Hallo Du! Bevor du loslegst den Talk zu transkribieren, sieh dir bitte noch einmal unseren Style Guide an: https://wiki.c3subtitles.de/de:styleguide. Solltest du Fragen haben, dann kannst du uns gerne direkt fragen oder unter https://webirc.hackint.org/#irc://hackint.org/#subtitles oder https://rocket.events.ccc.de/channel/subtitles oder https://chat.rc3.world/channel/subtitles erreichen. Bitte vergiss nicht deinen Fortschritt im Fortschrittsbalken auf der Seite des Talks einzutragen. Vielen Dank für dein Engagement! Hey you! Prior to transcribing, please look at your style guide: https://wiki.c3subtitles.de/en:styleguide. If you have some questions you can either ask us personally or write us at https://webirc.hackint.org/#irc://hackint.org/#subtitles or https://rocket.events.ccc.de/channel/subtitles or https://chat.rc3.world/channel/subtitles . Please don't forget to mark your progress in the progress bar at the talk's website. Thank you very much for your commitment! ====================================================================== [Musik] [Musik] hallo schönen Nachmittag hier auf der nordx Bühne das ist die Nerds der oberreheinische Tiefebene und xhein auf dem CCC Camp 23 wir haben ein wunderschönen tollen Vortrag von Alva Freunde und Tobias kber Keber es tut mir echt leid so Tobias ist seit 1 Juli der neue Landesdatenschutzbeauftragte in badenwürtenemberg und Alva arbeitet dort auch und ist Leiter für die Technik und sie erzählen uns gemeinsam was die mythten und Fakten aus 5 Jahren gdpr so richtig ja so richtig ah eine Sache noch genau für in Stream es gibt diese Bühne hat ein Hashtag das heißt #ccc 23 Nord x also CCC Camp 23 Nord x wenn ihr im feldiv das benutzt dann können die Fragen hinterher auch hier vorgelesen werden und beantwortet werden ja hallo zusammen auch von unserer Seite und wir wir starten gleich durch starten gleich durch ja ja XFS gdpr 5 Jahre best of Mythen ne das ist so ein bisschen die Idee es gibt sehr viele Mythen rund um den Datenschutz rund um die datenschutzgrundverordnung oder gdpr und wir haben uns da heute einfach mal so ein paar ausgesucht zum Teil sehr klassische und aber auch etwas ganz aktuelle zum auch aktuell und die Weltherrschaft die Welt die Weltherrschaft das Tentakel ja der Datenschutz will die Weltherrschaft vielleicht aber vielleicht ist das auch ein Mythos vielleicht ist auch ein Mythos genau deswegen müssen wir uns das ganze ein bisschen näher angucken ja was ist eigentlich Mythos ja kann man schön differenzieren im Gegensatz zu Logos also Mythos behauptet was was gar nicht stimmt um es einfach zu sagen und ähm ja der Gegensatz ist Logos also das Recht dass man auf etwas anwenden kann auf einen bestimmten Fall und ja das steht also im Gegensatz zu diesem narrativ also der der Mythos hat ein narrativ und das versuchen wir heute gemeinsam D mal ein paar Beispiele zu uns anzuschauen und zu sagen stimmt es eigentlich und was sagt das Recht eigentlich dazu wenn man das ganze mal drüberlet also diese xfils die werden schon lange gesammelt damals als ich noch aktiv bei damals hieß das noch Twitter äh war jetzt bin ich da ja nicht mehr aktiv sondern das ganze schläft und befülle massodon und das fedifers ähm ja wir haben damals bei Twitter schon gesammelt xfalls gdpr mit ganz vielen Beispielen äh gab es einen eigenen Hashtag dazu und aus diesem Fundus ja haben wir heute das ein oder andere mitgebracht das erste da will ich euch gleich einbinden das ist eine sehr schöne äh Frage weil sie z Teil rechtlich ist zum Teil auch sehr technisch äh und jeder hat vielleicht dazu eine Idee das war relativ am Anfang also 2018 2019 20 seit 2018 ist die dsgvo unmittelbar anwendbar in Kraft ist sie ja schon länger und gerade am Anfang gab's da sehr sehr viel Unkenntnis Verwirrung und jetzt da kommt der Datenschutz ja reiß die Weltherrschaft an sich und nichts geht mehr so und da gab es ein schönes Schild das hing im Feyer einer Bank so und dann muss ich ein bisschen erklären wie das Setting war das Setting war Bank Foyer äh und in diesem Foyer gab es ein Geldautomat und ein Kontoauszugsdrucker so und früher gab es neben dem Kontoauszugsdrucker in diesem Foyer in diesem Vorraum der Bank auch noch einen Mülleimer so ähm und ä jetzt gab's die dsgvo und den Mülleimer nicht mehr und warum gab es den Mülleimer nicht mehr das hat die Bank dann erklärt und die Bank die sagt jetzt hier aus Datenschutzgründen ist das zur Verfügung Stellen eines Mülleimers nicht gestattet wir bitten nun höflich darum ihren Müll nicht im Feyer der Bank zu entsorgen so und was dahinter steckt ist tatsächlich folgendes kann man sich nicht ausdenken ist aber wohl passiert Menschen ziehen ihren ihren Kontoauszug schauen drauf oder auch nicht oder auch nicht 500 € und was machen die die nehmen den Kontoauszug und stecken ihn in den Mülleimer der vorher noch da war und jetzt sagt die Bank man muss Menschen schützen und wir sind und das ist dann schon die Frage die man vielleicht dann diskutieren kann ist die Bank eigentlich dafür verantwortlich dass ein Mensch einen Kontoauszug zi eht und dann noch in der Bank in den Papierkorb wirft der natürlich öffentlich zugänglich also jeder kann da reingreifen das muss man natürlich dazu sagen das war jetzt kein very safe Mülleimer wo man da one kein Schredder oder sowas das war ein hundsordinärer Papierkorb ja so und jetzt ist an der die Stelle die Frage ist die Bank