[00:00:03.030] – Lars
Ja, herzlich willkommen zur heutigen Ausgabe von Digital Shift, dem netzstrategen Podcast. Heute haben wir uns ein heißes Eisen vorgenommen. Das Thema Datenschutz bewegt viele Unternehmen wird heiß diskutiert spätestens seit 2018. Einführung DSGVO ist für viele noch in guter oder nicht so guter Erinnerung. Das überlasse ich jetzt euch, wie ihr das aufgefasst habt. Mit einer Rechtsprechung auf der einen Seite, auf der anderen Seite eine Realität mit dem Internet, das ohne US Dienste so eigentlich nicht denkbar wäre. Und in dem Zusammenhang gibt es ganz viele Unsicherheiten. Also der Einsatz von US Diensten versus Datenschutz und das Thema möchte ich gerne heute mit unseren beiden Gästen besprechen. Zum einen freue ich mich sehr, dass der Falko Pütz hier ist, Rechtsanwalt aus Aalen, der Ostalp den Weg zu uns gefunden hat und der andere Gesprächspartner ist der André, der Gründer und Geschäftsführer der netzstrategen mit einem Beratungsschwerpunkt im Bereich Tracking und Steckenpferd Daten, der da auch ganz viel beitragen kann. Und wir wollen uns das heute mal anschauen Wie kann das aussehen? Wie sieht die Rechtslage aus im Bereich Rechtssicherheit, was Tracking angeht? US Dienste im Einsatz bei Google Analytics als häufigst genanntes Beispiel. Und genau bevor wir einsteigen noch ganz kurz, Falko kann sich gerne selber kurz vorstellen. Ich habe schon gesagt Rechtsanwalt aus Aalen, Schwerpunkt Medienunternehmen. Was hast du da üblicherweise für Themen auf dem Tisch?

[00:01:37.680] – Falko
Üblicherweise habe ich beim Thema Datenschutz, ich mache Datenschutz für Medienunternehmen hauptsächlich und mache dann noch so angrenzende Rechtsgebiete und habe noch einen anderen Schwerpunkt, das ist Arbeitsrecht. Aber da spielt Datenschutz auch eine große Rolle und beleuchtet das dann eben für Unternehmen meistens und in der Regel spielt immer eine Rolle, wie baue ich mein Content Tool auf? Mit Einwilligung keine Einwilligung. Welche Techniken kann ich einsetzen, um User zu tracken? Wie transparent muss ich das machen? Und was bei mir am häufigsten auffällt, ist eben, dass sehr viel eingesetzt wird. Und wenn man dann nachfragt, warum es eingesetzt wird, wofür wo der Zweck ist, dann sieht man oft große Fragezeichen in den Gesichtern und das sollte möglichst vermieden werden. Also wenn ich keine Antwort kriege darauf, warum man etwas einsetzt, dann soll man es gleich abschalten.

[00:02:34.410] – Lars
Das ist vielleicht auch direkt der Ball, den wir zum André rüber spielen können, weil er genau bei diesen Fragen glaube ich auch Unternehmen hilft, sich zu überlegen was wollen wir denn überhaupt erfahren und und messen. André, erzähl doch mal, was sind denn bei euch so die Themen, die euch bewegen?

[00:02:46.440] – André
Wir kommen quasi von einer anderen Seite. Wir sagen halt, erst mal hätten wir schon ganz gerne alle Daten, die es halt so diese verfügbar sind, die möglich sind, vielleicht auch für einen späteren Zeitpunkt heute noch gar nicht wissen, was wir für Daten bräuchten. Und was wir da in dem Zusammenhang machen ist, dass wir gemeinsam mit unseren Kunden eben solche Infrastrukturen aufbauen oder unterstützen beim Aufbau in einer beratenden Funktion, fassen aber auch gerne mit, mit an und und stellen das eben hin. Bis später in die Reportings rein und natürlich auch in die Interpretation dieser Reportings, wo dann oft später eben quasi erst klar wird, welche Daten man am Anfang gerne gehabt hätte. Und genau in dem Spagat müssen wir uns jetzt gerade bewegen. Wir kommen aus einer Zeit, wo man einfach alles eingesammelt hat, was ging irgendwie. So ist auch erstmal das genannte Google Analytics, also konzipiert. In einer, ich hole mir alles – Ist mit GA4, ja quasi noch sogar, noch mehr hole ich mir ganz von alleine. Und diesen Datenkraken muss man halt so ein paar Tricks eher wieder abgewöhnen, damit sie vielleicht ein bisschen rechtskonformer und auch ein bisschen nachhaltiger sind. Und da mittendrin sind wir gerade und auch mit mit Falko und vielen seiner Kollegen im Austausch, um halt einen Kompromiss zu finden aus Wirtschaftlichkeit, Handlungsfähigkeit nach wie vor, aber natürlich auch Rechtssicherheit und auch Rechtssicherheit gegenüber der Geschäftspartner, die die Webseiten benutzen, also der Nutzer der Websiten im Endeffekt.

[00:04:08.460] – Lars
Was sind da so die zentralen rechtlichen Fragestellungen, denen ihr da gerade ausgesetzt seid?

[00:04:13.980] – André
Es sind also wir, wir haben das in den letzten, im letzten Jahr mal sehr abstrahiert auch versucht – Weil wir kriegen ja quasi keine, also anders als Falko wahrscheinlich, kriegen wir sehr spitze Anfragen immer so: Hey, wir haben vom Datenschutz folgendes gehört. Google Fonts was ist jetzt mit denen los? Oder LinkedIn Tracking Pixel? Ist das okay oder nicht? Oder kann ich jetzt Google Analytics noch benutzen oder nicht? Und wir haben es einmal die Arbeit gemacht, das quasi zurückzuführen. Also was sind denn eigentlich diese rechtlichen großen Gebiete? Ich hoffe, der Falko widerspricht mir gleich nicht. Dass wir quasi eigentlich drei, drei Bewegungen haben. Das eine ist eben diese „non of your business“ Initiative aus Österreich, von dem Herrn Schrems, also Schrems eins und zwei, das ist quasi kein kein Aktenzeichen, sondern es ist eine Person, die in Österreich ein Verein betreibt, der sich auf diese Datenschutzthematik. Und die haben gesagt, das Privacy Shield ist nicht in Ordnung, weil es eben Daten von EU Bürgern nach Amerika schickt und die dort jederzeit von Behörden eingesehen werden können. Und das ist erst mal schlecht. Das ist ein Ding, sagst du gleich – Ich sehe schon, du machst dich schon bereit. Das zweite Thema ist das ITP 2.1 Intelligent Tracking Prevention, das eben Dienstleister oder Betreiber wie Google von ganz alleine nach sieben Tagen einfach Cookies wieder löschen. Apple zum Beispiel sagt einfach länger als sieben Tage braucht keine Cookies. Weg damit. Problem ist halt für uns im Retargeting. Wir können die Leute nicht wiedererkennen. Und das Letzte, was uns alle wahrscheinlich am meisten betrifft und was uns auch am meisten nervt, ist eben dieses Cookie Consent Thema. Das kommt aus diesem Transparency und Cookie Framework, der Cookie Consent. Und das sind auch diese wundervollen Pop ups, die uns auf allen Webseiten entgegenschlagen und uns ständig fragen, ob wir denn einverstanden sind mit dem Tracking unserer, unseres Verhaltens auf der Website oder nicht. Und die halt neben dieser Sollbruchstelle in der Journey, also der Nutzung der Webseite halt auch oft schlecht eingebunden, schlecht programmiert sind. Der Nutzer muss ständig immer wieder bestätigen, eben auch, weil nach sieben Tagen Cookies gelöscht werden, der Nutzer nicht wiedererkannt werden kann. Wenn ich keinen, kein Login habe und andersrum auch teilweise das Tracking brutal verfälscht, weil sie halt einfach nicht korrekt technisch nicht korrekt eingebunden sind und dann zu viel, zu wenig oder überhaupt gar nicht nachvollziehbar Sessions messen. Das sind so diese drei Dinger. Schrems, ITP für diese sieben Tage Cookies und das Cookie Framework für den Cookie Consent. Das sind so unsere drei Kopfschmerzen, kann man wohl sagen.

[00:06:37.300] – Falko
Also zu zwei von den Themen kann ich was sagen. Schrems, das war bei Facebook fing das Ganze an mit Datenübertragung in die USA. Und da war eben tatsächlich anlasslose Kontrolle über Geheimdienste, die also schauen können, wer greift denn auf diese Daten zu? Und der zweite Punkt war, dass ich in den USA keine ausreichenden Rechtsschutz habe. Wenn dann eben der Geheimdienst darauf zugreift. Dann gab es einen Ombudsmann und dieser Ombudsmann, der hat eine Beschwerde entgegengenommen und dann war’s das. Aber man hatte eben keinen Rechtsschutz, wie das hier in Deutschland ist, durch eine ordnungsgemäße Gerichtsbarkeit, die eben unabhängig ist und eben auch unabhängig urteilt, sondern dieser Ombudsmann hätte tatsächlich einfach nur seine Meinung dazu abgegeben. Und dann wär das Thema erledigt gewesen.

