 Ein herzliches Grüß Gott und hallo meinerseits, mein Name ist Johannes Nielsen und als Titel könnt ihr auch lesen, wie gesagt, habe ich gewählt, frag dich über deine Datenschlau. Einfach mal einen Ausblick zu geben, was kann ich denn bei Behörden oder Unternehmen anfragen, was die über mich an Daten gespeichert haben. Aber vielleicht, da ich das allererste mal hier bin, kurz vorne weg über mich, was ich mache, ich bin die Stabstelle IT-Recht. In meiner Person bin ich eine ganze Stabstelle und darf im Endeffekt alle IT-Rechtsfragen für bayerische staatliche Hochschulen beantworten. Und wie gesagt, um das ein bisschen komplizierter zu machen, bin ich dann ins Rechenzentrum und in dem Rechenzentrum selber noch mal in einer Stabstelle. So funktioniert das und die Stabstelle, obwohl die zentral für ganz Bayern ist, ist die in Würzburg, weil Geld gibt es, gab es vom Söder und dementsprechend Stärkung der Regionen, deswegen nicht München, sondern Würzburg. Es hat noch einen anderen Grund, der Rechenzentrumsleiter, der ist, kam aus dem Vertrieb, kam aus der freien Wirtschaft und hat plötzlich in der Verwaltung die Juristen vermisst. Im Vertrieb ist er ständig gegängelt worden von den Juristen und dann scheint er sich trotzdem wohl so sehr vermisst zu haben, dass er sich unbedingt einen Juristen ins Rechenzentrum gewünscht hat. Und wie der Zufall es wollte, nach meinem Studium, wo ich quasi immer schon so IT-Support und ähnliches gemacht habe für die juristische Fakultät an der LMU in München, habe ich und mein Studium und Referendariat gerade fertig waren. Da bin ich dann, war die Stelle ausgeschrieben, habe mich im Bewerbungsgespräch durchsetzen können und seitdem habe ich viel Spaß mit der Stelle. Neben dem, ein bisschen war ich unterwegs, gleichzeitig habe ich auch so in dem Bereich Informatik bzw. Schnittstelle, recht Informatik einiges gemacht und nebenbei noch wie gesagt Datenschutzbeauftragte in der kleinen Kanzlei und auch noch lehrbe Auftragte für IT-Recht für dieses Semester. Mein Vortrag, da muss ich Ihnen eigentlich gar nichts erzählen, denn das stand ja alles in der CT und er war nicht nur in der käuflich erwerbbaren CT der Artikel, sondern er war sogar freizugänglich, muss ich nichts erzählen. Da ist dann auch schon der Fragebogen, den Sie dann den Firmen zuschicken können oder den Behörden, der ist auch schon mit dabei und wie eine Antwort aussehen kann, das hat die CT auch noch veröffentlicht. Also muss ich nichts mehr machen, alles gut, ihr könnt wieder gehen. Aber wenn man die Antwort sich anschaut, lernt man noch etwas, die CT bringt der Osterhase. Warum? In der Auskunft steht folgendes drin, Weitergabe Ihrer Daten an Dritte fand nicht statt. Wenn ich eine Zeitung, Zeitschrift verschicke, muss ich Sie meinem Dienstleister die Daten weitergeben, sonst kann sie schwerlich zugestellt werden. Also haben wir gelernt, dank der Auskunft, die die CT testweise geben hat, die CT bringt der Osterhase. Wenn wir jetzt ein bisschen später gewesen wären, dann hätte ich gesagt, der heilige Geist bringt sie, aber so der Osterhase. Gut und wie komme ich jetzt hierher? Da schauen wir uns mal mein ehemaliges Büro an. Wir haben hier das ehemalige Büro vom Watz und hier ist mein Büro. Ist aber natürlich trotzdem kein Grund, für den IT-Ler zu sprechen mit dem Techniker. Aber da gab es so etwas. Es gab eine App, die im Endeffekt mit Web Scapping und quasi speichern der Login-Daten auf dem Server vom Anbieter selber den Studis wunderbar die Daten aufbereitet hat. Endlich konnten die Studierenden im Effekt mit Push-Nachrichten über die neuen Noten informiert werden. Also die App war genau das, was sich die Studierenden gewünscht haben. Unis sind nicht so weit mit App anbieten. So, aber was macht man dann? Das liegt bei mir auf dem Tisch. Und dann ist das Schöne an meiner Stelle, dass ich als Jurist in meiner Funktion nicht nein sagen darf, sondern ich muss ermöglichen. Was ist also passiert? Also es blieb der Verstoß insbesondere von den Studierenden gegen die Benutzerordnung der Universitäten, dass sie die Passwörter eben hier in dem Fall nicht geheim gehalten haben. So, was macht man? Man kann jetzt noch ein bisschen verfolgen, was wir gemacht haben. Wir haben die nämlich im Endeffekt eine E-Mail geschrieben. Sie haben geantwortet. Wir haben sie getroffen und sie haben ihre App umgestrickt, dass die Passwörter nicht mehr auf ihren Servern gespeichert werden müssen oder temporär auf ihren Servern gespeichert werden. So einfach kann es funktionieren und jetzt können die Studierenden, wenn sie wollen, die App verwenden. Sie muss sie nicht mehr verboten werden. Die Unis mussten nicht mehr warnen, zumindest vor dieser speziellen App. Und genau das ist ein Beispiel, was ich im Endeffekt in meinem Alltag mache. Lösungen ermöglichen. Ja, aber wir müssen, nun bin ich ja etwas abgeschwafft zum Thema kommen. Und um das Verständnis zu haben, muss man trennen, was die Juristen unter dem Persönlichkeitsrecht verstehen und was die Juristen unter dem Selbstbestimmungsrecht, also informationelle Selbstbestimmung verstehen. Eigentlich gäbe es da noch ein Update dafür, dass es das Computergrundrecht war, sie weil das Bundesverfassungsgericht der Auffassung war. Der Schutz, den wir mit diesen beiden Säulen geschaffen haben, reicht immer noch nicht. Aber heute sind wir nur bei diesen beiden Ebenen. Wie gesagt, es gibt für das Persönlichkeitsrecht eine Intimsphäre und die geht nur mich etwas an. Ja, da hat niemand was drin zu suchen, außer ich möchte es wirklich jemanden offenbaren. Dann kann natürlich in punktuell jemand hinein, aber der Staat hat in der Intimsphäre nichts zu suchen. Und der größere Kreis um die Intimsphäre herum ist die Privatsphäre, also Austausch mit Freunden, Familie. In dem Bereich, also