 Okay, dann freue ich mich, dass auch heute mal wieder so viele Leute Interesse haben am Datenschutz. Wir haben es, unser Zeichen heute genannten Meldungen aus dem Datennäbel, Realität versus Historie. Das heißt, wir wollen mit euch jetzt nicht durchgehen, was ist genau alles zu beachten. Die, die mich kennen, haben da schon x-mal gehört, den kommt es wahrscheinlich an den Ohren raus. Sondern wir wollen einfach mal gucken, was ist in den letzten Wochen, was sind von Säure durchs Dorf getrieben worden? Um was ist da vielleicht dran und was ist er zum Abhaken? Das heißt, ihr kennt alle die Grundsätze der Datenverarbeitung und so weiter. Interessiert uns heute nicht. Da werden wir nichts zu sagen. Ihr kennt die Frage, was gibt es an Erlaubnis-Tatbeständen? Wann darf ich Daten verab... Ihr kennt das ja, datenverarbeitung ist verboten. Punkt. Das sei denn, sie ist erlaubt und dann gibt es spezielle Gründe. Da können wir gleich darauf ein, bei den einzelnen Themen ist also auch nicht unser generelles Thema, sondern wir wollen wirklich jetzt tatsächlich oder Österreich einfach mal so Einzelfälle uns angucken. Zuerst mal ein paar aus dem reellen Leben. Ja, ihr habt es vielleicht diese Woche auch mitbekommen. Die große Hysterie bezüglich, oder die kam aus Österreich, dass jetzt irgendwie Klingelschilder abgeschraubt werden müssten. Dummerweise haben sich da auch unsere verschiedenen Landesdatenschutzbeauftragten in Deutschland auch etwas kontrovers geäußert. Der eine mal Thüringen meinte, ja, die Österreicher hätten Recht und da war es grob, der anderen Aufsichtsbehörden ist der andere Meinung. Aber veröffentlicht wurde natürlich wieder nur die Ansicht des Thüringer Daten, Landesdatenschutzbeauftragten, der tatsächlich gesagt hat, ja, es ist ein Verstoß gegen Datenschutz, wenn draußen die Namen an die Klingelschilder das Problem bei der ganzen Geschichte ist. Natürlich, ich meine, die erste Frage, die sich in Jurist stellt ist, warum muss ich arbeiten? Und das muss man auch bei Gesetzen fragen, bin ich überhaupt anwendbar als Gesetz und ihr kennt das alle? Wann ist die Datenschutz-Grundverordnung anwendbar? Wenn erstes die automatisierte Datenverarbeitung vorliegt, sind die Klingelschilder automatisiert? Nee, also sowas von analog wie nur was oder aber analog ist es Anwender, wenn es in einem Dateisystem abgelegt ist. Wobei die Frage sich auch stellt, haben wir hier eine strukturierte Datensammlung vorliegen beim Klingelschild. Und was meint ihr, haben wir? Wer meint, es wäre eine strukturierte Datensammlung? Gegenprobe. Ja, also es liegt nämlich eben keine strukturierte Datensammlung vor, wobei, naja, das Ordnungskriterium vielleicht der Etagen, aber das ist auch eben nicht immer gegeben. Und also ganz klar, das ist einfach Mumpitz, aber klar, die Schlagzeile machte sich natürlich in dieser Zeitung mit den vier großen Buchstaben natürlich besonders gut, dass jetzt in Wien 220.000 Klingelschilder abgeschraubt werden müssten. Ja, wobei man natürlich auch sagen muss, in Österreich hat es eine andere Tradition. In Wien sind viele Häuser einfach, in Wien sind viele Häuser sowieso so beschriftet, dass da nur drauf geht, Italische sowieso, Apartments sowieso, aber das ist halt anders, als es hier üblich ist. Man kann natürlich die strukturierte Datensammlung unter Umständen bejahen, zum Beispiel dann, wenn man Riesenhochhäuser hat, wo die auch schön nach Italisch insortiert sind. Aber selbst dann, was hätte ich dann, ja, dann, ich meine, jeder Mieter hat ein berechtigtes Interesse dran, dass er, dass bei ihm nur Klingelschilder, wenn die Leute zu ihm wollen und nicht einmal überall Klingelschilder nicht weiß, welche Nummer jetzt die richtige ist, zu dem Namen, der nicht dran steht. Also dann geht es darüber, dann muss er halt widersprechen. So oder so, die Klingelschilder dürfen natürlich dran. Richtig, und wenn jetzt ein Mieter unbedingt drauf besteht, dass da sein Name nicht mehr da steht, dann wird es halt das eine abgeschraubt und ist auch ein Haken dran. Aber das sind so typische Fälle, wie diese Mysterie wird erzeugt. Haus und Grund hat dann auch seinen ganzen Mitgliedern empfohlen. Man soll doch bitte die Nabenschilder abmachen. Gut, in dem Mitgliedsbeitrag dieses Vereins sind, glaube ich, auch die Rechtsberatung mit drinnen eigentlich. Ja, so eine Basisrechtsberatung. Auf jeden Fall haben die immer Juristen. Gut, man sollte auch Juristen nehmen, die sich auskennen. Ja, die kennen sich bestimmt im Mietrecht fantastisch aus. Aber ob sie sich im Datenschutz so gut auskennen. Okay. Anderes Beispiel, was wir haben. Die Visitenkarte. Granat, darfst du mir deine Visitenkarte geben? Okay, gut, das war jetzt die falsche Antwort. Walter, du hast eine. Darfst du mir geben? Was darf ich mit der Visitenkarte