#2 Cookies und Cookiemeldungen (Datenschutz Deluxe)

Shownotes

Der Podcast rund um das Thema Datenschutz und IT. Mit Dr. Klaus Meffert und Frank Kremin.

#2 Cookies und Cookiemeldungen

In dieser Folge klären wir über das Thema Cookies und Cookie Pop Ups auf. Dabei gehen wir auf Tooling, aber auch rechtliche Fragen ein.

Links:

https://dr-dsgvo.de/webseiten-check/
https://desqtec.de

Impressum:

https://desqtec.de/impressum/

Transkript anzeigen

00:00:00: Datenschutz-Belüchs. Der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus

00:00:09: Meffert und Frank Kremin. Ja, hallo liebe Zuhörer. Wir sind zurück und heute gibt es

00:00:16: unser erstes Fachthema. Ich bin Frank Kremin von der Firma Desqtec und habe hier bei mir

00:00:22: unseren Datenschutz-Guru, Dr. Klaus Meffert. Ich grüße dich. Ja, Frank, vielen Dank für die

00:00:28: freundlichen Worte und hallo an alle Zuhörer. Ich habe mir überlegt, dass wir die zukünftigen

00:00:34: Folgen mit einem kleinen Zitat starten, um in die Themen etwas, ich sage mal,

00:00:41: Seicht einzutauchen, bevor wir komplett loslegen. Machst du da Lust drauf, Klaus? Bist du bereit

00:00:46: auf ein technisches Zitat? Hast du Lust? Ja, leg los, bin gespannt. Okay, also pass auf.

00:00:53: Es heißt Phantom der Technik. Angesichts der Computermasken verlieren die Benutzer

00:00:58: ihr Gesicht. Das ist ein Zitat von Jürgen Wilbert. Das ist ein deutscher Philosoph,

00:01:04: auch ein Literat gewesen. Hier stellt sich aber für mich die Frage, sind wir wirklich so

00:01:12: intransparent, wie das Zitat in dem Fall hier andeutet? Kann man eigentlich nicht schon wirklich

00:01:17: sagen, dass wir schon fast im Internet von einem gläsernen Menschen reden? Und in der heutigen

00:01:24: Folge wollen wir genau dieses Thema etwas besser beleuchten. Es geht heute nämlich um Cookies

00:01:29: und Cookie-Meldungen, bei dem der Nutzer die Möglichkeit hat, Privatsphäre Einstellungen

00:01:35: beim Besuchen einer Webseite selbst festzulegen oder eben auch nicht. Aber ich denke,

00:01:42: wir fangen erst mal generell mit den Grundlagen an. Klaus, kannst du uns vielleicht mal grob zusammenfassen?

00:01:48: Was sind denn eigentlich Cookies? Hat doch es doch bestimmt nichts zum Naschen, oder? Also

00:01:54: vielleicht nochmal kurz zu dem Zitat. Ich vermute, das war unter anderem auch so gemeint, wenn man

00:01:58: in Social Media zum Beispiel unterwegs ist und ein Pseudonym benutzt, dass man dann vielleicht in

00:02:03: der Anonymität sozusagen sich sicher fühlt und manche nutzen diese Anonymität ja auch

00:02:08: aus. Aber ansonsten ist natürlich recht, wir sind mehr oder weniger gläsern geworden. Es liegt an

00:02:12: den Technologien, die insbesondere Internetkonzerne heutzutage nutzen und uns über das gesamte

00:02:19: Internet auf allen Endgeräten nachverfolgen. Also zur Frage, was sind Cookies? Oft wird

00:02:23: ja immer behauptet, Cookies seien Textdateien. Das ist falsch, war noch nie richtig. Man

00:02:28: könnte es als groben Unfug bezeichnen im Endeffekt. Es geht auch an der Sache vorbei.

