gekennzeichnet.
Transkript zur Podcast-Folge. Diese Folge kann hier angehört werden:
Transkript zur Folge:
Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.
Hier ist wieder Stephan Plesnik für euch und ich bin wieder da mit Dr. Klaus Meffert. Klaus, wie geht es dir?
Ja, mir geht's gut. Hello wollte ich schon sagen, statt hallo. Wir waren ja kurz nach Fasching.
Also alles gut soweit. Ich freue mich, dass wir heute wieder sprechen.
Wunderbar. Ich habe eine interessante Frage mitgebracht und die möchte ich einleiten mit einem Zitat, das ich gerade gefunden habe.
Und zwar kommt das wohl sprichwörtlich aus China. Und da lautet es, verantwortlich ist man nicht nur für das, was man tut, sondern auch für das, was man nicht tut.
Und das passt aus dem Grund ganz gut, weil ich mir schon seit einiger Zeit die Frage gestellt habe, kann man mit der DSGVO Geld verdienen?
Und zwar aus folgendem Grund. Wir hatten ja mal diese Google-Fonds-Thematik, wo es dann so passiert ist, dass einige Leute als Privatpersonen Schadenersatzansprüche an Unternehmen gestellt haben, weil sie auf deren Webseiten gegangen sind. Dann wurden deren Daten, persönliche Daten automatisiert an Google übertragen, obwohl das nicht nötig war.
Dann haben sie gesagt, okay, weil das nicht nötig war und weil ich darüber nicht informiert wurde und ich nicht einwilligen konnte, steht mir jetzt Schadenersatz zu.
Und haben dann irgendwie unterschiedliche Summen verlangt. Mal waren es irgendwie 100 Euro, 150 bis 500, ging aber auch schon bis 1500 Euro.
Und dann gab es sehr viele unterschiedliche rechtlich gesehene Meinungen, was jetzt das Richtige ist.
Tendenziell war es aber so, dass diese Leute, die als Privatpersonen diese Schadenersatzforderungen gestellt haben, in unterschiedlichen Gerichtsurteilen dann den Zuspruch erhalten haben, dass ihnen der Schadenersatz zusteht.
Manchmal eben im Rahmen von 150, manchmal auch sogar bis 500 Euro.
So, und meine Frage war dann, naja, könnte man nicht, wenn ich jetzt als Privatperson einfach so morgens meinen Blog öffne und da reingucke, was in meinem Newsfeed drin ist.
Und dann habe ich da zum Beispiel, das ist jetzt das Beispiel von mir von heute Morgen, einen Artikel vom Stern, der wird mir vorgeschlagen.
Und ich denke, ach, das ist ja spannend. Jetzt gehe ich auf die Webseite von denen und da wird automatisch Tracking aktiviert.
Also meine Daten werden automatisch an ein Drittunternehmen übertragen, personenbezogene Daten, die dann tracken, was ich auf der Webseite tue, noch bevor ich in der Cookiebox irgendeine Einstellung vorgenommen habe.
Das sind auch Unternehmen, die in Amerika sitzen.
Damit ist ja eigentlich relativ ähnlich zu der Google-Fonds-Thematik.
Jetzt würde mich interessieren, Klaus, wie schätzt du das ein, wenn ich auf die Webseite gehe, ohne die Intention zu haben.
Also ich lese ja nur den Blogartikel. Ich möchte ja diese Infos haben.
Ohne die Intention zu haben, da einen Schadensersatz zu fordern.
Und ich sehe dann, da werden meine Daten übertragen.
Wäre es dann nicht eigentlich auch möglich, dass ich diese Schadensersatzforderungen gegenüber dem Unternehmen genauso äußere wie bei der Google-Fonds-Thematik?
Jetzt rein als Privatperson. Ich gehe nicht über einen Anwalt oder so.
Ja, ja. Also vielleicht zu dem Zitat. Das finde ich sehr gut.
Das hieß ja, man ist nicht nur für das verantwortlich, sondern auch für das, was man nicht tut sozusagen.
Nicht für das verantwortlich, nur für das, was man tut, sondern auch für das, was man nicht tut.
Also ich verstehe so ein bisschen auch in Richtung unterlassene Hilfeleistung oder Dinge nicht zu tun, obwohl sie moralisch dann fragwürdig wären.
Also da fällt mir eben die unterlassene Hilfeleistung ein.
Es ist also nicht so, wenn man jetzt im Datenschutz Dinge nicht tut, die positiv für den Datenschutz sind, dann ist man natürlich dafür nicht verantwortlich.
Das möchte ich nochmal herausstellen. Es wäre also eine Motivation für alle, bestimmte Datenverarbeitung einfach nicht vorzunehmen, zum Beispiel nicht Google Analytics zu benutzen, dann ist man auch nicht dafür verantwortlich. Ganz einfach.
Ich habe ja auf meinen Webseiten auch keine Einwilligungsabfrage und bin dafür auch nicht verantwortlich für diese nicht vorhandene Einwilligungsabfrage und auch nicht für diese Sachen, die ich nicht tue in der Hinsicht jetzt.
Aber das Zitat ist trotzdem sehr gut und gibt auch hier zum Nachdenken Anregung.
Jetzt zu dem Thema Google Fonds. Also mir ist nur ein Urteil bekannt, was zumindest den Internetbereich angeht, wonach jemand diesen Schadenersatz bekommen hat. Das ist nämlich dieses Google Fonds Urteil.
