#6 Datenschutzverstoß - Mit Gastsprecher Henning Koch (Datenschutz Deluxe)

00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus

00:00:09: Meffert und Frank Kremin.

00:00:11: Hallo liebe Zuhörer, herzlich willkommen bei unserem Podcast Datenschutz Deluxe.

00:00:16: Ich bin Frank Kremin und ich darf heute wieder unseren Datenschutz-Connaisseur, Dr.

00:00:21: Klaus Meffert begrüßen, hallo.

00:00:22: Ja, hallo Frank, hallo liebe Zuhörer, freut mich.

00:00:26: Ja, für alle, die uns schon vermisst haben, wir haben eine kleine Oster-Auszeit genommen

00:00:30: und starten nun wieder frisch in einen Wochenturnus mit tollen neuen Themen rund um Datenschutz und IT.

00:00:38: Klaus, wir haben heute außerdem einen blinden Passagier an Bord her.

00:00:44: Normalerweise würde man die ans Meer werfen, aber unser Gast ist heute absolut erwünscht.

00:00:49: Ich freue mich sehr, ihn heute begrüßen zu dürfen.

00:00:51: Sein Name ist Henning Koch.

00:00:52: Er ist Gründer und Gastgeber des Podcasts, Herr Koch hat Recht.

00:00:58: Ja, herzlich willkommen in unserem kleinen Datenschutzformat Henning, grüß dich.

00:01:01: Ja, hallo. Danke für die Einladung schön, dass ich da sein kann.

00:01:04: Ja, sehr gerne.

00:01:05: Für alle, die Henning noch nicht kennen, er ist Jahrgang 1970 und hat ein Studium

00:01:12: der Rechtswissenschaften unter anderem an der Philips Universität Marburg

00:01:16: und der Georg August Universität in Göttingen abgeschlossen.

00:01:20: Ein einjähriges Studium an der Universität Grenoble in Frankreich,

00:01:25: Referendariat beim Landgericht Kassel, ist derzeit Rechtsanwalt

00:01:29: in der Wirtschaftskanzlei Roman Peters Altmaier Part GmbH in Marburg,

00:01:35: dort als Fachanwalt für IT-Rechts, Fachanwalt für Arbeitsrecht

00:01:38: sowie als Datenschutzbeauftragter tätig und mal ganz nebenbei noch

00:01:43: Geschäftsführer der RPA Datenschutz und Compliance GmbH

00:01:47: und Trainer für Datenschutz und Betriebsverfassungsrecht.

00:01:51: Um es zusammenzufassen, Henning, Langeweile im Alltag ist bei dir

00:01:54: sicherlich ein Fremdwort, oder?

00:01:57: Langweilig wird mir nicht, das stimmt.

00:01:59: Es genug zu tun, ja.

00:02:00: OK, ja, Henning, ich hoffe, du hast heute Lust mit uns über das

00:02:05: Thema Datenschutzverstöße und potenzielle Konsequenzen zu reden.

00:02:10: Ich würde mich heute als unwissender Webseitenbetreiber

00:02:14: ausgeben, was am Ende vielleicht gar nicht so realitätsfern ist.

00:02:19: Wenn ich sehe, wie viel Stolperstein es im IT-Rechts gibt,

00:02:22: ja, über die ich dann fallen könnte.

00:02:24: Und wir können dementsprechend mal so ein Fall gedanklich durchgehen.

00:02:29: Bevor wir aber mit der eigentlichen Folge beginnen, lasse ich mir

00:02:33: natürlich mein Zitat zum Thema nicht nehmen.

00:02:37: Und Klaus, dieses kommt heute von Franz Beckenbauer.

00:02:41: Ja, der Fußballsport, der Kaiser.

00:02:43: Ja, der Kaiser, seid ihr bereit?

00:02:47: OK, das Zitat ist aber heute sehr kurz, aber es ist wirklich,

00:02:50: denke ich mal, absolut treffend zum Thema, der Kaiser sagt eins,

00:02:55: abseits ist, wenn der Schiedsrichter pfeift, ganz simpel, ganz einfach.

00:03:00: Ich denke, das kann man auch gleichsetzen mit der Aussage, wo kein Kläger

00:03:04: da kein Richter, also ganz simpel.

00:03:07: Ich denke, das können wir als gute

00:03:08: Stadtgrundlage für unsere kleine Datenschutzvorstoßreise, sag ich mal, nutzen.

00:03:14: Klaus, wir hatten es schon mal in unserer letzten Folge erwähnt,

00:03:17: aber dennoch wäre es schön, wenn du es vielleicht noch mal kurz,

00:03:20: ja, also mal kurz ansprechen, bestellen uns jetzt vor,

00:03:24: dass ich ein Webseitenbetreiber einer kleinen Firma wäre.

00:03:28: Und die Nachbaufirma, wie nennen Sie jetzt einfach mal, gönnt mir nix GmbH,

00:03:34: die als mein direkter Wettbewerber anzusehen wäre,

00:03:39: möchte einen Datenschutzverstoß melden, den Sie auf meiner Seite festgestellt haben.

00:03:45: Wie melden Sie den und an wen?

00:03:47: Ja, gut, also ob ein Wettbewerber ein Datenschutzverstoß meldet,

00:03:50: das würde ich jetzt mal Fragen stellen.

00:03:52: Also normalerweise findet eine Beschwerde, würde ich jetzt eher sagen,

00:03:55: bei einer Datenschutzbehörde durch eine betroffene Person,

00:03:58: also durch eine Privatperson statt.

00:03:59: Ein Wettbewerber hat die Möglichkeit, eine Abmahnung zu erlassen

00:04:02: beziehungsweise eine Klage gegen den anderen,

00:04:05: also gegen den Wettbewerber zu erlassen.

00:04:07: Das fände ich jetzt den natürlicheren Weg.

00:04:10: Natürlich könnte man insgeheim, also ohne dass der Wettbewerber es weiß,

00:04:14: eine Beschwerde erlassen, dabei die Aufsichtsbehörden meiner Erfahrung nach.

00:04:19: Das werde ich, wird mir regelmäßig bestätigt,

00:04:21: nicht besonders durchschlagskräftig sind in Deutschland.

00:04:25: Man liest also auch wenig über Bußgelder im Internet

00:04:29: oder wegen Verstößen im Internet.

00:04:30: Da würde ich sagen, wird der Wettbewerber doch eher zur Abmahnung greifen.

00:04:33: Wobei das Problem, das wird der Henning bestimmt auch bestätigen,

00:04:36: bei Wettbewerbsrechtlichen Verstößen, gegen die man vorgehen will,

00:04:40: immer ist, dass der andere, den man abmahnend genauso pingelig sein kann,

00:04:44: wie man selbst. Und jeder hat so irgendwie Dreck am Stecken, ob er es will oder nicht.

00:04:49: Die Welt ist kompliziert.

00:04:51: Da scheuen viele vielleicht doch davor, zurück den anderen abzumahnen.

00:04:55: Ja, das stimmt. Das ist natürlich in der Tat genau das Thema.

00:04:58: Also um das mal so ein bisschen einsortieren,

00:05:01: Datenschutzverstoß ist auch immer ein Wettbewerbsrechtlicher Verstoß.

00:05:05: Verstoß gegen Marktverhaltensregeln, wie man so schön sagt.

00:05:09: Und deswegen kommt natürlich immer eine Abmahnung in Betracht,

00:05:13: wenn man das unbedingt will, aber aufpassen vor dem Blowback.

00:05:16: Denn genau, wenn erst mal im Fokus ist, dann schaut auch der andere

00:05:20: ganz genau hin, wo kann man einem selber noch einen einschenken?

00:05:23: Und das ist ja eigentlich so, dass im Grund jeder ein Thema hat.

