#074: Datenschutz & WordPress in der Praxis | m. Dr. Thomas Schwenke

Auf diese Podcast-Episode bin ich besonders gespannt, weil in dieser Episode unterhalten wir uns mit Dr.

Thomas Schwenke und ihr werdet Thomas schon aus dem Internet kennen, aus dem LinkedIn-Bereich, auch aus all den Sachen, die er bereits gemacht hat, weil ich habe mir das daneben aufgeschrieben, deswegen schaue ich dann, weil es sind so viele Sachen, da muss ich das dann einfach ablesen, damit ich ja nichts vergesse, weil Thomas ist Rechtsanwalt und Datenschutzauditor für Unternehmen und hilft den Unternehmen im Bereich Datenschutz, KI-Einsatz und Online-Marketing.

Er ist ebenfalls, wie gesagt, Buchautor, Co-Host des Rechtsbelehrung-Podcasts und Betreiber der Plattformen datenschutzgenerator.

de und certready.

eu.

Seine wissenschaftliche Arbeit über Smart Classes und Augmented Reality wurde mit dem Wissenschaftspreis der Gesellschaft für Datenschutz und Datensicherheit ausgezeichnet und zusätzlich, wenn die Episode jetzt glaube ich eh schon im Juni rauskommt, dann ist auch schon sein neues Buch da zum kaufen.

Also es wird alles unten auf jeden Fall verlinkt sein.

Ich freue mich deswegen besonders schon sehr auf die Episode, weil das wird so eine super Kombination sein aus Recht und Technik.

Weil Thomas, wenn ich mich da richtig erinnere, dann hast du ja den Datenschutzgenerator selbst geschrieben und Verwaltest auch den selbst? Also, falls sich da irgendwas geändert hat, korrigier mich bitte.

Und wir werden in dieser Episode in die Themen eintauchen, die ein bisschen so im WordPress-Bereich, ein bisschen so im Graubereich sind.

Wir werden ein Finger drauf zeigen, was man vielleicht missversteht in Bezug auf Datenschutz und deswegen bin ich schon sehr gespannt auf die Themen aus der heutigen Episode.

Herzlich willkommen bei der 74. Episode der Dominik Liss Show.

Auf diesem Podcast gibt es WordPress und Business Talks, d.

h.

wenn du WordPress in deinem Business verwendest, dann bist du hier genau richtig, weil in jeder Episode entpacken wir die Skills, Stories und Geheimnisse der besten Experten aus der WordPress-Branche und das Ziel des Podcasts ist dir dabei zu helfen, ein besserer Professional in der WordPress-Welt zu werden.

So, heute zu Gast Dr.

Thomas Schwenke.

Thomas, herzlich willkommen, könntest du auch bitte ein paar Worte über dich erzählen und dann tauchen wir gleich ins Thema ein.

Hallo Dominik, hallo an alle, die zuhören und zuschauen.

Danke sehr für die liebe Vorstellung.

Eigentlich hast du schon viel über mich erzählt, also das passt schon alles.

Ich bin als, ich würde mal sagen, als Anwalt, hauptsächlich im Bereich Datenschutz, KI und Marketing an dieser Schnittstelle tätig.

Und was den Bezug zu WordPress angeht, das stimmt tatsächlich, mein erstes WordPress-Blog, Ich will nicht lügen, aber das war irgendwann mal Anfang der 2000er Jahre.

Ich habe in dieser Zeit auch in einer Agentur gearbeitet, Webseiten erstellt damals und dann kam WordPress auf und seitdem nutze ich es dort während.

Ja und die meisten Leute werden wahrscheinlich den Datenschutzgenerator kennen und wahrscheinlich deinen Namen über dieses Tool kennengelernt haben.

Vor allem aus der WordPress Bubble.

Und das, was ich mega bewundernswert finde, ist, dass du den ja auch selbst geschrieben hast.

Und ist das so, dass du den auch aktiv jetzt weiterentwickelst selbst? Oder macht das jetzt für dich ein Team? Oder wie schaut das aus? Weil du machst ja so viele Sachen, dass es halt kaum zu glauben ist, dass das alles eine Person abdecken kann.

Ja, tatsächlich habe ich ihn selbst geschrieben und entwickle mehrheitlich auch weiterhin selbst.

Und ja, das waren halt die alten Erfahrungen, die ich hatte.

Ich hatte den Vorteil, dass ich aus dem technischen, aus dem Entwicklerbereich komme.

Ich habe auch früher programmiert und bin dann Rechtsanwalt geworden, noch mit einer Zwischenstation in der Finanzverwaltung im Finanzamt.

Aber jetzt am Ende habe ich sozusagen beides zusammengefügt und bin als Rechtsanwalt in einem technischen Bereich tätig, in dem man auch viele Formulare benötigt, musste sehr häufig Datenschutzerklärungen erstellen, AGB und andere Unterlagen, dann dachte ich mir, dass ich mir einfach ein Tool programmiere, mit dem es einfacher geht, mit dem ich vor allem die ganzen Textbausteine aktuell halten kann und das fand ich recht gut.

Jemand meinte, das könntest du auch veröffentlichen.

Das habe ich dann auch getan auf einer Freemium-Basis.

Das heißt, es gibt eine Grundversion bis 5000 Euro Umsatz oder für Privatpersonen, die können es kostenlos nutzen und es gibt eine Premium-Version, die hat noch 3000 andere Module und das betreue ich weiterhin und nutze das auch während meiner Arbeit, sodass ich auf diese Art und Weise auch mal sicherstellen kann, dass das Tool auf dem aktuellen Stand ist und den aktuellen Anforderungen entspricht, weil ansonsten wäre ich auch selbst damit unzufrieden.

Sehr cool, sehr cool.

Und ja, damit wir jetzt gleich vielleicht ins Thema eintauchen, weil wir haben davor kurz gesprochen, um uns ein bisschen auf das Gespräch vorzubereiten und da sind ein paar Sachen aufgepoppt, die ich gedacht habe, hey, ich habe das Thema halbwegs durchblickt in Bezug auf Datenschutz und ich weiß ungefähr, wie das funktioniert, jetzt natürlich von der technischen Seite, weil ich kann ja von meiner Seite aus keine Rechtsberatung geben und an sich, um das klarzustellen, du bist jetzt mehr im deutschen Bereich, also aus Deutschland, im deutschen Recht unterwegs, aber weniger für Österreich und für die Schweiz oder für die auch? Ich berate eigentlich Internationalunternehmen und wir haben, ob man das als Glück bezeichnen kann, ich finde schon, haben wir im digitalen Bereich wesentlich harmonisiertes Recht in Deutschland.

Und was den Datenschutz angeht, da hat die Schweiz auch gleichgezogen mit dem Schweizer Datenschutzgesetz, das neu ist und auch sich mehr oder weniger an der DSGVO orientiert.

und in Österreich, auch wenn wir zum Teil unterschiedlich bezeichnete Gesetze haben, die kommen in dem Bereich aus der EU.

Das heißt, was drin steht, ist in allen Ländern gleich, sodass da keine wesentlichen Unterschiede bestehen.

Vor allem, wenn wir jetzt über Dinge wie Datenschutz oder Cookies sprechen.

Und damit wir jetzt gleich mit dem Thema starten, ist das, wo wir uns halt als erstes getroffen haben, das war so ein Vorgespräch dann für die Podcast-Episode.

Da habe ich gedacht, ich verstehe manche Sachen schon so, wie man die verstehen sollte, weil das, was für mich immer die Regeln waren, sage ich jetzt mal, was jetzt nicht bedeutet, dass es falsch ist, sondern nicht vollständig, würde ich jetzt mal sagen, ist das, wo ich dann dir gesagt habe, okay, ich verstehe das eher so, dass personenbezogene Daten, wenn diese hin- und hergeschickt werden zwischen verschiedenen Services, dass man dafür einfach eine Zustimmung braucht, wenn das als, ich sage jetzt mal, lokal passiert beim eigenen Hosting-Anbieter, dann ist es so dieses First-Party-Tracking oder sowas, wenn ich das jetzt mal so bezeichnen kann.

Aber dann hast du gesagt, okay, das ist nicht ganz so, weil dann kommen ja noch andere Sachen dazu.

Und dann haben wir gesagt, ja, heben wir uns das gleich für die Podcast-Episode auf, weil da können ziemlich spannende Sachen aufkommen.

Und könntest du uns da vielleicht erläutern, was da an dieser Denkweise nicht so wirklich stimmt.

Also mit diesem Ganzen, wenn personenbezogene Daten weitergegeben werden, dass man dafür eine Zustimmung braucht und wenn das abgehakt ist und die Besucher aufgeklärt sind, was mit den Daten passiert, dass das eigentlich in Ordnung sein sollte.

Aber wieso stimmt das nicht zu 100 Prozent? Du spielst mit auch auf die Sitzung von Cookies mit an, richtig? Oder Genau, genau.

Ja, denn es ist am Ende viel komplizierter, als man es sich vielleicht vorstellt, denn man muss zwei Gesetze beachten, wenn man Online-Angebote anbietet.

Zum einen, wie du es richtig gesagt hast, den Datenschutz.

Und beim Datenschutz geht es um den Schutz der Daten, personenbezogenen Daten, das heißt Daten, die mich irgendwie identifizierbar machen.

Das kann je nach Ansicht auch die IP-Adresse sein, natürlich mein Name, meine E-Mail-Adresse.

Das alles kann mitunter hineinfallen und dabei ist es egal, wo sich diese Daten befinden, gespeichert werden.

So, denken wir uns einmal den Datenschutz und halten den zurück.

Dann, zweitens, gibt es die sogenannte e-Privacy.

Das ist ein anderes Gesetz und das hat nicht den Schutz von Daten zum Ziel, sondern den Schutz von Geräten.

Das schützt die digitale Privatsphäre meiner Endgeräte, also meines Smartphones oder meines Computers oder auch meines Fernsehers oder meines Autos, meinen Wegen, und dort gibt es eine strenge Einwilligungspflicht für alle Informationen, die auf den Geräten gespeichert oder aus diesen ausgelesen werden.

Ob diese Daten personenbezogen sind, ist in diesem Zusammenhang egal.

Also es geht auch um anonyme Daten, in denen überhaupt nichts personenbezogenes steht.

Es geht einfach nur darum, Personen davor zu schützen, dass einfach bei denen Daten, Dateninformationen gespeichert oder ausgelesen werden, welcher Art auch immer.

Und man muss beide Vorschriften beachten und anfangen.

Man fängt mit der ePrivacy an, die ist im deutschen Gesetz, die ist im österreichischen Gesetz, sie ist europaweit und bei E-Privacy gibt es ein strenges Einwilligungserfordernis, sobald Informationen auf mein Gerät gespeichert oder geladen werden.

Es sei diese Daten sind unbedingt erforderlich, die dort gespeichert werden, beziehungsweise Informationen.

Du merkst, im Datenschutz spricht man von Daten, also Angaben.

In dem anderen Gesetz E-Privacy spricht man von Informationen, kann man schnell durcheinander kommen, aber es geht letztendlich um Daten oder um Angaben, die auf den Geräten gespeichert oder aus diesen gezogen werden.

So.

Wie sieht es aus mit dieser ePrivacy? Wir kennen sie unter dem Begriff Cookie-Regelung oder vielleicht Cookie-Richtlinie oder Cookie-Gesetz, wie man sie auch immer nennt.

Und das führt in die Irre, dass man davon ausgeht, dass es nur um Cookies geht.

Es geht letztendlich um alle Informationen, die auf einem Endgerät gespeichert werden.

Bedeutet, wenn ich einen Server ansteuere, Also eine Webadresse eingebe, die wird aufgelöst, eine IP-Adresse, ich gelange auf einen Server.

So, was macht dieser Server? Der Server sendet Informationen auf meinen Browser.

Und dieser Browser speichert diese Informationen auf meinem Endgerät, zwischenzeitlich.

Dafür ist grundsätzlich eine Einwilligung erforderlich, es sei denn, dies ist unbedingt erforderlich.

Wenn ich eine Website aufrufe, dann möchte ich natürlich die Inhalte sehen, ich möchte die Grafiken sehen.

Also all diese Inhalte sind auf jeden Fall erforderlich.

Wenn ich in einem Onlineshop unterwegs bin, dann möchte ich auch, dass mein Warenkorb gespeichert wird.

Das heißt, auch Tools zur Speicherung des Warenkorbs sind erforderlich.

Und alles, was darüber hinausgeht, wird problematisch.

Und alles, was darüber hinausgeht, damit sind nicht nur Cookies gemeint.

Also es ist nicht nur gemeint, dass diese, also Cookie bedeutet, es ist eine, Man kennt das vielleicht aus den Datenschutzerklärungen, eine kleine Textdatei, in der wenige Informationen gespeichert werden können.

Aber es gibt nicht nur Cookies.

Es gibt zum Beispiel Storages, die in einer Session, also in einem Browser, man könnte sozusagen sagen, ein erweitertes Cookie, dort werden Informationen vorübergehend oder dauerhaft gespeichert.

Auch Software oder Skripte, die gespeichert werden.

