 Ja, herzlichen Dank. Ich hoffe, dass ich tatsächlich Antworten liefern kann. Na, wird gelingen. Mein Name ist Peter. Ich bin Rechtsanwalt in Salzburg, aber Österreich weit unterwegs. Ich bin spezialisiert auf IT und Marketingrecht. Ich habe zehn Jahre selbst der EDV-Firma gehabt. Mit mir kann man also technisch-chinesisch reden. Ich verstehe es und aus Juristisch ist es immer schon mal ganz hilfreich, wenn man zumindest weiß, was man rechtlich beurteilt, worum es denn da ungefähr gehen könnte. Das heutige Thema ist tatsächlich riesengroß. Man kann zu einem Thema wie WordPress und Recht auch zwei Tage vortragen, ohne dass das ein Problem ist. Ich habe daher geschaut, dass ich das auf ein paar Kernaussagen beschränke und ein bisschen tatsächlich noch hau mitbringen, das man dann auch umsetzen kann. Das Spannende, wenn man über WordPress Plugins reden ist, rechtlich gilt immer das Herkunftsland-Prinzip. Das heißt, wenn ich so ein Plugin entwickle für einen Staat oder für ein Einsatzgebiet oder es selbst einfach einsetze, aber österreichische Website, aber ein österreichischer Webshop und lach mir ein neues Plugin von diesen unzählig tausenden Plugins an, die da verfügbar sind, dann gilt das Recht des Staates, indem ich gerade sitze und wenn wir Österreicher sagen, das österreichische Recht, bedeutet, dass viele Plugins, die frei verfügbar sind, vollkommen unbrauchbar sind. Ich habe letztes Jahr das spannende Challenge gehabt, die aber membership Plugins braucht, das so ein Abosystem macht, gibt es, wie es sind, auch mehr technisch total ausgereifte Dinge. Ich habe alle runtergeladen und sie waren leider alle US-amerikanischer Herkunft und haben europäisches E-Commerce-Recht nicht einmal ansatzweise umgesetzt gehabt, aber so weit nicht, dass ich einfach gesagt habe, das bringt es gar nicht, die zum Einsatz zu bringen, weil da ist die Adaptierung viel größer. Ich bin dann bei E-Commerce gelandet, war es ein bisschen oversized, aber das kann das mit anderen Plugins. Das heißt, man muss tatsächlich, wenn man sich ein Plugin anlacht, mal nachkontrollieren, ist das bei uns überhaupt rechtskonform einsetzbar und bei sehr vielen Plugins lautet die Antwort leider, weil sie sehr US-lastig sind, nein und braucht gröbere Adaptierungen. Wir haben daher massive Unterschiede EU zu anderen Rechtsgebieten, insbesondere zu den USA. Blöder weiß, Hammer war innerhalb der EU gröbere Unterschiede, also auch in Österreich und Deutschland, wo mal keine Sprachbarriere bestehen wird, ist es so, dass bei Weitem das Recht nicht identisch ist. Da gibt es das Problem, wir hören immer, die EU reguliert viel zu viel, als Jurist sagen, genau umgekehrt, sie reguliert viel zu wenig, weil es überall Umsetzungsspielräume gibt. Die EU verbockt nicht, die Gesetze macht es nicht so kompliziert, sondern seitens der EU kommen tatsächlich einfach gehaltene Gesetzesvorschläge, dann sagen alle Nationalstaaten auf, sorgen bei jedem Platz hin. Wenn das so ist, ist unsere nationale Identität gefährdet, also bei Dingen, die überhaupt nicht Identitätsstiftend sind, aber das ist so die Standard-Aussage, und dann wünscht sich jeder seine Ausnahmen und dann kommt ein neues Datenschutzrecht, wo es 70 Punkte gibt, wo Nationalstaaten ihr extra Süppchen kochen können und das auch eifrig ausnutzen. Und wir haben jetzt ein Grundgerüst, wo wir ein einheitliches Datenschutzrecht haben und wieder Geschmacksrichtungen, wo Österreich und Deutschland bei Weiten nicht identisch ist. Das heißt, selbst wenn ich jetzt ein deutsches Plug-in nehme, hast du es noch lange, dass das in Österreich rechtskonform ist und umgekehrt, was die Sache extrem mühsam und nicht wirklich einfach macht. Wenn man jetzt so grenzüberschreitende Webauftritte hat, wird man sie daher erstens grömer erkundigen müssen und dann oft einfach den kleinsten gemeinsamen Nenner wählen, mit dem man überall safe ist. Worauf kommt es an? Urheberrecht ist natürlich ein riesen Thema. Klar, WordPress ist Opensource, aber wir wissen, es gibt auch andere Plug-ins, die jetzt nicht als Opensource ausgestaltet sind, mit denen Menschen sinnvoll Geld verdienen. Auch