Bild von Dominik Liss - WordPress Dev
Die Dominik Liss Show WordPress & Business Talks

#015: Aktuelle und zukünftige DSGVO Richtlinien korrekt umsetzen | m. Elisa Drescher

Episode anhören

Überblick

In dieser Episode reden wir mit Elisa Drescher über die DSGVO und das Datenschutzrecht. Elisa ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE. 

SCALELINE Datenschutz ist eine digitale Unternehmensberatung für Datenschutz und Datenschutzrecht in Deutschland, Österreich und der Schweiz. Die Tätigkeitsschwerpunkte liegen in der praktischen Umsetzung und Beratung der Datenschutzgesetze. Sei es in der Funktion als Datenschutzbeauftragte oder im Rahmen der Beratung oder eines Audits. Für Unternehmen aus Drittländern fungieren sie als EU-Vertreter.

🎁 Bonus: Schreibe eine kurze E-Mail an office@scaleline-ltd.com mit dem Betreff „15. Episode der Dominik Liss Show“ und sichere dir den DSGVO-Website-Check für deine Website oder einen Webshop.

In dem Gespräch unterhalten wir uns über folgende Themen:
00:00 Recap
02:48 Intro
09:20 Korrekter Titel für die Datenschutz-Seite
12:21 Eigene Seite für Cookies?
15:18 Die Fallen von Cookie Bannern
23:58 Warum hilft das Privacy Shield nicht?
26:27 DSGVO konformes Hosting?
30:47 Sind DSGVO Plugins selbst DSGVO konform?
33:50 Google Fonts Abmahnwelle 
40:00 Häufige Fehler bei Newsletter Setups
54:12 Die Zukunft der DSGVO, ePrivacy, usw...
01:03:31 Internationale DSGVO Richtlinien? 
01:11:46 Bonus & Bullet Fragen

Gast: Mag.a iur. Elisa Drescher
https://www.linkedin.com/in/elisa-drescher-scaleline-datenschutz/

SCALELINE
https://dataprotection-scaleline.com/
https://www.linkedin.com/company/datenschutz-scaleline/
https://www.instagram.com/scaleline.datapro/

// WordPress Community Gruppe //
https://dominikliss.com/community

Host & Gäste

Profilbild von Dominik Liss Host
Dominik Liss WordPress Dev
Profilbild von Elisa Drescher Gast
Elisa Drescher Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE

Video

Weitere Episoden

Vorige Episode

Cover Image
#014: WordPress Projekte fördern lassen und korrekt planen | m. Rita Skof-Peschetz (WP-Stars)

Mit Rita unterhalten wir uns über Förderungen. Wie kannst du dein WordPress Projekt fördern lassen und wie schaut der Prozess aus?

Nächste Episode

Cover Image
#016: Ist Deine Webseite Barrierefrei? | m. Miriam Nabinger

In dieser Episode reden wir mit Miriam Nabinger über Accessibility im Web und den European Accessibility Act 2025. 

Transkript

Teilweise sieht man, dass die Datenschutzhinweise oder die Unterseite mit Datenschutz als Datenschutzerklärung getitelt wird.

Bitte schreibe nicht Datenschutzerklärung, sondern nur Datenschutz oder Datenschutzhinweise.

Da gab es vor einigen Jahren ein Urteil aus Deutschland.

Wenn ein externes Service eingebunden wird, auch wenn der Service jetzt sagt, wir setzen keine Cookies, wir setzen keine Cookies, wir sind DSGVO-konform.

Das ist dann meistens so ein Marketing-Trick.

Da habe ich so das Gefühl, dass das Tool keine Cookies setzt.

Aber das bringt mir nichts, weil eine Internetverbindung zu deren Server aufgebaut wird.

Der Cookie-Begriff an sich hat sich etabliert, aber zu dem Thema, wo Personen mit sogenannten Daten übertragen werden können, gehört eigentlich noch viel mehr als nur Cookies, oder? Ein klassischer Fall ist einfach, dass man Informationen von der anderen Webseite auf der eigenen Webseite einbindet.

Ist ja auch gar kein Verbrechen dahinter.

Das große Thema ist halt nur, wenn es in der Regel von großen US-amerikanischen Unternehmen kommt.

Stichwort YouTube-Videos, Google Maps, also Kartendienste.

Und wenn ich als Unternehmen diese Informationen auf meiner Webseite einbaue, wird sofort bei Seitenaufruf, in Klammer, wenn man dafür nicht das rechtlich richtig umsetzt, eine Verbindung zu den Servern von zum Beispiel Google in den USA hergestellt.

Und das darf aktuell nicht mehr sein.

Okay, Serverstandort Europa passt, aber Firmensitz ist in den USA.

So hey, dann ist das in meinen Augen zumindest nicht DSGVO-konform.

Aber das wird zumindest ein Thema, was in real life jetzt sehr wichtig ist, dass man das auch überprüft bei den eigenen Hosting-Anbietern.

Da war ja dann immer die Empfehlung, und die ich natürlich absolut teile, wenn man die Fonds lokal ablegt, das heißt, man lädt sie von Google runter, lädt sie auf dem eigenen Hosting rauf, dann passt das alles, man ist DSGVO-konform.

Und ich muss dann immer schmunzeln, weil ich sage, das war ein Teilaspekt.

Aber wenn man schon einen Hoster gewählt hat, der selbst nicht DSGVO-konform ist, dann beißt sich halt die Katze in den Schwanz.

Newsletter ist eine super Sache, auch aus unternehmerischer Marketing-Sicht.

Was aber die meisten falsch machen nach wie vor, ist, dass sie die Einwilligung falsch einholen.

Und ein Thema noch, und wenn es da jemand Interesse hat, dann meldet euch bei mir, das ist das sogenannte Bestandskundenprivileg.

Das kann man in Deutschland und Österreich einsetzen, ohne dass man die Einwilligung einholen muss.

Und es ist absolut genial, dass man das machen kann, aber es nutzt niemanden.

Welche Änderungen kommen auf uns zu? Könntest du uns vielleicht einen kurzen Überblick geben, was uns so erwarten wird? Also so einen Trailer in Bezug auf Datenschutz und DSGVO.

Hallo und herzlich willkommen bei der 15. Episode der Dominik Liss Show.

In diesem Podcast geht es um WordPress und Business Talks.

Heute geht es um die DSGVO und alle Themen, die mit Datenschutz zu tun haben.

Und da besucht uns Elisa Drescher.

Elisa ist Juristin und Mitgründerin von Scaleine.

Und Scaleine ist eine digitale Unternehmensberatung für Datenschutzrecht in Deutschland, Österreich und Schweiz.

Und heute können wir die Elisa befragen zum Thema Datenschutz, DSGVO.

Vielen, vielen Dank, dass du da bist.

Wir werden die Podcast Episode in zwei Segmente aufteilen.

Also am Anfang werden wir darüber reden, was so der Ist-Stand ist, was die gängigen Fehler in Bezug auf die DSGVO sind, damit die Leute auch bei den eigenen Webseiten nachschauen können, ob die das richtig gemacht haben oder nicht.

Im zweiten Segment werden wir über die Zukunft vom Datenschutzrecht und von der DSGVO reden.

Also was auf uns zukommt, was uns erwartet, sowohl in Deutschland, Österreich als auch in der Schweiz.

Das heißt, da wirst du sehr coole Tipps bekommen, egal in welchem Land du bist in der DACH-Region.

Und bevor ich noch mehr darüber erzähle, hallo Elisa, herzlich willkommen.

Vielen, vielen Dank für deine Zeit.

Freut mich sehr, dass du heute da bist.

Könntest du dich bitte kurz in deinen eigenen Worten vorstellen, damit dich die Zuschauer und Zuhörerinnen ein bisschen besser kennenlernen können? Also hallo und ein Servus aus Österreich aktuell an alle Zuhörerinnen und Zuhörer.

Lieber Dominik, auch dir ein großes Dankeschön für die Einladung mit deinem Podcast, auf den ich mich sehr freue, weil, und da würde ich gleich auch überleiten, Datenschutz ist ein Thema, das tatsächlich ein jedes Unternehmen betrifft.

Das ein Thema aber, das viele Unternehmen noch gerne etwas nach hinten verschieben.

Gleich dazu mehr.

Noch kurz zu mir.

Ich bin Elisa Drescher.

Ich bin Juristin, habe meinen Schwerpunkt in den letzten Jahren auf Datenschutz gelegt.

Und gemeinsam mit meinem Team bei Scaleline Datenschutz beraten wir Unternehmen, wie sie die datenschutzrechtlichen Herausforderungen meistern.

Wichtig ist mir immer zu betonen, wir legen großen Wert auf individuelle Betreuung und Umsetzung.

Also nicht nur reine Beratung, sondern wir machen das auch dann für unsere Kundinnen und Kunden.

Cool, weil immer wenn ich ein Video zum Thema Datenschutz gemacht habe, habe ich immer so diesen Nebensatz dazu gesagt oder in den Kommentaren dazu geschrieben oder in der Beschreibung.

Das ist keine rechtliche Beratung, weil ich kein Jurist bin und ich kann keine rechtliche Beratung erzahlen.

Aber in dem Fall können wir hier heute wirklich konkret über rechtliche Themen reden.

Und eigentlich könnte man das als rechtliche Beratung einstufen, oder? Im weitesten Sinne auf alle Fälle, vielleicht an alle.

Das ist eher so allgemein erzählt.

Was mir wirklich ganz wichtig ist immer zu betonen und das ist mega juristisch und bitte verzeiht mir das, dass ich das sage.

Es ist einfach, jedes Unternehmen tickt an, jede Organisation tickt an.

Es ist immer wichtig, dass man sich dann wirklich auch die Profis dann nochmals ins Haus holt.

Aber mir ist es wichtig, dass ich euch so viele Infos wie möglich heute mitgebe, dass ihr euch mal abgeholt fühlt.

Und vor allem Dominik, das ist mir immer ganz wichtig, sehr viele haben Angst vor rechtlichen Themen.

Und ich glaube, die Datenschutz-Grundverordnung ist immer ganz oben bei vielen Gründerinnen und Gründern, mit denen ich spreche.

Aber auch mit erfahrenen Geschäftsführern und Geschäftsführerinnen, die sagen, das ist ein neues Thema.

Wir haben noch nicht so viele Rechtsprechenden, das heißt, es ist ganz viel auch in der Beratung und der Umsetzung so, dass man mal schaut, über Ländergrenzen hinweg und was man umsetzt.

Also ich freue mich, dass wir euch heute viele Informationen geben.

Vielleicht noch einen Hinweis, es gibt auch einen kleinen Bonus, den würden wir euch am Schluss verraten, dass ich da nicht darauf vergesse, das euch gleich mal mitzugeben.

Cool, also freut mich, dass du das ergänzt hast, weil wir werden jetzt auch über gängige, ich würde jetzt nicht sagen Fehler, aber Details, die man so vergessen kann beim Betreiben einer Webseite in Bezug auf Datenschutz, da werden wir näher drauf eingehen.

Und auch wenn du jetzt die einzelnen Punkte hörst, ist gut, wenn du dir selbst als Zuschauer und Zuhörerin selbst was mitnimmst.

Aber wie du bereits gesagt hast, jedes Unternehmen tickt anders, jedes Unternehmen hat andere Bedürfnisse.

Nur weil du jetzt alle diese Punkte oder Punkte aus einer Checkliste abgehakt hast, heißt das nicht, dass du vielleicht nicht ein anderes System verwendest im Hintergrund, welches auch berücksichtigt werden muss.

