Aktuelles zur DSGVO, zu ePrivacy und die ePrivacyVO
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
| Title |
| |
| Subtitle |
| |
| Alternative Title |
| |
| Title of Series | ||
| Number of Parts | 49 | |
| Author | ||
| License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
| Identifiers | 10.5446/51765 (DOI) | |
| Publisher | ||
| Release Date | ||
| Language |
Content Metadata
| Subject Area | ||
| Genre | ||
| Abstract |
|
FrOSCon 2020 Cloud-Edition15 / 49
1
2
5
8
9
10
13
19
20
21
22
23
25
26
27
29
31
32
33
34
35
42
44
46
48
00:00
Point cloudLegal informaticsCONSULTANT <Datenbank>Expert systemMAX <Programm>InformatikstudiumPhysical quantityLegal informaticsMathematicianCONSULTANT <Datenbank>Computer animation
02:02
NeWSWebsiteWeb pageHTTP cookieContinuous trackMenu (computing)Mobile appHTTP cookieWebsiteSupremumEnergieProduct (category theory)DiagramComputer animation
03:32
Electronic data processingZugriffComputer fileDatenerhebungAlgebraic closureWebsiteElectronic data processingIP addressPhysical lawZugriffComputer fileDatenerhebungSpeciesCounterexampleLink (knot theory)Computer scienceWEBComputer animation
09:30
EncryptionData centerPoint cloudInternetdienstOffice <Programm>TOMWebsiteDefault (computer science)Internet forumData centerDatabaseInternetSakokuPoint cloudWeb serviceOffice <Programm>Frist <Programm>Löschen <Datenverarbeitung>Electronic data processingLösung <Mathematik>Product (category theory)Hausdorff spaceWEBUnity <Benutzeroberfläche>Computer animation
15:19
Google AnalyticsInternetdienstData storage devicePoint cloudElectronic data processingInformationHTTP cookieWeb pageService (economics)YouTubeYouTubeWebsiteLink (knot theory)EmailElectronic data processingHTTP cookieOpen setAssistent <Programm>PseudonymizationProcess (computing)Student's t-testVideo trackingWeb pageComputer wormImplementationBookmark (World Wide Web)SupremumFluxInformation technology consultingLengthSage <Programm>Löschen <Datenverarbeitung>Computer animation
22:28
MicrosoftFacebookGoogleFAQFacebookMicrosoftGoogleProduct (category theory)Office <Programm>Web serviceWebsiteEnde <Graphentheorie>Point cloudData transmissionSoftware developerPseudonymizationActive contour modelInformationStandard deviationLattice (order)Data exchangeComputer animation
29:26
HTTP cookieKommunikationInternetData conversionZugriffInformationService (economics)Plane (geometry)Mobile appEnde <Graphentheorie>Norm <Mathematik>HTTP cookieInternetdienstInformationControl engineeringVideoconferencingData conversionLinieZugriffContent (media)TelecommunicationWeb pageEmailComputer animation
36:40
Plane (geometry)HTTP cookieGoogleGoogleOrder (biology)HTTP cookieAdaptive behaviorLink (knot theory)IP addressTkEmailInternetNumberSupremumLEKTOR <Programmiersprache>InternetdienstEnde <Graphentheorie>StatisticsPseudonymizationSelektorElectric generatorComputer animation
43:41
GoogleHTTP cookieKommunikationGmailAtomic nucleusInternetdienstInternet service providerSocial softwareDatenerhebungSoftwareWeb browserContinuous trackScripting languageWebcamPlane (geometry)HTTP cookieWeb browserStandard deviationWebsiteContinuous trackFirefox <Programm>Video trackingSkypeInformation privacyWEBEnde <Graphentheorie>Mobile appInformationInternetdienstKommunikationVenn diagramWhiteboardTowerVideoconferencingGoogle ChromeSupremumRoute of administrationCarry (arithmetic)Range (statistics)GmailRow (database)Noten <Programm>SoftwareComputer animation
52:38
Direction (geometry)Computing platformZoom lensGeodesicOffice <Programm>Online chatServer (computing)SkypeACT <Programm>MicrosoftEigenvalues and eigenvectorsInternet service providerTape driveFacebookVideo trackingPhysical lawGoogleVideoconferencingZugriffSummierbarkeitGebiet <Mathematik>Standard deviationLebendigkeit <Informatik>Computer animation
57:58
T-OnlineOffice <Programm>Ende <Graphentheorie>MicrosoftProcess (computing)Tape driveControl engineeringInternetdienstData conversionLebendigkeit <Informatik>Plane (geometry)Route of administrationComputer animation
01:03:19
Point cloudJSONXMLUML
Transcript: German(auto-generated)
00:09
Alright, wir begrüßen jetzt ganz herzlich Dr. Falk Müller. Er wird uns jetzt etwas zur ePrivacy-Verordnung erzählen und was sie für uns und unsere Unternehmen bedeuten werden.
00:21
Vielen Dank Falk, schön, dass du da bist. Danke Max für die Moderation, die Einleitung und schön, dass ihr mit mir eure Zeit verbringen wollt. Genau, wir unterhalten uns heute nicht nur zur ePrivacy-Verordnung, sondern auch zu aktuellem zur DSGVO und zur ePrivacy an sich.
00:41
Damit ihr kurz wisst, mit wem ihr es zu tun habt, mein Name ist Falk, ich bin 37 und habe einen kleinen Sohn, fast zwei Jahre alt, im Augenblick sehr, sehr großer Bagger-Fan. Ich arbeite bei der Dekonium, sitze im Augenblick auch in deren Büro, das Corona-bedingt seit Monaten leer steht.
01:01
Mein Büro ist im Dach geschossen und ich kann euch sagen, es ist Sauna, es ist sehr, sehr Sauna. Ich habe Jura studiert, damals gab es noch die Fachrichtung Rechtsinformatik, bin allerdings auch seit 1997 Software-Entwickler. Ich habe allerdings mich gegen das Informatikstudium entschieden, weil ich einfach, ich finde
01:23
das super spannend an sich, aber ich bin kein Mathematiker, ich bin kein Naturwissenschaftler. Wohingegen mit Sprache kann ich tatsächlich besser und naja ebenso Jura. Bei der Dekonium arbeite ich mittlerweile auch seit etwas über zehn Jahren sogar, also 2010 stimmt nicht ganz, ist eigentlich 2009 als IT-Consultant und Syndikusrechtsanwalt, bin aber auch tatsächlich nebenher noch Rechtsanwalt und Fachanwalt für IT-Recht.
01:48
Was machen wir heute? Erstmal gibt es eine kurze Einführung, dann das relevanteste zur DSGV-O im Kurzdurchlauf. Danach gehen wir auf die ePrivacy und ePrivacy-Richtlinie ein und dann gibt es nochmal einen Ausblick auf die ePrivacy-Verordnung.
02:05
Wenn ihr eine Website besucht, dann kennt ihr das, seit einigen Jahren hat man da einen super Klick-Wahnsinn, also du gehst drauf, auf dem Handy ist es gar noch schlimmer, dann kommt halt eben erstmal ein riesen Pop-Up, auf dem du dann halt eben anklicken musst, dass du halt eben unbedingt mit Werbung oder mit Cookies penetriert werden möchtest, was halt eben für den Benutzer naja ist.
02:24
Der Hintergrund letztendlich ist euch ja allen bekannt, unter anderem eben die DSGV-O und die Cookie-Richtlinie. Das Ganze halt eben mittlerweile auch seit einem EUGA-Urteil halt eben verbunden mit weiteren Einstellungen und dergleichen. Das Ganze mal so rechtlich im Überblick, wenn man eine Website hat oder wenn man auch
02:43
ganz speziellen Online-Shops hat, dann hat man ganz viele gesetzliche Regelungen, denen man folgen muss. Die mit denen wir uns heute befassen ist im wesentlichen Datenschutz, also DSGV-O und die Cookie-Verordnung, wie auch eventuell, wenn sie dann kommt, irgendwann mal die ePrivacy-Verordnung, sind aber auch noch super viele andere. Also ich hab's jetzt hier
03:02
mal so übersichtsweise aufgelistet, wie das Telemediengesetz, AGB-Recht, Verbraucherrechte, Preis-Angaben-Verordnung, also sprich, wo man halt eben angeben muss, dass man einen Gesamtpreis hat mit Mehrwertsteuer und dergleichen, dann so Wettbewerbsrecht, Markenrecht, Urheberrechte, dann so Sachen wie Energielabel, wenn man halt eben entsprechende Elektroprodukte beispielsweise
03:21
verkauft, Batteriegesetz, Elektrogeräte-Verordnung, Geo-Blocking und so weiter und so fort. Also es ist wahnsinnig viel, was man dann bei einer Website, bei einem Online-Shop gar eben dann berücksichtigen muss. Was wir heute machen ist, wie schon gesagt, die DSGV-O. Damit ihr da ein bisschen abgeholt seid, gibt es das aller, allerwichtigste Mal im Kurzdurchlauf.
03:43
So ganz allgemein, Datenschutz, brauch ich glaube ich nicht viel dazu sagen. Ich meine, ihr wisst sicherlich, was Datenschutz ist, also speziell in Deutschland, EU ist das ja halt eben ein sehr relevantes Thema. Da geht es ja vor allem halt eben darum, die Privatsphäre zu gewährleisten, Persönlichkeitsrechte bei der Datenverarbeitung halt eben sicherzustellen, informationelle Selbstbestellung und dergleichen.
