Bußgelder in Millionenhöhe - Recap DSGVO

Joel Kaczmarek: Hallo und herzlich willkommen zu einem neuen Legal- und Text-Podcast von Digitalkompakt. Mein Name ist Jörg Atschmarek und heute gehen wir mal wieder ins Thema DSGVO-Reihe. Wir haben ja schon mal grob beschrieben, eigentlich sogar relativ detailliert beschrieben, worum es sich dabei handelt. Also Datenschutz ist ja das Thema der Stunde dieser Tage oder dieser Jahre, muss man ja fast sagen. Aber uns interessiert natürlich auch, wie wird das eigentlich durchgesetzt? Also Theorie schön und gut, aber die Praxis ist ja das, wo es spannend wird. Und da haben wir heute wieder den Experten schlechthin dabei, den guten Sebastian. Guten Morgen, Sebastian.

Sebastian Kraska: Hallo, guten Morgen.

Joel Kaczmarek: Stell dich doch nochmal ganz kurz vor, wer du bist, was du machst. Du bist ja wirklich Datenschutz-Veteran.

Sebastian Kraska: Ich bin Datenschutzveteran, ja genau. Wir haben ein auf Datenschutzrecht spezialisiertes Team. Wir unterstützen als Anbieter von Datenschutzmanagementsystemen mit E-Learning und als Datenschutzbeauftragte rund zweieinhalbtausend Unternehmen im Datenschutz.

Joel Kaczmarek: Und unter welcher Adresse finden wir euch, wenn man jetzt schon neugierig ist? www.iitr.de.

Sebastian Kraska: Ida, Ida, Theodor, Richard.de.

Joel Kaczmarek: Sehr gut. Mein Disclaimer am Anfang immer, den ich gerne bringe. Wir machen hier keine Rechtsberatung. Also wer uns zuhört und hat ein Problem oder beschäftigt sich mit Themen, sollte sich trotzdem immer den Rat eines Profis einholen. Und der gute Sebastian und ich machen hier auch wirtschaftliche Deals zusammen, was uns aber nicht davon abhält, tollen Content zu machen. So, starten wir mal straight rein. DSGVO, Durchsitzung. Was hat sich denn da seit unserem letzten Gespräch, also über das Jahr 2019 hinweg, so getan?

Sebastian Kraska: 2019 startete langsam in der Durchsetzung und nahm dann deutlich an Fahrt auf. Das ist ja auch der Grund, warum wir heute zusammensitzen. Ich sage mal, die Datenschutzgrundverordnung hat ihr Einjähriges hinter sich. Der Nebel hat sich langsam gelichtet. Die Periode, wo die Aufsichtsbehörden vielleicht sagen, wir dulden und tolerieren noch so manches Nacharbeiten, die ist vorbei. Die Aufsichtsbehörden kommunizieren klar, die Standardthemen müssen sitzen und machen das auch in entsprechenden Bußgeldern und Verfahren gerade recht deutlich.

Joel Kaczmarek: Gut, also Schluss mit lustig. und das Erste, was ja so ein Stück weit offen war, erinnere ich mich noch aus unserem letzten Podcast, war die Frage, wie fallen eigentlich die Bußgelder aus? Es gab ja da diesen großen Schrecken, der glaube ich auch viele zum Handeln irgendwie angeregt hat, dass es hieß, es können Prozentsätze des Jahresumsatzes sein und es kann halt bei großen Firmen ja mal richtig signifikant werden. Gibt es denn jetzt mittlerweile schon irgendwie eine Stoßrichtung, dass so deutlich wird, was für ein Modell wird angewendet, mit welchem Verstoß muss ich, mit welchen Kosten rechnen, solche Sachen?

Sebastian Kraska: Ja, das gibt es. Also vorweggeschickt, das Datenschutzrecht, die Datenschutzgrundverordnung hat ja eine weitere Harmonisierung auf Europaebene mit sich gebracht, hat auch geschaffen ein Forum, den sogenannten Europäischen Datenschutzausschuss, wo sich alle europäischen Aufsichtsbehörden bündeln und dort verbindliche Richtlinien festlegen. In Deutschland ist es dann nochmal so, dass die Aufsicht über die Unternehmen derzeit bei den Ländern liegt. Das heißt, jedes Land, jedes Bundesland, jedes Land hat eine eigene Datenschutzaufsichtsbehörde. Das heißt, wir hatten auch jetzt in den letzten eineinhalb Jahren seit Mai 2018 die Herausforderung, dass das Recht halt unterschiedlich durchgesetzt wird und auch unterschiedliche Auffassungen bestanden bei den Landesaufsichtsbehörden in Deutschland jetzt erstmal. wie das in der Praxis umgesetzt und wie teuer Verstöße werden sollen. Und da hat man sich jetzt auf ein einheitliches Bußgeldmodell geeinigt. Das ist kein in Stein gemeißeltes festes Regelwerk, aber es gibt doch mal eine Stoßrichtung vor. Und da berechnen die Aufsichtsbehörden ausgehend vom Umsatz des Unternehmens dann so eine Art Tagessatz, der dann multipliziert wird, je nachdem, was man quasi angestellt hat.

Joel Kaczmarek: Okay, also je nachdem, wie viel Geld ich als Unternehmen umsetze, wird ein Tagessatz veranschlagt. Und was ist dann sozusagen, also zählt man dann die Tage, wie oft ich oder wie lange ich diesen Verstoß begangen habe? Oder wie muss ich mir so einen Tagessatz vorstellen?