zum Beispiel gebe ich meine Handynummer Preis oder nicht. Da habe ich eventuell eine ganz individuelle Entscheidung, dass die Handynummer nur meine Familie kennt oder die Handynummer auch meine Freunde kennen und ähnliches. Oder es kann sogar sein, dass ich meine Handynummer wirklich jedem geben möchte und es in die Sozialphäre geben, gebe bzw. manche Rüstenpacken über die Sozialphäre noch die Öffentlichkeitsphäre drüber. Und man kennt es im Endeffekt im roten Bereich, darf der Staat nichts machen, im gelben Orangenbereich darf er nicht so viel machen, im grünen Bereich darf er fast alles machen und jenseits dessen gibt es nahezu keine Beschränkungen. So, das ist der Teil vom Persönlichkeitsrecht. Wir haben verschiedene Sphären und verschiedene Dichte im Endeffekt, was es erlaubt, was es nicht erlaubt. Und dann ist der Punkt, man sieht es vielleicht ganz gut schon an der Handynummer, dass ich eventuell die gar nicht mehr unter Kontrolle habe und quasi gar nicht so zuordnen kann, ist es jetzt eine ein Datum, was zur Privatsphäre gehört oder zur Sozialphäre, es wird schwierig und genau dieses Dilemma soll das Selbstverständungsrecht auflösen, dass ich wählen kann, Blue or Red Pill. Und es gibt noch ein Art On dazu. Ich bekomme auch eine Erklärung dazu, damit ich meine Entscheidung informiert treffen kann. Ich bekomme noch das Handbuch dazu. Und je weniger ich eine wirkliche Wahl habe, desto umfangreicher muss das Handbuch dazu sein und die Erklärungen. Das ist im Endeffekt etwas vereinfacht, aber im Kern dargestellt der Unterschied Persönlichkeitsrecht und warum zum Persönlichkeitsrecht noch das Selbstverständungsrecht dazu gekommen ist. Damit ich die Kontrolle, die ich bei diesen Fähren nicht so gut mehr im Griff habe, zurückgewinnen kann. Und wenn wir Juristen das dann in Termini packen, dann haben wir jetzt nach der Datenschutzgrundverordnung ein Rechtmäßigkeitsprinzip. Das heißt im Wesentlichen, ich darf nichts mit Daten anderer machen. Einzige Ausnahme, der Betroffene willigt ein und gibt die Daten her. Oder ich habe Erlaubnis-Tatbestände, also ein Gesetz, das mir sagt, ich darf mit den Daten arbeiten. Und dann kann ich darüber streiten, wo man es verorten möchte. Aber ich habe quasi im Endeffekt einen Anspruch darauf, dass wenn ich Daten weitergebe, diese Daten ordentlich aufbewahrt werden, dass die Integrität und Vertraulichkeit der Daten gesichert ist. Die Verfügbarkeit versteckt sich natürlich auch noch in den Datenschutzgesetzen und anderen IT-Sicherheitsgesetzen. Aber der Schwerpunkt liegt im Endeffekt auf der Integrität und der Vertraulichkeit der Daten. Und dann gibt es ein, sage ich salopp, schönes Kriterium, um uns Juristen Arbeit zu machen, nämlich die Erforderlichkeit. Denn das Schöne ist, wenn ich Daten sammeln möchte, habe ich im Endeffekt für diese Erforderlichkeit einen eigenen Gestaltungsspielraum. Das heißt, ich möchte als Unternehmen ein Newsletter versenden. Was kann ich an Daten einsammeln, um Newsletter zu versenden? Die E-Mail-Adresse. Mehr nicht, schade. Ich will ja ein bisschen mehr sammeln. Was muss ich also machen? Ich muss nicht einen Newsletter anbieten, sondern ich muss einen personalisierten Newsletter anbieten. Neuer Dienst und schon kann ich Vorname, Nachname einsammeln. Gebenfalls auch noch Geschlecht, wenn ich möchte. Und dann habe ich immer noch nicht alles. Ich möchte ja vielleicht noch beim Geburtstag Gutscheine verschicken. Und dementsprechend packe ich dann halt auf den Newsletter noch Geburtstags, Benefits oder Ähnliches dazu. Und so komme ich dazu im Endeffekt Daten durch die Gestaltung meines Dienstes erforderlich zu machen. So einfach kann das im Endeffekt juristisch funktionieren, wenn ich mich frage, warum wird für Newsletter oder Ähnliches plötzlich so viele Daten eingesammelt, weil die Dienstleistung halt vom Dienstreister selber definiert worden ist. Für die Behörden ist das natürlich schwieriger. Die Behörden können nicht einfach sagen, für die Baugenehmigung hätte ich jetzt gerne noch den bisherigen beruflichen Werdegang oder Ähnliches. Das kann ich natürlich nicht einsammeln. Aber für die Industrie im Endeffekt ist die Erforderlichkeit wirklich selten nicht mehr als ein Feigenblatt. Und wie gesagt, ein bisschen, man kann, wenn man möchte, stehen halt so Grundsätze wie Treue und Glauben, noch dahinter theoretisch auch die Datenminimierung, aber das bezieht sich immer nur auf die Art und Weise, wie der Dienst selber angeboten ist. Und auch das Ziel, dass wenn ich den Dienst nicht mehr anbiete oder das Interesse abflaut, im Endeffekt, dass Daten auch gelöscht werden, wenn ich sie nicht mehr brauche. Und dann sage ich, das ist vielleicht auch der größte Unterschied im Datenschutzrecht zwischen unserem Rechtskreis und zum Beispiel amerikanischen Rechtskreis. Wir sagen schon, wenn ich Daten sammle, muss ich den Zweck festlegen. Also sagen, also ich möchte die Daten für Newsletter, ich möchte die Daten für eine Social Media Plattform, ich lege vorne weg den Zweck fest. Und den Zweck musste ich eigentlich auch noch möglichst weitgehend konkretisieren. Und der Ansatz, gerade in Amerika ist, Daten sammeln, darf man erstmal immer und nur wenn man zu große Macht hat, dann kommt im Endeffekt die FTC, also jetzt unter den Blickwinkel Verbraucherschutz und kümmert sich dann im Endeffekt um Belange der Verbraucher. Da geht es im Endeffekt um Monopole und Marktmacht. Und dann immer wichtiger und das ist auch, sage ich, der Trumpf, der jetzt mit der neuen Regelung am 25. Mai kommt mit der Datenschutzgrundverordnung, nämlich dass ich als Anbieter, wenn ich verantwortlich bin für die Datensammlung, zu Transparenz gezwungen bin. Und die Transparenz, also verständliche Information und im Endeffekt, dass ich nichts verstecke, keine heimlichen