Die DSGVO ist ein Thema, auf das eigentlich keiner Bock hat.
Wenn ich aber eins gelernt hab, dann ist das vor allem, weil keiner so richtig pragmatisch sagt, wie das eigentlich funktioniert. Im Alltag. Wo wir alle arbeiten müssen. Wo wir unsere Kunden respektieren und mit den Daten verantwortungsbewusst umgehen.
Und trotzdem so gerne die schicken Online Marketing Tools nutzen würden.
Heute habe ich Heiko Gossen im Interview. Mit dem rede ich mal Tacheles darüber, was eigentlich geht und was nicht.
DSGVO Verstöße und Konsequenzen
Ich habe ihm die häufigsten DSGVO Verstöße meiner Kunden mitgebracht und frage mal ganz dreist, was die Konsequenzen sind
- Google Analytics nicht über Real Cookie Banner eingebunden, sondern über das Google Plugin (und damit dann auch nicht geblockt hat)?
- DSGVO konformes Kalender-Tool auf der Webseite eingerichtet (HTML Code) und dann Google Kalender verknüpft?
- Datenschutz Text vom Generator und einfach mal proforma alles angeklickt (auch das, was man nicht nutzt)?
Heikos Podcast findet ihr unter https://www.migosens.de/podcast/ er twittert unter https://twitter.com/DS_Talk und auf Insta findet ihr ihn unter https://www.instagram.com/datenschutztalk_podcast
Wenn du es ganz genau wissen willst, kannst du dir auch das Transkript durchlesen:
Podcast Transkript
00:00:01
Mareike: Herzlich willkommen, ich habe heute einen Gast: Heiko Gossen magst du dich mal vorstellen?
00:00:09
Heiko: Sehr gerne. Mein Name ist Heiko Gossen. Ich bin von der Firma Migosens. Wir machen viel mit dem Thema Datenschutz, um nicht zu sagen, dass es eine unserer Hauptbeschäftigung ist. Daneben noch auch Managementsystem und Informationssicherheit. Wir haben noch den Bereich Work Smart und wir haben einen Podcast, den Datenschutz Talk, wo wir auch regelmäßig bis hin zu wöchentlich eigentlich über das Thema Datenschutz sprechen.
00:00:40
Mareike: Perfekt, dass du dich mit Datenschutz beschäftigst, dann habe ich jemand, den ich dazu fragen kann und muss die Recherche nicht selbst übernehmen.
00:00:48
Mareike: Was ich mir heute überlegt habe: Was kann man denn da eigentlich alles falsch machen mit der DSGVO? Dann kannst du mir erzählen, wie schlimm wird es denn wirklich, wenn man es da so richtig vergeigt oder wird gar nicht so schlimm?
00:01:13
Heiko: Ja. Du stellst die richtigen Fragen. Wird es richtig schlimm oder nicht. Finde ich spannend?
00:01:22
Mareike: Ja, weil ich immer wieder WErbung bekomme mit Formulierungen wie: “kaufe mein Datenschutz-Paket, sonst drohen dir 20.000 Euro Strafe”. Das hört sich viel an.
00:01:49
Mareike: Ich habe im letzten halben Jahr mitgeschrieben, was meine Kunden so auf ihren Webseiten für DSGVO Patzer gemacht haben. D stelle ich dir mal vor.
00:02:03
Mareike: Eine Sache, die immer wieder passiert, ist ein falsch ein gerichtet Cookie-Conesnt-Tool. Also das Popup, das fragt “darf ich Cookies setzen”.
00:02:06
Mareike: Es gibt zwar so ein Pop up, dann wird es aber nicht richtig eingerichtet, sondern nur installiert und die Lizenz bezahlt. Gleichzietig wird aber Google Analytics über ein separates Plugin eingebaut, so dass die Cookies davon gar nicht geblockt werden können.
00:02:34
Mareike: Und was passiert denn da? Erst mal gar nichts. Oder gibt es schon direkt? Ist es was ganz Schlimmes?
00:02:41
Heiko: Das hängt vom Einzelfall ab. Aber ganz grundsätzlich ist es schon so, dass wir bei den Cookie Bananen schon bei der Implementierung sehr darauf achten müssen, dass der Cookie Banner selber auch das macht, was er tun soll. Nämlich erst mal die, die Cookies blocken, bis der User sich dann auch entschieden hat. Und erst dann, wenn er dann noch zugestimmt hat, dürfen die Cookies auch wirklich gesetzt und gedropt werden.
00:03:18
Heiko: Wenn ich das jetzt falsch mache, dann ist natürlich die Frage erst mal “wem fällt es auf?” Ist es etwas, was der Benutzer merkt? Für viele Benutzer merken das natürlich nicht, die sehen das nicht. Aber das ist halt das Gemeine. Das kann natürlich jeder versierte Nutzer doch rausfinden. Die Browser bieten heute halt viele Möglichkeiten an, wo man halt sehen kann, welche Cookies werden durch welche Webseite gesetzt. Wenn es ein Browser schon mal die Taste F12 gedrückt hat, der sieht plötzlich ganz viele spannende Dinge und da sieht man dann auch plötzlich, welche Cookies zum Beispiel gesetzt werden. Und wenn das halt gemacht wird, bevor der Cookie Banner bestätigt wurde, dann ist es halt schon mal schlecht für den, der die Website betreibt.
