#6 Datenschutzverstoß - Mit Gastsprecher Henning Koch (Datenschutz Deluxe)
Shownotes
Der Podcast rund um das Thema Datenschutz und IT. Mit Dr. Klaus Meffert und Frank Kremin.
6 Datenschutzverstoß - Mit Gastsprecher Henning Koch
In dieser Folge haben wir einen Rechtsanwalt zu Gast und sprechen darüber, was denn genau bei einem Datenschutzverstoß passiert und mit welchen Konsequenzen man rechnen muss.
Feedback geben? Fragen stellen? Gern hier:
www.datenschutzdeluxe.de
Links:
https://dr-dsgvo.de
https://desqtec.de
Impressum:
https://desqtec.de/impressum/
Transkript anzeigen
00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus
00:00:09: Meffert und Frank Kremin.
00:00:11: Hallo liebe Zuhörer, herzlich willkommen bei unserem Podcast Datenschutz Deluxe.
00:00:16: Ich bin Frank Kremin und ich darf heute wieder unseren Datenschutz-Connaisseur, Dr.
00:00:21: Klaus Meffert begrüßen, hallo.
00:00:22: Ja, hallo Frank, hallo liebe Zuhörer, freut mich.
00:00:26: Ja, für alle, die uns schon vermisst haben, wir haben eine kleine Oster-Auszeit genommen
00:00:30: und starten nun wieder frisch in einen Wochenturnus mit tollen neuen Themen rund um Datenschutz und IT.
00:00:38: Klaus, wir haben heute außerdem einen blinden Passagier an Bord her.
00:00:44: Normalerweise würde man die ans Meer werfen, aber unser Gast ist heute absolut erwünscht.
00:00:49: Ich freue mich sehr, ihn heute begrüßen zu dürfen.
00:00:51: Sein Name ist Henning Koch.
00:00:52: Er ist Gründer und Gastgeber des Podcasts, Herr Koch hat Recht.
00:00:58: Ja, herzlich willkommen in unserem kleinen Datenschutzformat Henning, grüß dich.
00:01:01: Ja, hallo. Danke für die Einladung schön, dass ich da sein kann.
00:01:04: Ja, sehr gerne.
00:01:05: Für alle, die Henning noch nicht kennen, er ist Jahrgang 1970 und hat ein Studium
00:01:12: der Rechtswissenschaften unter anderem an der Philips Universität Marburg
00:01:16: und der Georg August Universität in Göttingen abgeschlossen.
00:01:20: Ein einjähriges Studium an der Universität Grenoble in Frankreich,
00:01:25: Referendariat beim Landgericht Kassel, ist derzeit Rechtsanwalt
00:01:29: in der Wirtschaftskanzlei Roman Peters Altmaier Part GmbH in Marburg,
00:01:35: dort als Fachanwalt für IT-Rechts, Fachanwalt für Arbeitsrecht
00:01:38: sowie als Datenschutzbeauftragter tätig und mal ganz nebenbei noch
00:01:43: Geschäftsführer der RPA Datenschutz und Compliance GmbH
00:01:47: und Trainer für Datenschutz und Betriebsverfassungsrecht.
00:01:51: Um es zusammenzufassen, Henning, Langeweile im Alltag ist bei dir
00:01:54: sicherlich ein Fremdwort, oder?
00:01:57: Langweilig wird mir nicht, das stimmt.
00:01:59: Es genug zu tun, ja.
00:02:00: OK, ja, Henning, ich hoffe, du hast heute Lust mit uns über das
00:02:05: Thema Datenschutzverstöße und potenzielle Konsequenzen zu reden.
00:02:10: Ich würde mich heute als unwissender Webseitenbetreiber
00:02:14: ausgeben, was am Ende vielleicht gar nicht so realitätsfern ist.
00:02:19: Wenn ich sehe, wie viel Stolperstein es im IT-Rechts gibt,
00:02:22: ja, über die ich dann fallen könnte.
00:02:24: Und wir können dementsprechend mal so ein Fall gedanklich durchgehen.
00:02:29: Bevor wir aber mit der eigentlichen Folge beginnen, lasse ich mir
00:02:33: natürlich mein Zitat zum Thema nicht nehmen.
00:02:37: Und Klaus, dieses kommt heute von Franz Beckenbauer.
00:02:41: Ja, der Fußballsport, der Kaiser.
00:02:43: Ja, der Kaiser, seid ihr bereit?
00:02:47: OK, das Zitat ist aber heute sehr kurz, aber es ist wirklich,
00:02:50: denke ich mal, absolut treffend zum Thema, der Kaiser sagt eins,
00:02:55: abseits ist, wenn der Schiedsrichter pfeift, ganz simpel, ganz einfach.
00:03:00: Ich denke, das kann man auch gleichsetzen mit der Aussage, wo kein Kläger
00:03:04: da kein Richter, also ganz simpel.
00:03:07: Ich denke, das können wir als gute
00:03:08: Stadtgrundlage für unsere kleine Datenschutzvorstoßreise, sag ich mal, nutzen.
00:03:14: Klaus, wir hatten es schon mal in unserer letzten Folge erwähnt,
00:03:17: aber dennoch wäre es schön, wenn du es vielleicht noch mal kurz,
00:03:20: ja, also mal kurz ansprechen, bestellen uns jetzt vor,
00:03:24: dass ich ein Webseitenbetreiber einer kleinen Firma wäre.
00:03:28: Und die Nachbaufirma, wie nennen Sie jetzt einfach mal, gönnt mir nix GmbH,
00:03:34: die als mein direkter Wettbewerber anzusehen wäre,
00:03:39: möchte einen Datenschutzverstoß melden, den Sie auf meiner Seite festgestellt haben.
00:03:45: Wie melden Sie den und an wen?
00:03:47: Ja, gut, also ob ein Wettbewerber ein Datenschutzverstoß meldet,
00:03:50: das würde ich jetzt mal Fragen stellen.
00:03:52: Also normalerweise findet eine Beschwerde, würde ich jetzt eher sagen,
00:03:55: bei einer Datenschutzbehörde durch eine betroffene Person,
00:03:58: also durch eine Privatperson statt.
00:03:59: Ein Wettbewerber hat die Möglichkeit, eine Abmahnung zu erlassen
00:04:02: beziehungsweise eine Klage gegen den anderen,
00:04:05: also gegen den Wettbewerber zu erlassen.
00:04:07: Das fände ich jetzt den natürlicheren Weg.
00:04:10: Natürlich könnte man insgeheim, also ohne dass der Wettbewerber es weiß,
00:04:14: eine Beschwerde erlassen, dabei die Aufsichtsbehörden meiner Erfahrung nach.
00:04:19: Das werde ich, wird mir regelmäßig bestätigt,
00:04:21: nicht besonders durchschlagskräftig sind in Deutschland.
00:04:25: Man liest also auch wenig über Bußgelder im Internet
00:04:29: oder wegen Verstößen im Internet.
00:04:30: Da würde ich sagen, wird der Wettbewerber doch eher zur Abmahnung greifen.
00:04:33: Wobei das Problem, das wird der Henning bestimmt auch bestätigen,
00:04:36: bei Wettbewerbsrechtlichen Verstößen, gegen die man vorgehen will,
00:04:40: immer ist, dass der andere, den man abmahnend genauso pingelig sein kann,
00:04:44: wie man selbst. Und jeder hat so irgendwie Dreck am Stecken, ob er es will oder nicht.
00:04:49: Die Welt ist kompliziert.
00:04:51: Da scheuen viele vielleicht doch davor, zurück den anderen abzumahnen.
00:04:55: Ja, das stimmt. Das ist natürlich in der Tat genau das Thema.
00:04:58: Also um das mal so ein bisschen einsortieren,
00:05:01: Datenschutzverstoß ist auch immer ein Wettbewerbsrechtlicher Verstoß.