Nehmen wir mal an, ich rufe eine Website auf und nebenbei lädt sich ein Skript von, nehmen wir mal an, ganz klassisch Google Analytics oder sonst ein Skript, um Zugriffe zu zählen oder Website-Besuche zu analysieren.

Kann auch selbst erstellt sein.

Dann bedarf auch dieses Skript schon eine Einwilligung, noch bevor es ausgeführt wird.

Das heißt nicht erst, wenn Google Analytics läuft, brauche ich eine Einwilligung.

Schon wenn Google Analytics bereits in meinen Browser geladen wird, brauche ich eine Einwilligung.

Und das gilt natürlich nicht nur für Browser, das gilt generell für Software-Entwickler, Das gilt generell für Autos und ich muss dann rechtfertigen, warum muss dieses Skript, warum muss diese Information, warum müssen diese Daten in meinem Rechner gespeichert werden.

Das heißt, wenn wir von diesem Cookie weggehen, braucht man die Einwilligung für sehr, sehr viele Dinge und wenn man sich das so überlegt, wie viele Skripte in WordPress Blogs geladen werden, die gar nicht erforderlich sind oder vielleicht einfach nebenbei laufen, wenn man Wenn man das sehr streng sehen würde, dann sind die häufig auch nicht erforderlich und bedürften einer Einwilligung.

Der andere Fall ist natürlich, wie sieht das in der Praxis aus? Die Datenschutzaufsichtsbehörden, die schauen jetzt nicht, welche Skripte jetzt genau in Webseiten laufen.

Die gucken, läuft da Google Analytics, laufen da irgendwelche Metapixel, die gucken eher grob drauf.

Aber potenziell könnte sich zum Beispiel jemand, der sich auf einer Website befindet und technisch auskennt und sieht, da wurden irgendwelche Skripte geladen, die sind überhaupt nicht notwendig um die Website darzustellen oder sie für mich irgendwie sicherer zu machen, die sind also überflüssig.

Wurde ich nach einer Einbringung gefragt? Nein.

Das heißt, hier liegt ein Verstoß vor und gegen diesen Verstoß könnte ich potenziell vorgehen.

Das heißt, das ist E-Privacy und auf der anderen Seite haben wir den Datenschutz, denn wenn Informationen aus den Rechnern ausgelesen werden, zum Beispiel mein Ding, ist das meine Cookie ID, die E-Mail-Adresse oder sonstige Identifier, mit denen ich als Nutzer zum Beispiel für Werbezwecke identifiziert werden kann, dann sind es zugleich personenbezogene Daten.

Und wenn diese Daten auf meinem Rechner gespeichert werden, gilt der Datenschutz.

Wenn diese Daten in einem Server gespeichert werden als ein Profil, dann gilt auch der Datenschutz.

Dort greift zwar die E-Privacy nicht mehr, weil die gilt ja für meine Geräte, aber dort gilt der Datenschutz.

Das heißt, Man könnte so sagen, die Einwilligungspflicht steht auf zwei Beinen.

Zum einen E-Privacy-Bein, Speicherung oder Auslesen von Informationen aus den Geräten.

Zweites Bein, Datenschutz personenbezogener Informationen.

Und im Rahmen des Datenschutzes muss man sich dann auch fragen, auf welcher Grundlage darf ich diese Daten übermitteln? Brauche ich eine Einwilligung oder kann ich mich auf berechtigte Interessen berufen? und man könnte es so sagen, wenn ich nach der E-Privacy eine Einwilligung benötige, weil die Informationen nicht erforderlich sind, dann benötige ich in der Regel auch nach dem Datenschutzgesetz eine Einwilligung.

Wenn ich nach dem Datenschutzgesetz vielleicht keine Einwilligung benötige, dann muss ich immer noch prüfen, ob ich nach der E-Privacy eine Einwilligung bekomme.

Das heißt, sobald nach einem dieser Gesetze eine Einwilligungspflicht besteht, muss ich eine Einwilligung einholen.

Ich hoffe, das war einigermaßen nachvollziehbar.

Ansonsten freue ich mich auf deine Fragen.

Also im Vergleich jetzt zum Beispiel, ich mag Google Analytics nicht laden, weil ich dafür eine Zustimmung brauche, sage ich jetzt mal im klassischen Sinne, gibt es ja auch die anderen WordPress-Plugins, die jetzt mit keinem Third-Party-Service kommunizieren, wie ich glaube jetzt mal Koko Analytics oder andere Analytics-Plugins, die lokal auf der WordPress-Website laufen und die Daten nur auf dem Hosting und die Daten nur in der Datenbank des eigenen Hosting-Anbieters speichern und für mich war das bis jetzt immer so, ja ok, die Daten werden ja nicht ein Dritter weitergegeben, deswegen ist es ja kein Verstoß, wenn man, deswegen braucht man dafür nicht zwingend eine Zustimmung, weil die nicht ein Dritter weitergegeben werden, Aber laut E-Privacy muss dann der Besucher oder die Besucherin trotzdem zustimmen, damit dieses Analytics-Skript, welches dann die Daten lokal speichert, überhaupt geladen werden darf.

Richtig, das ist zutreffend.

Und die Weitergabe, die Übermittlung der Daten an Dritte, was auch bedeutet die Speichere, die auf einem Server oder Google Analytics, sie ist ein separater Schritt, der separat geprüft werden muss, weil Verarbeitungsprozesse bestehen aus mehreren Schritten.

Zum Beispiel haben wir den ersten Schritt, die Daten werden auf meinem Rechner gespeichert.

Das ist ein Schritt, den muss ich separat prüfen.

Benötige ich dafür eine Einwilligung, das ist der Fall mit der ePrivacy, benötige ich eine Einwilligung nach der Datenschutzgrundverordnung, dass ich die Daten auf dem Rechner speichere, das muss ich überprüfen.

So, das ist ein Vorgang.

Dann haben wir den Vorgang, diese Daten werden von dem Rechner an einen dritten Server übermittelt und das ist ein separater Vorgang.

Diesen muss ich ebenfalls prüfen, ob es sich um einen Fall des Auslesens von Informationen aus meinem Rechner handelt, das wäre e-Privacy und dann nach der DSGVO ist diese Übermittlung an den, nicht an dritten oder an den Empfänger würde ich jetzt generell sagen, ist die zulässig, das muss ich separat prüfen.

Das heißt, ich habe mehrere Prozesse, ich habe mehrere Schritte, bei jedem dieser Schritte muss ich diese beiden Gesetze prüfen, um sicher zu sein.

Das heißt, ja, es sind sehr umfangreiche Prüfungen, die man durchaus durchführen kann.

Vor allem, wenn noch mehrere Parteien involviert sind und das nicht nur an einen Server geht, sondern vielleicht dann auch an andere Mitglieder zum Beispiel eines Werbenetzwerks.

Und da braucht man wirklich eine aktive Zustimmung, auch wenn es jetzt, ich sage jetzt mal, diese First-Party-Cookies sind oder wenn man die Daten jetzt nur für sich speichert und nicht ein Drittel weitergibt, braucht man dann eine aktive Zustimmung und da reicht einfach nicht da aus, irgendein Banner, hey, wir verwenden diese Tools, schauen der Daten schon Zeit danach, damit du dann mehr Infos hast, aber wir laden das trotzdem.

Oder wie kann man sich dann die Zustimmung dafür einholen am besten? Also die Einwilligung, einfach besserwisserisch, greife ich auf das.

Zustimmung ist auch völlig in Ordnung, nachvollziehbar.

Einwilligung ist einfach das gesetzliche Wort, das im Gesetz steht.

Es ist Einwilligung, deswegen falle ich mal darauf zurück.

Also das hat noch nichts mit First oder Third Party in dem Sinne zu tun.

Wir gucken wirklich knallhart, werden Informationen auf dem Gerät der Nutzer gespeichert oder aus diesem Gerät ausgelesen.

Ist dies unbedingt erforderlich? Also wirklich ganz so simpel vorgehen.

Wir gucken noch gar nicht, woher kommen die, wer und so weiter.

Werden Informationen gespeichert? Das heißt, nehmen wir mal ein Beispiel, du hast irgendein Analyse-Tool oder bilde einfach ein Beispiel, das wir jetzt durchgehen können, bevor wir jetzt in abstrakten Beispielen uns verlieren.

Ja, also sagen wir mal, wir installieren ein Plugin für WordPress, welches die Daten lokal speichert und das sind jetzt nur Pageviews und ob der schon da war oder nicht, also wahrscheinlich wird dann ein Cookie gesetzt, was man abdrehen kann, dann werden einfach nur die Pageviews gezählt wenn jemand die Seite aufruft, dann wird ein Counter in der Datenbank hochgeschraubt und das ist das einzige Tracking, was passiert.

Aber das ist jetzt nicht zwingend notwendig, dass man die Website besuchen kann, technisch gesehen.

Richtig.

Das bedeutet, wir schauen uns an, werden Informationen auf Endgeräten der Nutzer gespeichert? Ja, es wird der Tracking Code gespeichert.

Wahrscheinlich ist das ein JavaScript, der dort läuft und das heißt, Er speichert die Informationen auf den Geräten, auf den Geräten der Nutzer.

Ist dies unbedingt erforderlich, beziehungsweise liest auch noch die Information mittels des Skripts zusätzlich auch aus.

Ist das unbedingt erforderlich? Und an dieser Stelle kann man sich jetzt streiten.

Ist diese Analyse erforderlich? Wir befinden uns im Bereich der E-Privacy, des Datenschutzes, dort werden praktisch fast alle Ansichten vertreten.

Und man kann sich darüber streiten, ist es erforderlich für einen Website-Inhaber, dass er eine Analyse der Website durchführt.

Es gibt Stimmen, die sagen, ja, in diesem geringen Umfang ist es zulässig.

Es gibt Stimmen, die sagen, wir gucken ganz technisch darauf, was wollte der Nutzer haben, der wollte die Website haben mit der Analyse, hat da überhaupt nichts zu tun.

Die anderen sagen wiederum, ja, aber ohne die Analyse weiß der Inhaber ja gar nicht, was für Inhalte relevant sind oder was gelesen werden soll.

kann man sich lange drum streiten.

Also Aufsichtsbehörden vertreten folgende Ansicht, mit der man keine Probleme bekommt und keine Einwilligung bekommt.

Einmal, wir tracken cookie-los.

Das bedeutet, es werden keine Cookies, also keine Informationen für Trackingzwecke, auch keine Local Storage oder Session Storage für Trackingzwecke auf dem Gerät der Nutzer gespeichert, sondern, oder aus diesen Geräten ausgelesen, sondern es werden nur Informationen verwendet, die ein Browser an den Server sendet.

Also es findet kein Auslesen statt, sondern man arbeitet nur mit dem als Server, was man bekommt.

Das ist die IP-Adresse und da sind viele technische Daten, wie zum Beispiel das System, es ist der Browser, man kann, man spricht ja vom digitalen Fingerprint, oder digitalen Fingerabdruck, oder Browser Fingerabdruck, die Kombinationen dieses Wortes, die existieren.

Man kann zum Beispiel gucken, welche Plug-ins laufen, welche Fonts eingebunden sind und anhand dessen kann man ein individuelles Abbild eines Browsers erstellen.

Und damit kann man den Nutzern nachverfolgen.

Und wenn man diese Information pseudonym speichert, also die IP-Adresse kürzt, diese Informationen zusammen vermengt, sodass man einen individuellen Fingerabdruck hat und das nach 24 Stunden löscht, dann ist es aus der Sicht der Aufsichtsbehörden ohne Einwilligung möglich.

Wenn du dagegen weiterhin mit Cookies arbeitest oder diese Informationen zu einzelnen Nutzern über 24 Stunden hinaus speicherst, dann musst du zumindest laut der Aufsichtsbehörden eine Einwilligung einholen.

Das heißt, das typische, was man auch auf Behördenseiten findet, ist Matomo ohne Cookies.

und mit der Löschung nach 24 Stunden sowie Anonymisierung der IP-Adresse.

Das ist so das klassische Beispiel, in dem man keine Einwilligung braucht.

Und das ist natürlich ein sehr, soll ich mal sagen, sehr low Bereich, sehr tiefer Bereich, der Marketing eigentlich ein wenig bringt.

Das ist mehr für die private Nutzung, für das private Tracking.

Aber in diesem Bereich ist es auch so, dass man generell eigentlich mit keinen Nachteilen rechnen muss, wenn man auch wirklich auf dieser Ebene arbeitet.

Also da wird jetzt, denke ich, niemand von der Aufsichtsbehörde tätig und sagt, Sie haben hier dieses wirklich sehr reduzierte, kaum schädliche, nur für Sie verwendete Skript, das die Klickzahlen checkt und da möchten wir gegen vorgehen.

Muss man nicht rechnen.

Also, wenn Aufsichtsbehörden tätig werden, dann sind sie meistens auf der Suche nach typischen Skripten.

Das heißt, Sie gucken nach Google Analytics, Sie gucken nach Meta, Sie gucken nach YouTube und was ich mir angeschaut habe in den letzten Prüfungen, die Sie hatten, zum Beispiel, Google Tag Manager tauchte dort gar nicht auf.

Auch serverseitiges Scripting tauchte dort gar nicht auf.