00:04:05
Heiko: Jetzt ist die Frage wie gesagt, wer stellt das fest? Wenn das jetzt die Nutzer tun, dann könnte es natürlich sein, dass der Benutzer mich darauf aufmerksam macht, sagt “da hast du was falsch eingerichtet. Korrigiere das mal”. Dann ist alles schick, dann kann ich es korrigieren. Aber wo kein Kläger, da kein Richter, wie man so schön sagt, dann ist alles gut.
00:04:25
Heiko: Jetzt ist es natürlich so, dass die Aufsichtsbehörden auch aufgerüstet haben in den letzten Jahren und auch sehr viele Aufsichtsbehörden angefangen haben, Webseiten systematisch von Unternehmen abzusuchen und zu gucken, ob die denn die Implementierung von gängigen Tools wie Google Analytics oder auch anderen Tracking Mechanismen Datenschutzkonform eingesetzt haben. Ob die Verschlüsselung anbieten fürs Kontaktformular und andere Dinge. Wenn man natürlich in so einen Suchlauf reinkommt, dann kann es natürlich sein, dass die Aufsichtsbehörde das findet.
00:04:56
Heiko: Was halt auch sein kann, wenn ich einen Wettbewerber habe oder einen Benutzer habe, der mir vielleicht nicht so wohlgesonnen ist, der geht zur Aufsichtsbehörde und sagte mir Da auf dieser Webseite ist was nicht in Ordnung, guckt euch die mal an. Und wenn die Aufsichtsbehörde aufmerksam wird auf meine Webseite, dann ist natürlich deutlich unglücklicher, weil dann muss ich erst mal der Aufsichtsbehörde erklären, warum ich das so gemacht habe, warum das vielleicht passiert ist und was ich gedenke zu tun, um das zu beheben.
00:05:23
Heiko: Da ist jetzt ja mal die Wahrscheinlichkeit, dass irgendein Benutzer, der mir nicht wohlgesonnen ist oder Wettbewerber zur Aufsichtsbehörde geht bei kleineren Unternehmen die größere Wahrscheinlichkeit als das jetzt ich sage mal die Aufsichtsbehörde durch automatisierte Scans meine Webseite gerade findet, weil die typische Aufsichtsbehörde in Deutschland hat mehrere tausend Unternehmen, die sie beaufsichtigt und da prüfen die nicht jede Website. Aber dass sich jemand beschwert, ist natürlich etwas wahrscheinlicher. Da muss ich natürlich, wenn ich ein ganz junges Startup bin, vielleicht noch weniger mitrechnen, als wenn ich schon mal etabliert bin und vielleicht auch mal den einen oder anderen Kunden dabei hatte, der nicht ganz zufrieden war am Ende mit meinen Leistungen.
00:06:09
Mareike: Und was würde so eine Datenschutzbehörde also sagen? Fragen, die mich dann als erstes “War das jetzt aus Versehen oder hast du jetzt bewusst geschummelt?” Gibt es da so was wie eine Verwarnung? Das es erst mal 100 Euro kostet? Bezahlbarer Warnschuss? Oder ist es so wie in diesen Werbungen, wo ich immer lese “sofort 20.000 Euro”. Wie panisch muss ich jetzt sein?
00:06:49
Heiko: Also panisch muss man nicht sein.
00:06:54
Heiko: Im allerschlimmsten Fall, wenn die sagen “Moment mal, wir glauben, du hast es absichtlich gemacht” und sie unterstellen dir jetzt einen gewissen Vorsatz. Dann gibt es ein Bußgeld. Dann könnte das streng genommen nach dem Buchstaben des Gesetzes 10 Millionen oder 20 Millionen Euro betragen.
00:07:16
Heiko: Das ist aber die Höchstgrenze und müsste dann auch 4% oder 2% vom Jahresumsatz sein. Den muss man erst mal machen 😉 Ich gehe davon aus, dass deine Kunden da weniger umsetzen.
00:07:34
Heiko: Also die Regelung ist halt: Bußgeld kann bis zu 10 oder 20 Millionen Euro je nach Verstoß Art des Verstoßes sein oder 2 oder 4% des Jahresumsatzes des Vorjahres. Je nachdem was höher ist.
