*das ist „Binärisch“ und bedeutet:…23
Der Bitkom (und nicht die Bitkom), das ist der größte Digitalverband und in der heutigen Folge haben wir Rebakka Weiß, die Leiterin der Abteilung für Vertrauen und Sicherheit der Bitkom zu Gast. Wir sprechen darüber, welche (un)praktischen Auswirkungen die DSGVO auf kleine und mittelständische Unternehmen hat, die keine große Legal-Abteilung haben, um täglich zu prüfen, was sich in der Datenschutzwelt geändert hat und warum der Bitkom gerade für diese Unternehmen mit dem Online-Stellen von kostenlosen Musterverträgen eine große Hilfe ist. Außerdem werfen wir einen Blick darauf, wie Unternehmen die Möglichkeit haben, Datenlecks zu statistischen Zwecken melden können, ohne Konsequenzen befürchten zu müssen und merken schnell, dass es hier im Bereich der Transparenz noch viel Nachholbedarf gibt. Zwischen TTDSG, E-Privacy-Verordnung und dem Data Act, stellen wir uns die Frage: Personalisierte Werbung haben und dafür „kostenlos“ eine Seite nutzen oder einen geringen Betrag bezahlen ohne Werbung zu bekommen. Was würdet ihr wählen?
Hört gerne in unsere Folge rein uns hinterlasst uns eure Meinung auf Twitter oder Instagram!
Bei Fragen oder Anregungen schreibt uns gerne eine Mail an hallo@dasou.law und folgt uns auf Twitter/Instagram bei dasou_law.
Show-Notes
Rebekka Weiß bei der Bitkom: https://www.bitkom.org/Kontakt/Rebekka-Weiss.html
Linkedin von Rebekka Weiß: https://de.linkedin.com/in/rebekka-wei%C3%9F-ll-m-536523170
.
Transkript
Karina Filusch:Ich bin Datenschutz-Anwältin und externe Datenschutzbeauftragte. In jeder Folge sprechen wir mit einer Expertin oder einem Experten zum Thema Datensouveränität abgekürzt DaSou. Falls ihr uns noch kein Abo dagelassen habt, würden wir uns riesig freuen, wenn ihr das noch nachholen könntet. Lieben Dank! Heute sprechen wir mit Rebekka Weiß. Rebekka kenne ich bereits aus dem Referendariat. Zufälligerweise sind wir beide beruflich beim Thema Datenschutz gelandet. Sie ist Juristin und hat in Potsdam und Lausanne Jura studiert. Sie ist Leiterin der Abteilung für Vertrauen und Sicherheit bei dem Bitkom, betreut inhaltliche Arbeit im Bereich Datenschutz, Wettbewerbs- und Kartellrecht sowie Trust Services. Aber heute sprechen wir mit ihr vor allem über das Thema Datenschutz. Sie sagt uns, was der Bitkom macht. Der Bitkom ist nämlich ein Interessenverband für die Industrie und sie gibt uns einen Einblick darin, wie die Industrie die aktuelle Datenschutzlage in Deutschland einstuft. Wir reden unter anderem über Cookie-Einwilligungen und, ob der Gesetzgeber noch hinterherkommt, denn Gesetze werden sehr langsam gemacht und die Technik ist sehr viel schneller in ihrer Entwicklung. Außerdem gibt sie uns noch einen Einblick in die Zukunft und erklärt uns, wie die Zukunft vielleicht revolutioniert werden könnte, unter anderem durch den Data Act. Liebe Rebekka, was macht der Bitkom eigentlich? Ich habe in der Vorbereitung gelernt, dass es der Bitkom heißt und nicht die Bitkom. Was ist eure Interessenlage?
Rebekka Weiß:Liebe Karina, ja genau. Es ist der Bitkom, weil es der Verband ist, und wir setzen uns im Bitkom eben vor allem dafür ein, Deutschland hoffentlich zu dem führenden und vor allem zu einem Digitalstandort zu entwickeln. Wir vertreten über 2000 Mitglieder aus der Industrie. Wir sind ein klassischer Industrieverband mit dem Schwerpunktthema der heutigen Zeit, der Digitalisierung.
Karina Filusch:Okay, das ist ein guter Hinweis. Der Verband, also der Bitkom, so kann ich mir das in der Zukunft auch viel besser merken. Wie zufrieden seid ihr beim Bitkom mit dem Datenschutz in Deutschland?