20.01.2022, 100 Euro Schadenersatz hat der Kläger bekommen.
Und jetzt kommen wir zu dem Beispiel, das du angeführt hast.
Du besuchst eine Webseite in guter Absicht, also du möchtest da einen Artikel lesen.
Du machst es nicht in der bösen Absicht sozusagen, weil du da Fehler finden willst und dir geht es gar nicht um die Information, sondern du möchtest einfach nur dich bereichern.
Was übrigens auch nicht unbedingt verboten ist, solange du nicht darüber berichtest, dass du das so machen möchtest, sondern so tust, als wärst du draufgegangen und hättest da nach Informationen gesucht.
Aber gehen wir mal von dem positiven Fall aus.
Du bist also ein Leser, ein Interessierter und dann begegnet dir dieser Datenschutzverstoß.
Du kannst natürlich als Privatperson auch ohne Anwalt ein Gerichtsverfahren führen beziehungsweise eine Abmahnung erlassen oder eine Schadenersatzforderung stellen.
Also es ist so, für das Amtsgericht Streitwert bis unter 5.001 Euro braucht man keinen Anwalt.
Ab dem Landgericht braucht man dann einen Anwalt.
Das heißt, da darf man es gar nicht ohne Anwalt machen.
Und bei diesen Verstößen, da kommt es ja schon durchaus mal vor, dass man bei dieser Schwelle von über 5.000 Euro ist.
Insofern bräuchte man einen Anwalt.
Aber für eine Abmahnung braucht man keinen Anwalt.
Ich kenne ein paar Leute, die schreiben ihre Abmahnungen selbst.
Aber da sind ein paar Fehler manchmal drin.
Es ist übrigens ja auch schon eine Abmahnung, wenn man jemanden auffordert, etwas nicht mehr zu tun.
Da steht dann auch nicht Abmahnung drinnen als Begriff, sondern es ist eine außergerichtliche Streitbeilegungsmöglichkeit, Einigungsmöglichkeit.
Das ist die Abmahnung.
Der Jurist sieht es positiv.
Also außergerichtliche Einigungsmöglichkeit.
Wenn wir beide eine Abmahnung bekommen, dann sehen wir das nicht so positiv.
Dann ist es für uns ein Riesenproblem.
Für mich mittlerweile nicht mehr so.
Ich bin das gewohnt.
Ich habe auch immer wieder mal Erfolg gehabt mit Leuten oder Institutionen, die meinten, die müssten mich abmahnen.
Und es ist aber so.
Ich kann nur empfehlen.
Ja?
Nein, bitte.
Sprich weiter.
Ja.
Also ich kann nur empfehlen.
Also zumindest, wenn man ein relativ einfach zu verstehendes Schreiben abschickt.
Bitte.
Ich möchte nicht, dass Sie das machen.
Lassen Sie das bitte sein.
Ansonsten kriegen wir ein Problem oder so, wenn man das ein bisschen höflicher formuliert.
Das kann man natürlich selbst schreiben.
Wenn man aber jetzt eine Abmahnung, die den Namen verdient, also wo der Jurist auch so ein bisschen erkennbar ist, juristische Dinge erkennbar sind, wo man sieht, der meint es ernst, wirklich, dann sollte man vielleicht schon einen Anwalt nehmen.
Zumindest beim ersten Mal.
Oder ich habe das auch schon gemacht.
Ich habe schon eine Abmahnung erlassen gegen, ich will jetzt gar nicht zu konkret werden, eine Institution, bei der ich Kunde bin.
Und da ging es aber nur um die Webseite.
Und diese Abmahnung war erfolgreich.
Die habe ich selbst geschrieben.
Ich habe aber, um da keine formalen Fehler zu machen, mir vom Anwalt ein, zwei Stunden eingekauft, damit er da drüber schaut und mich berät.
Das würde ich auf jeden Fall empfehlen, wenn man es das erste Mal macht.
Da bildet man sich ja auch weiter.
Es ist also nicht nur eine Ausgabe, sondern man hat ja auch ein bisschen Erkenntnisgewinn.
Und natürlich kann man gegen jeden vorgehen, der einen Rechtsverstoß begeht.
Man muss immer sagen, der Meinung ist, in Wirklichkeit ist es ein Rechtsverstoß, aber es muss dann immer erst bis von irgendeinem Gericht gehen, bis das dann sagt, ja, der darf hier nicht parken, weil hier ein Parkverbotsschild steht.
Man kann über alles streiten, obwohl es dem normalen Menschen eigentlich klar ist.
Das ist leider so.
Oder manchmal auch zum Glück.
Und dann ist es aber so, Google Fonts und Analyseprodukte darf man nicht ganz miteinander vergleichen.
Es ist nämlich so, bei Google Fonts gibt es ein ganz einfaches Mittel, wie man es anders machen kann.
Man muss nämlich die Schrift nur runterladen und sie dann lokal einbinden.
Das ist erlaubt.
Da gibt es Lizenzbedingungen, die kann man einsehen.
Das sind ja übrigens auch keine Schriften von Google.
Das sind Schriften von dir und mir und zehn Millionen anderen Designern auf der Welt.
Also wenn wir es wären.
Sie nutzen einfach nur die Google Server, weil Google die bereitstellt, damit sie Daten sammeln können.
Überall steht, man darf diese Schriften auch so verwenden.
Wenn ich aber jetzt ein Analyseprodukt verwende, wie zum Beispiel Google Analytics, dann kann ich natürlich nicht sagen, ich verwende einfach was anderes und das ist gleichwertig.