Also dadurch, dass jedes Unternehmen andere Prozesse hat, andere Tools, ist es auch sehr individuell zu sagen, oder man kann das auch gar nicht pauschal sagen, ob ein Unternehmen oder eine Webseite datenschutzkonform ist.

Wie bereits gesagt, im ersten Segment geht es um den Ist-Stand.

Da würde ich am liebsten gerne gleich in das Thema eintauchen, was so die gängigen Sachen sind, auf die gerne vergessen wird.

Vor einiger Zeit, vor ein paar Monaten, war Google Fonts sehr stark in den Medien.

Und all diese Sachen vor ein paar Jahren, allgemein die DSGV mit dem Cookie-Banner und all diese Sachen, also das haben jetzt schon die meisten Webseiten implementiert.

Aber kurz nach davor, dadurch, dass es hauptsächlich um WordPress geht auf diesem YouTube-Channel, mag ich jetzt, also finde ich, dass der Bezug zu Datenschutz auch ein sehr natürlicher ist.

Aber damit die Leute ein bisschen von deiner Seite hören, inwiefern du mit WordPress zusammenarbeitest, weil Datenschutz ist ja eigentlich ein allgemeines Thema, welches jede Webseite betrifft.

Aber hast du einen speziellen Zugang zu WordPress oder beschäftigst du dich mehr mit WordPress -Seiten oder beschäftigst du dich allgemein mit allen Webseiten, Unternehmensstrukturen und so weiter? Ja, bei uns ist es eigentlich ganz abhängig davon, wie unsere Mandanten aufgebaut sind.

Aber ich würde sagen, 80 bis 85 Prozent der Mandanten haben ihre eigenen Webseiten oder Online-Strukturen auf WordPress-Basis ausgelegt.

Ich glaube, ein Hintergrund davon ist einfach auch, dass man WordPress super skalieren kann, dass es viele Plugins gibt, die mit dem Unternehmen mitwachsen.

Das ist so ein Grund, warum ich da auch einfach in WordPress besser eingetaucht bin.

Nach vier Jahren IT-Recht und Datenschutz finde ich mich als Juristin mittlerweile auch schon im Backend zurecht und kann da einiges machen.

Das war so bei dem ersten Mal so, oh mein Gott, zittern, mache ich jetzt eh die Webseiten von den Kunden nicht kaputt, wenn ich da zugange bin.

Aber wie alles im Leben ist es ein Lernprozess, den man einfach auch annehmen darf.

Aber was schon ganz Spannendes, ich glaube, bevor wir ganz vielleicht in die Tiefe einsteigen, vielleicht mal ganz ein simpler Hinweis an anfangen, weil ich sehe das noch ganz oft und wir prüfen sehr viele Webseiten im Monat.

Teilweise sieht man, dass die Datenschutzhinweise oder die Unterseite mit Datenschutz als Datenschutzerklärung betitelt wird.

Datenschutzerklärung, das ist auch dieser Begriff, der am meisten, glaube ich, gegoogelt wird und jener Begriff, den die meisten auch mit Datenschutz in Verbindung bringen.

Aber wenn du die Webseite für deinen Kunden machst oder auch wenn du deine Webseite selber gemacht hast, bitte schreibe nicht Datenschutzerklärung, sondern nur Datenschutz oder Datenschutzhinweise.

Da gab es vor einigen Jahren ein Urteil aus Deutschland und wenn man sagt, das ist eine Erklärung, dann könnte einem das so ausgelegt werden, als wäre das ein Vertrag.

Aber, und das ist ganz, ganz wichtig, die Informationspflichten, die den Unternehmen im Rahmen der Datenschutzgrundverordnung auferlegt werden oder wurden, das ist kein Vertrag, sondern man muss einfach die Informationen bereitstellen.

Deswegen erster Punkt aus der virtuellen Checkliste, die wir heute erstellen, ist, bitte Datenschutz oder Datenschutzhinweise und Datenschutzerklärung streichen.

Der zweite ganz wichtige Punkt ist, aus meiner Sicht, dass man Impressum und die Datenschutzhinweise trennt.

Das heißt, dass man zwei separate Unterseiten macht, sieht besser aus und ist transparenter.

Und was ganz wichtig ist, weil die Impressumpflichten kommen aus einer EU-Richtlinie, das heißt, sie sind innerhalb von der EU an und für sich gleich, zumindest im Detail, aber der österreichische Gesetzgeber ist ein Stück weiter gegangen wie der deutsche Gesetzgeber.

Das heißt, bitte schaut euch das nochmal an und übernehmt nichts aus bekannten deutschen Generatoren, einfach das Impressum, sondern in Österreich müssen mehr Infos sein.

Und ganz, ganz wichtig, weil das sieht man auch ganz oft, leider muss ich sagen, gerade bei Unternehmen, die ihr Impressum eher verstecken wollen, dass sie es irgendwo unter Kontakt reingeben, sondern wirklich Impressum und Datenschutz im Futter fixieren, dass man von jeder Unterseite hinkommt und dass von jeder Seite die Informations- und Transparenzpflichten erfüllt werden.

Ich weiß, das ist jetzt gerade ein bisschen trocken, aber das sind einfach diese formalen Erfordernisse, die ein jeder Laie sieht, wenn er auf die Website geht und gerade in Deutschland, wo dieses Abmahnen viel präsenter und viel üblicher ist als es in Österreich oder der Schweiz, da sind das genau Kriterien, auf die Abmahnwelten, die genau darauf spezialisiert sind, schauen.

Ja, und das sind dann auch solche Details, wie zum Beispiel, wenn jemand einen Cookie -Banner implementiert hat, welcher so ein Pop -up ist über die ganze Webseite und dann ist der Impressum-Link im Futter nicht mehr anklickbar, ohne dass man den Banner wegklickt, ist halt auch so eine Sache, dass der Link eigentlich im Banner inkludiert sein sollte, damit man von überall, auch wenn man nichts anklickt auf der Webseite, eben diese Informationen bekommt.

Was ich da noch den Input bekommen habe, ich weiß nicht, wie wichtig das ist, aber sollte man auch die Cookies auf einer eigenen Seite auflisten oder ist das nicht notwendig? Ich würde sagen, das ist Geschmackssache.

Wichtig ist das, wie man die Informationen auf der Webseite so findet.

Es kommt auch ganz stark darauf an, welchen Anbieter man nutzt, um die Einwilligung im Rahmen von dem Cookie-Content einzuholen.

Wir machen es bei unseren Mandanten oft so, dass wir, wenn wir die Datenschutzhinweise erstellen, dass wir dann einfach im Kapitel Cookie, dass wir es dort auflisten.

Manche machen eine eigene Unterseite-Cookie -Richtlinie.

Das ist egal.

Was nur wichtig ist, weil das wird noch ganz gerne und oft vergessen, dass man auch den Link reingibt, sei es direkt in den Datenschutzabschnitt oder in der Cookie-Richtlinie, dass man seine einmal getroffene Entscheidung auch abändern kann.

Das heißt, dass man sagt, also der Klassiker ist ja eher, dass man sagt, alle Cookies möchte ich bestätigen und dann möchte ich das aber vielleicht künftig nicht mehr machen, weil man irgendwie in die Irre geführt wurde.

Das ist ja auch gerade im Cookie-Content-Banner oft das Thema, dass der Cookie so gestaltet wird, dass man die Einwilligung erteilt.

Kleiner Punkt, den wir auf der Checkliste ergänzen können, das darf man auch nicht.

Das heißt, auch gleich mal so vorneweg, wenn Sie einen Cookie-Content-Banner haben, geht es gleich auf eurer Webseite und schaut, sind alle, ich sage jetzt einmal, Kacheln gleichfarbig, sind die gleich groß, weil gerade als so 2018, 2019 das neu war, da waren auf einmal alle Annehmenden grün und der Rest ganz klein.

Dann hat es in Deutschland ein paar lustige Fälle gegeben, die haben sich einen Spaß draus gemacht und haben die Überschrift beim Cookie -Content-Banner gemacht wie heute im Angebot Cookies und so dergleichen.

Es sorgt vielleicht bei dem einen oder der anderen zum Schmunzeln.

Bei mir auch, gebe ich zu, aber die Datenschutzbehörden haben da gleich gesagt, das darf nicht sein.

Das heißt, bitte auch hier eine sehr neutrale Überschrift wählen, weil mit den Datenschutzaufsichtsbehörden ist wirklich nicht zum Scherzen.

Wenn wir schon gleich beim Cookie-Content-Banner sind, da würde ich gerne an dem Thema anknüpfen.

Kurze Unterbrechung in eigener Sache, deswegen das Hemd.

Und zwar geht es um die WordPress-Community -Gruppe.

Wir haben jetzt eine Community-Gruppe auf Discord und dort kannst du Antworten auf deine WordPress -Fragen finden.

Du bekommst konstruktives Feedback zu deinen WordPress-Projekten und es gibt regelmäßige Sprechstunden, die ich dort posten werde.

Dort kannst du live deine Fragen stellen oder einfach teilnehmen und suchen, welche Fragen andere Teilnehmer haben.

Dort werden teilweise auch Podcast-Gäste sein, andere Experten aus der WordPress-Branche.

Also da wirst du wirklich cooles Feedback bekommen und coole Antworten auf deine Fragen.

Und das alles ist kostenlos.

Das Einzige, was du machen musst, du musst unten auf den Link klicken.

Dort kommst du zu der Seite, wo du dich anmelden kannst.

Und dann bekommst du die gesamte Anleitung, wie du in der Community-Gruppe beitreten kannst.

Und jetzt geht es weiter mit dem Video.

Und zwar ein Punkt, der mir im Hinterkopf so vorschwebt, ist, dass wenn es dann zum Beispiel Änderungen gibt, wie okay, auf der Webseite sind jetzt Google-Ads dazugekommen oder vielleicht andere Tracking-Tools oder solche Sachen oder ein Newsletter ist dazugekommen, dann sollte das DSGVO-Plugin eigentlich eine Option haben, um die Zustimmungen neu einzuholen.

Weil wenn man das damals zugestimmt hat, dann hat man den Ist-Stand von damals, den Cookies von damals zugestimmt, aber nicht den neuen.

Und der Punkt, der sich da noch anschließt, das wären jetzt zwei Fragen in einem, dass der Cookie-Banner oft nicht richtig eingebunden wird.

Also auch, wo der Cookie-Banner angezeigt wird, werden schon im Hintergrund alle Sachen geladen ohne Zustimmung, was auch jetzt in meinen Augen nicht so korrekt ist.

Aber könntest du die zwei Punkte vielleicht kurz ansprechen, was man in dem Fall machen sollte oder welche Möglichkeiten man hat? Ja, der erste Punkt ist, gehen wir mal wieder zu dem Zustand zurück, dass wir die Seite aufrufen und auf einmal kommt zwar der Banner, es ist auch egal, wo er platziert ist.

Und wenn man dann einmal Analyse-Tools nebenbei hat und wir arbeiten damit, es arbeiten auch viele andere Datenschützer damit oder auch du oder Dominik, du und deine Kollegen arbeiten damit und man sieht im Hintergrund schon, oh, da wird alles nachgeladen in Google Analytics, Google Ads, Facebook Pics, also das ganze Analyse -Spektrum.

Das darf nicht sein, weil es darf wirklich erst ab dem Moment, wo der User auf das Go klickt, also alle akzeptieren oder annehmen, nachgeladen werden.

