Klicken Sie auf den unteren Button, um den Inhalt von kemcast.podigee.io zu laden.
Doch sind all diese Webseiten wirklich so sicher? Oft ist es so, dass sich gerade Datenschutzanbieter:innen im Umgang mit personenbezogenen Daten rechtswidrig verhalten und die Konformität, die sie versprechen, selbst nicht gewährleisten können.
In einer neuen Folge „KEMCAST – Hot Topics der digitalen Welt in unter 15 Minuten“ hat sich unser Host Max Antwerpes unseren Inhouse Experten Nico Vidal Lago zur Seite geholt. Die beiden besprechen, was die neue Datenschutzverordnung (DSGVO) für Websitebetreibende bedeutet und wie man sich als Unternehmen in Bezug auf Datenschutzkonformität absichert.
Weitere Themen dieser Folge:
- Worauf muss man bei dem Bau einer Webseite achten?
- Für wen ist die DSGVO wichtig? Und was hat sich damit verändert?
- Wer haftet im Fall eines Verstoßes? Der/die Betreiber:in oder externe Dienstleister:innen?
Ihr wollt nichts verpassen? Dann hört in die aktuelle Folge unseres KEMCAST’s rein und abonniert den Podcast – überall, wo es Podcasts gibt!
Ihr habt weitere Themenvorschläge für den KEMCAST? Dann schreibt uns gerne an info@kemweb.de !
Werbung
Vielen Dank an unseren offiziellen Partner Zencastr – dem Tool für Podcaster:innen. 🎙
Mithilfe des Remote Tools wird jede Besuchsperson lokal von seinem/ihren eigenen Computer in studioähnlicher Audio- und Videoqualität aufgezeichnet.
Schluss mit Aussetzern aufgrund schlechter Verbindung – der/die Gastgeber:in erhält für jede:n Besuchenden hochwertige Tracks, nichts als klares Audio und Video.
✅ Mit dem Code „kemweb“ bekommt ihr nach der 14-tägigen Testphase für eine Laufzeit von drei Monaten insgesamt 40%-Rabatt auf das Professional-Paket von Zencastr!
Transkript
Intro
Herzlich willkommen zum Kemcast. Hot Topics der digitalen Welt in unter 15 Minuten.
Max
Liebe Zuhörerinnen, liebe Zuhörer, herzlich willkommen zu einer neuen Folge von Kemcast. Ich bin euer Kemcaster Max Antwerpes und darf euch heute wieder zu einer neuen Folge begrüßen. Aber anfangs noch mal der Hinweis: Egal, wo ihr jetzt schaut, egal, wo ihr jetzt hört, liked diesen Podcast, folgt KEMWEB auf allen Social-Medias und wie gesagt, liked und teilt diese Beiträge. Damit helft ihr uns wirklich sehr. Und wo ihr bewerten könnt, bewertet uns mit fünf Sternen, nicht weniger. Wir sind heute wieder dabei, die Hot Topics der digitalen Welt zu besprechen. Und heute sind wir bei einem Thema, was an sich recht trocken ist, aber sehr wichtig für uns alle und das ist die Datenschutzgrundverordnung oder GDPR. Die General Data Protection Regulation DSGVO gibt es seit 2016, begleitet uns seitdem und macht vielen von uns an der Marketing-Front das Leben recht schwer. Doch eigentlich wurde sie ja kreiert, um uns allen so ein bisschen zu helfen. Daher will ich ganz kurz mal bevor wir eingehen und bevor ich meinen Gast hier heute vorstelle, will ich auf den Gegenstand und Ziele der Datenschutzgrundverordnung eingehen und das eben noch mal kurz vorlesen.
Und zwar geht es darum, bei der Verordnung: „Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Zweitens: Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Und drittens und letztlich: Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. Und damit bin ich bei deiner Vorstellung. Nico Vidal Lago, mein Kollege hier bei KEMWEB. Stell dich doch vielleicht selber einmal vor.
