 Grüße Katrin und Christina, so Barton, Barton, Barton, Schutz von Barton, Bartenschutz ist wichtig, schützt uns alle, wie macht man das richtig oder ganz besonders falsch? Katrin, zu beschäftigst du es ja personell mit dem DSPVO und Christina, du bist Hexe, IT, Sicherheitsbeauftragte, aktiver Größepartys und beschäftigt durch jedenfalls aktiv mit Bartenschutz. Und ich habe gehört, bei Euren Talk geht es um die kreative Umsetzung und falsch verstandenen Bartenschutz. Dann, ja, bitte, zu Euren Talk. Ja, vielen Dank. Dann erst mal herzlich willkommen zu dem Programm. Dann herzlich willkommen an alle, die so früh aufgestanden sind, denn eigentlich ist es ja auch erst kurz nach 10. Bei uns gibt es heute Datenschutz Wildlife und der Untertitel lautet Achtung, Datenschutz, jetzt wird es wild. Und wir wollen das natürlich nicht alleine machen, sondern mit euch zusammen. Ich bin Christina und wie der Herrelt mich hier auch schon vorgestellt hat, mache ich so Dinge mit IT-Sicherheit und Datenschutz. Und hier findet mich auf Twitter unter cssmade. Wir wollen gerne das, den auch jetzt schon interaktiv gestalten, ihr seht da den Link zum Fragen zu stellen oder eben auch schon an Abstimmung teilzunehmen. Wir wollen mit euch zusammen abstimmen, ist das noch Datenschutz, ist das Kunst oder kann es weg? So, und wir starten direkt mit einer kleinen Einführung. Was ist das Problem, worauf wir heute nochmal so ein bisschen den Fokus legen wollen, nämlich das, was ihr wahrscheinlich schon am häufigsten gesehen habt und was bei jeden Breach auch glaube ich das Erste ist, was irgendjemand von sich gibt. Die Sicherheit eurer Daten ist den Firm wichtig. Warum ist das so putzig? Naja, also es ist mir als Verbraucherin, als Userin eigentlich komplett egal, ob das der Firma oder den entsprechenden Portalen wichtig ist. Es gibt einfach Gesetze und Regelung und Verordnungen an die sich jeder zu halten hat und da ist dieser Satz der Schutz ihrer Daten ist uns wichtig. Gerade nochmal so ein bisschen so ein Augenmerk, um besonders denke ich mal bei Firmen zu sehen, wo der Datenschutz eben überhaupt nicht wichtig ist, sondern einfach nur ein Block, eine Komponente, die dann in irgendeinem Generator denn rausgegeben wurde, um dann so ein Block Baustein für den Datenschutz einfach rauszugeben. Und du bist wieder live drin? Wir haben euch ein paar Beispiele mitgebracht und die gehen wir dann so weit. Es passt dann zusammen mit Katrin durch. Die Beispiele sind ja so ein bisschen gemixt, gewählt. Das, was wir so an interessanten Sachen herausgefunden haben. Und ja, zusammen mit euch wollen wir das dann durchgehen und schauen, ob das hier noch Datenschutz-Umsetzung ist, ob das ein Kunstwerk ist, was nochmal irgendwo besonders behandelt werden sollte oder vielleicht irgendwo aufgehangen werden oder ob es einfach auch wirklich trash ist und weckern. Genau. Und jetzt bin ich halt auch hoffentlich mit dabei, aber ihr wisst ja als Norddebarke zur Feature. Was haben wir denn hier? Wir haben hier Edeka, wir wollen jetzt natürlich keine Werbung machen, eine Datenschutz-Einverständnis-Erklärung auf dieser ersten Folie. Diese Einverständnis-Erklärung war so lang, dass sie nicht auf eine Folie gepasst hat, sondern, Christina, wir haben eine zweite Folie dazu gemacht. Also hier oben soll man seinen Einverständnis erklären und hier unten, falls ihr das dann noch lesen könnt, auf der zweiten Folie steht dann drauf, ich willige ein. Na was denn jetzt? Einverständnis, Einwilligung, ist das eigentlich dasselbe? Ist das dort relevant? Cool, an diesem Screenshot ist hier natürlich, also für alle, die das hier noch so lesen können, alle, die man Bier bestellt. Also Vicküla, Münchner, Hell und die Anweisung dazu, eine Kaltausrufe zeichnen, die ist natürlich total grandios. Aber Christina, sag mal, brauche ich jetzt hier überhaupt eine Einwilligung oder ein Einverständnis oder was machen wir jetzt hier? Ja, also für mich ist das eigentlich schon fast ein Kunstwerk, aber wir wollen natürlich nicht zu lange auf die Folter spannen. Nein, das kann weg. Genau, also ich habe ja auch schon mit Christina besprochen, Mensch, das ist eigentlich sogar doppelt falsch, weil ich habe hier doppelt gemoppelt, Einwilligung und Einverständnis und ich brauche aber gar keins von beiden, wenn ich mit irgendjemandem einen Vertrag habe, dann kann ich natürlich auf Grundlage von so einem Vertrag das verarbeiten, wichtig oder schön, wenn natürlich noch so diese obligatorischen Datenschutzenweise, aber grundsätzlich dieses Formular, ich weiß nicht, wer Edeka da beraten hat. Christina ist dann eigentlich irgendwas in unserem Pet passiert? Das werden wir dann mit dem Harald bald rausfinden. Ja, sehr schön. Also auf jeden Fall fleißig abstimmen. Genau, und jeder nur ein Kreuz, also pro Beispiel. Genau, wie es sich zu Ostern gehört. Ja, willst du? Ja, also schon wieder Einwilligung. Also Einwilligungen sind überhaupt sehr beliebt im Datenschutz, wo man nicht alles einwilligen kann. Und das ist tatsächlich nochmal so ein besonders schöner Fall, wenn ihr euch das