir geht es gut.

00:00:25: Vielen Dank, dass wir heute wieder zusammen sprechen können.

00:00:28: Ich hoffe, unsere Zuhörer sind auch bereit, uns zuzuhören und finden die Folge spannend, die wir jetzt hier produzieren.

00:00:35: Ich gehe sehr stark davon aus, dass sie es spannend finden, denn ein ominöses Thema, das durchs Internet ständig geistert, möchte ich gerne aufgreifen.

00:00:42: Und zwar vielleicht mal von einem etwas anderen oder tiefgreifenderen Aspekt her, und zwar das Thema Cookies.

00:00:47: Da haben wir jetzt schon viel drüber geredet, wir beide und auch sehr viele andere.

00:00:51: Und wir haben das auch schon von vielen Seiten beleuchtet.

00:00:54: Aber weil ich gerade so einen Spruch vor mir gesehen hatte in meinem täglichen Newsfeed, wo drin steht, Kekse haben nur sehr wenig Vitamine,

00:01:01: deswegen muss man möglichst viele davon essen, dachte ich mir, dass das ja beim Thema Cookies ganz gut passt,

00:01:08: weil viele Webseiten denken ja, man müsste unglaublich viele Cookies setzen,

00:01:12: damit es den Zuschauern und Besuchern Spaß macht, die Inhalte auf der Webseite zu konsumieren.

00:01:20: Wir sehen das durchaus differenziert, aber die Frage, auf die ich gerne eingehen möchte, ist,

00:01:25: wir haben viel darüber geredet, wann werden Cookies gesetzt, durch wen, unter welchen Umständen können sie gesetzt werden,

00:01:30: aber wie wirklich innerhalb eines Cookies ein Personenbezug entsteht

00:01:35: oder welche Informationen in einem gesetzten Cookie dann wirklich hinterlegt werden,

00:01:41: sprich was kann derjenige, der den Cookie setzt und ausliest oder da drin Informationen speichert,

00:01:46: da drin überhaupt verarbeiten, ist glaube ich etwas, was so in der Tiefe zumindest von uns beiden noch nicht beleuchtet wurde.

00:01:52: Und da habe ich gedacht, starten wir mal mit der Frage. Klaus, klär mich auf.

00:01:57: Ja, also erstmal zu deinem sehr guten Zitat, das könnte man auch so deuten,

00:02:02: also du hast ja glaube ich gesagt, Cookies haben wenig Vitamine, deswegen muss man möglichst viele davon essen.

00:02:08: Das Essen könnte man auch als vernichten bezeichnen oder als blockieren,

00:02:13: das heißt also, es gibt anscheinend sehr viele Cookies und die muss man dann am besten zum Schutz der eigenen Privatsphäre möglichst unterbinden,

00:02:21: so könnte man das Zitat auch deuten.

00:02:23: Finde ich sehr gut.

00:02:25: Ja, also auf Webseiten, wie du sagst, ist es tatsächlich oft so, dass viele meinen und viele wissen es auch gar nicht besser,

00:02:31: sie müssten jetzt dies und das tun und dafür eine Einwilligung abfragen und ihre eigene Webseite mit dieser Einwilligungsabfrage verschandeln,

00:02:38: dabei ist es gar nicht notwendig. Das liegt oft, wie gesagt, an der Komplexität der Materie,

00:02:43: oft ist es auch eine falsche Beratung durch Agenturen, die meinen, sie müssten jetzt eine Cookiebox installieren,

00:02:48: weil es jeder so macht und weil das so sein muss.

00:02:50: Das ist ungefähr so, als wenn jeder, der ein Auto fährt, auf einmal vorne an der Windschutzscheibe links einen grünen Streifen aufklebt,

00:02:59: nur weil es jeder andere auch macht.

00:03:01: Keiner weiß warum, aber alle anderen machen es und deswegen muss es richtig sein.

00:03:05: Und dieser grüne Streifen soll angeblich die Tachyonstrahlung aus dem All reduzieren oder vielleicht sogar in positive Energie umleiten.

00:03:12: So ungefähr kommt es mir manchmal vor.

00:03:15: Die Cookies machen die Webseite leckerer, ne?

00:03:18: Genau, so könnte man es sehen.

00:03:21: Es ist so, vielleicht zur rechtlichen Einordnung, es gibt ja die DSGVO und die gilt aber nur dann, in Anführungszeichen nur,

00:03:29: wenn personenbezogene Daten im Spiel sind.

00:03:31: Personenbezogene Daten sind auch personenbeziehbare Daten, also alle Daten, die direkt oder indirekt auf eine Person hinweisen.

00:03:37: Und jetzt ist es so, dass diese Cookie-Regel, die ist im TTDSG, im deutschen Datenschutzgesetz, das die DSGVO ergänzt sozusagen.

00:03:48: Und da ist also ein Sondergesetz zur DSGVO ein lex specialis und die DSGVO gilt als lex generalis,

00:03:55: wobei DSGVO eigentlich kein Gesetz ist, sondern eine Verordnung, aber im Endeffekt ist es für uns mehr oder weniger egal.

00:04:00: Und da ist es so, das TTDSG regelt eben diesen Zugriff aufs Endgerät, Speicherung und Auslesen, das sind üblicherweise Cookies,

00:04:10: können aber auch JavaScript-Funktionen sein.

00:04:12: Und jetzt ist die Frage, sind Cookies personenbezogene Daten?

00:04:15: Denn wenn es keine wären, dann würden ja die Regeln der DSGVO dafür nicht gelten.

