#2 Cookies und Cookiemeldungen (Datenschutz Deluxe)
Shownotes
Der Podcast rund um das Thema Datenschutz und IT. Mit Dr. Klaus Meffert und Frank Kremin.
#2 Cookies und Cookiemeldungen
In dieser Folge klären wir über das Thema Cookies und Cookie Pop Ups auf. Dabei gehen wir auf Tooling, aber auch rechtliche Fragen ein.
Links:
https://dr-dsgvo.de/webseiten-check/
https://desqtec.de
Impressum:
https://desqtec.de/impressum/
Transkript anzeigen
00:00:00: Datenschutz-Belüchs. Der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus
00:00:09: Meffert und Frank Kremin. Ja, hallo liebe Zuhörer. Wir sind zurück und heute gibt es
00:00:16: unser erstes Fachthema. Ich bin Frank Kremin von der Firma Desqtec und habe hier bei mir
00:00:22: unseren Datenschutz-Guru, Dr. Klaus Meffert. Ich grüße dich. Ja, Frank, vielen Dank für die
00:00:28: freundlichen Worte und hallo an alle Zuhörer. Ich habe mir überlegt, dass wir die zukünftigen
00:00:34: Folgen mit einem kleinen Zitat starten, um in die Themen etwas, ich sage mal,
00:00:41: Seicht einzutauchen, bevor wir komplett loslegen. Machst du da Lust drauf, Klaus? Bist du bereit
00:00:46: auf ein technisches Zitat? Hast du Lust? Ja, leg los, bin gespannt. Okay, also pass auf.
00:00:53: Es heißt Phantom der Technik. Angesichts der Computermasken verlieren die Benutzer
00:00:58: ihr Gesicht. Das ist ein Zitat von Jürgen Wilbert. Das ist ein deutscher Philosoph,
00:01:04: auch ein Literat gewesen. Hier stellt sich aber für mich die Frage, sind wir wirklich so
00:01:12: intransparent, wie das Zitat in dem Fall hier andeutet? Kann man eigentlich nicht schon wirklich
00:01:17: sagen, dass wir schon fast im Internet von einem gläsernen Menschen reden? Und in der heutigen
00:01:24: Folge wollen wir genau dieses Thema etwas besser beleuchten. Es geht heute nämlich um Cookies
00:01:29: und Cookie-Meldungen, bei dem der Nutzer die Möglichkeit hat, Privatsphäre Einstellungen
00:01:35: beim Besuchen einer Webseite selbst festzulegen oder eben auch nicht. Aber ich denke,
00:01:42: wir fangen erst mal generell mit den Grundlagen an. Klaus, kannst du uns vielleicht mal grob zusammenfassen?
00:01:48: Was sind denn eigentlich Cookies? Hat doch es doch bestimmt nichts zum Naschen, oder? Also
00:01:54: vielleicht nochmal kurz zu dem Zitat. Ich vermute, das war unter anderem auch so gemeint, wenn man
00:01:58: in Social Media zum Beispiel unterwegs ist und ein Pseudonym benutzt, dass man dann vielleicht in
00:02:03: der Anonymität sozusagen sich sicher fühlt und manche nutzen diese Anonymität ja auch
00:02:08: aus. Aber ansonsten ist natürlich recht, wir sind mehr oder weniger gläsern geworden. Es liegt an
00:02:12: den Technologien, die insbesondere Internetkonzerne heutzutage nutzen und uns über das gesamte
00:02:19: Internet auf allen Endgeräten nachverfolgen. Also zur Frage, was sind Cookies? Oft wird
00:02:23: ja immer behauptet, Cookies seien Textdateien. Das ist falsch, war noch nie richtig. Man
00:02:28: könnte es als groben Unfug bezeichnen im Endeffekt. Es geht auch an der Sache vorbei.