00:02:31: Cookies sind nämlich in Wirklichkeit Datensätze und wenn man es etwas nutzerfreundlicher

00:02:37: formulieren möchte oder verständlicher, dann würde man einfach davon sprechen, dass Cookies

00:02:41: dafür da sind, dass Informationen gespeichert werden. Und zwar werden diese Informationen auf dem

00:02:46: Endgerät des Nutzers gespeichert und das Endgerät ist dann beispielsweise ein Computer,

00:02:50: also Desktop PC, ein Notebook, ein Tablet oder ein Smartphone. Und diese Cookies, die funktionieren

00:02:56: so. Ich besuche eine Webseite und die nutzt selbst beispielsweise ein Cookie um festzustellen,

00:03:03: ob ein Administrator an der Webseite angemeldet ist. Das kennt man ja von WordPress zum Beispiel

00:03:07: oder ein Redakteur. Dieses Cookie wird dann so Webseite abgespeichert und zwar auf dem

00:03:13: Endgerät des Nutzers. Das Cookie existiert also nur im Computer des Nutzers. Es gibt nirgendwo

00:03:18: anders dieses Cookie. Es gibt es auch nicht auf dem Server der Webseite und wird jetzt die

00:03:23: Webseite von den Nutzer am nächsten Tag zum Beispiel wieder aufgerufen. Dann guckt der

00:03:27: Browser anhand der Vorgaben, die das Internet stellt, sozusagen, also das Internetprotokolls,

00:03:33: möchte ich mal allgemein formulieren, ob zu der besuchten Webseite ein passendes Cookie auf

00:03:38: dem Endgerät des Nutzers vorhanden ist. Und wenn es der Fall ist, dann wird dieses Cookie

00:03:41: automatisch vom Browser ausgelesen vom Endgerät des Nutzers und an die besuchte Webseite

00:03:47: übertragen. Da kann sich der Nutzer nicht dagegen wehren. Außer er stellt seinen

00:03:51: Browser so ein, dass keine Cookies übertragen werden. Dann funktionieren aber die meisten

00:03:55: Webseiten nicht. Und der Betreiber der Webseite kann sich dagegen auch nicht wehren. Er will

00:03:59: es ja auch gar nicht. Also er will sich nicht dagegen wehren. Er möchte ja dieses Cookie

00:04:03: haben, um rauszufinden, ob der Nutzer eine Sitzung hat. Und wenn ich jetzt zum Beispiel

00:04:07: Google reCAPTCHA einbinde auf meiner Webseite als Plug-in, dann setzt dieses Tool

00:04:11: wieder eigene Cookies von Google. Und wenn ich dann irgendwo eine Webseite, eine

00:04:16: ganz andere Webseite besuche, die auch Google reCAPTCHA einsetzt, dann guckt der

00:04:21: Browser, gibt es denn schon Cookies, die zu Adresse von Google reCAPTCHA passen. Und wenn

00:04:25: ja, lad ich die dann vom Computer des Nutzers auf die Webseite hoch, die gerade

00:04:29: besucht wird. Und es führt eben dazu, dass Google dann schon weiß, dass der Nutzer

00:04:32: auf Webseite eins und Webseite zwei war. Und die zweiten Webseitenbetreiber wissen

00:04:37: das voneinander eben nicht. Das heißt, also Cookies können einerseits nützliche

00:04:41: und notwendige Zwecke verfolgen, wie zum Beispiel eine Sitzungsverwaltung oder

00:04:45: eine Warnkopffunktion im Onlineshop. Und andererseits können sie auch

00:04:48: schädlich oder missbräuchlich genutzt werden. Das würde ich jetzt bei Google

00:04:52: mal überwiegend unterstellen. Google möchte ja den Nutzer besser kennenlernen.

00:04:57: Das klingt so harmlos, führte aber unter anderem dazu, dass Donald Trump

00:05:03: wahrscheinlich deswegen gewählt wurde, weil eben durch

00:05:09: Beeinflussung von unentschlossenen Wählern, die zuvor über Facebook mit

00:05:13: Hilfe von Google ermittelt wurden durch Nachverfolgung im Internet,

00:05:18: anders hätte man ja nicht rausfinden können, dass es unentschlossene Wähler

00:05:20: sind, die Wähler so mit Werbebotschaften bombardiert wurden, dass sie dann den

00:05:24: Donald Trump doch gewählt haben, anstatt jemand anderen.

00:05:27: Vielleicht so viel zum Thema Cookies.

00:05:30: Ich hoffe, ich bin jetzt nicht zu weit abgeschweift.

00:05:33: Nein, absolut nicht. Du hast da jetzt ganz klar erklärt, was die machen,

00:05:36: wie die funktionieren. Und du hast auch von Webseiten

00:05:39: Einbindung gesprochen. Welches Tooling gibt es dafür?

00:05:43: Wie kann man Cookie-Tools einbinden oder welche Tools gibt es da?

00:05:49: Ja, also du sprichst die sogenannten Cookie-Tools,

00:05:53: beziehungsweise Cookie-Dienste oder Content-Management-Plattformen an.

