 Gewerkschaften in Kampf gegen Facebook, Google und Co. Wir haben drei Speaker, einer kommt gleich noch dazu. Ihr kennt das Deutsche Bahn und so. Gleich haben wir wahrscheinlich noch eine kurze Gelegenheit, eine Frage und Antwort Runde zu machen. Ich denke mal, ihr habt Zeit eingeplant. Alles klar, danke, dass ihr da seid und die Bühne gehört euch. Moment. Hier vorne. Wir wollen heute über Datengewerkschaften reden. Was ist das? Was könnte das sein, wozu kann das helfen? Unsere vierte Speakerin, die kommt jetzt gleich und wird uns vorstellen und den Intro machen. Kathrin Kirchert ist Rechtsanwältin. Kathrin Kirchert ist Rechtsanwältin und spezialisiert im Datenschutz. Dann haben wir Eva Stöve. Eva Stöve ist Software-Entwicklerin, ebenfalls spezialisiert im Datenschutz. Und sie ist auch Juristin. Und Andreas Diehl, ebenfalls Software-Entwickler und auch spezialisiert im Datenschutz. Kinder, danke. Und wenn man sich ja nicht selber vorstellen soll, das ist der Jörn Erbkut. Der hat auch, genau wie Eva, diesen Double Background in IT, Tech und eben auch Jura. Also quasi kein Country und Western. Genau wie Eva. Ja, sorry, ich will vor spät kommen. Das ist mal wieder das klassische, oh Gott, ganz viele Nerds in der Straßenbahn. Man muss sich raus drängeln, aber ja, just on time. Ich glaube, wir stehen ein ganz kleines bisschen im Bild, Jörn. Ich würde sagen, du komm mal ein bisschen hier rüber. Nee, du kannst weiterklicken. Ich kipp dich einfach an. Ja, haben wir, dann Punkt eins. Betroffene haben Rechte, genau. Also damit wir euch hier nicht völlig überfahren und direkt sozusagen in die vollen springen, haben wir gedacht, wir machen eine kleine Einführung, drei Folien. Ihr seht, das ist auch eher hier so ein bisschen knappgehalten, damit ihr jetzt hier nicht irgendwie betreut das lesen habt. Also, Betroffene haben Rechte. Ganz einfach, diese Datenschutzrechte, das leitet sich letztendlich aus dem Grundrecht auf informationelle Selbstbestimmung ab. Und die Rechte sind im Prinzip so was, wie ihr müsst informiert werden. Was heißt ihr? Wir müssen informiert werden. Wir haben das Recht auf Auskunft. Wir haben das Recht, unsere Daten unter bestimmten Voraussetzungen löschen zu lassen und so weiter und so fort. Worauf es jetzt hier in dem Talk ankommt, sind im Prinzip zwei elementare Rechte, nämlich das Recht auf Information, das ist Artikel 13 und 14, der Datenschutzgrundverordnung, kurz auch DSGVO. Und das Recht auf Auskunft, da wird dann nachher der Andreas noch relativ viel zu sagen, das ist Artikel 15. So, machen wir weiter. Datenverarbeiterinnen haben Pflichten. Überraschung, es ist natürlich nicht nur so, dass wir irgendwas fordern dürfen, sondern die müssen auch was machen. Unser Recht auf Information ist letztendlich eine Informationspflicht für die Datenverarbeiterinnen. Das heißt, sie müssen uns unaufgefordert, wann immer sie unsere Daten verarbeiten, schon mal eine Mitteilung machen. Das heißt, wir haben also eigentlich einen Anspruch, den wir noch nicht mal großartig exerzieren müssen, sondern das ist quasi von den Anbieterinnen eine Bringschuld, um es mal justisch darzustellen. Eine der weiteren Pflichten für die Datenverarbeiterinnen ist, dass unsere Daten eben nur auf Basis einer gesetzlichen oder wie auch immer geatteten Grundlage verarbeitet werden dürfen. Das heißt, entweder steht im Gesetz, wir müssen es machen. Oder wir haben einen Vertrag mit den Leuten. Oder es gibt die viel berühmte Einwilligung. Oder es gibt ein berechtigtes Interesse der Datenverarbeiterin oder des Datenverarbeites. Hier in dem Vortrag kommt es relativ doll auf die Geschichte der Einwilligung an. Das stand ja in der Ankündigung auch schon. Und eben auf die Sache mit dem berechtigten Interesse. Im Prinzip ist das, sind das die Schlagworte opt in und opt out. Die Einwilligung ist quasi opt in. Da wird quasi erst gefragt und dann geschossen. Und das berechtigte Interesse, da muss man so eine Interessenabwägung machen. Das ist halt opt out. Da wird eben erst geschossen und dann gefragt. Und man muss nicht zwingend immer für alles eine Einwilligung haben. Diese Einwilligungsflut ist halt auch ein ganz großes Problem, weil die Leute natürlich einfach total überfordert sind und diese 5.000-seitigen Dokumente nicht mehr lesen. Apropos 5.000-seitige Dokumente, Datenschutz-Hinweise und Cookie-Banner. Das sind natürlich auch Dinge, um die es hier in diesem Vortrag ein bisschen gehen wird. Ob man das jetzt Datenschutz-Hinweise, Datenschutz-Erklärung, Transparenz-Erklärung oder whatever nennt, ist letztendlich egal. Der Punkt ist nur, ist wie AGB, es liest keiner. Im Zweifelsfall klickt man irgendwie, ja, hab gelesen. Wenn da steht, ja, ich stimme zu, zucke ich als Juristin immer zusammen, weil es sind halt keine AGBs in Information. Da muss man nirgendwo zustimmen, aber gut, sei es drum. Cookie-Banner sind relativ interessant, weil man ja, wenn man auf eine Webseite geht, wo irgendwelche Tracking-Geschichten stattfinden, sollte nicht getrackt werden, bevor man nicht explizit eingewilligt hat. Ja, die Technik unter euch werden wissen, dass das im Zweifelsfall schon passiert, bevor man überhaupt fertig gelesen hat, dieses Cookie-Ding-Sie. Wir werden darauf später noch kommen und wir werden auch darauf kommen, was für Probleme dahinter stecken. Ich glaube, jetzt ist dran wer. Die Eva. Genau, ich mach weiter. Der Start des Quodos ist relativ schnell zumindest aus unserer Sicht als Benutzer so ein bisschen was kurz erzählt. Wie gerade die Katrin schon gesagt hat, haben wir diese tollen, großen Banner-Texte sonst irgendwas und wir werden überflutet mit irgendwelchen Dingen. Selbst wenn ich in meine U-Bahn einsteige, bekomme ich irgendwelche großen Texte zu lesen an der Tür. Achtung, hier wird Kamera überwacht und keine Ahnung. Ich müsste mit einer Lupe da stehen und fünf Minuten lesen und die Bahn ist dann schnell weggefahren. Das haben wir beim Netz genauso. Eigentlich gerade nur irgendwas nachschauen und dann kommt halt dieser riesengroße Stapel an irgendwelchen Dingen, die meistens auch sehr klein gedruckt und sehr schwer zu lesen sind und meistens auch noch in der Sprache, die nicht so sonderlich gut formuliert ist und dann bekommen halt diese tollen Cookie-Walls, die dann teilweise sehr klein sind und sehr wenig Informationen enthalten oder teilweise die Risikostrollbars sind mit tausend Dingen, die man anklicken oder nicht anklicken oder doch anklicken und man hat keine Ahnung, was das ist. Wenn man jetzt nicht gerade in Techie ist, der Ahnung hat, was genau diese Fachwörter bedeuten. Der normale User kann dann mit normalerweise relativ wenig anfangen und es schaut sich auch keiner an und die meisten verstehen auch gar