das ist möglich. Das heißt, man muss ja mit diesem Opensource-Lizenzrecht mal auseinandersetzen. Keine WordPress-Website natürlich ohne Datenschutzrecht. Das ist ein ganz riesen Thema. Da schauen wir uns noch ein bisschen an, wie könnte denn das funktionieren. E-Commerce-Recht ist, sobald ich einen Vertragsabschluss habe, ein Thema. Also muss jetzt gar kein ausgewachsener Webshop sein. Jede simple Registrierung ist in der EU auch schon komplizierter, als jetzt das in den USA wäre. Das heißt, da muss man schon aufpassen, wenn man ein Plug-in erstellt. Heute das so elementare Rechtsvorschriften ein. Wenn man Verträge mit Konsumenten abschließt, sind wir relativ schnell im Fernabsatzrecht drin. Wenn man Geld dafür wollen, gibt es für den elektronischen Zahlungsverkehr Vorschriften, die dann auch tatsächlich in technische Vorschriften münden, wo ich zum Beispiel bei der Verschlüsselung der Website bestimmte TLS-Versionen verwenden muss, oder, oder, oder. Rechnungsvorschriften hatte die spannende Anforderung. Ich habe einen Affiliate Plug-in braucht. Da gibt es auch ganz gute. Leider ist kein einziges in der Lage rechtskonform mit so Kleinigkeiten wie Umsatzsteuerberechnung oder Rechnungslegung, die Affiliates abzurechnen. Das heißt, da muss man dann Teile entweder händisch machen oder wirklich ganz grob dazu programmieren. Also wo elementare Dinge, die für den E-Commerce wichtig sind, schlicht und einfach führen. Und was jetzt nicht so klassisch unter das Thema Rechtsvorschriften vorhin aber auch wichtig ist, Geschäftsbedingungen von Komponenten, von Diensten, die man einsetzt, da lautet meine Empfehlung, wenn man fremde Plattformen verwendet, fremde Komponenten verwendet, bitte an Kalender setzen und halbjährlich mal denen ihre Geschäftsbedingungen durchlesen. Geschäftsbedingungen von Internetdiensten sind wirklich maximale Änderungsfreudig. Es stehen oft Dinge drin, mit denen man überhaupt nicht rechnen würde. Eine Sache, die mittlerweile Geschichte ist. Jeder kennt dieses Google Maps in Bad Plug-In. Da waren so Sachen drin, dass man das nicht verwenden darf bei einer Website, wenn man sich registrieren muss und die Registrierung nicht für jedermann zugänglich ist. Also eine Website, wo sich nur Wiener Ärzte registrieren hätten dürfen, hätte im geschlossenen Bereich das nicht verwenden dürfen. Die Regeln sind mittlerweile schon wieder ganz anders und haben sie in der Zwischenzeit 10-mal geändert. Das heißt, wenn man auf solche Tools setzt, sollte man einmal aufhänden bleiben. Ist noch halb so schlimm, wie es klingt, bitte wenn ich sage Geschäftsbedingungen lesen, den schlanken Teil lesen, wo tatsächlich drin steht, was Sache ist, wie die Benutzung eingeschränkt ist und wie nicht, diesen ganzen Haftungsblah-blah und wir haften für nichts, den braucht man jetzt nicht unbedingt lesen. Aber dass man zumindest weiß, was der für mit dem tut, gilt auch für viele andere Dinge. Wer seinen Content über Stock-Foto-Plattformen bezieht, einfach tut er mal die Geschäftsbedingungen lesen. Das Spannende, man wird glauben, Stock-Foto-Plattformen machen alle das Gleiche, die haben da alle das Gleiche drin stehen. Gegenteil ist der Fall, jeder hat andere kreative Sachen drin stehen. Also die sind auch von einheitlich weit entfernt. So, Thema Datenschutzrecht, haben wir da auch, nachdem das doch brandaktuell ist, noch aus dem letzten Jahr, werde ich ein bisschen intensiver anreißen. Da eine kleine Warnung, viele haben das Gefühl, das ist eingeschlafen, weil letztes Jahr am 25.05. ist das Ganze anwendbar geworden. Am 26.05. gab es keine Millionenstrafen für jeden kleinen Unternehmer und damit haben alle gesagt, okay, das Thema ist erledigt. Das ist es bei Weiten nicht. Gerichts- und Verwaltungsverfahren haben eine gewisse Vorlaufzeit und daher ist es nicht zu erwarten gewesen, dass das also von jetzt auf gleich straffen hagelt. Aber es gibt mittlerweile doch sehr viele Verfahren bei der Datenschutzbehörde, auch erste Entscheidungen. Was man zusammenfasst, entsorgen kann, das Rechtsgebiet entwickelt sich sehr dynamisch und teilweise auch sehr schwierig. Wir haben