Insofern wäre der Schadenersatz dann so nicht gegeben.
Allerdings bei Google Analytics zum Beispiel gibt es zahlreiche Gründe, warum da eine Einwilligung erforderlich ist.
Da muss man eigentlich auch nicht drüber streiten.
Also da würde ich es drauf ankommen lassen.
Da würde man gewinnen, sage ich mal, wenn man es richtig macht mit der Klage.
Da sollte man eine Einwilligung abfragen.
Datentransfer in die USA, Nutzerprofilbildung.
Da werden immer Cookies, die nicht notwendig sind, eingesetzt.
Das kann man technisch beweisen.
Da muss man nicht lange rumdiskutieren.
Das kann man hart beweisen.
Und Endgerätzugriff auch noch, der kein Cookie ist.
Wenn keine Einwilligung vorliegt und Google Analytics geladen wird, kann man da gerne auch mal eine Schadenersatzforderung stellen.
So würde ich jetzt mal deine Frage zuerst beantworten.
Okay, super.
Jetzt waren wir aber wieder beim Thema Google.
Bei mir ist es jetzt so, wenn ich mir das überlege, was da an Tracking-Tools eingesetzt wird.
Du hast ja gerade gesagt, man kann die Argumentation bringen, gibt es Alternativen und so weiter.
Jetzt muss ich sagen, die Alternative zum Tracking ist ja auch nicht Tracking.
Ich muss ja als Unternehmen, um Informationen bereitzustellen, kein Tracking durchführen.
Das ist ja nicht notwendig.
Dementsprechend könnte ich doch dann auch sagen, na ja gut, ihr habt meine Daten an eine Drittpartei übergeben, ohne mich zu informieren.
Und das habt ihr aus einem Grund getan, der mit der Informationsbereitstellung nichts zu tun hat.
Das ist doch eigentlich die gleiche Ebene wie bei Google Fonts dann.
Ja, also nicht ganz.
Bei Google Fonts geht es ja darum, dass man sie einfach durch eine lokale Kopie ersetzen kann.
Bei Google Analytics kann ich es so nicht machen.
Ich könnte natürlich Server-Side-Tracking machen.
Das muss man allerdings schon sagen.
Dann bekomme ich zwar in Google Analytics-Dashboard nicht alle Daten, die ich sonst bekomme, nämlich nicht alle nutzerbezogene Daten oder am besten gar keine, aber ich kann das machen.
Also ich kann Nutzer bis zum gewissen Grad nachverfolgen, ohne Einwilligung, mit Matomo zum Beispiel oder mit Google Analytics über die Server-Seite, wenn ich es ganz korrekt mache.
Aber wie du schon sagst, Google Analytics in der Vollausprägung, da hat niemand ein Recht drauf, das ohne Einwilligung zu machen.
Und wenn ich jetzt kein…
Also Tracking jetzt mal allgemein.
Sind wir uns einig darin, dass Tracking nicht notwendig ist?
Ja, die Frage ist, was man unter Tracking versteht.
Naja, alleine…
Es ist nicht notwendig, sagen wir mal so, für die Bereitstellung der Infoanimation auf einer Webseite ist es ja nicht notwendig, dass ich erfahre, wer die Information konsumiert.
Das ist zur Bereitstellung der Information nicht notwendig.
Genauso wie es nicht notwendig ist, eine bestimmte Schriftart zur Darstellung zu nutzen, die ich nicht selber lokal hoste.
Das ist doch eigentlich dieselbe Ebene, oder?
Ja, nicht ganz. Also unter uns vielleicht schon.
Aber man kann auch sagen, notwendig für den Webseitenbetreiber ist es schon, dass er zum Beispiel über die Nutzer was in Erfahrung bringt, weil er seine Seite sonst nicht betreiben kann, weil er sonst kein Geld hat, um die Seite zu betreiben.
Das ist allerdings eine Argumentation, die kann man nur bis zu einer gewissen Tiefe treiben.
Das geht nicht so weit, sage ich, und das wird sicher auch jedes Gericht dann hoffentlich sagen, dass man da Google Analytics einfach so laden kann, nur weil man seine Webseite bezahlen möchte, damit man die bereitstellen kann.
Also was ich als Tracking verstehe vielleicht erst mal, ein webseitenübergreifendes Nachverfolgen von Nutzern, und zwar webseitenübergreifend über die Webseiten verschiedener Verantwortlicher hinweg wohlgemerkt, nicht über mehrere eigene Webseiten.
Das würde ich dann als eine Webseite sehen, wenn es mehrere eigene sind oder Subdomänen eigene.
Also über mehrere Webseiten hinweg, das passiert ja gerade bei Google Analytics und bei anderen Analyse-Tools teilweise auch, die eben weltweit Nutzer analysieren.
Und bei Google und anderen, bei Adobe sicherlich auch, da wird ja durch Google Fonts und Google Maps und sonst irgendwas und die Google Suchmaschine, Android, wird ja noch weitere Signale des Nutzers empfangen.
Also erstens über mehrere Webseiten hinweg und zweitens über einen längeren Zeitraum hinweg.
Ich kann auch sagen, vielleicht reicht doch nur eines der beiden Kriterien.
Was meine ich damit?
Das Gegenbeispiel wäre zum Beispiel, ich analysiere nur, ob du auf meiner Webseite warst.
Alle anderen Webseiten kenne ich nicht in der Hinsicht.
