Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Alando Palais: Heimat von IT-Security und Datenschutz. So wird Datenschutz wieder sexy

3

Beim Deutschen IT-Security Kongress 2022 trafen sich Spezialisten aus der Branche in Osnabrück. Eine einmalige Lokation bot den würdigen Rahmen für Vorträge, Podiumsdiskussionen und genügend Möglichkeiten zum Netzwerken. Philipp Wachhorst von der pco GmbH diskutierte mit mir über digitalen Datenschutz.

Der Deutschen IT-Security Kongress 2022 widmete sich hauptsächlich der IT-Sicherheit. Dankenswerterweise hatte mich Philipp Wachhorst im Vorfeld gefragt, ob wir nicht auf dem Kongress über Datenschutz diskutieren könnten. Immerhin vereint der Art. 32 DSGVO beide Aufgabengebiete.

Der Titel unserer Panel-Diskussion lautete (ursprünglich „Datenschutz-Guru’s im Talk“. Aber weil wir keine Guru’s sind oder sein wollen, wurde der Titel geändert):

Bildmaterial von der pco GmbH als Ankündigung vor dem Kongress. Die rote Farbe kommt von mir. Es so ja Leute geben, die eine Marke eintragen für einen Begriff, den jeder im normalen Sprachgebrauch benutzt.

Moderiert wurde das Gespräch der „Datenschutz-Guru’s“ (die gar keine sind) Philipp und mir durch Emily Feldscher, die auch Fragen aus dem Publikum aufgegriffen hat.

Auf gemütlichen Chesterfield-Sesseln sprachen über die aktuelle Datenschutz-Lage im Internet und auf Webseiten. Die Sessel standen im Alando Palais, sonst eine Nobel-Disco, zum Kongress ein perfekter Ort für den fachlichen Austausch (inklusive Catering, Grill-Buffet im Außenbereich am Wasser sowie After-Show Party mit Live-Band).

Die Themen unseres Gesprächs waren insbesondere:

  • Ziehen sich Philipp und ich aus (Stichwort “Erotik” bzw. sexy) oder ist das Antlitz der Moderatorin erotisch genug (siehe Beitragsbild oben)?
  • Wie gut stehen große deutsche Unternehmen aktuell beim Datenschutz da?
  • Was ist mit Google Tools?
  • Was ist mit der geplanten zentralen Einwilligungsverwaltung (PIMS)?
  • Müssen Cookie-Banner eine direkte Ablehnen-Möglichkeit anbieten?
  • Welche guten Nachrichten gibt es?
Impression vom Deutschen IT Security Kongress 2022.

Zu den Themen im Einzelnen hier ein kurzer Rückblick.

Erotik und Datenschutz:

Sexy bezieht sich auf die Möglichkeiten, die Datenschutz bietet. Es geht nicht darum, dass ich meinen perfekten Körper präsentiere, sondern darum, wie Datenschutz dabei helfen kann, Unternehmen nach vorne zu bringen. Allerdings haben das bestimmte Gruppen von Unternehmen noch nicht in Gänze erfasst, beispielsweise folgende.

Große deutsche Unternehmen:

Große deutsche Unternehmen haben oft große Probleme mit dem Datenschutz auf deren Webseiten. Das verwundert etwas, weil doch genügend Ressourcen da sein müssten, um gesetzliche Regelungen in den Griff zu bekommen.

Erst kürzlich musste ich feststellen, dass sowohl die Deutsche Bahn als auch Google (zum Glück kein deutsches Unternehmen) anscheinend nicht wissen, dass auch für andere Dinge als Cookies eine Einwilligung erforderlich ist.

Immerhin fragen beide Giganten nur nach einem Consent für Cookies. Dass auch Endgerätzugriffe über JavaScript, wie sie bei Google Analytics im Standard immer stattfinden, einwilligungspflichtig sind, sei nur als ein Beispiel für etwas anderes als Cookies erwähnt. Ein anderes Beispiel ist die Nutzerprofilbildung (auch ohne Cookies), die immer dann stattfindet, wenn das YouTube-Plugin auf eigenen Webseiten eingebunden wird (Stand: 17.10.2022).