00:05:56: Das sind also Einwilligungsverwaltungslösungen,

00:05:59: die sogenannten Cookie-Pop-Ups, die man von jeder Webseite fast kennt.

00:06:03: Man besucht eine Webseite und dann wird man ja sozusagen

00:06:07: genervt mit so einem Pop-up und dann steht ja meistens drauf,

00:06:09: alle Cookies akzeptieren oder nur notwendige Cookies akzeptieren.

00:06:13: Das ist an sich schon falsch.

00:06:15: Denn wie viele wahrscheinlich wissen oder sich denken können,

00:06:19: geht es ja bei der Einwilligung, also bei Vorgängen,

00:06:21: die in die der Nutzer laut Gesetz DSGVO nämlich einwilligen können muss,

00:06:26: nicht nur um Cookies, sondern auch um viele andere Dinge.

00:06:29: Es geht zum Beispiel um den Datentransfer in unsichere Drittländer wie die USA.

00:06:34: Da möchte ich nur anmerken, hat ein mir befreundete Rechtsanwalt mal gesagt,

00:06:38: die USA haben ein schlechteres Datenschutzniveau als Angora.

00:06:43: Das würde ich auch unterschreiben.

00:06:45: Da sind ja so die Geheimdienste, besonders episch, Daten zu sammeln.

00:06:48: Da muss der Nutzer einwilligen, bevor das passieren darf

00:06:52: oder auch das Vornehmen von Nutzerprofilbildung.

00:06:56: Ohne Cookies ist auch ein einwilligungspflichtiger Vorgang

00:07:00: und darüber sprechen diese ganzen Anbieter von diesen Cookie-Diensten gar nicht.

00:07:04: Ich kann nur empfehlen, Dienste, die diesen Begriff Cookie im Namen tragen,

00:07:09: von vornherein auszuschließen aus einer Auswahl, die man vornehmen möchte

00:07:13: und auch alle anderen übrig gebliebenen Dienste von diesen bekannteren Anbietern.

00:07:18: Ich möchte sie jetzt nicht nennen.

00:07:20: Sind so sechs, sieben verschiedene Anbieter, die da auf dem Markt Prominent sind.

00:07:24: Die sind nach meiner praktischen Untersuchung ungeeignet,

00:07:28: um Webseiten datenschutzkonform zu gestalten.

00:07:31: OK. Und du hast jetzt von dem Diensten gesprochen.

00:07:35: Welche Dienste sind denn jetzt generell einwilligungspflichtig?

00:07:40: Also, es kann man pauschal natürlich nicht sagen.

00:07:43: Es kommt auf die Zwecke an, für die diese Dienste verwendet werden

00:07:46: und auch auf die Art der Datenverarbeitung.

00:07:49: Also Google Analytics zum Beispiel hat den Zweck, den Nutzer nachzuverfolgen.

00:07:54: Google macht das dann sogar, weil so viele Webseitenbetreiber

00:07:57: Google Analytics nutzen weltweit.

00:08:00: Ist bei reCAPTCHA, das ich eben nannte, geht es darum,

00:08:03: Formulare beispielsweise abzusichern gegen Spam.

00:08:07: Bei Google Maps, bei dem Google Maps Plug-in geht es zum Beispiel

00:08:10: darum, einen Standort anzuzeigen auf einer interaktiven Karte.

00:08:14: Das klingt alles so harmlos.

00:08:16: Aber leider ist es so, dass Google eben diese Dienste

00:08:19: nicht wirklich kostenfrei anbietet, sondern mindestens entgeltlich.

00:08:21: Und Entgelt bedeutet in dem Fall, dass man mit den Daten bezahlt.

00:08:25: Nicht man, also nicht der Betreiber der Webseite,

00:08:28: sondern der Nutzer, der die Webseite besucht.

00:08:30: Das ist ja das Schlimme.

00:08:31: Wir liefern sozusagen an Google und andere Internetkonzerne frei aus

00:08:34: unsere Daten und die Internetkonzerne verdient sich damit dumm und dusslig.

00:08:39: Und in Europa bleibt ein Armutszeugnis übrig,

00:08:43: was die digitale Souveränität angeht.

00:08:46: Man hat es ja auch bei der Corona-Warnapp gemerkt,

00:08:48: die nicht wirklich besonders gut war.