nicht, was dahinter steckt. Sowohl legal als auch technisch als auch überhaupt was richtig Datenschutzrechte sind, also was wir damit eigentlich erreichen wollen. Das ist ja eigentlich schon ein sinnvolles Konzept, aber ja. Außerdem werden diese Texte uns einfach einseitig vorgegeben. Also wir als User stehen auf der einen Seite und dann die großen Seitenanbieter, Google, wer auch immer, steht auf der anderen Seite, die stellen uns diese Dinge hin und sagen halt, okay, hier ist unser großes Ding. Irgendwo klickt mal rein, dass ihr damit einverstanden seid, dann könnt ihr unsere Sachen machen oder halt nicht und ja, das ist eigentlich nicht so das, was ich will, weil ich will, okay, Google macht jetzt gerade ein bisschen Werbung von, wir machen Datenschutzeinstellungen und Privacy und wir können da was einstellen und macht das doch und toll und wir sind super. Ja, aber generell die Wahlmöglichkeiten, die wir haben, sind sehr eingeschränkt und wir sind einfach diesen großen Seitenanbietern ausgeliefert, wenn wir deren Services nutzen wollen. Im Prinzip werden unsere Daten ja dann wirklich auch als Bezahlung genommen für das Nutzen dieser Websites, wenn man mal wirklich ehrlich ist. Auf der anderen Seite gibt es aber auch die ganzen kleinen Anbieter oder Websitebetreiber oder Handwerk oder sonst irgendwas, die mittlerweile im Internet sein müssen, sein sollen, weil sie ansonsten nicht mehr zurechtkommen. Also wer nicht im Internet ist, der geht unter heutzutage und dazu muss ich irgendwelche Dinge machen und im Zweifel muss ich Dinge anbieten, dafür auch Daten sammeln, ansonsten kann ich meine Produkte nicht mehr an den Mann bringen. Aber viele dieser Menschen, die das machen, haben einfach weder Ahnung von der wirklichen Technik, weil sie sind Handwerker oder keine Ahnung was, oder spezialisieren sich als irgendwelche Aktivisten für ABC oder einen Verein für keine Ahnung was, haben aber dann können nicht wirklich Websites bauen, ich meine, das wissen wir alle, weil wir werden an der Wand gefragt, ob wir irgendjemand eine Website bauen können oder sonst irgendetwas. Und auf der anderen Seite hat so gut wie keiner von den Leuten ein juristisches Wissen in irgendeiner Form. Also wir wissen nicht, was wir tun, wenn wir die Seiten machen, bzw. die meisten Betreiber, wir wissen nicht, welche Daten wir überhaupt erheben, wir wissen nicht, was wir mit den Daten tun, wer diese Daten anpasst oder ähnlich ist. Das heißt, wir konnten auch gar nicht dem Juristen dann sagen, was wir eigentlich tun, was eigentlich in unserer Datenschutzerklärung richtig drin ist. Das heißt, wir bekommen von dem Juristen so einen Text vielleicht und wir bekommen dann irgendwelche Blackboxen an Software und das packen wir irgendwie zusammen und pass das aufeinander, machen wir das richtig. Was ist eigentlich richtig? Wie geht das eigentlich? Was ist eine gute Praxis? Und wir bekommen ganz viel von irgendwelchen Amerikanern, die noch sehr viel weniger von der europäischen DSGVO oder sowas halt verstehen als wir. Das ist ganz viele Mythen, ganz viele Erzählungen, wie es machen muss, genau diese, was Katrin gerade meinte, mit dieser Paywall, oder nicht Paywall, Bannerwall, ein verständliches Fragen, Fragen, Fragen, Fragen. Das ist eigentlich gar nicht alles so nötig, aber alle glauben, dass das so wäre. Und wenn ich halt dieses eine, ja, ich stimme dem zu mache, bin ich safe? Nein, wahrscheinlich nicht. Aber als Seitenbetreiber will ich eigentlich damit gar nichts zu tun haben. Ich will eigentlich ein schönes Produkt machen. Ich will meinen Leuten nicht schaden. Ich will meine Kunden halt zufrieden haben. Aber ja, jeder könnte vielleicht hier irgendwie dann hinkommen und dann mich beklagen oder verklagen oder keine Ahnung was. Ich weiß es nicht. Das ist eine ziemliche Ohnmacht der kleinen Seitenbetreiber oder der kleinen Firmen. Und die eigene Seite, die eigene IT gerade zu sehen, ist halt eine ziemlich Monsteraufgabe. Und dann eben auch die Frage, okay, manche Sachen laufen per Einwilligung, aber habe ich dadurch, dass ich einfach so einen Button danach so eine riesengroße Datentutztache halt habe, habe ich dadurch eigentlich eine Einweiligung? Wie kriege ich die Einwilligung, wenn es so nicht geht? Gute Frage. So, der Jörner erzählt jetzt uns ein bisschen, was es da eigentlich so als Ideen gibt bis jetzt? Ja, es gibt einiges an Ideen, der es darum fleucht und immer wieder hoch popt. Und gleichzeitig ist es nicht unbedingt was Passendes. Also, was gibt es da zum Beispiel? Die Idee, wir könnten die Hürden für die Einwilligung anheben. Das heißt, noch mehr Pop-ups, noch mehr klicken, noch mehr einwilligen. Besser wird es dadurch nicht. Usability ist ja doch irgendwie auch wichtig. Dann kann man umgekehrt sagen, wir machen einfach Opt-Out-Modell. Das macht die Industrie ganz gerne. Und die sagt hier, wir brauchen gar nicht mehr einwilligen. Es ist einfach alles gut. Und wenn du nicht willst, dann kannst du dich durch die ganzen Optionen durchklicken. Datenschutzfreundlich ist das nicht. Zudem auch beim Opt-Out-Modell muss man informieren. Das heißt, auch das wird nicht unbedingt besser. Weitere Möglichkeit ist einfach zu sagen, wir willigen gar nicht mehr ein. Wir können gar nicht mehr einwilligen. Sondern wir schreiben einfach vor, was erlaubt ist und was nicht erlaubt ist. Auch das wird inzwischen häufig diskutiert. Bedeutet aber, dass wir entmündigt werden. Wir dürfen in bestimmte Sachen gar nicht mehr einwilligen. Ist also auch nicht wirklich gut. Was inzwischen größtenteils Attrakter gelegt worden ist, ist die Diskussion um das Dateneigentum. Die Idee, die hört sich ganz gut an, unsere Daten sollen uns gehören. Aber Dateneigentum ist so ein bisschen wie Sklaverei oder Leipeigenschaft. Nur, weil es Eigentum an Menschen gab, heißt es nicht, dass die Menschen damals freier waren, eher umgekehrt. Also von daher würde ich nicht sagen, dass Dateneigentum etwas helfen kann, weil Eigentum bedeutet, dass man es veräußern kann und nicht wiederrufen kann, diese Veräußerung. Und wir haben eben in der Datenschutzgrundverordnung die Möglichkeit, Einwilligungen zu wiederrufen, Verarbeitungen zu widersprechen. Das ist also deutlich besser als das Konzept des Dateneigentums. Neu in der Diskussion ist die Datensouveränität, zumindest in Deutschland. Datensouveränität heißt im Endeffekt, der Staat soll Kontrolle haben. Bedeutet auch wiederum, wir werden entmündigt. Datensouveränität ist übrigens ein Konzept, was aus Entwicklungsländern stammt. Aus Afrika, aus Rwanda. Wo gesagt worden ist, wir wollen nicht, dass die internationalen Großkonzerne die Daten abgreifen, auch genetische Daten abgreifen, KI-Trainingsdaten abgreifen, sondern wollen sie