00:02:31: Cookies sind nämlich in Wirklichkeit Datensätze und wenn man es etwas nutzerfreundlicher
00:02:37: formulieren möchte oder verständlicher, dann würde man einfach davon sprechen, dass Cookies
00:02:41: dafür da sind, dass Informationen gespeichert werden. Und zwar werden diese Informationen auf dem
00:02:46: Endgerät des Nutzers gespeichert und das Endgerät ist dann beispielsweise ein Computer,
00:02:50: also Desktop PC, ein Notebook, ein Tablet oder ein Smartphone. Und diese Cookies, die funktionieren
00:02:56: so. Ich besuche eine Webseite und die nutzt selbst beispielsweise ein Cookie um festzustellen,
00:03:03: ob ein Administrator an der Webseite angemeldet ist. Das kennt man ja von WordPress zum Beispiel
00:03:07: oder ein Redakteur. Dieses Cookie wird dann so Webseite abgespeichert und zwar auf dem
00:03:13: Endgerät des Nutzers. Das Cookie existiert also nur im Computer des Nutzers. Es gibt nirgendwo
00:03:18: anders dieses Cookie. Es gibt es auch nicht auf dem Server der Webseite und wird jetzt die
00:03:23: Webseite von den Nutzer am nächsten Tag zum Beispiel wieder aufgerufen. Dann guckt der
00:03:27: Browser anhand der Vorgaben, die das Internet stellt, sozusagen, also das Internetprotokolls,
00:03:33: möchte ich mal allgemein formulieren, ob zu der besuchten Webseite ein passendes Cookie auf
00:03:38: dem Endgerät des Nutzers vorhanden ist. Und wenn es der Fall ist, dann wird dieses Cookie
00:03:41: automatisch vom Browser ausgelesen vom Endgerät des Nutzers und an die besuchte Webseite
00:03:47: übertragen. Da kann sich der Nutzer nicht dagegen wehren. Außer er stellt seinen
00:03:51: Browser so ein, dass keine Cookies übertragen werden. Dann funktionieren aber die meisten
00:03:55: Webseiten nicht. Und der Betreiber der Webseite kann sich dagegen auch nicht wehren. Er will
00:03:59: es ja auch gar nicht. Also er will sich nicht dagegen wehren. Er möchte ja dieses Cookie
00:04:03: haben, um rauszufinden, ob der Nutzer eine Sitzung hat. Und wenn ich jetzt zum Beispiel
00:04:07: Google reCAPTCHA einbinde auf meiner Webseite als Plug-in, dann setzt dieses Tool
00:04:11: wieder eigene Cookies von Google. Und wenn ich dann irgendwo eine Webseite, eine
00:04:16: ganz andere Webseite besuche, die auch Google reCAPTCHA einsetzt, dann guckt der
00:04:21: Browser, gibt es denn schon Cookies, die zu Adresse von Google reCAPTCHA passen. Und wenn
00:04:25: ja, lad ich die dann vom Computer des Nutzers auf die Webseite hoch, die gerade
00:04:29: besucht wird. Und es führt eben dazu, dass Google dann schon weiß, dass der Nutzer
00:04:32: auf Webseite eins und Webseite zwei war. Und die zweiten Webseitenbetreiber wissen
00:04:37: das voneinander eben nicht. Das heißt, also Cookies können einerseits nützliche
00:04:41: und notwendige Zwecke verfolgen, wie zum Beispiel eine Sitzungsverwaltung oder
00:04:45: eine Warnkopffunktion im Onlineshop. Und andererseits können sie auch
00:04:48: schädlich oder missbräuchlich genutzt werden. Das würde ich jetzt bei Google
00:04:52: mal überwiegend unterstellen. Google möchte ja den Nutzer besser kennenlernen.
00:04:57: Das klingt so harmlos, führte aber unter anderem dazu, dass Donald Trump
00:05:03: wahrscheinlich deswegen gewählt wurde, weil eben durch
00:05:09: Beeinflussung von unentschlossenen Wählern, die zuvor über Facebook mit
00:05:13: Hilfe von Google ermittelt wurden durch Nachverfolgung im Internet,
00:05:18: anders hätte man ja nicht rausfinden können, dass es unentschlossene Wähler
00:05:20: sind, die Wähler so mit Werbebotschaften bombardiert wurden, dass sie dann den
00:05:24: Donald Trump doch gewählt haben, anstatt jemand anderen.
00:05:27: Vielleicht so viel zum Thema Cookies.
00:05:30: Ich hoffe, ich bin jetzt nicht zu weit abgeschweift.
00:05:33: Nein, absolut nicht. Du hast da jetzt ganz klar erklärt, was die machen,
00:05:36: wie die funktionieren. Und du hast auch von Webseiten
00:05:39: Einbindung gesprochen. Welches Tooling gibt es dafür?
00:05:43: Wie kann man Cookie-Tools einbinden oder welche Tools gibt es da?
00:05:49: Ja, also du sprichst die sogenannten Cookie-Tools,
00:05:53: beziehungsweise Cookie-Dienste oder Content-Management-Plattformen an.