Und ich mache das auch nur für eine Sitzung.
Also das heißt, wenn du den Browser schließt oder von meiner Seite weggehst und dann wieder neu reinkommst, irgendwann drei Stunden später weiß ich nicht, dass du vorher schon mal da warst.
Also da denke ich, das kann man machen, aber da sollte man kein Cookie dafür verwenden, weil Cookies ja unbedingt erforderlich sein müssen laut Paragraph 25 TDDSG, damit sie keine Einwilligung bedürfen.
Da gibt es kein berechtigtes Interesse.
Das gibt es nur für Nicht-Cookie oder Nicht-Endgerät-Zugriffe.
Das heißt, wenn ich über Matomo, wenn ich es korrekt konfiguriere, dich zähle und zwar nur als Zähler sozusagen, du selbst interessierst mich gar nicht, auch nicht deine IP-Adresse direkt und das nur in einer Sitzung mache, dann sage ich, kann man das einwilligungsfrei machen.
Natürlich muss ich deine IP-Adresse nehmen, die kriege ich ja sowieso.
Das ist ja nicht verboten, weil ich sie sowieso kriege.
Ich darf sie halt nur nicht speichern.
Ich sollte sie in einen Hash-Wert verschlüsseln, der aber nach der Sitzung keine Bedeutung mehr hat.
Das heißt, wenn du in einer neuen Sitzung reinkommst am nächsten Tag oder sieben Stunden später dann mit derselben IP-Adresse, dann weiß ich nicht, dass ich dich vorher schon mal hatte als Besucher.
Das, sage ich, ist kein Tracking, sondern das ist für mich ein Besucherzähler.
Okay, kommen wir mal zurück wieder zu der Frage, kann ich damit Geld verdienen als Privatperson?
Ich gehe jetzt auf die Webseite und da passiert etwas, wo meine Daten an eine Drittpartei ohne mein Wissen übertragen werden.
Das ist schon ein Verstoß gegen die DSGVO, weil ich muss darüber informiert werden, dass meine personenbezogenen Daten mit irgendjemandem geteilt werden, egal wer es ist.
Ja, wenn kein Auftragsverarbeitungsvertrag vorliegt, kein gültiger.
Okay, gut, wenn der vorliegt und das ist jetzt ein Tracking-Tool, das dazu dient, zu erfassen, wer ich bin und was ich auf der Webseite tue.
Und dieses Tool wird von einer Drittpartei betrieben, also nicht auf dem eigenen Server, nicht Matomo, sondern irgendwer anders, unabhängig, wer es ist.
Und dieses Unternehmen sitzt in den USA.
Dann sitzt es laut der aktuellen Rechtsprechung ja in einem Land, das nicht vertrauenswürdig ist, was den Umgang mit personenbezogenen Daten angeht.
Dementsprechend habe ich einen Use-Case ähnlich wie der Google-Fonds-Thematik.
Ich kann also argumentieren, zu sagen, sie haben meine Daten an jemand anders übertragen, ohne dass ich das wusste.
Und das ist nicht notwendig für den Betrieb ihrer Webseite.
Denn das passiert ja auf einem Drittserver.
Also kann es ja gar nicht notwendig sein für den Betrieb der Webseite.
Dementsprechend könnte ich ja dann sagen, ich besorge mir so einen Mustertext aus dem Internet.
Also ich habe zumindest ungefähr 20 Stück gefunden, die alle fast identisch im Wortlaut waren, als ich mal danach gesucht habe, wie das da mit diesen Google-Fonds-Thematiken abging.
Und da wird auch nicht darauf eingegangen, dass es jetzt um Schriftarten gehen muss oder so, sondern es ging um einen Dienst eines amerikanischen Unternehmens, mit dem personenbezogene Daten geteilt wurden, ohne meine Einwilligung.
Dementsprechend hat diese Person dann den Schadenersatz gefordert.
Wohlbemerkt habe ich auch nachgeschaut, das ist ganz wichtig, die Leute, die damit durchgekommen sind, dass die Unternehmen den Schadenersatz gezahlt haben, sind alles Leute gewesen, die das nicht über einen Anwalt gemacht haben.
Ab dem Moment, wo es mit dem Anwalt und der Abmahnung ging, ging dann so eine Welle los, wo natürlich wieder irgendwelche Anwälte gewittert haben, wir können da mal schnell viel Geld verdienen, wenn immer dieselbe Person eine Abmahnung an irgendwen stellt.
Da sieht man dann ein System, dann klappt das nicht.
Aber jetzt als reine Privatperson, ich nehme mir so einen Mustertext, schreibe jetzt stern.de an, sag denen hier, ich war zu dem Zeitpunkt auf eurer Webseite, ich hab den Link aufgerufen, um den Artikel zu lesen, und dabei wurden meine Daten übertragen.
Ich hätte jetzt gerne 100 Euro von euch.
Wie, also erst mal nur auf der rechtlichen Seite.
Da hab ich dich jetzt richtig verstanden.
Auf der einen Seite sagst du, du würdest wahrscheinlich eher einen Anwalt konsultieren, damit das Schreiben richtig aufgesetzt ist.
Gehen wir mal davon aus, wir haben jetzt ein richtiges Schreiben, und wir können uns darauf verlassen, dass das irgendwie anwaltlich geprüft wurde, bevor ich das geschickt habe.
Siehst du dann da hohe Erfolgschancen, oder denkst du, das muss immer erst über eine Klage laufen?