00:05:05: Verstoß gegen Marktverhaltensregeln, wie man so schön sagt.
00:05:09: Und deswegen kommt natürlich immer eine Abmahnung in Betracht,
00:05:13: wenn man das unbedingt will, aber aufpassen vor dem Blowback.
00:05:16: Denn genau, wenn erst mal im Fokus ist, dann schaut auch der andere
00:05:20: ganz genau hin, wo kann man einem selber noch einen einschenken?
00:05:23: Und das ist ja eigentlich so, dass im Grund jeder ein Thema hat.
00:05:27: Aber ich glaube, was du hier zu Anfang meint,
00:05:30: ist mit dem Thema Meldung der Datenschutzverletzung.
00:05:33: Das ist ja noch mal was anderes.
00:05:35: Nach Artikel 33, wenn man selber als verantwortlicher sagen muss,
00:05:38: okay, bei uns ist was passiert.
00:05:39: Und ich glaube, du meintest eher das Thema jemand anderes, sieht da was
00:05:43: und sagt dann, okay, Aufsichtsbehörde, schaut doch mal.
00:05:46: Da ist irgendwas nicht richtig.
00:05:48: Ja, genau. Also, wo müsste der hin?
00:05:50: Wir können ja auch mal dieses Thema Wettbewerb so ein bisschen ausklammern.
00:05:53: Ich hatte das jetzt erst mal als Beispiel genommen für eine Konkurrenzfirma
00:05:57: oder eine Firma, die mir jetzt in erster Sinne etwas Schlechtes möchte.
00:06:01: Ja, also, wenn jetzt der andere den Weg wählt und sagt,
00:06:04: okay, ich gehe zur Aufsichtsbehörde und sagt dort Bescheid,
00:06:07: dann wird das, wird halt ein Aktenvorgang vorgenommen dort.
00:06:11: Und es ist halt ein Grund und nichts anderes als eine Anzeige letztendlich.
00:06:14: Und das geht dann dort seinen Gang und wird dann dort auch,
00:06:18: ja, der Klaus sagt es auch schon mehr oder weniger schnell bearbeitet.
00:06:22: Und am Ende kommt dann auch dann ein Was bei raus,
00:06:26: das zu erwarten, dass da Was bei rauskommt, das ist klar.
00:06:29: Und viel interessanter ist ja eigentlich das Thema,
00:06:34: Was muss denn die Person machen?
00:06:35: Also jetzt der Konkurrent, wenn er Was feststellt oder wenn er davon erfährt.
00:06:39: Denn da muss er sich Gedanken machen.
00:06:42: Erstens, wie schnell muss ich reagieren?
00:06:46: Sehr schnell. Und das Zweite ist, wann muss ich reagieren?
00:06:49: Und da ist ja der Artikel 33, DSGVO und Artikel 34
00:06:54: sind ja die Vorschriften der Wahl.
00:06:56: Und da ist immer die Hauptfrage, zitiere das mal aus dem Gesetz.
00:07:01: Gibt es hier ein Risiko für die Rechte und Freiheiten
00:07:05: natürlicher Personen aufgrund dieser Datenschutzverletzung?
00:07:09: Und dann muss ich eine Meldung machen.
00:07:10: Und dann muss ich auch entsprechend die vom Grundsatz erst mal her
00:07:14: dann auch die betroffenen Personen informieren, soweit das überhaupt geht.
00:07:17: Ja, also ich würde jetzt vielleicht mal auseinanderhalten.
00:07:19: Also vielleicht war die Frage auch ein bisschen,
00:07:22: ich will jetzt mal sagen, missverständlich oder eheführend.
00:07:25: Also das eine, was der Henning meinte, ist diese Meldung bei Datenpannen.
00:07:30: So habe ich es jetzt mal verstanden.
00:07:31: Das heißt, als Beispiel jetzt hat nichts mit der Webseite zu tun.
00:07:35: Ich schicke eine E-Mail an 10.000 Empfänger
00:07:39: und der Empfängerkreis kennt sich nicht, wird aber nicht im Blindkopie gesetzt,
00:07:44: sondern jeder Empfänger sieht, wer die 9.909 und anderen Empfänger sind.
00:07:48: Da könnte man davon wahrscheinlich sprechen, dass eine Datenpanne vorliegt.
00:07:52: Das zweite Thema ist der Datenschutzverstoß
00:07:54: gegen den man eine Beschwerde bei der Datenschutzbehörde erlassen kann.
00:07:58: Ich wollte es jetzt mal vielleicht so ein bisschen auseinanderhalten.
00:07:59: Henning, ich weiß nicht, ob du das ähnlich siehst.
00:08:02: Ja, das kann man so trennen, klar.
00:08:04: Okay. Wie wird das Ganze denn vonstatten gehen?
00:08:07: Also wir nehmen jetzt mal an, dass die Person A, die Person B anzeigt.
00:08:14: Wie geht das weiter?
00:08:16: Person B bekommt ganz normal Post von einer Behörde?
00:08:20: Genau, also im Grunde kann man sich das Ganze, das läuft ja alles am Ende
00:08:23: auch nach Ordnungswidrigkeiten recht.
00:08:25: Also es ist nichts anderes als wie ein Verkehrsverstoß,
00:08:29: natürlich mit viel gravierenderen Folgen.
00:08:32: Aber im Grunde funktioniert das nach dem gleichen Recht
00:08:35: auch und nach den gleichen Systematiken.
00:08:37: Also erst mal wird intern geschaut, ist da was dran?
00:08:41: Ermitteln wir weiter und wenn man weiter ermittelt,
00:08:44: dann würde man dann auch die betroffene Person, also in dem Fall
00:08:48: den Verantwortlichen der Webseite, bei dem Beispiel zu bleiben,
00:08:51: dann anschreiben, anhören und sagen Achtung, hier liegt was vor.
00:08:54: Bitte äußern Sie sich dazu.
00:08:55: Und dann kann man natürlich dann auch als Webseitenbetreiber
00:08:58: dann auch dazu dann Stellung nehmen.
00:09:01: Und dann kommen dann auch meist die Anwälte ins Spiel,
00:09:04: weil man dann sollte, dann sollte man schon
00:09:06: sich überlegen, wie man sich da positioniert und auch die Frage stellen,
00:09:10: wie kann man das vielleicht auch noch anders rechtlich einordnen.
00:09:15: Aber zuallererst würde dann immer stehen,
00:09:17: wenn man einen Anwalt eingeschaltet hat oder eine Anwältin,
00:09:19: dass man erst mal Akteneinsicht beantragt.
00:09:22: Das wäre so der Grundsatz erst.
00:09:24: Vielleicht noch eine Anmerkung, Henning, ich weiß nicht, ob du dich versprochen hast.
00:09:26: Du hattest gesagt, die betroffene Person wäre der Verantwortliche für die Webseite.
00:09:30: Also ich glaube, es ist so, dass die betroffene Person,
00:09:33: die Person ist der, die Datenschutzverstöße begegnet sind.
00:09:36: Und der Verantwortliche ist eben der normalerweise der Betreiber der Webseite
00:09:39: oder ein anderer, den er als Verantwortlichen einsetzt, habe ich das so richtig.
00:09:43: Ich meine jetzt betroffene Person von der von dem Verfahren,
00:09:46: was gegen ihn geführt wird.
00:09:47: Okay, okay, gut.
00:09:49: Und ich möchte das Ganze mal so ein bisschen technisch verstehen,
00:09:53: in der Hinsicht normalerweise, wenn so ein Brief kommt,
00:09:57: Sie haben ein Datenschutz, ich will jetzt einfach nur mal so
00:09:59: als rechtlicher Leihe irgendwie einordnen können.
00:10:03: Ich bekomme diesen Brief, da steht drin, dass ich ein Datenschutz,
00:10:06: ein Datenschutzverstoß begangen habe,
00:10:09: wird mir dann in diesem Brief auch erklärt, was ich genau gemacht habe.