00:08:01
Heiko: Also diese Gefahr ist nicht da, weil natürlich auch die Aufsichtsbehörden immer nach beiden Grenzwerten richten müssen. Und das Ganze muss angemessen sein. Es soll zwar abschreckend sein, so ein Bußgeld, aber es muss auch angemessen sein. Das heißt, eine Aufsichtsbehörde wird nie ein Bußgeld verhängen, was mich als Unternehmer jetzt wirklich existenziell so bedroht, dass ich sage danach muss ich Haus und Hof verkaufen, meine Kinder verpfänden oder was auch immer und gehe jetzt quasi dann wirklich daran bankrott. Also das, das ist erst mal nicht zu befürchten. Da müsste ich, glaube ich, wirklich sehr vorsätzlich, sehr missbräuchlich mit Daten umgehen, dass das so was vielleicht irgendwie wägbar wäre.
00:08:42
Heiko: Aber für einen Cookie Banner, was ich falsch programmiert habe oder Cookie, was ich falsch eingesetzt habe, da ist es nicht zu befürchten. Es kann schon jetzt nicht ganz ausgeschlossen werden, dass der Aufsichtsbehörde, wenn man sich nicht einsichtig zeigt und wenn man das auch nicht schnell behebt oder wenn man vielleicht gar nicht auf die Anfragen der Aufsichtsbehörden reagiert, dann auch mit einem Bußgeld droht. Aber ich sage mal bei jedem kleineren Unternehmen, bei dem Start up, bei einem Einzelunternehmer wird es eher so aussehen, dass die Aufsichtsbehörde erst mal nicht schreibt und sagt “Das haben wir festgestellt oder das uns gemeldet worden. Wie sieht es aus? Wirst du das beheben oder nicht?” Und wenn man da erst mal einsichtig ist, dann ist die Gefahr, dass direkt ein Bußgeld verhängt wird, erst mal gering.
00:09:30
Heiko: Anders sieht es aus, wenn ich wiederholt auffällig werde. Dann kann es natürlich schon eher sein, dass mal ein Bußgeld verhängt wird.
00:09:37
Mareike: Ja, aber das ist ja dann auch zu Recht. Also wenn man anfängt, systematisch mit Daten Schabernack zu betreiben…. Also mal so unter uns, dann ist es auch okay.
00:09:46
Heiko: Also ja, sehe ich auch so. Das ist also es ist leider nicht so, dass es jetzt in dem Verkehr ist, wenn ich jetzt sehe, ich bin 10 Kilometer pro Stunde zu schnell gefahren und ich bin geblitzt worden, kann ich mir vorher ausrechnen, wie hoch wird sozusagen das Knöllchen werden, was ich bekomme. Das ist halt dem Datenschutz nicht ganz so einfach.
00:10:08
Mareike: Haben wir die Perspektive, dass es mal einfacher wird? Im Moment habe ich so das Gefühl, dieser ganze Datenschutz ist nicht greifbar. Meine Kunden haben ja auch weder eine Rechtsabteilung, noch eine eigene noch eine eigene EDV, geschweige denn von einem eigenen Datenschutzbeauftragten. Und ich habe manchmal so das Gefühl, das ist halt auch gewollt undurchsichtig. Oder befinden wir uns in einer Übergangsphase und haben wir die Hoffnung, dass es cooler wird?
00:10:43
Heiko: Ich fürchte noch. Dass es gewollt undurchsichtig ist, glaube ich, dass es das ist nicht so. Wir müssen sehen, die DSGVO ist ein Europarecht, das heißt, es wurde über vier Jahre hinweg zwischen allen Mitgliedstaaten der Europäischen Union verhandelt. Es wurden Kompromisse gemacht, die mehr oder weniger gut waren. Irgendwelche faulen Deals haben auch dazu geführt, dass Regelungen rein gekommen sind oder rausgefallen sind, einfach weil Interessen verfolgt wurden von Mitgliedsstaaten, von Lobbyisten, was auch immer. Wie das halt dann so ist, egal ob europäisch, national. Das Ganze wird verhandelt und irgendwann kommt was raus, mit dem alle irgendwie versuchen müssen zurechtzukommen.
00:11:29
Heiko: Und wir haben natürlich eine Materie, die ist fängt an bei
00:11:34
Heiko: – ich führe, weil sie nicht eine Karteikarte mit meinen Kundendaten auf Papier
00:11:39
Heiko: bis hin zu
00:11:40
Heiko: – ich mach Datenanalysen mit Big Data und KI Systemen
00:11:47
Heiko: Und das ganze muss in einem Gesetz irgendwie abgebildet werden und da liegt letztendlich die Herausforderung und deswegen ist es auch so schwierig.
00:11:55
Mareike: Ich habe direkt noch was mitgebracht. Richtige Praxisfälle.
00:12:04
Mareike: Ich habe im Kundenkreis viele Coaches, Trainer und Berater und die nutzen über ihre Webseite häufig ein Kalender Tool, bei dem man sich direkt Coaching, Termine oder Vorgespräche buchen kann. Diese Tools sagen fast alle, sie sind DSGVO konform. Dann binden die Anwender das auf der Webseite ein. Die Tools ALLEINE sind auch DSGVO konform. Das ist aber nicht die Praxis. Am Ende schaue ich mir das an als Webdesigner und kann nur die Hände über dem Kopf zusammenschlagen. Denn am Ende des Tages kann man einen Google Kalender dran flanschen. Ab da wird es ja spannend.