später mal vielleicht nochmal auf Twitter anschaut, gibt es dazu auch nochmal eine längere Geschichte. Und zwar die Einwilligung vom Vermieter, die Sachen an den Handwerker, die Daten des Mieters an den Handwerker zu übertragen. Naja, ich sage mal, ja, ich könnte mir auch noch ein paar andere Dinge überlegen, warum das vielleicht keine gute Idee ist, aber was hat das dann mit Datenschutz zu tun? Naja, so halb, sage ich mal, so halb. Grundsätzlich, wir haben ja gerade gesagt, wir haben einen Vertrag, so ein Mietvertrag, der Name ist auch ein Vertrag und wenn bei mir zu Hause irgendwie die Klosspülung defekt ist oder der Wasserhand tropft, natürlich möchte ich dann mit meiner Vermietung irgendwie sprechen und sagen, repariert das mal. Und das da jetzt nicht der nette Mensch von der Ausverwaltung dann selber kommt, ums repariert ist ja irgendwie auch allen völlig klar, also gibt man das natürlich an irgendein Handwerksunternehmen raus. Und natürlich sollten die, die uns Mieter, Mieterinnen auch benarrichtigen können. Aber dürfen die das denn und müssen sie das denn und überhaupt? Also ich bin schon der Meinung, ja, das dürfen sie und das sollte halt aus diesem Vertrag halt auch heraus hervorgehen, dass das natürlich auch mit dem Handwerker völlig okay ist. Allerdings ist es natürlich sinnvoll, wenn man da jetzt nicht dem Handwerksunternehmen alle möglichen Kontaktdaten, ja, also sagen wir Twitter, Instagram, Festnetznummer, Mobilnummer und E-Mailadressen oder so gibt, sondern ich sage mal einen Weg. Die Anschrift ist klar, die müssen ja wissen, wo sie hin sollen und einen Weg. Und wie Christina gestern schon feststellte, als wir das vorbereitet haben noch, naja, vielleicht ist es dann auch bei Leuten etwas unschön, wenn dann irgendein Handwerksunternehmen die Telefonnummer hat, ja, man kennt ja solche Geschichten, vielleicht sollte man dann doch lieber irgendwie auch auf die E-Mailadresse ausweichen. Und im Zweifelsfall kann man natürlich, auch wenn es ein bisschen umständlich ist, so einen Termin über die Hausverwaltung vereinbaren lassen, ne? Dann ist das zwar so ein bisschen stille Post mäßig, aber geht auch, ja, oder eine Postkarte mit dem Termin schicken. Mein Gott, früher, als es keine E-Mailadressen, jetzt fange ich auch schon an, Christina, früher, furchtbar, aber als es keine E-Mailadressen gab und keine Handynummern, sondern maximal irgendwie ein Festnetz-Telefon und auch das gab es nicht bei allen, da hat man es doch auch irgendwie gemacht, dass man dann so ein Zettel in den Briefkasten geworfen hat oder dass man eine Postkarte geschickt hat mit, wir kommen am, um, bitte seien sie zu Hause. Es hat doch auch funktioniert. Also, ne, nicht, nicht gleich den ganzen Datensatz rüber schicken, aber schon mal mit gesunden Menschenverstand rangehen und sagen, okay, wenn der Handwerker oder die Jagerin da kommen soll, bräuchten sie vielleicht eine Adresse und ein Ansprechpartnerin, wäre gut. Genau, also so viel gestehen wir einfach mal den Unternehmen auch so, dass sie das auch professionell an der Stelle handhaben. Ja, und weiter geht's mit unserer lustigen Show. Musterfax, na ja, also für diejenigen, die das vielleicht jetzt noch nicht so ganz erkennen können, aber wir beabsichtigen ihnen ein Fax mit personenbezogenen Daten zu senden, um die Bestimmung des Bundes Datenschutzgesetzes einzuhalten, bitten wir sie, den Eingang durch ein Gegenfax zu bestätigen und sicherzustellen, dass nur autorisierte Personen das Fax empfangen. That's not how Fax works. Nicht so richtig. Ich meine, natürlich ist es schon sinnvoll, wenn man sich mal Gedanken darüber macht, wer am anderen Ende so ein Fax bekommt, wenn man das jetzt in irgendeine große Behörde schickt oder noch ein großes Unternehmen und da gibt's eine zentrale Fax-Nummer und ich schick da als Betriebsärztin die Gesundheitsdaten und die Befundstellung von irgendwie dem Kollegen X, Y hin, so an dieser eine zentrale Fax-Nummer, weiß nicht, ist wahrscheinlich keine gute Idee. Andererseits, wer nutzt denn heutzutage noch Fax? Wenn ich irgendwas ganz, ganz furchtbar wichtiges zu versenden habe und gerade wenn es um Gesundheitsdaten oder sonst irgendwelche ganz besonders schützenswerten Daten geht, dann nehme ich doch bitte eine verschlüsselte Verbindung. Oder, ganz einfach, ich nehme einen Brief. Keine Postkarte. Brief, pack das da rein, kleb das zu, stell das zu und mittlerweile ist die Post ja nun auch nicht mehr irgendwie zu Pferd und Kutsche unterwegs, sondern die Post, wenn man dann irgendwie abends irgendwo reinwirft, dann ist es in der Regel am nächsten Tag auch da. Also der große Zeitverlust ist es da auch nicht mehr. Aber dieses Musterfax, ja, das ist schon, also ich würde es echt schon sagen Kunst, oder? Ich weiß nicht. Also es ist auf jeden Fall Kult, muss man dazu sagen. Sollte vielleicht irgendwie erhalten bleiben. Zumindest als nette Anekdote, die man gerne im Datenschutz weiter erzählt. Definitiv. Im Pet wird übrigens auch fleißig abgestimmt. Und wir machen weiter mit unserem Reservesuch. Ach ja, die Pandemie hat schon so