[00:07:25.870] – André
Das ist quasi einfach in Amerika. Also wir haben jetzt einen Nutzer von mir, meine Daten werden eingesammelt, werden nach Amerika geschickt, sie werden in Deutschland eingesammelt oder werden nach Amerika geschickt dort gespeichert. Jetzt gibt es da halt irgendwie einen Verdachtsfall. Dann wird dieser Ombudsmann angehauen vom CIA und sagt…

[00:07:41.980] – Falko
Nein, nein, stopp, stopp!

[00:07:42.850] – André
Okay, genau.

[00:07:43.540] – Falko
Du als User kannst da an den Ombudsmann gehen und sagen: Ich habe das Gefühl, dass meine Daten möglicherweise unzulässigerweise vom US Geheimdienst genutzt werden und dann guckt sich der Ombudsmann das an und dann kannst du eine Antwort kriegen. Musste aber keine Antwort kriegen.

[00:08:00.040] – André
Post von der CIA bekommst.

[00:08:01.660] – Falko
Und das war.

[00:08:02.800] – André
Nicht meine Adresse.

[00:08:03.550] – Falko
Schrems eins, Schrems zwei ging in dieselbe Richtung. Da hat dann nämlich die EU und die Amis haben dann wieder versucht, ein neues Privacy Shield zu bauen. Das hat dann auch nicht geklappt, hat der EuGH auch eingestampft und jetzt ist die dritte Variante. Jetzt ist am 7. Oktober 22 ist ein sogenannter Executive Act von Herrn – doch Biden heißt er – genau von Herrn Biden erlassen worden. Und der hat in den USA also eine Rechtslage geschaffen, die näher an das dran kommt, was der EuGH will. Es gibt in der Literatur mittlerweile auch Leute, die sagen: Ja, wir sind mal gespannt, wie jetzt der EuGH entscheidet, wenn es dann das Schrems drei gibt. Schrems Drei wird es geben. Das ist so sicher wie das Amen in der Kirche, dass die auch dagegen vorgehen und dieses wieder prüfen lassen. Man hat eben zwei Elemente deutlich verbessert. Man ist hergegangen und hat gesagt, wenn Daten in die USA übertragen werden, dann gibt es keine anlasslose Kontrolle mehr, sondern die Kontrolle muss aus relevanten Gründen erfolgen. Das ist Terrorbekämpfung, das ist Wahlfälschung, die bei den Amerikanern ja damals mit Facebook und jetzt Cambridge Analytica, glaube ich, stattgefunden hat. Diese ganzen Themen sollen eingeschränkt werden auf nicht anlasslos, sondern mit einem begründeten Anlass.

[00:09:23.830] – André
Wird das noch mal von einer dritten Instanz geprüft, ob das ein relevanter Anlass ist oder ob.

[00:09:28.450] – Falko
Nein, das muss derjenige, der auf die Daten zugreift, festlegen. Das heißt also die, die, die NSA zum Beispiel, die muss dann ganz klar sagen, wir greifen auf die und die Daten zu, dokumentieren das. Und wenn es dann eben zu einer Rechtsverletzung käme, dann müsste eben der europäische, da muss es dann auch aus dem privilegierten Staat sein. Aber ich gehe mal davon aus, dass Deutschland das dann in Zukunft sein wird. Dann muss es eben eine Beschwerde geben. Und diese Beschwerde geht dann an einen nicht mehr Ombudsmann, sondern an ein gerichtsähnliches Organ, wo unabhängige Fachleute sitzen, sicherlich auch Juristen. Das ist kein Gericht im Sinne des amerikanischen Rechts und auch nicht des deutschen Rechts. Da wird die Frage sein: Genügt das eben den Anforderungen, die die Datenschutzgrundverordnung an solche Gerichte stellt? Herr Schrems sagt nein. Es gibt andere, die sagen Ja. Und dann gibt es noch eins die Verhältnismäßigkeit. Also die Datenschutzbehörden, nicht die Datenschutzbehörden, sorry. Die, die Geheimdienste dürfen in dem Fall wirklich nur auf die Daten zugreifen, wenn es verhältnismäßig ist. Und diese Verhältnismäßigkeit hat es vorher auch nicht gegeben. Und insofern hat man dann abgestufteres und ein detailliertes Verfahren hinter geschaltet, das die Hoffnung gibt, dass es möglicherweise rechtmäßig sein kann. Wie die USA nun handeln. Das Bundesverfassungsgericht hat auch in dem Zusammenhang gesagt Also die müssen nicht unsere Rechtsstandards haben, wie in der EU sind, sondern sie müssen angemessene Rechtsstandards haben. Und da ist halt die Frage, wie das Ganze dann ausgeht. Es gab von Juristen auch Kritik an dem Urteil des EuGH. Also Schrems eins und zwei war die Kritik, dass die Landesverteidigung nicht angemessen berücksichtigt worden ist. Und das ist nationales Recht. Das sind alles so Sachen, das muss man dann sehen, wie das sich in Zukunft darstellt. Tatsache ist aber es gibt jetzt bei der EU Kommission einen, ein Angemessenheit Beschluss, der wird gerade vorbereitet. Ich glaube der ist auch schon das geht jetzt den Prozess es wird ungefähr Mai, Juni, Juli vielleicht werden bis dann eben dieses neue Privacy Shield drei oder wie man das dann auch immer nennen wird, auf die Agenda kommt. Dann müssen sich die Unternehmen noch zertifizieren lassen. Möglicherweise kann das parallel schon funktionieren, also genauso wie bei dem Privacy Shield eins und dann wird man das bis zu einem Urteil des EuGH auf dieser Basis rechtssicher nutzen können. Es gibt noch eine zweite Variante, wo man das rechtssicher nutzen kann. Wenn man nämlich sich auf die Standard Vertragsklauseln bezieht, was man im Moment macht, wenn man Daten in die USA überträgt und dann eben ein Transfer Impact Assessment heißt das TIA, wird das abgekürzt gesagt. Da schaut man sich also an, wie ist denn die Rechtslage in den USA und wie werden da die Daten verarbeitet? Und wenn man sich das dann ganz genau anguckt und prüft, dann kann man zu dem Ergebnis kommen die Datenübertragung in dem Fall mit Google Analytics zum Beispiel, weil es sich nur um Daten für Werbung handelt, ist zulässig. Und dann macht man eben nicht die Übertragung aufgrund eines Angemessenheitsbeschlusses von der EU, sondern man überträgt aufgrund dieser selbst geprüften und risikobasierten Beurteilung, wo man dann hinterher sagt wie groß ist das Risiko? Die Datenschutzbehörden sagen, das ist keine Risikobeurteilung, aber das steht mal noch dahin, ob man das so machen kann. Also sind viele Fragen auch noch ungeklärt. Deswegen ist das Thema auch so offen und schwierig, weil einfach ganz, ganz viele Fragen in dem Bereich nicht geklärt sind. Aber am Ende des Tages wird es so sein, dass man zwei Wege hat, um die Daten rechtskonform übertragen zu können. Und ich denke, dann werden viele nach diesem Angemessenheit Beschluss gehen und dann ist das Thema zumindest mal bis zum EuGH Urteil Schrems drei erledigt.

[00:13:16.300] – Lars
Ich würde gerne zu dem, zu diesem TIA noch mal nachhaken, wie ich mir das praktisch vorstellen muss als Unternehmen. Wie kann ich das selber? Brauche ich da einen Anwalt dafür? Gibt es da Vorlagen? Wie funktioniert das praktisch?

[00:13:29.650] – Falko
Ja, es gibt Vorlagen. Also die Bitkom hat Vorlagen für Mitglieder gemacht, wie man so ein Thema machen muss. Im Prinzip ist das nichts anderes, dass man sich mit dem Anbieter, in dem Fall Google, hinsetzen muss und klären muss, wie werden denn die Daten in den USA übertragen? Was macht ihr mit den Daten? Wie ist die Rechtslage in den USA? Und allein um die Rechtslage in den USA zu beurteilen zu können, bräuchte man, braucht man Google. Das, der große Vorteil ist jetzt durch dieses neue Executive Order vom Präsidenten vom 7.10 aus dem vergangenen Jahr habe ich jetzt eben schon mal eine rechtliche Lage, die deutlich besser ist, als sie noch im vergangenen Sommer war. Das heißt also, ich kann diese Inhalte von diesem Executive Order heute schon in diese Beurteilung, in dieses Assessment, von den von der Situation mit aufnehmen und kann sagen: Na ja, also da werden einfach schon rechtliche Möglichkeiten gegeben, um mich gegen so etwas zu wehren, die bisher nicht so gut ausgebaut und differenziert waren. Und das macht das Ganze dann deutlich einfacher. Es ist unterm Strich viel Arbeit, die man sich machen muss, aber die viele Arbeit rentiert sich dann, dass man eben, wenn eine Datenschutzbehörde auf einen zukommt und fragt: Warum macht ihr das denn? Dann auch sehr genau und klar detailliert darstellen kann, warum man das macht. Und dann wird die Datenschutzbehörde auch nicht völlig aus der Luft gegriffen einem auf den Deckel hauen. Weil die sind da, wo man gut begründet und sich auch mit den Themen, die Datenschutz betreffen, auseinandersetzt immer gesprächsbereit. Und wichtig ist auch in dem Zusammenhang, dass man diese ganze Thematik immer aus der Sicht desjenigen Nutzers, also datenschutzrechtlich ist es der Betroffene, der dann mit dessen Daten gearbeitet wird. Das man das aus der Sicht mal betrachtet zurückgeht und einfach schaut. Wie muss sich denn jetzt dieser Nutzer fühlen in der Situation? Was hat der denn hier für Themen, die für ihn relevant sein können? Und da kann man dann einfach mal Abstand nehmen und sagen das ist meine Ausgangssituation. Und wenn ich von der Ausgangssituation praktisch ausgehe, dann kann man das ganze rechtliche Drumherum stricken.