00:12:45
Heiko: Also ich glaube es wird schon vorher spannend, weil es ist erstmal wichtig zu verstehen, dass ein Tool komplett DSGVO konform sein kann, wenn ich es so einsetze, wie der Hersteller es vorgesehen hat.
00:13:06
Heiko: Das ist so ein bisschen wie wenn ich ein Messer kaufe, dann kann das Messer völlig legal eingesetzt werden, wenn ich damit mein Brot schneide. Ich kann das Messer aber auch nutzen, um jemanden abzustechen, dann ist das ganze trotzdem strafbar, auch wenn vielleicht vorher auf dem Messer drauf stand “das ist rechtskonform”. Ist ja vielleicht ein schlechter Vergleich, aber…
00:13:27
Mareike: Nein, den finde ich super gut.
00:13:31
Heiko: Ich bin als Käufer des Messers und als Nutzer dafür verantwortlich, dass ich mit diesem Messer halt keinen Mist baue oder dass ich das halt nicht nutze, um Rechtsverstöße zu begehen. Und genauso ist es halt mit Tools. Das heißt also ich, derjenige, der das Tool einsetzen möchte, der ist dafür verantwortlich, dass das Ganze halt Datenschutz konform ist. Und ich muss halt gucken, ob das Tool, in genau der Anwendungsform, die ich nutze mit allen Schnittstellen immer noch DSGVO konform ist.
00:14:05
Heiko: Es lässt sich leicht auf ein Tool draufschreiben. Vor allen Dingen amerikanische Anbieter sind da natürlich sehr darum bemüht, diese Wahrnehmung aufzubauen, dass sie Datenschutz konform sind. Aber am Ende muss ich dafür geradestehen als derjenige, der es einsetzt. Wir kennen diese Tools und es gibt da viele. Es gibt lokale Versionen, die ich in meinem WordPress direkt betreiben kann. Es gibt Versionen, die von deutschen oder europäischen Anbietern betrieben werden. Es gibt aber auch genauso viele, die international irgendwo in Drittstaaten, insbesondere USA, angeboten werden. Und da muss ich ja zum Beispiel berücksichtigen, das Stand heute die Einbindung von amerikanischen Tools immer mit einem gewissen Restrisiko verbunden ist.
00:14:53
Heiko: Seit letztem Jahr gibt es das Schrems II. Urteil: In den USA ist einfach der Schutz der personenbezogenen Daten nicht so sichergestellt wie in Europa und es kann auch durch Verträge nicht ausreichend abgesichert werden. Und dementsprechend ist jeder, der amerikanische Anbieter nutzt, immer noch eine Verpflichtung selber, sich auch darüber Gedanken zu machen, ob das denn am Ende vertretbar ist. Jetzt kann ich natürlich meinen Google Kalender daran anbinden, aber bei Google ist ja letztendlich schon die gleiche Frage sich zu stellen, weil auch Google ist ein amerikanisches Unternehmen und auch da muss ich mir natürlich schon die Frage stellen “Nutze ich Google Datenschutz konform?” Wenn ich das tue und wenn ich einen Kalender Tool habe, dass ich auch Datenschutz konform nutze, dann ist grundsätzlich auch Datenschutzseitig es möglich, die Tools zu kombinieren.
00:15:57
Heiko: Aber wichtig ist halt, wenn ich Tools miteinander kombiniere, dann muss ich mir die Frage für jedes Tool einzeln stellen.
00:16:04
Mareike: Also ist es wie im Straßenverkehr: an jeder Schnittstelle muss man wie im normalen Straßenverkehr auch links und rechts gucken, bevor man über die Straße geht,
00:16:14
Heiko: So ist es.
00:16:16
Mareike: Okay. Gehen wir mal davon aus, wir nutzen jetzt ein deutsches Tool oder was, das lokal gehostet ist auf einer WordPress. Hast du dann so einen heißen Tipp, wo du sagst “Hey, guck mal, so kann man zum Beispiel den Kalender Datenschutzkonform nutzen”.
00:16:36
Heiko: Also die die Anbindung an bestehende Kalender System istgrundsätzlich erst mal möglich. Es ist natürlich immer besser, je Daten-sparsamer ich dabei bin. Sprich es gibt ja auch Tools, wo ich einfach nur bestimmte Slots hinterlegen kann, die ich nicht direkt mit meinem Kalender koppele, sondern wo ich quasi in diesem Tool selbst direkt meine Zeiten pflege oder wo ich Termine einstelle, die gebucht werden können. Das ist natürlich die die einfachste und damit aber auch Datenschutz freundlichste Variante, weil ich keine Anbindung zu meinem bestehenden Kalender herstellen muss.
00:17:11
Mareike: Spitze! Das ist so “halb händisch”. Dann weiß ich ganz genau, ich habe immer von 10 bis 12 die Möglichkeit über dieses Tool Slots bei mir zu buchen. Blocke die Slots bei mir im Kalender und wenn jemand bucht, kriege ich eine E-Mail und dann kopiere ich das händisch in meinen Kalender und gebe meinen Kalender aber nicht dem Tool frei.