00:04:20: Also das heißt, man müsste die ganzen Informationspflichten nicht erfüllen,

00:04:24: also Datenschutzhinweise oder einen Auskunftsbegehr einer Person nicht beantworten.

00:04:29: Man müsste keine Einwilligung möglicherweise, also nach DSGVO dafür abfragen und so weiter.

00:04:33: Der Europäische Gerichtshof hat in seinem Planet 49-Urteil gesagt,

00:04:39: dass für Cookies, deren Zwecke und Lebensdauern auch anzugeben sind, gemäß Artikel 13 DSGVO,

00:04:45: also das, was man so als Datenschutzhinweise ansieht.

00:04:48: Jetzt hat er nicht weiter ausgeführt, dass Cookies sozusagen personenbezogene Daten sind,

00:04:52: was man aber daraus irgendwie ein bisschen ableiten kann.

00:04:55: Und manche nehmen das zum Anlass, insbesondere Juristen, die Mandanten haben,

00:05:00: die viele schlimme Dinge auf ihren Webseiten tun wollen, aber auch wenig Ärger haben wollen,

00:05:05: dass die einfach dieses Problem wegdiskutieren, indem sie sagen,

00:05:08: Cookies seien ja gar keine personenbezogene Daten.

00:05:11: Und deswegen ist die Frage eben sehr spannend.

00:05:15: Okay, das heißt also, du hast gerade gesagt, wegdiskutieren.

00:05:19: Ich finde das ganz spannend, weil im Endeffekt höre ich dann da richtig raus,

00:05:22: dass du sagst, die sind sehr wohl personenbezogen, die Cookies.

00:05:27: Ja, genau. Also, das kann ich jetzt auch belegen sozusagen.

00:05:31: Das ist nicht meine Meinung. Also, es gibt ja zwei Fälle.

00:05:34: Der eine Fall, in einem Cookie sind schon direkt personenbezogene Daten gespeichert.

00:05:39: Ich glaube, dann braucht man nicht drüber streiten, dass das Cookie personenbezogen ist.

00:05:42: Also, man könnte ja zum Beispiel im Cookie deine E-Mail-Adresse abspeichern,

00:05:44: wo dein Name drinsteht oder deine Domäne, noch besser.

00:05:48: Und diese Domäne ist eine .de-Domäne zum Beispiel, also .de.

00:05:51: Und die ist bei DENIC, dem deutschen Registrar,

00:05:54: eine Registrierungsstelle für Domänen registriert.

00:05:56: Und da kann jeder, der einen Kunden angibt, nachgucken, welche Adresse du hast

00:06:00: oder angegeben hast für die Registrierung der Domäne.

00:06:03: Das ist üblicherweise ja dein Wohnort, außer du hast eine Firma.

00:06:06: Aber selbst dann, wenn du ein Mann GmbH oder eine Frau GmbH hast,

00:06:10: in dem Fall ein Mann bei dir, dann wäre es eben auch ein personenbezogenes Datum,

00:06:14: wenn du deine Firmenanschrift angeben würdest.

00:06:16: So, dieser Fall ist, glaube ich, unstrittig.

00:06:19: Jetzt geht es aber darum, wenn da Werte gespeichert sind,

00:06:21: die gar nicht direkt sozusagen auf eine Person weisen.

00:06:25: Ich will jetzt mal ein Beispiel nennen, eine Spracheinstellung

00:06:28: oder wenn man da deine Haarfarbe abspeichern würde.

00:06:31: Jetzt könnte man natürlich sagen, das Cookie wird ja in deinem Endgerät abgespeichert,

00:06:35: in deinem Smartphone, Tablet, Desktop, PC oder Notebook oder so was.

00:06:40: Und dieses Gerät ist ja dir zugeordnet, üblicherweise wenigstens.

00:06:44: Wir gehen jetzt mal davon aus, dass kein Sonderfall existiert,

00:06:47: wie zum Beispiel Mehrfachnutzung eines PCs durch verschiedene Personen oder so was.

00:06:51: Ja, kann ja auch sein.

00:06:54: Also könnte man sagen, das Gerät ist dir zugeordnet.

00:06:56: Vielleicht hast du es sogar selbst gekauft oder wahrscheinlich.

00:06:58: Dann könnte man sagen, durch den Gerätebezug zu dir

00:07:01: ist alles, was im Gerät abgelegt wird, auch zu dir bezogen.

00:07:04: So, glaube ich, argumentiert auch ein bisschen der EuGH.

00:07:06: Ich finde das auch richtig. Es geht aber noch weiter.

00:07:10: Man kann es noch viel besser zeigen, dass Cookie-Werte eigentlich immer personenbezogen sind.

00:07:15: Denn ein Cookie muss im Endgerät ja gespeichert werden,

00:07:20: bevor es danach ausgelesen werden kann.

00:07:22: Um es zu speichern oder es auszulesen, wird immer die Netzwerkadresse des Nutzers,

00:07:28: also von dir zum Beispiel, wenn du eine Webseite besuchst, übertragen.

00:07:31: Das heißt, ein Cookie existiert immer zusammen mit der IP-Adresse, also der Netzwerkadresse.

00:07:35: Es geht nicht ohne. Es ist technisch ausgeschlossen.

00:07:37: Die IP-Adressenübermittlung an sich ist natürlich dann nicht verboten,

00:07:41: wenn das Cookie sozusagen legitimiert ist.

00:07:43: Über eine Einwilligung oder weil es unbedingt erforderlich ist.