[00:15:36.930] – Lars
Das heißt, du würdest auch empfehlen, das quasi von Anfang an immer mitzudenken und schon quasi vorzubereiten, dass du nicht ins Schwitzen kommst, wenn sich die Datenschutzbehörde meldet und sagt: Könnt ihr mir mal erklären, was ihr da macht?

[00:15:47.730] – Falko
Dann ist es sowieso zu spät. Nein, denn wenn ich den Prozess aufsetze, mache ich mir über die datenschutzrechtlichen Fragen Gedanken. Idealerweise bindet man dann natürlich auch Datenschützer oder Juristen mit ein. Aber wenn es in die Umsetzung geht, dann sollte das spätestens passieren. Was ist das Risiko? Wenn man erst ganz zum Schluss eingebunden wird, dann sagt man geht nicht oder da sind einfach unüberwindbare Hürden. Und wenn man dann nicht die Risiken sauber aufzeigt und herausarbeitet, dann sagt der Geschäftsführer halt gleich, der diese Entscheidung zu treffen hat. Möglicherweise auch aus Unkenntnis oder eben aus so holzschnittartigen Argumenten, ne mach ich nicht, will ich nicht abschalten. Und das ist eben das, was dann nicht ausreichend durchdacht ist. Das heißt, diejenigen, die auch mit den Themen arbeiten, die müssen sich sehr, sehr intensiv einarbeiten, gucken, welche Daten verarbeite ich eigentlich und zu welchem Zweck verarbeite ich diese Daten? Und wenn ich das sauber begründen kann und mir dann vorne noch eine Einwilligung sauber abhole, dann ist das alles wunderbar.

[00:16:49.800] – Lars
Vielleicht kannst du noch André mal aus der Praxis so ein bisschen schildern, wie ihr das erlebt in den Unternehmen.

[00:16:54.840] – André
Also das mit dem Holzschnittartigen, das kann ich genauso unterstützen im Endeffekt, wenn wir quasi also oft ist es ja so, wir sind ja quasi in so einer Zeit mit einem Zeitabschnitt, wo eben viele Tracking Installationen eben gemacht wurden, als halt so everything goes mäßig Wilder Westen, wir ballern drauf und dann, das war ja auch so ein bisschen Spieltrieb, was kann ich mit meinen Daten alles machen und dann fließen die da rein und dann gebe ich die direkt weiter an Google Ads oder an Facebook oder an LinkedIn oder an mein Display Netzwerk und dann können die Targeting machen und so und dann hat man halt die Daten ja auch so ein bisschen einfach wild verteilt, ohne dass jemand über diese eigentlich gar nicht nur rechtlichen, sondern auch menschenrechtlichen oder persönlichen Konsequenzen nachgedacht hat. Was passiert mit den armen Daten?

[00:17:30.990] – Falko
Menschenrechtlich, ist übrigens tatsächlich auch der, der datenschutzrechtliche Hintergrund. Das ist ein Grundrecht.

[00:17:35.820] – André
Ja, voll. Das hat – Also das war ja selber Teil von dieser Generation. Aber es war so: Oh wow guck mal, kann man alles zusammenstecken, wir bauen ein krasses Konstrukt. Und dann irgendwann wurde halt klarer, wahrscheinlich gab es schon immer Stimmen aus der rechten Ecke, die gesagt haben Freunde, weiß nicht, ob das cool ist. Und dann wurden die halt immer lauter und lauter und irgendwann hatten die natürlich auch genügend, genügend Backing. Und dann gab es an vielen Stellen auch wirklich so harte Cuts. Wir stellen das jetzt ab, also haben wir auch genug erlebt, das einfach Firmen gesagt, wir haben es abgestellt. Was mache ich denn jetzt? Weil dann ging mein ganzes Onlinemarketing nicht mehr. Ich bin zurück in die Steinzeit gefallen, weil halt mein Tracking abgeschaltet wurde. Und heute? Und ich glaube, da ist einfach noch so eine Differenz da, weil heute wird quasi jetzt so rechtlich oft zu holzschnittartig geurteilt werden eigentlich die Infrastrukturen viel mehr können. Also wir können ja heute Google, also die Möglichkeiten von Universal Analytics heute sind ja schon viel besser als die vor fünf oder acht Jahren oder zehn Jahren gab es Zeiten, da wurde einfach alles eingesogen und das ist einfach heute schon ganz anders. Und jetzt haben wir mit GA4, noch mehr Konfigurationsmöglichkeiten und wir haben über Serverside Tracking auch die Möglichkeit, bevor Daten an Google übergeben werden, die Daten noch mal zu – Also wir können Datensätze rausschneiden, wir können Aspekte rausschneiden, zum Beispiel eben, die Location wird gar nicht weitergegeben, das Endgerät wird nicht weitergegeben. Also Daten, die wir eh nicht brauchen, nachher für das Marketing oder für die, für die Website Gestaltung. Wie können wir da schon löschen, bevor es ein Dritter in die Hände bekommt. Und wir können auch da die Daten schon verschlüsseln. Wir können die die IP Adressen hart cutten, dass quasi also nur noch ein ganz softes Datenset weitergegeben wird an irgendeinen Dritten ist egal wen. Und, und oft wird es halt häufig noch nicht so diskutiert in den Firmen, sondern ist immer so eine On-Off-Entscheidung. Während wir jetzt halt viel – Also wir können ganz differenziert diskutieren. Das ist das, was wir jetzt auch in den Unternehmen versuchen, dass wir eben den Datenschutz auch früh dazu holen, nicht mehr so ein grobes Bild von den von den Stakeholdern haben, was sie sich eigentlich, was sie für Anforderungen haben. Was wünschen die sich? Die Onlineabteilung, die Website? Leute, die Techies, das Controlling, die externen Agenturen? Wenn wir da mal wissen, was die eigentlich brauchen, dann reden wir über dieses Konzept mit dem Datenschutz und erklären das. Und dann führen wir halt häufig keine On-Off-Entscheidung mehr, sondern eine, ja, so könnte man das gestalten Entscheidung – Also Gespräch. Ja, dann lassen wir das und das weg und das und das konfigurieren wir so und dann haben wir halt im Endeffekt das, was du auch eingangs gesagt hast, was du dir wünscht. So ein ich, ich kann erklären, warum ich das, was ich jetzt auch noch einsammle, wirklich einsammle. So und da bewegt sich der Weg hin und wir haben ja gerade noch so ein Ungleichgewicht aus dieser holzschnittartigen Rechtsprechung und der viel skalpellartigen Tracking Infrastruktur, die wir schaffen.

[00:20:13.270] – Falko
Die Rechtsprechung ist nicht holzschnittartig, die ist schon sehr ausdifferenziert. Aber das Problem ist halt, dass die Argumentation, die dann daraus folgt, oft holzschnittartig ist. Also das heißt, die Leute haben Sorge und vielleicht ist es auch eine ganz, du sagtest gerade eben, das Thema war vor der DSGVO schlichtweg nicht relevant, Datenschutz. Das heißt, der Hamburger Datenschutzbeauftragte, der hat in 2012 schon Google auf die Füße getreten. Das, was da an Bußgeldern möglich war vom gesetzlichen Rahmen, das hat Google nicht interessiert. Also das war schlichtweg zwei Beratertage oder sowas. Also das ist für die so was von wurscht gewesen. Und insofern war das auch nicht in den Köpfen der Menschen. Da waren, irgendwo, da wurden Krankenhausakten im Altpapier entsorgt, ohne die eben entsprechend zu schreddern. Das hat ein Bußgeld von 10.000 € gegeben. Also das war alles im kleinen Bereich. Mit der DSGVO ist das halt wirklich zu einem schneidenden Schwert geworden, der Datenschutzrecht und hat eben viele Unternehmen aufgeschreckt. Und das Thema ist auch, dass das Thema der DSGVO vielleicht von Anfang an viel zu stark nicht in Bezug auf Datennutzung, sondern erstmal auf Datenschutz ausgerichtet wurde. Es gab keine Rechtsprechung, es gab auch die Datenschutzbehörden, die sich nicht ganz sicher waren. Also zum Beispiel hat die niedersächsische Datenschutzbehörde ein paar Tage ein Consent Management Tool auf der Seite gehabt, wo man sich dann auch als Datenschützer fragt: Wer hat sich darüber Gedanken gemacht? Also das war alles nicht sauber eingeordnet und das war halt eben der Anfang. Es geht jetzt immer weiter in Richtung: Wie können wir die Daten wirtschaftlich sinnvoll nutzen? Da gibt es jetzt auch weitere auf europäischer Ebene Initiativen, die dann eben solche Regelwerke aufstellen. Und es gibt eben auch jetzt in der Literatur, in den Verwaltungsbereichen also Verwaltungsgerichte, die sich mit dem Thema auch auseinandersetzen könnten. Da gibt es eben jetzt auch Leute, die in eine andere Richtung denken und sagen also Datenschutz, dieses Grundrecht absolut wichtig. Das muss auch wahrgenommen werden. Aber wir müssen halt gucken, wie können wir drumherum Daten nutzen, damit sie wirtschaftlich für uns effektiv sind, ohne datenschutzrechtlich Menschen auszunutzen, auszubeuten.