00:10:12: Also habe ich Google Fonts irgendwas falsch gemacht, habe ich das falsch eingebunden.
00:10:16: Wird mir das dann technisch genau erklärt, was ich genau beim Datenschutzverstoß
00:10:21: kann ja, kann ja viele Ursachen haben.
00:10:23: Ja, das wird also im Grunde vorgehalten.
00:10:25: Jetzt wird jetzt nicht eins zu eins vielleicht das Anzeige schreiben,
00:10:27: das Nachbarn reinkopiert in das Anhörung schreiben,
00:10:30: aber es wird schon erläutert.
00:10:31: Es geht um das und das Thema.
00:10:33: Und das und das soll sich so und so vorgegangen sein.
00:10:39: Und bitte nehmen Sie doch dazu mal Stellung.
00:10:41: Deswegen kann man das so gut vergleichen, wie man Verkehrsverstoß hat,
00:10:46: weil das ist die gleiche Systematik an der Stelle.
00:10:48: Könnte man sich dann irgendeine Weise technisch dann werden?
00:10:51: Ich kann mir das jetzt so vorstellen, wenn ich jetzt als Betreiber zum Beispiel
00:10:54: diese Mail bekomme, die Post bekomme,
00:10:57: es kann ja mittlerweile auch vielleicht mal Mail sein, wer weiß.
00:11:00: Ja, nicht Fax noch genau.
00:11:02: Wir hatten auch schon mal das Thema mit E-Mail und Fax und naja,
00:11:05: das ist ein anderes Thema, da bräuchten wir noch eine eigene Folge dafür.
00:11:08: Bis doch wieder gern heißt ich zu eingeladen.
00:11:12: Nee, aber wenn man jetzt wirklich Post bekommen würde von dem Amt
00:11:15: und das eben da so wirklich etwas detaillierter stehen würde,
00:11:20: könnte ich dann als Betreiber sagen, OK, ich habe Zugriff auf die Webseite,
00:11:24: ich fixe das und kann damit so ein bisschen die Klage in irgendeiner Weise umgehen.
00:11:29: Wer hat das überhaupt machbar?
00:11:30: Weil ich sage mal, wenn man durch einen Blitzer fährt,
00:11:32: dann ist man durch einen Blitzer gefahren, dann ist es vorbei.
00:11:34: Dann hat man das das Foto gespeichert und der Beweis ist da.
00:11:38: Aber wie ist das bei technischen Geschichten, bei Webseiten oder in dem Beispiel?
00:11:42: Wie wäre das dann anzusehen?
00:11:44: Also da gibt es verschiedene Komponenten,
00:11:48: die man beachten muss.
00:11:49: Auf der einen Seite wird es natürlich ein sehr smarter Move
00:11:51: und das wäre auch natürlich zu empfehlen.
00:11:53: Warum auch das? Warum?
00:11:55: Weil auf der anderen Seite, ja, wenn man es nicht machen würde,
00:11:58: der Datenschutzverstoß, wenn er denn einer ist, bekannt ist
00:12:02: und dann auch erhalten bleibt.
00:12:03: Das heißt also, man muss auch tatsächlich etwas tun,
00:12:06: wenn man das dann selber auch als eigenen Verstoß identifiziert
00:12:10: und auch nachvollziehen kann.
00:12:11: Und das Thema ist hier immer, dass die Frage des Beweises
00:12:16: macht jemand einen Screenshot, reicht ein Screenshot aus.
00:12:19: Es gibt ja auch andere Möglichkeiten,
00:12:21: noch mit technischen Einrichtungen, Webseiten
00:12:25: und der Vergangenheit auch noch erkennbar zu machen.
00:12:28: Also möglicherweise wäre dann der Ermittlungsaufwand
00:12:31: für die Behörde auch größer.
00:12:33: Aber man würde jetzt wahrscheinlich irgendwie,
00:12:36: vermute ich mal, bei dem Beispiel zu bleiben,
00:12:38: auch dann irgendwie auch darlegen können.
00:12:41: Aber die andere Seite, wenn die Behörde sich melden,
00:12:44: sagt das und das konkret ist das Thema
00:12:46: und man fix das dann, dann wäre das auch erst mal schon mal richtig.
00:12:50: Weil man muss das ohnehin ja machen,
00:12:52: damit eben der Datenschutzverstoß nicht beibehalten bleibt.
00:12:56: Ja, ich möchte vielleicht nur noch ergänzen,
00:12:58: was der Henning sagte, bezüglich der Feststellung des Problems,
00:13:02: sag ich jetzt mal, das möglicherweise oder wahrscheinlich dann Verstoß ist.
00:13:06: Also ich kann das aus Erfahrung sagen,
00:13:08: wenn man sich bis zu Mühe gibt bei seiner Beschwerde,
00:13:11: dann schreibt man natürlich da rein an die Datenschutzbehörde,
00:13:15: wie das Problem zurückkonstruieren ist
00:13:17: und erhält das dann auch selbst fest,
00:13:19: mit Screenshot oder ähnliches, wie der Henning sagte,
00:13:21: oder mit Netzwerkprotokollen vielleicht sogar,
00:13:23: die man über den Browser direkt anfertigen kann.
00:13:26: Und die Behörde kann es dann, sag ich jetzt mal,
00:13:28: relativ leicht oder sehr leicht nachvollziehen
00:13:30: und dann hat sie Behörde eben selbst festgestellt
00:13:32: und derjenige, der die Beschwerde eingereicht hat, auch.
00:13:36: Also dann denke ich mal, wäre der Beweis schon irgendwie erbracht.
00:13:40: Was anderes ist es vielleicht im Gerichtsverfahren,
00:13:42: wo man keine Behörde hat, aber so sehe ich jetzt den Beweis
00:13:45: als relativ verbracht.
00:13:46: Und dann wäre noch die Frage aus meiner Sicht,
00:13:48: ob die Behörde ein Bußgeld verhängt nachträglich,
00:13:51: wenn, wie der Henning sagte, der verantwortliche Betreiber der Webseite
00:13:55: eben den Verstoß dann aufgrund des Schreibens der Behörde abgestellt hat.
00:13:59: Dass insofern kann das natürlich auch eine Handlungsoption sein.
00:14:04: Also man muss auch mal ein bisschen da, die insofern ist das Beispiel
00:14:08: vielleicht nicht ganz das Allerbeste,
00:14:10: aber man muss auch da natürlich einmal die Situation
00:14:14: auch der Aussichtsbehörden dann mal sehen.
00:14:16: Es ist natürlich viel interessanter und auch viel wichtiger,
00:14:19: zum Beispiel Verstöße zu agieren,
00:14:21: wo möglich beispielsweise wie beim Fall von H&M
00:14:25: da Personen ausgespäht werden
00:14:28: oder Beschäftigten Daten ganz massiv schlecht behandelt werden.
00:14:34: Das ist mit Sicherheit eine andere Qualität,
00:14:36: als wenn ich jetzt beispielsweise, was auch natürlich nicht in Ordnung ist,
00:14:40: Cookies verwende, ohne dass ich da eine Einwilligung geholt habe.
00:14:44: Aber von der Gewichtung her ist es natürlich ein Unterschied.
00:14:47: Genauso wie ich fahre mit 120 durch die Ortschaft
00:14:51: oder ich parke einfach mal falsch ohne Ticket.
00:14:55: Das ist zweites nicht in Ordnung, aber von der Gewichtung her
00:14:59: wird die Behörde da sicherlich auch sich überlegen,
00:15:01: wem gehe ich denn zuerst nach?
00:15:03: Ja, also das stimmt, da gebe ich grundsätzlich recht.