04:05
Nehmen wir jetzt aber mal als Gegenbeispiel die USA. Da ist das tatsächlich kaum rechtlich durch Gesetze oder andere Vorschriften geregelt. Im Gegenteil, da ist der Zugriff auf private Daten sogar tatsächlich gesellschaftlich akzeptiert. Also man geht tatsächlich davon aus, dass das völlig in Ordnung ist. Und wie ihr halt eben auch wisst, also spätestens sein Privacy-Schild
04:23
und dessen Fehlschlag, es ist faktisch auch rechtlich möglich durch Behörden und dergleichen. In Deutschland und der spezielle EU ist Datenschutz hingegen ein Grundrecht tatsächlich. Die DSGV-O hat eine sehr weite Anwendungsmöglichkeit, also sachlich tatsächlich immer dann, wenn
04:41
Daten irgendwie automatisiert verarbeitet werden und das hast du halt quasi immer und sofort. Und zwar selbst dann, wenn es schon nicht automatisiert erhoben worden ist, zum Beispiel dann, wenn personenbezogene Daten in der Datei gespeichert werden oder das geht sogar schon so weit, wenn du es irgendwie in so einem Karteikartensystem offline hast, auch da greift die DSGV-O schon.
05:00
Und räumlich geht die DSGV-O tatsächlich sehr weit und zwar im Wesentlichen immer dann, wenn irgendwie eine Datenerhebung in der EU vorliegt oder beziehungsweise wenn sie von außen kommt, aber halt eben ein EU-Bürger betroffen ist. Also wie gesagt, geht tatsächlich sehr, sehr weit. Die Datenverarbeitung an sich, wann ist die rechtmäßig?
05:26
Die DSGV-O, wie früher auch das Bundesdatenschutzgesetz, gibt vor, dass sie eigentlich nicht rechtmäßig ist, es sei denn, es gibt eine Erlaubnis dafür. Das heißt also, es ist ein Verbot mit Erlaubnisvorbehalt. Das heißt also, wenn man diesen Erlaubnistatbestand hat, dann darf man zumindest halt eben innerhalb dessen, was erlaubt worden ist.
05:45
Und hierüber wiederum muss man aber entsprechend Rechenschaft ablegen. Das heißt also, man muss tatsächlich tracken, welche Erlaubnis man halt eben von dem wie eingeholt hat. Das ist tatsächlich ein recht relevantes Problem, auch für uns Informatiker, weil man das ja irgendwie halt eben dann abspeichern muss und verfügbar machen muss.
06:04
Die Konsequenzen bei Verstöße, da brauche ich glaube ich nicht groß darauf eingehen. Also es ist ja bekannt, dass die DSGV-O im Gegensatz zum früheren Bundesdatenschutzgesetz sehr hohe Strafmaßnahmen ermöglicht. Also halt eben zum Beispiel Bußgelder bis 20 Millionen Euro oder vier Prozent des gesamt weltweit erzielten Jahresumsatzes.
06:24
Jetzt ist natürlich die Frage, ist das auch schon mal gemacht worden? DSGV-O gibt es ja seit Mai 2018 und ja, es gab zahlreiche Bußgelder schon und da komme ich aber gleich noch drauf. Ich hatte gerade von Erlaubnis-Tatbeständen gesprochen. Die sind in Artikel 6 enthalten und ich habe jetzt mal hier ausdrücksweise so die allerwichtigsten aufgezählt.
06:46
Denen, den man so tatsächlich kennt, ist die tatsächliche Einwilligung. Also sprich, wenn ich halt eben sage, ja, penetriert mich mit Werbung, ja, verarbeitet meine Daten. Dann gibt es noch so einen zweiten und sehr häufigen, wenn nicht gar den häufigsten Fall,
07:01
nämlich den Erlaubnis-Tatbestand der Interessenabwägung. Und zwar ist da der Hintergrund, wenn ich zum Beispiel eine Website ausliefere und dann aber halt eben ein Protokoll dahinter habe, ein Webprotokoll, dann brauche ich das halt eben zum Beispiel, um die Sicherheit zu gewährleisten oder halt debacken zu können. Und da ist halt eben die Frage, ob das Interesse, meine Website live stellen zu können,
07:23
über dem Interesse von mir als Betroffenen liegt. Also sprich, ob ich mehr Interesse daran habe, dass meine IP-Adresse zum Beispiel nicht da abgespeichert wird. Das wiederum ist zugleich auch der riskantste Fall von den Erlaubnis-Tatbeständen. Und zwar einfach deswegen, weil ich halt eben hinterher nachweisen muss, dass ich richtig abgewogen habe.
07:43
Und der zweithäufigste Fall ist naheliegender, nämlich die Verarbeitung ist notwendig, damit ich einen Vertrag erfüllen kann. Also zum Beispiel, wenn ich meine Adressdaten an einen Webshop übertrage, dann braucht der das ja tatsächlich, um mir halt zum Beispiel die Ware zukommen zu lassen. Etwas, was ganz gerne vergessen wird, ist die automatisierte Entscheidungsfindung und das Profiling vor allem.
08:05
Also gerade wenn man zum Beispiel so einen Soft-Credit-Check hat beispielsweise, also wenn man einen Mobilfunkvertrag abschließen möchte oder so Online-Kreditverträge, auch das muss entsprechend in der Datenschutzerklärung, die man ja gegenüber dem Betroffenen zu übermitteln hat, also als Link zum Beispiel entsprechend aufgezählt sein.
08:24
Und da muss vor allem auch konkret drinstehen, was genau getan wird, warum man zum Beispiel auch ein Vertrag erleben nicht bekommt. Also man muss zwar nicht die dahinter liegende Business-Logik freigeben, man muss aber zumindest klar verständlich machen, was tatsächlich getan wird.
08:41
Also gerade so Klassiker Schufa oder Klarna oder Birgl oder dergleichen, die haben das vor allem. Die Datenschutzerklärung kennen wir alle, deswegen gehe ich da auch tatsächlich nicht näher drauf ein. Die ist ja seit der DSGVO unheimlich umfangreich. Da muss man, wie soll ich sagen, also wenn man kein Jurist ist, so ein bisschen Kreativität erleben haben, um da drauf zu kommen.
09:06
Tatsächlich gibt es aber dafür zahlreiche Generatoren, die auch tatsächlich brauchbare Ergebnisse erzielen. Und ich habe jetzt hier vier aufgelistet, die funktionieren tatsächlich alle relativ ähnlich. Also man klickt halt eben an, was man auf seiner Website drauf hat. Also was weiß ich, mein Name und was ich halt eben protokolliere, dass ich Google Analytics oder dergleichen verwende.
09:26
Und dann kommt halt eben hinterher ein fertiges Endergebnis raus. Und wie gesagt, die passen so weiter auch. Es macht natürlich im Fall von Unternehmen trotzdem Sinn, das mal zumindest noch mal von einem Anwalt prüfen zu lassen. Und zwar deswegen, weil DSGVO-Verstöße teilweise abmahnbar sind.
09:40
Da komme ich aber gleich noch drauf. Etwas, was auch gerne vergessen wird, sind die Löschpflichten. Das heißt also, wenn ich Daten erhoben habe, dann müssen die wieder gelöscht werden, sobald ich sie nicht mehr benötige. So ein Klassiker ist Bewerberdaten zum Beispiel. Also sprich, wenn sich in meinem Unternehmen jemand bewirbt, dann muss nach einer gewissen Zeit, so fern nicht eingestellt worden ist zumindest,
10:03
all das, was er halt eben mir gesendet hat, gelöscht werden. Zum Beispiel nach sechs Monaten ist so ein klassischer Zeitraum. Es ist aber so, dass die Vorhaltefristen relativ lang sein können. Vielfach aus handels- oder steuerrechtlichen Gründen. Also zum Beispiel zehn Jahre, was Steuerrecht betrifft, wenn ich halt eben bei einem Händler oder dergleichen bestelle.
10:24
Man muss es, wie gesagt, aber halt eben trotzdem bei sich vorgesehen haben, dass es halt eben diese Löschpflichten gibt. Plus das Ganze halt eben auch mit entsprechenden Konzepten versehen haben. Weitere Pflicht, die man auch ganz gerne mal vergisst, nämlich die Privacy by Design und Privacy by Default.
10:41
Wenn ich ein Produkt, also ein Programm oder was auch immer entwerfe, dann muss ich tatsächlich dort auch berücksichtigen, dass der Datenschutz entsprechend vorhanden ist. Also sprich, ich muss zum Beispiel vorsehen, dass keine Daten unnötig dupliziert werden, dass halt eben entsprechende Konzepte vorhanden sind, wie diese Daten dann automatisch halt eben gelöscht werden und dann zum Beispiel halt eben auf ein endgültiges System übertragen werden und dergleichen.
11:03
Plus halt eben dann auch so weitere Fragestellungen, wie halt eben sichere Datenhaltung und dergleichen. Ein Thema, das, glaube ich, bei Unternehmen normalerweise berücksichtigt wird, in einer entsprechenden Größe zumindest, aber halt eben bei zumindest kleineren Unternehmen oder halt eben gar Privatleuten eher nicht, ist die sogenannte Auftragsverarbeitung.
11:25
Nehmen wir mal folgenden Fall. Ich betreibe eine Website und behaltenderweise betreibe ich die halt eben nicht bei mir auf meinem Computer zu Hause, sondern bei einem Webhosting-Anbieter. Dann habe ich ja meine Daten erst mal auf diesen Webhosting-Anbieter übertragen.
11:42
Jetzt ist aber die Frage, wenn es nur meine Daten sind, ist es kein Problem, wenn es aber die sind von den Leuten, die ich zum Beispiel bediene, nehmen wir mal so ein Webforum oder was weiß ich, eine Social Community zum Beispiel, die ich da betreibe, dann liegen diese Daten ja nicht direkt bei mir, sondern die liegen woanders. Also sprich bei einem sogenannten Dritten.
12:01
Das wiederum kann ein erweitertes Rechenzentrum von mir sein und zwar immer dann, wenn der andere in meinem Auftrag handelt, also sprich, wenn er quasi eine verlängerte Werkbank von mir ist. Für solche Fälle gibt es die sogenannte Auftragsverarbeitung, was verhältnismäßig einfach ist. Da muss ich einfach nur mit dem Anbieter, bei dem ich die Daten ablege, einen entsprechenden Vertrag schließen.