dafür eigentlich noch verantwortlich denn vielleicht für alle Nerds als Erklärung nach dsgvo richten sich die Vorschriften immer an den sogenannten Verantwortlichen und der verantwortliche ist nicht äh ähm ja irgendwie der Herr Müller aus der itabteilung oder sowas sondern das Unternehmen also in diesem Falle die Bank ist also die Bank dafür verantwortlich für den Mülleimer wenn da jemand was reinwirft ja ist auch definiert natürlich in der dsgvo wer der verantwortlich hier ist das ist irgendjemand der über die Zwecke und die Mittel der Datenverarbeitung entscheidet ja und jetzt ist die große und spannende Frage wenn wir jetzt also ein Kunden haben der das da wegwirft wer ist der verantwortliche der Kunde oder die Bank ja wie seht ihr es ja genau ist das also es ist der Kunde der hier den schwerpk hat der der Datenverarbeitung er entscheidet das ob er seine Daten preis gibt indem er das Ding ohne es zu zerreißen einfach in den Papierkorb steckt von daher das geht mit der Bank gar nicht nach Hause ja das heißt man hätte diesen Papierkorb auch stehen lassen können das wäre hätte man stehen lassen können genau außer sie sagen natürlich ihr müsst eure Kontoauszüge da reinschaffen ihr dürft die nicht mit nach Hause nehmen dann ja hätte ich jetzt aber ein Problem mit hätte ich auch ein Problem mit ja ja ähm eine Frage da hinten einmal Mikro da hinten weil sonst hört der Stream nicht genau hallo ist das Leeren des Mülleimer dann Datenverarbeitung ha natürlich ja das das good good point das Lehren des Mülleimers der im foryier steht da hätte ich wieder grundsätzlich dann schon da würde ich sagen die Bank muss hier technisch organisatorische Maßnah men also für den ganzen Mülleimer die kann das nicht einfach ins Altpapier geben sondern muss das ganz normal unter den den Vorgaben die ist DAF auch technische Natur gibt wie klein man schreddern muss und so weiter das würde ich an der Stelle dann schon sagen zumindest wenn regelmäßig würde ich jetzt sagen wenn regelmäßig darin personenbezogene Daten entsorgt werden wenn es jetzt einmal auf der Straße irgendwo ein Mülleimer ist an dem irgendjemand was sensibles reinschreibt dann würde jetzt nicht der Stadt die Aufgabe aufbürden aber wenn es denn direkt ne wenn häufiger vorkommt das war wohl tatsächlich so kann man sich wie gesagt nicht ausdenken aber ja nächster Mythos wir haben übrigens auch nachher noch ein extra Block für Fr Wagen ne also ne wenn wir jetzt an der Stelle wir haben nachher noch ein bisschen Zeit also hoffe ich zumindest alles ein bisschen Augen halte hier der nächste Mythos geschützt werden Daten Datenschutz schützt Daten könnte man ja sagen ne das ist so ein debattenklassiker da will ich jetzt auch nicht in die Tiefe gehen aber äh das ist unter den Datenschützern die schutzgutdebatte was ist eigentlich Datenschutz geht's um Persönlichkeitsrechte geht's um privacy ist privacy dasselbe wie Datenschutz und ist natürlich nicht so informationelle Selbstbestimmung ist das alles dasselbe äh wir wollen da jetzt nicht in die dogmatischen Tiefen abtauchen aber diese schutzgutdebatte gibt es aber einfach gesagt geschützt werden nicht Daten sondern geschützt werden Menschen das ist schon mal ein ganz wichtiger Punkt ja wenn ihr da Interesse habt an der schutzgutdebatte da gibt es den Winfried weil der sich damit schon sehr sehr lange befasst und schöne Kacheln gebaut hat äh das man kann man jetzt hier schlecht sehen was alles sozusagen unter dem Datenschutz subsummiert werden kann aber da wollen wir jetzt nicht in die dogmatische Tiefe gehen und da kommt jetzt dann schon schon das erste etwas technischere them ich komme jetzt mal in die Kamera hallo Stream j a ganz häufig haben wir immer wieder mal die Aussage wir haben hier ein Datum eine Telefonnummer und die hchen wir und deswegen ist das ein anonymes Datum weil ich kann ja aus dem Hash nicht mehr die Telefonnummer zurückkriegen was sagt ihr stimmt das Nein sagt jemand ja nein keiner sagt ja ja also hier ein Zeile ihr da nicht lesen könnt sch 256 von der Telefonnummer wie lange braucht es zu berechnen ich weiß nicht wie viel Milliarden hasches kann man aktuell sch 26 berechnen mit normaler Hardware ich glaube selbst mit dem Rechner da hinten sind schon paar Milliarden pro Sekunde kann man sich ausrechnen wie viele Telefonnummern haben wir probiere ich alle durch Brut Force zack habe ich in einer Sekunde aus dem Hash die Telefonnummer zurückgerechnet in Anführungsstrichen also nö ist natürlich immer noch ein Person bezogenes Datum wenn ich eine Telefonnummer häche das gleiche gilt für eine E-Mailadresse genauso weil die E-Mailadresse ja in der Regel nicht zufällig ausgewürfelt ist sondern na ja ich kann mir auch eine Liste von E-Mailadressen besorgen und die dann entsprechend gegen den Hash prüfen also Hashes sind keine personenbezogenen keine anonymen Daten Hashes sind in der Regel immer noch personenbezogene Daten wenn ihr also mal bei eurem Arbeitgeber oder sonst wo auf diese Diskussion stößt und ein juristischer Kollege sagt oh wir haben wir einen Trick da können wir mit den Daten noch irgendwas machen aber sie sind ja gar nicht der personenbezogen nö es sind weiterhin personenbzung Daten da ist eine Frage das wären dann noch pseudonymisierte Daten oder man könnte sie als Pseudonyme Daten ansehen das kommt ein bisschen sicherlich auch mal auf den Kontext drauf an aber es sind bestenfalls Pseudonyme Daten