 Jan angesagt und den jungen Mann hier habe ich auch schon mal angesagt. Peter ist Rechtsanwalt mit großer IT-Ausrichtung. Das heißt, sagen wir mal so, für einen Juristen relativ konkrete Antworten, ziemlich super. Aber natürlich auch normal für einen Juristen viele Fragen, die sich auftun. An eurem Interesse besteht wahrscheinlich kein Mangel, das ist ein Thema, ein Gebiet, mit dem wir uns auseinandersetzen müssen. Das ist quasi eine Bank, das ist ein Rechtsthema, geht immer. Und deswegen, das ist dein Publikum, vielen Dank, dass du da bist. So, jetzt mit Ton. Ja, herzlich willkommen zur letzten Session vor der Mittagspause. Mein Name ist Peter Harlander, ich mache seit 20 Jahren IT und Recht und habe mir überlegt, was ich zu diesjährigen Worldcamp beitragen könnte und habe mich wieder für Datenschutz entschieden, aber nur für ein glitze kleines Gebiet, weil da gibt es so viele Missverständnisse zu diesem Thema. Viele fragen sich ja, wie schaut Marketing im Jahr 2022 aus, müssen wir wieder zurückkehren zum Folder und können wir Webmutter das große Gerücht, uns die Cookies abhanden kommen und wir mit Cookies nichts mehr tun dürfen. Ich würde dieses Gerücht heute gerne ausräumen und erklären, wann wir tatsächlich die Einwilligung unserer Webuser brauchen und wann nicht, weil das Thema einfach ja von unendlich vielen Missverständnissen begleitet ist. Um überhaupt feststellen zu können, ob wir eine Einwilligung eines Webusers zur Datenverarbeitung benötigen, gibt es vier Fragen, die wir uns stellen müssen. Der erste Schritt ist der einfachste, man schaut, ob man Daten der besonderen Kategorie hat, was das ganz genau ist, sehen wir noch ein kleines Detail. Dann verlassen wir die Datenschutzgrundverordnung und gehen zum E-Privacy-Recht und dann wieder in zwei weiteren Punkten in der Datenschutzgrundverordnung einzutauchen. Wir sehen schon, um die Frage zu beantworten, haben wir vierstufiges System und die Cookies kommen aus kleiner Bestandteil in der zweiten Stufe vor und sonst gar nicht. Also im Wahrheit sind unsere Cookies, vor denen wir uns alle so fürchten, ein absolutes Randthema dieser Geschichte. Die Daten der besonderen Kategorien sind jene Kategorien, wo die Datenschutzrechtler sagen, die sind besonders geschützt und dabei, das sind so Themen wie Religionszugehörigkeit, Weltanschauung, rassische und ethnische Herkunft und sehr oft praxisrelevant Gesundheitsdaten. Wenn wir einen kleinen, schnuckeligen Optiker-Webshop betreiben, brauchen wir die Einwilligung zur Verarbeitung der Seestärke, weil die Seestärke Gesundheitsdaten sind und damit geht das ohne Einwilligung nicht. Nur deswegen, weil wir hier den Vertrag erfüllen, jemand bestellt eine Brille, wir liefern die Brille, das reicht als Rechtsgrundlage bei besonderen Kategorien nicht aus. Das heißt, wenn wir die Seestärke erfassen, bräuchten wir schon die Einwilligung. Cookies spielen auch hier keine Rolle. Es gibt für diese besonderen Kategorien auch andere Rechtsgrundlagen, die sind aber im Marketing und E-Commerce irrelevant. Was besonders wichtig ist Vertragserfüllung oder berechtigtes Interesse, gibt es hier nicht. Wir kommen dann im nächsten Prüfungsschritt zur E-Privacy-Verordnung. Bedeutet vielleicht auch noch bei den besonderen Kategorien Tracking auf Seiten, wo es um Gesundheit untergleichen geht, kann unter Umständen auch schwierig sein. Wenn wir da zum Tracking selbst, wenn wir das zum Beispiel bei einem Atomo lösen, wo man jetzt standardmäßig, wenn man das Out-of-the-Box konfiguriert, keine Einwilligung benötigen würde, dann könnte man unter Umständen auch hier schon in eine Einwilligungspflicht reinfallen, wenn wir hier Seiten tracken, wo es tatsächlich sehr, sehr intensiv darum geht, herauszufinden, wie der Gesundheitszustand von Personen ist. Die E-Privacy-Verordnung ist die