Features habe und ähnliches, gepaart mit Information. Und ergänzt wird das noch zusätzlich um im Endeffekt die Richtigkeit der Daten. Und die Richtigkeit der Daten kann ich als Betroffener kontrollieren, weil ich Auskunftsrechte habe und weitergehende Rechte eben, das Daten, wenn ich meine Einwilligung wieder rufe, gelöscht werden und ähnliches. Und dann das spannendste Thema ist eigentlich das hier, die Rechenschaftsschlicht. Denn bisher war es so, dass ich im Endeffekt als Betroffener nachweisen musste, das Unternehmen, dem ich die Daten gegeben habe, hat sich vielleicht nicht richtig um die Daten gekümmert. Jetzt ist es andersrum, gerade die Aufsichtsbehörden können einfach zum Unternehmen gehen und sagen, Dokumente her, wenn die Dokumente nicht da sind, wird erst mal davon ausgegangen, dass die Daten nicht rechtmäßig verarbeitet werden. Also im Endeffekt die Beweislast ist komplett umgetreten. Das heißt, ich muss als verantwortlicher nachweisen können, ich gehe richtig mit den Daten um. Und das ist auch, sage ich, die größte Änderung, was es im Endeffekt sehr, sehr spannend macht, im Endeffekt. Und die Rechte, die man hat, erst richtig stark machen. Eines will ich nicht verhehlen, wir haben noch gerade geltend die Datenschutzrichtlinie im Hintergrund. Und die Datenschutzrichtlinie hatte den primären Fokus auf Datenhandel. Das heißt, die Daten sollten wunderbar in Europa fließen können. Da war der Datenschutz nicht im Fokus, dass der Datenschutz in Europa stark geworden ist. Das haben wir dem Europäischen Gerichtshof zu verdanken. Der Konsequent eben das Recht auf Vergessen eingeführt hat, der Safe Harbour zum Fall gebracht hat, der IP-Adressen zu personenbezogenen Daten erklärt hat. Und richtig spannend wird es noch aktuell ist eine Vorlage bezüglich der Verantwortlichkeit von Facebook-Fan-Seiten. Und das Gutachten von meinem Generalanwalt gegen dahin hat gesagt, wer eine Facebook-Seite betreibt, ist mitverantwortlich für die Art und Weise, wie Facebook mit den Daten umgeht. Das hat er in seinen Gutachten hineingeschrieben. Und in den nächsten Monaten wird es die entsprechende Entscheidung geben. Und wenn diese Meinung gehalten wird, dann ist noch mal eine riesige Stärkung für den Datenschutz durch den Europäischen Gerichtshof geschaffen. Und nicht nur Facebook wird sich umschauen müssen, auch, sage ich jetzt, Softwareanbieter, die fleißig Telemetrie sammeln. Die werden sich genauso umschauen müssen. Und wie gesagt, der Großteil der Rechtsprechung vom Europäischen Gerichtshof ist dann in die Datenschutzgrundverordnung hinein transformiert worden. Und dementsprechend ist die Datenschutzgrundverordnung, hat immer noch ein Fokus auf Datenhandel, aber inzwischen eben auch einen guten Fokus auf dem Datenschutz. So, dann schauen wir doch mal. Welche Anschauung folgen Sie denn? Sind Sie römisch-katholisch, flying Spaghetti-Monster, vielleicht die Jedis? Oder darf ich das überhaupt fragen? Das ist der entscheidende Punkt. Am Ende darf ich das überhaupt fragen. Was wir nämlich, was ich hier hätte gefragt, wäre eine Kategorie von besonderen Personen bezogenen Daten, Religionszugehörigkeit oder Weltanschauung. Und wenn ich solche Daten verarbeite, muss ich mich, habe ich zusätzliche Vorgaben und Restriktionen. Also wie sieht das aus, wenn ich mich jetzt jemand mit so einer Frage provoziert hätte, kann ich im Effekt nachfragen, was hat er über mich? Und wir sind in Deutschland. Also wie viele Datenschutzrechte werden wahrscheinlich so relevant? Deutschland, ein Land, ein Datenschutzrecht wäre zu schön, oder? Also ein Bundesdatenschutzgesetz, 16 Landesdatenschutzgesetze. Reicht das für Deutschland? Wir haben noch die Kirchen. Die haben ihr eigenes Datenschutzrecht. Genau, genau, ja. Aber wenn ich jetzt ein Anbieter bin, müsste ich meine Lösung, die ich anbiete, zu eben 16 Länder, Bund plus zwei Kirchen, kompatibel zu diesem Datenschutzgesetz anbieten. Das ist im Effekt die Herausforderung für die Anbieter. Und dementsprechend haben wir jetzt diese Situation noch, aber künftig wird die deutlich vereinfacht. Aber das ist ein Überbleibsel aus der Weimarer Verfassung, dass die Kirchen im Effekt als Körperschaften öffentlichen Rechts gelten und eine Selbstverwaltungsgarantie haben und für den Bereich der Selbstverwaltung eigene Gesetzgebungskompetenz haben. Ja, so ist das. Wenn ich jetzt die Unternehmen frage, kann ich nach geltendem Recht verlangen, was es über mich gespeichert? Woher kommen die Daten? Wem habt ihr die Daten weitergegeben? Welche Zwecke verfolgt ihr mit der Speicherung? Und wenn ich nur einmal jährlich frage, dann habe ich damit keine Kosten. Das ist die jetzige noch geltende Rechtslage. Und ein anderer Punkt, ich könnte das sogar in Textform verlangen, die auskommt. Nein, das hilft mir jetzt erst mal nur eine Stelle weiter. Das wird aber im Endeffekt mit der Datenschutzgrundverordnung auch ein bisschen verbessert. Insoweit, dass ich im Endeffekt, wenn ich sage, lösche meine Daten, dann muss derjenige, der die Daten zuerst erhoben hat und weitergegeben hat, muss dieses Lösche verlangen, dann weiterleiten. Also, der ist für mich dann der Boote. Ja, wir haben auch noch paar Sonderfälle. Nämlich, wenn wir Adresshandel und Werbung machen, dann muss ich zwei Jahre zurück Auskunft geben über Ermittlungen und beim Scoring sechs oder zwölf Monate zurück und ich muss auch Wahrscheinlichkeitswerte mitgeben und auch einen aktuellen Wahrscheinlichkeitswerk mitgeben. Und dann, wie gesagt, soll ich ein bisschen auch erklären, wie das Scoring zustande kommt. Aber der BGH hat den Scoringfirmen geholfen und hat gesagt, also genau mathematisch müsst ihr das nicht erklären, sondern so ein paar wohlwollende Sätze reichen und dafür bringe ich jetzt auch gleich noch ein paar Beispiele mit. Erstmal