im Land behalten. Es ist vielleicht typisch für ein digitales Entwicklungsland, dass wir uns jetzt auf solche Konzepte, die aus Entwicklungsländern kommen, stürzen. Auch eine Idee ist eine digitale Verwertungsgesellschaft, quasi eine VG-Daten. Die könnte dann auch gleichzeitig noch eine gewisse Bezahlung einkassieren. Wenn wir uns anschauen, wie gut es uns mit VG-Wort usw. geht, habe ich auch meine Zweifel, ob wir diesem Weg gehen sollten. Schließlich gibt es Ansätze, die ich interessant, aber auch bedenklich finde, hier beim Beispiel Washington Post, dass man sagt, wir bieten die Wahl an. Wir können sagen, hier, du kannst das Angebot ohne Werbung haben, ohne Tracking, volle Privatsphäre, wenn du bezahlst. Oder wir durchleuchten dich von hinten bis vorne und dafür kriegst du das Angebot kostenlos. Auf der einen Seite schöne Wahlfreiheit, auf der anderen Seite Datenschutz nur für Reiche. Ist also auch nicht so ganz super. Diese Geschichte, da steht jetzt zwei Washington Post, das Ganze gibt es für den Standard in Österreich auch. Da hat tatsächlich auch jemand genau dieselbe Überlegung gehabt, wie wir, hat geklagt, bzw. hat eine Einreichung bei der österreichischen Datenschutz-Aussicht gemacht. Die haben gesagt, bei denen war es im ersten Monat ein Euro, in weiteren Monaten sechs Euro. Ja, nee, das ist schon in Ordnung. Das ist dann jetzt auch keine Koppelung, keine Unzulässige. Und tatsächlich, wenn irgendwie diese US-Zeitschrift macht, finde ich das grenzwertig. Wenn das aber in der österreichischen Datenschutz-Aussicht sagt, dass es okay ist, habe ich da echte Bauchschmerzen. Andreas, du machst weiter. Genau. Kommen wir zu den sinnvolleren Ansätzen. Wichtig wäre schon mal eine konsequentere Durchsetzung der Regeln. Heißt, jeder, der mal eine Anfrage gestellt hat, weiß, in den Firmen wird das nicht richtig implementiert. Die kommen so hoch. Eine Anfrage, was machen wir denn jetzt? Und es wird auch nicht sinnvoll durchgesetzt von den Datenschutzaufsichtsbehörden, die ja personell auch nicht so super ausgestattet sind. Das heißt, die konzentrieren sich auch eher mal auf die Eisbergspitze. Eine Möglichkeit wäre auch, das Auskunftsverfahren zu stärken. Nach Artikel 15 kann jeder Auskunft verlangen und ein Datenkopie verlangen. Ich habe mit einer Kollegin in einer Studie 100 Anfragen selber gemacht und auch ausgewertet. Und kann im Prinzip erzählen, die Antworten, die da kommen, sind sehr durchwachsen. Wir haben in etwa 45% positiv. Das heißt, die wurden korrekt beantwortet. Wobei ich sagen muss, wir waren sehr großzügig bei der Auslegung von Korrekt. Wir haben hier die Fristen auch mal nicht beachtet. Wir haben da auch mal zwei, drei Monate gegeben, statt dem einen Monat. 12% haben einfach gesagt, wir antworten gar nicht, auch nicht nach zwei, drei Monaten. Die mussten wir noch mal freundlich erinnern bzw. drohen. Und 43% haben eben auch falsch geantwortet. Das heißt, die haben vielleicht nur ein paar Screenshots geschickt. Screenshots ist keine Kopie meiner Daten. Die haben vielleicht einfach nicht alle Daten geschickt. Jeder von uns weiß, dass eine Datenkopie eben auch IDs einer Datenbank enthält und nicht nur Screenshots oder PDFs. Und ja, zu den Problemen, die mir sonst noch so darunter gekommen sind, es wird willkürlich nach einer Ausweiskopie gefragt, was ich für sehr bedenklich halte, Identitätsdiebstahl und Co. Die Daten sind unvollständig, wie schon erwähnt, oder wir haben keine Daten über dich, obwohl ganz klar ist, dass Daten vorhanden sind. Manche haben auch einfach gesagt, wir geben die Daten nicht heraus, denn das sind Firmengeheimnisse oder hast du schon gekriegt, haben wir die mit den Kontrauszügen geschickt oder Ähnliches. Und manche haben auch einfach auf einen anderen verantwortlichen verwiesen und haben gesagt, bei uns an der Kasse bezahlst du ja nur, unser Zahlungsdienstleister ist Firma XY, frag doch da mal nach. Jetzt versuche ich gerade weiter zu klicken. Dann drückt doch einfach mal jemand hier auf weiter. Genau, ich nehme mal einen Fall exemplarisch als Beispiel. Ich habe bei meiner Bank angefragt, habe gesagt, gib mir mal eure Daten, habe eine Auskunft gestellt, 2018, habe eine Antwort bekommen. Das ist eine Auskunft. Das ist eine Auskunft. Das ist eine Auskunft. Das ist eine Auskunft. Das ist eine Auskunft. Das ist eine Auskunft. Das war in der Welt 2018, habe eine Antwort bekommen. Das waren neun Seiten, mit der war ich nicht so zufrieden. Stichwort Screenshots. Dann habe ich eine Aufsichtsbeschwerde eingereicht. Ein bisschen später, weil es ist wirklich sehr umfangreich, das Verfahren, dass man sich darum kümmert. Ich habe dann eine Antwort von der Aufsichtsbehörde gekriegt. Ich habe dann im Prinzip plötzlich 76 Seiten von der Bank bekommen. Was deutlich mehr ist als neuen Daten. In der ersten Auskunft haben sie nicht einfach angelogen und gesagt, haben wir nicht so. Hier im Bild sieht man auch relativ gut, ich mache immer ein Eingangsstempel drauf und eine eindeutige Nummer, weil es ist unglaublich wichtig, dass man hier den Überblick behält. Ein weiterer sinnvoller Ansatz wäre die Datenschutzampel. Wenn man sagt, es ist in dieser Verantwortlichen im grünen Bereich oder eher im gelben Bereich oder im roten Bereich, kann ich dem vertrauen. Wir können beurteilen, gibt der Daten weiter, hält er den Datenminimalismus ein. Das sind im Übrigen auch Dinge, die wir uns bei unserer Studie gefragt haben, wie beurteilen wir die 100 Antworten der Anfragen, die wir bekommen haben. Das ist eben auch eine Leistung, die uns helfen würde. Wenn wir sehen würden, Datenschutzampel, da können wir unbedenklich unsere Daten geben. Ja gut, der andere Frage ist, warum müssen wir da eigentlich alle immer manuell klicken? Wenn wir eine Kategorisierung der Datenschutzerklärung haben, wenn wir die Information strukturiert haben, dann können wir Agenten haben, die quasi diese Information verarbeiten und dem wir sagen können, nach welchen Kriterien sie automatisch zustimmen sollen. Warum muss ich das immer wieder machen? Aber mit Agenten meinst du jetzt keine Leute mit Trenchcode und Hoots, sondern du meinst schon eine kleine Programme. Software-Genten. Software-Genten, die dann auch als Plug-in im Browser laufen. Es gibt sowas bereits, das W3C hat sowas definiert, im Sinne von Do Not Track, dass ich angeben kann, ich will oder ich will nicht. Das heißt, wenn ich sage Do Not Track, dann kann ich mich eigentlich erst gar nicht fragen. Es wird größtenteils ignoriert. Auch es wird von der Rechtsspüchel ignoriert. Es wird von den Datenschutzbeauftragten größtenteils ignoriert. Da könnte man sehr viel mehr machen und das bietet einfach eine höhere Usability, wenn ich bestimmte Sachen delegiere. Der