Das heißt, wenn wir jetzt so ein bisschen diese einfache Ebene verlassen und auf höher aufgehängter Ebene tätig werden mit serverseitigem Tracking arbeiten, das heißt, wie ich Ihnen beschrieben habe, mit diesem digitalen Fingerprinting, Dort aber vielleicht noch mehr Informationen eingeholt werden, dort von Nutzern Profile eingeholt werden, dann ist die Wahrscheinlichkeit, dass einen deswegen etwas zumindest aktiv seitens der Aufsichtsbehörden oder sonst passiert, sehr gering.

Ich will jetzt keine Ratschläge erteilen, das ist natürlich kein Rechtsrat, das ist nur die Beobachtung der Wirklichkeit.

Das heißt, wie du siehst, die Einwilligungspflicht beginnt sehr, sehr schnell, ihre bußgeldtechnische Relevanz eher sehr spät.

wenn man das so sagen sollte.

Aber generell würde ich sagen, dass auf vielen Webseiten viele Skripte laufen, für die eine Einbindung notwendig wäre und die nicht eingeholt wird, ja.

Aber widersprechen sich dann die Gesetze nicht ein bisschen? also ich kann jetzt das genaue Gesetz, habe ich jetzt nicht im Kopf, ich habe das einfach nur mal irgendwo gehört, dass okay, Datenschutz und E-Privacy besagt das, aber wenn man nach anderen Gesetzen vorgeht, dann hat man, glaube ich, bitte nicht zitieren, das ist nur gefährliches Halbwissen, dann hat man ja, soweit ich das irgendwo mitbekommen habe, die Verpflichtung auch den Traffic mitzuloggen, falls irgendwer sich über deinen Webshop irgendwelche Sachen kauft, um eine Bombe zusammenzustellen, was auch immer, hat man so quasi dann die Verpflichtung nachzuvollziehen oder zu speichern, welche IP-Adresse wo wann was gekauft hat, damit man das notfalls dann an die notwendigen Behörden weitergeben kann, falls diese Daten notwendig sind.

Ist das überhaupt irgendwie relevant oder stimmt das überhaupt irgendwie? Weil ich könnte mir auch gut vorstellen, dass das von anderen Gesetzen einfach mit einfließt, dass sich die Gesetze einfach spießen? Das ist mir tatsächlich nicht bekannt.

Ich muss sagen, ich kenne jetzt nicht alle Branchen und alle Rechtsbereiche.

Vielleicht gibt es eine Verordnung für den Verkauf von Explosivmaterialien, aus denen man Bomben bauen kann, in der sowas drinsteht, aber geläufig ist es mir noch nicht.

Und eigentlich besteht kein Widerspruch dieser Art, der mir bekannt ist.

Wo vielleicht ein Widerspruch gesehen wird, dass der Datenschutz, dass die Einwilligungspflicht weniger streng ist, als die nach der E-Privacy.

Das bedeutet, im Datenschutzbereich gibt es so etwas wie berechtigte Interessen.

Das heißt, man benötigt dann keine Einwilligung, wenn man berechtigte Interessen, auch betriebswirtschaftlicher Natur hat und die Schutzinteressen der Nutzer nicht überwiegen, also etwas stattfindet, ihre Daten auf eine Art und Weise bearbeitet werden, mit denen sie rechnen müssen.

Das würde ich zum Beispiel bei einem Cookie, das für einfache Analysezwecke verwendet wird, annehmen.

Das heißt, nach der Datenschutzgrundverordnung würde ich sagen, okay, hier bestehen die berechtigten Interessen.

Als Nutzer muss man typischerweise damit rechnen, dass Cookies gespeichert und analysiert werden.

Man muss nicht unbedingt damit rechnen, dass sie an alle verteilt an Werbe-Netzwerke verkauft werden.

Dafür bräuchte man auch nach der DSGVO eine Einwilligung.

Aber für das einfache Cookie-Tracking bräuchte man nach der DSGVO keine Einwilligung.

Aber wir haben immer noch die E-Privacy und die ist ja viel strenger.

Deswegen orientieren wir uns immer nach dem strengsten Gesetz.

Das bedeutet für uns Juristen aber nicht, wir sprechen da nicht von einem Widerspruch, sondern wir sprechen davon, dass ein Spezialgesetz, ein generelles Gesetz verdrängt oder einfach, wie in diesem Fall, beide Gesetze nebeneinander existieren.

Und eins ist einfach strenger in dieser Situation.

Das ist dann so ähnlich wie dieses.

.

.

Weil die Preise sind speziell für das Speichern von Informationen da und die DSGVO ist generell für den Schutz von Daten da.

Das ist dann so ähnlich wie dieses spezielle Gesetz mit dem Bestandskundenprivileg im Telekommunikationsgesetz, glaube ich, gell? Genau.

Wenn du einen bestehenden Kunden hast und der dir mindestens einen Euro gezahlt hat für eine Leistung oder für ein Produkt, dann kannst du den Kunden in Bezug jetzt nur auf die Leistung oder nur auf das Produkt per E-Mail kontaktieren ohne Zustimmung oder ohne Einwilligung besser gesagt.

Richtig, genau, das bedeutet es ist so ähnlich in der DSGVO brauchst du tatsächlich eine Einwilligung oder auch im Wettbewerbsrecht benötigst du eine Einwilligung, um Menschen Werbenachrichten zuzusenden, Es sei denn es sind deine Bestandskunden, dann kannst du auf Grundlage berechtigter Interessen dieser Bestandskundenwerbung denen auch Werbenachrichten zusenden.

Ja, aber da ist nur die DSGVO aktiv, beziehungsweise auch das Wettbewerbsrecht, nach dem welches Gesetz aktiv ist, aber dort gibt es nicht so eine strenge Regelung wie die E-Privacy, das noch ein zweites Gesetz dazu spielt und besonders streng ist.

Also um das Thema vielleicht.

.

.

Ich weiß, das ist sehr kompliziert, das funktioniert.

Wenn ich so was prüfe, dann male ich es mir auch auf.

Also ich male es meine Phasen auf, zum Beispiel Speichern von Informationen aus dem Gerät, Auslesen von Informationen aus dem Gerät, Übermittlung der Informationen auf dem Gerät, weitere Verarbeitung auf dem Server der Informationen, weitere Übermittlung dieser Informationen, Rücklauf der Informationen, wieder erneute Speichern.

Also, diese Prozesse können sehr umfangreich sein und man sollte davon ausgehen, also das Prinzip sollte sein bei einer Prüfung, ich benötige eine Einwilligung der Nutzer.

sobald die Informationen aufs Gerät und aus dem Gerät fließen, es sei denn, ich kann belegen, dass ich diese Einwilligung nicht benötige, weil die Speicherung der Informationen dort erforderlich war.

Um das Thema zusammenzufassen, sollte sich, glaube ich, jeder, der jetzt gerade zuhört, mal Gedanken machen, was habe ich auf der eigenen WordPress-Website installiert, welche Plugins sind vielleicht nicht zwingend notwendig, welche liefern in welchem Code, im HTML mit aus, also welche wirken sich aufs Frontend aus.

Und mal sich die Frage zu stellen, brauche ich diese wirklich? Weil nach der ePrivacy ist es ja auch so, wenn ein Plugin einfach irgendeinen Code im Frontend ausliefert und es ist halt nicht notwendig, um die Website darzustellen oder um den Zweck zu erfüllen der Website, dann sollte das Plugin auch nicht im Einsatz sein ohne Einwilligung.

Empfehle ich auf jeden Fall und das nicht nur im Hinblick auf das eigene Risiko, weil, wie ich schon gesagt habe, auf geringer Ebene, wenn man nicht irgendwelche Werbenetzwerke einsetzt, ist es eher weniger wahrscheinlich, dass Aufsichtsbehörden hier irgendwie tätig werden.

Es ist auch eigentlich weniger wahrscheinlich, dass Mitbewerber hier, also wirkliche Mitbewerber tätig werden.

Wenn schon, dann hat man Pech.

Es gibt ja irgendwelche Glücksritter, die das Internet scannen und wenn sie dort irgendwelche Rechtsverstöße finden, dann Schadensersatz oder Unterlassung verlangen, das sind die wirklichen Probleme und vor allem, wenn man als Entwickler beruflich tätig ist und Kunden hat, muss man das ganz besonders bedenken, was dabei nämlich sonst passieren kann.

Der Kunde bekommt eine solche Information oder eine solche Beschwerde vom Nutzer, ob berechtigt oder nicht, wie das am Ende ausgeht, ist nicht die Frage, aber der Kunde wendet sich an einen und fragt, hör mal, ist da irgendwie ein Defekt, sind da irgendwelche Informationen, die ich nicht benötige, denn aus der Sicht eines Entwicklers ist es so, man muss auch rechtsfehlerfrei liefern.

Oder man vereinbart, ich liefere euch technisch alles, aber überprüft, ob das rechtlich notwendig ist.

Aber das müsste man vereinbaren.

Meistens erfolgt das nicht.

Und deswegen muss man auch eine Website ausliefern, die keinen überflüssigen Code hat, weil er dafür eine Einwilligung benötigen würde.

Das heißt, ein Kunde, auch wenn nichts passiert, könnte einen Gewährleistungsanspruch geltend machen, wegen überflüssigen Codes.

Und was ich zum Beispiel manchmal sehe, ist.

Es sind einfach Prefetch-Daten.

Das bedeutet, dass ein Zugriff auf einen Server nur einfach gepinkt wird, ob er da ist oder etwas schon vorgeladen wird.

Das findet sich sehr häufig im HTML-Code.

Auch das wäre ein Verstoß gegen die gesetzlichen Vorschriften.

Das sehe ich sehr viel, ich sage jetzt mal, Gesprächspotenzial in Bezug jetzt auf Page-Builder, die zu viel Code laden und so weiter.

Aber vielleicht lassen wir mal das Thema, weil das, was du jetzt gerade angesprochen hast, finde ich viel wichtiger.

Und zwar Verantwortung und Haftung.

Weil wenn man jetzt zum Beispiel sich denkt, okay, jetzt habe ich schon jahrelang Websites erstellt, aber eigentlich habe ich das in der Form noch nie wirklich bedacht, bin ich jetzt haftbar dafür oder kann man mich irgendwie in den Regress ziehen, wenn ich das jetzt richtig verwendet habe, den Begriff, oder kann ich da noch Probleme in der Zukunft bekommen? Einfach nur, weil ich manche Sachen nicht beachtet habe.

Ich habe das mit dem Kunden nicht separat vereinbart, dass der Kunde die Verantwortung übernimmt für den rechtlichen Einklang, sage ich jetzt mal, mit den Gesetzen.

Wie schaut das da aus, wenn ich jetzt zum Beispiel als Webdesigner oder Webentwickler tätig bin, Projekte für die Kunden liefere und wo mir dieses Thema auch davor noch nicht so wirklich bewusst war.

Kann ich mich komplett aus der Verantwortung ziehen? Hat man irgendwelche Grundverantwortungen immer, auch wenn man das mit dem Kunden vereinbart? Wie schaut das da aus oder was kann Worst Case, normalerweise passiert das ja nicht, aber Worst Case, was kann da auf einen zukommen? Naja, Worst Case kann darauf auf einen zukommen, dass der Kunde, der zum Beispiel eine Abmahnung oder im Worst Case ein Bußgeld enthält, dieses bei dem Entwickler geltend macht, indem sagt, du hast mir eine rechtsfehlerhafte Sache geliefert, also einen rechtsfehlerhaften Code geliefert, das sehe ich als einen Mangel an, weil du schließt ja einen Werkvertrag ab.

Werkvertrag bedeutet, du bist verpflichtet, einen Erfolg zu leisten, einen Erfolg zu erbringen, und das ist eine mangelfreie Website oder mangelfreie WordPress-Installation.

Und wenn diese rechtlich nicht dem Gesetz entspricht, dann hat sie einen entsprechenden Mangel, Und dieser Mangel kann geltend gemacht werden innerhalb der Gewährleistungsfrist von zwei Jahren.

Die maximale Frist beträgt drei Jahre für schuldrechtliche Ansprüche, auch wenn man Nebenansprüche und so weiter zieht, das heißt, nach drei Jahren ist man sicher, nach zwei Jahren aber auch hinreichend.

Das ist ungefähr die Frist, nach der, nicht ungefähr, das ist die Frist, nach der die Gewährleistung abläuft und dann hat man seine Ruhe.

Zu bedenken, diese Frist beginnt am Ende des Jahres, in dem die Abnahme stattfindet.

Das heißt, wenn ich zum Beispiel eine Website, nehmen wir mal an, heute im Mai 2025 erstellt habe, dann beginnt diese Frist erst am 31.12. dieses Jahres anzulaufen, um 24 Uhr, die juristische Sekunde.

Das heißt, wenn wir ganz sicher gehen wollen, dass keine Ansprüche mehr möglich sind, das wäre dann 26, 27, 28. Das heißt, ab dem 1. Januar 2029 kann ich mich zurücklehnen und da kann eigentlich nichts mehr auf mich zukommen.

So lange kann das möglicherweise dauern.

Das wäre der Worst Case.