mit dem Kollegen Dr. Knürim aus Wien Datenschutzanwalt, wir sagen einer der drei großen Datenschutzgötter in Österreich, der macht wirklich nichts anderes. Vor kurzem mal telefoniert aufgrund aktueller Entscheidungen der Datenschutzbehörde, das haben wir uns einig, dass wir nicht sicher wissen, wie wir unsere Rechtsanwalt voll macht, noch Datenschutzkonform gestalten könnten. Also das wird schwieriger das Thema statt leichter. Das ist gerade ein bisschen die schlechte Nachricht. Wenn man Daten verarbeitet, braucht man mal einen definierten Verarbeitungszweck. Das heißt, man sollte sich tatsächlich aus erstes mal überlegen, welche Daten braucht man wofür. Das ist so das Elementaste. Das ist auch das, was jeder noch halbwegs leicht definieren kann, wenn er ein Plug-in entwickelt. Wenn er ein Plug-in bezieht von einem dritter Anbieter, ist das oft nicht mehr ganz so leicht, dass er ausfindet, was macht das Plug-in tatsächlich alles. Wir brauchen dann ein Rechtmäßigkeitsgrund. Das heißt, einen Grund, dass wir die Daten verwenden dürfen in einem unternehmerischen Kontext, ist das sehr oft der Vertrag, weil wir mit einem Kunden eine Vertragsbeziehung haben und aufgrund dieser Vertragsbeziehung die Daten verarbeiten, dann haben wir mal ein Rechtsgrund. Gesetz kann eine rechtliche Grundlage bieten, zum Beispiel bei Aufbewahrungspflichten in jedem Webshop generiere ich Daten, die die Finanz interessieren und die Finanz sagt, sieben Jahre aufheben. Da habe ich also für diese Aufbewahrungsverpflichtungen von einem Teil meines Datenbestandes schon mal eine Rechtsgrundlage. Oder es könnte auch eine Einwilligung sein, weil ich zum Beispiel einen Newsletter beziehe. So wird es jetzt ausschauen zwischen einem Plug-inentwickler und einem Lizenznehmer, also dieses Plug-inlizenziert. Wenn ich jetzt als Lizenznehmer dieses Plug-in einsetze und meine Mitarbeiter im WordPress damit arbeiten, werden wieder Daten generiert und zwar die Daten über die Mitarbeiter des Unternehmens, die da jetzt Content Management betreiben und und uns. Da werden ja Log-Daten generiert. Diese Log-Daten könnten missbräuchlich verwendet werden zu Überwachung der Dienstnehmer. Schauen, hacklen, DE-Brav und und und. Da werden wir teilweise den Arbeitsvertrag aus Grundlage nehmen können. Aber möglicherweise braucht man eine Einwilligung. Also im Arbeitsrecht ist das relativ rasch so. Und im Arbeitsrecht ist es extra kompliziert. Da braucht man im Regelfall zusätzlich das berechtigte Interesse des Unternehmens, diese Daten überhaupt zu verarbeiten. Wenn wir jetzt ein Kressers-Unternehmen sind und ein Betriebsrat haben, braucht man darüber auch noch eine Betriebsvereinbarung, wie die Daten aus dem Content Management welche überhaupt erfasst werden dürfen und wie die verarbeitet werden dürfen. Das heißt, das ist ein Punkt, den viele übersehen, dass hier Dienstnehmerdaten unter Umständen anfallen von Content Management, von Artments, Ausdraht, Hierbteilung und und und. Und dann gibt es jetzt natürlich von denjenigen, die uns am meisten interessieren, nämlich von unseren Website-Usern. Das sind in Regelfall diejenigen, denen wir unsere Produkte verkaufen wollen. Daher sind denen ihre Daten extra spannend. Da kann auch Vertrag die Rechtsgrundlage sein, weil sie der User vielleicht registriert hat zu unserem Dienst. Eine Registrierung ist nichts anderes, also Vertragsabschluss, weil er bei uns was gekauft hat über ein Webshop. Aber auch, weil er vielleicht eine Einwilligung abgeben hat, z.B. für ein Newsletter. Da geht die Richtung, die Datenschutzbehörde geht derzeit in eine sehr strenge Richtung. Man kennt bei gewissen Dingen, wie Google Analytics oder so noch darüber diskutieren, ob das jetzt zum Betrieb der Website technisch notwendig ist. Ich bin da eher liberaler und würde sagen, ja, weil Website nur Online-Stellen macht wenig Sinn. Also das sind wohl Elementartaten, teilweise die man zur Weiterentwicklung braucht. Die Datenschützer sagen das sehr oft deutlich strenger. Geht also auch in die Richtung, dass man sagt, man braucht also für eine Google Analytics eine Einwilligung und bevor der