00:08:52: Die Telekom ist da anscheinend nicht besonders geübt darin gewesen,

00:08:54: zusammen mit der SAP, solche digitalen Lösungen herzustellen,

00:08:58: weil sie es nicht gewohnt sind, das tun zu sollen,

00:09:00: weil wir ja alle so gerne Google Dienste nutzen anscheinend,

00:09:04: dass es in Deutschland verlernt wurde, wie man digitale Lösungen baut.

00:09:07: Also zurückzukommen.

00:09:08: Es gibt verschiedenste Dienste.

00:09:10: Da muss man sich genau anschauen.

00:09:12: Also Dienste in dem Sinne von Tools oder Plugins für Webseiten,

00:09:15: was deren Zwecke sind, ob sie Cookies nutzen oder nicht

00:09:18: und ob diese Cookies technisch notwendig sind oder nicht.

00:09:22: Ob die Datenerhebung in einer Art und Weise stattfindet,

00:09:25: die nach dem berechtigten Interesse zu werden wäre.

00:09:28: Also das heißt so, dass man sagen kann, ja, da passiert was mit den Daten,

00:09:32: aber das ist das gute Recht des Webseitenbetreibers,

00:09:35: damit er überhaupt weiß beispielsweise, wie viel Besucher seine Webseite hatte

00:09:38: oder geht der Webseitenbetreiber weiter und führt weitergehende Analysen durch.

00:09:43: Und da spielt es auch weniger eine Rolle,

00:09:45: dass Google diese Analysen dann durchführt

00:09:47: in der Verantwortlichkeit des Webseitenbetreibers beispielsweise.

00:09:52: Denn Google, wenn man Google Maps einbindet als Plug-in,

00:09:54: erhebt für gewöhnlich sehr viele andere Daten,

00:09:57: auch bei YouTube als Video Plug-in, zum Beispiel,

00:10:00: gibt es eine Einbindemöglichkeit, die Standardmöglichkeit,

00:10:03: in der nämlich YouTube auch noch ein Werbetracker nachlädt.

00:10:06: Früher hieß er DoubleClick, jetzt mittlerweile Google Ads.

00:10:09: Das ist natürlich offensichtlich nicht notwendig, um ein Video anzuzeigen.

00:10:12: Man kann das YouTube-Video nämlich auch so einbinden,

00:10:15: dass dies DoubleClick nicht nachgeladen wird, angeblich dann ohne Cookies.

00:10:19: Und trotzdem setzt YouTube ein Cookie, was natürlich vollkommen Unsinn ist.

00:10:23: Wenn ich ein Video angucken möchte, muss ich keinen Cookie setzen.

00:10:25: Das kann ich als Informatiker jetzt hier behaupten.

00:10:28: Wer es nicht glaubt, der soll gerne mal ein Gerichtsverfahren führen

00:10:31: und da gehe ich dann gerne als Sachverständiger hin

00:10:34: und erstelle einen Gutachten, für das ich dann persönlich haften werde.

00:10:37: Ja, also es kommt, wie gesagt, bei den Diensten genau drauf an,

00:10:41: was diese Dienste mit den Daten tun.

00:10:45: Wie du hast jetzt so gerade mit diesen rechtlichen Konsequenzen

00:10:47: mal so angesprochen oder so angekratzt.

00:10:50: Du weißt ja so, dass seit einigen Jahren,

00:10:54: seitdem diese Abmahnwelle durch das Internet gerollt ist,

00:10:58: davon hat ja jeder gehört

00:11:00: und viele Unternehmen hatten den Aufschrei

00:11:02: um Gottes Willen, Datenschutzbestimmungen müssen jetzt umgesetzt werden.

00:11:07: Und wie du auch vorhin schon gesagt hast,

00:11:09: so ein profaner Weg, das Ganze erst mal umzusetzen waren,

00:11:12: diese Cookie-Meldungen einzubinden, die aber eher leblos eingebunden werden

00:11:18: über den Plug-in, was er beim Weiten jetzt nicht ausreicht.

00:11:21: Es muss ja auch noch, sag ich mal, auf die jeweilige Webpräsenz

00:11:25: angepasst werden oder eben auch nicht.

00:11:28: Aber um generell nochmal auf diese

00:11:31: ganzen rechtlichen Geschichten zurückzukommen, kannst du uns mal kurz erklären,

00:11:36: welche Gefahren bei einem Datenschutzverstoß überhaupt auf ein Unternehmen

00:11:41: oder auf einen Webseitenbetreiber lauern?