dann machen? Unproblematisch, weil der Verarbeitung im Kopf ist keine Datenverarbeitung. Ja. Was darf ich noch mit der Visitenkarte machen? Da habe ich sie auch bei mir in mein Adresskalender reinschreiben. Muss ich dich darüber dann noch mal informieren? Weil es ja Datenverarbeitung dann. Ja, du gehst mit die Karte und ich geb dir dann meine Datentutzerklärung, oder? Ja, jetzt lacht ihr, ne? Das ist alles mal diskutiert worden. Nee, natürlich nicht. Das Ganze hat ja nur den Zweck. Und wenn ich die entgegennehme, ist auch klar, dass ich die verarbeite. Und wenn das nicht will, bitte sehr, der soll. Sie mir nicht geben. Aber wenn ich die Visitenkarte im Schuhkarton aufbewahre. Bin ich auf dem Boxen? Bist du nicht drauf? Also das Ding ist an. Okay, dann lass ich es einfach mal draußen liegen. Vielleicht geht es dann besser. Gut. Okay. Also die Visitenkarte, wenn ich die jetzt nicht ins Adressbuch eintrage, sondern Schuhkarton lege, was haben wir dann? Ne, dann haben wir nämlich gar nichts. Das ist nicht strukturiert. Das ist kein Dateisystem. Also die Visitenkarten bei mir werden eh nicht über die SVO konform aufbewahrt. Aber wer es halt in so ein A-Biss Z-Register rein tut, da würde es sogar drunter fallen. Aber wie gesagt, auch kein Problem. Ein Beispiel haben wir noch aus der reellen Welt, bevor wir auf die. Ja, natürlich. Also du kannst die Frage war jetzt, wie sieht das aus, wenn man die zweitel auf Xingu abfotografiert und da direkt einsortiert. Wenn ich dir eine Visitenkarte gebe, will ich, dass du Kontakt mit mir aufnimmst. Das geht aber nur, wenn ich auch die ermögliche, die üblichen Kommunikationsmittel und. Auch die üblichen Organisationsmittel zu benutzen. Und dazu kann natürlich auch ein Online-Tool gehören. Klar. Das Problem wäre schon eher, wenn du dann ein nicht in Europa großes Online-Tool nimmst, aber gut, auch da gibt es ja dann die Möglichkeiten mit Privacy Shield. Newsletter ist ja zweiseitig. Da habe ich einmal die DSGVO. Die Einwilligung, die ich da brauche, die ist einfach dadurch, dass eine Visitenkarte noch nicht erteilt. Damit darfst du mich mir Kontakt aufnehmen, aber du darfst mich nicht spammen. Das andere ist die Seite Wettbewerbsrechtlich, UWG. Da brauche ich eh eine vernünftige Einwilligung. Das heißt, du darfst dem von mir aus eine Einladung schicken für deinen Newsletter. Wenn du Interesse hast, melde ich hier an. Aber dann bitte soll er sich anmelden. Oder er soll sich direkt auf eine Liste eintragen, die du dann da hast und dir da abhaken, dass er den haben will. Aber das ist eben nicht neu, sondern war ja auch schon vom 25.5. USUS Double Opt in. Ja, gut, aber wie gesagt, das von dir beschriebene Verhalten, dass manche Leute ein Verein so in Newsletter eintragen, war schon vom 25.5. Nicht ganz korrekt her. Ja, also, ja, also. Um Mark meinte gerade, erlaubt ist natürlich, wenn ich eine Box hin habe, wollen Sie unter Newsletter beziehen, dann werfen Sie Ihre Visitenkarte hier rein. Das Problem, was ich dabei habe, ist natürlich, ja, es geht so. Es gibt nur zwei Probleme. Erstes Problem, es muss nachweisbar sein, dass ich den daran eingewilligt habe. Das heißt, ich muss daher auch dafür Sorge tragen, dass ich diese Visitenkarten dann dauerhaft aufbewahren mit dem Vermerkwang nicht so woge bekommen habe. Da ist es vielleicht einfacher, das über eine Liste zu machen. Muss mal gucken. Und das andere ist, was ich ist, denn wenn ich bös will, ich da einfach die Visitenkarten entsorge, die ich auf anderen Stellen in die Hand gedrückt bekommen habe. Also, man kann es machen, aber es hat ein gewisses Restrisiko. Von daher. Auch da würde ich dann höchstens mal ein Anmeld in Newsletter senden. Okay, sollen die sich einfach eintragen mit den Daten, die du brauchst, du brauchst ja eigentlich nur die E-Mail Adresse für und von mir ist noch den Namen. Der Name eigentlich ist ja nicht erforderlich, aber da kann man doch mit berechtigendem Interesse argumentieren, einfach, weil du damit den Newsletter ja personalisieren kannst. Sollen sie dir entsprechend eintragen und dahinter unterschreiben und fertig. Und wenn ich dann noch am besten den Begrüßungs Newsletter ausschicke, wo ich dann nochmal den Hinweis habe auf meine Datenschutzerklärung, dann bin ich safe. Ja, ich melde mich für den Newsletter sowieso an. Also, ich meine, die sollen ja schon wissen, was zu unterschreiben. Sonst meinst du eine herzekriegende Waschmaschine und die kannst du viel, kannst du nicht liefern. Also, deshalb, ich will schon drauf schauen, wo es geht, aber da reicht einfach oben Anmeldung zum Newsletter oder was auch immer du dann schreibst und dann sonst es ausfüllen. Ein Beispiel haben wir noch aus der realen Welt, bevor wir in die virtuelle gehen. Wer weiß, was es mit dem Bild auf sich