00:17:36
Heiko: Genau das ist, wie du schon richtig damit implizierst, nicht ganz so komfortabel, weil ich es halt dann im Zweifelsfall immer eintragen muss. Aber ich vermeide damit auf der anderen Seite auch dass dieses Kalender Tool Daten aus meinem Kalender liest, die es vielleicht gar nichts angeht. Wenn ich gleichzeitig manuell Dinge in meinen Kalender eintrage,
00:18:00
Heiko: – heute die Podcast Aufnahme mit der Mareike,
00:18:04
Heiko: – morgen ein Personalgespräch
00:18:04
Heiko: Und genau dieses Personalgespräch geht das das Tool vielleicht gar nichts an. Vor allen Dingen, wenn da vielleicht auch noch sensible Informationen im Termin hinterlegt sind. Zum Beispiel Vorstellungsgespräche oder Personalgespräche.
00:18:21
Mareike: Vor allen Dingen, weil die Menschen, die mit dir telefonisch oder per E-Mail einen Termin ausgemacht haben, die wissen ja gar nicht, dass du auch online über ein Tool buchbar bist. Wer online bucht, ist sich dessen ja bewusst. Die sind sich ja schon im Klaren, dass sie gerade ihre Daten anvertrauen und können dann zum Beispiel auch eine separate E-Mail-Adresse dafür extra eingeben, wenn sie ihre E-Mail Adresse schützen wollen.
00:18:52
Heiko: Das ist richtig, wobei natürlich die anderen ganz in der Theorie mal gesprochen ist, ja auch wissen müssten, weil in dem Moment, wo ich ja Daten von jemandem erhebe und das tue ich ja in dem Moment, wo ich sage, ich war mit den Termin jetzt bei mir natürlich die Daten in meinen Kalender ein, muss ich ja nach den Buchstaben des Gesetzes, also der DSGVO, ja den Betroffenen darüber informieren, was ich mit seinen Daten mache. Und ich muss ihnen auch darüber informieren. Zum Beispiel wenn die Daten in ein Drittland übermittelt werden. Und das heißt, wenn ich jetzt in Google Kalender nutze, müsste ich ihn streng genommen auch darüber informieren, dass seine Daten jetzt ein Google Kalender eingetragen werden und damit eine Übertragung in die USA nicht ausgeschlossen ist.
00:19:40
Mareike: Da finde ich aber den Hinweis von dir, dass dann einfach händisch oder zu Fuß zu machen. Den finde ich ziemlich smart, weil das halt ein kalkulierbares Risiko ist. Das kann ich mir mit einem Dreisatz ausrechnen. Das bedeutet immer wenn mich jemand bucht, dann muss ich zwei Minuten extra von meinem Stundensatz dazu kalkulieren, dass ich diesen Kalendereintrag einfach in meinen persönlichen Kalender einpflegen. Das ist kalkulierbar und abschätzbar. Das ist ein Risiko, was ich auf Sicht fliegen kann. Wohingegen, wenn ich das einfach verknüpfe und auf das Beste hoffe. Da sind wir dann wieder bei einem unkalkulierbaren Risiko.
00:20:16
Mareike: – Wie hoch ist denn gegebenenfalls die Strafe?
00:20:18
Mareike: – Wer kann mich denn da erwischen? –
00:20:19
Mareike: Wer will mir was Böses und zeigt mich an.
00:20:21
Mareike: Also da sind dann auf einmal wieder ganz viele Variablen im Raum, die ich gar nicht kontrollieren kann. Diese zwei Minuten, die sind ein absolut überschaubares Risiko für einen Coach, Trainer oder Berater. Ich sag mal einem gängigen Geschäftsmodell.
00:20:44
Heiko: Genau. Es nur zwei Minuten sind am Ende, aber es ist natürlich in der heutigen Zeit, wo wir uns ja eher durch die Technik erleichtern wollen und ich will auch gar nicht den Eindruck erwecken, dass Datenschützer die Nutzung von neuen Technologien und Tools verhindern. Also das heißt, es ist halt die die Schmalfuß Variante in dem Moment, wo ich halt sage, das ist mir zu unsicher oder ich will mich diesem Risiko nicht aussetzen, ist es der einfache, pragmatische Weg, der halt händisch funktioniert, nicht ganz auf Automatisierung geht, aber auf der anderen Seite wird der auch mit wenig Aufwand sich dann am Ende erstmal wenig Datenschutz Risiken beinhaltet. Ja klar.
00:21:30
Mareike: Also das ist ja das, was meine Kunden zum Beispiel bei mir immer sehr, sehr gerne mögen oder sehr schätzen, dass ich solche Varianten mit aufzeige.