Computer ist dazu da, dass er Sachen automatisiert macht und ich soll doch nicht der Click-Roboter sein, das soll bitte mein Computer sein und nicht ich. Aber die Möglichkeit ist, sind Consent-Management-Systeme. Das Problem ist, ich klicke, ja, ich akzeptiere das und ich weiß es nicht mehr. Wissen Sie, wo Sie überall auf akzeptieren geklickt haben? Wissen Sie das? Den Überblick hat man nicht und dann weiß ich nicht mehr, wo stehen denn überhaupt meine Daten verarbeitet? Das heißt, ich brauche so eine Art Cockpit, wo ich sehen kann, wo werden meine Daten verarbeitet? Und dann kann ich gezielt sagen, da und da und da will ich widersprechen. Allerdings bitte nicht zentralisiert, weil diese Sammlung dieser Daten ist natürlich ein großes Datenschutzrisiko, wenn irgendein Anbieter das zentral sammeln würde. Das heißt, dezentralisiert, lokal auf meinem Rechner oder fragmentiert dezentralisiert, man kann da sicherlich einiges an Blocksteintechnologie, Kriptografie und so weiter an Privacy Enhancing Technology verwenden, dass das eben sichergestellt wird, dass niemand anders diese Sammlung auch bekommen kann. Ja, genau, wo wir bei automatisiert sind. Ach ja, genau, wir tauschen wieder, Bäumchen wechselt sich. Kommt das Stichwort Legal Tag für die Leute, die nicht mit Jura vertraut sind, Legal Tag bedeutet eigentlich nichts weiter, als dass man Ansprüche, die man hat, dem Gesetz nach oder einem Vertrag nach automatisiert letztendlich einfordert. Allerbestes Beispiel, was wahrscheinlich die meisten unter euch kennen, sind Unternehmen wie FlightRide, wo man also einfach nur einträgt, mein Flug hatte dann und dann Verspätung, das war die Flugnummer, von da bin ich geflogen und dann funktioniert der Rest mehr oder weniger automatisiert. Das Gute dabei ist, dass es halt relativ einfach ist für die Leute, zu ihrem Recht zu kommen, all die, weil nicht alle Menschen sich ein Anwalt oder eine Anwältin leisten können und selbst mit Rechtsschutzversicherung ist das bei kleineren Streitwerten wie eben 250 Euro. Also natürlich ist das viel Geld, aber wenn man da jetzt eine Rechtsschutzversicherung mit involviert, die Fluglinie, den Anwalt oder die Anwältin, dann gegebenenfalls noch ein Amtsgericht, da hat man am Ende so ein Riesenzeitauffand und da ist natürlich es schön, wenn man einfach in Formular 3 Sachen eintragen kann, klicken kann und im schlimmsten Fall passiert exakt nichts. Man kriegt nichts, weil es vielleicht doch höhere Gewalt war und im besten Fall kriegt man halt Geld abzüglich der Provision dieser Anbieter. Und letztendlich könnte man genau die gleiche Variante eben auch zum Beispiel diesen Auskunftsverfahren machen. Daran arbeitet Andreas auch gerade, ich weiß auch von 2-3 anderen Leuten, dass sie daran arbeiten, dass man einfach automatisiert schreiben, erstellen kann, dieser automatisiert an verschiedene Unternehmen verschickt und es ist mittlerweile, weil Jörn auch schon sagte, wissen wir denn überhaupt, wo wir zugestimmt haben, wer unsere Daten hat? Nein, wissen wir nicht. Also gibt es quasi so eine Liste der üblichen Verdächtigen und die schreiben werden einfach so rausgeschickt nach dem Motto habt ihr Daten, weil Artikel 15 ist nämlich netterweise 2 geteilt. Die erste Frage ist, habt ihr Daten über mich? Ja oder Nein? Müssen Sie beantworten? If yes, welchen? Und das ist natürlich super, das heißt, ich kann also auch ein Unternehmen von den ich nicht genau weiß, ob sie Daten von mir haben, was schicken. Und nicht alle Unternehmen, die Daten von mir haben, waren mit mir persönlich in Kontakt. Das ist nämlich genau das Problem, es finden so viele Datenweitergaben statt. Dass man selbst, wenn man sich vielleicht akribisch aufgeschrieben hat, in der Excel-Tabelle oder auf ein Stück Papier, wenn man was gegeben hat, man hätte alle Datenschutzienweise noch lesen müssen, um zu sehen, an welche dritten Unternehmen diese Daten weitergegeben werden. Wenn es überhaupt drin steht. Wenn es überhaupt drin steht. Dass nur allgemein drin lebt, wir machen halt irgendwas. Wir geben das an Kooperationspartner weiter oder an Unternehmen der Holding. Also ist es wirklich sehr, sehr seltsam. Datengewerkschaft. So, jetzt kommen wir endlich mal nach, wie viele Minuten? Ja, 24, 25 Minuten. Kommen wir zu dem Punkt, der eigentlich hier auf der Agenda steht. Eine Datengewerkschaft. Ja, also eine Gewerkschaft, was eine Gewerkschaft ist, wissen hoffentlich alle. Wir kennen das aus dem Arbeitsrecht. Früher, als die Leute noch 12 Stunden am Tag im Bergbauschacht arbeiten mussten, ihr kennt das. Also die Bedingungen waren nicht so toll. Irgendwann haben die Leute gesagt, wir schließen uns zusammen, wir sind zusammen, sind wir stark. Und das Ganze hat unfassbar gut. Also auf jeden Fall auch in Deutschland gut funktioniert im arbeitsrechtlichen Bereich. Heutzutage sitzen die großen Gewerkschaften an einem Tisch mit den wirklich großen Konzernen, den großen Unternehmen und handeln dort Bedingungen aus. Oder manchmal eben auch nicht. Und dann gibt es halt möglicherweise auch einen Streit, wie jetzt gerade wieder bei verschiedenen Fluggesellschaften. Und das Gute bei einer Datengewerkschaft ist halt, es geht nicht darum, ob man irgendetwas ist, ob man Arbeitnehmer oder Arbeitnehmerin ist, sondern wir haben alle Daten. Und es gibt von unseren Daten überall Leute, die sie verarbeiten. Das heißt, mehr oder weniger erfüllt eigentlich jede Person hier in diesem Saal und überhaupt auf dem Kongress die Zugangsvoraussetzung für diese Datengewerkschaft. Wobei die gibt es nicht. Die Dinger sind freiwillig. Ich kann beitreten, ich kann nicht beitreten. Es gibt auch schon eine, nämlich in den Niederlanden, in den Niederlandischen EU-Abgeordneten. Das hat ja in 2018 gemacht, also vor 1,5 Jahren ungefähr. Und wenn man sich dort auf diese Seite begibt, ist das noch ein bisschen spartanisch, sag ich mal, alles. Aber es ist freiwillig, es ist kostenfrei, man kann sich dort eintragen. Richtet sich teilweise schon auch eher sprachlich so an niederländisch begabte Menschen. Die Sprache ist so halb englisch, halb niederländisch. Aber es geht halt in die richtige Richtung. Es geht einfach dahin, dass man sich zusammenschließt. Dass wir uns zusammenschließen und dass wir sagen, okay, wenn wir eine oder zwei Personen sind, ist das schwierig, gegenüber beispielsweise Google. Die machen Milliarden Umsätze und die interessiert das halt einfach nicht, was ich als einzelne Person will. Aber wenn wir eben nicht nur 10 oder 100, sondern vielleicht 100.000 Leute sind und dann diese Datengewerkschaft für uns spricht und zum einen unsere Daten vernünftig verarbeitet sehen will und dafür Garantien von Google, Facebook und Co. auf den Tisch gelegt haben möchte