[00:22:42.600] – Lars
Das ist ein interessanter Aspekt. Das Thema Datennutzung stärker in den Vordergrund zu rücken und auch die wirtschaftlichen Aspekte dahinter. André, du hast gerade schon so ein paar Stakeholder genannt, die da eine Rolle spielen. Wenn wir jetzt bei diesen holzschnittartigen Entscheidungen bleibt. Ich finde das Gedankenexperiment mal ganz spannend zu sagen: Was heißt das denn für die alle und für ihre Arbeit, wenn man sagt, na ja, wir schalten die US Dienste jetzt ab. Also was würde das denn für Konsequenzen haben? Damit die noch vernünftig arbeiten können?

[00:23:08.520] – André
Okay, also das ist wirklich ein Gedankenexperiment, weil ich glaube ganz praktisch ist es schier unmöglich, weil du halt verschiedene Dienste brauchst, um das alles abzukapseln. Also erstmal würde, hättest du wahrscheinlich ein Jahr keine Daten. Also wenn du sagst, ich schalte das heute ab und baue mir was neues auf. Ich würde mal sagen ein Jahr brauchst du mal easy um eine neue vernünftige Infrastruktur aufzubauen. Klar kannst du jetzt einfach sagen: Hey, ich habe jetzt keine Ahnung, ein kleines Ladengeschäft und ich habe da jetzt ein Google Analytics drauf laufen, da schmeiße ich jetzt mal Matomo drauf oder Piwik oder was auch immer man sich ausdenkt. Jo, Haken dran, das geht schnell klar. Un. Hast du wieder Daten? Aber ich rede jetzt eher von einer Infrastruktur, von einem mittelständischen Unternehmen, von einem größeren – Ein kleiner Konzern, ein großer Konzern, egal. Eine größere Firma, wo es eben nicht nur darum geht, mal einmal im Quartal auf seine Website Nutzung zu gucken, sondern wo wir halt auch wirklich da Zielgruppen ausbauen, wo wir viel Mediabudgets haben, die halt dann über viele Kanäle ausgegeben werden, wo ich täglich im E-Commerce sehr regelmäßig im Brand Bereich draufgucken muss: wird mein Geld richtig eingesetzt? Welche Kampagnen laufen gut, welche laufen schlecht? Welche führen zu Abschlüssen, zu Käufen, zu Zielen und welche nicht? Das würde ich mal sagen, ist ein Jahr lang weg. Auch da kann ich natürlich schnell mal Matomo drauf werfen. Aber ich ich zerstöre dahinter die komplette Infrastruktur. Alle Automatismen sind dann weg, also die automatisch Die automatische Weitergabe von Daten von Google Analytics an Google Ads zum Beispiel fällt in dem Augenblick halt weg. Ich habe keine Dashboard mehr. Meine ganzen Brandmanager, Produktmanager, Bereichsleiterinnen und Leiter müssen dann ohne Daten erstmal wieder klarkommen. Vielleicht gar nicht so schlecht, aber wär halt erstmal so ein wipe und dann müsstest du es halt angucken wie baue ich das jetzt auf, ohne ohne einen amerikanischen Dienst? Und da ist es so, dass Google natürlich mit einem üppigen Blumenstrauß kommt an Möglichkeiten und Funktionen. Also das ist schon geil. Deswegen war das ja früher so schön, das ist eingesteckt und zack, auf einmal waren so viele Daten da und man alles sehen können in Echtzeit und du hast halt quasi erstmal alle Daten gehabt und dann konntest du dich da so – konntest tiefer gehen und dann immer genauer gucken was brauchst du, wer braucht was? Du hast immer aus dem Vollen geschöpft und du schöpft aus dem Vollen. Wenn ich mir das jetzt andersrum denke, ich führe ein anderes Tool ein. Das erste, was mir immer auffällt, ist natürlich, wie viel weniger Informationen da sind, wie viel weniger Funktionsumfang, wie viel weniger Filter Möglichkeiten ich habe, wenn ich ein anderes Tool nutze. Das ist natürlich, da bist du total verwöhnt von der Google Anwendung. Allein schon der optische Eindruck von denen dann doch eher so Microsoft 2000 anmutenden Oberflächen ist halt ein bisschen, ein bisschen was anderes als GA4 jetzt zum Beispiel. Dann brauche ich eine andere Datenbank dahinter. Da muss ich wahrscheinlich erst mal gucken, das diese – Also wenn ich jetzt Google Analytics mit Big Query verbinden will, das ist halt ein Häkchen, fließen alle Rohdaten in diese große Google Datenbank hinein. Wenn ich da jetzt etwas anderes anbinden will, muss ich wahrscheinlich erst mal eine Schnittstelle bauen oder verschiedene Schnittstellen, die es vielleicht schon gibt, testen. Also da bin ich jetzt auch auf dünnem Eis, aber es ist auf jeden Fall ein größerer Baustein. Und dann muss ich mir genau überlegen, welche Daten ich daraus wieder in Reporting haben will. Das kann ich bei Google über das Data Studio Lukas Studio auch wieder, klicki klicki, alles hier über Drag and Drop und Drop Down und also das ist halt relativ schnell erstellt, also kann auch jeder selber machen, der sich ein bisschen rein fuchst. Wenn ich das jetzt in Power Bi oder so machen will, brauche ich andere Skills, brauche ich andere Erfahrungen. Das heißt ich, ich würde jetzt erst mal viel Geld dafür ausgeben, einen viel spitzeren Funktionsumfang herzustellen und der mich dann auch später für jede weitere Veränderung mehr Geld kostet. Also schnell mal was verändern ist da nicht. Und ob das dann noch auch die gleiche Qualität hat, das weiß ich halt auch nicht. Im Augenblick ist es so, wenn halt Google Analytics mit Google Ads spricht, das ist halt, das ist halt eine Familie, die kennen sich halt gut. Wenn ich jetzt sage, ich gebe jetzt Google Ads die Daten aus Matomo, weiß ich jetzt nicht genau was was Google Ads dann sagt, ob das sagt: Ah ja, verstehe. Oder ob die sagen was ist denn das jetzt genau? Also es ist schon eine große Baustelle.

[00:27:15.450] – Lars
Wenn ich mir das jetzt mal global vorstelle, dann wäre das ja auch ein riesen Wettbewerbsnachteil für deutsche-europäische Unternehmen. Vielleicht gegenüber US Unternehmen. Inwiefern findet das denn in der Rechtsprechung schon Berücksichtigung? Also der der Mensch als Betroffener sozusagen. Aber die Unternehmen die damit…

[00:27:33.360] – Falko
Keine Rolle, weil es gibt keine Gesetze, die das vorschreiben. Hier um den Datenschutz und da spielte der Wettbewerbsnachteil erst mal keine Rolle, das ist ganz klar. Was ich zu dem, was du gerade noch gesagt hast. Da kommt sicherlich noch ein Aspekt hinzu. Die IT Sicherheit. Wenn ich den ganzen Spaß selber mache und das muss man eben sagen, das Google und zum Beispiel bei diesen Maildienstleistern Mails einfach was das betrifft schon ziemlich weit vorne sind und die auch von der Anwendung, wie du gerade beschrieben hast ziemlich gut sind. Also das ist sicherlich ein Aspekt, den man auch berücksichtigen kann. Man muss halt immer gucken, welche Daten werden abgezogen am Anfang und ich kann nicht hergehen und einfach mal so anlasslos gucken, was haben wir denn für einen Blumenstrauß? Sondern ich muss mir einen Blumenstrauß vorher schon zusammenstellen und sagen das brauche ich eigentlich nur, um dann da reinzugehen. Und insofern macht es auch Sinn, wenn man so früh wie möglich Leute damit beschäftigt. Also was auch ganz spannend ist in Bezug auf Microsoft 365, da hatten ja dann in Baden-Württemberg war das beim Landes Datenschutzbeauftragten hier in Baden-Württemberg. Da hat man dann gesagt, wir probieren mal aus wie Microsoft 365 technisch funktioniert. Also die haben sich da so ein Labor hingesetzt, haben sich das ganz genau angeguckt, wie das funktioniert und haben dann versucht, auf der Basis eine Lösung für öffentliche Ämter und Behörden zu finden, um eben MS 365 zu nutzen. Die sind wohl relativ weit gekommen, aber es gab eben noch große Haken und so wird das sicherlich auch bei Google sein. Ich könnte mir sogar vorstellen, dass Datenschutzbehörden sich hinsetzen und nicht, wenn man sehr ausgeklügeltes Konzept hat und sagt: So möchten wir arbeiten. Dann werden die nicht sagen per se geht nicht, sondern die werden sagen: Gucken wir uns mal an, kann man vielleicht einen gangbaren Weg finden. Wenn dann eben dieses neue oder diese neue Angemessenheitsbeschluss der EU in Bezug auf die Datenübertragung in die USA funktioniert.