nicht bei dieser Cookie-Vulgo-Datenschutzbar okaydruckt hat, darf nicht einmal Google Analytics loslaufen. Also das geht in eine tatsächlich strenge Richtung. Dann gibt es noch das Thema Datenminimierung. Die Datenschutz-Grundverordnung sagt, wir dürfen nur so viele Daten verarbeiten, wie zur Zweckerreichung tatsächlich notwendig sind. Das heißt, Daten einklauben frei nach dem Motto, die kriege ich jetzt gerade leicht. Nimm es mal und schau dann, was ich in Zukunft damit mache. Das geht auf keinen Fall. Also das wäre kein rechtskonformer Verarbeitungszweck. Daten einsammeln, die zu viel sind, die man nicht braucht, geht auch nicht. Also auch diese Daten darf man nicht erfassen. Das ist was, was man auch bei der Plug-in-Entwicklung sinnvollerweise schon mitdenken sollte. Ist das Feature, dass ich mir hier gerade überlege, tatsächlich rechtskonform, können meine User oder die User, die dieses Plug-in dann einsetzen in ihren Websites, tatsächlich das Ding rechtskonform verwenden. Das Thema Richtigheit von Daten ist ein Thema, Daten sollen aktuell und richtig gehalten werden. Der Hintergrund da ist, dass die Macher der Datenschutz-Grundverordnung einfach gesagt haben, mit falschen Daten kann tatsächlich jemanden am leichtesten Unrecht passieren. Daher sollen wir schauen, dass die Daten, die man hebt, valide sind. Da kann man Möglichkeiten zur Datenvalidierung einbauen. Und zur Datenaktualisierung, dass man also nicht irgendeinen Uräten-Datenschrott hat, der auch nicht mehr passt. Das ist ein ganz großes Thema Speicher-Begrenzung. Das sieht man aus den ersten Entscheidungen der Datenschutzbehörde, dass diese Speicher-Begrenzung tatsächlich Spaßbefreit gesehen wird und sehr granular gesehen wird, sodass man also tatsächlich jetzt nicht sagen kann, der Gesamtdatenbestand wird zu dem Zeitpunkt gelöscht, sondern dass die Datenschutzbehörde sich das so vorstellt, dass es Daten gibt, die man unterschiedlich lange aufheben darf. Wenn wir uns jetzt ein größeres Content-Management-System vorstellen, wird es kaum ansinn machen, dass man sagt, zweiter Jänner der Tag im Jahr, wo wir überlegen, welche Daten man hat manuell löschen. Das heißt, da sollte man vielleicht mit überlegen, wie man das gleich automatisiert machen kann, sodass das System anhand von Parametern erkennt, welche Daten sind, wann zu löschen. Ja, technisch organisatorische Maßnahmen, das ist das Thema, wo man Entwickler meistens am leichtesten begeistern kann, dass das alles brillant ausgestattet ist und wo sie jetzt auf Entwicklerseite meistens die Augen eher zum Leuchten beginnen. Es gibt das Thema Privacy by Design, das besagt, dass man bereits die Anwendung so gestalten soll, dass eine datenschutzfreundliche Anwendung quasi vorgegeben ist. Da gibt es so einen Angemessenheitskriterium. Das heißt, größere Projekte müssen sie zum Beispiel mehr ins Zeug legen als kleinere Projekte. Unternehmen mit mehr Budget müssen dann mehr leisten als Unternehmen mit weniger Budget. Anders bei Privacy by Default, das sagt, wenn es zwei Einstellungsmöglichkeiten gibt, muss die Voreinstellung immer die Datenschutzfreundliche sein. Also nicht so wie bei Facebook, dass man grundsätzlich jede Datenkrage standardmäßig aktiviert ist und man kann es dann deaktivieren, wenn man das klein gedruckte Eifrig liest, sondern standardmäßig mal alles ausschalten, was ausschaltbar ist und dann kann man es quasi hinzuschalten. Und da gibt es also kein Angemessenheitskriterium, sondern wenn es diese Möglichkeiten gibt, dann sind die datenschutzfreundlich einzustellen. Thema Transparenz, alle kennen das Thema Datenschutzerklärung. Mit manchen Plugins ist es zum Verzweifeln, weil man gar nicht genau weiß, was die tun, welche Daten die verarbeiten und, und, und. Das heißt, aus Plugins entwickeln sollte man dann mitdenken, dass es hier dann Anwender gibt, die diese Plugins verwenden und denen mitteilen die Infos, die die Anwender dann brauchen, damit sie auf ihrer Website eine rechtskonforme Datenschutzerklärung machen können. Also proaktiv Infos liefern und sagen, wenn du dieses Plugin verwendest, solltest du in deine Datenschutzerklärung