Rebekka Weiß:Ich glaube, man muss vielleicht sogar eine Ebene höher anfangen und sich den Datenschutz in Europa anschauen, weil wir das Datenschutzrecht haben mit der Datenschutzgrundverordnung natürlich mittlerweile über die europäische Ebene reformiert. Die Zufriedenheit hängt wahrscheinlich ein bisschen vom Thema und sicherlich auch vom jeweils Gefragten ab. Alles in allem, was man ganz klar sieht, ist, dass die Datenschutzgrundverordnung den Datenschutz in Europa und damit auch in Deutschland umgekrempelt. Gar nicht so sehr, weil wir 30 oder mehrere dutzend ganz neue Regelungen bekommen haben, sondern vor allem, weil sich die Sanktionierung verändert hat und, weil die ganze Awareness für das Thema gestiegen ist. Ich glaube, je nachdem, wie viele Geschäftsprozesse dann anzupassen waren, an wie vielen Stellen man auch gemerkt hat, man muss die ganzen Dokumentationen noch mal verändern, man kann vielleicht sogar auch einige Geschäftsprozesse gar nicht mehr laufen lassen, wie man das früher konnte oder dachte, es zu können. Davon hängt, glaube ich, auch ganz stark die Zufriedenheit ab. Was wir merken und das ist denke ich, eher ein negatives Zeugnis, dass wir jetzt selbst mit ablaufender Zeit, die Grundverordnung ist seit 2018 in der Geltung, dass wir jetzt auch vier Jahre später fast immer noch nicht genau wissen, wie die Grundverordnung anzuwenden ist in all ihren Einzelheiten. Das hat, glaube ich, einen massiven Einfluss auf die Zufriedenheit, und das merken wir nicht nur in der Industrie, sondern auch zunehmend bei allen Nutzerinnen und Nutzern. Meiner Meinung nach ist auch genau das der Punkt, wo wir alle gemeinsam, also aus der Datenschutz-Community heraus und natürlich auch aus der Industrieperspektive, aus der politischen Perspektive heraus wirklich noch mal ran müssen und wir wirklich etwas tun müssen, damit das eigentlich Positive aus dem Datenschutz, dass wir sagen, wir schützen den Menschen hinter den Daten, natürlich ist das ein Grundrecht, sodass dieses positive Zeugnis nicht verloren geht in all den Hemmnissen, die auch aus den Regelungen entstehen und diesen vielen Störgefühlen, die wir auch haben. Ich denke, wir haben das in der Pandemiezeit ganz stark gemerkt, dass es dann immer wieder hieß, bestimmte Dinge gehen nicht auf Grund des Datenschutzes, im Gesundheitswesen und generell merken wir ganz viel, dass sich so ein dauerhaftes Störgefühl entwickelt hat. Ich glaube, das ist das, dem wir wirklich aktiv entgegenwirken müssen. Da ist viel Aufklärungsarbeit zu leisten. Zum Teil wird dem Datenschutz auch ungerechtfertigterweise der schwarze Peter zugeschoben, aber an anderen Stellen eben auch nicht. Das aufzulösen ist jetzt glaube ich die große Aufgabe. Wenn man sich auch selber ein bisschen reflektiert und anschaut, wie zufrieden ist man mit dem Regelwerk, dann muss man ganz klar sagen: Es ist nicht klar genug. Wir haben an zu vielen Stellen Unsicherheiten. Wenn wir im Kreis der Mitglieder sprechen und die Industrieperspektive mal genauer beleuchten, merken wir einfach an ganz vielen Stellen, wenn es um konkrete Geschäftsprozesse geht, dass viele, viele Unternehmen einfach nicht wissen, was sie genau dürfen und was sie nicht dürfen. Und das entwickelt sich zum Innovationshemmnis. Da ist für uns natürlich dann auch als Bitkom ganz klar die Position, wenn sich ein Regelwerk zum Innovationshemmnis entwickelt, dann müssen wir doch noch mal was ändern. Dieses „wir müssen was ändern“ ist das glaube ich auch die große Frage der nächsten Legislatur, aber sicherlich auch der nächsten Aktivitäten der EU-Kommission, weil wir uns dann immer wieder damit beschäftigen müssen: „Wollen wir die Verordnung selbst anpassen oder gibt es vielleicht auch andere Mittel, um diese Rechtssicherheit zu erhöhen, um den Nutzerinnen und Nutzern noch mal klarer zu machen, was ihre Aufgabe ist im Datenschutz und bei der Nutzung digitaler Technologien“. Ich denke, dann kommen wir auch wieder ein Stück voran und kommen ein bisschen aus dieser Dauerschleife wieder heraus.
Karina Filusch:Was ich an der Seite der Bitkom sehr mag, ist, dass ihr auch Statistiken habt. Ihr sitzt an der Quelle, an der Quelle der Unternehmen, an der Quelle der Industrie. Das heißt, ihr habt Zugang zu diesen ganzen Wirtschaftsakteuren. Ihr macht regelmäßig Umfragen, wie viele Unternehmen den Datenschutz zum Beispiel schon umgesetzt haben. Das macht ihr in einer Regelmäßigkeit und veröffentlich das auf eurer Seite und verschiedene andere interessante Statistiken, zum Beispiel wie oft Datenschutzpannen passieren und in welchen Bereichen. Also das finde ich sehr spannend. Ihr helft aktiv, diesen Prozess mitzugestalten. Weißt du gerade auswendig, wie viele Unternehmen den Datenschutz umgesetzt haben?