Verordnung, die in der öffentlichen Darstellung leider von Anfang an misglückt ist. Der Spitzname dieser Verordnung war am Anfang die KUKI-Verordnung oder KUKI-Richtlinie. Und hier geht, Verordnung steht da, ist ja Richtlinie, ist Blödsinn, und damit hat das Übel eigentlich seinen Lauf genommen. Alle haben immer von KUKIs gesprochen, obwohl es in Wahrheit und deutlich mehr geht, nämlich um alle Dinge, die wir entweder am PC des Users speichern oder von dort auslesen. Das kann sein KUKIs, Local Storage, Index, DB, alle möglichen und unmöglichen Daten, die wir für ein Browserfinger Printing auslesen, um jetzt den Webbrowser des Users eindeutig zu identifizieren zu können. Und ja, also da geht es tatsächlich ans Eingemachte. Und KUKIs sind bei all diesen Dingen eigentlich noch im Wahrheit die harmloseste Komponente. Wir können mit einem Browserfinger Printing 90 Prozent der weltweiten Webuser eindeutig auf ewig identifizieren bis sie ihren PC wechseln. Und dazu brauche ich kein KUKI zu setzen, sondern dazu wären teilweise technisch sehr komplexe Analysen der Browserumgebung vorgenommen. Da wären Grafiken gerendert, die je nachdem wie der PC des Users ausschaut, selbst bei baugleichen PCs unterschiedliche Ergebnisse ergeben können und wo man dann den User mit einer Statistikberechnung tatsächlich eindeutig identifizieren kann. Also da gibt es Dinge, die in der datenschutzrechtlichen Eingriffstiefe deutlich, deutlich tiefgreifender in die Rechte des Benutzes eingreifen als jetzt diese KUKIs. Und daher, wenn wir jetzt in ePrivacy schauen, müssen wir mal schauen, was speichern wir im PC des Users und was lesen wir von dort aus. Und da wird es leider verdammt schwierig. EPrivacy kennt nämlich in Wahrheit nur zwei Unterscheidungen und ist daher viel strenger aus der Statenschutzrecht. EPrivacy kennt nämlich nur die Einwilligung und als einzige Alternative die unbedingte Notwendigkeit, dass man einem vom Benutzer ausdrücklich gewünschten Dienst ausführt. Und dieses unbedingt und dieses ausdrücklich legen eine Latte, die man kaum überspringen kann in der Praxis. Genau das ist eigentlich dafür verantwortlich, dass so viele Webdienste nicht mehr ohne Einwilligung ausgeführt werden kann. Das hat also gar nicht die DSGVO geändert. Die DSGVO war nur für die Drittstattendematik verantwortlich, zu der wir dann noch kommen, sondern genau dieses Thema. Die Datenschutzbehörden haben ein großes Beispiel, was jetzt unbedingt technisch notwendig ist, um einem vom Benutzer ausdrücklich gewünschten Dienst zu liefern. Und das ist das Analysetool Matomo. Wenn wir ein Analysetool wie Matomo on-premise datenschutzkonform konfiguriert, so wie Matomo das standardmäßig vorschlägt, dann einsetzen, dann braucht es eben keine Einwilligung des Benutzers. Warum? Die Datenschutzbehörden sorgen jetzt, dass der User sich ganz klar eine Website wünscht, die mal fehlerfrei funktioniert. Und dazu braucht man Analysetool, weil man manche Fehler einer Website ohne Analysetool nicht herausfinden wird. Man braucht auch ein Analysetool, damit die Inhalte auf die Interessen des Users abgestimmt sind. Ich habe eine Website, wo ich über meine Produkte informiere, wenn das eine reine Blackbox ist, wo ich keinerlei Schimmer habe, was interessiert den User, was nicht, dann kann ich keine userfreundliche Website bauen. Und damit sagen die Behörden da ganz klar, auch das wünscht sich der User und dazu ist eine moderate Analyse der Website bitter notwendig, dass man diesen Userwunsch erfüllen kann. Es gibt da noch ein paar andere Beispiele, ich bin über ein Tool gestolpert, das in sehr vielen Webshops eingebaut ist, die liefern eine bessere Suche aus die Standardsuche in Webshops und schaffen es bessere Suchergebnisse zu liefern aus die Standardsuchen in den meisten Webshops. Auch hier sorgt die Datenschutzbehörde