00:11:44: Ja, also zunächst ein Datenschutzverstoß, der kann vielfältig sein.

00:11:47: Du hattest ja schon angesprochen, also diese Cookie-Tools, die man da so einbindet,

00:11:51: die werden oft so eingebunden, wie der Standard ist.

00:11:55: Also der Hersteller liefert das Cookie-Tool aus

00:11:56: und man bindet es einfach so ein und hofft auf ein Wunder.

00:11:59: Dieses Wunder wird nicht eintreten.

00:12:01: Wir haben, glaube ich, sieben Weltwunder und das achte ist nicht das Cookie-Tool.

00:12:05: Habe ich jedenfalls noch nicht gehört.

00:12:06: Wir haben auch noch ja.

00:12:07: Ja, diese Pflichtangaben, die da zu lesen sind auf den Cookie-Tools,

00:12:12: die könnte man überwiegend als groben Unfug bezeichnen.

00:12:15: Wer sich die mal durchlesen möchte, wird feststellen, was ich meine.

00:12:19: Darf gar natürlich eine Gefahr von

00:12:20: ausgehen als Rechtsverstoß, dass man gegen Artikel 13 DSGVO

00:12:24: die Pflichtinformationen verstoßen hat.

00:12:26: Der UGH hat zum Beispiel auch gesagt im Planet 49 Urteil, dass die

00:12:31: Funktionsdauer, also Lebensdauer von Cookies zum Beispiel zu nennen ist.

00:12:34: Und man sollte auch die Zwecke der Cookies kennen.

00:12:36: Die kennt aber so gut wie niemand, weil Google auch nicht verrät.

00:12:39: Und andere, welche Cookie-Zwecke denn da so da sind und welche Cookies überhaupt da sind.

00:12:45: Ein weiteres Problem, also Datenschutzverstoß, könnte sein, dass ich

00:12:48: eben Daten transferiere, indem ich zum Beispiel einen Dienst ohne Einwilligung lade.

00:12:54: Obwohl er Einwilligungspflichtig ist und diese Cookie-Dienste versuchen,

00:12:57: eben diese Tools, die man da und Plugins, die man einbindet, so lange zu blockieren,

00:13:01: bis eine Einwilligung gegeben wurde.

00:13:03: Und das wird oft in eine automatischen Weise gemacht, in einer

00:13:06: wundersamen Weise sozusagen, wenn es denn funktionieren würde.

00:13:09: Es funktioniert aber nicht, denn dieser Einbindeart des Cookie-Tools ist so,

00:13:14: dass es möglichst als erstes geladen wird auf der Webseite.

00:13:17: Und erst wenn dieses Kripp von dem Cookie-Tool fertig geladen wurde,

00:13:20: kann es überhaupt andere Dienste blockieren bis zu einer Einwilligung.

00:13:23: Da aber in der Zwischenzeit während dieses Cookie-Skript geladen wird,

00:13:26: die andere Dienste schon begonnen werden zu laden, hat der Datentransfer schon

00:13:29: stattgefunden und zweitens gibt es auch im Standard der bekannten Brausehersteller

00:13:34: keine Möglichkeit begonnene Datentransfers abzubrechen

00:13:37: von durch dieses Cookie-Tool.

00:13:38: Das heißt, die Dienste werden fertig geladen, obwohl eine Einwilligung dafür

00:13:41: erforderlich ist und auch abgefragt wird.

00:13:43: Und die Konsequenzen, also ich könnte jetzt noch einige

00:13:45: mehr weitere rechtliche Mängel mit Cookie-Diensten benennen, aber daran

00:13:49: sieht man schon, es ist keine gute Idee, ein Cookie-Tool einzusetzen.

00:13:52: Und wenn man es unbedingt tun muss, dann sollte man es nur einsetzen,

00:13:54: wenn man weiß, wie es funktioniert.

00:13:57: Die Gefahren sind insbesondere.

00:13:59: Jede Person, jede Privatperson kann sich anonym oder auch nicht anonym

00:14:03: wie es möchte, wie derjenige möchte, bei einer Datenschutzaufsichtsbehörde

00:14:07: in Deutschland beschweren gegenüber einem deutschen Verantwortlichen.

00:14:10: Wenn im Datenschutzverschluss auf einer Webseite begegnet sind,

00:14:13: die Datenschutzbehörde kann entscheiden, ob und wie sie gegen diesen

00:14:17: Verschluss vorgeht, oft passiert nichts, aber immerhin ist sozusagen die

00:14:21: Mühe, die jemand hat, um ein solches Problem zu melden, sehr gering.