Und wenn ein Kunde das geltend macht, müsste ich mich irgendwie verteidigen können und ja, dann wäre es natürlich vom Vorteil, wenn zum Beispiel ich AGB habe oder am besten noch ein Angebot, in dem steht, dass ich die technische Entwicklung nach Vorgaben des Kunden erbringe, aber die rechtliche Abnahme und die datenschutzrechtliche Überprüfung obliegt dem Kunden.

Wenn man das so vereinbart hat, dann hat man klargestellt, ich erstelle nur die technische Website, aber ich übernehme nicht die rechtliche Prüfung dazu.

Das hat natürlich den Vorteil, dass man die Verantwortung dafür abgelagert hat, weil man war für das Rechtliche gar nicht zuständig.

Was dabei nicht hilft, ist ein Passus in AGB, in dem es steht, wir übernehmen keine Haftung oder nur Haftung bei Vorsatz und grober Fahrlässigkeit.

Diese Haftungsklauseln, die hinten stehen, die sind nur für Nebenfolgen, vielleicht irgendwelche Daten oder Geschäftsverletzung oder irgendetwas, was man als Nebenfolge an Fehlern macht.

Aber die eigentliche Hauptleistung wird dadurch, also die Haftung aus der Hauptleistung, Wenn man einen Fehler macht, wird dadurch nicht gemindert.

Diese kann man nur mindern, wenn man in der Auftragsbeschreibung sagt, dass die Rechtsprüfung nicht dazu gehört.

Das ist sehr, sehr wichtig, dass man es an dieser Stelle macht.

Und ansonsten wird es problematisch.

Dann kann man es eigentlich nur noch anhand des Geldes vielleicht festmachen.

Also, wenn jemand eine Website für so wenig Geld entwickelt, sodass man überhaupt nicht davon ausgehen könnte, diese Person hat überhaupt daneben noch die Zeit, um etwas Rechtliches zu prüfen, damit könnte man arbeiten.

aber generell wird es schwer, wenn man es von vornherein nicht ausgeschlossen hat und wenn man sich halt nicht sicher ist, dass die Leistung, die man erbringt, rechtlich wirklich sauber ist, also nicht selbstrechtsberatend ist meistens, dann sollte man eine solche Klausel in die Auftragsbeschreibung oder in das Angebot aufnehmen.

Und im Nachhinein kann man das nicht machen, wenn sich jemand denkt so, ah, das hätte ich doch davor bedenken sollen? Nein, sobald der Vertrag geschlossen wird, bedürfen alle später eine Änderung der Zustimmung der beiden Parteien.

Das heißt, es muss vorvertraglich vereinbart werden, weil ansonsten könnte der Kunde dann auch sagen, wenn du deine Leistung kürzt, dann kürze ich aber auch dein Geld, dann gebe ich dir nur 50% davon, was du bekommst, weil ich dachte, da wäre der rechtliche Teil dabei.

Also es führt dann zu Streitigkeiten.

Man kann den Kunden natürlich fragen, aber warum sollte der Kunde auf seine Gewährleistungsrechte, die er potenziell hat, verzichten? Klar, Ich habe mir jetzt nur vorgestellt, wenn da jetzt gerade wer zuhört und so, ich bin froh, dass ich jetzt mir die Selbstständigkeit aufgebaut habe und dass ich Kunden habe, dass ich mich davon erhalten kann, aber über die rechtlichen Sachen, über die macht man sich jetzt erst leider zu spät Gedanken leisten, so nicht im Vorhinein und deswegen bin ich mir das sicher, dass auch bei vielen Dienstleistern das im Angebot nicht enthalten ist und da mag ich mich da auch nicht vorweg nehmen, weil jeder hat irgendwo angefangen und man denkt halt an diese Sachen nicht.

Man will sich am Anfang keinen Rechtsanwalt leisten, keine Rechtsberatung, um das halt mit Hand und Fuß einfach zu verstehen, so ein Angebot und deswegen denke ich, hey da könnten jetzt ein paar Leute nervös werden.

Kann ich absolut nachvollziehen.

Also ich bin froh, dass ich als Entwickler Anfang des 2000er, Ende der 90er gearbeitet habe, wo alles noch ganz frisch war und wir uns gar keine Gedanken über die Gesetze, die auch schon damals bestanden, gemacht haben.

Ich möchte nicht sagen, wie viele, ob ich immer ganz gesetzesgetreu war, was den Datenschutz damals anging, aber ich glaube damals war es keiner.

Heutzutage ist es wirklich problematisch und es ist natürlich auch etwas, was einen, man hat ja Angst, dass man den Kunden irgendwie verliert, dadurch, dass man sagt, ja, aber ich prüfe nicht alles, um das Rechtliche kümmere ich mich nicht, weil dadurch entsteht wieder beim Kunden der Eindruck, okay, ich habe einen, vielleicht einen Entwickler, der keine Ahnung hat, was rechtlich da passiert, oh, was kann da alles auf mich zukommen, da muss ich noch einen Anwalt dazu nehmen, das heißt, die Website wird dann ja doppelt so teuer, dann ist er ja auch gar nicht so günstig, das ist tatsächlich immer eine Problematik.

Dem kann man eigentlich nur entgehen, indem man Webseiten anbietet, aber ohne Tracking-Tools, beziehungsweise indem man sagt, ich erstelle in eine WordPress-Installation mit diesen und diesen Plug-ins.

Auf Wunsch des Kunden wird Google Analytics aufgenommen als Tracking-Tool, die datenschutzrechtliche Überprüfung der Tracking-Maßnahmen obliegt dem Kunden.

Man muss das halt so formulieren.

Also die Grundinstallation, denke ich, Die kriegt man auch rechtlich selbst sauber hin und wenn man jetzt nicht irgendwelche Plugins installiert, die unnötige Daten auf den Rechnern der Kunden installieren, dann wird das weniger Umstände bereiten und sagen wir mal so, dass mit dem Speichern nicht notwendiger Daten, das ist generell weniger problematisch, wenn es einfach ein Script ist, das da liegt und keine Funktion hat.

wenn es jetzt irgendwelche Galerie-Funktionen ist, die nicht eingesetzt wird.

Probleme liegen da, wenn Daten getrackt werden für Analysezwecke oder Stellung von Werbeprofilen, diese Art.

Das ist ganz besonders problematisch.

Und wenn da Tools sind, die nach außen pingen, also sowas wie Prefetch-Tools oder es werden irgendwelche externen Skripte auf die Webseite geladen, ab dann wird das problematisch.

Da sollte man aufpassen.

Deswegen ist es wichtig, wenn man Webseiten entwickelt, dass man auch mit der Konsole arbeitet, im Browser mit der F12-Taste und dort auch überprüft, wie es mit dem Network aussieht, von welchen Servern werden Daten geladen, welche Daten werden geladen und man sollte wissen, welche Daten das sind und welchen Zweck sie haben.

Wenn man dort irgendwas findet, von dem man nicht weiß, wozu es notwendig und erforderlich ist, dann sollte man nachforschen.

Denn es gibt auch viele Plugins, die nach Hause pingen.

Und dann sollte man gucken, wenn das tatsächlich passiert, beim Entwickler nachfragen, warum pingt ihr nach außen? Welche Informationen werden dabei übertragen? Wenn die sagen, ja, das sind nur technische Informationen zu unserem Plug-in, man kann denen glauben, dann ist das in Ordnung.

Wenn die sagen, ja, wir übertragen die IP-Adresse der Nutzer und paar technische Daten, oh, höchstes Alarmsignal, das sollte man dann nicht machen.

Das klingt danach, dass man dann tatsächlich eine Einwilligung benötigt.

Also, falls jemand jetzt Panik bekommt, bitte einfach eine Rechtsberatung buchen, kurz abchecken lassen, was in dem jeweiligen Fall notwendig ist oder was man machen sollte, damit man sich in Zukunft absichert.

Was ich dann gerne noch ansprechen würde, das Thema, was mich persönlich nervt ein bisschen und ich kann da aber keinen Finger drauf zeigen, wieso, es ist einfach nur so ein Gefühl, dass ich das nicht machen will, aber das jetzt immer mehr populärer wird sind Cloud-Dienste, weil ich, wenn ich zum Beispiel meine Website hoste oder für jemanden eine Website hoste, dann habe ich das extrem gern, wenn dann ein dedizierter Rechner in einem Rechenzentrum steht, im Idealfall Deutschland, da steht die Maschine, die ist dort, alle Daten werden dann in diesem Serverslot gespeichert und das ist dort.

Wenn dann irgendwelche Cloud-Dienste, Hosting-Dienste, Backup-Dienste und so weiter im Spiel sind, dann zugegebenermaßen muss man dem Hosting-Anbieter dann auch immer vertrauen, dass die Daten auch wirklich dort auf dieser Festplatte liegen, wo das beschrieben wurde, aber bei den Cloud-Diensten habe ich da noch ein spezielles Problem, weil ich dann überhaupt keinen Überblick habe, wo die Daten halt tatsächlich gespeichert werden, weil die können ja überall verbreitet werden im gesamten Internet.

Ich weiß nicht, ob dann dahinter irgendwelche Google Cloud-Services stecken, AWS, was dann in Bezug auf USA dann auch wieder spannend wird und das ist das Problem, was ich dann persönlich mit den Cloud-Diensten habe, was aber wiederum jetzt gerade so ein Hype ist oder kein Hype, aber es ist dann so ein Trend, alles in der Cloud zu machen und zugegebenermaßen funktionieren dann die Dienste auch teilweise besser in der Cloud, wenn zum Beispiel Backup-Dienste im Spiel sind, funktionieren die zuverlässiger in der Cloud als jetzt irgendwie lokal auf dem Rechner, auf dem Server, wegen Timeouts, wegen irgendwelchen Limitierungen und so weiter und bei den Cloud-Diensten entweder geben sich die immer Mühe, funktioniert das besser von der Infrastruktur her, das hat einfach eine bessere Stabilität in einigen Fällen.

In einigen Fällen nicht, aber das ist so meine persönliche Erfahrung.

Und wie stehst du zu den ganzen Cloud-Diensten, was sollte man achten? Gab es da schon irgendwelche Fälle in der Vergangenheit, die sich eben auf diese Ungewissheit bei den Cloud-Diensten irgendwie geltend gemacht haben? Oder wie sollte man das Thema überhaupt angehen? Also generell ist es, ich würde sagen, nicht verboten.

Also generell ist es erlaubt, Cloud-Dienste zu nutzen.

Wir sind mal so schon heiß, Cloud ist ja nichts anderes als ein Computer, der bei irgendjemandem steht oder viele Computer oder Server, das heißt da spricht grundsätzlich nichts dagegen und wie du es eben beschrieben hast, viele Clouds sind auch sicherer, also wenn ich jetzt einen eigenen Server zum Beispiel betreiben würde und ich würde alles auf meinem Computer speichern zu Hause, das heißt ich müsste mich um die ganze Technik, um die ganze Sicherheit kümmern, kann ich das, habe ich die Zeit, am Ende ist das wahrscheinlich ich viel unsicherer, als wenn ich einen Cloud-Anbieter nutze und ein Cloud-Anbieter ist am Ende auch nichts anderes als ein Hosting-Anbieter und ich glaube Hosting-Anbieter nutzen wir alle.

Also es sind die wenigsten, die tatsächlich Server bei sich zu Hause betreiben, sondern man hat meistens einen Hosting-Anbieter, bei dem werden die Daten gespeichert.

Das ist im Prinzip nichts anderes als ein Cloud-Anbieter und ob ich diesen nutzen darf, hängt vor davon ab, wie sicher er ist und ob er die gesetzlichen Anforderungen einhält.

Und wenn ich Dritte, also Dritte, man muss unterscheiden, weil DSGVO der Begriff des Dritten ist, besetzt, ist speziell geregelt, wenn ich Empfänger von Datenübermittlungen nutze, dann bedarf es besonders datenschutzrechtlicher Vereinbarungen.

Vielleicht haben viele schon von dem Begriff der Auftragsverarbeitung gehört.

Das bedeutet, ich beauftrage jemanden in meinem Auftrag die Daten, die ich habe, für mich zu verarbeiten.

Der Sinn und Zweck dahinter ist, in diesem Vertrag wird vereinbart, dass der Empfänger mit den Daten nichts anderes machen darf.

Bedeutet, wenn ich einen Web Hoster habe, dann darf er die Daten nur für mich speichern, aber der dürfte jetzt zum Beispiel nicht die Daten meiner Kunden für sich auswerten.

Das wird dann nicht zulässig.

Und genau dasselbe passiert auch in der Cloud.

Wenn ich jetzt die Google Cloud nutze oder ich nutze AWS.

Was für Clouds gibt es noch? Dropbox könnte man auch.

Azure von Microsoft.

Microsoft, also fast alles ist jetzt heutzutage in der Cloud, wenn es nicht schon KI ist.

Und dann ist es dort dasselbe Prinzip, ich schließe mit diesen Anbietern einen Auftragsverarbeitungsvertrag ab, indem sie mir zusichern, meine Daten nur für meine Zwecke zu speichern, zu schützen und nichts anderes mit diesen Daten zu machen.

Das ist an sich unproblematisch, dass solche Verträge bieten die meisten, zumindest seriösen, Hoster- und Cloud-Anbieter an.