[00:29:26.710] – Lars
Ja, vielen Dank euch beiden. Schon jetzt haben wir gerade so ein bisschen die Reise gemacht, wie sich das entwickelt hat. Wir haben schon gehört, Datenschutz ist das Thema ist so alt wie das Internet sozusagen. Und durch die DSGVO ist ein bisschen Zug drauf gekommen und Unsicherheit. Und es gibt eine aktuelle Lage. Vielleicht können wir diese aktuelle Lage noch mal mit zwei, drei Beispielen unterfüttern. Was ich gelesen habe, war oder auch mitbekommen habe, ist, dass das Thema Google Fonts so ein Aufreger war, sozusagen, dass man aus Unternehmenssicht Angst hatte, abgemahnt zu werden, weil man an irgendeiner Stelle in irgendeinem irgendwas eingebettet hatte, was Google Fonts verwendet. Also kannst du das noch mal ein bisschen auseinandernehmen, worum es da ging.

[00:30:05.290] – Falko
Also Google Fonts ist diese Schrift von Google, die zur Verfügung gestellt wird, kostenlos und die kann man dynamisch einbinden, sprich über die Server von Google. Oder man kann sie statisch auf eigenen Servern einbinden. Wenn ich das statisch auf eigenen Servern mache, ist alles okay. Wenn ich es über die Server von Google mache, übertrage ich Daten in die USA und ganz blöd wird, wenn ich keine Einwilligung habe. Das ist mal der Ansatzpunkt. Das ist aus Datenschutzrecht, rechtswidrig. Jetzt haben das einige Unternehmen gemacht. Also ich hatte, das war so von August bis in den November rein, verschiedene Anfragen von verschiedenen Mandanten. Also es waren echt viele. Christian Erst war es noch ein Österreicher, der da mitgespielt hat bei dem Thema, dann anschließend waren – Der war dann plötzlich weg vom Fenster und dann kam ein, zwei Anwälte, die hier, einer saß in Mönchengladbach, der andere saß in Hamburg, glaube ich – Ne, Berlin. Und die beiden haben ganz fröhlich keine Abmahnungen, sondern Rechnungen verschickt, die für irgendwelche Organisationen gesprochen haben. Und das ganze Zeug war echt eine Frechheit, weil sie haben Datenschutz. Also was haben sie geltend gemacht? Sie haben Schadenersatz geltend gemacht und haben eben gesagt, Datenschutzrechtlich sind wir verletzt worden. Aber tatsächlich hat eine Organisation, das war irgendein Verein zum Schutz der Daten, diese Seiten mehr oder weniger gegoogelt. Die Dinger sind massenhaft nicht gegoogelt, gescrollt im Internet und hat die Dinger dann gefunden und hat diese Seiten gefunden, die eben dynamisch Google Web Fonts eingebunden hatten und hat dann eben diese Rechnungen verschickt. Bezeichnend war, es waren immer wieder dieselben Beträge drin. Also ich habe es zweimal gelesen, in der Rechnung stand 170 €, im Schriftsatz stand 140 € und die Dinger sind wirklich also massenhaft verschickt worden. Und diese Anwälte haben darauf gehofft, dass die Leute halt bezahlen, weil was macht jemand, der eine Rechnung über 170 € kriegt, ruft einen Anwalt an und der Anwalt sagt: Ja, wenn ich mich da jetzt richtig reinknie, das wird teurer. Und was habe ich dann eben meinem Mandanten geraten? Habe gesagt: Also pass mal auf, gibt zwei Möglichkeiten. Entweder du bezahlst das, dann ist das wirtschaftliche Risiko weg. Wenn ich mich darum kümmere, dann wird es möglicherweise teurer. Das war am Anfang noch so, hinterher habe ich einfach gesagt, lasst es sein. Ihr habt das Risiko, dass sie euch verklagen. Aber die müssen euch erstmal das alles beweisen. Und ein Schmerzensgeld kann nur ein natürlicher Mensch geltend machen und keine Maschine. Da ging es dann drauf hinaus. Also es war aus meiner Sicht recht missbräuchlich. Das ist meine Meinung und ich glaube, da haben sich auch ein paar Anwaltskammern angeschlossen, die dann den Jungs ordentlich auf die Füße gekloppt haben. Es sind auch Strafanzeigen gegen die Anwälte gestellt worden und dann ist das Thema, glaube ich, irgendwann in der Versenkung verschwunden. Aber das war einfach – Es gab 22, im Januar war das, glaube ich, ein Urteil vom Landgericht München, welches eben gesagt hat, eine Person, die durch Google Fonts mehr oder weniger in ihren Rechten verletzt wurde, weil Daten in die USA ohne Einwilligung übertragen worden sind. Die hat ein Schmerzensgeld von 100 € zugesprochen bekommen und aufgrund dieses Urteils haben die Jungs dann angefangen Rechnungen zu stellen und das war frech. Und unterm Strich hat es in meinen Augen auch den, den dem Ruf der Anwälte tatsächlich auch geschadet, weil das Spiel solchen Jungs, die sich dann nur damit auseinandersetzen und sagen da typisch wieder Anwälte, die so agieren und durch die Gegend abmahnen. So sagt man im Volksmund, es war keine Abmahnung, es war einfach nur eine Rechnung, die man gestellt hat. Hat eine krasse Welle gemacht.

[00:33:50.800] – André
Was das an Menschen in Unternehmen beschäftigt hat. Auch, dass dann die Wellen gehen, dann zu Berater haben wir uns, die dann auch gefragt werden, was da abgeht. Und viele, also viele von unseren Kunden hat keiner nen Brief bekommen, sondern haben es nur gelesen und dann da schon quasi reagiert und direkt gefragt: Muss ich jetzt irgendwas machen oder so? Da müssen wir das prüfen. Und bei vielen wussten wir es ja, die wollten es trotzdem noch mal geprüft haben. Also es ist schon das ist schon krass, was da dann durch diese Unsicherheit für einen Schaden entsteht.

[00:34:19.810] – Falko
Ja, und von ein paar Mandanten habe ich tatsächlich die, die den Auftrag gekriegt, Ablehnungsschreiben zu schicken, weil die gesagt haben: Ja, wollen wir doch mal sehen, was passiert. Da ist nichts gekommen mehr nach gar nichts.

[00:34:30.730] – Lars
Interessant. Also, du hast grad gesagt, das waren keine Abmahnung, sondern da wurden Rechnungen gestellt und bei den Rechnungen sind wir auch schnell beim springenden Punkt, beim Geld, was da dranhängt. Falko, du hast ganz am Anfang gesagt, na ja, am Anfang waren die Bußgelder halt so homöopathisch, dass das Google und andere Größe gar nicht interessiert hat.

[00:34:49.960] – Falko
Aber das sind ja zwei verschiedene Schuhe, Bußgelder und die und diese Schadenersatzanspruch, der ist Artikel 82 DSGVO hat den erst eingeführt und das hat dann eben deutsches Gericht einen Schadenersatz zugesprochen, aber sehr moderat und hat halt gesagt, es ist ein immaterieller Schaden und der ist jetzt auch mit 100 € ausreichend. Sozusagen gesühnt. Dieser ist ja keine Sühne, aber ausreichend ausgeglichen der Schaden. Für mich ist das einfach eine Geschichte gewesen, die absolut NoGo ist und da haben sich wieder Leute irgend nen Weg gefunden, um Geld zu machen. Das gab es immer mal wieder, dass irgendwelche Anwälte sich auf diesen, auf dieses Pferd gesetzt haben und das kann man dann eine Weile reiten und dann ist irgendwann vorbei. Also wenn die es geschafft haben, jeder 10.000 Abmahnungen durch die Gegend geschickt zu haben und man überlegt, die Hälfte hat gezahlt, dann war das lukrativ für die.

[00:35:43.290] – Lars
Vielleicht in deine Richtung André, die, die Frage dann halt auch, was das aus unternehmerischer Sicht bedeutet im Umgang mit dem ganzen Thema. Also welche Strategien verfolgen man da als Unternehmer? Also nehme ich das vielleicht in Kauf, weil die Opportunitätskosten einfach größer sind, oder? Also welchen, welchen Umgang erlebt ihr da im Alltag?