ein paar Blüten irgendwie sprießen lassen und da ist natürlich auch im Datenschutz keine Grenze der Kreativität gesetzt. Erst mal, ich meine, das kennen wir eigentlich alle auch schon so als Arztpraxen, aber jetzt auch beim Friseurbesuch, so nach dem Motto Kontaktverfolgung und Gedöns. Jetzt das Formular beim Friseur, Kathrin. Also ich bin ja relativ begeistert von diesem Formular, weil es sich ja offenkundig um einen Zettel handelt, den quasi der Besucher oder die Besucherin ja einzeln bekommt. Ich glaube, das kennen wir ja alle, wenn wir irgendwo hingehen oder gingen damals, damals als die Restaurants noch auf den Öffnen durften. Und dann bekam man so eine Unterschriftenliste, wo man davor schon irgendwie die letzten 30 Leute gesehen hat, die sich eingetragen und man wusste ganz genau, die 20 Menschen, die nach einem kommen, die sehen dann auch alle möglichen Angaben. Das war natürlich überhaupt nicht datenschutzkonform, selbstverständlich nicht. Sondern da gab es dann halt von den entsprechenden Gewerkschaften oder von den anderen Sachen, also irgendwie dehoge oder andere Leute, haben dann auch Listen rausgegeben und haben gesagt, diese Listen sind für euch intern, damit ihr das vielleicht nochmal zusammenfassen könnt. Aber pro Person bitte einen solchen Zettel und den Zettel dann zusammenfalten und gut verwahren in einem Briefumschlag, eine Wahl ohne whatever. Und insofern ist dieses Bildchen, Christina, kannst du ja eben nochmal kurz zeigen. Man sieht, da ist halt eine Person, hat da irgendwas unterschrieben. Und was sie unterschrieben hat, eine Einwilligung oder irgendwas, sondern es ist nur die Zusicherung, dass die Person halt nicht krank ist, kein Husten, keinen Schnupfen, keinen Geruchsverlust hat. Also dieses, ich bin irgendwie halbwegs gesund. Naja, lass mal mal dahingestellt, ob das jetzt auch wirklich so sinnvoll war. Aber ein Zettel pro Nase. Und darunter gibt es halt Datenschutzhinweise und diese Hinweise sind natürlich notwendig. Denn auch wenn so eine Friseurin oder ein Friseur dazu verpflichtet ist gesetzlich, diese Daten zu erheben, diese Kontaktnachverfolgung, das steht in jeder der einzelnen 16 Landesverordnungen zur Corona-Geschichte drin, muss uns als Frisielwilligin sozusagen ja auch gesagt werden, was mit diesen Daten gemacht wird. Das ist quasi auch beines der Rechte, die sich aus dieser Datenschutzgrundverordnung ergeben, dass wir die Informationen bekommen, wie diese Daten verarbeitet werden. Und das haben die ja echt ganz gut gemacht. Wir haben mal dreingeschrieben, warum, wieso, weshalb und dass das eben mit dieser Verordnung zu tun hat, dass wir bestimmte Rechte haben, dass wir uns auch irgendwo beschweren können. Aber wirklich der Megaknaller ist diese Frist. Man soll mich immer mit dazu schreiben, wie lange werden die Daten aufbewahrt. Das ergibt sich im Zweifel auch aus der Verordnung. Also bei uns in Berlin zum Beispiel sind es vier Wochen. Und hier hat sich tatsächlich diese Friseursalung wirklich selbst übertroffen. Ich fand es ganz großartig. Denn sie schrieben, ja, diese Verordnung, die ändern sich ja irgendwie alle nase lang und vermutlich sind es drei Wochen. Die Kolleginnen und Kollegen auf Twitter kommentierten das mit, das ist wahrscheinlich die ehrlichste Angabe zu Löschfristen, die sie jemals gesehen haben. Und tatsächlich, ja, vermutlich sind es drei Wochen. Vielleicht wird es auch irgendwann sechs, oder ich weiß es nicht. Aber es steht was drin. Es ist schon ziemlich gut. Genau, auf jeden Fall. Und es ist wirklich, wie du gesagt hast, einfach auch ehrlich in diesen Zeiten. Ganz genau. Ja, wir haben dann nochmal ein vertretbares Beispiel reingeholt. Dieses Beispiel ist auf den ersten Blick eigentlich ganz witzig. Auf den zweiten Blick muss man aber noch mal ein bisschen genauer schauen. Das ist nämlich ein Hinweis darauf, dass der Vertretungsplan einer Schule nicht mehr im Netz veröffentlicht werden darf. Sag ich jetzt mal erstmal so. Vertretungspläne sind für Schülerinnen recht wichtig. Sie müssen wissen, wann sie wo zu sein haben, welche Materialien sie dabei haben müssen und sich vielleicht auch noch seelisch auf den die Lehrerin einstellen. Und ich finde, es ist ein schönes Beispiel dafür, wie Leute sich bestimmt Gedanken und Datenschutz gemacht haben, aber nur das Problem gesehen haben und nicht die Lösung beziehungsweise sich darüber keine weiteren Gedanken gemacht hat, weil ich finde, das haben wir sehr, sehr oft in Diskursen, dass immer nur das Problem, warum etwas nicht geht, diskutiert wird, aber nicht nach datenschutzkonform Lösungen gesucht wird, wie etwas eben doch umgesetzt werden kann. Das ist für mich der springende Punkt, weil etwas erstmal in dieser Einausführung nicht konform ist, heißt es nicht, dass es dadurch verhindert wird oder dass der Datenschutz dann schon wieder für alle möglichen Gründe herhalten muss, warum etwas nicht geht, sondern bedeutet lediglich, dass diese Umsetzung, so wie sie geplant war, eben nicht möglich ist. Und bei diesen Vertretungsplänen, wir kennen das alle Leute, die sich da in