 Okay, hallo zusammen. Wir haben eine kleine Planänderung. Jetzt gibt es einen Vortrag zur Datenschutzgrundverordnung. Okay, es ist kein Vortrag, es ist eigentlich eine Q&A. Der Udo und die Virginia sind jetzt für eure Fragen da und werden die jetzt beantworten. Es wird so sein, da wir jetzt nur zwei Mikros haben, ihr stellt die Fragen und die beiden wiederholen das einmal für die Aufnahme, dass das alles sinnvoll ist, auch in der Aufnahme, dass ihr euch das nachher auch nochmal angucken könnt, wenn das jetzt zu schnell geht oder zu kompliziert ist. Ja, hört ihr sehr? Ja, der Saat ist ja sogar fast voll geworden. Sehr, sehr schön. Sehr viele Interessenten. Hätte man bei dem Thema ja gar nicht erwartet. Okay, also, was wir heute nicht machen, ist so der übliche Vortrag einführen, die Datenschutzgrundverordnung. Einfach, wenn wir davon ausgehen, dass ihr das alle schon hinter euch habt. Meine Frage, wer von euch hat, hat sich schon intensiver mit der DSGVO auseinandergesetzt? Sehr schön. Haben wir hier auch einen Datenschutzbeauftragten? Also, bei weniger Händen jetzt beauseinandergesetzt, wäre ich auch enttäuscht. Das heißt, was wir heute machen wollen, ist einfach eine Q&A. Es hat hier in der letzten Zeit sehr viel Hysterie gegeben in dem Bereich. Alle zwei Tage ließ man hier was neues, was jetzt dringend wieder gemacht werden muss. Das meiste davon ist wirklich nur Hysterie. Und da wollen wir einfach mal mit euch jetzt so paar Sachen abklären. Wer fängt an mit einer Frage? Ja, dann. Christoph, ich lieb dich. Du fängst immer so richtig mitten rein an. Okay, also die erste Frage ist hier immer, braucht überhaupt eine Einwilligung? Ihr kennt ja die Pyramide, die es gibt an Gründen. Die DSGVO sagt, ihr dürft keine Daten verarbeiten, seitdem wir erlauben es euch. Und dann gibt es so eine Pyramide, da gibt es erst gesetzliche Gründe, wozu auch zum Beispiel die Vertragseinbahnung und so gehört, gerade am Telefon durchaus von Interesse. Dann gibt es die berechtigten Interessen mit Opt-Out und dann gibt es die Einwilligung mit Opt-In. Typischerweise ist Dein Fall die ganzen Newslettergeschichten und so weiter. Die heißt natürlich nur Einwilligung mit Opt-In. Beim Telefon ist es doch typischerweise etwas anders. Ich glaube ja nicht, dass du ein Newsletter per Telefon versendest. Der wärstet Ihnen fast gut beschäftigt. Und ich würde dann auch eine andere Stimme nehmen. Also andere Stimmen verkaufen sich besser. Das heißt, die meisten Telefonate, die du doch führst, da geht es ja nicht darum, dass eben, da haben Gründen dich angerufen und das Ganze ist eine Vertragsanbahnung, nichts anderes. Das heißt, da brauchst du keine Einwilligung, sondern sind wir in dem oberen Teil der Pyramide gesetzliche Gründe, die die Datenverarbeitung erlauben. Okay, das wären dann Marketinggründe, die durchaus zum berechtigten Interesse gehören, also mit Opt-Out. Das heißt, da musst du den Kunden vernünftig darauf hinweisen, dass du ihn nachher an die Telefontheoristen weiter lieferst. Also du gibst mir deine Visitenkarte, damit ich dich nachher ansprechen, oder was? Das ist ja, ich übernehme, du brauchst also die Datenschutzgrundverordnung greift immer dann, wenn eine Verarbeitung personenbezogener Daten stattgefunden hat. Das heißt, wenn du jetzt mit jemandem sprichst, zum Beispiel jetzt mit mir und sagst so, hey, ich will vielleicht nochmal mit dir quatschen über irgendwelche Themen, dann haben wir als solches gar keinen Vertrag und wenn ich dir meine Visitenkarte gebe, verarbeitest du die Daten ja auch nicht. Das heißt, du legst meine Visitenkarte, das war irgendwo bei dir auf dem Schreibtisch, aber meine Daten werden ja jetzt nicht weitergegeben und du benutzt die halt auch nur für den Zweck, um Kontakt zu mir aufzunehmen. Das heißt, eine weitergehende, darüber hinausgehende Verarbeitung findet ja gar nicht statt. Also du musst jetzt im Vorfeld wieder sagen, denk dran, ich hatte dieses Dreieck eben mit euch auch. Zuerst mal die gesetzlichen Gründe, dann die berechtigt Interessegut, ist auch gesetzliche Grund, aber der ist etwas außerhalb, weil ich dann Opt-Out brauche und dann die Einwilligung. Bei den gesetzlichen Gründen, der klassische Fall ist die Vertragserfüllung und dazu gehört, nach der DSGVO ausdrücklich erwähnt, die Vertragsanbahnung, wenn sie denn vom Kunden ausgeht. Wenn du mir also deine Visitenkarte gibst, damit ich dir irgendein Angebot gebe oder sonst was, dann fällt das genau darunter. Das heißt, da brauchst du keine Einwilligung, nichts. Das Einzige, was du brauchst, ist die Dokumentation, dass der Kunde dich angesprochen hat. Und diese Dokumentation hast du, die hast du sogar schriftlich, die nennt sich Visitenkarte. Natürlich haben mehrere Leute auf diese Datenbank zugruf, wo die Adressen sammelt, weil ansonsten macht das in