genau gibt es eine irgendwie eine Liste was explizit personenbezogen ist sowas wie Anzahl der Kinder ja Einkommens Bracket da da komm da komm nachher noch noch noch eine Story dazu also grundsätzlich ist alles Personen bezogen was irgendwie auf eine Person oder te ilweise auf eine Gruppe von Personen zurückzuführen zurückführbar ist es ist gerade ein Papier in der Mache was genau hier die Abgrenzung zu anonym noch mal darstellt auf europäischer Ebene im Prinzip kann man das sagen was in der dsgvo auch in Erwägungsgrund steht dass tatsächlich m alles mit dem wenn man eine einzelne Person rausgreifen kann ist es auf jeden Fall ein personenbezoges Datum also ein zufällig ausgewürfelter Cookie mit einem mit einer ID die irgendjemand von dem hier zugeordnet ist aber man nicht weiß wem ist ein Person bezunges Datum weil es einer einzelnen Person zugeordnet ist ja auch das ist dann ein Pseudonym das ist ein ganz klares Pseudonym vielleicht ein relativ starkes wenn die Gruppe groß genug ist aber es ist dann immer noch ein personenbezunges Datum okay aner Zeit machen wir einfach weiter oder wir gehen weiter und wir wir kommen zu fast einem meiner lieblingsmythen Datenschutz tötet dieser Mythos den gibt's in verschiedenen Abwandlung entweder so entweder so schön Datenschutz tötet das ist schon ne das ist griffig ja es gibt so so bisschen weich gespülter Datenschutz behindert die Patientenversorgung Datenschutz behindert Forschung also unterschiedlichen Ausprägungen kommt das immer wieder vor ja und da muss man natürlich sehr genau hinschauen ist da was dran es gab einen sehr schönes Battle ich weiß nicht ob man das sieht das hat unsere Behörden interterne memebeauftragte generiert dieses Bild da Boxen zwei Menschen die eine ist links die Vorsitzende des Ethikrates Frau Büch und rechts mein Vorgänger Stefan Brink der Landesdatenschutz beauauftragte baravu bis letztes Jahr bis zum er eren formal oder oder bis zum bis zum 31.12 ja ja und was hat sie gesagt sie hat gesagt wir kommen in Deutschland in der Forschung nicht weiter er hat insbesondere Corona gezeigt das würde alles nicht funktionieren und sie hat dann auch ja ich sag mal publikumswirksam gab's im Handelsblatt unter anderem und größeren Beitrag sie hat gesagt es gäbe eine und je tzt wird's richtig spannend ähm ethisch begründbare Pflicht zur Nutzung von Daten also was sie macht ist Ethik gegen recht ausspielen das finde ich schon mal strukturell sehr interessant und also man man müsse viel mehr Daten nutzen und das ginge eben das ist die These mit dem Datenschutz so wie er momentan ist nicht ne also man kann nicht forschen ja da hat Stefan Brink schon interveniert und gesagt dass ist alles Quatsch und das das schöne ist ich habe mal ein bisschen geforscht dieses narrativ das geht lange also vor die dsgvo ja das ist gar kein dsgvo Mythos Datenschutz und gesundheitsdatenforschung geht alles nicht 2011 gab's ja schon ein fachpaper da hatten wir noch keine dsgvo sondern ja das alte Bundesdatenschutzgesetz und da gab es in einer medizinischen Fachzeitschrift schon einen schönen Beitrag Daten gesichert patienttt Datenschutz im Gesundheitswesen ja ist natürlich alles nicht so richtig also erstmal muss man hier ein bisschen genauer hingucken wovon reden wir eigentlich reden wir vom Datenschutz ähm oh wo bist du jetzt hingerutscht äh genau reden wir vom Datenschutz ähm oder reden wir von der war schon richtig äh oder reden wir von der ärztlichen Schweigepflicht äh was etwas anderes ist was dann auch einmal berufsrechtlich bei den Ärzten geregelt ist die ärztliche Schweigepflicht dann sogar strafrechtlich sanktioniert ist wenn man dagegen verstößt wenn man also rumläuft und sagt pass mal auf der Klaus Müller der ist bei mir in Behandlung und der hat sich da so eine interessante ähm ja sexuell übertragbare Krankheit gefangen das heißt das ist das Strafrecht das wir schon lange haben ich von also von daher hat das an der Stelle immer nur bedingt was mit Datenschutz zu tun und natürlich man kann Daten verarbeiten also wenn wenn ich jetzt auf der Straße jemanden ausbluten sehe nach dem Verkehrsunfall ja und ich muss jetzt in irgendeiner Weise sehr schnell rauskriegen welche Blutgruppe hatte er denn und so weiter ja dann sperrt das datenschut recht nicht die Notversorgung und das dass ich also hier die Möglichkeiten habe das rauszukriegen auf die Schnelle damit der nicht verblutet da gibt es in der dsgvo explizit einen erlaubnisatbestand von daher ja so geht geht Forschung nicht bewuslose Patient muss auch nicht einwilligen Patient muss auch nicht einwilligen denn ich glaube unser ja genau der bewusstlose das geht ja gar nicht ne also von daher das hat die datenschutzgrundverordnung schon auf dem Schirm ja so und kann man man überhaupt nicht mehr forschen es gibt in der dsgvo ein forschungsprivileg das also sagt bei der Forschung da kann man Daten grundsätzlich ein bisschen mehr Nutzen als das sonst der Fall ist und wir haben momentan ganz viele gesetzgeberische ja Moves sozusagen unter anderem über das Gesundheitsdaten nutzungsgesetz wo es jetzt gerade ein Gesetzesentwurf gibt das heißt ja da bewegt sich auch noch was von daher Forschung geht auch mit Datenschutz so ähm ja der nächste Datenschutz verhindert Innovation den mache ich noch ein bisschen schneller das ist auch immer so ein narrativ geht alles nicht hochautomatisiertes fahren geht z.B nicht weil der