Der zweite Punkt, den du angesprochen hast, das ist ein ganz wichtiger, weil in der Regel entwickelt sich eine Website weiter.

Irgendwann startet man, man hat eine Visitenkarte -Website, vielleicht mit einem Kontaktformular, vielleicht schon mit einem Newsletter und dann wächst das Unternehmen, man hat vielleicht die ersten Mitarbeiter oder man ist ein größeres Unternehmen, man möchte ein zusätzliches Analyse -Tool einführen und dann hat man irgendwie die Datenschutzhinweise mit Stand 2020, man bindet neue Sachen ein.

Ups, da habe ich dann vergessen, dass man dann natürlich auch den Rest nachziehen muss auf der Webseite.

Das heißt, es müssen die Datenschutzhinweise um die weiteren Datenverarbeitungen ergänzt werden.

Das heißt, sehr juristisch und technisch gesprochen, aber wichtig ist, sobald neue Sachen auf die Website kommen, immer auch an den Datenschutz denken und schauen, ob dadurch zusätzliche Cookies gesetzt werden, ob zusätzliche Drittanbieter eingebunden werden oder ob man komplett neue Daten auch erhebt über die Website, die man bisher noch nicht erhoben hat.

Und natürlich, wenn das entsprechende Auswirkungen hat, entweder automatisiert in den Cookie-Consent -Banner einbinden lassen oder manuell noch einfügen, damit man wirklich für alles, was man macht, eine konforme Einwilligung einholen kann.

Und um die erste Teilfrage noch zu beantworten, wenn sich das verändert hat, zum Beispiel man hat vorher Statistik-Cookies gesetzt von Google, möchte jetzt den Google-Tag-Manager noch mit einbinden, damit man die Google-Ads besser steuern kann, dann kommt ein neues Tool dazu und dann muss tatsächlich beim Seitenaufruf nochmal eine neue Einwilligung erteilt werden.

Und grundsätzlich, wenn wir jetzt von Cookies sprechen, weil Cookies, der Begriff hat sich irgendwie, finde ich, auch ein bisschen so fälschlicherweise etabliert, weil Cookies, Cookies, ja okay, da können Daten gespeichert werden, personenbezogene Daten, aber im Prinzip bräuchte man ja eigentlich schon eine Zustimmung, wenn ein externes Service eingebunden wird, auch wenn das Service jetzt sagt, hey, wir setzen keine Cookies, wir setzen keine Cookies, wir sind DSGVO-konform.

Das ist dann meistens so ein Marketing-Trick, habe ich so das Gefühl, dass okay, das Tool setzt keine Cookies, aber das bringt mir nichts, wenn eine Internetverbindung zu deren Server aufgebaut wird.

In dem Fall kategorisiere ich das als Third -Party-Services.

Einfach, wenn eine Internetverbindung ohne Zustimmung zu einem fremden Server aufgebaut wird, das ist an sich schon nicht DSGVO-konform, weil viele sagen dann Cookie-Banner und Cookies werden nicht gesetzt, aber ja, außer Cookies kann man dann auch zum Beispiel die Daten in Local Storage Items setzen oder in Session Items und solche Sachen.

Also das ist jetzt in dem Fall, der Cookie-Begriff an sich hat sich etabliert, aber zu dem Thema, wo Personenbezogene Daten übertragen werden können, gehört eigentlich noch viel mehr, als eigentlich nur Cookies, oder? Ja, genau, das ist es.

Ich glaube, Cookie hat sich deswegen etabliert, weil der Begriff aus der Süßwarenabteilung bekannt ist und weil sich da Menschen mehr darunter vorstellen können.

Es gibt viele weitere Methoden noch.

Das ist dieses Fingerprinting, Beacons und dergleichen, die genau auch Auswirkungen haben können.

Und du hast einen dritten Punkt noch angesprochen, das ist eben diese Drittverbindungen zu anderen Webseiten.

Ein klassischer Fall ist einfach, dass man Informationen von der anderen Webseite auf der eigenen Webseite einbindet.

Ist ja auch gar kein Verbrechen dahinter.

Das große Thema ist halt nur, wenn das in der Regel kommendes von großen US-amerikanischen Unternehmen – Stichwort YouTube-Videos, Google Maps, also Kartendienste – und wenn ich als Unternehmen diese Informationen auf meiner Webseite einbaue, wird sofort bei Seitenaufruf, in Klammer, wenn man dafür nicht das rechtlich richtig umsetzt, eine Verbindung zu den Server von zum Beispiel Google in den USA hergestellt.

Und das darf aktuell nicht mehr sein.

Was mir wichtig ist zu betonen, 2018, 2019 war so die Situation, ja, wir Europäer, wir schneiden uns mit den Datenschutzthemen total ab.

Die ganzen Player, die ganzen Dienste kommen aus den USA.

Okay, damals war es noch ein anderer Stand, weil damals hat es noch einen Angemessenheitsbeschluss zwischen Europa und den USA gegeben.

Vielleicht nach einem kurzen Ausflug, das war das sogenannte Privacy Shield, das im zweiten Anlauf von Max Schrenk und von Non-of-Your -Business erfolgreich bekämpft wurde.

Jetzt haben wir faktisch seit Sommer 2020, ich kann mich an den Tag sehr gut erinnern, da ist unser E-Mail-Postfach übergegangen, die Situation, dass Daten in den USA auf einer rechtlich sicheren Basis kaum übermittelbar sind.

Es gibt Möglichkeiten, aber das sind mit enormem bürokratischen Aufwand verbunden.

Und deswegen muss man, wenn man die Webseite betreibt, darauf achten, dass man, wenn man Google Maps, YouTube, Vimeo-Videos einbindet, die Einwilligung einholt.

Die Einwilligung deswegen, weil eben Daten übertragen werden und wenn man angemeldet ist bei YouTube, dann werden die Informationen mit seinem eigenen Konto verknüpft und YouTube respektive Google kann das dann wieder mit seinen weiteren Suchverlaufen ergänzen.

Ich habe immer den Eindruck, dass sehr viele von meinen Kollegen und Kolleginnen den Eindruck auch vermitteln, Datenschutz, das kann man gar nicht 100% sicher machen und dass es auch keine Alternativen mehr gibt.

Mit Stand 2023 muss ich dem vehement widersprechen, weil es gibt mittlerweile viele tolle Lösungen für Websites, die aus Europa kommen, die konform sind, die man einsetzen kann.

Das Thema dabei ist einfach, die sind im Vergleich zu den US-Tools kostenlos, ein paar Euro im Monat.

Da kann dann jeder Unternehmer, jede Unternehmerin für sich selbst die Entscheidung treffen, was ist mir wichtig, möchte ich dieses Investment machen, das ist eigentlich, ich zahle 10 Euro für das Video -Hosting an eine Firma oder ich bringe es kostenlos über YouTube und Vimeo ein.

Wenn man Fragen hat, ich habe in Dominik in der Vorbereitung schon gesagt, ich möchte nicht irgendwie Schleichwerbung machen für Anbieter.

Wenn ihr Fragen habt zu DSGVO-konformen Alternativen, bitte meldet euch bei mir, ich helfe da auch gerne, einfach schreiben, ich kann da auch gerne die jeweiligen Kontakte herstellen.

Wir haben im Portfolio, haben wir welche, die Video-Hosting DSGVO-konform betreiben, Videokonferenztools DSGVO-konform betreiben, da haben wir Unternehmen aus Deutschland, Österreich und der Schweiz, Kommunikation mit Kunden per Messenger, per Chatbot, das kann alles DSGVO-konform betrieben werden, ist ein bisschen mehr Aufwand, kostet ein paar Euro, aber sensibilisierte Kunden danken einem das.

Entschuldigung für den Ausflug, jetzt bin ich ganz gespannt, Dominik, welche Frage mich erwartet.

Das finde ich mega spannend, dass wir jetzt so tief andauern in das Thema und eigentlich wollte ich noch eine Stufe weitergehen, weil du vorher das Privacy-Shield erwähnt hast, also bitte korrigiere mich, wenn ich das falsch verstanden habe, aber wo ich mich damals informiert habe, ist das Privacy-Shield, okay, dass das, also oft können Unternehmen in den USA wirklich gute Intentionen haben, aber dadurch, dass die, ich weiß nicht, wie ich es betiteln soll, Informationsdienste oder Geheimdienste in den USA das Recht haben, auf die Daten von US-basierten Unternehmen zuzugreifen, dann können die Unternehmen, auch wenn die wirklich eine sehr gute Intention haben, die Unternehmen, und das nicht weitergeben wollen, haben die oft keine Wahl, die Daten nicht weiterzugeben.

Also da, ich weiß nicht, ob ich das richtig verstanden habe oder nicht, also das wäre gut, wenn du da noch vielleicht kurz drauf zurückkommen könntest, ob das richtig bei mir im Kopf ist oder ob das falsch ist.

Ja, das ist sehr richtig verstanden und man kann sogar eine Stufe weitergehen, es geht nicht nur um Unternehmen, die ihren physischen Standort in den USA haben, sondern es gibt auch Unternehmen, die ihre Rechenzentren weltweit verteilt haben, damit sie einfach die Kapazität haben und die Geschwindigkeit bei den Usern ankommt.

Auch wenn ein US-Unternehmen, ich sage es mal, in Australien Rechenzentren betreiben würde, hätten die US-Geheimdienste das Recht, laut amerikanischem Gesetz, und das können wir einfach mit der DSGVO nicht aushebeln, darauf zuzugreifen.

Und das war der Grund, warum das sogenannte Privacy Shield, das Angemessenheitsbeschluss aufgehoben wurde und auch die Vorgänger, und auch der Vorgänger des sogenannten Safe Harbor Abkommen.

Hintergrund ist einerseits, dass die US-Geheimdienste zugreifen können und die Unternehmen, die davon betroffen sind, auch aufgrund US-amerikanischem nationalem Gesetz nicht dazu ermächtigt sind, betroffene Personen davon in Kenntnis zu setzen.

Das heißt, im Worst-Case-Szenario, ich schaue mir über YouTube Videos an, kann in einem bestimmten politischen Spektrum sein, möchte ja jetzt nicht äußern, was gut und böse ist an der Stelle, die Geheimdienste ermitteln wegen vielleicht Terrorverdacht und sie könnten dann von YouTube bzw.

Google die Daten anfordern.

Ja, und da finde ich es immer extrem tricky und sehr clever marketingtechnisch formuliert von den Hosting-Anbietern zum Beispiel, die den Firmensitz in den USA haben, ist, dass die sagen, ey, wir sind DSGVO-konform, weil du kannst ja ein Serverstandort in Europa auswählen.

Und der Firmensitz ist aber weiterhin nicht in den USA, deswegen muss ich dann extra reden, Hosting-Anbieter dann immer nachschauen, so, ok, Serverstandort Europa, passt, aber Firmensitz ist in den USA, so, ey, dann ist das in meinen Augen zumindest nicht DSGVO-konform, aber das wird zumindest ein Thema, was in real life jetzt sehr wichtig ist, dass man das auch überprüft bei den eigenen Hosting-Anbietern.

Ja, genau, und es ist vielleicht auch ein Thema, um auf den letzten Sommer ganz kurz anzusprechen, die Google-Fonds-Thematik, die ja regelrecht wie ein Vulkan ausgebrochen ist über Deutschland und Österreich letzten Sommer.