diesen Passus aufnehmen. Das wäre tatsächlich höchreich. Dann muss man sich da nicht aus Anwendersubstürz stürzeln und was macht das Plugin jetzt im Detail, um das dann verwenden zu können. Da haben wir jetzt noch was auslassen. Genau. Rechenschaftspflicht. Diese ganzen Betroffenenrechte. Auch hier gibt es unendliche Möglichkeiten für Plugin-Entwickler sich auszutoben. Es gibt dieses Recht auf Datenübertragbarkeit, dass man Daten in einem Standardformat exportiert haben kann und damit zu einem anderen Anbieter gehen kann. Das ist also gerade, wenn man jetzt irgendeine Serviceplattform zur Verfügung stört, relevant. Und natürlich auch das ganzelementare Recht auf Auskunft, welche Daten werden über mich verarbeitet. Da werden natürlich in ein IT-System im Idealfall denkbar, dass man solche Sachen vollautomatisiert macht. Das heißt, die obregiströte User, die können sie einloggen, sehen jederzeit, in Echtzeit, welche Daten werden über sie verarbeitet, können sie die overloaden, die Daten. Und idealerweise war es das System ANOVO, wo gibt es Aufbewahrungspflichten, wo nicht, so dass es dann ein Löschsparten gibt, dass der User auch gleich die Datenlöschung selbst veranlassen kann und nicht erst der E-Mail mit Bitte um Löschung der Daten schreiben muss. Also da könnte man Dinge wirklich deutlich schöner ausgestalten. Wenn man Systeme hat, die eine automatische Entscheidungsfindung machen, die zum Beispiel zum Vertragsabschluss führen oder nicht, muss es auch die Möglichkeit geben, dass ein Mensch hier nachkontrolliert. Paradebeispiel wäre zum Beispiel eine online Kreditvergabe, die aufgrund irgendwelcher Kriterien sagt, du kriegst dann Kredit oder nicht. Und die dann sagt halt, in der Strassen, wo du wohnst, in dem Stadtviertel haben wir die höchste Ausfallsrate, da geben wir keine Kredite mehr her, Punkt. Dann muss man die Möglichkeit haben, aufzeigen zu können und sagen, ja, aber und damit dann ein Mensch entscheiden, ob er den Kredit nicht doch kriegt. Das heißt, solche automatisierten Systeme brauchen auch eine Möglichkeit, dass man das ganze manuell übergeht und dann eine andere Entscheidung eingibt. Wenn man Subunternehmer hat, bitte den Auftragsverarbeitervertrag nicht vergessen. Das ist auch bei Plaginentwicklern häufig der Fall, dass die auf Fremdienste zugreifen, die Teile der Datenverarbeitung übernehmen. Da braucht man mit den anderen Auftragsverarbeitervertrag. Bei Kooperationspartnern, wenn man gemeinsam Projekte macht und eine gemeinsame Datenhaltung hat, braucht es diesen Vertrag über die gemeinsame Verantwortlichkeit. Denn die allermeisten vergessen erfahrungsgemäß, wenn man Daten in Drittstaaten übermitteln, also außerhalb der EU, dann braucht man dafür spezielle Rechtsgrundlage für die Datenübermittlung. Das kann ein Angemessenheitsbeschluss sein, sowie dieses Privacy-Shield in den USA, wo man an Privacy-Shield zertifizierte Unternehmen Daten sehr leicht übermitteln kann oder an kanadische Unternehmen Daten sehr leicht übermitteln kann. Wenn es das nicht gibt, braucht man auch wieder spezielle Rechtsgrundlage, wo es dann im Detail komplizierter wird. Wenn man zum Beispiel die Einwilligung des Users dazu haben will, dass man die Daten nach Indien schickt, weil die dort verarbeitet werden, dem das relativ genau erklären muss, was da passiert und dass da ein geringeres Datenschutzniveau ist und damit diese Einwilligung rechtskonform geht. Wie schaut das jetzt mit der Haftung bei so Entwicklung? Wir haben jetzt ein Plug-in, einfach aus Herzensgüte entwickelt und als Opensource zur Verfügung gestellt. Dann hat man nahezu keine Haftung, weil es quasi eine Schenkung an alle möglichen und unmöglichen Menschen ist. Und mal als Geschenkgeber in Österreich, Gott sei Dank relativ wenig Haftung hat, was die eigenen Geschäfte und Geschenke anrichten. Anders schaut das aus, wenn man jetzt entwickelt und das in ein Lizenzmodell zur Verfügung stellt, dann hat man eine Vertragsbeziehung, dann hat man eine ganz reguläre Haftung. Wie groß die Haftung ist, hängt ganz massiv von der Gestaltung dieses Lizenzvertrags ab. In Österreich gibt es da