Datenschutz um die Ecke kommt und dann ist das hat er geprägt deswegen auch hier von der unserer Mem beauftragten wer ist das Axel Foss ja und Axel Foss hat wir haben neulich sogar mit ihm diskutiert in unserer Behörde in der schönen Diskussionsrunde kann man sich sogar angucken kann man sich soar angucken auf unserem pitube Server ja genau und äh er ist auch wirklich ein netter Mensch also aber hat e zum Teil ja Argumente wo man sagen muss okay das kann man auch anders sehen er hat z.B öffentlichkeitswirksam mal gesagt na ja der Reifendruck bei einem hochautomatisierten Kraftfahrzeug ist ja ein personenbezogenes Datum und weil das so ist kann keiner mehr mit Tesla mithalten und wir sind abgehängt soweit würde ich an der Stelle auch nicht gehen ob der Reifendruck ein personenbezogenes Datum ist in einem Rechner auf Rädern kann man ja so sagen kommt's eben sch on drauf an ähm welche Verknüpfungen entstehen also diese dieser dat das Datum Reifendruck wird sicherlich erhoben von dem sehr cleveren Auto ja weil man dann sagt na ja mit mit einem Bar ist vielleicht schlecht oder so loszufahren ähm die Frage ist wie weit ist es verknüpft zu einem nutzenden dieses Autos oder zum Halter da muss man auch noch auseinander dividieren wer ist es denn ist es der Fahrer ist es der Halter wo gibt's Verknüpfungen da muss man schon genauer hingucken aber selbst wenn der Reifendruck ein personenbezogenes Datum ist dann muss ich eben gucken ob ich mit Anonymisierung oder Pseudonymisierung oder die Daten bleiben im Auto also lokal werden nicht in der Cloud gepostet es gibt 1us Lösungen also der Datenschutz es geht auch automatisiertes und hochauto hochautomatisiertes und autonomes fahren mit Datenschutz ist möglich und abgesehen da gilt natürlich die dsgvo auch für Tesla da muss man halt mal gucken dass die zuständige Aufsichtsbehörde das auch durchsetzt aber das gilt auch für Tesla ja s haben ja eine europäische Niederlassung also und wenn sie keine hätten dann wären alle zuständig also dann gilt das auch ja dann komme ich zu clouddiensten ja wir dürfen bestimmten clouddienst vielleicht nutzen nicht nutzen weil drittstaatentransfer hört man oft und jetzt gibt ja den angemessenheits Beschluss ähm und wir haben mal gesagt so Microsoft 365 an Schulen ist ein bisschen schwierig um es mal vorsichtig zu sagen und haben empfohlen das nicht weiter weiter zu verfolgen das Projekt was das Kultusministerium in BadenWürttemberg gemacht hat und jetzt kommen Schulen her und sagen jetzt gibt's ja ein angemessenheitsbeschluss USA ist wieder sicher und dann dürfen wir es doch nutzen darf man es nutzen ja Nein nö weil drittlandtransfer in die USA war auch ein Problem aber von der Liste der Problemen die wir hatten war das so klein ja sondern die großen Probleme waren die Probleme die der Hersteller sich aus seiner eigenen Entscheidung die er gefällt hat die d amit zusammenhängen er hat sich entschieden bestimmte Verarbeitung personenbezogener Daten zu machen hier sehen wir z.B so ein paar Beispiele für Telemetriedaten die da so geflossen sind die wir ein Pilotprojekt gemessen haben und das ist eine Entscheidung des Herstellers und wenn der Herstell sich dazu entscheidet dann hat es überhaupt nichts damit zu tun ob drittlandtransfer stattfindet oder nicht sondern ist eine Frage ob man diese Daten verarbeiten und an einen Dritten oder an einen auftragsverarbeiter zu dessen eigenen Zwecken dann ist er wieder ein dritter übermitteln darf also da ändert sich durch die drittstaatentr transferprematik nichts und es liegt bei den ganzen clouddiensten wenn man darüber diskutiert ob etwas zulässig ist oder nicht selten daran äh oder primär daran dass Daten in die USA fließen das auch ein zusätzliches Problem vielleicht auf den ersten Blick das einfachste aber es ist eigentlich nicht das ausschlaggebende Problem sondern viele Clouddienste erheben einfach sehr viele Daten und allein die Erhebung dieser Daten ist problematisch das würde also auch für den reinen deutschen Hersteller entsprechend gelten gut oh da komme ich ja gleich noch mal hintereinander das war ja gar nicht so geplant datenschutznerf 2 ja wer ist schuld an den cookiebannern der Daten Schutz oder jemand anderes die webse die Webseitenbetreiber sehr richtig ganz genau weil die Webseitenbetreiber auch hier gilt wieder haben sich entschieden bestimmte Verarbeitung personenbezogener Daten durchzuführen nämlich z.B die Leute an Google Facebook Microsoft was gibt's noch reddit Twitter Vkontakte oder oder tiktok zu verpetzen und wer das machen möchte der braucht eine Rechtsgrundlage für diese Verarbeitung und die die Rechtsgrundlage dafür kann in der Regel nur die freiwillige und informierte Einwilligung der betroffenen Personen sein und das sollen diese Banner erreichen dass das eine freiwillige und informierte Entscheidung der betroffenen Personen ist und wenn man jetzt s o ein Banner sich hier anschaut ist das eine freiwillige und informierte Entscheidung die man dann trifft kann man so seine Zweifel haben ja das das Vorort Publikum sieht jetzt hier leider nicht viel aber das ist einer meiner lieblingsbanner die ich ich jemals gesehen habe in dieser Variante selbst nachgebaut aber den gab's so ähnlich auch in echt da war er noch ein bisschen verwirrender als das was hier drauf steht also wer es richtig machen will hat auf seiner Webseite am besten gar keinen Banner weil ihr braucht keinen ja also