00:05:56: Das sind also Einwilligungsverwaltungslösungen,
00:05:59: die sogenannten Cookie-Pop-Ups, die man von jeder Webseite fast kennt.
00:06:03: Man besucht eine Webseite und dann wird man ja sozusagen
00:06:07: genervt mit so einem Pop-up und dann steht ja meistens drauf,
00:06:09: alle Cookies akzeptieren oder nur notwendige Cookies akzeptieren.
00:06:13: Das ist an sich schon falsch.
00:06:15: Denn wie viele wahrscheinlich wissen oder sich denken können,
00:06:19: geht es ja bei der Einwilligung, also bei Vorgängen,
00:06:21: die in die der Nutzer laut Gesetz DSGVO nämlich einwilligen können muss,
00:06:26: nicht nur um Cookies, sondern auch um viele andere Dinge.
00:06:29: Es geht zum Beispiel um den Datentransfer in unsichere Drittländer wie die USA.
00:06:34: Da möchte ich nur anmerken, hat ein mir befreundete Rechtsanwalt mal gesagt,
00:06:38: die USA haben ein schlechteres Datenschutzniveau als Angora.
00:06:43: Das würde ich auch unterschreiben.
00:06:45: Da sind ja so die Geheimdienste, besonders episch, Daten zu sammeln.
00:06:48: Da muss der Nutzer einwilligen, bevor das passieren darf
00:06:52: oder auch das Vornehmen von Nutzerprofilbildung.
00:06:56: Ohne Cookies ist auch ein einwilligungspflichtiger Vorgang
00:07:00: und darüber sprechen diese ganzen Anbieter von diesen Cookie-Diensten gar nicht.
00:07:04: Ich kann nur empfehlen, Dienste, die diesen Begriff Cookie im Namen tragen,
00:07:09: von vornherein auszuschließen aus einer Auswahl, die man vornehmen möchte
00:07:13: und auch alle anderen übrig gebliebenen Dienste von diesen bekannteren Anbietern.
00:07:18: Ich möchte sie jetzt nicht nennen.
00:07:20: Sind so sechs, sieben verschiedene Anbieter, die da auf dem Markt Prominent sind.
00:07:24: Die sind nach meiner praktischen Untersuchung ungeeignet,
00:07:28: um Webseiten datenschutzkonform zu gestalten.
00:07:31: OK. Und du hast jetzt von dem Diensten gesprochen.
00:07:35: Welche Dienste sind denn jetzt generell einwilligungspflichtig?
00:07:40: Also, es kann man pauschal natürlich nicht sagen.
00:07:43: Es kommt auf die Zwecke an, für die diese Dienste verwendet werden
00:07:46: und auch auf die Art der Datenverarbeitung.
00:07:49: Also Google Analytics zum Beispiel hat den Zweck, den Nutzer nachzuverfolgen.
00:07:54: Google macht das dann sogar, weil so viele Webseitenbetreiber
00:07:57: Google Analytics nutzen weltweit.
00:08:00: Ist bei reCAPTCHA, das ich eben nannte, geht es darum,
00:08:03: Formulare beispielsweise abzusichern gegen Spam.
00:08:07: Bei Google Maps, bei dem Google Maps Plug-in geht es zum Beispiel
00:08:10: darum, einen Standort anzuzeigen auf einer interaktiven Karte.
00:08:14: Das klingt alles so harmlos.
00:08:16: Aber leider ist es so, dass Google eben diese Dienste
00:08:19: nicht wirklich kostenfrei anbietet, sondern mindestens entgeltlich.
00:08:21: Und Entgelt bedeutet in dem Fall, dass man mit den Daten bezahlt.
00:08:25: Nicht man, also nicht der Betreiber der Webseite,
00:08:28: sondern der Nutzer, der die Webseite besucht.
00:08:30: Das ist ja das Schlimme.
00:08:31: Wir liefern sozusagen an Google und andere Internetkonzerne frei aus
00:08:34: unsere Daten und die Internetkonzerne verdient sich damit dumm und dusslig.
00:08:39: Und in Europa bleibt ein Armutszeugnis übrig,
00:08:43: was die digitale Souveränität angeht.
00:08:46: Man hat es ja auch bei der Corona-Warnapp gemerkt,
00:08:48: die nicht wirklich besonders gut war.