Rebekka Weiß:Das ist eine sehr gute Frage. Ich glaube, wahrscheinlich würde kein Unternehmen zu jederzeit sagen, wir haben den Datenschutz zu 100 % umgesetzt, weil es auch schlicht und ergreifend gar nicht geht. Nicht nur, weil die Regeln unklar sind an manchen Stellen, sondern vor allem auch, weil ich ja Datenschutzimplementierung immer als dauerhaften Prozess verstehen muss. Ich kann heute, am Montag sagen, ich habe alle Regelungen umgesetzt und dann entscheide ich aber am Mittwoch, gemeinsam mit meiner Marketingabteilung oder mit meiner Vertriebsabteilung, ich würde gerne ein neues Tool implementieren. Ich würde gerne einen neuen Prozess aufsetzen. Ich will meine Datenkooperation verändern, und so weiter und so fort. Mit jeder Prozessänderung, mit jeder Erneuerung, auch intern muss ich ja immer wieder den Datenschutz prüfen. Ich glaube, das verleitet dann natürlich auch viele Unternehmen dazu, das war auch immer so ein Ergebnis unserer Umfragen, dass die meisten jetzt nicht sagen, sie haben es zu jederzeit zu 100 % umgesetzt, sondern sie sind schon recht weit und die Zahl steigt auch. Da sieht man so ein bisschen, dass der Zeitverlauf seit Geltungsbeginn der Grundverordnung auch den Unternehmen nach und nach hilft. Aber es bleibt eben immer noch so ein gewisses Delta am Ende. Übrig bleibt eine gewisse Rechtsunsicherheit, dass die Unternehmen doch nicht in allen Bezügen sagen: „Hier sind wir 100 % sicher, dass wir es hundertprozentig umgesetzt haben.“ Insofern sind wir da wahrscheinlich so irgendwo im 80/90 Prozentbereich. Das schwankt aber auch. Das ist auch etwas, was wir aus unseren Umfragen immer gesehen haben. Wir sehen große Unterschiede, je nachdem, welche Unternehmen dazu befragt werden. Sind es große oder mittelständische oder auch kleine Unternehmen? Je mehr datengetriebene Geschäftsprozesse ich intern habe, umso mehr habe ich zu prüfen. Auf der anderen Seite, wenn ich ein größeres Unternehmen bin, habe ich vielleicht auch ein bisschen mehr „inhouse Kapazität“. Ich habe eigene Legals im Haus. Ich habe Datenschutzexperten, die ich selbst beschäftige und kann deswegen auch mal schneller einen neuen Prozess prüfen lassen. Wir haben jetzt vier Jahre nach Geltungsbeginn durchaus den Eindruck, dass der Umfang der Umsetzung, den die Datenschutzgrundverordnung ausgelöst hat, vor allem bei den Klein- und mittelständischen Unternehmen eine große Baustelle ist. Auch die Investitionen, die zu tätigen sind, um den Datenschutz einzuhalten, um die Datenschutzcompliance herzustellen, die sind einfach sehr groß.
Karina Filusch:Du sagtest gerade kleine Unternehmen haben es ganz besonders schwierig, weil sie zum Beispiel keine Rechtsabteilung in ihrem Unternehmen haben und das dann schwierig zu kalkulieren und einzubauen ist in den Alltag. Es gibt aber auf der Seite der Bitkom, also für alle Unternehmen, nicht nur für kleine Unternehmen, aber besonders kleine Unternehmen werden wahrscheinlich den Nutzen davon haben, ihr stellt zum Beispiel Musterverträge online und auch Informationen, die man sich holen kann auf eurer Seite oder herunterladen kann. Zum Beispiel habt ihr einen Auftragsverarbeitungsvertrag, den ich sehr gut finde und der natürlich sehr unternehmensfreundlich geschrieben ist, aber natürlich trotzdem fair, ganz klar. Die kann man sich da einfach bei euch herunterladen. Das ist wieder so ein Punkt, wo der Bitkom auch proaktiv die Zielgruppe, die er vertritt, wieder unterstützt.
Rebekka Weiß:Definitiv. Wir sehen da ein Stück weit unsere eigene Verantwortung. Ich meine, wir sind der größte Digitalverband, den es gibt. Wir haben definitiv das größte Netzwerk an Datenschutzexperten bei uns im AK Datenschutz. Es ist auch immer eine große Freude, wenn wir Meetings abhalten und einfach diese gesammelte Kompetenz sich austauscht zu aktuellen Themen. Wir wissen deswegen auch um die Herausforderungen, die sich bei unseren Mitgliedern immer wieder stellen, stellen sich natürlich auch bei vielen anderen Unternehmen, seien sie nur Bitkom-Mitglied oder nicht. Ich würde mir wünschen, dass jedes Unternehmen in Deutschland auch bei mir im AK Datenschutz aktiv ist und Bitkom-Mitglied ist, aber wir haben uns damals, als die Grundverordnung quasi fertig war, 2016 dazu entschieden, dass wir Auslegungshilfen erarbeiten, eben mit der vielen Expertise, die wir bei uns versammeln und die entsprechenden Leitfäden. Du hast es gesagt, auch die Musterverträge und so weiter, dann auch frei zur Verfügung stellen. Die sind nicht an die Mitgliedschaft geknüpft, sondern das ist ein Arbeitsergebnis unseres Expertenkreises und das stellen wir dann jedem und jeder bereit, so dass von dieser Expertise auch profitiert werden kann. Ich denke, damit leisten wir dann einen guten Beitrag, um der Umsetzung der Datenschutzgrundverordnung zu helfen und gerade den klein- und mittelständischen Unternehmen eine Handreichung zu geben, die es ein bisschen leichter macht, an die Thematik heranzukommen. Gerade bei der Auftragsverarbeitung geben wir nicht nur diesen Mustervertrag heraus, sondern immer auch noch einen Leitfaden dazu. Was ist eigentlich die Auftragsverarbeitung? Wie grenzt man es ab von der Joint Controllership und welche Bausteine kann man vielleicht auch noch andocken? Warum ist die Regelung jetzt so oder so geschrieben im Mustervertrag und so weiter. Um ein bisschen zu erklären, worum es eigentlich am Ende des Tages geht und warum dieser ganze Aufwand betrieben werden muss.