es ist nicht notwendig für eine Webseite einen Cookie Banner zu haben wenn ihr keine Verarbeitungen nutzt die einwilligungsbedürftig sind Cookies z.B die notwendig sind dürft ihr Nutzen z.B Login Cookie aber solltet wenn man es dann ganz genau anschaut auch bitte kein Session Cookie machen bevor ihr eine Session braucht sondern erst dann wenn halt die Session losgeht weil der User irgendwas eingestellt hat Hintergrundfarbe oder sonst was das bitte dann background color gleich black speichern und nicht in der User ID mit einem eindeutigen identifier und so weiter dann braucht ihr keinen Banner und keine einwiedigung übrigens wüsste ich jetzt für das Beispiel vorhin Google Analytics Facebook tiktok und so weiter nicht wie einen Banner gelten würde den ich nicht bemängeln würde also von daher es ist sehr schwierig einen solchen Banner zu gestalten deswegen kann ich nur davon abraten aber die Verarbeitung im Browser ist auch Verarbeitung desers die Verarbeitung im Browser ist die Verarbeitung des Users ja aber die die Verarbeitung im Browser ist in Ordnung aber das Übermitteln an andere ist in der dsgvo also wir haben zwei wir haben jetzt kommen wir ins Detail wir haben zwei Bereiche einmal die dsgvo und einmal das ttdsg das Teledienste telekommunikationsdatenschutzgesetz nach dsgvo brauchen wir eine Verarbeitung personenbezogener Daten die im Browser ist deine eigene so aber wenn jetzt jetzt z. an tiktok geht oder an VK oder an an an Google od er an wen auch immer dann ist das eine Übermittlung an den dritten dafür brauchen wir eine Rechtsgrundlage aber der Request kommt V Browser der Request kommt vom Browser aber der Seitenbetreiber hat den also hat den das imageeteag oder den iframe oder was auch immer in die Webseite eingebaut und deswegen ist der Webseitenbetreiber gemeint verantwortlich mit tikt Facebook oder wem auch immer das eine interessante Frage ne also wer ist eigentlich verantwortlich das S gerade diese diese gemischten Verantwortlichkeiten wo man wo man sagt aber ich kann doch gar nichts dafür ich habe eine Infrastruktur genutzt und es ist doch die Infrastruktur die den ganzen Kram setzt ich kann es doch gar nicht ändern man wird aber unter Umständen trotzdem mit verantworttig sagt jedenfalls der eghau e Fash ID was doch als ganz speziell ist wenn man jetzt irgendeinen Website baukast bei ir Bieter nutzt dann ist man noch mehr als also man ist der kleine friseursalang um die Ecke und der nimmt jetzt von xyz.com den Website Baukasten und wenn der dann irgendwelche Google Analytics einbaut und Facebook und Vkontakte oder sonst was dann ist trotzdem der Friseur der verantwortliche das ist für den Friseur ein Problem der dann halt diesen Dienst dann nicht nutzen ansonsten was du noch gesagt hast was im Browser passiert ist wenn Daten auf dem Endgerät abgelegt werden dann sind wir im ttdsg und das ist auch wieder einwiildungsbedürftig das können man eigenen Vortrag machen wir haben eine Schulung bei uns kleiner Schleichwerbung für unser Bildungszentrum B Bildungszentrum vom lfdi BadenWürttemberg da gibt's eine dreieinhalb Stunden Schulung zu dem Thema den macht eine Kollegin und ich zusammen und es ist for free das muss man ja vielleicht das ist der wichtige Punkt ne so das das das war der werbeblog das war der werbeblog und dann machen wir mit dem nächsten Mytos weiter dann machen wir direkt weiter und zwar mit Datenschutz ist Täterschutz ja das das hört man ja auch immer sehr gerne als satarte nschützer und da gibt's natürlich jetzt 1000 Beispiele dazu an der man das durchdeklinieren kann ich habe eins mitgebracht was ich ganz interessant fand und was ja uns auch in BadenWürttemberg ein bisschen umgetrieben hat Falschparker fotografieren darf man das ja also ich sehe irgendwo ein Auto und es nervt mich extrem dass das da parkt und mal nur ganz kurz irgendwelche Brötchen holt oder so und ich kann mit meinem Fahrrad mit meinem Hoverboard oder was auch immer da jetzt nicht lang fahren ja nervt so und da mache ich ein Foto und dann gibt's ja hier sogar schöne Webformulare bei der Stadt Köln glaube ich in dem Fall ja da kann man also direkt ausfüllen welche Straße war das Bild anhängen ja attach Bild oder es gibt Portale wie weli wo man ja verpetzen kann ne um das jetzt mal sprachlich ein bisschen gemein auszudrücken und jetzt ist die Frage na ja ist ja schon eine Datenverarbeitung die hier vorliegt ja das heißt also ich fertige ein Bild eines Zeugs an das falsch parkt und jetzt würden einige von euch wieder sagen ja sitzt aber keiner drin ja aber ihr habt natürlich das das KFZ Kennzeichen als Pseudonym das ein Pseudonym bei Pseudonymen sind wir innerhalb des Datenschutzrechts unterwegs wir sind nur bei der Anonymisierung draußen heißt relevant ist dieser Vorgang die Frage ist jetzt aber ist es verboten zu verpetzen ja also kann der Datenschutz sagen ihr dürft das also nicht melden an die Datenschutzbehörden dass da einer falsch parkt an die an die Dingsbums an die an die Polizeibehörde in dem Fall natürlich genau also ich will als hobbyjurist habe ich von den Juristen gelernt die richtige Antwort ist immer es kommt drauf an ganz genau jawohl ja ja ja es kommt ja es kommt und ist es ja auch so ja und hier interessant die die Bayern also unsere Kollegen in Bayern also die Länder haben ihre Landesdatenschutz beauauftragten und in dem Fall Bayern hat also jetzt hier einen ähm verpetzenden einen Bescheid