Sebastian Kraska: Nein, der Tagessatz ist einfach nur quasi ein Bruchteil deines Umsatzes. Und dann wird gesagt, okay, also ein, ich sag mal, du hast deine Notebooks nicht verschlüsselt und Daten sind verloren gegangen. Das kostet zwölf Tagessätze, quasi zwölf Bruchteile deines Jahresumsatzes. Und daraus errechnet sich das dann. Das gibt eine Stoßrichtung vor. Es ist noch nicht so, dass man oben reinschmeißen kann, das habe ich falsch gemacht und unten bekomme ich den Betrag raus, aber es gibt hier eine Einschätzung, die eben am Umsatz orientiert ist und die auch ein einheitliches Modell innerhalb der deutschen Behörden dann sicherstellen soll.

Joel Kaczmarek: Und gibt es so eine Art Kategorisierung? Also ist irgendwie die nicht verschlüsselte persönliche Information günstiger, als wenn ich irgendwie Cookie-Tracking mache, ohne die Nutzer gefragt zu haben?

Sebastian Kraska: Es gibt verschiedene, erstmal Größenkategorien von Unternehmen. Da kategorisiert man nochmal bei der Tagessatzrechnung. Also man versucht so den Verhältnismäßigkeitsgrundsatz, also dass die Behörden jetzt nicht übermäßig stark zuschlagen, auch dadurch Rechnung zu tragen, dass man schaut, bist du ein ganz kleines Unternehmen, bist du ein mittelständisches Haus, bist du ein großes Unternehmen. Dann Elemente wie, hast du das vorsätzlich, grob fahrlässig oder fahrlässig gemacht, das spielt dann da rein. Eine Liste folgender Verstoßkosten, so und so viele Tagessätze, das gibt es noch.

Joel Kaczmarek: Gut, aber man kann sozusagen schon mal festhalten, es gibt verschiedene Achsen, also meine Größe, die Absichtlichkeit quasi meines Verstoßes und die Intensität und dann haben wir sozusagen schon mal ein bisschen Näherung erzeugt.

Sebastian Kraska: Und die Orientierung am Umsatz eben, also das ist nicht der Gewinn, sondern der Umsatz, das ist das Schmerzhafte an dieser Bußgeldhöhe, ja. Auch an der Stelle erwähnt, die deutschen Behörden haben gesagt, wir arbeiten an so einem Modell europaweit in diesem europäischen Datenschutzausschuss und da wird irgendwann auch ein europaweites Berechnungsmodell kommen. Unser deutsches Berechnungsmodell gilt so lange, bis wir europaweit was Einheitliches haben. Ich sage mal, alles was wer schreibt, der bleibt, was da solche Fakten schafft, davon kommt man dann auch schwer wieder von ab.

Joel Kaczmarek: Ja, ich wollte gerade sagen, weil du meintest, dass das teilweise auch unheimlich innerhalb von Deutschland ist. Also es ist ja eigentlich eine Verordnung. Also du musst ja auch nochmal sich in Erinnerung rufen. DSGVO, das V steht ja für Verordnung, also auf europäischem Level eigentlich entwickelt. Und selbst in den Ländern sozusagen, also in den Bundesländern der Länder, gibt es sozusagen bisher andere Arten, damit umzugehen. Ist denn da irgendwie in Sicht, dass man das angleicht? Führt man irgendwie Konzepte zusammen? Meinst du, da tut sich schon mal auf kurze Sicht in der Richtung was?

Sebastian Kraska: Also es ist jetzt mehrfach die politische Forderung gestellt worden, die Landesaufsichtsbehörden in Deutschland zu vereinheitlichen und die bei einer Behörde des Bundes, wie es heißt, zu bündeln. Deutschland hat da eine Sonderrolle auch innerhalb Europas aufgrund des föderalen Systems in Deutschland. Jedes andere Land in der Europäischen Union hat eine Aufsichtsbehörde, die beaufsichtigt halt die Unternehmen im Datenschutz. Und in Deutschland haben wir halt aufgrund der föderalen Strukturen, aufgrund der grundgesetzlichen Vorgaben diese Struktur, dass jedes Land die in seinem Land ansässigen, also Bundesland ansässigen Unternehmen beaufsichtigt. Und da ist gerade die sogenannte Datenethikkommission, ein von der Kanzlerin ins Leben gerufene Konsortium von Wissenschaftlern, Vertretern der Aufsichtsbehörden, aber auch Vertreter der Wirtschaft geschaffen worden. Die haben unter anderem die Forderung gestellt, dass man das doch bitte vereinheitlichen sollte und auch die Unionsparteien sind mit dieser Forderung kürzlich an die Öffentlichkeit getreten.

Joel Kaczmarek: Ich wollte gerade sagen, da waberte doch was, dass man sich da sozusagen zuletzt in die Richtung positioniert hat. Gut, also wir lernen Zusammenlegung. Man darf ein bisschen gespannt sein, was aus dem Süden der Republik kommt. Da ist man ja immer ein bisschen Föderalfan.