[00:36:01.830] – André
Also ich glaube, es ist bei uns ganz praktisch in der Arbeit mit dem Unternehmen ist es so, dass das Thema durch diese Bußgelder und weil halt die Informationen nicht – Ich bleibe mal bei holzschnittartig, wenn ich jetzt im Vorstand von einem Mittelständler bin oder Geschäftsführer, Geschäftsführerin, dann kommt halt nicht alle Informationen bei mir an, sondern dann kommt halt nur Bruchstücke und Buzzwords bei mir an und dann kommt halt irgendwie Datenschutz, Tracking, Rechtsunsicherheit, Millionenklage oder so. Und dann bist du natürlich sofort on fire und versuchst rauszufinden, was da abgeht und was los ist. Und das hat natürlich dem Thema einen ganz anderen Stellenwert in den Projekten gegeben oder auch in den Anfragen oder auch in den Diskussionen, wenn wir eben Tracking Infrastrukturen damit, mit Unternehmen diskutieren, dass dann doch mal eine höhere Entscheidungsperson da reingucken will und das erklärt haben möchte. Und deswegen arbeiten wir da natürlich auch viel enger mit den Datenschützern vorher zusammen, wie du es gesagt hast, um ein Konzept zu machen, wo die auch vorher schon sagen, ja, da können wir mitgehen, um eben diese Opportunitätskosten, Rechnungen möglichst übersichtlich zu halten. Dennoch ist es eben so, dass erst mal viel passieren muss. Also wir hatten es ja vorhin von den verschiedenen Stacks. Was mache ich, ich mach’s, Google Stack, ich mache ein anderes Stack. Wenn ich das Google Stack nutze, wie, was sind meine Opportunitätskosten? Was kann da genau passieren? Wie schlimm kann es denn werden? Mit welcher Wahrscheinlichkeit tritt der Fall ein? Das ist so die Rechnung, die wir dann aufmachen. Okay, die Wahrscheinlichkeit, dass da was passiert, ist so und so hoch. Gibt es auch verschiedene Levels, die man da anwenden kann? Das machen wir auch eben diese Abgrenzung zu sagen: Hey, das ist ein Level, da tracken wir nicht viel, da kann dann auch nicht mehr viel passieren. Es gibt aber andere Levels, gerade im E-Commerce. Da sind wir bereit, größere Risiken einzugehen, um eben mehr Daten zu bekommen, um Werbung anders steuern zu können. Aber dann haben wir natürlich auch ein höheres Restrisiko mit einem gewissen Schaden, der dann auch entsteht in dem Fall. Die Frage ist einfach, wie viel mehr Geld verdiene ich, wenn ich das mache? Und die Rechnung machen wir schon auf und gucken uns das dann auch mit den Entscheiderinnnen und Entscheidern im Unternehmen an.

[00:38:00.060] – Falko
So ist letztlich das auch, wenn ich gefragt werde, dann ist das Endziel der Beratung, dass die eine klare Risikoanalyse machen können, das Thema betriebswirtschaftlich bewerten können und sagen können: Okay, wenn ich das jetzt so mache, dann droht mir das. Wenn ich das völlig ungeprüft mache, dann kriege ich sehr wahrscheinlich das in den Rücken. Und ich habe jetzt hier ein Risiko, das macht 10.000 € aus und ich habe hier eine Erfolgsaussicht, die macht 100.000 € aus.

[00:38:28.680] – André
Dafür gibt es solche Audits, dass man sagt: Hey, ich lasse mich jetzt mal prüfen, wie von einem Externen. Und dann ist es halt meine Erfahrung immer gut, wenn du Sachen hinlegen kannst und dann sagen: Hey, guck mal wir haben uns Gedanken gemacht, wir haben eine Dokumentation, wir haben eine Abwägung und man kann das direkt hinlegen. Da sind ja die meisten schon fertig, dass es das gibt. Cool, das haben wir vorbereitet. Und im Endeffekt ist es ja nichts, als ein paar Meetings zu dokumentieren. Also man muss ja nur mitschreiben, was man jetzt vereinbart hat und warum man das machen will. Das ist gar nicht so wild. Und dann machst du es noch hübsch und dann hast du quasi Dokumentation. Also jetzt – Ich überspitz das, aber es ist nicht irgendwas, was man nicht – Es ist kein eigenes Projekt, sondern es ist quasi eine Dokumentation der Entscheidungen und der Entscheidungsfindung vielleicht, die man am Ende halt noch mal zusammenfasst und so das ist jetzt mal meine Trackingdokumentation, die kann ich auch irgendwo vorlegen und damit laufen zumindest die Audits besser. Mehr ist bei uns nicht passiert, aber in den Audits kann man damit ganz gut.

[00:39:20.790] – Falko
Vom Datenschutzbeauftragten zum Beispiel.

[00:39:23.370] – André
Das machen also einige unserer Kunden regelmäßig, das da halt einfach dann drüber geguckt wird, was da getrieben wird und dann reichen die Dokumente um, um Frieden zu stiften. Andersrum auch was du gesagt hast, haben natürlich ich glaube erst diese hohen, drohenden Bußgelder die großen Konzerne dazu gebracht, mal drüber nachzudenken. Also wie du sagtest, vorher hätten die ja nicht angefangen irgendwie mal da in die Richtung: Ja, wir machen Rechenzentren in Europa und verschlüsseln Daten aus Amerika kommen. Die hatten ja gar keine Sensibilität für das Problem. Und erst jetzt ist es halt einfach mal so hochgekommen, dass man sagt, wenn man das nicht machen, wird es vielleicht doch blöd. Also wir winken das Problem nicht durch, sondern besprechen es auch mal im Vorstand oder zumindest in den oberen Etagen.

[00:40:02.490] – Falko
Ja, der Datenumgang mit den Daten in den USA ist ein ganz anderer als bei uns. Die USA sagen halt, du darfst Daten nutzen, bis derjenige widerspricht und bei uns ist es genau umgekehrt. Du musst erst die Einwilligung einholen oder eben einen anderen Rechtsgrund dafür haben. Aber dann darfst du es nutzen und er kann dir das jederzeit wieder – Also es ist eine ganz andere Herangehensweise. Die Amis sagen erstmal ausprobieren und gucken, wie du es gerade eben geschildert hast. Die Europäer sagen erstmal die Einwilligung einholen, alles sauber aufstellen und dann kann…

[00:40:32.690] – Lars
André, du hast gerade gesagt, Dokumentation ist wichtig. Ihr dokumentiert quasi die Entscheidungen, die getroffen werden, was denn gemacht werden soll. Da gibt es ja dann schon noch so eine, so eine Grenze, würde ich sagen an der Schnittstelle zu den Diensten. Also die versprechen einem ja heutzutage auch schon ganz schön viel, dass quasi die Daten auf EU Servern verarbeitet werden und keine Ahnung was alles. Wie ist es denn mit diesen Versprechen, Falko? Aus Rechtsicht sind die, kann man sich darauf verlassen oder wie würdest du das einschätzen?

[00:41:00.320] – Falko
Wenn sie valide sind ja. Sprich sie müssen…

[00:41:03.590] – André
Der Anwalt spricht.

[00:41:04.730] – Falko
Sie müssen nachweislich funktionieren, die Versprechen. Und das kommt sicherlich auf das Unternehmen drauf an, da gibt es verschiedene Unternehmen, wo ich bei dem einen wäre ich vielleicht skeptisch, bei dem anderen nicht. Es muss halt geprüft werden. Also wie gesagt, also Microsoft sagt MS 365 ist datenschutzkonform. Ist es zu großen Teilen. Aber eben der Landesdatenschutzbeauftragte von Baden-Württemberg hat gesagt: Nein, da sind einfach noch ein paar Macken, die eben datenschutzrechtlich die Nutzung für eine Behörde nicht zulässig machen. Und das muss Microsoft abstellen und dann wird das sicherlich auch irgendwann dahin gehen. Nur es ist auch ganz klar Microsoft 365 ist nicht wegzudenken aus dem täglichen Unternehmerleben. Die meisten Unternehmer nutzen Microsoft 365 und wenn dann ein Unternehmen einmal gehackt worden ist und von dem Forensiker, der da im Hintergrund saß, geraten wird, dass man am besten auf MS 365, also Office 365, umsteigt und dort alles in der Cloud hostet, dann ist das natürlich auch so eine Geschichte, wo man dann sagt: Hm, also die IT Sicherheit scheint da besser zu sein als auf den eigenen Firmenservern, wo ich das Zeug laufen lasse. Und das sind halt auch Dinge, die man sicherlich berücksichtigen kann. Aber für mich geht das alles – Das entwickelt sich jetzt noch weiter und ich glaube, die Ausgangssituation eben aus datenschutzrechtlicher Sicht ist gut, dass die Sensibilität für den Datenschutz ist hoch und da – Und jetzt gibt es ja diesen, der geht im September, glaube ich, diesen Jahres diesen Data Governance Act, dass man eben versucht, Daten auch nutzen zu können für bestimmte Anwendungen, dass Bürger freiwillig Daten spenden können usw., und so fort. Dass man eben jetzt die andere Seite betrachtet und sagt wo geht es denn mit der Datennutzung hin? Und ich glaube, das wird als Ausblick dann auch dahin führen, dass das alles in professionellere Bahnen gelenkt wird und einfach auch unterm Strich dann unaufgeregter genutzt wird. Und es ist halt eben wichtig, dass man tief in die Themen einsteigt und dass man sich immer wieder vergegenwärtigt: Was mache ich da, wofür mache ich das und was ist mein Zweck bei der ganzen Geschichte?

[00:43:23.060] – Lars
Das heißt, diese, wir haben es jetzt immer wieder holzschnittartig genannt. Diese holzschnittartigen Argumente führen in der Praxis aber nicht zu holzschnittartigen Ergebnissen sozusagen, sondern eigentlich zu einem differenzierteren Umgang.