hat. Okay, ihr kennt, stellt euch den üblichen Friseurladen vor. Da ist ja nicht nur der Inhaber oder die Inhaberin alleine, sondern die hat Mitarbeiter. Gerade Friseurladen ist jetzt ein dankbares Beispiel für uns, weil was ist mit diesen Mitarbeitern zwei Sachen. Erstens, es sind sehr viele geringfügig Beschäftigte da oder Teilzeitkräfte. Das heißt, die Wahrscheinlichkeit, dass die, ich sag mal, 10, 15 Mitarbeiter ist ja nicht so gering. Und was machen diese Mitarbeiter alle außer Haare schneiden? Die gehen typischerweise alle ans Telefon, wenn es klingelt, weil da geht halt der daran, der gerade keinen Kunden hat. Und was machen die dann am Telefon? Aber Guten Tag, Frau Müller. Wann wollen Sie denn kommen? Morgen um zwölf. Ja, wunderbar. Das passt. Da haben wir noch frei. Ich trage Sie gerade den Kalender ein. Das sind zehn Mitarbeiterinnen und dann der Datenschutzbeauftragte. Der dürfte meistens fehlen. Als davon abgesehen, dass auch viele Friseursalungs- und auch Videokameras hängen haben. Mittlerweile ist wir auch noch so eine Sache. Ja, also ihr merkt schon, es gibt tatsächlich auch Ausrüchse hier. Aber gut, trotzdem der Friseur hat noch weitere Knackpunkte. Das betrifft uns Männer, jetzt meistens weniger. Wir gehen ja einfach nur in Friseur und wollen die Haare geschnitten haben. Die Damen lassen sich auch häufiger die Haare färben als Männer. Und dann werden ja auch mitunter auch Listen geführt. Welches Farbfärbemittel etc., weil es zu allergischen Reaktionen bestimmte Mittel führen. Was haben wir da für ein Problem? Richtig, Gesundheitsdaten. Und das sind besondere kategorien personenbezogene Daten. Sie müssen auch besonders geschützt werden. Und wenn ich mit solchen berufsmässig umgehe, also ist nicht nur, dass ich die Daten solchen von Mitarbeitern habe, die für die Lohnbuchhaltung, das ist noch unproblematisch. Aber wenn ich so besondere Daten habe, dann muss ich damit natürlich auch eine Risikoabwägung treffen. Und auch das ist ein Grund für ein Datenschutzbeauftragten. Unter anderem. Genau. Wobei, auch da muss man sagen, die Hysterie bei Ärzten. Sie vergessen einfach, was sie eigentlich sind. Das sind Berufsgeheimnisträger. Die haben es sowieso etwas einfacher. Und ich sage mal so, wenn diese Berufsgruppen sagen, sie haben Probleme mit dem Datenschutz, dann haben die ein viel größeres Problem. Ja, ja, es ist tatsächlich so. Also die, was da für Hysterie jetzt zurzeit bei Ärzten ist, noch viel schöner ist es bei Tierärzten, dass man auch eine Einwilligung unterschreiben muss, dass man im Namen des Hundes irgendwo in der Kartei erfasst. Ja, warum ist das jetzt so lustig? Ja, der Hund ist keine natürliche Person. Da greift die Datenschutz-Grundverordnung nicht. Sie muss genauso wie bei Bestattern. Im Toto ist es auch keine natürliche Person. Mit dem Toto hat der Datenschutz auf. Gut, aber der Friseursalon, den haben wir uns ja auch rausgepickt, weil es ja auch da jetzt, was war, das Landgericht Frankfurt gab es einen schönen Fall. Eine Dame ist in Friseursalon gegangen, hat sich her, ich glaube, es waren Her-Extensions machen lassen. Und da wurde sie gefilmt dabei. Und dann sind diese Bilder auf der Facebook-Seite des Friseurs gelandet. So, jetzt stand wohl Aussage gegen Aussage. Am Endeffekt hat der Friseursalon verloren. Weil, könnt ihr euch vorstellen, warum? Ah, zumindest ist keine dokumentierte Einwilligung, keine nachweisbare Einwilligung. Das war das Problem. Also die konnten einfach, und das ist wieder juristisch, ich meine, mitunter auch klar, ich kann durch mein Handeln, dass ich mich nicht wäre, dass ich gefilmt werde, kann ich natürlich davon ausgehen, dass eine Einwilligung vorliegt, aber in diesem Fall war sie ganz klar nicht nachweisbar. Nein, ist das gleicher? Die hatten extra gefilmt, weil sie irgendwie für Werbezwecke da ein bisschen was machen wollten. Und sie konnten eben nicht nachweisen, dass die, dass die Kundin darüber aufgeklärt wurde, dass dort zu Werbezwecken gefilmt wurde und hatten auch hinter nicht den Nachweis, dass sie darin auch explizit eingewilligt hatte. Das ist das gleiche Problem. Ich bin dann morgen mit der Kamera umgegangen. Fünf oder sechs Mann wollten besonders lustig sein, habe mich gefragt, ob ich denn auch die Einwilligungen dafür eingeholt hätte. Ich habe dann immer flapsig geantwortet, wenn mir in die Kamera grinswillig ein. Es stimmt ja auch, aber stimmt nur teilweise. Wenn ich die fotografiere und du lächst mich dabei an, dann will ich es zu einem, dass ich die fotografiere. Gut, ob ich diese Einwilligungen überhaupt brauche oder ob ich die auch so hätte fotografieren können, sei es mal abgesehen davon. Aber wie liest du damit auch direkt, automatisch mit ein, dass ich die veröffentliche? Also dieses Foto? Eigentlich nicht, ne? Bei