00:14:25: Und man kann, wie gesagt, ja auch anonym vorgehen.

00:14:27: Es kann also sehr häufig vorkommen, das Risiko ist also schon da.

00:14:30: Eine weitere Möglichkeit ist eine, sagen wir mal, etwas unangenehme Mail

00:14:34: an den Verantwortlichen zu schreiben.

00:14:35: Man regt sich darin auf über Datenschutzverstöße.

00:14:38: Und dann muss der Verantwortliche entscheiden, nämlich das Ernst oder nicht,

00:14:41: was da drin steht in der Mail.

00:14:42: Manchmal wird ja auch etwas angedroht.

00:14:43: Und dann ist es so, dass man zumindest mal Arbeit und Stress hat.

00:14:46: Also ich glaube nicht, dass die verantwortlichen Webseitenbetreiber

00:14:51: einfach solche Mails ignorieren.

00:14:52: Man hat mindestens ein paar Minuten oder Stunden damit Arbeit.

00:14:56: Und selbst wenn man es dann ignoriert, war es ärgerlich.

00:14:59: Als weitere Möglichkeit kann man natürlich auch als Privatperson eine

00:15:02: Abmahnung erlassen, § 1004 BGB.

00:15:06: Die Abmahnung, die ist strafbewährt und enthält eine Unterlassungserklärung.

00:15:11: Und wenn diese unterzeichnet wird, dann muss der Webseitenbetreiber

00:15:15: eine Vertragsstrafe bezahlen, wenn er sich nachweislich nicht

00:15:17: daran hält an die Unterlassungserklärung.

00:15:20: Und die bewegt sich so typischerweise ab 3.000 Euro ungefähr aufwärts,

00:15:25: je nachdem, um was es da geht, ob es nur im Google Analytics oder

00:15:28: auch im YouTube Videos und noch drei andere Trecker geht.

00:15:31: Und als nächstes, wenn die Abmahnung nicht abgegeben werden will

00:15:34: oder die Unterlassungserklärung nicht adäquat abgegeben werden möchte,

00:15:38: dann kann man eine Klage führen als Privatperson gegen ein Unternehmen.

00:15:43: Und wenn ich ein Wettbewerber bin,

00:15:46: also selbst ein Unternehmen, dann kann ich auch gegen einen anderen

00:15:49: Wettbewerber vorgehen, der Datenschutzverstöße hat, ebenfalls mit einer Abmahnung.

00:15:53: Es gibt also zahlreiche Möglichkeiten, wie man rechtliche Probleme kriegen kann,

00:15:57: was vielleicht auch noch eine Konsequenz ist.

00:15:59: Nach Artikel 15 DSGVO steht auch jeder betroffenen Person zu, eine Auskunft,

00:16:04: also eine Auskunftsgesuch' zu stellen, an einen Webseitenbetreiber.

00:16:08: Und dieses muss innerhalb von einem Monat beantwortet werden.

00:16:11: Außer es gibt ganz wichtige Gründe, warum das in einem Monat nicht klappt.

00:16:15: Da müsste man aber schon im Urlaub gewesen sein oder 50 Anfragen bekommen haben

00:16:18: dieser Art, damit man sagen kann, ich konnte es nicht in einem Monat beantworten.

00:16:22: Und da muss man dann die Auskünfte beantworten.

00:16:24: Was ist mit den Daten passiert, die auf der Webseite

00:16:29: verarbeitet wurden, die jemand besucht hat?

00:16:31: Also wir könnten sagen, dass wir zu dem

00:16:33: rechtlichen Thema locker nochmal eine komplette Folge füllen könnten,

00:16:38: weil es wirklich sehr umfangreich ist.

00:16:40: Wenn ihr da Interesse dran habt, lasst uns gerne einen Kommentar da.

00:16:44: Da können wir auch noch mal genauer auf das Thema eingehen.

00:16:45: Ich hatte es ja auch schon in der ersten Folge erwähnt, dass wir auch gerne mal

00:16:49: noch einen Gast einladen können, einen Anwalt für IT-Recht und das Ganze

00:16:53: wirklich noch mal ein bisschen detaillierter ausgestalten können.

00:16:56: Aber heute ist das Thema ja Cookies und die

00:16:58: Cookie-Einwilligung, das Cookie-Pop-Up.