zu solchen Themen. Ja, das ist notwendig, weil der User wünscht sich maximale Usability und der User wünscht sich sinnvolle Suchergebnisse. Also da kann man tatsächlich schauen, ist es ein Tool, das tatsächlich zu 100 Prozent im Interesse des Users arbeitet, dann wird man das argumentieren können. Ansonsten hat man das Problem, dass dieser ausdrückliche Wunsch des Users meistens nicht vorliegen wird. Also wie 2018 der große Umbruch im Datenschutz war, haben alle Marketer gesagt, ja die User wollen, dass ja, dass wenn sie auf unserer Website sind, dass wir sie dann auf Facebook, auf Wetter online und sonstwo informieren, hey ihr wart bei uns, erinnert euch, kommt zurück, kauft, kauft, ja. Und Bauer sagen die Datenschutzbehörden, klar, klar, nein, das wünscht sich kein User, dass er quer durchs Internet getrackt wird und die nächste Woche die wunderschöne Pinker Handtasche sieht, die er gerade auf der Website besucht hat, sondern im Gegenteil die meisten User fühlen sich dadurch genervt. Also das ist tatsächlich ein Thema, wo sehr viele Dienste jetzt einwilligungspflichtig werden, weil sie eben nicht unbedingt notwendig sind, um einem vom Benutzer gewünschtes Feature zu liefern. Was da eben auffällig ist, im Gegensatz zum Datenschutzrecht ist, dass selbst wenn ich jetzt nur sehr harmlose Daten verarbeite, ich mich hier nicht aufs berechtigte Interesse berufen kann. Und daher ist es eben so ausgesprochen schwierig. Wir sind hier ja ähnlich wie bei den besonderen Kategorien, dort geht nur die Einwilligung, da kann ich zumindest mit der technischen Notwendigkeit argumentieren. Aber in dieser zweiten Prüfstufe, da geht es einfach tatsächlich in die Richtung, dass sehr viele Tools einwilligungspflichtig werden. Die nächste Stufe ist, dass wir uns dann die Datenverarbeitung näher anschauen. Also wenn wir jetzt zum Schluss gekommen sind, dass unser Tool jetzt nicht einwilligungspflichtig ist bisher, weil wir keine Daten in der besonderen Kategorie verarbeiten, weil unser Tool tatsächlich notwendig ist, damit wir einen vom User ausdrücklich gewünschten Dienst liefern, dann muss man sich die ganze Datenverarbeitung dahinter noch anschauen. Diese E-Privacy-Geschichte, die wir vorher angeschaut haben, regelt ja nur Datenspeichern und Daten auslesen. Also im Wahrheit die Datenerfassung hat noch gar nichts damit zu tun, was dahinter dann passiert. Und das muss man sich dann eben auch im Detail anschauen, was passiert dahinter. Nehmen wir wieder unser Matomo Beispiel. Wir setzen jetzt Matomo ein, weil wir vorher gelernt haben, das geht ohne Einwilligung und schauen jetzt, was können wir mit diesem Matomo anstellen. Wir können jetzt eine ganz einfache Analyse unserer Website machen und feststellen, okay, diese Seite ist beliebter als diese, da haben die Datenschütze jetzt nichts dagegen. Wir können Matomo so konfigurieren, dass wir unsere eigenen Werbekampagnen on-premise in unserer Website auswerten. Das heißt, wir können tatsächlich über Matomo schauen, welche Kampagnen sorgen für Convergence. Auch das ist zulässig. Wir könnten jetzt aber Matomo so konfigurieren, dass wir Google-Flickitis erfassen, die Mitspeichern im Matomo exportieren und wieder zu Google zurückschicken, um direkt bei Google dann die AdWords Convergence zu hinterlegen. Da werden wir dann wieder im Einwilligungspflichtigen Bereich, weil das ist tatsächlich nicht notwendig, um dem vom User gewünschten Dienst funktionale Website zur Verfügung zu stellen. Das ist ausschließlich in unseren eigenen Interessen, dass wir unsere Werbel-Budgets optimieren und würde daher schon in der vorigen Stufe ausscheiden, aber auch nach Datenschutzrecht einwilligungspflichtig sein. Ihr wart schon Fälle gesehen, wo dann User, Website-Betreiber Matomo-Daten dazu verwendet haben, um die angeblich anonymen Matomo-Daten, die