geschickt und hat gesagt pass mal auf Kollege du hast gegen den Datenschutz verstoßen weil darf s nicht verpetzen hast ja hier Daten ne wo ist deine Rechtsgrundlage dann hat der verpetzende gesagt das sehe ich jetzt aber nicht ein diesen Bescheid da klage ich jetzt mal dagegen das ist gut so ja wir sind im Rechtsstaat was Aufsichtsbehörden sagen und meinen ist kann Gegenstand von von Gerichtsverfahren sein also waren wir hier im Verfahren und das Verwaltungsgericht Ansbach sagt das darf man das kann man machen das ist die die die Datenverarbeitung die folgt einem berechtigten Interesse dafür gibt's einen eigenen Tatbestand den 6f DSGV und ist eine Abwägung im Prinzip ja also man schaut sich an was sind die widerstreitenden Interessen also die die Interessen des Halters der entweder selbst als Fahrer oder halt ein Fahrer falsch geparkt hat und dass das nicht rauskommt dieses Interesse versus das Interesse dass ich momentan mit meinem Fahrrad auf dem gweg nicht weiterfahren kann weil es zugeparkt ist ja und das ist eine interessenabwegung Verwaltungsgericht Ansbach sagt kann man machen kann man verpetzen also Datenschutz ist nicht immer Täterschutz das wäre mein feing an dieser Stelle was dann noch so ein bisschen tricky ist wenn man dann diese Datenverarbeitung macht auf Basis von 6f dann muss man ja auch immer informieren wenn man wenn man ja relevante relevante datenvorgäng hat da muss man Informationspflichten abbilden ist ja die Frage okay jetzt verpetze ich den und dann würde die der GVO für meine Begriffe recht einfach gesagt dann auch noch fordern dass ich ihm einen kleinen Zettel an an die Windschutzscheibe mache und sage pass mal auf Kollege ich habe dich verpetzt ja deine Daten sind auf dem Weg zur Polizeiinspektion Ansbach oder so ja und denk mal drüber nach ist vielleicht auch eine ganz gute Erziehungsmaßnahme ne ist vielleicht auch eine schöne Erziehungsmaßnahme ne in alle Richtung also ist doch bitte Widerspruch 21 möglich schön schön schön das sind schöne Fragen noch mit verbunden aber jedenfalls ähm ja es gibt dann noch einen Punkt das darf man nicht verwechseln der lag ja auch bei uns bei der Behörde vor wenn vi zur kleinen kausa kannst du noch also wir wir haben also unsere Abteilung ist ja nicht nur für Technik sondern auch für Internetrecht zuständig und da kam eine eine ein Hinweis ran dein als ein gewisser Bürgermeister aus BadenWürttemberg nämlich aus Tübingen ähm auf Facebook äh gelegentlich Falschparker äh ja die Fotos von falschparkenden Fahrzeugen veröffentlicht wo natürlich auch das Nummernschild nicht geschwerzt ist und was gilt denn dann dann ja abgesehen davon dass er natürlich der als Oberbürgermeister auch der Chef der ganzen Verwaltungsbehörde und so weiter ist m das lassen wir mal außen vor das macht's wahrscheinlich nur noch schlimmer vermute ich jetzt mal so ganz spontan ohne darüber nachgedacht zu haben aber äh es ist natürlich eine Veröffentlichung dieses personenbezogenen Datums und das ist dann wiederum nicht zulässig ja er könnt natürlich das Schwerzen des Nummernschild etc aber das Veröffentlichen dieses Nummernschildes ist nicht ähäh D GVO konform weil er keine Rechtsgrundlage dafür hat ja sind zwei Paar Schuhe ob ich etwas melde an eine zuständige Stelle oder ob ich auf Facebook Puste ne und die gan der ganzen Menschheit mitteile das sind Unterschiede ja das datenlck das datenlck ja ganz ganz kurz wir sind in der Zeit ja ihr habt bestimmt fragen wenn ihr ein Datenleck entdeckt ja irgendwo eine schlechte API wo ich einfach die ID hochzählen kann oder so ein Spaß und dann innerhalb von paar Sekunden oder Limit aus statt Limit 10 mache ich Limit 1 Million und mit einal Flop habe ich alle Daten ja was darf ich tun und was darf ich nicht tun also ganz schnell ganz kurz ihr dürft das natürlich dem verantwortlichen melden und Hinweisen hallo ihr habt da ein Problem ihr könnt das natürlich auch der aufsichtsbürde also uns melden ja ähm und was machen wir dann üblicherweise wir gehen an den Verantwortlichen ran mit einer kurzen Frist und sagen schalte t mal das ab und zwar bitte zack zack und das klappt dann in der Regel auch also wir haben immer wieder auch aus dem chaosumfeld ähm entsprechende Meldungen auf die nicht reagiert wurde wo dann wochenlang nichts passiert ist und äh ähm bei uns hat's bis war es bisher tatsächlich so dass Sie schnell reagiert haben wir mussten dann nicht mit Anordnung rausgehen sondern der Hinweis hat schon mal gereicht und dann gucken wir im Nachgang in Ruhe an ob das das was was ob wie wir mit dem Datenleck noch umgehen ob da noch irgendwelche Maßnahmen notwendig sind also das kann man machen ihr könnt natürlich auch ein Pseudonym wählen wenn ihr dann an den Verantwortlichen rangeht damit ihr euch da ein bisschen besser schützt oder sowas aber das dieses Recht habt ihr erstmal grundsätzlich dass das machen könnt ich mach wenn keine Frage dazu kommt schnell weiter wie gesagt ans der Zeit ja genau aber der der der ist noch schön den den men auf jeden Fall noch machen Datenschutz Vers Sicherheit ne also dass sie sich angeblich nicht verstehen das ist ja so eine alte Frage ähm aber es gibt da zum Teil ähm ja schon sehr schöne Beispiele ähm also macht Datenschutz Sicherheit unmöglich ähm ich habe da ein schönes Beispiel rausgesucht das in verschiedenen Bundesländern momentan eine Rolle spielt äh da fällt mir ein Schwimmbad in Wiesbaden ein