der Firma keinen Sinn. Die Genehmigung gilt ja dann auch nicht für eine einzelne Person aus dem Unternehmen, sondern für das Unternehmen insgesamt. Das andere ist natürlich dann die Frage, wie weiß ich das nach? Zum Beispiel, indem ich entsprechend protokolliere, dass das von der Visitenkarte kam. Also ihr braucht jetzt nicht einen extra Raum ausräumen, wo ihr dann drauf schreibt, das ist unser Visitenkartenraum. Und dann da genug Kästenreinsätze, wo die Visitenkarte hinterlegt. Nein, das braucht dann nicht. Ihr müsst nur vernünftig protokollieren, wo ihr die Adressen her habt. Und wenn ihr sagt, wenn ihr dahinter hinterlegt, ja sowieso wo der erste Kontakt war mit den Kunden. Das heißt, ihr schreibt ja sowieso, ich habe den auf der sowieso Messe getroffen. Meistens im kleinen Bericht ja noch, was genau er will. Und damit hast du die Dokumentation, die du brauchst. Nee, das ist so auch nicht richtig. Also in deine Räume dürfen Leute. Das heißt, wenn du zum Beispiel mit einem Vertragspartner einen Auftragsverarbeitungsvertrag geschlossen hast, darf dieser theoretisch, das muss er sogar, das heißt, er hat auch, er muss Kontrollmaßnahmen durchführen. Er dürfte jederzeit bei dir anklopfen und sagen, hey, ich möchte mich darüber informieren, dass die technisch-organisatorischen Maßnahmen, die du erfüllen musst, dass die auch wirklich erfüllt sind. Wenn jetzt aber du keinen Auftragsdatenverarbeitungsvertrag geschlossen hast und jetzt einfach nur, ich weiß nicht, was von dem Business bist du tätig? Ja, aber dann bist du nicht bei dem Auskunft ersuchen. Das Auskunftsersuchen ist immer dann der Fall angenommen, du hast einen Kunden und der Kunde kommt an dich und sagt, hey, ich würde gerne wissen, was für Daten du von mir gespeichert hast. Dann musst du binnen 72 Stunden reagieren und dem Kunden alle Daten, die du über ihn gespeichert hast, in einer einfach zugänglichen Form, also einer PDF-Datei zukommen lassen. Er muss dafür nicht in deine Büro-Räume kommen. Also das ist die Auskunft. Also, klass, nimm mal mal ein paar Beispiele. Ich bin Kunde bei dir. Hörst du es so besser? Okay, ich muss das Mikrofon also essen. Passt mir. Nehmen wir das Beispiel, ich bin bei dir Kunde. Darf ich dann einfach zu dir kommen und sagen, ich will dir sehen, wo du meine Daten aufbewahrst? Nee, darf ich nicht. Du brauchst mich auch nicht reinlassen. Du kannst mich auch gar nicht wieder rauswerfen. Würde ich das persönlich übel nehmen, aber du darfst es. Wir haben einen Auftragsverarbeitungsvertrag, das ist ein zweiter Fall. Dann steht dem Vertrag genau drin, was ich darf. Dann habe ich gewisse Kontrollrechte. Die muss ich mir schon vorbehalten, weil schieße ich halt den Kopf dafür, wenn du missbaust. Warte nicht tun, das weiß ich ja bei dir, aber trotzdem. Dann habe ich die Rechte, die in diesem Vertrag drin stehen und da steht dann halt drin, dass du den Server entsprechend absichern musst und ich dann entsprechend das auch mal kontrollieren dürfte. Gut, abgesehen davon, dass ich es wahrscheinlich dann nicht kontrollieren könnte, weil mir die technischen Fähigkeiten fehlt und du mir ein mögliches Dorf vorgaukeln kannst. Aber dann hätte ich auch nur diese Rechte. Das ist aber an dir dann in den AV-Vertrag reinzuschreiben, dass ich nicht bei dir im Wohnzimmer zu stehen habe. Der einzige, der in deinem Wohnzimmer vielleicht rein darf, wenn du von der Arbeit ist, das wäre der Landesdatenschutz Beauftragte, wenn er mal vor der Tür steht. Aber die kommen meistens nur per Briefpost. Vorsicht, in deinem Bundesland wird gerade gut aufgerüstet. Hilfreich für Unternehmen, die sich halt davor schützen wollen, dass halt jetzt alle möglichen Vertragspartner vorbeikommen wollen, sind halt die ganz einfachen und gängigen Zertifizierungsmaßnahmen. Also man braucht jetzt um Gott keine E-27001. Es wäre vielleicht mit Kanonen auf Spatzen geschossen. Aber es gibt halt auch Zertifizierungen mit einem wesentlich geringerem Aufwand, die dann halt erfüllt werden kann. Zum Beispiel für Cloud Hoster, sodass halt die Kunden halt schon wissen, okay, meine Ansprüche an technisch organisatorischen Maßnahmen wurden durch eine Zertifizierungsstelle bestätigt. Ich muss meine Kontrollrechte nicht wahrnehmen. Harald, du hattest noch was? Ja. Okay. Okay. Also die Frage war Auskunftsrecht des Kunden und er will wissen, was über ihn mit welcher IP Adresse gespeichert ist, wenn er auf deiner Seite mal war als Besucher. Willst du direkt die ganz pragmatische Lösung haben? Jeder Kunde, der einen Auskunft oder überhaupt jeder, der einen Auskunftsgesuch stellt, muss sich entsprechend identifizieren. Und wenn er sagt, diese IP Adresse, das bin ich, das weiß ich ja nun nicht. Da muss er mir das nachweisen. Ich kann ja nicht zu dir kommen und sagen, ich bin gestern bei dir gewesen mit der IP