Sebastian Kraska: Ja, Bayern und Baden-Württemberg sind ja so klassisch auch die Länder, die den Föderalismus immer auch sehr hoch halten. Persönlich rechne ich damit, dass wir in den nächsten Jahren diese Entwicklung sehen werden, hin zu einer einheitlichen Bundesbehörde für die Unternehmen, die dann die Unternehmen beaufsichtigen. Ob und inwieweit man da sich zwischen Bund und Ländern einigen wird, mag dann auch Gegenstand von Verhandlungen sein. Da findet man dann ja häufig dann auch Deals, in denen man unterschiedliche Themen dann tauscht.

Joel Kaczmarek: Gut, also politisches Kapital wird nochmal ausgetauscht in naher Zukunft bestimmt. Also lerne ich von dir zwei, vier, fünf Jahre in die Richtung, dürfte sich da was tun. Vielleicht bereiten wir auch nochmal ein Stück weit auf, nachdem wir jetzt grob mal über Bußgeldkataloge geredet haben, gesagt haben, dass sich da was zusammenführt. Also man merkt ja, wohin die Richtung geht. Also alles präzisiert sich eigentlich und es kommt Klarheit in den Markt, in Anführungsstrichen, für Datenschutz. Was sind denn Themen, die eigentlich betrachtet werden? Du hattest ja auch letztes Mal so ein schönes Modell, erinnere ich mich.

Sebastian Kraska: Ja, und dieses Modell, mit dem ich seit Jahren toure, das gilt nach wie vor. Die Datenschutzgrundverordnung hat 99 Artikel und wenn man alle Anmerkungen und so weiter noch liest, ist man durchaus ein Wochenende beschäftigt nur mit der Lektüre des Textes. Das heißt, die Frage, auf was soll ich mich fokussieren, ist eine Frage, die kleine wie große Unternehmen betrifft und wir hatten im letzten Podcast zu dem Thema ja auch schon mal kurz angerissen. Ich habe da versucht, so ein wenig die Themen im Fokus hervorzuheben und diese Themen sind auch jene, die Aufsichtsbehörden jetzt prüfen. Ich sage mal, es sagt einem der gesunde Menschenverstand auch schon in gewisser Weise, was werden die Aufsichtsbehörden anfangen? Die werden jetzt nicht anfangen, irgendwelche abgefahrenen Thesen da in der Rechtspraxis zu testen, sondern die werden schauen, sitzt das Kleine einmal eins? Viele Unternehmen haben auch noch gar nichts gemacht oder hinken danach, das wissen auch die Aufsichtsbehörden, das sind ja teils öffentliche Studien dazu. Das heißt, auch eine Aufsichtsbehörde wird schauen, okay, passen hier die Standardthemen, dann gehe ich zum Nächsten, bevor sie da in die abgefahrenste Verästelung dann einsteigt. Was sind die Standardthemen? Datenschutz ist Glaubenssache, deswegen haben wir so einen Tempel gemalt. Das Dach des Tempels bildet das sogenannte Handbuch, Policy, Richtlinie, wie immer man es nennt, irgendeine Dokumentation der Kernprozesse. Wie stelle ich mich auf, wenn ich neue Dienstleister einsetze, wenn ich einen Fall habe, dass mir irgendwie Daten verloren gehen, wenn hier Betroffene anfragen, dass man das dokumentiert hat. Denn ganz wichtig, die Datenschutzgrundverordnung hat ein wenig die Spielregeln dahingehend verändert, dass nach altem Recht die Behörde im Grundsatz mir nachweisen musste, ich habe irgendwas falsch gemacht und nach der Datenschutzgrundverordnung muss ich erstmal nachweisen, dass ich datenschutzkonform tätig war. Daran leitet sich ab, dass man mehr dokumentieren und nachweisen muss. Unser Handbuch selbst ruht auf drei Säulen. Eine Säule ist, dass man dokumentiert, welche Verarbeitungstätigkeiten habe ich. Die zweite Säule Verträge mit Dritten, wenn ich Datenverarbeitungsvorgänge auslagere. Die dritte Säule IT-Sicherheit, dass ich ausreichende Standards schaffe, dass Daten bei mir im Unternehmen sicher verarbeitet werden. und die Basis ist die Schulung der Beschäftigten. Könnt ihr auch alles nachlesen in dem vertiefenden Link. Ich glaube, es genügt für den Moment hier, dass wir so diese Kernthemen kurz anleuchten und das andere dann vielleicht entsprechend zur Nachlese geben.

Joel Kaczmarek: Also ich würde auf jeden Fall unsere letzte Folge nochmal verlinken, da haben wir das ja wirklich detailliert besprochen, aber jetzt haben wir nochmal grob einen Wrap-up gewonnen, was so die Säulen, das Dach und die Basis sind. Vielleicht tauchen wir aber mal an konkrete Fälle auch ein. Also wenn du gesagt hast, Bußgelder wären klarer, können wir uns ja mal einzelne Beispiele angucken, was sich da so tut.