Nico
Ja Hallo, mein Name ist Nico Vidal Lago. Ich bin technischer Projektleiter hier bei KEMWEB und befasse mich jetzt nunmehr, man kann sagen grob seit einem Jahr etwas intensiver mit dem Thema Datenschutz. Und das schließt natürlich auch dann die DSGVO mit ein. Und (wir) sind da mittlerweile kann man schon fast sagen, kleine Profis geworden, haben uns diesem Thema sehr intensiv gewidmet und sind da auch auf einem ganz guten Weg, auch mittlerweile sehr gut beraten zu können, unterstützen zu können, wenn es rund um das Thema Datenschutz und DSGVO geht.
Max
Wunderbar. Beraten und unterstützen ist das Stichwort hier. Denn weder ist Nico Datenschutzbeauftragter, noch sind wir in der Lage, rechtliche Beratung zu liefern. Das heißt, wie Nico schon gut beschrieben hat, wir kennen uns mit dem Thema ein bisschen aus. Wir beschäftigen uns mit dem Thema an der digitalen Front natürlich sehr oft, doch können wir dafür nicht haften. Wir gehen eben diese Regeln hier einmal durch und ein paar Fragen, die ich mitgebracht habe. Nico, springen wir doch einfach mal rein: Für wen ist denn DSGVO-Konformität wichtig?
Nico
Also die DSGVO an sich ist für jeden da, also für jeden Europäer an sich. Deswegen ja Datenschutzgrundverordnung der EU sagt man auch, also für die Europäer und das sorgt im Prinzip dafür oder soll dafür sorgen, dass mit den Daten des Einzelnen, also mit den personenbezogenen Daten, vernünftig umgegangen wird und kein Schindluder mehr getrieben wird, wie es vor der DSGVO durchaus üblich war. Im Prinzip hat sich durch die DSGVO im Vergleich zu den vorherigen Regularien, die es ja eigentlich auch schon in Deutschland gab, nicht so viel verändert. Was allerdings, ich sage jetzt mal ein großes Novum war, waren quasi die Bußgelder. Das war insofern wichtig, da es in Deutschland immer nur sehr geringe Bußgelder gab für Verstöße und das wurde dann über die DSGVO sehr stark relativiert. Also sprich, es gab keine Bußgelder mehr in einer festen Größenordnung sozusagen, sondern die waren dann definiert über die Umsätze und dann Prozentualen Umsätze, sprich das war das große Novum. Auch große Unternehmen sozusagen mussten dann befürchten, bei Verstößen entsprechend bestraft zu werden. Und das hatte dafür gesorgt, dass auch wirklich tatsächlich seit der DSGVO sich immer mehr Leute auch diesem Thema widmen und es auch nicht einfach so unter den Teppich kehren.
Max
Okay, es begleitet uns wie gesagt seit 2016 schon. Das heißt, für viele von uns ist es gar nicht mehr so neu, wenn wir uns mit dem Thema öfter beschäftigen. Doch versetze ich mich jetzt vielleicht mal in die Lage einer unserer Zuhörerinnen, einer unserer Zuhörer. Ich baue jetzt eine Seite, ich rede jetzt mal hier – du hast gesagt Datenschutzgrundverordnung nicht nur im Internet. Doch wir sind hier eben an der digitalen Front, reden also über Internet. Ich baue eine Seite. An welchen Stellen dieser Seite muss ich denn jetzt irgendwie aufpassen?
Nico
Also grundsätzlich, wenn man heutzutage Webseiten oder Portale baut, dann ist es ja so, dass man nicht immer alles selber baut, sondern sehr, sehr oft auch vorhandene Tools nutzt, die von externen Dienstleistern angeboten werden. Und da ist eigentlich schon mal ein großes Problem in Bezug auf die DSGVO, dass man eben diese externen Dienstleister nicht einfach ungefragt in der Webseite integrieren darf, weil eben und das ist im Prinzip darf man nicht vergessen, die IP-Adresse ist ein personenbezogenes Datum und bei diesem Verbindungsaufbau bei der Verwendung von externen Dienstleistern wird eben diese IP-Adresse übertragen und das ist ungefragt sozusagen schon ein Verstoß laut DSGVO.