Videos habe ich es eigentlich einfacher. Da kann ich eben auf einem Video zur Not, den jeweiligen Fragen. Ach immer, du weißt ja, das, was ich gerade bei dir jetzt hier mache, das wird nachher auch über YouTube eingestellt oder bei Facebook, bist du mit einverstanden, ne? Ja, dann ist das Thema auch durch. Auch dann ist es dokumentiert. Aber irgendwie muss ich es halt dokumentieren dann, gerade wenn ich es online stelle. Ja, genau. Da ist natürlich das andere Problem. Hier war es jetzt offen. Jeder wusste auch, warum ich fotografiere und weiß auch, dass diese Bilder teilweise nachher online gestellt werden. Beim Fissröhr gehe ich nicht davon aus, dass ich da im Videos hechen lande. Ja, nee, vor allem, aber vor allem, weil eben da auch irgendwie nur mit dem Handy wohl gefilmt wurde, gehe ich auch nicht direkt davon aus, wenn ich jetzt beim Friseur sitze, dass ich mich am nächsten Tag irgendwo auf der Facebook-Seite wieder finde. Also das Grundproblem war eben, der Friseursalon konnte vor Gericht nicht den Nachweis erbringen, dass eine Einwilligung vorlag. Okay, kommen wir zu den Webseiten. Ja. Wie oft habt ihr die in letzter Zeit gesehen? Also nach dem 29. Mai waren es sehr viele. Es gibt sogar eine Anwaltskammer, die ihre Seite abgeschaltet hat. Nein. Doch. Hier aus dem Rheinland. Wahnsinn. Es war nicht die Kölner. Die, sie ist inzwischen wieder online, so ist es nicht, aber ein oder zwei Wochen war sie weg. Einfach, weil sie Panik hatten wegen ihrer Webseite. Ja, fangen wir doch an. Ich würde sogar sagen, sobald, auch wenn die, also die Frage war, Datenschutzerklärung mit dem Pressum da sein müssen, wenn an der Construction ist und also dieses Bildchen und eben das Logo der Firma erkennbar ist. Man kann sogar noch weitergehen. Gestern hatte ich die Frage von, der Tlapte dahinter sitzt, der mich fragte, was ist denn, wenn ich nur eine Login-Seite habe und was nur intern zugänglich sein soll. Aber auf die Login-Seite kann natürlich jeder kommen. Also das Impressum ist relativ leicht, wenn es schon werblich ist für die Firma, der muss in den Pressum drauf. Und Datenschutz ist eigentlich auch leicht, ne? Ja, ja, weil in dem Augenblick, wo selbst diese blöde an der Construction-Page aufgerufen wird, wird ein Lockpile auf mein Web-Sauer geschrieben und damit werden personenbezogene Daten erfasst. Mein Web-Brauser liefert die IP-Adresse dahin, die wird verarbeitet, weil wenn sie nicht verarbeitet wurde, wird mir nichts zurückgeschickt. Und damit habe ich eine Datenverarbeitung. Und meine IP-Adresse ist zumindest, wenn ich es privat aufrufe, auch in personenbezogenes Datum. Es sei denn, ich filter so aus, dass da nur von Unternehmen drauf zugegriffen werden kann, dann wären es keine personenbezogene Daten. Aber das kann ich ja nun mal nicht. Oder eben tatsächlich der Web-Hoster auch anbietet, dass er gar keinen Fall schreibt. Das haben wir jetzt ja auch seit 25.5. bei dem einen Web-Hoster, dass er die Option anbietet, gar nichts mitzulocken. Und da ist wohl die einhellige Meinung unter den Datenschützen, dass für diese paar Millisekunden, die gebraucht wird, um den Union-Request zu verarbeiten, wird da tatsächlich nichts gespeichert. Und das sei dann auch in Ordnung. Frage war, was ist mit den gerade registrierten Domains, wo noch nur die Freischaltseite des Hostos erscheint? Im Endeffekt ist das gleiche. Wenn da nichts gespeichert wird, braucht auch keine Datenschutzerklärung, ist drauf. Wenn der Hosto da Daten sammelt, weil das ist ja noch nicht deine Seite, sondern der Hosto schaltet diese ja frei. Solange ihr eine Seite in seiner Verantwortung freischaltet, muss er sich natürlich auch dann um eine Datenschutzerklärung kümmern. Da auf diesen Seiten immer auch mindestens ein bisschen Werbung für den Hosto drauf ist, muss er natürlich mindestens mal seine Presse drauf tun. Und typischerweise dann auch eine Datenschutzerklärung, weil er die Lock-Files dafür natürlich nicht ausschaltet. Aber das ist dann Sache des Hostos. Eure Verantwortung wird es in dem Moment, wo ihr eure Seite drauf legt, also wo das Ganze übernehmt. Könnte der geschickter Ansatz sein, richtig, das Ding nicht zu nutzen und eben die Standardseite des Hostos erst mal zu lassen? Ja, da ist das andere, was immer daran klebt, ist die Frage, welche Sanktionen drohen. So, ich habe natürlich mehrere. Ich habe einmal die Sanktion, dass die Landesdatenschutzbeauftragten auf mich zukommen können. Also die haben genug zu tun. Für so ein Shit kommen die nicht raus. Es gibt bei den Gerüssen gab es früher über den Grundsatz Judith Nancourt, also die Gerüchte interessieren nicht die Kleinigkeiten, den Datenschützer auch nicht. Die haben andere Sorgen als das. Dann ist das Thema natürlich Abmahnungen. Ja, dafür brauche ich einen Wettbewerber oder