Wenn ein solcher Auftragsverarbeitungsvertrag nicht vorliegen sollte, dann ist das ein Anzeichen, dass man diesen Anbieter vielleicht nicht nutzen sollte.

Auf Englisch heißen die Data Processing Agreements oder Data Processing Addendums.

Das heißt, man trifft eine solche Vereinbarung.

Die andere Frage ist, ist dieser Anbieter hinreichend sicher? Das heißt, fangen wir mal an mit der Problematik der Transfers in Drittstaaten oder Drittländer.

In der Schweiz heißt es einfach Ausland, bedeutet außerhalb des eigenen, nehmen wir mal, außerhalb des europäischen Wirtschaftsraums, wir sprechen da ganz vorwiegend von den USA, können die Daten in solche Drittländer transferiert werden.

Da sagt die DSGVO, nein, grundsätzlich ist diese Übermittlung in Drittländer nicht zulässig, es sei denn, die bieten eine Gewährleistung, dass der Datenschutz dort genauso sicher ist wie bei uns zu Hause.

Und diese Gewährleistung passiert, kann aufgrund eines sogenannten Angemessenheitsbeschlusses passieren oder erfolgen.

Für bestimmte Länder ist anerkannt, dass sie genauso sicher sind.

Zum Beispiel die Schweiz ist aus der Sicht der Europäer genauso sicher wie die EU.

Also ob mein Server jetzt in der Schweiz oder in Deutschland steht, ist zumindest auf dieser Ebene, nicht auf der gefühlten Datenschutzebene, deswegen heißt es meistens Deutschland ist sicherer, aber warum nicht Österreich? Österreich ist ja auch EU.

Und da liegt ja dieses GVOs aus dieser Sicht genauso sicher, aber für das Gefühl, es gibt ja Lokalpatrioten, die haben es lieber und wenn es in die USA geht, muss ich diese Gewährleistung finden und für die USA ist es schwierig und problematisch, weil es dort von politischem Klima abhängt.

Also der Europäische Gerichtshof hat festgestellt schon vor Jahren, dass aufgrund der Geheimdienstzugriffe auf die Daten von Europäern kein Datenschutzniveau vollständig sicher ist.

Joe Biden, der letzte Präsident, hat entsprechend ein Dekret erlassen, also eine präsidiale Verordnung, dass es Schutzmaßnahmen gibt, dass das Prinzip der Verhältnismäßigkeit zu wahren ist.

Es gibt auch einen Aufsichtsrat, bei dem sich die Europäer beschweren können.

So, Donald Trump hat diesen Aufsichtsrat entkernt.

Da sitzt nur noch jemand von seiner Riege drin.

Die Europäer sagen, das ist nicht ausreichend, aber die sagten auch vorher, es ist nicht ausreichend und so weiter und so fort.

Das heißt, wie soll ich es mal sagen, die Datentransfers in die USA sind aufgrund der Zusicherung von Joe Biden derzeit noch hinreichend sicher, weil die EU gesagt hat, das akzeptieren wir als hinreichend sicher, aber sie könnten jederzeit fallen.

Das bedeutet, wenn man US-Anbieter einsetzt, muss man damit rechnen, dass es von heute auf morgen lauten könnte, die Daten in den USA dürfen nicht transferiert werden.

Solche Situationen hatten wir immer wieder, denn es wurden schon zwei solcher Vereinbarungen zwischen der EU und den USA aufgehoben.

Also es gab mal ein Safe Harbor nannte es sich dann.

Dann gab es ein Privacy Shield.

Jetzt haben wir, immer fancy names, ein Data Privacy Framework.

Alles beschreibt, die USA sichern zu, europäische Daten sind sicher, der Europäische Gerichtshof sagt hinterher, nein, die Daten sind nicht hinreichend sicher, die Geheimdienste dürfen allzu sehr darauf zugreifen, deswegen heben wir das auf.

An vorderster Front auch wieder Max Schrems aus Österreich.

Er ist ja bekannt dafür, dass er gegen Meta vorgeht und sich auch gegen die US-Datentransfers richtet.

Auch das findet gerade statt, das heißt wir dürfen wahrscheinlich in Monaten oder Jahren dann wieder mit einem europäischen Urteil seitens des EuGH rechnen und bleiben gespannt.

Das heißt, wenn es möglich ist, würde ich empfehlen, keine US-Dienste zu nutzen oder US-Dienste mit dem Plan im Hinterkopf zu nutzen, dass man potenziell schnell auf europäische Dienste umsteigen muss.

Ja, es ist halt immer eine Frage des Risikos, aber wie bei sehr, sehr vielen Diensten.

Wir haben häufig gar keine Wahl als diese US-Dienste zu nutzen.

Aber wenn wir sie haben, dann sollten wir auf US-Dienste verzichten aufgrund dieser Rechtslage.

So.

Das heißt, die Problematik besteht primär bei Transfers außerhalb der EU.

Wenn man Cloud-Dienste und Hoster innerhalb der EU einsetzt, hat man in der Regel keine Probleme, wenn entsprechende Vereinbarungen beigestellt werden.

Ja, und es ist immer schwierig vorherzusehen, wie sich die Situation entwickeln wird, vor allem mit den USA und so weiter, und welche neuen Gesetze auf uns zukommen werden, weil das ist ja auch immer im Wandel.

Es ist nicht so, dass es so bis heute ausschaut, dass in den nächsten fünf Jahren genau das gleiche sein wird.

Also auf europäischer Ebene ist es noch, haben wir derzeit eine Welle von Gesetzen hinter uns.

Das heißt, was man sich da erhofft, eine bessere Regelung für die Cookies, für die Cookie-Banner, dass man die vielleicht irgendwie zentral Einwilligung verteilen kann.

Ein Pendant am Rande.

Deutschland hat eine Einwilligungsverwaltungsverordnung, klingt verdammt sexy, erlassen, mit der es möglich sein soll, dass Akteure, die daraus keinen wirtschaftlichen Vorteil schöpfen, zentrale Einwilligungssysteme für Cookies einbinden können, so dass man mit seinem System kein Cookie auf der Website mehr haben müsste.

Was aber nicht beachtet worden ist, dass es sich um EU-Recht handelt und Deutschland nicht die Einwilligungspflicht bzw.

das Einwilligungsrecht der Website-Betreiber außer DGVO einschränken kann.

Was ich damit sagen will, Deutschland kann gerne regeln, dass man Zentral-Cookies verwalten kann, aber sie können es Website-Besitzern nicht verbieten, dennoch nach Cookies zu fragen.

Das bedeutet, ich kann seinen Dienst nutzen, dort überall anklicken, mit welchen Diensten ich einverstanden bin oder nicht.

Gehe ich auf eine Website, die sieht, hm, er nutzt diesen zentralen Dienst.

Ach, der ist mit Analytics nicht einverstanden.

Dann frage ich ein paar Cookie Banner, ob er es vielleicht doch möchte.

Das bedeutet, es bringt überhaupt nichts, wenn man das nicht auf der EU-Ebene regelt.

Solche Erleichterungen versprechen wir uns, aber ansonsten ist alles schon ziemlich durchgeregelt, und bis auf den Teil der USA.

Also, ich habe versucht, das, was ich dazu erzählt habe, auch noch kurz und möglichst verständlich zu fassen.

Das ganze Konglomerat, wie Daten in den USA gelangen, ist viel komplizierter, weil es gibt dort sowas wie ein Cloud-Act.

Das heißt, die USA behalten sich auch vor, auf Server, die in Europa sind, zugreifen zu dürfen, wenn es amerikanische Unternehmen sind.

Das ist zum Beispiel bei Microsoft spannend mit ihrer, wie heißt die jetzt neuerdings, sind auch immer fancy Namen, European Boundary, glaube ich, bedeutet, Microsoft sagt, wir haben Server, das sind eure Daten nur in Europa, die sind sicher, wir verpflichten uns auch diese Daten zu schützen und wir gehen auch dagegen rechtlich vor, wenn sich US-Behörden Zugriff auf diese Daten ausverlangen, das haben wir ja in der Vergangenheit auch gemacht, haben sie ja auch.

Wir haben jetzt aber ein anderes, ein etwas anderes Klima in den USA.

Was ist, wenn die US-amerikanische Regierung sagt, Microsoft, bitte rückt die Daten der europäischen Bürger, dieser und dieser, raus? Und die wollen da vor Gesetz gehen, äh vor Gericht gehen.

Ist das Gericht überhaupt noch da, wenn das Verfahren beginnt, nach der derzeitigen Lage? Ich weiß es nicht.

Also ist auf jeden Fall sehr problematisch und deswegen muss man da halt immer mit einem gewissen Plan B arbeiten.

Was man dann noch, worauf man noch hoffen kann, ist, dass Aufsichtsbehörden sich zurückhalten, wie die letzten Male.

Also ich habe gesagt, Safe Harbor, Privacy und Shield wurden aufgehoben und dann hatten wir eine Schwebelage, in der eigentlich Datentransfers in den USA nicht zulässig waren oder sehr fragwürdig waren.

Da haben sich die Aufsichtsbehörden zurückgehalten.

Ob sie es nochmal tun werden, weiß ich nicht.

Kann passieren, aber man ist dann einfach in einer Schwebelage und was Unternehmen in solchen Situationen machen, ist, sie fahren häufig fort, wie bis dahin auch passiert, holen sich aber Gutachten ein, aus denen hervorgeht, aus den Juristen erstellten Gutachten, dass es zwar nicht eindeutig sicher ist, aber auch nicht eindeutig verboten, wirtschaftlich vertretbar.

Und der Sinn und Zweck ist, dass diejenigen, die vorgesetzt sind oder Geschäftsführer, nicht eine persönliche Haftung übernehmen, falls dort ein Bußgeld kommt, weil sie haben sich bestätigen lassen, dass es auf jeden Fall nicht eindeutig verboten ist.

Mit solchen Konstrukten arbeitet man oder man schreibt mit Datenschutzbehörden Ping-Pong viel hin und her.

Also, es kommt auf jeden Fall zu einem großen Aufwand.

Das kann man sich eigentlich nur ersparen, wenn man EU-Dienste nutzt, weil als großes Unternehmen ist das tragbar machbar.

Aber wenn man jetzt ein kleines Unternehmen ist und man muss de facto denselben Aufwand aufbringen, um die Nutzung von US-Diensten zu rechtfertigen, kann das sehr teuer werden.

Und jetzt ist mir noch so eine kleine Anekdote eingefallen, weil ich letztens mit einem Freund von mir gesprochen habe und lustigerweise das, was mich halt überrascht hat, wo ich mir ziemlich sicher bin, dass Google das irgendwo in den AGB drinnen stehen hat, er hat dann ein Jobangebot bekommen oder für die erste Runde dieser Interviews, die man dann hat bei Google und die haben ihn deswegen angeschrieben, weil er die richtigen Sachen gegoogelt hat oder nach den richtigen Sachen gesucht hat und dann haben die daraufhin ein Profil von ihm erstellt.

Hey, wenn er nach diesen Sachen sucht, dann ist das genau die Person, die wir brauchen und auf Basis von dem hat er dann eine Einladung bekommen für das erste Interview, um einen Job bei Google zu bekommen und ich denke mir, wenn du mit dem Google-Konto eingeloggt bist und suchst und so weiter, dann nutzt du ja eigentlich so wie ein Service von Google und das hat mir dann aber auch zum Denken gegeben, so okay, die lesen halt wirklich alles mit, so in Richtung, also ich mag jetzt auch nicht in Verschwörungstheorien eintauchen oder sowas in diesem Bereich, aber das hat er mir erzählt, dass er zumindest die Information bekommen hat, dass es aufgrund seiner Suchanfragen bei Google zu der Einladung gekommen ist, also aus dem Job ist dann später nichts geworden.

Ich fand das einfach mega interessant, dass das einfach Anwendung findet in dem Bereich.

Also wenn, ich muss zugeben, ich kann es mir schwer vorstellen, dass Google so vorgehen würde, weil das wäre ein ganz eklatanter Rechtsverstoß, wenn sie diese Daten genutzt hätten, um ihn anzusprechen.

Also für aktive Sourcing von Arbeitnehmern.

Denn für Daten, Datenschutz gilt als Prinzip ein ganz strenger Zweckbindungsgrundsatz.

Das heißt, wenn ich Daten erhebe für einen bestimmten Zweck, dann darf ich sie nur für diesen Zweck nutzen, es sei denn, ich habe von Anfang an klar gemacht, dass es auch für andere Zwecke ist und wenn man sucht, auch mit einem eingeloggenen Profil, ich kann mich zumindest nicht erinnern, dass dort irgendwo stand, dass Google sich vorbehält, diese Information auch für Bewerbungszwecke, beziehungsweise für Jobsourcing zu nutzen, das heißt Google würde ganz klar gegen das Recht verstoßen.

Das heißt, nichts gegen deine zweite Hand, deine Quelle.

Aber ich würde an dieser Stelle auch sagen, dass es vom Hörensagen ist, durchaus als eine Meinung vertreten wird und nicht als eine feste Wahrheit vorgebracht wird.

Denn Fakten, die man vorträgt, muss man im Zweifel nachweisen.