Deutscher IT-Security Kongress 2022: Im Bild von links nach rechts: Emily Feldscher, Klaus Meffert, Philipp Wachhorst.

Google-Tools:

Spätestens seit der Abmahnwelle zu Google Fonts ist bekannt, dass der Einsatz von Google-Tools auf eigenen Webseiten hochkritisch ist. Google Analytics wurde von zahlreichen Datenschutzbehörden in Europa gebrandmarkt und in Frankreich durch die CNIL gänzlich verboten. Wie Google bereits im Jahr 2021 zugab, werden alle Analytics-Daten immer in den USA verarbeitet.

Wer etwas für seine Rechtssicherheit tun und dazu noch aufhören möchte, immer mehr Daten an rein profitorientierte Unternehmen zu liefern, sollte Google-Plugins aus seinen Webseiten und Apps verbannen. Hier ein Anregung:

Wichtig ist der richtige Berater. Glauben Sie nicht alles, was manche meinen. Orientieren Sie sich an Fakten. Wer behauptet, dass Cookies Textdateien seien, blendet beispielsweise die Realität aus. Genauso hellhörig sollten Sie werden, wenn jemand immer noch behauptet, der Google Tag Manager sei eine cookielose Domäne. Das ist Bullshit.

Könnten Sie mir erklären, warum jemand, der nicht viel Ahnung von Technik hat, kompetent sein soll, wenn es um technische Fragen geht? Internet-Anwendungen bedingen eigentlich immer technische Betrachtungen, oder irre ich mich da? Andererseits: Bin ich der richtige, um für Sie Vertragswerke zu erstellen?

Cookie-Tools:

Wir sprachen auch über Cookie-Tools. Wer meinen Blog kennt, weiß, was es damit auf sich hat. Wem meine Beiträge noch nicht bekannt sind, dem empfehle ich das Lesen meiner Untersuchung mit dem Titel Cookiegeddon.

Cookie-Tools vollbringen keine Wunder.

Eine meiner Aussagen auf dem IT-Security Kongress.

Aus dem Publikum kam eine Frage zur Ablehnen-Möglichkeit. Der Fragesteller wollte wissen, ob diese gleichwertig wie der „Alles akzeptieren“-Button angeboten werden müsse. Meine Antwort lautete: Ja. Nudging ist rechtswidrig, sage ich und sagen viele andere. Begründungen: Siehe Informationen in diesem Blog. Sogar Google hat es mittlerweile eingesehen. Vor kurzem musste man noch fünf oder sechsmal klicken, um Google mitzuteilen, dass Google die Nutzer-eigenen Daten nicht misshandeln darf. Jetzt reicht ein Klick. Das hat Google nicht freiwillig gemacht, sondern musste erst von außen geeignet motiviert werden.

Aus dem Publikum kam die Nachfrage, ob das mit der Ablehnen-Möglichkeit „im Gesetz stehen“ würde. Nein, tut es nicht (siehe DSGVO: Diese ist zwar kein Gesetz, sondern eine Verordnung, aber viele verstehen darunter das gleiche). Gesetze sind oft abstrakte Regelungen, die im Allgemeinen nicht besonders konkret werden können. Ansonsten bestünde die DSGVO nicht nur aus 99 Artikeln, sondern aus 9999.

Zentrale Einwilligungsverwaltung (PIMS):

Auf die Frage von Philipp Wachhorst zum § 26 TTDSG, der zentralen Einwilligungsverwaltung, nahm ich gerne Stellung. Zahlreiche in der Praxis nicht lösbare Probleme sprechen gegen das, was der Gesetzgeber sich als Lösung vorgestellt hat. Beispielsweise sind Browser-Plugins keine Möglichkeit, die praxisrelevant erscheint. Weitere der über 66 Gründe, die gegen PIMS sprechen, werde ich in Kürze veröffentlichen.

Auf die richtige Mischung kommt es an.