12:27
Da gibt es tatsächlich auch zahlreiche Vorlagen im Internet dafür. Das ist deswegen wichtig, weil laut DSGVO ich nicht nur einen Erlaubnistatbestand brauche, sondern ich tatsächlich auch sicherstellen muss, dass die Daten nicht an Dritte gehen.
12:41
Und wenn sie an andere gehen, muss ich wissen, genau wie sie dorthin gehen. Also muss halt eben dafür wiederum auch eine entsprechende Erlaubnis haben. Das geht mittlerweile auch außerhalb der EU, früher ging das nicht, also vor der DSGVO. Das heißt also, ich kann zum Beispiel auch mit einem Unternehmen aus den USA einen Auftragsverarbeitungsvertrag abschließen.
13:01
Kommen wir auch gerne dazu, wann das relevant werden wird. Typische Beispiele, klar Webhosting, Call Center, Steuerberater ist so ein Fall. Dann Marktplatzbetreiber zum Beispiel, also Amazon oder dergleichen. Und dann natürlich naheliegenderweise so SAAS-Lösungen oder Cloud Services wie in Office 365 oder dergleichen.
13:21
Google Analytics ist auch so ein typischer Fall, da komme ich aber noch gleich drauf zu sprechen. Wichtig bei der Auftragsverarbeitung ist, dass ich abwäge, ist es wirklich nur eine Auftragsverarbeitung oder macht der Dritte vielleicht mit meinen Daten etwas, das ich nicht weiß. Klassischer Fall, auch da wieder Google Analytics.
13:40
Ich kann aber auch so eine Auftragsverarbeitung quasi aufteilen. Kann also sagen, bestimmte Daten werden in meinem Auftrag verarbeitet und andere Daten nicht. Und diese andere Daten, die nicht im Auftrag verarbeitet werden, sprich, wo halt eben derjenige, wo ich sie lagere, noch mehr tut. Dafür muss ich aber dann von meinen Betroffenen eine Einwilligung einholen. Muss also sagen, die Daten gehen an einen Dritten.
14:05
So, auch eine Sache, die bei Großunternehmen sicherlich nicht vergessen wird, aber bei kleineren gerne, zumindest in der Beratungspraxis merke ich das, das sogenannte Verarbeitungsverzeichnis. Das heißt also, wenn ich Daten verarbeite, egal wie über eine Website oder was weiß ich, irgendeine Umfrage oder dergleichen,
14:22
dann muss ich dafür ein sogenanntes Verarbeitungsverzeichnis erstellen. Da ist relativ viel drin. Da steht zum Beispiel drin, wer der Verantwortliche ist, wo die Daten liegen, zu welchen Zwecken ich sie erhebe, wo sie hingehen, welche technischen organisatorischen Maßnahmen, also TUM, mich einhalte und dergleichen. Das ist sehr, sehr umfassend.
14:41
Da gibt es ein gutes Muster dafür. Das habe ich hier angegeben, dass es von Active Minds. Das kann man tatsächlich gut als Vorlage verwenden. Da wiederum wichtig zu wissen. Zum einen, es ist tatsächlich sehr, sehr zeitaufwendig. Es ist ressourcen- und dokumentationsintensiv, je nachdem, wie groß das Projekt zumindest ist.
15:01
Und zum anderen tut euch tatsächlich den Gefallen und macht das sorgfältig, macht das ausführlich. Und zwar deswegen, weil die Rechtmäßigkeit, wenn es mal zu einer Panne kommt oder die Aussichtsbehörde kommt, hinterher noch nachweisen können, ist deutlich schwieriger, als es quasi von vornherein schon entsprechend zu berücksichtigen. So, dann jetzt nach der Kurzübersicht noch einen Stand zur DSGVO, nachdem sie jetzt seit circa zweieinhalb Jahren gibt.
15:30
So, ganz allgemein mal die Frage, was ist denn da seit hier passiert? Das Wichtigste, finde ich zumindest, haben denn die Datenschutzbehörden auch wirklich gearbeitet?
15:40
Und ja, haben sie. Es gibt hier eine Seite, dsgvo-portal.de, die eine Bußgelddatenbank hat. Die ist nicht vollständig, aber sie gibt zumindest mal einen guten Überblick. Und man merkt da tatsächlich, dass schon viele und teils auch wirklich schmerzlich hohe Bußgelder verhängt worden sind. Also z.B. an die 1&1, die Deutsche wohnen oder dergleichen, also bekanntere Fälle, aber halt eben auch viele, viele kleinere Fälle.
16:04
Was mir persönlich zumindest ein Gefühl gibt, dass es wohl tatsächlich Wirkung zeigt. Der Implementierungsaufwand war, wie erwartet, entsprechend hoch bei den Unternehmen. Und ist es im Übrigen auch nach wie vor, aber scheint mir zumindest mit den entsprechenden Prozessen beherrschbar zu sein. Die Datenschutzbehörden, wie zu erwarten war, sind tatsächlich repressiv.
16:23
Also sprich, haben da verhältnismäßig zurückhaltende Sichtweisen, was ich persönlich aber auch irgendwie naheliegend und gut und sinnvoll finde, weil ich meine, dafür ist das ganze Leben auch entsprechend da. Und dann haben wir relativ aktuell drei Herausforderungen, mit denen wir arbeiten müssen. Zum einen Brexit, was wahrscheinlich weniger ein Problem ist, aber ganz aktuell halt eben das EU-US-Privacy-Shield.
16:45
Plus halt eben dann zu Fragestellungen wie Cloud-Services, Analyse, Analytics und dergleichen. Da gehe ich noch drauf ein gleich. Ein sehr schönes Angebot finde ich von der Bayerischen Datenschutzbehörde.
17:01
Da gibt es ein Beratungstool. Der Link ist hier ein bisschen abgeschnitten. Ich hoffe, man erkennt ihn halt eben trotzdem noch. Der Gedanke ist dort der, die haben ein Tool geschaffen, bei dem man sich mit einem Assistenten so ein bisschen durchklicken kann und bekommt dann, wie bei so FAQ-Seiten, recht gute Übersicht und zwar auch tatsächlich mit relevanten und sehr umfangreichen Fragestellungen und Antworten.
17:26
Das ist also tatsächlich sehr, sehr hilfreich. Ist natürlich nur die Sichtweise der Datenschutzbehörde, aber damit bekommt man zumindest mal ein gewisses Gefühl dafür. Also das Angebot, guckt mal drauf, bookt markt das, finde ich sehr hilfreich.
17:42
Was allgemein recht unbekannt ist, ist, dass die DSGVO nicht nur Datenschutzerklärungen erlaubt, also in Textform, sondern dass man auch mit Piktogrammen aufzeigen darf, was mit den Daten passiert. Der Klassiker ist halt eben Videoüberwachung, aber auch tatsächlich für alles andere wäre das erlaubt. Und da ist natürlich so ganz grundsätzlich mal die Frage, ja, was nehme ich da für Piktogramme?
18:03
Woher bekomme ich die? Und einfach deswegen, weil eine Datenverarbeitung an sich eher was Abstraktes ist im Gegensatz zu einem, was weiß ich, mit einem Verkehrskennzeichen oder sowas. Und dafür gibt es eine Gruppe, privacyicons.info. Da sind einige Studenten unter anderem am Arbeiten und wollen da was entwickeln, haben bislang aber leider noch nichts veröffentlicht.
18:23
Ich finde das aber halt eben trotzdem mal spannend für die Zukunft. Einfach deswegen, weil man auf die Weise vielleicht diese superlangen Texte mal irgendwie prägnant zusammenfassen kann. Thema Cookie Wall. Eigentlich ist es der Cookie Banner. Cookie Wall wiederum ist der Fall, dass ich auf eine Website draufkomme
18:43
und habe dann nur die Wahl, entweder Cookies zu akzeptieren oder die Website mir nicht anschauen zu können. Das ist ein Fall, bei dem gegebenenfalls sogar noch weitergegangen wird. Also sprich, wo ich nicht nur in die Cookies einstimmen muss, sondern wo ich halt eben auch noch zustimmen muss,
19:01
dass personenbezogene Daten von mir verarbeitet werden. Also zum Beispiel, dass ein ID für mich angelegt wird, die mich halt eben dann nachverfolgbar macht auf bestimmte Websiten. Das ist tatsächlich ein Thema, was nach verschiedenen, zumindest sehr starken Ansichten, also Datenschutzbehörden zum Beispiel, aber auch einige aus der Literatur nicht erlaubt ist. Und zwar deswegen, weil die DSGVO ein sogenanntes Koppelungsverbot hat.
19:28
Und zum einen und zum anderen eben die freiwillige Entscheidung der betroffenen Person erwartet und fordert. Heißt also, wenn ich gezwungen werde, meine Daten freizugeben, dann ist das normalerweise nicht mehr zulässig.
19:44
Es sei denn, es gibt da Sonderfälle, was weiß ich, so Arbeitsvertrag oder dergleichen, da geht es in engen Grenzen zumindest nicht anders. Und genau deswegen ist eine Cookie Wall üblicherweise zumindest nicht zulässig. Es sei denn, da habe ich jetzt die Ausnahme, der Bundesdatenschutzbeauftragte sagt das,
20:03
es sei denn, es gibt einen vergleichbaren Dienst auch ohne Tracking, wenn er als bezahlter Dienst angeboten wird. Und das ist jetzt halt eben so das, was die Tages- und Wochenzeitungen derzeit machen, also sagen halt eben, du kannst zwar mein Angebot angucken, wenn du halt eben mir erlaubst Cookies zu setzen,
20:20
oder aber du führst halt eben entsprechende Gebühr ab. Die österreichische Datenschutzbehörde sieht das im Übrigen ähnlich. Und dadurch, dass die DSGVO ja etwas EU-weit harmonisiertes ist, sind die anderen Datenschutzbehörden von ihrer Meinung durchaus auch relevant, sofern zumindest die Kosten nicht außerhalb des Verhältnisses sind. Also das muss man so ein bisschen im Hinterkopf haben. Auf die Cookie Walls komme ich auch gleich nochmal im Rahmen der ePrivacyVO zu sprechen.