Und da wir nicht möchten, dass dieser Podcast mit einer Unterlassungserklärung von Google endet, würde ich sagen, man kann durchaus zweifeln, aber man kann auch so etwas gehört haben, ohne dass es unbedingt der Wahrheit entsprechen muss.

Das stimmt.

Das wollte ich nochmal nachfragen in Bezug auf, wie glaubwürdig ist das denn eigentlich? Es ist häufig so, es sind Einzelheiten, es kommt auf den Einzelfall an, oder man muss halt genau nachgucken, wie ich schon sagte, im Datenschutz.

Wie waren die Prozesse tatsächlich.

Im Datenschutz ist so, dass das Bauchgefühl nicht immer richtig ist, beziehungsweise meistens zu grob, um eine Situation datenschutzrechtlich beurteilen zu können.

Ja, voll.

Na, da werde ich auf jeden Fall nochmal nachhacken müssen, weil ich mag das auch gerne.

Kein gefährliches Halbwissen oder sowas breiten.

Ansonsten würde ich sagen, falls er abgelehnt worden ist, das war tatsächlich der Fall der kann das nachweisen, dann kann er sich auf ein schönes Schmerzensgeld gefasst machen, das er bei Google geltend machen könnte, weil das wäre wirklich ein eklatanter Verstoß gegen den Datenschutz.

Dafür gibt es Schmerzensgeldforderungen.

Ja, bevor wir dann zum Abschluss der Episode kommen, hätte ich dann gerne noch, würde ich gerne da noch ein paar Tools auflisten, die so einfach im Einsatz sind, wo oft diese Argumentation kommt, es ist technisch notwendig, dass man diese verwendet bei WordPress-Websites.

Und das erste, was mir da im Kopf aufpoppt, sind die captchas bei Formularen.

Und da wird das, was am öftersten im Einsatz ist, ist einfach das reCatpcha von Google.

Und es gibt dann auch Alternativen, die wir sagen, die sind datenschutzkonform, aber wenn man dann technisch unter die Haube schaut von diesen Tools, dann wird da immer irgendein Skript geladen, es wird mit einer Third-Party-API kommuniziert, es werden Daten hin und her geschickt, obwohl das jetzt geprüft wurde, obwohl dann auf der Website im Marketingmaterial ein Hacker steht, hey, wir sind DSGVO-konform und so weiter, wo ich dann immer unter die Haube geschaut habe, wurde dann immer ohne Einwilligung eine Verbindung zu einem Server aufgebaut, was von denen kommt, wo ich denen auch vertraue, dass die sich datenschutztechnisch auch Gedanken darüber gemacht haben, aber alleine das, dass das passiert, finde ich dann auch für mich persönlich ein bisschen fragwürdig.

Und wie gehst du dann mit dem Thema captcha, um jetzt zum Beispiel, wenn wir uns auf das Tool fokussieren, gibt's da irgendwelche brauchbaren Lösungen, die die rechtlichen Anforderungen erfüllen? Oder sollte man sich, oder sollte man das Problem mit diesen Spam-Bots irgendwie anders lösen und nicht mit einem Captcha? Ne, eben Captchas entstammen ja der Erforderlichkeit, sich gegen Bots zu wehren.

Das heißt, in dieser Situation muss man schon sagen, prüfen wir erstmal auf der E-Privacy-Ebene, dann die Datenschutzebene.

Ist es erforderlich, dass ein Captcha-Skript geladen wird, um diese Website zu nutzen? Ist es aus Sicht der Nutzer technisch erforderlich? Und hier würde ich sagen, aufgrund der Möglichkeit des Missbrauchs, sprich das erstmal dafür, und da unterscheiden die Datenschutzbehörden, werden die Nutzer geschützt, oder werden die Betreiber der Website geschützt? weil wenn das Captcha dem Nutzer dient, okay, dann kann man von der Erforderlichkeit sprechen.

Wenn das Captcha nur dem Website-Betreiber dient, dann kann man durchaus sagen, aus Sicht des Nutzer ist dieses Captcha nicht erforderlich.

Das heißt, die sauberste Möglichkeit für Captchas wäre, sie erst dann zu laden, wenn die Nutzer damit einverstanden sind.

Was praktisch dazu führt, ich sehe ein Login-Formular, das ich nicht nutzen kann Und darunter steht, wenn Sie sich einloggen wollen, müssen Sie zustimmen, dass wir einen Captcha laden.

Weitere Informationen zum Captcha erhalten Sie in der Datenschutzerklärung.

Und erst nach Klick wird ein captcha geladen.

Wenn man dabei an reCaptcha, ich glaube Version 3, denkt, das wird ja nicht sichtbar geladen.

Das läuft ja im Hintergrund.

Das ist ja bei vielen captchas so.

Trotzdem dürfte es erst dann geladen werden.

Das bedeutet, wir haben einen sehr großen Stolperpunkt.

Je nachdem, was es ist, könnte man auch von einem Conversion-Killer sprechen, wenn es um Registrierungsformulare geht und deswegen hält man sich hier meistens nicht ganz so genau daran und lädt das Captcha auf Grundlage einer Risikoabwägung trotzdem, nämlich, dass die Nachteile, das Captcha zu nutzen, viel größer, Captcha nicht zu nutzen, viel größer sind als die rechtlichen Nachteile daraus, dass man das captcha nutzt.

Und es ist nicht so, dass Datenschutzbehörden direkt dagegen vorgehen.

Es dann, wenn es problematisch wird, weil Dienste eingesetzt werden, die datenschutzrechtlich problematisch sind.

Nämlich, wenn wir jetzt US-Dienste einsetzen beim Fall des captchas.

Da kann es problematisch werden.

Wenn ich jetzt aber ein Captcha nutze, das auf meinem Rechner ist, oder bei dem datenschutzrechtlich keine IP-Adressen übermittelt werden von Nutzern oder etwas in der Art, das ist unproblematisch.

Also hier würde ich sagen, man kann sich darüber streiten, ob eine Einwilligung erforderlich ist, aber die Beeinträchtigung ist so gering, auch wenn man zum Ergebnis kommt, sich das vielleicht nicht erforderlich, Wenn das einem deswegen passiert, ist das Risiko so gering, dass es sich lohnt, das Captcha einzusetzen.

Und das ist leider häufig das Problem, weil vor allem bei großen Seiten, wenn das effektiv laufen soll, dann steht man vor dem Problem, entweder ich bin wirklich hundertprozentig rechtlich sicher mit E-Privacy und auch mit dem Datenschutz, Übermittlung der Daten und so weiter, habe aber ein größeres Sicherheitsproblem.

Und dann entscheidet man sich aufgrund einer Risikoabwägung doch, das sichere Captcha zu nutzen, statt 100-prozentig Datenschutz sicher zu sein.

Und apropos 100-prozentig Datenschutz oder E-Privacy sicher zu sein, das, glaube ich, behauptet wahrscheinlich niemand von sich.

Man merkt es auch daran, dass es sehr, sehr, sehr wenig Abmahnungen gibt von, oder fast keine von Mitbewerbern wegen potenziellen Datenschutzverstößen, was rein technisch auch ginge, weil wer, wer würde schon in erster Steinwerfung sagen, ich bin hundertprozentig datenschutzsicher? Vielleicht jemand, der gar keine Website hat.

Also, ich würde sagen, Captchas, ja, am liebsten Captchas einsetzen, die auf eigenem Server laufen, keine IP-Adressen der Nutzer an Externe übermitteln, dann ist man auf der sicheren Seite.

Wenn man Captchas wie ReCaptcha von Google nutzt, ist es problematischer.

Eigentlich sollte man damit eine Einwilligung erarbeiten, sicher zu sein, aber das Risiko ist derart vergleichsweise gering.

Vor allem, wenn das Captcha nicht direkt auf der Hauptseite läuft, sondern erst im Anmeldeformular.

Das heißt, wenn irgendwelche Scans über die Website laufen, nicht sofort dieses Captcha entdecken.

Das heißt, das empfehle ich sowieso generell.

Wenn man WordPress hat, kann man ja gut bestimmen, welche Skripte in Header oder in Body geladen werden, oder welche nicht.

Das kann man ja unterdrücken.

Da sollte man wirklich zusehen, dass die Skripte zum Beispiel von Captcha nur dann laufen, wenn sie benötigt werden.

Weil auf der Hauptseite, wenn ich dort kein Login-Formular habe, benötige ich kein Captcha.

Das ist natürlich auch ladetechnisch von Vorteil.

Und genau das, was du vorher gesagt hast, ist 100-prozentiger Datenschutz ist das gleiche auch wie mit Security.

Also alles, was an das Internet angeschlossen ist, ist einleitbar.

Firewalls, die man hat, Genau.

Firewalls, Word.

Ich glaube, wie heißt nochmal, Wordfence heißt die? Ja, Wordfence, All-in-One-WP-Security.

Ja, genau.

Genau die Security und so weiter.

Es gibt auch diese Firewalls, genau.

Die arbeiten auch damit, dass die Informationen an das Server gesendet werden.

Und ist auch wieder ein Problem.

Sind diese Informationen erforderlich aus der Sicht der Nutzer? Ist es erforderlich? Und da kann man damit argumentieren, ja, aber dann könnte jemand ein Schadcode in die Website einschleusen.

Dieser Schadcode könnte die Information der Nutzer auslesen und missbrauchen.

Mit solchen Security-Maßnahmen schützen wir uns davor.

Das heißt, es ist auch zum Schutz der Nutzer da und deswegen ist es erforderlich, dass wir diese Firewalls laufend haben.

Auch datenschutzrechtlich haben wir ein berechtigtes Interesse, nämlich ein Schutzinteresse, Schutz für sich, Schutz für die Nutzer.

Wie ist es mit den überwiegenden Interessen der Nutzer? Wir müssen das hier abgleichen.

Dann sagt man, dann prüft man, können die Nutzer damit rechnen? Das ist für diese Prüfung wesentlich.

Und da wird man sagen, ja, bei Webseiten, dass man überprüft, dass da jetzt nicht irgendwelche Bots, irgendwelche Missbräuche erfolgen.

Damit muss man eigentlich heutzutage im Internet rechnen als ein durchschnittlicher Nutzer.

Damit überwiegen die Schutzinteressen die berechtigten Interesse nicht.

Das heißt, das Ganze ist auch datenschutzrechtlich ohne Einwilligung machbar, nämlich auf Grundlage berechtigter Interessen und es ist erforderlich im Sinne der E-Privacy, deswegen können wir es nutzen lassen.

Ich könnte ja diese Argumentation auch komplett in eine andere Richtung argumentieren, mit einem anderen Ergebnis, aber daher muss man auch immer einen Blick auf die Praxis werfen und auch da kenne ich jetzt keine Fälle, in denen jemand deswegen Nachteile erlitten hat oder in denen eine Aufsichtsbehörde sagte, sie dürfen jetzt kein Firewall-Skript nutzen, weil dort Daten zum Abgleich an einen Server gesendet werden, gilt zumindest solange es nicht die USA sind, was ich befürchte bei meisten Firewall-Tools der Fall ist.

Ja, und dann gibt es auch so interessante Spezialfälle, wo jetzt zum Beispiel Google Maps, wenn du das als IFrame einbindest auf der Website, bräuchtest du ja dafür eine Einwilligung, damit das geladen werden darf.

Was nicht unbedingt erforderlich ist, ja.

Genau, aber dann gibt es ja noch den Trick, hey, mach einfach nur einen Screenshot und gib das Bild rein, aber dann gibt es ja Verstöße gegen das Copyright zum Beispiel, wenn du das nicht attributierst, wenn ich das richtig beschrieben habe, weil ich habe mal irgendwo in den Richtlinien von Google Maps… Ja, es ist nicht erlaubt Bilder zu erstellen und Screenshots zu erstellen, man muss tatsächlich Googles Plugins bzw.

das Script nutzen, mit in den die Karten geladen werden.

Ja, das ist richtig, weil Kartenmaterial ist urheberrechtlich geschützt.

Ob das heute noch so ein Problem ist, weiß ich nicht.

Also Google hat deswegen jetzt keine Abmahnung verschickt, wenn man irgendwie ein Screenshot erstellt hat.

Es waren die Inhaber der tatsächlichen Karten, des Kartenmaterials, das an Google lizenziert worden ist.

Das war auf jeden Fall früher häufig der Fall, dass von allen Dienstleistern Material an Google lizenziert worden ist und wurden Google das einsetzt und andere davon Screenshots machten, dass man das abmahnen konnte.

Soweit ich weiß, greift Google jetzt mehrheitlich auf eigene Daten zu.

Bin mir jetzt aber nicht sicher, aber das Risiko ist vergleichsweise gering.

Aber ja, man sollte das Skript nutzen und wenn man das Skript nicht hat, sollte dort irgendwie ein anderer Platzhalter auftauchen und sagen, möchten Sie, dass diese Karte geladen wird? Das kann an der Stelle stehen, an der sich die Karte befindet oder es kann auch gleich im Cookie-Banner abgefragt werden.

Das heißt, wenn Nutzer auf Einwilligen klicken, dann kann man ja auch Google Maps da mit einbinden und gleichzeitig laden.