die Verbände, die haben auch andere Sachen zu tun. Oder ich brauche einen Wettbewerber, ja, aber bitte sehr. Ich meine, Wettbewerber ist und ist immer noch nicht geklärt, ob sie abmahnen dürfen oder nicht. Das ist immer noch höchst umstritten, wenn der Pendel im Moment sehr stark Richtung Abmahnung ausschlägt. Aber unabhängig davon, um Wettbewerber zu sein im Onlinebereich, brauche ich auch eine eigene Webseite. Und ich garantiere dir, egal welche Webseite wir uns angucken, wir brauchen keine fünf Minuten und wir haben die Datenschutzverstöße, die wir abmahnen können. Also, also deshalb, da sollte jeder sich zweimal überlegen, ob er sowas macht, weil das Pendel kann zurückschlagen. Richtig, das ist das berühmte Glass House, in dem man sitzt und nicht mit Steinen werfen sollte. Ich wäre jetzt abmahnen, der muss damit rechnen, dass er gegen Abmahnung kassiert. Also, ist vielleicht auch nicht sonderlich klug. Außer man ist vielleicht Rechtsanwalt. Ja, aber auch dann. Stimmt, gab es ja auch einen Fall, dass jetzt eine Anwältin abgemahnt wurde, weil sie selber keine Datenschutzerklärung hatte. Ja, ich meine, und der Dritte, da können das Hinverbraucher, die sagen, ja, aber bitte sehr, du hast jetzt meine Daten gespeichert, was passiert damit, ich will Auskunft haben. Ja, aber die Auskunft hat ja sowieso verlangen und ob da jetzt was drauf ist oder nicht, ja, den Fall hat es auch gegeben, schonmal, den buchen wir mal eher unter grösses Wettkäppnis. Gut ist aber noch nicht entschieden. Es hat jemand geklagt auf Schmerzensgeld, aber entschieden ist die Nummer noch nicht. Nein, weil die Richter sich noch nicht von ihrem Lachkampf erholt haben. Ich glaube auch, wobei ist das nicht dann auch wieder schmerzensgeldfähig. So ein chronischer Lachanfall eines Richters. Das ist Berufsrisiko, ne? Das ist bei denen in ihrem Warten sollte mit abgegolten. Also, gegenachmal ist so ein Problem hier, das war ja deine Frage. Ich habe hier in Deutschland nicht dieses amerikanische Modell der Aclihens. In Amerika gibt es eine ganz einfache Regel. Ich kann nicht selber abmahnen, wenn ich selber schmutzige Finger habe. Das haben wir hier nicht. Ich kann auch mit den dreckigsten Fingern, auf den anderen Zeichen und sagen, du darfst das so nicht machen. Was aber das Risiko ist, ist, dass der andere sich romanchiert. Das heißt, ich würde so was doch nie machen, wenn ich selber angreifbar bin. Weil das kostet mich dann auch wieder mein Geld. Sollte es nicht tun. Gut, Idioten gibt es immer. Idiotisten ist ja nicht strafbar. War die mit die Frage beantwortet? Ob eine Abmahnung rechtlicher sein muss? Ne, wenn sie nicht recht sicher ist, riskiere ich halt, dass ich andersrum auf den Kostensitzen bleibe und die Kosten ist anders sogar habe. Also das ist ein bisschen gefährlicher als sonst bei Anspruchsverfolgungen. Aber da, ich meine, irgendwo darüber müssen sich auch Anwälte wieder streiten können. Gib uns auch was zu verdienen. Gut, die Frage war mit WordPress 4.9.8 ist die Möglichkeit hinzugekommen, dass ich fest die Seite mit der Datenschutzerklärung auch hinterlegen kann, festlegen kann, die eben auch auf der Lock-in-Page angezeigt oder verlinkt wird. Und darauf weiter ging die Frage, ob eben auf der Lock-in-Page auch eine Impressung sein sollte. Also die Regel für das Impressum und endlich auch für die Datenschutzerklärung ist ja, sie muss leicht erreichbar sein. Die klassische Regel heißt eigentlich immer zwei Klicks. Du hast dich auf deiner normalen Webseite hast du sie meistens offen verlinkt. Sei es oben im Menü oder unten im Futter oder wo auch immer. Auf der Lock-in-Seite hast du mindestens immer auch standardmäßig sogar schon drauf zur Homepage. Da komme ich mit zwei Klicks. Die Lösung, dass jemand zunächst mal auf die Homepage geht und dann da nach Impressum sucht, die halte ich jetzt nicht für so unrealistisch, dass die Leute das nicht schaffen. Das würde mir dann auch reichen und dann brauche ich auch auf diesem Lock-in weder Datenschutzerklärung noch Impressum, weil ich komme ja mit zwei Klicks trotzdem hin. Andererseits ist die Datenschutzerklärung verlinkt und in der Datenschutzerklärung habe ich mindestens auch immer die ladungsfähige Anschrift des Verantwortlichen, die in der Regel gleich bedeutend ist mit der Anschrift im Impressum. Nein, ich zwinge dich. Kann Datenschutzbeauftragten reinsetzen? Dann ist aber die verantwortliche Stelle. Stimmt, Hassrecht muss ich auch benennen. Bin ich eigentlich auch wieder fast da. Von daher gesehen würde ich jetzt sagen, sofern die Datenschutzerklärung vorhanden ist und eben da drin auch die verantwortliche Stelle mit der ladungsfähigen Anschrift genannt ist, hat man ja sowieso schon die Mindestanforderung an ein Impressum erfüllt. Da müsste ich aber noch kenntlich