Sebastian Kraska: Sehr gerne, ja. Und da möchte ich eine Webseite einer anderen Kanzlei vorneweg nennen, der Kanzlei CMS, Law & Tax Enforcement Tracker.com. Eine sehr schlank und schön übersichtlich gehaltene Seite, wo die Kollegen alle Bußgelder europaweit sammeln. Durchsuchbar, wer hat wem, wie, warum, welche Bußgelder aufgewurmt. Da kann man sich auch so ein bisschen ein eigenes Gefühl dann da schnell herauslesen, wo die Reise momentan hingeht. Ein Themengebiet wollte ich zuerst ansprechen, das ist das Thema Webseitentracking. Ich glaube auch, dass es deine Leserschaft in vielen Teilen besonders unter den Nägeln brennen dürfte und da hat es einige Entwicklungen in jüngster Zeit gegeben. Da ist die Bayerische Aufsicht relativ weit vorgeprescht. Kurzer Recap, im April letzten Jahres haben die deutschen Aufsichtsbehörden gesagt, alles was so in Richtung Profilbildung bei dem Webseitentracking geht, das kann nicht mehr auf reiner Opt-out-Basis gefahren werden, sondern da verlangen wir die Einwilligung der Nutzer vorher.

Joel Kaczmarek: Das ist brutal, müssen wir mal kurz festhalten. Also Google Analytics und Cookies, das sind bei vielen Online-Diensten in der Tat essentielle Geschäftsmodell-Faktoren. Wenn ich da jetzt hingehe und muss irgendwie meinen gesamten Traffic einmal auf Einwilligung anfragen und nur die Hälfte antworte, das ist brutal.

Sebastian Kraska: Das war im April letzten Jahres, haben sie das Wort Google Analytics noch nicht in den Mund genommen, sondern haben einfach nur gesagt Profilbildung, so sinngemäß. Und dann hat man gesagt, okay, wahrscheinlich Google Analytics mit IP-Anonymisierung macht ja keine Profilbildung und so weiter. Warum haben die Aufsichtsbehörden das gemacht? Die haben einen bestimmten Blick auf dieses Tracking-Thema Und es war damals unklar, ob die E-Privacy-Verordnung kommen wird oder nicht, das nächste große regulative Stück aus Brüssel. Und meine Vermutung ist, dass man da gewisse Rahmenbedingungen einfach feststecken wollte, unabhängig jetzt von der E-Privacy-Verordnung. Was hat die Praxis gemacht? Gar nichts. Also es war ein Monat vor Live-Gang der DSGVO. Man hat das, ich sag mal, zur Kenntnis genommen, dass die Aufsichtsbehörden da was zu gesagt haben und hat sich weiter, war mein Eindruck, in der Praxis nicht groß drum gekümmert. Es wurde dann Herbst 2018 und der Leiter der Bayerischen Aufsicht sagte, also entweder wir nehmen jetzt diese Positionierung zurück oder wir fangen an, das Thema durchzusetzen, sonst wären wir auch als Aufsichtsbehörden unglaubwürdig. Die gesetzestreuen Unternehmen, die sich an unsere Publikationen halten, haben sonst am Schluss einen Wettbewerbsnachteil vor jenen, die einfach sagen, mach mal, ich mach mal so weiter. Dann kam der Safer Internet Day im Februar diesen Jahres. Da hat die Bayerische Aufsicht 40 Unternehmen geprüft und kam zu dem Ergebnis, dass 40 rechtswidrig trecken. Davon hat sie gegen 15 Verfahren eingeleitet, die momentan im Stadium der Anhörung sind. Da werden also demnächst Bußgelder ergehen. Mittlerweile, 2019, haben sich auch die meisten Aufsichtsbehörden explizit zum Thema Google Analytics positioniert und sagen, dass Google Analytics aus ihrer Ansicht, aus der Ansicht der Behörden, ein Tool sei, das eben zu dieser Profilbildung beiträgt, unter anderem, dass unabhängig, ob man diese zusätzliche IP-Anonymisierung anschaltet oder nicht, das kann man ja entsprechend machen, ein einwilligungsfreier Betrieb nicht zulässig sein. Das gilt erst recht natürlich für alle Tools, die direkt auf Profilbildung gerichtet sind. Also Werkzeuge wie Retargeting-Tools, Cross-Device-Tracking, all das, was versuchen soll, einen Nutzer wiederverfolgbar zu machen und möglicherweise auch Werbung auszuspielen, dann eben durch die Reise durchs Internet. Das sind alles Tools, von denen die Behörden sagen, die der vorherig dokumentierten Zustimmung der Nutzer bedürfen.

Joel Kaczmarek: Also wenn eine Behörde von Profilbildung redet, dann meint sie damit einen individuellen Nutzer, den man versucht zu verstehen und über Plattformen hinweg zu verfolgen, in Anführungsstrichen.

Sebastian Kraska: Ohne dass du als Betreiber einer Webseite jetzt zwingend wissen können musst, ob das Max Müller oder Liesjent Müller ist dahinter. Aber allein diese Datenaggregation im Hintergrund sei eine Verarbeitung personenbeziehbarer Daten, die nicht auf das sogenannte berechtigte Interesse gestützt werden könne oder auf sonstige Rechtfertigungsgründe und deshalb der Einwilligung bedürfe.

Joel Kaczmarek: Was mache ich, wenn das jetzt Kern meines Geschäftsmodells ist, sowas zu tun?