Max
Okay. Ich habe also diese Tools zur Verfügung als Webseitenbauer. Ich kann also ein Tool wie Cookie Bot einbauen. Cookie Bot kennen wir alle, das sind die – der Cookiebanner beispielsweise, der dann eben aufpoppt, wenn ich auf eine Webseite gehe und dann eben zustimme. Wirklich lesen tun es vielleicht wenige Leute, aber wir kennen es eben. Doch jetzt ist was passiert. Mit Cookie Bot generell als Anbieter als Tool wurde eine recht rechtswidrige Übermittlung personenbezogener Daten in die USA von Cookie Bot selbst festgestellt. Willst du auf das Gerichtsurteil vielleicht mal ein bisschen eingehen?
Nico
Ja, sehr gerne. Das war vom Landesgericht Wiesbaden. Ich glaube, dass das aktuell aber auch noch nicht final ist. Es war jetzt erst mal eine vorläufige Entscheidung und wird noch verhandelt. Grundsätzlich ging es darum, um zwei Themen, die eigentlich relevant sind. Es ging einmal um, wie du schon gesagt hast, um das Thema Transfer in ein Drittland wie die USA. Und das zweite, der zweite Punkt ist, dass halt auch hier ungefragt Daten wie die IP-Adresse übermittelt werden. Das ist jetzt nicht zwangsläufig an die USA, darum geht es jetzt noch nicht mal, sondern an sich zu dem Dienstleister Cookie Bot selber. Und da ist der USA-Bezug jetzt noch nicht mal so relevant, macht das Ganze natürlich aber noch mal umso schlimmer. Und das ist quasi die Krux, dass ja eigentlich jetzt der Cookie Bot dafür Sorge tragen sollte, diese Dinge zu regulieren mit Abfrage etc. pp. Aber theoretisch so wie der Cookie Bot – und das schließt jetzt nicht nur den Cookie Bot ein, sondern auch viele andere Dienstleister – bräuchten sozusagen für sich an sich noch mal eine eigene Abfrage, dass sie überhaupt verwendet werden dürfen, weil eben diese IP-Adresse auch der Cookie schon ungefragt sozusagen empfängt und somit ein Verstoß ist. Und dann bräuchte man sozusagen einen Banner für den Cookie Banner von Cookie Bot. Wenn man es richtig machen wollen würde. Aber das ist natürlich jetzt auch nicht sinnvoll, sozusagen es so anzubieten. Sprich man braucht eigentlich aus technischer Sicht gesehen eine neue Lösung. Und diese Lösung gibt es teilweise schon. Das bieten auch teilweise schon der ein oder andere Dienstleister an. Das Problem ist halt nur viele wissen es nicht. Viele kennen immer nur diese schnelle Lösung von Cookie Bot und User Centrics. Schnell mal einen kleinen Schnipsel reingemacht, dann poppt dann dieser Datenschutzbanner auf. Und nur weil dann dieser Banner erscheint, glaubt dann tatsächlich jeder, das Ding würde funktionieren. Wenn man das dann allerdings tatsächlich im Hintergrund prüft, stellt man sehr schnell fest – ich müsste jetzt lügen, aber ich würde jetzt einfach mal raten – dass das grob 90 % der Fälle betrifft, dass diese verwendeten Datenschutzbanner alle nicht funktionieren.
Max
Das heißt aber als Webseitenbetreiber verlasse ich mich darauf, dass das eben genau diese Tools, die für diese Konformität sorgen sollen, eben genau das auch hervorrufen. Aber wer haftet am Ende dafür? Hafte ich als Webseitenbetreiber trotzdem?