allgemein vorneweg, wie kommen die Unternehmen denn aus? Sie können die Identitätsnachweis einfordern. Bisher im Effekt recht rigoros Ausweiskopien. Man darf dann ein bisschen schwerzen, aber grundsätzlich die Idee ist Ausweiskopie einfordern. Dann, Sie können sich rausreden, wenn das Geschäftsgeheimnis überwiegt und in der Praxis kommen noch dazu, alles was ich, wenn ich gesetzlich Daten noch aufbewahren muss, aus Handelsrecht oder finanzrechtlichen Gründen, muss ich da nichts weiter zu erzählen. Auch nichts über meine Datensicherungen und auch nichts über Datenschutzkontrollmaßnahmen. Gut, wenn ich jetzt Bundesbehörden frage, dann brauche ich halt einen Antrag. Auch die müssen mehr oder weniger dasselbe über Preis geben. Es ist immer kostenlos und hier gibt es eigentlich keine Jahresfrist. Also ich könnte Behörden auch öfters fragen. Wie die Behörde es macht, das ist ihr oblassen, ob ob liegt ihr? Generell, wenn die Behörde sagt, ich sammel so viel, dann kann die Behörde immer nachfragen, was willst denn genau wissen? Also so kann die Behörde das hin und her spielen und zumindest die Auskunftzeit, bis sie eine Auskunft erteilt, quasi verzögern. Auch Daten hier ähnlich quasi, was sie gesetzlich noch aufbewahren muss, muss ja auch nicht preisgeben. Die Datensicherungen, Datenkontrollmaßnahmen, all das Lockfalls und Ähnliches müsste man nicht hergeben. Also verschüsselte Daten gelten für den, der sie entschlüsseln kann, als personenbezogene Daten. So, das ist jetzt Teil 1. Jetzt ist die Frage ist, ich müsste eine Auskunft geben, zum Beispiel, wenn ich die jetzt die verschüsselten Daten bei jemand anders schweichere. Dann ist das, und da streiten sich im Effekt Juristen, ist das jetzt eine relevante Übermittlung von personenbezogene Daten oder weil der Dritte damit nichts anfangen kann, keine im Rechtssinn Übermittlung. Also von daher können verschüsselte Daten unter die Auskunft mitfallen bei entsprechender Gestaltung oder jetzt zum Beispiel bei Anbietern, wenn jetzt Behördenanfragen kommen, dann kann es sein, dass verschüsselte Daten unter Umständen nicht als zu beaufkunftende Daten gelten. Das hat zum Beispiel Posteo in einem Gutachten ermitteln lassen. Gut, für den Stream ein bisschen dazu. Also es ging ein bisschen, also Teil 1 war, was Posteo gesagt hat, da ging es, das Gutachten, was Posteo erstellen lassen, da ging es um Behördenanfragen. Teil 2 ist, muss sich anonyme Daten beauskunften? Nein, aber wenn ich die Daten nicht rechtlich wirksam anonymisiert habe, sind das nur pseudonyme Daten oder gar personenbezogene Daten ohne Pseudonymisierung, dann fallen sie mit unter die Auskunftspflicht. Gut, und für die Behörden immer noch ganz wichtig, Gefährdung, öffentlichen Sicherheit und Ordnung und Nachteile zum Wohle des Bundes und der Länder. Also ein paar Ausreden sind erst mal da, man muss die Ausreden aber dann offenlegen im Endeffekt und inso weit wäre das dann auch überprüftbar. So, wie sehen jetzt solche Auskünfte aus? Das ist meine Auskunftsanfrage an die DKB. Und die DKB hat gesagt, sie hätte über mich nichts gespeichert, hat einmal eine tolle neue Kategorie erfunden, nämlich die aktiven personenbezogene Daten. Kennt das Gesetz überhaupt nicht? Gemeint sind wahrscheinlich gesperrte Daten, also sie haben nur noch Daten, die sie über mich aufbewahren müssen und sie haben auch nichts dazu gesagt, dass sie eigentlich von der Schufa in den Schufa-Score von mir bekommen haben. Das haben sie quasi so versteckt, dass sie sagen, das müssen sie aufbewahren, aber eigentlich fehlt in der Auskunft, dass die DKB von der Schufa in den Schufa-Score bekommen hat. Das wusste ich dank meiner Auskunftsanfrage bei der Schufa. Also durchaus kreativ, aber wie gesagt das klassische Beispiel, alles was so in Datensicherung und gesetzliche Aufbewahrungsfristen fällt, das beauskunftet man einfach nicht mit. Das nächste, wie man zumindest ein bisschen Angst machen kann, ist, damit man ja nicht zu schnell wiederkommt. Man sagt gleich, dass man Geld möchte, wenn du nochmal fragst innerhalb von dem Jahr. Die sind jetzt ganz nett, die wollen nur 20 Euro, da gibt es auch andere Sätze, die eingefordert werden. Und dann ein schönes Beispiel, das war so Versicherungsmakler und dann sagen sie, haben sie mir, die haben es auf Papier, im Endeffekt meine Daten aufgenommen und dann in das System übertragen. Und die Auskunft, haben sie mir das, was sie in Papier erfasst haben, in Kopie geschickt. Die hätten aber natürlich inzwischen was anderes inzwischen in die Datenbank reinschreiben können. Dann habe ich noch mal nachgefragt und dann habe ich Screenshots von der Datenbank bekommen. Dann weiß ich natürlich immer noch nicht, ob das Momentaufnahmen sind. Im Endeffekt haben sie halt die Datenbank oder die mit der Auskunft verantwortlichen, wollten halt keine Datenbankabfrage machen, sondern haben lieber Screenshots von der Eingabbelmaske gezeigt. Und ob die Datenbank noch mehr hat, weiß man damit natürlich auch nicht. Genau, das wäre noch natürlich eine Ergänzung, aber sage ich, das weiß ich aus meiner eigenen Erfahrung, die kann man juristisch geschickt genug gestalten, dass man damit keine Informationen preisgibt. Und das letzte Beispiel, was ich mitgebracht habe, das war eine Scoringfirma und die schreibt als erstes, sie hat nichts über mich gespeichert, kann aber dann meinen Score berechnen und erklärt auch noch den Score. Das ist natürlich ganz toll. Ich würde gerne wissen, wie das geht, nichts über mich speichern, aber trotzdem einen Score haben. Und dann, den Vogel haben sie abgeschossen, eigentlich, als sie dann hier geschrieben haben, was haben wir da als Grundlage verwendet und da steht, hierbei wurden unter anderem ein durchschnittlicher Warenkorbwert, Anschriftstaten und sociodemographische