00:15:06: Aber es gibt Fälle, da ist es eben doch nicht so harmlos,
00:15:09: wie man denkt, wenn auf einer Webseite,
00:15:11: ich sage jetzt mal, der Nutzer ausspioniert wird,
00:15:13: und zwar nicht durch den Betreiber der Webseite selbst,
00:15:15: alleinig, sondern wenn die Daten an Google
00:15:18: und zum Beispiel an Werbenetzwerke weitergegeben werden
00:15:20: und bekanntermaßen gibt es ja den, nur als ein Beispiel,
00:15:24: es könnte man sicherlich noch durch unbekannte Beispiele
00:15:27: ergänzen, die man noch aufdecken müsste,
00:15:29: Cambridge Analytica, wo ja ein riesengroßes
00:15:33: Werbebudget dafür verwendet wurde,
00:15:35: mithilfe von Google und Facebook-Daten,
00:15:37: die beide, dann diese beiden Firmen,
00:15:39: waren dann auch im Team vom Donald Trump,
00:15:41: wie man sehen, nachlesen kann,
00:15:43: oder auf Netflix bei der Dokumentation sehen kann,
00:15:47: und damit wurden dann die unentschlossenen Wähler
00:15:49: identifiziert, was möglicherweise oder wahrscheinlich
00:15:52: dazu führte, dass Donald Trump gewählt wurde.
00:15:54: Also so ganz harmlos ist es nicht.
00:15:55: Und die Werbeindustrie beeinflusst ja Menschen auch.
00:15:59: Da geht es jetzt nicht unbedingt immer nur
00:16:00: um die Wahl eines Präsidenten oder Bundeskanzlers
00:16:02: in Deutschland, sondern da geht es um
00:16:04: Meinungsbildung, da geht es auch um die
00:16:07: Beeinflussung von Wahlen möglicherweise.
00:16:08: Wir haben ja auch ein paar kritische Parteien,
00:16:10: also Parteien, die als kritisch zu betrachten
00:16:12: sind im Deutschen Bundestag.
00:16:14: Da hört man ja auch, dass die ein oder andere
00:16:16: Partei ein bisschen ausuferndere Tätigkeiten hat
00:16:19: in Social Media und vielleicht deswegen
00:16:20: mehr Wählerschlimm bekommt.
00:16:21: Also so ganz harmlos finde ich es persönlich nicht.
00:16:24: Auch wenn ich natürlich recht geben muss,
00:16:25: es ist schon etwas anderes, wenn ich jetzt
00:16:27: ein Adressverzeichnis von 100.000 Leuten führe,
00:16:29: die alle in Deutschland wohnen,
00:16:30: deren genaue Daten ich kenne und mit diesen Daten
00:16:33: mache ich dann etwas Böses, als wenn ich versuche,
00:16:35: Leute in deren Meinungs- oder Wahlverhalten
00:16:37: zu beeinflussen.
00:16:38: Ich wollte das zum Vorkommen zu,
00:16:40: ich wollte das gar nicht irgendwie
00:16:41: in irgendeine Bewertung reinbringen,
00:16:44: was besser oder schlechter ist.
00:16:45: Aber ich wollte nur sagen, möglicherweise
00:16:48: gibt es Gründe, dass bestimmte Themen
00:16:50: von den Aufsichtsbehörden priorisiert
00:16:52: behandelt werden als andere.
00:16:54: Okay, also im Prinzip hat mir vorhin
00:16:57: das Thema gehabt, dass wir gesagt haben,
00:16:59: dass eine Beweissicherung generell
00:17:02: möglich ist, auch technisch möglich ist.
00:17:04: Und wenn ihr mir jetzt mal von dem Beispiel
00:17:06: jetzt weiter das ganze spinnen und sagen,
00:17:09: dass die Beweissicherung alles erfolgt ist
00:17:12: und auch das ganze sauber an Person A,
00:17:15: sage ich mal, weitergeleitet wurde.
00:17:17: Wie wäre es denn jetzt im Streitfall,
00:17:18: wenn jetzt Person A sagt, nein,
00:17:20: ich bin nicht der Meinung,
00:17:21: dass ich hier einen Datenschutzverstoß
00:17:23: begangen habe.
00:17:24: Wie würde die ganze Rechtsthematik
00:17:26: dann weiterlaufen?
00:17:27: Na ja, also kann man,
00:17:29: muss man aber nicht Stellung dazu nehmen
00:17:32: gegenüber der Aufsichtsbehörde
00:17:34: und dann wird die Aufsichtsbehörde
00:17:35: eine Entscheidung treffen,
00:17:36: die dann ein Bußgeld sein kann.
00:17:38: Und das geht dann mit einem Bußgeld
00:17:40: Bescheid, wird es dann zugestellt
00:17:42: und wiederum dagegen kann man sich
00:17:44: wehren mit einem Rechtsmittel.
00:17:46: Und dann landet man im
00:17:47: gerichtlichen Verfahren.
00:17:49: Hattest du in deiner Karriere
00:17:51: schon Datenschutzfälle,
00:17:52: die so ein ähnliches Thema betrachtet haben?
00:17:54: Also hast du damit schon mal Erfahrung gemacht?
00:17:56: Also wir haben ganz viele Themen,
00:17:58: die wir in der Beratung hatten,
00:17:59: wo wir tätig werden mussten,
00:18:01: wo wir beraten haben,
00:18:03: bis quasi zur Meldung
00:18:04: und die dann auch weiter verfolgt haben
00:18:07: und auch Stellungnahmen noch
00:18:08: gegenüber den Behörden.
00:18:09: Aber glücklicherweise hatten wir
00:18:10: bisher noch, also für unser Mandant
00:18:12: noch keine Themen,
00:18:13: wo wir dann am Ende
00:18:15: ein richtiges Verfahren gehen mussten
00:18:17: oder uns gegen Bußgeld wehren mussten.
00:18:18: Wie würdest du das ganze
00:18:19: bewerten Zwecks,
00:18:21: wenn jetzt wirklich ein
00:18:22: Gerichtsverfahren stattfände?
00:18:24: Wir hätten jetzt zwei Parteien
00:18:25: und jeder hätte einen Sachverständigen,
00:18:29: der wiederum seine Aussage damit tätigt,
00:18:31: ja, es ist kein Datenschutzverstoß
00:18:33: oder es ist ein Datenschutzverstoß.
00:18:35: Wie würdest du das bewerten,
00:18:36: wie die Richter dann in so einem Fall bewerten?
00:18:38: Weil das technische Grundwissen
00:18:39: muss ja dann irgendwo da sein, oder?
00:18:41: Ja, wobei wir in ein anderes Setting haben.
00:18:43: Wir haben ja jetzt kein Zivilverfahren,
00:18:45: wo Partei gegen Partei B klagt,
00:18:48: sondern es ist ja ein Verfahren,
00:18:50: bei dem man sich gegen den von der Behörde
00:18:52: möglicherweise erlassenden
00:18:54: Bußgeldbescheid wehrt.
00:18:55: Das heißt, also da muss dann die Behörde
00:18:59: ist in der Beweisflicht und muss
00:19:01: hier die den Datenschutzverstoß
00:19:04: auch belegen können,
00:19:06: um das Bußgeld auch aufrechterhalten zu können.
00:19:08: Also Beispiels war es und auch die
00:19:11: Höhe ist ein Thema.
00:19:12: Im Fall von eins und eins
00:19:14: war es ja so beispielsweise,
00:19:15: dass man extrem hohes Bußgeld
00:19:18: vom BFDI angesetzt hatte,
00:19:19: glaube ich, neun Millionen oder so
00:19:21: waren das, glaube ich.
00:19:22: Und dann am Ende war es
00:19:24: knapp ne Million.
00:19:25: Neun oder tausend oder so was?
00:19:26: Neun oder tausend, jedenfalls extrem weniger.
00:19:29: Was natürlich trotzdem hieß,
00:19:32: dass in der Sache die recht bekommen,
00:19:33: aber das Bußgeld von der Höhe her
00:19:35: wurde halt eingeschränkt
00:19:37: aus dann rechtlichen Gründen.