00:07:46: Aber das heißt auch, dass an dem Cookie sozusagen dein personenbezogener Datenwert

00:07:51: Netzwerkadresse klebt.

00:07:53: Und dadurch kann man natürlich herausfinden, könnte man herausfinden,

00:07:58: sagt der EuGH reicht aus, im Breyer-Urteil über die IP-Adresse, wer du bist.

00:08:03: Und somit kann man dieses Cookie auch dir zuordnen.

00:08:06: IP-Adressen sind nämlich laut höchstrichterlicher Rechtsprechung

00:08:10: Europäischer Gerichtshof, Jahr 2016, Bundesgerichtshof, Jahr 2017,

00:08:13: personenbezogene Daten.

00:08:14: Und insofern alles, was da dran klebt an dieser IP-Adresse,

00:08:17: also damit verbunden ist, korreliert sozusagen,

00:08:20: ist dann auch ein personenbezogenes Datum.

00:08:23: Das ist automatisch so.

00:08:24: Und das ist der Grund, warum Cookies personenbezogene Daten sind.

00:08:27: Wir können auch gleich noch darüber reden, warum IP-Adressen

00:08:30: wirklich personenbezogene Daten sind und nicht, wie manche meinen,

00:08:32: vielleicht doch nicht.

00:08:34: Okay, super.

00:08:35: Also, damit haben wir jetzt schon mal geklärt,

00:08:37: warum die auf jeden Fall immer personenbezogen sind.

00:08:40: Jetzt hast du ja gerade gesagt, Cookie nach Einwilligung,

00:08:46: also wenn es legitimiert ist, entweder durch eine Einwilligung

00:08:49: oder weil es notwendig ist.

00:08:51: Ich glaube, an der Stelle sollten wir vielleicht noch mal kurz klären,

00:08:54: unter welchen Umständen ist denn ein Cookie notwendig?

00:08:59: Ja, also vereinfacht, das kann man natürlich nicht pauschal beantworten,

00:09:03: aber vereinfacht gesagt, du rufst eine Webseite auf

00:09:06: und die darzustellen, da muss ich nicht viel machen,

00:09:09: sag ich mal, um die dir zu zeigen.

00:09:11: Also, ich muss kein Video abspielen, ich muss keine Karte anzeigen,

00:09:16: die ein Cookie nutzt oder so was,

00:09:17: sondern ich muss einfach nur die Webseite anzeigen.

00:09:19: Du bist auch nicht angemeldet normalerweise

00:09:21: als normale Webseitenbesucher.

00:09:22: Da brauche ich auch keinen Sitzungscookie für dich

00:09:24: und so weiter und so weiter.

00:09:26: Also, das heißt, alles, was fundamental nicht notwendig ist,

00:09:29: ist auch nicht einwilligungsfrei.

00:09:31: So könnte man es mal vereinfacht sagen.

00:09:33: Da gibt es vielleicht auch Diskussionsmöglichkeiten,

00:09:35: darüber zu reden, dass es ein bisschen anders sein kann,

00:09:38: aber grundsätzlich ist es so.

00:09:39: Wenn du jetzt zum Beispiel auf einer Webseite bist,

00:09:41: die einen Online-Shop betreibt,

00:09:44: dann ist es natürlich legitim von der Webseite,

00:09:47: also erlaubt, dass der Warenkorb, der für dich da verwaltet wird,

00:09:51: über ein Cookie verwaltet wird,

00:09:52: weil anders geht es technisch kaum.

00:09:54: Es geht zwar anders über ein URL-Parameter,

00:09:56: aber das würde wieder Sicherheitsprobleme aufwerfen.

00:09:58: Also kann man schon sagen,

00:09:59: Warenkorb in einem Cookie zu speichern, ist vollkommen in Ordnung.

00:10:02: Dann darf aber das Warenkorb-Cookie

00:10:04: nur für den Zweck Verwaltung des Warenkorbs verwendet werden

00:10:07: und nicht auch noch, um dich sozusagen nachzuverfolgen.

00:10:10: Weil der Shop weiß ja dann, dass du der Stephan Plesnik bist

00:10:12: und kann dann alle deine Bewegungen im Online-Shop

00:10:14: sozusagen dir direkt noch besser zuordnen.

00:10:16: Vielleicht auch über deine Kundennummer,

00:10:18: weil du ja im Online-Shop vielleicht auch schon mal bestellt hast,

00:10:20: möglicherweise.

00:10:21: Oder wenn du jetzt eine Webseite besuchst,

00:10:23: die mehrsprachig ist,

00:10:24: dann stellst du auf einmal ein Sprache Englisch.

00:10:27: Das muss die Webseite sicher merken,

00:10:29: sonst müsstest du ja jedes Mal,

00:10:31: wenn du wieder klickst auf der Webseite,

00:10:33: auf eine neue Unterseite kommst, die Sprache neu einstellen.

00:10:36: Also ist es auch in deinem Interesse sogar,

00:10:38: wenn die Webseite diese Spracheinstellung

00:10:40: in einem Cookie speichert.

00:10:41: Aber das Cookie darf dann eben nur dafür verwendet werden,

00:10:43: um zu gucken, welche Sprache hat der aktuelle Webseitenbesucher,

00:10:46: der Stephan Plesnik in dem Fall, denn eingestellt,

00:10:49: damit ich nicht jedes Mal neu nachfragen muss

00:10:51: oder du stellst Englisch ein, dann klickst auf den Link,

00:10:54: dann kommt wieder Deutsch, weil er sich nicht gemerkt hat.

00:10:56: Also dafür darf man natürlich auch ein Cookie verwenden.