Adresse 153, 154, 155, 157 und 20. Das kannst du mir glauben. Das kannst du mir auch nicht glauben. Das heißt, dann verlangen einfach bitte von mir, wenn ich mit diesem Auskunftssuchen komme, den Nachweis, dass du an dem Tag tatsächlich diese IP Adresse hattest. Damit dürften die meisten, da muss man ja auch eins dazusagen. Wer ist von der Daten des Rundverordnung geschützt? Das sind nur natürliche Personen. Das bist du, das bist du, aber das ist nicht deine Firma. Doch bei dir, ja, das ist ein Unternehmen. Ich lächte das Beispiel, aber wer hat feste IP Adressen? Das sind meistens Firmen, die und Behörden, ja gut, und Kabelkunden leider. Aber die mal, ich werde jetzt, wenn du sagst, dann gib mir bitte den Nachweis, dass du an dem Tag, an welchem Tag du diese IP Adresse genutzt hast, ist das Thema durch, weil die Christen von der Telekom oder wo immer du bist nicht. Nehme das Mikrofon, da brauch ich nicht so viel wiederholen. Okay, das heißt also im Klartext, wenn ein Kunde bei mir anfragt, Max Meier kommt zu mir und sagt, sag mir mal, welche Informationen du über mich gespeichert hast, dann sag ich dem, ich habe deine Rechnungsadresse in meinem Buchhaltungsprogramm, ich hab dich in meinem CHM stehen. Deine Telefonnummer ist bei meinem Telefonservice gespeichert, weil du mich ab und zu mal angerufen hast, aber ich sag jetzt nicht, eventuell ist noch deine IP Adresse irgendwo im Lockfall bei meinem Webposter gespeichert. Das muss ich dann nicht angeben. Das müsstest du nur dann angeben, wenn du gleichzeitig auch weißt, dass die IP Adresse von ihm ist und den Nachweis für der D gegenüber ja nicht. Das heißt also, es gibt halt auch generell, falls jetzt jemand von euch tatsächlich einen Auskunftsersuchen bekommen sollte von einem Kunden, ist halt auch wichtig, der Kunde muss sich in jedem Fall, er muss verifizieren, dass er auch tatsächlich dieser Kunde ist, denn ich könnte jetzt ja auch zum Beispiel bei XY anrufen und sagen, hey, ich bin Peter Müller, ich würde gerne wissen, welche Daten du über mich gespeichert hast und das können halt je nach Unternehmen halt auch extrem sensible Daten sein. Daher ist es halt wichtig, dass halt zum Beispiel über das Versenden eines, eines Verifizierungskodes, der dann halt der nur an die im, also jetzt in einem hinterlegten Programm hinterlegte E-Mail Adresse, dass die halt auch dahin dann geschickt wird, denn ihr müsst euch immer zu 100 Prozent sicher sein, dass ihr die Daten immer auch nur an die richtige Person weitergebt, also es ist halt teilweise schwer, aber wenn ihr das halt nicht macht, dann verstoßt ihr halt gegen ein ganz, ganz wichtiges Datenschutzprinzip und da liegt halt eine sehr, sehr große Tücke. Die Frage war jetzt, ob es da nicht sinnvoll wäre, immer nur postalisch und nicht digital zu versenden? Generell, ja es ist unter Umständen sinnvoll, aber du musst auch, du musst einfach bedenken, du hast eine gewisse Reaktionsfrist, du brauchst aber auch eine gewisse Zeit, um die Daten zusammenzustellen, du stehst ja auch nicht gewähr bei Fuß nur dafür, hoffe ich zumindest dass du auch andere Sachen zu tun hast. Und dann, wenn du dann noch rechnest, ich brauche dann noch einen Tag Postlaufzeit, dann könnte das schon mal manchmal knapp werden, das heißt da muss man dann überlegen auch teilweise und abgesehen davon, ich will auch nicht für jeden dann noch Bochte ausgeben, da muss man dann überlegen, ob man nicht ein andere System, ein anderes System auch hat. Zu dem Punkt mit dem Porto, das vielleicht auch noch ganz, ganz erwähnenswert, wenn ein Kunde ein Auskunftsersuchen stellt, dieses ist immer für den Kunden endgeltfrei, Kosten können erst dann erhoben werden, wenn dieses Auskunftsersuchen halt wirklich unglaublich oft kommen sollte und das halt auch schon nicht mehr vertretbar ist, aber solange das einmal im Monat ist, müsst ihr die Kosten dafür tragen? Grundsätzlich, wir haben ja in Deutschland das Prinzip der freien Vertragautonomie. Das heißt, du hast mit deinem Kunden kein Kontraherungszwang, du kannst jederzeit den Vertrag beenden, innerhalb einer Kündigungsfrist. Also es ist so, im Prinzip musst du die Auskunftsersuchen beantworten, das ist nicht wie bisher, bisher hattest du das Auskunftsersuchen nur einmal im Jahr, jetzt hast du es eigentlich beliebig oft, aber zu den Grundsätzen, die in der Datenschutz-Grundverordnung drin stehen, gehört auch der Grundsatz von Treuung Glauben. Das heißt, da wo es wirklich zu anderen Zwecken benutzt wird, nämlich nur um dich zu trollen oder um dich zu ärgern, okay, dich ärgern darf man aber nicht zutrollen, dann kannst du irgendwann einfach sagen, Junge, es reicht, melde dich in einem Monat wieder bis dahin, beantworte dich nichts mehr, aber das sind dann ja, wer übrigens mal wissen will, was man jetzt mit zum Auskunftsersuchen alles machen