 Ja, herzlich willkommen. Ich bin Jörg, Jörg Pole. Ich bin hier wissenschaftlicher Mitarbeiter und einer der Forschungsprogrammleiter in einem der Forschungsprogramme am Alexander von Humboldt Institut für Internet und Gesellschaft. Ich werde heute hier ein bisschen was darüber erzählen über eines unserer Forschungsprojekte, das wir gerade haben, indem wir Grundlagen, Forschung verbinden mit ganz praktischen Ergebnissen, die wir erzählen wollen. Es geht um das Projekt Data Protection as a Service, Datenschutz als Dienstleistung. Wir wahrscheinlich alle mitbekommen haben. In den letzten Jahren ist es sehr viel einfacher geworden, entweder eine eigene Webseite aufzusetzen oder ein Blog aufzusetzen und zu betreiben. Nicht zuletzt deshalb, weil Hosting-Anbieter inzwischen Services anbieten, mit denen man sehr einfach und ganz oft ohne weiteres technisches Verständnis solche Systeme aufsetzen kann, teilweise mit einem Klick. Da muss man nur ein Titel vergeben, vielleicht noch die Farbe auswählen oder ein Theme und dann kann man anfangen und das Blog oder die Webseite mit Inhalt befüllen. Das hat aber nicht nur Sonnenseiten. Stattdessen gibt es inzwischen mit der Datenschutzgrundverordnung Anforderungen, die an Webseiten und Blogbetreiber gestellt werden, auch an solche kleinere Seiten. Wer von euch betreibt eigentlich eine Webseite oder ein Blog? Okay, nicht sehr viele. Oh, etwas überraschend. Die zu den Anforderungen gehört und das sagt die Datenschutzgrundverordnung gleich im ersten Artikel, den Schutz der Grundrechte und Grundfreiheiten der Betroffenen bei der Verarbeitung der sie betreffenden Personen bezogenen Daten und damit haben wir ein grundsätzliches Problem. Auf der einen Seite haben wir Dienste, Hosting-Dienste, die ganz einfach zu benutzen sind und von Leuten, Einzelpersonen, wie vielleicht euch oder ihnen, kleinen Verein, aber auch kleinen und mittleren Unternehmen, wie dem Bäcker um die Ecke betrieben werden und auf der anderen Seite haben wir sehr hohe rechtliche und auch technische Anforderungen aus der Datenschutzgrundverordnung und die zusammenzubringen ist schwierig, denn typischerweise sind die, die Blogs betreiben, eben gerade nicht technisch versiert und auch nicht juristisch versiert und genau an der Grenze arbeitet das Forschungsprojekt, mit dem ich mich unter anderem mit einigen Kollegen am Institut beschäftige. Ziel ist die Hosting-Anbieter selbst einzubinden, sie einzubinden in die Gewährleistung von Datenschutz und damit Grundrechtsschutz für die Betroffenen der Datenverarbeitung. Wie machen wir das? Die erste Frage ist natürlich, warum sollten die Hosting-Anbieter damit machen? Die sind ja nicht verpflichtet und wir machen das, indem wir Akteure zusammenbringen, um mit denen gemeinsam ein Zertifizierungsverfahren entwickeln, ein Zertifizierungsverfahren, in dem sich Hoste zertifizieren lassen können, dass sie ein Angebot Datenschutz als Dienstleistung, Data Protection as a Service haben, mit dem sie Hilfestellung für Betreiberinnen und Betreiber von Webseiten und Blogs bieten, die es ihnen ermöglichen, die Datenschutzrechtlichen Anforderungen zu erfüllen und die zugleich sicherstellen, dass die Grundrechte und Grundfreiheiten der Betroffenen geschützt sind. Und wenn sie das tun und sich zertifizieren lassen, dann können sie ein Siegel bekommen, damit werben und sich von Mitbewerbern, die das nicht leisten, abgrenzen. Das ist das Erste. Viel schwieriger ist es, aber die Frage nach den inhaltlichen Bedingungen zu stellen, was ist eigentlich eine gute Hilfe, die Hosting-Provider bieten können, die es dann gerade den Blogbetreibern oder Webseitenbetreibern ermöglicht, ihren Anforderungen genüge zu tun und die Grundrechte der Betroffenen zu schützen. Das Erste, was natürlich sofort ins Auge springt, ist Aufklärung. Die Betroffenen haben ein Recht darauf, darüber informiert zu werden, was auf der Webseite, was