um jetzt nicht selbst zuständig zu sein ja aber in BadenWürttemberg gibt es auch Schwimmbäder in Bayern glaube ich auch die das machen ähm also ja sicherer schwimmen mit zweater Videoüberwachung ist meine Frage und ich habe mal hier einfach ein bisschen aus der Presse ne das ist jetzt nichts internes sondern das ist das was jeder lesen kann beim SWR war das zu lesen Freudenstadt intelligente Kameras sollen Badegäste überwachen okay kann man sagen nice was ist das was sie da machen na ja das ist also ein Unternehmen das smartet Videokameras auf also erstens da stehen schon Videokameras in den schwimmwäern offensichtlich erstens mal nice to know okay und so Bereich muss man natürlich gucken nicht in der Umkleidekabine also da M jetzt gar nicht drüber reden dass das keine gute Idee ist aber im Rahmen der Schwimmbecken ne so und die sagen ja da machen wir jetzt noch das ein bisschen smarter Klemmen da noch eine KI dran und dann passieren keine Badeunfälle mehr das ist die Idee so einfach ist das alles ist alles ist sicher also das das das Überwachungssystem bekommt dann der Bademeister auf seine SmartWatch ja und da kommt dann so ein Alarm und oh da ertrinkt einer auf 5 Uhr oder so ja so also das die Idee ich habe ich vereinfache jetzt sehr stark aber na ja und das muss man sich natürlich sehr genau angucken sehr sehr genau angucken m ich sag gleich mal welche Fragen ich da direkt hätte und ich habe diese Fragen im Prinzip einfach mal über die Webseite also die die der Anbieter lyside heißt das ist ein israelisches Unternehmen da kann man mal gucken die bieten das an und dann kann man sich natürlich die Frage stellen ja wie wie machen die das genau wie geht's denn technisch eigentlich genau also das ist ja das was als Datenschützer an der Stelle dann gerne wissen möchte und dann klickt man hier auf der Webseite und man erfährt das ehrlich gesagt auf der Webseite nicht die haben eine Datenschutzerklärung aber die die Datenschutzerklärung die sagt halt ihr seid hier auf einer Webseite und guckis und so ne aber die sagt zu zu dieser KI also zu diesem Produkt nix nix Null nadanente ich hätte da schon fragen GB muss es da eine Einwilligung der Badegäste geben wenn ja wie werden die informiert werde ich wenn ich in der schwimbart reingehe darauf hingewiesen dass es eine smarte KI gestützte Videoüberwachung gibt wie funktioniert die überhaupt also werden meine meine schwimmdaten meine schwimmkörperdaten werden die in HD werden die aufgezeichnet oder werden die on the fly schon in irgendeiner Weise anonymisiert als Strichmänchen mit bewegungsmodellen abgeglichen und so 1000 Fragen hätte ich da und ja da gibt's auch ein dritt statentr transferprem möglicherweise wenn die Daten das Unternehmen ist ein israelisches Unternehmen israelisches Startup ähm werden die Daten dahinekabelt werden wird mit meinen schwimmdaten weiter trainiert die KI also ich habe da ganz ganz viele Fragen und ich weiß von einem schwimmwad in in Hamburg war es so dass die Datenschutzbehörde ganz viele Fragen hatten also ein ganz großen Fragenkatalog an das Schwimmbad die das einrichten wollten und nach dem Fragenkatalog haben die es nicht mehr gemacht weil sie gesagt haben wir können die Fragen nicht beantworten ja das das haben wir öfters mal ne dass dann wir schicken einen großen Fragenkatalog raus weil wir ja auch nicht wissen en beurteilen zu können und dann weiß der verantwortliche auch nicht weiter genau ja wenn man man kann sich bei solchen Sachen übrigens immer eine Frage stellen braucht man das und W wenn man wenn man sich jetzt hier mal so bisschen anguckt wie viele Menschen ertrinken denn in Deutschland und wo ertrinken die und wenn man sich diese Statistik anguckt ja also dieser große Balken ne das sind See Teich Fluss Meer Kanal Bach da ertrinken Menschen Schwimmbad äh Schwimmbad ist hier kaum Menschen ertrinken in schwimmweder ja und dann ist natürlich die nächste Frage die ich mir grundsätzlich als natürlich technisch sehr naiver Mensch mir die Frage stellen würde na ja also was kann denn das Modell wie erkennt das denn dass jemand ertrinkt die die naive Vorstellung ist ja bevor jemand ertrinkt fuchtelt der da und macht und tut das tut er aber wenn man mal mit Leuten vom DLG spricht überhaupt nicht also gerade Kinder ertrinken ganz leise die die gehen einfach unter die zappeln nicht die gehen einfach unter ja kann die KI das das überhaupt erkennen ich frage nur ja ähm also das ist muss man sich sicherlich genauer angucken es gibt davon der DSK auch was das will ich jetzt mit Rücksicht auf die Zeit überblenden ja äh dann wir neigen uns ja dem Schluss ein bisschen Zeit brauchen wir noch für fragen wir ha ben jetzt hier man hat das vielleicht in den Folien gesehen Alva hatte immer ein schwarzen Hintergrund mein Hintergrund war weiß ja der Mythos Datenschutz ist schwarz-weiß so einfach ist es halt oft nicht weil es kommt drauf an auf den jeweiligen Fall manchmal gibt's auch gerade bei interessenabwägungen ja da kann ein Ergebnis tatsächlich offen sein dann fragt man drei Juristen kriegt fünf Antworten ja das das ist schon denkbar also gerade wenn es abwegungsfragen sind ja und dann fragt man ein Techniker und kriegt noch mal drei Antworten ja ja von daher ist es bleibt komplex aber das können wir zusammenfassen großartig verhindern töten oder ähnliches das leistet der Datenschutz nicht das will er auch gar nicht leisten er will Menschen