und zum anderen aber eben auch die unfassbaren Gewinne, die Google damit einstreicht, dass wir vielleicht auch daran beteiligt werden. Das sind letztendlich die zwei Stoßrichtungen, in die so eine Datengewerkschaft gehen kann. Hab ich irgendwas vergessen? Nee, dann ist jetzt nichts. Genau, ich bin dran. Wir wollten wissen, was wieder zu den Zielen, zu denen warum wir das Ganze machen oder was wollen wir damit erreichen. Am Anfang hatten wir schon gesagt, dass es halt gute Anbieter und schlechte Anbieter gibt und wir wollen halt die guten Stärken, wenn sie halt vernünftig mit Daten umgehen wollen, nicht so schrecklich viel Zeugs machen müssen, um halt einfache Sachen machen zu können und auch sicher sein können, dass sie halt genau das auch, was sie tun, nicht angreifbar ist oder möglichst wenig angreifbar ist. Während andererseits wir es halt denen, die unsere Daten klauen wollen, die es gegen uns anwille, die wir machen wollen, die sie halt, ja, wird verhandeln wollen, weitergeben, verteilen, sonst irgendwas, die nicht auf unser Einverständnis hören wollen, für die wollen wir es schwieriger machen. Wir wollen halt dafür sorgen, dass sie halt sehr schwer noch dazu kommen, ohne unsere Einwilligung irgendwas machen zu können. Und ansonsten, wenn sie es tun, dass sie dann da vielleicht entdeckt werden oder verfolgt werden können von uns, ohne dass jeder von uns aktiv werden muss, diese Ohnmacht halt so ein bisschen was entfernen sozusagen. Genau, dadurch wollen wir halt unsere eigene Selbstständigkeit, sie von jedem einzelnen Gegenüber diesen riesengroßen Konzernen stärken, weil alleine sind wir halt, wie sagt, klein und wir wollen halt unseren eigenen Menschen halt uns selbst, uns allen Usern sehr viel mehr Gewicht geben, sodass wir genau dieses Balance bekommen, was wir halt in der Gewerkschaft halt dann irgendwie haben mit den Arbeitgebern in den großen Konzernen. Und ja, weil es geht ja um unsere Daten und das ist der Wert, der hier um zur Verfügung steht und nicht das, was die großen Konzerne dann halt nachher dann machen, das ist dann das, was daraus kommt. Und ja, wir sind aber kein Produkt. Genau, und dadurch insgesamt wollen wir das, was die Gewerkschaft im Arbeitsrecht geschafft hat, eben hier jetzt auch schaffen, das Datentutzniveau insgesamt anheben, ohne dass es dann uns in der Usability dann großartig stört. Das ist, glaube ich, der nächste Punkt. Genau, dass wir halt die Usability verbessern wollen, dass wir halt nicht diese Clicks-Clicks irgendwie haben, sondern dass wir halt relativ einfach, relativ smooth da durchgehen können. Und vielleicht einmal am Anfang halt uns überlegen können, was wollen wir generell, vielleicht was wollen wir was für die eine Art Seiten oder für die eine Kategorie irgendwie eins, bei dem nächsten, wenn wir zwei, bei dem nächsten drei haben, oder sowas. Und das geben wir einmal ein und dann können wir schön surfen und sind sicher, dass wir überall nur dann die Einverständnis geben, wie wir es halt haben wollen. Wenn wir es uns einmal überlegt haben, einmal zurückgesetzt haben und nicht andauernd irgendwie nur verbombt werden, wenn wir eigentlich was ganz anderes wollen. Genau, und dadurch wollen wir halt auch, wenn wir sowas wieder wie die Legal Tech einbauen, die Durchsetzung unserer Rechte halt verstärken, dass wir halt einfacher an unsere Sachen kommen, dass wir halt aber auch unsere Rechte durchgesetzt bekommen und dass, wenn halt wann was schief gelaufen ist, halt wir auch vielleicht den Schadensersatz bekommen, dass wir all diese Sachen halt ohne viel Zerbel halt bekommen können. Andererseits auf der Seite der Anbieter, dass die halt auch wissen, ja okay, wenn ich das und das und das mache, also wenn ich halt dem Template folge, was ich vielleicht da bekomme oder sowas, dann bin ich mir relativ sicher, dass das auch okay ist und dass genau die Leute, die halt auf der anderen Seite in der Datengewerkschaft sind, wirklich auch genau damit einverstanden sind, dass das passiert, weil es ist mit denen ausgehandelt und die können dann mir nichts mehr groß war, weil das ist ja mit denen sozusagen ausgehandelt, weil ich habe einen Ansprechpartner gehabt von der Gewerkschaft und mit dem habe ich das durchgemacht und das gilt dann für alle, hoffentlich. Aber die sind dann halt da, genau wie halt die Arbeitnehmer, nicht mehr individuell irgendwas macht, die in der Gewerkschaft sind, die können dann ja auch alle dann halt sagen, okay, ja, das wollen wir und der Arbeitgeber ist ja auch sicher, dass das ausgehandelt ist mit allen. Genau, und das ist dann halt nicht der Ersatz für Aufsichtsbehörden, sondern mehr so eine Ergänzung, eine Stärkung von allen anderen. Zusätzlich gibt es immer noch die Aufsichtsbehörden, die können mal gut, die können mal schlecht sein, aber wir stellen das so ein bisschen als LCD daneben. Genau. Und jetzt sagt Laurens etwas und wissen, was mehr die Werkzeuge, die wir dafür haben. Wie kann das tatsächlich funktionieren? Also die Datenschutzrichtlinien, Datenschutzrichtlinien sind häufig nicht verständlich. Sie sind zu lang und niemand will sie durchlesen. Warum muss überhaupt jeder selber durchlesen? Das können wir doch delegieren. Die Datengewerkschaft kann das durchlesen, sie kann uns die Ampel geben, die kann das gegebenenfalls zertifizieren, die kann auch Datenschutzrichtlinien aushandeln, die kann sagen, also wenn du das so machst, dann bekommst du Grün. Wenn wir das als Grün zertifizieren, dann läuft es bei denjenigen Leuten, die das so eingestellt haben, automatisch durch und es kommt kein Pop-up mehr. Wenn das aber rot ist, dann kommt ein großes Pop-up, dann müssen die Leute das dreimal zustimmen und damit haben die Anbieterinnen automatisch einen Anreiz, das richtig zu machen. Aktuell haben sie keinen Anreiz. Aktuell muss man immer zustimmen, egal ob das jetzt eine total schlechte Polizei ist oder ob das eine ziemlich gute Polizei ist. Das heißt, dieses Aushandeln bedeutet, dass auch die Anbieterinnen einen Anreiz haben, das besser zu machen. Und damit kann eben auch ein Standard für einen vorbildlichen Datenschutz verhandelt und erarbeitet werden. Schließlich geht es darum, auch ein bisschen Technik anzubieten, diese konfigurierbare Datenschutzagenten, also ein Stück Software, ein Stück Browserplak in, was man sich installieren kann, was dann eben diese Arbeit, diese lästige Klickarbeit für die Cookie-Banner, Cookie-Walls abnimmt. Und eben auch ein dezentrales Konzentmanagement-System, bei dem ich sehen kann, wo habe ich denn überhaupt alles zugestimmt und wo ich dann auch direkt Aktion ergreifen kann und sagen kann, hier habe ich zugestimmt, aber mir gefällt das nicht mehr. Ich will jetzt das ändern oder ich will jetzt