00:08:52: Die Telekom ist da anscheinend nicht besonders geübt darin gewesen,
00:08:54: zusammen mit der SAP, solche digitalen Lösungen herzustellen,
00:08:58: weil sie es nicht gewohnt sind, das tun zu sollen,
00:09:00: weil wir ja alle so gerne Google Dienste nutzen anscheinend,
00:09:04: dass es in Deutschland verlernt wurde, wie man digitale Lösungen baut.
00:09:07: Also zurückzukommen.
00:09:08: Es gibt verschiedenste Dienste.
00:09:10: Da muss man sich genau anschauen.
00:09:12: Also Dienste in dem Sinne von Tools oder Plugins für Webseiten,
00:09:15: was deren Zwecke sind, ob sie Cookies nutzen oder nicht
00:09:18: und ob diese Cookies technisch notwendig sind oder nicht.
00:09:22: Ob die Datenerhebung in einer Art und Weise stattfindet,
00:09:25: die nach dem berechtigten Interesse zu werden wäre.
00:09:28: Also das heißt so, dass man sagen kann, ja, da passiert was mit den Daten,
00:09:32: aber das ist das gute Recht des Webseitenbetreibers,
00:09:35: damit er überhaupt weiß beispielsweise, wie viel Besucher seine Webseite hatte
00:09:38: oder geht der Webseitenbetreiber weiter und führt weitergehende Analysen durch.
00:09:43: Und da spielt es auch weniger eine Rolle,
00:09:45: dass Google diese Analysen dann durchführt
00:09:47: in der Verantwortlichkeit des Webseitenbetreibers beispielsweise.
00:09:52: Denn Google, wenn man Google Maps einbindet als Plug-in,
00:09:54: erhebt für gewöhnlich sehr viele andere Daten,
00:09:57: auch bei YouTube als Video Plug-in, zum Beispiel,
00:10:00: gibt es eine Einbindemöglichkeit, die Standardmöglichkeit,
00:10:03: in der nämlich YouTube auch noch ein Werbetracker nachlädt.
00:10:06: Früher hieß er DoubleClick, jetzt mittlerweile Google Ads.
00:10:09: Das ist natürlich offensichtlich nicht notwendig, um ein Video anzuzeigen.
00:10:12: Man kann das YouTube-Video nämlich auch so einbinden,
00:10:15: dass dies DoubleClick nicht nachgeladen wird, angeblich dann ohne Cookies.
00:10:19: Und trotzdem setzt YouTube ein Cookie, was natürlich vollkommen Unsinn ist.
00:10:23: Wenn ich ein Video angucken möchte, muss ich keinen Cookie setzen.
00:10:25: Das kann ich als Informatiker jetzt hier behaupten.
00:10:28: Wer es nicht glaubt, der soll gerne mal ein Gerichtsverfahren führen
00:10:31: und da gehe ich dann gerne als Sachverständiger hin
00:10:34: und erstelle einen Gutachten, für das ich dann persönlich haften werde.
00:10:37: Ja, also es kommt, wie gesagt, bei den Diensten genau drauf an,
00:10:41: was diese Dienste mit den Daten tun.
00:10:45: Wie du hast jetzt so gerade mit diesen rechtlichen Konsequenzen
00:10:47: mal so angesprochen oder so angekratzt.
00:10:50: Du weißt ja so, dass seit einigen Jahren,
00:10:54: seitdem diese Abmahnwelle durch das Internet gerollt ist,
00:10:58: davon hat ja jeder gehört
00:11:00: und viele Unternehmen hatten den Aufschrei
00:11:02: um Gottes Willen, Datenschutzbestimmungen müssen jetzt umgesetzt werden.
00:11:07: Und wie du auch vorhin schon gesagt hast,
00:11:09: so ein profaner Weg, das Ganze erst mal umzusetzen waren,
00:11:12: diese Cookie-Meldungen einzubinden, die aber eher leblos eingebunden werden
00:11:18: über den Plug-in, was er beim Weiten jetzt nicht ausreicht.
00:11:21: Es muss ja auch noch, sag ich mal, auf die jeweilige Webpräsenz
00:11:25: angepasst werden oder eben auch nicht.
00:11:28: Aber um generell nochmal auf diese
00:11:31: ganzen rechtlichen Geschichten zurückzukommen, kannst du uns mal kurz erklären,
00:11:36: welche Gefahren bei einem Datenschutzverstoß überhaupt auf ein Unternehmen
00:11:41: oder auf einen Webseitenbetreiber lauern?