00:05:27: Aber ich glaube, was du hier zu Anfang meint,

00:05:30: ist mit dem Thema Meldung der Datenschutzverletzung.

00:05:33: Das ist ja noch mal was anderes.

00:05:35: Nach Artikel 33, wenn man selber als verantwortlicher sagen muss,

00:05:38: okay, bei uns ist was passiert.

00:05:39: Und ich glaube, du meintest eher das Thema jemand anderes, sieht da was

00:05:43: und sagt dann, okay, Aufsichtsbehörde, schaut doch mal.

00:05:46: Da ist irgendwas nicht richtig.

00:05:48: Ja, genau. Also, wo müsste der hin?

00:05:50: Wir können ja auch mal dieses Thema Wettbewerb so ein bisschen ausklammern.

00:05:53: Ich hatte das jetzt erst mal als Beispiel genommen für eine Konkurrenzfirma

00:05:57: oder eine Firma, die mir jetzt in erster Sinne etwas Schlechtes möchte.

00:06:01: Ja, also, wenn jetzt der andere den Weg wählt und sagt,

00:06:04: okay, ich gehe zur Aufsichtsbehörde und sagt dort Bescheid,

00:06:07: dann wird das, wird halt ein Aktenvorgang vorgenommen dort.

00:06:11: Und es ist halt ein Grund und nichts anderes als eine Anzeige letztendlich.

00:06:14: Und das geht dann dort seinen Gang und wird dann dort auch,

00:06:18: ja, der Klaus sagt es auch schon mehr oder weniger schnell bearbeitet.

00:06:22: Und am Ende kommt dann auch dann ein Was bei raus,

00:06:26: das zu erwarten, dass da Was bei rauskommt, das ist klar.

00:06:29: Und viel interessanter ist ja eigentlich das Thema,

00:06:34: Was muss denn die Person machen?

00:06:35: Also jetzt der Konkurrent, wenn er Was feststellt oder wenn er davon erfährt.

00:06:39: Denn da muss er sich Gedanken machen.

00:06:42: Erstens, wie schnell muss ich reagieren?

00:06:46: Sehr schnell. Und das Zweite ist, wann muss ich reagieren?

00:06:49: Und da ist ja der Artikel 33, DSGVO und Artikel 34

00:06:54: sind ja die Vorschriften der Wahl.

00:06:56: Und da ist immer die Hauptfrage, zitiere das mal aus dem Gesetz.

00:07:01: Gibt es hier ein Risiko für die Rechte und Freiheiten

00:07:05: natürlicher Personen aufgrund dieser Datenschutzverletzung?

00:07:09: Und dann muss ich eine Meldung machen.

00:07:10: Und dann muss ich auch entsprechend die vom Grundsatz erst mal her

00:07:14: dann auch die betroffenen Personen informieren, soweit das überhaupt geht.

00:07:17: Ja, also ich würde jetzt vielleicht mal auseinanderhalten.

00:07:19: Also vielleicht war die Frage auch ein bisschen,

00:07:22: ich will jetzt mal sagen, missverständlich oder eheführend.

00:07:25: Also das eine, was der Henning meinte, ist diese Meldung bei Datenpannen.

00:07:30: So habe ich es jetzt mal verstanden.

00:07:31: Das heißt, als Beispiel jetzt hat nichts mit der Webseite zu tun.

00:07:35: Ich schicke eine E-Mail an 10.000 Empfänger

00:07:39: und der Empfängerkreis kennt sich nicht, wird aber nicht im Blindkopie gesetzt,

00:07:44: sondern jeder Empfänger sieht, wer die 9.909 und anderen Empfänger sind.

00:07:48: Da könnte man davon wahrscheinlich sprechen, dass eine Datenpanne vorliegt.

00:07:52: Das zweite Thema ist der Datenschutzverstoß

00:07:54: gegen den man eine Beschwerde bei der Datenschutzbehörde erlassen kann.

00:07:58: Ich wollte es jetzt mal vielleicht so ein bisschen auseinanderhalten.

00:07:59: Henning, ich weiß nicht, ob du das ähnlich siehst.

00:08:02: Ja, das kann man so trennen, klar.

00:08:04: Okay. Wie wird das Ganze denn vonstatten gehen?

00:08:07: Also wir nehmen jetzt mal an, dass die Person A, die Person B anzeigt.

00:08:14: Wie geht das weiter?

00:08:16: Person B bekommt ganz normal Post von einer Behörde?

00:08:20: Genau, also im Grunde kann man sich das Ganze, das läuft ja alles am Ende

00:08:23: auch nach Ordnungswidrigkeiten recht.

00:08:25: Also es ist nichts anderes als wie ein Verkehrsverstoß,

00:08:29: natürlich mit viel gravierenderen Folgen.

00:08:32: Aber im Grunde funktioniert das nach dem gleichen Recht

00:08:35: auch und nach den gleichen Systematiken.

00:08:37: Also erst mal wird intern geschaut, ist da was dran?

00:08:41: Ermitteln wir weiter und wenn man weiter ermittelt,

00:08:44: dann würde man dann auch die betroffene Person, also in dem Fall

00:08:48: den Verantwortlichen der Webseite, bei dem Beispiel zu bleiben,

00:08:51: dann anschreiben, anhören und sagen Achtung, hier liegt was vor.

00:08:54: Bitte äußern Sie sich dazu.

00:08:55: Und dann kann man natürlich dann auch als Webseitenbetreiber

00:08:58: dann auch dazu dann Stellung nehmen.

00:09:01: Und dann kommen dann auch meist die Anwälte ins Spiel,

00:09:04: weil man dann sollte, dann sollte man schon

00:09:06: sich überlegen, wie man sich da positioniert und auch die Frage stellen,

00:09:10: wie kann man das vielleicht auch noch anders rechtlich einordnen.

00:09:15: Aber zuallererst würde dann immer stehen,

00:09:17: wenn man einen Anwalt eingeschaltet hat oder eine Anwältin,

00:09:19: dass man erst mal Akteneinsicht beantragt.

00:09:22: Das wäre so der Grundsatz erst.

00:09:24: Vielleicht noch eine Anmerkung, Henning, ich weiß nicht, ob du dich versprochen hast.

00:09:26: Du hattest gesagt, die betroffene Person wäre der Verantwortliche für die Webseite.

00:09:30: Also ich glaube, es ist so, dass die betroffene Person,

00:09:33: die Person ist der, die Datenschutzverstöße begegnet sind.

00:09:36: Und der Verantwortliche ist eben der normalerweise der Betreiber der Webseite

00:09:39: oder ein anderer, den er als Verantwortlichen einsetzt, habe ich das so richtig.

00:09:43: Ich meine jetzt betroffene Person von der von dem Verfahren,

00:09:46: was gegen ihn geführt wird.

00:09:47: Okay, okay, gut.

00:09:49: Und ich möchte das Ganze mal so ein bisschen technisch verstehen,

00:09:53: in der Hinsicht normalerweise, wenn so ein Brief kommt,

00:09:57: Sie haben ein Datenschutz, ich will jetzt einfach nur mal so

00:09:59: als rechtlicher Leihe irgendwie einordnen können.

00:10:03: Ich bekomme diesen Brief, da steht drin, dass ich ein Datenschutz,

00:10:06: ein Datenschutzverstoß begangen habe,

00:10:09: wird mir dann in diesem Brief auch erklärt, was ich genau gemacht habe.

00:10:12: Also habe ich Google Fonts irgendwas falsch gemacht, habe ich das falsch eingebunden.

00:10:16: Wird mir das dann technisch genau erklärt, was ich genau beim Datenschutzverstoß

00:10:21: kann ja, kann ja viele Ursachen haben.

00:10:23: Ja, das wird also im Grunde vorgehalten.