schützen Datenschutz ist kein supergrundrecht ja das ist das wäre ein Mythos dass man sagt Datenschutz schlägt alles Datenschutz ist ein Grundrecht mit vielen anderen Grundrechten auch und dann muss man eben wenn die konfligieren da können Eigentumsrechte noch eine Rolle spielen ganz viele Dinge die die in unserer Verfassung auch in der grundrechtekarter drin stehen es ist also ein Grundrecht von vielen aber in we wichtig also kein es schlägt nicht alles ja kein supergrundrecht das ist vielleicht die Menschenwürde aber nicht der Datenschutz das wä so unser unser ja Finales ja standing Datenschutz ist super und ein Grundrecht also kein supergrundrecht Super ist er und ein Grundrecht vielen Dank jetzt haben wir Zeit für [Applaus] Fragen ich da nur noch 5 Minuten theoretisch aber okay ich mach's ganz kurz vielen vielen Dank äh zu dem letzten Punkt direkt ähm schwimmbart da könnte man ja beim Reingehen irgendwie noch informieren aber es gibt ja so Fälle wie z.B am Südkreuz wo so Gesichtserkennung gemacht wurde und da kann man als im öffentlichen Nahverkehr nicht nicht hingehen m ich weiß do gar nicht was da rausgekommen ist war groß Medien vor ein paar Jahren und irgendwie habe ich jetzt nichts mehr von gehört es glaube es steht immer noch eine Warnung irgendwo wenn man reinläuft hier Pilotprojekt der Bahn aber ist der irgendwie was passiert hast du den aktuellen Stand ich hab da aktuell den Stand auch nicht immer ich weiß auch auswendig tatsächlich nicht was die Berliner Kolleginnen und Kollegen dazu sagen wäre vielleicht ein Grund dass wir dazu einfach mal nichts sagen um den nicht da zuständigkeitshalber irgendwie reinzufuschen aber klar man muss sich das halt genau anschauen ne auch welche Maßnahmen dann passieren was passiert technisch da etc etc was in dem Fall wirklich sehr sehr interessant ist und da muss man dann auch in den Maschinenraum und sich mit Leuten unterhalten die wirklich auch Ahnung davon haben m man liest dann Aussagen das ist jetzt wieder pressewissen ne zu wie groß sind die trefferraten also wie wie viel Terroristen fische ich raus und auf der anderen Seite was sind die False Positives und dann muss man sich genau angucken wie diese Zahlen zustande kommen und dann muss man sich am Ende des Tages die Frage stellen wie viele fals positives bin ich als Gesellschaft bereit zu tragen ja das bitte ja ist immer die Frage wer an solche vsdaten ne also ich meine Behörden können ja dann auch wenn Sie Fragen haben ne kriegen die schon informationbehörden kommen dann schon ran an die Info aber das genau das muss in der Bewertung mit reinkommen und dann hilft halt nicht wenn nur dran steht 99,9% Trefferrate wenn dann trotzdem 100 pro Tag falsch rausgefücht werden genau das vielleic ht eine ganz kleine kurze Abschlussfrage dann sind am Ende der Zeit wer hat eine kurze da vorne moin ähm wenn man eine Website betreibt mit einem Team nicht sicher gehen kann dass das Team irgendwann auf der Website z.B Youtube Video einbettet ähm sonst auf Datensparsamkeit achtet aber dem vorbeugen möchte ähm kann man dann in der Datenschutzerklärung darauf schon Hinweisen obwohl das Youtube Video noch nicht eingebunden ist mir wurde gesagt es wäre falsch das einzubinden in der Datenschutzerklärung z.B wenn es nicht passiert weil ja der User der die Userin vielleicht die einen das Youtube Video sehen die anderen nicht das heißt von außen kann man das eigentlich eh nicht beurteilen also grundsätzlich ich ma mal ne grundsätzlich würde ich sagen sollte man es nicht aufnehmen jetzt kommt es natürlich wieder drauf an ja also die richtige Antwort die Frage ist will man überhaupt diese Möglichkeit den den Leuten offen lassen ansonsten würde ich sagen mit CSP also Content security policy unterbinden dann kann das nicht aus Versehen passieren sondern nur dann wenn es dann ganz bewusst ist muss man sich noch mal genau überlegen aber dann kann man sich genau auf die Situation einstellen also wenn man jetzt nur die Situation hat wir wollen es eigentlich nicht es könnte aber sein dass jemand aus Versehen macht CSP setzen und dann kriegt man es halt mit den meisten nah zu allen aktuellen Browser allen aktuellen Browsern nicht mehr zu sehen und dann ist die Problematik nicht mehr da das ja das ist im aber da also da würde ich jetzt sagen in einem konkreten Fall das würde mir als Maßnahme in diesem Fal ausreichen grundsätzlich zumindest mal ja Einzelfall kann es ja wieder anders sein aber grundsätzlich würde das ausreichen und ansonsten müsste man sich anschauen also es sollte die Datenschutzerklärung sollte eigentlich knapp und kurz sein und nicht ganz viel laber laber was keiner versteht vielen Dank bevor jetzt noch mehr la la kommt das war zu gute Vorlage sorry also ihr seid si cherlich noch paar en in der Nähe dass noch Fragen s morgen noch mal da mor wir haben morgen Sprechstunde bei digitalourage drüben da haben wir gar nichts vorbereitet sondern da kommt einfach her wenn er wollt und stellt tolle Fragen oder auch nicht so tolle und und wir versuchen zu antworten gibt nur tolle Antworten so und ich macht das sicherlich jetzt noch paar Minuten hier neben der Bühne wahrscheinlich ansonsten wir sind bereit den nächsten Talk vorzubereiten der jetzt auch schon in 13 Minuten dran ist und deswegen es tut mir leid aber vielen vielen Dank für die Zeit die euch genommen habt und es war ein toller Vortrag danke [Applaus] [Musik] danke