00:10:58: Andererseits, wenn man einen Besucherzähler erstellt,

00:11:02: sage ich, braucht man kein Cookie.

00:11:04: Das geht bis zu einem sehr guten Maße ohne Cookie.

00:11:07: Und mit Cookie wäre es, sagen wir mal, eine Belästigung eher schon.

00:11:10: Jetzt kann man sagen,

00:11:11: okay, wenn man schon ein Cookie nimmt für den Besucherzähler,

00:11:14: könnte man drüber reden,

00:11:15: ob es erlaubt ist, dass dieses Cookie nur eine Sitzung lang existiert.

00:11:19: Also solange du den Browser offen hast

00:11:21: beziehungsweise auf der Webseite drauf bist.

00:11:23: Wenn du die Webseite verlässt oder den Browser zumachst,

00:11:26: dann gilt das Cookie nicht mehr.

00:11:28: Und wenn du dann den Browser wieder neu öffnest

00:11:30: oder die Webseite neu besuchst,

00:11:31: dann wird wieder eine neue Sitzung für dich erzeugt.

00:11:34: Da könnte man drüber reden, ob das vielleicht erlaubt ist.

00:11:36: Aber was ich sage, geht gar nicht.

00:11:37: Ein Cookie, was zwei Monate Lebensdauer hat oder länger

00:11:40: und das dafür benutzt wird, um Besucher zu zählen,

00:11:44: das halte ich für nicht erlaubt.

00:11:46: Ebenfalls natürlich auch Werbecookies halte ich für nicht erlaubt.

00:11:49: Jetzt könnte man über ein paar Spezialfälle auch noch reden,

00:11:51: aber grundsätzlich kann man es so sehen.

00:11:55: Okay, die Einschränkung fand ich sehr gut.

00:11:59: Also wenn ich zum Beispiel irgendwie verfolgen muss,

00:12:02: ist der Nutzer angemeldet, weil er dann bestimmte Aktionen

00:12:04: durchführen kann auf der Webseite, das ist klar.

00:12:06: Da muss ich wissen, wer ist der Nutzer

00:12:08: und ich brauche einen sogenannten Session-Cookie,

00:12:10: damit man weiß, okay, der hat jetzt diese Sitzung

00:12:12: und deswegen kann der eben bestimmte Inhalte sehen

00:12:16: oder bestimmte Aktionen auf der Webseite durchführen,

00:12:18: die jemand, der nicht angemeldet ist, nicht kann.

00:12:21: Der andere Fall, sich Informationen über Auswahlen zu merken,

00:12:26: wie Sachen in Warenkörbe gelegt oder auf Merklisten gezählt,

00:12:29: jetzt bei Online-Shops, das ergibt auch Sinn,

00:12:32: damit der Nutzer nicht immer wieder seine Einstellung verliert.

00:12:35: Und auf der anderen Seite haben wir dann noch mal

00:12:37: solche Individualeinstellungen, wie zum Beispiel eine Sprachauswahl.

00:12:40: Aber im Endeffekt können wir sagen, dass Cookies nur dann notwendig sind,

00:12:44: wenn eine irgendwie geartete, vom Nutzer gewollte Individualisierung

00:12:50: des Erlebnisses auf der Webseite durchgeführt wird.

00:12:54: Dann ist ein Cookie notwendig, damit man das eben beibehalten kann,

00:12:58: wenn der Nutzer auf der Webseite hin und her surft.

00:13:01: Wenn das die einzige Notwendigkeit für Cookies ist,

00:13:07: dann kann man doch im Endeffekt überhaupt nicht argumentieren,

00:13:10: dass man Cookies für irgendwas anderes benötigt.

00:13:14: Ja, man kann über alles diskutieren.

00:13:16: Sagen wir mal so, das ist ja die Spezialität von Anwälten

00:13:19: und vertreten ja auch ihre Mandanten.

00:13:22: Das ist ja auch in Ordnung, das ist ihr Job, den müssen sie auch machen.

00:13:25: Man kann also grundsätzlich, nur als Beispiel, um eine Karte ...

00:13:29: Jeder kennt ja diese Google Maps Plugins zum Beispiel.

00:13:32: Die sind aus verschiedenen Gründen hochkritisch

00:13:34: und unbedingt einwilligungspflichtig, auch selbst wenn sie keine Cookies verwenden.

00:13:37: Ich sag nur Datentransfer in ein amerikanisches Unternehmen oder so was.

00:13:40: Auch wenn es in Irland sitzt, hat es ja eine amerikanische Mutter.

00:13:42: Und der amerikanische Geheimdienst, dem ist egal, wo die Tochtergesellschaft sitzt.

00:13:45: Die sagt einfach dem Chef in Amerika,

00:13:47: gib mir die Daten vom Server, der in Irland steht.

00:13:50: Da ist auch egal, welche Tochtergesellschaft dazwischenhängt.

00:13:52: Aber bei Google Maps zum Beispiel sind wir uns, glaube ich, einig,

00:13:54: ich brauche dafür keinen Cookie. Ich brauche es nicht.

00:13:56: Warum? Es muss nichts verwaltet werden.

00:13:59: Der Standort, der wird initial schon übergeben in der URL sozusagen,

00:14:02: in der Adresse der Karte, die eingebunden wird.

00:14:04: Da muss ich nichts speichern, da muss ich nichts vermerken im Cookie.

00:14:08: Ich muss auch nicht merken, wo der Nutzer zuletzt hingescrollt hat auf der Karte.

00:14:11: Das machen die meisten Nutzer ja übrigens sowieso nicht.