00:10:25: Jetzt wird jetzt nicht eins zu eins vielleicht das Anzeige schreiben,

00:10:27: das Nachbarn reinkopiert in das Anhörung schreiben,

00:10:30: aber es wird schon erläutert.

00:10:31: Es geht um das und das Thema.

00:10:33: Und das und das soll sich so und so vorgegangen sein.

00:10:39: Und bitte nehmen Sie doch dazu mal Stellung.

00:10:41: Deswegen kann man das so gut vergleichen, wie man Verkehrsverstoß hat,

00:10:46: weil das ist die gleiche Systematik an der Stelle.

00:10:48: Könnte man sich dann irgendeine Weise technisch dann werden?

00:10:51: Ich kann mir das jetzt so vorstellen, wenn ich jetzt als Betreiber zum Beispiel

00:10:54: diese Mail bekomme, die Post bekomme,

00:10:57: es kann ja mittlerweile auch vielleicht mal Mail sein, wer weiß.

00:11:00: Ja, nicht Fax noch genau.

00:11:02: Wir hatten auch schon mal das Thema mit E-Mail und Fax und naja,

00:11:05: das ist ein anderes Thema, da bräuchten wir noch eine eigene Folge dafür.

00:11:08: Bis doch wieder gern heißt ich zu eingeladen.

00:11:12: Nee, aber wenn man jetzt wirklich Post bekommen würde von dem Amt

00:11:15: und das eben da so wirklich etwas detaillierter stehen würde,

00:11:20: könnte ich dann als Betreiber sagen, OK, ich habe Zugriff auf die Webseite,

00:11:24: ich fixe das und kann damit so ein bisschen die Klage in irgendeiner Weise umgehen.

00:11:29: Wer hat das überhaupt machbar?

00:11:30: Weil ich sage mal, wenn man durch einen Blitzer fährt,

00:11:32: dann ist man durch einen Blitzer gefahren, dann ist es vorbei.

00:11:34: Dann hat man das das Foto gespeichert und der Beweis ist da.

00:11:38: Aber wie ist das bei technischen Geschichten, bei Webseiten oder in dem Beispiel?

00:11:42: Wie wäre das dann anzusehen?

00:11:44: Also da gibt es verschiedene Komponenten,

00:11:48: die man beachten muss.

00:11:49: Auf der einen Seite wird es natürlich ein sehr smarter Move

00:11:51: und das wäre auch natürlich zu empfehlen.

00:11:53: Warum auch das? Warum?

00:11:55: Weil auf der anderen Seite, ja, wenn man es nicht machen würde,

00:11:58: der Datenschutzverstoß, wenn er denn einer ist, bekannt ist

00:12:02: und dann auch erhalten bleibt.

00:12:03: Das heißt also, man muss auch tatsächlich etwas tun,

00:12:06: wenn man das dann selber auch als eigenen Verstoß identifiziert

00:12:10: und auch nachvollziehen kann.

00:12:11: Und das Thema ist hier immer, dass die Frage des Beweises

00:12:16: macht jemand einen Screenshot, reicht ein Screenshot aus.

00:12:19: Es gibt ja auch andere Möglichkeiten,

00:12:21: noch mit technischen Einrichtungen, Webseiten

00:12:25: und der Vergangenheit auch noch erkennbar zu machen.

00:12:28: Also möglicherweise wäre dann der Ermittlungsaufwand

00:12:31: für die Behörde auch größer.

00:12:33: Aber man würde jetzt wahrscheinlich irgendwie,

00:12:36: vermute ich mal, bei dem Beispiel zu bleiben,

00:12:38: auch dann irgendwie auch darlegen können.

00:12:41: Aber die andere Seite, wenn die Behörde sich melden,

00:12:44: sagt das und das konkret ist das Thema

00:12:46: und man fix das dann, dann wäre das auch erst mal schon mal richtig.

00:12:50: Weil man muss das ohnehin ja machen,

00:12:52: damit eben der Datenschutzverstoß nicht beibehalten bleibt.

00:12:56: Ja, ich möchte vielleicht nur noch ergänzen,

00:12:58: was der Henning sagte, bezüglich der Feststellung des Problems,

00:13:02: sag ich jetzt mal, das möglicherweise oder wahrscheinlich dann Verstoß ist.

00:13:06: Also ich kann das aus Erfahrung sagen,

00:13:08: wenn man sich bis zu Mühe gibt bei seiner Beschwerde,

00:13:11: dann schreibt man natürlich da rein an die Datenschutzbehörde,

00:13:15: wie das Problem zurückkonstruieren ist

00:13:17: und erhält das dann auch selbst fest,

00:13:19: mit Screenshot oder ähnliches, wie der Henning sagte,

00:13:21: oder mit Netzwerkprotokollen vielleicht sogar,

00:13:23: die man über den Browser direkt anfertigen kann.

00:13:26: Und die Behörde kann es dann, sag ich jetzt mal,

00:13:28: relativ leicht oder sehr leicht nachvollziehen

00:13:30: und dann hat sie Behörde eben selbst festgestellt

00:13:32: und derjenige, der die Beschwerde eingereicht hat, auch.

00:13:36: Also dann denke ich mal, wäre der Beweis schon irgendwie erbracht.

00:13:40: Was anderes ist es vielleicht im Gerichtsverfahren,

00:13:42: wo man keine Behörde hat, aber so sehe ich jetzt den Beweis

00:13:45: als relativ verbracht.

00:13:46: Und dann wäre noch die Frage aus meiner Sicht,

00:13:48: ob die Behörde ein Bußgeld verhängt nachträglich,

00:13:51: wenn, wie der Henning sagte, der verantwortliche Betreiber der Webseite

00:13:55: eben den Verstoß dann aufgrund des Schreibens der Behörde abgestellt hat.

00:13:59: Dass insofern kann das natürlich auch eine Handlungsoption sein.

00:14:04: Also man muss auch mal ein bisschen da, die insofern ist das Beispiel

00:14:08: vielleicht nicht ganz das Allerbeste,

00:14:10: aber man muss auch da natürlich einmal die Situation

00:14:14: auch der Aussichtsbehörden dann mal sehen.

00:14:16: Es ist natürlich viel interessanter und auch viel wichtiger,

00:14:19: zum Beispiel Verstöße zu agieren,

00:14:21: wo möglich beispielsweise wie beim Fall von H&M

00:14:25: da Personen ausgespäht werden

00:14:28: oder Beschäftigten Daten ganz massiv schlecht behandelt werden.

00:14:34: Das ist mit Sicherheit eine andere Qualität,

00:14:36: als wenn ich jetzt beispielsweise, was auch natürlich nicht in Ordnung ist,

00:14:40: Cookies verwende, ohne dass ich da eine Einwilligung geholt habe.

00:14:44: Aber von der Gewichtung her ist es natürlich ein Unterschied.

00:14:47: Genauso wie ich fahre mit 120 durch die Ortschaft

00:14:51: oder ich parke einfach mal falsch ohne Ticket.

00:14:55: Das ist zweites nicht in Ordnung, aber von der Gewichtung her

00:14:59: wird die Behörde da sicherlich auch sich überlegen,

00:15:01: wem gehe ich denn zuerst nach?

00:15:03: Ja, also das stimmt, da gebe ich grundsätzlich recht.