00:11:44: Ja, also zunächst ein Datenschutzverstoß, der kann vielfältig sein.
00:11:47: Du hattest ja schon angesprochen, also diese Cookie-Tools, die man da so einbindet,
00:11:51: die werden oft so eingebunden, wie der Standard ist.
00:11:55: Also der Hersteller liefert das Cookie-Tool aus
00:11:56: und man bindet es einfach so ein und hofft auf ein Wunder.
00:11:59: Dieses Wunder wird nicht eintreten.
00:12:01: Wir haben, glaube ich, sieben Weltwunder und das achte ist nicht das Cookie-Tool.
00:12:05: Habe ich jedenfalls noch nicht gehört.
00:12:06: Wir haben auch noch ja.
00:12:07: Ja, diese Pflichtangaben, die da zu lesen sind auf den Cookie-Tools,
00:12:12: die könnte man überwiegend als groben Unfug bezeichnen.
00:12:15: Wer sich die mal durchlesen möchte, wird feststellen, was ich meine.
00:12:19: Darf gar natürlich eine Gefahr von
00:12:20: ausgehen als Rechtsverstoß, dass man gegen Artikel 13 DSGVO
00:12:24: die Pflichtinformationen verstoßen hat.
00:12:26: Der UGH hat zum Beispiel auch gesagt im Planet 49 Urteil, dass die
00:12:31: Funktionsdauer, also Lebensdauer von Cookies zum Beispiel zu nennen ist.
00:12:34: Und man sollte auch die Zwecke der Cookies kennen.
00:12:36: Die kennt aber so gut wie niemand, weil Google auch nicht verrät.
00:12:39: Und andere, welche Cookie-Zwecke denn da so da sind und welche Cookies überhaupt da sind.
00:12:45: Ein weiteres Problem, also Datenschutzverstoß, könnte sein, dass ich
00:12:48: eben Daten transferiere, indem ich zum Beispiel einen Dienst ohne Einwilligung lade.
00:12:54: Obwohl er Einwilligungspflichtig ist und diese Cookie-Dienste versuchen,
00:12:57: eben diese Tools, die man da und Plugins, die man einbindet, so lange zu blockieren,
00:13:01: bis eine Einwilligung gegeben wurde.
00:13:03: Und das wird oft in eine automatischen Weise gemacht, in einer
00:13:06: wundersamen Weise sozusagen, wenn es denn funktionieren würde.
00:13:09: Es funktioniert aber nicht, denn dieser Einbindeart des Cookie-Tools ist so,
00:13:14: dass es möglichst als erstes geladen wird auf der Webseite.
00:13:17: Und erst wenn dieses Kripp von dem Cookie-Tool fertig geladen wurde,
00:13:20: kann es überhaupt andere Dienste blockieren bis zu einer Einwilligung.
00:13:23: Da aber in der Zwischenzeit während dieses Cookie-Skript geladen wird,
00:13:26: die andere Dienste schon begonnen werden zu laden, hat der Datentransfer schon
00:13:29: stattgefunden und zweitens gibt es auch im Standard der bekannten Brausehersteller
00:13:34: keine Möglichkeit begonnene Datentransfers abzubrechen
00:13:37: von durch dieses Cookie-Tool.
00:13:38: Das heißt, die Dienste werden fertig geladen, obwohl eine Einwilligung dafür
00:13:41: erforderlich ist und auch abgefragt wird.
00:13:43: Und die Konsequenzen, also ich könnte jetzt noch einige
00:13:45: mehr weitere rechtliche Mängel mit Cookie-Diensten benennen, aber daran
00:13:49: sieht man schon, es ist keine gute Idee, ein Cookie-Tool einzusetzen.
00:13:52: Und wenn man es unbedingt tun muss, dann sollte man es nur einsetzen,
00:13:54: wenn man weiß, wie es funktioniert.
00:13:57: Die Gefahren sind insbesondere.
00:13:59: Jede Person, jede Privatperson kann sich anonym oder auch nicht anonym
00:14:03: wie es möchte, wie derjenige möchte, bei einer Datenschutzaufsichtsbehörde
00:14:07: in Deutschland beschweren gegenüber einem deutschen Verantwortlichen.
00:14:10: Wenn im Datenschutzverschluss auf einer Webseite begegnet sind,
00:14:13: die Datenschutzbehörde kann entscheiden, ob und wie sie gegen diesen
00:14:17: Verschluss vorgeht, oft passiert nichts, aber immerhin ist sozusagen die
00:14:21: Mühe, die jemand hat, um ein solches Problem zu melden, sehr gering.