Karina Filusch:Vielleicht noch ganz kurz für den Hintergrund ich habe das Wort Auftragsverarbeitungsvertrag so in den Raum geworfen. Ein Auftragsverarbeitungsvertrag braucht man immer dann, wenn ein Unternehmen die Daten an ein anderes Unternehmen weitergibt, damit es diese Daten für dieses Unternehmen verarbeitet, zum Beispiel in Form einer Dienstleistung. Das kann zum Beispiel ein Cloud-Anbieter sein, auf dem man die Kundendaten und Kund*innendaten ablegt und schließt dann beispielsweise mit diesem Cloud-Dienstleister einen Vertrag, damit die Daten geschützt werden, damit die Rechte geregelt werden und damit auch die betroffenen Personen, deren Daten dort gelagert werden, an ihre Rechte rankommen, wenn die Daten weitergegeben werden. Nur so kurz als Zusammenfassung. Was macht ihr noch, um Mitglieder und Nichtmitglieder zu unterstützen?
Rebekka Weiß:Im Bereich des Datenschutzes vor allem die Unterstützungsleistungen durch andere Leitfäden und auch andere Musterverträge nicht nur im Datenschutz, sondern auch zivilrechtlicher Natur. Aber ganz klar, ich sag mal, Umsetzungshilfen für die Grundverordnung. Wir haben auch Leitfäden geschrieben für die Transparenzanforderungen, also im Bereich Informationspflichten. Wir bemühen uns zum Beispiel auch über diese praktischen Guidelines, die wir erarbeiten, in unseren Stellungnahmen, die wir zum Beispiel zu aktuellen Guidelines vom europäischen Datenschutzausschuss verfassen, oder natürlich auch von der DSK oder einzelnen Datenschutzaufsichtsbehörden, dass wir dort immer besonderen Wert legen auf die praktischen Implikationen legen. Dass wir dort einfach deutlich machen: Liebe Aufsichtsbehörden, wenn ihr eine bestimmte Regelung so oder so auslöst, das hieße das in der Praxis, und das hieße das für diese Technologie und jene Technologie und für die Einbindung im Ganzen, Prozessökosystem ABC, um vielleicht auch immer mal wieder klar zu machen, ich sage mal eine manchmal schnell gefundene Interpretation des Gesetzes, der Realität nicht in allen Punkten gerecht wird und diesen praktischen Blick auch in die Gesetzesarbeit zu bringen, an der wir ja alle teilhaben, ist denke ich auch ein ganz wichtiger Bestandteil unserer Arbeit. Ich bin auch der Meinung, dass gerade wir als Industrieverband da einen sehr wertvollen Input leisten können, denn wir haben diese Expertise quasi permanent, da ja durch unsere Mitglieder eine große und wirklich wunderbare Schwarmintelligenz zum Einsatz kommt. Das sind Informationen, die in der Geschwindigkeit und in der Fülle wahrscheinlich bei vielen anderen Stakeholdern gar nicht so vorliegen. Wenn man sich mal vor Augen führt, wie viele verschiedene Geschäftsmodelle mir regelmäßig erzählt werden, einfach auch in dieser alltäglichen Arbeit, die wir im Bitkom tun. Das sind Informationen, die wahrscheinlich nicht alle Kollegen aus den Aufsichtsbehörden oder auch aus den Ministerien, aus anderen politischen Gremien so dicht greifbar haben. Hier sind wir klar im Informationsvorteil und ich denke, dass es ein wichtiger Bestandteil des Austausches ist und eben auch des politischen Systems, dass man diese Informationen dann auch austauscht und es auch unsere Aufgabe an der Stelle ist, dass wir den politischen Stakeholdern und natürlich auch den Aufsichtsbehörden die technischen Folgen bzw. auch bestimmte technische Realitäten immer mal wieder aufzeigen.
Karina Filusch:Zu den Stellungnahmen will ich auch gleich kommen. Nur noch mal kurz: Der Bitkom bietet ja auch Schulungen an, teilweise kostenpflichtig, teilweise gratis. Ich habe auch schon an solchen teilgenommen, die sind immer gut und ihr habt auch Konferenzen zu verschiedenen Themen. Kommen wir aber zurück zu den Stellungnahmen. Wenn man sich jetzt Gesetzesvorhaben anguckt, gibt es ja oft eine Liste von Vereinen, Verbänden und so weiter, die zu einem Thema befragt wurden. Dort findet man regelmäßig auch Stellungnahmen der Bitkom. Genau diese Stellungnahmen auf diese wolltest du hinaus, oder? Die im Gesetzesprozess abgefragt werden von den Parlamentariern. Da würde mich interessieren, wie der Bitkom zu Gesetzen und Verordnungen oder Richtlinien, die gerade aktuell sind oder gerade schon umgesetzt wurden, wie der Bitkom dazu steht? Da gab es zum Beispiel das TTDSG, das Telemedien-Telekommunikation-und-Datenschutzgesetz, den Digital Service Act, die E-Privacy-Richtlinie und noch ein paar andere Dinge. Da würde mich deine Einschätzung sehr interessieren, ob du denkst, dass das hilfreiche Gesetze waren oder wo du die Problematiken findest. Vielleicht können wir beim Telemedizin-Telekommunikations-und-Datenschutzgesetz anfangen.