kann, sucht mal auf Heise nach Auskunftsersuchen, die haben vor ungefähr zwei Monaten mal so einen schönen Artikel gemacht, wo sie so ein Auskunftsersuchen zusammengestellt haben, was alles machbar ist. Ihr werdet euch freuen. Ja, da hinten ist eine Frage. Noch mal bitte. Also, wenn ihr jetzt uns beide fragen würdet, ich glaube, wir würden natürlich, wer auf diesen Fonds raus. So weit die Kurzform, die Langfassung. Ja, also generell, wenn Daten weitergegeben werden an ein Drittland, ist es halt deine oberste Pflicht sicher zu stellen, dass ein angemessenes Datenschutzniveau vorhanden ist. Dieses kann halt dargestellt werden durch die gängigste Art ist das US Privacy Shield. Derzeit ist es halt auch noch anerkannt, aber in meinen Augen wird das wahrscheinlich, wie das SAFE habe, abkommen, bald auch abgesegnet werden und weg damit. Dann gibt es halt noch weitere Wege, um halt ein angemessenes Datenschutzniveau festzustellen. Das ist dann zum einen, das Unternehmen selbst kann halt auch ein ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ist es noch berechtigtes Interesse nur, dass ich ein bestimmtes Design mit einer bestimmten Schriftart haben will. Zu den Grundsätzen, ich weiß, es gibt auch einen Datenschutzgenerator, der genau dieses Vertritt für Google Fonts zum Beispiel, aber nicht alles, was im Internet aus Generatoren ausgespuckt wird, ist auch sinnvoll. Ich hätte auch jetzt auch andere Begriffe dafür, aber es wird aufgezeichnet. Das Problem, das Problem, was ihr habt, ist einfach was anderes. Zu den Grundsätzen, die es in der Datenschutzrundverordnung gibt, gehört auch Privacy by default, Privacy by Design. Privacy by Design heißt, ich muss so Daten sparsam arbeiten wie möglich, Daten, die ich nicht brauche, darf ich nicht erheben. Und dann erkläre mir doch mal einer, warum genau dieser Form sein muss und es nicht ein anderer Form sein kann, wo ich dieses Zeltpixel nicht habe. Wenn ihr mir das erklären kannst, so, dass ich es die abnehme, dann unterhalten wir uns über das Ding. Aber erst dann. Und jetzt kommen wir nicht mit Corporate Identity, weil, nein, dann eben, da muss ich mir ein eigenes Schriftdesign machen lassen, dann darf ich halt nicht die Billiglösung nehmen. Ja, dann muss ich aber einen Anbieter halt nehmen, der mir eine andere Lösung bietet. Nur, weil ich gerne mit einem Anbieter Zusammenarbeit der Schrottbedingungen hat, heißt das nicht, dass ich die auch meinen Kunden oder meinen Besuchern aufdrücken kann. Also deshalb, gerade solche Lösungen, wie du sie da hast, ich weiß, die Sie in Gang und Gebe bei vielen Fonds, aber da muss man mit dem eine andere Lösung finden. Da muss man halt mit dem die Lösung finden, dass irgendwie anders, zum Beispiel andere Zeltungen, die du sowieso machst, als Besucherschattistiken und so übernimmst. Darüber hinaus, also es ist halt auch davon auszugehen, dass halt jetzt MyFonds zum Beispiel jetzt auch sagt so, oh, Mist, wir verlieren jetzt halt plötzlich total viele Kunden, die sich halt jetzt alle an die DSGVO halten wollen, sodass halt, die werden ganz schön dumm, wenn die sich jetzt nicht diese US Privacy Shield Zertifizierung abholen würden, zumal diese Zertifizierung zu bekommen, ist halt jetzt nicht so schwer, es ist halt letztendlich man unterschreibt eine Wischung, das war es. Also die Hoffnung, dass das Privacy Shield und alles fünf Jahre noch beim EUGH hält, die kann ich euch direkt ziehen. Das Verfahren ist inzwischen beim EUGH hängig, sowohl zu den Standardvertragsklauseln, die in ungefähr Jahrdem entsprechen, was nämlich schon gekippt und sehr farberregeln drin ist, als auch zum EU Privacy Shield. Also die Frage, ob das im Bereich des Interesses ist, sorry, darüber diskutiere ich nicht. Nur weil die Meinung abwegig ist, muss man sie nicht diskutieren können. Nein, damit, da kannst du es vergessen. Bin ich denn als Einbauer überhaupt verpflichtet, da irgendwas einzuhalten, weil der Vertrag oder was noch immer, kommt ja zwischen Anbieter der Webseite, sprich Firma und dem Besucher der Webseite zustande. Aber du hast einen Vertrag mit dem Anbieter der Webseite, du hast einen Vertrag mit dem Anbieter der Webseite, dass du ihm die Seite so machst, wie ich stand, Technik ist und dazu gehört, dass du solche Sachen einhältst, wenn du von ihnen warst. Also du brauchst es, du kannst es natürlich nicht einbauen, aber dann hast du die Schadensatzpflicht und das würde ich dann auch nicht empfehlen. Die Diskussion, welcher Schaden durch die Übermittlung der IP-Adresse entsteht, braucht man nicht zu führen. Es ist ausgestanden, IP-Adressen sind, wenn sie von natürlichen Personen kommen, ein personenbezogenes Datum und damit sind sie geschützt. Punkt. Und generell diese Frage, was soll das, dass jemand das Google meine IP-Adresse hat, oh Gott, das ist mein