Ja, also vielleicht zunächst stimme ich dir erst mal zu.
Bei diesem Datentransfer in die USA und auch bei allen anderen Dingen.
Als Datenschützer sage ich da sofort ja.
Wir sind einer Meinung.
Ich differenziere das jetzt nur ein bisschen in der Diskussion, weil ich davon ja auch ausgehe, dass die Gegenseite sich wehrt.
Und deswegen, wenn ich dir jetzt immer recht gebe in allem undifferenziert, dann ist es blöd, wenn dann am Ende geht man gegen jemand vor, der dir nicht recht gibt, und dann sagst du ja, das hätte er mir vorher mal sagen können.
Dann hätten wir ja auch gar kein Thema zum Diskutieren.
Genau, also ein bisschen ausführlicher herauszuarbeiten.
Aber grundsätzlich ist es so, wie du sagst.
Datentransfer in die USA ist eine sehr schlechte Idee.
Da gibt es keine Rechtsgrundlage.
Das wird sich auch nicht dadurch ändern, falls die Europäische Kommission dann mal wieder in die USA trifft, Datenschutzabkommen.
Das wird erstens nicht kommen so schnell, wenn es überhaupt kommt.
Und zweitens wird es auch nicht haltbar sein.
Also sollte man sich nicht darauf verlassen.
Immer nur dieses Ja, es ist ja dann wieder erlaubt.
Das ist asozial, finde ich.
Genau wie das asozial ist, was ich heute gelesen habe.
Die Bundespressestelle wurde vom Bundesdatenschutzbeauftragten aufgefordert, die Facebook-Fanpage einzustellen, weil sie nicht rechtskonform betreibbar ist.
Was hat das Bundespresseamt gesagt?
Facebook wäre verantwortlich für diese rechtswidrige Datenverarbeitung, heißt es, die Bundespressestelle, Bundespresseamt, möchte gerne, der Herr Hebestreit ist der Pressesprecher, möchte gerne diese wohl unstrittig rechtswidrige Plattform weiter nutzen.
Und zwar nicht, weil sie rechtswidrig sei, was ja blöd ist, sondern sie ist rechtswidrig, aber man ist ja nicht selbst dafür verantwortlich.
Aber jetzt zu dem Thema mit dem Musterschreiben.
Natürlich ist es keine Frage der Moral, ob man ein Schreiben selbst schreibt oder ein Musterschreiben nimmt erst mal.
Das kann man zwar ein bisschen differenzieren, aber grundsätzlich ist es natürlich moralisch in Ordnung, wenn man eine Vorlage nimmt.
Man muss auch keinen Anwalt nehmen, da hast du recht.
Es ist nur aus meiner Erfahrung so, wenn man ganz wenige dieser Schreiben schickt, dann wird man weniger Erfolgschancen haben.
Das heißt, man wird mehrere Schreiben schicken müssen oder ein bisschen Glück haben müssen.
Ich finde auch, jeder sollte das machen.
Wenn er ein Leser einer bestimmten Webseite ist oder ein normaler Besucher und sieht einen Datenschutzverstoß, dann ist das ein sehr verantwortlichen Vorgehen.
Wie auch immer, das kann man machen durch ein höfliches Anschreiben erst mal.
Und wenn der andere nicht reagiert oder alles abstreitet, dann kann man schon mal deutlicher werden.
Bis hin zur Abmahnung mit einem Anwalt vielleicht oder zur Klage.
Es gibt ja mehrere Stufen.
Man kann durchaus ohne Anwalt so ein Schreiben machen.
Und ich fordere auch jeden auf, der das aus moralisch guten Gründen tut, das zu tun.
Man sollte sich nicht gefallen lassen, von irgendwelchen Webseiten Daten misshandelt zu bekommen, die dann auch noch anderen, unseren Konzernen zugutekommen und unsere Wirtschaft schädigen.
Und wir als Steuerzahler, die meisten von uns sind ja wahrscheinlich Steuerzahler, die müssen dann selbst dafür Geld bezahlen letztendlich.
Dass jemand anders meine und deine Daten weitergibt.
Also beim Stern zum Beispiel, da muss man nicht besonders viel Rücksicht nehmen.
Oder beim Spiegel Online, denn das sind Journal oder Webseiten, die wissen, dass sie Datenschutzverstöße haben.
Die sind schon mehrfach angeschrieben worden.
Da kann man ruhig direkt deutlich werden.
Und könnte man theoretisch auch gleich einen Anwalt nehmen.
Also ich sage mal, man hat halbwegs Chancen ein Musterschreiben, wenn das nicht schon siebenmal aufgeschlagen ist.
Dann gibt es nämlich eine Verteidigungsstrategie.
Dann denkt sich das Unternehmen, wenn ich jetzt dreimal bezahle und beim zehnten Mal frage ich mich, wenn ich jetzt nochmal bezahle, zehnmal, dann kommen nochmal 100, dann muss ich ja wieder bezahlen.
Also entweder stelle ich dann den Verstoß ab oder bei manchen, die renitent sind, meinen dann, sie könnten sich da juristisch rausfinden.
Also das heißt, ich würde, wie gesagt, empfehlen, diese Musterschreiben sollte man gerne ein bisschen verändern.
Man kann die sicherlich auch immer mal verbessern und eine persönliche Note beifügen.
Dann hat man auch mehr Eindruck.
Dann sollte man das ein bisschen konkreter machen, was man auf der Webseite gemacht hat.