00:14:25: Und man kann, wie gesagt, ja auch anonym vorgehen.
00:14:27: Es kann also sehr häufig vorkommen, das Risiko ist also schon da.
00:14:30: Eine weitere Möglichkeit ist eine, sagen wir mal, etwas unangenehme Mail
00:14:34: an den Verantwortlichen zu schreiben.
00:14:35: Man regt sich darin auf über Datenschutzverstöße.
00:14:38: Und dann muss der Verantwortliche entscheiden, nämlich das Ernst oder nicht,
00:14:41: was da drin steht in der Mail.
00:14:42: Manchmal wird ja auch etwas angedroht.
00:14:43: Und dann ist es so, dass man zumindest mal Arbeit und Stress hat.
00:14:46: Also ich glaube nicht, dass die verantwortlichen Webseitenbetreiber
00:14:51: einfach solche Mails ignorieren.
00:14:52: Man hat mindestens ein paar Minuten oder Stunden damit Arbeit.
00:14:56: Und selbst wenn man es dann ignoriert, war es ärgerlich.
00:14:59: Als weitere Möglichkeit kann man natürlich auch als Privatperson eine
00:15:02: Abmahnung erlassen, § 1004 BGB.
00:15:06: Die Abmahnung, die ist strafbewährt und enthält eine Unterlassungserklärung.
00:15:11: Und wenn diese unterzeichnet wird, dann muss der Webseitenbetreiber
00:15:15: eine Vertragsstrafe bezahlen, wenn er sich nachweislich nicht
00:15:17: daran hält an die Unterlassungserklärung.
00:15:20: Und die bewegt sich so typischerweise ab 3.000 Euro ungefähr aufwärts,
00:15:25: je nachdem, um was es da geht, ob es nur im Google Analytics oder
00:15:28: auch im YouTube Videos und noch drei andere Trecker geht.
00:15:31: Und als nächstes, wenn die Abmahnung nicht abgegeben werden will
00:15:34: oder die Unterlassungserklärung nicht adäquat abgegeben werden möchte,
00:15:38: dann kann man eine Klage führen als Privatperson gegen ein Unternehmen.
00:15:43: Und wenn ich ein Wettbewerber bin,
00:15:46: also selbst ein Unternehmen, dann kann ich auch gegen einen anderen
00:15:49: Wettbewerber vorgehen, der Datenschutzverstöße hat, ebenfalls mit einer Abmahnung.
00:15:53: Es gibt also zahlreiche Möglichkeiten, wie man rechtliche Probleme kriegen kann,
00:15:57: was vielleicht auch noch eine Konsequenz ist.
00:15:59: Nach Artikel 15 DSGVO steht auch jeder betroffenen Person zu, eine Auskunft,
00:16:04: also eine Auskunftsgesuch' zu stellen, an einen Webseitenbetreiber.
00:16:08: Und dieses muss innerhalb von einem Monat beantwortet werden.
00:16:11: Außer es gibt ganz wichtige Gründe, warum das in einem Monat nicht klappt.
00:16:15: Da müsste man aber schon im Urlaub gewesen sein oder 50 Anfragen bekommen haben
00:16:18: dieser Art, damit man sagen kann, ich konnte es nicht in einem Monat beantworten.
00:16:22: Und da muss man dann die Auskünfte beantworten.
00:16:24: Was ist mit den Daten passiert, die auf der Webseite
00:16:29: verarbeitet wurden, die jemand besucht hat?
00:16:31: Also wir könnten sagen, dass wir zu dem
00:16:33: rechtlichen Thema locker nochmal eine komplette Folge füllen könnten,
00:16:38: weil es wirklich sehr umfangreich ist.
00:16:40: Wenn ihr da Interesse dran habt, lasst uns gerne einen Kommentar da.
00:16:44: Da können wir auch noch mal genauer auf das Thema eingehen.
00:16:45: Ich hatte es ja auch schon in der ersten Folge erwähnt, dass wir auch gerne mal
00:16:49: noch einen Gast einladen können, einen Anwalt für IT-Recht und das Ganze
00:16:53: wirklich noch mal ein bisschen detaillierter ausgestalten können.
00:16:56: Aber heute ist das Thema ja Cookies und die
00:16:58: Cookie-Einwilligung, das Cookie-Pop-Up.
