Einstieg, Antwort auf spannende Datenschutzfragen (Datenschutz Deluxe Podcast #1)

Datenschutz Deluxe.

Der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Frank Kremin.

Ja, herzlich willkommen, liebe Zuhörer, bei unserem neuen Podcast Datenschutz Deluxe.

Ich bin Frank Kremin und ich habe mir hier in die Leitung noch den Dr. Klaus Meffert mit reingeholt.

Ja, hallo Frank, hallo liebe Zuhörer, vielen Dank für die Möglichkeit, dass wir uns heute mal hier unterhalten können.

Ja, unserem Podcast, wie der Name schon so schön sagt, geht es um das Thema Datenschutz.

Bevor wir wirklich zu diesen Fachthemen übergehen und euch da wirklich in der Hinsicht beraten beziehungsweise auf Themen eingehen.

Ich werde Klaus zu den Themen immer Fragen stellen und er wird diese dann fachgerecht beantworten.

Und wir dachten uns, bevor wir da in diese Fachschiene reingehen, dass wir uns einfach mal kurz vorstellen, wer wir sind, woher wir kommen, was wir machen.

Und ich würde einfach mal mit Klaus beginnen, weil du unser Experte hier in der Runde bist, dass du dich vielleicht einfach mal kurz vorstellst und mal ein bisschen was zu dir erzählst.

Ja, mache ich gerne.

Also mein Name ist Klaus Meffert, ich bin Informatiker, habe also Informatik studiert und später dann auch promoviert, also meine Doktorarbeit geschrieben und das Ganze habe ich dann neben dem Beruf gemacht.

Ich war ungefähr 2001 bis 2008, war ich Angestellter, habe mich dann mit SAP-Systemen unter anderem beschäftigt und in dieser Zeit habe ich dann auch meine Doktorarbeit geschrieben, über vier, fünf Jahre hinweg, habe also Beruf und Doktorarbeit parallel gemacht, bin zu dem Thema IT beziehungsweise Software Entwicklung, Computer schon recht früh gekommen, da war ich ungefähr 12, 13 Ende der 1986er Jahre.

Ich habe jetzt vor kurzem festgestellt, dass ich einen alten Artikel aus einer Zeitschrift von mir gefunden habe, wo auch das Thema Datenschutz erwähnt war.

Also ich habe also schon 1991 mit dem Thema Datenschutz angefangen, da fing es an mit dem Verschlüsseln von BINER-Dateien.

Damals habe ich einen Kopierschutz nachgeahnt, den auch Computerspiele eingesetzt haben und der war relativ sicher und hat es ermöglicht, Dateien so zu verschlüsseln, dass man sie manuell und anders ging es nicht, damals nur mit großem Aufwand und auch wirklich nur, wenn man wusste, wie es geht, entschlüsseln konnte.

Ja, dann nach dem Studium und der Angestellten Tätigkeit war ich dann also oder bin seit 2015 ungefähr selbstständig, habe eine eigene GmbH und seit 2017 bin ich dann professionell in das Thema Datenschutz eingestiegen.

Ich bin nämlich 2017 mal abgemahnt worden von einem Wettbewerber, der war auch nicht besonders nett zu mir, hat auch direkt gleich mit dem Anwalt angefangen und so haben wir uns dann da bekriegen müssen und ich habe die Klage, die er so an mich herangetragen hat, gewonnen.

Da ging es um das Urheberrecht und mit meiner Gegenabmahnung zum Thema Datenschutz habe ich dann auch gewonnen und um diese Klage oder dieses gesamte Verfahren gewinnen zu können, habe ich mir damals eine Software geschrieben, die meine eigenen Webseiten prüfen kann, automatisiert prüfen kann, also scannen kann und da Datenschutzverstöße feststellen kann, so dass man dann auch gleich weiß, wo man was nachbessern muss, um keine Fehler zu machen und diese Software habe ich bis heute weiterentwickelt.