00:15:06: Aber es gibt Fälle, da ist es eben doch nicht so harmlos,

00:15:09: wie man denkt, wenn auf einer Webseite,

00:15:11: ich sage jetzt mal, der Nutzer ausspioniert wird,

00:15:13: und zwar nicht durch den Betreiber der Webseite selbst,

00:15:15: alleinig, sondern wenn die Daten an Google

00:15:18: und zum Beispiel an Werbenetzwerke weitergegeben werden

00:15:20: und bekanntermaßen gibt es ja den, nur als ein Beispiel,

00:15:24: es könnte man sicherlich noch durch unbekannte Beispiele

00:15:27: ergänzen, die man noch aufdecken müsste,

00:15:29: Cambridge Analytica, wo ja ein riesengroßes

00:15:33: Werbebudget dafür verwendet wurde,

00:15:35: mithilfe von Google und Facebook-Daten,

00:15:37: die beide, dann diese beiden Firmen,

00:15:39: waren dann auch im Team vom Donald Trump,

00:15:41: wie man sehen, nachlesen kann,

00:15:43: oder auf Netflix bei der Dokumentation sehen kann,

00:15:47: und damit wurden dann die unentschlossenen Wähler

00:15:49: identifiziert, was möglicherweise oder wahrscheinlich

00:15:52: dazu führte, dass Donald Trump gewählt wurde.

00:15:54: Also so ganz harmlos ist es nicht.

00:15:55: Und die Werbeindustrie beeinflusst ja Menschen auch.

00:15:59: Da geht es jetzt nicht unbedingt immer nur

00:16:00: um die Wahl eines Präsidenten oder Bundeskanzlers

00:16:02: in Deutschland, sondern da geht es um

00:16:04: Meinungsbildung, da geht es auch um die

00:16:07: Beeinflussung von Wahlen möglicherweise.

00:16:08: Wir haben ja auch ein paar kritische Parteien,

00:16:10: also Parteien, die als kritisch zu betrachten

00:16:12: sind im Deutschen Bundestag.

00:16:14: Da hört man ja auch, dass die ein oder andere

00:16:16: Partei ein bisschen ausuferndere Tätigkeiten hat

00:16:19: in Social Media und vielleicht deswegen

00:16:20: mehr Wählerschlimm bekommt.

00:16:21: Also so ganz harmlos finde ich es persönlich nicht.

00:16:24: Auch wenn ich natürlich recht geben muss,

00:16:25: es ist schon etwas anderes, wenn ich jetzt

00:16:27: ein Adressverzeichnis von 100.000 Leuten führe,

00:16:29: die alle in Deutschland wohnen,

00:16:30: deren genaue Daten ich kenne und mit diesen Daten

00:16:33: mache ich dann etwas Böses, als wenn ich versuche,

00:16:35: Leute in deren Meinungs- oder Wahlverhalten

00:16:37: zu beeinflussen.

00:16:38: Ich wollte das zum Vorkommen zu,

00:16:40: ich wollte das gar nicht irgendwie

00:16:41: in irgendeine Bewertung reinbringen,

00:16:44: was besser oder schlechter ist.

00:16:45: Aber ich wollte nur sagen, möglicherweise

00:16:48: gibt es Gründe, dass bestimmte Themen

00:16:50: von den Aufsichtsbehörden priorisiert

00:16:52: behandelt werden als andere.

00:16:54: Okay, also im Prinzip hat mir vorhin

00:16:57: das Thema gehabt, dass wir gesagt haben,

00:16:59: dass eine Beweissicherung generell

00:17:02: möglich ist, auch technisch möglich ist.

00:17:04: Und wenn ihr mir jetzt mal von dem Beispiel

00:17:06: jetzt weiter das ganze spinnen und sagen,

00:17:09: dass die Beweissicherung alles erfolgt ist

00:17:12: und auch das ganze sauber an Person A,

00:17:15: sage ich mal, weitergeleitet wurde.

00:17:17: Wie wäre es denn jetzt im Streitfall,

00:17:18: wenn jetzt Person A sagt, nein,

00:17:20: ich bin nicht der Meinung,

00:17:21: dass ich hier einen Datenschutzverstoß

00:17:23: begangen habe.

00:17:24: Wie würde die ganze Rechtsthematik

00:17:26: dann weiterlaufen?

00:17:27: Na ja, also kann man,

00:17:29: muss man aber nicht Stellung dazu nehmen

00:17:32: gegenüber der Aufsichtsbehörde

00:17:34: und dann wird die Aufsichtsbehörde

00:17:35: eine Entscheidung treffen,

00:17:36: die dann ein Bußgeld sein kann.

00:17:38: Und das geht dann mit einem Bußgeld

00:17:40: Bescheid, wird es dann zugestellt

00:17:42: und wiederum dagegen kann man sich

00:17:44: wehren mit einem Rechtsmittel.

00:17:46: Und dann landet man im

00:17:47: gerichtlichen Verfahren.

00:17:49: Hattest du in deiner Karriere

00:17:51: schon Datenschutzfälle,

00:17:52: die so ein ähnliches Thema betrachtet haben?

00:17:54: Also hast du damit schon mal Erfahrung gemacht?

00:17:56: Also wir haben ganz viele Themen,

00:17:58: die wir in der Beratung hatten,

00:17:59: wo wir tätig werden mussten,

00:18:01: wo wir beraten haben,

00:18:03: bis quasi zur Meldung

00:18:04: und die dann auch weiter verfolgt haben

00:18:07: und auch Stellungnahmen noch

00:18:08: gegenüber den Behörden.

00:18:09: Aber glücklicherweise hatten wir

00:18:10: bisher noch, also für unser Mandant

00:18:12: noch keine Themen,

00:18:13: wo wir dann am Ende

00:18:15: ein richtiges Verfahren gehen mussten

00:18:17: oder uns gegen Bußgeld wehren mussten.

00:18:18: Wie würdest du das ganze

00:18:19: bewerten Zwecks,

00:18:21: wenn jetzt wirklich ein

00:18:22: Gerichtsverfahren stattfände?

00:18:24: Wir hätten jetzt zwei Parteien

00:18:25: und jeder hätte einen Sachverständigen,

00:18:29: der wiederum seine Aussage damit tätigt,

00:18:31: ja, es ist kein Datenschutzverstoß

00:18:33: oder es ist ein Datenschutzverstoß.

00:18:35: Wie würdest du das bewerten,

00:18:36: wie die Richter dann in so einem Fall bewerten?

00:18:38: Weil das technische Grundwissen

00:18:39: muss ja dann irgendwo da sein, oder?

00:18:41: Ja, wobei wir in ein anderes Setting haben.

00:18:43: Wir haben ja jetzt kein Zivilverfahren,

00:18:45: wo Partei gegen Partei B klagt,

00:18:48: sondern es ist ja ein Verfahren,

00:18:50: bei dem man sich gegen den von der Behörde

00:18:52: möglicherweise erlassenden

00:18:54: Bußgeldbescheid wehrt.

00:18:55: Das heißt, also da muss dann die Behörde

00:18:59: ist in der Beweisflicht und muss

00:19:01: hier die den Datenschutzverstoß

00:19:04: auch belegen können,

00:19:06: um das Bußgeld auch aufrechterhalten zu können.

00:19:08: Also Beispiels war es und auch die

00:19:11: Höhe ist ein Thema.

00:19:12: Im Fall von eins und eins

00:19:14: war es ja so beispielsweise,

00:19:15: dass man extrem hohes Bußgeld

00:19:18: vom BFDI angesetzt hatte,

00:19:19: glaube ich, neun Millionen oder so

00:19:21: waren das, glaube ich.

00:19:22: Und dann am Ende war es

00:19:24: knapp ne Million.

00:19:25: Neun oder tausend oder so was?

00:19:26: Neun oder tausend, jedenfalls extrem weniger.

00:19:29: Was natürlich trotzdem hieß,

00:19:32: dass in der Sache die recht bekommen,

00:19:33: aber das Bußgeld von der Höhe her

00:19:35: wurde halt eingeschränkt

00:19:37: aus dann rechtlichen Gründen.

00:19:39: Also vielleicht für die Zuhörer BFDI

00:19:40: ist der Bundesdatenschutzbeauftragte,

00:19:42: für die die es nicht wissen.