Daten, wie zum Beispiel das Alter sowie Zahlungsinformation zu ihrem Wohnumfeld einbezogen. Da habe ich gedacht, also so trivial falsch, da haut die Aufsichts aber mal zu und schlägt zu, weil, wie gesagt, sie hätten zumindest alle Datenkategorien nennen müssen, die sie als Grundlage nehmen und das unter anderem ist auf jeden Fall falsch. Wenn sie das Wörtchen nur rausgelassen hätten, dann wäre das juristisch nicht angreifbar gewesen, also der Teil. Aber wie sieht das aus? Das hat die Auskunft, also die Aufsichtsbehörde mir dann geantwortet. Ich erfahre, Sie haben sehr wohl was über mich gespeichert, nämlich eben Name und Anschrift. Das haben Sie sehr wohl über mich gespeichert. Und immerhin sagen Sie, Sie sagen, die Transparenz sei verbesserungsbedürftig. Aber Bußgelder fahren ähnliches für so was, gibt es sicherlich nicht. Das ist vor allem für mich eigentlich interessant gewesen, weil ich bei dieser Firma einen besseren Score hatte als bei der Schufer. Bei der Schufer ist mein Score, war am besten, als ich bei meinen Eltern noch gewohnt habe und Student war. Da war ich topkreditwürdig. Dann bin ich ausgezogen, habe angefangen erstes Geld zu verdienen. Dann war ich schon nicht mehr so kreditwürdig. Und als ich in Würzburg war, da war es aus. Als ich wirklich Geld verdient habe, war ich nicht mehr kreditwürdig. Na gut. Die Logik darf mir einer erklären, aber vielleicht ist es alter oder falsche Umgebung gesucht. Ich weiß es nicht. Und dann noch eine schöne Anekdote, das Kirchenstrafrecht oder kirchlicher Datenschutz. Wenn man das liest, das ist jetzt leider etwas klein, findet man keine Strafvorschrift. Also das heißt, wenn die Kirche eine keine Auskunft erteilt, dann passiert nichts. Aber man kann in das Kirchenrecht hineinschauen. Wer kann alles latein? Ja, bitte einmal übersetzen. Ja, ich bin nicht so gemein. Ich habe das natürlich da. Also es gibt eine allgemeine Regel im Kirchenstrafrecht, die ermöglicht es, das Analogieverbot, was man im weltlichen Strafrecht kennt, zu umgehen. Ja, das ist auch kein Problem, weil das kirchliche Strafrecht eine andere Vorstellung hat. Da gibt es ein Art Tatschstrafrecht. Das heißt, in dem Moment, wo ich gegen ein göttliches Verbot verstoßen habe, folgt automatisch die göttliche Strafe. Zackbum, kein Gerichtsverfahren, nichts weiter. Das ist auch vollkommen legitim. Das ist eine Religionsgemeinschaft und das ist der Glaube, wie Sie vorstellen, dass der Glaube richtig ist und falscher Glaube muss natürlich sanktioniert werden. Also deswegen, im soweit, wenn man jetzt aus dem Blickwinkel der Kirche das anschaut, verständlich, aber natürlich aus unserer weltlichen Ansicht nicht mehr verständlich. Und wir haben natürlich auch noch das passende Gebot, nämlich Schutz der Privatsphäre oder Intimsphäre und Rufschutz. Und damit kann man natürlich auch im Kirchenrecht Sanktionen gegen Datenschutzverschlüsse herzaubern. Also die allgemeine Aussage, es gäbe keine Sanktionen für Datenschutzverstöße im Kirchenrecht, die stimmt nicht. Aber es muss eine Strafe gibt es natürlich nur, wenn es ein besonders schwerwiegender Verstoß ist. Und es geht natürlich hier jetzt um Daten, die die Kirche in ihrer eigenen Eigenschaft, also für Betreuung der Gläubigen oder ähnliches einsammelt. Ja, aber also im Endeffekt, die Sanktionen wurden in den Umsetzungen von den Kirchen für die Datenschutzgrundverordnung, soweit ich jetzt weiß, nicht mit übernommen. Und den Kirchen ist eine extra eine Ausnahme, Genehmigung geschaffen worden. Im Endeffekt, dass sie ihr eigenes Datenschutzrecht nach wie vor haben dürfen. Von daher werde ich vermute ich, dass es im Endeffekt keine Millionen Bußgelder für Datenschutzverstöße im kirchlichen Bereich geben wird. Aber wenn die Kirche natürlich als Unternehmen auftritt, dann trifft sie das weltliche Datenschutzrecht. Gut, ja also Kirchen gelten im Datenschutzrecht im Regelfall als staatliche Behörden und damit gilt das jeweilige Landesdatenschutzrecht und Universitäten haben es toll, weil sie haben ein Hochschulgesetz und da bekommen sie so viele Aufgaben, das heißt man findet immer einen Grund, warum die Universität Daten haben darf und der nächste Punkt ist, solange die Universität nicht im Wettbewerb steht, hat der Gesetzgeber auch den Universitäten die Bußgelder weggenommen. Also die werden nicht von den Bußgeldern getroffen. Nichtsdestotrotz habe ich natürlich Schadensersatzansprüche. Wenn die Universität mit meinen Daten misst bauen würde, hätte ich Schadensansprüche gegen die Universität. Genau das heißt im Wesentlichen aber mit dem 25. Mal in der Datenschutzgrundverordnung ein einheitliches Recht mit quasi einem extra Recht für die Kirchen und ich hatte ja versprochen dürfen Daten über den Teichwandern oder nicht und ja wir haben uns als Juristen eine Menge ausgedacht. All das, alles gar kein Problem. Aus diesen Gründen dürfen die meine Daten in Wirtschaftsraum verlassen. Und wenn ich Dienstleister einsetze, dann wird es noch viel besser. Nämlich entweder ich habe in dem Land wo der Dienstleister sitzt ein angemessenes Datenschutzniveau. Also Argentinien, Schweiz oder die Steueroasen. Da hat England noch gute Arbeit geleistet, dass die ganzen Steueroasen ein angemessenes Datenschutzniveau haben. Wenn ich in die USA will, habe ich zumindest formaljuristisch das EOS-Ballwessisch-Shield. Ich kann mir interne Datenschutzvorschriften geben. Ich kann ein Codices mir geben lassen, die es noch nicht gibt. Es gibt noch nicht Datenschutz-Zertifizierungen. Es gibt Standarddatenschutzklauseln und von denen gibt es drei Stück, die noch weiter gelten und es könne neu kommen. So und das heißt, wenn ich gerichtlich irgendeines dieser Möglichkeiten zu Fall bringe, bleiben die anderen noch übrig. Das heißt, wenn jetzt Max Schrems vor dem UGH es