00:17:01: Und du hattest in der ersten Folge noch ein Begriff in den Mund genommen,

00:17:08: PIMS oder P-I-M-S.

00:17:11: Soweit ich das gelesen hatte,

00:17:14: harnet sich dabei um eine zentrale Einwilligungsverwaltung.

00:17:18: Kannst du mir kurz oder uns kurz erklären, was denn genau dieses PIMS ist?

00:17:25: Und ja, einfach mal dazu eine kurze Stellungnahme vielleicht noch.

00:17:28: Ja, gerne. Also das ist der Paragraph 26.

00:17:31: TTDSG, das TTDSG ist ja das neue deutsche Datenschutzgesetz, das seit dem

00:17:35: 1.12.2021 gilt, dass die E-Privacy-Richtlinie umsetzt für Deutschland.

00:17:39: Also in nationales Recht münzt sozusagen.

00:17:42: Und da steht drin in diesem Paragraph 26, dass der Gesetzgeber innerhalb von zwei

00:17:46: Jahren eine Verordnung erlassen wird, mit der geregelt wird, wie eine zentrale

00:17:50: Einwilligungsverwaltung gestaltet werden kann.

00:17:52: Und die Idee ist, dass du und ich und wir alle hier sozusagen an einer

00:17:57: zentralen Stelle einmal entscheiden dürfen, welche Datenverarbeitung wir gut finden

00:18:02: und welche nicht.

00:18:03: Zum Beispiel bin ich damit einverstanden, dass Google Maps zum Zweck einer

00:18:06: Standortanzeige eingebunden wird auf eine Webseite.

00:18:10: Und wenn ich dann später eine Webseite besuche, dann soll die Webseite

00:18:13: die zentrale Abfragen und gucken, was mein Wunsch war oder ist bezüglich der

00:18:17: Datenverarbeitung, wo ich also Einwilligungen erteilt habe und wo nicht.

00:18:21: Und dann soll idealerweise kein Cookie-Pop-Up auf der Webseite erscheinen.

00:18:24: Soweit die Theorie klingt ja alles sehr gut, weniger Cookie-Pop-Ups,

00:18:28: da freuen wir uns alle auch der Webseitenbetreiber.

00:18:30: Falls denn eine Einwilligung erteilt wurde.

00:18:31: Das Problem ist, dass das ganze Konstrukt in der Praxis nicht funktionieren kann.

00:18:35: Es ist eine Idee und Ausgeburt von Lobbyisten, sage ich.

00:18:39: Kann man auch öffentlich nachvollziehen, wer das da ist.

00:18:42: Und es funktioniert leider so nicht.

00:18:45: Es ist erstens europarechtswidrig.

00:18:47: Ich glaube, Erwägungsgrund 32 ist einer, der sagt, dass man nicht einfach

00:18:51: so eine Pauschaleinwilligung für jeden beliebigen Zweck einholen kann.

00:18:55: Denn wenn nicht Google Maps zum Beispiel auf einer Webseite Einbette oder

00:18:58: Google Analytics, dann passiert es ja oft zu unterschiedlichen Zwecken.

00:19:01: Also beim Maps alleine könnte man zur Anzeige eines Standorts verwenden.

00:19:05: Man könnte es auch zur Darstellung einer Route verwenden oder für einen ganz anderen

00:19:10: Grund, den ich vielleicht jetzt nicht kenne.

00:19:11: Und bei Google Analytics ist es noch extremer.

00:19:13: Da kann ich zum Beispiel eine reine Besucherzählung betreiben.

00:19:16: Da kann ich einen Conversion-Tracking betreiben.

00:19:18: Da kann ich mit Google Optimize A/B-Split-Tests machen und so weiter.

00:19:22: Und es ist einfach laut diesem Erwägungsgrund in der DSGVO nicht erlaubt,

00:19:25: eine Pauschaleinwilligung einzuholen.

00:19:27: Und die Zentrale kann ja gar nicht wissen, welche Zwecke denn einer

00:19:31: Webseite, die man irgendwann mal besuchen wird, die noch keiner kennt vorher,

00:19:35: verfolgt mit diesem Union-Plugin.

00:19:37: Und weiterhin ist es auch so, dass man gar nicht weiß, was man denn für Google

00:19:40: Analytics oder Google Maps überhaupt erklären soll.

00:19:42: Ich glaube, jeder kennt mindestens 20 verschiedene Varianten von Datenschutztexten

00:19:47: oder kann sie leicht ermitteln, wenn er sich einfach ein paar Webseiten

00:19:50: aufruft zu Google Analytics als Beispiel.