machen, dass es auch die verantwortliche Stelle im Sinne des Mediengesetzes. Aber selbst wenn ich die Datenschutzerklärung aufrufe, dann habe ich ja wieder mein normales Blocklayout und dann auch wieder links zum Impressum. Also auch wieder mit maximal zwei bis drei Klicks komme ich zum Impressum. Also ich denke, da dürfte keine Gefahr drohen. Also, dir ging es jetzt drum, Frage Wildwest-Zeiten für anwältische Abmahnungen und wie es dann ist mit den... Ja, aber die Anwälte waren ja nicht im eigenen Namen ab, die brauchen ja Mandanten, die deine Konkurrenten als deine Mitwettbewerber sind. Das heißt, du bist der und der Branche tätig und dann brauchst du jemanden auch aus dieser Branche, der genauso wie du da, sich online versucht was zu verkaufen oder sonst was. Und dann musst du dir ja zur Not mal dessen Seite angucken und dann findet man da meistens auch was. Die Anwaltseite ist da nicht ein Thema. Aber, nein, also der Anwalt kann ich von sich auch sagen, ich mahne jetzt mal ein bisschen ab, sondern die brauchen dann immer mindestens einen Mandanten, der in dessen Namen so abmahn, der auch halt im Wettbewerberfällen jetzt mit denen steht. Und ich denke, da eine Frage implizierte auch, ist denn wirklich diese Abmahnwelle angelaufen oder nicht? Also die große Welle ist wirklich ausgeblieben. Ja, es gab direkt nach dem 25.1.2. Wochen, gab es ein paar Abmahnungen, die auch stellenweise äußerst kurios waren. Das teilen die Abmahenden Anwälte an, gebe ich gar nichts davon. Wussten, dass sie abmahnen. Manchmal wussten auch die Mandanten nicht, dass für sie abgemahnt wurde. Aber die Welle ist ausgeblieben. Du musst auch immer eins sehen. Juristen oder Anwälte mahnt zwar vielleicht gerne ab, aber natürlich nur in Gebieten, in denen sie sich auch halbwegs auskennen. Datenschutz ist erstens eh nicht unbedingt das Kerngebiet eines Juristen und hier kommt noch dazu, es ist europäisches Recht jetzt. Das heißt mit autonom definierten Begrifflichkeiten. Ich kann nicht mit meinen üblichen deutschrechtlichen gelernten Begrifflichkeiten an Datenschutz dran gehen, sondern ich habe autonome europäisch definierte Begrifflichkeiten da. Es ist weit aus mehr Aufwand erforderlich, sich in so ein Gebiet einzuarbeiten, als wie es in ein anderes deutsches Gebiet hätte. Wo ich dann immer die allgemeinen Sachen kenne und den Rest dann schnell zusammenarbeiten kann. Das heißt, wir haben hier ein Gebiet, was für viele Juristen auch ein Buch mit sieben Siegeln ist und da überlegt man sich zweimal, ob man sich dann auf so ein Gebiet begibt unter Abmahnung erteilt. Ich meine, guck dir nur mal selbst Anwaltsleiten an. Die werden Eldorado für Datenschutzverstöße teilweise. Oder wie mancher Kanzlei mit den Daten umgegangen wird. Auch die haben ja studentische Hilfskräfte, die oftmals nicht aus Datengeheimnis eingeschworen sind etc. Na ja gut, okay, aber das wissen sie eigentlich, dass sie da berufsrechtlich müssen. Ja, sie sollten es wissen. Okay, anderes Thema. Das Bild Hinweise zum Datenschutz uns interessiert eigentlich noch was anderes. Wer hat in letzter Zeit mal eine neue Seite aufgesucht, auf der er lange nicht mehr war oder noch nie war? Wahrscheinlich jeder, ne? Wer hat euch da? Das Cookie-Banner richtig. Warum ist das eigentlich auf den Seiten? Wer von euch hat selbst so ein Cookie-Banner im Einsatz? Einige. Und warum? Sie professionell aus. Das machen alle. Das machen alle, ja, weiter. Ja. Also ich habe diese Woche noch eins gesehen von einem Hoster. Den habe ich auf dem Handy aufgerufen. Das ist eine gute Kulturerklärung. Ich konnte sie ja nichts auch nicht wegklicken, weil das war weiter unten und das was er da als Overlay gemacht hat, war nicht scrollbar. Also gut. Für die Aufzeichnung die Frage war also, muss ich es nicht eigentlich haben, weil ja auch ein Cookie gesetzt wird von einem CMS, aber tatsächlich erst beim Login und der Loginversuch. Na ja, da wäre jetzt kein wenig jetzt gerade nicht zwingend Einlade sich einzuloggen. Da könnte man sagen, was machst du, was willst du auf meiner Login-Seite? Ja. Ich wiederhole das auch nochmal gerade für die Aufzeichnung. Also das Session Cookie, wenn ich mich einlogge, wird eben aus technischen Gründen aufgezeichnet. Da habe ich dann sowieso auch, mein berechtigtes Interesse. Aber die Vorfrage war ja eigentlich, brauche ich überhaupt so ein Cookie-Banner. Warum machst du ein Cookie-Banner bei dir drauf? Weil ich dort Google Werbung habe und Google ist mir vorschreibt. Genau, das ist auch der einzige Grund, den ich eigentlich einer von zwei gründig akzeptiere. Und das Google für alle Teilnehmer an seinem Essensprogramm, also die Werbung ausspielen, ist da verlangt. Es gibt datenschutzrechtlich keinen Erfordernis in Deutschland, einen Cookie-Banner auszuspielen. Nein, gibt