Sie enthält jetzt nicht nur ein Bericht, der zeigt, wo was falsch gemacht wurde oder wo irgendwelche Schwachstellen sind, sondern der Bericht zeigt auch, wie man das Ganze richtig machen kann, also unter breiter sozusagen Lösungsvorschläge.

Das Ganze findet anhand von einer Wissensdatenbank statt, die dauernd gefüttert und aktuell gehalten wird.

Zum Beispiel gab es ja jetzt in den, also Ende letzten Jahres, im 1. Dezember 2021, gab es ja das neue TTDSG [jetzt: TDDDG], das ist da ein Kraftgetretenes neue deutsche Datenschutzgesetz, das endlich die E-Privacy-Richtlinie umgesetzt hat.

Die sogenannte Cookie-Richtlinie der §25 TTDSG beschäftigt sich dann genau damit, nicht nur mit Cookies, sondern auch mit dem Zugriff auf Endgeräte wie Smartphones und so weiter, aber auch End-Einrichtungen, also Smart-Home-Geräte.

Da können wir dann später gerne noch mal ein bisschen darüber reden.

Und seit zwei, drei Jahren ungefähr führe ich auch einen Datenschutzblog.

Dr. DSGVO heißt der, den ich als Einzelperson führe, der auch dann an sich werbefrei ist.

Ich versuchte also so objektiv wie möglich, Wissensartikel zu schreiben, fundierte Analysen zu machen, so dass das ganze Mehrwert für die Leser hat.

Und seit einiger Zeit bin ich auch gelegentlich als Sachverständiger für Gerichte tätig, wenn ich gefragt werde zu Datenschutzthemen und berate da das Gericht.

Ja, vielleicht so viel kurz zu mir.

Ich möchte vielleicht noch sagen, dass ich in Hessen wohne, in der Nähe von Wiesbaden und Frankfurt, im schönen Idstein, kann man durchaus auch als Ausflugsziel mal nehmen.

Ja, so Frank, ich weiß nicht, war das eine ausreichende Vorstellung oder hast du noch irgendwas, was die Leute von mir gerne wissen könnten, was ich vergessen habe?

Ja, also sehr spezifiziert, bist auf jeden Fall schon auch auf Themen eingegangen, die wir vielleicht in zukünftigen Folgen anschneiden.

Und ja, was ich vielleicht noch erwähnen würde, so wie ich dich jetzt dann damals gefunden hatte, du hast deine Webseite schon erwähnt, dem Dr. DSGVO.

Und dort hast du ein schönes Tool implementiert, mit den man Webseiten auf Datenschutzverstöße auslesen kann.

Und du hast mir auch in einem Gespräch schon vorher erzählt, dass du auch eine Software anbietest.

Vielleicht möchtest du das noch kurz mal denen hören, erklären, was das genau ist, wie das Tool funktioniert, was die Software kann.

Das wäre, denke ich mal, ganz interessant zu wissen.

Ja, kann ich gerne machen.

Also die Software, die entstand, wie gesagt, im Jahr 2017 wurde seitdem weiterentwickelt und die prüft, also Webseiten, die crawlt, also sozusagen Webseiten, Crawling ist da auch das, was Suchmaschinen machen.

Das heißt erst mal nur, dass Webseiten eingelesen werden von der ersten bis zur letzten Seite.

Dafür analysiert man dann alle internen Verlinkungen und guckt, welche Seiten gibt es denn auf dieser Webseite?

Kontaktformular, Impressum, Datenschutzerklärung, Printartikel, beziehungsweise Printartikel sind ja nicht mehr, wir leben in der digitalen Welt.

Es sind Onlineartikel oder Pressemitteilung oder sonst irgendwas, die Startseite.

Und nachdem die Software dann also die Seiten eingelesen hat, beziehungsweise auch dabei schon, wird analysiert, welche Datentransfers, Datenverarbeitung da stattfinden, welche Dateien werden von Vogeladen, welche Cookies werden gesetzt, aber auch welche Quellcodes sind vorhanden.

Also es werden noch inaktive Codes erkannt, die da möglicherweise auch erst nach Einwilligung freigeschaltet werden.