schlimmster, vollkommen irrelevant, die DSGPO ist da und wir müssen uns daran halten und das jetzt alles in Frage zu stellen, kann man machen, wenn man Bock drauf hat, sich Gedanken über etwas zu machen, dass man eh nicht ändern kann. Why not? Wobei man sogar dazusagen muss, das Ganze, über das wir uns jetzt unterhalten, das ist nicht erst ab dem 25. Mai unmöglich, sondern es ist auch jetzt schon unzulässig und viele der Sachen, über die wir uns unterhalten, die ab nächsten Monat noch gehen oder da sind auch in der ganze Zeit runter, wo man sagen muss, sie gehen wieder, denn wir machen sie im Moment, aber sie gehen im Moment eigentlich nicht offiziell, also die DSGPO ermöglicht da sogar teilweise Freiheiten, die wir jetzt nicht haben, diese ganzen berechtigten Interessen, das wirst du in der Bundesdatenschutzgesetz nirgendwo finden, das findest du jetzt da. Noch Fragen zu den Schriften? Also aus Accessibility Sicht, sollte man im Webdesign sowieso so Schriften verwenden, die man gut lesen kann und wenn man das einhalten möchte, finde ich persönlich, dass es eh immer Schriften gibt, die sich relativ ähnlich sehen, also dann zu sagen, ich finde diese eine Schrift nicht auch woanders, etwas schwierig. Das heißt, Web 1 mal 1 empfiehlt aus Webability Gründen Kommerzons. Das halten wir jetzt so fest. Das ist halt, ja, das ist im Endeffekt die Frage, ist es berechtigtes Interesse von dir, dass du genau diese Schrift verwendest. Zum berechtigten Interesse gehört auch das Marketing und da könnte die Corporate Identity zugehören, aber meines Erachtens unterhalten wir uns ja nicht über eine Schrift für das Logo oder sonst was, sondern die Schrift, in der die Webseite gehalten ist. Da gibt es auch durchaus andere Möglichkeiten, da muss ich halt überlegen, was ich mache. Die Übermittlung ist aber nur das eine Thema, also die Übermittlung in den USA. Die andere Frage ist ja, darf ich überhaupt diese Daten übermitteln? Und da brauche ich halt mindestens mal ein berechtigtes Interesse oder eine Einwilligung für, weil in anderen Grund fällt mir jetzt nicht ein, der es rechtfertigen würde. Und berechtigtes Interesse, nur dass ich jetzt unbedingt diesen Fonds in normalen Text benutzen will. Also ich bin eher bei dir, sobald es um das Design, das Logo geht, aber da brauchst du die Schrift eigentlich ja nur für die Grafik. Da kannst du es als Grafik hinterlegen, brauchst du also auch nicht, in dem Sinne. Bei dem anderen habe ich mehr als Bauchschmerzen, sage ich ganz offen. Aber wenn der Kunde es will, kriegt das halt, da muss ich ihm nur bitte auch drauf hinweisen. Auch da muss er halt aufpassen und sehen. Also in solchen Fällen, wäre es halt auch immer ratsam. Also wenn der Kunde halt auch wirklich komme, was wolle darauf besteht, dass er diese Schrift haben will, sich ein Haftungsausschluss unterschreiben zu lassen, in dem der Kunde halt sagt, ich nehme es vollkommen und ganz alleine auf meine Kappe und das halt, wie alles in der DSGVO halt sauber protokollieren, abheften und bereithalten. Kann ich theoretisch bei so Schriften über eine Cookie-Notes-Geschichte mir quasi das Einverständnis vom Webseitenbesucher holen, dass er damit okay ist, dass die Daten an Adobe oder sowas geschickt wird. Und in dem Moment, wenn er okay klickt, feiere ich ein JavaScript, was die Schrift nachlädt, wäre das okay, weil dann habe ich ja einen Opt-in durch den User. Das heißt, du sagst, fragst den User, willst du eine Kommerizanz oder eine vernünftige Schrift haben? Ja, nee, du kannst es schon machen, klar. Das wäre eine eindeutige Einwilligung. Die Frage ist nur, ob sie das zum Kunden zumuten müssen, vor allen Dingen, wenn er doch den Rest sowieso lesen kann. Aber rechtlich ist das möglich, nur das ist ja auch nicht mehr so in der Körper identitiv, wenn du es auch in einer anderen Schrift dann lesen kannst. Aber es ist ermöglicht, wenn die Firma unbedingt darauf besteht, dass ihre Schrift geladen werden soll möglichst. Und wenn die User, die halt nicht okay klicken, kriegen sie halt nicht. Aber in dem Moment, wo derjenige okay klickt, meine, die meisten Leute klicken, diese Cookie-Notes ist doch eh einfach mit okay weg. Das liest sich doch eigentlich keiner durch. Und plötzlich ist das dann in der Schrift. Also da musst du aber ganz, ganz stark, ganz, ganz stark separieren. Denn es gibt, zum einen gibt es die erwarteten Maßnahmen, die erwarteten Verarbeitungen. Das heißt, wenn ich halt auf diesen Cookie-Banner klicke, erwarte ich, okay, da wird irgendetwas zu, zu stehen, zu Webseiten eigenen Cookies, zu Google Analytics. Aber ich gehe nicht davon aus, dass meine Daten jetzt an einen Anbieter weitergehen, der kein angemessenes Datenschutzniveau hat. Und das Wichtige bei der Einwilligung ist, sie muss neben freiwillig von einer einwilligungsfähigen Person, muss die