Das kann ja in so einem Musterschreiben nicht drinstehen, weil das weiß ja niemand außer einem selbst, was man da gemacht hat. Dann ist das auch persönlicher und klingt auch glaubwürdiger, weil es ist auch vor Gericht.
Wenn man dann vor Gericht geht später, weil man meint es ja ernst, dann sollte man vielleicht auch vor Gericht gehen, wenn der andere diese Sachen nicht abstellt.
Ich finde so halbherzige Aktionen nicht gut, ehrlich gesagt.
Zum Üben kann man das mal machen, halbherzig, aber man sollte es irgendwann auch mal durchziehen.
Das tut uns allen auch gut, wenn man das aus guten Gründen gemacht hat, dieses Schreiben, dann hat es vor Gericht auch mehr Erfolg.
Weil wenn der Richter nämlich merkt, man hat es nur gemacht, um Geld zu verdienen, dann wird der Richter sagen, ja, die machen das doch nur um dies und das und so weiter.
Das muss nicht so sein, aber diesen Anschein sollte man versuchen zu vermeiden.
Und deswegen diese Musterschreiben, wenn man sie nutzt, sollte man verändern, ein bisschen persönlicher machen.
Und wenn man es wirklich ernst meint, dann sollte man gleich eine Abmahnung, am besten mit einem Anwalt, der das dann vielleicht schon mal gemacht hat oder mit einer Beratungsstunde vom Anwalt auch selbst machen möchte, dann eben ohne Anwalt.
So, das heißt, ich fasse das jetzt mal kurz zusammen.
Wir können damit zum Ende dieser kleinen Folge, die wir heute abgedreht haben, sagen, dass Studenten in einer luxuriösen Position sind, weil sie sehr wahrscheinlich nichts weiter brauchen, als einen Freund, der im Jurastudium ist, der sich gerne mit dieser Thematik beschäftigt und der dann auch weiß, wie man solche Schreiben richtig aufsetzt, eine persönliche Note in einen solchen Mustertext einbringen, wenn sie auf einer Webseite gelandet sind, bei der sie sich fragen, ist es eigentlich nötig, dass hier gerade meine Daten ohne meine Einwilligung übertragen wurden?
Da muss man dann darauf achten.
Was ist den Grund anzugeben?
Warum hat man die Webseite aufgerufen?
Ich denke mal, das ist im Falle von den unseriösen, nenne ich sie jetzt mal, Newsportalen, die dort Tracking und so weiter betreiben, sehr einfach, weil man kann ja, da ist ja das Argument da, ich wollte einen Blogartikel lesen, da ist eine ganz klare Information hinterlegt, an der ich Interesse habe.
Ich hatte aber kein Interesse, die Webseite zu besuchen, um sie abzumahnen oder um getrackt zu werden, sondern ich wollte die Information lesen.
Und dann sollte dieses Schreiben eine persönliche Note insofern haben, als dass man halt begründet, ich bin da gewesen aus den und den Gründen, aber dann ist das und das passiert und das gefällt mir nicht, weil sie haben sich gefälligst an die DSGVO zu halten, das Unternehmen auch.
Und gerade bei den großen Newsportalen dürfen wir dann auch nicht vergessen, wo wir mal wieder zu dem Thema mit der Moral kommen, das sind fast alles Plattformen, die von einem und demselben Konzern und Verlag betrieben werden oder von einzelnen sehr großen, wovon es so zwei, drei riesige gibt, die haben erstens genug Geld und damit auch Möglichkeit, ihre Webseiten korrekt und koscher zu betreiben, machen das aber ganz bewusst nicht, mit Werbung Geld verdienen wollen.
Und da muss man dann ja auch sagen, da ist dann die Frage nach der Moral eigentlich doch eher auf der Seite des Geschädigten, weil das Unternehmen könnte, wie du sagtest, ja auch diese Vorgehensweise einfach abstellen.
Die haben ja keinen Grund, das machen zu müssen.
Sehe ich das richtig?
Ja, beim Spiegel Online sag ich mal, die haben schon teilweise Gründe, warum sie das machen, aber 20 Trecker gleichzeitig zu laden finde ich halt einfach auch nicht in Ordnung. Da kann man noch so viele Gründe vorschieben. Also vielleicht noch ein paar Tipps zum Schluss, wie man konkret vorgehen kann.
Also ich habe auf meiner Webseite dr-dsgvo.de/auskunftsgenerator .
Da ist nämlich ein Generator drin, den kann man nutzen, weil man sollte also nicht fürs Auskunftsgesuch unbedingt, sondern auch für dieses Anschreiben, man sollte in dem Anschreiben nämlich seine IP-Adresse benennen zum Beispiel.
Und am besten auch seinen User Agent. Und weil das nicht jeder selbst rausfinden kann, habe ich eben diesen Auskunftsgenerator, da kann man das aber auch finden, wird automatisch von dir und mir und den anderen, die das nutzen, diese Datenwerte ermittelt und die kann man dann per Copy und Paste in sein Schreiben einfügen. Also IP-Adresse, User Agent, IP-Adresse mindestens. So, dann wenn man schon schreibt, dann sollte man bitte nicht von so einer blöden Gmx-Adresse oder sowas, ja? Also sollte man schon eine ernsthafte E-Mail-Adresse benutzen und keinen Freemailer, weil ich sage es, wie es ist, wenn jemand ein Problem herangetragen kommt über eine Gmx-Adresse, dann löscht er diese Mail einfach. Und vor Gericht kann ich nicht sagen, ja, ich habe dann Gmx, was für eine Gmx-Adresse.