00:14:13: Und wenn er noch gar nichts gemacht hat mit der Karte,

00:14:16: ich muss dazu nichts speichern. Das gleiche beim YouTube-Video-Plugin.

00:14:19: Da gibt es ja zwei Möglichkeiten.

00:14:21: YouTube-Video in der datenschutzganzfeindlichen Methode einbinden

00:14:25: und in einer nicht ganz so feindlichen Methode, aber immer noch feindlichen.

00:14:28: Bei der ganzfeindlichen Methode werden ja absichtlich kritische Cookies gesetzt.

00:14:32: Die sind offensichtlich nicht nötig.

00:14:34: Die werden ja schon gesetzt, bevor das Video überhaupt abgespielt werden soll.

00:14:36: Also einfach nur die Webseite aufrufen, wo ein Videoplayer eingebunden ist.

00:14:39: Ich will gar nicht das Video abspielen.

00:14:41: Da brauche ich auch keinen Cookie dafür.

00:14:43: Und dann gibt es den zweiten Fall.

00:14:45: YouTube-No-Cookie.com, da wird auch ein Cookie gesetzt.

00:14:48: Das wissen viele nicht, aber es ist so.

00:14:50: Das ist auch nicht notwendig.

00:14:52: Ich meine, wozu? Ich mache ja noch gar nichts.

00:14:54: Und selbst wenn ich ein Video abspiele, brauche ich auch keinen Cookie.

00:14:58: Ich brauche auch keinen Cookie aus technischer Sicht,

00:15:01: um sozusagen, wenn der Nutzer Pause drückt,

00:15:03: den aktuellen Stand, wo ich im Video stehe bei Pause, zu merken.

00:15:08: Weil das Programm ist ja da, der Videoplayer.

00:15:10: Der lebt ja im Hauptspeicher.

00:15:12: Im Hauptspeicher kann ich mir alles merken, was ich will.

00:15:14: Da brauche ich keinen Cookie.

00:15:16: Insofern brauche ich für die meisten Dinge keinen Cookie.

00:15:18: Jetzt gibt es manche, die sagen,

00:15:20: ja, ich muss ja meine Webseite betreiben.

00:15:23: Da brauche ich Geld dafür.

00:15:25: Das mache ich jetzt nicht zum Spaß.

00:15:27: Manche machen es auch in ihrer Freizeit.

00:15:29: Die brauchen kein Geld dafür oder wollen kein Geld.

00:15:31: Aber es gibt Firmen, die sagen, wir betreiben unsere Webseite,

00:15:33: bieten da sogenannte kostenlose Inhalte an.

00:15:35: Aber wir brauchen noch irgendwie Geld dafür.

00:15:37: Sonst können wir diese Inhalte nicht anbieten.

00:15:39: Also sind sie ja irgendwie doch nicht kostenlos.

00:15:41: Und da sagen die sich, ja gut,

00:15:43: also unser berechtigtes Interesse wäre es sozusagen,

00:15:46: Cookies zu verwenden, damit wir da Werbung ausspielen können.

00:15:49: Und den Nutzer, ich sage mal, vereinfacht,

00:15:52: in extremer Weise nachzuverfolgen im Internet.

00:15:55: Das muss man leider so sagen.

00:15:57: Das ist bei vielen Werbeplattformen der Fall.

00:15:59: Realtime Bidding als Stichwort.

00:16:01: Da sagen die, also ja, das stimmt unbedingt erforderlich.

00:16:04: Aus unserer Sicht ist es schon,

00:16:06: weil sonst könnten wir die Webseite gar nicht darstellen.

00:16:08: Da sage ich, das ist ein bisschen zu weit gegriffen.

00:16:10: Da kann man natürlich auch drüber streiten.

00:16:12: Aber ich finde, das geht zu weit.

00:16:14: Und deswegen machen auch einige Webseiten schon Folgendes.

00:16:17: Die fragen bei Spiegel Online z.B. eine Seite,

00:16:19: die Datenschutz meiner Meinung nach nicht besonders gut einhält.

00:16:22: Und auch Auskunftsgesuche nicht besonders gut beantwortet.

00:16:25: Sondern mit Copy-and-Paste-Texten.

00:16:27: Egal, was man fragt, es kommt immer dieselbe Antwort.

00:16:29: Und dann diskutieren sie auch weg,

00:16:31: dass man überhaupt ein Auskunftsrecht hätte.

00:16:33: Und Spiegel Online macht eben Folgendes.

00:16:35: Die fragen, wollen sie mit unserer Werbung belästigt werden?

00:16:39: Und auch von uns nachverfolgt werden?

00:16:41: Und dass wir ihre Daten dann ganz viele andere weitergeben?

00:16:44: An Google und 100 andere Anbieter.

00:16:46: Oder 500, muss man sagen.

00:16:48: Es sind wirklich so viele. Es ist nicht von mir erfunden.

00:16:50: Oder wollen sie im Monat, ich weiß jetzt nicht,

00:16:52: wie hoch der Betrag ist, 4,99 Euro bezahlen?

00:16:55: Dann versuchen wir, sie nicht nachzuverfolgen.

00:16:57: Es gelingt uns zwar nicht, aber wir tun jetzt mal so, als wärs so.

00:17:00: Das ist so meine Darstellung etwas vereinfacht.

00:17:03: Aber so ist es wohl.

00:17:05: Also entweder man bezahlt mit seinen Daten.

00:17:08: Und damit, dass man beeinflussbar wird.

00:17:10: Weil durch diese Werbung wird man auch besser wiedererkannt zukünftig.