Datenschutz kann sexy sein:

Kommen wir zurück zum erotischen Teil. Zugegeben: Ich kann Datenschutz nicht in den Bereich der Erotik bringen, wenn wir über Datenverarbeitung sprechen. Höchstens der Datenschutzbeauftragte könnte eine gewisse Erotik ausstrahlen, die aber wahrscheinlich für die Erhöhung der Rechtssicherheit nicht förderlich wäre. Allerdings sollten Datenschutzberater den Begriff der Datenverarbeitung öfters in den Mund nehmen. Dann würde auf Consent Popups nämlich nicht fälschlicherweise behauptet, man bräuchte eine Einwilligung (nur) für Cookies. In Wahrheit reicht eine Einwilligung nur für das Setzen oder Auslesen von Cookies quasi niemals aus. Denn die Weiterverarbeitung der ausgelesenen Werte ist schon eine andere Datenverarbeitung (vgl. § 25 TTDSG).

Es ist möglich, Webseiten ganz ohne nervige Cookie Popups zu gestalten. Siehe diese Webseite und mittlerweile auch einige andere. Wie schön ist das denn? Forget about § 26 TTDSG.

Spätestens seit den Massenabmahnungen zu Google Fonts gilt: Datenschutz lohnt sich wieder und zahlt sich aus. Weniger Ärger, weniger Stress, weniger Probleme. Mein Blick in die Zukunft verrät mir: Das waren nicht die letzten Massenabmahnungen. Legal Tech ist immer mehr im Kommen. Sicher sind Sie dann gerüstet, ebenso wie auf zukünftige Cybersecurity-Bedrohungen. Lösungen für das Sicherheitsthema gab es jedenfalls auf dem IT-Security Kongress zuhauf.

Ein Leben ohne Google funktioniert genauso wie ein Leben ohne Energie aus Russland. Siehe oben für einige Beispiele (oder auch das Fairphone). So erhöht sich ganz nebenbei auch die Rechtssicherheit Ihrer Internetauftritte.

Weil PIMS nicht kommen wird, brauchen Sie erst einmal nichts weiter zu berücksichtigen und müssen keinen Zusatzaufwand betreiben. Selbst wenn PIMS kommen sollte, brauchen Sie sich keine Sorgen zu machen. Es wird keine Bußgelder von deutschen Aufsichtsbehörden geben.

Einige der zahlreichen Besucher im schnucken Alando Palais auf dem Deutschen IT-Security Kongress 2022 in Osnabrück. Weitere Teilnehmer waren online zugeschaltet.

Wenn Sie gegenüber Ihren Kunden und Interessenten zeigen, dass Sie den Schutz von deren Daten ernst nehmen, wirkt sich das wahrscheinlich positiv auf die Kundenbindung und auf Ihren Umsatz aus.

Wer 10.000 Euro Geld in Online-Marketing investiert, kann leicht 1.000 Euro in den richtigen Berater oder Entwickler investieren, um möglichst datenschutzkonform und rechtssicher aufgestellt zu sein.

Datenschutz sorgt für Innovation, wenn er richtig angewendet wird. Oft werden die Regeln falsch verstanden. Siehe beispielsweise die Corona-Warn App. Dem Gesetzgeber und dessen Berater schien der Art. 6 DSGVO nicht bekannt gewesen zu sein. Dort steht nämlich etwas von Einwilligung als Rechtsgrundlage. Auch ein Erlass einer gesetzlichen Regelung hätte die Corona-Warn App zu einem Erfolgsmodell werden lassen können.

Jetzt etwas Energie in Datenschutz zu investieren, bedeutet, später weniger Aufwand zu haben. Immer diese fruchtlosen Diskussionen zwischen Firmeninhaber, DSB und Web-Agentur. Das muss doch nicht sein. Erster Lösungsansatz: Nehmen Sie Ihren Web-Dienstleister in die Haftung. Fragen Sie mal nach einer Haftungsübernahme und warten Sie ab, was passiert.