ihre jüngst vergangenen Schulzeit erinnern oder aber Menschen wie wir, die auch schon schulpflichtige Kinder haben und das Ganze auch live mitbekommen, es ist natürlich total sinnvoll, wenn es nicht nur so ein Ausgedruckten, die nach vier Zettel irgendwo in der Schule stehen kann, denn wie ärgerlich ist es, wenn du morgens um, weiß ich nicht, 8 Uhr bei uns in Berlin oder fünf vor acht vor dieser Schule stehst und dann feststellst, wir haben ja den ersten Blockausfall, ich hätte eine Stunde oder zwei länger schlafen können. Es ist super, super nervig. Und dafür ist es natürlich total klasse, wenn man dann sagt, Mensch, ich gehe mal eben auf die Schul-Homepage, klickt den Reiter Vertretungsplan an und gucke mal, was jetzt in dieser Woche alles drin ist. Dann bin ich halt wirklich up to date. Aber das Problem ist natürlich Folgendes. Die Namen der Lehrerinnen und Lehrer sind ganz oft da reingeschrieben. Bei unserem Beispiel eben, ich glaube, Christina, wenn man nochmal kurz zurückgeht und wenn man sich das ganz genau anguckt, ach so, wir hatten nur diesen einen Teil. Ha, wir haben den einen Teil, genau. Das grüten mich drin. Richtig, damit was... Ach, jetzt habe ich die Lösung verraten, verdammt. Nein, aber mach ruhig wieder weiter. Also, das Problem ist halt Folgendes, Herr Meier macht jetzt die Klasse 9a und die Frau Müller macht jetzt die Klasse 10b. Dann... Ja, also, es fehlt mir schwer, das tatsächlich auch zu... sozusagen, aber man könnte natürlich eine Art von Anwesenheits- und Abwesenheitsprofil für eine Lehrerin und Lehrer dann erstellen. Ja, ob das jetzt wirklich so sinnvoll ist und ob man damit nicht übers Ziel hinaus schießt, ist die eine Sache. Die andere Sache ist doch, aber brauche ich denn unbedingt diese Klarnahme von Lehrern und Lehrern für den Vertretungsplan? Ne, brauche ich natürlich nicht. Also, das Basisding, was ich wissen muss, ist doch eigentlich, habe ich heute Kunst oder Musik oder Sport oder Ausfall? Bei welcher Lehrerin oder welchem Lehrer das ist, ist irgendwie so nice to have, so nach dem Motto, wie Christina gerade schon sagte, damit ich mich moralisch vielleicht auf die, ich weiß nicht, die Schreckschraube von Kunstlehrerinnen einstellen kann, oder ich freue mich, weil der Sportlehrer voll cool ist und immer klasse Spiele macht und heute dürfte euch mein Spiel aussuchen. Aber ganz grundsätzlich ich brauche es nicht. Ich muss halt ja nur wissen, welches Fach ich habe, damit ich die entsprechenden Bücher oder Unterlagen oder Materialien oder die Sporthose mitnehmen kann. Und entweder sind da ich halt, na gut, ich mache halt irgendeine Art von Kürzel, kürzt die Lehrer irgendwie ab, oder ich lasse es halt wirklich komplett weg. Und was natürlich auch total super ist, wenn ich sage, Mensch, ich mache das auch einfach gar nicht auf dem Netz, also auch diese Formulierung fand ich schon sehr hübsch, sondern ich packe es halt auf den Passwort geschützten Bereich auf der Schul-Homepage. Also wie man es macht, ist eigentlich dann in dem Moment wurscht. Klar, ich kann es halt auch wirklich öffentlich irgendwo hinstellen, wo man keinen Passwort braucht, wenn da wirklich nur die Klasse genannt ist, das Fach, was entfällt und das Fach, was dafür unterrichtet wird. Solange ich jetzt nicht als Nachbardokument eine Übersicht über die Schülerinnen mit der Zufüge in welcher Klasse die sind, jetzt hätte ich ja das Problem im Grünen. Ist es gar kein Problem und ich könnte, also ich werde tatsächlich auch feiner mit, wenn die Leute dann so ein Lehrer oder Lehrerin Kürzel mit da reinfügen, was also die Kids und Jugendlichen dann zumindest entziffern können und wissen, was das ist. Aber auch hier gilt natürlich, dann darf auf der Schul-Homepage natürlich auch nirgendwo anders irgendeine Liste sein, wo diese Kürzel in die echten Namen übersetzt werden. Das ist übrigens ein ganz klassischer Fall mit diesen Kürzeln von Pseudonymisierung. Also ich nehme halt nicht den echten Namen, sondern ich nehme halt ein Kürzel. Christina, Pseudonymisierung können wir eigentlich auch nochmal so ein bisschen erklären, oder? Das ist eine ziemlich coole Sache. Ja und vor allem bitte nicht mit Anonymisierung zu verwechseln. Das passiert nämlich auch häufig und der Trick mit der Pseudonymisierung ist ja eben genau das, dass man in einem bestimmten Kontext eben eine Zuordnung noch machen kann, so dass man dann eben auf die vollständige Information der nochmal Zugriff hat, oder auf das vollständige Datum. Ohne diesen Kontext ist diese Information halt für Außenstehende zum Beispiel, die sich dann so ein Lehrerkürzel irgendwie dann lesen, dass es dann eben nicht so zu weit drin Informationen oder Informationsflüssen dann an der Stelle kommt. Und ja, wie gesagt, also für mich ist das ein sehr schönes Beispiel. Morgse-Gelösung sind Morgs unabhängig vom Datenschutz. Genau und es ist natürlich klar, wenn ich jetzt also auf der Homepage zum Beispiel ist es bei uns an der Schule so, da gibt es halt eine Übersicht über alle E-Mail-Adressen von allen Lehrerinnen und Lehrern. Hinter würde jetzt dann