20:46
Dann hatte ich vorher gesagt, die Geldbußen sind verhängt worden schon, sind auch tatsächlich zahlreich. Im Netzplatz fragt man sich ja, ok, gegen Unternehmen, klar, liegt auf der Hand, aber tatsächlich kann sowas auch gegen privaten Personen verhängt werden. Ich habe hier zwei Beispiele reingenommen.
21:02
Das eine Beispiel ist ein LKW-Fahrer gewesen, der hatte eine Dashcam bei sich vorne drin und hat dann die Videos auf YouTube veröffentlicht. Ist entsprechend Bußgeld verhängt worden, dafür nehme ich nicht. Und dann fand ich einen witzigen Fall, offener Versand von E-Mail-Adressen. Und zwar hat da ein Mann E-Mails verschickt mit 100 bis 150 Leuten in An,
21:23
also nicht in BCC, sondern tatsächlich in An oder CC. Und deswegen waren die halt eben für alle anderen auch entsprechend ersichtlich. Und das wiederum tatsächlich auch etwas gewesen, was der Datenschutzbehörde nach halt eben gegen Datenschutz verstoßen hat. Da halt eben 2000 Euro.
21:42
So, ich hatte vorher gesprochen von Löschpflichten. Ja, Löschpflichten, klar Logo, ich muss etwas löschen. Jetzt gibt es aber auch noch den Fall, dass ich bestimmte Daten zum Beispiel zu Testzwecken oder dergleichen halt eben vorhalten möchte, vorhalten muss. Und für diesen Fall wiederum kann eine Anonymisierung zum Beispiel sehr wohl auch genügen.
22:03
Es gab hier einen Fall in Österreich, hätte wie gesagt aber so auch in Deutschland passieren können, ist sicherlich auch der Fall. Da hat eine Versicherung Daten teilweise nicht gelöscht, sondern hat sie entsprechend überschrieben. Also sprich hat halt eben dann aus Falk Müller halt eben Max Mustermann gemacht. Und zwar so, dass halt eben zu der ursprünglichen Person keine Rückbezug mehr möglich war.
22:24
Das heißt also, es war tatsächlich so anonymisiert, dass es nicht mehr zu einer Person zuortenbar war. Und das wiederum genügt tatsächlich auch im Regelfall. Das heißt also, Anonymisierung aus Falk Müller, John Doe machen oder dergleichen, solange es nicht mehr rückverfolgen kann, ist auch eine Möglichkeit.
22:42
Es ist tatsächlich zum Beispiel zum Programmieren halt eben spannend, wenn man halt eben da Daten testweise zum Beispiel benötigt. Dann hatte ich vorher gesagt, Verstöße gegen DSGVO können abmahnfähig sein. Abmahnung kennt man, also urheberrechtliche Fragestellungen, Wettbewerbsrecht oder dergleichen bei DSGVO war und ist das tatsächlich umstritten,
23:04
ob das möglich ist, sprich ob man das abmahnen kann. Und zwar deswegen, weil Abmahnungen in Deutschland nur gegen bestimmte Rechte möglich sind. Also Urheberrecht ist so ein Fall oder Wettbewerbsrecht ist ein anderer Fall.
23:20
Das OLG Stuttgart hat ein relativ aktuelles Urteil gefällt. Und zwar, dass tatsächlich die DSGVO per se erstmal nicht einer Klagebefugnis von Wettbewerbsverbänden entgegensteht. Das heißt also im Umkehrschluss auch tatsächlich abmahnbar ist, bei einem entsprechenden Verstoß dagegen.
23:40
Allerdings nur dann, wenn sogenannte Marktverhaltensregeln gegen die verstoßen wird entsprechend. Das ist immer dann der Fall, wenn es einen entsprechenden Wettbewerbsbezug hat. Also zum Beispiel wenn jemand falsch belehrt wird, ist so ein Klassiker tatsächlich. Und bei der DSGVO belehrt man ja tatsächlich auch. Also gibt es halt eben entsprechende Informationspflichten halt eben raus.
24:03
Und wenn man gegen solche verstößt, dann ist das zumindest nach dem OLG Stuttgart tatsächlich abmahnbar. Ob das der BGH auch so sehen wird, muss man sehen. Ich persönlich mutmaße aber ja. So, wir kommen jetzt gleich zu dem Thema Brexit und USA.
24:22
Und bevor wir das machen, komme ich erstmal noch zur DSGVO und der Frage, wo kann ich denn überhaupt meine Daten hinsenden, nämlich die sogenannten Drittländer. Die DSGVO an sich erlaubt ja nur, dass die Daten dort gehalten werden, wo deren hohes Datenschutzniveau auch tatsächlich sichergestellt ist.
24:42
Und ja klar, das liegt halt eben auf der Hand. In der EU ist das der Fall. Inzwischen auch im europäischen Wirtschaftsraum, also den aufliegenden Island Lichtenstein. Dann gibt es noch die Möglichkeit, dass die EU-Kommission das hohe Datenschutzniveau entsprechend sicherstellt. Also sprich, da gibt es halt eben dann einen entsprechenden Angemessenheitsbeschluss.
25:01
Schweiz, Kanada sind solche Fälle. Und es gab auch noch zumindest jetzt bis Juli den Safe Harbor für USA, früher zumindest. Und danach quasi das neu aufgekochte Privacy Shield. Das gibt es jetzt hier aber tatsächlich nicht mehr. Komme ich gleich noch drauf. Dann gibt es noch die Möglichkeit, dass man, wenn es sowas nicht gibt
25:22
und man halt eben in ein Drittland Daten übertragen möchte, also USA jetzt eben gerade oder halt eben zum Beispiel Indien, Türkei oder dergleichen, dass man mit Unternehmen, die dort ihren Sitz haben, sogenannte Binding Corporate Rules abschließt. Das heißt also, dass man halt eben einen Vertrag schließt, der die Datenschutzregelungen und Vorschriften garantiert.
25:42
Das wiederum muss allerdings dann von der Aufsichtsbehörde entsprechend genehmigt werden. Und dann gibt es noch die Möglichkeit, die sogenannten EU-Standards, Datenschutzklauseln zu verwenden. Das ist auch eine Art Vertrag hier wiederum auch unter der Freigabe der Aufsichtsbehörde zum einen und zum anderen halt eben mit der Prüfpflicht auf der Seite des für die Daten Verantwortlichen.
26:05
Also sprich, wenn ich eine Website betreibe, bin ich ja Verantwortlicher dafür, dass die Unternehmen dann in dem anderen Land auch tatsächlich die Pflichten aus den Datenschutzklauseln einhalten können. Was nicht einfach ist tatsächlich.
26:22
So, bevor ich auf USA zu sprechen komme, erst mal Frage Brexit. Was hat der für Auswirkungen auf den Datenschutz? Und ja, es liegt nahe, sobald Großbritannien aus der EU ausgetreten ist, gelten sie tatsächlich zumindest nach derzeitigen Stand als ein Drittland. Das heißt also, ich brauche für Datenübermittlungen dorthin einer entsprechenden rechtlichen Grundlage.
26:44
Wenn ich also halt eben entsprechende Vertragspartner in Großbritannien habe, dann werde ich tatsächlich auf diese Standard-Datenschutzklauseln oder bei den Corporate Rules zurückgreifen müssen. Ist etwas, dass man zumindest mal, ich weiß nicht, wie viele Unternehmen es tatsächlich in Großbritannien gibt, mit denen man da so klassischerweise einen Datenaustausch betreibt.
27:01
Aber wenn man sowas hat, das muss man tatsächlich berücksichtigen, dass das kommen wird. Und dann so die Frage, die ja tatsächlich relativ aktuell ist, für die es mittlerweile aber eigentlich auch schon recht gute Antworten gibt, nämlich was ist denn nun mit den USA? Also ihr habt das sicherlich alle mitbekommen. Es gab ja eben Safe Harbor und Privacy Shield. Das wiederum ist ja aber nach der letzten Endes Klage und Klagevorlage durch den Kollegen Max Schrems ja dann gekippt worden.
27:29
Im Juli 2020, im Übrigen auch ohne Gnadenfrist. Das heißt also, ich hole da mal einen Tick aus, all das, was man bislang auf dem Privacy Shield basieren ließ,
27:43
also sprich halt eben die ganzen Datenübertragungen, die in das an sich unsichere Drittland USA gegangen sind und durch das Privacy Shield aber dann vermeintlich sicher waren, werden jetzt plötzlich unsicher. Und das sind tatsächlich relativ viele Fälle, also sprich so gefühlt alles, was irgendwie mit Cloud Service oder dergleichen zu tun hat.
28:04
Also Facebook nicht, erkläre ich gleich warum, aber Google zum Beispiel, Microsoft war so ein Fall, Slack ist so ein Fall, gefühlt jedes größere US-Unternehmen, das sich halt eben hat, hat sich halt eben unter dieses Privacy Shield zertifizieren lassen. Da gibt es eine Website dafür, wo man halt eben einsehen kann, welche Unternehmen das sind.
28:21
Und wie gesagt, das fällt tatsächlich gnadenlos weg. Das heißt also, die Datenübertragung ist von jetzt auf gleich dorthin nicht mehr möglich und damit wiederum tatsächlich auch ein Problem gegenüber der Aufsichtsbehörde, wenn man Daten in den USA halt eben auslagert. So, der Trick bzw. halt eben die Umleitung oder der Ausweg ist, die EU-Datenschutz-Standards-Klauseln zu verwenden.