Die Software prüft also alles, was man so automatisch prüfen kann, um zu gucken, ob eine Webseite Datenschutzkonform ist gemäß DSGVO und jetzt auch TTDSG.

Und als Ergebnis wird dann direkt bei diesem kostenfreien Online-Tool angezeigt, was die Befunde sind.

Und da gibt es auch automatisiert einen Gesamtbefund.

Da steht dann zum Beispiel drin, klarer Verstoß gegen die Datenschutzgrundverordnung oder keine Befunde bisher gefunden, sodass man dann auch direkt weiß, ob Handlungsbedarf besteht.

Das ist nämlich der Anspruch des Tools, Handlungsbedarf zu erkennen und das Ganze kann sehr einfach benutzt werden.

Man gibt einfach in einem Eingabefeld die Adresse der Webseite ein, die man analysiert haben möchte, drückt dann auf Start, wartet wenige Sekunden und sieht dann direkt auf dem Bildschirm das Ergebnis, sodass man dann auch weiß, ja, ich habe Handlungsbedarf oder nein, sieht erst mal gut aus.

Und wenn ich es genauer wissen will, da müsste ich natürlich noch mal ein bisschen weitergehen, weil das Tool nur die ersten 5 oder 10 Seiten einer Webseite analysiert.

Ja, und also bevor ich jetzt mal zu meiner Vorstellung komme, möchte da kurz noch etwas dazu ergänzen.

Es ist wirklich so, als ich arbeite auch sehr gern mit diesem Tool, wenn ich ja vor allem Kundenanalysen zu Webseiten mache.

Ich kann nur aus meiner Perspektive das so bestätigen, dass wirklich, ich sage mal, 95 Prozent der Seiten, die ich damit gerne Verstöße aufweisen, weil diesem Thema einfach noch nicht so diese Gewichtung gegeben wird oder was sagst du dazu Klaus, du hast damit ein bisschen mehr zu tun.

Ja, also kann ich bestätigen direkt bis vor der Einführung der DSGVO 25 der 2018 waren es, also fast 100 Prozent würde ich sagen, der Seiten, die gegen Datenschutzgesetze verstoßen haben, dann nach der DSGVO 2019-20 ist es besser geworden und jetzt sind wir schon auf einem noch besseren Niveau, heißt aber nicht, dass fast jede Webseite gut aufgestellt ist, sondern dass höchstens weniger Verstöße auf vielen Webseiten sind, aber immer noch grundsätzlich die Webseiten so schlecht aufgestellt sind, die meisten jedenfalls, dass man da eine Abmahnung aussprechen könnte.

Und zwar, das möchte ich noch hinzufügen, weil es viele nicht wissen, dass auch Privatpersonen eine Abmahnung aussprechen dürfen, § 1004 BGW, wenn sie Datenschutzverstößen auf Webseiten begegnen, das müsste man vielleicht wissen, damit man nicht nur denkt, es gibt Behörden, die irgendwelche Bußgelder möglicherweise erlassen können, das passiert meiner Erkenntnis nach sowieso nicht, bei Internetverstößen und auch diese Beschwerden, die Privatpersonen einreichen können bei Behörden, die führen ja dann oft auch vielleicht so anschreiben der Behörden gegen den verantwortlichen Betreiber einer Webseite, aber das ist die größte Gefahr, meiner Meinung nach, die Abmahnung durch eine Privatperson, auch nicht durch einen Wettbewerber, sondern jede eigenständige Person kann eben ihre Rechte gelten machen.

Es wäre auch merkwürdig, wenn die DSGVOs nicht erlauben würde.

Es wäre merkwürdig, wenn die DSGVO jeden von uns mehr Rechte geben würde, was Datenschutz angeht und gleichzeitig sagen würde, nein, lieber Nutzer, liebe Person, du darfst deine Rechte, die ich dir gebe, aber nicht effektiv einklagen.

Das wäre natürlich Unsinn.

Das Landgericht München übrigens hat es genauso gesehen am 20.01.2022, also vor nicht allzu langer Zeit.