[00:43:36.440] – Falko
Ne, umgekehrt. Diese holzschnittartigen Argumente führen dazu, dass man schnell nein sagt. Aber eine differenzierte Betrachtung von Anfang an und eben keine holzschnittartigen, dass ich mir wirklich angucke: Warum setze ich nur zehn Tracker ein oder zwölf, 15, dann funktioniert das. Wenn ich aber 150 Tracker einsetze, dann muss ich schon ganz schön weit rausschwimmen, damit ich das alles begründen kann, warum ich das brauche. Und bei 150 Trackern würde ich mal sagen, die Chance, dass das, oder dass da viel Überflüssiges eingesetzt wird, ist relativ groß und das kann man abschalten. Und das ist nur mit einer differenzierten, wirklich tiefgehenden Betrachtung möglich. Holzschnittartige Betrachtung komme ich immer zu einem nein, kann ich nicht nutzen, ist rechtswidrig. Das ist ja das Problem, dass ich eben wirklich, wenn ich mich nicht mit den Dingen ausreichend auseinandersetze, sehr schnell zu dem Ergebnis kommen muss. Das geht nicht, weil ich habe einfach auch nicht genügend Wissen, um ja oder nein zu sagen, um zu sagen, welche Daten werden denn da erhoben. Das ist ja bei einigen Tracking oder bei einigen Unternehmen, die Tracking Tools einsetzen, wenn man dann einfach mal fragt was nutzt ihr denn von den Daten oder welche Daten nutzt ihr denn da? Ja, da kannst du sagen okay, schaltet es ab.

[00:44:49.760] – Lars
Dann versuche ich es mal in ne Empfehlung zu übersetzen. Also wenn ich, wenn ich nicht bereit bin, mich da tiefer reinzufuchsen, dann komme ich zu einem holzschnittartigen Ergebnis für mich. Aber ist eigentlich – Wenn ich wirklich wirtschaftlich damit arbeiten will, dann muss ich da reingehen, dann muss ich, muss ich eben diese differenzierten Grundlagen schaffen.

[00:45:04.190] – Falko
Muss ich mir genau angucken, was mache ich und wozu.

[00:45:06.770] – André
Eben um die Opportunitätskosten unter Kontrolle zu halten. Weil sonst kann es natürlich gegen deine Wand laufen, wenn du nicht quasi nicht trackst oder halt einfach ganz rudimentär.

[00:45:16.310] – Falko
Und wenn du eben ohne Hirn trackst, also ohne die, die, die, die, die – Ohne den richtigen Unterbau. Dann kann es sein, dass se bei der Datenschutzbehörde vor die Wand läufst und dann auch ein Bußgeld kriegt. Aber das ist für mich immer dann – Oder man hat immer die Chance, das Thema auszuräumen, wenn man sich intensiv damit auseinandergesetzt hat und beschäftigt hat. Und das ist der, der, der springende Punkt bei der Thematik. Ich muss tief einsteigen, ich muss wissen, was ich mache. Dann kann man vieles auch begründen und die Datenschutzbehörden beraten, sogar wenn man Fragen hat. Also bevor ich dann sage: Nein, ich nutze es gar nicht, dann kann man auch hergehen und sagen also dann setze ich mich mal mit einer Datenschutzbehörde hin und frag mal, wie die das Thema hier sehen. Wenn man auf die Datenschutzbehörde zukommt und nicht holzschnittartig die Themen aufmacht, sondern wirklich detailliert begründet, warum, wieso, weshalb und denen auch ein Bild davon aufzeigt, in welche Richtung das gehen soll. Dann sind die ganz sicher dabei und beraten. Da können dann auch mal nein kommen. Aber is ja wurscht, da kommt man in jedem Fall mit weiter.

[00:46:23.790] – Lars
Bevor wir jetzt gleich zu so einer Art Fazit oder Ausblick kommen, würde ich gerne eine Sache noch mal vom Anfang aufgreifen, die André angesprochen hat, war das Thema Consent, weil das ja schon als Rechtsgrundlage da eine große Rolle spielt. Was, welchen Dingen stimmt der Nutzer zu und wie hole ich mir das ein usw.? Und es gab eine Zeit, da war das ein sehr, sehr präsentes Thema, weil alle aktualisieren wollten, mussten, sollten. Wie ist es da im Moment? Gibt es da aktuell – Ist es da ruhig an der rechtlichen Front oder gibt es da aktuelles Geschehen?

[00:46:54.900] – Falko
Da gibt es aktuelles Geschehen, da gibt es ein Urteil aus dem – vom 29.11, war der Geburtstag von meinem Vater, vom 29.11 vom Landgericht München auch. Die gesagt haben, ich muss das Consent Tool so konstruieren, dass ich auf der ersten Seite ein Ablehnen Button habe. Das war bisher nicht meine Meinung rechtlicher Art, weil es geht nur um eine Einwilligung einholen und eine Einwilligung hat nichts mit ablehnen zu tun. Das ist eine Willenserklärung und eine Willenserklärung, die einseitig ist, muss ich halt ganz einfach klicken, sagen ich will. Ich muss die informiert abgeben. Das steht in der DSGVO, dass da die Anforderungen für eine Einwilligung aufgeklärt aufgeführt werden. In dem Artikel sieben steht halt drin, dass ich das sehr genau und sehr klar darstellen muss, worin ich einwillige. Grundsätzlich finde ich so ein Ablehnen Button gut. Ob der nun auf der ersten Seite sein muss oder auf der zweiten Seite. Ich habe ja da vorne manchmal den Knopf Einstellungen und wenn ich dann auf der zweiten Seite dahinter das Thema habe und da steht dann, ich kann hier alles ablehnen, oder ich kann das differenziert machen. Dann finde ich, ist das aus meiner Sicht bisher auch okay. Das Landgericht Urteil, das Landgerichts, Landgerichtsurteil von München ging gegen Focus. Es war ein Verbraucherschutzverband, der gegen Focus geklagt hatte und ich bin mal gespannt, ob Focus da weiter dagegen vorgeht. Ich gehe davon aus und dann hat das erstmal keine Rechtskraft und dann geht das Ding eben in die nächste Runde und da wird man dann so lange eben ohne diesen Button arbeiten müssen. Aber wenn es dann zum BGH ginge und der sagt, also der Button ist verpflichtend, dann kann es möglicherweise noch zum EuGH gehen, aber dann ist das Thema eben gesetzt. Aber wir haben bei uns das TTDSG, das ist dieses Telekommunikationsdatenschutzgesetz. Genau, ich komme jetzt auf den vollen Namen nicht und da steht halt in dem in einem Paragrafen drin, dass ich für das Setzen des – Übrigens kein datenschutzrechtlichen Thema, sondern das kommt aus der E-Privacy Richtlinie und da ist es ein sozusagen, ich setze einen Cookie auf dem Rechner und da ist es dann aus dem allgemeinen Persönlichkeitsrecht kommt das eher und nicht aus dem, aus dem Datenschutz, wo eben ganz klar gesagt wird, wenn ich ein Cookie setze, unabhängig davon, ob der personenbezogene Daten erhebt oder nicht, brauche ich die Einwilligung desjenigen, der vor dem Rechner sitzt. Es sei denn, es ist unbedingt erforderlich für den Dienst. Und unbedingt erforderlich für den Dienst ist zum Beispiel ein Warenkorb Cookie. Wenn ich auf einer E-Commerce Website bin, ist die Spracheinstellung, die ich speichere, auf einer Website. Das sind die Dinge, die unbedingt erforderlich sind, ist aber auch noch nicht ausgeurteilt. Also insofern ist da auch noch ein bisschen Rechtsprechung drin. Aber ich kann nicht mit dem berechtigten Interesse zum Beispiel Tracking Tools setzen. Das geht nicht. Da brauche ich die Einwilligung und die Frage, das wird sich noch entwickeln und dann ist eben die nächste Frage: Wird es möglich sein, dass ich über verschiedene Dienste, sozusagen das Consent vorab schon über den Browser steuern kann? Das ist auch noch so oder es gibt so Tools, wo dann diese Dinger gesteuert werden. Damit habe ich mich aber noch nicht richtig auseinandergesetzt. Das wird aber dann eine Zukunftsfrage sein.

[00:50:14.280] – Lars
Aus der Praxis gefragt ist jetzt nur weil da es so ein Urteil vielleicht jetzt gibt auf Landgerichtsebene ist kein Grund für mich, hektisch zu werden, aber ich muss halt einfach beobachten, wie die aktuelle…

[00:50:21.840] – Falko
Genau, ich muss mir das angucken und es gibt mittlerweile viele, die haben diesen Ablehn Button auf der ersten Seite. Ich finde, das ist okay. Also wenn ich surfe, dann gucke ich mir immer genau an, auf welcher Website die ist. Und wenn das nicht irgendeine Website ist, die ich mag, sprich die ich auch häufig nutze, dann mache ich, nutze ich diesen Button. Wenn ich die häufig nutze, dann mache ich immer „Speicher alles“, weil von denen möchte ich halt auch gerne dann zum Beispiel beworben werden.

[00:50:49.650] – André
Aber sobald ich ja einen Account dort habe und ein Login und ich mich einloggen, kann das Cookie Banner für mich wegfallen, oder? Weil ich meine, ich habe das ja nicht, wenn ich Twitter oder Facebook oder Instagram oder Amazon benutze. Also dann muss ich ja irgendwie ne andere Geschäftsbeziehung gehen.