schafft, Standardvertragsklauseln, Typ 1, ist unwerksam verstößt gegen Europarecht, bleiben noch zwei Standardvertragsklauseln übrig und demnächst Datenschutz-Zertifizierungen und so weiter und so fort. Das heißt Unternehmen, wenn sie Daten in die USA bringen möchten oder Dienstleister, werden sie es immer können, weil ich es nie schaffe, alle Datentransportmöglichkeiten auf einmal juristisch für ungültig zu erklären. Das heißt, das einzige, was die Unternehmen investieren müssen ist in Rechtsberatung, die ihnen sagen, du musst halt jetzt von Alternative 1 oder Variante 1 auf Variante 2 und dann auf Variante 3 umsteigen. So traurig das ist, haben wir quasi jetzt auch gerade mit der Datenschutzgrundverordnung noch mehr Möglichkeiten, die Daten in die USA zu bringen. Gut, kommen wir zum eigentlichen Thema zurück, nämlich was kann ich künftig an Auskunft verlangen und das ist wirklich besser geworden, nämlich wenn es außerhalb des europäischen Wirtschaftsraum geht, müssen wir mir auch sagen, wie die Daten dort geschützt sind. Sie müssen mir endlich sagen, wie lange sie die Daten speichern. Sie müssen mich über meine ganzen Rechte informieren. Also überall steht dann jetzt dazu, sie haben Recht auf Auskunft, sie können Daten löschen, sie können Daten berichtigen, sie können die Verarbeitung einschränken, sie haben Recht auf Datenpotatabilität, sie haben Recht, sich bei der Aufsicht zu beschweren und so weiter. Also ich werde jedes Mal draufgestups, schau, das sind deine Rechte. Also von diesem Ansatz her quasi alle neuen Datenschutzerklärungen auch, die man dann im Internet findet, die werden immer einen Passus haben, das sind ihre betroffenen Rechte. Da steht dann auch drin Einwählerungen, können sie wieder rufen und so weiter und so fort. Und von daher, wie gesagt, ist gerade das der entscheidende Punkt, dass diese Rechte, die ich habe, wo ich bisher ziemlich viel spielen konnte im Endeffekt als Unternehmen, dass ich die im Endeffekt leichter oder ständig in meinem Bewusstsein gerückt wird, du hast Rechte als Betroffener. So wie ich mich inzwischen an das Widerrufsrecht gewöhnt habe und plötzlich erstaunt bin, wenn es einzelne Verträge gibt, wo ich kein Widerrufsrecht mehr habe, so wird das künftig auch mit dem Datenschutz sein. Und wenn ich Scoring mache, muss ich das entsprechend auch erklären und vielleicht habe ich hier die Chance, dass die Scoring-Sachen vielleicht sogar demnächst besser erklärt werden müssen. Und es gibt so, es ist deutlich formalisierter. Ich muss quasi den Eingang bestätigen, ich muss innerhalb von einem Monat antworten und es gibt erstmal keine Kosten. Ich kann das regelmäßig wiederholen, meine Auskunftsanfragen, nicht einmal pro Jahr, gerade bei den Scoring-Firmen, sag ich, pack ich halt einen Grund dazu. Ich interessiere mich für einen neuen Verbraucherkredit. Ich möchte vorher wissen, ob ich es wahrscheinlich ist, dass ich gute Konditionen bekomme. So, schubbs habe ich einen validen Grund und kann die Scoring-Firma fragen. Und dann interessiere ich mich halt jeden Monat für einen neuen Verbraucherkredit. Und so bekomme ich regelmäßig meine Scores kostenlos von der Schufe zum Beispiel oder den anderen Auskunftsteilen. Und das Beste ist, wenn er plötzlich kommt und sagt, also jetzt bist du aber viel zu oft gekommen, jetzt will ich aber mal Geld dafür bekommen oder nichts mehr machen, der Verantwortliche muss mir beweisen, dass ich mein Recht missbrauche oder überhaupt keinen validen Grund hätte, Auskunft zu verlangen. Also das heißt, wenn ich jeden Tag auf der Mathe stehen würde, das wäre Rechtsmissbrauch, weil weil ich im Endeffekt einfach nur zur Schikane, im Endeffekt die Ausfrage oder ich frage eine Firma, mit der ich überhaupt keine Beziehungen habe, dann kann ich die einmal fragen, wenn ich sie aber dann jeden Monat neu frage, obwohl ich mit der Firma überhaupt keine Beziehungen habe, dann kann die Firma sagen, dass es rechtsmissbrau ist. In dem Fall, also wenn ich der Meinung bin, dass ich quasi durch regelmäßiges Quängeln irgendwann meine Informationen bekomme, dann wird mich das Recht hier in dem Fall im Stich lassen, weil ich im Endeffekt für den Fall genau die Beschwerde bei den Aufsichtsbehörden habe oder die Möglichkeit die Auskunft gerichtlich durchzusetzen. Also ich kann nicht das Unternehmen quasi jeden Tag fünf Stunden in die Hotline gehen, um mich beschweren, kann ich jetzt meine Auskunft bekommen, warum ist sie unvollständig und so weiter. Das geht nicht, weil ich im Endeffekt genau für diesen Fall im Endeffekt die Rechtsbeschwerde oder mein Beschwerderecht bei der Aufsicht habe oder die Möglichkeit den Rechtsweg zu begehen. Und da habe ich noch eine Folie dazu, dann können Sie sich überlegen, wie groß der eigene Invest ist, wenn ich das mal gerichtlich durchsetzen möchte. Außerdem ein Hinweis, genau dieser Punkt exzessive Anträge ähnliches, das ist endlich die Legitimation, wenn ich selber Datenverarbeiter bin, einen Aktenzeichen Q für QueroLand anzulegen. Also nebenbei hat das, sage ich, das offene Geheimnis, dass es solche Aktenzeichen gibt bei Behörden, quasi ist künftig kein offenes Geheimnis mehr, sondern gegebenenfalls sogar legitim. So, dann kann ich eine kostenfreie Kopie meiner Daten einfordern. Also ich bekomme wirklich ein Set im Endeffekt von meinen Daten zurück und sehr spannend, ich bekomme auch von meinen Ärzten, meine Diagnose-Daten. Was heute nicht so einfach zu bekommen ist, bekomme ich künftig über das Auskunftsrecht, weil das ist im Endeffekt eine sehr, sehr deutliche Verbesserung. Und es gibt sogar ein paar Extras fürs 21. Jahrhundert. Also die Auskunftsdaten sollen bevorzugt über Portale bereitgestellt werden. Genau deshalb hat Google, Microsoft und ähnliche im Endeffekt genau schon diese Portale gebaut, wo man