Rebekka Weiß:Ja, das Gesetz mit dem wahnsinnig langen Titel. Das TTDSG ist natürlich erst mal eine neue nationale Datenschutzgesetzgebung. Das ist insofern interessant, weil ich denke, gerade wir in der Datenschutzcommunity haben uns natürlich sehr an europäische Rahmenwerke gewöhnt und hatten denke ich auch eigentlich eher damit gerechnet, dass die Datenschutzgrundverordnung durch eine entsprechende europäische Verordnung erweitert wird, das ist auch immer noch geplant mit der E-Privacy-Verordnung. Da sich dieser Prozess aber massiv verzögert hat und wir gerade im Telekommunikations-und-Telemedienbereich, ich möchte nicht sagen Wirrwarr, aber ich sage trotzdem Wirrwarr, Regelungen hatten, wurde dann vor zweieinhalb Jahren entschieden, dass es jetzt in Deutschland noch das TTDSG bräuchte. Damit wurden vor allem viele Einzelregelungen zusammengeführt, aus dem Telemedien- und Telekommunikationsbereich auch dadurch bedingt. Da merkt man wieder, wie das ganze Regulierungsrahmenwerk zusammenhängt. Auch bedingt durch die Tatsache, dass wir im Telekommunikationsrecht durch den EECC, also durch den Electronic Communication Code, hatten wir wieder eine neue Telekommunikationsgesetzgebung, weil wir im Telemediengesetz seit vielen Jahren eine Streitigkeit darüber hatten, ob Deutschland die alte E-Privacy-Richtlinie hinsichtlich der Regelung zu Cookies insbesondere richtig umgesetzt hat. Dann wurde gesagt, wir müssen jetzt hier die DSGVO schaffen, das ist auch passiert. Sie trat dann noch Ende letzten Jahres in Kraft und wirft auch wieder einige Fragen auf. Du hattest gefragt, wie der Prozess gelaufen ist. Da muss man sagen, es fand ganz klassisch die Einbeziehung der verschiedenen Stakeholder statt. Es wurden sowohl alle Ministerien eingebunden, die dafür notwendig waren, als natürlich auch wir als Industrie, was ich immer häufiger feststelle, also sowohl beim TDDSG als auch bei vielen anderen Gesetzgebungen, die jetzt so in den letzten Monaten über unsere Tische gewandert sind, ist, dass die Regulierungsdichte sehr schnell sehr stark zunimmt. Wir haben die TTDSG auf nationaler Ebene. Der Digital Service Act, der ist eine neue Plattformregulierung auf europäischer Ebene, dann die Reform der E-Privacy-Richtlinie hin zur E-Privacy-Verordnung. Jetzt haben wir noch den Data-Act auf dem Tisch und viele dieser Regulierungen und ganz viele, die auch noch dazu kommen, die ich jetzt gar nicht alle aufzähle, hängen irgendwo miteinander zusammen. Gerade im Datenbereich, also dort, wo diese Regulierungen Vorschriften beinhalten, die auch Datenverarbeitung betreffen, sehen wir das ganz besonders. Jedes auf Digitalisierung bezogene Gesetz beinhaltet letztlich auch irgendwo Datenregulierungen. Es geht kaum noch ohne. Diese Schnittstellen und diese sich überlappenden Bereiche zu verstehen und zu analysieren, ist unglaublich schwer und es wird mit jeder Regulierung noch schwerer. Dann kommt noch hinzu, dass diese Prozesse ja auch parallel laufen. Es ist nicht wie so ein Treppensystem, man hat eine Stufe abgeschlossen und dann kümmert man sich um die nächste Regulierung, sondern Vieles davon passiert zeitgleich und verändert sich ja dann auch immer wieder. Das zu monitoren ist wahnsinnig aufwendig. Das aktiv zu begleiten ist es dementsprechend auch. Das merken wir auch im Rahmen unserer alltäglichen Arbeit und ich glaube, das ist auch die große Herausforderung, die die Politik an der Stelle hat. Man muss sich auch immer vergegenwärtigen, dass wenn so ein Gesetz gebaut wird, so in der Entstehungszeit durchläuft es natürlich verschiedene Stadien, kommt aber immer aus, ich sag mal einem Haus. Auf deutscher Ebene sind es die entsprechenden Ministerien und auf europäischer Ebene kommen die Vorschläge natürlich aus dezidierten DGs, innerhalb der Kommission. Die Gesetze, die ich jetzt gerade erwähnt habe, die kommen nicht alle aus einem Haus, die kommen nicht alle aus einer DG, sondern aus verschiedenen. Die Absprachen allein intern bei den politischen Institutionen, an der Stelle, bei den Gesetzgebern, das wird nach meinem Empfinden nicht ausreichend genug gemacht, deswegen stellen wir immer wieder fest, dass Regelungen in Regulierungen enthalten sind, die eigentlich nicht zusammenpassen mit schon vorhandener Regulierung oder auch mit Regulierungsvorhaben, die sich gerade noch in der Entwicklung befinden. Ich denke, das ist ein Punkt, bei dem wir wirklich achtsam sein müssen, damit wir uns natürlich nicht überregulieren. Das ist immer so das eine Schreckensszenario. Damit wir vor allem nicht ein Regulierungssystem bauen, was am Ende des Tages wirklich niemand mehr versteht und anwenden kann, weil das schadet dem Rechtssystem als Ganzem.