wirklich spannende Möglichkeiten. Man kann aus österreichischer Unternehmer, wenn man Geschäfte mit anderen Unternehmern macht und dort liegen dann meistens die Risiko, weil wenn irgendein privater Websitebetreiber mein Plug-in verwendet, dann wird da nicht schon rasend hoher Schadenersatz passieren können. Im B2B-Bereich kann man in Österreich Haftung wirklich nahezu auf Null eindampfen, zumindest die Haftung, die relevant ist. Da sind wir deutlich liberaler aus zum Beispiel die Deutschen, wenn man den deutschen Rechtsanwalt erzählt, was wir österreichischen Haftungsausschlüssen vereinbaren können. Der greift sich auf den Kopf und sagt, er spinnt sich ja öses, weil das dermaßen radikal ist. Deutscher kann gegenüber Unternehmer fast weniger Haftung ausschließen, als wir gegenüber den Konsumenten. Das ist wirklich ein ganz krasser Unterschied. Wenn man jetzt Entwickler ist, Auftragnehmer ist, zahlt sich das aus, dass man diese Möglichkeiten intensiv nutzt. Die Erfahrung sagt, kein Mensch liest Geschäftsbedingungen, also ist wirklich die absolute Ausnahme. Das bedeutet, dass der Geschäftspartner halt dann, wenn es wirklich hart auf hart geht, möglicherweise keine Ansprüche hat, wer die Geschäftsbedingungen nicht lesen hat und sie nicht rechtzeitig aufgeregt hat. Aber das geht fast immer durch. Wenn man jetzt eine Lizenz hergibt, dann wird man unter Umständen auch dafür haften, dass das zumindest mit WordPress an sich kompatibel ist. Aber wenn man WordPress Plug-in macht, macht es wenig Sinn, wenn es mit grundlegenden Sachen nicht kompatibel ist. Wartung und Support, dazu bin ich nicht verpflichtet. Natürlich braucht es eigene Regelungen im Lizenz zu den angetrennten Vertrag. Das ist übrigens was, was Unternehmen total gern übersagen. Ich habe also schon Softwareverträge gemacht, wo es um Millionen-Euro-Projekte gegangen ist. Und dann war der Auftraggeber so, der das gekauft hätte, gesagt hat, ja, aber Wartung möglichst lose, weil wenn man das nicht gefällt, dann habe ich gesagt, ihr habt zwei Jahre Vorlaufzeit zur Projekt-Einführung. Wenn ihr nicht zumindest dem fünf-Jahr-Wartungsverpflichtung aufs Auge trugts, mit fünf-jährigen Kündungungsfristen, der andere kann auch aufhören. Und dann habt ihr keine gewartete Software mehr. Das wäre ja Fiasco. Das heißt, das ist was, was Software Kunden sehr oft übersehen, dass eine Wartung ja essentiell notwendig ist und dass man aus derjenigen der Software Bezieht Interesse an einem Wartungsvertrag hat. Weil wenn man den Entwickler verärgert und der haut ab, dann steht man ohne Entwickler da und das heißt dann auch oft ohne Software, weil wie sehr andere Entwickler zu motivieren sind an irgendeiner Fremdsoftware weiterzudoktern, das war es mal E-Auserfahrung, die haben meistens keine große Freude. Ja, wenn man jetzt ein WordPress-Projekt für den Kunden erstellt und die Verträge umgeschickt macht, kann man sein, dass man eine Haftung für das Funktionieren eben des Gesamtprojekts reinrutscht, was jetzt grundsätzlich natürlich gegeben sein wird, dass das Grundlegend funktioniert, aber natürlich nicht für jedes Teil dieser Aber-Milliarden-Code-Zeilen, die man selber noch nie gesehen hat. Also da ist eine sinnvolle Vertragsgestaltung auch tatsächlich essentiell. Worüber sollte man denn reden? Dass man Open-Source-Software einsetzt, ist ein wesentliches Merkmal der Leistung, das einfach in die Leistungsbeschreibung reingehört, damit der Auftraggeber dann nicht überrascht ist, dass er nicht aus Software hat, die quasi ihm alleine gehört. Manche haben da noch ein bisschen die Vorstellung, dass die Welt so funktionieren sollte. Dann, dass man die Haftung da reduziert, Milestones für Zwischenabnahmen sind perfekt, weil wenn der Kunde das mal freigegeben hat und tatsächlich unterschrieben hat, dass ihm das bisherige gefällt, dann wären die Streitpunkte in der Praxis schon mal kleiner, weil dann der ganze Schluss, wenn das Projekt fertig ist, der Kunde sagt, aber das ganze am Anfang, hat man schon nicht gefallen, hätte man das einmal gesagt, hätte sie das gleich aufgeklärt, jetzt wieder zurück an den Start. Gewährleistung, Schadenersatz