00:19:39: Also vielleicht für die Zuhörer BFDI
00:19:40: ist der Bundesdatenschutzbeauftragte,
00:19:42: für die die es nicht wissen.
00:19:44: Und was ich vielleicht noch sagen wollte, Frank,
00:19:46: der Sachverständige, den du angesprochen hast,
00:19:48: der im Gerichtsverfahren
00:19:50: sozusagen zugeholt werden kann,
00:19:52: der nimmt keine rechtliche Bewertung vor,
00:19:54: insbesondere wenn es um technische Fragen geht.
00:19:56: Also der führt eine reine Analyse
00:19:58: auf seinem Fachgebiet durch
00:20:00: und dem ist es sogar verboten,
00:20:01: eine rechtliche Wertung vorzunehmen.
00:20:03: Ich hatte das eigentlich im Prinzip
00:20:05: deswegen gefragt,
00:20:07: weil ja eben auch
00:20:08: eine technische Analyse
00:20:10: vielleicht auch zwei verschiedene
00:20:11: Meinungen haben könnte.
00:20:13: Deswegen sage ich ja könnte.
00:20:14: Und es startet deswegen
00:20:15: vielleicht auch in der Hinsicht
00:20:16: zum Streitfall kommt,
00:20:18: weil natürlich die eine Partei meint,
00:20:19: das ist ein Datenschutzverstoß,
00:20:21: das ist einem keiner.
00:20:22: Und das muss ja dann auch bewertet werden
00:20:24: von jemandem.
00:20:24: Ja, also der Sachverständige,
00:20:26: der stellt erst mal normalerweise
00:20:28: Tatsachen fest oder aus einem Fachwissen
00:20:30: heraus, aus einer Erfahrung heraus,
00:20:32: stellt der Dinge in Sachverständigerwürdigung fest.
00:20:35: Und aufgrund dieser Feststellungen
00:20:38: ist sozusagen Sachverständigen Beweis
00:20:40: wird es ja auch genannt,
00:20:41: wenn ich das richtig im Kopf habe.
00:20:43: Kann das Gericht dann
00:20:44: ein Urteil fehlen
00:20:45: beziehungsweise können die Parteien
00:20:47: sich dann an diesem Sachverständigen
00:20:48: der Gutachten abarbeiten.
00:20:50: Natürlich kann die andere Partei,
00:20:52: wenn sie mit dem einen Gutachten
00:20:54: oder mit dem Sachverständigen
00:20:55: nicht zufrieden ist,
00:20:56: das Anzweifeln
00:20:58: und den zweiten Sachverständigen
00:21:00: und zweites Gutachten
00:21:00: den zuziehen.
00:21:01: Aber ich sage mal,
00:21:02: wenn es um Fakten geht,
00:21:03: die man relativ leicht feststellen kann,
00:21:05: dann wird der zweite Sachverständige
00:21:06: da auch wenig gegen tun können.
00:21:08: Also ich mache dann
00:21:09: nochmal ein Beispiel auf an der Stelle.
00:21:10: Also es geht fest um
00:21:12: ein Thema, wo es halt um
00:21:14: um Daten Tracking geht
00:21:16: auf der Webseite,
00:21:17: was jetzt nicht mehr vorhanden ist
00:21:19: zum Zeitpunkt,
00:21:19: wo man darüber entscheiden muss,
00:21:21: was in der Vergangenheit gelegen ist.
00:21:23: Und es geht dann um die Frage,
00:21:24: ob die getroffenen Feststellungen,
00:21:27: die man herangezogen hat,
00:21:28: ob die valide sind.
00:21:29: Und da könnte es zum Beispiel darum gehen,
00:21:30: um die Frage, ob der Screenshot,
00:21:32: ob das jetzt tatsächlich manipuliert ist
00:21:35: oder eben nicht,
00:21:36: ist jetzt ein sehr an den Haaren her
00:21:37: beigezogenes Beispiel.
00:21:40: Aber diese Frage
00:21:41: könnte man ja dann auch
00:21:43: Sachverständigenseits untersuchen lassen.
00:21:46: Und wie der Klaus schon richtig sagte,
00:21:48: auf der Verteidigungsseite
00:21:49: kann man dann auch natürlich sagen,
00:21:51: okay, wir haben andere Erkenntnisse
00:21:52: und wir versuchen dann wiederum,
00:21:55: das mit einem eigenen Gutachten zu erschüttern.
00:21:57: Vielleicht noch als Ergänzung,
00:21:58: wenn man sowohl bei einer Beschwerde
00:22:01: wahrscheinlich ging das möglicherweise auch,
00:22:03: vielleicht ein bisschen ungewöhnlich,
00:22:04: aber im Gerichtsverfahren,
00:22:05: wenn man eine Klage vorbereitet
00:22:06: oder eine Abmahnung vorher
00:22:08: als außergerichtliche Einigungsmöglichkeit,
00:22:09: so heißt es ja,
00:22:11: anfertigt, dann kann man natürlich
00:22:12: als Betroffener dem Datenschutzverstöße begegnen.
00:22:16: Einen Zeugen hinzuziehen,
00:22:17: zum Beispiel jemanden, den man kennt
00:22:18: und der sitzt dann neben einem am Computer
00:22:21: und vor dessen Augen
00:22:22: ruft man dann die fragliche Webseite auf
00:22:25: und protokolliert dann
00:22:26: mit geeigneten Mitteln
00:22:27: mit der Entwicklerkonsole des Brausers,
00:22:28: zum Beispiel mit Netzwerkprotokollen,
00:22:30: die man darüber anfertigen kann,
00:22:31: was auf der Webseite passiert,
00:22:33: druckt das dann aus
00:22:34: und gibt es dem Zeugen zur Unterschrift.
00:22:36: Ich habe das mal gemacht,
00:22:37: der Zeuge kriegt dann
00:22:38: eines von zwei Exemplaren,
00:22:40: das beide Exemplare werden von beiden unterschrieben,
00:22:42: also von dem, der betroffen ist
00:22:44: von einem Datenschutzverstoß und dem Zeugen
00:22:46: und der Zeuge nimmt dann seinen Exemplar mit
00:22:49: und ich denke, Henning,
00:22:50: das würde vor Gerichten
00:22:51: ein relativ guter Beweis sein, oder?
00:22:53: Ja, das wird sicherlich
00:22:56: ausreichend erst mal sein.
00:22:58: Dann wie immer,
00:23:00: ich sage mal, das ist das Thema,
00:23:01: ist immer das Gleiche,
00:23:02: Zeugenbeweis ist denn der schlechteste Beweis,
00:23:04: weil irgendwann weiß man es vielleicht nicht mehr,
00:23:07: also wenn das länger das her ist
00:23:10: und das ist halt immer der Punkt,
00:23:13: wenn man etwas anders darstellen kann,
00:23:15: technisch oder mit Unterlagen,
00:23:17: ist das natürlich noch besser, klar.
00:23:19: Aber nochmal von der Situation,
00:23:20: wir haben ja tatsächlich,
00:23:22: um bei den Beispielsfeilen zu bleiben,
00:23:23: die Situation,
00:23:25: dass man nicht zwei Parteien hat,
00:23:26: sondern aufgrund der Anzeige einer Partei
00:23:29: ergibt sicher die Situation,
00:23:30: dass man sich gegen die Behörde werden muss
00:23:32: und die natürlich ihrerseits
00:23:34: dann belegen können,
00:23:36: muss das ein Verstoß vorgelegen hat.
00:23:38: Ja, bevor ich jetzt noch
00:23:40: zu den ganzen Konsequenzen mal komme,
00:23:42: da habe ich mir noch gerade was aufgeschrieben.
00:23:44: Ihr habt vorhin von dem Fall 1&1 gesprochen.
00:23:48: Sicherlich haben wir auch noch Hörer,
00:23:49: die von diesem Fall vielleicht noch gar nichts gehört haben.