ja überhaupt nicht anonym sind, sondern nur die IP-Adresse anonymisiert ist, mit ihren Shop-Daten zum Merchen, zum Beispiel anhand von Timestamps und jeder neue User, der sie im Shop registriert hat, über den hat man auch ein Profil gebildet, indem man über Timestamps die Matomo-Daten dazu gemetzt hat und damit ein User-Profil generiert hat im Augenblick der Registrierung. Auch das wäre einwilligungspflichtig und wir hätten es auch damit geschafft, dass wir ein Matomo, das eigentlich, wenn man das richtig macht, jetzt datenschutzrechtlich unbedenklich wäre, zu einem einwilligungspflichtigen Tool machen. Und da gibt es eben jetzt relativ viele Möglichkeiten, wie man eigentlich datenschutzkonforme Dienste dann wieder nicht datenschutzkonform macht. Da scheitern übrigens auch die meisten Dienste, die sich jetzt so als Lösung aufträngen, wo es Dienste gibt, die jetzt sagen, wir tracken alles on-premise mit und bestücken dann alle eure Dienste, die ihr so lieb gewonnen habt, wie Google Analytics, Google AdWords, Facebook, Pixel und dergleichen mit Daten. Da wäre es so, dass dieses sammeln on-premise in der Regel noch okay wäre, sobald man sich den Verarbeitungsvorgang dahinter dann ansieht, dann wird es bei den meisten dieser Diensten zappenduster. Da kommt es ja dann ein bisschen natürlich auf den konkreten Einsatzzweck bei der konkreten Website an, aber insgesamt wird man dort dann auch eher wieder ein einwilligungspflichtigen Dienst und ganz wenig gewonnen haben. Datenschutzrechtlich vielleicht schon, aber jetzt im Sinn vom Marketing vielleicht nicht alt zu viel. Hier hätten wir eigentlich jetzt deutlich breitere Möglichkeiten, das heißt, wir könnten die Daten zur Vertragserfüllung brauchen oder auch aufgrund unseres berechtigten Interesses verwenden. Daher ist dieser Punkt in aller Regel jetzt gar nicht so sehr der Showstopper, sondern eher der vorige oder der nächste Punkt. Da geht es nämlich dann um die Datenübermittlung in Drittstaaten und für die gibt es jetzt auch mehrere Rechtsgrundlagen. Die einfachste ist, es gibt einen Angemessenheitsbeschluss. Das heißt, die Europäische Union hat gesagt, dass irgendein anderer Staat ein gleichwertiges Datenschutzniveau hat, dann kann man die Daten dort ganz unproblematisch hin exportieren. Die zweite Variante werden die Standardverarbeitungsklauseln, das sind Vertragsklauseln, die regeln sollen, dass die Daten innerhalb einer Vertragsbeziehung DSGVO konform verarbeitet werden. Diese Klauseln sind schwierig, wenn man im Detail dann gleich sehen werden. Es gibt die Einwilligung wieder, die man sehr oft braucht und es gibt dann nur vierte Variante, die man in der Marketingpraxis aufgrund ihrer Komplexität absolut vergessen kann. Angemessenheitsbeschluss gibt es nur für einen zweihandvollen Ländern. Das heißt, wenn man jetzt nicht eines dieser wenigen Länder hat, wo die meisten im IT-Bereich irrelevant sind, dann kann man das vergessen. Also ja, es gibt manchen Dienste in Kanada sitzt. Es gibt den einen oder anderen IT-Dienst, der weiterverbreitet ist in Israel und es gibt in Neuseeland, gerade mit Matomo und Piwik-Unternehmen, die bei uns im Marketing von relevant sind. Aber dann ist es schon ziemlich zammengräumt. Was auffällt, es fehlt die USA. Die hatte bereits zweimal einen Angemessenheitsbeschluss und der Europäische Gerichtshof hat diesen Angemessenheitsbeschluss schon zweimal aufgehoben, weil unser österreichische Vorzeige-Datenschützer Max Schrempf das schon zweimal bis zum Europäischen Gerichtshof durchargumentiert hat, dass dieser Angemessenheitsbeschluss, das Papier auf dem er geschrieben war, nicht wert war. Und ja, also das ist die einfachste Variante. Es gibt dann diese Standardvertrags-Glauseln. Die Kammer, wie die Rechtsprechung mittlerweile zeigt, in aller Regel auch vergessen, wenn es keinen