halt auch in einer informierten Weise stattfinden. Das heißt, du müsst es für diesen konkreten Fall dem Kunden sagen, du kannst auf okay klicken, dann kriegst du eine schönere Schrift. Aber deine Daten fließen auch einmal komplett über den ganzen Strom und wieder zurück. Jetzt aber noch was anderes zu dem Thema. Ich weiß, gerade mit Google Forms wird es im Moment gut als auch durch das Dorf getrieben. Geht einfach auch mal davon aus, dass es durchaus interessanter Themen gibt, sowohl für abmanende Berufsgenossen von uns, als auch für die Datenschutzaufsichtsbehörden. Viele Datenschutzerklärungen zum Beispiel, zu viel erhobene Daten in Kontaktformularen, Trackinglösungen, also wo es auch um Werbung oder sonst was geht, da gibt es viel mehr, was die viel mehr interessieren als hier das. Das heißt, es ist ein Problem, ja, aber es ist nicht das Problem, was bei euch im Vordergrund schämen würde. Also seht du, dass die Website ansonsten in Ordnung ist, da habt ihr schon genug Arbeit mit. Insofern kann man auch direkt einen Tipp jedem von euch an die Hand geben. Wenn man euch prüfen sollte, oder falls euch jemand nicht mag und euch anguckt, schaut immer, dass ihr von außen absolut sauber aussieht. Das heißt, das Impressum muss nach, das geht immer noch nach § 5 TMG, also guckt zu, dass halt der Name der Firma da ist, die vollständigen Adressdaten, Handelsregisternummer, dass die Daten da sind und dass ihr eine ordentliche Datenschutzerklärung habt. Und in die Datenschutzerklärung, wenn ihr da Normverweise hat, nicht mehr das Bundesdatenschutzgesetz zitieren, das wäre unter Umständen falsch, sondern halt immer die DSGVO. Wenn ihr nach außen dann schon insofern sauber aussieht, ist das schon mal ein erster Schritt in die richtige Richtung. Das soll jetzt nicht heißen, außen, außen in den Fui, den Fehler auf gar keinen Fall machen, aber als erstes wirklich schauen, dass man von Außen, von Kundensicht sauber und schön aussieht. Und wie gesagt, für die Datenschutzerklärungen gibt es mittlerweile viele Muster. Es gibt auch Generatoren, wobei ich grundsätzlich von den Generatoren immer, also ich möchte sie nicht empfehlen. In meiner Meinung nach sollte sich jeder schon selbst Gedanken machen, welche Daten erhebt und das halt auch wirklich sorgfältig aufsplitten, damit man auch einfach selbst einen Überblick darüber hat, welche Daten man in überhaupt von den Kunden erhebt und wo man dann vielleicht auch sparen könnte, um dem Prinzip der Datenminimierung einfach stattzugeben. Ich möchte noch mal zurückkommen auf das Auskunftsersuchen. Du hast gesagt, wenn ich jemanden Auskunftsersuchen haben möchte, müsste ich zuerst überprüfen, bist du auch der, für den du dich ausgibst. Zum Beispiel, indem ich dann, wenn die Anfrage per E-Mail kommt an diese E-Mail-Adresse oder die E-Mail-Adresse, die bei mir als Kunde gespeichert ist, irgendein Co-Chicke und der muss man den nennen und erst dann kriegt er seine Auskunft. So müsste ich eigentlich bei jeder Anfrage vorgehen, das ist richtig verstanden. Was ist jetzt, wenn ein Kunde seine E-Mail-Adresse wechselt? Es gibt ja Leute, die wechseln ihre E-Mail-Adresse und sagen, ich bin weiterhin Kunde bei dir, aber ich habe eine neue E-Mail-Adresse, dann müsste ich doch auch eigentlich irgendeine Überprüfung machen. Oder wie mache ich das dann in Zukunft? Korrekt. Dein Kunde wird dann ja sicherlich auch, wenn er seine E-Mail-Adresse ändert, das über die von dir zur Verfügung gestellte Plattform machen, gehe ich von aus. Wenn er das von seiner neuen E-Mail-Adresse aus schickt und diese E-Mail-Adresse ist bei dir nicht hinterlegt, gilt das nicht als Verifizierung. Das heißt, du kannst die E-Mail-Adresse halt nur nutzen, wenn sie halt auch wirklich in deinem System hinterlegt ist. Du müsstest dann auf andere Informationen zurückgreifen, die halt nur dein Kunde kennt. Das heißt, ich weiß nicht, ob ihr dann ein Telefonat führt. Per E-Mail ist halt das mit dem Datenverkehr dann jetzt vielleicht nicht ganz so hübsch. Gelöst, du kannst halt fragen nach dem Geburtsdatum, welchen technischen Ansprechpartner er bei dir hinterlegt hat, um halt so klar zu stellen, dass halt derjenige, der die Auskunft will, auch wirklich derjenige ist, in Dubio und im absoluten Zweifel kannst du natürlich auch den Personalausweis verlangen. Wobei man natürlich auch aufpassen muss, es hängt auch davon ab, wie die Anfrage gestaltet ist. Also wenn ich dich zum Beispiel Anfrage, gib mir mal alle Daten, die gespeichert sind zu dieser E-Mail-Adresse, weil du zum Beispiel im Forum betreibst oder eine Kommentarfunktion, dann unterhalten wir uns nicht darüber, wie er heißt oder sonst was, sondern unterhalten wir uns über die Daten, die mit dieser E-Mail-Adresse verknüpft ist, von der er aus gesendet hat. Da muss ich mich natürlich jetzt keine