es nicht. Und vor allem sollte ich... Ja. Schreib es in die Datenschutzerklärung. Mach unter Umständen deinen Opt-Out und gut ist. Einzige, wo du es brauchst, und der zweite Grund, den ich akzeptiere, ist, ich habe keinen Lust auf die Nachfragen. Deshalb habe ich es teilweise bei mir drauf. Aber der zweite Grund ist eigentlich da, wo ich Einwilligungen brauche. Da muss ich natürlich irgendwas machen, um die Einwilligungen einzuholen. Da würde ich es auch noch akzeptieren. Aber typischerweise für die meisten Sachen, die auf einer Webseite laufen, brauche ich keine Einwilligung. Ja, das steht auf den ganzen Generatoren. Die haben auch alle für Analytics drinstehen. Es gibt, für Google Analytics gibt es eine Gegenmeinung. Die wird von genau 16 Personen vertreten. Das sind die Landesdatenschutzbeauftragten. Also, jedenfalls mehrheitlich. Ja, aber... Aber es ist so. Fangen wir mit dem einfachen Fall an. Du betreibst dein eigenes Pevig oder Matomo auf deiner Seite kein Thema. Du trägst ja nicht, sondern du misst ja nur die Reichweite deiner Seite. Um zu sehen, wo du was verbessern kannst. Keine Frage. Ist berechtigtes Interesse erledigt. Google Analytics, wenn es so einsetzt von deiner Seite auch es ja. Was Google damit auch sonst macht, decken wir mal lieber den Mantel des Schweigens drüber. Es wird so akzeptiert. Wir dürfen aber nicht vergessen, beim Einsatz von Google Analytics die Anonymisierung einzuschalten. Ja, natürlich. Aber das muss ich bei Pevig auch. Das Problem taucht dann auf, wenn ich ein Tracking über mehrere Webseiten ermögliche. Das ist klassischerweise nicht unbedingt Google Analytics oder das selbstgroße Pevig oder Matomo, sondern das sind typischerweise die Werbenetzwerke. Facebook Pixel. Solche Sachen. Da ist es klar, das hat nichts mit meinem berechtigtes Interesse zu tun. Ich habe kein berechtigtes Interesse dran. Sondern das haben höchstens die Werbetreibenden. Die sind aber nicht diejenigen, die das hier ermöglichen. Das bin ich als Publisher, als derjenige, der die Webseite betreibt. Ich habe keinen Grund, der im Gesetz steht, den mir das erlaubt. Also ausdrücklich ein Grund. Und dann bleibt als dritte Stufe nur noch die Einwilligung übrig. Dann brauche ich eine Einwilligung. Also wenn ich so ein Webseitenübergreifendes Tracking mache, dann komme ich nicht drum herum. Aber ehrlich gesagt, wer von euch macht das freiwillig? Und wenn ihr Werbenetzwerke habt, dann müsst ihr mit denen halt reden, dass es bei euch nicht geht. Dann fliegt zwar einige Werbung raus. Aber dann ist das halt so. Mark hatte zuerst dich gemeldet. Wegen der Frage. Genau. Wie du gesagt hast, ich brauche nur ein Opt Out für eine Analyseprogramme. Übrigens auch nicht bei jedem Besuch. Also ihr könnt dann ruhig auch bei den Leuten technisch in Cookie setzen. Der war jetzt schon mal hier, der kriegt das Cookie, das nächste Jahr nicht mehr angezeigt. Nein. Und das Ganze, auch diese Opt Out Möglichkeit, die könnt ihr einfach die Datenschutzaktion reinschreiben. Ihr müsst auch einfach mal praktisch natürlich sehen. Stellt euch vor, ihr macht diese Web-Analyse nur mit Einwilligung. Da können sie direkt sein lassen. Weil das nützt mir eine Web-Analyse, wo ich nicht weiß, wie viele Prozent der Leute jetzt auf einen einklicken. Nix. Sie ist eh schon ungenau, weil Leute die Cookie-Banner einsetzen oder Dunertrack nicht getrackt werden dürfen. Gut, wobei Google sich um Dunertrack nicht kümmert. Aber da müsste ich jetzt auch noch die Zahlen komplett ungenau machen. Dann könnte das auch ganz sein lassen. Also Ausblick nächstes Jahr, das hieß ihr Privacy-Verordnung. Ja, ein kann man noch nicht. Das hat zwei Gründe. Erstens wissen wir noch nicht, wann die kommt und wie sie kommen wird. Wenn sie so kommt, wie es jetzt im Moment in der Planung ist, Kommission und Parlament, also die beiden Vorschläge, die da sind, wird es so sein, dass es nur noch eine Einwilligung gehen wird. Aber, und das hört auch dazu, dass es aber die Einwilligung kann über den Browser erteilt werden. Das heißt, die Frage, Dunertrack ja oder nein. Die Standard-Einstellung muss dann sein, Dunertrack, wie der Firefox heute schon, und man muss es dann da abstellen. Wer es aber einmal abstellt, erteilt diese Genehmigung dann für alles. Das ist das, was im Moment angedacht ist in den Entwürfen. Aber wie das kommt, werden wir nächstes Jahr sehen. Wenn es so bleibt, da müssen wir ein bisschen vorsichtig sein. Ich will vielleicht noch auf einen Punkt beim Cookie-Banner. Ist euch hier noch aufgefallen, wie häufig ein ganz gravierender Fehler begangen wird? Ja. Es wird mich häufig der Link zum Impressum oder zur Datenschutz-Ecklerung verdeckt durch die Cookie-Banner. Das heißt, mit dem Cookie-Banner lege ich mir eigentlich ein viel größeres Ei. Ist