auch noch das entsprechende Kürzel stehen, was im Vertretungsplan verwendet wird, der wiederum öffentlich im Netz veröffentlicht wird. Macht unsere Schule schon seit Jahren mittlerweile so nicht mehr, sondern die haben eine andere Lösung gefunden. Aber dann müsste man ja quasi nur eins und eins zusammenzählen und hätte dann ja auch wieder die Information, welche Lehrerin zu welchem Zeit in welchem Raum mit welcher Klasse ist. Und genau das wollen wir ja eigentlich nicht. Aber ja, Morgs ist Morgs, ich meine alles ist besser als der irgendwo am schwarzen Berett, ja, wo die Leute dann wirklich morgens davorstehen, totmüde sind und sich ärgern. Aber ich habe halt auch schon von Schulen gehört, die das über eine externe App gelöst haben. Und da gibt es halt dann die Möglichkeit entweder, ich habe halt einen großen Bildschirm im Vorjeder Schule und guck mir halt da eben den Vertretungsplan an. Das funktioniert natürlich nur so lange, ich in der Schule bin. Wenn sich nochmal kurzfristig irgendwas ändert und ich habe diese App eben nicht installiert aus Gründen, ja, dann bin ich natürlich so ein bisschen gelackmeiert. Und ich finde es auch tatsächlich als Mutter und als Datenschützerin extrem schwierig, wenn ich meinen Kind vorschreiben wollen würde, also als Schule. Wenn die Schule dem Kind vorschreibt, du musst jetzt entweder diese App installieren oder du kriegst die Information nur noch lokal vor Ort. Habe ich extrem Bedenken ehrlich gesagt, aber andererseits ich habe mir die App angeguckt, die war okay. Hatte auch keine Berechtigung, die sie abgefordert hat, war also eine reine Informations- Übermittlungsapp letztendlich. Ich mache was auf und ich guck wo rein. Aber es ist ja, wie so grad schon sagt es, Morgsige Lösungen sind Morgs, also ich kann halt einfach als Schule nicht einfach vorschreiben, dass meine Schülerinnen und Schüler irgendeine bestimmte Software zu nutzen haben, wenn diese Software datenschutzrechtlich nicht vertretbar ist. Also wenn zum Beispiel bei uns, in der Klasse, es gibt es ein Klassen-Chat, der ist in WhatsApp, da haben die Schülerinnen und Schüler aber unter sich aufgesetzt, da ist keine Lehrerinnen drin, kein Elternteil, nobody, das haben die einfach unter sich gemacht, das ist also völlig Privatsache, da hat die Schule nix mitzutun und auch sonst niemand. Wenn jetzt natürlich irgendwie eine Lehrerin oder Lehrer auf die Idee käme, das Ganze mit WhatsApp aufzusetzen als Klassen-Chat als offizieller, da würde wahrscheinlich wirklich die Hölle los sein, weil das WhatsApp böseböse ist, aus bestimmten Gründen wissen wir schon alle. Und wenn dann also die Schule kommt und sagt jetzt nützen wir aber WhatsApp, um hier einen offiziellen Kanal zu schaffen, da würde relativ schnell dann die Datenschutzbeauftragte der Schule beziehungsweise der Schulverwaltung den aus Dach steigen und sagen, so geht es halt nicht. Naja, im besten Fall oder halt für vielleicht die nächste Morgse-Gelösung plädieren. Aber ja, lass uns nicht in Gretelrichtlinien und Berechtigungskonzepte ausschweifen. Ich glaube dazu können wir noch mal ein extra Talk dann an der Stelle machen. Wir sind bald im Ende uns vortrags und wollen natürlich nicht den euch den aktuellen Kontext vorenthalten. Genau, Adressen vom Paketdienst. Vielleicht haben es einige von euch mitbekommen. In Niedersachsen war es so, dass die Leute über 80 Jahre eingeladen werden sollten. Und damit die das arme Sozialministerium das jetzt nicht alles alleine machen musste und da die Leute halt Briefe zukleben mussten, haben sie gesagt, Mensch, wir nehmen jetzt vielleicht einen externen Dienstleister zum Beispiel die Deutsche Post. Und dann hieß es aber, ja, die Deutsche Post, das ist aber, den können wir ja die Daten aus dem Melderegister nicht geben. Das geht so nicht, das ist Datenschutz und das können wir alles nicht machen. Und dann, ja, hat man halt die Postadresskartei genutzt. Problem, man nur die Post erhebt, da war keine Geburtsdaten. Was hat sie also gemacht? Sie hat sich überlegt, so über 80 jährige, die haben bestimmt so ganz spezielle Namen, so was wie Edeltraut oder Walter oder Erwin oder Liesbett. Also haben sie nach den Vornamen gesourzt und haben halt alle Leute mit diesen Vornamen angeschrieben, so nach dem Motto übrigens, falls sie über 80 sind, sie ja, falls sie über 80 sind. Genau, ich meine zum Glück Niedersachsen, weil das wäre für ein Großteil der Kinder am Prenzlauer Berg vielleicht auch ein bisschen kompliziert geworden als neue Hippen, Namensgebung. Aber genau, tatsächlich war auch hier wieder das Problem nicht der Datenschutz, sondern die Umsetzung. Und dass Menschen sich da keine vernünftige Lösungen vorher haben einfallen lassen oder sich eben auch nicht die entsprechende Beratung geholt, die ihnen vielleicht auch tatsächlich schon mit dem Zaunfall irgendwie ein von Bug geben können, um zu sagen, okay, hier geht es lang. So sehen Lösungen aus. Genau, weil hier tatsächlich, es ist ja auch im Moment gerade mit dieser ganzen Corona-Geschichte, das heißt immer der Datenschutz, der Datenschutz verändert, und