00:19:44: Und was ich vielleicht noch sagen wollte, Frank,

00:19:46: der Sachverständige, den du angesprochen hast,

00:19:48: der im Gerichtsverfahren

00:19:50: sozusagen zugeholt werden kann,

00:19:52: der nimmt keine rechtliche Bewertung vor,

00:19:54: insbesondere wenn es um technische Fragen geht.

00:19:56: Also der führt eine reine Analyse

00:19:58: auf seinem Fachgebiet durch

00:20:00: und dem ist es sogar verboten,

00:20:01: eine rechtliche Wertung vorzunehmen.

00:20:03: Ich hatte das eigentlich im Prinzip

00:20:05: deswegen gefragt,

00:20:07: weil ja eben auch

00:20:08: eine technische Analyse

00:20:10: vielleicht auch zwei verschiedene

00:20:11: Meinungen haben könnte.

00:20:13: Deswegen sage ich ja könnte.

00:20:14: Und es startet deswegen

00:20:15: vielleicht auch in der Hinsicht

00:20:16: zum Streitfall kommt,

00:20:18: weil natürlich die eine Partei meint,

00:20:19: das ist ein Datenschutzverstoß,

00:20:21: das ist einem keiner.

00:20:22: Und das muss ja dann auch bewertet werden

00:20:24: von jemandem.

00:20:24: Ja, also der Sachverständige,

00:20:26: der stellt erst mal normalerweise

00:20:28: Tatsachen fest oder aus einem Fachwissen

00:20:30: heraus, aus einer Erfahrung heraus,

00:20:32: stellt der Dinge in Sachverständigerwürdigung fest.

00:20:35: Und aufgrund dieser Feststellungen

00:20:38: ist sozusagen Sachverständigen Beweis

00:20:40: wird es ja auch genannt,

00:20:41: wenn ich das richtig im Kopf habe.

00:20:43: Kann das Gericht dann

00:20:44: ein Urteil fehlen

00:20:45: beziehungsweise können die Parteien

00:20:47: sich dann an diesem Sachverständigen

00:20:48: der Gutachten abarbeiten.

00:20:50: Natürlich kann die andere Partei,

00:20:52: wenn sie mit dem einen Gutachten

00:20:54: oder mit dem Sachverständigen

00:20:55: nicht zufrieden ist,

00:20:56: das Anzweifeln

00:20:58: und den zweiten Sachverständigen

00:21:00: und zweites Gutachten

00:21:00: den zuziehen.

00:21:01: Aber ich sage mal,

00:21:02: wenn es um Fakten geht,

00:21:03: die man relativ leicht feststellen kann,

00:21:05: dann wird der zweite Sachverständige

00:21:06: da auch wenig gegen tun können.

00:21:08: Also ich mache dann

00:21:09: nochmal ein Beispiel auf an der Stelle.

00:21:10: Also es geht fest um

00:21:12: ein Thema, wo es halt um

00:21:14: um Daten Tracking geht

00:21:16: auf der Webseite,

00:21:17: was jetzt nicht mehr vorhanden ist

00:21:19: zum Zeitpunkt,

00:21:19: wo man darüber entscheiden muss,

00:21:21: was in der Vergangenheit gelegen ist.

00:21:23: Und es geht dann um die Frage,

00:21:24: ob die getroffenen Feststellungen,

00:21:27: die man herangezogen hat,

00:21:28: ob die valide sind.

00:21:29: Und da könnte es zum Beispiel darum gehen,

00:21:30: um die Frage, ob der Screenshot,

00:21:32: ob das jetzt tatsächlich manipuliert ist

00:21:35: oder eben nicht,

00:21:36: ist jetzt ein sehr an den Haaren her

00:21:37: beigezogenes Beispiel.

00:21:40: Aber diese Frage

00:21:41: könnte man ja dann auch

00:21:43: Sachverständigenseits untersuchen lassen.

00:21:46: Und wie der Klaus schon richtig sagte,

00:21:48: auf der Verteidigungsseite

00:21:49: kann man dann auch natürlich sagen,

00:21:51: okay, wir haben andere Erkenntnisse

00:21:52: und wir versuchen dann wiederum,

00:21:55: das mit einem eigenen Gutachten zu erschüttern.

00:21:57: Vielleicht noch als Ergänzung,

00:21:58: wenn man sowohl bei einer Beschwerde

00:22:01: wahrscheinlich ging das möglicherweise auch,

00:22:03: vielleicht ein bisschen ungewöhnlich,

00:22:04: aber im Gerichtsverfahren,

00:22:05: wenn man eine Klage vorbereitet

00:22:06: oder eine Abmahnung vorher

00:22:08: als außergerichtliche Einigungsmöglichkeit,

00:22:09: so heißt es ja,

00:22:11: anfertigt, dann kann man natürlich

00:22:12: als Betroffener dem Datenschutzverstöße begegnen.

00:22:16: Einen Zeugen hinzuziehen,

00:22:17: zum Beispiel jemanden, den man kennt

00:22:18: und der sitzt dann neben einem am Computer

00:22:21: und vor dessen Augen

00:22:22: ruft man dann die fragliche Webseite auf

00:22:25: und protokolliert dann

00:22:26: mit geeigneten Mitteln

00:22:27: mit der Entwicklerkonsole des Brausers,

00:22:28: zum Beispiel mit Netzwerkprotokollen,

00:22:30: die man darüber anfertigen kann,

00:22:31: was auf der Webseite passiert,

00:22:33: druckt das dann aus

00:22:34: und gibt es dem Zeugen zur Unterschrift.

00:22:36: Ich habe das mal gemacht,

00:22:37: der Zeuge kriegt dann

00:22:38: eines von zwei Exemplaren,

00:22:40: das beide Exemplare werden von beiden unterschrieben,

00:22:42: also von dem, der betroffen ist

00:22:44: von einem Datenschutzverstoß und dem Zeugen

00:22:46: und der Zeuge nimmt dann seinen Exemplar mit

00:22:49: und ich denke, Henning,

00:22:50: das würde vor Gerichten

00:22:51: ein relativ guter Beweis sein, oder?

00:22:53: Ja, das wird sicherlich

00:22:56: ausreichend erst mal sein.

00:22:58: Dann wie immer,

00:23:00: ich sage mal, das ist das Thema,

00:23:01: ist immer das Gleiche,

00:23:02: Zeugenbeweis ist denn der schlechteste Beweis,

00:23:04: weil irgendwann weiß man es vielleicht nicht mehr,

00:23:07: also wenn das länger das her ist

00:23:10: und das ist halt immer der Punkt,

00:23:13: wenn man etwas anders darstellen kann,

00:23:15: technisch oder mit Unterlagen,

00:23:17: ist das natürlich noch besser, klar.

00:23:19: Aber nochmal von der Situation,

00:23:20: wir haben ja tatsächlich,

00:23:22: um bei den Beispielsfeilen zu bleiben,

00:23:23: die Situation,

00:23:25: dass man nicht zwei Parteien hat,

00:23:26: sondern aufgrund der Anzeige einer Partei

00:23:29: ergibt sicher die Situation,

00:23:30: dass man sich gegen die Behörde werden muss

00:23:32: und die natürlich ihrerseits

00:23:34: dann belegen können,

00:23:36: muss das ein Verstoß vorgelegen hat.

00:23:38: Ja, bevor ich jetzt noch

00:23:40: zu den ganzen Konsequenzen mal komme,

00:23:42: da habe ich mir noch gerade was aufgeschrieben.

00:23:44: Ihr habt vorhin von dem Fall 1&1 gesprochen.

00:23:48: Sicherlich haben wir auch noch Hörer,

00:23:49: die von diesem Fall vielleicht noch gar nichts gehört haben.

00:23:52: Könnt ihr vielleicht mal kurz

00:23:53: noch mal dazu Stellung nehmen,

00:23:55: was da genau passiert ist,

00:23:56: was die Anklage war,

00:23:57: was das Problem war dahinter?