bei 50 Anbietern gleichzeitig eine Auskunft beantragen und alles eben auf Knopfdruck über einen entsprechenden Service. Und schließlich die rechtliche Geschichte, Verbandklage, Musterfeststellungsklage, wie wir das beim Diesel-Skandal sehen oder eben auch einfacher Schadensersatz über LegalTech, Werkzeuge, die eben auch die Rechtsdurchsetzung deutlich einfacher machen können. Wir haben zwei Punkte, die auch dazukommen können, wo man aber auch überlegen kann, wie weit das sinnvoll ist, die so ein bisschen weitergehen. Das eine ist die Aushandlung für finanzielle Kompensationstarife. Wird es besser, wenn Facebook uns 5 Euro pro Monat zahlt? Erst mal nicht. Trotzdem vielleicht, die 5 Euro sind vielleicht trotzdem nett. Wir müssen halt erstmal alle begreifen, dass unsere Daten ja nicht irgendwas Wertloses sind, also sucht euch ein Buzzword aus, das neue Gold, das neue Öl, das neue irgendwas, trifft alles nicht zu, weil sowohl Gold als auch Öl sind, endliche Ressourcen, Daten sind das das nicht, die kann ich ja unendlich gruppieren, unendlich generieren, aggregieren, sucht euch was aus, wie gesagt. Der Punkt ist halt nur, wenn ich, ich habe jetzt gerade heute Morgen noch eine Statistik gelesen, dass zum Beispiel Walmart von seinem Einkommen, von seinem Gewinn etwa 40% an die Mitarbeiterinnen und Mitarbeiter ausgibt, also im Form von Endgeld. So, und bei Google ist diese Quote 1%. Das heißt, die Gewinnmage, die Google hat, ist natürlich unfassbar groß, unfassbar größer als bei anderen Unternehmen. Und warum ist das so nah ganz einfach, weil die mit unseren Daten arbeiten? Und ich meine, wir würden hier alle, das war auch so ein Buzzword in dem Artikel, wir würden hier alle nicht umsonst irgendwie arbeiten, um sonst unsere Daten rausgeben. Und natürlich muss jetzt niemand von euch die Daten zwingenderweise verkaufen. Aber wenn es diese Option gibt, und man sagt, ich, ich selber werge jetzt ab, ob ich diese Daten irgendeinem Unternehmen zur Verfügung stellen möchte und ob ich dafür entsprechend entschädigt werde in Geld, monatlich, einmalig, müsste man wie gesagt aushandeln, ist das durchaus ein Geschäftsmodell und vielleicht begreifen dann auch Google, Facebook und die anderen großen Unternehmen, das ist tatsächlich, sie uns nicht einfach, ja, blöd gesagt, übers Ohr hauen können. So nach dem Motto, ja, macht mal, klickt mal auf ja und wir haben in unseren 20 Seiten AGB und Datenschutzhinweisen versteckt, was wir mit euren Daten alles Tolles machen und werden noch reicher. Und diese Machtschieflage, dieses Ungleichgewicht, könnte man über so was ausgleichen. Und dann schließt sich die Frage, eine Gewerkschaft, was macht die? Sie streikt, sie kann streiken, macht ein Daten... Das kann schon Streik aufrufen, also... Ja, natürlich. Also macht ein Datenstreik Sinn. Aktuell natürlich nicht, weil die Gewerkschaft, wenn sie jetzt gegründet würde, noch relativ klein ist, noch relativ wenig macht hat, aber wenn entsprechend viele Leute hinter sind, dann kann durchaus auch so ein Datenstreik Sinn machen und wirklich ein Faktor sein für eine Firma, dass sie sagt, nein, das riskiere ich lieber nicht. Wobei es natürlich auch einfach eine PR-Sache schon allein sein könnte, wenn eben eine Gruppe von Menschen halt da sagt, hier ist ein Problem und Ähnliches und dahinter steht und irgendwelche Aktivitäten dann halt macht oder eben keine Aktivitäten mehr macht oder Ähnliches. Genau, kommen wir zum eigentlich Wichtigsten auch. Wir wollen eine Datengewerkschaft. Und dazu brauchen wir euch, wir wissen noch nicht, wie es weitergeht, ob wir ein Forum machen und uns austauschen über die Erfahrungen, ob wir direkt eine Gewerkschaft gründen, ob wir einfach nur uns gegenseitig helfen, bei vielleicht Anfragen und Antworten an Google, Facebook und Co, vielleicht auch an kleinere Anbieter. Deswegen schreibt eine E-Mail an Mailingliste at datengewerkschaft.eu, wenn ihr mitmachen wollt, wenn ihr uns eine Website machen wollt, wenn ihr Leute kennt, die auch Datenschützer sind und mitmachen wollen. Wir brauchen euch, so wie jeder andere Gewerkschaft auch und ohne euch können wir da nicht weitermachen. Ja, vielen Dank. Und das ist das Stichwort, ohne euch geht es nicht. Deswegen wollen wir jetzt eine Q&A-Session noch anschließen und fragen ja, was denkt ihr dazu? Habt ihr Fragen dazu? Oder Ideen? Ja, erstmal vielen Dank für den interessanten Vortrag. Wir haben rechts und links wieder die Mikrofone offen. Stell es bitte davor und wir fangen direkt mit den rechten Mikrofonen an. Hallo, ich habe erst mal eine Frage zu etwas, was am Anfang kam, die Auskunft und die Ausweiskopie. Da ist ja so ein bisschen das Problem. Du willst ja die Daten auch nicht an Falschen rausgeben. Dazu kann ich sagen, ich habe meine Anfragen alle per Post geschickt. Ich habe sie per Einschreiben-Einwurf geschickt und ich habe sie unter meiner Anschrift, unter der ich auch bei dem Unternehmen registriert bin, gestellt. Die meisten Unternehmen hatten vorher keine Ausweiskopie von mir. Zum Beispiel Zahlungsdienstleister, der bei einer Supermarktkette die Zahlungen verarbeitet. Ich habe eine Kopie meiner EC-Karte geschickt und die haben gesagt, nein, wir hätten gerne eine Ausweiskopie und bei der Kasse wurde ich auch nicht gefragt, zeig mal deinen Ausweis bei einer Kartenzahlung. Insofern halte ich das für übertrieben. Juristisch betrachtet ist es halt so, dass die Daten nicht an die falsche Person rausgehen, sich natürlich absichern muss. Die Aufsichtsbehörden sagen in der Regel, man kann durchaus eine Ausweiskopie verlangen, allerdings mit den entsprechenden Daten aber auch geschwärzt. Sie müssen im Prinzip eigentlich nur wissen den Namen, vielleicht unter Umständesgeburtstatum, gegebenenfalls auch die Anschrift. Alles andere darf man selbstverständlich schwerzen und aus Datensicherheitsgründen würde ich sagen. Ich glaube auch nicht per Fax, weil wer weiß, wo in diesem Unternehmen dieses Fax steht und wo es dann rauskommt. Ich würde es im Zweifelsfall entweder per verschlüsselter E-Mail machen und wenn, wie in 95 Prozent der Fälle das Unternehmen so einen Zugang nicht anbietet, macht man es genau, wie Andi schon sagte, einfach per Post. Oder wenn das Unternehmen zuwilligerweise in derselben Stadt sein sollte, dann einfach im Briefkasten dort vor Ort reinhauen. Ich glaube auch, dass die Unternehmen ab Kopien von euren Personaldokumenten machen, sondern immer schön schwarz-weiß und Kopie draufreiben, damit klar und deutlich erkennbar ist, dass es jetzt keine versuchte Urkundenfälschung gibt. Stimmt, das darf man ja eigentlich auch gar nicht. Ja, ja, eben. Also insofern, aber wenn die Unternehmen von euch aber genügend Informationen haben, dann brauchen sie diese