Angemessenheitsbeschluss gibt. Also ich sage, wenn der Angemessenheitsbeschluss bei den USA gehoben wird, dann braucht man bei einem Staat wie China oder so gar nicht überlegen, ob das mit Standardvertrags-Glauseln funktioniert. Wie soll das gehen, wenn es bei der USA aufgrund der dortigen Gesetzgebung zu Geheimdiensten nicht geht? Es gibt sehr viele Staaten auf der Welt, wo das sicherlich nicht besser ausgeprägt ist aus in den USA. Wenn man mit Standardvertrags-Glauseln arbeitet, dann hilft es nicht nur, dass man die einfach textlich einfügt, sondern man muss tatsächlich nachprüfen, ob diese Glauseln einen effektiven Schutz bewirken. Und da hat jetzt die Datenschutzbehörde sehr prominent, zum Beispiel Google Analytics gesagt, nein, das ist nicht der Fall. Das heißt, das wird ebenfalls in der Regel nicht funktionieren. Dann bleibt auch hier nur noch die Einwilligung. Und die Einwilligung ist jetzt eben auch bei Diensten, die in den USA gehostet sind, in aller Regel notwendig. Das ist was, was die Sache tatsächlich massiv erschwert, weil das jetzt nicht nur Marketing-Tools betrifft, sondern auch alle möglichen anderen Tools, die wir im Office verwenden und die weit verbreitet sind, weil man da teilweise noch schwerer davon loskommt und damit sehr, sehr eingeschränkte Möglichkeiten hat. Wenn wir also einen Dienst durchprüfen, dann müssen wir tatsächlich alle vier Stufen durch überlegen. Und wir werden am Ende des Tages feststellen, dass es total egal ist, ob wir Cookies verwenden oder nicht, weil das Cookie ist in aller Regel nicht der Showstopper. Warum? Wenn ich einen Dienst betreibe, der User wiedererkennen muss, weil der Dienst sonst nicht funktioniert, dann kann ich das mit Cookies lösen. Ich kann es mit Local Storage lösen. Ich kann es mit einem Browserfingerprinting lösen. Aber die einfachste Variante sind sehr oft die Cookies und deren Eintiefsgriffe ist, weil es der User sehr leicht löschen kann, eigentlich relativ gering. Und daher, Cookies an sich sind selten der Showstopper und ein Dienst wird dadurch, dass er das Gleiche macht, aber keine Cookies mehr einsetzt, auf keinen Fall datenschutzrechtlich besser. Also wenn der Dienst Möglichkeiten hat, ein User wiederzuerkennen, dann ist es in aller Regel völlig irrelevant, ob das über Cookies funktioniert oder über irgendeine der anderen Methoden, die in aller Regel datenschutzrechtlich dramatischer sind aus Cookies. Man muss also alle vier Stufen durchprüfen und dann weiß man, ob ein Dienst einwilligungspflichtig ist oder nicht. Und was das besonders spannende ist, wenn man dann eine Einwilligung einholt, muss die auch alle Stufen, die einwilligungspflichtig sind, abdecken. Das heißt, ein Consent-Tool, das losgeht, wir verwenden Cookies, ist schon eine reine Themaverfehlung, weil wenn ich nur die Zustimmung für Cookies einhole, beim Google Analytics zum Beispiel, weil ich das mit Einwilligung des Users betreiben will, und nicht die Zustimmung für den US-Export einhole, wenn das textlich nicht abgedeckt ist, dann habe ich keine Einwilligung des Users für den US-Export und trotz scheinbarer Einwilligung des Users immer nur ein Problem. Und das ist was, was im Jahr 2022 tatsächlich auf großer Linie falsch läuft. Also wir können mit Sicherheit 9 von 10 Websites anschauen und schauen, für was die die Einwilligung einholen und die Einwilligungen wären bei 9 von 10 Websites unrichtig sein, weil sie textlich sich auf Cookies fokussieren. Und daher bitte bringt das aus euren Köpfen raus, es geht auch um Cookies, aber bei Weitem nicht nur um Cookies. Und die meisten Dienste, die wir aktuell gerne hätten, aber nur mit Einwilligung ausführen können, scheitern in Wahrheit nicht daran, dass sie Cookies setzen, sondern scheitern an ganz andere Dinge, dass die Daten in die USA exportiert werden oder scheitern