Man muss vielleicht dazu sagen, das Ganze ist ein bisschen philosophisch, nicht Juristen schwer zu verstehen, Gerichte äußern immer Meinungen und solange es nicht der Bundesgerichtshof, also der BGH gesagt hat oder der Europäische Gerichtshof der EUGH, sind es erst mal nur Meinungen, die aber doch natürlich eine gewisse Tragweite haben.

Ja, also ich gehe davon aus, ich gehe davon aus, ich bin der Meinung, dass wir da auf jeden Fall zu diesem Rechtsthema auch noch mal gerne eine eigene Folge dazu machen können und gegebenenfalls vielleicht sogar mit einem, ja ich sag mal Anwalt für Internetrecht, ich denke mal, das wäre dann sicherlich ein interessantes Interview, dass du damit führen könntest.

Vielleicht kann man da sich mal ja noch jemanden hinzuholen.

Das müssen wir mal schauen, also da sehen wir mal, wie sich das entwickelt.

Ja, generell möchte ich mich auch noch mal kurz vorstellen, also ich bin Frank Remy, ich komme aus dem schönen Thüringen und ja, ich bin hier so ein bisschen, wenn man das so möchte, der junge Learning im Bunde und muss mich definitiv mit dem Thema Datenschutz, mit dem kompletten Paket, was dazugehört, auch noch weiter beschäftigen und lernen.

Also es ist ja ein Riesenthema, Datenschutz, so dass es wirklich gigantisch und ich hoffe, dass ich hier auf diesen Podcasts auch viel Input mitnehmen kann.

Kurz zu meiner Person, ich bin im Nebenberuf Web Entwickler und habe eine kleine Firma Desqtec 2021, Anfang 2021 gegründet und ja, unser Hauptbestreben ist die Web Entwicklung, Webseiten-Erstellung.

Wir beraten und entwickeln für Kunden hier im regionalen KMU-Bereich Webseiten und nun ja, dazu zählt eben auch das Thema Datenschutz, mit dem man sich dann beschäftigen und auskennen sollte, um den Kunden auch wirklich für das Thema optimal zu beraten und eben, wie Klaus Freundschein sagte, ja, solche Steuerbefallen, Abmahnungen aus dem Weg zu gehen.

Ich würde sagen, benutzen die Zeit, um mal so einen kleinen Ausblick zu geben, was wir, was wir in den nächsten Podcast folgen, als Fachthemen so anschneiden möchten und ich denke, da bist du, Klaus, ein guter Ansprechpartner, welche Themen da vielleicht gerade aktuell sind, wo man sagen müsste, das sollte man auf jeden Fall mal näher beleuchten.

Ja, also gerne, da fällt mir spontan das TTDSG natürlich ein, also das Neudeutsche Datenschutzgesetz, was seit dem 1.12.2021 gilt.

Da ist nicht nur der Paragraf 25 zu nennen, der sozusagen diese Cookie-Technologien und ähnliche Technologien abbildet, der allerdings auch auf Zugriffe, Zugriffe auf das Endgerät des Nutzers thematisiert, da spielen dann auch Updates eine Rolle.

Es wird da oft, wie ich finde, zu Unrecht der vernetzte Toaster genannt, der dann sozusagen vom TTDSG erfasst wird, wenn es um Updates geht, die nicht nur Sicherheitsfunktionen bereitstellen, sondern neue Funktionen.

Da können wir gerne mal darauf eingehen und herausfinden, ob ein Toaster vielleicht auch durch ein Funktionsupdate ein Pizzaback Automat werden kann.

Dann gibt es noch den Paragraf 26 TTDSG, der soll eben dafür sorgen, dass in der Bundesrepublik Deutschland die sogenannten Cookie-Popups weniger werden.

Ich sage gerne in einem der nächsten Folgen, warum das Unsinn ist, was der Gesetzgeber davor hat.

So sehr ich mir das natürlich wünsche, dass die Cookie-Popups weniger werden.