Karina Filusch:Vielen lieben Dank, dass du den Hintergrund gerade erläutert hast, wie diese Gesetze zustande kommen. Man hat manchmal das Gefühl, dass die eine Hand nicht weiß, was die andere macht. Dank deiner Erklärung kann ich das nachvollziehen, warum das so ist. Es ist ein strukturelles Problem. Ganz schlimm war das bei den Cookie-Hinweisen und Cookie-Bannern, die ganz lange nicht geregelt waren. Jetzt gibt es das TTDSG, was uns dort helfen soll, aber das technisch noch gar nicht umsetzbar ist, weil die Verordnung, die dazu gehört, noch gar nicht da ist. Es ist eine unbefriedigende Sache und alle machen etwas in der Hoffnung, dass sie dann am Ende keine Bußgelder und keinen Ärger bekommen. Das ist dann doch unbefriedigend. Das TTDSG ist wahrscheinlich auch der Grund, warum wir jetzt plötzlich überall Cookie-Banner haben. Die sind plötzlich alle aufgetaucht. Ich hatte das Gefühl, es war ein Stichtag und zack, waren auf allen Seiten plötzlich Cookie-Banner. Wie schätzt du die Cookie-Einwilligung ein? Diese Problematik um die Cookie-Einwilligung und Cookie-Banner?
.
Rebekka Weiß:Ich glaube, das Cookie-Dilemma, man kann es glaube ich nicht mehr anders nennen, ist tatsächlich eins, was durch Regulierung allein nicht mehr zu lösen ist, weil wir in der Praxis ganz stark merken, dass sich bei den Nutzerinnen und Nutzern eine Cookie-Fatigue entwickelt hat. Man klickt die Banner nur weg. Ob man da jetzt auf „ja“ oder auf „nein“ oder „weitere Optionen“ klickt, das spielt, bei den allermeisten eher eine nachrangige Rolle. Warum? Weil, wenn ich als Nutzer auf eine Seite gehe, habe ich für mich schon die Entscheidung getroffen, dass ich den Inhalt der Seite besuchen möchte und der Cookie-Banner, der dann irgendwo auf dieser Seite liegt, ist dann erst mal da. Damit will ich mich aber in dem Moment nicht auseinandersetzen. Ich möchte Medieninhalte konsumieren oder ich möchte mir etwas kaufen oder ich möchte eine Dienstleistung in Anspruch nehmen. Es ist völlig egal. Auf jeden Fall möchte ich den eigentlichen Zweck der Webseite haben, der natürlich nicht darin liegt, dass irgendwelche Daten verarbeitet werden und ich auf Cookie-Banner klicke. Dem Nutzer abzuverlangen, dass er bevor er das tut, was er eigentlich tun will, noch Datenschutz-Hinweise zu lesen, die ellenlang sind, weil die Informationspflichten so umfangreich sind, ist es schlicht und ergreifend zu viel verlangt. Wir haben glaube ich in allen Regelungen, die dazu geführt haben, dass die Situation jetzt so ist, wie sie ist gängige Webseitennutzung ein Stück weit auch fehleingeschätzt, was dazu führt, dass wir jetzt zwar lauter Banner haben, aber nicht wirklich mehr informierte Nutzerinnen und Nutzer. Da müssen wir hin, weil ich glaube, ganz klar ist, dass auch als Bestandteil der Datensouveränität, weil wir ja auch immer über Datensouveränität reden, jede Nutzerin, jeder Nutzer braucht ein ungefähres Verständnis davon, was mit ihren und seinen Daten passiert. Das ist wichtig. Dafür muss aber natürlich nicht jeder und jede, wenn sie eine Webseite betritt, 20-Seiten-Text im Einzelnen verstehen und auswendig können. Das will auch niemand. Ich glaube, so ehrlich müssen wir uns an der Stelle auch machen. Daran hat eigentlich keiner ein Interesse. Das heißt, wir müssen so ein Grundverständnis dafür aufbauen: Was passiert mit meinen Daten im Netz? Warum werden sie genutzt und wofür werden sie genutzt? Deswegen brauchen wir, was Webseitendatenverarbeitung angeht, viel mehr als einfach nur eine weitere Regulierung. Ich glaube, wir müssen hier wirklich viel früher ansetzen bei der Kompetenz der Nutzer, also wirklich beim Aufbau von Medien und Daten sowie früher Kompetenz. Das ist nichts, was man erst im Erwachsenenalter lernen sollte, sondern das muss ich in der Schule spätestens anfangen, dass Kinder und Jugendliche ein Verständnis dafür bekommen, was passiert mit ihren Daten und warum? Um dann auch eine souveräne Entscheidung treffen zu können: Möchten sie das oder möchten sie das nicht? Ich glaube, was noch dazukommen wird und auch sollte, sind technische Lösungen in der Zukunft, die es Nutzerinnen und Nutzern ermöglichen, die Entscheidung einfacher zu treffen und die es aber auch den Anbietern ermöglichen, trotzdem noch ihre Services anzubieten. Was man bei der ganzen Cookie-Debatte, denke ich, nicht vergessen darf, ist, dass unterm Strich Content immer etwas kostet. Ich glaube, wir haben uns als Nutzerinnen und Nutzer in den letzten 10, 15 Jahren sehr daran gewöhnt, eine ganze Menge Leistungen kostenfrei zu beziehen, weil wir eben mit personalisierter Werbung den Monetarisierungsmechanismus haben und dieses Gefühl, dass ich kostenfrei Dinge nutzen kann, hat sich aber nie wirklich mit dem Bewusstsein verknüpft, dass die Leistung, die dahinter, ich meine, das sind riesige Investitionen, die auch in die Technologie fließen, dass die irgendwo bezahlt werden müssen. Das ist auch, glaube ich, ein