Kopien natürlich nicht. Wenn ihr euch da irgendwann mal mit Geburtstatum, nach dieser E-Mail-Adresse, mit den drei Angaben, die ihr gemacht habt, schreibt, ja, ne? Aber wie gesagt, und wenn ihr euch nicht sicher seid, einfach nochmal kurz nachfragen bei jemanden, der sich auskennt oder die sich auskennt und im Zweifel auch bei den Datenschutzaufsichtsbehörden für Anfragen von Bürgerinnen, Bürgern, Menschen aller Art. Es sind die natürlich auch zuständig und geben da auch durchaus Ausrüft. Ja, vielen Dank. Wir machen weiter mit dem linken Mikrofon. Ich finde, Idee, dass wir einen gerechten Anteil an die Gewinnen bekommen, wenn wir unsere Daten verkaufen. Allerdings liegt im Ganzen eine falsche Grundannahme an, nämlich die, dass Daten Ware sind, die man verkaufen kann. Mit den Daten geben wir unsere Privatsphäre aus der Hand. Privatsphäre ist ein Grundrecht und Grundrechte sind nicht verkaufbar, sind keine Ware. Wenn wir das nämlich weiterdenken würden, dann könnten wir uns auch in einer Sklaverei verkaufen und unsere gesamten Freiheitsrechte angeben. Das ist nur die konsequente Weiterführung des Gedankens, ich verkaufe meine Daten. Deswegen bitte ich euch, eure Energie nicht in sowas zu schicken, was im Endeffekt nur in einer Kommerzialisierung von Freiheitsrechten dient, sondern euch lieber für den Schutz der Privatsphäre einzusetzen. Wir hatten ja auch extra einen Fragezeichen an diese Sache gestellt. Es ist allerdings eine Sache, die man als Eventuelle optionen könnte. Ich finde, ich sehe so ein bisschen was, auch wenn es übertrieben aussieht, wie irgendwelche Leute in dritte Weltländer, die um irgendwas machen zu können, ihre Niere verkaufen oder sowas ernaht. Das ist jetzt sehr, sehr, sehr übertrieben. Genau das ist das Problem. Leute, die kein Geld haben müssen, ihre Freiheit, ihre Gesundheit verkaufen. Das wird mit dieser Idee verstärkt. Andererseits kann man trotzdem sagen, dass es punktuell oder für bestimmte Gruppen von Menschen oder ähnliches vielleicht doch wieder Sinn machen könnte, dass die Datengewerkschaften natürlich verschiedene Datengewerkschaften verschiedene Ansätze haben. Und es könnte ein Ansatz sein, von einer Datengewerkschaft zu sagen, okay, wir haben jetzt nicht die absoluten Ärmsten, die ausgenutzt werden und mehr Menschen, die halt sowieso ein bisschen was öffentlich unterwegs sind oder, oder, oder, den tut das dann nicht so weh. Und die entsprechende Gewerkschaft könnte dann eben ein bisschen was anders auftreten. Alternativ zu einer, die halt sagt, wir sind total restriktiv. Und wir haben ja vorhin explizit das Dateneigentum ausgeschlossen. Es gibt kein Eigentum an Daten. Da können andere Leute behaupten, was sie wollen. Das ist, da stimme ich dir völlig zu. Es geht nicht. Das, was wir hier mit Geld sozusagen veredeln wollen, ist die reine Nutzung unserer Daten. Und diese Nutzung ist, wenn sie auf einer Einwilligung beruht, selbstverständlich wiederruflich. Das heißt, es geht gar nicht darum, dass ich meine Daten verkaufen kann. Es geht nicht darum, dass ich meine Daten verkaufe, sondern maximal gebe ich Daten darlehnen und kriege dafür Zinsen. Aber es ist tatsächlich keine Aufgabe meiner Daten, keine endgültige, sondern nur eine zeitlich begrenzte Nutzungserlaubnis. So ein bisschen wie so eine Lizenz letztendlich. Die arbeiten ja auch, keine Sklaverei ist. Ja, richtig. Ja, vielen Dank. Wir haben noch weitere Fragen am rechten Mikrofon. Ja, ich würde gerne an der Stelle anknöpfen. Wie sieht das denn aus? Ich gebe ja nicht nur meine Datenpreis, wenn ich sage, ich gebe so ein Datendarlehnen, sondern zum Beispiel, wenn ich jetzt irgendwelche Gen-Daten über mich preisgebe, dann gebe ich meine ganze Familiepreis. Es gibt andere Bereiche, wo ich dann je nachdem Daten über mein Umfeldpreisgebe, wenn ich sage, ja, mein Nutzungsverhalten und so was, wie geht man mit solchen Sachen an der Stelle um? Weil es ist ja nicht so, dass ich allein meine Daten freigebe, sondern dass Daten meistens noch an mehreren Personen hängen oder an Bevölkerungsgruppen. Natürlich, das ist das Problem der Einwilligung. Ich kann in quasi Daten, die eben auf andere Personen betreffen, nicht so einfach einwilligen. Da brauche ich selber auch nochmal ein berechtigtes Interesse. Sprich, wenn ich eine Genanalyse mache, kann ich sagen, okay, ich gebe die dem Arzt frei, weil ich das aus Gesundheitsgründen brauche. Damit habe ich ein berechtigtes Interesse. Das ist okay. Aber wenn ich sage, ich verkaufe die für Forschungszwecke oder vielleicht sogar ich publiziere sie, dann habe ich ein Problem, weil ich damit eben auch die rechte Dritter beeinträchtige. Wobei jetzt gerade das, was du als Punkt angebracht hast, ja, häufig genau diese Verlinkung von Menschen halt häufig auch betrifft. Teilweise ist das jetzt nicht zum Gehen, aber teilweise gerade dadurch, dass ich halt durch eine automatisierte zentralisierte, aber gebündelte Gruppierung halt das mache, ist im Zweifel für diese Aktion, die dann individuell stattfindet, vielleicht gar nicht mehr so sehr stark der einzelne Benutzer dann noch identifizierbar, je nachdem, was jetzt das entsprechende Modell dahinter ist. Klar, wenn ich natürlich sage, ich möchte, wenn ich das Hause geschickt bekommen, wird natürlich meine Adresse da sein. Aber wenn ich nur auf einer Website drauf bin, kann es allein dadurch, dass ich halt dieses Browser-Pluck in mit der Gewerkschaft im Prinzip nur noch halt sehe auf der Anbieterseite, gar nicht mehr klar sein, wer ist denn da überhaupt noch individuell hinter, sondern es ist da durch eine große Gruppe, sodass es gar nicht mehr so individuell halt zu Erscheinung tritt, wer da jetzt genau ist. Also das ist so eine Phase-Easyung, je nachdem, wie gesagt, was man dafür ein Angebot halt hat. Und natürlich durch diese Verlinkung und mehr da. Aber es gibt viele, viele andere Beispiele. Okay, vielen Dank für die Ausführungen. Das linke Mikrofon ist offen. Ja, schön. Guten Morgen erst mal. Spannende Idee, danke für den Vortrag. Ich habe leider keine Ideen, sondern nur Fragen. Ich habe das Beispiel genommen, wie eine Gewerkschaft in Deutschland mit dem Unternehmen verhandelt. In Deutschland gibt es dafür rechtliche Grundlagen, Autonomie etc. pp. Und eine Gewerkschaft kann auch immer zumindest glaubhaft drohen, entweder mit einem Streik oder mit sonst was. Wie würde eine Datengewerkschaft, nehmen wir jetzt mal das Beispiel Google, Google überhaupt dazu bringen, mit der Gewerkschaft zu reden, auf welcher Grundlage sollten sie das tun? Und zweiter Punkt dann, um dem Ganzen halt auch ein bisschen Saft zu verleihen, womit würde man denn glaubhaft drohen wollen? Wir hören ja vorhin schon gesagt hat, wir würden ehrlich gesagt nicht unbedingt