28:44
Facebook hat das tatsächlich auch schon davor gemacht. Das heißt also, Facebook ist ohnehin kein Problem gewesen. Google und Microsoft hat entweder umgestellt oder hatte das teilweise schon. Bei Google und Microsoft jeweils nur ein Teil der Produkte. Google zum Beispiel, Analytics nicht interessanterweise.
29:03
Bei Microsoft ist es Bing zum Beispiel nicht. Also Office 365 und so ist kein Problem, aber diese Bing-Daten, also sprich halt eben Bing-Werbe oder dergleichen noch nicht, wobei ich davon ausgehe, dass werden sie nachziehen, muss man aber halt eben abwarten. Es gibt eine FAQ-Seite dazu, die habe ich hier entsprechend verlinkt,
29:21
auf der das nochmal relativ gut erklärt worden ist. So, damit haken wir erstmal das Thema Datenschutz im Allgemeinen mit der DSGVO ab. Und jetzt kommen wir zu dem Thema E-Privacy im Allgemeinen und zu der E-Privacy-Richtlinie, die ja nach wie vor gilt.
29:41
Erstmal so nochmal als kurze Einführung. Wie funktioniert das mit der Gesetzgebung in der EU? Was die wenigsten wissen, ist, dass zumindest das deutsches Recht, aber dürfte für die anderen EU-Staaten ähnlich sein, ca. 80% dessen, was wir an neuen Regelungen reinbekommen, tatsächlich über die EU reinkommt.
30:01
Das heißt also, EU hat für uns tatsächlich eine entsprechend hohe Relevanz. Und jetzt gibt es wiederum vier Varianten, wie Recht zu uns in unser Land dann tatsächlich halt eben reinkommen und anwendbar werden kann. Das erste sind sogenannte Empfehlungen und Stellungnahmen. Die sind tatsächlich nicht verbindlich.
30:21
Also so zum Beispiel die Justiz ist mal angewiesen worden, sie soll doch Videokonferenzen nutzen. Das zweite sind Beschlüsse, die sich aber dann nur an bestimmte Adressaten richten, für diese dann aber tatsächlich verbindlich sind. Also zum Beispiel die Filmquote für EU-Filme, also aus EU stammende Filme für Netflix beispielsweise. Dann die zwei wichtigeren, die wir im Alltag auch kennen.
30:43
Das eine nämlich die sogenannte Richtlinie. Und die wiederum ist nicht direkt anwendbar, ist aber verbindlich, was ihre Zielsetzung betrifft. Die müssen dann wiederum entsprechend in die Mitgliedsländer übertragen werden und dort halt eben in nationales Recht überführt werden. Und da kennen wir zwei ganz relevante, nämlich zum einen die Cookie-Richtlinie
31:01
und zum anderen die Verbraucherrechte-Richtlinie, also mit Widerrufsrecht und dergleichen. Das ist tatsächlich ein EU-Recht. So und dann gibt es noch das, was wir auch gut kennen, nämlich die sogenannte Verordnung und die gilt tatsächlich sofort. Und dann in allen Mitgliedsländern im Übrigen auch gleich, mal abgesehen von zum Beispiel irgendwelchen Klauseln,
31:21
die halt eben noch mal den Ländern halt eben weiteren Regelungen ermöglichen. DSGVO hat da zum Beispiel zwei. Und genau DSGVO ist so das relevanteste Beispiel. Und wenn sie denn mal kommen sollte, die E-Privacy-Verordnung. Die E-Privacy-Richtlinie, die kennen wir tatsächlich
31:40
besser halt eben als Cookie-Richtlinie tatsächlich, seit 2009 zumindest, heißt aber eigentlich Datenschutz-Richtlinie für elektronische Kommunikation. Kommt doch ursprünglich aus 2002. Das eine ist, was wir haben, den Datenschutz. Und zum anderen nochmal das Telekommunikationsrecht und Privatsphäre beider Telekommunikation zum anderen.
32:00
Darauf kommen wir nämlich jetzt zu sprechen. Hängt beides eng zusammen. Deswegen gehören die auch zusammen, sind aber trotzdem unterschiedliche Dinge, die man nicht vermengen darf. Die E-Privacy-Richtlinie hat als Ziele und Inhalte 2002 ursprünglich mal gehabt, also gerade solche Dinge wie Verbot des Mithörens von Telefongesprächen zum Beispiel oder Abfang von E-Mails, dann zu Sachen wie
32:22
wann dürfte meine Rufnummer angezeigt werden, wann kann ich es unterdrücken und dergleichen. Vor allem aber, und das ist das, was uns im Wesentlichen betrifft seit 2009, nämlich diese Einwilligung der Nutzung für einige Daten von Cookies auf Webseiten. Also sprich halt eben tatsächlich dieses entsprechende Cookie-Banner. Das kommt eben genau daher.
32:43
Die E-Privacy-Richtlinie ist, wie schon gesagt, nur eine Richtlinie, musste deswegen national umgesetzt werden. Und da wiederum ist die Frage, wie ist das denn in Deutschland umgesetzt? Und die Datenschutzbehörden und herrschende Literatur ist immer davon ausgegangen, dass Deutschland das nicht EU-konform umgesetzt hat.
33:02
Die frühere Bundesregierung sagte aber doch, im Telemediengesetz ist das soweit passend drin. Deswegen halt eben so die Frage, gilt dann die Richtlinie vielleicht doch direkt in Deutschland? Nein, tut sie nicht. Und zwar deswegen, weil sie wirklich nur im Wesentlichen Ziele vorgibt, aber halt eben diesbezüglich nicht spezifisch genug ist. Und deswegen war ursprünglich die Folge,
33:20
ich komme gleich noch dazu, dass man die deutschen Normen halt eben eigentlich hätte richtlinienkonform auslegen müssen. Dumm nur. Es gab ja teilweise keine deutschen Normen, die man hätte auslegen können. Und so kommt man zu dem Problem, das wir bislang noch hatten, nämlich, dass es europaweit das Opt-in zu den Cookies gab.
33:40
Also wo ich tatsächlich sagen musste, ja, bitte setze mir Cookies. Nur in Deutschland hatte man ja ganz, ganz lange das Opt-out. So. Und da wiederum ist dann 2017 eine Klage rechtshängig geworden beim BGH. Und der wiederum hat das Ganze beim EUGH vorgelegt.
34:01
Also sprich halt eben, ob die Normen entsprechend richtlinienkonform halt eben umgesetzt worden sind oder nicht. Und letzten Endes ist das Urteil vom EUGH und schlussendlich daraus folgend halt eben vom BGH gewesen, dass die Umsetzung in Deutschland nicht richtlinienkonform ist. Und das wiederum heißt zwar, dass die E-Privacy-Richtlinie nicht unmittelbar gilt,
34:21
aber zumindest die Gerichte sie anwenden und damit halt eben sie faktisch halt eben eingesetzt wird. Und vor allem, dass bei uns in Deutschland die Cookie-Opt-Outs auch nicht mehr zulässig sind. Und so kommt es dazu, dass wir mittlerweile quasi durchgängig halt eben die Opt-ins haben. Hatten wir davor auch schon, aber davor nicht auf Basis von Recht,
34:40
sondern halt eben auf Basis der Umsetzung einfach. So, die E-Privacy-Richtlinie unterscheidet zwischen zwei verschiedenen Techniken, nenne ich es jetzt mal, nämlich Gute und Böse. Das eine ist, ich lese es mal vor,
35:00
Artikel 5 Absatz 3 E-Privacy-Richtlinie. Die Mitgliedsstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und unfassenden Informationen, die er über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Cookie-Banner zum Beispiel.
35:20
So, und jetzt die Ausnahme. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes, Dienstendienst zur Verfügung stellen kann. So, heißt also, eigentlich brauche ich eine Einwilligung immer, es sei denn, ich brauche das Cookie zum Beispiel.
35:42
Die Information in der Datenschutzerklärung darüber, dass ich Cookie speichere, braucht es aber tatsächlich immer. So, das heißt also, die Folge daraus ist, mal ganz unabhängig von einem etwaigen Personenbezug, rein über die E-Privacy-Richtlinie,
36:02
die Einwilligung an sich ist nötig, es sei denn, die Ausnahme liegt vor. Also so, der Klassiker für eine Ausnahme ist so ein Warenkorb-Cookie oder irgendein Session-Cookie, das aber auch nur innerhalb der Session behalten wird, damit die Seite halt eben an sich funktioniert. Das zweite ist,
36:20
wenn ich einen entsprechenden Personenbezug habe, also sprich, wenn das etwas ist, was mich dann halt eben identifizierbar macht, dann muss ich zusätzlich noch die Einwilligung über die DSGVO einholen. Das wiederum kann ich aber tatsächlich in einem und demselben Schritt machen, wird auch tatsächlich üblicherweise halt eben so gemacht. Da wiederum ist dann halt auch die Frage,
36:41
brauche ich tatsächlich eine Einwilligung, eine aktive, oder kann ich davon ausgehen, dass zum Beispiel ich eine Einwilligung habe über Interessenabwägung oder dergleichen, also zum Beispiel, ich muss halt eben die Reichweite meiner Seite messen können, reicht das halt eben für eine, reicht das dafür aus, dass ich keine aktive Einwilligung brauche?
37:02
Übrigens auch wieder halt eben umstrittenes Thema, viele meinen, nein, reicht nicht aus, also ich brauche eine Einwilligung dafür. Es gibt auch Stimmen, die sagen, ja, genügt tatsächlich. Von daher, wie gesagt, kann aber, wenn die Einwilligung halt eben erfordert wird, in einem und demselben Dialog dann zumindest gemacht werden. Die Frage technisch dahinter ist,
37:21
wie speichere ich das? Also kann ich das dann halt irgendwie nachvollziehbar machen hinterher und das ist zum Beispiel etwas, was ich im Verarbeitungsverteil jetzt dann entsprechend angeben und protokollieren muss. So, dann habe ich noch so zwei Beispiele rein, wie das zum Beispiel eine Bosch oder gleich noch eine Lufthansa macht, brauchen wir nicht näher darauf eingehen. Kennt ihr ja tatsächlich, wie diese Banner halt eben heutzutage aussehen.