sich dann einloggt und seine ganzen Daten einsehen kann. Genau deshalb, weil es im Endeffekt das der bevorzugte Weg sein soll. Wenn ich elektronisch anfrage und nicht reinschreibe, ich will es bitte per Post bekommen, bekomme ich das auch zurück. Und wenn ich der Identitätsnachweis, der ist auch entschärft worden. Wenn ich eine Online-Kennung habe, ist die Online-Kennung mein Identitätsnachweis. Ich kann also nicht sagen, mein Zugangssicherungen sind so schlecht. Ich weiß gar nicht, ob du dich wirklich selbst einloggst. Das kann ja jeder andere sich auch mit deiner Kennung einloggen. Das funktioniert nicht. Also das als Ausrede vorzuschieben, dass ich jetzt Ausweiskopien bekomme. Sondern Online-Kennung ist der Nachweis für die Identität. Und quasi ich kann das auch nicht als Vorwand verwenden, um im Endeffekt jetzt anzufangen, Daten einzusammeln. Nur damit ich meine Identitätsprüfung für die Auskunft machen kann. Wenn die Behörde einen Dienst hat, wo ich mich mit dieser E-Mail-Adresse angemeldet habe. Also was heißt ich? Die Stadt bietet einen Tourismus-Newsletter und ich habe mich mit hansiplümchen.de angemeldet und frage dann von hansiplümchen.de die Behörde an. Da musst du quasi diesem hansiplümchen.de antworten. Also das geht natürlich nur soweit, wie es hilft. Oder wie gesagt, was gestern war mit dem Bürger-Client im Endeffekt, wenn ich elektronisch Klare bei Gericht einlegen möchte und dort im Effekt ein Fake-Profil erstellt habe und eine Kontaktmöglichkeit zu diesem Fake-Profil hinterlegt habe, dann kann ich über diese Kontaktmöglichkeit im Effekt Auskunft verlangen. Aber die Auskunft ist natürlich bezieht sich dann auf meine pseudonymisierten oder erfundenen Daten. Also es hilft mir wahrscheinlich nicht so viel weiter. Und was sehr spannend werden kann, ist noch der letzte Punkt. Es soll Piktogramme geben für Datenschutzerklärung. Das heißt, ich muss nicht mehr ganz ellenlange Romane lesen, sondern in Piktogramm wird im Endeffekt die Verarbeitungsform dargestellt. So wie man es jetzt kennt für Videoüberwachung, wo die im Endeffekt schon im Einsatz sind. So soll es künftig im Endeffekt auch so eine Art Piktogramm-Set geben. Und diese Piktogramme sollen dann auch Maschinen lesbar sein. Das heißt, man könnte dritte Services darauf aufbauen, die diese Daten auslesen und dann im Endeffekt eine App anbieten. Das sind seriöse Anbieter oder sortiere mir meine E-Mail-Anbieter nach quasi Datensparsam bis Datenkrage. Das könnte ich im Endeffekt machen, wenn die Piktogramme von der EU-Kommission dann entsprechend vorgestellt sind. Also das, denke ich, wird, kann sehr spannender Ansatz werden. Nichtsdestotrotz Ausnahmen sind geblieben. Also ein bisschen Wasser schenke ich noch in den Wein rein. Insbesondere, was ein bisschen gemein ist oder kreativ werden kann, sind gerade die Urheberrechte. Daß ich sage, wenn ich jetzt zu viel von meiner Datenbank preisgeben würde, würde das meine Urheberrechte gefährden. Also das könnte durchaus ein Weg sein, wie sich Unternehmen künftig drücken können, um die Auskunft. Ja, also genau, das ist, sage ich, genau die Zwickmühle. Ich habe quasi Mindestverpflichtungen, so automatisierte Entscheidungen und Scoring und ähnliches Transparenz zu machen. Und gleichzeitig muss ich es nicht mehr Transparenz machen, als dass es meine Geschäftsetigkeit quasi gefährden würde. Es ist eine Zwickmühle und man wird vielleicht erst nach den ein oder anderen Gerichtsentscheidungen wirklich wissen, was sich im Endeffekt diesbezüglich tun kann. Auch die Behörden haben ein paar Ausnahmen bekommen, also weder die Klassikergefährdung der Sicherheit und Ordnung. Das Gemeine ist, das haben die verdammt gut versteckt. Sie haben im Endeffekt in dem neuen Bundesdatenschutzgesetz, was halt so Anpassungs- und Ausführungsbestimmungen hat, haben sie im Endeffekt ein Verweis in eine andere Norm gemacht und erst in der andere Norm steht dann halt drin, dass Gefährdung der Sicherheit und Ordnung wieder eine Ausnahme ist und Nachteile zum Wohle des Bundes und der Länder und das Allerwichtigste für die Behörden. Wenn ich überfordert bin bei Papierbergen, muss ich sachdienliche Angaben machen, wo meine Daten aufgefunden werden können. Also genau bei sowas. Wie gesagt, muss ich denen ein bisschen helfen, dass sie die Akte auch finden können. Ja, es gibt zwei spannende Projekte, die ich erwähnen möchte. Das Open Shufa, wo sie den Score versuchen im Endeffekt wiederher aufzuschlüsseln und zum Beispiel von Marc Schrems, das Nann of your Business, wie gesagt, mit einem Verein, wo im Endeffekt Strategie-Staatenschutzklagen erhoben werden. Also es sind zwei Projekte, die ich für absolut gelungen halte und jetzt die kleinen Benefits. Also ich habe eine Auskunft gestellt. Wie gesagt, ich nehme am besten den Bogen von der CT. Da sind quasi alle Gemeinheiten drin, was ich fragen kann. Diesen Bogen im Endeffekt ist grundsolide. Ich hol mir quasi noch irgendwie eine Datenbank, wo ich meine Unternehmen habe oder vergleiche das mit meinem Online-Passwort-Manager, dann habe ich ungefähr die Dienste, welche ich regelmäßig beauskunften möchte und könnte mir eventuell wahrscheinlich mit sehr wenig technischen Aufwand, dann sage ich jetzt mal automatisch einen E-Mail-Auskunftsgenerator im Endeffekt erstellen. Zum Teil gibt es die ja auch schon. Aber eventuell ist es auch charmanter, das für sich selber zu haben. Der Punkt ist, wenn mir Auskunft nicht gewährt worden ist, kann ich künftig im materiellen Scharnsersatz verlangen. Also ich greife halt einen Wert aus der Luft heraus und sage, weil ich keine Auskunft bekommen habe, konnte ich mein Recht auf informationelle Selbstbestimmung nicht ausüben. Und dafür würde ich gerne 600 Euro sehen. Und der zweite Punkt, beschweren Sie sich nicht nur bei der Aufsicht. Wenn