00:17:01: Und du hattest in der ersten Folge noch ein Begriff in den Mund genommen,
00:17:08: PIMS oder P-I-M-S.
00:17:11: Soweit ich das gelesen hatte,
00:17:14: harnet sich dabei um eine zentrale Einwilligungsverwaltung.
00:17:18: Kannst du mir kurz oder uns kurz erklären, was denn genau dieses PIMS ist?
00:17:25: Und ja, einfach mal dazu eine kurze Stellungnahme vielleicht noch.
00:17:28: Ja, gerne. Also das ist der Paragraph 26.
00:17:31: TTDSG, das TTDSG ist ja das neue deutsche Datenschutzgesetz, das seit dem
00:17:35: 1.12.2021 gilt, dass die E-Privacy-Richtlinie umsetzt für Deutschland.
00:17:39: Also in nationales Recht münzt sozusagen.
00:17:42: Und da steht drin in diesem Paragraph 26, dass der Gesetzgeber innerhalb von zwei
00:17:46: Jahren eine Verordnung erlassen wird, mit der geregelt wird, wie eine zentrale
00:17:50: Einwilligungsverwaltung gestaltet werden kann.
00:17:52: Und die Idee ist, dass du und ich und wir alle hier sozusagen an einer
00:17:57: zentralen Stelle einmal entscheiden dürfen, welche Datenverarbeitung wir gut finden
00:18:02: und welche nicht.
00:18:03: Zum Beispiel bin ich damit einverstanden, dass Google Maps zum Zweck einer
00:18:06: Standortanzeige eingebunden wird auf eine Webseite.
00:18:10: Und wenn ich dann später eine Webseite besuche, dann soll die Webseite
00:18:13: die zentrale Abfragen und gucken, was mein Wunsch war oder ist bezüglich der
00:18:17: Datenverarbeitung, wo ich also Einwilligungen erteilt habe und wo nicht.
00:18:21: Und dann soll idealerweise kein Cookie-Pop-Up auf der Webseite erscheinen.
00:18:24: Soweit die Theorie klingt ja alles sehr gut, weniger Cookie-Pop-Ups,
00:18:28: da freuen wir uns alle auch der Webseitenbetreiber.
00:18:30: Falls denn eine Einwilligung erteilt wurde.
00:18:31: Das Problem ist, dass das ganze Konstrukt in der Praxis nicht funktionieren kann.
00:18:35: Es ist eine Idee und Ausgeburt von Lobbyisten, sage ich.
00:18:39: Kann man auch öffentlich nachvollziehen, wer das da ist.
00:18:42: Und es funktioniert leider so nicht.
00:18:45: Es ist erstens europarechtswidrig.
00:18:47: Ich glaube, Erwägungsgrund 32 ist einer, der sagt, dass man nicht einfach
00:18:51: so eine Pauschaleinwilligung für jeden beliebigen Zweck einholen kann.
00:18:55: Denn wenn nicht Google Maps zum Beispiel auf einer Webseite Einbette oder
00:18:58: Google Analytics, dann passiert es ja oft zu unterschiedlichen Zwecken.
00:19:01: Also beim Maps alleine könnte man zur Anzeige eines Standorts verwenden.
00:19:05: Man könnte es auch zur Darstellung einer Route verwenden oder für einen ganz anderen
00:19:10: Grund, den ich vielleicht jetzt nicht kenne.
00:19:11: Und bei Google Analytics ist es noch extremer.
00:19:13: Da kann ich zum Beispiel eine reine Besucherzählung betreiben.
00:19:16: Da kann ich einen Conversion-Tracking betreiben.
00:19:18: Da kann ich mit Google Optimize A/B-Split-Tests machen und so weiter.
00:19:22: Und es ist einfach laut diesem Erwägungsgrund in der DSGVO nicht erlaubt,
00:19:25: eine Pauschaleinwilligung einzuholen.
00:19:27: Und die Zentrale kann ja gar nicht wissen, welche Zwecke denn einer
00:19:31: Webseite, die man irgendwann mal besuchen wird, die noch keiner kennt vorher,
00:19:35: verfolgt mit diesem Union-Plugin.
00:19:37: Und weiterhin ist es auch so, dass man gar nicht weiß, was man denn für Google
00:19:40: Analytics oder Google Maps überhaupt erklären soll.
00:19:42: Ich glaube, jeder kennt mindestens 20 verschiedene Varianten von Datenschutztexten
00:19:47: oder kann sie leicht ermitteln, wenn er sich einfach ein paar Webseiten
00:19:50: aufruft zu Google Analytics als Beispiel.