besonders, wenn das dann so Cookie-Banners sind, die auch nicht vernünftig wegklickbar sind. Wenn der Link zum Impressum muss irgendwo da sein. Und wenn er schon das übereinanderlegt, dann müsste er das Impressum mal irgendwo anders hinlegen noch zusätzlich. Was viele auch nicht machen. Und dann verdeckt das Impressum ist übrigens sehr viel leicht abmanbar, weil das ist ausgestanden. Ach, du kannst. Also die Frage ist, Facebook-Pages, kann man sie noch machen? Ja, man kann sie noch machen. Man geht dann noch ein gewisses Haftungsrisiko ein. Da gibt es ja auch das Joint-Controller Agreement. Das heißt, wir haben da eine gemeinsame Verantwortlichkeit vorliegen. Jetzt sieht diese Sache mittlerweile seit ein paar Wochen so aus, dass es rechtlich immer sauberer wird. Ja, ein sauberer. Das Problem ist, das ist eine gemeinsame Datenverantwortung. Nicht nur Facebook hat die Datenverantwortung auch du, weil du diese Seite aufmachst und die Leute dahin schläust. Also bedarf das Ganze einer schriftlichen Vereinbarung zwischen dir und Facebook. Das Problem ist, in dieser Vereinbarung, die Facebook jetzt vorgelegt hat, ist nach wie vor nicht sinnvoll getrennt, wer welche Verantwortung trägt, denn dazu würde eigentlich auch gehören, dass Facebook sagt, um für die Verarbeitung der Daten übernehmen wir die Verantwortung, aber nein, Facebook sagt, wir übernehmen gemeinsam die Verantwortung. Wir sagen die aber nicht, wofür die Verantwortung übernehmen muss. Wie kann ich für was Verantwortung übernehmen, wenn ich gar nicht weiß, für was? Also datenschutzrechtlich, wenn man so etwas betreibt, ist beim Klammerbeutel gepudert. Wer sowas machen will, der sagt, da sind halt meine Kunden oder genau das Publikum, was ich suche, bitte sehr, der muss es machen, der muss aber wissen, dass es datenschutzrechtlich eigentlich nicht geht. Also 5.000 Euro mit der Facebook-Seite verdienen, dann kann man es machen. Das würde dann die Kosten decken, aber das Problem ist, das sind Ordnungswidrigkeiten und bei Ordnungswidrigkeiten habe ich auch eine Gewinnabschöpfung. Ich werde damit verdienen, verdienst du trotzdem nichts, wenn die mal rechnen, wie viele Gewinne noch abschöpfen können. Wenn du weniger verdienst, machst du auf alle Fälle ein Minusgeschäft, wenn du aufliegst. Deshalb, also Facebook-Seiten ganz ehrlich, würde ich mir immer zweimal überlegen. Aber das liegt bei mir auch dran, dass ich dieses Netzwerk ähnlich mag. Okay, einen haben wir noch und dann wird uns der Saft abgedreht. Wo ich das Stop-Schild da überhaupt sehe. Ich kann andenken, was wir damit meinen. Darf ich eigentlich noch meinen Mitarbeitern zum Geburtstag gratulieren auf der Webseite oder wir können es auch allgemeiner sagen, darf ich überhaupt Mitarbeiter Fotos auf die Webseite stellen. Mein Team. Und dann rinsten alle mehr oder weniger blöd in die Kamera rein. Mit Einwilligung, ja. Einwilligung ist schon mal eine gute Voraussetzung. Jetzt setze ich da, du fängst es bei mir an zu arbeiten. Rein theoretisch, ich tue mir das nicht an, aber rein theoretisch. Du bist natürlich noch in der Probezeit bei mir. Ich setze dich mit auf die Webseite. Du hast doch nichts dagegen, wirst du da nein sagen? Deshalb fängst du ja auch nicht bei mir an zu arbeiten. Das Problem ist natürlich bei dem Beschäftigten-Datenschutz immer die Frage der Einwilligung, der Freiwilligkeit der Einwilligung. Habe ich die? Na ja. Und was hier die Geburtstagsgrüße betrifft im Internet, kann ich so sicherlich machen. Da hatte ich jetzt nicht die Probleme. Die berühmt Geburtstagsliste. Also da geht es noch halbwegs, aber bitte dann auch nur im Internet. Ja. Also, alte Rechtsprechung der Arbeitsgerichte war eine einmal gegebene Einwilligung für die Bilder im Internet wiederrufbar. Ein solcher wichtiger Grund war aber die Kündigung. Das heißt, ich konnte es zwar drauf lassen, aber sobald er sagt, die muss ich runternehmen. Wenn das heute datenschutzrechtlich zu betrachten ist auch, heißt das andersherum, die Einwilligung ist jederzeit wiederrufbar. Also selbst wenn die noch bei mir arbeiten. Wobei der Zweck auch entfallen sein könnte und da muss ich es auch unternehmen. Ja, das Problem ist da ganz einfach auch, ist ein wettbewerbsrechtliches Problem unter anderem auch unabhängig vom Datenschutz. Das berühmt mich irgendwelcher Mitarbeiter, die ich nicht habe. Schwierig. Als Rubis der letzten zehn Jahre sehe ich, als äußerst schwierig, aber ich glaube, wir müssen wirklich zu einem Ende kommen. Da könnte es schwierig werden. Da muss man mit denen wirklich reden. Da würde ich mir dann auch, zum Beispiel, nach dem Ausscheiden, nach dem Ende des Ausbildungsverhältnisses dann die Einwilligung holen. Okay, ihr seht schon, alles klar. Die Katze auf einem Bild ist schon erschlagen. Ihr hoffentlich nicht.