und Regress wirklich auf das Minimum eindampfen, was möglich ist. Es gibt dann etliche Sachen, Ausschluss-Ireführung lesio enormes, wo es jetzt schon sehr juristisch wird, das kann Lebensrätten sein und machen die Wenigsten, weil sie halt noch nichts davon gehört haben und sie Verträge dann selbst basteln und natürlich auch dem Kunden Chlor machen, wenn man Fremdplagins einsetzt und die ändern sie, weil der Plaginenhersteller die Lust dran verliert, dass er irgendein Feature weiterentwickelt und das rausnimmt aus dem Plagin, dass damit Kosten entstehen können, die der Kunde dann nun auch nicht zum Zeugen hat. Auch da kann man mit ungünstiger vertraglicher Gestaltung oder ist auch mit Nichtgestaltung unter Umständen in Haftungen reinrutschen, die unlustig sind. Was braucht's? Allgemeine Geschäftsbedingungen machen absolut hin, wer als Unternehmer ohne allgemeine Geschäftsbedingungen arbeitet, ist wirklich selbst schuld. Es gibt dann auch nur das Gegenstück allgemeine Einkaufsbedingungen, das ist sehr wichtig. Wenn ich jetzt viele Aufträge vergebe und jetzt meine Marktmacht so weit ist, dass ich sage, meine Subunternehmer freuen sie, wenn sie einen Auftrag kriegen, dann mache ich allgemeine Einkaufsbedingungen, wo es herabgesagt, das Gegenteil drin steht. In den Geschäftsbedingungen steht lieber Kunde, ich hafte eigentlich für nichts und in den Einkaufsbedingungen steht dann drin, lieber Subunternehmer, du haftest mir für alles und das möglichst streng. Dann ist man in einer sehr bequemen Position. Diesen Auftragsverarbeitervertrag oder Vertrag über die gemeinsame Verantwortung nicht vergessen, wenn es um Datenthemen geht, also um personenbezogene Daten, Lizenzverträge, softweiße Serviceverträge und auch diese Wartungs- und Supportverträge, bitte nicht vergessen. Wer Lust hat, jetzt kommt eine einzigündige Werbeeinblendung, schaut mal auf Marketingrecht.it, da kriegt man solche Verträge in Form von Generatoren. Ende der Werbeeinblendung und jetzt bitte eure Fragen. Also eine Vorschaltzeit ist vielleicht ein bisschen überdimensioniert. Das Ideale ist eigentlich, wenn man die Cookie-Bauer zu einer Datenschutzbauer umbaut und dort aufklärt, was da passiert. Das Tools zur Web-Analyse verwendet werden und dass man das dann so ausgestaltet, dass das Google Analytics-Script erst dann losrennt, wenn hier tatsächlich der Ja-Baten oder OK-Baten gedrückt wurde. Das ist jetzt selbst mit ein Zehenseilen-Java-Script gut möglich. Was man dann noch bedenken sollte, wenn der die Zustimmung erteilt hat, muss er die natürlich auch wieder wiederrufen können. Das heißt, das muss in der Datenschutzerklärung dann idealerweise einen korrespondierenden Buttonschreck-Link geben, wo man dann das Cookie entweder löschen kann oder ein Update Cookie zum Beispiel speziell für Google Analytics setzen kann. Ist technisch jetzt keine rasend große Hexerei. Man verliert natürlich Analyse-Daten und hat dann nur noch die Daten von diejenigen, die tatsächlich OK geklickt haben. In diese Richtung geht es tatsächlich, wenn man die Entscheidungen der Datenschutzbehörde anschaut. Also Google Analytics wäre ein Tool gewesen, wo ich sage, da hätte man noch gut darüber diskutieren können, weil Google das jetzt zum Beispiel deutlich sauberer löst aus der Facebook Pixel. Google sagt, die Analytics-Daten werden für sonst nichts verwendet und daher tatsächlich rein mein Auftragsverarbeiter ist und die Daten, wenn man die jetzt rein zur Website-Analyse verwendet, hätte ich durchaus so gesehen, dass das Daten wären, die man vielleicht auch noch eine Einwilligung verwenden kann. Aber wenn man die Entscheidungen liest, die jetzt ergangen sind, geht es definitiv nicht in diese Richtung. Und damit ist man aber auch bei einem Punkt, wo man dann ganz klar sagen muss, wenn ich schon so etwas wie Google Analytics ohne Zustimmung nicht mehr verwenden kann, dann gibt es andere Tools, die ja noch, sag ich mal, teilweise tiefgehender sind oder die mit den Daten deutlich mehr ansteuern, wie zum Beispiel Facebook Pixel gar nicht mehr. Facebook ist so ein eigenes Thema, da geht es tatsächlich in