37:42
Gibt da so eine ganz grundsätzliche Fragestellung. Seit dem EUGH-Urteil sieht man das ganz gerne und oft so, dass man ein Banner erhält. Da steht dann drin, wir haben ganz viele tolle Cookies und da wird dann halt eben aufgeteilt nach Statistik,
38:00
Komfort, unbedingt notwendig und dergleichen. Und ich habe dann, wie bei der Lufthansa hier, zwei Möglichkeiten, nämlich die eine, ich klicke auf Select Order & Confirm oder ich kann zum Beispiel dann die Details anzeigen lassen und Confirm Selection halt eben anklicken. Und wenn ich jetzt hier auf Select Order & Confirm klicke, dann werden tatsächlich
38:20
alle Häkchen auch entsprechend gesetzt und da halt eben die Frage, ist das zulässig oder nicht. Ich kann euch keine definitive Antwort darauf geben, es gibt dazu einfach noch keine Rechtsprechung, muss aber dazu sagen, ich persönlich habe Mutmaße zumindest, dass es rechtmäßig sein müsste. Und zwar deswegen, weil der Gedanke ist, dass du zumindest halt eben
38:40
aktiv informiert wirst und auch aktiv entscheiden kannst, dass das Ganze dann entsprechend auffälliger gestaltet ist, dass es halt eben ein Call to Action ist, auf dem ich halt eben dann geleitet werde. Ja, ist so. Entscheidend ist eigentlich nur, dass es halt eben entsprechend auffällig ist und dass das andere dann nicht in dem super kleinen Text nebendran steht oder dir kleidet. Also wie gesagt, ich halte das im Augenblick zumindest noch für einen gangbaren
39:03
Weg und das ist ja auch tatsächlich das, wie es halt eben Unternehmen tatsächlich eben umsetzen, um halt eben so gut wie möglich dann halt eben trotzdem noch zum Beispiel halt eben Analytics-Dienste oder gerade so Postvisit-Dienste halt eben fahren zu können. Mal schauen, in der Zukunft, vielleicht wird es halt eben dann auch mal als rechtswidrig erklärt, wird man sehen.
39:23
Google Analytics und der Datenschutzkonformer Einsatz, das ist ja auch so ein Dauerbrenner, so ein Dauerthema, das ein echter Problemfall ist. Die Datenschutzbehörden gehen seit geraumer Zeit davon aus, dass man Google Analytics zumindest nicht ohne weiteres Datenschutzkonform einsetzen kann.
39:41
Ich habe euch, ich möchte jetzt gar nicht umfassend darauf eingehen und zwar deswegen, weil es da zwei Seiten gibt, die das sehr, sehr gut zusammenfassen und sehr, sehr gut erklären, wie man es halt eben letztlich dann noch einsetzen kann. Ich möchte es euch nur mal mitgeben, damit ihr darüber Bescheid wisst, was man halt eben so grundsätzlich beachten muss. Das eine ist ja, dass Google Analytics erstmal
40:02
durchaus auch personenbezogene Daten halt eben erheben kann. IP-Adresse oder sowas ist normalerweise nicht mehr, weil man ja die IP- anonymisierung halt eben einsetzen muss, damit es halt eben entsprechend EU- DSGVO-konform möglich ist. Aber zum Beispiel sowas wie User-ID, die man halt eben dann generiert und die dich halt eben dann nachverfolgbar
40:22
macht über verschiedene Seiten hinweg. Deswegen ist die erste Vorgabe, dass man einen Vertrag über die Auftragsverarbeitung halt eben abzuschließen hat. Bislang war das kein Problem, ging im Übrigen auch mehr oder weniger automatisiert über das Analytics Webmaster Toolkit.
40:42
Ist jetzt tatsächlich ein Problem deswegen, weil es ja das Privacy Shield nicht mehr gibt und die Datenschutz- Klauseln. Lass mich überlegen. Hat Google also Google hat ja entsprechend umgestellt zumindest. Ich muss gestehen, ich weiß jetzt aber noch nicht sicher, ob Analytics
41:00
da mit drin war oder nicht mit drin war. Also es ging jedenfalls von Google vor einiger Zeit eine E-Mail herum, in der entsprechend angegeben war, dass sie dieses Verfahren gerade abgeschlossen haben. Ob tatsächlich ja Analytics aber mit drin ist, ich muss es tatsächlich auch nochmal recherchieren und dann nachgeben. Recherchiert es auch tatsächlich selber nochmal. Es ist wichtig zu wissen. Ich gehe aber da zumindest
41:20
davon aus, dass wenn es Google noch nicht gemacht hat, Google hier nachziehen wird, weil sonst halt eben die entsprechenden EU-Kunden halt eben ja dann verlieren würden. Dann gibt es noch Einstellungen, die man in diesem Toolkit festlegen kann. Zum Beispiel halt eben die Aufbewahrungsdauer der Daten und dann halt eben auch solche
41:40
Datenfreigaben, also zum Beispiel dann eine Google, die man entsprechend ausschalten muss, weil sie halt eben sonst nach Ansicht der Datenschutzbehörden wiederum auch nicht datenschutzkonform halt eben nutzbar wären. Dann Datenschutzerklärungen anpassen. Die Datenschutzgeneratoren, die ich euch gezeigt habe, die haben sowas halt eben schon entsprechend drin. So, und jetzt hier eben die Frage, muss ich von meinem Benutzer aktiv
42:02
eine Einwilligung einholen für die Benutzung von Google Analytics oder nicht? Es gibt zwei Sichtweisen und zwei Denkweisen. Die eine ist, naja klar, muss man halt eben tun. Da muss man trotzdem obiges beachten. Wie gesagt aber man muss halt eben dann über so ein Banner halt eben sagen, ich benutze Analytics und du musst halt eben
42:21
zustimmen. Der Link hier fasst das gut zusammen. Und jetzt gibt es aber eine zweite Möglichkeit, die zwar noch nicht rechtlich beurteilt wurde, die ich aber persönlich durchaus gangbehalte, nämlich es auch ohne Einwilligung zu benutzen und zwar indem man es über den zum Beispiel Google Tag Manager, bietet das ganz elegant an, so einbindet,
42:42
dass man die User ID in der Funktion, was das Einzige ist letzten Endes, was dann halt eben noch personenbezogen ist im Regelfall, das sei denn man überträgt Bestelldaten und dergleichen, deaktiviert, solange der Benutzer keine Einwilligung gegeben hat. Die Seite Analytics ohne cookies.de fasst das recht gut
43:02
zusammen, ist allerdings kostenflüchtig, also da muss man für, ich weiß gar nicht, 10 Euro oder sowas halt eben für diese Anleitung zahlen. T3n.de hat das nochmal als Übersicht recht gut und im Übersicht gibt es auch nochmal entsprechende Anleitungen, wie man mit Google Tag Manager das verhältnismäßig gut umsetzen kann,
43:20
sodass dort die, anhand eines Konsens, den man einholt, die User ID Funktion aktiviert oder deaktiviert wird. Wie gesagt, also ich halte es ohne User ID für einsetzbar, auch ohne Einwilligung, wenn man die anderen Dinge, die auf der Seite davor standen, beachtet hat.