Gedanken machen, weil er hat ja dadurch, dass er von der E-Mail-Adresse gesendet hat, mir im Endeffekt gezeigt, er ist derjenige, der über diese E-Mail-Adresse verfügt. Wenn er natürlich sagt, und dann will ich auch noch alles haben, was zu meinem Namen Hans Schmitz gespeichert ist, dann muss er in der Tat sagen, ja dann, bitte sehr, wieso bist du Hans Schmitz? Wenn er das aus deinem Kundensystem weist, weil er mit dem sowieso Kontakt hat, das ist ja kein Problem. Wenn du aber nicht weißt, dass diese E-Mail-Adresse zu diesem Kunden gehört, dann muss sie mal zurückschreiben, ja, über Hans Schmitz gebe ich auskunft, wenn ich weiß, dass du Hans Schmitz bist. Weiß es mir nach, wie auch immer. Du hast ihm dann doch mal irgendwann was geschickt an die Adresse und die ist genauso auch angekommen, auch mit dem Namen. So viel Vertrauen kannst du sowohl in eure schweizerische Post, also auch in die deutsche Arm, dass die dann schon nicht ausliefern würden, wenn der Name hier dran steht. Gut, ist optimistisch, aber tun wir mal so. So, ich habe gerade die Information bekommen, dass wir noch zehn Minuten haben. Vorab, wenn ihr nach dieser Session noch Fragen habt, der Udo ist hier überall auch am Rumpflitzen, den könnt ihr jederzeit fragen und mich findet ihr auch vorne hier bei dem Raidboxes stand. Danke, dass du bei mir noch Flitzen sagst. Aber wir kriegen bestimmt noch ein paar Fragen hin. Also, da hinten einmal. Es geht um Trackingdienste. Über welchen Trackingdienste unterhältst du dich jetzt mit uns? Sag mal ein Beispiel. Okay, also, es geht um Trackingdienste und die Frage muss ich da eine Einwilligung haben. Ihr merkt schon daran, dass ich mich setze, die Antwort wird etwas ausführlicher. Es ist so, nur die Tatsache, dass die DSK, also die Konferenz der Datenschutzbeauftragten sowas in ein Papier schreibt, heißt noch nicht, dass es so ist. Die haben auch in der Vergangenheit öfter feuchte Träume reingeschrieben, diese hatten, aber die müssten nicht unbedingt auch dann realisiert werden. Tatsache ist, wenn man sich dieses Papier anguckt, dann reden Sie selber, das mich nicht lügen. Ich glaube, zwei Sätze vorher. Davon, dass das, also fangen wir anders an. Ihr kennt diese Normpyramide, die ich eben gesagt habe. Zuerst die gesetzlichen Gründe, dann das berechtigte Interesse, dann die Einwilligung. Eins ist klar, wie bisher geht's nicht. Bisher ging es nach dem Telemediengesetz, da gab es diese schöne Regel, schreibt in Datenschutzerklärung und vergiss es, liefert das Outmit in der Datenschutzerklärung und ganz so einfach ist es nicht mehr. Auf diesem gesetzlichen Grund kann ich mich nicht mehr berufen, weil der ist wahrscheinlich durch die DSGVO überholt. Es ist nicht ganz eindeutig, es gibt sogar Leute, die noch behaupten, es ist noch da, aber den Weg würde ich noch mitgehen. Dann wäre der zweite Schritt die Frage berechtigtes Interesse. Da sagt selbst die DSK in ihrem Papier, Tracking kann ein berechtigtes Interesse sein. In deinem Fach, ich will jetzt zum Beispiel mit OSM allein das habe, weil davon die Vermarktbarkeit einer Seite abhängt. Auch das Marketing ist ein berechtigtes Interesse. Gilt auch übrigens für die üblichen Dienste, wie Google, Analytics, PwG, um wie zu alle heißen. Zwei Sätze weiter sagen sie dann, und da es gesetzlich nicht mehr geht, diese Erststufe, diese Pyramide braucht ja eine Einwilligung. Und vergessen, dass zwei Sätze vorher selbst gesagt haben, es geht auch per berechtigtes Interesse. Tatsächlich wird jetzt nur dieser letzte Satz raus zitiert und gerade als Autos Dorf getrieben. Was im Übrigen heißen würde, Tracking geht gar nicht mehr, denn wer gibt die Einwilligung dazu, dass er geträgt wird? Gut, ich weiß, viele klicken auf alles, aber das klappt auch nicht immer. Also lasst euch dadurch nicht verrückt machen, dieses ganze Tracking soweit es ein berechtigtes Interesse ist. Das heißt, ihr also eine Benutzeranalyse vornehmt nach dem Motto, was wird bei mir wie oft geträgt, ist unproblematisch als berechtigtes Interesse. Wenn ihr die Benutzer verfolgen wollt, in dem Sinne von, ich verfolge die Benutzer, um ihn nachher dann gezielt wieder Angebote zu machen, dann kann das anders aussehen. Aber dieses übliche Tracking und das, was ihr mit OMS da macht, ist ja auch nichts anders. Das ist ja auch nur eine Vermessung einfach, wie viele Aufrufe habe ich, wie viele Juni-User habe ich. Was anders erheben die ja auch nicht. Das ist ganz simpel durch das berechtigtes Interesse gedeckt. Das heißt, ihr müsst nur Opt-Out-Lösung anbieten, in der Datenschutzerklärung immer. Aber das reicht dann auch. Ja, hier vorne noch. Also die Frage ist, jetzt kam halt das neue Rundschreiben. Es haben Änderungen stattgefunden. Ja, es haben Änderungen stattgefunden und normalerweise sind halt diese Änderungen kurz vor in Kraft