Aber so, wie er sich das ausgedacht hat, kann das nicht funktionieren.

Ich habe sogar auch nicht nur den Eindruck, sondern selbst herausgefunden, dass dieser Paragraf 26 TTDSG die zentrale Einwilligungsverwaltung, wie er auch genannt wird, oder PIMS, Personal Information Management System, eine, sagen wir mal, Erfindung von Lobbyisten ist, die da bestimmte Firmen und Produkte nach vorne bringen wollen.

Was ich noch für ein spannendes Thema halte, sind die sogenannten Cookie-Popups an sich.

Also Cookie-Popup ist eigentlich der falsche Begriff.

Es geht ja nicht nur um Cookies, wie viele immer denken oder wie viele Hersteller oder Anbieter von diesen sogenannten Cookie-Tools suggerieren wollen.

Vor allem die Tools, die in ihrem Namen den Begriff Cookie enthalten.

Da fällt jeden von uns sicherlich der ein oder andere Anbieter ein.

Es geht auch um ganz andere Dinge als Cookies.

Deswegen redet man normalerweise eigentlich von Einwilligungsverwaltungen.

Aber wir bleiben beim Begriff Cookie-Popup und da kann man sicherlich auch eine ganze Sendung draus machen.

Denn ich habe vor längerer Zeit schon untersucht, wie gut denn diese sogenannten Cookie-Popups auf Webseiten in der Praxis abschneiden.

Und da musste ich leider feststellen, dass weit über 90 Prozent der Webseiten, weit über 90 Prozent der Webseiten, die einen Cookie-Popup haben, rechtswidrig sind.

Und zwar überwiegend, finde ich, wegen dieses Cookie-Popups.

Da wird also immer so getan, als ob man so einen Cookie-Tool nur einbinden müsste auf die Webseite und schon wäre alles gut.

Das ist natürlich vollkommen der Unsinn und das ist so ein Art Marketingversprechen, was nicht bzw. nie einlösbar ist.

Da gibt es also auch technische Gründe, warum diese Cookie-Tools überhaupt nicht funktionieren können.

Das hat aber auch etwas insbesondere mit Firmen wie Google zu tun und anderen, die einfach nicht verraten wollen, wie sie Daten verarbeiten.

Und wenn es niemand weiß, dann kann er auch nicht ordentlich damit umgehen.

Denn die Datenschutzgrundverordnung fordert ja, dass man das, was man mit den Daten von anderen tut, also personenbezogenen Daten tut, genau erklären können muss.

Und wenn man das nicht kann, dann darf man diese Daten überhaupt gar nicht erst verarbeiten, sonst entstehen nur Probleme.

Und zwar hoffentlich auch für den Verantwortlichen, also in dem Fall den Betreiber einer Webseite.

Das wäre noch ein spannendes Thema.

Ja, ansonsten könnte man durchaus auch mal über das Thema datenschutzkonformes Online-Marketing sprechen.

Da möchte ich nur anmerken, dass ich auf meiner eigenen Webseite Dr. DSGVO keinerlei Google-Dienste habe, kein Werbebudget-Ausgebe bei Google oder anderswo und trotzdem eine fünftstellige Klickzahl in der Google-Suche innerhalb von 28 Tagen von der Firma Google gemeldet bekam.

Ich will jetzt nicht sagen, wie hoch diese Zahl genau ist, aber sie ist recht hoch für eine normale Seite.

Spiegel.de hat sicherlich mehr User, aber die meisten Seiten, die ich kenne von kleinen Firmen sagen wir mal, die haben deutlich und Größenordnungen weniger Nutzer als meine Webseite.

Und daran sieht man schon, dass man Datenschutz durchaus einhalten kann, ohne Werbung machen zu müssen bzw. ohne Gesetze verletzten zu müssen, um eine erfolgreiche Seite zu haben.

Ich habe bei mir auf der Seite sogar nicht mal ein Cookie-Pop ab, habe aber trotzdem zahlreiche Funktionen, die ich da anbiete und auch selbst nutze, wie zum Beispiel ein Besucherzähler, der schon sehr viele Statistiken mehr liefert, ohne dass ich den Nutzer um Erlaubnis bitten muss.