00:23:58: Ich fange mal einfach mal an.

00:23:59: Also bei 1&1 kennt man ja als Telefonanbieter

00:24:01: und da war das Thema,

00:24:02: dass es keine ausreichende Absicherung gab

00:24:07: für den Schutz für die personenbezogenen Daten.

00:24:11: Also beispielsweise konnte ich dann anrufen sagen,

00:24:14: ich bin der Ehemann, der Freund von Herrn Frau XY

00:24:19: und ich habe hier meine Frage zum Kundenkonto.

00:24:22: Das wurde dann tatsächlich,

00:24:25: das war jetzt die Kurzfassung,

00:24:26: dann auch so offenbart

00:24:27: und man konnte dann auch

00:24:28: dadurch direkt einen Zugriff bekommen.

00:24:30: Und das ist dann bekannt geworden

00:24:32: und da hat dann natürlich dann auch

00:24:33: der Bundesdatenschutzbeauftragte

00:24:37: dagegen etwas unternommen

00:24:39: und da auch ermittelt,

00:24:40: warum ist der Bundesdatenschutzbeauftragte zuständig?

00:24:44: Der Bundesdatenschutzbeauftragte

00:24:45: ist im Wesentlichen für Bundesbehörden zuständig,

00:24:48: aber noch für Teilbereiche

00:24:49: von Telekommunikationen,

00:24:50: zu denen ja auch 1&1 gehört.

00:24:53: Okay, wenn wir jetzt von diesen ganzen gerichtlichen,

00:24:58: also ich würde gerne mal

00:24:59: auf die gerichtlichen Konsequenzen eingehen.

00:25:01: Im Prinzip haben wir jetzt

00:25:02: so eine Verhandlung hinter uns.

00:25:03: Es wird ein Bußgeld erlassen.

00:25:07: Hast du mal für unsere Zuhörer,

00:25:08: vorhanden vielleicht so eine grobe Übersicht,

00:25:11: in welchen Höhen wir uns da mit diesen Bußgeldern

00:25:15: ungefähr befinden?

00:25:17: Es ist sehr schwierig abzusehen

00:25:19: mit unserem Beispiel.

00:25:20: Also wir alle werden sicherlich

00:25:22: die zugehört haben.

00:25:23: Da die zuhören, werden sicherlich

00:25:25: auch die Zahlen schon mitbekommen.

00:25:26: Wir haben ja Maßstäbe

00:25:28: innerhalb der DSGVO,

00:25:31: die in die Millionen reichen tatsächlich

00:25:34: und es werden auch hohe Bußgelder ausgelotet.

00:25:38: Und das geht im Grunde,

00:25:39: hängt es vom weltweiten Umsatz ab.

00:25:42: Das ist der erste Maßstab.

00:25:44: Es ist vor einiger Zeit schon

00:25:47: so eine Art Matrix

00:25:50: von den einzelnen Aufsichtsbehörden

00:25:52: mal entwickelt worden,

00:25:54: welche Faktoren herangezogen werden,

00:25:56: um wie ein Bußgeld zu berechnen.

00:25:58: Es ist also, finde ich, relativ

00:26:01: undurchschaubar.

00:26:03: Man kann das im Grunde nicht vorberechnen,

00:26:05: aber man hat ungefähr eine Ahnung,

00:26:07: wo die Reise hingehen kann.

00:26:09: Wenn man sich mal die Bußgelder,

00:26:10: die es jetzt zuletzt gegeben hatte,

00:26:13: auch anschaut,

00:26:14: dann muss man eigentlich sagen,

00:26:15: dass die bekannt gewordenen

00:26:17: im europäischen Ausland

00:26:19: eigentlich teilweise noch viel massiver waren

00:26:20: als jetzt hier.

00:26:22: Also gerade die CNIL,

00:26:24: das ist die französische Zentrale.

00:26:26: Da hat Schutzaufsicht verteilt,

00:26:28: also hohe Bußgelder wie Bombons.

00:26:30: Also vielleicht darf ich noch ergänzen,

00:26:32: Frank, es ist also aus meiner Kenntnis

00:26:35: oder Erfahrung so,

00:26:36: dass normalerweise wegen dem sogenannten

00:26:38: Webtracking, wenn man es jetzt mal plakativ sagen kann,

00:26:40: für Webseiten,

00:26:42: kein einziges Bußgeld in Deutschland

00:26:43: erlassen wurde, soweit ich weiß.

00:26:45: Das heißt, da kann man auch keine Größe nennen.

00:26:47: Der Fall 1&1 in der Henning sagte,

00:26:49: der geht jetzt eher in eine andere Richtung.

00:26:51: Da geht es, wie er sagte,

00:26:52: auch um eine Auskunft am Telefon,

00:26:54: die 1&1 nicht hätte erteilen dürfen,

00:26:55: weil die Authentifikation,

00:26:58: also die Identifikation des Anrufers

00:27:00: nicht ausreichend sichergestellt war.

00:27:02: Aber es gibt meiner Kenntnis

00:27:03: nach kein einziges Bußgeld in Deutschland

00:27:05: wegen, sag mal, Verstößen auf einer Webseite,

00:27:07: weil einer zum Beispiel Google Analytics

00:27:09: oder sowas eingesetzt hätte.

00:27:10: Die gibt es nicht.

00:27:11: Also ich frage auch jedes Mal,

00:27:12: konfrontiere ich die Vertreter

00:27:14: von Aufsichtsbehörden damit,

00:27:15: dass ich genau dieser Meinung bin,

00:27:17: weil ich lese ja auch täglich die Presse

00:27:20: und die widersprechen mir alle nicht.

00:27:22: Also die größere Gefahr,

00:27:25: was die finanzielle Situation angeht,

00:27:27: sind eben Klagen von Privatpersonen

00:27:30: oder vielleicht auch von Webbewerbern

00:27:31: und unabhängig vom Bußgeld,

00:27:33: wenn wir bei der Behörde bleiben,

00:27:35: da spielt ja auch die Arbeit

00:27:36: oder der Stress, den man hat mit der Behörde,

00:27:38: hat eine Rolle.

00:27:39: Das ist ja vergleichbar mit einem Finanzamt.

00:27:41: Ein Finanzamt verhängt ja normalerweise keine Strafe,

00:27:43: weil man irgendwas nicht so gemacht hat,

00:27:45: wie das Finanzamt das wollte,

00:27:46: sondern die schreiben einen dann an,

00:27:47: da muss man in der kurzer Zeit reagieren,

00:27:50: da muss man Formalien erfüllen,

00:27:52: dann hat man nur Ärger.

00:27:53: Und man weiß ja, die Behörde sitzt am längeren Hebel.

00:27:55: Erst mal die Behörde hat nichts zu verlieren,

00:27:57: ich aber schon.

00:27:58: Und da muss ich immer rackern und rotieren

00:28:00: und komme aus meinem Tagesgeschäft komplett raus.

00:28:03: Das ist auch noch eine Gefahr.

00:28:04: Und am Ende muss ich dann doch das machen,

00:28:05: normalerweise, was die Behörde möchte,

00:28:08: auch wenn ich mich dagegen vielleicht wehren will.

00:28:10: Und ich muss vielleicht nichts bezahlen,

00:28:12: aber trotzdem habe ich ganz viel Stress.

00:28:14: Und ich kenne einen Fall,

00:28:16: da hat die Behörde einen Kunden

00:28:18: drei oder vier Mal auffordern müssen,

00:28:21: bestimmte Dinge zu tun.

00:28:22: Der Kunde wollte es auch verbessern,

00:28:24: was die Behörde angemeckert hat.

00:28:26: Aufgrund seiner Dienstleister-Struktur

00:28:28: ist es immer aber nicht am Anfang gelungen.