43:41
So, nach dem Hammer zu der DSGVO und E-Privacy-Richtlinie, jetzt nochmal so ein bisschen was zum Entspannen, nämlich zur E-Privacy-Verordnung, was ja auch der ursprüngliche Titel des Vortrags hier war. So ganz allgemein, was ist die E-Privacy-Verordnung? Da war ja der Gedanke, dass sie dann Nachfolger
44:01
werden soll, vielleicht sollte, zur E-Privacy-Richtlinie. Tatsächlich ist die aber nach wie vor im Entwurfsstadium. Sollte ja ursprünglich mal mit der DSGVO zusammen erscheinen, dann hat man halt eben nochmal Verhandlungen 2019 und 2020 gehabt und ich war tatsächlich der festen Überzeugung, dass die dieses Jahr noch kommen müsste, weil die
44:21
verhältnismäßig final erschienen. Dann kamen aber nochmal andere Mitgliedsstaaten, Grazien und dergleichen, Deutschland witzigerweise auch, sage ich gleich nochmal warum, die wiederum in bestimmten Sachen aber halt eben dann Streitpunkte reingebracht haben und deswegen halt eben die Privacy-Verordnung tatsächlich nach wie vor leider hochumstritten ist. Deswegen
44:41
und auch weil wir halt eben durch Corona halt eben zur Zeit halt eben andere Dinge haben, auf die wir uns halt eben konzentrieren, ist die Zielsetzung tatsächlich auf halt durch fest 2023 gesetzt. Vielleicht scheitert es auch ganz, ist tatsächlich mittlerweile nicht mehr ausgeschlossen und dann gibt es vermutlich nochmal eine Übergangsfrist von zwei Jahren, das heißt also, dass wir halt
45:02
eben einiger Wahrscheinlichkeit noch fünf Jahre oder gar länger halt eben Zeit haben, um der E-Privacy-Verordnung dann halt eben zu folgen. Bis dahin bleibt nämlich die aktuelle Rechtslage. Jetzt könnte man sich denken, oh ja, mein Gott, egal, sollte kommen oder auch nicht. Ja, grundsätzlich schon, wobei ich dazu sagen muss, dass was wir bislang haben, kommt
45:21
halt eben an die Verordnung in Teilen schon relativ nahe ran, zum einen. Zum anderen sind solche Verordnungen tatsächlich halt eben gut und sinnvoll und zwar deswegen, weil Verordnungen, wie wir gelernt haben, tatsächlich harmonisiert und auch EU-weit
45:41
im wesentlichen Bereich bei einem Rollout innerhalb der EU deutlich, deutlich, deutlich vereinfacht. Also ob ich halt eben dann zum Beispiel Datenschutz halt eben zu prüfen habe, für halt eben alle Mitgliedstaaten, oder ob ich sagen kann, wenn es in Deutschland passt, passt es normalerweise auch in den anderen Mitgliedstaaten. Das macht es viel, viel einfacher. Wenn ich mir aber anschaue, Verbraucherrechte-Richtlinien zum Beispiel, da gibt es tatsächlich teils
46:01
deutliche Abweichungen. Frankreich zum Beispiel hat da so ein bisschen andere Sichtweisen drauf. Heißt halt eben letzten Endes, du musst halt eben deine Software im Gegenteil zu leben, anders implementieren. Von daher, so eine Verordnung und so ein harmonisiertes Recht an sich erst mal gar nicht dumm. So ganz grundsätzlich mal die Frage, was soll die
46:20
E-Privacy-Verordnung denn an sich regeln? So ein bisschen wie die E-Privacy-Richtlinie auch, nur weiter. Zum einen nämlich die rechte Aufachtung des Privatlebens und der Kommunikation und den Schutz natürlicher Personen und zwar auch wiederum bei der Verarbeitung personenbezogener Daten und die E-Privacy-Verordnung knüpft dabei an die DSGVO nahtlos
46:41
an und spezifiziert das quasi dort nochmal. Und zwar dann, wenn man zum Beispiel Kommunikationsdienste halt eben entsprechend nutzt. Sachlich geht die tatsächlich sehr, sehr weit und zwar tatsächlich immer dann, wenn elektronische Kommunikationsdaten und Informationen in Bezug auf die Endeinrichtung der Endnutzer halt eben verarbeitet werden
47:02
und damit im Grunde genommen halt so immer. Bislang waren so Dienste wie, also so On-Top-Dienste wie Skype, WhatsApp oder Gmail nicht umfasst über die E-Privacy-Richtlinie. Das wäre da aber halt eben entsprechend mit drin. Ein Streitpunkt tatsächlich ziemlich relevanter nach wie vor ist die sogenannte
47:21
Machine-to-Machine-Kommunikation. Also sprich halt eben gerade so der Fall, wenn halt irgendwie so entdongeln oder dergleichen halt eben damit einem anderen Gerät kommuniziert. Das war bislang nicht Thema der E-Privacy-Richtlinie. In der E-Privacy-Verordnung soll es halt eben mit rein oder halt vielleicht auch nicht. Und da gibt es halt eben
47:41
tatsächlich sehr viele Sichtweisen, naheliegenderweise auch von der Industrie zum Beispiel, die nämlich sagt, dass wenn man hier halt eben die strengen Richtlinien der Verordnung zu befolgen hätte, hätte man halt eben Probleme, was Machine-Learning oder dergleichen betrifft. Und deswegen gibt es da im Augenblick zumindest mal den Ansatz, dass es nur für die Übertragungsdienste
48:01
gilt, die dafür genutzt werden, nicht aber halt eben für das, was auf Applikationsebene dann letzten Endes ausgetauscht wird. Ob das so bleiben wird, muss man sehen. Räumlich gehe ich tatsächlich gar nicht näher drauf ein, ist im Grunde genommen wie DSGVO alles, was irgendwie mit EU zu tun hat, da
48:20
gilt das dann tatsächlich. So, dann halt eben so die Frage Cookies und E-Privacy-Verordnung? Ja, bleibt im Grunde genommen so, wie es bei der Richtlinie jetzt nach EUGH-Urteil eben auch ist, nämlich dass erstmal so ganz grundsätzlich das Verbot gilt für Cookies und im Übrigen auch nicht mehr unterschieden wir zu einem
48:42
personenbezogenen oder halt eben pseudonymen Tracking bzw. halt eben dann Sätzen von Cookies. Allerdings auch wiederum hier mit der Ausnahme, wie wir sie bislang auch schon haben, sprich wenn es halt eben tatsächlich unbedingt notwendig ist, das Cookie halt eben anbieten zu müssen. Das heißt also hier würde sich erstmal nach aktuellem Stand nicht wirklich viel ändern. Also sprich die Umsetzung,
49:02
wenn man sie jetzt hat, da kann man zumindest mal draufbauen. Und dann, ich hatte euch versprochen, ich komme nochmal auf die Cookie Walls zu sprechen. Hier war tatsächlich in Diskussion, da ist es nach wie vor, dass man die Cookie Walls ausdrücklich verbietet und jetzt setzt sich interessanterweise aber Deutschland unter anderem dafür ein, dass es diese
49:22
Cookie Walls geben soll, also sprich, dass die erlaubt sind. Es war vor allem vor dem Hintergrund, dass zum Beispiel Verlagswesen oder dergleichen halt eben dann sonst möglicherweise ihre Dienste halt eben nicht werden erbringen können. Und ja, tatsächlich leuchtet das ja grundsätzlich auch ein.
49:41
Diese unterschiedlichen Auffassungen, die es da gibt, und wenn man halt eben sieht, wie lange das halt eben schon hin und her geht, das steht aber tatsächlich auch sinnbildlich dafür, wie gegenwärtig halt eben diese Lage ist und wie unterschiedlich die Interessen halt eben da tatsächlich halt eben sind. Deswegen, das könnte tatsächlich
50:00
zumindest in der aktuellen Situation mit Corona durchaus noch länger dauern, bis man da halt eben zu einer entsprechenden Klärung kommt, wie gesagt 2023. Und dann noch die Frage zukünftig, braucht man da auch noch eine Einwilligung zu Tracking? Grundsätzlich wird man das schon benötigen, ja. Allerdings, wie ich schon gesagt habe, technisch
50:21
notwendige Cookies braucht man es nicht und interessanterweise auch Tools zur Reichweitenmessung, zum Beispiel in Google Analytics, wäre dann möglich, zumindest dann, wenn die Rechten und Freiheiten des Nutzes halt eben nicht entsprechend überwiegen. Und die wiederum überwiegen dann, zum einen, wenn der Nutzer ein Kind ist, ok, zum anderen aber dann, wenn halt
50:41
eben zum Beispiel ein Cookie oder dergleichen gespeichert werden würde. Wenn sowas aber dann ohne Cookie angeboten werden würde oder könnte, wäre das tatsächlich kein Problem mehr. Und da könnte ich mir tatsächlich interessante Möglichkeiten vorstellen für die Zukunft. Wenn man die Einwilligung aber braucht, dann ist die tatsächlich auf dem hohen Niveau der DSGVO,
51:01
nämlich halt eben freiwillig für bestimmten Zweck, in Kenntnis der Sachlage und Unmissverständnis sowie halt eben wiederruflich abzugeben, was aber insofern auch kein Problem ist, weil das nach der Cookie-Richtlinie und der aktuellen EUGH- Urteilslage halt eben auch schon tatsächlich so ist. Jetzt kommt aber was Spannendes. Nämlich diese Cookie Walls oder Cookie Banner oder dergleichen,
51:21
die ja super, super, super ätzend sind in der Benutzung gerade auf dem Handy, da ist der Gedanke, dass man die Erleichterung dahingehend hat, dass man zum Beispiel im Browser eine Einstellmöglichkeit erlaubt, an der man das einmal zentral einstellen kann und das dann quasi an die Website so übertragen wird. Das heißt also, man würde das einmal festlegen und dann müsste man auf dem Website halt eben
51:40
diese Banner halt nicht mehr entsprechend anklicken. Das finde ich persönlich tatsächlich sehr, sehr attraktiv, muss ich sagen. So. Zweites spannendes Thema. Nach der E-Privacy-Verordnung sollen die Browser-Hersteller verpflichtet werden, bestimmte Einstellungen A anzubieten und B als Standard
52:01
zu definieren. Wobei ich dazu sagen muss, je nach Browser ist das ohnehin schon der Fall. Zum einen Do Not Track als Standard-Einstellung, zum anderen aber auch tatsächlich so, wie es Firefox zum Beispiel anbietet, halt eben Zurückweisung einer nicht unbedingt notwendigen Tracker oder Cookies oder dergleichen. Und es soll halt eben entsprechende Optionen halt eben noch geben bezüglich Verwendung von Webcam, Geolocation-Daten und dergleichen.
52:21
Muss aber dazu sagen, gibt es ja tatsächlich ohnehin halt eben schon. Wobei aber halt auf die Weise quasi das Niveau von einem Firefox halt eben entsprechend angehoben werden, dass das hohe Niveau von einem Firefox halt eben zum Beispiel auf ein Google Chrome halt eben noch übertragen werden würde oder könnte. So. Jetzt habt ihr 52 Minuten Druckbetrankung
52:43
erhalten. Ich danke euch sehr, sehr herzlich fürs Zuhören und wenn ihr Fragen haben solltet, gerne stellen. Und an die Personen, die noch im Stream zu schauen, bitte einmal unten auf Videokonferenz klicken, dass ihr in den Raum kommt. Ich gebe auch Mikrofone frei, falls jemand was sagen möchte. Ansonsten können Fragen einfach
53:01
in den Chat gepostet werden, wie die dann Falk oder ich einmal vorliest und Falk dann beantwortet. Mikrofone sind frei. Fragen können geschrieben oder verbal mitgeteilt werden.
53:31
Ja, da kommen ein paar dazu. Ich glaube, es gibt gleich Fragen.