Sebastian Kraska: Ja, schwierig. Also es kam dann noch der EuGH, der dieses Cookie-Urteil, hat man vielleicht auch drüber gelesen, ist nicht ganz zu diesem Tracking-Thema, aber so ein bisschen artverwandt. Also viele Unternehmen haben erstmal gesagt, das Tracking müssen die mir aus meinen toten Händen ziehen, das gebe ich nicht freiwillig auf. Ich sage mal, wenn man jetzt im produzierenden Bereich, im Geschäftskundenbereich tätig ist, da ist es einem wurscht, ob man da jetzt groß personenbeziehbar oder nachverfolgbar trecken kann oder nicht. Aber wenn das Geschäftsmodell gerade so im Endkundenbereich aufgebaut ist, auf der Ansprechung von großen Endkundenströmen, die man dann auch wieder mit Werbung bespielen möchte, da ist es natürlich schon ein Unterschied, ob ich Einwilligungstool brauche, um die bespielen zu können oder nicht und ob ich dann, je nachdem wie geschickt man das einbaut, zwischen 30 bis 50 Prozent werden halt sagen, nee, ich will das nicht, das Tracking. Das heißt, man verliert diese Datenströme und die Einsicht in diese Datenströme. Da ist das keine Frage von, mache ich oder mache ich nicht, sondern bin ich am Markt noch aktiv oder nicht? Ist mein Geschäftsmodell mit diesen Parametern aufrechtzuerhalten? Aber dann kam der EuGH und hat gesagt, also wir wollten übrigens nochmal daran erinnern, jetzt ich sage mal grob vereinfacht gesprochen, das Setzen nicht notwendiger Cookies auch der Zustimmung der Betroffenen bedarf. Jetzt kamen häufig die Fragen, Google Analytics setzt ja Cookies, jetzt kann ich Google Analytics auch so umbauen, dass sie keinen Cookie setzen. Bin ich dann damit raus? Nee, damit ist man nicht raus, weil man hat immer noch dieses Tracking-Thema dort im Hintergrund. Aber ich sage mal, es zeigt, dass der EuGH, so ist die allgemeine Lesart, die in die gleiche Marschrichtung zu laufen scheint, wie es auch die deutschen Aufsichtsbehörden tun. Das sind Themen, die vor Gerichte gehen werden, weil für größere Unternehmen in diesen Bereichen da halt so viel dran hängt. Ich gehe fest davon aus, dass wir dort Verfahren auch am Schluss beim EuGH sehen werden.

Joel Kaczmarek: Rechnest du dem Erfolgschancen aus? Weil ich meine, das ist ja eine Standortfrage insgesamt. Wenn ich mir amerikanische Dienste angucke, die können ja da in Sachen Marketinggeschichten so Sachen fahren, die sind ja unfassbar. Und wir haben ja dann solchen Unternehmen oder solchen Standorten gegenüber massiven Nachteilen, wenn wir das nicht könnten.

Sebastian Kraska: Also die Datenschutz-Grundverordnung hat an sich die Werkzeuge geschaffen, um auch da gegen Anbieter außerhalb der Europäischen Union, die ihre Angebote an die Europäische Union richten, dagegen vorzugehen. Für mich ist es keine Frage des Obs, sondern des Wanns, muss ich persönlich sagen. Also ich glaube, die Rechtsinstrumente sind geschaffen und wenn ich so die Urteile auch von EuGH und so weiter lese, würde ich sagen, die Messe ist rechtlich gesungen an der Stelle. Die Frage ist, wann wird es wie flächendeckend durchgesetzt? Das ist natürlich für ein Unternehmen, das im Wettbewerb steht, auch eine zentrale Frage, wenn alle Wettbewerber es machen. Aber es ist keine Frage des Ops für mich.

Joel Kaczmarek: Okay, krass. Also muss ich mich darauf einstellen, als Unternehmen, so oder so, wenn ich Webseiten-Tracking machen möchte und Cookies einsetzen, muss ich quasi meine Nutzer um Erlaubnis bringen?

Sebastian Kraska: Ja, also vielleicht, um da nochmal etwas spezifischer zu werden. Also was die Aufsichtsbehörden sagen, in meiner Lesart ist, und da muss ich ein bisschen in meinen Rechner spicken, Webseitenanalyse auf eigenen Systemen mit gekürzten IP-Adressen. Oder bei Drittanbietern, die das ausschließlich für mich machen, ist es auch ohne Einwilligung des Nutzers weiter zulässig. Also eigene Log-Files in anonymisierter Form. Matomo oder Piwik oder Anbieter, da gibt es ja verschiedene Tracking-Anbieter, die das nur für mich machen mit meinen Daten in anonymisierter Form. Das ist ja der Trick bei Google Analytics. Google verwendet die Daten auch für eigene Zwecke. Aber wenn das ein Tracking-Anbieter ist, der sagt, okay, gib mir die Logs, ich anonymisiere dir und ich bereite die für dich grafisch schön aus. Sonst mache ich nichts mit den Daten. Wenn du sagst, lösch die Daten, lösche ich die Daten und dergleichen. Also solche Sachen sind weiter aus meiner Sicht vertretbar zulässig. Es muss eine Möglichkeit zum Opt-out gegeben werden, aber das ist Standard. Tracking-Maßnahmen zur Nachvollziehbarkeit der Webseitenbesucher, also Retargeting, geräteübergreifendes Tracking und so weiter, bedürfen der vorab dokumentierten Zustimmung der Webseitenbesucher. Heißt auch, das Zeug darf erst live gesetzt werden, wenn der Nutzer auf Ja, ich bin einverstanden geklickt hat. Sieht man ganz häufig noch anders gemacht, dass das Tracking schon appliziert ist und dann kommt noch der Opt-in-Banner. Das geht nicht. Google Analytics gilt auch mit IP-Anonymisierung aus Sicht der Aufsichtsbehörden in diese Kategorie der Tools, die vorab der Zustimmung bedürfen. Was aus meiner Sicht heißt, Google Analytics ist tot, weil es nützt dir ein Tool zur Messung, wie viele Besucher du auf der Webseite hattest, das dir aber nur einen Bruchteil deiner Webseitenbesucher tatsächlich anzeigt. Und du weißt nicht, wie hoch war 100. Du weißt ja nicht, wie viele Besucher haben jetzt in Google Analytics zugestimmt oder nicht. Das heißt, du bekommst irgendeine abstrakte Zahl in Google Analytics, kannst dir aber nicht mal hochrechnen, wie hoch war das Delta zu denen, die nicht zugestimmt haben. Also wenn sich diese Auffassung verfestigt, auch vor den Gerichten verfestigt, ist das aus meiner Sicht der Todeskurs für Google Analytics. So Tools wie Google AdWords und Criteo, also Retargeting, Cross-Device-Tracking, all das, Facebook, was man da an Tracking applizieren kann. Da macht es Sinn, da kannst du sagen, okay, das appliziere ich halt dann, wenn der Nutzer gesagt hat, ja, ich will die Seite auf mich personalisieren und bin mit der Ausrollen der Tracking-Tools einverstanden. Da macht das Sinn und dann bespielst du es halt auf die 50 Prozent, die dem zugestimmt haben. Aber bei einem Tool, das dir die Basisinformationen liefern soll, wie viele Leute auf deiner Webseite waren, da Beißt sich das Thema mit dem Opt-in.