00:23:52: Könnt ihr vielleicht mal kurz
00:23:53: noch mal dazu Stellung nehmen,
00:23:55: was da genau passiert ist,
00:23:56: was die Anklage war,
00:23:57: was das Problem war dahinter?
00:23:58: Ich fange mal einfach mal an.
00:23:59: Also bei 1&1 kennt man ja als Telefonanbieter
00:24:01: und da war das Thema,
00:24:02: dass es keine ausreichende Absicherung gab
00:24:07: für den Schutz für die personenbezogenen Daten.
00:24:11: Also beispielsweise konnte ich dann anrufen sagen,
00:24:14: ich bin der Ehemann, der Freund von Herrn Frau XY
00:24:19: und ich habe hier meine Frage zum Kundenkonto.
00:24:22: Das wurde dann tatsächlich,
00:24:25: das war jetzt die Kurzfassung,
00:24:26: dann auch so offenbart
00:24:27: und man konnte dann auch
00:24:28: dadurch direkt einen Zugriff bekommen.
00:24:30: Und das ist dann bekannt geworden
00:24:32: und da hat dann natürlich dann auch
00:24:33: der Bundesdatenschutzbeauftragte
00:24:37: dagegen etwas unternommen
00:24:39: und da auch ermittelt,
00:24:40: warum ist der Bundesdatenschutzbeauftragte zuständig?
00:24:44: Der Bundesdatenschutzbeauftragte
00:24:45: ist im Wesentlichen für Bundesbehörden zuständig,
00:24:48: aber noch für Teilbereiche
00:24:49: von Telekommunikationen,
00:24:50: zu denen ja auch 1&1 gehört.
00:24:53: Okay, wenn wir jetzt von diesen ganzen gerichtlichen,
00:24:58: also ich würde gerne mal
00:24:59: auf die gerichtlichen Konsequenzen eingehen.
00:25:01: Im Prinzip haben wir jetzt
00:25:02: so eine Verhandlung hinter uns.
00:25:03: Es wird ein Bußgeld erlassen.
00:25:07: Hast du mal für unsere Zuhörer,
00:25:08: vorhanden vielleicht so eine grobe Übersicht,
00:25:11: in welchen Höhen wir uns da mit diesen Bußgeldern
00:25:15: ungefähr befinden?
00:25:17: Es ist sehr schwierig abzusehen
00:25:19: mit unserem Beispiel.
00:25:20: Also wir alle werden sicherlich
00:25:22: die zugehört haben.
00:25:23: Da die zuhören, werden sicherlich
00:25:25: auch die Zahlen schon mitbekommen.
00:25:26: Wir haben ja Maßstäbe
00:25:28: innerhalb der DSGVO,
00:25:31: die in die Millionen reichen tatsächlich
00:25:34: und es werden auch hohe Bußgelder ausgelotet.
00:25:38: Und das geht im Grunde,
00:25:39: hängt es vom weltweiten Umsatz ab.
00:25:42: Das ist der erste Maßstab.
00:25:44: Es ist vor einiger Zeit schon
00:25:47: so eine Art Matrix
00:25:50: von den einzelnen Aufsichtsbehörden
00:25:52: mal entwickelt worden,
00:25:54: welche Faktoren herangezogen werden,
00:25:56: um wie ein Bußgeld zu berechnen.
00:25:58: Es ist also, finde ich, relativ
00:26:01: undurchschaubar.
00:26:03: Man kann das im Grunde nicht vorberechnen,
00:26:05: aber man hat ungefähr eine Ahnung,
00:26:07: wo die Reise hingehen kann.
00:26:09: Wenn man sich mal die Bußgelder,
00:26:10: die es jetzt zuletzt gegeben hatte,
00:26:13: auch anschaut,
00:26:14: dann muss man eigentlich sagen,
00:26:15: dass die bekannt gewordenen
00:26:17: im europäischen Ausland
00:26:19: eigentlich teilweise noch viel massiver waren
00:26:20: als jetzt hier.
00:26:22: Also gerade die CNIL,
00:26:24: das ist die französische Zentrale.
00:26:26: Da hat Schutzaufsicht verteilt,
00:26:28: also hohe Bußgelder wie Bombons.
00:26:30: Also vielleicht darf ich noch ergänzen,
00:26:32: Frank, es ist also aus meiner Kenntnis
00:26:35: oder Erfahrung so,
00:26:36: dass normalerweise wegen dem sogenannten
00:26:38: Webtracking, wenn man es jetzt mal plakativ sagen kann,
00:26:40: für Webseiten,
00:26:42: kein einziges Bußgeld in Deutschland
00:26:43: erlassen wurde, soweit ich weiß.
00:26:45: Das heißt, da kann man auch keine Größe nennen.
00:26:47: Der Fall 1&1 in der Henning sagte,
00:26:49: der geht jetzt eher in eine andere Richtung.
00:26:51: Da geht es, wie er sagte,
00:26:52: auch um eine Auskunft am Telefon,
00:26:54: die 1&1 nicht hätte erteilen dürfen,
00:26:55: weil die Authentifikation,
00:26:58: also die Identifikation des Anrufers
00:27:00: nicht ausreichend sichergestellt war.
00:27:02: Aber es gibt meiner Kenntnis
00:27:03: nach kein einziges Bußgeld in Deutschland
00:27:05: wegen, sag mal, Verstößen auf einer Webseite,
00:27:07: weil einer zum Beispiel Google Analytics
00:27:09: oder sowas eingesetzt hätte.
00:27:10: Die gibt es nicht.
00:27:11: Also ich frage auch jedes Mal,
00:27:12: konfrontiere ich die Vertreter
00:27:14: von Aufsichtsbehörden damit,
00:27:15: dass ich genau dieser Meinung bin,
00:27:17: weil ich lese ja auch täglich die Presse
00:27:20: und die widersprechen mir alle nicht.
00:27:22: Also die größere Gefahr,
00:27:25: was die finanzielle Situation angeht,
00:27:27: sind eben Klagen von Privatpersonen
00:27:30: oder vielleicht auch von Webbewerbern
00:27:31: und unabhängig vom Bußgeld,
00:27:33: wenn wir bei der Behörde bleiben,
00:27:35: da spielt ja auch die Arbeit
00:27:36: oder der Stress, den man hat mit der Behörde,
00:27:38: hat eine Rolle.
00:27:39: Das ist ja vergleichbar mit einem Finanzamt.
00:27:41: Ein Finanzamt verhängt ja normalerweise keine Strafe,
00:27:43: weil man irgendwas nicht so gemacht hat,
00:27:45: wie das Finanzamt das wollte,
00:27:46: sondern die schreiben einen dann an,
00:27:47: da muss man in der kurzer Zeit reagieren,
00:27:50: da muss man Formalien erfüllen,
00:27:52: dann hat man nur Ärger.
00:27:53: Und man weiß ja, die Behörde sitzt am längeren Hebel.
00:27:55: Erst mal die Behörde hat nichts zu verlieren,
00:27:57: ich aber schon.
00:27:58: Und da muss ich immer rackern und rotieren
00:28:00: und komme aus meinem Tagesgeschäft komplett raus.
00:28:03: Das ist auch noch eine Gefahr.
00:28:04: Und am Ende muss ich dann doch das machen,
00:28:05: normalerweise, was die Behörde möchte,
00:28:08: auch wenn ich mich dagegen vielleicht wehren will.
00:28:10: Und ich muss vielleicht nichts bezahlen,
00:28:12: aber trotzdem habe ich ganz viel Stress.
00:28:14: Und ich kenne einen Fall,
00:28:16: da hat die Behörde einen Kunden
00:28:18: drei oder vier Mal auffordern müssen,
00:28:21: bestimmte Dinge zu tun.
00:28:22: Der Kunde wollte es auch verbessern,
00:28:24: was die Behörde angemeckert hat.