Nico
Haftbar gemacht werden kann immer nur der Betreiber, ja. Es sei denn, es besteht eine entsprechende vertragliche Vereinbarung mit dem Datenschutzbanner-Dienstleister. Was ich allerdings so nicht kenne. Ich glaube, beim Cookie Bot ist man noch nicht mal in der Lage, eine AVV, also überhaupt grundsätzlich einen Datenschutz Vertrag abzuschließen. Das geht beim Cookie Bot grundsätzlich nicht. Man kann es gerne versuchen. Ich glaube, da kommt dann noch nicht mal eine Reaktion von denen auf solche Anfragen. Bei User Centrics – was ein Konkurrent ist, der auch seinen Sitz in Deutschland, München hat – da kann man zwar eine AVV abschließen, aber auch da muss man aufpassen, dass man da sehr schnell in der AVV auch einen Drittlandbezug zu den USA feststellt oder feststellen kann, was das ganze zwar -Ich sage jetzt mal, man hat dann zwar einen AVV-Vertrag unterzeichnet, nichtsdestotrotz steht eigentlich in diesem Vertrag drin, dass es nicht alles korrekt ist. Gerade in Bezug auf Drittland USA.
Max
Das heißt aber, dieses noch ausstehende Gerichtsurteil ist eigentlich recht interessant für sehr, sehr viele Leute da draußen. Also nicht nur die und nicht nur die Zuhörer und Zuhörerinnen von euch, die dachten ja, ich bin eigentlich abgesichert, ich möchte ja nur mal kurz reinhören, ich habe ja Cookie Bot beispielsweise oder ein Tool, was das alles für mich regelt. Jetzt, nach dieser Info und diesem noch ausstehenden Gerichtsurteil könnte es aber doch sein, dass auch eure Webseite nicht ganz konform ist, dass selbst Webseiten, die eben genau das vorgeben, es nicht sind. Was kann denn jetzt aber ein Unternehmer eine Unternehmerin tun, um eben diese Konformität abzusichern? Gibt es Tools, die das wirklich gut machen, auf die man sich 100%ig verlassen kann?
Nico
Dienstleister, die das richtig tun, gibt es mittlerweile schon einige. Man muss sich allerdings ein bisschen davon verabschieden, dass es eben nicht mehr so einfach ist, wie man sich das so vorstellt, wie es vorher ein Cookie Bot oder ein User Centrics – ich sage jetzt mal grob – vorgegaukelt hat. Das einfache Integrieren eines Javascript-Schnipselchens reicht eben nicht mehr aus, um rechtssicher zu sein am Ende des Tages. Da braucht man halt ein bisschen – da muss man halt sehr, sehr viel manuell auch prüfen. Man muss schauen, ob diese Dinge, die man da versucht, eben datenschutzkonform zu machen mithilfe dieses Banners, muss man eben halt auch prüfen, ob das wirklich klappt. Und das macht eben aktuell keiner bei diesen Lösungen, die Cookie Bot und User Centrics aktuell so anbieten.
Max
Ja, klare Antwort. Aber ich würde sagen, wir sind an einer Stelle, Nico, ich will noch nicht zu viel vorwegnehmen, aber wir arbeiten, oder ihr arbeitet an der Front an etwas. Was ist denn deiner Meinung nach wichtig bei so einem Tool? Was muss so ein Tool beinhalten? Was muss ein Tool können, um eben uns als Webseitenbetreiber zu helfen?