daran, dass die Daten in einer Form verarbeitet werden, wie es illegal ist. Google Analytics ist einerseits der US-Daten-Exportes-Problem und andererseits, jetzt im direkten Vergleich zu einem Motomo zum Beispiel, dass Google sagt, sie verarbeiten die Daten zu allen möglichen und definierten Zwecken weiter, während das mit einem On-Premise-Motomo nicht passiert. Cookies verwenden beide, Google Analytics und Motomo. Also das ist extrem gut, dass es wohl nicht an den Cookies scheitert. Und daher bitte auch besonders Augen auf, wenn irgendein Dienst sagt, er ist rechtskonform, weil er keine Cookies verwendet. Das ist in aller Regel Unsinn. Er kann an sich rechtskonform sein und zusätzlich keine Cookies verwenden. Okay, aber dass er nur deswegen, weil er keine Cookies verwendet, rechtskonform wird, das ist eigentlich noch keinen Dienst gelungen, der mir jetzt irgendwo über den Weg gelaufen wäre. Ja, wenn man jetzt was Neues macht, da komme ich jetzt nicht mehr ganz dazu, weil jetzt mein Zeitkärtchen gleich auf Null ist, dann liest man sich bitte die nächste dreiseitige Checkliste durch, was man, wenn man eine neue Marketingmaßnahme macht oder ein neues Plug-in in WordPress installiert, mal datenschutzrechtlich durchprüfen sollte, ob man Auftragsvorarbeiterverträge hört, ob die Verarbeitungsvorgänge richtig sind, ob man auf der Website in der Datenschutzerklärung über die Datenverarbeitung des Plug-ins informiert. Das bitte einfach mal durchprüfen. Die Slides gibt es eben auch hinein zum Download, wenn mich nicht alles ird. Und da einfach mal reinschauen, wenn man die Checkliste durchgeht und über euer grünes Hackal hat, dann hat man den Job richtig gemacht. Wer sich für das Thema interessiert, bei mir gibt es immer wieder Webinare, einfach mal auf meiner Website schauen und da gibt es speziell auch zum Thema Datenschutz immer wieder einiges. So, herzlichen Dank für die Aufmerksamkeit und danke an die fröhlichen Zeithinweise, die mir das ermöglicht haben, meine Zeit einzuhalten. Danke sehr. Ja, hallo. Wenn ich jetzt sage, es war wie immer, na, es wird immer besser. Also, nicht das, worüber du redest, aber wie du es machst. Ich bin überzeugt, da kommt was. Wer will was wissen? Super, wir fangen mal an. Wir fangen mal links oben an. Vielen Dank für den tollen Vortrag. Ich habe eine Frage, Sie haben eben das Browser Fingerprinting erwähnt. Gibt es eine Möglichkeit sich davor zu schützen als User oder kann man das irgendwie, also Cookies kann man ja abwehren oder kann man nachvollziehen, wer Cookies setzt und wer nicht, kann man dieses Browser Fingerprinting irgendwie nachvollziehen? Nein, es gibt mittlerweile Tendenzen von Browser Herstellern, dass sie dieses Browser Fingerprinting möglichst unterbinden. Allerdings beinhaltet Browser Fingerprinting ja unendlich viele Merkmale, die losgehen bei banalen Dingen, wie welche Screensize hat man und dergleichen und dann teilweise eben zu Dingen hingehen, die technisch einfach funktionieren müssen. Dass ihr ein Bild mit OpenGL rendern kann, das muss funktionieren im Webbrowser. Und ich kann aber anhand dieses Renderings, circa 160 verschiedene Merkmale auslesen, die wieder den Computer uniker machen. Und daher gibt es eigentlich keinen vernünftigen Schutz dagegen. Hallo, Servus. Ich habe sechs Wochen circa einen Vortrag, von der WKO verfolgt im Thema, in der Fachgruppe Marketing. Und da ist irgendwie hängen geblieben als Rechtsmeinung, dass man dem gar nicht zustimmen kann, dass die Daten in den Seefarben gehen, so wie man auch sein Urheberrecht nicht veräußern kann. Weißt du das dazu? Also, dass das damit quasi per se weg ist vom Tisch. Ja, es gibt Rechtsmeinungen, die jetzt durchaus vernünftig sind, würde ich sagen. Die sagen, dass man zu gewissen Themen datenschutzrechtlich nur schwer zustimmen kann. Oder vielleicht