Da war ja die Thematik, wenn man Google-Fonds, und Fonds sind ganz normale Schriftarten, auf der Webseite einwendet und die nicht lokal abgelegt hat, dann wurde jedes Mal beim Seitenaufruf die personenbezogene Daten in der Regel über IP-Adressen, aber auch da, da haben sich dann begonnen die Gelehrten darüber zu streiten, ob das jetzt personenbezogene Daten sind, aber Stand jetzt kann man sagen, IP-Adressen sind auch personenbezogene Daten.

Und da war ja dann immer die Empfehlung, und die ich natürlich absolut teile, wenn man die Fonds lokal ablegt, das heißt, man lädt sie von Google runter, lädt sie auf dem eigenen Hosting rauf, dann passt das alles, man ist DSGVO-konform.

Und ich muss dann immer schmunzeln, weil ich sage, das war ein Teilaspekt, aber wenn man schon einen Hoster gewählt hat, der selbst nicht DSGVO-konform ist, dann beißt sich halt die Katze in den Schwanz, weil ich mache eine Maßnahme, um DSGVO-konform zu sein, wähle aber dann einen Hoster, der mir dann wieder sozusagen ins eigene Bein beißt.

Also wirklich beim Hoster, das ist eine fundamental wichtige Entscheidung, die an jeder Unternehmer, jede Unternehmerin trifft, wenn sie ihre Webseite macht, schaut wirklich das lokal europäische Hosting, um da nicht in die Bredouille zu geraten.

Und ganz wichtig auch noch, wie Dominik vorhin ganz richtig angesprochen hat, macht eine kurze Google-Suche dazu, wer steckt hinter den Unternehmen, wo haben die ihre Rechenzentren, ist es vielleicht nur eine europäische Tochter, da sitzen die noch in den USA oder wo auch immer, weil das ist ja gerade dieser Schmäh und beziehungsweise für alle Deutschen dieser Scherz, den ja die großen Player machen, die haben in Irland ihren Europasitz und sagen dann, ja wir sind ein europäisches Unternehmen, alles easy peasy.

Wenn man sich aber dann die Datenschutzverträge anschaut im Background, sieht man natürlich, da gehen die Daten an so eine Latte an Unternehmen in die USA, weil sie es einfach nach außen hin machen, dass sie den Standort hier haben.

Ja und eine Falle ist dann auch oft, glaube ich, die sagen, ein Serverstandort in England, aber England ist ja eigentlich nicht mehr in der EU.

Stimmt das, dass es dann auch eine Falle sein könnte, dass England an sich nicht der DSGVO untergeordnet ist? England ist ein Spezialfall, also seit dem Brexit war es die Situation so, dass sie diesen Angemessenheitsbeschluss bekommen haben, so wie dieses Privacy Shield, da gibt es etwas für UK.

Was aber damals oder bis heute noch in Diskussion steht, wenn dieser UK-Angemessenheitsbeschluss jemals vor den Europäischen Gerichtshof kommen würde, gibt es sehr, sehr viele kritische Stimmen, die sagen, dass der auch aufgehoben werden würde, weil die Überwachungsgesetze im UK auch sehr weitreichend sind.

Aber aktuell können sich Unternehmen darauf berufen, und die meisten brauchen sich deswegen keine Kopfschmerzen darüber machen.

Das weiß nicht Deutscher.

Alles gut, ich glaube, wir haben alle verstanden, worum es geht.

Ich habe noch so viele Fragen.

Ich habe das Gefühl, dass das Gespräch gerade erst losgeht, weil ich würde gerne an drei Themen anknüpfen, die wir jetzt so besprochen haben.

Einerseits wollte ich noch kurz ergänzen, weil wir jetzt das gesagt haben, wenn irgendetwas extern geladen wird, ohne Zustimmung von einem externen Server, auf der eigenen Webseite, und das ohne Zustimmung passiert, wie zum Beispiel das mit Google Fonts der Fall war, dann ist irgendwie so ein, keine Ahnung, ob ich das jetzt als widersprechend oder als irgendwie so ein Paradox beschreiben kann, aber die an und für sich, die DSGVO-Plugins, also wie zum Beispiel diese Cookie-Banner und all diese Sachen, ich mag jetzt keinen Namen nennen, aber viele von diesen Cookie-Bannern, die wollen alle möglichen Systeme abgreifen, und nicht nur WordPress, sondern alle möglichen Systeme, und dann stehen die dir einen Skript zur Verfügung, welcher eine Verbindung aufbaut zu einem Third -Party-Server, damit der Cookie-Banner überhaupt geladen werden kann auf der Webseite.

Deswegen, wenn wir das so von der Seite anschauen, ist eigentlich der Cookie-Banner an sich nicht DSGVO-konform, weil man eigentlich eine Zustimmung bräuchte, wenn das ein Cookie-Banner ist, der extern geladen wird, also über ein externes Skript, dann bräuchte man an sich schon davor eine Zustimmung für den Cookie-Banner, wenn ich das richtig verstanden habe, oder? Es kommt darauf an, woher sie kommen, weil in der Regel werden die Cookies, die durch die Cookie-Banner selbst gesetzt werden, als technisch notwendig betrachtet, damit man die Einwilligung nachvollziehen kann.

Wichtig ist aber auch, bei dem Cookie-Consent -Anbieter gleichermaßen darauf zu achten, woher kommt das Unternehmen und wo haben die ihre Server stehen, weil wenn es ein US-amerikanisches Tool ist und da gibt es eben ein bekanntes aus dem Markt, dann habe ich wieder die gleiche Situation wie mit dem Web-Posting.

Ich möchte eigentlich das Gesetz erfüllen und nutze aber ein Tool, das selbst schon gegen dieses Gesetz verstößt, um ganz einfach ausgedrücktes zu sagen und da gar nicht irgendwie zu päschen, weil viele, und ich glaube, das ist auch ein Thema, das du hier ganz gut adressierst, es geht ja ganz viel darum auch, dass man Awareness schafft, weil viele Personen, das ist absolut verständlich, jeder, der was selbst im Unternehmen hat und führt, weiß, wie viele Aufgaben er hat und wie viele verschiedene rechtliche und vor allem regulatorische Themen auf einen förmlich einprasseln und da muss ich mich noch damit auseinandersetzen, welchen Consent-Banner ich einsetze und woher der kommt, weil in der Detailtiefe Wissen des Profis, die sich tagtäglich damit beschäftigen, die du um drei Uhr morgens aufwecken kannst und die sagen kannst, okay, diesen und diesen kannst du nutzen, aber bitte nimm doch von diesen Abstand, also da kann ich auch allen anbieten, die interessiert haben, schreibt mir ein kurzes E-Mail, ich kann euch zumindest die Banner empfehlen, mit denen wir arbeiten oder wo uns Vermandanten zufrieden sind, das kann ich euch gerne immer auch einfach schreiben, ganz einfach gesagt.

Cool, also alle Kontaktdaten werden auf jeden Fall unten verlinkt sein, das werden wir dann sowieso noch später erwähnen, wie die Leute dich oder euch erreichen können und alles wird dann auf jeden Fall unten verlinkt sein.

Woran ich noch anknüpfen wollte, ist das Thema Google Phones, weil das war ja, wie du gesagt hast, letzten Sommer ein sehr heißes Thema, wenn ich das jetzt mal so kategorisieren kann.

Wie schaut jetzt aktuell die Situation aus? Weil es ist ja so, dass man davon eigentlich nichts mehr hört, aber der Prozess ist ja schon abgeschlossen.

Gibt es eine Entscheidung, ob das jetzt korrekt war, was der Anwalt gemacht hat oder nicht? Oder was war überhaupt nicht korrekt in den Massen E-Mails, die ausgeschickt wurden? Also eine finale Entscheidung ist mir aktuell noch nicht bekannt.

Es gab ja die Situation in Österreich, aber auch Kollegen in Deutschland sind auf den Zug aufgesprungen.

Und das Hauptkritikpunkt, was ja auch dazu, dass das so medial auch, ich glaube, es wurde auch in den ZIP-Nachrichten in Österreich gebracht, das Thema, war dieses Massenhafte.

Also da wurden ja Tausende, beziehungsweise Zehntausende Briefe verschickt.

Und der Hauptkritikpunkt ist es mittlerweile, und da gibt es auch schon Urteile aus Deutschland, dass diese Vorgehensweise illegal war, weil sie rechtsmissbräuchlich war.

Sinn und Zweck von der Maßnahme war, ohne mich so weit aus dem Fenster lehnen zu wollen, war nicht, dass man individuelle Datenschutzrechte geltend macht.

Das ist ganz legitim.

Also wenn du irgendwie Auskunft von einem Unternehmen haben möchtest oder deine Daten gelöscht werden möchtest, diese Rechte stehen einem aufgrund der Datenschutzverordnung oder auch in dem Schweizer Datenschutzgesetz zu.

Brauchen wir nicht diskutieren.

Das ist von meiner Besucherin.

Auf der anderen Seite, wenn das Massenhaft ist, Zehntausende Unternehmen oder Webseitenbetreiber angeschrieben werden, gleich mit den Zahlungsaufforderungen und dem Zahlungsbeleg beigelegt, dann ist es klar, eindeutig nicht darauf ausgelegt, Datenschutzrechte geltend zu machen, sondern es ist eine Art von Geschäftsmodell, ein illegales Geschäftsmodell.

Und genau das sind diese Erkenntnisse aus den Urteilen.

Und was mich persönlich bei dieser Google-Fonds -Abmahnwelle letzten Sommer so stört, es hat dem Thema Datenschutz einen sehr negativen Beigeschmack gegeben.

Es ist generell schon ein Thema, das total negativ besetzt ist, es sehr bürokratisch ist und dann kommt ein findiger Anwalt, möchte ich es gar nicht sagen, dann kommen halt Anwälte, die sagen, ich mache jetzt ein Geschäftsmodell und mache damit schnell ein paar Hunderttausend Euro.

War nicht gut für das Thema.

Und wir arbeiten ganz stark mit Awareness, dass man aufzeigt, dass Datenschutz ein Vorteil ist.

Wenn man es richtig macht, kann man es auch wirklich ganz gerne nach außen tragen.

Wir sind DSGVO-konform oder wir haben ein Tool oder eine Software entwickelt, das DSGVO-konform ist.

Wichtig ist halt nur, wenn man das nach außen hin transportiert, dass das auch stimmt.

Und ich würde sagen, in 80 Prozent der Fälle ist das nicht der Fall.

Was für mich eine Irreführung ist, weil natürlich die Unternehmen, aber auch Konsumenten, die diese Tools nutzen, darauf vertrauen.

Ja, wie ich das Thema in Bezug auf die Google-Fonds und die Adman-Wähle verstanden habe, ist eben, wie du richtig gesagt hast, die haben das einfach massenweise ausgeschickt.

Also gleich die Webseite gecheckt, E-Mail geschickt mit Rechnung und dem Ganzen drumherum.

Aber wie ich das dann verstanden habe, ist, dass es nicht gegen die DSGVO verstößt, wenn die Webseite nicht durch einen Menschen besucht wird, aber durch einen Internet-Bot.

Und dadurch, dass das alles automatisiert passiert ist, wurde die Webseite nicht von einem Menschen aufgerufen, sondern von einem automatisierten Bot.

Und dadurch wurden keine personenbezogenen Daten weitergegeben, weil die IP-Adresse, welche vermittelt wurde, ja nicht auf einen Menschen zurückzuführen ist, sondern auf einen Bot.