Joel Kaczmarek: Na gut, aber ich meine, Google Analytics funktioniert ja auch dahingehend, dass man irgendwie Conversions optimiert, dass man Webseitenflüsse versteht. Also du kannst sozusagen nicht mehr checken, wie viele waren mal die 100, aber du kannst gucken von den x Prozent, was tun die.

Sebastian Kraska: Dafür kannst du es machen, klar. Aber du kannst nicht mehr sagen, wie viele Leute waren auf meiner Seite. Vielleicht wird auch Google nachsteuern. an der Stelle, muss man schauen. Aber das momentan der Stand. Auch noch ein Hinweis, häufig bindet man Fremdcode ein. Man bindet YouTube-Videos ein, vielleicht arbeitet man mit Google-Fonds, dann noch Social-Media-Like-Buttons, Facebook-Like oder sowas. Alles, was man an der Stelle einbindet Übermittelt ganz häufig die Besucherdaten an diese Anbieter. Also wenn du dann Facebook-Like-Button einbindest, bekommt Facebook deine User-Daten. Wenn du Google-Fonts normal einbindest, bekommt Google über den Weg halt deine Daten. YouTube-Video klassisch eingebunden, bekommt YouTube, Google auch die Daten. Das heißt, immer wenn man Fremdcode einbindet, muss man sich die Frage stellen, fließen da Daten retour? Dann muss man den Datenstrom kappen oder die Einwilligung der Betroffenen einholen. Für die meisten der genannten Beispiele, Facebook-Like-Button, YouTube-Videos, Google-Fonts, gibt es alle ganz einfache technische Möglichkeiten. die Sachen trotzdem zu nutzen und den Datenstrom zu kappen. Google Fonts zum Beispiel kannst du so einbinden, dass das erst auf deinen Webserver lädt und dann an die Besucher übermittelt wird. Dann kappst du den Datenstrom. YouTube gibt es auch eine Möglichkeit, die Videos so einzubinden, dass kein Datenstrom stattfindet. Facebook-Like-Button gibt es. Code, den du so einbinden kannst, dass der Datenfluss gestoppt wird und der Nutzer klickt einmal drauf und dann findet der Datenstrom statt. Also da gibt es für die allermeisten Themen gibt es datenschutzkonforme Einbindungsmöglichkeiten. Das hat sich bei vielen Webentwicklern noch nicht so richtig herumgesprochen. Also ich hoffe da auch auf die Agenturen, die dann irgendwann dieses Basiswissen auch an die Entwickler weitergeben und die Seiten ihrer Kunden da richtig aufbauen.

Joel Kaczmarek: Gut, also wir merken ein richtig fundiges Thema. Unser erster konkreter Fall. Lass uns doch mal weiter rücken. In Berlin gab es ja auch irgendwie eine etwas spannende Geschichte.

Sebastian Kraska: Ja, die Landesdatenschutzbeauftragte hier in Berlin, Frau Smolczyk, war sehr aktiv mit ihrer Behörde. Hat da in zwei Fällen wirklich auch Maßstäbe gesetzt, was so die Bußgeldhöhe in Deutschland angeht. Der eine Fall war Delivery Hero. 200.000 Euro ist auch rechtskräftig geworden. Es sind ja übernommen worden und der neue Investor hat wohl entschieden. Dann nicht gegen vorzugehen, gegen das Bußgeld. Was kann man aus dem Bußgeld lernen? Was ist da passiert? Das Unternehmen hat einfach auf betroffenen Anfragen, so heißt es, einfach nicht reagiert. Also Leute haben gesagt, die Daten sind falsch oder gib mir Auskunft, was hast du über mich gespeichert? und dergleichen. Und die sind wohl nicht oder nicht in der vorgesehenen Frist oder nicht korrekt beantwortet worden. Und da sind ganz viele Fälle bei der Aufsichtsbehörde aufgeschlagen worden. Also Learning hat Prozesse im Haus, dass wenn Betroffene anfragen und ihre Rechte nach der DSGVO geltend machen, dass dort Prozesse im Haus vorhanden sind, die eine zeitgerechte und den Empfehlungen der Aufsichtsbehörden entsprechende Beauskunftung oder Beantwortung dieser Begehren sicherstellt. Fast trivial, das zu sagen, aber wenn man in die Unternehmenswirklichkeit hineinschaut, dann ist es so trivial nicht. Viele Unternehmen haben vielleicht dann doch diese Prozesse noch nicht und hier hat es eben ein Unternehmen getroffen, das dann da das Bußgeld auf sich zog.