Gibt's vielleicht noch irgendwelche Sachen, die man so auf den ersten Blick nicht bedenkt, aber wo du siehst, das wird auch einfach oft vergessen? In Bezug jetzt zum Beispiel auf WordPress-Websites, was alles geladen wird und so weiter.

Oder gibt es da irgendwelche, ich würde jetzt nicht sagen Fallen, die man vermeiden sollte, aber Sachen, denen man sich bewusst sein sollte, wo einfach viele dieses Bewusstsein noch nicht haben? Oh, das ist jetzt schön abstrakt formuliert.

Angesichts dessen, dass wir die meisten Stolperfälle schon besprochen haben, denke ich, dass es.

.

.

Nein, ich denke, wenn man an die Punkte denkt, die wir gesagt haben, nämlich Informationen auslesen, speichern, aus diesen Geräten auslesen, an Dritte übermitteln, vom in die USA übermitteln, dann hat man schon 99,9 Prozent abgedeckt.

Ja, natürlich gibt es so Kleinigkeiten wie Urheberrecht, an den Inhalten, die man hat, ja klar, da muss man auch denken.

Aber ich denke, die Punkte, die wir besprochen haben, sind am wesentlichsten, ja.

Mir ist mir das gerade noch eingefallen, weil wir vorher das Thema mit der Haftung gehabt haben, Verantwortung.

Darf ich als Dienstleister, ich sage jetzt mal als Webentwickler oder Webdesigner, wo ich keine rechtliche Beratung anbieten darf, darf ich einen Cookie-Banner oder einen Content-Management-Banner aufsetzen überhaupt? Ja, das darfst du machen.

Du darfst keine Rechtsberatung machen, die nicht nur Teil der Erbringung deiner Tätigkeit ist.

Das bedeutet, du darfst natürlich rechtlich fehlerfreie Seiten anbieten und du darfst auch einen Cookie-Banner installieren.

Du dürftest jetzt aber nicht den Kunden zu den rechtlichen Implikationen des Cookie-Banners beraten.

Daneben zu seinen potenziellen Rechtsverstöße passieren.

Also eigentlich das, was wir besprochen haben im Einzelfall, dürftest du nicht machen.

Du dürftest zum Beispiel für nicht einschätzen, wie hoch ist das Risiko, dass Sie eine Abmahnung erhalten.

Solche Dinge.

aber du darfst das Cookie Banner installieren.

Du musst halt dem Kunden sagen, tut mir leid, aber ich darf sie nicht rechtlich zu den einzelnen Punkten beraten.

Was du machen kannst, sind natürlich allgemeine, nicht auf den Einzelfall gerichtete Informationen.

Das bedeutet, du darfst durchaus gerne eine Informationsseite aufnehmen, die im Allgemeinen beschreibt, wie die Rechtslage beim Einsatz von Cookie Bannern und von Google Analytics ist, aber nicht auf den Einzelfall des Kunden anspricht.

Das heißt, man muss das so trennen, dass es keine Einzelfallberatung ist und nicht als solche nachweisbar ist.

Probleme treten damit immer dann auf, wenn man Fehler macht und der Kunde dann sein Geld haben möchte, weil dann kann er sich durchaus herausstellen, dass es halt eine rechtswidrige Beratung war, was aber den Vorteil hätte, wenn dieser Vertrag insoweit nichtig ist, dann hat der Kunde keine Gewährleistungsansprüche.

Gut, man hat aber dann auch kein Geld dafür, keinen Anspruch darauf, dass es bezahlt wird.

Das ist so ähnlich, als wenn man, wie mit der Beschäftigung von Personen, die schwarz arbeiten oder illegal arbeiten, dann hat man auch keine Gewährleistungsansprüche, aber der Handwerker hat auch keinen Anspruch auf sein Geld.

Ungefähr dieselbe Situation.

Aber das bedeutet nicht, dass man eine Website nicht rechtlich sicher machen darf.

Man darf nur halt keine zusätzliche Beratung dazu liefern.

Also wenn der Kunde fragt, können Sie mir darstellen, wie die Rechtslage ist, dann kann man sagen, tut mir leid, ich darf Sie rechtlich nicht beraten, ich habe hier eine Informationsseite oder von meinem Anwalt vorbereitetes Informationsblatt, wie es generell aussieht.

Sie können es gerne durchlesen und aufgrund dessen eine eigene Entscheidung treffen, aber ich kann es nicht auf den Einzelfall für Sie übertragen, das ist nicht erlaubt.

Und das letzte Thema, was ich noch gerne ansprechen würde, wäre die Zukunft von Datenschutz.

Weil wir leben ja gerade in diesem Boom, wo es sich dann, finde ich, schon langsam normalisiert von den Tools, KI-Tools und so weiter, die jetzt aufpoppen und gefühlt mehrere Tools alle paar Monate oder alle paar Wochen dann erscheinen, die man unter anderem auch nutzen kann, um Rechtstexte zum Beispiel zu erstellen.

Und da mag ich mich jetzt auch nicht ausschließen, weil ich glaube, jeder hat das mal für das eine oder andere verwendet.

Aber wie siehst du dann die Zukunft von Datenschutz jetzt allgemein? Und vielleicht kannst du das jetzt auch gleich in Bezug auf WordPress ein bisschen konkretisieren.

Wie ich den Schutz von Daten.

.

.

Also ich denke, dass wir in der Zukunft eine Haufe Erleichterungsmaßnahmen erhalten werden, was die Anwendung des Datenschutzes auf Organisationsebene angeht, weil wenn wir an Datenschutz denken, dann denken wir an die, ist es erlaubt, brauche ich eine Einwilligung, brauche ich eine Datenschutzeklärung, aber was man dahinter noch bedenken muss, man muss zum Beispiel ein Verzeichnis von Verarbeitungstätigkeiten führen.

Wenn man regelmäßig personenbezogene Daten verarbeitet, und das macht plötzlich jeder, das heißt, Man muss solche Verzeichnisse führen und in diesen Verzeichnissen, und man muss auch bestimmte Regelungen mit Mitarbeitern treffen.

Das heißt, der Organisationsaufwand, der in, sagen wir mal 99,9 Prozent aller Fälle, missachtet wird, nur es fällt nur dann auf, also es fällt dann auf, wenn irgendetwas passiert, es gibt zum Beispiel einen Einbruch auf den Server, man muss den der Datenschutzbehörde melden, was die Datenschutzbehörde dann macht, also in Fällen, die ich kenne, Sie fragen, bitte schicken Sie uns Ihr Verzeichnis von Verarbeitungstätigkeiten.

Sie haben dazu drei Tage Zeit.

Hatte ich letztens einen Fall.

Ja, wenn man das nicht erstellt hat, hat man ein Problem, weil dann hat man schon einen Datenschutzverstoß begangen.

Aber, da kann ich mir vorstellen, dass in der Zukunft Erleichterungen vielleicht kommen.

Auch auf der Ebene, ob man einen Datenschutzbeauftragten braucht, das ist vielleicht ein spezielles deutsches Problem.

Wir haben in Deutschland eine Pflicht, ab 20 Mitarbeitenden einen Datenschutzbeauftragten zu haben.

Auch zu der Besonderheit, dass das wahrscheinlich aufgelöst wird.

Aber diese grundsätzliche Problematik, dass man prüfen muss, darf ich Daten verarbeiten? Brauche ich eine Einwilligung? Brauche ich Datenschutzhinweise? Da befürchte ich, da wird sich nichts daran ändern.

Man kann das natürlich automatisieren.

Also, wenn ich einen Datenschutzgenerator habe und dort arbeitet man in Textbausteinen, teste ich auch, wie das mit der KI läuft.

Man kann vieles mit der KI machen.

Das Problem ist, man haftet dafür, was die KI macht und man muss das alles hinterher überprüfen.

Also, ich teste auch, wie ist es, kann ein KI-Tool zum Beispiel eine Datenschutzerklärung oder ein Bezeichnungs- und Verarbeitungstätigkeit erstellen? Natürlich, Das können sie, aber sie vergessen meistens irgendetwas oder sie erfinden etwas dazu.

Und genauso wie bei Verträgen, KI-Tools können wunderbar Verträge erstellen oder Gutachten.

Die sind auch in vielen Punkten sehr gut, aber es werden Kleinigkeiten vergessen, wie Haftungsregelungen oder Leistungsregelungen, die man als normaler Mensch überhaupt nicht mitbekommt.

Aber ich denke, das wird noch ein paar Jahre dauern, dann wird das auch funktionieren.

Das heißt, ich denke, der Datenschutz wird wahrscheinlich in der Zukunft automatisierter werden, was auch damit zusammenhängt, dass die Digitalisierung, das war früher, heute kann man schon von Datafizierung sprechen, das heißt, dass wir uns sozusagen auf formellen, technischen Ebenen unterhalten, kommunizieren und eigentlich in diesem Leben, dass es so voranschreiten wird, dass auch den Datenschutzvorschriften man nur dann Herr werden kann, wenn die Systeme per se Datenschutz implementiert haben.

Was ich mir zum Beispiel vorstellen könnte, ist, dass Tools automatisch Datenschutz-Passagen ausspucken oder, was mich heutzutage tierisch nervt, ich habe ein neues Tool, das ich prüfen muss, ich muss herausfinden, was passiert da datenschutzrechtlich, was wird da erhoben, für welche Zwecke, das muss ich aus langen Datenschutz-Hinweisen herauslesen oder die jeweiligen Unternehmen anschreiben.

Die können das aber auch automatisch mit ausspucken.

Das könnten die auch machen, so wie Cookie Banner das automatisch machen, dass sie das fassen und das würde einem die Arbeit erleichtern, weil die Problematik bei Erstellung von Datenschutzhinweisen liegt vor allem darin, man muss die Empfänger benennen.

Das heißt, wenn man unterschiedliche Tools von unterschiedlichen Empfängern einsetzt, also bei denen die Daten nach draußen gehen, also wenn ich ein Tool einsetze, das nur auf meinem Server arbeitet, das muss ich nicht explizit nehmen.

Ich muss ja auch nicht benennen, welche Mitarbeiter welche Datenschutzaufgaben durchführen, nur wenn ich externe Tools, die nach externen Daten transferieren, einsetze, dann muss ich die benennen und das ist natürlich selbst, wenn man des Datenschutzes nicht kundig ist, sehr schwer zu bewerkstelligen und da hoffe ich auf große Datenschutzhilfe, zumindest auf dieser Ebene.

Und gibt es dann Gesetze, die auf uns zukommen werden? Weil am Anfang gab es ja die DSGVO, danach lange Zeit E-Privacy im Allermunde, aber war noch nicht fertig.

Jetzt gibt es E-Privacy.

Kommt dann auch noch irgendwas auf uns zu oder ist gerade irgendwas im Gange? Also die, das Lustige ist, die Datenschutzgesetze und die Cookie-Pflichten, die gab es schon lange vor der DSGVO und vor den neuen Regelungen zu Cookies in 2021, Die gibt es schon eigentlich seit 2011 sind die überall aktiv und Datenschutzgesetze gab es ja auch schon lange davor.

Wir haben sie bloß nicht beachtet.

Das war der Unterschied.

Und die Cookie-Verordnung, die sollte kommen, also ePrivacy bedeutet de facto Schutz von Endgeräten von fremden Zugriffen.

Und diese ePrivacy gibt es schon seit 2011, die ist halt in einer Richtlinie geregelt.

Richtlinie bedeutet, die einzelnen Nationalstaaten, die Mitgliedstaaten wie Deutschland oder Österreich müssen die in ihren eigenen Gesetzen umsetzen.

So ist die Rechtslage und man wollte das genauso wie die DSGVO auf der EU-Ebene regeln und da sollte auch zum Beispiel geregelt werden, wann Cookie-Banner notwendig sind, wann nicht, aber dieses Gesetz ist dieses Jahr gestorben.

Das heißt, diese Gesetzvorhaben der Erleichterung eigentlich hat man auf EU-Ebene verworfen.

dann geht es aber nicht nur um Cookies, sondern auch um andere Dinge.

Das heißt, potenziell wird es einen Neustart geben zur Regulierung der Cookie-Flut.

Ob, wie, wissen wir gerade gar nicht, weil gerade ist erstmal das Projekt zur Erleichterung von Cookies auf EU-Ebene gestorben und es wird vielleicht einen neuen Ansatz geben.

Dass wir noch weitere Erschwernisse bekommen, also dass es noch strenger reguliert wird, was wir in der Zeit haben, das befürchte ich nicht.

Also die Rechtslage, die wir heute besprochen haben, einmal mit der E-Privacy, einmal mit der Datenschutz-Grundverordnung, ich denke, das wird so erstmal bleiben.

Was sich wie gesagt ändern kann, ist auf interner Ebene, dass die Unternehmen etwas erleichtert werden bei interner Verwaltung von Datenschutzprozessen, aber erst einmal rechne ich hier mit keinen wesentlichen Veränderungen.

Ja, das, was passieren könnte, ist einfach nur, vielleicht gibt es irgendwann ein nächstes Privacy-Schild oder Data-Privacy-Framework und das ist dann in der Regel mit den Abständen.

Ja, genau.

Also, da sollte man damit rechnen, dass da potenziell was passieren wird, wie wir es besprochen haben, aber im Datenschutz nicht.