00:19:52: Jeder schreibt einfach was anderes.
00:19:54: Ist ja auch klar, soll ja jeder mit seinen eigenen Worten schreiben.
00:19:56: Manche verwenden Datenschutzgeneratoren, nur da gibt es auch ganz viele davon.
00:20:00: Da fragt man sich doch, wie kommt jetzt ein einzelner zentraler Text zustande?
00:20:03: Wer erstellt den denn?
00:20:04: Und vor allem, wer ist dafür verantwortlich?
00:20:06: Verantwortlich können ja nicht die Webseitenbetreiber sein, die 100.000 oder
00:20:09: 10 Millionen in Deutschland, denn die dürfen ja diesen Text gar nicht schreiben.
00:20:12: Sonst wären es ja 10 Millionen Texte, die in der Zentrale abgefragt werden würden.
00:20:16: Was Unsinn ist, also muss es ja der Betreiber dieser Zentrale sein.
00:20:20: Und ob der dann für verantwortlich sein möchte, das wage ich mal zu bezweifeln.
00:20:23: Ja, gut, wir hatten jetzt oder haben jetzt schon wieder unsere 20 Minuten
00:20:28: überschritten, aber wir wollen ja versuchen, die Podcast-Folgen für euch
00:20:32: so kompakt wie möglich zu halten und dementsprechend würde ich das Ganze
00:20:38: jetzt schon so langsam Richtung Close setzen.
00:20:41: Ich wollte mal so einen kleinen Ausblick vielleicht auf die nächste Folge oder als
00:20:44: Idee mitgeben, Klaus, ich weiß nicht, ob du schon von dem,
00:20:48: ja, ich sage jetzt mal unseren neuen 8.
00:20:50: Weltwunder, wir hatten die Weltwunder vorhin gehabt.
00:20:53: Würde ich fast als Google bezeichnen, die allmächtige Suchmaschine,
00:20:57: die alles weiß und dann doch irgendwie nichts.
00:21:02: Google, dass der Konzern hat jetzt Ende Januar Topics vorgestellt.
00:21:07: Ich gehe davon aus, dass das auch bei dir ein Begriff ist.
00:21:10: Also Prinzip der Chrome Browser, der hauseigene Google Browser,
00:21:15: soll automatisch erfassen, welche Websites ein Nutzer besucht und
00:21:19: ihm bestimmte Interessen zuordnen.
00:21:22: Klingt jetzt erst mal nicht ganz so neu.
00:21:24: Wir wissen ja alle, dass das schon irgendwo im Hintergrund leider läuft.
00:21:29: Ich denke, das wäre ein spannendes Thema,
00:21:30: was wir vielleicht mal für die nächste Folge in Betracht ziehen.
00:21:34: Falls euch das interessiert, wie immer,
00:21:36: würden wir uns freuen, wenn ihr uns einen Kommentar hinterlasst mit Fragen,
00:21:41: mit Anregungen, gerne auch mit Ideen für zukünftige Podcast folgen.
00:21:47: Da würden wir uns wirklich mega drüber freuen und ja,
00:21:51: abonniert uns auf Spotify und Klaus, hast du noch irgendwas?
00:21:56: Gutes Thema Google Topics, können wir gerne drüber sprechen.
00:21:59: Der Grundgedanke von Google ist, keine Cookies mehr zu verwenden und damit
00:22:02: aus der Gefahrenzone der DSGVO bzw.
00:22:05: ihr Privacy-Richtlinie rauszukommen.
00:22:07: Das funktioniert aber leider nicht, weil Google den
00:22:08: Gesetzestext nicht richtig gelesen hat.
00:22:10: Deswegen freue ich mich, dass wir da beim nächsten Mal auf dieses Thema eingehen.
00:22:14: Und ich denke, es ist für jeden sicher spannend.
00:22:16: Absolut.
00:22:17: Gut, alles klar.
00:22:18: Dann wünsche ich euch noch einen schönen Tag.
00:22:20: Wir freuen uns auf euch bis zum nächsten Mal.
00:22:22: Tschau.
00:22:22: Tschüss.
00:22:24: Das war Datenschutz Deluxe.
00:22:27: Du möchtest keine neue Folge verpassen?
00:22:30: Dann abonniere uns jetzt bei Spotify.
00:22:32: Bis zum nächsten Mal.
Neuer Kommentar