man kann nicht wegen Datenschutz in 95 Prozent der Fälle stimmt das so nicht. Und bei unserem Paketdienst war es halt auch so, es hatte mit Datenschutz relativ wenig zu tun, sondern eigentlich mit der Tatsache, dass es halt ein Bundesmeldegesetz gibt, was diese Meldregistergeschichten regelt, dass es dazu eine Ausführungsverordnung gibt in Niedersachsen und dass da einfach mal drin stand, dass diese Meldedaten eben nicht an einem privaten Dienstleister weitergegeben werden können. Der Punkt war aber Umsetzung. Genau, wie du sagst, Christina, das hätte auch überhaupt nicht, wäre überhaupt nicht notwendig gewesen. Denn in so einem Flächenland, wie Niedersachsen, da gibt es ja halt auch nicht nur einfach oben so ein Ministerium, sondern da gibt es natürlich unten drunter auch noch so ein paar einzelne Ämter und Behörden, die natürlich das Ganze hätten deichseln können, weil es natürlich einen Unterschied, ob ich jetzt 2 Millionen Briefe verschicken muss oder 500. In Niedersachsen hätten diese Meldedaten tatsächlich zur Impfeinladung verwenden können. Wenn man sich also vorher mal überlegt hätte und vielleicht auch mal die ganz freundliche und nette Datenschutzbeauftragte von Niedersachsen gefragt hätte, die sich hinterher natürlich genauso geäußert und gesagt hat, Datenschutz kein Problem, dann hätte die halt auch eben gesagt, gut, die Umsetzung würde ich vorschlagen, machen sie es doch so und so. Zum Beispiel über die Kommunen. Dann haben sie das Problem mit diesem privaten Dienstleister nicht und dann haben sie das Problem nicht, dass sie nachspielen müssen, ob jetzt Edeltraut schon 80 ist oder nicht oder vielleicht erst 5. Und das ist mal wieder ein klassischer Fall von, man hat vorher nicht gut genug drüber nachgedacht bzw. man hat die erste beste Lösung genommen, die man gefunden hat, ohne darüber nachzudenken, ist es denn die beste Lösung? Gibt es vielleicht noch was anderes? Und als man dafür dann Schelte bekommen hat, da durfte dann quasi wieder der prüge Knarbe Datenschutz ins Feld. Genau. Und wir sind dann eigentlich auch schon am Ende unserer Zeit angekommen. Wir haben noch dieses kleine Leckerli ganz zum Schluss. Wir müssen das auch, glaube ich, gar nicht großartig kommentieren. Cookies. Cookies. Da sind jetzt Sachen, also da hat sich jetzt tatsächlich etwas herauskristallisiert, dass wir uns da beide angeguckt haben und gesagt, was ist das denn? Es ist völlig klar, dass wenn man Cookies setzen möchte, so Tracking oder Marketinggeschichten, dass man dafür eine Einwilligung braucht. Das wird auch gar nicht diskutiert. Und natürlich gibt es halt ein Schieberregler und den Schieberregler muss ich auf anstellen. Oder ich muss klicken, alle Cookies akzeptieren. Irgendwas. Aber es gibt ja noch ein paar mehr Rechtsgrundlagen, nach denen man eben solche Daten verarbeiten darf. Das heißt, es ist also genau umgedreht, wie zum Einverständnis oder zur Einwilligung. Das hat ein ganz lieber Kollege von mir mal so beschrieben, der sagte, bei der Einwilligung, da wird erst gefragt und dann geschossen. Und beim Verbrauchern, das ist ja für mich wichtig als Unternehmen, dann habe ich daran ein berechtigtes Interesse. Und ich als Verbraucherin, die ich sage, das ist ja schön, ich will aber dein Blüttet-Marketing gar nicht haben, kann widersprechen. Das heißt, es ist also genau umgedreht, und dann geschossen. Und beim berechtigten Interesse, da schießt man erst, und dann fragt man, ob es okay war. Und dieses berechtigte Interesse hat aber jetzt hier einfach mal einen ganz großen Pferdefuß, wenn ich sage, ja, okay, mein Direktmarketing, mein Tracking, das ist berechtigtes Interesse. Da steht der Schieberregler aber auf an. Und dann muss ich mir tatsächlich die Mühe machen und muss diese Schieberregler überall auf ausstellen. Weil clear all, gibt es in den meisten Cookie-Consentools nicht. Und hier, das ist die Webseite von was was, ich glaube, die Welt, ne? Die gehört doch, glaube ich, auch zu Springer, oder? Ich glaube, und irgendwie so was. Da gibt es so eine Liste von, guck mal berechtigtes Interesse und Drittanbieter. Christine hat sich die Mühe gemacht und hat diese Drittanbieter-Liste tatsächlich da mal auf diese Folie gepostet, weil ich habe nämlich diese Liste ausgeklappt und habe gedacht, ach, sehr lustig, die Drittanbieter fangen alle mit A an. Ja, nein, das war der Anfang der Liste und die drölft sich tausend weiteren Anbieter, dürfen denn durchgescrollt werden und ich sage mal, an der Stelle wirklich ein großes WTF. Was da halt, wollte ich grad sagen, zu unserer Zeit? Wir haben noch 3 Minuten, dann könnten wir 2 Minuten Q&A machen, aber wir können auch gleich anfangen. Klar, unsere Umfrage. Ja, also dann mal Danke für den großartigen Talk, also Schreitungsunterhaltung vom Feinsten. Ja, dann schauen wir gleich mal zu eurer Umfrage und das Ergebnis ist, glaub ich, Ihnen der Nummer 1 Einverständnis oder Einwilligung, das kam eindeutig weg. Genau, das war das Edeka-Beispiel. Das doppelt falsche. Ja, und bei Beispiel 2, das, glaub ich, ist wohl tatsächlich Datenschutz, vor