es ein Unternehmen ist, was aus kommerziellen Interessen handelt und Daten rechtswidrig verarbeitet, ist das immer gleichzeitig auch eine Straftat und einfach ganzer Lob mit nicht nur Strafanzeige, sondern auch Strafantragstellen. Ich bin selbst betroffen, das ist das Wichtige. Strafanzeige, die kann versanden, Strafantragte habe ich deutlich mehr Rechte und auch Informationsrechte, die mir die Staatsanwaltschaft im Endeffekt dann zustehen muss. Einfach das mitnutzen. Und dann noch ein paar Tipps. Die juristischen Gebühren haben ein Stufensystem. Das heißt, wenn ich nur einen Cent drüber komme, wird es plötzlich sehr viel teurer. Das heißt, wenn Sie mal ein Verfahren machen, also der einfachste Weg zum Titel zu geben, da gibt es, das kann ich im Endeffekt online selber machen, ebenfalls mit dem neuen Personalausweis. Das kostet mich bis 1000 Euro, nur 32 Euro. Das ist alles, was mich kostet. Wenn ich unter 5000 Euro, also bis 5000 Euro bleibe, kann ich vom Amtsgericht in Deutschland klagen und ich bräuchte keinen Anwalt. Ob das jetzt sinnvoll ist, steht auf dem anderen Blatt, aber bei entsprechender Kenntnis aus dem Gebiet ist das so ein Punkt. Also gerade im Amtsgericht gehen Verfahren bei solchen Sachen unter umschänden Ratsfahrts. Also das ist quasi, wenn ich mich auskenne, ist eine Option oder in Unterstützung mit dem Nano4Business im Endeffekt, wo ich mich rechtlich im Endeffekt den Rat dazu habe, dann ist es eine Option. Ich habe noch eine Möglichkeit, was ich machen könnte, wenn ich nur 600 Euro einfordere, dann bin ich nur beim Amtsgericht, es gibt keine Berufung. Also das kann strategisch eventuell geschickt sein, einfach nur 600 Euro einzufordern, weil dann kann die andere Seite das quasi nur in der ersten Instanz verhindern. Und den Hinweis, wenn ich sage, ich möchte eh einen Anwalt haben, dann bin ich beim Landgericht und ob ich 5.000 Euro möchte oder 6.000 Euro möchte, ist gebührenmäßig egal. Also wenn ich mir das überlege, dann wähle ich halt gleich 6.000 Euro. Und wenn ich auch noch zum Bundesgerichtshof kommen möchte, dann wähle ich eine Gebührer von 20.000 Euro in ein Euro bis 22.000 Euro, das ist auch wieder der gleiche Gebührensatz. Der Anwalt kostet mich in diesem Rahmen immer das Gleiche und das Gericht kostet nicht das Gleiche, solange der Anwalt natürlich keinen Stundensatz nimmt. Ja, genau, aber quasi die kompletten Kosten im Endeffekt, also ich würde 22.000 Euro einfordern, dann und ich bekomme quasi das Gericht sagt mir nur die Hälfte, habe ich zu 50 Prozent verloren, muss ich 50 Prozent der Kosten, also der Rechtsanwaltkosten der Gegenseite tragen und 50 Prozent der Gerichtskosten. Diese Kosten sind aber immer gleich, ob das 21.000 oder 22.000 Euro sind, weil ich Stufensprünge habe und das heißt, wenn ich diese Stufen ausnütze, innerhalb dieser Stufe habe ich immer die gleichen Gerichtskosten und immer die gleichen Anwaltkosten. Das ist richtig, ja, gut. Also was ist mein Fazit? Die Auskunftsrechte sind gestärkt und die Auskunft sollte ich nutzen, um eine weiteren Rechte dann gelten zu machen. Also gerade den Punkt quasi löschen von weitergehenden Datenübermittlungen und ähnliches. Und wie ich es schon dargestellt, ich kann das entweder für mich als Betroffenen positiv sehen und sagen, wer Sauerei mit meinen Daten betreibt, der muss auch künftig zahlen und nicht nur Daten löschen. Und ich hätte da mal ein Beispiel. Die Parteien müssen die Daten, die sie für den Wahlkampf bekommen, 30 Tage nach der Wahl löschen und das stellt, die Parteien würden einen Cloud-Ambienter einsetzen und sage ich, danke. In diesem Sinne wäre jetzt noch Zeit für Fragen. Folien, wie gesagt, werden entweder auf der Webseite oder ebenfalls auch bei dem Vortrag noch mit verlinkt. Und vielen Dank. Also die Frage war, ob die FDP eine besonders geeignete Partei sei dafür. Also im Endeffekt jede Partei, die für den Wahlkampf Cloud-Dienste-Anbieter einsetzt, wo ich im Endeffekt schon in den AGBs lesen kann, die Daten werden erst 90 Tage später gelöscht. Die würden theoretisch genau in sowas hineinfallen. Und muss sich dann direkt davon betroffen sein? Oder kann ich einfach so, weil ich das nicht habe? Also, erste Schritt, Auskunftsgelten machen, dann müssen sie offenlegen, welche Dienstleister sie eingesetzt haben. Und dann nutze ich diese Information, wenn ich weiß, welche Dienstleister sie eingesetzt haben, sei es jetzt Microsoft, Google oder ähnliche oder Facebook. Dann weiß ich entsprechend, dass sie im Endeffekt diese Löschfrist nicht einhalten können. Und dementsprechend habe ich einen äußerst einfach nachweisbaren Datenschutzverstoß. Weitere Fragen? Gefunden, die Hackerspaces auf ihre Humpage setzen können. Also du hast ja gesagt, jetzt muss man auch die Nutzerrechte irgendwie da reinschreiben. Ich glaube bei den meisten Hackerspaces ist das bis und nicht der Fall. Gibt es da irgendwie brauchbare Texte für? Also es gibt von einigen Anbietern inzwischen, sage ich, werden die beworben damit, dass sie Datenschutzgrundverordnung konforme Generatoren haben. Mich persönlich hat noch keiner überzeugt. Es gibt primär für den Behördenbereich geschrieben ein Muster vom Bayerischen Innenministerium, Arbeitshilfen zum Datenschutz. Und dort ist das Muster oder diese Musterinformation aus meiner Sicht mehr oder minder vollkommen dargestellt. Ich habe immer noch ein bisschen Arbeit und die Herausforderung ist insbesondere, wenn ich sage, jetzt Drittdienste mit eingebunden habe, dann ist es durchaus herausfordernd. Aber aus meiner Sicht ist das eine sehr solide Orientierung. Und einen Anbieter gibt es auch noch Softwareanbieter Esri. Esri Deutschland, diese Erlassung hat auch schon sehr, sehr solide Datenschutzinformationen. Den Link werde ich auch Watz noch mal zur Verfügung stellen.