00:21:38
Mareike: Weil jemandem, der gerade gestartet ist und der erstmal sich um jeden Gründungs-Kram kümmern muss, dem zu sagen “Ja hey, du kannst natürlich dir von einem Techniker eine Nextcloud installieren lassen, darüber kannst du deine E-Mails verschicken. Sas läuft dann alles total Datenschutz konform, dann kannst du dir ein NAS bei dir ins Büro stellen und so. Das ist ja eine komplette Überforderung. Und sehr teuer. Du musst es ja dann auch alles irgendwie einrichten oder einrichten lassen und oder jemanden dafür bezahlen, dass er das tut. Das bedeutet, du hast wieder gebundenes Kapital, was ich am Anfang gar nicht immer so clever finde, wenn du einfach mal ausprobieren willst, ob Coaching was für dich ist. Dann block doch lieber die Termine im Kalender und speicher die halt später rein. Wenn du merkst es läuft, mach dann die bessere Version.
00:22:24
Heiko: Also absolut. Ich meine bei jedem Gründer Seminar wird einem erklärt, wie wie viele Tools es gibt auf dem Markt. Da werden die besten Empfehlungen ausgesprochen, aber es wird nicht drauf eingegangen, welche Risiken sich damit gleichzeitig ergeben.
00:22:37
Mareike: Ja das mag ich immer ganz gern, dass man so ein bisschen pragmatisch auch für sich selbst entscheidet. Wie viel Risiko will ich also? Und es kann ja dann jeder selber entscheiden. Viel besser als: Das darfst du nicht und das darfst du nicht .
00:22:53
Mareike: Und keiner sagt mir: Was dürfte man denn vielleicht? Was wäre denn erlaubt? Und klar, in dem Moment, wo du sagst, man könne es ja einfach händisch übertragen, da ist das eine Möglichkeit.
00:23:05
Mareike: Klar wissen wir alle, dass es cooler geht. Und das ist irgendwie so eine smarte Version. Aber dann muss man halt aber auch ein smartes, großes Unternehmen gründen, die Kohle in die Hand nehmen und es einmal ordentlich einrichten. Die Frage ist halt “Will man das jetzt schon?”
00:23:22
Mareike: Eine Frage habe ich noch mitgebracht. Wir müssen ja unsere Kunden darüber informieren, was wir mit den Daten machen. Auf der Webseite informieren wir die Kunden ja in der Datenschutzerklärung darüber, was wir mit den Daten machen. Das was ich an vier von fünf Tagen in der Woche sehe als Webdesigner ist: Da hat jemand bei so einem Generator die Vollversion gekauft und einfach wahllos alles angeklickt, was man mit Daten machen kann und das dann mit Copy und Paste auf diese Seite geschossen. Gilt bei der Datenschutzerklärung viel, hilft viel oder bringt uns das am Ende des Tages nicht weiter? Was würde denn passieren? Wenn wir wirklich mal bei der Datenschutzbehörde auffällig würden und die würden dann so eine Datenschutzerklärung finden.
00:24:21
Heiko: Also ich bin ein ganz großer Freund von dem Motto Weniger ist mehr. Also, um deine Frage konkret zu beantworten viel hilft viel. Es ist in dem Fall definitiv nicht so, weil… Also ich sehe unwahrscheinlich viel Datenschutzerklärung. Viele fangen an, mir erst mal die Welt zu erklären und zu erklären, was sind personenbezogene Daten, was sind Cookies und was sind die Rechtsgrundlagen. Die DSGVO sagt ganz klar Ich muss den Betroffenen mit einfachen Worten und einfacher Sprache darüber informieren. Das heißt also, die Betroffenen jetzt erst mal mit lauter Begrifflichkeiten zu zu schmeißen, di ein derDSGVO definiert sind, hilft eigentlich gar nicht. Das zweite ist halt: bei so einem Generator kann ich natürlich alles auswählen. Das ist im Zweifelsfall, könnte man jetzt sagen, die sichere Variante. Aber dann decke ich ja alles ab.
00:25:26
Heiko: Aber und das muss man halt aber im Hinterkopf behalten: Alles was ich da sage, was ich mit den Daten mache, birgt ja immer auch im Zweifelsfall irgendwo mal ein Risiko, dass es angegriffen wird von jemandem. Und wenn ich dann noch sage, ich mache das alles damit. Und dann fragt mal jemand damit Welche Daten hast du von mir? Was machst du damit? Und dann sage ich “Na ja, eigentlich mache ich aber nur das und das”. Dann bin ich ja schon in dem Moment unglaubwürdig, weil auf meiner Webseite steht ja was ganz anderes, da schon sehr viel mehr mit den Daten mache. Und das gleiche wird eine Aufsichtsbehörde sagen, die sagt “Hör mal, auf deiner Webseite schreibst du, du machst das, das, das, das und warum machst denn das? Was sind deine Zwecke?” Und die will vielleicht ein bisschen mehr noch dazu wissen, hinterfragt das Ganze. Ja, und dann kann ich das nicht vernünftig beantworten, weil ich vielleicht gar nicht weiß, was ich da ausgewählt habe, geschweige denn, was das überhaupt bedeutet, was da vielleicht steht. Und das hilft weder mir, noch der Aufsichtsbehörde noch den Betroffenen. Also von daher mein ganz dringender Rat, sich das wirklich anzugucken. Was mache ich, was steht da? Passt das eigentlich zu mir?