die Richtung, ob man Facebook-Tools in Zukunft überhaupt noch verwenden kann. Und da wird die Antwort, wenn Facebook sich nicht radikal ändert, vermutlich einlauten. Ja, also, glaube ich, dass die das machen, aber wie gesagt, das ist also selbst mit ein paar Java-70-Seilen perfekt gelöst. Man macht eine Kucke, das getroppt wird, und dann halt vor dem Google Analytics-Code eine Abfrage, ob das es ob in Kucke gesetzt ist, und nur wenn das gesetzt ist, feuert Google Analytics. Und dann noch eine Abfrage, die halt auch schaut, ob nicht gleichzeitig das opt-out Kucke gesetzt ist für Google Analytics, weil dann erst recht wieder nicht feuern. Also, das ist tatsächlich so viel Code. Ja, das ist eine berechtigte Frage, was das GVU-konform ist. Von außen meistens gar nicht. Man kann dann mit den Plaginen herstellen, natürlich Kontakt aufnehmen und die richtigen Fragen stellen, wobei auch das, ja, wie meine eigene Erfahrung sagt, oft zu net rasend vielfühlt, weil, gerade wenn man jetzt dann einen US-Amerikaner auf der anderen Seite hat, die halt da oft ein grundlegend anderes Verständnis haben, ja, und oft auch erstaunlich wenig Interesse haben, ja. Also, wenn man sagt, Leute, ich sage euch, was du tun müsst oder was für eine Voraussetzung war, das interessiert dann oft gar nicht, ja. Also, wie gesagt, muss man tatsächlich konkret anschauen und, ja, leider nicht. Also. Ist das schon irgendwie konkrete Maßnahmen? Ja, also immer in Österreich haben wir die Sonder-Situation, dass die Wirtschaftskammer sich mit dem Grundsatz zuerst beraten, dann straffend durchgesetzt hat. Das heißt, dass man gleich ein Straf kriegt, da muss man sich in Österreich schon eher speziell anstellen. Was gut ist, ja, dass man also nicht gleich niedergetübelt wird, gerade bei so komplexen Materien. Also, ich sage, Datenschutzrecht ist aus meiner Sicht insofern auf der Anseite extrem gut, dass es gibt, weil der Ansatz voll ist, die konkrete Ausgestaltung des Gesetzes ist eher auf Rechheit, weil ich kenne jetzt KMU-Unternehmen, das jetzt Sorge durchlesen von irgendwelchen Leitfäden der Wirtschaftskammer oder so, die da überall tolle Sachen bietet, in der Lage wäre das alleine rechtskonform umzusetzen. Ein Gesetz, das so komplex ist, dass ich ohne spezialisierten Berater eigentlich zum Scheitern verurteilt bin, nicht geben. Aber ja, es gibt also erste Entscheidungen, da geht es meistens eher um so Einwilligungsthemen oder so. Und auch da wird superstrengend, wo die Datenschutzbehörde sich beschwert, wenn eine Einwilligung eingeholt wird, obwohl keine notwendig ist, weil damit der fehlerhafte Eindruck entsteht, dass das nur mit der Einwilligung überhaupt machbar wäre und so. Da habe ich gesagt, Puh, da wird es jetzt aber wirklich tricky, wenn ich also die Rechtsgrundlagen Messer schaffe, voneinander abgrenzen muss. Also aus Agentur gibt es mal grundsätzlich Möglichkeiten, dass ich meine Haftung über Geschäftsbedingungen generell auf ein Niveau senke, das tatsächlich leicht erträglich ist, dass ich eine Haftung komplett schließe. Das ist eigentlich nicht möglich. Ich kann aber natürlich eine Arbeitsteilung vereinbaren, das aber nur dort Sinn macht, wo es jetzt tatsächlich um Spezialanforderungen eingeht, wo man sagt, lieber Kunde, das muss der eigene Rechtsabteilung oder deiner Anwalt anschauen, ob die Anforderung, die du an uns hast, mixe diesen Datenbestand mit jenen Datenbestand zusammen und mache es, das können wir technisch leicht umsetzen, aber rechtlich musst du das vorab prüfen lassen. Wenn man das korrekt vereinbart, ist das möglich. Aber so elementare Grunddinge, wenn Agentur sagt, ich baue einen Webshop, muss der rechtskonform funktionieren und kann nicht die Agentur sagen, wir wissen zwar, wenn man Webshop baut, aber wir haben uns nur nie durchgelesen, wie das rechtlich funktioniert. Das funktioniert definitiv nicht. Also das wäre, wenn wir dann autos technisch herrichten, aber ob das dann eine Straßenzulassung kriegt oder nicht, damit so was haben wir uns noch nicht beschäftigt. Da fragst du einen Anwalt. Aber genau so ist es. Im Kreativ und im IT-Bereich glauben die Leute,