auf dem Blog passiert, wie da die Daten verarbeitet werden und wofür. Das setzt voraus, dass derjenige, der diese Informationen anbietet, natürlich weiß, was da passiert. Das heißt, sowohl die Betreiber als auch die Betroffenen müssen ordentlich informiert werden. Und das kann man machen, indem man, und das ist dann unser Ziel, die die Information direkt von den Hosting-Providern liefern lässt. Denn die Hosting-Provider wissen, was auf den Webseiten technisch passiert. Die Hosting-Provider wissen, welche Systeme da im Einsatz sind und welche Dienste da genutzt werden. Und dann kam man, und das könntet ihr dann sehen, indem ihr das euch anschaut, was da als Information gegeben wird. Nachprüfen, ob ihr das versteht. Und dann könnt ihr sicher sein, wenn ihr nur Bahnhof versteht, dann werden auch die Betroffenen nur Bahnhof verstehen. Und damit ist die Anforderung dann nicht erfüllt. Ein zweiter wesentlicher Punkt ist, Hilfestellung dabei zu geben, die einzelnen Anforderungen der Datenschutz-Grundforderung zu erfüllen und zwar so, dass man die Erfüllung nachweisen kann. Das heißt, nicht nur einfach Checklisten anzubieten, sondern möglichst Systeme, Datenschutz-Management-Systeme, die zugleich dokumentieren, dass man sich damit auseinandergesetzt hat, welche Entscheidung man getroffen hat, wie man die Seite eingerichtet hat und was man tut und zu welchen Zwecken. Damit kann man dann zum Beispiel die Fristen einhalten, denn die Fristen in der Datenschutz-Grundforderung sind relativ eng. Datenverarbeiter müssen innerhalb von 30 Tagen Auskunft geben, welche Daten zu welchen Zwecken verarbeitet werden und was sie dafür tun, um die Daten zu schützen und die Personen und die Grundrechte. Dazu kommt die Sicherheit der Seite. Die Sicherheit der Seite, das heißt die Sicherheit vor externen Angreifern. Angreifer, die vorhaben die Personen bezogenen Daten, die auf der Seite gespeichert werden, zu stehlen, um die möglicherweise zu nutzen, um Identitätsdiebstahl zu begehen, die Daten anderweitig zu benutzen, um zum Beispiel auch einfach nur die Person zu spämen. Ein wesentlicher Punkt, den die Datenschutz-Grundforderung verlangt ist, dass Daten, die für einen bestimmten Zweckerhoben werden, nur für diesen Zweck verarbeitet werden dürfen und nicht auch für andere Zwecke. Und auch das lässt sich technisch sicherstellen und auch das kann der Hosting-Provider anbieten als Dienst in einer Form, in der die Betreiber und Betreiberinnen von Blogs und Webseiten das nicht umgehen können. Und nicht zuletzt und das haben vielleicht einige von euch oder Ihnen schon versucht, wenn Sie vorhaben, Ihre betroffenen Rechte gegenüber Datenverarbeitern wahrzunehmen, dann müssen Sie bisher diese direkt anschreiben. Das wiederum heißt aber, die Datenverarbeiter finden heraus, dass Sie Ihre betroffenen Rechte in Anspruch nehmen und das kann durchaus nicht in Ihrem Interesse liegen. Es kann nämlich sein, dass die Datenverarbeiter dieses Wissen selbst entweder nutzen, um dann Ihnen bestimmte Services vorzuhalten oder aber schlicht und ergreifend ich darauf reagieren. Und da stellt sich dann die Frage, wie wir die Systeme so gestalten können, dass Sie Ihre betroffenen Rechte direkt gegenüber dem technischen System, dem zugrunde liegenden technischen System wahrnehmen und damit die Datenverarbeiter weder davon wissen, noch überhaupt in der Lage sind, im Zweifelzfall die Wahrnehmung Ihrer betroffenen Rechte zu verhindern. Das ist ein kurzer Überblick über das Projekt, das wir hier durchführen und mit dem wir versuchen, Grundlagenforschung auf der einen Seite, wie kann man Datenschutz technisch und organisatorisch sinnvoll umsetzen und damit die Grundrechte schützen und ganz praktische Hilfestellungen zu geben, sowohl für die Betreiberinnen und Betreiber von Blogs oder Webseiten auf der einen Seite als auch für die Betroffenen, dass deren Grundrechte geschützt werden. Vielen Dank.