allem die die ehrliche Frist, die dürfte gewinnen haben. Ich glaube, Beispiel 2 war die Geschichte mit den Reparaturen und den Handwerksunternehmen. Der Handwerker. Ja, also das finde ich echt interessant an der Stelle, weil dazu gibt es, glaube ich, auch noch eine Geschichte mit den Behörden, die das eben auch so gesehen haben, aus welchem Grund auch immer. Genau, wir haben das auf Twitter ja neulich schon ein bisschen diskutiert. Da haben sich 2 sehr liebe Kollegen tatsächlich kurz nach der DSGVO, nach dem Start sozusagen, als sie scharfgeschaltet wurde, hat sich so ein Hashtag bei den beiden so ein bisschen etabliert, X-Files GDPR und einige unserer Beispiele stammen tatsächlich auch aus dieser Sammlung und wir haben dann neulich auch gedacht, na klar ist das so ein X-File, das ist doch völlig gaga und dann meldete sich aber ein ganz lieber Kollege aus dem süddeutschen Raum und sagte, ich habe von den Behörden exakt dieser Auskunft bekommen. Und da haben uns echt ein bisschen die Ohren geschlackert und wir haben gedacht so, das kann ja eigentlich nicht sein. Aber tatsächlich sind auch nicht alle Behörden dieser Meinung und das ist auch eines der ganz großen Probleme in Deutschland, was wir jetzt auch an dieser ganzen Corona-Geschichte sehen. Der Földeralismus ist grundsätzlich ne schöne Sache, ja, ist ne gute Idee. Aber in bestimmten Bereichen gerade wenn es jetzt um eine europa-welt-bundesweite Pandemie geht, ist es natürlich extrem schwierig, wenn dann alle 16 Bundesländer ihr eigenes Wipchen kochen. Und so ist es mit Datenschutz auch. Na klar, wenn jetzt einige sagen, aber es gibt doch ein Bundesdatenschutzbeauftragten, aber der ist ja nicht die Aufsicht, der ist halt einfach nur für bestimmte Bundesbehörden zuständig, Telekommunikationsunternehmen, ich glaube Krankenkassen auch und diese ganzen 16 einzelnen Länderbehörden mit ihren Menschen an der Spitze, die sind halt weisungsunabhängig und was glaubt ihr, wie oft mir das schon vorgekommen ist in meiner Anwaltspraxis, dass ich halt irgendwelche Unternehmen berate und erstmal fragen muss, sagt mal wo seid ihr denn eigentlich so handelsregistermäßig eingetragen, mir überlegt hab, ah das ist die Datenschutzbeauftragte von so und so und in dieser Frage hat die meistens das und das entschieden, dann berate ich die mal so und so. Das ist doch völlig blöd, also ich meine, wir haben hier einen Unterricht und ein Bundesrecht und es müsste überall gleich gehandhabt werden. Müsste. Wichtig. Was sagen die anderen Beispiele? Ja, das Beispiel 3, das war das Musterfax. Beschreibt nochmal kurz, worum es ging. Genau, das war die Einwilligung per Fax, ein Fax zu schicken. Ja, das tendiert sehr zu kunst, aber ich glaube, gewonnen hat man knapp, kann weg und ganz besonders gefällt würde, kann da Fax, kann weg. Genau. Komplett. Richtig. Ja, beim Beispiel 4, der Friseur, kann weg nach 3 Wochen, was glaube ich, ein gutes Beispiel ist, hier hat der Datenwitz gewonnen, die Einwilligung mit dem Zettel. Genau, das ist Datenschutz, kann aber nach 3 Wochen weg. Sehr schön. Richtig. Es war nämlich gerade keine Einwilligung, das habe ich auch ganz oft auf diesen Formularen gesehen, von wegen, die Leute sollten sich bitte einverstanden erklären, damit, dass ihre Kontaktdaten gespeichert und verarbeitet werden. Das ist Quatsch, wenn ich eine gesetzliche Grundlage habe, wenn also irgendein Gesetz dem Gast wird oder der Gast wird in Vorschreib diese Sachen zu erheben und zu erfassen und nach 4 Wochen durch den Schredder zu jagen, dann brauche ich dann nicht noch eine Einwilligung. Also dieser Einwilligungsmythos, ich bin es echt leid, dass die Leute mir ständig erzählen, aber ich brauche eine Einwilligung, ansonsten geht das doch alles nicht. Also Einwilligen sind auf jeden Fall Kunst. Es gibt da einige Fälle, wo es notwendig ist. Wenn ihr euch zum Beispiel für ein Newsletter irgendwo anmeldet, dann müsst ihr einwilligen, da gibt es keine andere Grundlage. Aber ganz ehrlich, wenn ich jetzt als Arbeitnehmerin eine Einwilligung erteilen müsste an meiner Arbeitgeberin, dass die meine Kontodaten verarbeiten darf und dann eine Einwilligung. Nee, das darf sie bei einem Arbeitsvertrag haben. Genau. Bitte auch noch mal an der Stelle darauf achten, dass es gewisse Machtgefälle gibt und da die Freiwilligkeit. Na ja. Genau. Gerade im Arbeitsverhältnis, da ist das wirklich ganz, ganz schwierig, weil so eine Einwilligung muss unter anderem freiwillig sein. Stellt euch mal vor, ihr wollt unbedingt einen Job haben, vor euch und sagen, na ja, Entscheidung gibt es nächste Woche, aber du bist doch bestimmt damit einverstanden, dass wir dich in unseren Talentpool aufnehmen für die nächsten 500 Jahre, oder? Wer sagt denn da nein? Na ja. Oder Video-Daten oder ähnliches. Ganz genau. Gerade weil es Machtgefälle gibt, braucht man eben auch Schutzgesetze. Genau. Und die Aufklärung. Beispiel 5, die Schulvertretung war das. Ja, das ist wohl eindeutig Kunst. So sagt das Publikum. Okay. Ja, es glaub ich, ist schon Datenschutz, aber die Begründung mit, wir veröffentlicht das nicht