[00:51:04.950] – Falko
Dann habe ich einen Vertrag, Nutzungsvertrag und auf der Basis läuft das dann genau. Also Facebook, Instagram. Bei einem Webshop muss ich dann schon ein bisschen weiter schwimmen, damit ich da einen Nutzungsvertrag hinbekomme. Aber das habe ich zum Beispiel, wenn ich das digitale Angebot von einer Tageszeitung nutze, dann habe ich ganz genau diesen Nutzungsvertrag und da kann ich das dann auch entsprechend regeln. Und dann mache ich das eben mit der vertraglichen Basis. Nichtsdestotrotz muss ich eben darüber informieren und muss halt sehen, sind die Daten erforderlich für die Vertragsdurchführung? Also sprich brauche ich die unbedingt? Und wenn nicht, dann brauche ich eine Einwilligung. Das heißt also, die muss ich mir dann auch schon einholen. Die kann ich mir aber auch auf andere Art und Weise am einfachsten über das Cookie, über den Cookie Banner oder über das Content Management Tool einholen.

[00:51:50.250] – André
Also die Banner werden uns erhalten bleiben. Meinste.

[00:51:52.770] – Falko
Voraussichtlich. Es sei denn, es gibt eben diese Lösung, dass ich das über andere Portale machen kann, wo ich dann sozusagen meine Einwilligung oder meine Präferenzen hinterlege.

[00:52:01.260] – André
Im Browser quasi global des Speichers sozusagen.

[00:52:03.990] – Falko
Ja, dass das dann global gespeichert wird und immer wieder beim Aufruf der Seite abgefragt wird. Also die Engländer sind hergegangen und haben gesagt, wir brauchen das Ding nicht mehr, wir machen das nicht, haben keine, damit auch keine DSGVO mehr.

[00:52:17.820] – Lars
Es bleibt spannend. Lasst uns gerne zum Schluss so einen kleinen Ausblick wagen. Du hast jetzt gerade aktuelle Urteile zitiert und auch beiden angesprochen. Was haben wir denn in den nächsten Monaten zu erwarten? Was kommt da auf uns zu?

[00:52:32.070] – Falko
Also es wird dieses Privacy Shield die dritte kommen, also sprich auf Basis dieses, auf Basis dieser Executive Order des Präsidenten von der USA von 22 wird jetzt ein Angemessenheit Beschluss kommen und dann müssen sich die Unternehmen wieder zertifizieren lassen. Dann kann ich an alle zertifizierten Unternehmen Daten in die USA übertragen. Braucht nach wie vor die Einwilligung. Das ist nicht das Thema. Das wird irgendwann im Sommer erledigt sein. Dann wird im September, Ende September der Data Governance Act Anwendung finden. Das heißt, da geht es dann darum, Datennutzung, wie kann ich Daten austauschen, wie kann ich die sozusagen als Ergänzung zur Datenschutzgrundverordnung oder teilweise auch als Gegenpart – Das wird dann eine neue Größenordnung werden. Da geht es vor allem um KI, dass ich eben Daten in diesem Kontext relativ einfach und gut nutzen kann. Das ist ein großer Schritt. Ja, und was sich weiterentwickelt, also in Bezug auf das Content Management Tool, das müsste ich mir echt noch mal auch anschauen. Habe ich jetzt auch nicht, so bin ich nicht so state of the art, was das betrifft. Aber da wird sich eben, denke ich, die, die, diese ich weiß jetzt nicht – 26 TTDSG, da steht es drin, das weiß ich, aber ich habe mich da jetzt hierauf nicht vorbereitet.

[00:53:52.690] – Lars
Das heißt, wenn jetzt quasi das in Kraft tritt, dann gibt es danach aber wieder so ein Zeitraum, wo das dann erstmal Rechtssicherheit gibt und bis wieder irgendwas Neues sozusagen aus der Rechtsprechung folgt. Das heißt, man kann sich da erst mal drauf verlassen.

[00:54:04.210] – Falko
Also wenn das dann da ist und Google sagt, wir richten uns danach, dann kann bis neu – Genau, non of your business, Herr Schrems, Danke. Kann dann eben das Ding noch mal zerreißen, möglicherweise, oder auch nicht. Weil man halt sagt, also es sind eben ganz andere Ausgangssituationen. Und das finde ich halt auch ganz witzig, wenn ich mir überlege, wie die USA verteufelt werden als Datenhaltung. Und wenn man dann sieht, dass sich in die nach China auch Standard Vertragsklauseln auf deren Basis Daten übertragen von meinen Mitarbeitern zum Beispiel, die für mich an meinem chinesischen Standort arbeiten, dann geht es da wirklich um Menschenrechtsverletzungen. Und dann geht es da auch darum, ob die Leute in den Bau wandern oder nicht. Das sind dann für mich schon Dinge, wo ich mich echt frage warum misst man eigentlich einen gut funktionierenden amerikanischen Rechtsstaat mit solchen Mitteln und tritt den so vors Schienbein? Und China irgendwie ist in dieser Diskussion überhaupt nicht relevant. Sicherlich nicht, weil es in die breite Masse geht. Das ist ein Thema. Aber Datenübertragung nach China, finde ich, ist no go und…

[00:55:06.070] – André
Mit TikTok sehr aktuelles Thema, gerade was da passiert.

[00:55:09.730] – Falko
Und dasselbe ist eben Russen. Da haben wir jetzt mal Ruhe. Aber das war vorher auch nicht ganz sauber. Und da gibt es noch viele andere Staaten, die sich nicht an unser Datenschutzniveau halten, wohin trotzdem Daten übertragen werden.

[00:55:23.020] – Lars
Ja, sind wir auch dann schon schnell auf einer politischen, außenpolitischen Ebene.

[00:55:26.320] – Falko
Klar, das sind nur noch politische Themen, da habe ich auch als Jurist nichts mit am Hut. Und dann in der Phase.

[00:55:31.300] – Lars
Dann André, du als Unternehmer und als Mensch, der mit vielen Unternehmern zusammenarbeitet. Was nimmst du denn jetzt mit für die nächsten Monate?

[00:55:38.890] – André
Naja, auf jeden Fall die Hoffnung auf das Data Transfer Agreement. Also ich hoffe, dass da jetzt was zustande kommt und dass wir dann vielleicht auch mal in ein ruhigeres Fahrwasser kommen, rechtlich einfach, damit diese Unsicherheit mal weggehen, diese, diese ständige Nachfrage, diese holzschnittartigen Informationen da, was das das mal irgendwie, dass da von der Seite mehr Ruhe reinkommt. Andersrum lerne ich natürlich gerade diese noch intensivere Prüfung. Also diese sehr bewusste Konzeption, das, was ich einsammel, das ist für uns ja quasi auch ein neuer Schritt, mit Tracking Konzept Entwicklung, dass wir sagen: Hey, was brauchen wir denn wirklich? Also begin with the end in mind, track, was du brauchst, also das wir bewusst aus aus rechtlichen Gründen, aber vielleicht auch aus quasi Datensparsamkeit gründen, eben weniger Daten am Anfang einsammeln. Dass das bewusster passiert, dass man begründen kann, was man braucht und das eben auch kommuniziert, was da Sache ist, dass man prüft, was man prüfen kann. Das fand ich einen guten Spruch. Das werde ich mitnehmen, dass man das eben auch offenlegt. Wenn wir sagen, wir verlassen uns darauf, dass Google die Daten in Europa verarbeitet, dass wir das irgendwo hinschreiben, wo wir das her haben, vielleicht, das wäre auch ganz gut. Und am Ende natürlich das alles gut dokumentieren. Richtig schön fand ich das Thema Menschenrecht und das ist quasi ein Menschenrecht ist, dass wir vernünftig mit den Daten von Menschen umgehen und dass wir an diesen Nutzer halt zentral denken, wenn wir solche Infrastrukturen planen, das, das nämlich auf jeden Fall alles mit.

[00:57:05.020] – Lars
Vielen Dank euch beiden für den intensiven Austausch. Ich nehme auch eine ganze Menge mit. Ich finde das ein sehr hoffnungsvolles Ergebnis eigentlich, dass das ganz viel möglich ist, aber auch eben mit der Erkenntnis ich muss mich damit auch auseinandersetzen. Also ganz ohne Arbeit und ganz ohne einen bewussten Umgang geht es nicht. Das vielleicht auch für unsere Zuhörer:innen ganz, ganz wichtiger Appell. Nehmt das ernst, dann kriegt ihrs hin. Von daher finde ich es total spannend. Und wir haben ja schon gehört, da ist ganz viel Bewegung drin und mich würde es total freuen, wenn wir zu einem späteren Zeitpunkt auch einfach noch mal zusammenkommen und den dann aktuellen Stand besprechen. Das hat für heute ganz, ganz, ganz herzlichen Dank Falko, schön das du bei uns war es, dass du uns mitgenommen hast in die juristische Perspektive. Und danke auch André für deine Teilnahme und, und den Diskurs. Für mich war das sehr erhellend. Ich hoffe für unsere Zuhörer:innen auch.