treten, halt immer nur rein formaler Art. Das heißt, Rechtschreibfehler, kleinere Grammatikfehler, ETC werden bearbeitet. Diesmal haben tatsächlich größere Änderungen stattgefunden, die halt für Juristen schon sehr, sehr schwer sind. Zum Beispiel fehlt das Wort grundsätzlich in einem Satz. Also wer gerne mit uns beiden juristisches Hochreg tanzen will, für den sind die Sachen interessant. Für eure tägliche Arbeit vergesst die Änderungen. Das ändert sich für euch materiell nichts dadurch. Ja, eine Frage schaffen wir vielleicht noch? Natürlich. Also ja, wenn du Google Analytics einsetzen willst, auf alle Fälle brauchst du diesen Vertrag zur Auftragsverarbeitung. Den hast ja bisher auch schon gebraucht. Gilt ihm es auch für die, die bisher schon einen hatten nach altem Recht, die brauchen natürlich jetzt einen neuen Angepassten. Der wird aber für Google Analytics auf den Seiten zur Verfügung gestellt, halt entsprechend auf die Seite gehen und da ist das Ganze beschrieben bei Google. Genau, also zu dem AV Vertrag von von von Google ist halt ist halt vielleicht noch wichtig. Der jetzige AV Vertrag von Google ist an sich so, wie er jetzt ist, hübsch und gut, aber er ist nicht vollständig. Das heißt, theoretisch bräuchte ihr für jeden Google Service, den ihr nutzt, einen eigenen AV Vertrag. Das bietet Google derzeit nicht an. Google hat halt momentan ein riesiges Vertragswerk, das aber meiner Meinung auch noch nicht ganz an die DSGVO angepasst ist und auf telefonisches Anfragen. Meinerseits wurde halt auch bisher damit nur mir entgegengekommen. Wir arbeiten daran. Aber bisher war es tatsächlich so schriftlich, das heißt per Brief an Google schicken und ein paar Wochen später zurückkriegen. Die DSGVO sieht dann eine einfache Regel vor, es geht online. Braucht also nicht mehr Briefpost. Ab dem 25.05. die Regelung tritt ab sofort in Kraft, wie es so schön heißt. Nein, also du kannst auch jetzt schon das online machen. Das haben wir doch auch schon gesagt. Ja, sie ist aber ab nächsten Monat erst anwendbar oder ab diesem Monat 25. Ja, du bist auf den alten Vertrag noch gelandet. Der alte Vertrag ging tatsächlich nur so, der neue geht auch online. Wo war ich jetzt im Moment? Ich weiß nicht, ob sie die Online-Funktion schon online gestellt haben oder ob sie dann ab dem 25.00. erst gedacht, musst du mal gucken. Darüber hinaus, wenn der Vertragspartner sagt, ich biete den AV an, aber nur in schriftlicher Form, dann ist das so. Also es gibt keinen Zwang für Unternehmen, den AV in elektronischer als auch in Papierform anzubieten. In dem Zusammenhang übrigens auch, ihr braucht ja als Webworker auch öfter schon mal AV-Verträge mit euren Kunden. Wenn er mich fragt, macht sie bitte auch in schriftlicher Form, denn ihr müsst dokumentieren, dass ihr sie geschlossen habt und nicht einfacher als mit dem Blatt Papier, was in dem Arkt noch liegt. So, ich kriege jetzt hier langsam die rote Karte gezeigt oder wir kriegen die rote Karte gezeigt. Eine Frage haben wir noch. Wer meint, er hat eine Frage, die wichtig genug ist, um noch gestellt zu werden. Und auch nicht ganz so umfangreich. Nicht, der Vertrag war schon genug. Genau, die Frage ist für die Nutzung nach Google Maps. Sicher, klar, auf jeden Fall. Aber wie gesagt, Google bietet im Moment nur einen einzigen Vertrag an. In diesem Vertrag werden halt alle Google-Dienste mit abgespeist. Wie gesagt, eigentlich müsste für jeden einzelnen Service an sich halt ein eigener AV-Vertrag abgeschlossen werden. Das bietet Google derzeit nicht an und insofern einfach noch mit der großen Masse mit Schwimmen und die Grauzone ausnutzen. Dazu kommt es gibt bei Google eine Liste, wo Google meint, das wären Verträge, die als Auftragsverarbeitung von ihnen durchgeführt werden. Und alle Dienste, die da nicht drin stehen, werden von Google nicht als Auftragsverarbeitung durchgeführt, sondern das ist einfach eine Datenübermittlung. Google Maps steht nicht auf der Liste, die Google selber als Auftragsverarbeitung ansieht. Machen wir gleich. Genau, also wie gesagt, wir werden jetzt weggeschickt, wenn ihr noch weiter ... Also so unfreundlich bin ich jetzt nicht. Vielleicht noch eben ein ganz, ganz letzter Satz. Und zwar bei unserem Stand, also bei dem Rateboxesstand haben wir auch ein schönes Übersichtsblatt für euch noch vorbereitet, wo halt hinten eine Checkliste ist, an der ihr überprüfen könnt. Wie weit ihr schon seid, um euch als DSGVO konformes Unternehmen oder als DSGVO konformes Webseiten Betreibertool nennen zu können. Holt euch das gerne ab. Wir bieten auch ein E-Book an, dass ihr euch kostenlos herunterladen könnt. Und wie gesagt, wir beide sind ... Danke. Danke nochmal an Udo und an Virginia, dass ihr so kursfristig noch eingesprungen seid. Jetzt ist Mittagspause, guten Hunger und um 14 Uhr geht es hier weiter.