Joel Kaczmarek: Naja, ich meine, ich finde das schon relevant, das mal zu sagen. Insofern, man hat ja manchmal so Akteure, die sagen, ach komm, hier, die Suppe wird heißer gekocht als gegessen, da kommen immer irgendwelche Wichtigtuer, haben jetzt gemerkt, sie haben da Rechte und dann drohen die immer, uns irgendwie bei einer Behörde anzuzeigen, da passiert doch nichts. Also doch, da passiert was und das sind Nutzerrechte, die man erfüllen sollte.

Sebastian Kraska: Richtig, ja. Und wenn man es nicht macht, kann es halt teuer werden. Ob man jetzt 200.000 Euro in dem Fall für teuer hält oder nicht, das überlasse ich jedem Einzelnen. Aber ich sage mal, es geht halt los. Und dann das Bußgeldmodell vorhin vorgestellt. Und warum ich auch diesen Fall rausgenommen hatte, um zu zeigen, die gucken sich halt die Standardthemen an. Und das kleine Einmaleins. Und da haben Betroffene Rechte und da steht in dem Gesetz, wann ich denen in welcher Frist was zur Verfügung stellen muss und das mache ich nicht. Ja okay, dann verstoße ich gegen das kleine Einmaleins. Das war der Grund, warum ich den Fall auch mitgebracht hatte, um zu zeigen, es geht jetzt nicht um die abgefahrenen Elfenbeinturmprobleme von irgendwelchen Juristen, sondern es geht wirklich hier um die Standardthemen.

Joel Kaczmarek: So, was war das zweite, wo wir Berlin einmal zugeschlagen haben?

Sebastian Kraska: Berlin jetzt kürzlich, deutsche Wohnen, 14,5 Millionen Euro, Berlin und Wohnungsbau, ja, da steht ein anderes Thema wahrscheinlich. Was kann man aus dem Fall lernen und was ist da vorgeworfen worden? Fall noch nicht rechtskräftig, ich nehme an, dass man da auch gegen vorgehen wird, also ich möchte es fast ein bisschen weg von der deutschen Wohnen hier wegführen. Eher so ins Abstrakte. Was vorgeworfen wird, ist, dass das Unternehmen alle Daten gespeichert hat von Mietinteressenten, von Anfragenden und dergleichen. So habe ich den Sachverhalt verstanden. Und dann eine Software eingesetzt hat, die gar nicht strukturell einzelne Datenbestände dort rauslöschen konnte. Also hast dich für eine Wohnung beworben, hast eine Bonitätsinformation abgegeben und die fand dann nie wieder den Weg dann da quasi raus. So habe ich den Sachverhalt verstanden. Dafür gab es 14,5 Millionen Euro. Ich habe jetzt auch schon andere Anwälte gelesen, die sagten, ja, das musste gespeichert werden, weil revisionssichere Archivierung und so weiter. Das Finanzamt verlangt ja eine gewisse Grunddokumentation. Da wird sicherlich zu Streit kommen und da wird es sicherlich vor die Gerichte geben zu dieser Frage. Was man aber daraus lernen kann, ist, dass man sich mit der Frage, welche Daten speichere ich in meinen Systemen und wie gut ist das Zeug dokumentiert, das war diese zweite Säule vorne aus dem Tempel, Verzeichnis der Verarbeitungstätigkeiten, dass man sich damit beschäftigen muss. Dass man sagen muss, welche Daten speichere ich, welche Daten brauche ich tatsächlich, brauche ich für mein Geschäft, brauche ich vielleicht für die Finanzverwaltung und welche Daten brauche ich gar nicht mehr? und dann auch entsprechende Löschfunktionalität in der Softwarebereitheit. Das ist das Thema, warum ich diesen Fall so spannend finde, weil da ist auch die Erfahrung in der Praxis, dass man da häufig mit veralterter Datenbanktechnik arbeitet und teils dann gar nicht löschen kann. Also das Argument der Speicherung für die Finanzverwaltung ist ein bisschen vorgeschoben quasi, weil das eigentliche Argument ist gar nicht die Finanzverwaltung, sondern weil man noch mit Softwaresystemen arbeitet, die diese Löschfunktionalität gar nicht technisch bieten. Und Unternehmen, die dieses Thema haben, seien gewarnt quasi, es ist ein anderes Thema des kleinen Einmaleins, diese technische Funktionalität zur Verfügung zu stellen. Weiß ich auch aus der Erfahrung von vielen Unternehmen, da ist natürlich auch großer Nachholbedarf, auch bei vielen Häusern, der angeschoben wurde, der Geld und Zeit kostet, bis man da etwas zeitgerechtere IT-Systeme dann auch dort installiert hat.