Genau, und das kam ja noch on top, dass in Österreich die EVZ fraglich ist, ob die Person überhaupt als solche existiert.

Und da hat der IT-Dienstleister für Österreich gesprochen, der hat es auch im Gerichtsverfahren zu Protokoll gegeben, dass das ein Bot war.

Also jetzt haben wir sehr viele Themen über den Ist-Stand abgegriffen.

Ich würde gerne dann von langsam ins zweite Segment weitergehen, weil sonst geht uns die Zeit aus, also über die Zukunft der DSGVO und was uns da alles erwartet.

Die Punkte, die wir jetzt noch nicht erwähnt haben, die würde ich jetzt gerne kurz als Punkt für Punkt einfach erwähnen, ob was man achten sollte oder was mir jetzt einfallen würde, was viele einfach vernachlässigen.

Du kannst die Liste dann gerne weiter ergänzen, damit wir jetzt nicht so stark ins Thema eintauchen in den einzelnen Punkten, sondern damit wir die mal erwähnt haben.

Also von meiner Seite, die Punkte, die ich mir noch aufgeschrieben habe, ist zum Beispiel beim Hosting eben das Backup, weil beim Backup sind dann auch personenbezogene Daten und oft werden die dann über ein WordPress -Plugin in Dropbox oder Google Drive gespeichert und das ist dann auch nicht so ideal, wenn du zum Beispiel einen Webshop betreibst, da sind Kundendaten drinnen, wenn da keine Kundendaten drinnen sind, keine personenbezogenen Daten, ist es wurscht, aber wenn da personenbezogene Daten drinnen sind, dann solltest du wirklich darauf achten, wo du die Backups speicherst und dann, das ist eine Security-Sache, aber eigentlich sollten die Backups dann auch verschlüsselt sein, damit das jetzt nicht, ich weiß jetzt nicht, ob das dann in die Kategorie grob fahrlässig reinfällt oder nicht, da bin ich jetzt nicht die Person, die das beantworten könnte.

Dann eben, was noch dazu kommt, ist YouTube, Vimeo, Videos, Google Maps, also alle Einbettungen, die es so gibt von Third-Party-Services, alles, was du über ein iFrame einbindest und alles, was du über ein externes Service anbindest, da solltest du dir eigentlich Gedanken darüber machen, wie zum Beispiel auch Calendly oder irgendwelche Terminbuchungstools auf der Webseite, die du per iFrame einbinden kannst.

Dann ein wichtiger Punkt ist auch zum Beispiel das Recapture von Google bei den Formularen, Newsletter-Geschichten, also Newsletter-Geschichten, wo ist eben der Firmensitz von der Firma, die das Service betreibt, ob das eine Safe-Hosted-Lösung ist oder ein externes Service, welches alles für dich übernimmt und dann noch E-Mail-Versand, dass der E-Mail -Versand dann auch am besten über den eigenen Server, dass die E-Mails versendet werden und wenn du dann schon ein externes Service verwendest, also, keine Ahnung, da gibt es verschiedene E-Mail-Services, die die E-Mails für dich verschicken können, dann sollten die Sachen alle auf jeden Fall auf der Datenschutzseite ergänzt werden.

Im Cookie-Popup sollte, wenn es notwendig ist, darauf hingewiesen werden und all diese Sachen, also das sind die Punkte, die mir einfallen würden, wo es oft übersehen wird, dass die Leute sich um, dass die Unternehmen oder dass die Webseitenbetreiber sich um diese Sachen kümmern.

War da jetzt irgendein Punkt dabei, auf den du kurz eingehen magst oder hast du noch weitere Punkte, die wir ergänzen können? Einen Punkt und das ist der Newsletter.

Das ist ein Thema, das ich leidenschaftlich gern auch präsentiere.

Newsletter ist eine super Sache, auch als unternehmerische Marketing-Sicht.

Was aber die meisten falsch machen nach wie vor, ist, dass sie die Einwilligung falsch einholen.

Das ist einerseits, dass sie ganz oft den Text für die Einwilligung nicht vollständig haben und ich mache es gleich hier den absoluten Leak, weil wir haben das letztes Jahr bei einem Mandanten gehabt, die sammeln seit, ich würde fast sagen seit Jahrzehnten, die E-Mail-Adressen ohne Double Opt-In.

Und ich habe im Rahmen des Audits draufgekommen, dass sie das nicht machen.

Die haben das gar nicht böswillig gemacht, sondern weil es einfach der Anbieter hat das nicht zur Verfügung gestellt.

Ich bin fast vom Stuhl gefallen.

Wirklich, weil wenn du dann mal eine Liste hast mit 40.000, 50.000 Kontakten, das ist ein ordentlicher Wert.

Und wenn du dann aber drauf kommst, das ist eigentlich für die Tonne, dann fällt dir wirklich die Kennlade runter.

Also das ist ein Thema und ein Thema noch.

Und wenn es da jemand Interesse hat, dann meldet euch bei mir.

Das ist das sogenannte Bestandskundenprivileg.

Das kann man in Deutschland und Österreich einsetzen, ohne dass man die Einwilligung einholen muss.

Und es ist absolut genial, dass man das machen kann, aber es nutzt niemanden.

Und ich verstehe es nicht.

Und ich schreibe drüber.

Ich habe so viel auf Instagram und LinkedIn drüber rausgehauen.

Aber die Leute nutzen es nicht.

Also man kann E-Mail-Werbung machen ohne Einwilligung.

Es ist zwar mit ein bisschen Aufwand verbunden, aber Leute, nutzt es.

Ihr könnt eure Kunden mit Infos zu euch versorgen, ohne dass ihr eine umständliche Newsletter aufbauen müsst.

Das ist so ein leidenschaftliches Thema von mir.

Newsletter-Marketing und DSGVO.

Frau Dörr, könnte ich wirklich gerne dann noch mehr in das Thema eintauchen, weil da sind jetzt bei mir so ein paar Sachen aufgepoppt.

Und zwar, was du vorher gesagt hast, Zustimmungstext.

Da war für mich dann auch immer so ein Rätsel.

Also jeder macht das ein bisschen anders und auch im eigenen Ermessen.

Also Opt-in ist, glaube ich, klar.

Das sollte man haben.

Das hat mittlerweile, glaube ich, schon jeder mitbekommen.

Und wenn nicht, dann bitte ergänzt das noch.

Unbedingt.

Dann, erste Frage ist, wenn man Kontaktdaten eingesammelt hat, ohne der Opt-in oder ohne einer Zustimmung und so weiter, und dann hat man die Kontaktdaten, kann man einmalig automatisiert eine E-Mail verschicken, wo man die Leute fragt, hey, magst du Teil der E-Mail-Liste sein? Wenn ja, dann klick da drauf.

Wenn nicht, dann nein.

Oder ist das in sich schon rechtswidrig? Und zweiter Punkt ist der Zustimmungstext.

Da kann man sehr detailliert sein oder weniger detailliert.

Ich habe mal den Input bekommen, dass man da hinschreiben soll, ich stimme zu, dass die Firma meine Person mit sogenannten Daten für das Verarbeiten meines Anliegens speichern und bearbeiten kann und verwenden kann.

Und dann sollte man beim Newsletter noch dazuschreiben, welche Inhalte man ungefähr bekommen wird und dann idealerweise noch, welche Felder aus dem Formular verwendet werden, wie zum Beispiel Vorname, Nachname, E-Mail-Adresse, Rufnummer und diese Sachen.

Also wie detailliert muss dieser Zustimmungstext sein? Und dann eben noch, jetzt habe ich die erste Frage vergessen.

Ja, ich habe mitgeschrieben, weil ich vorhin auch so überlegt habe, was war eigentlich die allererste Frage? Ich würde es so beantworten, die erste Frage, also dieser Zustimmungstext, das nennt man im rechtlichen Bereich, das ist eine verkürzte Einwilligung.

Und daraus muss, weil da gibt es Veröffentlichungen von der Europäischen Datenschutzausschuss, es muss sich aus dem Zustimmungstext ergeben, welches Unternehmen verschickt der Newsletter, also in der Regel ja dein Unternehmen oder das Unternehmen deiner Kunden.

Wie oft verschickst du den? Darüber kann man dazuschreiben.

Ich schreibe es mir dazu, dass sie wissen, worauf sie sich einlassen.

Welchen Versanddienstleister man einsetzt, wo der sitzt, wenn der in einem Drittlern sitzt, auf welcher Basis man die Daten übermittelt.

Und ganz wichtig, weil es wird in 90 Prozent der Fälle vergessen, mache ich ein Tracking oder nicht.

Muss das alles in dem Zustimmungstext drinnen stehen oder kann das in einer abgespeckten Version drinnen stehen und der Rest mit dem Link zur Datenschutzseite, wo dann alle Details aufgestellt sind? Ja, genau.

Also wenn man es ganz richtig macht, sind es drei, vier Zeilen, aber es ist schon mal besser, wenn ich die ganze Wurst sozusagen anführe.

Aber genau den Rest verlinkt man dann auf die Datenschutzhinweise.

Also das ist der Klassiker.

Es gibt auch Personen, die die Auffassung vertreten, ich habe ein bisschen Bauchweh, dass man sagt, dass man sie einfach einträgt, also dass man eine E-Mail-Adresse angibt.

Dann schreibt man, sie erteilen mit ihrem Klick in der E-Mail ihre Einwilligung.

Das finde ich ein bisschen dünn gesät, weil ich als Unternehmerin bin beweispflichtig, dass ich eine konforme Einwilligung der Betroffenen bekommen habe.

Deswegen sage ich bei unseren Kunden, sie können immer selber die Entscheidung treffen, weil jedes Unternehmen ist ja selbst dafür verantwortlich.

Ich sage immer, sind wir etwas mehr transparent, geben wir mehr Informationen als zu wenig.

Weil, und das ist auch ganz wichtig, die Einwilligungspflicht für Newsletter kommt nicht direkt aus der DSGVO, sondern in Deutschland aus dem Wettbewerbsrecht und in Österreich aus dem Telekommunikationsgesetz.

Und es ist da ganz wichtig, dass man das erfüllt und auch diese Anforderungen mit dem Double -Opt-In, das sind wettbewerbsrechtliche Vorgaben, nur dazu am Rande.

Und um deine Vorfrage zu beantworten, wenn man zum Beispiel die Newsletter oder die E-Mail-Adressen ohne Double-Opt-In gesammelt hat, ob man denen dann eine E-Mail schreiben kann und sagen kann, hey, wir sind aufgekommen.

Wenn du jetzt hier auf den Link klickst, dann erteilst du nochmal deine Einwilligung.

Auch darüber wird gestritten.

Aus strenger Datenschutzsicht wird die Meinung vertreten, das darf man nicht machen, weil eine E-Mail mit der Aufforderung, eine Einwilligung abzugeben, bereits als Werbung angesehen werden könnte.

Und das sind gerade die Gerichte in Deutschland ganz, ganz, ganz, ganz streng in der Auslegung, was eine Werbung ist.

In dem Sinne, ich würde sagen, man kann ein Risiko eingehen an der Stelle.

Es ist eine dunkle Grauzone.

Es ist eine sehr dunkle Grauzone.

Und dadurch, dass wir in Deutschland und Österreich beraten, es gibt einfach die Sensibilität, in Deutschland und Österreich ist eine andere in dem Thema.

Österreichische Unternehmen, ich glaube, von unseren Mandanten war, hat es dann noch nie jemand gemacht.

In Österreich würde ich sagen, brauchst du nicht viel Bauchweh machen.