00:17:13: Und kann auch bei Wahlwerbung z.B. beeinflusst werden.

00:17:16: Das muss man wissen.

00:17:18: Oder man möchte nicht der Art Belästigten beeinflusst werden.

00:17:21: Dann zahlt man Geld.

00:17:23: Da kommen also viele dahin.

00:17:25: Und in dem Cookie-Paragrafen, Paragraf 25 TTDSG,

00:17:28: da gibt es kein berechtigtes Interesse.

00:17:30: Es gibt es nicht.

00:17:32: Es gibt kein berechtigtes Interesse, ein Cookie zu setzen oder auszulesen.

00:17:35: Das gibt es erst mal nicht.

00:17:37: Da steht nur drin erforderlich.

00:17:39: Okay.

00:17:41: Ich finde das super,

00:17:43: dass du gerade auf diese sogenannten Paywalls eingegangen bist.

00:17:46: So werden ja diese Consent-Management-Tools,

00:17:48: die überhaupt keine sind, genannt.

00:17:50: Wo man eigentlich nur die Auswahl hat,

00:17:52: ich bezahle mit Geld oder mit meinen Daten.

00:17:54: Dazu noch mal ganz kurz so ein kleiner Hinweis.

00:17:57: Einfach so aus der Logik meines Kopfes,

00:17:59: der mir gerade eingefallen ist.

00:18:01: Werbung kann ich auch schalten,

00:18:03: wenn ich weiß, wer sie sich anguckt.

00:18:05: Also einen Personenbezug in irgendeiner Form herzustellen

00:18:08: zum Zuschauer meiner Werbung,

00:18:10: ist per se nicht nötig, um Werbung zu schalten

00:18:12: und mit dieser Werbung Geld zu verdienen.

00:18:14: Das ist also auch eine Sache,

00:18:16: die erst durch das Tracking im Internet

00:18:18: überhaupt erst aufgekommen ist.

00:18:20: Dass man irgendwie das Gefühl hat,

00:18:22: dass die gesamte Werbeindustrie weltweit auf die Idee gekommen ist,

00:18:25: zu sagen, Werbung funktioniert nur,

00:18:27: wenn ich weiß, wer sie sich anguckt.

00:18:29: Das ist absoluter Irrsinn.

00:18:31: Wenn ich auf der Straße an irgendeinem blöden Billboard,

00:18:34: an irgendeiner komischen Anzeigetafel vorbeifahre,

00:18:37: dann weiß auch kein Einziger, dass ich daran vorbeigefahren bin.

00:18:40: Trotzdem wird da Werbung geschaltet.

00:18:42: Diese Unternehmen erheben ja auch keine personenbezogenen Daten

00:18:45: und können sehr wohl Werbung schalten.

00:18:47: Auch da würde ich sagen, in dieser Vergleichsthematik

00:18:50: ist das absolut nicht machbar, rechtlich zu argumentieren,

00:18:53: dass es nötig ist, personenbezogene Daten zu erheben

00:18:56: in Form von Cookies, um Werbung zu schalten.

00:19:00: Und darüber hinaus finde ich auch sehr spannend,

00:19:03: dass bei diesen Thematiken so getan wird,

00:19:06: als wenn das okay wäre, dass man mit Daten bezahlt,

00:19:09: in einer schier, wie du gerade sagtest, unglaublichen Menge,

00:19:12: 500 irgendwas Cookies, die gesetzt werden und irgendwas tracken.

00:19:16: Da würde ich aber gerne noch alle Zuschauer auf eine Sache hinweisen.

00:19:19: Es gibt Webbrowser.

00:19:21: Natürlich nicht die von den großen Konzernen, die alle gerne nutzen,

00:19:24: weil es so schön einfach ist und man sich dann dumm stellen kann

00:19:27: und nicht einfach mitmachen kann.

00:19:29: Sondern es gibt solche sogenannte Safe-Browser,

00:19:32: die Tracking, Cookies und alles Mögliche blockieren,

00:19:35: selbst wenn ich im Consentmanagement auf einer Webseite

00:19:38: oder bei einer Paywall gesagt habe,

00:19:40: ich möchte bitte das mit Werbeschaltung gucken.

00:19:44: Die blocken dann sogar die Werbung.

00:19:46: Also ich sehe weder die Werbung noch werden Cookies gesetzt

00:19:49: oder ich werde getrackt, weil diese ganzen Verbindungen

00:19:52: einfach nicht akzeptiert werden vom Webbrowser.

00:19:55: Richtig. Es gibt auch Werbeblocker, die kann man auch nehmen.

00:19:58: Da finde ich einen sehr guten Hinweis, Stephan.

00:20:01: Das sollte man tun auf jeden Fall.

00:20:03: Ja, also ich persönlich nutze an der Stelle Brave.

00:20:06: Ich will keine Werbung für ein bestimmtes Produkt machen,

00:20:09: aber ich habe mehrere getestet und bin bei dem irgendwie

00:20:12: nach einiger Zeit einfach hängen geblieben,

00:20:14: weil der mir das sehr komfortabel gestaltet.

00:20:16: Das so als Hinweis.

00:20:17: Es gibt da sehr, sehr viele unterschiedliche Produkte

00:20:20: und man kann ja zum Beispiel auch ohne Cookies Google benutzen.

00:20:23: Das wissen auch die meisten nicht.

00:20:25: Startpage.com ist ein Open-Source-Projekt.

00:20:28: Das liefert die exakt selben Ergebnisse wie Google,

00:20:31: weil die die Google API anzapfen, aber das eben über VPN-Server machen.