Joel Kaczmarek: Gut, wir hatten also Webseitentracking als Thema bisher, Nichtbeantwortung von betroffenen Anfragen und Speicherung von Kundendaten oder Nutzerdaten.

Sebastian Kraska: Und Löschfunktionalität, ja.

Joel Kaczmarek: Genau. Hast du noch was, sozusagen ein letztes? Vielleicht können wir auch mal so ein bisschen in Security-Sicherheitsthemen reingehen. Also ich weiß, ich habe verfolgt, du hast mir erzählt, in Baden-Württemberg tat sich auch noch ein bisschen was.

Sebastian Kraska: Ja, IT-Sicherheit Baden-Württemberg. Also IT-Sicherheit ist aus vielen Gründen nicht zu unterschätzen. Das zeigen die vielen Beispiele von den gehackten Unternehmen. Das ist auch keine bloße Panikmache. Ich kann selbst bestätigen, viele Unternehmen werden angegriffen, viele Unternehmen werden um Geld erpresst und das wenigste davon landet in der Presse. Das ist einfach Fakt. Deutschland. Gerade vorneweg mit einem Mittelstand, der sich bei dem Thema traditionell häufig noch ein bisschen schwer tut. Also wenn ich das jetzt mit einem amerikanischen Konzern mit verschiedenen Sicherheitsabteilungen vergleiche, das hat man halt dann im Ländle oder bei uns in Bayern oder auf dem Land nicht so. Auf der anderen Seite sind das Unternehmen, die sehr finanzstark sind. Das klassische Idealziel für Hacker. Die Aufsichtsbehörden, auch bei der Polizei, rüsten da zum Glück jetzt doch ganz massiv auf. Also man bekommt jetzt auch Polizeikräfte, die nicht nur, ich sag mal, zuschauen, sondern die einem wirklich da helfen können, solche Leute auch in ihre Schranken zu weisen. Was es aber auch heißt, ist, die Datenschutzgrundverordnung verlangt, in meinen Worten, Stand der Technik, soweit branchenüblich und bezahlbar. Und anders als vorher geht man ein direktes Bußgeldrisiko ein, wenn man diesen Standard unterschreitet. Also das ganz Klassische, auch hier 1x1 der IT-Sicherheit von Patch-Management, Verschlüsselung der Notebooks, Sicherung von Benutzeraccounts und so weiter, MDM-System, Mobile-Device-Management-System zur Steuerung von Geräten und so weiter. Also wirklich so, ich sage mal, das kleine Basis 1x1. Wir sprechen jetzt hier nicht von super sicher wie im Militär, sondern die Basisthemen, das muss sitzen und da gehen die Behörden jetzt auch eben mit Bußgeldern rein. Auch das war ja in gewisser Weise abzusehen. Das ist nichts Überraschendes. Das sagen die Behörden seit zwei oder drei Jahren. Ich versuche das auch immer wieder zu übermitteln. Also bei dem kleinen Einmaleins der IT-Sicherheitsthemen sollte man aus zwei Gründen nicht sparen. Zum einen ein ganz großes Eigeninteresse, um nicht unnötig Angriffen ausgesetzt zu sein. Und das andere ist eben das wachsende Bußgeldrisiko, das da entsprechend vorsichtig ist.

Joel Kaczmarek: Gut, wir haben also in einer halben Stunde gelernt, dass sich vieles mittlerweile findet und klärt. Es gibt einheitliche Bußgeldkataloge, die Aufsichtsbehörden sind im Begriff, sich zusammenzulegen. Die Themen, die betrachtet werden, sind nach wie vor die gleichen, aber man fragt jetzt das, wie du immer so schön sagst, kleine Ein-mal-eins immer strenger ab. Und ganz konkret, um mal ein paar Fälle zu nennen, war jetzt Webseiten-Tracking ein Thema, war Nichtbeantwortung ein Thema von Kundendaten und die letzten beiden Beispiele auch die Sache, welche Daten speichere ich vor, welche Kontrolle gebe ich für meine Daten und das Thema IT-Sicherheit. Ich danke dir ganz, ganz herzlich, dass du uns dann mal wieder auf den neuesten Stand gebracht hast und auch mal uns abholst und irgendwie arbeitsfähig machst zu dem Thema. Wenn ich jetzt noch mehr wissen will dazu, hast du irgendwie einen Tipp, wo man vielleicht sagen kann, ich will jetzt das kleine 1x1 nochmal bei mir durchchecken, eine Gegenprüfung haben. Hast du da noch irgendwie ein paar Quellen, die du nennen kannst?

Sebastian Kraska: Erstmal unsere Webseite natürlich und den Newsletter. Also geht auf unsere Webseite, tragt euch in den Newsletter ein. Ansonsten die Webseite enforcementtracker.com, was die Bußgelder angeht, finde ich sehr hilfreich. Die Bayerische Datenschutzaufsichtsbehörde hat eine FAK. Q-Seite auf ihrer Webseite veröffentlicht, LDA Bayern, Landesdatenschutzaufsicht in Bayern, die sehr praxistauglich auch nochmal diese Fälle dadurch leuchtet.

Joel Kaczmarek: Super, dann lieben Dank dir, lieber Sebastian und mal gucken, was im nächsten Jahr schon wieder auf uns wartet in Sachen Datenschutz.

Sebastian Kraska: Vielen Dank.