Beweisen Sie doch erstmal, dass es Ihre Mail-Adresse ist, ja? Kann ich bei der Gmx-Adresse nur sehr schlecht machen und ist auch nicht glaubwürdig.
Also wenn man keine andere Mail-Adresse hat, dann muss ich ehrlich sagen, dann sollte man es per Post schicken und nicht mit so einer Freemailer-Mail-Adresse.
Es ist so. Und dann vielleicht noch am Ende, also wenn ich schon gegen eine sehr große Webseite, also sehr bekannte Webseite vorgehen möchte, dann muss ich es wirklich ernst meinen. Ansonsten kann ich es auch gleich sein lassen, weil die kriegen dauernd solche Schreiben, auch Musterschreiben, die löschen die einfach oder beantworten die, wie ich weiß, von Dritten durch ein Standardschreiben.
Und wenn man das dann nicht ernst meint und nicht vor Gericht geht, dann hat man nur Zeit verschwendet.
Das heißt, wenn es kleine, mittelgroße Webseiten sind, auch vielleicht eine Regionalzeitung oder so, dann kann man das durchaus machen mit diesem Musterschreiben, was man noch ein bisschen anpasst.
Aber gegen große Betreiber, da muss man den Plan schon von vornherein haben, weitere Schritte einzuleiten, wenn da diese Standardantwort kommt, weil diese Standardantwort wird kommen. Das ist sonst Zeitverschwendung. Und diese kann man sich ersparen.
Okay, dann fasse ich mal zusammen, nur damit das jetzt auch alle Zuhörer richtig verstanden haben. Wir haben hier heute ein Gedankenexperiment durchgeführt aufgrund von realen Fakten, die erzeugt wurden durch die Google-Fonds-Abmahn-Thematik und die damit verbundenen Schadenersatzzahlungen, die an Privatnutzer ausgezahlt wurden, in manchen Fällen. Wir wissen ja nicht, die Dunkelziffer, wie viele Unternehmen so etwas bekommen haben, die jetzt nicht eine Größe haben, dass es da vor Gericht ging und dann dieser Gerichtsfall irgendwie auch in den Medien großgetragen wurde.
Da kann es ja auch eine Dunkelziffer geben.
Es gibt auf jeden Fall zumindest ein Gerichtsurteil, das jeder nachsehen kann, wo drin für den Kläger, für die betroffene Person entschieden wurde. Und wir beide sind der Meinung, dass, wenn man das aus vernünftigen moralischen Gründen angeht, wie zum einen DSGVO-Verstöße sind und das Einhalten des allgemeinen Rechts, was eben in Deutschland und in Europa gilt, dass man das sehr wohl tun sollte, besonders wenn es darum geht, einem Unternehmen damit zu signalisieren, dass das moralisch nicht korrekt ist, dass sie sich so verhalten.
Aber, man sollte es ernst meinen, das heißt also, man sollte sich darauf einstellen, dass man nicht mit einem einmaligen Schreiben da jetzt mit einem Mal dann direkt 100 Euro abcashed und die Leute das einfach bezahlen, sondern man sollte sich darauf einstellen, dass die sich sehr wahrscheinlich dagegen wehren, weil sonst wären die aber sehr schnell sehr arm.
Dafür braucht man dann natürlich auch einen langen Atem und vielleicht rechtlichen Beistand in Form eines Anwalts. Aber das Gedankenspiel ist insofern interessant, als dass man ja auch sagen kann, wir hatten am Anfang ein leitendes Zitat, verantwortlich ist man nicht nur für das, was man tut, sondern auch für das, was man nicht tut.
Das heißt also, wenn wir es den Unternehmen die ganze Zeit durchgehen lassen, dass die sich so verhalten, dass die rechtswidrig handeln und wir einfach mitmachen, weil wir uns nicht dafür interessieren, dann ist das natürlich auch zum Teil unsere Verantwortlichkeit, wenn sie sich nicht dafür interessieren.
Und ich fand deinen Hinweis total cool, zum Sammeln der Informationen, also das wusste ich nicht, auf deiner Webseite, der Auskunftsrechner, der einem anzeigt, was sind die technischen Daten und Details, die man eben auch in diesen Musterschreiben findet, die da angegeben sind, IP-Adresse, User-Agent und so weiter, dass man da mal nachgucken kann, was muss ich denn da dann in meinem Fall speziell reinschreiben.
Ich fand das sehr, sehr spannend. Ich fand es vor allen Dingen interessant, dass wir auch hier wieder auf die Einwilligungsthematik gekommen sind und nochmal so einen Anknüpfungspunkt an die anderen Unternehmen hatten von anderen Folgen und denke, ich wäre wirklich sehr gespannt darauf, was passieren würde, wenn jetzt mehr Leute ihre Verantwortung an der Stelle wahrnehmen, um den Unternehmen zu signalisieren, das ist nicht okay. Denn du hattest ja schon gesagt, gesellschaftlich hängt da eben auch ein Aspekt dran. Wir geben damit Informationen an ein Drittland weiter und helfen damit deren Privatwirtschaft und eben nicht unserer eigenen. Und das ist eben auch so ein Punkt, wo Verantwortlichkeit und Moral ja auch wieder eine Rolle spielt.
Richtig, also ich kann allem zustimmen, was du gesagt hast.