00:19:52: Jeder schreibt einfach was anderes.

00:19:54: Ist ja auch klar, soll ja jeder mit seinen eigenen Worten schreiben.

00:19:56: Manche verwenden Datenschutzgeneratoren, nur da gibt es auch ganz viele davon.

00:20:00: Da fragt man sich doch, wie kommt jetzt ein einzelner zentraler Text zustande?

00:20:03: Wer erstellt den denn?

00:20:04: Und vor allem, wer ist dafür verantwortlich?

00:20:06: Verantwortlich können ja nicht die Webseitenbetreiber sein, die 100.000 oder

00:20:09: 10 Millionen in Deutschland, denn die dürfen ja diesen Text gar nicht schreiben.

00:20:12: Sonst wären es ja 10 Millionen Texte, die in der Zentrale abgefragt werden würden.

00:20:16: Was Unsinn ist, also muss es ja der Betreiber dieser Zentrale sein.

00:20:20: Und ob der dann für verantwortlich sein möchte, das wage ich mal zu bezweifeln.

00:20:23: Ja, gut, wir hatten jetzt oder haben jetzt schon wieder unsere 20 Minuten

00:20:28: überschritten, aber wir wollen ja versuchen, die Podcast-Folgen für euch

00:20:32: so kompakt wie möglich zu halten und dementsprechend würde ich das Ganze

00:20:38: jetzt schon so langsam Richtung Close setzen.

00:20:41: Ich wollte mal so einen kleinen Ausblick vielleicht auf die nächste Folge oder als

00:20:44: Idee mitgeben, Klaus, ich weiß nicht, ob du schon von dem,

00:20:48: ja, ich sage jetzt mal unseren neuen 8.

00:20:50: Weltwunder, wir hatten die Weltwunder vorhin gehabt.

00:20:53: Würde ich fast als Google bezeichnen, die allmächtige Suchmaschine,

00:20:57: die alles weiß und dann doch irgendwie nichts.

00:21:02: Google, dass der Konzern hat jetzt Ende Januar Topics vorgestellt.

00:21:07: Ich gehe davon aus, dass das auch bei dir ein Begriff ist.

00:21:10: Also Prinzip der Chrome Browser, der hauseigene Google Browser,

00:21:15: soll automatisch erfassen, welche Websites ein Nutzer besucht und

00:21:19: ihm bestimmte Interessen zuordnen.

00:21:22: Klingt jetzt erst mal nicht ganz so neu.

00:21:24: Wir wissen ja alle, dass das schon irgendwo im Hintergrund leider läuft.

00:21:29: Ich denke, das wäre ein spannendes Thema,

00:21:30: was wir vielleicht mal für die nächste Folge in Betracht ziehen.

00:21:34: Falls euch das interessiert, wie immer,

00:21:36: würden wir uns freuen, wenn ihr uns einen Kommentar hinterlasst mit Fragen,

00:21:41: mit Anregungen, gerne auch mit Ideen für zukünftige Podcast folgen.

00:21:47: Da würden wir uns wirklich mega drüber freuen und ja,

00:21:51: abonniert uns auf Spotify und Klaus, hast du noch irgendwas?

00:21:56: Gutes Thema Google Topics, können wir gerne drüber sprechen.

00:21:59: Der Grundgedanke von Google ist, keine Cookies mehr zu verwenden und damit

00:22:02: aus der Gefahrenzone der DSGVO bzw.

00:22:05: ihr Privacy-Richtlinie rauszukommen.

00:22:07: Das funktioniert aber leider nicht, weil Google den

00:22:08: Gesetzestext nicht richtig gelesen hat.

00:22:10: Deswegen freue ich mich, dass wir da beim nächsten Mal auf dieses Thema eingehen.

00:22:14: Und ich denke, es ist für jeden sicher spannend.

00:22:16: Absolut.

00:22:17: Gut, alles klar.

00:22:18: Dann wünsche ich euch noch einen schönen Tag.

00:22:20: Wir freuen uns auf euch bis zum nächsten Mal.

00:22:22: Tschau.

00:22:22: Tschüss.

00:22:24: Das war Datenschutz Deluxe.

00:22:27: Du möchtest keine neue Folge verpassen?

00:22:30: Dann abonniere uns jetzt bei Spotify.

00:22:32: Bis zum nächsten Mal.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.