00:20:35: Und somit kriegt man genau die gleichen Ergebnisse wie bei Google

00:20:38: mit der exakt gleichen Relevanz und Akkuratheit

00:20:41: und kann super im Internet surfen,

00:20:44: ohne dass Google die Nase daran kriegt, wer sich das angeguckt hat.

00:20:47: Also es ist alles möglich.

00:20:49: Man muss nur diese Technologien, die diese Konzerne nutzen,

00:20:52: um uns auszuspionieren, nutzen, um sie rückwärts zu verwenden,

00:20:56: weil das kann man eben auch.

00:20:58: Genauso wie die Konzerne ja unser Betreten einer Webseite

00:21:01: rückwärts gegen uns verwenden.

00:21:03: Ja, also vielleicht zwei Anmerkungen.

00:21:05: Also finde ich super mit Startpage.

00:21:07: Man könnte auch EcoSia.de sich mal anschauen oder DuckDuckGo.com.

00:21:11: Ja, das stimmt.

00:21:13: Aber wie gesagt, ich hänge da auch nicht dran.

00:21:15: Hauptsache nicht Google, muss man sagen.

00:21:17: Und am besten auch nicht Bing von Microsoft,

00:21:19: weil Microsoft auch sehr viele Daten sammelt über Windows,

00:21:22: über Outlook, über Office generell und so weiter.

00:21:25: Und über Werbekunden.

00:21:27: Ich meine, wenn ich Bing öffne, kriege ich mehr Fokus auf Werbung

00:21:30: und irgendwelche blödsinnigen Blogartikel von irgendwelchen Newsportalen,

00:21:34: als dass ich das Suchfeld sehe.

00:21:36: Wer so eine Suchmaschine benutzt,

00:21:38: der hat ja gar nicht vor, einen Inhalt zu finden.

00:21:40: Der hat vor, sich verwirren zu lassen. Tut mir leid.

00:21:42: Ja, ja. Also vielleicht noch zwei Punkte.

00:21:45: Relativ zum Schluss sozusagen.

00:21:47: Wir sind ja schon im Stoff drin.

00:21:49: Also zum einen mit diesen Werbetreibenden, was du sagst,

00:21:52: und der, sagen wir mal, Litfaßsäulenwerbung oder so was.

00:21:56: Also es stimmt natürlich, man kann Werbung

00:21:58: ohne den Nutzer besser kennenzulernen betreiben.

00:22:01: Viele Werbetreibende sagen natürlich,

00:22:03: wir wollen aber gerade nicht diese Streuwerbung machen

00:22:05: und so einen großen Streuverlust haben.

00:22:07: Kann ich zwar nachvollziehen, muss ich sagen.

00:22:09: Aber wenn man das eben in einer invasiven Weise tut,

00:22:13: also die Privatsphäre der Personen schon verletzend

00:22:16: oder sehr stark beeinflusst,

00:22:18: dann muss man eben nach einer Einwilligung fragen.

00:22:20: Also man kann jetzt nicht sagen,

00:22:21: ja, aber dann ist meine Werbung ja ineffektiv.

00:22:23: Dann sage ich nur, Pech gehabt, dann macht was anderes.

00:22:25: Ihr braucht auch übrigens, also man braucht übrigens keine,

00:22:29: nicht als erstes nur an Werbung zu denken sozusagen.

00:22:31: Also es gibt ja durchaus auch andere Ansätze,

00:22:33: beziehungsweise Werbung muss ja nicht gleich sein,

00:22:35: irgendwas bei Google zu buchen.

00:22:37: Werbung kann ja auch sein,

00:22:38: einen qualitativ hochwertigen Beitrag zu veröffentlichen

00:22:40: oder ein Video, wie du es jetzt zum Beispiel machst.

00:22:42: Das ist ja auch Werbung in dem Sinne.

00:22:44: Du hattest ja beim letzten Mal ein Zitat von Bulgari zitiert.

00:22:48: Werbung ist teuer.

00:22:50: Keine Werbung ist noch teurer oder sowas.

00:22:52: Da muss ich nochmal ein bisschen differenzieren,

00:22:54: damit die Leute das nicht falsch verstehen.

00:22:55: Also zum einen ist es so, man muss sich überlegen,

00:22:57: was man unter Werbung versteht.

00:22:59: Und zum zweiten, bei Bulgari ist es natürlich so,

00:23:01: das ist eine Weltmarke, die baut auch ihr Image auf sozusagen.

00:23:04: Also ihre Bekanntheit vergrößern.

00:23:06: Es gibt viele Firmen, die wollen einfach nur,

00:23:08: dass man im Bewusstsein bleibt.

00:23:09: Und weil die Marke eben bekannt ist,

00:23:11: können sie die Preise erhöhen, wie bei Rolex oder so.

00:23:13: Ich glaube, zwei Drittel der Kosten für so eine Rolex

00:23:15: sind Werbeausgaben und Vertriebskosten,

00:23:17: nicht wirklich Produktkosten.

00:23:19: Das ist ja ein künstlicher Markt, also ein künstlicher Preis,

00:23:22: der da erzeugt wird.

00:23:23: Also dass jetzt jeder wie Bulgari Werbung machen muss, ist falsch.

00:23:26: Man kann natürlich darüber nachdenken, wo es Sinn macht.

00:23:29: Das kommt auch immer auf den Markt an.

00:23:31: Und ich sage mal so, bezahlte Werbung ist oft nicht sinnvoll.