In Deutschland würde ich den Mandanten mit auf den Weg geben, rede noch mit einem Steuerberater, dass ein paar Tausend Euro Strafe lieber habt, wenn was wäre.

Und dann hast du da noch das erwähnt, in Bezug, dass man auch ohne Zustimmung E-Mails verschicken kann.

Kannst du auf das näher eingehen? Weil ich glaube, das kennen die meisten Leute überhaupt nicht.

Für mich war das jetzt auch ein neues Thema.

Damit wir das kurz mal zusammenfassen, erklären, welches Konzept dahinter steckt.

Genau, kann ich ganz gerne erklären, weil ich finde es wirklich genial.

Das nennt man das sogenannte Bestandskundenprivileg.

Auch wieder sehr lange.

Da geht es darum, wenn jemand bei mir schon gekauft hat, ein Produkt oder die Dienstleistung, die ich anbiete, und ich habe jetzt eine Erweiterung, und ich habe die Person darüber informiert, dass ich sie auch werblich ansprechen werde, dann kann ich eben die E-Mail schreiben oder den Newsletter versenden, ohne die Einwilligung nachweisen können zu müssen.

Das Wichtige ist, wir haben da zwei verschiedene Aspekte.

Das eine ist ja im Rahmen vom normalen Newsletter die Einwilligung, die Rechtsgrundlage, das verschickt wird.

Und bei der Einwilligung folgt auch immer, ich vergleiche das immer mit der Ehe und mit der Scheidung, dass man die Einwilligung widerrufen kann.

Wenn man aber die sogenannte Bestandskundenprivileg nutzt, ist Rechtsgrundlage das sogenannte berechtigte Interesse.

Weil ich als Unternehmen erfülle die Voraussetzungen, kann mich auf das berechtigte Interesse berufen.

Was aber ist, es gibt ein spezielles Betroffenenrecht in der DSGVO bei Direktmarketingmaßnahmen, und das ist so ein Fall davon, dann kann die Person widerrufen, im Endeffekt sagen, hey, ich möchte es nicht mehr bekommen, nimm mich von deiner Liste, dann muss man dem Folge geben.

Also ist ganz, ganz klassisch.

Aber das Bestandskundenprivileg kann jedes Unternehmen nutzen, wenn sie die Kunden darüber informiert, wenn es eigene, ähnliche Produkte sind und wenn es aufs Widerrufsrecht hinweist.

In Österreich ist es noch ein bisschen strenger als in Deutschland.

Das ist der einzige Fall, der mir tatsächlich auch bekannt ist, dass man muss noch einen Abgleich machen mit einer sogenannten Robinson-Liste.

Dominik, wir haben heute das komplette Datenschutzreport, fassen wir zusammen in der Stunde.

Ganz kurz, die Robinson-Liste ist eine Werbesperrliste.

Das heißt, da kann sich jede Person eintragen, die sagt, ich möchte keine Werbeanrufe bekommen, ich möchte keine Werbemails bekommen, ich möchte keine postalische Werbung bekommen.

Und da müssen, also Unternehmen sind dazu verpflichtet, bevor sie dann was hinschicken, müssen sie diese Liste abgleichen und alle Kontakte sozusagen rausnehmen, die da draufstehen.

Puh, das war jetzt ein Thema, das ich normalerweise in einer Stunde, eineinhalb, erkläre, auf ein, zwei Minuten runtergebrochen.

Aber weil es wirklich ein wichtiges ist.

Also bitte, wenn ihr Fragen habt, also nehmt bitte die Informationen nicht so, hey, ihr habt jetzt in zwei Minuten was gehört, jetzt kann ich das einfach verwenden.

Ich finde es gut, wenn wir diese Inputs weitergeben, aber ich würde es eher als Inputs betrachten und dass man das noch immer an das eigene Unternehmen und an die eigenen Strukturen anpassen sollte.

Und dann auch die letzte Frage zu dem Thema, was wir jetzt gerade besprochen haben, weil du gesagt hast, man sollte die Bestandskunden darüber informieren, dass man sie zu Werbezwecken informieren wird und dass es ein Widerrufsrecht gibt.

Das reicht dann aus, wenn das einfach in den AGB steht oder einfach im Angebot, welches dann der Kunde unterschreibt, als Unterpunkt im Vertrag, oder sollte man das irgendwie anders kommunizieren? Das kommt darauf an, wie das Unternehmen aufgebaut ist.

Also wenn es ein Online-Job ist, kann man es dort einbauen, zum Beispiel bevor die Bestellung abgeschlossen wird.

Es gibt Unternehmen, die führen das in ihren Angeboten an und wichtig ist, dass man das nicht in die AGB reingibt, weil der AGB sind ja so Standardverträge, sondern dass man diese Themen auch in der Datenschutz-Rubrik auf der Website ergänzt.

Oder wenn man sagt, es gibt Unternehmen, die haben Datenschutz-Hinweise für allerlei Sachen, dass das zumindest an einer Stelle ergänzt wird und dass das dem Kunde im Zeitpunkt auch vorliegt.

Das ist eben das Wichtige.

Und mit Kunde meinst du, dass die Person etwas gekauft hat oder ist ein Kunde auch eine Person, die zum Beispiel sich ein kostenloses Produkt von mir geholt hat oder bekommen hat? Ich weiß, worauf du mit der Frage abzielst.

Beim Bestandskundenprivileg, ganz wichtig, das muss ein Kunde sein.

Das heißt, es muss zumindest schon mal ein Cent auf dein Konto geflossen sein.

Worauf der Dominik anspielt, ist diese Freebie -Thematik oder Lead-Magnetenthematik, die auch letztes Jahr hochgekocht ist, weil es eine Änderung im deutschen Recht gegeben hat.

Bei Freebies, Lead-Magneten ist der Fall, jemand gibt dir deine E-Mail-Adresse und bekommt im Gegenzug dazu etwas.

Sei es eine Liste, sei es der Zugang zu einem Video, sei es eine Challenge.

Je nachdem, wie man aufgestellt ist im Unternehmen oder wie das Geschäftsmodell ist.

Und hier hat es die Änderung gegeben, dass man sagt, die E-Mail-Adresse kann auch als Geld betrachtet werden.

Das heißt, wie wenn ich dir jetzt einen Euro gebe und sage, bitte gib mir diese Sackerl im Biller, kriege ich dann diesen Gegenwert in Form von einer Checklist zum Beispiel.

Und dann ist das aber ganz normal auf einer Einwilligung und die Person ist dann ganz normal in deiner Newsletterliste drinnen.

Also diese Freebie-Thematik ist analog der Einwilligung zu sehen und das Bestandskundenprivileg im E-Mail-Marketing ist immer auf bestehende Kunden zu beziehen.

Okay, also es muss zumindest mal ein Cent geflossen sein, damit die Person als Kunde kategorisiert werden kann.

Genau.

Dann, ja jetzt haben wir sehr lange über das erste Segment geredet, über den Ist-Stand, auf was man achten sollte und so weiter.

Falls ihr da noch Fragen habt, dann könnt ihr die Fragen gerne in den Kommentaren stellen.

Ich werde die Fragen dann an dich, Elisa, wenn es in Ordnung ist, gesammelt, an dich weiterleiten.

Gerne.

Damit die Leute Antworten bekommen.

Ihr könnt es aber als Scaler im Team auf jeden Fall auch gerne direkt anschreiben.

Alle Daten werden unten verlinkt sein.

Und jetzt würde ich gerne mit dir in das zweite Segment eintauchen, und zwar in die Zukunft der DSGVO und was auf uns zukommen wird.

Weil vor ein paar Jahren war Datenschutz ein sehr großes Thema, wo es gerade in Kraft getreten ist.

Und jetzt ist es noch immer ein aktives Thema und ein aktuelles Thema.

Aber es ist nicht so, dass jeder sich darauf groß vorbereitet und sagt, hey, jetzt sofort müssen wir uns darauf vorbereiten, weil anders geht es nicht einfach.

Sondern die Leute haben sich schon ein bisschen daran gewöhnt.

Und welche Änderungen kommen auf uns zu? Es gibt ja zum Beispiel die E-Privacy-Verordnung.

Es gibt Gesetze, die teilweise in Deutschland in Kraft treten werden, in der Schweiz.

Welche Änderungen gibt es in Österreich? Könntest du uns vielleicht einen kurzen Überblick geben, was uns so erwarten wird? Also so einen Trailer in Bezug auf Datenschutz und DSGVO.

Und dann können wir in ein, zwei Themen dann gerne genauer eintauchen.

Gerne.

Ich würde einfach nur einen kurzen Überblick geben.

Die DSGVO gilt ja als europäische Verordnung in allen Mitgliedstaaten gleichermaßen, auch im EBR.

Das heißt, die DSGVO gilt auch in Liechtenstein, Norwegen und im wunderschönen Island.

Was spannend ist in der DSGVO sind, die DSGVO regelt die Datenschutzgesetzgebung in den Mitgliedstaaten nicht zur Gänze.

Es gibt in Deutschland noch das sogenannte Bundesdatenschutzgesetz.

Dann gibt es das TeleDSG, das Telekommunikations -Telemedien-Datenschutzgesetz.

Ich muss es mir mal aufschreiben, sonst vergesse ich.

Dann gibt es in Österreich noch das Datenschutzgesetz, das Telekommunikationsgesetz.

Oder es sind ganz oft datenschutzrechtliche Bestimmungen in anderen Gesetzen auch enthalten.

Was aber spannend ist, in der EU wird schon seit 2016 die sogenannte E-Privacy-Verordnung diskutiert.

Sie gilt immer noch nicht.

Geplant wäre gewesen, dass sie gleichzeitig mit der DSGVO in Kraft tritt.

Und die E-Privacy-Verordnung soll die Online -Kommunikation regeln und die Rechte von Betroffenen stärken.

Es geht einerseits um die Websitebetreiber, Softwareanbieter, die hier mehr geregelt werden sollen.

Das gilt noch nicht.

Und da kann ich auch Entwarnung geben.

Ich habe heute auch nochmal den aktuellen Stand recherchiert.

Es ist noch nicht irgendwie was publik, dass das Gesetz kommen soll.

Und auch dann, wenn das Gesetz auf europäischer Ebene final getroffen wird, dann gibt es dann noch zwei Jahre Umsetzungsfrist.

Das heißt, wenn das Gesetz mit 1.1.2024 in Kraft treten würde, dann würde es so erst mit 1.1.2026 gelten.

Was wichtig ist vor der E-Privacy-Verordnung, sind Dinge betroffen wie Internet of Things.

Alles, was miteinander verknüpft werden wird.

Aber da geht es einfach auch darum, der Klassiker ist, ich kaufe mir irgendwie eine Uhr, wo ich auch Sport machen kann.

Dass, wenn ich die Uhr installiere, sofort auch meine kompletten GPS-Daten übermittelt werden.

Sondern, dass ich wirklich da aktiv zustimmen muss, meine Einwilligung erteilen muss, das zu machen.

Darum geht es in der E-Privacy-Verordnung, weil eben dieses Verknüpfen und Vernetzen mit der zunehmenden Digitalisierung vermehrt einfach eintreten wird.

Und ich sage immer, alles, was digitalisiert wird, ist ein Thema, was im Datenschutzbereich ganz wichtig ist.

Weil Digitalisierung ohne Datenschutz geht nicht.

Das ist einmal so viel dazu, was ganz, ganz spannend ist.