Baustein, an dem weitergearbeitet werden muss, was so das Grundverständnis des Internets angeht. Das wird, denke ich mal die weitere Dimension sein. Es werden sich auch neue Monetarisierungsmechanismen entwickeln. Das ist auch etwas, was wir jetzt schon sehen. Du hast es selbst auch gesagt, du hast gemerkt, es sind auf einmal lauter Cookie-Banner aufgepoppt, sozusagen mit Stichtag, das hing definitiv mit dem TTDSG zusammen. Was wir aber auch merken, ist diese Entwicklung hin zur Wahl, ich sage mal Bezahlmodell und werbebasiertem Modell, gerade bei bestimmten Medienangebote, die es so gibt, aber auch bei anderen Dienstleistungsangeboten sehe ich ganz stark eine Tendenz, dass der Nutzer auch die Wahl hat, möchte er denn Content beziehen, ohne personalisierte Werbung zu erhalten und dafür einen gewissen Betrag X direkt zu bezahlen? Oder sagt der Nutzer ist fein, ich nehme die personalisierte Werbung ja an der Stelle auch gerne in Kauf. Vielleicht ist es sogar auch nützlich für mich und kann dann die entsprechende Leistung eben ohne Geldzahlung direkt in Anspruch nehmen.
Karina Filusch:Du sprichst mir aus der Seele. Zwei Punkte möchte ich nochmal hervorheben. Wir sollten uns immer die Frage stellen, bei Internetangeboten wollen wir das Produkt sein oder der Kunde und so unter Umständen dann vielleicht bereit sein, mal für einen Artikel einen Euro zu bezahlen, wenn er uns sehr wichtig ist und nicht nur kostenlos zu konsumieren, weil du gesagt hast, ja, Content kostet nun mal, das stimmt natürlich. Das nächste ist, was du auch gesagt hast, die technischen Weiterentwicklungen: Die Cookies sind langsam schon out und alle Gesetze reden nur noch über Cookies. Dabei ist die Technologie schon viel weiter und es gibt schon längst andere Methoden, um Leute zu tracken und um Geld aus Websites zu machen. Die Gesetzgebung ist viel zu langsam, der technische Fortschritt schreitet voran und geht an dem Gesetzgeber vorbei. Mal gucken, wann wir dann zu den neuen Technologien kommen. Apropos Zukunft, ich möchte dich noch gerne fragen: Was kommt politisch noch auf uns zu? Du hast den Data Act erwähnt.
Rebekka Weiß:Ganz kurz, auch weil du mir jetzt gerade aus der Seele gesprochen hast. Die Technologie und die Entwicklung in der Praxis überholen den Gesetzgebungsprozess da auch einfach. Noch mal so als Beispiel: Der Vorschlag zur E-Privacy-Verordnung, der stammt aus Januar 2017 und das sage ich jetzt im März 2022. Die Verordnung ist noch nicht fertig und sie ist natürlich deswegen auch noch nicht in Kraft. Das heißt, wir rechnen hier wahrscheinlich mit mindestens noch einem Jahr, im Zweifelsfall, je nachdem, wie lange die Übergangszeit ist. Da muss man, glaube ich, ganz klar sagen, da entspricht die Regulierung, die am Ende rauskommt, die kann nicht mehr der Praxis und der Realität entsprechen, denn die zugrundeliegenden Überlegungen stammen aus dem Jahr 2017, beziehungsweise eigentlich sogar 2016. Aber geschrieben wurde der Text 2016. Wir brauchen hier neue Ansätze. Man braucht ein neues Regulierungssystem und dafür muss auch die Entwicklung mehr hingehen zu eher Selbstverpflichtungen, die dann gemonitored werden, gemeinsam mit den Aufsichtsbehörden. Aber das Regulierungssystem, so wie wir es bisher haben, wird der Dynamik der Entwicklung definitiv nicht mehr gerecht. Mit Blick in die Zukunft: Momentan treibt uns so, was Datenregulierung angeht, sicherlich am allermeisten der EU-Data-Act um, der auch noch Ende letzten Jahres das Licht der Welt erblickt hat und dann jetzt auch im Februar offiziell vorgelegt wurde und eine ganze Reihe neuer Regelungen enthält, und zwar sowohl bezüglich personenbezogener Daten als auch nicht personenbezogener Daten. Er ist von der Regulierungsweite noch mal deutlich mehr als die Datenschutzgrundverordnung damals und enthält einen, ich möchte mal sagen bunten Blumenstrauß an Regelungsinhalten. Da geht es um Vertragsgestaltung für Data Sharing, da geht es um neue Zugriffsrechte seitens der öffentlichen Hand auf Daten, zum Beispiel in der Industrie. Es geht aber auch zum Beispiel darum, wie zukünftig zwischen Cloud-Anbietern gewechselt werden kann. Es geht um internationale Datentransfers, auch ein sehr beliebtes Thema. Ein buntes Potpourri an Inhalten, die da vorgeschlagen werden und die sicherlich auch das ganze Datenschutzrecht, so wie wir es heute kennen, ganz grundlegend umkrempeln wird. Insofern ist das definitiv das neue Datenrecht auch der Zukunft und ich bin selber sehr gespannt, wo es sich hin entwickelt. Wir arbeiten im Bitkom gerade natürlich auch den Text sehr intensiv durcharbeiten, auch eine Stellungnahme zu dem für uns ganz klar priorisieren Dossier aus. Da werden sicherlich auch die entsprechenden Verhandlungen im Europäischen Parlament und auch im Rat der EU nochmal zeigen, in welche Richtung die EU schauen will, wenn es darum geht, wie die Datenökonomie der Zukunft aus europäischer Brille dann aussehen kann.