Also, daneben kann es natürlich weitere Gesetze geben, wenn wir einen Datenschutz verlassen, wie jetzt Barrierefreiheitsregelungen, die Unternehmen ab 10 Mitarbeitern oder über 2 Millionen Umsatz betreffen.

Das weiß ich, dass man jetzt darauf achten muss, dass die Alttexte auch immer vorhanden sind bei Bildern und dass die Navigation auch funktioniert, also die ganzen Barrierefreiheitsgeschichten.

Aber das hat dann weniger mit dem Datenschutz zu tun.

Das ist dann mehr Verbraucherschutz.

Wobei Datenschutz ist ja auch zum Teil Verbraucherschutz, aber.

Ja, aber das klemmt ja auch alles ineinander zusammen.

also ineinander ein, wie zum Beispiel SEO, Security, Barrierefreiheit, Datenschutz.

Also wenn man von Grund aus immer sauber arbeitet und sich um diese Sachen Gedanken macht, dann reicht es aus, wenn man wirklich ein solides Fundament baut, sauber arbeitet und dann hat man ja auch viele Sachen abgedeckt oder abgehakt.

Man darf das nicht aus Acht lassen, also man schon konkret wissen, was da jeweils notwendig ist, aber wenn man jetzt nicht zu viel installiert, zu viele Sachen verwendet, ohne dass es notwendig ist, dann sollte man da schon, dann ist man da glaube ich am guten Wege.

Ja, man muss diese sehr hohe Hürde überwinden, beziehungsweise mir fällt es immer sehr schwer.

Man sollte nur so viele Daten verarbeiten, wie es wirklich notwendig ist, erforderlich ist und sich das hinterfragen und ich kenne das, wenn ich jetzt umswitche und code und ein Projekt erstelle, dann möchte ich natürlich möglichst viele Daten haben, möglichst viele Features, Funktionen damit erstellen zu können.

Das heißt, ich schalte dann in unseren Coding-Modus und wenn ich dann zurück in den Datenschutz-Modus zurückschalte, muss ich merken, dass viele der Features vielleicht eine Einwilligung bedürfen oder nicht notwendig sind oder potenziell zu irgendwelchen Datenschutzverstößen oder Datenverlusten führen können.

Das heißt, man muss sozusagen sein eigener Controller sein und das ist schwer.

Das ist schwer, also Entwickler und gleichzeitig Controller zu sein in einem ist nicht einfach, meines Erachtens.

Wer das gut hinbekommt, Hochachtung.

Ich kann das meistens nur, indem ich schon von Anfang an plane.

Das steckt aber auch hier in der DSGVO drin, Privacy by Design oder Datenschutz durch Technikgestaltung, bedeutet, bevor man ein Projekt angeht, sollte man schon prüfen, welche Daten sind dafür erforderlich.

Welches Tool ist, sagen wir mal, datenschutzrechtlich am wenigsten invasivste für diese Funktionen, die ich plane.

Das heißt, man muss das schon von Anfang an machen.

man es per Gesetz dazu gezwungen, aber meistens ist es so, man hat eine Idee, entwickelt drauf los und hinterher, wenn das fertig ist, dann fragt man sich, hm, wie sieht es jetzt aber eigentlich datenschutzrechtlich aus? Sollte aber umgekehrt laufen, wenn man das hinbekommt, dann hat man datenschutzrechtlich auch weniger Probleme, vor allem, wenn man nicht dazu gezwungen ist, irgendwelche Funktionen einzuschränken, die man schon toll entwickelt hat, aber die datenschutzrechtlich problematisch sind.

Ja, da ist es immer schwierig, dann die Balance zu finden zwischen Technik und Gesetz.

Ich bin darüber schon sehr juristisch, muss ich sagen, in solchen Fällen, wenn ich mit Mandanten arbeite, weil kritisieren ist ja mal einfacher, als selbst etwas zu entwickeln.

Wir würden uns schon langsam dem Ende nähern von der Podcast-Episode.

Bevor wir dann noch zu den abschließenden Bullet-Fragen kommen, Hättest du irgendwas, was du gerne in den Spotlight stellen möchtest, wo du irgendwas bewerben möchtest? hey Leute, schaut's da vorbei oder geht auf diesen Link, weil dann wäre jetzt der perfekte Zeitpunkt dafür.

Ist also der perfekte Zeitpunkt, Werbung für sich zu machen.

Genau, genau.

Jetzt ist das Spotlight da.

Okay, dann lege ich mal los.

Also, falls ihr Datenschutzerklärungen oder Datenschutzdokumente oder AGB benötigt, dann datenschutz-generator.

de.

Falls ihr einen KI-Kompetenzkurs für Mitarbeiter benötigt, certready.

eu Und einen Podcast, den haben wir, glaube ich, noch gar nicht beworben, meinen Podcast, Rechtspodcast mit meinem Kompanion Markus Richter, rechtsbelehrung.

com.

Da sprechen wir auch häufig über Themen, die mit Technik und Technologien zu tun haben, im Hinblick auf den Datenschutz.

Und wie du schon gesagt hast, sehr wahrscheinlich Ende Mai oder im Juni kommt mein neues Buch Recht für Online-Marketing und KI im O'Reilly-Verlag heraus.

Wird auf jeden Fall alles unten verlinkt sein.

Keine Angst, das sind keine Affiliate-Links, einfach draufklicken und da kommt ihr schon zu den jeweiligen Ressourcen.

Zu den Bullet-Fragen, sag einfach das Erste, was dir in den Kopf schießt und dann werden dich die Leute ein bisschen besser kennenlernen können.

Wenn es im Datenschutzgenerator, certready, einfach die ganze Beratung und die Leistungen, die du anbietest, nicht gäbe, keine Bücher und so weiter, was wäre dein Alternativberuf? Nun, ich war mal Finanzbeamter.

Wahrscheinlich wäre das mein Alternativberuf geblieben in dieser Konstellation.

Nicht, dass ich sage, dass es mir gefallen hat, denn ich bin es deswegen nicht mehr, weil ich es auf Dauer nicht so spannend fand, aber wahrscheinlich wäre ich es das geblieben.

Wenn ich es mir aussuchen könnte, dann würde ich gerne fiktive, kreative Welten kreieren.

Also würde ich wahrscheinlich Abenteuer, Kampagnen für Dungeons & Dragons oder sowas entwerfen.

In VR.

Bitte? In VR, damit du dann gleich eintauchen kannst.

Am besten, wenn es das gäbe, ja.

Oder AR.

Ich bin ein Freund eigentlich von AR.

Ich hätte endlich mal eine verbesserte, reale Welt, die um digitale Elemente ersetzt ist.

Aber stattdessen immer dieselbe Grafik.

die reale Welt ist so langweilig.

Also in meiner Promotion habe ich Smart Glasses getestet.

Das ist ja schon etwas her.

Damals war die Google Glasses noch neu und toll, die waren natürlich auch super limitiert, aber durch die Welt zu laufen und alleine so Navigationspfeile im Blickfeld zu haben, das fühlte sich ein bisschen wie GTA zu spielen an, vor allem wenn man Fahrrad fährt und diese Informationen hat und es gab ja auch noch die Holo-Brille von Microsoft.

Also das sind wunderbare Features und da freue ich mich, Da gibt es neue Entwicklungen jetzt seitens von Meta für solche Brillen.

Wie das mit dem Datenschutz funktionieren soll, weil um diese digitalen Elemente im wirklichen Raum darstellen und richtig platzieren zu können, muss ja die reale Welt ausgelesen werden.

Wie wird die reale Welt ausgelesen? Das ist von Kameras.

Was ist nicht so einfach erlaubt im öffentlichen Raum? eine Videoüberwachung, nämlich eine fortgesetzte Überwachung von Menschen und Gegenständen mittels von Kameras.

Das heißt, es wird super kompliziert, aber ich freue mich darauf.

Ja, alleine dadurch, wenn dein Auge mitgemessen wird, du schaust irgendeine Sache an, deine Pupille erweitert sich und die merken, hey, das hat jetzt eine Reaktion ausgelöst.

Ja, das ist natürlich wertvoll für Technik.

Aber alleine, wenn ich mir vorstelle, ich gehe durch die Welt und auf ein Plakat wende, die Plakatwände sind dann entweder nicht existent oder einfach weiß und dann wird die passende Werbung dazu eingeblendet.

Was ich aus marketer Sicht perfekt aus der Sicht an Menschen ein Albtraum-Szenario, aber ich stelle es mir so ein bisschen vor, was ich zum Beispiel gerne mit Freunden gemacht habe.

Wenn man VR-Brillen hat, man kann seine Wohnung bemalen und zu einem Artstudio, in einem Artstudio umgestalten, da setzt jemand die Brille auf, geht durch meine Wohnung und sieht plötzlich meine Zeichnungen, meine Skulpturen oder was ich alles hingestellt habe.

Also ich fände es schön, wenn die wirkliche Welt um noch weitere Wahrnehmungsdimensionen erweitert werden würde.

Und natürlich kann man das utopisch sehen, man kann das auch dystopisch sehen, weil es würde bedeuten, dass Menschen, die zum Beispiel viel Geld haben, es sich reichen können, dass sie überall Navigationspfeile, günstige Angebote, zusätzliche Informationen haben.

Menschen, die sich das nicht leisten können, werden es vielleicht nicht sehen.

Für Sie wird es weiterhin die graue Welt bleiben, die Sie auf dem Weg zur Arbeit begleitet.

Ja.

Aber, ja, gehen wir mal zur nächsten Frage.

wir sollten jetzt auf natürliche Not das Ganze benden.

Also, falls du noch weitere Fragen hast.

Genau, genau.

Die positive Frage kommt danach.

Aber was ist das nervigste WordPress Feature? Das nervigste WordPress-Feature.

Ich würde mal sagen, die Informationseinbildung der einzelnen Plug-ins im Backend-Bereich.

Diese Banner, die dann oben erscheinen.

Ja, genau.

Diese ganzen Banner, die oben erscheinen und statt irgendwo zentral versammelt zu sein.

Die Black-Friday-Angebote.

Na, das nervigste Feature aus meiner Sicht.

Natürlich kann man die ja wegdrücken und so weiter, aber irgendwann schlüpfen die mal durch.

Das finde ich, was das nervigste Feature bezeichnet.

Aber angeblich wird darin gearbeitet.

Also es soll dann eine Verbesserung kommen, irgendwann, wenn das Feature fertig ist oder überarbeitet wird.

Ich bin gespannt.

Ja, und ansonsten müsste ich ja Vergleich zu anderen Diensten haben.

Also ich habe in neuer Zeit keine, also ich kenne Webflow.

Früher habe ich mit Typo3 und TypoScript gearbeitet.

Ich habe auch mit Drupal gearbeitet.

Ich habe versucht auch eigene Frameworks zu entwickeln, weil man sich beim Finanzamt gearbeitet und viel Zeit hatte.

habe.

Deswegen mit WordPress bin ich eigentlich ganz zufrieden.

Also es fühlt sich so ein bisschen an wie so ein Traktor.

Es ist halt nicht das Schnellste, nicht das Beste, aber es läuft und ich kann es selbst reparieren.

Mhm, so ein ähnliches Gefühl habe ich auch.

Ja, aber das geht vielleicht auch in die zweite Frage über.

Was ist dein Lieblings-WordPress-Feature? Mein Lieblings-WordPress-Feature? Das sind Fragen, die ich mir nie vorher gestellt habe.

Ich meine, automatische Update-Funktionen sind jetzt nicht unbedingt so ein typisches WordPress-Feature, aber das finde ich zum Beispiel sehr gut.

Passt.

Gibt es noch irgendeine finale Message, die du an die Zuschauer, Zuschauerinnen, Zuhörer und Zuhörerinnen weitergeben möchtest? Geratet bitte nicht in eine Panik, nachdem ihr ja diese Folge gehört habt, weil im Rahmen einer solchen Folge werden die ganzen möglichen Nachteile und Risiken verdichtet, aber das heißt nicht, dass sie alle auf euch zutreffen und die meisten Fehler, die einem passieren, die relevant sind, passieren deswegen, weil man nicht weiß, dass man diese Fehler begehen könnte.

Das heißt, sobald man aufmerksam ist und ungefähr weiß, wie das mit E-Privacy funktioniert, wie das mit dem Datenschutz funktioniert, dann wird man die meisten Fehler nicht begehen.

Also geratet nicht in Panik, sondern fühlt euch eher jetzt gestärkt, dass ihr weniger Fehler begehen werdet und falls noch so eine gewisse Angst da ist, die wir vielleicht jetzt verbreitet haben, das wird sich nach zwei Tagen lösen.

Passt.

Sehr cool.

Da auf dem äußerst positiven Ende sind wir schon am Ende der Episode angekommen.

Thomas, dir vielen, vielen Dank, dass wir uns heute unterhalten konnten.

Wir sind auf sehr spannende Themen gestoßen, wo ich dann auch über ein paar Sachen nachdenken werde.

Aber ja, wir sehen uns hoffentlich mal auch in real life, nicht nur virtuell oder dann über virtuelle Brillen, vielleicht dann auch in der Zukunft.

Vielen herzlichen Dank, Dominik.

Es hat mir sehr viel Spaß gemacht.

.