Mit 1. September 2023 kommt in der Schweiz ein neues Datenschutzgesetz, das an die DSGVO angelehnt ist.

Ein bisschen strenger als das aktuelle Datenschutzgesetz in der Schweiz, das aus dem Jahr 1992 stammt.

Das ist das Thema.

Und vielleicht, um auch noch einen Ausblick in die Zukunft zu geben, in der E-Privacy-Verordnung, die DSGVO wird evaluiert werden.

Es gibt noch keine konkreten Hinweise, wie sie abgeändert werden wird.

Da bin ich selber gespannt.

Was aber viele sagen, oder wovon ich persönlich überzeugt bin, ist auch, die DSGVO wird ein Leben lang geben, solange es Menschen gibt.

Und vielleicht auch ganz wichtig, und diese Entwicklung hat man jetzt auch gemerkt in die Unternehmen.

2017, 2018 war das, oh mein Gott, diese DSGVO kommt.

Wir können alle unsere Unternehmen schließen, weil die gelegt, alles lahm.

Mittlerweile, nach fünf Jahren, ist einfach Datenschutz in den meisten Unternehmen ein Punkt, der einfach standardmäßig mitgedacht wird.

Datenschutz ist kein Hexenwerk.

Datenschutz ist nicht dazu da, dass die Unternehmen langgelegt werden, dass Unternehmen irgendwie einen Wettbewerbsnachteil haben, sondern es ist einfach ein Thema, das jedes Unternehmen angeht.

Finde ich auch aus einer moralisch-ethischen Sicht.

Und vielleicht weniger darüber sich beklagen, sondern in der Zeit, wo man sich darüber beklagt, könnte man es ja umsetzen.

Das ist für mich immer ganz wichtig.

Im Prinzip ist es ja auch keine Rocket Science.

Wenn man sich damit nicht genug auskennt oder sich nicht beschäftigen will, dann kann man auch immer Leute wie dich oder wie euch anschreiben und sich beraten lassen und all diese Sachen.

In Bezug auf die E-Privacy, da hätte ich noch eine Frage, wie sich das dann auswirken wird auf dem Webseitenbereich.

Ich kann mir gut vorstellen, dass die meisten Leute, die hier gerade zuhören oder zuschauen, selbst eine Webseite betreiben oder ein Unternehmen laden, welches eine Webseite hat.

Da wäre es für mich interessant, inwiefern E-Privacy dann, welche Änderungen dann mit der E-Privacy-Verordnung kommen, weil es so, wie ich das verstanden habe, wird einfach alles um einiges strenger, als jetzt aktuell ist bei der DSGVO.

Aber was können wir uns genau darunter vorstellen? Genau, also die E-Privacy-Verordnung ist unter Juristen gesprochen eine Lex Spezialis.

Das heißt, sie konkretisiert die Datenschutz-Grundverordnung noch und es werden einfach Erweiterungen zum Datenschutz getroffen.

Ein Thema ist, und das haben wir vorhin schon bei den Cookies angesprochen, dass ja nicht nur Cookies sind, sondern es können auch Informationen, die personenbezogene Daten enthalten, lokal auf dem jeweiligen Endgerät abgelegt werden.

Das sind so Regelungen, die dann auch in der E-Privacy-Verordnung geregelt werden.

Ich sage ehrlicherweise, Dominik, oder auch an alle, die das zuhören, natürlich, ein Unternehmen, das jetzt so streng an die DSGVO hält, die Einwilligungen richtig einholt im Bereich Webseite, wird durch die E-Privacy-Verordnung nicht viel mehr Ärger erwarten können.

Wo es schon eher mehr wird, ist im Bereich der Software und im Bereich der Internet of Things, weil es einfach so standardmäßig von Anfang an müssen privacyfreundliche Einstellungen möglich sein.

Und da gibt es einfach noch ganz viel Nachholbedarf.

Auch wieder aus meiner Erfahrung, gar nicht von Seiten der europäischen Anbieter, weil hier, also wir haben erst letzte Woche eine ganz spannende Software auditiert.

Da war standardmäßig das Doppel-Opt-In bei der Anmeldung integriert.

Da war eine Zwei-Faktor-Authentifizierung integriert.

Da waren ganz viele Themen, dass man den Account schon selber löschen kann.

Aber alles, was sozusagen aus dem europäischen Ausland kommt, darauf hat es dann noch mehr Auswirkungen, genauso wie die DSGVO.

Aber auch hier wieder, wie alle anderen Gesetze, oder spannend wird ja auch dann, wie die KI gesetzlich geregelt wird und reguliert wird.

Auch hier gilt es wieder, es ist ein Gesetz, das wurde für den Menschen gemacht und man kann das alles umsetzen.

Das ist mir ganz wichtig, dass kein Gesetz hindert einen, sein Geschäft zu betreiben.

Es finden sich immer Mittel, Lösungen.

Und man muss halt auch hin und wieder als Unternehmen bereit sein, an bestimmten Punkten ein paar Risiken oder Abstriche einzugehen.

und es ist, also je nachdem, was genau sein wird, weil über die E-Privacy, was genau dann bestimmt wird und was nicht, dass wir jetzt in dem Fall, wenn wir jetzt davon sprechen, einfach zum Teil fundiertes Wissen, aber zum Teil auch wirklich Spekulation, weil wir noch nicht genau wissen, was da auf uns zukommen wird, oder? Genau, es liegen Entwürfe vor.

Aber gerade dieser Begutachtungsfrist in der Phase, wo dann nochmal nachverhandelt wird in den Institutionen, passieren viele Änderungen.

Sei es jetzt aus rechtsdogmatischer Sicht, sei es jetzt aus Erfolgen der Lobbybranche, da kann einfach noch sehr viel auf uns zukommen.

Fix ist ein Gesetz dann, wenn es öffentlich verlautbart ist, und ab dann können wir uns näher Gedanken machen.

Davor ist es reine Spekulation und zum Teil auch Angstmacherei.

Okay, und dann, was bei mir da noch aufgeproppt ist, zu einer Frage, weil wir vorher gesprochen haben, dass es in Deutschland andere oder zum Teil andere Gesetze gibt, was Datenschutz angeht, in Österreich andere.

Also im großen Ziel sind die halt sehr ähnlich, aber im Detail können die sich voneinander unterscheiden, beziehungsweise kann es manchmal strenger sein, manchmal weniger streng in manchen Themen und in der Schweiz genauso.

Da bin ich mir jetzt nicht sicher, ehrlich gesagt, wie das dann ist, weil zum Beispiel mit der Umsatzsteuer ist dann immer so eine Sache, welche Umsatzsteuer wird berechnet.

Und dann ist halt vielleicht so eine Frage, welches Datenschutzgesetz gilt, wenn wir zum Beispiel international da handeln.

Wenn ich zum Beispiel aus Österreich eine Webseite in Deutschland besuche oder aus Deutschland eine Webseite in der Schweiz, welches Datenschutzgesetz gilt, ist es dann von der Person aus dem Land, gilt dann das Datenschutzgesetz des Landes der Person, die gerade die Webseite besucht oder des Webseitenbetreibers.

Also Dominik, an dieser Stelle glaube ich, wenn ich das nächste Mal irgendwie spannende Fragen brauche, dann schreibe ich dir ein E -Mail, weil du legst den Finger total in die Wunde, weil das sind wirklich Themen, die sich die Unternehmen stellen.

Da auch ganz kurz ausholend oder damit man das besser versteht, die DSGVO ist ja ein Gesetz, das an und für sich nur in der EU gilt, aber und ich finde es bis heute noch faszinierend, es steht auch drinnen, wenn ein Unternehmen aus den USA zum Beispiel Geschäft macht und Daten sammelt von oder muss gar nicht sammeln sein, aber zumindest Daten von Personen, die sich innerhalb der EU befinden, verarbeitet, dann gilt die DSGVO auch für das US-amerikanische Unternehmen.

Das heißt, die DSGVO gilt zum Teil weltweit und wenn Unternehmen aus dem EU-Ausland innerhalb der EU geschäftlich tätig sind, müssen sie sich auch an die DSGVO halten.

Das Gleiche steht auch im neuen Schweizer Datenschutzgesetz.

Das ist sehr spannend und was dann auch noch spannend ist, die DSGVO schreibt vor, wenn zum Beispiel ein Schweizer Unternehmen den europäischen Markt bedient, keine Niederlassung, also zum Beispiel keine Tochtergesellschaft innerhalb von der EU hat, dann gibt es auch eine bestimmte Position, die besetzt werden muss, das ist der sogenannte EU-Vertreter.

Ich bin fasziniert, die Folge ist so intensiv, wenn alle dieses anhören, Chapeau! Und wir übernehmen zum Beispiel diese Funktion für unseren Mandanten, zum Beispiel wir haben Mandanten aus Dubai oder Mandanten aus USA, die haben ihr Unternehmen nur in den genannten Ländern, haben aber als Zielkunden Europäer und dann fungieren wir als Datenschutz-EU-Vertreter und machen ihnen einerseits natürlich, dass das datenschutzrechtlich passt, aber wenn eine Behörde eine Frage hat an das Unternehmen, dann wendet sie sich zuerst an uns und wir müssen sicherstellen, dass unser Mandant Rede und Antwort steht.

Also vielleicht, um das kurz abzukürzen, ist im Endeffekt, wenn man international tätig ist, ist der beste Weg, dass man das strengste Datenschutzgesetz als Baseline einführt, weil wenn man zum Beispiel sagt, ich möchte jetzt kein Land nennen, weil ich nicht in allen Ländern das Datenschutzgesetz auswendig kann, DSGVO ist der Goldstandard in dem Land, XY ist der Standard niedriger, dann kann man es ja nachjustieren, aber besser auf dem hohen Standard bleiben, damit man dort, wo das höhere Gesetz gilt oder wo das strengere Gesetz gilt, alle rechtlichen Vorgaben erfüllt.

Ich weiß, das ist mega kompliziert.

Und dann ist noch vielleicht eine Frage, die mir ins Detail geht, die mir jetzt in den Kopf geschossen ist, weil du vorher gesagt hast, wenn ein US-Unternehmen geschäftlich in Europa tätig ist, dann gilt die DSGVO auch für dieses Unternehmen, aber meinst du mit geschäftlich tätig, man kann über die Webseite etwas kaufen oder ist es ein Blog und man kann einfach nur lesen? Das Gesetz definiert zwei Voraussetzungen, dass man direkt Waren und Dienstleistungen anbietet, der Klassiker, aber auch, wenn man Gratisprodukte anbietet, ich möchte jetzt nicht auf eine bestimmte Suchmaschine anspielen, die wir alle kennen, aber die wird insbesondere targetiert von dem Gesetz, dass man auch, wenn man die Daten sammelt, findet es eine Anwendung.

Der klassische Beispiel ist auch, zum Beispiel Schweizer Unternehmen hat eine Webseite, die ist für alle Länder gleichermaßen zugänglich, setzt das Schweizer Unternehmen dann auf der Webseite Google Analytics ein, ohne irgendeinen VIP-Blogger, dann bräuchte das Unternehmen einen EU-Vertreter.

Wenn aber das Schweizer Unternehmen eine eigene Seite für die Schweiz hat und eine eigene internationale Seite, ohne diesen Tracker dort einzusetzen, dann bräuchte es das nicht.

Gibt es eine gewisse Unternehmensgröße, die dann verpflichtet, einen EU-Vertreter zu haben? Nein, das kommt wirklich nur auf die beiden Voraussetzungen darauf an, dass man geschäftlich tätig ist oder dass man irgendeine Form von Verhaltensanalyse macht.