Jeder sollte durchaus, wenn er Datenschutz halbwegs ernst meint und auch wenn ihm nicht egal ist, dass er oder sie beeinflusst wird, indem seine oder ihre Daten an andere weitergegeben werden in seinem Verhalten.
Nämlich durch Werbung, Wahlmanipulation, Wahlwerbung und so weiter oder auch Anschreiben, die digitalisiert sind. Das passiert nämlich, es ist dieser Spruch, ich habe nichts zu verbergen, stimmt erstens nicht und zweitens ist er auch nicht vollkommen relevant für diese Frage, ob man möchte, dass andere mehr über einen wissen, weil man dann beeinflussbar wird. Und wenn man beeinflussbar sein möchte, dann muss man dumm sein, finde ich.
Es kann niemand wollen, dass er beeinflusst wird von anderen, außer er geht vielleicht zu jemandem, den er absolut vertraut.
Aber wer Google als Vertrauensperson oder Vertrauensunternehmen ansieht, der hat schon was falsch gemacht.
Ich habe in einem letzten, das möchte ich vielleicht zum Schluss sagen, klingt ein bisschen radikal, aber das trifft ein bisschen den Punkt, den du sagst.
Akzeptieren sie es endlich?
Sie sind dumm, in Klammern habe ich noch hinzugefügt, oder faul oder gleichgültig oder zu beschäftigt. Warum sonst werden ihre Daten ohne ihre Gegenwehr gegen sie genutzt, um ihr Verhalten zu beeinflussen? So, und genau so sehe ich es. Wer sich das dauernd gefallen lässt, muss ich sagen, da fehlt mir dann irgendwann auch ein bisschen der Respekt. Ich verstehe, dass manche nicht wissen, wie sie vorgehen sollen und dass manche vielleicht auch eine schwierige Lebenssituation haben, das kann man durchaus als Grund sehen, warum man das nicht macht.
Aber irgendwann, vor allem die Leute, die aus dem Fach sind oder die ein bisschen besser sich auskennen oder die besonders engagiert sind, die sollten auf jeden Fall mal gegen Verantwortliche vorgehen. Und wenn es nur ein sehr ernstes Schreiben ist, was man denen schreibt, und sie sollen das jetzt abstellen, diese Dinge, die nicht in Ordnung sind, ansonsten gibt es weitere Konsequenzen. Und dann sollte man diese Konsequenzen auch durchaus mal ausüben und nicht immer nur damit drohen.
Man muss das nicht in jedem Fall machen vielleicht, aber ich finde, wenn es so ist, wie du sagst, wenn mehr sich engagieren, dann passiert nämlich genau das, wie nach dem Google-Fonds-Urteil, dann wird nämlich das Datenschutzniveau deutlich besser in Deutschland.
Ich finde, das ist ein wunderbares Schlusswort und ich wittere so ein klein wenig meinen Willen, dass man da doch einen Prozess automatisieren könnte, um den Menschen, die, wie du sagtest, wenig Zeit haben, ein bisschen unter die Arme zu greifen, ihre Rechte wahrzunehmen.
Denn die anderen automatisieren ja auch die ganze Zeit mit sehr viel Akribie die Prozesse, den anderen ihre Rechte zu nehmen.
Und ich glaube, damit kommen wir zum Schluss dieser Folge.
Wir haben eine halbe Stündchen gequatscht.
Ich hoffe, das hat allen Zuhörern Spaß gemacht und vielleicht auch mal so den Gedanken angeregt, dass es eben nicht darum geht, dass Datenschutz bedeutet, ich habe nichts zu verbergen, sondern dass Datenschutz vielmehr bedeutet, ich werde in irgendeiner Form am Ende fremdbestimmt, ohne darauf Einfluss nehmen zu können.
Und im schlimmsten Fall ohne das überhaupt mit zu bekommen. Und diese Form der Manipulation ist ja auch, wie du meintest, bei der Wahlwerbung und so weiter, was da passiert ist oder passiert aktuell, doch eigentlich mit am allerkritischsten zu sehen, weil damit geben wir ja das souverän, was wir sind, dann ab, um unsere Gesellschaft aktiv mitzugestalten durch unsere eigene Meinung und unsere eigenen Gedanken. In diesem Sinne würde ich sagen, liebe Zuschauer, denkt nach, handelt vernünftig und wie gesagt, ihr seid auch verantwortlich für das, was ihr nicht tut.
Genau, also ich möchte auch, Stephan, vielen Dank für das tolle Thema, ich kannte es vorher nicht, du hast mir kurz vorher verraten, worüber wir sprechen, ich fand es ganz toll, super Idee, hat mich sehr gefreut und ich hoffe, unsere Zuhörer, also Zuschauer hast du gesagt, vielleicht sitzen sie auch auf dem Bildschirm und gucken sich den Podcast auch bildlich an, aber ich hoffe, sie haben uns hoffentlich zugehört, hatten auch ihren Mehrwert heute.
Das hoffe ich doch sehr.
Ich bedanke mich sehr herzlich bei dir, Klaus, ich wünsche dir auch einen schönen Tag und an alle Zuhörer ebenfalls einen schönen Tag, genießt ihn und wir hören uns dann beim nächsten Mal nächste Woche wieder.
Bis dahin, tschüss.
Das war Datenschutz Deluxe. Du willst mehr spannende Themen oder Kontakt zu uns? Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht. Bis zum nächsten Mal.