den Weg mit der Keule gehen wollen, sondern eher Zuckerbrot und Peitsche eher das Zuckerbrot. Das heißt, was für Vorteile hätte denn das Unternehmen oder der Konzern, wenn er in der Datengewerkschaft zusammenarbeitet, und das wäre dann hier in dem Moment tatsächlich auch eine Vereinfachung der Prozesse für die Konzerne, weil die eben auch nicht mehr 5.000 Millionen Einwilligungen einholen müssen, sondern weil sie halt ganz genau sagen können, das haben wir mit denen abgestimmt, dann läuft das bei uns relativ smooth durch, und wir wissen halt auch, was die Leute für Rechte, für Pflichten und so weiter haben. Das heißt, in dem Moment dazu brauchst du natürlich eine kritische Masse. Du kannst nicht mit 10 Hanseln zu Google gehen und kannst sagen, hier, hier, wir wollen. Das ist einfach ein Problem. Das heißt, wir reden jetzt natürlich auch nicht über heute Morgen oder nächstes Jahr, sondern wir reden wahrscheinlich über 10 oder 20 Jahre, die wir dafür brauchen. Wichtig ist allerdings zu sagen, wenn man sich die großen Konzerne immer noch weigern, trotz der kritischen Masse, die vorhanden ist, dann müssten wir wirklich über so eine Art Datenstreik nachdenken. Ich kenne das aus dem Umfeld von meinem Sohn, der ist jetzt Teenager und der hat mir erzählt, dass aus seiner Altersstufe, so 13, 14, 15, eigentlich fast gar keine Leute mehr Facebook nutzen. Die sind alle bei Instagram, Snapchat und hast du nicht gesehen. Aber wenn man sich die Facebook-Statistiken angeht, geht es zwar immer noch leicht nach oben, trotz Cambridge Analytica und Konsorten, aber in der speziellen Altersgruppe, die gucken mich immer an, wenn ich Facebook sage und sagen, was? Facebook, Facebook finden wir doof. Da haben wir quasi unseren Protest, unseren Streik ja schon so ein bisschen. Das heißt, Facebook merkt an einigen Stellen ja schon, dass, wenn Leute sich zurückziehen, dass das so ein Problem für die wird. Okay, wir haben noch eine Frage. Andere kurz noch ein Punkt. Andere Sachen könnten Zertifizierung und Ähnliches sein, womit man halt auch so ein kleines Boot, die dann halt bringen könnte, zu sagen, wir arbeiten mit denen zusammen als gut befunden Wort oder so was. Genau, dünner Daumen, Datenschutz, Ampelgrün, irgendwelche Geschichten, weil damit können die Unternehmen natürlich dann wieder werben und können sagen, guckt mal hier, diese große Datengewerkschaft X hat uns für gut befunden, ja, Stiftung, Datengewerkschaft ist gut und das ist natürlich auch positive PR. Das wollen natürlich die Unternehmen. Okay, das Denkmalikofon ist noch offen. Okay, ich muss mal kleiner machen. Also erst mal vielen Dank, dass sie das überhaupt macht. Also auch wenn jetzt vielleicht eine kritische Frage kommt, finde ich das super. Und das ist lange überfällig. Und ich wollte mich ein bisschen an den vorigen Punkt anschließen und vielleicht dann auch noch eine Frage kommen, als es erst ist. Also ich möchte kein Datenscharf sein, überhaupt nicht. Ich möchte meine Daten nicht verkaufen, null, weder für Bequemlichkeit, noch sonstige Zwecke. Ich sehe es auch so, dass meine Daten noch nicht mal meine Daten sind, sondern auch eure Daten. Meine Geologiposition hier ist auch eure Position. Die Unternehmen brauchen einen Datenbezug. Deshalb halte ich auch den Ansatz tatsächlich für komplett falsch, die in irgendeiner Farbe zu monetarisieren, weil wir dann nur weiter in diese Richtung gehen. Die Unternehmen brauchen eigentlich überhaupt keine Daten, um uns Dienstleistungen zu geben, noch nicht mal unsere Adresse. Grundsätzlich außer die, die wir wirklich ihnen geben. Das ist einfach so meine Einstellung. Und ich glaube, wenn wir das Ganze skalieren wollen, dann komme ich mal zu der Frage. Wenn ihr sagt, 10 bis 20 Jahre, wie viele Leute habt ihr dann in 10 bis 20 Jahren und wie wollt ihr mit diesen Ansätzen, die ja sehr viele Verhandlungen bedeuten, mit vielen Unternehmen, da überhaupt irgendwo hinkommen, wäre es vielleicht eine Möglichkeit, das so ähnlich wie Open Source Lizenzen zu machen, darauf zu drängen, dass es ein paar Standard Lizenzen gibt, die wir schnell auswählen können, zum Beispiel als User. Also das mit der finanziellen Kompensation, das war auch bei uns intern eine starke Diskussion, muss ich sagen. Ich verstehe da absolut den Punkt und bin auch der Meinung, wenn wir Geld für unsere Daten nehmen, dann werden die Ärmsten immer das Geld nehmen. Wir hatten dieses Washington Post Beispiel und eine Idee ist ja auch, dass wir sagen, wir geben unsere Daten nicht für Geld her, aber die Datengewerkschaft handelt zumindest den Schadenersatz aus. Das ist wie bei den Fluggastrechten, das hatten wir auch als Beispiel. Da bekomme ich Geld, wenn eine Fluglinie meine Rechte verletzt hat wegen Verspätung oder sonst irgendwas und die Datengewerkschaft kann auf jeden Fall eine Kompensation bieten beziehungsweise mit dem Unternehmen aushandeln, die ordentlich hoch ist, weil aktuell bekommen die Strafen die Aufsichtsbehörden und warum werde ich aktuell nicht entschädigt. Schadenersatz steht auch in der DSGVO drin, aber bisher haben die wenigsten das ausgehandelt und das wäre was, wo die Datengewerkschaft sagen kann, hier Schadenersatz, du hast zu viele Daten über mein Mitglied gesammelt oder über Tausende von Mitgliedern, zahl den mal jedem 100 Euro Schadenersatz. Auf jeden Fall ein Schadenersatz auf jeden Fall ein gutes Instrument, aber nicht vermieden, dauerhaft. Von den Aktivitäten, die wir aufgeführt haben, ist eben diese finanzielle Kompensation eine der letzten Punkte, wo wir auch noch ein Fragezeichen dahinter gemacht haben. Wenn wir uns darauf fokussieren würden, würde ich der Totalrecht geben, macht keinen Sinn. Aber die ganzen Punkte davor, das sind eigentlich die wichtigen Punkte und die wir uns auch noch ein bisschen überlegen. Wollen wir auch die finanzielle Kompensation regeln oder wollen wir das nicht machen? Vor allem, wenn man in einer Welt ist, wo wir schon vielleicht ganz viel anderes erreicht hätten, könnte man ab einem gewissen Punkt, wenn sehr viel mehr Sensibilität da ist und sowieso halt schon erreicht ist, dass die, mit denen wir überhaupt dann noch in Verhandlungen über Kompensationen überhaupt eine Erverhandlung eingehen, sowieso schon bestimmte Kriterien erfüllen müssten und ähnliches, dann könnte man vielleicht sagen, ja, ab dem Punkt könnte es vielleicht auch nicht so sein, dass wir das sehr kritisch als Punkt sehen. Nur vielleicht kann es trotzdem irgendwann Sinn machen. Ja, vielen Dank für eure Fragen. Die Zeit ist leider schon um. Wir haben schon etwas überzogen. Um 12 Uhr beginnt der nächste Vortrag, also direkt im Anschluss. Wer möchte, darf natürlich gerne dabei bleiben. Ich danke nochmal allen vier für ihren Vortrag.