Das ist generell auch ein Thema, das in der DSGVO gilt.

Die DSGVO gilt für alle Unternehmen gleichermaßen, unabhängig von Mitarbeiteranzahl, Umsatz oder dergleichen.

Also langsam beginnt schon bei mir der Kopf zu rauchen von der Anzahl der Informationen, die wir in der Episode besprochen haben.

Damit wir das Thema abschließen in Bezug auf Zukunft und Datenschutz und DSGVO.

Wenn ich jetzt eine Webseite in Österreich habe, zum Beispiel in Österreich, wir können auch Deutschland und Schweiz mit dazunehmen, inwiefern soll ich meine Webseite oder was wird auf mich zukommen, wenn ich jetzt aktuell DSGVO-konform bin? Ob jetzt eine Webseite DSGVO-konform ist oder nicht, das sollte sich jeder vom Anwalt bestätigen lassen oder vom Juristen.

Aber das ist dann für jeden sehr individuell.

Aber wenn wir von der aktuellen DSGVO-Basis ausgehen und ein bisschen an die Zukunft denken, gibt es spezielle Steps oder spezielle Schritte, die man machen sollte als Website-Betreiber, um jetzt auch darauf vorbereitet zu sein, was jemand in der Zukunft erwarten wird.

Aktuell, dadurch, dass die E-Privacy-Verordnung sicherlich noch 2, 3, 4, 5 Jahre dauern wird, da Entwarnung von meiner Seite.

Das Wichtigste ist aus meiner Sicht, wie wir es vorhin schon gesagt haben, wenn man neue Tools auf der Webseite einbindet oder neue Software im Unternehmen an sich nutzt, dass man das berücksichtigt und das dann entsprechend in den Datenschutzinformationen ergänzt.

Ganz grob gesagt, wenn personenbezogene Daten im Spiel sind, dazu gehört in dem Fall auch die IP-Adresse und alle möglichen Sachen wie User-ID, Kunden-ID, Zahlungsdaten, Namen, Nachname, E-Mail-Adresse, Telefonnummer usw.

, dann darf man mit diesen Daten nur umgehen, wenn man eine Zustimmung hat.

Muss nicht zwingenderweise eine Zustimmung sein.

Wenn es ein Tracking ist, dann ja.

Wenn es aber Daten sind, die normal zur Vertragserfüllung notwendig sind.

Zum Beispiel, wenn ich einem Mandanten von uns eine Rechnung per E-Mail schicke, dann brauche ich nicht die Einwilligung dafür, sondern kann einfach sagen, die Mailkerne schicken mir einfach die, die ich zur Vertragsabwicklung brauche.

Vielleicht ganz kurz, es ist einer der Mythen schlechthin in der DSGVO, dass man für alles eine Einwilligung braucht.

Man braucht auch beim Arzt keine Einwilligung, wenn man es richtig macht, keine Einwilligung unterschreiben.

Das ist vielleicht ein guter Punkt, den du gerade noch angesprochen hast.

Okay, cool.

Wie gesagt, alle Kontaktdaten werden unten verlinkt sein.

Du kannst die Fragen auch gerne in den Kommentaren stellen oder uns einfach Feedback geben, da freuen wir uns natürlich auch.

Jetzt kommen wir schon zum Abschluss der Episode.

Da gibt es mittlerweile ein kleines Ritual, welches ich gerne mache.

Als erstes würde ich dir gerne die Möglichkeit geben, weil du davor ganz am Anfang was über einen Bonus gesagt hast, dir da die Möglichkeit geben, darüber mehr zu erzählen und auch Scale-Alien vorzustellen und sagen, wie können euch die Leute erreichen, was ihr macht oder wie ihr den Leuten hilft.

Gerne, ich glaube, ich fange gleich mal mit dem Spannenden an, das ist mein Bonus.

Ihr habt mir überlegt, wie können wir euch dieses Video anschauen, das sehr intensive Video, auch wirklich helfen.

Das eine ist, dass wir euch die Infos zur Verfügung stellen.

Wir schenken den ersten, ich habe eigentlich aufgeschrieben 10, aber ich sage jetzt 20 Personen, die mir eine E -Mail schreiben, einen Gratis-DSGVO-Website -Check.

Das heißt, ihr kriegt einen Analysebericht mit ein paar kurzen Sätzen zu mir, was noch gemacht werden muss, um DSGVO-konform zu werden.

Da schicke ich dir noch die E-Mail-Adresse von uns.

Das ist auf alle Fälle etwas, das jeder von hier mitnehmen kann und wo ich mich freue, zu helfen.

Dann der zweite Punkt ist, danke nochmal für die Vorstellung für uns, Scale & Datenschutz, wir haben mehrere Bereiche, aber ganz wichtig, wir haben 100% Fokus auf Datenschutzrecht bei uns und sind im kompletten Dachraum tätig.

Ich bin in meiner Person, bin ich in Unternehmen, die Datenschutzbeauftragte.

Wir beraten, wir setzen um, wir stellen Datenschutzhinweise, verhandeln datenschutzrechtliche Verträge.

Eines meiner schönsten Sachen, die man im Bereich Datenschutz machen kann, sind, dass man Datenschutzaudits durchführt.

Das mache ich leidenschaftlich gerne.

Mir geht es nicht darum, dass ich Mandanten oder die Mitarbeiter in die Unternehmen bloß stelle oder dass sie sie dumpfen, sondern Sinn und Zweck von Audits ist oder generell, wenn man im rechtlichen Bereich ist, dass man Risiken für das Unternehmen schließt.

Das ist ganz, ganz wichtig.

Da könntest du wieder ausführen, die unterschiedlichen Haftungsregelungen zu der DSGVO und dem Schweizer Gesetz.

Aber wichtig ist immer, Risiken vermeiden und volle Kraft darauf aufs Unternehmensfaktum legen zu können.

So viel zu uns.

Nochmal danke, Dominik, für die Vorstellung.

Danke dir an dieser Stelle, bevor wir gleich in die Mittagspause gehen für die Einladung.

Es war sehr, sehr spannend und auch für mich sehr intensiv.

Du hast viele Fragen noch gestellt.

Vielen, vielen Dank für den megacoolen Bonus.

Da war ich jetzt selbst überrascht, aber mega, mega, mega vielen Dank dafür.

Zum Abschluss, da wollte ich noch gerne auf so eine Story oder so eine Situation zurückkommen, die wir halt eben im Prep-Call gehabt haben oder darüber kurz gesprochen haben.

Und zwar so eine, also ich will es jetzt nicht sehr groß pushen, das Thema, aber es könnte durchaus eine lukrative Einkommensquelle sein, ehemalige Arbeitgeber zu verklagen, wenn es um Mitarbeiter-Videos geht oder solche Sachen.

Könntest du die Story vielleicht kurz erzählen oder diesen Ansatz, weil der ist mir irgendwie zu hängen geblieben.

Und den würde ich noch gerne kurz erwähnen.

Ja, an alle Unternehmen, die das hören, bitte jetzt einfach ganz kurz ausschalten, eine Minute wieder einschalten.

Nein, das Thema DSGVO ist ja ein großes und es ist einerseits die Webseite, aber es ist natürlich auch alles mit den internen Prozessen.

Und in Deutschland gibt es ja schon sehr viele findige Anwälte, die dann im Rahmen von einer Entlassung oder Kündigungsschutzklage die Unternehmen piesacken mit DSGVO-Themen.

Zum Beispiel, es gibt keine Einwilligung für die Fotoveröffentlichung auf Social Media, auf der Website.

Und das sind so diese Themen, die ja auch oft genutzt werden, um dann höhere Abfertigungen herauszuschlagen.

Und allein aus dem Interesse sage ich oft dann auch den Mandanten, die DSGVO sauber umzusetzen, spart im Nachgang ganz oft an vielen Stellen Ärger.

Weil es halt auch anders genutzt werden kann, siehe letztes Jahr mit den Google-Fonds-Thematiken.

Genau, und jetzt kommen wir zu den drei Bullet -Fragen.

Ich weiß nicht, ist das okay für dich, weil normalerweise geht es mehr um WordPress, aber magst du im WordPress-Thema bleiben oder sollen wir das auf Datenschutz zuschneiden? Wir können gerne Punkt 1 und 2 auf Datenschutz und den dritten Punkt habe ich jetzt erst die Woche so einen Aha-Moment mit WordPress gehabt.

Passt, also wenn es zum Beispiel das ganze Thema Datenschutz und DSGVO nicht gibt und du musst dir einen Alternativberuf suchen, was würdest du machen? An alle, die mich vielleicht kennen, wissen, ich bin ein absolutes Reisemädchen und Reisen ist für mich mein allerliebstes Hobby.

Ich würde ein wunderschönes Boutique-Hotel betreiben und unsere Gäste glücklich machen und die so bedienen, dass sie gar nicht wegwollten.

Okay, das ist interessant, megacool.

Gut, was ist das nervigste WordPress-Feature? Ein Feature an sich kann ich mir gar nicht benennen, ich habe nur tatsächlich gestern den Fall bei einer Mandantin gehabt, wir haben alles fertig gehabt und dann schreibt mir ihre WordPress-Agentur, ja wir können den Cookie -Concept-Bundler nicht machen, weil das Plugin für die Mehrsprachigkeit funktioniert nicht mit dem Cookie-Concept-Bundler und da muss man auch mal das entsprechende Plugin suchen, dass die miteinander kommunizieren.

Ja, das ist immer ein bisschen nervig, die Kompatibilität mit den Mehrsprachigkeits-Plugins.

Machen wir die letzte Frage auf Datenschutz -Zugeschnitten.

Also was war so dein letzter Aha-Moment in Bezug auf Datenschutzrecht und DSGVO? Wir haben ein größeres Audit gehabt bei einer Hotelkette und da war das Aha-Moment, wie unterschiedlich Hotels mit Reisepässen umgehen.

Okay, kannst du das kurz näher beschreiben, was du damit meinst? Ja, wie vorhin schon gesagt, durch selber sehr viel Reise beobachte ich immer in den Ländern, ob sie Reisepass-Kopien erstellen oder nicht und wie sie damit umgehen und in dem Audit haben wir festgestellt, dass in den auditierten Betrieben das jeder anders gemacht hat, obwohl eigentlich ein Standard gelten sollte und das war so dieser Aha-Moment, weil gerade der Reisepass für mich sowas ist, was komplett sensibles und total wichtig ist für als Person, die ich nicht irgendwie möchte, dass die Kopien irgendwo herumfliegen von mir.

Verstehe, das ist auf jeden Fall ein sehr sensibles Dokument.

Na gut, dann wären wir dann wirklich am Ende angekommen.

Sorry, dass ich da ein bisschen überzogen habe, aber es waren einfach so spannende Themen, dass ich da einfach immer nachgefragt habe und dann hat es sich immer in die Länge gezogen.

Genau, Befragen, Kommentaren, eben wenn du den Bonus von der Elisa ausnutzen willst, schreib sie bitte.

Es wird alles unten verlinkt in der Beschreibung, ihr könnt auch gerne Kommentare schreiben.

Dann dir Elisa, vielen, vielen Dank für deine Zeit heute, dass du dir die Zeit genommen hast, dass du dein Wissen und deine Erfahrungen geteilt hast.

Ich bin schon mega gespannt, wie der Episode ankommen wird und ja, vielen, vielen Dank dafür.

Ich danke dir, Dominik.

.