00:23:34: Und wenn man es macht,

00:23:35: da muss man schon sehr viel Energie reinstecken

00:23:37: und sehr genau das Targeting betreiben.

00:23:40: Also Zielgruppenansprache und so weiter.

00:23:42: Es bringt nichts, wenn ich einfach nur Geld ausgebe.

00:23:45: Damit werde ich keinen Erfolg haben.

00:23:47: Wenn es so wäre, dann würde es jeder machen.

00:23:49: Das ist ein sehr cooler Hinweis, finde ich super.

00:23:52: Mir kam gerade die Idee,

00:23:54: wir könnten beim nächsten Mal mal austauschen,

00:23:57: welche Erfahrungen wir mit welchen Tools gemacht haben

00:24:00: und wie wir so als Datenschutzbeauftragte

00:24:02: zumindest für uns in unserer kleinen Bubble

00:24:05: das Gefühl erzeugen, dass wir weniger getrackt werden,

00:24:09: dass weniger unserer personenbezogenen Daten abgesaugt werden

00:24:12: und welche Software-Tools wir dafür einsetzen

00:24:14: und vielleicht auch, wie wir sie eingestellt haben.

00:24:17: Weil die meisten Software-Tools

00:24:18: muss man dann ja noch ein bisschen konfigurieren,

00:24:20: damit auch wirklich das rausgeholt wird, was man möchte.

00:24:22: Das wäre doch vielleicht ganz spannend,

00:24:24: so eine Art Nachbaututorial.

00:24:26: Ich gebe noch einen kurzen Hinweis für alle Leute,

00:24:29: die jetzt in dieser Folge gespannt aufgepasst haben und sagen,

00:24:32: das hat mir sehr viel geholfen,

00:24:34: aber ich würde jetzt gerne mal wissen,

00:24:36: wie mache ich das mit Consent Management und Cookies

00:24:38: auf meiner Webseite eigentlich richtig?

00:24:40: Da habe ich nämlich gerade letzte Woche

00:24:41: noch ein Tutorial zu veröffentlicht.

00:24:43: Könnt ihr euch auf dem YouTube-Kanal

00:24:44: von Datenschutz ist Pflicht gerne angucken.

00:24:46: Da wird Stück für Stück erklärt,

00:24:48: wie richtet ihr ein komplett sauberes,

00:24:50: DSGVO-konformes Consent Management ein.

00:24:54: Und dann möchte ich gerne enden mit einem weiteren Zitat.

00:24:58: Und das heißt, natürlich kann man sich aufregen,

00:25:01: man kann aber auch Kekse essen.

00:25:03: In diesem Sinne, wie du gesagt hast, Klaus,

00:25:06: löscht die Cookies und regt euch nicht mehr auf.

00:25:10: Vielleicht noch eine Sache zum Schluss,

00:25:12: eine Wissensinformation.

00:25:13: Also Cookies existieren nur auf dem Endgerät von Nutzern.

00:25:16: Sie existieren nicht auf Servern.

00:25:18: Das vielleicht noch als Punkt.

00:25:20: Das Cookie selbst existiert nur bei dir, Stephan,

00:25:23: wenn du eine Webseite besuchst

00:25:24: und nicht bei dem, der die Webseite betreibt

00:25:26: oder auch bei den Tools, die die Webseite einbindet.

00:25:28: Und das, was auf der Webseite existiert,

00:25:31: die man besucht oder bei Google Analytics,

00:25:32: ist nur der Wert eines Cookies letztendlich,

00:25:34: den man zu einem Namen des Cookies abgefragt hat.

00:25:37: Also das muss man wissen.

00:25:38: Deswegen IP-Adresse ist immer notwendig,

00:25:41: um ein Cookie zu verwalten.

00:25:43: Und das ist ein personenbezogenes Datum.

00:25:45: Deswegen sind Cookies auch personenbezogene Daten.

00:25:48: Wenn das mal mit allen Cookies auf der Welt so wäre,

00:25:50: dass die nur bei mir existieren

00:25:52: und nicht bei irgendjemand anders,

00:25:54: dann wäre ich extrem viel glücklicher.

00:25:56: Ja, das Cookie existiert nur bei dir.

00:25:59: Aber sozusagen der Gehalt des Cookies,

00:26:02: der Inhalt, die existiert wiederum anderswo.

00:26:05: Das wäre so, als wenn man sich ein Keks anschaut,

00:26:07: sich die Struktur merkt

00:26:09: und dann selbst zu Hause nachbackt

00:26:12: und dann den Stephan analysiert,

00:26:14: welche Kekse er denn isst.

00:26:17: Genau.

00:26:18: Double Choc Cookies mit Macadamia Nuts Sprinkles obendrauf.

00:26:22: Das wäre meine Kreation für Starbucks.

00:26:24: Die Kombination des Besten aus beiden Welten.

00:26:27: Ich bedanke mich recht herzlich bei dir, Klaus.

00:26:29: Wir sind durch für heute.

00:26:30: Ich bin raus.

00:26:31: Mein Name ist Stephan Plesnik.

00:26:32: Klaus, vielen Dank für diese coole Folge.

00:26:34: Und dann wünschen wir allen Zuhörern noch einen schönen Tag.

00:26:37: Tschüss.

00:26:38: Ja, vielen Dank.

00:26:39: Tschüss, schönen Tag noch.

00:26:41: Das war Datenschutz Deluxe.

00:26:43: Du willst mehr spannende Themen oder Kontakt zu uns?

00:26:46: Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO

00:26:51: und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

00:26:55: Bis zum nächsten Mal.