00:28:26: Aufgrund seiner Dienstleister-Struktur
00:28:28: ist es immer aber nicht am Anfang gelungen.
00:28:29: Und die Behörde hat kein einziges Bußgeld verhängt,
00:28:31: obwohl sie drei oder vier Mal schreiben musste,
00:28:33: nachdem sie ihn ursprünglich schon angeschrieben hatte.
00:28:35: Und der Kunde musste dann, glaube ich,
00:28:37: 300 Euro Bearbeitungsgeld bezahlen oder sowas.
00:28:40: Also von Bußgeld,
00:28:41: dann würde ich jetzt im Internet nicht unbedingt sprechen.
00:28:43: Ja, also ich sehe auch eher die Gefahr,
00:28:44: dass sich im Mitbewerber
00:28:47: wettbewerbsverstoßmäßig herantasten
00:28:50: oder was eigentlich auch viel größeres Thema ist.
00:28:56: Jetzt mal weg von dem Thema Verstoß.
00:28:58: Ist das Thema Auskunft,
00:28:59: das ja auch in einem Verstoß münden kann.
00:29:02: Die Betroffenen, also die Personen,
00:29:03: von denen die Person bezogen in Daten verarbeitet werden,
00:29:07: haben wir das Recht auf eine Auskunft.
00:29:08: Und da ist mittlerweile die Rechtsprechung sehr diversifiziert,
00:29:11: die geht in eine Richtung, die sagt,
00:29:13: wenn der Verstoß fehlerhaft ist oder verspätet ist,
00:29:18: dann kann das zu einem Schmerzensgeld führen,
00:29:21: zum Schadensatzanspruch führen.
00:29:23: Und das ist im Grunde etwas, was viel empfindlicher ist.
00:29:28: Aber natürlich ist das eher singulärer zu betrachten.
00:29:31: Da hätte ich vielleicht zwei Beispiele zum Schmerzensgeld
00:29:34: oder Schadensatz.
00:29:35: Das eine ist ja das bekannte Urteil zu Google Fonds
00:29:38: vom 20.1.2022 Landgericht München.
00:29:42: Der Kläger forderte 100 Euro Schadensatz
00:29:44: dafür, dass der Betreiber in der Webseite
00:29:47: eben Google Schriften so eingebunden hat,
00:29:48: dass sie vom Google Server geladen werden
00:29:50: und damit Google eben Daten erhält in Amerika.
00:29:52: Person bezogene Daten, nämlich die Netzwerkadresse,
00:29:54: die als Person bezogenes Datum gilt.
00:29:56: Dafür bekam er die von ihm geforderten 100 Euro.
00:29:58: Das klingt jetzt wenig, 100 Euro.
00:30:00: Aber wenn der Webseite mit Treiber
00:30:02: weiterhin Google Schriften in dieser Art eingebunden hätte,
00:30:05: dann hätten noch 10.000 andere Personen kommen können,
00:30:07: hätte er 10.000 mal 100 Euro zahlen müssen.
00:30:09: Plus die Verfahren, die damit zusammenhängen.
00:30:12: Ein zweites Beispiel von ganz kurzer Zeit.
00:30:15: Ich hoffe, ich irre mich jetzt nicht in der Nennung des Gerichts,
00:30:17: Arbeitsgericht Neuruppin, glaube ich, war es.
00:30:19: Da wurde wohl ein Urteil gesprochen,
00:30:22: dass ein Arbeitgeber, der den Namen eines,
00:30:25: ich glaube, ehemaligen Angestellten oder bestehenden ist.
00:30:27: Ich weiß es nicht mehr, auf seiner Webseite
00:30:29: noch stehen hatte, musste nur für diese Nennung des Namens,
00:30:32: wenn ich das richtig weiß, noch auf der Webseite
00:30:35: 1.000 Euro Schadenersatz bezahlen.
00:30:37: Also das ist ja schon eine, sagen wir mal fast,
00:30:39: Lächerlichkeit, dass ein Name noch auf der Webseite stand.
00:30:42: Das würde sogar ich als Datenschützer jetzt sagen.
00:30:44: Hennig, ich hoffe, ich habe den Fall richtig wiedergegeben.
00:30:46: Vielleicht weißt du dazu auch was?
00:30:48: Ja, im Grunde war das so.
00:30:49: Es ist relativ frisch die Entscheidung.
00:30:53: Ja, es geht halt um das Thema,
00:30:54: dass, was müssen Webseiten Betreiber machen?
00:30:57: Also in dem Fall noch als Arbeitgeber.
00:31:00: Und das ist ja noch eine nachwirkende
00:31:02: Fürsorgepflicht gegenüber den Beschäftigten,
00:31:04: die dann ausgeschieden sind.
00:31:06: Man muss die halt in einer, also im Grunde sofort,
00:31:09: bis eine kurzen Querenzzeit dann mit Bild
00:31:12: und auch Namen dann von der Webseite auch nehmen,
00:31:15: wenn sie nicht mehr aktiv sind.
00:31:17: Sofern sie natürlich vorher dort erschienen sind.
00:31:21: Okay, ja, ich fand das heute ein absolut spannendes
00:31:25: und sehr gutes Gespräch.
00:31:27: Wir haben jetzt auch schon wieder über 30 Minuten auf der Uhr.
00:31:31: Und wir versuchen ja immer, unseren Podcast relativ kurz zu halten.
00:31:34: Ich fand, wir sind bei diesem Weg wirklich gut durchgegangen.
00:31:38: Es wurden alle Fragen, die da so wichtig sind, gestellt.
00:31:41: Es sei natürlich, ihr habt nach irgendwie ein Thema,
00:31:43: wo ihr sagt, das könnte vielleicht noch unsere Zuhörer
00:31:47: in der Hinsicht interessieren, was ich vielleicht nicht bedacht habe jetzt.
00:31:50: Gut, also wie gesagt, es schadet nicht,
00:31:52: wenn man Datenschutz ernst nimmt, es gibt ja in Wirklichkeit
00:31:55: auch viele Lösungen.
00:31:56: Man muss nicht immer Google Tools einsetzen,
00:31:58: nur weil jeder meint, man müsste es tun.
00:32:00: Oder weil die Werbeagentur meint, es wäre unbedingt notwendig,
00:32:03: dass man Google Analytics benutzt.
00:32:05: Das ist natürlich Unsinn, das kann man auch leicht herausfinden.
00:32:09: Die Werbeagenturen wissen meistens nichts
00:32:10: über rechtliche Vorgaben.
00:32:13: Die sagen ihren Kunden einfach nur,
00:32:15: was aus deren Sicht am einfachsten wäre,
00:32:17: wo sie am meisten Geld vielleicht noch mit verdienen können
00:32:18: als Werbeagentur.
00:32:19: Also man soll sich manchmal einfach auf die Kernthemen konzentrieren.
00:32:23: Was nützt mir denn eigentlich auf meiner Webseite?
00:32:25: Was muss ich denn wirklich tun?
00:32:27: Muss ich denn wirklich eine Karte von Google einbinden,
00:32:30: wenn ich einen Standort habe?
00:32:32: Meiner Firma wollen die Leute überhaupt wissen,
00:32:34: wo mein Standort ist,
00:32:35: oder wollen sie vielleicht nur eine gute planen als Beispiel?
00:32:38: Muss ich Google Analytics einsetzen
00:32:39: oder kann ich auch etwas anderes machen?
00:32:41: Muss ich unbedingt Werbung bei Google buchen, Google Ads?
00:32:44: Oder komme ich auch ohne Geldeinsatz
00:32:46: oder mit weniger oder anderem Geldeinsatz zum Erfolg?
00:32:49: Also ich würde mir diese Fragen
00:32:50: als Webseitenbetreiber stellen.
00:32:52: Und dann komme ich sehr oft zu einer überraschenden Antwort,
00:32:55: die nämlich da lautet,
00:32:56: dass ich es anders machen kann als viele meinen.