Nico
Also grundsätzlich waren wir natürlich auch vor grob geschätzt einem Jahr standen wir vor dem Problem, dass wir im Prinzip prüfen wollten, ob eine eingebundene Datenschutzlösung überhaupt konform ist oder nicht. Das Problem hatten wir vor einem Jahr und vor einem Jahr hatten wir nach Lösungen gesucht und hatten diese Lösungen vor einem Jahr auch noch nicht finden können. So haben wir uns quasi dann erst mal intern Gedanken gemacht, wie so eine Lösung aussehen müsste, haben diese selber konzipiert und dann auch selber umgesetzt, um erst mal per se eine Lösung zu haben; wie stellen wir fest, ob eine Webseite Datenschutz konform reagiert? Ob mit einem integrierten Banner oder ohne. Und das haben wir mittlerweile tatsächlich geschafft. Das nutzen wir momentan noch rein für interne Zwecke. (Das) wollen wir aber demnächst auch freigeben für die breite Masse. Aber da sind wir noch nicht ganz so weit. Aber das kommt demnächst. Wichtig ist, dieses Tool hilft uns einfach dabei, Webseiten zu prüfen, bevor sie halt online gehen, um eine gewisse Rechtssicherheit unseren Kunden zu bieten. Und durch dieses Produkt, das wir selber jetzt entwickelt haben, wurde dann eigentlich auch erst mal so richtig offensichtlich wie die Standardprodukte, die es vorher gab, nicht funktionieren. Und deswegen haben wir uns auch Gedanken gemacht, um eine Bannerlösung selber anbieten zu können. Das haben wir tatsächlich auch schon geschafft und haben ja auch für den einen oder anderen Kunden auch schon bei unserem Einsatz. Und am Ende des Tages war unser Ziel immer eine, ich sage jetzt mal, eine sichere Lösung für unsere Kunden bieten zu können in Bezug auf Datenschutzkonformität. Und das erreichen wir aktuell tatsächlich mit diesen zwei Produkten. Man muss sich halt einfach auch davon verabschieden, dass es eben keine einfache Lösung gibt. Schnipsel rein, alles ist gut, das ist falsch. Das wird auch, glaube ich, künftig nie so funktionieren. Es muss immer eine Kombination sein. Es muss ein Mittel geben für die Kontrolle, für den Webseitenbesucher. Und es muss aber auch ein Kontrollorgan geben für den Webseitenbetreiber. Und deswegen gibt es bei uns eine zweiartige Lösung, sage ich jetzt mal. Es gibt den Scanner, um den Webseitenbetreiber die Sicherheit zu bieten, dass seine Webseite nach wie vor konform ist. Und es gibt den Datenschutz Banner, der sozusagen für den Webseitenbesucher konzipiert ist, um zielgerichtet diese Datenschutz-relevanten Themen zu deaktivieren oder zu aktivieren, wie er es möchte.
Max
Super. Ich habe auch keine weiteren Fragen mehr, will auch nicht viel, viel mehr über dieses Tool sagen. Das heißt erst mal: Dankeschön Nico für deine Zeit hier. Wir haben über viel gesprochen, liebe Zuhörer liebe Zuhörerinnen. Wir haben über DSGVO gesprochen, was es ist, wofür es überhaupt wichtig ist, was die Ziele dahinter sind. Was ich beachten muss, wenn ich eine Webseite baue oder sogar was mit Gerichtsurteilen jetzt passiert an der Front. Das heißt, viel gibt es da zu sehen, viel gibt es da zu lernen. Wenn ihr auch einfach mal mit uns darüber sprechen wollt oder selbst einen Scan mal testweise, das habe ich hier ganz spontan, werfe ich das jetzt einfach mal raus an euch, wenn wir einfach mal einen Scan auf eurer Website machen sollen oder ihr mit uns darüber reden wollt, was ihr tun könnt, um konform zu sein oder bleiben oder einfach mal zu schauen, ob ihr überhaupt konform seid. Dann ruft uns gerne an, schreibt uns in den Kommentaren oder überall, wo ihr uns kontaktieren könnt.
Also, ich bedanke mich bei euch für eure Zeit. Nico, noch mal vielen, vielen Dank! Ihr dürft gespannt bleiben auf das Tool. Das wird nämlich an anderer Stelle auch noch mal gepostet und ich bedanke mich für eure Zeit. Wir sehen uns nächstes Mal wieder, wenn es heißt „KEMCAST – digitale Hot Topics in unter 15 Minuten“. Dankeschön.
Neueste Kommentare