Also da gibt es wirklich viele spannende Themen, so dass man da auch Lösungsorientiert dran gehen kann und nicht immer nur sagen kann, was nicht erlaubt ist.

Ich finde, man sollte Lösungen anbieten und nicht nur Probleme nennen, das ist auch wichtig, aber die Leute sollen eben das Gefühl haben, dass man Lösungen erzeugen kann und nicht immer nur irgendwas nicht darf wegen dem Datenschutz.

Man könnte auch nochmal kurz über die Corona App sprechen, als kleine Randnotiz, die ist vielleicht nicht mehr ganz so wichtig, aber es war zumindest am Anfang so, als Corona Deutschland aufkam, dass da auch Datenschutz vollständig falsch verstanden wurde vom Gesetzgeber oder wer auch immer die Herausgeber der Corona App beraten hat.

Denn natürlich hätte man da viel mehr Daten sammeln können, man hat einfach nur nicht verstanden, wie da haben manche die DSGVO einfach nicht durchgelesen, sag ich mal etwas vereinfacht.

Also Gesprächsbedarf gibt es genug, da können wir gerne über alles Mögliche sprechen.

Ja, absolut.

Also das war auf jeden Fall ein sehr detailliert und guter Ausblick.

Sicherlich ist es auch für die Hörer, die sich einfach nur für das Thema Datenschutz interessieren, auch mal spannend, wenn man einfach mal Grundlagen Themen dann auch anspricht.

Also wie soll eine Cookie-Meldung aussehen?

Was muss drinstehen, wie muss die aufgebaut sein?

Ich möchte es nur noch kurz erwähnen, also Klaus hatte auch im Vorfeld zu mir gesagt, bevor ich mit die Zusammenarbeit muss auch nach der Webseite passen und hat mit dem entsprechend auch ein paar Ratschläge mitgegeben, die wir jetzt auch umgesetzt haben.

Und ob das, ob Klaus jetzt damit zufrieden ist, könnte dann in der nächsten Folge hören, wenn es sie denn so weit gibt und er dann nicht mehr mit mir schimpft.

Und das können wir natürlich in der nächsten Folge kurz anschneiden.

Und ja, ich denke, dass wir jetzt erst mal für die erste Folge uns kurz vorstellen konnten.

Sicherlich können wir dann in zukünftigen Folgen, wenn das bei euch gut ankommt, auch noch mal ein bisschen mehr ins Detail gehen und über detailliere Themen sprechen.

Gerne können wir auch Fragen von euch beantworten.

Sehr, sehr gerne.

Also wir werden dann in die Show Notes natürlich noch die Links mit einbinden.

Einmal zu der Datenschutzseite von Klaus mit dem Datenschutzanalyse-Tool, was wir vorhin besprochen hatten.

Und natürlich auch meine Webseite destech.de.

Und dort werden wir auch eine Möglichkeit schaffen, wo ihr uns kontaktieren könnt und auch Fragen stellen könnt, die wir vielleicht dann in zukünftigen Folgen beantworten können.

Ja, Klaus, willst du noch irgendwas zum Schluss sagen oder sonst würde ich das für heute erst mal abschließen?

Ja, also vielen Dank für die Gelegenheit, dass wir uns heute hier mal zusammenfinden konnten.

Ich hoffe natürlich, dass es interessant war für die Zuhörer und würde mich freuen, wenn wir dann noch einige Folgen machen könnten und auch zahlreiche Rückmeldungen bzw. Fragen reinkommen zu Themen, die die Zuhörer interessieren und die greifen wir dann auch gerne auf.

Ja, hervorragend.

Dann würde ich sagen, vielen Dank fürs Zuhören und bis zum nächsten Mal.

Tschau.

Tschüss.

Das war Datenschutz Deluxe.

Du möchtest keine neue Folge verpassen?

Dann abonniere uns jetzt bei Spotify.

Bis zum nächsten Mal.