mehr im Netz. Also, da hat wahrscheinlich jeder, der sich über das Netz ein bisschen informiert hat, einmal herzlich gelacht. Kunst trifft auch. Kunst trifft auf Datenschutz. Genau. Da gibt es noch eine Frage dazu. Warum kann man das nicht gleich mit einem Modul versehen, diese Webseite? Ja, das war unsere Frage ja auch. Genau. Man kann ja tatsächlich den Schülerinnen und Schülern ein Passwort geben und es gibt ja auch Software, die dann beispielsweise auch wirklich nur die Vertretungsregelung auflistet, die also für die jeweilige Klasse sind, sodass man sagen könnte, man macht ein Passwort pro Klasse, was dann die Klasse eben da eingeben kann und dann müssen sie sich nicht durch irgendwie die 50 Zeilen von einer kompletten Schule wühlen, sondern sehen nur das, was sie was angeht. Ja, es gibt zahlreiche Lösungen. Es gibt auch zahlreiche Datenschutzkonforme Lösungen und Umsetzungsmöglichkeit. Die Schulen müssen halt vorher mal fragen und sich müssen das wollen. Genau. Wir sehen die anderen Beispiele aus. Beispiel 5. Irgendwas mit Meldedaten. Das war, wir konnten da Post- und Meldedaten nicht würden, also lassen wir die Post erarten, die alte Leute sind. Das Publikum sagt, das ist doch wohl Kunst. Ja, würde ich auch fragen, so eine Improvisationstheater könnte man es nennen? Auf jeden Fall. Also bitte, ich möchte den Film da zu sehen Wir haben aber auch, glaube ich, auch ein sehr kunstaffines Publikum. Mhm. Ja, und Beispiel 5. Ich meckere Kukis überall, wo man hinschaut, verbessern das Angebot. Das kann eindeutig weg. Es gibt laut die Frustration über die Kukiklicks ist schon so groß in der Welt. Das ist eindeutig. Richtig. Also diese Anzahl ist wirklich einfach der Wahnsinn. Und ich glaube, wir haben noch nicht mal das Beispiel mit den an Quantität Maximum Ausgeschöpften rausgesucht. Da gibt es definitiv noch mehr, genau. In eurer Erfahrung funktionieren diese Kuklicks überhaupt? Oder werden da, wenn nicht aus ablehnen Glück hinwirft, dass die Leute irgendeine Skripte dann bereit, tatsächlich daran die Daten zu erheben, kommuniziert überhaupt. Wenn die tatsächlich dann ist, muss geladen oder ist das offen für... Das ist nämlich das Nächste, dass teilweise wie Katrin schon gesagt hat, teilweise wird schon erst geschossen und dann gesagt, na ja, wir haben ihr berechtigtes Interesse. Und außerdem muss man ja auch so ein bisschen verstehen, dass diese Networks funktionieren und die funktionieren eben nicht so, dass man Dinge einfach abschalten kann. Die sind auch mit untereinander dann teilweise so verknüpft, dass die Daten eben doch wieder an den entsprechenden Stellen landen. Insofern ist dieser ganze Wust einfach völlig irrationaler Marketingblub. Genau. Und ich meine, natürlich ist es so, es gibt ja so Kuklicks persönlich, Kuklicks sind so notwendig, um den Fehlervereinbetrieb zu einer Webseite zu gestalten und in die muss man dann in der Regel natürlich auch nicht einwilligen. Aber in alles, was ich einwilligen muss, sind halt zum Beispiel eben solche Marketinggeschichten oder Trackinggeschichten. Das heißt, ganz grundsätzlich ist dieses berechtigte Interesse rechtlich schon mal, also wirklich hart fragwürdig. Und ja, ich möchte mir natürlich auch sicher sein, dass wenn ich auf diese Webseite drauf gehe und dann ein Cookie-Konsent-Tool Ding sie da drauf ist, das also bis zu dem Zeitpunkt, wo ich auf Ja oder Nein geklickt habe, das Ganze auch noch nicht quasi mitläuft und trackt und schon irgendwas ausspielt. Und das ist dann immer eine Frage oder eine Vorgabe, die ich diesen Web-Agenturen dann mache und die Unternehmen beraten habe und sage, das darf aber vorher noch nicht laufen. Und die gucken mich immer an wie Auto. So nach dem Motto, wie jetzt, natürlich geht es technisch. Ich weiß, welche Leute gefragt haben. Aber es ist wirklich ganz schwierig und vor allen Dingen von wegen Ablehnende. Guckt euch mal in Zukunft diese Cookie-Banner an, wenn ihr auf irgendwelchen Webseiten seid. Da steht immer ganz schön in grün allen Zustimmen und weiter. Oder ja, speichern. Oder ja, ich bin einverstanden. Und wenn man dann aber irgendwas einstellen will, ist es bei 95% dieser Banner oder dieser Konsent-Tools, dass man dann auf weitere Informationen noch mal individuell irgendwie auswählen klickt. Ich sehe ganz wenig Gestaltung und Umsetzung, wo drauf steht, ne, will ich nicht ablehnen. Bei jeder, die es sehe, freue ich mich. Da freue ich mich als Datenschützerin und da freue ich mich auch als Privatperson, weil ich halt nicht ständig dieses furchtbare Geklicker haben muss. Genau. Vor allem, wenn es wirklich ernst genommen wird und gelebt wird. Und gerade in unserem Kontext, auch bei der D-Work gerade, auch noch mal so ein kleiner Reminder an EntwicklerInnen. Also, der Kram erscheint ja nicht magisch. Genau, so ist es. Ja. Ja, und wir sind dann fast durch. Falls ihr noch ein bisschen mit uns quatschen wollt, wir sind auf jeden Fall gleich noch mal bei den Hexen in Ada. Dort kann die Party dann weitergehen. Ja, und weiter geht es um tatsächlich mit Solving Problems auf der Anthropocene.