00:28:29: Und die Behörde hat kein einziges Bußgeld verhängt,

00:28:31: obwohl sie drei oder vier Mal schreiben musste,

00:28:33: nachdem sie ihn ursprünglich schon angeschrieben hatte.

00:28:35: Und der Kunde musste dann, glaube ich,

00:28:37: 300 Euro Bearbeitungsgeld bezahlen oder sowas.

00:28:40: Also von Bußgeld,

00:28:41: dann würde ich jetzt im Internet nicht unbedingt sprechen.

00:28:43: Ja, also ich sehe auch eher die Gefahr,

00:28:44: dass sich im Mitbewerber

00:28:47: wettbewerbsverstoßmäßig herantasten

00:28:50: oder was eigentlich auch viel größeres Thema ist.

00:28:56: Jetzt mal weg von dem Thema Verstoß.

00:28:58: Ist das Thema Auskunft,

00:28:59: das ja auch in einem Verstoß münden kann.

00:29:02: Die Betroffenen, also die Personen,

00:29:03: von denen die Person bezogen in Daten verarbeitet werden,

00:29:07: haben wir das Recht auf eine Auskunft.

00:29:08: Und da ist mittlerweile die Rechtsprechung sehr diversifiziert,

00:29:11: die geht in eine Richtung, die sagt,

00:29:13: wenn der Verstoß fehlerhaft ist oder verspätet ist,

00:29:18: dann kann das zu einem Schmerzensgeld führen,

00:29:21: zum Schadensatzanspruch führen.

00:29:23: Und das ist im Grunde etwas, was viel empfindlicher ist.

00:29:28: Aber natürlich ist das eher singulärer zu betrachten.

00:29:31: Da hätte ich vielleicht zwei Beispiele zum Schmerzensgeld

00:29:34: oder Schadensatz.

00:29:35: Das eine ist ja das bekannte Urteil zu Google Fonds

00:29:38: vom 20.1.2022 Landgericht München.

00:29:42: Der Kläger forderte 100 Euro Schadensatz

00:29:44: dafür, dass der Betreiber in der Webseite

00:29:47: eben Google Schriften so eingebunden hat,

00:29:48: dass sie vom Google Server geladen werden

00:29:50: und damit Google eben Daten erhält in Amerika.

00:29:52: Person bezogene Daten, nämlich die Netzwerkadresse,

00:29:54: die als Person bezogenes Datum gilt.

00:29:56: Dafür bekam er die von ihm geforderten 100 Euro.

00:29:58: Das klingt jetzt wenig, 100 Euro.

00:30:00: Aber wenn der Webseite mit Treiber

00:30:02: weiterhin Google Schriften in dieser Art eingebunden hätte,

00:30:05: dann hätten noch 10.000 andere Personen kommen können,

00:30:07: hätte er 10.000 mal 100 Euro zahlen müssen.

00:30:09: Plus die Verfahren, die damit zusammenhängen.

00:30:12: Ein zweites Beispiel von ganz kurzer Zeit.

00:30:15: Ich hoffe, ich irre mich jetzt nicht in der Nennung des Gerichts,

00:30:17: Arbeitsgericht Neuruppin, glaube ich, war es.

00:30:19: Da wurde wohl ein Urteil gesprochen,

00:30:22: dass ein Arbeitgeber, der den Namen eines,

00:30:25: ich glaube, ehemaligen Angestellten oder bestehenden ist.

00:30:27: Ich weiß es nicht mehr, auf seiner Webseite

00:30:29: noch stehen hatte, musste nur für diese Nennung des Namens,

00:30:32: wenn ich das richtig weiß, noch auf der Webseite

00:30:35: 1.000 Euro Schadenersatz bezahlen.

00:30:37: Also das ist ja schon eine, sagen wir mal fast,

00:30:39: Lächerlichkeit, dass ein Name noch auf der Webseite stand.

00:30:42: Das würde sogar ich als Datenschützer jetzt sagen.

00:30:44: Hennig, ich hoffe, ich habe den Fall richtig wiedergegeben.

00:30:46: Vielleicht weißt du dazu auch was?

00:30:48: Ja, im Grunde war das so.

00:30:49: Es ist relativ frisch die Entscheidung.

00:30:53: Ja, es geht halt um das Thema,

00:30:54: dass, was müssen Webseiten Betreiber machen?

00:30:57: Also in dem Fall noch als Arbeitgeber.

00:31:00: Und das ist ja noch eine nachwirkende

00:31:02: Fürsorgepflicht gegenüber den Beschäftigten,

00:31:04: die dann ausgeschieden sind.

00:31:06: Man muss die halt in einer, also im Grunde sofort,

00:31:09: bis eine kurzen Querenzzeit dann mit Bild

00:31:12: und auch Namen dann von der Webseite auch nehmen,

00:31:15: wenn sie nicht mehr aktiv sind.

00:31:17: Sofern sie natürlich vorher dort erschienen sind.

00:31:21: Okay, ja, ich fand das heute ein absolut spannendes

00:31:25: und sehr gutes Gespräch.

00:31:27: Wir haben jetzt auch schon wieder über 30 Minuten auf der Uhr.

00:31:31: Und wir versuchen ja immer, unseren Podcast relativ kurz zu halten.

00:31:34: Ich fand, wir sind bei diesem Weg wirklich gut durchgegangen.

00:31:38: Es wurden alle Fragen, die da so wichtig sind, gestellt.

00:31:41: Es sei natürlich, ihr habt nach irgendwie ein Thema,

00:31:43: wo ihr sagt, das könnte vielleicht noch unsere Zuhörer

00:31:47: in der Hinsicht interessieren, was ich vielleicht nicht bedacht habe jetzt.

00:31:50: Gut, also wie gesagt, es schadet nicht,

00:31:52: wenn man Datenschutz ernst nimmt, es gibt ja in Wirklichkeit

00:31:55: auch viele Lösungen.

00:31:56: Man muss nicht immer Google Tools einsetzen,

00:31:58: nur weil jeder meint, man müsste es tun.

00:32:00: Oder weil die Werbeagentur meint, es wäre unbedingt notwendig,

00:32:03: dass man Google Analytics benutzt.

00:32:05: Das ist natürlich Unsinn, das kann man auch leicht herausfinden.

00:32:09: Die Werbeagenturen wissen meistens nichts

00:32:10: über rechtliche Vorgaben.

00:32:13: Die sagen ihren Kunden einfach nur,

00:32:15: was aus deren Sicht am einfachsten wäre,

00:32:17: wo sie am meisten Geld vielleicht noch mit verdienen können

00:32:18: als Werbeagentur.

00:32:19: Also man soll sich manchmal einfach auf die Kernthemen konzentrieren.

00:32:23: Was nützt mir denn eigentlich auf meiner Webseite?

00:32:25: Was muss ich denn wirklich tun?

00:32:27: Muss ich denn wirklich eine Karte von Google einbinden,

00:32:30: wenn ich einen Standort habe?

00:32:32: Meiner Firma wollen die Leute überhaupt wissen,

00:32:34: wo mein Standort ist,

00:32:35: oder wollen sie vielleicht nur eine gute planen als Beispiel?

00:32:38: Muss ich Google Analytics einsetzen

00:32:39: oder kann ich auch etwas anderes machen?

00:32:41: Muss ich unbedingt Werbung bei Google buchen, Google Ads?

00:32:44: Oder komme ich auch ohne Geldeinsatz

00:32:46: oder mit weniger oder anderem Geldeinsatz zum Erfolg?

00:32:49: Also ich würde mir diese Fragen

00:32:50: als Webseitenbetreiber stellen.

00:32:52: Und dann komme ich sehr oft zu einer überraschenden Antwort,

00:32:55: die nämlich da lautet,

00:32:56: dass ich es anders machen kann als viele meinen.