00:26:30
Heiko: Diese Generatoren sind ein guter Einstieg, aber man sollte das auch sich nicht zu einfach machen. Ich weiß, Datenschutz macht den wenigsten Spaß. Also die wenigsten sind so bekloppt wie wir und machen das total gerne und verdienen ihr Geld damit. Das ist mir völlig bewusst und ich weiß auch das es halt schwer erst mal zu durchdringen ist, wenn man so ganz viele andere Themen gerade in der Gründungsphase hat. Aber es nutzt am Ende halt nichts, sich doch ein bisschen damit zu beschäftigen und so Grundzüge mal zu verstehen hilft enorm. Dann auch die Dinge besser darzustellen und auch das transparent zu machen, was man eigentlich wirklich macht.
00:27:09
Mareike: Und wie? Was würde jetzt konkret passieren, wenn so eine Datenschutzbehörde merkt? Okay, das ist hier ein Nullblicker, der hat einfach alles angeklickt. Und dann entsteht ja sofort der Eindruck. Der hat selber keine Ahnung von seinen Daten. Sind wir dann wieder bei den 4%? Ist dann so der Moment erreicht, wo die sagen “tschuldigung, aber das schon grob fahrlässig. Hier einfach mal alles anklicken und mit den Daten machen was du möchtest. Zahl doch einfach mal die 4%” Sind wir dann wieder da?
00:27:40
Heiko: Also mir sind keine Fälle bekannt, wo solche Bußgelder verhängt wurden. Es ist natürlich nicht jedes Bußgeld wird wirklich bekannt, aber es ist halt auf der anderen Seite schon dann, wenn wenn die Aufsichtsbehörden dazu also andersherum gesprochen. Die müssen natürlich gucken, dass das Ganze verhältnismäßig ist. Und wenn ich ein Startup bin, wenn ich ein kleines Unternehmen bin, wenn ich vielleicht gerade mein Auskommen habe, dann sind die Aufsichtsbehörden da jetzt nicht diejenigen, die versuchen, mich über ein Bußgeld zu bekehren. Aber sie fordern dann schon einen natürlich auf, die Dinge richtig zu machen und auch vernünftig zu machen und wollen das dann auch sehen und auch nachgewiesen haben. Aber das jetzt direkt die Bussgeld-Keule, von denen ausgepackt wird, ist eher unwahrscheinlich. Ich kann da keine Garantie abgeben, das ist ja eine Entscheidung der Aufsichtsbehörden, aber mir sind keine Fälle bekannt, wo dann in solchen Fällen die Aufsichtsbehörde quasi direkt sagt “Okay, das versuchen wir jetzt durch ein Bußgeld zu heilen”. Die werden wahrscheinlich eher sagen “Nimm mal das Geld, was du als Bußgeld zahlen müsste, um eine vernünftige Fortbildung zu machen”.
00:28:46
Mareike: Was ja Sinn macht.
00:28:48
Heiko: Ja, also es macht Sinn. Wobei es gibt natürlich immer die Schwierigkeit bei den ganzen kostenfreien Informationsangebot das Richtige heraus zu kristallisieren.
00:29:00
Heiko: Ja, du hast es eingangs ja gesagt, wer mir irgendwie nur versucht irgendwelche teure Software oder sonst was zu verkaufen und auf der anderen Seite mit hohen Bußgeldern droht ist vielleicht kein seriöser Anbieter. Und auf der anderen Seite natürlich auch nicht den Leuten zu folgen, die halt alles zu leicht nehmen. Da tut man sich auch keinen Gefallen mit. Aber es ist wie immer im Leben: man muss das richtige Mittelmaß finden. Es ist halt die Kunst und das ist halt immer gut, wenn man sich da mal ein bisschen die Grundlagen drauf schafft, dann hat man eher die Chance es selber auch mal zu bewerten.
00:29:34
Mareike: Hm, das finde ich irgendwie ganz cool, dass du das auch noch mal so gesagt hast. Was ich immer auch meinen Kunden sage, ist “Denk doch noch mal bitte drüber nach, dass es keine Daten sind, sondern dass es Menschen sind. Das sind eure Kunden”. Weil das ist ja das ja ganz oft irgendwie im Online-Marketing so völlig. hinten runterfällt. Keiner würde das machen, keiner würde einfach Kunden Daten raus geben. Der Kunde ist unser Kapital. Keiner würde einfach Kundendaten offen liegen lassen. Mal an so einem Stammtisch oder so. Wie du sagst: die Informationen im Kalender Eintrag für Vorstellungsgespräch einfach mal vorne auf dem Tresen liegen lassen beim Sommerfest von der Firma. Würde ja keiner machen. Sobald du aber anfängst, Daten im großen Stil zu verarbeiten oder überhaupt mal irgendwie zusammenzufassen, dann sind es ja keine Menschen mehr, dann sind es ja Leads.