auch gar nicht mehr zustimmen kann. Wenn nämlich derjenige, der die Daten verarbeiten will, gar nicht sagen kann, wozu die Daten verarbeitet werden. Weil dann scheitert es an der informierten Einwilligung. Die muss dem User bevor er Zustimmung erteilen kann. Ja, ganz klar sorgen, was ist die Tragweite der angestrebten Datenverarbeitung. Und jetzt kann man das probieren, indem er das möglichst grauslich darstellt, indem er sagt, ihre Daten werden bei Google in die freie Wildbahn entlassen, von Google zu allen möglichen und unmöglichen Dingen verwendet. Ob das ausreichend ist, gibt es tatsächlich unterschiedliche Ansichten. Und ich glaube, dass da beide durchaus Chancen haben, zu absiegen. Also ich halte diese Meinung, dass das nicht geht in vielen Punkten für plausible. Also zu dem Punkt, bevor es nicht auslütziert ist, kann man es nicht beantworten. Ja, wobei, da kann man mittlerweile sagen, wie es ausgehen wird, weil Datenschutz ja eine klare Tendenz hat. Also das ist bei gewissen Dingen, wobei da jetzt das Facebook-Imperium fast nur dramatischer finde, dass das Google-Imperium eine Zustimmung schwer möglich sein wird, mit den Informationen, die zur Verfügung stehen, das ist, glaube ich, jeden klar. Ich habe eine zweite einfache Frage im Vorfeld an Videos angeschaut von dir, auf YouTube mit Branding Marketingrecht. Und da war erwähnt ein Generator auf eurer Webseite, der jetzt nicht mehr online ist. Ist er jetzt auf dem Legal Web I.O. oder ist er davon abgekommen, einen Generator für Datenschutz-Erklärung anzubieten? Wir bieten aus Kanzlei keinen mehr an, weil wir den manuell updaten hätten müssen und arbeiten bei Legal Web I.O. mit, weil man das dort einfach komfortabel aktualisieren kann. Ja, aber kurze Frage nur, bei der Zustimmung, dass man die, also zu Analyptics war das jetzt an dem Beispiel, eigentlich nicht einholen kann oder nicht einholt in der Regel, weil man ja zu normalen Guckis einfach fragt und dann nicht fragt, was mit der Verarbeitung ist, wenn man diese detaillierte Ausführungen machen würde und sagt, okay, wie Sie das angeführt haben, dass die dann für verschiedene Zwecke verwendet werden, wäre das jetzt Ihrem Verständnis nach oder Ihrer Rechtsmeinung nach dann okay, wenn man das dann auf diesem Weg einholt, diesen Konsent über diese Gucki-Konsentabfrage oder müsste ich das woanders abfragen und einholen, die Genehmigung bzw. die Bestätigung? Also ist es okay? Ja und nein. Das ist genau das, was die vorige Frage schon war. Man kann bei einem Google Analytics tatsächlich ernsthaft drüber diskutieren, ob ein Konsent überhaupt möglich ist mit den vorliegenden Informationen. Wenn er möglich ist, wenn man dann wohl nur dann, wenn man das über ein Konsent-Tool macht und wenn man das dort tatsächlich so ausformuliert, dass der Benutzer die Tragweite der Datenverarbeitung erkennt. Da wären also Tools, wo man nur sagen kann, dass man Analyse-Marketing oder essentiellen Guckis zustimmt und überhaupt nicht erkennt, was da losläuft, dass Dienste in die USA übertragen werden und so nicht ausreichen. Also wir lösen das so, dass man sagt, dass bereits im Gucki-Pop-Up ersichtlich ist, dass da Analytics losläuft, dass Daten auch in die USA gehen können. Der verantwortliche für Analytics sitzt ja streng genommen in Irland. Wir wissen aber, die Daten können trotzdem da hingehen in die USA. Darum schreiben wir beides hin, sodass man bereits dort, wo man den OK-Button klickt, zumindest mal USA lesen kann und klären dann in den Details zu dem Dienst, die in der zweiten Ebene dahinter liegen auf, dass man sagen, die Daten werden in die USA exportiert. Dort gibt es keinen Angemessenheitsbeschluss, weil der Europäische Gerichtshof denn aufgehoben hat und das Datenschutzniveau für unzureichend erklärt hat. Also so, dass man tatsächlich im Klartext erfährt, dass