Sie kennen es aus dem normalen Leben: Einmal etwas richtig gemacht kostet es weniger Zeit, Geld und Energie als spontan und halbherzig zu reagieren. Nutzen Sie die Chance jetzt!

Weil Datenschutz und IT-Security eng miteinander zusammenhängen, sollte die eigene digitale Infrastruktur gegen Angriffe abgesichert werden.

Fazit

Der Deutsche IT-Security Kongress war ein perfekt organisiertes Event an einem einmaligen Ort, das ich jedem für das nächste Mal ans Herz lege. Dort treffen Sie sicher auf sehr interessante Kontakte aus dem IT-Security Umfeld. Diesmal war unter anderem ein Vertreter des BKA in einer Podiumsdiskussion vertreten. Auch der Verfassungsschutz gab sich die Ehre (zum Glück als Aussteller).

Hier finden Sie das Video von unserem Datenschutz-Talk (hochgeladen von der pco GmbH auf YouTube):

Klick auf Bild öffnet Video. Quelle: pco GmbH

Danke an die pco GmbH für die Einladung und die Gelegenheit, Teil dieser sehr relevanten Veranstaltung sein zu dürfen, die mittlerweile zum dritten Mal stattfand. Das Gespräch mit Philipp Wachhorst auf der Konferenz haben hoffentlich die Zuhörer genauso positiv in Erinnerung wie ich. Gerne wieder! Ich hoffe, das Video ist auch für Sie kurzweilig. Kommen Sie doch beim nächsten Mal auch auf den Kongress oder nehmen Sie online teil.

PS: Alle Bilder bereitgestellt von der pco GmbH und verwendet mit deren freundlicher Genehmigung.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Suse

    Sehr geehrter Herr Dr. Meffert,
    ich bin eine begeisterte Leserin Ihrer Berichte und Ausfertigungen.
    Gerade das Thema Cookies wird immer so schön verständlich von Ihnen erklärt. Nun bin ich in der letzten Zeit auf diversen Webseiten auf YouTube-nocookie.com aufmerksam geworden.
    Werden beim Einsatz dieser YouTube Version tatsächlich keine Daten über den großen Teich geflaggt?
    In einem dieser Massenabmahnschreiben wird nämlich in dem Screenshot im Anhang die URL zu YouTube-nocookie.com im Zusammenhang mit der Verwendung von Google Fonts aufgeführt.
    Würde mich sehr freuen, wenn Sie dieses Thema in einem Ihrer nächsten Berichte aufgreifen würden.

  2. Dr. DSGVO

    Danke für Ihre freundliche Rückmeldung und für Ihre Frage!

    Selbst bei Verwendung der Adresse youtube-nocookie.com setzt YouTube unverschämterweise ein Cookie (mit dem Namen CONSENT). Dieses Cookie ist absolut überflüssig und bedarf somit einer Einwilligung.
    Weiterhin sendet das YouTube Plugin alle paar Sekunden eine Botschaft an Google, auch wenn gar kein Video abgespielt wird oder wurde.
    Zudem lädt das YT Plugin auch noch Google Fonts nach.
    Alles Gründe, die dafür sprechen, entweder eine Einwilligung abzufragen oder nur ein Vorschaubild zu verwenden, welches dann auf die Videoplattform verlinkt.

    Gerne greife ich das in einem meiner nächsten Beiträge auf! Danke für diese Anregung.

  3. Thomas

    Lieber Herr Meffert,

    ich habe mir das Video gerade angesehen, vielen Dank für das Hochladen und den interessanten Beitrag! Insbesondere Ihre Ausführungen zum gut gemeinten PIMS waren sehr erhellend, hier hat sich der Gesetzgeber wieder einmal “stets bemüht” 😉
    Ihre Ausführungen, warum es nicht funktioniert, waren sehr gut und praxisorientiert, herzlichen Dank dafür.
    Und Danke für Ihren großartigen Newsletter, den ich immer so gerne lese.

    Viele Grüße und alles Gute, Thomas

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cloud Server mieten: Datenschutzkonform und kostengünstig