00:30:33
Mareike: Ab da finde ich, liegt so ein bisschen der Hase im Pfeffer, weil in dem Moment, wo du dich mit der DSGVO beschäftigst und überleg dir wirklich “Was habe ich denn für Daten? Was mache ich denn für Daten?” Und dann kannst du dir für jeden Datensatz wieder das passende Gesicht dazu vorstellen und dann ist die DSGVO auch wieder einfacher. Also so habe ich es zumindest gemacht, als ich meine Datenschutzerklärung geschrieben habe mit meiner Datenschutzbeauftragten. Wir sind wirklich anhand von einer, also von zwei, drei Kunden-Aufträgen, die ich gemacht habe, was so meine STANDARD Sachen sind. Da sind wir so durchgegangen, und zwar mit Gesicht drauf, und haben geguckt, was passiert denn mit diesen Daten von den Kunden (mit Gesicht drauf) und was müssen wir dann am Ende jetzt aufschreiben? Und was passiert dann mit denen auf der Webseite? Und das finde ich, hat mir geholfen von diesem undurchsichtigen “Oh mein Gott! Was müssen wir denn jetzt hier machen” zu: “Ah okay, ich glaube, wir können das echt irgendwie verstehen”.
00:31:28
Mareike: Und dann halt auch so Leute wie du, die halt noch mal sagen “Okay, gib es doch mal bitte sorgfältig an”. Weil das ist schon wichtig. Aber da kommt jetzt auch keiner und will den Laden zumachen und der Sinn der Datenschutzbehörde oder der Aufsicht ist halt nicht, alle Firmen jetzt zu schließen und in den Ruin zu treiben und Bußgelder zu verhängen. So dass am Ende keiner mehr arbeiten darf.
00:31:54
Heiko: Das ist was ganz wichtiges, was du sagst, weil das wird oft vergessen. Datenschutz. Heißt zwar Datenschutz, aber es geht am Ende gar nicht darum, die Daten zu schützen, sondern wirklich und das steht auch so schon in unseren Bundesdatenschutzgesetz drin und in der Datenschutzgrundverordnung drin. Es geht immer um die Menschen dahinter, um deren Grundfreiheiten. Man muss diese Balance finden zwischen dem, was die Wirtschaft, die Forschung, die Behörden machen müssen und wollen und gleichzeitig das, was notwendig ist, um die Personen, die Menschen, deren Daten und deren, deren Daten es geht, am Ende angemessen zu schützen.
00:32:48
Heiko: Wir haben 1980 das Volkszählungsurteil gehabt, das ist ein wichtiger Meilenstein gewesen im Datenschutz. Da hat schon damals das Gericht festgestellt und gesagt “Na ja, in dem Moment, wo ich halt nicht mehr weiß als Mensch, wo meine Daten sind, wer meine Daten hat, was er damit macht, wer alles Zugriff darauf hat. In dem Moment werde ich mich nicht mehr frei entfalten können, nämlich nicht mehr mich genauso verhalten, als wenn ich davon ausgehen darf, dass meine Daten vertraulich sind und nur wirklich bestimmte Leute haben.” Und darum geht es. Also das ist der Punkt, den du angesprochen hast. Sehr, sehr, sehr wichtig, sich wirklich immer wieder mal ein Bild auf die Daten zu kleben. Zumindest mal gedanklich um um das wieder sich vor Augen zu führen.
00:33:28
Mareike: Sehr cool. Also ich glaube, damit würde ich den Sack auch heute zumachen, willst du noch mal kurz erzählen, wo meine Hörer dich finden können?
00:33:38
Heiko: Also wir sind einerseits natürlich in den sozialen Medien unterwegs, ihr findet uns auf Instagram unter @Datenschutztalk_Podcast. Wir machen jede Woche eine kurze Folge zu den aktuellen Datenschutz Themen, was so in der Welt passiert ist. Da kann man sich auch ein bisschen auf dem Laufenden halten und dann machen wir einmal im Monat eine Themen Folge, wo wir noch mal ein Thema vertiefen. Also wir da auch zu einem speziellen Thema Fragen hat oder sich Gedanken macht, kann man in unserer in unserem Podcast gucken welche Themenfolgen wir hatten uns was passendes dazu gibt.
00:34:30
Mareike: Also dann sage ich dir vielen vielen Dank. Also das war ganz ganz klasse Interview. Das hat ganz viel Druck rausgenommen, finde ich. Und auch mit viel Herz und Verstand so erklärt, worum es eigentlich geht und worum es eigentlich nicht geht. Und dann wünsche ich dir noch einen richtig schönen Tag. Dankeschön!
00:34:51
Heiko: Danke dir! Schön, dass ich da sein durfte und ein wenig über meine Passion auch erzählen darf. Von daher ganz, ganz herzlichen Dank für die Möglichkeit.