00:32:58: Ein Abschlusswort noch von meiner Seite.

00:33:00: Also ich stimme voll zu.

00:33:02: Vor allen Dingen Datenschutz ist kein Selbstzweck.

00:33:06: Das ist schon Sinn, dass man das ernst nimmt an der Stelle.

00:33:10: Und es hat also einmal eine Komponente,

00:33:12: dass man natürlich auch die Grundrechte

00:33:15: der betroffenen Personen schützt.

00:33:17: Das ist ein ganz wesentlicher Punkt.

00:33:19: Und natürlich aus Unternehmenssicht

00:33:21: eine ganz große Schadensvermeidungsthematik.

00:33:24: Ich kann sehr viel machen.

00:33:26: Ich muss auch sehr viel machen.

00:33:27: Aber es sind ja auch dessen dazu,

00:33:30: dass ich Bußgelder, die kommen könnten, vermeide.

00:33:33: Und es gibt meistens Alternativen.

00:33:36: Und wenn es keine gibt,

00:33:37: dann muss man sich beraten lassen und muss überlegen,

00:33:40: OK, was kann ich tun?

00:33:41: Wie kann ich mich rechtskonform verhalten,

00:33:44: indem ich das beibehalte?

00:33:45: Aber es setzt meistens sehr viel Dokumentationsauffand voraus.

00:33:50: OK, Henning, ich danke dir für deinen Besuch.

00:33:53: Und dass wir dich mal ein bisschen ausquetschen durften.

00:33:56: Und ich würde mich freuen,

00:33:59: wenn wir dich dann noch mal als Gast einladen können.

00:34:01: Wir hatten ja jetzt schon ein potenzielles Thema,

00:34:04: glaube ich, vorhin genannt.

00:34:05: Ich weiß gerade nicht mehr, worum es war, was wir da hatten.

00:34:06: Aber ich werde es auf jeden Fall dann noch mal...

00:34:10: Ja, ich werde es ja eh noch mal alles durchhören.

00:34:11: Von daher werde ich dich auf jeden Fall dazu noch mal

00:34:15: vielleicht ansprechen.

00:34:15: Also es wäre schön, wenn wir uns dann noch mal als Gast begrüßen dürfen.

00:34:18: Ja, super, klasse.

00:34:20: OK, ich auch gefreut, Henning, dass du da warst heute.

00:34:22: Super, hat mir sehr viel Spaß gemacht mit dir.

00:34:24: Ja. Frank, ja sowieso.

00:34:27: Auch schade bin ich Klaus.

00:34:30: OK, aber apropos Themenklaus,

00:34:31: also wir besprechen am Ende der Folge mal ganz kurz,

00:34:34: was wir vielleicht so als nächste Themen in Betracht ziehen können.

00:34:38: Und wir hatten ja beim letzten Mal so gesagt,

00:34:41: vielleicht Conversion Tracking oder Vorratsdaten, Speicherungen.

00:34:44: Ich hatte mir auch mal Gedanken gemacht.

00:34:45: Denkst du, dass zum Beispiel auch Themen wie Smart Home,

00:34:48: also die ganze Geschichte Themen wie Echo oder Alexa,

00:34:53: die ja auch in gewisses Datenschutz, ja,

00:34:56: ich sag mal Risiko in sich tragen,

00:34:58: würde das auch ein Thema darstellen, wo du sagst,

00:35:00: das könnte unsere Hörer interessieren?

00:35:02: Ja, also insofern ist es sehr interessant geworden,

00:35:05: seit dem 1.12 letzten Jahres,

00:35:07: weil er das Neudeutsche Datenschutzgesetz, das TTDSG,

00:35:10: den Begriff der Endeinrichtung eingeführt hat,

00:35:13: vorwährend nur von Endgeräten,

00:35:14: die Räder, also von Smartphones, Tablets,

00:35:16: Desktop-PCs und so weiter.

00:35:17: Und die Endeinrichtung ist eben genau das,

00:35:19: das kann nämlich zum Beispiel ein Smart Home-Gerät sein.

00:35:22: Und da ist eben die Frage,

00:35:24: wenn so ein vernetzter Toaster wird immer das blödes Beispiel,

00:35:26: wie ich finde, gebracht, aber ich nenne es jetzt einfach mal,

00:35:29: wenn so ein vernetzter Toaster oder ein Multirumlautsprecher

00:35:32: ein Update zieht aus dem Internet

00:35:34: und dieses Update eben nicht zu Sicherheitszwecken

00:35:37: oder zu anderen notwendigen Zwecken gemacht wird,

00:35:40: sondern um eine Funktionserweiterung herbeizuführen,

00:35:43: dann ist es wahrscheinlich, dass das TTDSG vorschreibt,

00:35:46: dass hier für eine Einwilligung vom Nutzer eingeholt werden muss

00:35:50: und da stellen sich natürlich ganz andere Fragen,

00:35:52: als bei einer Webseite, wo normalerweise der Nutzer vor einem Bildschirm sitzt

00:35:55: und andere Aktionen ausführen kann,

00:35:57: wohingegen bei einem Multirumlautsprecher

00:35:59: ja kein Bildschirm normalerweise dran ist.

00:36:01: Ja, man schickt ja auch keinen Fax an Amazon nach dem Motto,

00:36:04: ich bin einverstanden, das hätte ich auch nicht.

00:36:07: Wenn es einfach wäre, man hat meistens dieses Riesen-AGB,

00:36:11: ja, AGB-Seiten vor sich und akzeptiert die ja meistens blindlings.

00:36:16: Also, ich würde keinen können, der da wirklich die ganzen AGBs

00:36:20: durchgeht und prüft.

00:36:22: Natürlich, wenn man da in dem Thema drin ist,

00:36:24: dann macht man das natürlich selbstverständlich,

00:36:25: aber der Ottonormalverbraucher drückt meistens akzeptieren

00:36:28: und dann vorbei.

00:36:30: Ja, gut, dann würde ich das ganze Folge jetzt abschließen

00:36:35: und ja, Leute, wenn euch das interessiert,

00:36:38: würden wir uns natürlich auch wieder freuen,

00:36:39: wenn ihr uns bei der nächsten Folge wieder euer Gehör schenkt.

00:36:44: Und ich bedanke mich bei Henning, ich bedanke mich bei Klaus

00:36:48: und das letzte Wort hat wie immer Klaus.

00:36:51: Ja, also ich habe ja eigentlich schon alles gesagt.

00:36:53: Ich möchte nochmal vielen Dank an Henning sagen.

00:36:55: Vielen Dank an dich, Frank, dass du das so toll gemacht hast

00:36:57: und ich freue mich aufs nächste Mal.

00:36:59: Okay. Ach ja, und was ich noch erwähnen wollte, wie immer,

00:37:02: ihr könnt uns Kommentare hinterlassen.

00:37:05: Einfach auf datenschutz.de gehen.

00:37:08: Dort habt ihr die Möglichkeit, uns zu kontaktieren.

00:37:10: Und wenn ihr natürlich auch eine Frage zu Datenschutzrecht habt

00:37:15: und ein Henning zum Beispiel, ich denke mal, Henning,

00:37:17: es wäre auch okay, wenn wir da auch mal potenzielle Fragen

00:37:19: an dich weiterleiten, oder?

00:37:21: Klar, auf jeden Fall.

00:37:22: Okay, super.

00:37:23: Dann wünsche ich euch eine gute Zeit.

00:37:25: Wir hören uns bis zum nächsten Mal.

00:37:26: Ciao.

00:37:26: Tschüss.

00:37:29: Das war Datenschutz Deluxe.

00:37:32: Du willst Kontakt zu uns aufnehmen

00:37:34: oder unseren Podcast abonnieren?

00:37:36: Dann besuche www.datenschutzdeluxe.de.

00:37:40: Bis zum nächsten Mal.