das nicht ausreicht. Kurze Frage und zwar zweigeteilt. Gibt es irgendwelche Tools, wo ich quasi feststellen kann, ist jetzt dieser Anbieter conform, ohne dass ich gleich wieder studieren anfangen muss oder so, sprich, wo ich einfach prüfen kann, ja, der macht alles richtig, dem kann ich vertrauen, den nehme ich. Zweite Frage, gibt es dann auch vielleicht Tools, wo ich selbst feststellen kann, ob ich es auf den Webseiten, die ich verkauft habe oder die ich selber baue, ob ich es richtig mache? Also Tools, die jetzt diese Situation tatsächlich abprüfen, gibt es nicht. Also ich würde keines kennen, ist einmal die Situation, nachdem es doch sehr viele unterschiedliche Ansätze geben kann, das richtig zu machen, sehr, sehr schwierig vor, dass man das tatsächlich mit einem Tool löst, wach ist aber nicht auszuschließen, dass das dank künstlicher Intelligenz und Co. möglich wäre, so ein Tool zu bauen. Tools, die einem zeigen, ob man es selbst richtig macht, gibt es vielleicht indirect. Es gibt manche Konsentool-Hersteller, die mit einem Scanner arbeiten und dann zumindest sagen, was ist auf der eigenen Webseite los. Da kann man das dann relativ gut einmal zumindest abprüfen, ob man die Datenverarbeitungen, die das Tool findet, auch berücksichtigt hat. Ob das Tool mit dem Scanner das dann auch richtig löst, dass es dann die Einwilligungen in Rechtskonform eingeholt werden, das ist vielleicht eine andere Frage. Und die zweite Frage, die sich dann oft stört, die Datenschutzerklärung, die dann sehr oft waren, das Generiert wird, passt das alles zusammen oder so, aber für so ein Überblick sind diese Scanner auf jeden Fall sehr gut brauchbar. Kann ich Cloudflare als technisch notwendig definieren, zwecks Detosserdackenschutz? Und falls nicht, was kann ich rechnen, was passiert, wenn ich keine Einwilligung dafür hole? Der Dienst ist in der Maske verschluckt worden. Cloudflare CDN in USA als technisch notwendig, zwecks Detosserdackenschutz. Und falls ich es benutze, was kann man passieren? Danke, das ist jetzt insofern ein gutes Beispiel, weil das jetzt genau den Sinn der vierstundenstufigen Prüfung aufzeigt. Ist so ein Dienst jetzt alle möglichen Bedrohungen von einer Website abwerttechnisch notwendig? Ja, das könnte man wohl in vielen Funktionen, die Cloudflare bietet, durchargumentieren, was das Sinn macht. Aber da werden wir jetzt eher sagen in diesen E-Privacy in der Stufe 2 und in der Stufe 3, was für Verarbeitungsprozesse läuft mir los. Das US-Thema in der vierten Stufe, werden wir halt bei Cloudflare nicht los. Und daher wird Cloudflare eher an der vierten Stufe scheitern. Was passieren kann, ist jetzt insofern etwas schwer zu sagen, weil die Datenschutzbehörden zwar abertausende Verfahren am Laufen haben, aber total Land unter haben, es gibt Datenschutzbehörden verfahren, wo man noch zwei Jahre erschreibender Datenschutzbehörde kriegt. Ihr Fall hat eine Nummer bekommen. Tut uns leid, dass das so lange dauert hat. Noch mehr leid tut uns, dass wir Ihnen sagen müssen, dass es nicht besser wird, weil wir unter der Arbeitslast zusammenbrechen. Also die schreiben das tatsächlich so. Und daher gibt es unzählige Verfahren, aber noch wenige konkrete Urteile mit einer Nummer. Aber man sieht schon, dass die Datenschutzbehörden bei den Strafen anziehen. Und es können auch Benutzerschadenersatz fordern. Das wird in Zukunft vielleicht nur die größere Gefahr. Aber insgesamt würde ich hier europäische Dienste bevorzugen. Ich hacke da jetzt mal ein. Manche haben Hunger und ich weiß, das kann noch lange. Ich bin überzeugt davon, du wirst den einen oder anderen nicht entkommen, der den noch hinter R eilt, den Fragen beantworten. Hey, vielen Dank. Sehr gern. Und nicht vergessen, Jacke mitnehmen zum Essen, Maske auch schon abseilen, halten das ganze übliche Blablabla. Danke.