00:32:58: Ein Abschlusswort noch von meiner Seite.
00:33:00: Also ich stimme voll zu.
00:33:02: Vor allen Dingen Datenschutz ist kein Selbstzweck.
00:33:06: Das ist schon Sinn, dass man das ernst nimmt an der Stelle.
00:33:10: Und es hat also einmal eine Komponente,
00:33:12: dass man natürlich auch die Grundrechte
00:33:15: der betroffenen Personen schützt.
00:33:17: Das ist ein ganz wesentlicher Punkt.
00:33:19: Und natürlich aus Unternehmenssicht
00:33:21: eine ganz große Schadensvermeidungsthematik.
00:33:24: Ich kann sehr viel machen.
00:33:26: Ich muss auch sehr viel machen.
00:33:27: Aber es sind ja auch dessen dazu,
00:33:30: dass ich Bußgelder, die kommen könnten, vermeide.
00:33:33: Und es gibt meistens Alternativen.
00:33:36: Und wenn es keine gibt,
00:33:37: dann muss man sich beraten lassen und muss überlegen,
00:33:40: OK, was kann ich tun?
00:33:41: Wie kann ich mich rechtskonform verhalten,
00:33:44: indem ich das beibehalte?
00:33:45: Aber es setzt meistens sehr viel Dokumentationsauffand voraus.
00:33:50: OK, Henning, ich danke dir für deinen Besuch.
00:33:53: Und dass wir dich mal ein bisschen ausquetschen durften.
00:33:56: Und ich würde mich freuen,
00:33:59: wenn wir dich dann noch mal als Gast einladen können.
00:34:01: Wir hatten ja jetzt schon ein potenzielles Thema,
00:34:04: glaube ich, vorhin genannt.
00:34:05: Ich weiß gerade nicht mehr, worum es war, was wir da hatten.
00:34:06: Aber ich werde es auf jeden Fall dann noch mal...
00:34:10: Ja, ich werde es ja eh noch mal alles durchhören.
00:34:11: Von daher werde ich dich auf jeden Fall dazu noch mal
00:34:15: vielleicht ansprechen.
00:34:15: Also es wäre schön, wenn wir uns dann noch mal als Gast begrüßen dürfen.
00:34:18: Ja, super, klasse.
00:34:20: OK, ich auch gefreut, Henning, dass du da warst heute.
00:34:22: Super, hat mir sehr viel Spaß gemacht mit dir.
00:34:24: Ja. Frank, ja sowieso.
00:34:27: Auch schade bin ich Klaus.
00:34:30: OK, aber apropos Themenklaus,
00:34:31: also wir besprechen am Ende der Folge mal ganz kurz,
00:34:34: was wir vielleicht so als nächste Themen in Betracht ziehen können.
00:34:38: Und wir hatten ja beim letzten Mal so gesagt,
00:34:41: vielleicht Conversion Tracking oder Vorratsdaten, Speicherungen.
00:34:44: Ich hatte mir auch mal Gedanken gemacht.
00:34:45: Denkst du, dass zum Beispiel auch Themen wie Smart Home,
00:34:48: also die ganze Geschichte Themen wie Echo oder Alexa,
00:34:53: die ja auch in gewisses Datenschutz, ja,
00:34:56: ich sag mal Risiko in sich tragen,
00:34:58: würde das auch ein Thema darstellen, wo du sagst,
00:35:00: das könnte unsere Hörer interessieren?
00:35:02: Ja, also insofern ist es sehr interessant geworden,
00:35:05: seit dem 1.12 letzten Jahres,
00:35:07: weil er das Neudeutsche Datenschutzgesetz, das TTDSG,
00:35:10: den Begriff der Endeinrichtung eingeführt hat,
00:35:13: vorwährend nur von Endgeräten,
00:35:14: die Räder, also von Smartphones, Tablets,
00:35:16: Desktop-PCs und so weiter.
00:35:17: Und die Endeinrichtung ist eben genau das,
00:35:19: das kann nämlich zum Beispiel ein Smart Home-Gerät sein.
00:35:22: Und da ist eben die Frage,
00:35:24: wenn so ein vernetzter Toaster wird immer das blödes Beispiel,
00:35:26: wie ich finde, gebracht, aber ich nenne es jetzt einfach mal,
00:35:29: wenn so ein vernetzter Toaster oder ein Multirumlautsprecher
00:35:32: ein Update zieht aus dem Internet
00:35:34: und dieses Update eben nicht zu Sicherheitszwecken
00:35:37: oder zu anderen notwendigen Zwecken gemacht wird,
00:35:40: sondern um eine Funktionserweiterung herbeizuführen,
00:35:43: dann ist es wahrscheinlich, dass das TTDSG vorschreibt,
00:35:46: dass hier für eine Einwilligung vom Nutzer eingeholt werden muss
00:35:50: und da stellen sich natürlich ganz andere Fragen,
00:35:52: als bei einer Webseite, wo normalerweise der Nutzer vor einem Bildschirm sitzt
00:35:55: und andere Aktionen ausführen kann,
00:35:57: wohingegen bei einem Multirumlautsprecher
00:35:59: ja kein Bildschirm normalerweise dran ist.
00:36:01: Ja, man schickt ja auch keinen Fax an Amazon nach dem Motto,
00:36:04: ich bin einverstanden, das hätte ich auch nicht.
00:36:07: Wenn es einfach wäre, man hat meistens dieses Riesen-AGB,
00:36:11: ja, AGB-Seiten vor sich und akzeptiert die ja meistens blindlings.
00:36:16: Also, ich würde keinen können, der da wirklich die ganzen AGBs
00:36:20: durchgeht und prüft.
00:36:22: Natürlich, wenn man da in dem Thema drin ist,
00:36:24: dann macht man das natürlich selbstverständlich,
00:36:25: aber der Ottonormalverbraucher drückt meistens akzeptieren
00:36:28: und dann vorbei.
00:36:30: Ja, gut, dann würde ich das ganze Folge jetzt abschließen
00:36:35: und ja, Leute, wenn euch das interessiert,
00:36:38: würden wir uns natürlich auch wieder freuen,
00:36:39: wenn ihr uns bei der nächsten Folge wieder euer Gehör schenkt.
00:36:44: Und ich bedanke mich bei Henning, ich bedanke mich bei Klaus
00:36:48: und das letzte Wort hat wie immer Klaus.
00:36:51: Ja, also ich habe ja eigentlich schon alles gesagt.
00:36:53: Ich möchte nochmal vielen Dank an Henning sagen.
00:36:55: Vielen Dank an dich, Frank, dass du das so toll gemacht hast
00:36:57: und ich freue mich aufs nächste Mal.
00:36:59: Okay. Ach ja, und was ich noch erwähnen wollte, wie immer,
00:37:02: ihr könnt uns Kommentare hinterlassen.
00:37:05: Einfach auf datenschutz.de gehen.
00:37:08: Dort habt ihr die Möglichkeit, uns zu kontaktieren.
00:37:10: Und wenn ihr natürlich auch eine Frage zu Datenschutzrecht habt
00:37:15: und ein Henning zum Beispiel, ich denke mal, Henning,
00:37:17: es wäre auch okay, wenn wir da auch mal potenzielle Fragen
00:37:19: an dich weiterleiten, oder?
00:37:21: Klar, auf jeden Fall.
00:37:22: Okay, super.
00:37:23: Dann wünsche ich euch eine gute Zeit.
00:37:25: Wir hören uns bis zum nächsten Mal.
00:37:26: Ciao.
00:37:26: Tschüss.
00:37:29: Das war Datenschutz Deluxe.
00:37:32: Du willst Kontakt zu uns aufnehmen
00:37:34: oder unseren Podcast abonnieren?
00:37:36: Dann besuche www.datenschutzdeluxe.de.
00:37:40: Bis zum nächsten Mal.
Neuer Kommentar