54:03
Falk, vielleicht mal von mir eine Sache. Wie siehst du das denn, wenn so Schulen beispielsweise eine Videoplattform, meinetwegen auf Visitsi oder BigDuo-Button-Basis betreiben und da keine Datenschutzerklärung dazu legen? Wenn sie das Ganze halt eigentlich die Plattform aufgesetzt haben, um
54:21
datenschutzfreundlicher zu sein und Zoom und Skype und andere Tools in der Richtung zu vermeiden? Wie ist denn da die Frage? Genau, also tatsächlich der Fall, also Realschule oder irgendwas in der Richtung setzt halt eben gerade im Rahmen von Corona oder dergleichen halt eben dann solche Plattformen ein, meinst du. Genau.
54:40
Und hat dann keine Datenschutzerklärung hinterlegt. Wie siehst du das rechtlich für diese Schule? Ja, müssen sie tatsächlich. Also müssen sie halt eben entsprechend anbieten zumindest als Dienstanbieter dann dafür. Also kann dann tatsächlich ein Problem sein, was halt eben durch die Datenschutzbehörde auf und angezeigt werden würde. Also müssen sie gemacht werden, ja.
55:02
Ok. Dann Sire Volt hat, ich hoffe, ich habe das richtig ausgesprochen, die Frage. Hast du Tipps für Mitarbeiterinnen, Verstöße in ihrer eigenen Firma zu melden? Ihre eigenen Firma zu melden? Ja, wenn man das machen möchte. Ja, macht ja Sinn.
55:22
Man kann das im Übrigen anonym melden. Und zwar tatsächlich, indem man sich an die Datenschutzbehörde wendet. Also es kommt immer drauf an. Es gibt ja Unternehmen, also die KONUM ist zum Beispiel eines, die KONUM, wofür ich arbeite, auch andere, die halt eben dann so eigene Meldemechanismen haben oder halt eben
55:41
eigene Datenschutzbeauftragte. An die würde ich zunächst mal eben herantreten, gegebenenfalls auch anonym, wenn das aber tatsächlich nicht fruchtet. Also Datenschutzbehörde geht tatsächlich. Heißt aber halt eben dann auch im Umkehrschluss, dass dann die Datenschutzbehörde tatsächlich im Regelfall halt eben aktiv wird und das dann halt gegebenenfalls halt eben dann teuer werden kann fürs Unternehmen oder halt
56:00
eben aufwendig. Macht hier aber durchaus Sinn. Also gerade ich hatte kürzlich eine Mandantin, die wollte ihre Mitarbeiter mit Geodaten überwachen, die im Auto rumgefahren sind. Und naja, sie hat zwar angegeben, sie nimmt es halt eben nicht für Tracking der Arbeitszeit
56:20
und Arbeitsleistung, aber de facto ist es halt dann doch irgendwie gemacht worden und das ist so ein Thema, kann ich gut nachvollziehen, dass man als Mitarbeiter das halt eben dann vielleicht nicht möchte. Also wie gesagt, Datenschutzbehörde ist eine Möglichkeit, Datenschutzbeauftragte, die zweite.
56:55
Oh Gott, die ist umfangreich, die Frage. Ja, ich lese sie mal ganz kurz vor.
57:00
Charlie hat die Frage, sind die Standardvertragsklauseln aktuell wirklich eine gültige Rechtsgrundlage bzw. für Office 365, Microsoft Teams und Co.? Nach meinem Verständnis sind die Standardvertragsklauseln eigentlich ziemlich wertlos. Die Standardvertragsklauseln können die schönsten Datenschutzversprechungen enthalten, am Ende muss sich ein US-Unternehmen aber an die
57:22
US-Gesetzgebung halten, also den eigenen Geheimdiensten Zugriff geben. Selbst wenn die Server nicht in den USA sind, Klammern Cloud Act. Am Ende ist das nicht einfach und nicht mit den europäischen Gesetzen kompatibel. Egal was in den Standardvertragsklauseln steht.
57:41
Er ist eine komplexe Frage. Und ja, die ist richtig. Das ist ja ein Problem und Thema gewesen, dass man bei Safe Harbor und Privacy Shield so auch schon hatte. Der Gedanke ist der, das was Microsoft, Google und Facebook jetzt machen, wird zumindest von den europäischen Datenschutzbehörden anerkannt.
58:01
Zwar deswegen, weil bei den drei Unternehmen weiß ich sicher, bei anderen wird es so ähnlich gehandhabt werden müssen zumindest. Die Unternehmen hergehen und dies dann tatsächlich von der entsprechenden Kommission freigeben lassen. Und zwar indem sie bestimmte Zusatzdinge erfüllen, erfüllen müssen, damit dann tatsächlich
58:23
die US-Behörden keine Möglichkeit des Datenzugriffes haben. Was das aber konkret bedeutet, also sprich welche Dinge da genau erfüllt werden müssen, das weiß ich tatsächlich nicht. Also sprich, da habe ich tatsächlich einfach keinen Einblick in die Thematik. Ich stimme dir aber zu, wenn es nicht, also wenn es so wäre, dass die Behörden trotzdem
58:42
drauf zugreifen könnten, wäre es entsprechend zahnlos. Ich hoffe, es beantwortet die Frage. Also nachdem die Kommission und unterscheiden. Das eine ist ja die Datenschutzkommission auf der einen Seite, die ich tatsächlich für
59:01
recht bissig halte. Und die andere Frage ist ja, so halt eben Irland, deren Datenschutzbehörde so mäßig bissig ist, weswegen die ganzen US-Unternehmen dort halt eben dann auch ihren europäischen Sitz halt eben haben oder dort halt eben die Daten hintun. Wenn es Irland freigibt, wäre es ja EU-konform auch schon möglich.
59:21
Wie die damit umgehen, sei mal dahingestellt. Bei der Datenschutzkommission halte ich es aber tatsächlich, wobei Safe Harbor und Privacy Sheep auch schon Datenschutzkommission haben sie ja auch schon freigegeben, hat ja auch nichts gebracht. Stimmt zu. Also kann man sehen, wie man möchte. Letzten Endes muss man ja
59:41
also sagen wir es mal so. Als Privatanwender, also jemand, der halt eben dann davon betroffen ist, habe ich halt eben tatsächlich das Problem, dass gegebenenfalls US-Behörden auf meine Daten zugreifen können. Das ist doof tatsächlich. Das heißt also ich kann halt eben hier nur halt eben dann quasi mich für Anwenden, für Unternehmen entscheiden, die halt
01:00:00
eben nicht in die USA übertragen. Also Office 365 würde zum Beispiel auch in Deutschland angeboten von T-Online zum Beispiel, T-Online Telekom, die das auch tatsächlich nur auf deutschen Serverfarben betreiben, das wäre halt eben eine Möglichkeit speziell für Unternehmen, aber ist es halt eben zumindest
01:00:20
halt irgendwie eine Möglichkeit halt eben dann diese Dienste nutzen zu können. Aber ja, ich stimme dir zu, es ist tatsächlich nicht unproblematisch und ich halte das tatsächlich auch nach wie vor für, ich persönlich bin nach wie vor der Meinung, dass die US-Behörden auf die Daten zugreifen können. Fun fact, jetzt vor zwei Minuten ist die Klimaanlage hier
01:00:48
angegangen, nachdem ich jetzt 58 Minuten, sogar noch länger, also eigentlich zwei Stunden geschwitzt habe ohne Ende. Na, das war die Aufregung beim Vortrag, jetzt
01:01:03
Oskar schreibt Telekom und auf deutsches Office 365 wurde manches Nachfrager eingestellt. Ja, es gibt noch, hat zweiten Anbieter, zweiter bekannter Anbieter, es fällt mir leider, es fällt mir nicht ein gerade, die bieten es auch, die gibt es auch, was Oskar schreibt, Strato und dann gibt es noch einen
01:01:24
dritten, 1 und 1, Jonas, die bieten es auch an. Dann gibt es noch einen vierten. Okay, wir haben noch eine Frage und dann würde ich den Stream mal beenden von Miro, die Umsetzung der Standard-Vertragsklauseln
01:01:40
muss überprüfbar sein. Kann, muss ich das selbst tun, stimme ich den Klauseln zu, wenn ich das nicht tue? Du musst es selbst tun, ja, weil du halt eben verantwortlich bist und deswegen das quasi sicherstellen musst, das heißt also, du kannst halt eben dann zum Beispiel ein Audit oder sowas in dem entsprechenden Unternehmen halt eben beantragen und also, du, du stimmst den Klauseln in dem Sinn nicht zu,
01:02:02
aber du gehst quasi davon aus, dass sie halt eben eingehalten werden und weil du halt eben verantwortlicher für die Daten und halt eben entsprechende Erhebung halt eben bist, kommst du halt eben auch in das Problem mit rein, sollte es halt eben nicht passen. Also von daher nicht unproblematisch tatsächlich. Ich gehe mal davon aus allerdings, dass sich da in den nächsten
01:02:21
Monaten ziemlich, ziemlich sicher entsprechende Regelungen ergeben werden, die dann auch kleinere Unternehmen werden anwenden können. Also wenn man halt nicht mit einer Microsoft oder sowas kontrahiert, sondern was weiß ich, eine Slack ist ja auch schon relativ groß, aber tatsächlich halt irgendwie so, so mit sei es Unternehmen, damit man halt eben dann dort diese Vorlagen halt eben wiederum entsprechend verwenden kann.
01:02:42
Also sprich das, was halt eben der Microsoft oder dergleichen halt auch unternehmensintern von den Prozessen halt eben erfüllen müssen, damit die Datenschutzkommission ihre Freigabe gegeben hat. Aufs Beantworte die Frage. Ok, dann ja, Miru stimmt zu.
01:03:02
Wunderschön. Dann vielen, vielen Dank für einen großartigen Vortrag. Sehr gerne. Danke, dass ich hier sein durfte. Gerne wieder, hoffentlich nächstes Mal in Persona auf dem Campus. Sehr gerne. Ich wünsche einen schönen Nachmittag, frohe Schwitzen und bleibt gesund.