Karina Filusch:Hat man schon eine Vorahnung, wann der Data Act kommt. Kann man das schon abschätzen?
Rebekka Weiß:Das ist leider ganz großes Glaskugellesen. Wenn ich jetzt an mein Beispiel von der E-Privacy-Verordnung zurückdenke, als der Vorschlag vorgelegt wurde, dachten wir fast, es geht jetzt alles sehr schnell, weil es quasi eine kleinere Verordnung war als die Datenschutzgrundverordnung. Jetzt debattieren wir über das Fail, also auch schon fünf Jahre. Das kann beim Data Act auch passieren. Wir hoffen es nicht, weil damit laufen wir dann wieder ins gleiche Dilemma. Aber auf der anderen Seite muss sich natürlich genug Zeit genommen werden, um diese sehr, sehr umfangreichen Änderungen auch in der Tiefe zu durchdenken und eben alle Wechselwirkungen wirklich zu analysieren. Das ist so der Punkt, den ich auch schon vorhin gemacht habe. Man darf nicht einfach Regelungen in neue EU-Verordnungen oder auch nationale Gesetze schreiben, ohne alle Implikationen einmal gegen zu checken. Üblicherweise auch je nachdem wie lang die Umsetzung Fristen sind, muss man wahrscheinlich mit zwei, drei Jahren rechnen. Ich glaube, da drunter wird es kaum möglich sein, wirklich alle Analysen anzustellen.
Karina Filusch:Mich freut Deine Einschätzung, dass eine Revolution auf uns zukommt, die Du auch erst einmal positiv einschätzt. Wie es dann genau sein wird, wird sich dann zeigen. Aber Dein Optimismus heitert mich auf. Das ist schön, dass da nicht die nächste Komplikation kommt, sondern vielleicht was Schönes, was Gutes, was Revolutionäres. Ich wollte Dir noch ganz zum Schluss unsere Lieblingsfrage stellen: Was ist denn Dasou für Dich?
Rebekka Weiß:Datensouveränität heißt eigentlich vor allem, dass Datennutzung für alle Beteiligten sinnvoll möglich ist. Jede Nutzerin, jeder Nutzer, aber auch jeder Anbieter versteht, wofür die Datenökonomie gut sein kann. Ich glaube, wenn jeder versteht, wie Daten geteilt werden, wofür Daten genutzt werden, warum sie aber auch geschützt sind, können alle an der Datenökonomie Beteiligten sinnvolle Entscheidungen treffen. Ich glaube, darauf kommt es an, was wir brauchen Verständnis für die Datenverarbeitung, aber auch ein Verständnis für die Datenökonomie als Ganzes. Ich glaube, wenn wir da sind, dann haben wir eine echte Datensouveränität für alle Beteiligten erreicht.
Karina Filusch:Liebe Rebekka, vielen lieben Dank, dass du dir so viel Zeit genommen hast, um mit uns zu sprechen und uns den Bitkom nähergebracht hast und auch die Perspektive und die schöne Aussicht auf die kommenden Datenschutzgesetze gegeben hast. Vielen Dank für deine Zeit.
Rebekka Weiß:Danke dir!
Karina Filusch:Vielen lieben Dank, dass ihr wieder in die Folge hineingehört habt. Ich hoffe, ihr hattet Spaß. Lasst uns doch eine Nachricht bei Twitter oder Instagram, wenn ihr mögt. Ihr findet uns dort unter dasou_law. Wir freuen uns sehr über jede Nachricht, über jeden Like und natürlich auch über jedes Abo bis zur nächsten Folge. DaSou ist eine Produktion der Kanzlei Filusch. Mehr Infos findet ihr auf unserer Webseite. Das super! Die Redaktion besteht aus Anja Lindenau, Aileen Weibeler und Karina Filusch. Der Jingle wurde komponiert von Mauli. Die Idee zu DaSou hatte Axel Jürs. Das Cover hat Hélène Baum erstellt. Beraten wurden wir von Susan Stone. Editiert wurde der Podcast von Christoph Hinners.